在成為黑客之前，必須學習幾種網(wǎng)絡攻擊原理

1.1TCPSYN拒絕服務攻擊

一般情況下，一個TCP建立連接需要三次握手，即：

1.建立發(fā)起者向目標計算機發(fā)送一個TCPSYN報文；

2.目標計算機收到這個SYN報文后，在內(nèi)存中創(chuàng)建TCP連接控制塊（TCB），然后把一個送回發(fā)起者TCPACK等待發(fā)起人的回應；

三、發(fā)起人收到TCPACK報文后，再回應一個ACK報文，這樣TCP建立了連接。

利用這個過程，一些惡意攻擊者可以進行所謂的攻擊TCPSYN拒絕服務攻擊：

1.攻擊者向目標計算機發(fā)送一個TCPSYN報文；

2.目標計算機收到報紙后，建立TCP連接控制結構（TCB），并回應一個ACK，等待發(fā)起人的回應；

3.發(fā)起人不回應目標計算機ACK這導致目標計算機一致等待。

可以看出，如果目標計算機接收了大量的目標計算機TCPSYN報三次沒有收到發(fā)起人的報紙ACK回應，將永遠等待，處于如此尷尬的半連接狀態(tài)，將目標計算機資源（TCB控制結構，TCB，一般來說，它是有限的）耗盡，不能正常響應TCP連接請求。

1.2ICMP洪水

一般情況下，為了診斷網(wǎng)絡，一些診斷程序，如PING等，會發(fā)出ICMP響應請求報文（ICMPECHO），接收計算機接收ICMPECHO之后，會回應一個ICMPECHOReply報文。需要這個過程CPU在某些情況下，可能會消耗大量的資源，比如處理分片。如果攻擊者向目標計算機發(fā)送大量信息，ICMPECHO報文（產(chǎn)生ICMP洪水)，目標計算機忙于處理這些問題ECHO其他網(wǎng)絡數(shù)據(jù)報文無法繼續(xù)處理，也是拒絕服務攻擊的一種（DOS）。

1.3UDP洪水

原理與ICMP洪水相似，攻擊者通過發(fā)送大量的洪水UDP向目標計算機報告導致目標計算機忙于處理這些問題UDP不能繼續(xù)處理正常的報紙。

1.4端口掃描

根據(jù)TCP當一臺計算機收到協(xié)議規(guī)范時TCP連接建立請求報文（TCPSYN）做這樣的處理：

1.請求的話TCP端口是開放的，則回應一個TCPACK并建立報文TCP連接控制結構（TCB）；

2.請求的話TCP如果端口不開放，回應一個TCPRST（TCP頭部中的RST標志為1)報告，告訴啟動計算機端口不開放。

如果IP收到一個協(xié)議棧UDP報文，做以下處理：

1.如果報紙的目標端口開放，則該報紙將被打開UDP提交上層協(xié)議（UDP）處理，不回應任何報紙(上級協(xié)議根據(jù)處理結果回應的報紙例外)；

2、如果該報文的目標端口沒有開放，則向發(fā)起者回應一個ICMP無法到達報紙，告訴發(fā)起人計算機應該是什么UDP報文端口無法到達。

利用這一原理，攻擊者計算機可以通過發(fā)送合適的報紙來判斷目標計算機是什么TCP或UDP端口是開放的，過程如下：

1.發(fā)出從0開始依次增加的端口號。TCPSYN或UDP報文(端口號為16比特數(shù)，最大為65535，數(shù)量有限)；

2.如果你收到了這個TCP報文的RST報文，或針對此UDP報文的ICMP無法到達報文，說明該端口未開放；

3.相反，如果你收到了這個TCPSYN報文的ACK報紙，或者沒有收到任何針對這個的東西UDP報文的ICMP報文，說明這一點TCP端口是開放的，UDP端口可能是開放的(因為有些實現(xiàn)可能沒有回應)ICMP即使是這樣，也達不到報文UDP端口不開放)。

