怎么解决ARP攻击、DDoS攻击、IP分片攻击?

发布网友发布时间：2022-05-06 12:49

共2个回答

热心网友时间：2022-06-30 14:55

ARP攻击比较傻瓜，一般在局域网内才有的。只要你局域网内的计算机保护得比较好的话，一般都不会发生的。先说下ARP攻击举例吧（原理网上很多，可以自己搜索下），一般情况下发起ARP攻击者会冒充网关（也就是你们数据的出口）制造并发送无数条arp回应包，告诉其他主机你到网关的MAC地址就是我这个攻击者的MAC地址（因为局域网内是首先靠MAC寻址的），这时其他主机发起数据连接时，就会将数据的目标MAC地址填入攻击者的MAC地址，而不是正常网关的MAC地址，这样其他主机的数据流量都会发送的攻击者主机上。攻击者就可以监控到你的数据流，也能控制你的数据流是否转发到网关上去。arp攻击防护的话，现在的杀毒软件都arp保护模块，其原理也就是在你的网卡上面把的网关的IP地址与网关正确MAC地址绑定，你自己也可以手工添加在MDOS下arp -s 目标IP 目标MAC。如果你的交换机是智能交换机的话，交换机上就可以开启ARP保护功能。总的来说，arp攻击是能很好的防御的！现在说DDOS攻击，通俗一点，就是对你的服务器或者路由器，你自己用的电脑发送大量的TCP,UDP，ICMP包（在这些里面数据包里头又可以衍生出多种攻击模式），堵塞你的网卡，使你的电脑，服务器，无法响应正常的数据包。举例来说吧：在发起TCP连接时，正常连接时，客户机会发起TCP连接请求（SYN），目标主机会回复并确认客户机的连接请求(ACK)，并同时发送请求包（SYN+ACK），客户机收到后会回复确认，这样TCP连接就建立起来。攻击者就会应用这一点，向目标主机发起大量的虚假源地址的TCP连接请求包（SYN），然后目标主机就会对这些虚假源地址回复确认并同时发送请求包。但此时由于源地址是虚假的，目标主机根本就无法收到确认包。因为TCP连接有个超时过程，在没收到确认包时会不断的重发回复确认包，直接超时！这样攻击数据包一多，我们的目标主机就根本没有资源回复正常的数据包，并且大量消耗其CPU使用资源。这也就是传统所说的TCP半开连接攻击！除了这个外还有TCP全连接攻击，就是启用大量的主机与目标机器产生TCP全连接，造成目标主机TCP连接队列溢出，然后崩溃！DDOS攻击很多种，这只是一部分，一般防御手法就是隐藏起你需要保护的服务器或者主机，比如防火墙，有防火墙的隔离的情况下，TCP连接时，发起者均不会直接与我们要保护的主机发生关系。他先与防火墙建立起连接，然后防火墙在与我们要保护的主机建立连接。而且防火墙本身会监测DDOS攻击，会自动废除这些连接。IP分片攻击，先说正常的IP分片，目前我们网络中数据包有一个大小的*，也就是MTU值，MTU最大也就1500，当我们发送出去的数据包超过此数值，则会对此数据进行分片，记录好分片的位置（也就是偏移量）然后在传输出去，达到目的主机之后通过“分片之间偏移量”重新组合成一个完成的数据包。IP分片攻击就是利用这点，在你发起大量的IP分片时，而这些分片之间是毫无关系，或者分片的偏移量是经过调整的。这样我们的主机会消耗大量的CPU来重组这些分片，重组完成之后发现是错误的数据包而又丢弃！如果这种数据包一多，系统就无法处理，导致死机!我们防护一般是也是通过防火墙，防火墙上可以*IP分片每秒的流量，或者是完成deny掉。当然在windows系统上打上最新的补丁，自定义IP安全策略，设置“碎片检查”。

热心网友时间：2022-06-30 14:56

要保证内网所有电脑都安全的，不能有其他的病毒和木马程序控制参数配置方面，在防火墙端口使用策略在处理，带宽资源配合使用效果更好。