arp請求
pc-a需要其預設閘道器(r1)的mac位址;因此,它將傳送arp請求以獲取192.168.10.1的mac位址。
arp響應
r1用pc-a的ip和mac位址更新其arp快取。r1向pc-a傳送arp答覆,然後pc-a用r1的ip和mac位址更新其arp快取。
欺詐性arp答覆
在圖中,威脅參與者使用其自己的mac位址作為指示的目標ip位址傳送了兩個欺騙性免費arp答覆。pc-a使用其預設閘道器更新其arp快取,該預設閘道器現在指向威脅參與者的主機mac位址。r1還使用pc-a的ip位址(指向威脅參與者的mac位址)更新其arp快取。
威脅參與者的主機正在執行arp中毒攻擊。arp中毒攻擊可以是被動的也可以是主動的。被動arp中毒是威脅參與者竊取機密資訊的地方。主動arp中毒是威脅行為者修改傳輸中的資料或注入惡意資料的地方。
網域名稱服務(dns)協議定義了一種自動服務,該服務將資源名稱(例如www.cisco.com)與所需的數字網路位址(例如ipv4或ipv6位址)進行匹配。它包括查詢,響應和資料的格式,並使用資源記錄(rr)識別dns響應的型別。
保護dns的安全通常被忽略。但是,它對於網路的執行至關重要,應相應地加以保護。
dns攻擊包括以下內容:
dns開放解析器攻擊
許多組織使用諸如googledns(8.8.8.8)之類的公開開放dns伺服器的服務來提供對查詢的響應。這種型別的dns伺服器稱為開放解析器。dns開放解析器會回答來自其管理域之外的客戶端的查詢。dns開放解析器容易受到表中所述的多種惡意活動的攻擊。
dns隱身攻擊
為了隱藏其身份,威脅參與者還使用表中描述的dns隱身技術進行攻擊。
dns域影子攻擊
域遮蔽涉及威脅參與者收集域帳戶憑據,以便靜默建立要在攻擊期間使用的多個子域。這些子域通常指向惡意伺服器,而不會警告父域的實際所有者。
使用dns隧道的威脅參與者將非dns流量放置在dns流量中。當威脅參與者希望與受保護網路內的漫遊器進行通訊,或從組織中竊取資料(例如密碼資料庫)時,此方法通常會繞過安全解決方案。當威脅參與者使用dns隧道時,將更改不同型別的dns記錄。這是dns隧道對傳送到殭屍網路的cnc命令的工作方式:
命令資料被分成多個編碼塊。
每個塊都放置在dns查詢的較低階別的網域名稱標籤中。
因為沒有來自本地或網路dns的查詢響應,所以該請求被傳送到isp的遞迴dns伺服器。
遞迴dns服務會將查詢**到威脅參與者的權威名稱伺服器。
重複該過程,直到傳送包含chunk的所有查詢為止。
當威脅參與者的權威名稱伺服器從受感染的裝置接收dns查詢時,它將為每個dns查詢傳送響應,其中包含封裝的編碼後的cnc命令。
受感染主機上的惡意軟體會重新組合這些塊並執行dns記錄中隱藏的命令。
要停止dns隧道,網路管理員必須使用檢查dns流量的過濾器。請密切注意比平均時間長的dns查詢或具有可疑網域名稱的dns查詢。像cisco opendns這樣的dns解決方案通過識別可疑域來阻止許多dns隧道通訊。
dhcp伺服器動態地向客戶端提供ip配置資訊。該圖顯示了客戶端和伺服器之間dhcp訊息交換的典型順序。
當流氓dhcp伺服器連線到網路並向合法客戶端提供錯誤的ip配置引數時,就會發生dhcp欺騙攻擊。流氓伺服器可能會提供各種誤導性資訊:
假設威脅參與者已成功將惡意dhcp伺服器連線到與目標客戶端位於同一子網上的交換機埠。流氓伺服器的目標是向客戶端提供錯誤的ip配置資訊。
Ddos攻擊方式分類
分布式拒絕服務是 利用分布式的客戶端,向服務端傳送大量看似合法的請求,從而消耗大量資源或者長時間占用資源不釋放。攻擊網路頻寬自願的攻擊方式 1 直接攻擊 1.1 icmp igmp 洪水攻擊 1.2 udp洪水攻擊 2 反射和方法攻擊 2.1 ack反射攻擊 2.2 dns放大攻擊 2.3 ntp放...
堆的攻擊方式
堆溢位是指程式向某個堆塊中寫入的位元組數超過了堆塊本身可使用的位元組數 之所以是可使用而不是使用者申請的位元組數,是因為堆管理器會對使用者所申請的位元組數進行調整,這也導致可利用的位元組數都不小於使用者申請的位元組數 因而導致了資料溢位,並覆蓋到物理相鄰的高位址的下乙個堆塊。calloc mallo...
DNS 攻擊方式及攻擊案例
什麼是dns呢?網路節點能夠被定址訪問的原因,是由於網路節點擁有乙個獨立身份證,這是由網絡卡實體地址 ip位址和網路埠組成的乙個位址體系。對於以tcp ip為基礎協議的internet來說,必須找到訪問物件的ip位址,才能進行訪問,但由於ip位址難於記憶,也不夠靈活,internet規則的制定者發明...