61阅读

wifi遭到arp欺骗攻击-思科IOS防止遭受IP地址欺骗攻击的三种办法

发布时间:2017-09-25 所属栏目:路由器

一 : 思科IOS防止遭受IP地址欺骗攻击的三种办法

  IP欺骗技术就是伪造某台主机的IP 地址的技术。通过IP地址的伪装使得某台主机能够伪装另外的一台主机,而这台主机往往具有某种特权或者被另外的主机所信任。在一次典型的地址欺骗尝试中,攻击者只是简单地伪装源数据包使其看起来是内自于内部网络。下面谈一下怎样利用思科IOS防止你公司的网络遭到这种攻击。

  互联网操作系统(IOS)是思科特有的核心软件数据包,主要在思科路由器和交换机上实现,特别是可用它配置Cisco路由器硬件,令其将信息从一个网络路由或桥接至另一个网络。可以毫不客气地说,I0S是思科路由器产品的动力之源。那么怎样利用思科IOS防止IP欺骗呢?

  阻止IP地址

  防止IP欺骗的第一步就是阻止能造成风险的IP地址。虽然攻击者可以欺骗任何IP地址,最常被欺骗的IP地址是私有IP地址(请参考RFC1918)和其它类型的共享/特别的IP地址。

  例如,笔者就阻止如下的IP地址(后面紧跟着其子网掩码)从Internet访问本机:

  ·10.0.0.0(255.0.0.0)

  ·172.16.0.0(255.240.0.0)

  ·192.168.0.0(255.255.0.0)

  ·127.0.0.0(255.0.0.0)

  ·224.0.0.0(224.0.0.0)

  ·169.254.0.0(255.255.0.0)

  以上所列示的是私有的在互联网上不可路由的IP地址,抑或是用于其它目的的IP地址,因此不应出现在互联网上。如果来自互联网的通信以其中某个IP地址为源地址,必定是欺骗性的通信。

  此外,其它常被欺骗的IP地址是那些你的组织使用的任何内部IP地址。如果你正使用全部的私有IP地址,那你的范围就应该属于以上所列示的IP地址。然而,如果你正使用自己的公有IP地址范围,你就应该将其加入到以上列表中。

  实施访问控制列表(ACL)

  最简单的防止欺骗的方法就是对所有的互联网通信使用一个进入过滤器。进入过滤器会丢弃源地址为以上所列地址的任何数据包。换句话说,就是创建一个ACL(access control list),使之丢弃所有进入的网络的源地址为上述列表中IP地址的数据包。

  下面是一个配置的例子:


  Router# conf t
  Enter configuration commands, one per line. End with CNTL/Z.
  Router(config)# ip access-list ext ingress-antispoofRouter(config-ext-nacl)# deny ip 10.0.0.0 0.255.255.255 anyRouter(config-ext-nacl)# deny ip 172.16.0.0 0.15.255.255 anyRouter(config-ext-nacl)# deny ip 192.168.0.0 0.0.255.255 anyRouter(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 anyRouter(config-ext-nacl)# deny ip 224.0.0.0 31.255.255.255 anyRouter(config-ext-nacl)# deny ip 169.254.0.0 0.0.255.255 anyRouter(config-ext-nacl)# permit ip any anyRouter(config-ext-nacl)# exit
  Router(config)#int s0/0

  Router(config-if)#ip access-group ingress-antispoof in互联网服务供应商(ISP)必须在其网络中使用这样的过滤,这一点是在RFC 2267中定义的。注意此ACL操作中包含"permit ip any any".在现实世界中,你可能会在路由器中有一个正式的防火墙,用以保护内部LAN.

  当然,你可以将此方法用于过滤所有进入本机所在子网的、来自网络内部其它子网的数据包,以确保不在某子网内的任何人不会将欺骗性的数据通信传到其它网络。你也可以实施一个"转出ACL"来防止内部网络从其它网络实施IP地址欺骗。不过,请记住,这仅是你全局网络安全策略的一个局部而已。

  使用反向路径转发(IP验证)

  另一个保护网络免受IP地址欺骗的方法是反向路径转发(RPF),即IP验证。在思科的IOS中,用于反向路径转发(RPF)的命令是以"ip verify"开始的。

  RPF在工作起来就象一个反垃圾邮件解决方案的部分功能一样,该功能部分收到进入的电子邮件消息,找到源电子邮件的源地址,然后到发送服务器上执行一个检查操作,确定发送者是否真的存在于发送消息的服务器上。如果发送者不存在,服务器就丢弃此电子邮件消息,因为它极有可能是一个垃圾邮件。

  RPF对数据包作出相似的操作。它取出所收到的来自互联网的某个数据包的源地址,查看在路由器的路由表中是否存在一个路由可以应答此数据包。如果路由表中没有路由来作为返回给源IP地址的数据包的应答,那么就是有人发送了欺骗性数据包,路由器就丢弃这个数据包。

  下面展示怎样在路由器中配置反向地址转发:


  Router(config)# ip cef
  Router(config)# int serial0/0
  Router(config-if)# ip verify unicast reverse-path

  通过以上的三种方法来保护私有网络免受攻击者的侵害。谢谢阅读,希望能帮到大家,请继续关注61阅读,我们会努力分享更多优秀的文章。

二 : 遭遇Arp欺骗数据包攻击怎么办?最近不断地掉线,用了很多软件,在

遭遇Arp欺骗数据包攻击怎么办?