這樣，就可以很容易地判斷目標計算機打開了什么TCP或UDP然后對端口的具體數(shù)字進行下一步攻擊，即所謂的端口掃描攻擊。

1.5分片IP報文攻擊

大的IP報文，IP協(xié)議棧需要根據(jù)鏈議棧需要根據(jù)鏈議MTU對該IP報文分片，填充適當IP接收的分片指示字段，接收電腦可以很容易地把這些IP分片報文組裝。

在處理這些分片報文時，目標計算機會緩存先到的分片報文，然后等待后續(xù)的分片報文。這個過程會消耗一些內(nèi)存和一些內(nèi)存IP協(xié)議棧的數(shù)據(jù)結構。如果攻擊者只向目標計算機發(fā)送一份分片報告，而不是所有分片報告，攻擊者計算機將繼續(xù)等待（直到內(nèi)部計時器到達）。如果攻擊者發(fā)送大量的分片報告，它將消耗目標計算機的資源，導致相應的正常IP這也是一種報文DOS攻擊。

1.6SYN比特和FIN同時設置比特

在TCP報文報頭中有幾個標志字段:

1、SYN：連接標志，TCPSYN該標志設置為1，要求建立連接；

2、ACK：回應標志，在一個TCP除連接中，除了第一篇報紙（TCPSYN）另外，所有報文都設置了這個字段作為對上一篇報文的對應；

3、FIN：當計算機接收到一個設置時，結束標志FIN標志的TCP報文結束后，這個將被拆除TCP連接；

4、RST：復位標志，當IP協(xié)議棧接收目標端口不存在的協(xié)議棧TCP報文時，會回應一個RST標志設置的報文；

5、PSH：通知協(xié)議棧盡快把TCP數(shù)據(jù)提交給上層程序。

正常情況下，SYN和FIN標志(連接拆除標志)不能同時出現(xiàn)TCP報文中的。而且RFC也沒有規(guī)定IP如何處理協(xié)議棧中如此畸形的報紙？因此，每個操作系統(tǒng)中的協(xié)議棧在收到此報紙后都有不同的處理方法。攻擊者可以利用這一特征通過發(fā)送SYN和FIN同時設置報紙，判斷操作系統(tǒng)的類型，然后進一步攻擊操作系統(tǒng)。

1.77沒有設置任何標志TCP報文攻擊

在正常情況下，任何事情TCP設置報文SYN，F(xiàn)IN，ACK，RST，PSH至少五個標志中有一個，第一個TCP報文（TCP設置連接請求報文)SYN設置標志和后續(xù)報紙ACK標志。基于這樣的假設，一些協(xié)議棧沒有設置任何標志TCP因此，如果收到這樣的報文，這樣的協(xié)議?？赡軙罎ⅰ９粽呃眠@一特點攻擊目標計算機。

1.8設置了FIN標志沒有設置ACK標志的TCP報文攻擊

正常情況下，ACK除了第一個報紙，標志（SYN除了報紙)，所有的報紙都是設置的，包括TCP連接拆除報文（FIN標志設置的報紙)。然而，一些攻擊者可能會向目標計算機發(fā)送設置FIN標志沒有設置ACK標志的TCP這可能會導致目標計算機崩潰。

1.9死亡之PING

TCP/IP規(guī)范要求IP報紙的長度在一定范圍內(nèi)(例如0-64)K），但是，有些攻擊計算機可能會向目標計算機發(fā)出64多臺K長度的PING報文導致目標計算機IP協(xié)議棧崩潰。

1.10地址猜測攻擊

類似于端口掃描攻擊，攻擊者通過發(fā)送大量的目標地址來改變ICMPECHO判斷目標計算機是否存在。如果收到相應的信息ECMPECHOREPLY報文說明目標計算機存在，可以對計算機進行下一步攻擊。

1.11淚滴攻擊

對一些大的IP為了迎合鏈路層，，以迎合鏈路層MTU(最大傳輸單元)要求。例如，4500字節(jié)IP包，在MTU為1500的鏈路上傳輸?shù)臅r候，就需要分成三個IP包。

