岁末年初 网络协议欺骗攻防小结(3)

  • 时间:
  • 浏览:1





作者: 论坛埋点 zdnet网络安全

CNETNews.com.cn

60 8-02-03 11:26:41

关键词: 攻击防范 网络欺骗 网络协议

 三、路由欺骗

    TCP/TP网络中,IP包的传输路径完全由路由表决定。若攻击者通过各种手段改变路由表,使目标主机发送的IP包到达攻击者能控制的主机或路由器,就还需要完成侦听,篡改等攻击法律辦法 。

    1.RIP路由欺骗

    RIP协议用于自治系统内传播路由信息。路由器在收到RIP数据报时一般不作检查。攻击者还需要声称他所控制的路由器A还需要最快的到达某一站点B,从而诱使发往B的数据包由A中转。机会A受攻击者控制,攻击者可侦听、篡改数据。

    RIP路由欺骗的防范法律辦法 主要有:路由器在接受新路由前应先验证其是算是可达。这还需要大大降低受此类攻击的概率。但会 RIP的其他实现不要进行验证,使其他假路由信息有助够广泛流传。机会路由信息在网上可见,随着假路由信息在网上的传播范围扩大,它被发现的机会性也在增大。统统 ,对于系统管理员而言,老会 检查日志文件会有助发现此类问题 。

    2.IP源路由欺骗

    IP报文首部的可选项中有 “源站选路”,还需要指定到达目的站点的路由。正常具体情况下,目的主机机会有应答或其他信息返回源站,就还需要直接将该路由反向运用作为应答的回复路径。

    主机A(假设IP地址是192.168.60 .11)是主机B(假设IP地址为192.168.60 .1)的被信任主机,主机X想冒充主机A从主机B获得其他服务。首先,攻击者修改距离X最近的路由器G2,使用到达此路由器且中有 目的地址192.168.60 .1的数据包以主机X所在的网络为目的地;但会 ,攻击者X利用IP欺骗(把数据包的源地址改为192.168.60 .11)向主机B发送中有 源路由选项(指定最近的G2)的数据包。当B回送数据包时,按收到数据包的源路由选项反转使用源路由,传送到被更改过的路由器G2。机会G2路由表已被修改,收到B的数据包时,G2根据路由表把数据包发送到X所在的网络,X可在其局域网内较方便地进行侦听,收取此数据包。

    防范IP源路由欺骗的好法律辦法 主要有:

    1.配置好路由器,使它遗弃那此由内部网进来的、声称是内部主机的报文;

    2.关闭主机和路由器上的源路由功能。

1