已经知道攻击我计算机的IP和MIC,请问能不能确定攻击源?会不会是假的IP和MIC?我是被ARP攻击,请高手分析
ARP攻击一般不是黑客攻击,而是病毒或木马攻击。你这种情况是计算找到攻击源也没用,它根本就不是黑客攻击。而且,攻击源一般在你的局域网里。你找到了也没用。。。
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
RARP的工作原理:
1 发送主机发送一个本地的RARP广播,在此广播包中,声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址;
2 本地网段上的RARP服务器收到此请求后,检查其RARP列表,查找该MAC地址对应的IP地址;
3 如果存在,RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用;
4 如果不存在,RARP服务器对此不做任何的响应;
5 源主机收到从RARP服务器的响应信息,就利用得到的IP地址进行通讯;如果一直没有收到RARP服务器的响应信息,表示初始化失败。
6如果在第1-3中被ARP病毒攻击,则服务器做出的反映就会被占用,源主机同样得不到RARP服务器的响应信息,此时并不是服务器没有响应而是服务器返回的源主机的IP被占用。
IC:介绍 MIC(Mobile Internet Card)是一种全新的智能卡产品,以移动用户熟悉的 SD/MMC 或 Micro-SD卡作为产品形态,自成一个完整系统,有独立的对外联系通道、独立的处理能力和存储能力,其外部通信不依赖手机,借助终端的显示能力就可以完成各种应用的下载、运行等。MIC 卡可以直接装载在目前主流的2G/3G 手机终端、数码相机、手持导航仪、PMP 等移动设备中使用,用户无需作任何设置,即可完成与无线宽带网络的连接,并自动将个人账号与远端服务器进行关联,实现统一计费和运营。
大致是有以下几种原因:
1、SERVER的SSHD会去DNS查找访问的CLIENT IP的HOSTNAME,如果DNS不可用或者没有相关记录,就会消耗一段时间。
2、在authentication gssapi-with-mic有时候也会消耗一段时间
一、测试查找具体原因:
1、使用ssh -v host进行debug
<span style="font-size:18px;"># ssh -v 19216810010</span>
然后就会输出一大堆debug,通过debug信息就可以看到连接到什么地方被耽搁了
比如会显示如下信息:
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure Minor code may provide more information
No credentials cache found
2、检测连接时间
<span style="font-size:18px;"># time ssh root@19216810010 exit</span>
二、解决方法(建议一个个设置,因为每个人连接慢的原因都不一样):
注意:修改之后记得重启sshd服务
# service sshd restart
1、关闭DNS反向解析
在linux中,默认就是开启了SSH的反向DNS解析,这个会消耗大量时间,因此需要关闭。
# vi /etc/ssh/sshd_config
UseDNS=no
在配置文件中,虽然UseDNS yes是被注释的,但默认开关就是yes
2、关闭SERVER上的GSS认证
在authentication gssapi-with-mic有很大的可能出现问题,因此关闭GSS认证可以提高ssh连接速度。
# vi /etc/ssh/sshd_config
GSSAPIAuthentication no
3、修改server上nsswitchconf文件
# vi /etc/nsswitchconf
找到
hosts: files dns
改为
hosts:files
hosts: files dns这一行含义是对于访问的主机进行域名解析的顺序,是先访问file,也就是/etc/hosts文件,如果hosts中没有记录域名,则访问dns,进行域名解析,如果dns也无法访问,就会等待访问超时后返回,因此等待时间比较长。
注意:如果SERVER需要通过域名访问其他服务器,则需要保留此行。
4、修改SERVER上resolvconf文件
41、删除/etc/resolvconf中所有不使用的IP。
42、把nameserver全部删除,问题也能解决,但是服务器就无法上网了。
43、如果SERVER曾经配置过双网卡,则在该文件中会有一行目前不使用的IP地址,删除该行即可。
5、修改SERVER上hosts文件
在SERVER上/etc/hosts文件中把客户端的IP和HOSTNAME加入
6、打开SERVER上的IgnoreRhosts参数
IgnoreRhosts参数可以忽略以前登录过主机的记录,设置为yes后可以极大的提高连接速度
# vi /etc/ssh/sshd_config
IgnoreRhosts yes
----------------以上的均在SERVER上设置,以下的均在CLIENT上设置-------------------
7、修改客户端的hosts文件
将目标SERVER的IP和域名加上去,使得本机的DNS服务能解析目标地址。
# vi /etc/hosts
19216810011 doiidocom
注:hosts文件格式为'目标SERVER_IP 目标SERVER_NAME'。但是使用这个方法有一个弊端,如果需要给每台SERVER都添加一个域名解析。
8、修改客户端配置文件ssh_conf(注意,不是sshd_conf)
# vi /etc/ssh/ssh_conf
找到
GSSAPIAuthentication yes
改为
GSSAPIAuthentication no
网站模板库 » 已经知道攻击我计算机的IP和MIC,请问能不能确定攻击源?会不会是假的IP和MIC?我是被ARP攻击,请高手分析
0条评论