在IP報告中有一個偏移字段和一個分片標志（MF），如果MF如果標志設置為1，則表面為1IP包是一個大IP包的片段，偏移字段指出整個片段IP包中的位置。例如，對于4500字節(jié)IP包進行分片（MTU1500)，三個片段中偏移字段的值依次為0、1500、3000。這樣，接收端就可以根據(jù)這些信息成功組裝IP包。

如果攻擊者打破正常情況，將偏移字段設置為不正確值，則可能會重疊或斷開，從而導致目標操作系統(tǒng)崩潰。例如，將上述偏移設置為0、1300和3000。這就是所謂的眼淚攻擊。

1.12帶源路由選項IP報文

為實現(xiàn)一些附加功能，IP協(xié)議規(guī)范在IP選項字段添加到報頭中，可以選擇攜帶一些數(shù)據(jù)來指示中間設備（路由器）或最終目標計算機IP額外處理報文。

源路由選項就是其中之一。從名稱上可以看出，源路由選項的目的是指導中間設備（路由器）如何轉發(fā)數(shù)據(jù)報告，即明確報告的傳輸路徑。例如，讓一個IP報文明確的經(jīng)過三臺路由器R1，R2，R3.這三個路由器的接口地址可以在源路由選項中明確說明，無論三個路由器上的路由表如何，這一點都可以在源路由選項中明確說明IP報文將依次通過R1，R2，R3。這些帶源路由選項IP在傳輸過程中，報紙的源地址和目標地址不斷變化。因此，攻擊者可以通過適當設置源路由選項來偽造一些合法的IP蒙混進入網(wǎng)絡的地址。

1.13帶記錄路由選項。IP報文

記錄路由選項也是IP該選項攜帶選項IP每次通過路由器，路由器都會在選項字段中填寫接口地址。這樣，當這些報紙到達目的地時，選項數(shù)據(jù)記錄了報紙通過的整個路徑。

通過這樣的報紙，很容易判斷報紙的路徑，使攻擊者很容易找到攻擊弱點。

1.14未知協(xié)議字段IP報文

在IP報文頭中有一個協(xié)議字段，指示該字段IP報紙承載了什么樣的協(xié)議？例如，如果字段值為1，則表示IP報文承載了ICMP報文，如果為6，則是TCP，等等。目前分配的字段值小于100，因此，協(xié)議字段大于100IP報文可能是違法的，可能會破壞一些計算機操作系統(tǒng)的協(xié)議棧。

1.15IP地址欺騙

一般來說，當路由器轉發(fā)報紙時，只根據(jù)報紙的目的地地址檢查路由表，無論報紙的源地址是什么，都可能面臨危險：如果攻擊者向目標計算機發(fā)送報紙，并將報紙的源地址填寫為第三方IP地址，這樣，當報紙到達目標計算機時，目標計算機可能會回應無意識的第三方計算機。這就是所謂的IP地址欺騙攻擊。

比較著名的SQLServer蠕蟲病毒采用了這一原理。病毒(可以理解為攻擊者)向一臺運行SQLServer服務器發(fā)送解析服務UDP報文的源地址填寫為另一個操作SQLServer解析程序（SQLServer2000后版本)服務器，因此SQLServer分析服務的漏洞，這是可能的UDP這兩臺服務器之間的報紙往復，最終導致服務器或網(wǎng)絡癱瘓。

1.16WinNuke攻擊

NetBIOS廣泛應用于文件共享、打印共享、過程間通信等基本網(wǎng)絡資源訪問接口（IPC），以及不同操作系統(tǒng)之間的數(shù)據(jù)交換。一般情況下，NetBIOS是運行在LLC基于組播的網(wǎng)絡訪問接口高于鏈路協(xié)議。為了在TCP/IP在協(xié)議棧上實現(xiàn)NetBIOS，RFC規(guī)定了一系列交互標準和幾個常用標準TCP/UDP端口：

