【文章內(nèi)容簡(jiǎn)介】 的路由），則路由器會(huì)丟棄它。 3. ARP 欺騙 11 TCP/IP 中使用的地址轉(zhuǎn)換協(xié)議 ARP，主要解決 32 位的 IP 地址和物理地址的互相 轉(zhuǎn)換問(wèn)題。在 TCP/IP 網(wǎng)絡(luò)環(huán)境下，每個(gè) 主 機(jī)都分配了一個(gè) 32 位的 IP地址，這種互聯(lián)網(wǎng)地址是在國(guó)際范圍內(nèi)唯一標(biāo)識(shí)主機(jī)的一種邏輯地址。為了讓報(bào)文在物理網(wǎng)上傳送，還必須知道相應(yīng)的物理地址， 我 們就存在把互聯(lián)網(wǎng)地址變換為物理地址的地址轉(zhuǎn)換問(wèn)題。以以太網(wǎng)為例，在進(jìn)行報(bào)文發(fā)送時(shí)，如果源網(wǎng)絡(luò)層給的報(bào)文只有 IP 地址，而沒(méi)有對(duì)應(yīng)的以太網(wǎng)地址，則網(wǎng)絡(luò)層廣播 ARP請(qǐng)求以獲取目的站信息，而目的站必須回答該 ARP 請(qǐng)求。這樣源站點(diǎn)可以收到以太網(wǎng) 48 位地址，并將地址放入相應(yīng)的高速緩存（ cache）。下一次源站點(diǎn)對(duì)同一目的站點(diǎn)的地址轉(zhuǎn)換可直 接引用高速緩存中的地址內(nèi)容。地址轉(zhuǎn)換協(xié)議ARP 使主機(jī)只需給出目的主機(jī)的 IP 地址就可以找出同一物理網(wǎng)絡(luò)中任一個(gè)物理主機(jī)的物理地址。由于 cache 中的數(shù)據(jù)通常幾分鐘后就會(huì)過(guò)期，攻擊者就可以偽造 IP物理地址聯(lián)系，并且可以使用不工作主機(jī)的 IP 地址。一旦 cache中的數(shù)據(jù)過(guò)期，攻擊者便可入侵信任服務(wù)器。 ARP 欺騙防范 : 在 win xp 下輸入命令： arp s gatewayip gatewaymac固化 arp表，阻止 arp 欺騙。 通過(guò)查詢 IPMAC 對(duì)應(yīng)表 (1)不要把網(wǎng)絡(luò)安全信任關(guān)系建 立在 IP 基礎(chǔ)上或 MAC 基礎(chǔ)上 ，理想的關(guān)系應(yīng)該建立在 IP+MAC 基礎(chǔ)上。 (2)設(shè)置靜態(tài)的 MACIP 對(duì)應(yīng)表，不要讓主機(jī)刷新設(shè)定好的轉(zhuǎn)換表。 (3)除非很有必要，否則停止使用 ARP，將 ARP 作 為永久條目保存在對(duì)應(yīng)表中。 (4)使用 ARP 服務(wù)器。通過(guò)該服務(wù)器查找自己的 ARP 轉(zhuǎn)換表來(lái)響應(yīng)其他機(jī)器的 ARP 廣播。確保這臺(tái) ARP 服務(wù)器不被黑。 (5)使用 proxy代理 IP 的傳輸。 (6)使用硬件屏蔽主機(jī)。設(shè)置好的路由，確保 IP地址能到達(dá)合法的路徑。 (7)管理員定期用響應(yīng)的 IP 包中獲得一個(gè) rarp 請(qǐng)求，然后檢查 ARP 響應(yīng)的真實(shí)性 (8)管理員定期輪詢，檢查主機(jī)上的 ARP 緩存。 (9)使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用 SNMP 的情況下， ARP 的欺騙有 12 可能導(dǎo)致陷阱包丟失。 (Ping of Death 攻擊 ) ICMP 即 Inter 控制消息協(xié)議。用于在 IP 主機(jī)、路由器之間傳遞控制消息?？刂葡⑹侵妇W(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。 Ping 就是最常用的基于 ICMP 的服務(wù)。 ICMP 協(xié)議本身的特點(diǎn)決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由器和主機(jī)。比如 ,可以利用操作系統(tǒng)規(guī)定的ICMP 數(shù)據(jù)包最大尺寸不超過(guò) 64KB 這一規(guī)定 ,向主機(jī)發(fā)起“ Ping of Death”攻擊。