㈠ 路由器日誌總提示「檢測到帶選項的IP報文攻擊」
教你個土辦法,雖然費時間,但是必定管用
用點時間,在斷網後電腦重啟的情況下,把內網每台電腦指定固定IP,把IP和mac記下來,一些2級路由器的IP和mac也記下來,這樣可以確定在哪個范圍
這個應該會把?
然後就查找攻擊源了,在受到攻擊的或者掉線的時候,用路由器收集電腦的IP和mac ,然後和你記下來的一一比對,不相符的那個就是偽造的IP攻擊源,然後把那個電腦系統從頭到尾清除掉。
如果是連wifi的由器是攻擊源,那就用那個路由作為收集IP和mac,用上面的方法。
㈡ 交換機遭遇DDoS攻擊該如何來解決
一旦病毒感染全場機器,輕則斷網殺毒,投入大量人力物力反復檢查;重則系統破壞,網吧被迫停業。網吧業主對病毒可謂談之色變,有過網吧或機房管理經驗朋友肯定知道,機器中的病毒是很讓人頭疼的事情,尤其是內網伺服器DDoS攻擊和交換機的DDoS攻擊,直接影響網吧網路的安全問題,本文分享解決這個問題的方法。
1、在PC上安裝過濾軟體
它與ARP防禦軟體類似,通過監控網卡中所有的報文,並將其與軟體自身設定的內容進行比對。受限於軟體自身的處理能力,該類型的軟體一般僅過濾TCP協議,而對網吧中大量游戲、視頻應用使用的UDP、ICMP、ARP等報文不做過濾。
2、關鍵設備前加設防火牆
關鍵設備前加設防火牆,過濾內網PC向關鍵設備發起的DDoS攻擊,該方法在每個核心網路設備如核心交換機、路由器、伺服器前安裝一台硬體防火牆,防護的整體成本過高,使得該方案無法對網吧眾多關鍵設備進行全面的防護,目前2-3萬元左右的防火牆整體通過能力與防護能力在60M左右。
3、通過安全交換機過濾網路中所有的DDoS攻擊
通過交換機內置硬體DDoS防禦模塊,每個埠對收到的DDoS攻擊報文,進行基於硬體的過濾。
㈢ 公司網從路由器接到交換機,然後到辦公室接無線路由器為什麼會出現ARP攻擊
別接無線路由器的LAN 試試,換路由器的WAN介面。可能是因為無線路由器發廣播包導致
㈣ 公司60台電腦,一個路由兩個交換機,路由器系統日誌上IP報文攻擊從早到晚
一、查下有沒機子中毒,如果沒中毒,說明有hei客攻擊,這時就要報a警處理。
二、如上。
㈤ hup的工作原理 交換機的工作原理 路由器的工作原理 防火牆的定義和主要功能是什麼
集線器
集線器(HUB)是區域網LAN中重要的部件之一,它是網路連線的連接點。其基本的工作原理是使用廣播技術,也就是HUB從任一個埠收到一個信息包後,它都將此信息包廣播發送到其它的所有埠,而HUB並不記憶該信息包是由哪一個MAC地址掛在哪一個端 口。接在HUB埠上的網卡NIC根據該信息包所要求執行的功能執行相應動作,這是由網路層之上控制的。上面所說的廣播技術是指HUB將該信息包發以廣播發送的形式發送到其它所有埠,並不是將該包改變為廣播數據包。
集線器的工作原理很類似於現實中投遞員的工作,投遞員只是根據信封上的地址傳遞信件,並不理會信的內容以及收信人是否回信,也不管是否收信人由於某種原因而沒有回信,而導致發信人著急。唯一不同的就是投遞員在找不到該地址時會將信退回,而 HUB不管退信,僅僅負責轉發而已。
交換機
交換機能夠檢查每一個收到的數據包,並且對該數據包進行相應的動作處理。在交換機內保存著每一個網段上所有節點的物理地址,它只允許必要的網路流量通過交換機。例如,當交換機接收到一個數據包之後,它需要根據自身以保存的網路地址表來檢驗數據包內所包含的 發送方地址和接收方地址。如果接收方地址位於發送方地址網段,那麼該數據包將會被交換機丟棄,不會通過交換機傳送到其它的網段;如果接收方地址與發送方地址是屬於兩個不同的網段內,那麼該數據包就會被交換機轉發到目標網段。這樣,我們就可以通過交換機的過 濾和轉發功能,來避免網路廣播風暴,減少誤包和錯包的出現。
