收藏
下载资源

强弱主机模式

上传人:新** 文档编号:433170956 上传时间:2023-09-19 格式:DOCX 页数:6 大小:78.49KB
返回 下载 相关 举报
强弱主机模式_第1页
第1页 / 共6页
强弱主机模式_第2页
第2页 / 共6页
强弱主机模式_第3页
第3页 / 共6页
强弱主机模式_第4页
第4页 / 共6页
强弱主机模式_第5页
第5页 / 共6页
点击查看更多>>
资源描述

《强弱主机模式》由会员分享,可在线阅读,更多相关《强弱主机模式(6页珍藏版)》请在金锄头文库上搜索。

1、强弱主机模式网络主机的一种越来越常见的配置是通过多个网络接口实现多宿主化。多宿主主机可同时连接多个网 络,如Intranet或Internet,从而提供增强的连接性。但是,由于它们既可连接到Intranet,又可连接 到Internet,因此在多宿主主机上运行的服务容易受到攻击。为了帮助您阻止攻击并了解如何处理多宿主 主机的IP通信,我将介绍多宿主主机的强弱主机模式,然后讲述Windows如何支持这些模式。RFC 1122规范描述了不作为路由器使用且仅发送和接收单播IP通信的多宿主主机的两种模式。这两 种模式,就是通常所说的强主机和弱主机,指定了发送或接收的单播通信是否必须与通信传输所经的网络

2、 接口相关联。这些模式确定主机如何发送和接收数据包,以及主机如何影响在其上运行的服务的易受攻击 性。虽然RFC 1122是为IPv4定义了这些模式,但这些模式同样适用于IPv6。IPv6的一个多宿主主机示例 是一台同时使用IPv4和IPv6的计算机,该计算机具有一个连接Intranet的网络适配器和一个IPv6隧道接 口。弱主机模式在弱主机模式下,IP主机(IPv4或IPv6)可在未分配正处于发送状态的数据包的源IP地址的接口上 发送数据包。这称为弱主机发送行为。IP主机还可在未分配处于接收状态的数据包的目标IP地址的接口 上接收数据包。这称为弱主机接收行为。当您使用具有多个接口的多宿主 IP

3、 主机时,在接口上启用弱主机接收行为有时可使主机容易受到多 宿主攻击。例如,图1显示了同时连接Internet和Intranet的主机A。主机A具有分配给其Internet接 口的公共 IPv4 地址 131.107.89.211,以及分配给其 Intranet 接口的专用 IPv4 地址 192.168.17.48。主机A图 1 多宿主计算机示例如果主机 A 在其 Internet 和 Intranet 接口都启用弱主机发送行为,则它可在其 Internet 接口上发 送来自 131.107.89.211 和 192.168.17.48 的数据包,在其 Intranet 接口上发送来自 13

4、1.107.89.211 和 192.168.17.48 的数据包。如果主机 A 启用弱主机接收行为,则它可接收以下类型的数据包(假设主机防火墙规则允许该传入 通信):在其 Internet 接口上接收到 131.107.89.211 和 192.168.17.48 的数据包,在其 Intranet 接口上 接收到 131.107.89.211 和 192.168.17.48 的数据包。当您启用弱主机接收行为后Internet中的恶意用户可将数据包发送至主机A的Internet接口,攻 击在主机 A 上运行的、仅对 Intranet 中的主机可用的服务。如果 Internet 基础结构支持将目

5、标为 192.168.17.48 的数据包转发到主机 A 的 Internet 接口,就可能发生此类型的攻击。您可在主机 A 的 Internet 接口上设置适当的防火墙规则,防止此类型的攻击。但是,即使您这样做了,在主机 A 上运行的 对 Intranet 客户端可用的服务仍存在风险。强主机模式在强主机模式下,发送和接收行为有所不同。使用强主机发送,主机仅可在分配了处于发送状态的数 据包的源 IP 地址的接口上发送数据包。使用强主机接收,主机仅可在分配了处于接收状态的数据包的目 标 IP 地址的接口上接收数据包。如果图 1 中主机 A 在其 Internet 和 Intranet 接口都启用

6、强主机发送行为,则它仅可在其 Internet接口上发送来自 131.107.89.211 的数据包,在其 Intranet 接口上发送来自 192.168.17.48 的数据包。如果启用强主机接收行为,则主机 A 仅可在其 Internet 接口上接收到 131.107.89.211 的数据包, 在其 Intranet 接口上接收到 192.168.17.48 的数据包。在图 1 中,主机 A 的强主机模式将所有地址为 192.168.17.48 的传入数据包放到 Internet 接口上, 而无需您配置防火墙规则,有效地将主机 A 的 Intranet 接口和 Internet 接口隔开。

7、当您选择强主机模式时,请记住,它也许会影响为弱主机行为设计的某些连接类型。例如,某些负载 平衡实现也许使用弱主机接收行为在任一接口接收数据包,然后将它们路由到适当的内部接口。对于使用 弱主机发送来发送来自某接口(与某快速连接对应)上的任一源地址的通信的主机,也可能会有影响。 强主机发送和接收现在,我们看一看当您允许每个接口启用或禁用强主机发送和接收时,在IPv4或IPv6的普通主机上, 发送和接收过程是如何进行的。对于发送中的数据包,IP首先检查是否已经指定了源地址。如果未指定,IP将在路由表中无约束查询 该数据包的目标地址。在无约束查询中,路由表中的所有路由均在考虑之列。根据所选的目标路由,

