广播风暴攻击软件, *** 广播风暴
作者:hacker | 分类:破解 | 浏览:164 | 日期:2022年07月13日目录:
广播风暴的ARP攻击
基本定义:
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,对应于数据链路层,负责将某个IP地址解析成对应的MAC地址。
基本功能:
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。
攻击原理:
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在 *** 中产生大量的ARP通信量使 *** 阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成 *** 中断或中间人攻击。
ARP攻击主要是存在于局域网 *** 中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在 *** 内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地 *** 流通的基础,而且这个缓存是动态的。 激活防止ARP病毒攻击。在路由器中打开该选项,或者为计算机安装防范ARP攻击的软件,如360安全卫士的局域网ARP攻击拦截的保护功能等;对局域网内每一台计算机绑定网关的IP和其mac地址;给每一台计算机安装最新补丁,更好通过在局域网内架设补丁服务器(WSUS)来确保每一台计算机都能 打上最新的补丁程序,如关键更新、安全更新和Service Pack;给系统管理员帐户
设置足够复杂的强密码;经常更新杀毒软件的病毒库和 *** 软件防火墙的规则库;关闭一些不需要的服务;不随意点击聊天工具里出现的超链接、邮件的附件和来历不明的程序。 部分视频 *** 传输设备为了便于 *** 视频点播,常常采用UDP的方式,以广播数据包的形式对外进行发送,如果在专用 *** 中也使用这种方式,很容易引发广播风暴,导致 *** 阻塞,因此必须通过相关设置来杜绝这类故障。
对策:将视频 *** 传输设备所连接的交换机端口进行一些设置,对设备本身的 *** 传输模式以及传送协议类型进行更改,消除 *** 广播风暴。 如不合适的温度、湿度、震动和电磁干扰等,尤其是电磁干扰比较严重的环境下,同样也有可能会使 *** 变得不稳定,造成数据传输错误,引发广播风暴。
对策:要严格执行接地要求,特别是涉及远程线路的 *** 转接设备,否则达不到规定的连接速度,导致在联网过程中产生莫名其妙的故障;另外在建网之初必须考虑尽量避免计算机或者 *** 介质直接暴露强磁场中,如电磁炉、高压电缆、电源插头处等等;定期对计算机进行清洁工作。
广播风暴是什么?该怎么解决?
一、广播风暴
广播风暴(broadcast storm)简单的讲是指当广播数据充斥 *** 无法处理,并占用大量 *** 带宽,导致正常业务不能运行,甚至彻底瘫痪,这就发生了“广播风暴”。
一个数据帧或包被传输到本地网段 (由广播域定义)上的每个节点就是广播;由于 *** 拓扑的设计和连接问题,或其他原因导致广播在网段内大量复制,传播数据帧,导致 *** 性能下降,甚至 *** 瘫痪,这就是广播风暴。
二、解决对策
1、检查所使用的 *** 设备是否是交换机,如果不是则更换正确的交换机,切记不要使用集线器。
2、使用MRGT等流量查看软件可以查看出现短路的端口,如果交换机是可网管的,也可以通过逐个封闭端口来进行处理查找,进而找到有问题的网线。找到短路的网线后,更换一根网线。
3、在接入层启用树生成协议,或者在诊断故障时打开树生成协议,以便协助确定故障点。在广播风暴发生时,应首先了解发生故障前 *** 的改动,建立完善的 *** 文档资料,包括: *** 布线图、IP地址和MAC地址对应表等,可以通过局域网工具软件来扫描获取这些信息。
4、用于级联交换机的跳线应当做一些特殊标记,更好选择使用不同颜色的跳线,与其他普通跳线相区别。
5、可将其他正常的计算机接到有问题的端口上,如果故障解决,则是原先计算机的网卡损坏或 *** 故障所致,更换新网卡并检测线路及 *** 配置即可解决。
如果故障依旧,则说明原先计算机的网卡未损坏,可能是交换机的该端口已损坏,检查该端口的指示灯,如确认是该端口损坏,应及时将交换机送修或者将计算机连接到其他端口,注意,不要擅自修理交换机,否则损坏交换机得不偿失。
6、为每台计算机安装杀毒软件,并配置补丁服务器(WSUS)来保证局域网内所有的计算机都能及时打上最新的补丁。
扩展资料
抑制广播风暴的 *** :
1.确保局域网内的每台主机都安装了最新的补丁且定时更新杀毒软件病毒库,按时对主机进行扫描查杀,通过这种方式容易检测并除去计算机上导致局域网广播风暴的病毒。
2.交换机开启STP协议,可有效抑制广播风暴。
3.局域网中采用静态路由可有效避免广播风暴。在电脑桌面双击打开浏览器,输入路由器的web管理地址,点击回车键。根据提示输入账号和密码,点击确定。
4.在左侧找到并点击安全功能—安全设置,然后在右侧全部勾选启用,最后点击保存。
5.在左侧找到并点击DHCP服务器,然后在右侧勾选不启用,最后点击保存。
6.在左侧找到并点击IP与MAC绑定—ARP映射表,然后在右侧找到并点击全部导入。
7.在左侧找到并点击静态ARP绑定设置,然后在右侧勾选启用、保存,最后在状态里面全部勾选并点击使所有条目生效。
8.除了上述 *** 之外还可以通过 *** 准入控制系统来进行设置解决。百度下载大势至 *** 准入控制系统,解压后找到主控程序LANProtector.exe和抓包程序WinPcap.exe,依次双击安装。
参考资料来源:百度百科-广播风暴
广播风暴有什么危害.产生广播风的具体原因是什么?
