内容导读:导航目录:1、UDP是什么?ARP攻击又是什么?2、最近卡巴老是提示检测到***攻击Scan.Generic.UDP····被阻止.无法阻止攻击计算机,因为该地址可能是伪3、Udp洪水攻击和DDOS洪水攻击一样吗UDP...……
导航目录:
- 1、UDP是什么?ARP攻击又是什么?
- 2、最近卡巴老是提示检测到 *** 攻击Scan.Generic.UDP····被阻止.无法阻止攻击计算机,因为该地址可能是伪
- 3、Udp洪水攻击和DDOS洪水攻击一样吗
UDP是什么?ARP攻击又是什么?
UDP
UDP(User Datagram Protocol) 用户数据报协议 (RFC 768)
用户数据报协议(UDP)是 OSI 参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务。 UDP 协议基本上是 IP 协议与上层协议的接口。 UDP 协议适用端口分别运行在同一台设备上的多个应用程序。
由于大多数 *** 应用程序都在同一台机器上运行,计算机上必须能够确保目的地机器上的软件程序能从源地址机器处获得数据包,以及源计算机能收到正确的回复。这是通过使用 UDP 的“端口号”完成的。例如,如果一个工作站希望在工作站 128.1.123.1 上使用域名服务系统,它就会给数据包一个目的地址 128.1.123.1 ,并在 UDP 头插入目标端口号 53 。源端口号标识了请求域名服务的本地机的应用程序,同时需要将所有由目的站生成的响应包都指定到源主机的这个端口上。 UDP 端口的详细介绍可以参照相关文章。
与 TCP 不同, UDP 并不提供对 IP 协议的可靠机制、流控制以及错误恢复功能等。由于 UDP 比较简单, UDP 头包含很少的字节,比 TCP 负载消耗少。
UDP 适用于不需要 TCP 可靠机制的情形,比如,当高层协议或应用程序提供错误和流控制功能的时候。 UDP 是传输层协议,服务于很多知名应用层协议,包括 *** 文件系统(NFS)、简单 *** 管理协议(SNMP)、域名系统(DNS)以及简单文件传输系统(TFTP)。
ARP攻击
ARP定义
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,负责将某个IP地址解析成对应的MAC地址。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。
ARP攻击原理
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在 *** 中产生大量的ARP通信量使 *** 阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成 *** 中断或中间人攻击。
ARP攻击主要是存在于局域网 *** 中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在 *** 内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
遭受ARP攻击后现象
ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。
ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个 *** 的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取 *** 密码、盗取各种 *** 游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。
基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的 *** 通信。一般情况下,受到ARP攻击的计算机会出现两种现象:
1.不断弹出“本机的0-255段硬件地址与 *** 中的0-255段地址冲突”的对话框。
2.计算机不能正常上网,出现 *** 中断的症状。
因为这种攻击是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种攻击。
对ARP攻击的防护
防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地 *** 的安全性。
首先,你要知道,如果一个错误的记录 *** 入ARP或者IP route表,可以用两种方式来删除。
a. 使用arp –d host_entry
b. 自动过期,由系统删除
这样,可以采用以下的一些 *** :
1). 减少过期时间
#ndd –set /dev/arp arp_cleanup_interval 60000
#ndd -set /dev/ip ip_ire_flush_interval 60000
60000=60000毫秒 默认是300000
加快过期时间,并不能避免攻击,但是使得攻击更加困难,带来的影响是在 *** 中会大量的出现ARP请求和回复,请不要在繁忙的 *** 上使用。
2). 建立静态ARP表
这是一种很有效的 *** ,而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。
test.nsfocus.com 08:00:20:ba:a1:f2
user. nsfocus.com 08:00:20:ee:de:1f
使用arp –f filename加载进去,这样的ARP映射将不会过期和被新的ARP数据刷新,除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变,就必须手工刷新这个arp文件。这个 *** ,不适合于经常变动的 *** 环境。
3).禁止ARP
可以通过ipconfig interface –arp 完全禁止ARP,这样,网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表,如果不在apr表中的计算机 ,将不能通信。这个 *** 不适用与大多数 *** 环境,因为这增加了 *** 管理的成本。但是对小规模的安全 *** 来说,还是有效可行的。
但目前的ARP病毒层出不穷,已经不能单纯的依靠传统的 *** 去防范,比如简单的绑定本机ARP表,我们还需要更深入的了解ARP攻击原理,才能够通过症状分析并解决ARP欺骗的问题,这里引用一篇关于分析最新ARP病毒:黑金的文章.通过文章,大家可以更好的了解先进ARP欺骗的发展趋势:;extra=page%3D1
最近卡巴老是提示检测到 *** 攻击Scan.Generic.UDP····被阻止.无法阻止攻击计算机,因为该地址可能是伪
这应该是来自 *** 的udp攻击,如果你在局域网内,很有可能你们局域网内有人攻击你,udp攻击一般只会拖累你网速,如果你电脑没有漏洞,你们一般不会被病毒感染,卡巴已经阻止了攻击,放心吧,而且 *** 攻击和电脑病毒没关系。
Udp洪水攻击和DDOS洪水攻击一样吗
UDP洪水攻击,或者叫UDP Flood,主要是利用大量UDP报文,冲击目标IP地址,有时候可能会把目标服务器打瘫,但是更多时候是把服务器的带宽堵死了。
UDP洪水攻击是DDoS洪水攻击的一种,DDoS洪水还包括用其他类型报文的攻击,例如TCP Flood(包括Syn flood/ACK Flood等)、ICMP Flood、IGMP Flood。
ARP欺骗一般不会用来做DDoS攻击,因为ARP主要是一个二层的协议,一旦出现跨路由器跳IP转发,ARP报文就不能转发了。因此如果有ARP Flood,业内一般也不会作为DDoS洪水攻击分类,最多算是在二层内网搞破坏罢了。