《CCNP安全Secure 642-637認證考試指南》——8.2節路由式資料面攻擊類型

本節書摘來自異步社群《ccnp安全secure 642-637認證考試指南》一書中的第8章，第8.2節路由式資料面攻擊類型，作者【美】sean wilkins , trey smith，更多章節内容可以通路雲栖社群“異步社群”公衆号檢視

8.2 路由式資料面攻擊類型

ccnp安全secure 642-637認證考試指南

基礎知識點

8.2　路由式資料面攻擊類型

在網絡安全中，知己知彼非常重要。隻有深入了解攻擊的原理，才能降低攻擊造成的危害。路由式基礎設施是網絡的重要組成部分，是以也極易遭到攻擊。接下來，我們将讨論3種最常見的路由式資料面攻擊，它們是：

ip欺騙（ip spoofing）；

慢通道拒絕服務（slow-path denial of service）；

流量泛洪（traffic flooding）。

8.2.1　ip欺騙

前面的章節曾經介紹過ip欺騙，我們在此做一簡單回顧。在ip欺騙中，攻擊者冒用可信主機或網絡的ip位址收發流量，進而通路隻對該位址開放的網絡資源。ip欺騙嚴重威脅交換式網絡與路由式網絡的安全，必須采用相應的防禦手段才能降低這種攻擊造成的危害。攻擊者主要利用以下3種方式實施ip欺騙：

向網絡注入包含某已知主機ip位址的資料包；

通過源路由選擇冒用某可信主機的身份；

向網絡注入大量不存在的主機ip位址，以發動拒絕服務攻擊。

8.2.2　慢通道拒絕服務

普通拒絕服務攻擊的原理可以簡述如下：一台或一組主機在短時間内向目标網絡發送大量流量，以達到癱瘓網絡服務的目的。這種拒絕服務攻擊相對而言較易實施，是以目前已廣為人知。程序交換（process switching）的速度相對較慢，它是資料轉發的瓶頸。如果持續以程序交換的方式處理大量資料包，裝置最終将不堪重負。這就是慢通道拒絕服務攻擊的原理。裝置的cpu具備以下3種功能：

處理控制面流量；

處理管理面流量；

處理慢通道資料面流量。

這一章将讨論如何抵禦慢通道資料面攻擊。

8.2.3　流量泛洪

這種攻擊向目标主機發送海量資料包，導緻目标主機因不堪重負而崩潰。部署本章介紹的安全措施有助于減少流量泛洪對資料面、控制面和管理面的威脅。