1.arp
攻擊介紹
1.1 arp
協議arp(位址解析協議)位於資料鏈路層,主要負責將某個
ip位址解析成對應的
mac位址。
1.2 arp
原理當區域網中的某台機器
a要向機器
b傳送報文,會查詢本地的
arp快取表,找到b的
ip位址對應的
mac位址後,就會進行資料傳輸。如果未找到,則
a廣播乙個
arp請求報文(攜帶機器a的
ip位址
,實體地址),請求b的
ip位址回答對應的
mac位址。區域網所有機器包括
b都收到
arp請求,但只有機器
b識別自己的
ip位址,於是向
a主機發回乙個
arp響應報文。其中就包含有b的
mac位址,
a接收到
b的應答後,就會更新本地的
arp快取,接著使用這個
mac位址傳送資料。
1.3 arp
欺騙在每台主機中,都存有一張
arp快取表。當計算機接收到
arp應答的時候,就會對本地的
arp快取表進行更新。
因此,當區域網中的某台機器c向
a傳送乙個自己偽造的
arp應答,而如果這個應答是c冒充
b偽造的,即
ip位址為b的
ip,而
mac位址是偽造的,當
a接收到
c偽造的
arp應答後,就會更新本地的
arp快取,這樣在a看來
b的ip位址沒有變,而它的
mac位址已經不是原來的
mac。
如圖1.1
所示,裝置
a的本地
arp快取中b的
mac位址為
2-2-2
,裝置b
的本地arp
快取中a
的mac
位址為1-1-1
,正常通訊。
圖1.1 a,b
裝置間正常通訊
如圖1.2
所示,發生
arp欺騙後,裝置
a的本地
arp快取中b的
mac位址為
3-3-3
,裝置b
的本地arp
快取中a
的mac
位址為3-3-3
。裝置c
(攻擊源)通過構造假的
arp應答報文和**資料,能夠在不影響裝置
a和裝置
b正常通訊的情況下實現資訊擷取。
圖1.2
產生arp
欺騙後a,b
裝置通訊
1.4 arp
泛洪在每台主機中,都存有一張
arp快取表。
arp快取表的大小是固定的。
因此,當區域網中的某台機器
c短時間內向
a傳送大量偽造的源
ip位址變化的
arp報文,造成機器a的
arp快取表資源耗盡,合法使用者的
arp報文不能生成有效的
arp表項,導致正常的通訊中斷。
另外,通過向機器
a傳送大量的
arp報文,會導致
cpu負荷過重,影響正常的任務處理。
2.arp
攻擊解決思路
arp攻擊不僅會對機器效能造成影響,還可能造成資訊被黑客擷取。
sylixos
能夠防禦上述
arp攻擊行為,為使用者提供更安全的網路環境和更穩定的網路服務。
2.1 arp
泛洪解決思路
針對arp
泛洪攻擊,原理是短時間內大量的
arp報文會耗盡
arp快取表,還會導致
cpu負荷過重。
解決思路是對
arp報文進行限速處理,避免
cpu資源浪費在處理
arp報文上,保證裝置的其他任務能正常執行。對
arp快取表進行擴充,減小單條表項生存時間,保證
arp快取表不會被耗盡。
2.2 arp
欺騙解決思路
針對arp
欺騙攻擊,原理是通過不斷向目標裝置傳送
arp應答報文,從而實現重定向從乙個裝置到另乙個裝置的資料報的目的。
解決思路是在協議棧新增詢問機制,當
arp快取表中已存在的
ip位址對應的
mac位址發生變化時,會重新傳送
arp詢問報文。對
ip位址相同,
mac位址不同的
arp應答報文,設定限流,超過後採用預設的
ip-mac
位址對映(裝置第一次記錄的
ip對應的
mac位址)。
2.3
設計方案
由於對arp
攻擊的優化並不是必要的,防止
cpu不必要的資源消耗,方案設計中採用模組動態載入的方式進行。
設定hook
函式,直到
arp模組載入成功後才允許進入。
配置arp
快取表大小,減小
arp快取表中每一項的生存時間。
配置arp
限速功能,允許每秒最多處理
a(可以配置)個
arp報文,超過限制後開啟白名單模式,只允許已經在
arp快取表內的
mac位址對應的
arp報文通過。
對mac
位址相同,
ip位址不同的
arp攻擊,每秒最多允許
b(可以配置)個該
mac位址的
arp報文通過。對ip
位址相同,
mac位址不同的
arp攻擊,每秒最多允許
c(可以配置)個該
ip位址的
arp應答報文通過,超過後採用預設的
ip-mac
位址對映(裝置第一次記錄的
ip對應的
mac位址)。
物聯網安全測試對於DDOS攻擊防護解決辦法
ddos分布式拒絕服務攻擊,已經變得越來越常見,越來越強大,很多攻擊者都在使用物聯網裝置,來建立更多的連線和頻寬,以及5g網路跟雲應用的發展,隨著暗網和加密貨幣的出現和匿名性,越來越多的人從暗網中發動ddos攻擊。通過國外的報告顯示,他們發現大多數網路犯罪的攻擊者都不是技術天才。他們中的許多人提供所...
Could not launch app 解決辦法
xcode 的bug 解決方法一 targets general signing 下重新勾選automatically manage signing 解決方法二 1 拔掉裝置,刪除之前build的內容 2 退出xcode,不是關閉視窗 3,刪除下面目錄下的資料夾 users library deve...
解決linux ARP攻擊
一 知識背景 1.什麼是arp arp,即位址解析協議,實現通過ip位址得知其實體地址。在tcp ip網路環境下,每個主機都分配了乙個32位的ip位址,這種網際網路位址是在網際範 圍標識主機的一種邏輯位址。為了讓報文在物理網路上傳送,必須知道對方目的主機的實體地址。這樣就存在把ip位址變換成實體地址...