在實際網路構件的過程中,是選擇使用交換機還是選擇其它的網路部件,主要還是要根據不同部件在網路中的不同作用來決定。在網路中交換機主要具有兩方面的重要作用。第一,交換機可以將原有的網路劃分成多個子網路,能夠做到擴展網路有效傳輸距離,並支持更多的 網路節點。第二,使用交換機來劃分網路還可以有效隔離網路流量,減少網路中的沖突,緩解網路擁擠情況。但是,在使用交換機進行處理數據包的時候,不可避免的會帶來處理延遲時間,所以如果在不必要的情況下盲目使用交換機就可能會在實際上降低整個網路的性能。
路由器工作原理
傳統地,路由器工作於OSI七層協議中的第三層,其主要任務是接收來自一個網路介面的數據包,根據其中所含的目的地址,決定轉發到下一個目的地址。因此,路由器首先得在轉發路由表中查找它的目的地址,若找到了目的地址,就在數據包的幀格前添加下一個MAC地址,同時IP數據包頭的TTL(Time To Live)域也開始減數,並重新計算校驗和。當數據包被送到輸出埠時,它需要按順序等待,以便被傳送到輸出鏈路上。
路由器在工作時能夠按照某種路由通信協議查找設備中的路由表。如果到某一特定節點有一條以上的路徑,則基本預先確定的路由准則是選擇最優(或最經濟)的傳輸路徑。由於各種網路段和其相互連接情況可能會因環境變化而變化,因此路由情況的信息一般也按所使用的路由信息協議的規定而定時更新。
網路中,每個路由器的基本功能都是按照一定的規則來動態地更新它所保持的路由表,以便保持路由信息的有效性。為了便於在網路間傳送報文,路由器總是先按照預定的規則把較大的數據分解成適當大小的數據包,再將這些數據包分別通過相同或不同路徑發送出去。當這些數據包按先後秩序到達目的地後,再把分解的數據包按照一定順序包裝成原有的報文形式。路由器的分層定址功能是路由器的重要功能之一,該功能可以幫助具有很多節點站的網路來存儲定址信息,同時還能在網路間截獲發送到遠地網段的報文,起轉發作用;選擇最合理的路由,引導通信也是路由器基本功能;多協議路由器還可以連接使用不同通信協議的網路段,成為不同通信協議網路段之間的通信平台。
一般來說,路由器的主要工作是對數據包進行存儲轉發,具體過程如下:
第一步:當數據包到達路由器,根據網路物理介面的類型,路由器調用相應的鏈路層功能模塊,以解釋處理此數據包的鏈路層協議報頭。這一步處理比較簡單,主要是對數據的完整性進行驗證,如CRC校驗、幀長度檢查等。
第二步:在鏈路層完成對數據幀的完整性驗證後,路由器開始處理此數據幀的IP層。這一過程是路由器功能的核心。根據數據幀中IP包頭的目的IP地址,路由器在路由表中查找下一跳的IP地址;同時,IP數據包頭的TTL(Time To Live)域開始減數,並重新計算校驗和(Checksum)。
第三步:根據路由表中所查到的下一跳IP地址,將IP數據包送往相應的輸出鏈路層,被封裝上相應的鏈路層包頭,最後經輸出網路物理介面發送出去。
簡單地說,路由器的主要工作就是為經過路由器的每個數據包尋找一條最佳傳輸路徑,並將該數據包有效地傳送到目的站點。由此可見,選擇最佳路徑策略或叫選擇最佳路由演算法是路由器的關鍵所在。為了完成這項工作,在路由器中保存著各種傳輸路徑的相關數據——路由表(Routing Table),供路由選擇時使用。上述過程描述了路由器的主要而且關鍵的工作過程,但沒有說明其它附加性能,例如訪問控制、網路地址轉換、排隊優先順序等。
防火牆
防火牆的概念
當然,既然打算由淺入深的來了解,就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中,利用防火牆把乘客和引擎隔開,以便汽車引擎一旦著火,防火牆不但能保護乘客安全,而同時還能讓司機繼續控制引擎。再電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網路中,所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
防火牆的功能
防火牆是網路安全的屏障:
一個防火牆(作為阻塞點、控制點)能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。
防火牆可以強化網路安全策略:
通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網路訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。
對網路存取和訪問進行監控審計:
如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網路使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。另外,收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。
防止內部信息的外泄:
通過利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者,隱私是內部網路非常關心的問題,一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息,這樣一台主機的域名和IP地址就不會被外界所了解。
除了安全作用,防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN(虛擬專用網)。
● 方式:
◇ 包過濾:防火牆檢查數據包中記錄的源地址、目的地址與相應埠號來判斷該包是否被允許通過
◇ 狀態檢測:通過生成相應的狀態表,並對該連接的後續數據包,只要符合狀態表即可通過
● 種類:
◇ 軟體級防火牆
◇ 硬體級防火牆
◇ 晶元級防火牆
㈥ 常見的網路攻擊方法和防禦技術
網路攻擊類型
偵查攻擊:
搜集網路存在的弱點,以進一步攻擊網路。分為掃描攻擊和網路監聽。
掃描攻擊:埠掃描,主機掃描,漏洞掃描。
網路監聽:主要指只通過軟體將使用者計算機網卡的模式置為混雜模式,從而查看通過此網路的重要明文信息。
埠掃描:
根據 TCP 協議規范,當一台計算機收到一個TCP 連接建立請求報文(TCP SYN) 的時候,做這樣的處理:
1、如果請求的TCP埠是開放的,則回應一個TCP ACK 報文, 並建立TCP連接控制結構(TCB);
2、如果請求的TCP埠沒有開放,則回應一個TCP RST(TCP頭部中的RST標志設為1)報文,告訴發起計算機,該埠沒有開放。
相應地,如果IP協議棧收到一個UDP報文,做如下處理:
1、如果該報文的目標埠開放,則把該UDP 報文送上層協議(UDP ) 處理, 不回應任何報文(上層協議根據處理結果而回應的報文例外);
2、如果該報文的目標埠沒有開放,則向發起者回應一個ICMP 不可達報文,告訴發起者計算機該UDP報文的埠不可達。
利用這個原理,攻擊者計算機便可以通過發送合適的報文,判斷目標計算機哪些TC 或UDP埠是開放的。
過程如下:
1、發出埠號從0開始依次遞增的TCP SYN或UDP報文(埠號是一個16比特的數字,這樣最大為65535,數量很有限);
2、如果收到了針對這個TCP 報文的RST 報文,或針對這個UDP 報文 的 ICMP 不可達報文,則說明這個埠沒有開放;
3、相反,如果收到了針對這個TCP SYN報文的ACK報文,或者沒有接收到任何針對該UDP報文的ICMP報文,則說明該TCP埠是開放的,UDP埠可能開放(因為有的實現中可能不回應ICMP不可達報文,即使該UDP 埠沒有開放) 。
這樣繼續下去,便可以很容易的判斷出目標計算機開放了哪些TCP或UDP埠,然後針對埠的具體數字,進行下一步攻擊,這就是所謂的埠掃描攻擊。
主機掃描即利用ICMP原理搜索網路上存活的主機。
網路踩點(Footprinting)
攻擊者事先匯集目標的信息,通常採用whois、Finger等工具和DNS、LDAP等協議獲取目標的一些信息,如域名、IP地址、網路拓撲結構、相關的用戶信息等,這往往是黑客入侵之前所做的第一步工作。
掃描攻擊
掃描攻擊包括地址掃描和埠掃描等,通常採用ping命令和各種埠掃描工具,可以獲得目標計算機的一些有用信息,例如機器上打開了哪些埠,這樣就知道開設了哪些服務,從而為進一步的入侵打下基礎。