139：NetBIOS會話服務的TCP端口；

137：NetBIOS名字服務的UDP端口；

136：NetBIOS數(shù)據(jù)報告服務UDP端口。

WINDOWS早期版本的操作系統(tǒng)（WIN95/98/NT）網(wǎng)絡服務(文件共享等)都是基于NetBIOS因此，這些操作系統(tǒng)都打開了139端口(最新版本)WINDOWS2000/XP/2003等，為了兼容，也實現(xiàn)了NetBIOSoverTCP/IP開放139端口的功能。

WinNuke攻擊就是利用WINDOWS一個操作系統(tǒng)將一些攜帶的漏洞發(fā)送到139端口TCP帶外（OOB）數(shù)據(jù)報告，但這些攻擊報告和正常攜帶OOB不同的是，其指針字段與數(shù)據(jù)的實際位置不一致，即存在重疊WINDOWS在處理這些數(shù)據(jù)時，操作系統(tǒng)會崩潰。

1.17Land攻擊

LAND攻擊利用了TCP通過向目標計算機發(fā)送連接建立的三次握手過程TCPSYN對目標計算機進行攻擊(連接建立請求報文)。與正常的TCPSYN報文不同的是，LAND攻擊報文源IP地址和目的IP地址相同，都是目標計算機IP地址。這樣，目標計算機就收到了這個SYN報文結束后，將報文的源地址發(fā)送給報文ACK并建立一篇報文TCP連接控制結構（TCB），而該報文的源地址就是自己，因此，這個ACK給自己發(fā)報文。如果攻擊者發(fā)送了足夠多的信息SYN目標計算機計算機TCB可能會耗盡，最終無法正常服務。這也是一種DOS攻擊。

1.18Script/ActiveX攻擊

Script它是一種可執(zhí)行的腳本，通常由一些腳本語言寫成，如常見的JAVASCRIPT，VBSCRIPT等等。當這些腳本執(zhí)行時，它們需要一個特殊的解釋器來翻譯，翻譯成計算機指令，并在本地計算機上運行。這個腳本的優(yōu)點是，它可以通過少量的程序來完成大量的功能。

這種SCRIPT嵌入的一個重要應用是嵌入WEB在頁面中，執(zhí)行一些靜態(tài)WEB頁面標記語言（HTML）本地計算、數(shù)據(jù)庫查詢和修改、系統(tǒng)信息提取等無法完成的功能。這些腳本不僅帶來了方便和強大的功能，而且為攻擊者提供了方便的攻擊方式。如果攻擊者寫了一些破壞系統(tǒng)的信息SCRIPT，然后嵌入在WEB這些頁面一旦下載到本地，計算機當前用戶的權限就會執(zhí)行這些腳本，因此，當前用戶擁有的任何權限，SCRIPT可以使用，可以想象這些惡意SCRIPT破壞程度有多強。這就是所謂的SCRIPT攻擊。

ActiveX它是基于控制對象的MICROSOFT組件對象模型（COM）之上的，而COM則幾乎是Windows操作系統(tǒng)的基本結構?？梢院唵蔚乩斫?，這些控制對象是由一些操作的方法和屬性組成的，而屬性是一些特定的數(shù)據(jù)。應用程序可以加載此控件對象，然后訪問方法或屬性，以完成某些特定功能?？梢哉f，COM提供二進制兼容模型(所謂二進制兼容，是指程序模塊與調(diào)用的編譯環(huán)境甚至操作系統(tǒng)無關)。但需要注意的是，該對象控制器不能自行執(zhí)行，因為它沒有自己的過程空間，只能由其他過程加載，并調(diào)用方法和屬性。此時，這些控制器在加載過程空間中運行，類似于操作系統(tǒng)的可加載模塊，如DLL庫。

ActiveX可嵌入控件WEB在頁面中，當瀏覽器將這些頁面下載到本地時，嵌入其中的頁面也相應下載ActiveX這樣，這些控件就可以在本地瀏覽器進程空間中運行（ActiveX空間沒有自己的過程空間，只能由其他過程加載和調(diào)用)，所以目前用戶的權限有多大，ActiveX破壞性有多大。如果惡意攻擊者寫了一個含有惡意代碼的惡意攻擊者ActiveX然后嵌入控件WEB在頁面中，由瀏覽用戶下載后執(zhí)行，其破壞效果非常大。這就是所謂的ActiveX攻擊。

