|
網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 1.22 針對設備轉發表的攻擊為了合理有限的轉發數據,網絡設備上一般都建立一些寄存器表項,比如MAC地址表,ARP表,路由表,快速轉發表,以及一些基于更多報文頭字段的表格,比如多層交換表,流項目表等。這些表結構都存儲在設備本地的內存中,或者芯片的片上內存中,數量有限。如果一個攻擊者通過發送合適的數據報,促使設備建立大量的此類表格,就會使設備的存儲結構消耗盡,從而不能正常的轉發數據或崩潰。 下面針對幾種常見的表項,介紹其攻擊原理: 1.22.1 針對MAC地址表的攻擊 MAC地址表一般存在于以太網交換機上,以太網通過分析接收到的數據幀的目的MAC地址,來查本地的MAC地址表,然后作出合適的轉發決定。 這些MAC地址表一般是通過學習獲取的,交換機在接收到一個數據幀后,有一個學習的過程,該過程是這樣的: a) 提取數據幀的源MAC地址和接收到該數據幀的端口號; b) 查MAC地址表,看該MAC地址是否存在,以及對應的端口是否符合; c) 如果該MAC地址在本地MAC地址表中不存在,則創建一個MAC地址表項; d) 如果存在,但對應的出端口跟接收到該數據幀的端口不符,則更新該表; e) 如果存在,且端口符合,則進行下一步處理。 分析這個過程可以看出,如果一個攻擊者向一臺交換機發送大量源MAC地址不同的數據幀,則該交換機就可能把自己本地的MAC地址表學滿。一旦MAC地址表溢出,則交換機就不能繼續學習正確的MAC表項,結果是可能產生大量的網絡冗余數據,甚至可能使交換機崩潰。 而構造一些源MAC地址不同的數據幀,是非常容易的事情。 1.22.2 針對ARP表的攻擊 ARP表是IP地址和MAC地址的映射關系表,任何實現了IP協議棧的設備,一般情況下都通過該表維護IP地址和MAC地址的對應關系,這是為了避免ARP解析而造成的廣播數據報文對網絡造成沖擊。ARP表的建立一般情況下是通過二個途徑: 1、 主動解析,如果一臺計算機想與另外一臺不知道MAC地址的計算機通信,則該計算機主動發ARP請求,通過ARP協議建立(前提是這兩臺計算機位于同一個IP子網上); 2、 被動請求,如果一臺計算機接收到了一臺計算機的ARP請求,則首先在本地建立請求計算機的IP地址和MAC地址的對應表。 因此,如果一個攻擊者通過變換不同的IP地址和MAC地址,向同一臺設備,比如三層交換機發送大量的ARP請求,則被攻擊設備可能會因為ARP緩存溢出而崩潰。 針對ARP表項,還有一個可能的攻擊就是誤導計算機建立正確的ARP表。根據ARP協議,如果一臺計算機接收到了一個ARP請求報文,在滿足下列兩個條件的情況下,該計算機會用ARP請求報文中的源IP地址和源MAC地址更新自己的ARP緩存: 1、 如果發起該ARP請求的IP地址在自己本地的ARP緩存中; 2、 請求的目標IP地址不是自己的。 可以舉一個例子說明這個過程,假設有三臺計算機A,B,C,其中B已經正確建立了A和C計算機的ARP表項。假設A是攻擊者,此時,A發出一個ARP請求報文,該請求報文這樣構造: 1、 源IP地址是C的IP地址,源MAC地址是A的MAC地址; 2、 請求的目標IP地址是A的IP地址。 這樣計算機B在收到這個ARP請求報文后(ARP請求是廣播報文,網絡上所有設備都能收到),發現B的ARP表項已經在自己的緩存中,但MAC地址與收到的請求的源MAC地址不符,于是根據ARP協議,使用ARP請求的源MAC地址(即A的MAC地址)更新自己的ARP表。 這樣B的ARP混存中就存在這樣的錯誤ARP表項:C的IP地址跟A的MAC地址對應。這樣的結果是,B發給C的數據都被計算機A接收到。 1.22.3 針對流項目表的攻擊 有的網絡設備為了加快轉發效率,建立了所謂的流緩存。所謂流,可以理解為一臺計算機的一個進程到另外一臺計算機的一個進程之間的數據流。如果表現在TCP/IP協議上,則是由(源IP地址,目的IP地址,協議號,源端口號,目的端口號)五元組共同確定的所有數據報文。 一個流緩存表一般由該五元組為索引,每當設備接收到一個IP報文后,會首先分析IP報頭,把對應的五元組數據提取出來,進行一個HASH運算,然后根據運算結果查詢流緩存,如果查找成功,則根據查找的結果進行處理,如果查找失敗,則新建一個流緩存項,查路由表,根據路由表查詢結果填完整這個流緩存,然后對數據報文進行轉發(具體轉發是在流項目創建前還是創建后并不重要)。 可以看出,如果一個攻擊者發出大量的源IP地址或者目的IP地址變化的數據報文,就可能導致設備創建大量的流項目,因為不同的源IP地址和不同的目標IP地址對應不同的流。這樣可能導致流緩存溢出。 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統 手機站 關于本站
