常见网络攻击手段原理分析

admin管理员组

文章数量:1576767

常见网络攻击手段原理分析

 

1.  端口扫描

根据TCP协议规范，当一台计算机收到一个TCP连接建立请求报文（TCP SYN）的时候，做这样的处理：

1）如果请求的TCP端口没有开放，则回应一个TCP RST（TCP头部中的RST标志设为1）报文，告诉发起计算机，该端口没有开放。

2）如果请求的TCP端口是开放的，则回应一个TCP ACK报文，并建立TCP连接控制结构（TCB）；

相应地，如果IP协议栈收到一个UDP报文，做如下处理：

1）如果该报文的目标端口没有开放，则向发起者回应一个ICMP不可达报文，告诉发起者计算机该UDP报文的端口不可达。

　　2） 如果该报文的目标端口开放，则把该UDP报文送上层协议（UDP）处理，不回应任何报文（上层协议根据处理结果而回应的报文例外）；

　　利用这个原理，攻击者计算机便可以通过发送合适的报文，判断目标计算机哪些TCP或UDP端口是开放的，过程如下：

　　1）发出端口号从0开始依次递增的TCPSYN或UDP报文（端口号是一个16比特的数字，这样最大为65535，数量很有限）；

　　2）如果收到了针对这个UDP报文的ICMP不可达报文，或针对这个TCP报文的RST报文，则说明这个端口没有开放；

　　3）相反，如果没有接收到任何针对该UDP报文的ICMP报文，或者收到了针对这个TCP SYN报文的ACK报文，则说明该TCP端口是开放的，UDP端口可能开放（因为有的实现中可能不回应ICMP不可达报文，即使该UDP端口没有开放）。

　　这样继续下去，便可以很容易的判断出目标计算机开放了哪些TCP或UDP端口，然后针对端口的具体数字，进行下一步攻击，这就是所谓的端口扫描攻击。

2.  分片IP报文攻击

　　为了传送一个大的IP报文，IP协议栈需要根据链路接口的MTU对该IP报文进行分片，通过填充适当的IP头中的分片指示字段，接收计算机可以很容易的把这些IP分片报文组装起来。

目标计算机在处理这些分片报文的时候，会把先到的分片报文缓存起来，然后一直等待后续的分片报文，这个过程会消耗掉一部分内存，以及一些IP协议栈的数据结构。

如果攻击者给目标计算机只发送一片分片报文，而不发送所有的分片报文，这样攻击者计算机便会一直等待（直到一个内部计时器到时），如果攻击者发送了大量的分片报文，就会消耗掉目标计算机的资源，而导致不能相应正常的IP报文，这也是一种DOS攻击。

3.TCP SYN拒绝服务攻击

一般情况下，一个TCP连接的建立需要经过三次握手的过程，即：

第一次握手：客户端发送syn包(seq=x)到服务器，并进入SYN_SEND状态，等待服务器确认;

第二次握手：服务器收到syn包，必须确认客户的SYN(ack=x+1)，同时自己也发送一个SYN包(seq=y)，即SYN+ACK包，此时服务器进入SYN_RECV状态;

第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack=y+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

　　利用这个过程，一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击：

1）攻击者向目标计算机发送一个TCP SYN报文；

2）目标计算机收到这个报文后，建立TCP连接控制结构（TCB），并回应一个ACK，等待发起者的回应；

3）而发起者则不向目标计算机回应ACK报文，这样导致目标计算机一致处于等待状态。

可以看出，目标计算机如果接收到大量的TCP SYN报文，而没有收到发起者的第三次ACK回应，会一直等待，处于这样尴尬状态的半连接如果很多，则会把目标计算机的资源（TCB控制结构，TCB，一般情况下是有限的）耗尽，而不能响应正常的TCP连接请求。

