源路由地址欺騙

源地址欺騙(Source Address Spoofing)、IP欺騙(IP Spoofing)其基本原理:是利用IP地址并不是出廠的時(shí)候與MAC固定在一起的，攻擊者通過自封包和修改網(wǎng)絡(luò)節(jié)點(diǎn)的IP地址，冒充某個(gè)可信節(jié)點(diǎn)的IP地址，進(jìn)行攻擊。

1. 癱瘓真正擁有IP的可信主機(jī)，偽裝可信主機(jī)攻擊服務(wù)器;

2. 中間人攻擊;

(2) 源路由選擇欺騙(Source Routing Spoofing)。原理:利用IP數(shù)據(jù)包中的一個(gè)選項(xiàng)-IP Source Routing來指定路由，利用可信用戶對(duì)服務(wù)器進(jìn)行攻擊，特別是基于UDP協(xié)議的由于其是面向非連接的，更容易被利用來攻擊;

(3) 路由選擇信息協(xié)議攻擊(RIP Attacks)。原理:攻擊者在網(wǎng)上發(fā)布假的路由信息，再通過ICMP重定向來欺騙服務(wù)器路由器和主機(jī)，將正常的路由器標(biāo)志為失效，從而達(dá)到攻擊的目的。

(4) TCP序列號(hào)欺騙和攻擊(TCP Sequence Number Spoofing and Attack),基本有三種：

1. 偽造TCP序列號(hào)，構(gòu)造一個(gè)偽裝的TCP封包，對(duì)網(wǎng)絡(luò)上可信主機(jī)進(jìn)行攻擊;

2. SYN攻擊(SYN Attack)。這類攻擊手法花樣很多，蔚為大觀。但是其原理基本一致，讓TCP協(xié)議無法完成三次握手協(xié)議;

3. Teardrop攻擊(Teardrop Attack)和Land攻擊(Land Attack)。原理:利用系統(tǒng)接收IP數(shù)據(jù)包，對(duì)數(shù)據(jù)包長度和偏移不嚴(yán)格的漏洞進(jìn)行的。

ip地址欺騙 這是一種黑客的攻擊形式，黑客使用一臺(tái)計(jì)算機(jī)上網(wǎng),而借用另外一臺(tái)機(jī)器的IP地址,從而冒充另外一臺(tái)機(jī)器與服務(wù)器打交道。防火墻可以識(shí)別這種ip欺騙。

IP地址欺騙是指行動(dòng)產(chǎn)生的IP數(shù)據(jù)包偽造的源IP地址，以便冒充其他系統(tǒng)或保護(hù)發(fā)件人的身分。 欺騙也可以是指?jìng)卧旎蚴褂脗卧斓臉?biāo)題就以電子郵件或網(wǎng)絡(luò)新聞-再次-保護(hù)發(fā)件人的身分和誤導(dǎo)接收器或網(wǎng)絡(luò)，以原產(chǎn)地和有效性發(fā)送數(shù)據(jù)。

基本的IP地址欺騙

Internet協(xié)議或IP是根本議定書發(fā)送/接收數(shù)據(jù)通過計(jì)算機(jī)網(wǎng)絡(luò)和互聯(lián)網(wǎng)。 與網(wǎng)際網(wǎng)路通訊協(xié)定，每包發(fā)送或接收包含有關(guān)的資料的運(yùn)作，例如來源地和目的地的數(shù)據(jù)包。 與IP地址欺騙，信息放置在源字段是不實(shí)際的來源，該數(shù)據(jù)包。 通過使用不同的地址在源領(lǐng)域的數(shù)據(jù)包，實(shí)際發(fā)件人可以使像包，被送往由另一臺(tái)計(jì)算機(jī)上，從而反應(yīng)目標(biāo)計(jì)算機(jī)將被發(fā)送到假地址中指定的數(shù)據(jù)包-除非攻擊者要重定向的反應(yīng)，他自己的電腦。

