注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

山林客

简单不一定幸福,但幸福其实可以很简单。

 
 
 

日志

 
 
关于我

2004年毕业于中山大学,毕业后专注于网站开发和网络工程技术。先后取得SCWCD、CCNP认证,对Asp/Java有丰富的开发经验,对网络工程也有较深的研究。真诚欢迎大家多多指教、多多指点、多多指正,共同分享IT道路和人生道路上的喜怒哀乐。

网易考拉推荐

DoS Ping攻击  

2009-04-25 22:08:56|  分类: Cisco |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

 

825考试中有一道,给了下面一个图和ACL,然后问你这是用来防范什么攻击?

DoS Ping攻击 - 瑞志.net - 山林客

 

题目的答案是:DoS ping attacks

扩展一下上面的拓扑

DoS Ping攻击 - 瑞志.net - 山林客

 

图中,假设我们在64.2.1.x这个网段上挂了一台攻击用的主机,这台主机的IP地址伪造成10.2.1.1,也就是RTA的Fa0/0端口的IP地址。然后我们ping 10.2.1.255,这是10.2.1.0网段的广播地址,既然是广播地址,那么所有该网段的其他设备(如路由器RTB)都会收到这个包并进行响应。这时候它响应的不是hacker,而是RTA,因为10.2.1.1是RTA的Fa0/0接口的IP地址。假设RTA左边的网络有200台主机,而我们的hacker以每秒发送一万个ping数据包,那么RTA将会收到200万个响应数据包,这就可能导致RTA路由器因为处理不了如此多的数据包而down掉。

下面是我做实验的时候的截图,我使用的网段是200.200.200.0/24

DoS Ping攻击 - 瑞志.net - 山林客

 

 

可以看到每台主机都会进行响应。

 

而通过上面的ACL,将目标地址为10.2.1.255的数据包给过滤掉,那么就可以避免上述情形的攻击。同理,如果ping网络地址,同样会有这种情况(在MS DOS下不能ping通,但在路由器下可以)。

Router#ping 200.200.200.0

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 200.200.200.0, timeout is 2 seconds:

 

Reply to request 0 from 200.200.200.2, 336 ms

Reply to request 1 from 200.200.200.3, 20 ms

Reply to request 1 from 200.200.200.2, 60 ms

Reply to request 2 from 200.200.200.2, 4 ms

Reply to request 2 from 200.200.200.3, 52 ms

Reply to request 3 from 200.200.200.2, 12 ms

Reply to request 3 from 200.200.200.3, 44 ms

Reply to request 4 from 200.200.200.2, 4 ms

Reply to request 4 from 200.200.200.3, 48 ms

  评论这张
 
阅读(1007)| 评论(2)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018