4.UDP洪水

又称UDP攻击或UDP淹没攻击（英文：UDPFlood Attack）是导致基於主机的服务拒绝攻击的一种。UDP 是一种无连接的协议，而且它不需要用任何程序建立连接来传输数据。当受害系统接收到一个 UDP 数据包的时候，它会确定目的端口正在等待中的 应用程序。当它发现该端口中并不存在正在等待的应用程序，它就会产生一个目的地址无法连接的 ICMP数据包发送给该伪造的源地址。如果向受害者计算机端口发送了足够多的 UDP 数据包的时候，整个系统就会瘫痪。

5.ICMP洪水

顾名思义，就是对目的主机发送洪水般的ping包，使得目的主机忙于处理ping包而无能力处理其他正常请求，这就好像是洪水一般的ping包把目的主机给淹没了。

ICMP洪水攻击是在ping的基础上形成的，但是ping程序很少能造成目的及宕机的问题，这是因为ping的发送包的速率太慢了，像我实现的PING程序里ping包发送速率限定在1秒1发，这个速率目的主机处理ping包还是绰绰有余的。所以要造成“洪水”的现象，就必须提升发包速率。这里介绍三种ICMP洪水攻击的方式：

1）直接洪水攻击

这样做需要本地主机的带宽和目的主机的带宽之间进行比拼，比如我的主机网络带宽是30M的，而你的主机网络带宽仅为3M，那我发起洪水攻击淹没你的主机成功率就很大了。这种攻击方式要求攻击主机处理能力和带宽要大于被攻击主机，否则自身被DoS了。基于这种思想，我们可以使用一台高带宽高性能的电脑，采用多线程的方法一次性发送多个ICMP请求报文，让目的主机忙于处理大量这些报文而造成速度缓慢甚至宕机。这个方法有个大缺点，就是对方可以根据ICMP包的IP地址而屏蔽掉攻击源，使得攻击不能继续。

 2）伪IP攻击

在直接洪水攻击的基础上，我们将发送方的IP地址伪装成其他IP，如果是伪装成一个随机的IP，那就可以很好地隐藏自己的位置；如果将自己的IP伪装成其他受害者的IP，就会造成“挑拨离间”的情形，受害主机1的icmp回复包也如洪水般发送给受害主机2，如果主机1的管理员要查是哪个混蛋发包攻击自己，他一查ICMP包的源地址，咦原来是主机2，这样子主机2就成了戴罪羔羊了。

 3）反射攻击

这类攻击的思想不同于上面两种攻击，反射攻击的设计更为巧妙。其实这里的方式三的攻击模式是前两个模式的合并版以及升级版，方式三的攻击策略有点像“借刀杀人“，反射攻击不再直接对目标主机，而是让其他一群主机误以为目标主机在向他们发送ICMP请求包，然后一群主机向目的主机发送ICMP应答包，造成来自四面八方的洪水淹没目的主机的现象。比如我们向局域网的其他主机发送ICMP请求包，然后自己的IP地址伪装成目的主机的IP，这样子目的主机就成了ICMP回显的焦点了。这种攻击非常隐蔽，因为受害主机很难查出攻击源是谁。

6.死亡之PING

TCP/IP规范要求IP报文的长度在一定范围内（比如，0－64K），但有的攻击计算机可能向目标计算机发出大于64K长度的PING报文，导致目标计算机IP协议栈崩溃。通过发送大量的无用请求数据包给服务器，耗尽服务器资源，从而无法通过正常的访问服务器资源，导致服务器崩溃。