影響IP地址欺騙

IP地址欺騙是非常有益的，特別是在案件拒絕服務(wù)（ DoS ）攻擊，如大量的信息被發(fā)送到目標(biāo)計(jì)算機(jī)或系統(tǒng)沒有肇事者關(guān)心的反應(yīng)，目標(biāo)系統(tǒng)。 這種類型的攻擊，特別是有效的，因?yàn)楣魯?shù)據(jù)包，似乎即將從不同的來源，因此，肇事者是難以追查。

黑客使用的IP地址欺騙，經(jīng)常利用隨機(jī)選擇的IP地址從整個(gè)頻譜的IP地址空間的同時(shí)，一些更先進(jìn)的黑客僅使用未經(jīng)注冊(cè)的部分IP地址范圍。 IP地址欺騙，但是，是不那么有效，比使用僵尸網(wǎng)絡(luò)為DoS攻擊，因?yàn)樗梢员槐O(jiān)控互聯(lián)網(wǎng)當(dāng)局利用散射技術(shù)可以判斷DoS攻擊的基礎(chǔ)上，有多少無效的IP地址使用的攻擊。 不過，它仍然是一個(gè)可行的替代辦法，為黑客的攻擊。

IP地址欺騙，也是一個(gè)非常有用的工具，在網(wǎng)絡(luò)的滲透和克服網(wǎng)絡(luò)安全保密措施。 發(fā)生這種情況時(shí)， IP地址spoofers使用受信任的IP地址，內(nèi)部網(wǎng)絡(luò)，從而規(guī)避需要提供一個(gè)使用者名稱或密碼登錄到該系統(tǒng)。 這類攻擊通常是基于一組特定的主機(jī)控制（如rhosts ）是不安全的配置。

IP地址欺騙的防御

侵入過濾或包過濾傳入的流量，從體制外的使用技術(shù)是一種有效方式，防IP地址欺騙，因?yàn)檫@種技術(shù)可以判斷如果數(shù)據(jù)包是來自內(nèi)部或外部的制度。 因此，出口過濾也可以阻止假冒IP地址的數(shù)據(jù)包從退出制度和發(fā)動(dòng)攻擊，對(duì)其他網(wǎng)絡(luò)。

上層協(xié)議，如TCP連接或傳輸控制協(xié)議，其中序列號(hào)碼是用來建立了一個(gè)安全的連接與其他系統(tǒng)也是一個(gè)有效的方法，防IP地址欺騙。

關(guān)閉源路由（松散和嚴(yán)格的）對(duì)您的網(wǎng)絡(luò)路由器也可協(xié)助防止黑客利用欺騙的許多功能。 源路由在過去被廣泛使用，以防止一個(gè)單一的網(wǎng)絡(luò)故障造成重大網(wǎng)絡(luò)故障，但今天的互聯(lián)網(wǎng)路由協(xié)議使得這種技術(shù)不再必要。2100433B

源路由選項(xiàng)是IP數(shù)據(jù)報(bào)選項(xiàng)的其中之一，可用于測(cè)試某特定網(wǎng)絡(luò)的吞吐率，也可以是數(shù)據(jù)報(bào)繞開出錯(cuò)的網(wǎng)絡(luò)。

源路由可以分為兩類，一類是嚴(yán)格源路由選項(xiàng)（Strict Source Route），一類是松散源路由選項(xiàng)（Loose Source Route）。

嚴(yán)格源路由選項(xiàng)：規(guī)定IP數(shù)據(jù)報(bào)要經(jīng)過路徑上的每一個(gè)路由器，相鄰路由器之間不得有中間路由器，并且所經(jīng)過的路由器的順序不可更改。

松散源路由選項(xiàng)：只是給出IP數(shù)據(jù)報(bào)必須經(jīng)過的一些“要點(diǎn)”，并不給出一條完備的路徑，無直接連接的路由器之間的路由尚需IP軟件的尋址功能補(bǔ)充。

