Tcp/ip协议-Ip-网络协议分析
摘要
本文对热备份路由协议(HSRP)进行了详细说明。此协议的目的在于使主机看上去只使用了一个路由器,并且即使在它当前所使用的首跳路由器失败的情况下仍能够保持路由的连通性。此协议中所涉及到的多路由器都映射为一个虚拟的路由器。本协议保证同时有且只有一个路由器在代表虚拟路由器进行包的发送。而终端则是把数据包发向该虚拟路由器。 这个转发包的路由器被成为活路由器。如果这个活路由器在某个时候由于某种原因而无法工作的话,则那个备份的路由器将被选择来代替原来的活路由器。本协议为活路由器和备份路由器的定义提供了一种机制。在协议所设计到的路由器上使用IP地址,如果这个活路由器失效的话则那个备份路由器马上代替活路由器工作而不会在对主机的连通性上产生大的中断,另外本文还对ARP,MAC地址,以及相关的安全问题进行了讨论。
点击下载:[PDF]RFC2281 中文版
摘要
此文档提供了一种用来网络层分组转发的新型方法的纵览,此方法被称为标签交换。本文档 将描述标签交换体系结构的两个主要组成部分:转发和控制组件。当现有的网络层路由协议加入绑定和发布用来控制的标签机制时,用简单的标志交换(label-swapping)技术可以 完成转发。标签交换能保留IP的分级特性,并且也有助于改进IP网络的可升级性。当标签交换不依靠ATM时,它就可以直接应用于ATM交换。本文档将描述一定范围内的标签交 换应用以及特定应用场景
点击下载:[PDF]RFC 2105 中文版
摘要
边界网关协议[1]是为TCP/IP互联网设计的自治系统间路由协议。 本文档描述了BGP的一个扩展,可以传送更多的信息到临近和远端的BGP对端。 提议本技术的目的是辅助策略管理并减少维护互联网的管理复杂度。
点击下载:[PDF]RFC 1997 中文版
摘要
本文档描述了拥有IP骨干网的服务提供商SP为其客户提供VPN服务的一种方法。在骨干网中,使用MPLS(多协议标签交换)进行包转发,BPG(边界网关协议)进行路由信息分发。这个方法主要目地是为企业网络提供IP骨干网服务的外包。这种方法不仅对企业而言很简单,对SP而言也有较好的可扩展性和灵活性,还可以提供增值服务。同时,这种方法还可以建立一个为客户提供IP服务的VPN。
点击下载:[PDF]RFC 2547 中文版
本文定义了BGP(边界网关协议)的新功能——“路由刷新功能“。它允许路由刷新请求在BGP扬声器和相应的广告资源信息输出模块的后继重新广告(re-advertisment)之间进行动态交换。该功能的一种应用是使无拆分的路由策略的更改更加容易。
点击下载:[PDF]RFC 2918 中文版
本文描述了一种在使用实时传输协议(RTP版本2)时对冗余音频数据进行编码的负载格式。在此提出这套机制的主要目的是为了开发针对包易丢失网络(如Internet MBone)的音频会议工具。尽管如此,该机制并不局限于此类应用。
点击下载:[PDF]RFC 2198 中文版
前面两篇文章叙述了ARP欺骗攻击的原理和最有效的防御措施!这篇文章,我们从Sniffer的角度,进行客观的分析!还是老规矩,实例在文章的结尾处下载(用“科来”打开,实例来自csna)!请看下面两张图:
图1
图2
Toad先不告诉大家,这两张图中,什么地方的数据是很敏感的!请,读者朋友仔细观察,以找到答案!
waiting。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
哈哈,找到了吗?