 如果多个ip通过发起对一个服务器的攻击，如果无防御措施，不管服务器内存多大，宽带多宽，CPU多快，都无法抵御这种攻击。

7.SYN比特和FIN比特同时设置

在TCP报文的报头中，有几个标志字段：

1）SYN：连接建立标志，TCP SYN报文就是把这个标志设置为1，来请求建立连接；

2）ACK：回应标志，在一个TCP连接中，除了第一个报文（TCP SYN）外，所有报文都设置该字段，作为对上一个报文的相应；

3）FIN：结束标志，当一台计算机接收到一个设置了FIN标志的TCP报文后，会拆除这个TCP连接；

4）RST：复位标志，当IP协议栈接收到一个目标端口不存在的TCP报文的时候，会回应一个RST标志设置的报文；

5）PSH：通知协议栈尽快把TCP数据提交给上层程序处理。

正常情况下，SYN标志（连接请求标志）和FIN标志（连接拆除标志）是不能同时出现在一个TCP报文中的。而且RFC也没有规定IP协议栈如何处理这样的畸形报文，因此，各个操作系统的协议栈在收到这样的报文后的处理方式也不同，攻击者就可以利用这个特征，通过发送SYN和FIN同时设置的报文，来判断操作系统的类型，然后针对该操作系统，进行进一步的攻击。

8.设置了FIN标志却没有设置ACK标志的TCP报文攻击

正常情况下，ACK标志在除了第一个报文（SYN报文）外，所有的报文都设置，包括TCP连接拆除报文（FIN标志设置的报文）。但有的攻击者却可能向目标计算机发送设置了FIN标志却没有设置ACK标志的TCP报文，这样可能导致目标计算机崩溃。

9.没有设置任何标志的TCP报文攻击

正常情况下，任何TCP报文都会设置SYN，FIN，ACK，RST，PSH五个标志中的至少一个标志，第一个TCP报文（TCP连接请求报文）设置SYN标志，后续报文都设置ACK标志。有的协议栈基于这样的假设，没有针对不设置任何标志的TCP报文的处理过程，因此，这样的协议栈如果收到了这样的报文，可能会崩溃。攻击者利用了这个特点，对目标计算机进行攻击。

10.泪滴攻击

泪滴攻击也被称为分片攻击或碎片攻击，由于首次实现这种攻击的软件名称是Tearclrop，因此这种攻击就被称为泪滴攻击。TCP/IP协议在数据传输过程中，对过大的数据会进行分包处理，传输到目的主机后再到堆栈中进行重组。为实现重组，IP包的包头中包含有信息说明该分段是源数据的哪一段。如果发送伪造的含有重叠偏移信息的分段包到目标主机，当被攻击主机试图将分段包重组时，由于分段数据的错误，重组过程会引起内存错误，导致协议栈的崩溃。

11.地址猜测攻击

　　跟端口扫描攻击类似，攻击者通过发送目标地址变化的大量的ICMP ECHO报文，来判断目标计算机是否存在。如果收到了对应的ECMP ECHOREPLY报文，则说明目标计算机是存在的，便可以针对该计算机进行下一步的攻击。

12.带记录路由选项的IP报文

记录路由选项也是一个IP选项，携带了该选项的IP报文，每经过一台路由器，该路由器便把自己的接口地址填在选项字段里面。这样这些报文在到达目的地的时候，选项数据里面便记录了该报文经过的整个路径。

通过这样的报文可以很容易的判断该报文经过的路径，从而使攻击者可以很容易的寻找其中的攻击弱点。

13.带源路由选项的IP报文

从名字中就可以看出，源路由选项的目的，是指导中间设备（路由器）如何转发该数据报文的，即明确指明了报文的传输路径。比如，让一个IP报文明确的经过三台路由器R1，R2，R3，则可以在源路由选项中明确指明这三个路由器的接口地址，这样不论三台路由器上的路由表如何，这个IP报文就会依次经过R1，R2，R3。而且这些带源路由选项的IP报文在传输的过程中，其源地址不断改变，目标地址也不断改变，因此，通过合适的设置源路由选项，攻击者便可以伪造一些合法的IP地址，而蒙混进入网络。

14.未知协议字段的IP报文

　　在IP报文头中，有一个协议字段，这个字段指明了该IP报文承载了何种协议 ，比如，如果该字段值为1，则表明该IP报文承载了ICMP报文，如果为6，则是TCP，等等。目前情况下，已经分配的该字段的值都是小于100的，因此，一个带大于100的协议字段的IP报文，可能就是不合法的，这样的报文可能对一些计算机操作系统的协议栈进行破坏。

