我们不但可以亡羊补牢
更擅长未雨绸缪

关注我们

您的位置: 主页 > 支持与下载 > IT知识库 >
IT知识库

解决网络劫持还可以通过这些方法,超简单!
时间:2018-05-10 作者:xnit 点击:

昨天小诺给亲们分享了网络流量劫持,在文中为亲们提供了几种方法来避免网络被劫持。

 

 

 

下面小诺主要为亲们详细介绍一下网络劫持的原理及对应防御方法。

 

 

1、MAC物理地址欺骗

交换机会绑定 MAC 地址和接口,数据包最终只发往一个终端。因此只要事先配置好 MAC 对应的接口,理论上非常安全了。

 

不过,大多数亲们都不会这样循规蹈矩的进行交换机配置,小诺知道亲们受到了太多世俗的洗刷,以至于心灵上的过于疲惫,想要静下心来放松灵魂和肉体(其实就是懒Y(^_^)Y从而直接使用了设备默认的模式 —— 自动学习,设备根据某个接口发出的包,自动关联该包的源地址到此接口。

 

然而这种学习方式并不智能,甚至太过于死板哦,大坏蛋发送一个自定义源 MAC 地址的包是非常容易的,因此交换机就成了一个非常容易被忽悠的对象(抛去一切防护伪装赤果果的任大坏蛋宰割)只要伪造一个源地址,就能将这个地址关联到大坏蛋的接口上,从而获得亲们(小羊羔)的流量哦。

 

 

2、MAC冲刷

由于交换机的硬件配置有限,显然不可能无限多的记录地址对应条目。当大坏蛋不停地伪造不重复的源地址,交换机里的记录表很快就会填满,甚至覆盖原有的学习记录,亲们的数据包无法正常转发,然后就广播到了所有的接口上哦。

 

防范措施:当然还是配置好MAC对应的接口,一旦配置好后,该接口只允许固定的源地址,伪造的自然就失效了哦。

 

(随着信息科学技术的不断发展进步,目前好一点的交换机都被厂商配置好策略了,不会让一个接口关联过多的MAC地址,小诺亲们还是多花点银子买好的产品最省心了哦)

 

 

 

 

3、ARP攻击

ARP攻击是很多人常常谈论的劫持方法了。

简单的说,ARP攻击就是广播查询某个 IP 对应的 MAC 地址,然后这个 IP 回复一下。

 

然后知道这个 IP 对应的 MAC 地址,就可以链路通信了。

(因为链路层只能通过MAC地址通信)

 

但要是大坏蛋抢在使用这个IP的亲们回复之前,发送一些伪造的答案先入为主,然后IP就会被解析到大坏蛋伪造的错误的地址上,然后,亲们的网络就被劫持了。

 

防范措施:防火墙(亲们一定要配置好开启哦)

 

 

 

 

 

4、DHCP钓鱼

DHCP(Dynamic Host Configuration Protocol),动态主机配置协议,是一个应用层协议。当我们将客户主机 IP 地址设置为动态获取方式时,DHCP服务器就会根据DHCP协议给客户端分配IP,使得客户机能够利用这个IP上网。

 

然后漏洞就暴漏出来啦,小诺知道亲们受到了太多世俗的洗刷,以至于心灵上的过于疲惫,想要静下心来放松灵魂和肉体(其实就是懒Y(^_^)Y然后就设置为自动从DHCP获取IP地址和DNS等等啦,接着就会发送广播到255.255.255.255上,使得亲们的电脑IP地址暂时为0.0.0.0然后因为发送之前的广播,内网所有的用户都会听到,这时如果存在多个DHCP服务器,亲们的亲亲宝贝电脑则会选择最先回复给自己的。

 

然后在这个DHCP回复的阶段里,倘若大坏蛋使用自己的DHCP服务器给亲们发送了回复包,而亲们第一时间接收到了,那么网络配置会是大坏蛋所配置好的,于是网络就被劫持了。(没错,不要怀疑,就是这么简单)

 

 

防范措施:手动配置网络。另外小诺建议亲们严格控制DHCP回复权限,做到只能是特定的接口才能发送回复包。(具体方法小诺会逐一为亲们介绍,首要还是手动配置网络)

 

 

 

 

以上是几种网络被劫持的方法,属于非常常见的网络劫持,当然方法很久远导致众所周知。另外各种设备厂商也在逐步优化设备,亲们多加注意即可。欢迎亲们和小诺讨论并拍砖,一个成功的理论是在不断地错误中积累起来的。

 

 

下期小诺为亲们详细介绍更现代一点的网络劫持和防范措施。