广播风暴是企业局域网内,经常发生的问题之一,也比较难以排除,故我们需要对它进行预防排除。
广播风暴指过多的广播包消耗了大量的 *** 带宽,导致正常的数据包无法正常在 *** 中传送,通常指一个广播包引起了多个的响应,而每个响应又引起了多个得响应,就像滚雪球一样,把 *** 的所有带宽都消耗殆尽。该现象通常是由于 *** 环路、故障网卡、病毒等引起的。
一、 广播风暴:提前预防(以CISCO catalyst switch为例)
1、首先使用网管分析你 *** 的baseline,这样可以明确你的 *** 当中正常情况下的广播包比例是多少。
2、目前绝大多数交换机都支持广播风暴抑制特性,配置了这个特性以后,你可以控制每个端口的广播包维持在特定的比例之下,这样可以保留带宽给必须的应用。
配置:(以CISCO catalyst switch为例)
Int XX
storm-control broadcast level 20.00
switch#sh storm
Interface Filter State Level Current
Fa1/0/1 Forwarding 20.00% 0.00%
3、针对缺省STP配置无法排除的 *** 环路问题,利用STP的BPDUguard特性来预防广播风暴。此种 Switch启用了STP,而hub则被人有意无意的用一根网线联起来,导致引起了环路。SWITCH的端口不会收到其他交换机或本交换机其他端口的BPDU,不会引起该端口的STP决策过程,也就不可能blocking该端口,这样就会引起广播风暴。我们可以利用CISCO STP的BPDUguard特性来预防这一点。
int xxx
spanning-tree bpduguard enable
**值得注意的是bpduguard可以在全局下配置,也可以在每端口的基础上配置。如果在全局下配置,则只对配置了portfast的端口起作用,如果在端口下配置,则不用配置portfast
二、 广播风暴排障大法(以CISCO catalyst switch为例)
如果 *** 中已经产生了 *** 风暴(现象通常为 *** 丢包、响应迟缓、时断时通等),则可以利用如下的 *** 来排障:
1、 首先确认是否是 *** 风暴或其他异常流量引起的 *** 异常,在核心交换机上
Switchsh proc cpu | e 0.00
CPU utilization for five seconds: 19%/0%; one minute: 19%; five minutes: 19%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
15 20170516 76615501 263 0.31% 0.13% 0.12% 0 ARP Input
26 7383266801839439482 401 5.03% 4.70% 5.08% 0 Cat4k Mgmt HiPri
27 8870781921122570949 790 5.67% 7.50% 6.81% 0 Cat4k Mgmt LoPri
43 730060152 341404109 2138 6.15% 5.29% 5.28% 0 Spanning Tree
50 59141788 401057972 147 0.47% 0.37% 0.39% 0 IP Input
56 2832760 3795155 746 0.07% 0.03% 0.01% 0 Adj Manager
58 4525900 28130423 160 0.31% 0.25% 0.18% 0 CEF process
96 20789148 344043382 60 0.23% 0.09% 0.08% 0 Standby (HSRP)
如果交换机的CPU利用率较高,且大部分的资源都被“IP Input”进程占用,则基本可以确定 *** 中有大流量的数据
2、 查找异常流量是从交换机的那一个端口来的:
switch #sh int | i protocol|rate|broadcasts
FastEthernet1/0/1 is up, line protocol is up (connected)
Queueing strategy: fifo
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 2000 bits/sec, 3 packets/sec
Received 241676 broadcasts (0 multicast)
如果找到一个端口的input rate非常高,且接收到的广播包也非常多,则基本可以找到来源,如果该端口下联的也是可管理的交换机,则再次执行此过程,直到找到一个连接PC或者HUB的端口
3、 shutdown该端口
int xx
shutdown
4、 查找产生异常流量的根源
如果是HUB环路,则拆掉环;如果是病毒,则做杀毒处理;如果是网卡异常,则更换网卡。此部分不详述。
5、 确认交换机的CEF功能是否启用,如果没有,则需要启用,可以加速流量的转发
switchsh ip cef
配置CEF:
全局模式下输入
ip cef
什么是广播风暴(broadcast Storm)
广播风暴指数据帧形成环路,而帧头中无ttl的结构,所以帧始终有效,由于广播没有特定目标地址,所以hub/swtich会永远转发下去
引起 *** 广播风暴的几种原因
1、 *** 设备原因:我们经常会有这样一个误区,交换机是点对点转发,不会产生广播风暴。在我们购买 *** 设置时,购买的交换机,通常是智能型的Hub,却被奸商当做交换机来卖。这样,在 *** 稍微繁忙的时候,肯定会产生广播风暴了。
2、网卡损坏:如果 *** 机器的网卡损坏,也同样会产生广播风暴。损坏的网卡,不停向交换机发送大量的数据包,产生了大量无用的数据包,产生了广播风暴。由于网卡物理损坏引起的广播风暴,故障比较难排除,由于损坏的网卡一般还能上网,我们一般借用Sniffer局域网管理软件,查看 *** 数据流量,来判断故障点的位置。
3、 *** 环路:曾经在一次的 *** 故障排除中,发现一个很可笑的错误,一条双绞线,两端插在同一个交换机的不同端口上,导致了 *** 性能急骤下降,打开网页都非常困难。这种故障,就是典型的 *** 环路。 *** 环路的产生,一般是由于一条物理 *** 线路的两端,同时接在了一台 *** 设备中。
4、 *** 病毒:目前,一些比较流行的 *** 病毒,Funlove、震荡波、RPC等病毒,一旦有机器中毒后,会立即通过 *** 进行传播。 *** 病毒的传播,就会损耗大量的 *** 带宽,引起 *** 堵塞,引起广播风暴。
5、黑客软件的使用:目前,一些上网者,经常利用 *** 执法官、 *** 剪刀手等黑客软件,对网吧的内部 *** 进行攻击,由于这些软件的使用, *** 也可能会引起广播风暴