IP源欺骗之困惑终结 原创:wildlee
在2010年的时候,那个时候比较喜欢安全,现在也喜欢!看来两句原来我在费话。那个时候听到关于DDOS攻击方面的知识,都提到一种叫源IP欺骗攻击,说明白了就是发送伪装的IP欺骗性攻击报文到攻击目标,另一种DRDOS,源是固定的但是为假,一般这个源是被攻击者,目标是互网中可以进行三次握手的设备。
当时怀着好奇的心理,也想一试身手。做的第一个测试也就是尝试着发送一个源为假的IP报文到公网的另一目标。可以说当我费了不少力气,我找了在企业网络环境的朋友做测试、找了直接拔号上网有着公网IP的朋友做测试、我在NAT环境也做测试,结果是死的很惨,努力了很久一直未果,目标根本收不到我发送的欺骗的IP报文,原因为何?以我当时苦死了很久,也没有得到答案,最终不得不放弃这个技术测试。
源IP欺骗困惑终结
2011年11月9日,在经历了1年后的网络理论跋涉,我鼓起勇气在一次做这个尝试,最终结束了这个梦,我成功了,嘿嘿!这要感谢下我的朋友,是他们提供环境与支持,我才得以实现。我在企业网边缘的路由器上直接建立回环接口,配置虚假IP地址,然后TELNET我主机的地址,我主机地址在NAT之后,但我已在SOHU路由上把我的主机IP映射成了DMZ主机,然后开起WIRESHARK等待欺骗数据到来。看!它来了。
失败是成功之母
这次的成功,我回想了下当年成不功的原因有几个。
第一就是我的主机在NAT之后,欺骗性源IP无法被NAT转换。
第二拔号接入ISP设备做了源防护或其它安全策略。
第三企业内部的防火墙或路由器,有安全策略,拦截了欺骗性的攻击报文。
在此我只是说说相关原理与方法,不是教大家把设备接到没有安全防御的路由器上,开着SYN攻击武器,去揍对方啊!
防御技术
说说现在常用的两种安全防御技术,关于DDOS攻击防就不说了,以前的博文我有提到,就主要说说关于源欺骗的。
技术一:单播逆向路径转发[uRPF],这个技术的核心就是说从某个接口收到需要对外转发的流量时检查其源地址,如果源地址所属网络的下一跳接口等于接收的此分组接口,数据将被成功转发,否则丢掉。此技术可用于网络中的所有路由器,都有很好的效果,不过对路由器来说压力很大,其中的原因我不在多解释。
技术二:就边缘路由器做源ACL过滤,如果你的网络分到了一个公网IP地址段,可以设置只有此公网址段为源的IP分组被转发,其它的丢掉。
攻击源追踪
没有事不要想着攻击人,这种攻击技术,对于找到攻击目标来说是困难了点,不过还是有很多访问,走过的路,总有痕迹可留,是千古不变的理。
相关文章
转载请注明:爱开源 » IP源欺骗之困惑终结