8、IP确 定下一跃点接口(该接口用于将数据包放置在链路层)和下一跃点地址。根据下一跃点接口, IP 根据需要 使用在RFC 3484中定义的地址选择过程来确定最佳源地址。此时,IP具备了发送数据包的所有条件:源 地址和目标地址、下一跃点接口和下一跃点地址。如果指定了源地址,那么源接口也就可知。因为源接口分配给了源地址。然后,IP就可确定源接口上 是否已启用强主机发送。如果未启用,IP将在路由表中对数据包的目标地址执行无约束查询。根据目标的最佳匹配路由,IP确 定下一跃点接口和下一跃点地址。IP具有了源地址和目标地址、下一跃点接口和下一跃点地址。请注意: 如果在源接口上禁用强主机发送行为,下一跃点

9、接口也许与源接口不同。如果源接口上启用了强主机发送,IP将在路由表中对数据包的目标地址执行受约束的查询。在受约束 的查询中,仅考虑带有源接口的下一跃点接口的路由。根据所选目标路由,IP确定下一跃点地址。IP具有 了源地址和目标地址、下一跃点接口和下一跃点地址。请注意,如果在源接口上启用强主机发送行为,下 一跃点接口将始终与源接口相同。图2显示发送主机进程的普通IP。图 2 发送主机进程的通用 IP指定源地址后,受约束的路由查询可在路由表中的与目标最相匹配的多个路由中选择指标较高的路由。 例如,图1中的主机A具有两个默认路由,一个指向跃点为10的Internet,另一个指向跃点为20的Intra

10、net。 两个LAN接口上均启用了强主机行为。如果主机A上的发送应用程序未指定源地址,则路由查询结果将是具有最低跃点数的默认路由;主机 A始终从源地址为131.107.89.211的Internet接口发送通信。然而,如果主机A上的发送应用程序指定了 源地址131.107.89.211,那么查询结果将是Internet接口的默认路由;主机A从Internet接口发送通信。 如果主机 A 上的发送应用程序指定源地址为 192.168.17.48,查询将选择 Intranet 接口的默认路由;主机 A从Intranet接口发送通信。通过受约束的路由查询,IP使用具有较高跃点数的默认路由发送源地址为

11、 192.168.17.48 的通信。对于已接收的通信,IP首先确定该通信的目标是否为本主机。如果不是,由于该主机不充当路由器, IP自行丢弃该数据包。然后,IP确定传入接口(接收数据包的接口)上是否启用了强主机接收。如果未启用,IP将处理该数据包。如果已启用,IP将确定该传入接口是否分配了数据包中的目标地址。如果已分配,IP将处理该数据包。如果未分配,IP将自行丢弃该数据包。图3显示普通接收主机进程。图 3 接收主机进程Windows 中的弱强主机行为Windows XP 和 Windows Server 2003 使用弱主机模式为所有 IPv4 接口执行发送和接收进程,使 用强主机模式为所

12、有 IPv6 接口执行发送和接收进程。您不能对该行为进行配置。默认情况下, Windows Vista 和 Windows Server 2008 中的下一代 TCP/IP 堆栈支持所有接口上的 IPv4 和 IPv6 强主机发送和 接收(但Teredo隧道接口除外,该接口适用于Teredo特定主机中继)。图4按照每个接口列出了可用于 配置 IPv4 和 IPv6 的发送和接收行为的命令。注意, InterfaceNameOrIndex 要么是来自“网络连接”文件 夹的接口名称,要么是其接口索引。您可从命令显示中获取接口的接口索引:Figure 4配置强弱发送和接收行为的命令 netsh in

13、terface ipv4 set interface InterfaceNameOrIndex weakhostsend=enabled|disabled netsh interface ipv4 set interface InterfaceNameOrIndex weakhostreceive=enabled|disabled netsh interface ipv6 set interface InterfaceNameOrIndex weakhostsend=enabled|disabled netsh interface ipv6 set interface InterfaceNam

14、eOrIndex weakhostreceive=enabled|disablednetsh interface ipv6 show interface弱强主机行为和 RFC 3484为了提供选择源与目标IPv6和IPv4地址(用于尝试连接)的标准化方法,RFC 3484定义了两种 算法。一种是源地址选择算法,用于选择与目标地址一起使用的最佳源地址。另一种是目标地址选择算法, 用于按优先级顺序对可能的目标地址列表排序。确定给定的目标地址的候选源地址列表时,强弱主机行为会起作用,并且还会影响目标地址的最终排 序列表。对于强主机发送行为,候选源地址列表包含分配给目标的发送接口的单播地址。对于弱主机

15、发送 行为,候选列表可包含分配给任何已启用弱主机发送的接口的地址。有关源地址选择和目标地址选择的详 细信息,请访问 特定主机中继的Teredo隧道接口除外。有关 RFC 3484 的详细信息,请参阅“弱强主机行为和 RFC 3484”侧栏。禁用远程访问 VPN 连接默认路由远程访问虚拟专用网络 (VPN) 客户端是多宿主主机的另一个示例。尽管它可能具有连接到 Internet 的单一 LAN接口,但当远程访问VPN客户端完成VPN连接后,它成为多宿主主机。它具有两个接口: LAN接口和一个基于适用于VPN连接的点对点协议(PPP)的接口。它还具有两个IPv4地址:Internet 服务提供程序分配的 IPv4 地址用于 LAN 接口, VNP 服务器分配的 IPv4 地址用于基于 PPP 的接口。 为了确保 VPN 客户端通过 VNP 连接将默认路由通信发送至 Intranet, Windows XP 和 Windows Server 2003 通过提高现有默认路由的跃点数,添加一个使用 PPP 接口且具有较低跃点数的新默认路由,修改 IPv4 路由表。该默认行为使 Intranet 上的位置在 VPN 连接持续期间可以访问,而使 Internet 上的几乎 所有位置在 VPN 连接持续期间都无法访问。通过不为 VPN 连接添加

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 机械/制造/汽车 > 电气技术

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号