什麽是ARP和DDOS攻擊?
從影響網絡連接通暢的方式來看,ARP欺騙分為二種,壹種是對路由器ARP表的欺騙;另壹種是對內網PC的網關欺騙。
第壹種ARP欺騙的原理是——截獲網關數據。它通知路由器壹系列錯誤的內網MAC地址,並按照壹定的頻率不斷進行,使真實的地址信息無法通過更新保存在路由器中,結果路由器的所有數據只能發送給錯誤的MAC地址,造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關,讓被它欺騙的PC向假網關發數據,而不是通過正常的路由器途徑上網。在PC看來,就是上不了網了,“網絡掉線了”。
壹般來說,ARP欺騙攻擊的後果非常嚴重,大多數情況下會造成大面積掉線。有些網管員對此不甚了解,出現故障時,認為PC沒有問題,交換機沒掉線的“本事”,電信也不承認寬帶故障。而且如果第壹種ARP欺騙發生時,只要重啟路由器,網絡就能全面恢復,那問題壹定是在路由器了。為此,寬帶路由器背了不少“黑鍋”。
作為網吧路由器的廠家,對防範ARP欺騙不得已做了不少份內、份外的工作。壹、在寬帶路由器中把所有PC的IP-MAC輸入到壹個靜態表中,這叫路由器IP-MAC綁定。二、力勸網管員在內網所有PC上設置網關的靜態ARP信息,這叫PC機IP-MAC綁定。壹般廠家要求兩個工作都要做,稱其為IP-MAC雙向綁定。
顯示和修改“地址解析協議”(ARP) 所使用的到以太網的 IP 或令牌環物理地址翻譯表。該命令只有在安裝了 TCP/IP 協議之後才可用。
arp -a [inet_addr] [-N [if_addr]
arp -d inet_addr [if_addr]
arp -s inet_addr ether_addr [if_addr]
參數
-a
通過詢問 TCP/IP 顯示當前 ARP 項。如果指定了 inet_addr,則只顯示指定計算機的 IP 和物理地址。
-g
與 -a 相同。
inet_addr
以加點的十進制標記指定 IP 地址。
-N
顯示由 if_addr 指定的網絡界面 ARP 項。
if_addr
指定需要修改其地址轉換表接口的 IP 地址(如果有的話)。如果不存在,將使用第壹個可適用的接口。
-d
刪除由 inet_addr 指定的項。
-s
在 ARP 緩存中添加項,將 IP 地址 inet_addr 和物理地址 ether_addr 關聯。物理地址由以連字符分隔的6 個十六進制字節給定。使用帶點的十進制標記指定 IP 地址。項是永久性的,即在超時到期後項自動從緩存刪除。
ether_addr
指定物理地址。ddos: DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務的響應。分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助於客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,對壹個或多個目標發動DoS攻擊,從而成倍地提高拒絕服務攻擊的威力。通常,攻擊者使用壹個偷竊帳號將DDoS主控程序安裝在壹個計算機上,在壹個設定的時間主控程序將與大量代理程序通訊,代理程序已經被安裝在Internet上的許多計算機上。代理程序收到指令時就發動攻擊。利用客戶/服務器技術,主控程序能在幾秒鐘內激活成百上千次代理程序的運行。
DDoS攻擊手段是在傳統的DoS攻擊基礎之上產生的壹類攻擊方式。單壹的DoS攻擊壹般是采用壹對壹方式的,當攻擊目標CPU速度低、內存小或者網絡帶寬小等等各項性能指標不高它的效果是明顯的。隨著計算機與網絡技術的發展,計算機的處理能力迅速增長,內存大大增加,同時也出現了千兆級別的網絡,這使得DoS攻擊的困難程度加大了-目標對惡意攻擊包的"消化能力"加強了不少,例如妳的攻擊軟件每秒鐘可以發送3,000個攻擊包,但我的主機與網絡帶寬每秒鐘可以處理10,000個攻擊包,這樣壹來攻擊就不會產生什麽效果。
這時候分布式的拒絕服務攻擊手段(DDoS)就應運而生了。妳理解了DoS攻擊的話,它的原理就很簡單。如果說計算機與網絡的處理能力加大了10倍,用壹臺攻擊機來攻擊不再能起作用的話,攻擊者使用10臺攻擊機同時攻擊呢?用100臺呢?DDoS就是利用更多的傀儡機來發起進攻,以比從前更大的規模來進攻受害者。
高速廣泛連接的網絡給大家帶來了方便,也為DDoS攻擊創造了極為有利的條件。在低速網絡時代時,黑客占領攻擊用的傀儡機時,總是會優先考慮離目標網絡距離近的機器,因為經過路由器的跳數少,效果好。而現在電信骨幹節點之間的連接都是以G為級別的,大城市之間更可以達到2.5G的連接,這使得攻擊可以從更遠的地方或者其他城市發起,攻擊者的傀儡機位置可以在分布在更大的範圍,選擇起來更靈活了。
攻擊方式
DDoS攻擊通過大量合法的請求占用大量網絡資源,以達到癱瘓網絡的目的。 這種攻擊方式可分為以下幾種:
通過使網絡過載來幹擾甚至阻斷正常的網絡通訊。
通過向服務器提交大量請求,使服務器超負荷。
阻斷某壹用戶訪問服務器
阻斷某服務與特定系統或個人的通訊
SYN flood
SYN flood是壹種黑客通過向服務端發送虛假的包以欺騙服務器的做法。具體說,就是將包中的原IP地址設置為不存在或不合法的值。服務器壹旦接受到該包便會返回接受請求包,但實際上這個包永遠返回不到來源處的計算機。這種做法使服務器必需開啟自己的監聽端口不斷等待,也就浪費了系統各方面的資源。
LAND attack
這種攻擊方式與SYN floods類似,不過在LAND attack攻擊包中的原地址和目標地址都是攻擊對象的IP。這種攻擊會導致被攻擊的機器死循環,最終耗盡資源而死機。
ICMP floods
ICMP floods是通過向未良好設置的路由器發送廣播信息占用系統資源的做法。
Application level floods
與前面敘說的攻擊方式不同,Application level floods主要是針對應用軟件層的,也就是高於OSI的。它同樣是以大量消耗系統資源為目的,通過向IIS這樣的網絡服務程序提出無節制的資源申請來迫害正常的網絡服務