Вопросы Теги

клонируйте IP и Mac addr на wlan

Предупредите относительно того, как подан Ваша заявка, у Вас есть 2 вида подсистемы балансировки нагрузки:

Липкая подсистема балансировки нагрузки: Каждый клиент идет и придерживается одного сервера (с липкой сессией), он работает с любым приложением, но это не "реальное" выравнивание нагрузки, потому что Ваша клиентская палка на этом сервере, и если Ваша работа остановки сервера, клиентская палка на этом сервере не сможет использовать Ваш веб-сайт (временно)

Простая подсистема балансировки нагрузки: Каждый клиент идет случайным образом (или в зависимости от параметров как загрузка сервера, суммы запросов, и т.д.) на новом сервере в каждом запрашивает. Это является лучшим, но Ваше веб-приложение должно быть настроено для этого, необходимо синхронизировать сессии и если возможный кэш между различными серверами (с memcached примером), и это может обеспечить H.A (с HAProxy примером), это обнаруживает вниз серверы, и прекратите отправлять клиент им автоматически.

-1
задан 16 February 2013 в 19:03
2 ответа

The behavior is both expected and normal, because of ARP.

5
ответ дан 5 December 2019 в 19:00

Сеть 802.11 в отличие от проводной сети, используйте подтверждения, чтобы указать, что кадр был успешно получен. Он используется, потому что связь с потерями настолько велика, что большинство верхних уровней не смогут справиться с явной скоростью потерь, поэтому отсутствие подтверждения приведет к повторной передаче. И это решает еще одну проблему: сеть 802.11 представляет собой совместно используемую мультимедийную сеть, поэтому, если две станции отправляют в одно и то же время, возникает конфликт, и кадр теряется для обеих.

Если две станции WLAN используют один и тот же MAC-адрес в открытой сети сеть может быть быстро отключена для обеих станций, поскольку прием данных, скорее всего, завершится неудачей:

  • Если обе станции успешно получают кадр от AP, оба подтвердят одновременно. И когда я имею в виду «то же время», это 10 мкс после окончания приема кадра. Таким образом, гарантируется, что оба подтверждения будут конфликтовать друг с другом, и AP не получит его, поэтому передаст его повторно.

  • Если одна станция принимает кадр успешно, но не другая, тогда первая станция подтвердит, и другая станция никогда не получит фрейм.

Таким образом, когда ваша сеть полностью выйдет из строя, произойдет отключение или огромная потеря производительности, и первая, отключившаяся, проиграет.

Если ваша сеть защищена WPA / RSN- PSK (без SAE), и обе станции знают PSK, есть еще одна проблема: PSK сам по себе не является ключом шифрования, а используется для получения случайно сгенерированного временного ключа шифрования во время четырехстороннего рукопожатия.

В то время как станция подключена, если другая станция инициирует подключение в обычном режиме, то точка доступа, скорее всего, забудет старый ключ шифрования и будет использовать тот, который согласован с помощью нового четырехстороннего рукопожатия. В зависимости от реализации предыдущей станции, она может отключиться беззвучно или будет участвовать в новом 4-стороннем рукопожатии. Если обе станции участвуют в одном и том же рукопожатии, из-за способа, которым обычно реализуется четырехстороннее рукопожатие, первая ответившая станция побеждает, а другая станция отключится, потому что она не сможет аутентифицировать AP.

И если злоумышленник извлекает временный ключ шифрования (например, перехватывая четырехстороннее рукопожатие, выполненное предыдущей станцией и зная PSK), у него будут проблемы с введением кадров: каждый кадр имеет порядковый номер, препятствующий повторному воспроизведению, и если AP обнаруживает повторы , он знает, что где-то есть злоумышленник. поскольку CCMP безопасен, AP может просто игнорировать обнаруженные повторы, поэтому, опять же, побеждает тот, кто первым отправит пакет с приемлемым порядковым номером. И, вдобавок ко всему, у вас все еще есть проблема коллизии ACK.

Поэтому, если злоумышленник хочет внедрить кадры, не отключая другую станцию, он должен быть более умным: он может передавать кадры по своему желанию, но не должен подтверждать получение кадров и иметь лучшее качество связи, чем исходная станция, чтобы не терять слишком много кадров. Работа злоумышленника намного проще, если он может использовать тот же IP-адрес, но с другим MAC-адресом и игнорировать все запросы ARP: он может вводить IP-данные и пропустить половину полученных данных (в зависимости от качества связи), но будет никоим образом не ухудшать возможности подключения другой станции.

Если он должен использовать тот же MAC-адрес, то он может вводить кадры только в том случае, если сеть открыта, ждать подтверждения и повторять попытку, если подтверждение не получено, и надеяться, что предыдущая станция не слишком запуталась получение подтверждения, когда не ожидается. Злоумышленник должен по-прежнему пассивно контролировать канал и по-прежнему будет пропускать много входящих данных.

Атаковать сложно, даже если 802.11 упрощает ее.

И, кстати, ifconfig и маршрут устарел в Linux. Вместо этого используйте IP-ссылку , IP-адрес и IP-маршрут . Кроме того, вы можете использовать ip link set wlan0 address xx: xx: xx: xx: xx: xx вместо macchanger : 

#!/bin/sh
ip link set wlan0 down
ip link set wlan0 address ac:81:12:a2:4e:3a
ip addr add 192.168.1.5/24 dev wlan0
ip link set wlan0 up
ip route add default via 192.168.1.1
2
ответ дан 5 December 2019 в 19:00

Теги

Похожие вопросы