15.IP地址欺骗

　　IP欺骗是在服务器不存在任何漏洞的情况下，通过利用TCP/IP协议本身存在的一些缺陷进行攻击的方法，这种方法具有一定的难度，需要掌握有关协议的工作原理和具体的实现方法。IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址，以便冒充其他系统或发件人的身分。

16.Land攻击

　　LAND攻击利用了TCP连接建立的三次握手过程，通过向一个目标计算机发送一个TCP SYN报文（连接建立请求报文）而完成对目标计算机的攻击。与正常的TCP SYN报文不同的是，LAND攻击报文的源IP地址和目的IP地址是相同的，都是目标计算机的IP地址。这样目标计算机接收到这个SYN报文后，就会向该报文的源地址发送一个ACK报文，并建立一个TCP连接控制结构（TCB），而该报文的源地址就是自己，因此，这个ACK报文就发给了自己。这样如果攻击者发送了足够多的SYN报文，则目标计算机的TCB可能会耗尽，最终不能正常服务。这也是一种DOS攻击。

17.WinNuke攻击

winnuke是利用NetBIOS协议中一个OOB（Out of Band）的漏洞，也就是所谓的带外数据漏洞而进行的，它的原理是通过TCP/IP协议传递一个Urgent紧急数据包到计算机的137、138或139 端口，当win95/NT收到这个数据包之后就会瞬间死机或蓝屏，不重新启动计算机就无法继续使用TCP/IP协议来访问网络。
   带外数据OOB是指TCP连接中发送的一种特殊数据，它的优先级高于一般的数据，带外数据在报头中设置了URG标志，可以不按照通常的次序进入TCP缓冲区，而是进入另外一个缓冲区，立即可以被进程读取或根据进程设置使用SIGURG信号通知进程有带外数据到来。
   后来的Winnuke系列工具已经从最初对单个IP的攻击发展到可以攻击一个IP区间范围的计算机，可以检测和选择端口，并且可以进行连续攻击，还能验证攻击的效果，所以使用它可以造成某个IP地址区间的计算机全部蓝屏死机。
此类攻击是由于利用软件开发过程中对某种特定类型的报文或请求没有处理，导致软件遇到这类型报文时运行出现异常，软件崩溃甚至系统崩溃。防范此类攻击的方法就是升级系统或给系统打补丁，也可以删除NetBIOS协议或关闭137、138、139端口。

18.Script攻击

　　Script是一种可执行的脚本，它一般由一些脚本语言写成，比如常见的JAVA SCRIPT，VB SCRIPT等。这种SCRIPT的一个重要应用就是嵌入在WEB页面里面，执行一些静态WEB页面标记语言（HTML）无法完成的功能，比如本地计算，数据库查询和修改，以及系统信息的提取等。这些脚本在带来方便和强大功能的同时，也为攻击者提供了方便的攻击途径。如果攻击者写一些对系统有破坏的SCRIPT，然后嵌入在WEB页面中，一旦这些页面被下载到本地，计算机便以当前用户的权限执行这些脚本，这样，当前用户所具有的任何权限，SCRIPT都可以使用，可以想象这些恶意的SCRIPT的破坏程度有多强。这就是所谓的SCRIPT攻击。

19.ActiveX攻击

　　ActiveX是一种控件对象，它是建立在MICROSOFT的组件对象模型（COM）之上的，而COM则几乎是Windows操作系统的基础结构。可以简单的理解，这些控件对象是由方法和属性构成的，方法即一些操作，而属性则是一些特定的数据。这种控件对象可以被应用程序加载，然后访问其中的方法或属性，以完成一些特定的功能。可以说，COM提供了一种二进制的兼容模型（所谓二进制兼容，指的是程序模块与调用的编译环境，甚至操作系统没有关系）。但需要注意的是，这种对象控件不能自己执行，因为它没有自己的进程空间，而只能由其它进程加载，并调用其中的方法和属性，这时候，这些控件便在加载进程的进程空间运行，类似与操作系统的可加载模块，比如DLL库。

