基本概念
源路由是一種基於源地址進行路由選擇的策略,可以實現根據多個不同子網或區域網路地址,有選擇性地將數據包發往不同目的地址的功能。
例如有某路由器連線有兩個區域網路和兩個外網
接口A:192.168.1.0/24 和接口B:192.168.2.0/24,接口C:10.10.10.10/30,接口D:20.20.20.20/30
要求網路A的請求訪問發往網路C,而網路B的請求訪問發往網路D,可以這樣的設定源路由:
SourceIP/NetMask GateWay Interface
192.168.1.0/24 10.10.10.09 接口C
192.168.2.0/24 20.20.20.19 接口D
源路由(source route)
先從源路由如何向連線在外地鏈路上的移動節點傳送數據包開始。 I P版本4在I P報頭中定義了一個可選項:Loose Source and Record Route Option。這個可選項列出了一個或多箇中間目的地址,要求數據包在到達最終的目的地址前必須經過這幾個中間地址。
例如,考慮一台源主機要向一台目的主機傳送數據包,但它還想讓數據包經過從源到目的地的路徑上的一台特定路由器,這台源主機將“下一個中間目的”地址,即那台路由器的地址,放在目的 I P地址域中,而將目的主機的 I P地址放在 Loose Source and Record Route Op t i o n中,這時,數據包將按網路前綴路由被送到目的 I P地址域中標示的那台路由器上。
當那台路由器接收到數據包後,它檢查可選項,發現自己只是一個中間目的地,於是,將Loose Source and Record Route Option 中所指示的地址取出, 也就是將目的主機的地址取出,然後將數據包送給去往目的主機的下一跳地址。在轉發該數據包前,路由器將自己的 I P地址記錄在Loose Source and Record Route Option中,實際上記錄的是它將數據包轉發出去的那個連線埠的I P地址。
當數據包到達目的主機時,目的主機檢查可選項,發現自己就是包的最終目的地,因此目的主機將數據包送交 I P協定域所指示的高層協定處理。 I P報頭中定義的這個可選項還要求。當目的主機對源主機進行回答時,也要在它的數據包中包含 Loose Source and Record Route O p t i o n。當然,目的主機應包含的是“反向”的源路由。在這個例子中,目的主機在向原來的源主機傳送數據包時,會在Loose Source and Record Route Option 中包含作為中間目的地的那台路由器的地址。
路由選項
源路由選項是IP數據報選項的其中之一,可用於測試某特定網路的吞吐率,也可以是數據報繞開出錯的網路。
源路由可以分為兩類,一類是嚴格源路由選項(Strict Source Route),一類是鬆散源路由選項(Loose Source Route)。
嚴格源路由選項:規定IP數據報要經過路徑上的每一個路由器,相鄰路由器之間不得有中間路由器,並且所經過的路由器的順序不可更改。
鬆散源路由選項:只是給出IP數據報必須經過的一些“要點”,並不給出一條完備的路徑,無直接連線的路由器之間的路由尚需IP軟體的定址功能補充。
地址欺騙
源地址欺騙(Source Address Spoofing)、IP欺騙(IP Spoofing)其基本原理:是利用IP位址並不是出廠的時候與MAC固定在一起的,攻擊者通過自封包和修改網路節點的IP位址,冒充某個可信節點的IP位址,進行攻擊。
1. 癱瘓真正擁有IP的可信主機,偽裝可信主機攻擊伺服器;
2. 中間人攻擊;
(2) 源路由選擇欺騙(Source Routing Spoofing)。原理:利用IP數據包中的一個選項-IP Source Routing來指定路由,利用可信用戶對伺服器進行攻擊,特別是基於UDP協定的由於其是面向非連線的,更容易被利用來攻擊;
(3) 路由選擇信息協定攻擊(RIP Attacks)。原理:攻擊者在網上發布假的路由信息,再通過ICMP重定向來欺騙伺服器路由器和主機,將正常的路由器標誌為失效,從而達到攻擊的目的。
(4) TCP序列號欺騙和攻擊(TCP Sequence Number Spoofing and Attack),基本有三種:
1. 偽造TCP序列號,構造一個偽裝的TCP封包,對網路上可信主機進行攻擊;
2. SYN攻擊(SYN Attack)。這類攻擊手法花樣很多,蔚為大觀。但是其原理基本一致,讓TCP協定無法完成三次握手協定;
3. Teardrop攻擊(Teardrop Attack)和Land攻擊(Land Attack)。原理:利用系統接收IP數據包,對數據包長度和偏移不嚴格的漏洞進行的。
ip地址欺騙 這是一種黑客的攻擊形式,黑客使用一台計算機上網,而借用另外一台機器的IP位址,從而冒充另外一台機器與伺服器打交道。防火牆可以識別這種ip欺騙。
IP位址欺騙是指行動產生的IP數據包偽造的源IP位址,以便冒充其他系統或保護髮件人的身分。 欺騙也可以是指偽造或使用偽造的標題就以電子郵件或網路新聞-再次-保護髮件人的身分和誤導接收器或網路,以原產地和有效性傳送數據。
基本的IP位址欺騙
Internet協定或IP是根本議定書傳送/接收數據通過計算機網路和網際網路。 與網際網路通訊協定,每包傳送或接收包含有關的資料的運作,例如來源地和目的地的數據包。 與IP位址欺騙,信息放置在源欄位是不實際的來源,該數據包。 通過使用不同的地址在源領域的數據包,實際發件人可以使像包,被送往由另一台計算機上,從而反應目標計算機將被傳送到假地址中指定的數據包-除非攻擊者要重定向的反應,他自己的電腦。
影響IP位址欺騙
IP位址欺騙是非常有益的,特別是在案件拒絕服務( DoS )攻擊,如大量的信息被傳送到目標計算機或系統沒有肇事者關心的反應,目標系統。 這種類型的攻擊,特別是有效的,因為攻擊數據包,似乎即將從不同的來源,因此,肇事者是難以追查。
黑客使用的IP位址欺騙,經常利用隨機選擇的IP位址從整個頻譜的IP位址空間的同時,一些更先進的黑客僅使用未經註冊的部分IP位址範圍。 IP位址欺騙,但是,是不那么有效,比使用殭屍網路為DoS攻擊,因為它可以被監控網際網路當局利用散射技術可以判斷DoS攻擊的基礎上,有多少無效的IP位址使用的攻擊。 不過,它仍然是一個可行的替代辦法,為黑客的攻擊。
IP位址欺騙,也是一個非常有用的工具,在網路的滲透和克服網路安全保密措施。 發生這種情況時, IP位址spoofers使用受信任的IP位址,內部網路,從而規避需要提供一個使用者名稱或密碼登錄到該系統。 這類攻擊通常是基於一組特定的主機控制(如rhosts )是不安全的配置。
IP位址欺騙的防禦
侵入過濾或包過濾傳入的流量,從體制外的使用技術是一種有效方式,防IP位址欺騙,因為這種技術可以判斷如果數據包是來自內部或外部的制度。 因此,出口過濾也可以阻止假冒IP位址的數據包從退出制度和發動攻擊,對其他網路。
上層協定,如TCP連線或傳輸控制協定,其中序列號碼是用來建立了一個安全的連線與其他系統也是一個有效的方法,防IP位址欺騙。
關閉源路由(鬆散和嚴格的)對您的網路路由器也可協助防止黑客利用欺騙的許多功能。 源路由是一個技術的廣泛使用,在過去,以防止一個單一的網路故障造成的重大網路故障,但目前的路由協定網際網路上的今天使得這一切,但不必要的。