協議指紋
黑客對目標主機發出探測包,由於不同操作系統廠商的IP協議棧實現之間存在許多細微的差別(也就是說各個廠家在編寫自己的TCP/IP 協議棧時,通常對特定的RFC指南做出不同的解釋),因此各個操作系統都有其獨特的響應方法,黑客經常能確定出目標主機所運行的操作系統。
常常被利用的一些協議棧指紋包括:TTL值、TCP窗口大小、DF 標志、TOS、IP碎片處理、 ICMP處理、TCP選項處理等。
信息流監視
這是一個在共享型區域網環境中最常採用的方法。
由於在共享介質的網路上數據包會經過每個網路節點, 網卡在一般情況下只會接受發往本機地址或本機所在廣播(或多播)地址的數據包,但如果將網卡設置為混雜模式(Promiscuous),網卡就會接受所有經過的數據包。
基於這樣的原理,黑客使用一個叫sniffer的嗅探器裝置,可以是軟體,也可以是硬體)就可以對網路的信息流進行監視,從而獲得他們感興趣的內容,例如口令以及其他秘密的信息。
訪問攻擊
密碼攻擊:密碼暴力猜測,特洛伊木馬程序,數據包嗅探等方式。中間人攻擊:截獲數據,竊聽數據內容,引入新的信息到會話,會話劫持(session hijacking)利用TCP協議本身的不足,在合法的通信連接建立後攻擊者可以通過阻塞或摧毀通信的一方來接管已經過認證建立起來的連接,從而假冒被接管方與對方通信。
拒絕服務攻擊
偽裝大量合理的服務請求來佔用過多的服務資源,從而使合法用戶無法得到服務響應。
要避免系統遭受DoS 攻擊,從前兩點來看,網路管理員要積極謹慎地維護整個系統,確保無安全隱患和漏洞;
而針對第四點第五點的惡意攻擊方式則需要安裝防火牆等安 全設備過濾DoS攻擊,同時強烈建議網路管理員定期查看安全設備的日誌,及時發現對系統存在安全威脅的行為。
常見拒絕服務攻擊行為特徵與防禦方法
拒絕服務攻擊是最常見的一類網路攻擊類型。
在這一攻擊原理下,它又派生了許多種不同的攻擊方式。
正確了解這些不同的拒絕攻擊方式,就可以為正確、系統地為自己所在企業部署完善的安全防護系統。
入侵檢測的最基本手段是採用模式匹配的方法來發現入侵攻擊行為。
要有效的進行反攻擊,首先必須了解入侵的原理和工作機理,只有這樣才能做到知己知彼,從而有效的防止入侵攻擊行為的發生。
下面我們針對幾種典型的拒絕服務攻擊原理進行簡要分析,並提出相應的對策。
死亡之Ping( Ping of death)攻擊
由於在早期的階段,路由器對包的最大大小是有限制的,許多操作系統TCP/IP棧規定ICMP包的大小限制在64KB 以內。
在對ICMP數據包的標題頭進行讀取之後,是根據該標題頭里包含的信息來為有效載荷生成緩沖區。
當大小超過64KB的ICMP包,就會出現內存分配錯誤,導致TCP/IP堆棧崩潰,從而使接受方計算機宕機。
這就是這種「死亡之Ping」攻擊的原理所在。
根據這一攻擊原理,黑客們只需不斷地通過Ping命令向攻擊目標發送超過64KB的數據包,就可使目標計算機的TCP/IP堆棧崩潰,致使接受方宕機。
防禦方法:
現在所有的標准TCP/IP協議都已具有對付超過64KB大小數據包的處理能力,並且大多數防火牆能夠通過對數據包中的信息和時間間隔分析,自動過濾這些攻擊。
Windows 98 、Windows NT 4.0(SP3之後)、Windows 2000/XP/Server 2003 、Linux 、Solaris和Mac OS等系統都已具有抵抗一般「Ping of death 」拒絕服務攻擊的能力。
此外,對防火牆進行配置,阻斷ICMP 以及任何未知協議數據包,都可以防止此類攻擊發生。
淚滴( teardrop)攻擊
對於一些大的IP數據包,往往需要對其進行拆分傳送,這是為了迎合鏈路層的MTU(最大傳輸單元)的要求。
比如,一個6000 位元組的IP包,在MTU為2000的鏈路上傳輸的時候,就需要分成三個IP包。
在IP 報頭中有一個偏移欄位和一個拆分標志(MF)。