目前，对于ActiveX控件的漏洞挖掘，主要有两种方式：

使用Fuzz测试工具:比较出名的有ComRaider、Axman等。由于ActiveX控件存在统一的编程接口，所以可以通过系统调用获取控件中的属性和方法，编写出自动化测试工具，根据控件的参数情况，自动填充异常数据，检验是否存在漏洞。这种方法重点测试ActiveX控件是否存在缓冲区溢出漏洞；

人工分析方法：通过控件解析器如ComRaider 、OLEView等，解析出控件的方法和属性，再根据每个方法的参数和返回值等，手工构造测试用例，依次对各个属性和方法进行异常测试，根据页面的返回情况，确定是否存在安全漏洞。这种方法重点测试ActiveX控件是否存在逻辑类漏洞。

20.虚拟终端（VTY）耗尽攻击

这是一种针对网络设备的攻击，比如路由器，交换机等。这些网络设备为了便于远程管理，一般设置了一些TELNET用户界面，即用户可以通过TELNET到该设备上，对这些设备进行管理。

一般情况下，这些设备的TELNET用户界面个数是有限制的，比如，5个或10个等。这样，如果一个攻击者同时同一台网络设备建立了5个或10个TELNET连接，这些设备的远程管理界面便被占尽，这样合法用户如果再对这些设备进行远程管理，则会因为TELNET连接资源被占用而失败。

21.Smurf攻击

基于互联网控制信息包（ICMP）的Smurf攻击是一种强力的拒绝服务攻击方法，主要利用的是IP协议的直接广播特性。Smurf攻击对被攻击的网络，以及被利用来做扩散器的网络都具有破坏性。在这种拒绝服务攻击中，主要的角色有：黑客、中间代理（也就是所说的扩散器）、牺牲品（目标主机）

Smurf攻击并不十分可怕；它仅仅是利用IP路由漏洞的攻击方法。攻击通常分为以下五步：
  1）黑客锁定一个被攻击的主机（通常是一些Web服务器）；
  2）黑客寻找可做为中间代理的站点，用来对攻击实施放大（通常会选择多个，以便更好地隐藏自己，伪装攻击）；
  3）黑客给中间代理站点的广播地址发送大量的ICMP包（主要是指Ping命令的回应包）。这些数据包全都以被攻击的主机的IP地址做为IP包的源地址；
  4）中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包；
  5）中间代理主机对被攻击的网络进行响应。

22.路由协议攻击

网络设备之间为了交换路由信息，常常运行一些动态的路由协议，这些路由协议可以完成诸如路由表的建立，路由信息的分发等功能。常见的路由协议有RIP，OSPF，IS-IS，BGP等。这些路由协议在方便路由信息管理和传递的同时，也存在一些缺陷，如果攻击者利用了路由协议的这些权限，对网络进行攻击，可能造成网络设备路由表紊乱（这足可以导致网络中断），网络设备资源大量消耗，甚至导致网络设备瘫痪。

下面列举一些常见路由协议的攻击方式及原理：

22.1针对IS-IS路由协议的攻击

对该协议的攻击与OSPF类似，通过一种模拟软件与运行该协议的路由器建立邻居关系，然后传颂给攻击路由器大量的链路状态数据单元（LSP），可以导致整个网络路由器的链路状态数据库不一致（因为整个网络中所有路由器的链路状态数据库都需要同步到相同的状态），从而导致路由表与实际情况不符，致使网络中断。

与OSPF类似，如果运行该路由协议的路由器启用了IS-IS协议单元（PDU）HMAC验证功能，则可以从很大程度上避免这种攻击。

22.2针对RIP协议的攻击

　　RIP，即路由信息协议，是通过周期性（一般情况下为30S）的路由更新报文来维护路由表的，一台运行RIP路由协议的路由器，如果从一个接口上接收到了一个路由更新报文，它就会分析其中包含的路由信息，并与自己的路由表作出比较，如果该路由器认为这些路由信息比自己所掌握的要有效，它便把这些路由信息引入自己的路由表中。

