当网卡收到一个包的目的地址是本主机其他接口的IP时.2
2018-02-13 23:36
246 查看
arp包进入主机后要经过的过滤是:rp_filter
rp_filter会过滤网段
所以说不要在进行arp_ignore测试的时候把rp_filter设置成2, 此时就不会对源地址进行路由的检查了
然后进行试验
1) 设置arp_ignore = 1,此时网卡会会返回一个arp的回应信息;【注意,这里由于ICMP报文没有回应,所以从ping的角度看仍然是没有反应,可以直接看wireshark的结果】
2) 设置arp_ignore = 2,此时网卡不会回应;
这里的rp_filter是啥,为什么会有这么举足轻重的位置?
rp_filter是说内核是否开启对数据包源地址的校验;
说起来就是进行反向路径检查,如果没有反向路径的检查,即从本网卡能不能到目标的ip;
rp_filter可以设置三个值
0的话是不做任何的校验,这样应该安全通过才对呀,为啥还会被block住呢
1是进行严格的检查,即最后的路径就是我收到的接口;
2是进行松散的检查,这个源IP地址可以从本地路由出去;
按理说设置成0和2不就是最安全的了么,现在来看设置成2是很安全的,但是设置成1直接丢包了,设置成0,我理解是不做任何的校验了,为啥也不行呢?
别用systemTap抓了:
使用all和interface中的最大值来作为这个值真正的设置,同理也对ignore生效;所以。。。。
所以我如果在我本地上做试验,还需要把all借口的这个值设置成0才好!!!!!!
rp_filter会过滤网段
所以说不要在进行arp_ignore测试的时候把rp_filter设置成2, 此时就不会对源地址进行路由的检查了
然后进行试验
1) 设置arp_ignore = 1,此时网卡会会返回一个arp的回应信息;【注意,这里由于ICMP报文没有回应,所以从ping的角度看仍然是没有反应,可以直接看wireshark的结果】
2) 设置arp_ignore = 2,此时网卡不会回应;
这里的rp_filter是啥,为什么会有这么举足轻重的位置?
rp_filter是说内核是否开启对数据包源地址的校验;
https://www.cnblogs.com/lipengxiang2009/p/7446388.html
说起来就是进行反向路径检查,如果没有反向路径的检查,即从本网卡能不能到目标的ip;
rp_filter可以设置三个值
0的话是不做任何的校验,这样应该安全通过才对呀,为啥还会被block住呢
1是进行严格的检查,即最后的路径就是我收到的接口;
2是进行松散的检查,这个源IP地址可以从本地路由出去;
按理说设置成0和2不就是最安全的了么,现在来看设置成2是很安全的,但是设置成1直接丢包了,设置成0,我理解是不做任何的校验了,为啥也不行呢?
别用systemTap抓了:
Current recommended practice in RFC3704 is to enable strict mode to prevent IP spoofing from DDos attacks. If using asymmetric routing or other complicated routing, then loose mode is recommended. The max value from conf/{all,interface}/rp_filter is used when doing source validation on the {interface}. Default value is 0. Note that some distributions enable it in startup scripts
使用all和interface中的最大值来作为这个值真正的设置,同理也对ignore生效;所以。。。。
The max value from conf/{all,interface}/arp_ignore is used when ARP request is received on the {interface}
所以我如果在我本地上做试验,还需要把all借口的这个值设置成0才好!!!!!!
相关文章推荐
- 当网卡收到一个包的目的地址不是自己的地址时
- 当网卡收到的包的目的地址是主机上另一个网卡的地址.arp总结
- ceph存储 centos下添加多个虚拟ip地址的方法(一个网卡)
- 用GNS3和主机搭建一个实验环境来验证单网卡多IP多路由的可行性
- 计算机硬件通用功能类:硬件信息控制器(主机名,cpu编号,网卡地址,MAC地址,主硬盘编号,ip地址,获取最大线程数,验证服务IP)
- 主机上有多个网卡用java指定获取某一个网卡ip的问题
- 主机网卡发现所发送数据的目的IP和默认网关不在同一网段(网络)时,会丢弃该数据帧吗???
- Apache 设置多个虚拟主机使用一个 IP 地址
- linux虚拟机与主机共享一个IP上网
- nginx 同一个IP上配置多个HTTPS主机
- 在 Ubuntu 15.10 上为单个网卡设置多个 IP 地址
- 主机名可能映射到多个 IP 地址
- 分享一个百度的接口地址可以用来测试json数据用
- [笔记]由网络计算子网掩码,各自网络地址和有效主机IP范围
- nginx 同一个IP上配置多个HTTPS主机
- C++ 实现的netstat -an 的功能<转>-目的为获取rtmp推流地址如果是域名的话查看1935的ip
- HOW TO:使用主机标题名从一个 IP 地址托管多个站点
- 一个IP建多个Web站点--主机头名法
- .net 根据ip获得局域网主机名和物理地址
- 一个IP地址上建立多个web站点