如果MF標志設置為1,則表面這個IP包是一個大IP包的片斷,其中偏移欄位指出了這個片斷在整個 IP包中的位置。
例如,對一個6000位元組的IP包進行拆分(MTU為2000),則三個片斷中偏移欄位的值依次為:0,2000,4000。
這樣接收端在全部接收完IP數據包後,就可以根據這些信息重新組裝沒正確的值,這樣接收端在收後這些分拆的數據包後就不能按數據包中的偏移欄位值正確重合這些拆分的數據包,但接收端會不斷償試,這樣就可能致使目標計算朵操作系統因資源耗盡而崩潰。
淚滴攻擊利用修改在TCP/IP 堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。
IP分段含有指示該分段所包含的是原包的哪一段的信息,某些操作系統(如SP4 以前的 Windows NT 4.0 )的TCP/IP 在收到含有重疊偏移的偽造分段時將崩潰,不過新的操作系統已基本上能自己抵禦這種攻擊了。
防禦方法:
盡可能採用最新的操作系統,或者在防火牆上設置分段重組功能,由防火牆先接收到同一原包中的所有拆分數據包,然後完成重組工作,而不是直接轉發。
因為防火牆上可以設置當出現重疊欄位時所採取的規則。
TCP SYN 洪水(TCP SYN Flood)攻擊
TCP/IP棧只能等待有限數量ACK(應答)消息,因為每台計算機用於創建TCP/IP連接的內存緩沖區都是非常有限的。
如果這一緩沖區充滿了等待響應的初始信息,則該計算機就會對接下來的連接停止響應,直到緩沖區里的連接超時。
TCP SYN 洪水攻擊正是利用了這一系統漏洞來實施攻擊的。
攻擊者利用偽造的IP地址向目標發出多個連接(SYN)請求。
目標系統在接收到請求後發送確認信息,並等待回答。
由於黑客們發送請示的IP地址是偽造的,所以確認信息也不會到達任何計算機,當然也就不會有任何計算機為此確認信息作出應答了。
而在沒有接收到應答之前,目標計算機系統是不會主動放棄的,繼續會在緩沖區中保持相應連接信息,一直等待。
當達到一定數量的等待連接後,緩區部內存資源耗盡,從而開始拒絕接收任何其他連接請求,當然也包括本來屬於正常應用的請求,這就是黑客們的最終目的。
防禦方法:
在防火牆上過濾來自同一主機的後續連接。
不過「SYN洪水攻擊」還是非常令人擔憂的,由於此類攻擊並不尋求響應,所以無法從一個簡單高容量的傳輸中鑒別出來。
防火牆的具體抵禦TCP SYN 洪水攻擊的方法在防火牆的使用手冊中有詳細介紹。
Land 攻擊
這類攻擊中的數據包源地址和目標地址是相同的,當操作系統接收到這類數據包時,不知道該如何處理,或者循環發送和接收該數據包,以此來消耗大量的系統資源,從而有可能造成系統崩潰或死機等現象。
防禦方法:
這類攻擊的檢測方法相對來說比較容易,因為它可以直接從判斷網路數據包的源地址和目標地址是否相同得出是否屬於攻擊行為。
反攻擊的方法當然是適當地配置防火牆設備或包過濾路由器的包過濾規則。
並對這種攻擊進行審計,記錄事件發生的時間,源主機和目標主機的MAC地址和IP地址,從而可以有效地分析並跟蹤攻擊者的來源。
Smurf 攻擊
這是一種由有趣的卡通人物而得名的拒絕服務攻擊。
Smurf攻擊利用多數路由器中具有同時向許多計算機廣播請求的功能。
攻擊者偽造一個合法的IP地址,然後由網路上所有的路由器廣播要求向受攻擊計算機地址做出回答的請求。
由於這些數據包表面上看是來自已知地址的合法請求,因此網路中的所有系統向這個地址做出回答,最終結果可導致該網路的所有主機都對此ICMP應答請求作出答復,導致網路阻塞,這也就達到了黑客們追求的目的了。
這種Smurf攻擊比起前面介紹的「Ping of Death 」洪水的流量高出一至兩個數量級,更容易攻擊成功。
還有些新型的Smurf攻擊,將源地址改為第三方的受害者(不再採用偽裝的IP地址),最終導致第三方雪崩。
防禦方法:
關閉外部路由器或防火牆的廣播地址特性,並在防火牆上設置規則,丟棄掉ICMP協議類型數據包。
Fraggle 攻擊
