常见网络攻击及防御

ARP攻击

  • 前提是需要熟悉网卡的工作模式,网卡的工作模式分为单播、广播、组播等,arp协议发送请求是广播模式,回复是单播模式。
  • 概念:通过ip地址查找目标机器mac地址,源机器通过广播方式发送请求包(包里包含目标ip),目标机器确认是自己的ip后回复包,不是自己的丢弃。
  • arp协议字段解读:
Hardware type :硬件类型,标识链路层协议   
        Protocol type: 协议类型,标识网络层协议  
        Hardware size :硬件地址大小,标识MAC地址长度,这里是6个字节(48bti)  
        Protocol size: 协议地址大小,标识IP地址长度,这里是4个字节(32bit)  
        Opcode: 操作代码,标识ARP数据包类型,1表示请求,2表示回应  
        Sender MAC address :发送者MAC  
        Sender IP address :发送者IP  
        Target MAC address :目标MAC,此处全0表示在请求  
        Target IP address: 目标IP
  • 攻击原理

    • 被动监听
      ARP欺骗攻击建立在局域网主机间相互信任的基础上的

      当A发广播询问:我想知道IP是192.168.0.3的硬件地址是多少?

      此时B当然会回话:我是IP192.168.0.3我的硬件地址是mac-b,

      可是此时IP地址是192.168.0.4的C也非法回了:我是IP192.168.0.3,我的硬件地址是mac-c。而且是大量的。

      所以ARP缓存表“后到优先”原则,A就会误信192.168.0.3的硬件地址是mac-c,而且动态更新缓存表

      这样主机C就劫持了主机A发送给主机B的数据,这就是ARP欺骗的过程。

      假如C直接冒充网关,此时主机C会不停的发送ARP欺骗广播,大声说:我的IP是192.168.0.1,我的硬件地址是mac-c,

      此时局域网内所有主机都被欺骗,更改自己的缓存表,此时C将会监听到整个局域网发送给互联网的数据报。
      常见网络攻击及防御

    • 主动扫描
    • 解决方案
      对于 ARP 欺骗攻击,利用接入层交换机上已经记录了 Snooping 表项或(和)静态绑定了合法用户的信息进行报文合法性判断。当交换机端口上收到 ARP 报文,将报文中的 IP 和 MAC 地址提取出来,然后与上述表项进行对比,若 IP、MAC 以及收到报文的端口信息在表项中,则认为是合法报文,正常处理,否则认为是非法报文予以丢弃。

参考

[网络通信协议](https://www.cnblogs.com/hanqing/p/5719948.html)  
[一个动画看懂网络原理之CSMA/CD的工作原理](http://www.wonggang.com/8126.html)  
[[图解]ARP协议(一)](https://www.cnblogs.com/csguo/p/7527303.html)  
[图解ARP协议(二)ARP攻击原理与实践](https://www.cnblogs.com/csguo/p/7527073.html)

cookie劫持

ICMP数据包攻击

ip地址欺骗和Smurf攻击

dos攻击

目录遍历攻击

协议指纹识别操作系统

死亡之ping (Ping of death)

泪滴 (teardrop)攻击

OS 命令注入

OS 命令注入

参考文献:

  • web攻击方法及防御总结
  • 常见网络攻击

相关推荐