最近不断地掉线,用了很多,在安全模式下,也查不出病毒或木马的存在。后来安了风云防火墙,终于发现,防火墙时常报告:拦截Arp欺骗攻击数据包,这时,ping 网关,就会报告 request timed out,出现掉线无法连接互联网现象。
在网上查了半天,按建议,打了所谓的防ARP补丁,开机运行 arp -s绑定网关与MAC值,甚至装了个ARP保护神软件……全都无济于事。
总之,就是防火墙不断拦截ARP欺骗攻击数据包,而我可怜的电脑,就不停地断线。ARP保护神居然还报告说安全。不停地用Arp -d清理,然后网又连通了……
看下网页倒没什么。断了又连上了。可是我玩网络游戏,真的要吐血啊,十几分钟就掉线一次……
报告了网络服务中心,技术人员说网里有机子中了毒,可是他们查不到源头……
请问有无高手指点下?该怎么办啊?前天在家,机子重启了50遍了!!!!


老兄,你和我一样,我也是这样的,我不能给出什么绝招,但是至少我是比较有效,先在DOS模式下打arp -a查看网关的mac地址,注意在遭受到攻击时使用,网关的mac地址显示的是攻击者的地址或者是没用地址,知道真正的mac的后,用arp -s绑定,再建立一个txt文件,把里面写入arp -s的完整命令,再保存,把他的后缀改成bat,拖到开始-》程序-》启动里,会是一个快捷方式,其作用是每次开机都让他自动绑定mac地址,看看是不是真的绑定了,其实这样还是会掉线,你再去下一个“ 网络执法官 ”,对他进行管理,然后他就和你一样不断掉线,最后他就和你一样把机子关了,你就不会在受到攻击了。如果有不懂之处,发消息给我。

三 : LINUX 遭到SYN FLOOD攻击 LINUX下SYN攻防战

LINUX下SYN攻防战如下     

(一)SYN攻击原理

SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费服务器CPU和内存资源。SYN攻击聊了能影响主机外,还可以危害路由器,防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施.我们知道,在网络中两台电脑建立TCP连接 时需要进行三次握手过程,客户端首先向服务器发关TCP SYN数据包,接着服务器会向客户端发关相应的SYN ACK数据包,最后客户端会以ACK进行响应.从而建立正常的握手过程。在具体的连接细节中,服务器最早接受到SYN包时,在TCP协议栈中会将相应的半连接记录添加到队列中,之后等待接受下面准备握手的数据包,如果握手成功,那么这个半连接记录将从队列中删除.或者当服务器未收到客户端的确认包时,会重发请求包,一直到超时才将此条目从未连接队列删除。但是在服务器中的TCP协议栈中存储的半连接记录是有限的,当服务器受到SYN型的DOS攻击后,队 列会很快处于充满状态,客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送SYN包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢严重者引起网络堵塞甚至系统瘫痪,服务器随后就不再接受新的网络连接,从而造成正常的客户端无法访问服务器的情况发生。

(二)实战SYN攻击过程

SYN攻击实现起来非常的简单,互联网上有大量面成的SYN攻击工具可以直接利用.假设在Linux服务器中安装了Web服务,在 Linux的命令提示符中执行"service httpd start"命令,即可开启Web服务,接着执行"netstat -ant | grep 80"命令,可以看到80端口已经处于打开状态了.在网络的其它机器上利用SYN攻击软件(例如"synkill"等)对Linux服务器的80端口进行 DOS攻击,之后在Linux服务器中执行命令"netstat -ant | grep 80",可以看到大量的网络连接信息,包括连接的类型,原地址,目标直地址,连接状态等,当然,因为SYN工具通常会伪告客户端地址,因此在连接列表中是 找不到真实地址的.在连接状态中显示"SYN_RECV",表示当前处于半连接状态.我们可以每隔几秒钟运行命令"netstat -n -p TCP | grep SYN_RECV |grep 80 | wc -l",来检查某个端口(这里为80)的未连接队列的条目数,当发现该条目数增大到某个极大值,并处于平衡状态时,那么就很有可能是Linux的TCP协 议栈中的队列满了,此时用户就无法建立新的连接了。

 (三)如可在Linux中防御SYN型DOS攻击

在Linux中防御SYN型DOS攻击的方法比较常见的有增大队列SYN最大半连接数,减小超时值,利用SYN cookie技术,过滤可疑的IP地址等常用方法,下面分别进行分析。