Fraggle 攻擊只是對Smurf 攻擊作了簡單的修改,使用的是UDP協議應答消息,而不再是ICMP協議了(因為黑客們清楚 UDP 協議更加不易被用戶全部禁止)。
同時Fraggle攻擊使用了特定的埠(通常為7號埠,但也有許多使用其他埠實施 Fraggle 攻擊的),攻擊與Smurf 攻擊基本類似,不再贅述。
防禦方法:
關閉外部路由器或防火牆的廣播地址特性。在防火牆上過濾掉UDP報文,或者屏蔽掉一些常被黑客們用來進Fraggle攻擊的埠。
電子郵件炸彈
電子郵件炸彈是最古老的匿名攻擊之一,通過設置一台計算機不斷地向同一地址發送大量電子郵件來達到攻擊目的,此類攻擊能夠耗盡郵件接受者網路的帶寬資源。
防禦方法:
對郵件地址進行過濾規則配置,自動刪除來自同一主機的過量或重復的消息。
虛擬終端(VTY)耗盡攻擊
這是一種針對網路設備的攻擊,比如路由器,交換機等。
這些網路設備為了便於遠程管理,一般設置了一些TELNET用戶界面,即用戶可以通過TELNET到該設備上,對這些設備進行管理。
一般情況下,這些設備的TELNET用戶界面個數是有限制的。比如,5個或10個等。
這樣,如果一個攻擊者同時同一台網路設備建立了5個或10個TELNET連接。
這些設備的遠程管理界面便被占盡,這樣合法用戶如果再對這些設備進行遠程管理,則會因為TELNET連接資源被佔用而失敗。
ICMP洪水
正常情況下,為了對網路進行診斷,一些診斷程序,比如PING等,會發出ICMP響應請求報文(ICMP ECHO),接收計算機接收到ICMP ECHO 後,會回應一個ICMP ECHO Reply 報文。
而這個過程是需要CPU 處理的,有的情況下還可能消耗掉大量的資源。
比如處理分片的時候。這樣如果攻擊者向目標計算機發送大量的ICMP ECHO報文(產生ICMP洪水),則目標計算機會忙於處理這些ECHO 報文,而無法繼續處理其它的網路數據報文,這也是一種拒絕服務攻擊(DOS)。
WinNuke 攻擊
NetBIOS 作為一種基本的網路資源訪問介面,廣泛的應用於文件共享,列印共享, 進程間通信( IPC),以及不同操作系統之間的數據交換。
一般情況下,NetBIOS 是運行在 LLC2 鏈路協議之上的,是一種基於組播的網路訪問介面。
為了在TCP/IP協議棧上實現NetBIOS ,RFC規定了一系列交互標准,以及幾個常用的 TCP/UDP 埠:
139:NetBIOS 會話服務的TCP 埠;
137:NetBIOS 名字服務的UDP 埠;
136:NetBIOS 數據報服務的UDP 埠。
WINDOWS操作系統的早期版本(WIN95/98/NT )的網路服務(文件共享等)都是建立在NetBIOS之上的。
因此,這些操作系統都開放了139埠(最新版本的WINDOWS 2000/XP/2003 等,為了兼容,也實現了NetBIOS over TCP/IP功能,開放了139埠)。
WinNuke 攻擊就是利用了WINDOWS操作系統的一個漏洞,向這個139埠發送一些攜帶TCP帶外(OOB)數據報文。
但這些攻擊報文與正常攜帶OOB數據報文不同的是,其指針欄位與數據的實際位置不符,即存在重合,這樣WINDOWS操作系統在處理這些數據的時候,就會崩潰。
分片 IP 報文攻擊
為了傳送一個大的IP報文,IP協議棧需要根據鏈路介面的MTU對該IP報文進行分片,通過填充適當的IP頭中的分片指示欄位,接收計算機可以很容易的把這些IP 分片報文組裝起來。
目標計算機在處理這些分片報文的時候,會把先到的分片報文緩存起來,然後一直等待後續的分片報文。
這個過程會消耗掉一部分內存,以及一些IP協議棧的數據結構。
如果攻擊者給目標計算機只發送一片分片報文,而不發送所有的分片報文,這樣攻擊者計算機便會一直等待(直到一個內部計時器到時)。
如果攻擊者發送了大量的分片報文,就會消耗掉目標計 算機的資源,而導致不能相應正常的IP報文,這也是一種DOS攻擊。
T
分段攻擊。利用了重裝配錯誤,通過將各個分段重疊來使目標系統崩潰或掛起。
歡迎關注的我的頭條號,私信交流,學習更多的網路技術!