　　这样如果一个攻击者向一台运行RIP协议的路由器发送了人为构造的带破坏性的路由更新报文，就很容易的把路由器的路由表搞紊乱，从而导致网络中断。
     如果运行RIP路由协议的路由器启用了路由更新信息的HMAC验证，则可从很大程度上避免这种攻击。

22.3针对OSPF路由协议的攻击

　OSPF，即开放最短路径优先，是一种应用广泛的链路状态路由协议。该路由协议基于链路状态算法，具有收敛速度快，平稳，杜绝环路等优点，十分适合大型的计算机网络使用。OSPF路由协议通过建立邻接关系，来交换路由器的本地链路信息，然后形成一个整网的链路状态数据库，针对该数据库，路由器就可以很容易的计算出路由表。

可以看出，如果一个攻击者冒充一台合法路由器与网络中的一台路由器建立邻接关系，并向攻击路由器输入大量的链路状态广播（LSA，组成链路状态数据库的数据单元），就会引导路由器形成错误的网络拓扑结构，从而导致整个网络的路由表紊乱，导致整个网络瘫痪。

跟RIP类似，如果OSPF启用了报文验证功能（HMAC验证），则可以从很大程度上避免这种攻击。

23.针对设备转发表的攻击

　　为了合理有限的转发数据，网络设备上一般都建立一些寄存器表项，比如MAC地址表，ARP表，路由表，快速转发表，以及一些基于更多报文头字段的表格，比如多层交换表，流项目表等。这些表结构都存储在设备本地的内存中，或者芯片的片上内存中，数量有限。如果一个攻击者通过发送合适的数据报，促使设备建立大量的此类表格，就会使设备的存储结构消耗尽，从而不能正常的转发数据或崩溃。

　　下面针对几种常见的表项，介绍其攻击原理：

23.1针对ARP表的攻击

　　ARP表是IP地址和MAC地址的映射关系表，任何实现了IP协议栈的设备，一般情况下都通过该表维护IP地址和MAC地址的对应关系，这是为了避免ARP解析而造成的广播数据报文对网络造成冲击。ARP表的建立一般情况下是通过二个途径：

　　1、 主动解析，如果一台计算机想与另外一台不知道MAC地址的计算机通信，则该计算机主动发ARP请求，通过ARP协议建立（前提是这两台计算机位于同一个IP子网上）；

　　2、 被动请求，如果一台计算机接收到了一台计算机的ARP请求，则首先在本地建立请求计算机的IP地址和MAC地址的对应表。

　　因此，如果一个攻击者通过变换不同的IP地址和MAC地址，向同一台设备，比如三层交换机发送大量的ARP请求，则被攻击设备可能会因为ARP缓存溢出而崩溃。

　　针对ARP表项，还有一个可能的攻击就是误导计算机建立正确的ARP表。根据ARP协议，如果一台计算机接收到了一个ARP请求报文，在满足下列两个条件的情况下，该计算机会用ARP请求报文中的源IP地址和源MAC地址更新自己的ARP缓存：

　　1、 如果发起该ARP请求的IP地址在自己本地的ARP缓存中；

　　2、 请求的目标IP地址不是自己的。

　　可以举一个例子说明这个过程，假设有三台计算机A，B，C，其中B已经正确建立了A和C计算机的ARP表项。假设A是攻击者，此时，A发出一个ARP请求报文，该请求报文这样构造：

　　1、 源IP地址是C的IP地址，源MAC地址是A的MAC地址；

　　2、 请求的目标IP地址是A的IP地址。

　　这样计算机B在收到这个ARP请求报文后（ARP请求是广播报文，网络上所有设备都能收到），发现B的ARP表项已经在自己的缓存中，但MAC地址与收到的请求的源MAC地址不符，于是根据ARP协议，使用ARP请求的源MAC地址（即A的MAC地址）更新自己的ARP表。