如果,未找到,请接着往下看。编号为1 的包,是一个ARP请求。在这个ARP请求中,源IP和目标IP都是:192.168.1.254。为什么会这样呢?请大家回忆“什么是ARP攻击”这篇文章中所讲的内容,对,这个包就是Toad说过的“1)、第一个ARP请求包用于查询同网段内是否有跟自己IP相同的主机”,以后讲“ARP免费”机制时再详加讨论。这个包对于我们抓到凶手,有一定的参考价值,因为这个包是由ARP协议自动产生,并非用户行为。那么 ,这里的源MAC和源IP就绝对是真实的,下文,就不用Toad多说了吧!但是,“ARP免费”机制是否只在系统引导时触发,Toad不敢肯定,没做过这种实验,没有实践经验的问题,Toad向来不喜欢下定论!如果,“ARP免费”机制只在主机引导时产生,那么这个包,就很难抓到了!攻击者,不会攻击一会儿,就重启吧!哈哈,万一真被抓到了,那就要恭喜你了,可以省不少力气!
我们再看编号为2的包,这里的源MAC已经发生变化了,但,源IP依然是:192.168.1.254。说明,ARP欺骗已经开始!(看到这里,也说明,这个实例,只是这个实例作者自己搞的一个测试而已,并非真正的ARP欺骗行为!)“目的MAC”已经变为单播,目的IP已经是被害者的IP。
ARP欺骗攻击实例:点击下载
文章来源于>>TCP/IP协议分析博客 转载请注明:Toad的博客
本文档描述了一种可在IP数据报中封装另一个IP数据包(作为净负载)的方法.封装通过把路由信息送往某个中间目的地(不是由原IP头部的IP Destination Address域)把正常的IP路由变为数据报。封装可用于多方面,例如使用移动IP把数据报传送到某个移动节点.
点击下载:[PDF]RFC 2003 中文版
我们接着讨论。回到上一讲提出的问题:“这种欺骗会导致什么样的后果呢?”
由于,受害主机的MAC缓冲池被恶意修改,网关的MAC被修改为了攻击者的MAC。当受害主机向Internet发送数据时,这些数据会被导向攻击主机,而不是网关(具体原理,在分析ARP协议时,会详加解释,这里大家只要记住会造成这种后果就行了)!这种后果是非常是严重,轻则上不了Internet,重则用户数据被盗(例如:游戏、WEB、e_mail帐号等等)。例如:HTTP数据,一般情况下HTTP数据是未加密的,HTTPS用的比例相对较少。攻击主机收到这些HTTP包后,会反解到应用层读出封装在HTTP协议中的用户数据,到了这一步,会发生什么,就不用Toad多说了!有段时间,大量用户的传奇帐号被盗,就是这种方式!
预防ARP欺骗攻击的最好形式,还是“IP—MAC”的静态绑定!再次重申:主机、交换机、网关都要做相应的静态绑定处理!因为这三者都有自己的MAC缓冲池,攻击者改其中一个的MAC缓冲池,都会导致一系列故障!
文章来源于>>TCP/IP协议分析博客 转载请注明:Toad的博客
ARP欺骗攻击,是非常常见的一种ARP攻击。如果把ARP广播攻击归类于莽夫型攻击,那么,ARP欺骗攻击,就是智者型攻击!
攻击者,一般会伪造ARP回应包(注意,这里是ARP回应包,不再是ARP请求包)。伪造一些什么样的信息呢?首先,大家要弄明白,攻击要对受害者进行什么样的欺骗。一般情况下,攻击主机想修改被害主机MAC缓冲池中的网关IP所对应的MAC!这种欺骗会导致什么样的结果呢?请看下图:
这是,我们目前最常用的一种网络拓扑图。有些企业或者机构,他们使用的不是交换机,而是路由交换机,网关就做在路由交换机上!IDC机房的网络拓扑就更专业了,由多个这种网络单元组成!但,这不影响我们接下来要讨论的东东!不管什么拓扑结构,什么交换设备,都是用的TCP/IP协议(这种说法,只针对于我们讨论的组网技术,当然,还有其他网络协议)。
攻击主机、3台被害主机、交换机和网关它们都有自己的MAC缓冲池!在正常情况下,攻击主机、3台被害主机和交换机的MAC缓冲池中都有一条“网关IP—–网关MAC”的记录!攻击主机的目的就是把3台被害主机和交换机MAC缓冲中这条记录改为“网关IP——攻击主机MAC”!
文章来源于>>TCP/IP协议分析博客 转载请注明:Toad的博客
