源路由基本概念
源路由是一种基于源地址进行路由选择的策略,可以实现根据多个不同子网或内网地址,有选择性地将数据包发往不同目的地址的功能。例如有某路由器连接有两个内网和两个外网
接口A:192.168.1.0/24 和接口B:192.168.2.0/24,接口C:10.10.10.10/30,接口D:20.20.20.20/30
要求网络A的请求访问发往网络C,而网络B的请求访问发往网络D,可以这样的设置源路由:
SourceIP/NetMask GateWay Interface
192.168.1.0/24 10.10.10.09 接口C
192.168.2.0/24 20.20.20.19 接口D
源路由(source route)
先从源路由如何向连接在外地链路上的移动节点发送数据包开始。 I P版本4在I P报头中定义了一个可选项:Loose Source and Record Route Option。这个可选项列出了一个或多个中间目的地址,要求数据包在到达最终的目的地址前必须经过这几个中间地址。
例如,考虑一台源主机要向一台目的主机发送数据包,但它还想让数据包经过从源到目的地的路径上的一台特定路由器,这台源主机将“下一个中间目的”地址,即那台路由器的地址,放在目的 I P地址域中,而将目的主机的 I P地址放在 Loose Source and Record Route Op t i o n中,这时,数据包将按网络前缀路由被送到目的 I P地址域中标示的那台路由器上。
当那台路由器接收到数据包后,它检查可选项,发现自己只是一个中间目的地,于是,将Loose Source and Record Route Option 中所指示的地址取出, 也就是将目的主机的地址取出,然后将数据包送给去往目的主机的下一跳地址。在转发该数据包前,路由器将自己的 I P地址记录在Loose Source and Record Route Option中,实际上记录的是它将数据包转发出去的那个端口的I P地址。
源路由攻击和地址欺骗 源地址欺骗(Source Address Spoofing)、IP欺骗(IP Spoofing)其基本原理:是利用IP地址并不是出厂的时候与MAC固定在一起的,攻击者通过自封包和修改网络节点的IP地址,冒充某个可信节点的IP地址,进行攻击。
1. 瘫痪真正拥有IP的可信主机,伪装可信主机攻击服务器;
2. 中间人攻击;
(2) 源路由选择欺骗(Source Routing Spoofing)。原理:利用IP数据包中的一个选项-IP Source Routing来指定路由,利用可信用户对服务器进行攻击,特别是基于UDP协议的由于其是面向非连接的,更容易被利用来攻击;
(3) 路由选择信息协议攻击(RIP Attacks)。原理:攻击者在网上发布假的路由信息,再通过ICMP重定向来欺骗服务器路由器和主机,将正常的路由器标志为失效,从而达到攻击的目的。
(4) TCP序列号欺骗和攻击(TCP Sequence Number Spoofing and Attack),基本有三种:
1. 伪造TCP序列号,构造一个伪装的TCP封包,对网络上可信主机进行攻击;
2. SYN攻击(SYN Attack)。这类攻击手法花样很多,蔚为大观。但是其原理基本一致,让TCP协议无法完成三次握手协议;
3. Teardrop攻击(Teardrop Attack)和Land攻击(Land Attack)。原理:利用系统接收IP数据包,对数据包长度和偏移不严格的漏洞进行的。
ip地址欺骗 这是一种黑客的攻击形式,黑客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。防火墙可以识别这种ip欺骗。
IP地址欺骗是指行动产生的IP数据包伪造的源IP地址,以便冒充其他系统或保护发件人的身分。 欺骗也可以是指伪造或使用伪造的标题就以电子邮件或网络新闻-再次-保护发件人的身分和误导接收器或网络,以原产地和有效性发送数据。
基本的IP地址欺骗
Internet协议或IP是根本议定书发送/接收数据通过计算机网络和互联网。 与网际网路通讯协定,每包发送或接收包含有关的资料的运作,例如来源地和目的地的数据包。 与IP地址欺骗,信息放置在源字段是不实际的来源,该数据包。 通过使用不同的地址在源领域的数据包,实际发件人可以使像包,被送往由另一台计算机上,从而反应目标计算机将被发送到假地址中指定的数据包-除非攻击者要重定向的反应,他自己的电脑。
影响IP地址欺骗
IP地址欺骗是非常有益的,特别是在案件拒绝服务( DoS )攻击,如大量的信息被发送到目标计算机或系统没有肇事者关心的反应,目标系统。 这种类型的攻击,特别是有效的,因为攻击数据包,似乎即将从不同的来源,因此,肇事者是难以追查。
黑客使用的IP地址欺骗,经常利用随机选择的IP地址从整个频谱的IP地址空间的同时,一些更先进的黑客仅使用未经注册的部分IP地址范围。 IP地址欺骗,但是,是不那么有效,比使用僵尸网络为DoS攻击,因为它可以被监控互联网当局利用散射技术可以判断DoS攻击的基础上,有多少无效的IP地址使用的攻击。 不过,它仍然是一个可行的替×××法,为黑客的攻击。
IP地址欺骗,也是一个非常有用的工具,在网络的渗透和克服网络安全保密措施。 发生这种情况时, IP地址spoofers使用受信任的IP地址,内部网络,从而规避需要提供一个使用者名称或密码登录到该系统。 这类攻击通常是基于一组特定的主机控制(如rhosts )是不安全的配置。
IP地址欺骗的防御
侵入过滤或包过滤传入的交通,从体制外的使用技术是一种有效方式,防IP地址欺骗,因为这种技术可以判断如果数据包是来自内部或外部的制度。 因此,出口过滤也可以阻止假冒IP地址的数据包从退出制度和发动攻击,对其他网络。
上层协议,如TCP连接或传输控制协议,其中序列号码是用来建立了一个安全的连接与其他系统也是一个有效的方法,防IP地址欺骗。
关闭源路由(松散和严格的)对您的网络路由器也可协助防止黑客利用欺骗的许多功能。 源路由是一个技术的广泛使用,在过去,以防止一个单一的网络故障造成的重大网络故障,但目前的路由协议互联网上的今天使得这一切,但不必要的。
当数据包到达目的主机时,目的主机检查可选项,发现自己就是包的最终目的地,因此目的主机将数据包送交 I P协议域所指示的高层协议处理。 I P报头中定义的这个可选项还要求。当目的主机对源主机进行回答时,也要在它的数据包中包含 Loose Source and Record Route O p t i o n。当然,目的主机应包含的是“反向”的源路由。在这个例子中,目的主机在向原来的源主机发送数据包时,会在Loose Source and Record Route Option 中包含作为中间目的地的那台路由器的地址。