一个对付掉包的设想
我们知道,TCP传输过程中,如果数据包超时或丢失的话,发送的一方就必须重传这个数据包。现在假设这样,发送的一方每个数据包都发2次,也就是发送2个相同的数据包(其中的syn,ack这些序号都一样),那么这样会不会影响两个主机的通讯? 不会。不过毫无必要,线路情况不会差到如此程度,如果差到如此程度,重复的发包又会反过来增加拥塞,使线路更加不堪重负。 我只是想,是否可以用这种方法对付一些局域网攻击软件,因为有些软件不仅仅是运用了一般意义上的ARP欺骗,还运用对交换机MAC地址表的欺骗(这种情况下即使做双向ARP绑定也是不顶用的)。
这种情况下,网关的MAC地址在欺骗者的交换机端口和真实网关的交换机端口之间来回“移动”,如此一来,其他机器的所发送的数据包一部分发送到真实的网关,一部分发送到欺骗者那里,但是如果欺骗者在“网关MAC移动到真实网关的交换机端口”的时候不把数据包转发到真实的网关,你那就掉线了。
但是,如果采用“数据包冗余”的话,只要冗余达到一定程度,我想应该在一定程度上抑制欺骗。当然,如果欺骗的只是想断掉整个局域网的话,在不可管理的傻瓜交换条件下,神也没办法的 。 效率太低了,我做过这种方法的仿真实验,太消耗带宽了,你还不如就让TCP丢包重传,不过速率慢了点就是了 一个不错的想法。:) 这种做法本来就有点像是个攻击
比如说你先后发了两个一个的TCP包syn与ack之类的都一样,然后第一包是正确也是正常的包,这时这个包会被接收,而第二个相同的TCP包又到了,对于接收方的话会在自己的会话表里找有没有相应这个TCP包的接受会话,但是由于之前已经处理了这个TCP,所以这此相同的TCP在会话表里是找不到相应的TCP的接受会话,这样就等为了处理这个包而从会话表从头到尾的找一表,结果是找不到,这样是很耗系统资源。
而对于TCP包来说,要正常让他提高效果关系是在让他的TCP窗口不要一直从拥塞然后再突然回复到0,然后再拥塞再到0,这样就是一个很大的波形,而是要办法让TCP非常的平滑,这样TCP的效率才最高。 好阴毒的手段:funk:
[img]http://t11.baidu.com/it/u=2415425045,495315599&fm=0&gp=0.jpg[/img] [quote]原帖由 [i]zhoutao0712[/i] 于 2008-9-16 15:18 发表 [url=http://www.netexpert.cn/redirect.php?goto=findpost&pid=133634&ptid=20861][img]http://www.netexpert.cn/images/common/back.gif[/img][/url]
我只是想,是否可以用这种方法对付一些局域网攻击软件,因为有些软件不仅仅是运用了一般意义上的ARP欺骗,还运用对交换机MAC地址表的欺骗(这种情况下即使做双向ARP绑定也是不顶用的)。
这种情况下,网关的MAC地址 ... [/quote]
“因为有些软件不仅仅是运用了一般意义上的ARP欺骗,还运用对交换机MAC地址表的欺骗(这种情况下即使做双向ARP绑定也是不顶用的)”
-------------------------------------------------------------------------------这句我不明白,为什么双向绑定后还不起作用?愿闻其详
谢谢先 我说的“双向绑定”是指在网关和PC上绑定,但是交换机呢,如果被欺骗的是交换机的话,一样的不起作用。只要深刻了解交换机转发的细节,不难理解这一点。
网上那篇很普遍的“ARP欺骗原理”只讲了PC和网关的欺骗,没有涉及到交换机,实际上交换机的欺骗严格来说不能叫ARP欺骗,因为二层的交换机是不管IP地址的。
所以很多情况下很多人迷惑不解为什么做了双向绑定为什么还是不能上网,其原因就是交换机的“MAC地址表”被欺骗。 [quote]所以很多情况下很多人迷惑不解为什么做了双向绑定为什么还是不能上网,其原因就是交换机的“MAC地址表”被欺骗。[/quote]
你说这个是MAC FLOOD,像样点的交换机设置端口安全就可以了。至于用傻瓜型的交换机,既然舍不得花钱做前期投入,那就慢慢享受后期折腾吧。
页:
[1]