协议栈攻击分类(CISP-PTE笔记)

bluechips·zhao2024-11-07 9:34

CISP-PTE笔记

协议栈攻击分类

1.协议栈自身的脆弱性

​ 1)缺乏数据源验证机制

​ 2)缺乏完整性验证机制

​ 3)缺乏机密性验证机制

2.网络接口层攻击

3.网络层攻击

4.应用层攻击

网络攻击的基本模式

被动威胁(不影响通信双方)

截获(机密性)

​ 嗅探(sniffing),监听(eavesdropping)

主动威胁(影响通信双方)

篡改(完整性)

​ 数据包篡改(tampering)

中断(可用性)

​ 拒绝服务(dosing)

伪造(真实性)

​ 欺骗(spoofing)

物理层------设备破环,监听

物理设备破坏

指攻击者直接破坏网络的各种物理设施,比如服务器设施,或者网络的传输通信设施等

设备破坏攻击的目的主要是为了中断网络服务

物理设备窃听

光纤监听,红外监听

链路层------MAC泛洪

MAC 泛洪

交换机中存在着一张记录着 MAC 地址的表,为了完成数据的快速转发,该表具有自动学习机制:泛洪攻击即是攻击者利用这种学习机制不断发送不同的 MAC 地址给交换机,填满整个 MAC 表,此时交换机只能进行数据广播,攻击者凭此获得信息。

MAC泛洪防护

给交换机的的每个端口限制主机的数量,当一个端口学习的 MAC 数量超过这个限制的数量,则将超出的 MAC 地址舍弃。

​ 1.[Quidway-Ethernet0/0/1]port-security enable //开启接口安全功能

​ 2.[Quidway-Ethernet0/0/1]port-security sticky //开启接口粘滞 MAC 地址功

​ 3.[Quidway-Ethernet0/0/1]port-security protect-action protect //接口安全功能的保护动作

​ 4.[Quidway-Ethernet0/0/1]port-security max-mac-num 20 //接口 MAC 地址学习限制数

规定端口能够通过什么样的 MAC 地址和学习什么样的 MAC 地址

对超过一定数量的 MAC 地址进行违背规则处理

网络层------IP欺骗,Smurf攻击

IP欺骗

IP地址欺骗是指行动产生的 IP 包为伪造的源IP地址,以便冒充其它系统和发件人的身份。这是一种黑客的攻击形式,黑客使用一台计算机上网,而借用另外一台机器的 IP 从而冒充另外一台机器与服务器打交道。

按照 lnternet Protocol网络互联协议,数据包头包含来源地和目的地信息。而 IP 地址欺骗,就是通过伪据数据包包头,使显示的信息源不是实际的来源,就像这个数据包是从另一台计算机发送的

Smurf攻击

· Smurf攻击是DDOS攻击的一种, 它主要通过IP欺骗和ICMP请求来占用被攻击主机资源, 使其网络拥塞停止服务。

· Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求( ping)数据包,来淹没受害主机, 最终导致该网络的所有主机都对此ICMP应答请求做出答复, 导致网络阻塞。更加复杂的 Smurf将源地址改为第三方的受害者, 最终导致第三方崩溃。

Smurf攻击检测与防护

·ICMP应答风暴的检测

​ 对网络进行监控和统计发现,若出现 Smurf攻击, 则会出现大量的echo报文。由于存在 echo应答风暴, echo报文在所有报文中所占的比例大大增加。如果出现这种情况, 就可能遭到了 Smurf攻击。

·报文丢失率和重传率的上升

​ 由于 echo风暴造成网络负载过重,会出现大量报文丢失和报文重传现象。若有明显的报文丢失率和重传率上升现象, 就有可能遭到了 Smurf攻击。

·常出现意外的连接重置的现象

​ 在受到 Smurf攻击时,由于网络重载,会使其它的网络连接出现意外的中断或重置的现象。如反复出现意外的中断或重置, 也可能受到了 Smurf攻击。

防范措施

配置路由器禁止IP广播包进入网络中

配置网络上所有计算机的操作系统,禁止对目标地址为广播地址的ICMP包响应。

被攻击目标与ISP协商,有ISP暂时阻止这些流量。

对于从本网络向外部网络发送的数据包,本网络应该将其源地址为其他网络的这部分数据包过滤掉。

传输层------TCP SYN Flood攻击

TCP SYN Flood攻击

SYN 报文是 TCP 连接的第一个报文,攻击者通过大量发送 SYN 报文,造成大量未完全建立的 TCP 连接,占用被攻击者的资源。

TCP SYN Flood攻击防护

·丢包模式,利用TCP重传机制,丢弃首个Syn包

·反向探测,即向Client发送探测包。

·代理模式,即Syn Proxy,也可以防火墙等设备做代理

应用层------缓冲区溢出攻击,Web攻击

缓冲区溢出攻击

攻击软件系统的行为中,最常见的一种方法

可以从本地实施,也可以从远端实施

利用软件系统(操作系统,网络服务,应用程序)实现中对内存操作的缺陷,以高操作权限运行攻击代码

漏洞与操作系统和体系结构相关,需要攻击者有较高的知识/技巧

Web攻击

常见的WEB攻击

对客户端

含有恶意代码的网页,利用浏览器的漏洞,威胁本地系统

对Web服务器

利用Apache/IIS...的漏洞

利用CGI实现语言(PHP/ASP/Perl...)和实现流程的漏洞

XSS/SQL/CSRF/上传漏洞/解析漏洞...

通过Web服务器,入侵数据库,进行横向渗透

相关推荐
枫眠QAQ10 分钟前
hackthebox Cicada靶机
安全·web安全·网络安全
学习中的DGR21 分钟前
[极客大挑战 2019]Http 1 新手解题过程
网络·python·网络协议·安全·http
風清掦31 分钟前
【江科大STM32学习笔记-04】0.96寸OLED显示屏
笔记·stm32·学习
胡西风_foxww36 分钟前
ObsidianAI_学习一个陌生知识领域_建立学习路径和知识库框架_写一本书
人工智能·笔记·学习·知识库·obsidian·notebooklm·写一本书
unable code37 分钟前
磁盘取证-[第十章][10.1.2 磁盘取证方法]磁盘取证1
网络安全·ctf·misc·1024程序员节·内存取证
啥都想学点43 分钟前
kali 基础介绍(CredentialAccess——凭证访问)
安全·网络安全
AI视觉网奇1 小时前
huggingface-cli 安装笔记2026
前端·笔记
qife1221 小时前
CVE-2026-21962漏洞利用工具:Oracle WebLogic代理插件未授权RCE检测与利用
数据库·网络安全·oracle·渗透测试·weblogic·cve-2026-21962
潆润千川科技1 小时前
适老社交应用后端架构思考:在安全、性能与简单之间的平衡艺术
安全·架构
idontknow2332 小时前
DPDK学习笔记(1):二层转发应用例代码解析
c语言·网络·笔记·学习
热门推荐
01GitHub 镜像站点02OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)03Clawdbot 中文汉化版 接入微信、飞书04【网络安全测试】Burp Suite工具使用说明、配置及常见问题(有关必回)05Claude Code Skills 实用使用手册06在Trae中使用Pencil MCP07struts2 XML外部实体注入漏洞复现(CVE-2025-68493)08UV安装并设置国内源09零门槛部署本地 AI 助手:Clawdbot/Meltbot 部署深度保姆级教程10AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南