路由欺骗.docx

路由欺骗是如何实现,技术上如何应付?
TCP/TP网络中,IP数据包的传输路径完全由路由表决定。若攻击者通过各种手段改变路由表,使目标主机发送的IP包到达攻击者能控制的主机或路由器,就可以完成嗅探监听,篡改等攻击方式。

RIP协议用于自治系统内传播路由信息。路由器在收到RIP数据报时一般不作检查。攻击者可以声称他所控制的路由器A可以最快的到达某一站点B,从而诱使发往B的数据包由A中转。由于A受攻击者控制,攻击者可侦听、篡改数据。
RIP路由欺骗的防范措施主要有:
。
,杜绝假冒路由器。
。
IP报文首部的可选项中有“源站选路”,可以指定到达目的站点的路由。正常情况下,目的主机如果有应答或其他信息返回源站,就可以直接将该路由反向运用作为应答的回复路径。
主机A()是主机B()的被信任主机,主机X想冒充主机A从主机B获得某些服务。首先,攻击者修改距离X最近的路由器G2,;然后,攻击者X利用IP欺骗()向主机B发送带有源路由选项(指定最近的G2)的数据包。当B回送数据包时,按收到数据包的源路由选项反转使用源路由,传送到被更改过的路由器G2。由于G2路由表已被修改,收到B的数据包时,G2根据路由表把数据包发送到X所在的网络,X可在其局域网内较方便地进行侦听,收取此数据包。
防范IP源路由欺骗的好方法主要有:
,使它抛弃那些由外部网进来的、声称是内部主机的报文;
。
,子网掩码,求网络地址。
例主机IP地址: 子网掩码:。求网络地址
将IP地址换成二进制为10101011,00010000,00100010,011000100.
子网掩码换成二进制为11111111,,00000000
将两个二进制进行按位“与'运算得
换成十进制网络地址为:
tc的用途,写下设置规则的过程。
下载限制单个IP(eth0内网卡)
tc qdisc add dev eth0 root handle 1: htb r2q 1
tc class add dev eth0 parent 1: classid 1:1 htb rate 300kbit burst 10k
tc filter add dev eth0 parent 1: protocol ip prio 16 u32 match ip dst flowid 1:1


下载整段IP
tc qdisc add dev