network-E3

网原第三次小实验

郭高旭 2021010803 ggx21@mails.tsinghua.edu.cn

抓包实验 1:

image-20230508182726680

Type字段为11,Code字段为0

抓包实验2

观察ICMPv4请求

image-20230508184458514

Type字段是8,Code是0

观察回显数据包头

image-20230508184710176

Type字段为0,Code字段也为0

观察一对请求和回显

image-20230508185019527

标识符,序号,Data都相等

抓包实验 3: 观察 ARP 分组各式

image-20230508185440661

  1. ARP 协议在以太网帧头中载荷类型的编号是 ?

    image-20230508185700796

    答:0x0806

  2. ARP 分组头中,以太网硬件类型编号和 IP 协议类型编号分别是?

    image-20230508185717796

    答: arp.hw.type(Hardware type):1;protocol type 0x0800

  3. ARP 请求分组中,操作码(Opcode)值是?源 IP 地址及 MAC地址,目的 IP 地址及 MAC 地址是多少?

    image-20230508185831466
    • Opcode是1,

    • 源IP和MAC地址是本机地址

    • 目的IP地址是请求的IP地址;MAC地址是广播地址

  4. ARP 回复分组中,操作码(Opcode)值是?源 IP 地址及 MAC地址,目的 IP 地址及 MAC 地址是多少?

    image-20230508185731913

    答:

    • Opcode是2

    • 源IP和MAC是请求的IP地址和回复的MAC

    • 目的IP和MAC是本机

简述题:

icmpv4的安全隐患

  1. Ping Flood 攻击:黑客可以发送大量的 Ping 请求(ICMP Echo Request),导致被攻击的目标主机网络堵塞,以至于无法正常通信。

  2. Smurf 攻击:黑客可以利用广播地址发送 ICMPv4 Request,让目标网络中的所有主机都回应,导致目标网络瘫痪。

  3. ICMPv4 Redirect 攻击:黑客可以伪造 ICMPv4 Redirect 消息,使目标主机将数据包发送到攻击者的设备上,从而实现中间人攻击。

  4. ICMPv4 Time Exceeded 攻击:黑客可以发送大量 ICMPv4 Time Exceeded 消息,让目标网络的路由器被迫处理大量无用信息而瘫痪。

  5. Ping of Death 攻击:黑客可以向目标主机发送一个特别制作的超大 ICMPv4 报文(超过 65536 字节),导致目标主机崩溃或者重启。

处于上述安全问题,很多系统都默认禁止发送某些icmpv4消息。比如

  1. Cisco 路由器默认情况下会禁止发送 ICMP Redirect 消息,以避免中间人攻击。

  2. Solaris 操作系统默认情况下会禁止发送 ICMPv4 Timestamp 和 ICMPv4 Address Mask 消息。

  3. Windows 防火墙默认情况下会阻止多个 ICMPv4 消息,比如 ICMP Echo Request(ping)、ICMP Timestamp,ICMP Traceroute 等。

ping 局域网内外的主机产生的arp报文有何不同

这是我ping局域网内(连接到我同一个路由器的ipad设备)的arp

image-20230508192914176

ping局域网外的主机不会产生arp报文。arp的作用范围在局域网内。

arp滥用的危害及预防

arp滥用的例子

  1. 网络拥塞:过量的 ARP 请求会增加网络的负载,导致网络拥塞,从而影响网络性能和吞吐量。

  2. ARP 洪泛攻击:攻击者利用大量伪造的 ARP 请求数据包向网络广播,欺骗物理地址表中的信息,从而导致网络拥塞或服务故障,影响网络安全。

  3. ARP 欺骗攻击:攻击者伪造 ARP 请求数据包,使其包含正确的 IP 地址和错误的 MAC 地址。当 ARP 请求被接收并响应时,攻击者就能欺骗网络设备,从而执行中间人攻击,获取敏感信息,甚至劫持通信。

预防

  1. 监控网络流量:使用网络分析工具监测网络流量,识别异常的 ARP 请求和响应,判断是否存在 ARP 洪泛攻击或 ARP 欺骗攻击。

  2. 过滤不必要的广播:在网络设备上设置合理的 ACL(访问控制列表),过滤不必要的广播。例如,可以限制 ARP 请求的范围,只允许目标设备响应有效的 ARP 请求。

  3. 配置静态 ARP 表项:在网络设备上配置静态 ARP 表项,避免频繁地进行 ARP 请求,降低网络负载和运行的安全风险。

  4. 使用防火墙:在网络的边界处使用防火墙,限制不必要的 ARP 请求和回应,防止 ARP 洪泛攻击和 ARP 欺骗攻击。

  5. 更新网络设备和操作系统:最新版本的网络设备和操作系统中会修复已知的安全漏洞,更新这些设备和系统可以降低不必要的攻击和风险。




本文总阅读量