“ Ping of Death” 攻擊的原理是 : 利用 IP 廣播發(fā)送偽造的 ICMP 回應(yīng)請(qǐng)求包，向目標(biāo)主機(jī)長(zhǎng)時(shí)間、連續(xù)、大量地發(fā)送 ICMP 數(shù)據(jù)包 ,使得目標(biāo)主機(jī)耗費(fèi)大量的 CPU 資源處理。如果 ICMP 數(shù)據(jù)包的尺寸超過(guò) 64KB 上限時(shí) ,主機(jī)就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤 ,導(dǎo)致 TCP/IP 堆棧崩潰 ,致使主機(jī)死機(jī)。 對(duì)于“ Ping of Death”攻擊 ,可以采取兩種方法進(jìn)行防范 : (1)路由器上對(duì) ICMP數(shù)據(jù)包進(jìn)行帶寬限制 ,將 ICMP占用的 帶寬控制在一定的范圍內(nèi)。這樣即使有 ICMP 攻擊 ,它所占用的帶寬也是非常有限的 ,對(duì)整個(gè)網(wǎng)絡(luò)的影響非常少； (2)在主機(jī)上設(shè)置 ICMP 數(shù)據(jù)包的處理規(guī)則 ,最好是設(shè)定拒絕所有的 ICMP數(shù)據(jù)包。 傳輸層上的攻擊與防范 1. TCP 連接欺騙 (IP 欺騙 ) IP 協(xié)議在互聯(lián)網(wǎng)絡(luò)之間提供無(wú)連接的數(shù)據(jù)包傳輸。 IP 協(xié)議根據(jù) IP 頭中的目的地址項(xiàng)來(lái)發(fā)送 IP數(shù)據(jù)包。也就是說(shuō) ,IP 路由 IP 包時(shí) ,對(duì) IP 頭中提供的源地址不作任何檢查 ,并且認(rèn)為 IP頭中的源地址即為發(fā)送該包的機(jī)器的 IP地址。這樣 ,許多依靠 IP 源地址做確認(rèn)的服務(wù)將產(chǎn)生問(wèn)題并且會(huì)被非法入侵。其中最重要的就是利用 IP 欺騙引起的各種攻擊。 以防火墻為例 ,一些網(wǎng)絡(luò)的防火墻只允許網(wǎng)絡(luò)信任的 IP數(shù)據(jù)包通過(guò)。但是由于 IP 地址不檢測(cè) IP 數(shù)據(jù)包中的 IP 源地址是否為 發(fā) 送該包的源主機(jī)的真實(shí)地址 ,攻擊者可以采用 IP 源地址欺騙的方法來(lái)繞過(guò)這種 防火墻。另外有一些以IP 地址作為安全權(quán)限分配依據(jù)的網(wǎng)絡(luò)應(yīng)用 ,攻擊者很容易使用 IP 源地址欺騙的方法獲得特權(quán) ,從而給被攻擊者造成嚴(yán)重的損失。事實(shí)上 ,每一個(gè)攻擊者都可 13 以利用 IP 不檢驗(yàn) IP 頭源地址的特點(diǎn) ,自己填入偽造的 IP 地址來(lái)進(jìn)行攻擊 ,使自己不被發(fā)現(xiàn)。 基于 IP 欺騙的防范方法有 : (1)拋棄基于地址的信任策略； (2)進(jìn)行包過(guò)濾。如果網(wǎng)絡(luò)是通過(guò)路由器接入 Inter 的 ,那么可以利用路由器來(lái)進(jìn)行包過(guò)濾。確認(rèn)只有內(nèi)部 LAN 可以使用信任關(guān)系 ,而內(nèi)部 LAN 上的主機(jī)對(duì)于 LAN 以外的主機(jī)要慎重處理。路由器可以過(guò)濾掉所 有來(lái)自于外部而希望與內(nèi)部建立連接的請(qǐng)求； (3)使用加密技術(shù)。阻止 IP欺騙的一種簡(jiǎn)單的方法是在通信時(shí)要求加密傳輸和驗(yàn)證。當(dāng)有多種手段并存時(shí) ,加密方法可能最為適用。 2. SYN Flood 攻擊 TCP 是基于連接的。為了在主機(jī) A 和 B 之間傳送 TCP 數(shù)據(jù) ,必須先通過(guò) 3次握手機(jī)制建立一條 TCP 連接。若 A 為連接方、 B 為響應(yīng)方 ,則連接建立過(guò)程如下 :首先 ,連接方 A 發(fā)送一個(gè)包含 SYN 標(biāo)志的 TCP 報(bào)文 (即同步報(bào)文 )給 B,SYN報(bào)文會(huì)指明連接方 A 使用的端口以及 TCP 連接的初始序號(hào) X。 