網(wǎng)絡(luò)丟包除了硬件造成的環(huán)路？

內(nèi)網(wǎng)有環(huán)路，存在廣播風(fēng)暴其實(shí)不是一種網(wǎng)絡(luò)攻擊，而是網(wǎng)絡(luò)拓?fù)浯嬖谌哂噫溌坊蛘呓粨Q機(jī)配置不合理而產(chǎn)生的一種現(xiàn)象。可以使用Spanning-Tree（生成樹）技術(shù)或者storm-control、華三的loopback-detection等feature來防止

內(nèi)網(wǎng)的網(wǎng)絡(luò)攻擊有很多種，我這里舉幾個(gè)常見的

1.arp

欺騙（中間人攻擊）

內(nèi)網(wǎng)存在第三者（中間人）模擬PC的網(wǎng)關(guān)來轉(zhuǎn)發(fā)數(shù)據(jù)，原理如下：

首先PC1要出internet要把數(shù)據(jù)包發(fā)給網(wǎng)關(guān)就要發(fā)一個(gè)ARP的request，正常情況下是網(wǎng)關(guān)會(huì)回一個(gè)正常的ARP reply給PC1的。而ARP的欺騙在同一局域網(wǎng)內(nèi)欺騙者發(fā)一個(gè)ARP reply給PC1 說自己才是網(wǎng)關(guān)，同時(shí)ARP的欺騙者也模擬自己是PC1發(fā)送ARP request給網(wǎng)關(guān)。所以欺騙者充當(dāng)一個(gè)中間人的角色，這樣PC1發(fā)送所有的數(shù)據(jù)包都會(huì)被欺騙者所監(jiān)聽到。

實(shí)例說明：

我用一臺(tái)家用的無線路由器和兩臺(tái)PC來模擬。

無線路由器：

IP是192.168.3.1

MAC是78:6A:89:3B:1A:F1

PC1：

欺騙者電腦：

PC1正常的情況網(wǎng)關(guān)的ARP應(yīng)該是

192.168.3.1 ---- 78:6A:89:3B:1A:F1 這樣一個(gè)映射才對(duì)

攻擊者使用軟件實(shí)施欺騙：

在攻擊者PC上開啟抓包可以看到192.168.3.4這臺(tái)電腦下在使用QQ郵箱

實(shí)施欺騙后：

ARP欺騙的防范：

1.靜態(tài)綁定ARP

如：

2.交換機(jī)上開啟DHCP snooping 結(jié)合DAI

step1:配置DHCP服務(wù)器ip dhcp pool VLAN10 network 192.168.1.0 255.255.255.0 default-router 192.168.1.254interface vlan 10 ip add 192.168.1.254 255.255.255.0 //自身為服務(wù)器，所以必配step2:啟用DHCP Snooping功能ip dhcp snoopingip dhcp snoop vlan 10int fa0/11 //客戶端口 ip dhcp snooping limit rate 10 //限制客戶每秒發(fā)送的DHCP包為10 個(gè)step3:配置DAI ip arp inspection vlan 10

如果交換機(jī)啟用了DAI，它會(huì)維護(hù)一個(gè)DAI的數(shù)據(jù)表，里面記錄著每臺(tái)終端設(shè)備的MAC+IP+端口號(hào)的信息

即假如DAI的數(shù)據(jù)表記錄著Host1的mac是a.a.a.a 10.1.1.1 fa0/1的信息如果交換機(jī)fa0/1收到一個(gè)ARP的信息說 是 b.b.b.b 10.1.1.3的話就會(huì)把這個(gè)arp包丟棄

3.使用802.1x準(zhǔn)入認(rèn)證

2.mac泛洪攻擊

原理：

交換機(jī)mac表的空間有限，當(dāng)mac表存滿了mac地址的時(shí)候會(huì)報(bào)錯(cuò)，并且進(jìn)入非正常狀態(tài)，在這個(gè)狀態(tài)交換機(jī)工作的時(shí)候會(huì)把接受的信息用廣播的形式發(fā)出去。這樣黑客就可以監(jiān)聽到用戶的數(shù)據(jù)流量。

攻擊者可以使用 kali系統(tǒng)自帶的macof來實(shí)現(xiàn)攻擊

防御手段：限制交換機(jī)接口學(xué)習(xí)MAC地址的數(shù)量

在交換機(jī)上啟用port-security的功能

interface GigabitEthernet1/0/1

switchport port-security maximum 2

switchport port-security

3.DHCP 欺騙攻擊

攻擊者會(huì)模擬成DHCP服務(wù)器分配虛假的IP地址給用戶，非法的DHCP服務(wù)器上寫一些虛假的DNS映射，用戶訪問Internet時(shí)就會(huì)跳到攻擊者預(yù)先設(shè)置好的虛假的網(wǎng)頁(yè)上

防御手段：在交換機(jī)上開啟dhcp snooping功能

ip dhcp snoopingip dhcp snoop vlan 10