在应用层攻击中,容易遭受攻击的目标包括路由器、数据库、Web 和 FTP服务器和与协议相关的服务,如DNS 、WINS 和SMB。
1.2 接入层攻击
1 MAC/CAM泛洪攻击
MAC/CAM泛洪攻击是指利用工具产生大量欺骗MAC,快速填满CAM表,交换机CAM表被填满后,流量在所有端口广播,导致交换机就像共享HUB一样工作,这时攻击者可以利用各种嗅探攻击获取网络信息 。同时CAM表满了后,流量以洪泛方式发送到所有接口,也就代表TRUNK接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪 。解决方案:可使用端口安全技术,允许特定的主机访问及定义最多允许通过主机的数量 。
2 针对DHCP的攻击
采用DHCP协议可以自动为用户设置网络IP 地址、掩码、网关、DNS、WINS等参数,简化了用户网络设置,提高了管理效率 。但在DHCP管理使用上也存在着一些令网管人员比较头疼的问题 。
2.1 DHCP 报文泛洪攻击
DHCP报文泛洪攻击是指利用工具伪造大量DHCP请求报文发送到服务器,一方面恶意耗尽了IP资源,使得合法用户无法获得IP 资源;另一方面使得服务器高负荷运行,无法响 应合法用户的请求,造成网络故障 。解决方案: DHCPsnooping,比较二层以太网帧的源 MAC与DHCP请求报文中的client MAC是否一直,如果不一致,则丢弃 。
2.2 DHCP Server欺骗攻击
由于DHCP协议在设计的时候没有考虑到客户端和服务器端之间的认证机制,如果网络上存在多台DHCP服务器将会给网络照成混乱 。通常黑客攻击是首先将正常的DHCP服务器所能分配的IP 地址耗尽,然后冒充合法的DHCP 服务器 。最为隐蔽和危险的方法是 黑客利用冒充的DHCP 服务器,为用户分配一个经过修改的DNS server,在用户毫无察觉的情况下被引导至预先配置好的假金融网站或电子商务网站,骗取用户帐户和密码,这种攻击后果是非常严重的 。解决方案: DHCPsnooping,设置信任端口和非信任端口,非信任 端口拒绝DHCP offer 报文和DHCP ack 报文 。还可以采用DHCP snooping 的报文限速功能,如果报文速率超过限制值,则端口进入errdisable 状态 。
3 针对 ARP攻击
ARP作为 IP 层和链路层之间的联系纽带,其作用和责任非常重大,最主要的使命就是确定IP地址对应的链路层地址(MAC地址) 。但是由于特定的历史原因,ARP协议在设计的时候也没有考虑到安全因素,因此黑客可以很轻易的针对ARP协议的漏洞发起攻击,轻松窃取到网络信息 。
3.1 ARP流量攻击
ARP流量攻击的方式多种多样,比如伪造大量ARP请求,伪造大量ARP应答,伪造目的IP不存在的IP报文等等,其最终目的只有一个:增加网络中ARP报文的流量,浪费交换机CPU带宽和资源,浪费内存资源,造成CPU繁忙,产生丢包现象,严重的甚至造成网络瘫痪 。
解决方案: 防范ARP流量攻击通过两种手段:1,对端口ARP报文进行限速,当端口ARP报文速率超过设定值,则down掉端口; 2,对引起ARP解析失败的目的IP进行记录,当在固定时间内该IP引起 ARP解析失败的次数超过设定值的时候,下发ACL,通过硬件将目的IP为此IP的报文丢弃;
3.2 ARP 欺骗攻击
根据ARP协议的设计,为了减少网络上过多的ARP数据通信,一个主机即使收到非本机的ARP应答,也会对其进行学习,这样,就造成了“ARP 欺骗”的可能 。如下图所示,黑客分别向两台主机发送一个ARP应答包,让两台主机都“误”认为对方的MAC地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的 。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可 。同时黑客连续不断地向这两台主机发送这种虚假的ARP响应包,让这两台主机一直保存错误的ARP表项,使其可以一直探听这两台主机之间的通信 。
- 大学生创业肺腑之言 感情的肺腑之言
- 大学生创业网的这些隐藏扶持政策 大学生创业的主要政策
- 网上开店需要的步骤 开店流程步骤
- 初一英语时间表达法 时间的两种表达
- 女士的法则|《女士的法则》讲述了什么故事 《女士的法则》值得一看吗
- 国宝大熊猫的介绍和特点 熊猫的介绍和特点
- 篮球抢篮板球的规则 篮球抢篮板是什么规则
- 怎么提升无线网络速度 怎么提高无线网传输速率
- ctu是哪个城市的缩写 ctu是哪个城市
- 河南说的半吊子是什么意思 半吊子是什么意思