ARP协议利用与防护
ARP协议基础
ARP(Address Resolution Protocol)地址解析协议,用于交换机下,二层设备寻址,即询问目标IP对应的MAC地址。
ARP缓存表:
■如果每个IP包都要执行- -次ARP ,网络将是不可承受, ARP有个缓存机制,将访问主机的MAC地址与IP地址绑定,就能直接告诉交换机对应的MAC地址进行转发。
ARP缓存表缺陷:
■ARP缓存表机制存在一个缺陷 ,主机不会验证自己是否给对方发送过arp请求,就直接将返回包中IP地址对应的MAC地址对应关系保存进ARP缓存表中,如果有新的对应关系旧的就会被替换
ARP欺骗原理
ARP欺骗( ARP Spoofing)定义:
■发送伪造ARP消息 ,对特定IP所对应的MAC地址进行假冒欺骗,从而达到恶意目的
■ARP欺骗的两种场景:
1、主机欺骗 危害:获取通信流量
2、网关欺骗 危害:断网/获取所有通信流量
ARP攻击防护
主机欺骗防护:
ARP欺骗是通过重复应答实现的,那么只需要在本机添加条静态的ARP映射,这样就不需要询问网关MAC地址了,这种方法只对主机欺骗有效。
网关欺骗防护:
在网关绑定主机MAC与IP地址。
交换机转发行为
交换机转发数据原理:
■1.交换机收到数据帧的时候 ,解析数据包,查看源MAC地址,并且将MAC地址和接口进行关联,更新到MAC地址表(CAM表)里面。
■2.查看数据包目标MAC地址 ,然后查询本地MAC地址表,根据目标MAC对应的接口将这个数据转发出去。
■3.如果MAC地址表是空或丢弃,广播将这个数据帧进行复制,然后向各个接口转发出去。
交换机特性:
■交换机中的MAC地址表是有大小限制的,接入交换机MAC地址表基本在8K左右。当这个表满了的时候,只要MAC关联信息不在交换机上,就会将这个帧复制,进行广播,向所有接口转发出去。
■MAC地址表老化时间默认300秒,到300秒就会将MAC映射关系删除。
MAC地址泛洪攻击原理
MAC地址泛洪攻击:
■泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机,充满整个MAC地址表,此时交换机只能进行数据广 播,攻击者凭此获得信息。
■危害:攻击者通过泛洪攻击对局域网内流量进行抓取,以达到网络信息收集的目的。
MAC地址泛洪攻击防御
■给交换机的的每个端口限制主机的数量,当-个端口学习的MAC数量超过这个限制的数量,则将
超出的MAC地址舍弃。
TCP协议利用与防护
TCP协议基础
**TCP协议:**在TCP/IP协议栈中, TCP协议提供可靠的传输服务,传输前需要通过三次握手建立连接。
SYN Flood攻击原理
■SYN Flood攻击是一种典型的DoS攻击,是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使受攻击服务器资源耗尽:(CPU满负荷或内存不足)的攻击方式。
■**SYN Flood攻击原理:**通过发送大量SYN半开放连接,消耗服务端系统内存来等待这个未决的连接,通过创建很多的半开放式连接来发动SYN洪水攻击耗尽服务器资源。
SYN Flood攻击防护
1、监视并释放无效连接
这种方法不停监视系统的半开连接和不活动连接,当达到- -定阈值时拆除这些连接,从而释放系统资源。
2、延缓TCB分配方法
●Syn Cache技术
●Syn Cookie技术
3、SYN Proxy防火墙
对试图穿越的SYN请求进行验证后才放行,采用的验证连接有效性的方法可以使用Syn Cookie技术
4、TCP Safe Reset技术
防火墙验证连接之后发出一个Safe Reset命令包,使Client重新进行连接,这时Client重新发送的Syn报文防火墙就直接放行。在这种方式中,防火墙就不需要对通过防火墙的数据报文进行序列号的修改了。
DHVP协议利用与防护
DHCP协议基础
DHCP工作原理:
DHCP地址耗尽攻击场景
利用条件:通过不断重复DHCP请求IP地址的过程,来达到耗尽DHCP地址池IP的目的。详细的手法,首先构建一个DHCP Discover报文来请求网络中的服务器,然后侦听网络中的offer数据包;提取offer报文中的服务器标识,以及分配IP地址后,构造DHCP Request发送后完事儿,重复上述步骤。
DHCP地址耗尽攻击防护
■Port-Security技术来限制交换机每 个端口可以学习到的最大MAC地址数量,这样就可以有效地来防范DHCP耗尽攻击。这样当安全MAC地址的数量达到端口允许的限制时,交换机就会将带有未知源地址的DHCP数据帧丢弃。
8322
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