源路由是一種基于源地址進(jìn)行路由選擇的策略，可以實(shí)現(xiàn)根據(jù)多個(gè)不同子網(wǎng)或內(nèi)網(wǎng)地址，有選擇性地將數(shù)據(jù)包發(fā)往不同目的地址的功能。

例如有某路由器連接有兩個(gè)內(nèi)網(wǎng)和兩個(gè)外網(wǎng)

接口A：192.168.1.0/24 和接口B：192.168.2.0/24，接口C：10.10.10.10/30，接口D：20.20.20.20/30

要求網(wǎng)絡(luò)A的請(qǐng)求訪問發(fā)往網(wǎng)絡(luò)C，而網(wǎng)絡(luò)B的請(qǐng)求訪問發(fā)往網(wǎng)絡(luò)D，可以這樣的設(shè)置源路由：

SourceIP/NetMask GateWay Interface

192.168.1.0/24 10.10.10.09 接口C

192.168.2.0/24 20.20.20.19 接口D

源路由(source route)

先從源路由如何向連接在外地鏈路上的移動(dòng)節(jié)點(diǎn)發(fā)送數(shù)據(jù)包開始。 I P版本4在I P報(bào)頭中定義了一個(gè)可選項(xiàng)：Loose Source and Record Route Option。這個(gè)可選項(xiàng)列出了一個(gè)或多個(gè)中間目的地址，要求數(shù)據(jù)包在到達(dá)最終的目的地址前必須經(jīng)過這幾個(gè)中間地址。

例如，考慮一臺(tái)源主機(jī)要向一臺(tái)目的主機(jī)發(fā)送數(shù)據(jù)包，但它還想讓數(shù)據(jù)包經(jīng)過從源到目的地的路徑上的一臺(tái)特定路由器，這臺(tái)源主機(jī)將“下一個(gè)中間目的”地址，即那臺(tái)路由器的地址，放在目的 I P地址域中，而將目的主機(jī)的 I P地址放在 Loose Source and Record Route Op t i o n中，這時(shí)，數(shù)據(jù)包將按網(wǎng)絡(luò)前綴路由被送到目的 I P地址域中標(biāo)示的那臺(tái)路由器上。

當(dāng)那臺(tái)路由器接收到數(shù)據(jù)包后，它檢查可選項(xiàng)，發(fā)現(xiàn)自己只是一個(gè)中間目的地，于是，將Loose Source and Record Route Option 中所指示的地址取出， 也就是將目的主機(jī)的地址取出，然后將數(shù)據(jù)包送給去往目的主機(jī)的下一跳地址。在轉(zhuǎn)發(fā)該數(shù)據(jù)包前，路由器將自己的 I P地址記錄在Loose Source and Record Route Option中，實(shí)際上記錄的是它將數(shù)據(jù)包轉(zhuǎn)發(fā)出去的那個(gè)端口的I P地址。

當(dāng)數(shù)據(jù)包到達(dá)目的主機(jī)時(shí)，目的主機(jī)檢查可選項(xiàng)，發(fā)現(xiàn)自己就是包的最終目的地，因此目的主機(jī)將數(shù)據(jù)包送交 I P協(xié)議域所指示的高層協(xié)議處理。 I P報(bào)頭中定義的這個(gè)可選項(xiàng)還要求。當(dāng)目的主機(jī)對(duì)源主機(jī)進(jìn)行回答時(shí)，也要在它的數(shù)據(jù)包中包含 Loose Source and Record Route O p t i o n。當(dāng)然，目的主機(jī)應(yīng)包含的是“反向”的源路由。在這個(gè)例子中，目的主機(jī)在向原來的源主機(jī)發(fā)送數(shù)據(jù)包時(shí)，會(huì)在Loose Source and Record Route Option 中包含作為中間目的地的那臺(tái)路由器的地址。