(四)增大队列SYN最大半连接数

在Linux中执行命令"sysctl -a|grep net.ipv4.tcp_max_syn_backlog",在返回的"net.ipv4.tcp_max_syn_backlog=256"中显示 Linux队列的最大半连接容量是256.这个默认值对于Web服务器来说是远远不够的,一次简单的SYN攻击就足以将其完全占用.因此,防御DOS攻击 最简单的办法就是增大这个默认值,在Linux中执行命令"sysctl -w et.ipv4.tcp_max_syn_backlog=3000",这样就可以将队列SYN最大半连接数容量值改为3000了。  

(五)减小超时值

在Linux中建立TCP连接时,在客户端和服务器之间创建握手过程中,当服务器未收到客户端的确认包时,会重发请求包,一直到超时才将此条目从未连接队 列是删除,也就是说半连接存在一定的存活时间,超过这个时间,半连接就会自动断开,在上述SYN攻击测试中,当经过较长的的时间后,就会发现一些半连接已经自动断开了。半连接存活时间实际上是系统所有重传次数等待的超时时间之和,这个值越大半连接数占用的Backlog队列的时间就越长,系统能处理的 SYN请求就越少,因此,缩短超时时间就可以有效防御SYN攻击,这可以通过缩小重传超时时间和减少重传次数来实现.在Linux中默认的重传次数为5 次,总超时时间为3分钟,在Linux中执行命令"sysctl -w net.ipv4.tcp_synack_retries=1",将超时重传次数设置为。     

(六)利用SYN cookie来防御DOS攻击

除了在TCP协议栈中开辟一个内存空间来存储半连接数之外,为避免因为SYN请求数量太多,导致该队列被填满的情况下,Linux服务器仍然可以处理新的SYN连接,可以利用SYN Cookie技术来处理SYN连接。什么是SYN Cookie呢?SYN Cookie是用一个Cookie来响应TCP SYN请求的,在正常的TCP连接过程中,当服务器接收一个SYN数据包,就会返回一个SYN -ACK包来应答,然后进入TCP -SYN -RECV(半开放连接)状态来等待最后返回的ACK包。服务器用一个数据空间来描述所有未决的连接,然而这个数据空间的大小是有限的,所以攻击者将塞满 这个空间,在TCP SYN COOKIE的执行过程中,当服务器收到一个SYN包的时候,他返回一个SYN -ACK包,这个数据包的ACK序列号是经过加密的,它由TCP连接的源地址和端口号,目标地址和端口号,以及一个加密种子经过HASH计算得出的,然后 服务器释放所有的状态.如果一个ACK包从客户端返回后,服务器重新计算COOKIE来判断它是不是上个SYN -ACK的返回包.如果是的话,服务器就可以直接进入TCP连接状态并打开连接.这样服务器就可以避免守候半开放连接了,在Linux中执行命令"echo "echo "1" > / proc/sys/net/ipv4/tcp_syncookies"> > /etc/rc_local",这样即可启动SYN Cookie,并将其添加到了Linux的启动文件,这样即使系统重启也不影响SYN Cookie的激活状态。

(七)过滤可疑的IP直址

当客户机对服务器进行攻击时,在服务器上可以进行抓包操作,这样可以对数据包中的IP进行检测,然后再对这些可疑的潮行过滤,从而将其无法正常连接服务器。利用Linux自带的"tcpdump"命令可以实现抓包操作,执行命令"tcpdump -c 1000 -l eth 0 -n dst port 80 > test.txt",就可以在当前目录下创建一个。

以上就是本文的全部内容,希望对大家的学习有所帮助。

四 : Sony官方证实SOE也遭攻击 2460万账户遭到非法存取

继 PSN 之后,Sony 在不久前也将Sony Online Entertainment 的相关服务给关闭,因为SOE 也被炸了;而这次的攻击,根据 Sony 官方统计至少有 2,460 组 2,460 万组账户受到影响,里头包括姓名、地址、电话号码、电子邮件、性别、出生年月日、账号、密码(hashed 过后)等相关信息都可能已经被非法存取。

而各位最在意的信用卡资料,听说也被光顾了,不过目前确定受影响的,仅有12,700 笔信用卡资料(主要是卡号被盗走),当中的 4,300 笔为日本当地发卡银行发出,而不幸中的大幸是说,这些信用卡当中,有部分的发卡日期是在 2007 年左右发出,也就是说,当中有部分信用卡可能早就过期,稍微减少了相关的伤害,因此有人认为这部份可能是备份的数据库被攻破所致。

相关文章

索尼1000万张信用卡资料外泄 仅道歉还不够

PS3黑客回应PSN泄密:索尼是在自寻死路

PSN泄密惊动日高官 或损失240亿美元

索尼PSN遭黑客攻击7700万用户资料被盗

索尼在线游戏服务PSN再次被黑 连续瘫痪五天

本文标题:wifi遭到arp欺骗攻击-思科IOS防止遭受IP地址欺骗攻击的三种办法
本文地址: http://www.61k.com/1064962.html

61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1