1.19Smurf攻擊

ICMPECHO請求包用于診斷網(wǎng)絡。當計算機收到這樣的報紙時，它會回應報紙的源地址ICMPECHOREPLY。一般情況下，計算機不檢查ECHO因此，如果一個惡意的攻擊者要求源地址ECHO源地址設置為廣播地址，使計算機恢復REPLY以廣播地址為目的地址，使當?shù)鼐W(wǎng)絡上的所有計算機都必須處理這些廣播報紙。若攻擊者發(fā)送ECHO有足夠的請求報文，產(chǎn)生的REPLY廣播報紙可能會淹沒整個網(wǎng)絡。這就是所謂的smurf攻擊。

除了把ECHO除了將報紙的源地址設置為廣播地址外，攻擊者還可以將源地址設置為子網(wǎng)廣播地址，從而影響子網(wǎng)所在的計算機。

1.20虛擬終端（VTY）耗盡攻擊

這是對網(wǎng)絡設備的攻擊，如路由器、交換機等。為了便于遠程管理，這些網(wǎng)絡設備通常設置了一些TELNET用戶界面，即用戶可以通過TELNET對這些設備進行管理。

一般情況下，這些設備的TELNET用戶界面數(shù)量有限，如5個或10個。這樣，如果攻擊者同時建立5個或10個網(wǎng)絡設備TELNET連接時，這些設備的遠程管理界面將被占用。如果合法用戶對這些設備進行遠程管理，將是因為TELNET占用連接資源失敗。

1.21路由協(xié)議攻擊

為了交換路由信息，網(wǎng)絡設備經(jīng)常運行一些動態(tài)路由協(xié)議，可以完成路由表的建立、路由信息的分發(fā)等功能。常見的路由協(xié)議包括RIP，OSPF，IS-IS，BGP等。這些路由協(xié)議不僅便于路由信息的管理和傳輸，而且存在一些缺陷。如果攻擊者利用路由協(xié)議的這些權限攻擊網(wǎng)絡，可能會導致網(wǎng)絡設備路由表紊亂（這足以導致網(wǎng)絡中斷），消耗大量網(wǎng)絡設備資源，甚至癱瘓網(wǎng)絡設備。

以下是路由協(xié)議的一些常見攻擊方法和原則：

1.21.1針對RIP協(xié)議的攻擊

RIP，也就是說，路由信息協(xié)議是周期性的(通常是30S）路由更新報文維護路由表，運行RIP如果路由協(xié)議的路由器從接口收到路由更新報告，它將分析路由信息，并與自己的路由表進行比較。如果路由器認為這些路由信息比他們所掌握的更有效，它便把這些路由信息引入自己的路由表中。

這樣，如果一個攻擊者向一臺運行RIP該協(xié)議的路由器發(fā)送了人工構造的破壞性路由更新報告，很容易混淆路由器的路由表，導致網(wǎng)絡中斷。

如果運行RIP路由協(xié)議的路由器使用路由更新信息HMAC這種攻擊可以在很大程度上避免。

1.21.2針對OSPF攻擊路由協(xié)議

OSPF，也就是說，路徑優(yōu)先，是一種應用廣泛的鏈路狀態(tài)路由協(xié)議?；阪溌窢顟B(tài)算法，該路由協(xié)議具有收斂速度快、平穩(wěn)、消除環(huán)路等優(yōu)點，非常適合大型計算機網(wǎng)絡。OSPF路由協(xié)議通過建立鄰接關系來交換路由器的本地鏈路信息，然后形成一個整個網(wǎng)絡的鏈路狀態(tài)數(shù)據(jù)庫，路由器可以很容易地計算出路由表。

可以看出，如果攻擊者冒充合法路由器與網(wǎng)絡中的路由器建立相鄰關系，并向攻擊路由器輸入大量鏈路狀態(tài)廣播（LSA，構成鏈路狀態(tài)數(shù)據(jù)庫的數(shù)據(jù)單元)會導致路由器形成錯誤的網(wǎng)絡拓撲結構，導致整個網(wǎng)絡路由表紊亂和整個網(wǎng)絡癱瘓。