在計(jì)算機(jī)網(wǎng)絡(luò)中，路由表（routing table）或稱路由擇域信息庫（RIB, Routing Information Base），是一個(gè)存儲(chǔ)在路由器或者聯(lián)網(wǎng)計(jì)算機(jī)中的電子表格（文件）或類數(shù)據(jù)庫。路由表存儲(chǔ)著指向特定網(wǎng)絡(luò)地址的路徑（在有些情況下，還記錄有路徑的路由度量值）。路由表中含有網(wǎng)絡(luò)周邊的拓?fù)湫畔?。路由表建立的主要目?biāo)是為了實(shí)現(xiàn)路由協(xié)議和靜態(tài)路由選擇。

在現(xiàn)代路由器構(gòu)造中，路由表不直接參與數(shù)據(jù)包的傳輸，而是用于生成一個(gè)小型指向表，這個(gè)指向表僅僅包含由路由算法選擇的數(shù)據(jù)包傳輸優(yōu)先路徑，這個(gè)表格通常為了優(yōu)化硬件存儲(chǔ)和查找而被壓縮或提前編譯。本文將忽略這個(gè)執(zhí)行的詳細(xì)情況而選擇整個(gè)路徑選擇/傳輸信息子系統(tǒng)作為路由表來說明。

可以看到，在LS和DV算法中，每個(gè)路由器都需要保存其他路由器的一些信息。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)中的路由器也將增加。因此，路由表的規(guī)模也將增大，從而使路由器不能有效地處理網(wǎng)絡(luò)流量。使用分級(jí)路由可以解決這個(gè)問題。讓使用DV算法來查找節(jié)點(diǎn)間的最佳路由。

在下述情形中，網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)保存了一個(gè)有17個(gè)記錄的路由表。在分級(jí)路由中，路由器被分成很多組，稱為區(qū)域。每個(gè)路由器都只有自己所在區(qū)域路由器的信息，而沒有其他區(qū)域路由器的信息。所以在其路由表中，路由器只需要存儲(chǔ)其他每個(gè)區(qū)域的一條記錄。在這個(gè)例子中，我們將網(wǎng)絡(luò)分為5個(gè)區(qū)域。

如果A想發(fā)送分組數(shù)據(jù)包到在區(qū)域2中的一個(gè)路由器（D、E、F或G），它就將分組數(shù)據(jù)包先發(fā)送到B，依此類推?？梢钥吹剑谶@種類型的路由中，可以對(duì)路由表進(jìn)行概括，因此網(wǎng)絡(luò)效率提高了。上面的例子描述了一個(gè)兩級(jí)的分級(jí)路由。同樣我們也可以采用三級(jí)或者四級(jí)的分級(jí)路由。

在一個(gè)三級(jí)的分級(jí)路由中，網(wǎng)絡(luò)被分為很多簇。每個(gè)簇由很多個(gè)區(qū)域組成，每個(gè)區(qū)域包含很多個(gè)路由器。分級(jí)路由廣泛應(yīng)用于互聯(lián)網(wǎng)路由中，并且使用了多種路由協(xié)議。

路由選擇就是構(gòu)建網(wǎng)絡(luò)節(jié)點(diǎn)路由表的過程，無論哪種分組網(wǎng)絡(luò)，路由選擇都是由網(wǎng)絡(luò)提供的基本功能，但咋X.25建議中對(duì)路由選擇并未作出明確規(guī)定，對(duì)不同的分組網(wǎng)允許有不同的路由選擇算法，如何確立路由選擇算法的好壞呢？分組的路由選擇的基本原則如下：算法簡單，易于實(shí)現(xiàn)，以減少額外開銷；算法對(duì)所有用戶都是公平的；應(yīng)選擇性能最佳的傳輸路徑，使得端到端時(shí)延盡量小，個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)工作量均衡，最大限度提高網(wǎng)絡(luò)資源利用率；網(wǎng)絡(luò)出現(xiàn)故障時(shí)，在網(wǎng)絡(luò)拓?fù)涓淖兊那闆r下，算法仍能正常工作，自動(dòng)選擇迂回路由。