㈦ 交換機的DDoS攻擊怎麼解決
為網吧業主對病毒可謂談之色變,有過網吧或機房管理經驗朋友肯定知道,機器中的病毒是很讓人頭疼的事情,尤其是內網伺服器DDoS攻擊和交換機的DDoS攻擊,直接影響網吧網路的安全問題,分享解決這個問題的方法。 1,在PC上安裝過濾軟體 它與ARP防禦軟體類似,通過監控網卡中所有的報文,並將其與軟體自身設定的內容進行比對。受限於軟體自身的處理能力,該類型的軟體一般僅過濾TCP協議,而對網吧中大量游戲、視頻應用使用的UDP、ICMP、ARP等報文不做過濾。 2,關鍵設備前加設防火牆 關鍵設備前加設防火牆,過濾內網PC向關鍵設備發起的DDoS攻擊,該方法在每個核心網路設備如核心交換機、路由器、伺服器前安裝一台硬體防火牆,防護的整體成本過高,使得該方案無法對網吧眾多關鍵設備進行全面的防護,目前2-3萬元左右的防火牆整體通過能力與防護能力在60M左右。 3,通過安全交換機過濾網路中所有的DDoS攻擊 通過交換機內置硬體DDoS防禦模塊,每個埠對收到的DDoS攻擊報文,進行基於硬體的過濾。同時交換機在開啟DDoS攻擊防禦的同時,啟用自身協議保護,保證自身的CPU不被DDoS報文影響。 一個區域網內有一台機子中了病毒,如果不及時殺毒和隔離,其他的機子很快便會感染病毒。一旦病毒感染全場機器,輕則斷網殺毒,投入大量人力物力反復檢查;重則系統破壞,網吧被迫停業。希望對你們有幫助。
㈧ 什麼是路由器,什麼是交換機,二者有什麼區別
什麼是路由器
路由器是一種連接多個網路或網段的網路設備,它能將不同網路或網段之間的數據信息進行「翻譯」,以使它們能夠相互「讀」懂對方的數據,從而構成一個更大的網路。
路由器有兩大典型功能,即數據通道功能和控制功能。數據通道功能包括轉發決定、背板轉發以及輸出鏈路調度等,一般由特定的硬體來完成;控制功能一般用軟體來實現,包括與相鄰路由器之間的信息交換、系統配置、系統管理等。
多少年來,路由器的發展有起有伏。90年代中期,傳統路由器成為制約網際網路發展的瓶頸。ATM交換機取而代之,成為IP骨幹網的核心,路由器變成了配角。進入90年代末期,Internet規模進一步擴大,流量每半年翻一番,ATM網又成為瓶頸,路由器東山再起,Gbps路由交換機在1997年面世後,人們又開始以Gbps路由交換機取代ATM交換機,架構以路由器為核心的骨幹網。
2》路由器的原理與作用
路由器是一種典型的網路層設備。它是兩個區域網之間接幀傳輸數據,在OSI/RM之中被稱之為中介系統,完成網路層中繼或第三層中繼的任務。路由器負責在兩個區域網的網路層間接幀傳輸數據,轉發幀時需要改變幀中的地址。
一、原理與作用
路由器(Router)是用於連接多個邏輯上分開的網路,所謂邏輯網路是代表一個單獨的網路或者一個子網。當數據從一個子網傳輸到另一個子網時,可通過路由器來完成。因此,路由器具有判斷網路地址和選擇路徑的功能,它能在多網路互聯環境中,建立靈活的連接,可用完全不同的數據分組和介質訪問方法連接各種子網,路由器只接受源 站或其他路由器的信息,屬網路層的一種互聯設備。它不關心各子網使用的硬體設備,但要求運行與網路層協議相一致的軟體。路由器分本地路由器和遠程路由器,本地路由器是用來連接網路傳輸介質的,如光纖、同軸電纜、雙絞線;遠程路由器是用來連接遠程傳輸介質,並要求相應的設備,如電話線要配數據機,無線要通過無線接收機、發射機。
一般說來,異種網路互聯與多個子網互聯都應採用路由器來完成。
路由器的主要工作就是為經過路由器的每個數據幀尋找一條最佳傳輸路徑,並將該數據有效地傳送到目的站點。由此可見,選擇最佳路徑的策略即路由演算法是路由器的關鍵所在。為了完成這項工作,在路由器中保存著各種傳輸路徑的相關數據——路徑表(Routing Table),供路由選擇;時使用。路徑表中保存著子網的標志信息、網上路由器的個數和下一個路由器的名字等內容。路徑表可以是由系統管理員固定設置好的,也可以由系統動態修改,可以由路由器自動調整,也可以由主機控制。