　　这样B的ARP混存中就存在这样的错误ARP表项：C的IP地址跟A的MAC地址对应。这样的结果是，B发给C的数据都被计算机A接收到。

23.2针对流项目表的攻击

　　有的网络设备为了加快转发效率，建立了所谓的流缓存。所谓流，可以理解为一台计算机的一个进程到另外一台计算机的一个进程之间的数据流。如果表现在TCP/IP协议上，则是由（源IP地址，目的IP地址，协议号，源端口号，目的端口号）五元组共同确定的所有数据报文。

　　一个流缓存表一般由该五元组为索引，每当设备接收到一个IP报文后，会首先分析IP报头，把对应的五元组数据提取出来，进行一个HASH运算，然后根据运算结果查询流缓存，如果查找成功，则根据查找的结果进行处理，如果查找失败，则新建一个流缓存项，查路由表，根据路由表查询结果填完整这个流缓存，然后对数据报文进行转发（具体转发是在流项目创建前还是创建后并不重要）。

　　可以看出，如果一个攻击者发出大量的源IP地址或者目的IP地址变化的数据报文，就可能导致设备创建大量的流项目，因为不同的源IP地址和不同的目标IP地址对应不同的流。这样可能导致流缓存溢出。

23.3针对MAC地址表的攻击

　　MAC地址表一般存在于以太网交换机上，以太网通过分析接收到的数据幀的目的MAC地址，来查本地的MAC地址表，然后作出合适的转发决定。

　　这些MAC地址表一般是通过学习获取的，交换机在接收到一个数据幀后，有一个学习的过程，该过程是这样的：

a) 提取数据幀的源MAC地址和接收到该数据幀的端口号；
b) 查MAC地址表，看该MAC地址是否存在，以及对应的端口是否符合；
c) 如果该MAC地址在本地MAC地址表中不存在，则创建一个MAC地址表项；
d) 如果存在，但对应的出端口跟接收到该数据幀的端口不符，则更新该表；
e) 如果存在，且端口符合，则进行下一步处理。

　　分析这个过程可以看出，如果一个攻击者向一台交换机发送大量源MAC地址不同的数据幀，则该交换机就可能把自己本地的MAC地址表学满。一旦MAC地址表溢出，则交换机就不能继续学习正确的MAC表项，结果是可能产生大量的网络冗余数据，甚至可能使交换机崩溃。而构造一些源MAC地址不同的数据幀，是非常容易的事情。

     现在关注公众号，回复“网信”，立即获取4月19日发布的《2018网信自主创新调研报告》全部内容！该报告内容分为十九个章节，分别为：核心处理器、固件、操作系统、数据库管理系统、中间件、安全浏览器、办公软件、地理信息软件、商用密码应用、可信计算、恶意代码防护、动态防御、Web安全、数据安全、工控安全、抗DDoS攻击、网信自主创新的保障条件、机遇挑战和建议。

更多推荐

---

泛在电力物联网

---

什么是“泛在电力物联网”？要建一个什么样的泛在电力物联网？

---

泛在电力物联网（能源互联网+物联网）浅析

---

终于有人把泛在电力物联网的“架构、 场景、投资机会”讲明白了

---

泛在电力物联网怎么建？国网三个省公司一把手这么说

---

安全课堂

---

安全管理员必须知道的——2018年五大类安全设备市场规模排名

---

“网络暴力”即将终结——网络实名制即将到来！

---

安全资讯

关于加强工业互联网安全工作的指导意见（征求意见稿

---

重磅！网络安全首次成为央企负责人考核指标

---

“锁盾-2019”——全球最大规模网络安全演习落下帷幕！

---

《2018网信自主创新调研报告》今日出炉

---

微信公众号：网络安全研究所 长按左侧二维码关注

本文标签： 手段原理常见网络