不同的分組交換網(wǎng)有可能采取不同的路由選擇。路由選擇可分為動(dòng)態(tài)法和靜態(tài)法兩類。

路由選擇器靜態(tài)法

(1)擴(kuò)散式路由法，分組從原始節(jié)點(diǎn)發(fā)往與之相鄰的節(jié)點(diǎn)，接受該分組的節(jié)點(diǎn)檢查它是否收到過該分組，如果已經(jīng)收到過，則將它拋棄；如果未收到，只要該分組的目的節(jié)點(diǎn)不是該節(jié)點(diǎn)，就將此分組對(duì)相鄰節(jié)點(diǎn)進(jìn)行廣播，最終該分組必將到達(dá)目的節(jié)點(diǎn)。其中，最早到達(dá)目的節(jié)點(diǎn)的分組所經(jīng)歷的過程必定是一條最佳路徑。采用擴(kuò)散式路由法，路由選擇與網(wǎng)絡(luò)拓?fù)錈o關(guān)，即使網(wǎng)絡(luò)嚴(yán)重故障。只要有一條通路存在，分組也能到達(dá)終點(diǎn)，因此分組的傳輸?shù)目煽啃院芨?。但缺點(diǎn)是分組的無效傳輸量很大，網(wǎng)絡(luò)的額外開銷也大，網(wǎng)絡(luò)中業(yè)務(wù)量的增加會(huì)導(dǎo)致排隊(duì)時(shí)延的加大。

(2)固定路由表法，在每個(gè)節(jié)點(diǎn)交換機(jī)中設(shè)置一個(gè)包含路由目的節(jié)點(diǎn)地址和對(duì)應(yīng)輸出邏輯信道號(hào)的路由表，他指明從該節(jié)點(diǎn)到網(wǎng)絡(luò)中的任何終點(diǎn)應(yīng)當(dāng)選擇的路徑。呼叫請(qǐng)求分組根據(jù)分組的目的地址查找該路由表，這樣可以獲得各轉(zhuǎn)接節(jié)點(diǎn)的輸出邏輯信號(hào)，從而形成一條端到端的虛電路。為防止網(wǎng)絡(luò)故障或通路阻塞，路由表中可以規(guī)定主用路由和備用路由。

路由選擇器動(dòng)態(tài)法

(1)自適應(yīng)路由選擇網(wǎng)，自適應(yīng)路由選擇法是指路由選擇根據(jù)網(wǎng)絡(luò)情況的變化而變化。路由是由若干段鏈路串接而成的，自適應(yīng)路由選擇法是用迭代法逐段選取虛鏈路，從而形成一條端到端的虛電路。但在這種算法中，要求各節(jié)點(diǎn)存有全網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)，而且每條鏈路的變化信息必須廣播給網(wǎng)絡(luò)所有的節(jié)點(diǎn)。自適應(yīng)路由選擇算法對(duì)減少網(wǎng)絡(luò)時(shí)延、平滑網(wǎng)絡(luò)負(fù)載、防止網(wǎng)絡(luò)阻塞是有利的，但是路由表的頻繁更換可能引起網(wǎng)絡(luò)的不穩(wěn)定，產(chǎn)生分組循環(huán)或者使分組在一對(duì)節(jié)點(diǎn)之間來回穿梭，自適應(yīng)路由選擇算法是X.25分組網(wǎng)中應(yīng)用最為普遍的一種選路方式。

(2)集中式路由交換，網(wǎng)管中心負(fù)責(zé)全網(wǎng)狀態(tài)信息的采集、路由計(jì)算以及路由表的下載。在分組交換網(wǎng)中，交換機(jī)之間一般有多條路由可選擇。如何獲得一條較好的路由，除了要有一個(gè)通過網(wǎng)絡(luò)的平均時(shí)延較短和平衡網(wǎng)內(nèi)業(yè)務(wù)量能力較強(qiáng)的路由算法外，同時(shí)還要考慮網(wǎng)內(nèi)資源的利用和網(wǎng)絡(luò)結(jié)構(gòu)的適應(yīng)能力。 2100433B