當前版本的WINDOWS操作系統(tǒng)（WIN2K/XP等）都實現(xiàn)了OSPF因此，一個攻擊者可以很容易地利用這些操作系統(tǒng)自帶的路由功能模塊進行攻擊。

跟RIP類似，如果OSPF報文驗證功能已啟用（HMAC這種攻擊可以在很大程度上避免。

1.21.3針對IS-IS攻擊路由協(xié)議

IS-IS從中間系統(tǒng)到中間系統(tǒng)的路由協(xié)議是ISO提出來對ISO的CLNS一種基于鏈路狀態(tài)、原理和OSPF類似。IS-IS擴展后，路由協(xié)議可以運行IP網(wǎng)絡中，對IP報文選路。該路由協(xié)議還通過建立鄰居關系和收集路由器本地鏈路狀態(tài)來同步鏈路狀態(tài)數(shù)據(jù)庫。建立該協(xié)議的鄰居關系OSPF簡單，省略OSPF一些獨特的特點使協(xié)議簡單、清晰、可伸縮。

攻擊協(xié)議OSPF類似地，通過模擬軟件與運行該協(xié)議的路由器建立鄰居關系，然后將大量的鏈路狀態(tài)數(shù)據(jù)單元傳遞給攻擊路由器（LSP），可導致整個網(wǎng)絡路由器的鏈路狀態(tài)數(shù)據(jù)庫不一致（因為整個網(wǎng)絡中所有路由器的鏈路狀態(tài)數(shù)據(jù)庫都需要同步到相同的狀態(tài)），導致路由表與實際情況不一致，導致網(wǎng)絡中斷。

與OSPF類似地，如果運行路由協(xié)議的路由器啟用IS-IS協(xié)議單元（PDU）HMAC這種攻擊可以通過驗證功能在很大程度上避免。

1.22攻擊設備轉發(fā)表的攻擊

為了合理有限地轉發(fā)數(shù)據(jù)，一些寄存器表項通常建立在網(wǎng)絡設備上，如MAC地址表，ARP表、路由表、快速轉發(fā)表、一些基于更多報文頭字段的表格，如多層交換表、流程項目表等。所有這些表結構都存儲在設備的本地內(nèi)存或芯片的片上內(nèi)存中，數(shù)量有限。如果攻擊者通過發(fā)送適當?shù)臄?shù)據(jù)報告來促進設備建立大量這樣的表格，就會耗盡設備的存儲結構，從而無法正常轉發(fā)數(shù)據(jù)或崩潰。

以下是幾種常見表項的攻擊原理：

1.22.1針對MAC攻擊地址表

MAC地址表通常存在于以太網(wǎng)交換機上，以太網(wǎng)通過分析接收到的數(shù)據(jù)幀MAC查本地地址MAC地址表，然后做出適當?shù)霓D發(fā)決定。

這些MAC地址表通常是通過學習獲得的，交換機在接收到數(shù)據(jù)幀后有一個學習過程，如下：

a)提取數(shù)據(jù)幀源MAC接收數(shù)據(jù)幀的地址和端口號；

b)查MAC看看地址表MAC地址是否存在，相應端口是否一致；

c)如果該MAC地址在本地MAC如果地址表中不存在，則創(chuàng)建一個MAC地址表項；

d)如果存在，但相應的出口與接收到數(shù)據(jù)幀的端口不一致，則更新表；

e)若存在，且端口符合，則進行下一步處理。

分析這個過程可以看出，如果一個攻擊者向一臺交換機發(fā)送大量源MAC不同地址的數(shù)據(jù)幀，交換機可以使用自己的本地數(shù)據(jù)幀MAC一旦MAC如果地址表溢出，交換機無法繼續(xù)正確學習MAC結果表項可能會產(chǎn)生大量的網(wǎng)絡冗余數(shù)據(jù)，甚至可能導致交換機崩潰。