1.靜態路徑表
由系統管理員事先設置好固定的路徑表稱之為靜態(static)路徑表,一般是在系統安裝時就根據網路的配置情況預先設定的,它不會隨未來網路結構的改變而改變。
2.動態路徑表
動態(Dynamic)路徑表是路由器根據網路系統的運行情況而自動調整的路徑表。路由器根據路由選擇協議(Routing Protocol)提供的功能,自動學習和記憶網路運行情況,在需要時自動計算數據傳輸的最佳路徑。
二、路由器的優缺點
1.優點
適用於大規模的網路;
復雜的網路拓撲結構,負載共享和最優路徑;
能更好地處理多媒體;
安全性高;
隔離不需要的通信量;
節省區域網的頻寬;
減少主機負擔。
2.缺點
它不支持非路由協議;
安裝復雜;
價格高。
三、路由器的功能
(1)在網路間截獲發送到遠地網段的報文,起轉發的作用。
(2)選擇最合理的路由,引導通信。為了實現這一功能,路由器要按照某種路由通信協議,查找路由表,路由表中列出整個互聯網路中包含的各個節點,以及節點間的路徑情況和與它們相聯系的傳輸費用。如果到特定的節點有一條以上路徑,則基於預先確定的准則選擇最優(最經濟)的路徑。由於各種網路段和其相互連接情況可能發生變化,因此路由情況的信息需要及時更新,這是由所使用的路由信息協議規定的定時更新或者按變化情況更新來完成。網路中的每個路由器按照這一規則動態地更新它所保持的路由表,以便保持有效的路由信息。
(3)路由器在轉發報文的過程中,為了便於在網路間傳送報文,按照預定的規則把大的數據包分解成適當大小的數據包,到達目的地後再把分解的數據包包裝成原有形式。
(4)多協議的路由器可以連接使用不同通信協議的網路段,作為不同通信協議網路段通信連接的平台。
(5)路由器的主要任務是把通信引導到目的地網路,然後到達特定的節點站地址。後一個功能是通過網路地址分解完成的。例如,把網路地址部分的分配指定成網路、子網和區域的一組節點,其餘的用來指明子網中的特別站。分層定址允許路由器對有很多個節點站的網路存儲定址信息。
在廣域網范圍內的路由器按其轉發報文的性能可以分為兩種類型,即中間節點路由器和邊界路由器。盡管在不斷改進的各種路由協議中,對這兩類路由器所使用的名稱可能有很大的差別,但所發揮的作用卻是一樣的。
中間節點路由器在網路中傳輸時,提供報文的存儲和轉發。同時根據當前的路由表所保持的路由信息情況,選擇最好的路徑傳送報文。由多個互連的LAN組成的公司或企業網路一側和外界廣域網相連接的路由器,就是這個企業網路的邊界路由器。它從外部廣域網收集向本企業網路定址的信息,轉發到企業網路中有關的網路段;另一方面集中企業網路中各個LAN段向外部廣域網發送的報文,對相關的報文確定最好的傳輸路徑。
交換機(Switch)也叫交換式集線器,是一種工作在OSI第二層(數據鏈路層,參見「廣域網」定義)上的、基於MAC (網卡的介質訪問控制地址)識別、能完成封裝轉發數據包功能的網路設備。它通過對信息進行重新生成,並經過內部處理後轉發至指定埠,具備自動定址能力和交換作用。交換機不懂得IP地址,但它可以「學習」MAC地址,並把其存放在內部地址表中,通過在數據幀的始發者和目標接收者之間建立臨時的交換路徑,使數據幀直接由源地址到達目的地址。交換機上的所有埠均有獨享的信道帶寬,以保證每個埠上數據的快速有效傳輸。由於交換機根據所傳遞信息包的目的地址,將每一信息包獨立地從源埠送至目的埠,而不會向所有埠發送,避免了和其它埠發生沖突,因此,交換機可以同時互不影響的傳送這些信息包,並防止傳輸沖突,提高了網路的實際吞吐量。