IDC中心的ARP攻击与防御解决方案(1)(2)
2015-10-21 01:11
导读:现在就涉及到另外一种欺骗方式——ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。 ICMP重定向报文是ICMP控制报文中的一
现在就涉及到另外一种欺骗方式——ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。
ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下,当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。路由器也会把初始数据报向它的目的地转发。我们可以利用ICMP重定向报文达到欺骗的目的。下面是结合ARP欺骗和ICMP重定向进行攻击的步骤:
①主机C需将自己发出的非法IP包的存活时间改成最大。
②寻找主机B的漏洞使其暂时停止工作。
③当主机A找不到原来的192.0.0.2后,将更新自己的ARP对应表。此时,主机C发送一个原IP地址为192.0.0.2,MAC地址为CC:CC:CC:CC:CC:CC的ARP响应包。
④现在每台主机都知道了,一个新的MAC地址对应192.0.0.2,一个ARP欺骗完成了,但是,每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.2的IP包丢给路由。于是还需要构造一个ICMP的重定向广播。
⑤定制一个ICMP重定向包告诉网络中的主机, 到192.0.0.2的路由最短路径不是局域网,而是路由,请主机重定向你们的路由路径,把所有到192.0.0.2的IP包丢给路由。
⑥主机A接受这个合理的ICMP重定向,于是修改自己的路由路径,把对192.0.0.3的通讯都丢给路由器。
⑦主机C成功入侵主机A。
其实上面的想法只是一种理想话的情况,主机许可接收的ICMP重定向包其实有很多的限制条件,这些条件使ICMP重定向变的非常困难。
(3)ARP欺骗新表现形式
此种欺骗攻击方式同上一样,向全网发送伪造的ARP数据包,区别在于它对HTTP报文的修改。
用户在浏览某些网页时,网页中可能会包含一些恶意的代码,这就是俗称的“网页木马”,此种行为被称为“挂马”。主要有以下三种方法插入恶意代码:
(科教范文网http://fw.NSEAC.com编辑发布) ①局域网被ARP欺骗。当网内的一台主机欲访问网外的WEB服务器时,该主机会将请求发给负责本网的网关,由网关到服务器获得请求页面再发给该主机。此时攻击主机伪装成网关将插入恶意代码的网页发给请求主机,对于该局域网内的其他主机均可采取此种攻击方法。
②服务器被ARP欺骗。服务器所处局域网内,有主机被感染病毒,服务器发给用户的网页在传输过程中被插入恶意代码。
③服务器被攻击。服务器被入侵或感染病毒,硬盘上网页文件被修改插入恶意代码。
3.2 MAC Flooding
MAC Flooding 可以称之为 MAC 洪泛现象,这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信。其中 Flooding 是一种快速散布网络连接设备 (如交换机)更新信息到整个大型网络打每一个节点的一种方法。交换机中也存放着一个 ARP 缓存表。同主机中的 ARP 缓存表相同,它也起到记录网络设备 MAC 地址与 IP 地址的 对应关系的功能。但是交换机中的 ARP 缓存表的大小是固定的,这就导致了 ARP 欺骗的另 一种隐患:由于交换机可以主动学习客户端的 MAC 地址,并建立和维护这个 ARP 缓存表, 当某人利用欺骗攻击连续大量的制造欺骗 MAC 地址,ARP 缓存表就会被迅速填满,同时更新信息以洪泛方式发送到所有的接口,也会发给所有的接口和邻近的交换机,会导致其他交换机的 ARP 表 溢出,造成交换机负载过大,网络缓慢和丢包甚至瘫痪。所以说 MAC Flooding 是一种比较 危险的攻击,严重会使整个网络不能正常通信。
共2页: 1 [2] 下一页 论文出处(作者):
基于Web Services的数字化
校园的构建研究
浅析Comet技术在Java Web实时系统开发中的应用