構建一些源MAC不同地址的數(shù)據(jù)幀很容易。

1.22.2針對ARP表的攻擊

ARP表是IP地址和MAC任何地址映射關系表都實現(xiàn)了IP協(xié)議棧的設備一般都是通過表維護的IP地址和MAC為了避免地址的對應關系ARP廣播數(shù)據(jù)報文的分析對網(wǎng)絡產(chǎn)生了影響。ARP一般來說，表的建立有兩種方式：

1.主動分析，如果一臺電腦想和另一臺不知道MAC計算機通信地址，計算機主動發(fā)送ARP請求，通過ARP協(xié)議建立（前提是這兩臺計算機位于同一個IP子網(wǎng)上）；

2.被動請求，如果計算機收到計算機ARP請求，則首先在本地建立請求計算機的IP地址和MAC地址對應表。

因此，如果攻擊者通過改變不同的方式IP地址和MAC地址，向同一設備發(fā)送大量，如三層交換機ARP被攻擊設備可能是因為要求ARP緩存溢出和崩潰。

針對ARP另一個可能的攻擊是誤導計算機建立正確的項目ARP表。根據(jù)ARP如果一臺計算機協(xié)議，ARP該計算機將在滿足以下兩個條件時使用請求報告ARP請求報文中的來源IP地址和源MAC更新自己的地址ARP緩存：

1.如果開始ARP請求的IP本地地址ARP緩存中；

2.請求目標IP地址不是你自己的。

可以舉一個例子說明這個過程，假設有三臺計算機A，B，C，其中，B已立A和C計算機的ARP表項。假設A是攻擊者，此時，A發(fā)出一個ARP請求報文，該請求報文這樣構造：

1、源IP地址是C的IP地址，源MAC地址是A的MAC地址；

2.請求目標IP地址是A的IP地址。

這樣，計算機B就會收到這個ARP請求報文后（ARP請求是廣播報紙，網(wǎng)絡上所有設備都可以收到)，發(fā)現(xiàn)BARP表項已經(jīng)在自己的緩存中，但是MAC收到請求的地址和源MAC地址不一致，所以根據(jù)ARP協(xié)議，使用ARP請求的源MAC地址(即AMAC地址)更新自己的ARP表。

這樣B的ARP這樣的錯誤存在于混合存儲中ARP表項：C的IP地址跟A的MAC地址對應。這樣的結果是，B計算機A接收到發(fā)送給C的數(shù)據(jù)。

1.22.33攻擊對流項目表

為了加快轉發(fā)效率，一些網(wǎng)絡設備建立了所謂的流緩存。所謂流，可以理解為一臺計算機的一個過程與另一臺計算機的一個過程之間的數(shù)據(jù)流。TCP/IP在協(xié)議中，由(源)IP地址，目的IP五元組共同確定的所有數(shù)據(jù)報文，包括地址、協(xié)議號、源端口號、目的端口號)。

一個流緩存表通常由五元組索引，每當設備收到一個IP報文后，會先分析IP報頭，提取相應的五元組數(shù)據(jù)，一個HASH操作，然后根據(jù)操作結果查詢流緩存，如果搜索成功，則根據(jù)搜索結果進行處理，如果搜索失敗，則新建流緩存項，查看路由表，根據(jù)路由表查詢結果填寫流緩存，然后轉發(fā)數(shù)據(jù)報文(流程項目創(chuàng)建前后轉發(fā)并不重要)。

可以看出，如果攻擊者發(fā)出大量來源IP地址或者目的IP由于不同的來源，地址變化的數(shù)據(jù)報告可能會導致設備創(chuàng)建大量的流程項目IP地址和不同的目標IP地址對應不同的流量。這可能會導致流緩存溢出。

騰佑科技提供美國高防服務器、香港高防服務器、韓國高防服務器等；其中佛山高防服務器提供集群420G，單IP最大可加至240G秒解防御，無限秒解不封機。高防機房很好地解決了各種問題CC、流量等DDOS攻擊，還有DDos高防IP護送您的業(yè)務。詳細詢問在線客服！