如果 ip source 和/或 ip destination 127.0.0.0/8 的数据包离开节点,可能会发生什么?这是否可以用作针对控制平面的攻击向量(假设 L2 连接)?
场景:
目的地是环回地址上的控制平面服务(根据架构可能绕过 ACL?)
对本地服务的响应(由于 127.0.0.0/8 源 IP 的反射)等。
欺骗 127.0.0.0/8 可能吗?
网络工程
ipv4
安全
2021-08-03 15:55:42
1个回答
这里有两种情况:
127.0.0.0/8 作为源地址,真实IP作为目标:
- 可能会到达目标(如果路由器上禁用了反向路径过滤),但回复将“走出”环回接口(实际上留在里面)
- 因为没有回复,只能进行单向攻击 - TCP 等协议不起作用,因为需要握手
127.0.0.0/8 作为目标地址(手工制作的数据包,标头中包含目标 MAC 地址)
- 如果启用转发,目标可能会接受
- 不会遍历任何路由器,因为路由器将 127.0.0.0/8 数据包转发到它们的内部环回
无论哪种方式,在大多数情况下,这些(和类似的)数据包都会在防火墙上过滤:
- http://en.wikipedia.org/wiki/Bogon_filtering
- http://en.wikipedia.org/wiki/Martian_packet
- http://en.wikipedia.org/wiki/Reverse_path_forwarding#Unicast_RPF_.28uRPF.29(“具有无法通过输入接口到达的源地址的数据包可以在不中断正常使用的情况下被丢弃,因为它们可能来自配置错误或恶意来源。”)