TCP/IP卷一:22---与链路层相关的攻击

• 对TCP/IP以下的层进行攻击以影响TCP/IP网络运行一直是常见的做法,这是由于大部 圃 分链路层信息不被高层共享,因而难以检测。不过,现在大家已知道很多这种攻击,我们在 这里提到其中一些,以更好地理解链路层问题如何影响高层运行
• 在传统的有线以太网中,接日可被设置为混杂模式,这允许它接收目的地不是自已的流 量。在早期的以太网中,当介质是名副其实的共享电缆时,该功能允许任何一台连接以太网 电缆的计算机“嗅探”别人的帧并检查其内容。当时很多高层协议包含密码等敏感信息,仅 通过查看一个分组并解码就能轻易获得密码。两个因素对这种方法的影响很大：交换机部署 和高层协议加密部署。在使用交换机后,只有连接到交换机端日的站提供流量,流量的目的 地也是其他站(或其他桥接的站),以及广播/组播流量。这种流量很少包含敏感信息(例如 密码),可在很大程度上阻止攻击。但是,在更高层使用加密更有效,这在当前是常见的。在 这种情况下,嗅探分组难以获得多少好处,因为基本无法直接获取内容
• 另一种攻击的目标是交换机。交换机中有一个基于每个端口的站列表。如果这种表能被 快速填充(例如被大量伪装的站快速填充),交换机可能被迫放弃合法条目,从而导致中断对 合法站的服务。一个相关但可能更严重的攻击是使用STPo在这种情况下,一个站可伪装成 一个到根网桥拥有低成本路径的站,从而吸引流量直接导向它
• 随着Wi-Fi网络的使用,有线以太网中存在的一些窃听和伪装问题变得更严重,这是由 于任何站都可进人监控模式并嗅探分组( 802.11接口置于监控模式通常比以太网接日置于混 杂模式更有挑战性,这样做依赖于一个适当的设备)。一些早期“攻击” (可能不是真的被攻 击,依据相关的法律框架)涉及扫描中的简单漫游,寻找提供Intemet连接的接人点(即驾 驶攻击)。虽然很多接人点使用加密来限制授权用户的访问,但有些人却能打开或使用捕获 门户技术访问注册网页,然后进行基于MAC地址的过滤访问。通过观察站注册以及冒充合 法注册用户来“劫持”连接,捕获门户系统已被破坏
• 一种更先进的Wi-Fi攻击涉及对加密保护的攻击,尤其是很多早期接人点使用的WEP加密。针对WEP [BHLO6]的攻击有显著的破坏性,它促使IEEE修订了自已的标准。新的 WPA2 (和WPA)加密体系明显更强,因此不再推荐使用WEP
• 如果攻击者可访问两个端点之间的信道,它可采用很多方式来攻击PPP链路。对于很简 单的认证机制(例如PAP),嗅探可用于捕获密码,以便后续的非法访问。通过PPP链路(例 如路由流量)上的更高层流量,可导致系统的不可用
• 从攻击的角度看,隧道经常是目标,有时也成为攻击工具。作为目标,隧道穿过一个网 络(通常是Intemet),它是被截获和分析的目标。隧道端点配置也可被攻击,尝试由端点建 立更多隧道(一个DoS攻击)或攻击配置自身。如果该配置被攻破,可能打开一个未授权的 隧道端点。在这点上,隧道变成工具而不再是目标,有些协议(例如L2TP)提供一种与协议 无关的简便方法,以在链路层访问私有的内部网络。在一种GRE相关的攻击中,例如将流 量简单地插人一个非加密隧道,它到达隧道端点并被注入“私有”网络,虽然它本来只应被 送往端点本地