隨后 ,響應(yīng)方 B在收到連接方 A 的 SYN 報(bào) 文后 , 返回一個(gè) SYN+ACK 的報(bào)文 (其中 SYN 是自己的初始序號(hào) Y,ACK 為確認(rèn)號(hào) X+1,表示客戶端的請(qǐng)求被接受 ,正在等待下一個(gè)報(bào)文 )。最后 ,連接方 A 也返回一個(gè)確認(rèn)報(bào)文 ACK(序列號(hào) y+1)給響應(yīng)方 B。到此一個(gè) TCP 連接完成。 在連接過(guò)程中 ,可能受到的威脅如下 :攻擊者監(jiān)聽 B方發(fā)出的 SYN+ACK報(bào)文 ,然后向 B 方發(fā)送 RST 包。接著發(fā)送 SYN 包 ,假冒 A 方發(fā)起新的連接。 B 方響應(yīng)新連接 ,并發(fā)送連接響應(yīng)報(bào)文 SYN+ACK。攻擊者再假冒 A 方對(duì) B 方發(fā)送 ACK包。這樣攻擊者便達(dá)到了破壞連接的作用。若攻擊者再趁機(jī)插入有害數(shù) 據(jù)包 ,則后果更嚴(yán)重。 例如 ,在 TCP的 3 次握手中 ,假設(shè) 1 個(gè)用戶向服務(wù)器發(fā)送了 SYN報(bào)文后突然死機(jī)或掉線 ,那么服務(wù)器在發(fā)出 SYN+ACK 應(yīng)答報(bào)文后是無(wú)法收到客戶端的 ACK報(bào)文的 (即第 3 次握手無(wú)法完成 ),這種情況下服務(wù)器端一般會(huì)再次發(fā)送SYN+ACK 給客戶端 ,并等待一段時(shí)間后丟棄這個(gè)未完成的連接 ,這段時(shí)間的長(zhǎng)度我們稱為 SYN Timeout,一般來(lái)說(shuō)這個(gè)時(shí)間是分鐘的數(shù)量級(jí) (大約為 30 秒 2分鐘 )。1個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待 1分鐘并不是什么大問(wèn)題 , 14 但如果有一個(gè)惡意的攻擊者大量模擬這種情況 ,服務(wù)器端 將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源。服務(wù)器端將忙于處理攻擊者偽造的 TCP連接請(qǐng)求而無(wú)暇理睬客戶的正常請(qǐng)求 ,此時(shí)從正?？蛻舻慕嵌瓤磥?lái) ,服務(wù)器失去響應(yīng) ,這種情況我們稱作服務(wù)器端受到了 SYN Flood 攻擊。如下圖所示 SYNFlooding 攻擊示意圖 對(duì)于 SYN Flood 攻擊 ,可以從以下幾個(gè)方面加以防范 : (1)對(duì)系統(tǒng)設(shè)定相應(yīng)的內(nèi)核參數(shù) ,使得系統(tǒng)強(qiáng)制對(duì)超時(shí)的 SYN 請(qǐng)求連接數(shù)據(jù)包復(fù)位 ,同時(shí)通過(guò)縮短超時(shí)常數(shù)和加長(zhǎng)等候隊(duì)列使得系統(tǒng)能迅速處理無(wú)效的SYN 請(qǐng)求 數(shù)據(jù)包； (2)建議在該網(wǎng)段的路由器上做些配置的調(diào)整 ,這些調(diào)整包括限制 SYN 半開數(shù)據(jù)包的流量和個(gè)數(shù)； (3)建議在路由器的前端做必要的 TCP攔截 ,使得只有完成 TCP三次握手過(guò)程的數(shù)據(jù)包才可進(jìn)入該網(wǎng)段 ,這樣可以有效的保護(hù)本網(wǎng)段內(nèi)的服務(wù)器不受此類攻擊。 應(yīng)用層上的攻擊與防范 DNS 欺騙 當(dāng)主機(jī)需要將一個(gè)域名轉(zhuǎn)化為 IP 地址時(shí)，它會(huì)向某 DNS 服務(wù)器發(fā)送一個(gè)查詢請(qǐng)求。同樣道理，將 IP 地址轉(zhuǎn)化為域名時(shí)，可發(fā)送一個(gè)反查詢請(qǐng)求。這樣，一旦 DNS 服務(wù)器中的數(shù)據(jù)被修改破壞， DNS 欺騙就會(huì)產(chǎn)生。因?yàn)榫W(wǎng)絡(luò)上的主機(jī)都信任 DNS 服務(wù)器 ，所以一個(gè)被破壞的 DNS 服務(wù)器就可以將客戶 引導(dǎo)到非法的服務(wù)器，從而就可以使某個(gè) IP 地址產(chǎn)生 IP 欺騙。