广播帧的产生:
网络中存在有广播帧是不可避免的,比如开启了DHCP服务器, 每次请求, 都会有以”FF.FF.FF.FF.FF.FF”的帧格式出现.它向所有端口转发.假设主机A与B在同一个网络内,当主机A要向主机B发送信息,那么需要知道主机B的IP地址和MAC地址,这里面我们假定A只知道B的IP地址,而不知道 B的MAC地址,那么这时A就需要向网络中发送一个ARP请求,来获取B的MAC地址,这个ARP请求实际上就是一个广播包.
而泛洪和MAC列表相关, 在缓存中是存在的, 有确定的MAC地址. 只是在MAC表中找不到具体转发的端口和MAC的配对,才开始泛洪处理.但是泛洪并不是广播帧(FF.FF.FF.FF.FF.FF). 广播是有一个具体的行为,它的对象是整个网络, 在ARP时往往需要有特定的主机来响应, 当然太多的广播对于网络是有害的, 容易造成广播风暴. 总的来说, 主要有以下两点区别: 泛洪操作广播的是普通数据帧而不是广播帧 广播是向同一子网内所有的端口(包括自己的那个端口)发送消息; 泛洪只是在所有的端口中不包括发送消息的(自己的)那个端口发送消息.
泛洪:
泛洪(flooding) 交换机和网桥使用的一种数据流传递技术,将某个接口受到的数据流从除该核接口之外的所有接口发送出去。
SYN泛洪攻击。SYN攻击利用的是TCP的三次握手机制,攻击端利用伪造的IP地址向被攻击端发出请求,而被攻击端发出的响应报文将永远发送不到目的地,那么被攻击端在等待关闭这个连接的过程中消耗了资源,如果有成千上万的这种连接,主机资源将被耗尽,从而达到攻击的目的。我们可以利用路由器的TCP拦截功能,使网络上的主机受到保护(以Cisco路由器为例)。
DHCP报文泛洪攻击 DHCP报文泛洪攻击是指:恶意用户利用工具伪造大量DHCP报文发送到服务器,一方面恶意耗尽了IP资源,使得合法用户无法获得IP资源;另一方面,如果交换机上开启了DHCP Snooping功能,会将接收到的DHCP报文上送到CPU。因此大量的DHCP报文攻击设备会使DHCP服务器高负荷运行,甚至会导致设备瘫痪。
ARP报文泛洪攻击 ARP报文泛洪类似DHCP泛洪,同样是恶意用户发出大量的ARP报文,造成L3设备的ARP表项溢出,影响正常用户的转发。
广播:
广播分为第2层广播和第3层广播。 第2层广播也称硬件广播,用于在局域网内向所有的结点发送数据,通常不会穿过局域网的边界(路由器),除非它变成一个单播。广播将是一个二进制的全1或者十六进制全F的地址。 广播(第3层)用于在这个网络内向所有的结点发送数据。第3层广播也支持平面的老式广播。广播信息是指以某个广播域所有主机为目的的信息。这些被称为网络广播,它们是所有的主机位均为ON。
对于局域网来说,还有一个常见的泛洪攻击,就是MAC地址泛洪攻击原理如下:
(1),2层交换机是基于MAC地址去转发数据帧的。
(2),转发过程中依靠对CAM表的查询来确定正确的转发接口。
(3),一旦在查询过程中无法找到相关目的MAC对应的条目,此数据帧将作为广播帧来处理。
(4),CAM表的容量有限,只能储存不多的条目,当CAM表记录的MAC地址达到上限后,新的条目将不会添加到CAM表中。 基于以上原理,我们会发现一个非常有趣的现象。某台PC不断发送去往未知目的地的数据帧,且每个包的源MAC地址都不同,当这样 的数据包发送的速度足够快之后,快到在刷新时间内将交换机的CAM表迅速填满。CAM表被这些伪造的MAC地址占据,真实的MA C地址条目却无法进入CAM表。那么任何一个经过交换机的正常单播数据帧都会以广播帧的形式来处理。
如果发生了mac地址泛洪攻击,那么你所处的局域网会出现网络缓慢或者断网现象,可以用wireshark等抓包软件抓包分析,能够发现大量的数据包,其mac地址均为随机伪造,且数据内容也为随机伪造。
分享: