协议栈攻击分类(CISP-PTE笔记)

CISP-PTE笔记

协议栈攻击分类

1.协议栈自身的脆弱性

​ 1)缺乏数据源验证机制

​ 2)缺乏完整性验证机制

​ 3)缺乏机密性验证机制

2.网络接口层攻击

3.网络层攻击

4.应用层攻击

网络攻击的基本模式

被动威胁(不影响通信双方)

截获(机密性)

​ 嗅探(sniffing),监听(eavesdropping)

主动威胁(影响通信双方)

篡改(完整性)

​ 数据包篡改(tampering)

中断(可用性)

​ 拒绝服务(dosing)

伪造(真实性)

​ 欺骗(spoofing)

物理层------设备破环,监听

物理设备破坏

指攻击者直接破坏网络的各种物理设施,比如服务器设施,或者网络的传输通信设施等

设备破坏攻击的目的主要是为了中断网络服务

物理设备窃听

光纤监听,红外监听

链路层------MAC泛洪

MAC 泛洪

交换机中存在着一张记录着 MAC 地址的表,为了完成数据的快速转发,该表具有自动学习机制:泛洪攻击即是攻击者利用这种学习机制不断发送不同的 MAC 地址给交换机,填满整个 MAC 表,此时交换机只能进行数据广播,攻击者凭此获得信息。

MAC泛洪防护

给交换机的的每个端口限制主机的数量,当一个端口学习的 MAC 数量超过这个限制的数量,则将超出的 MAC 地址舍弃。

​ 1.[Quidway-Ethernet0/0/1]port-security enable //开启接口安全功能

​ 2.[Quidway-Ethernet0/0/1]port-security sticky //开启接口粘滞 MAC 地址功

​ 3.[Quidway-Ethernet0/0/1]port-security protect-action protect //接口安全功能的保护动作

​ 4.[Quidway-Ethernet0/0/1]port-security max-mac-num 20 //接口 MAC 地址学习限制数

规定端口能够通过什么样的 MAC 地址和学习什么样的 MAC 地址

对超过一定数量的 MAC 地址进行违背规则处理

网络层------IP欺骗,Smurf攻击

IP欺骗

IP地址欺骗是指行动产生的 IP 包为伪造的源IP地址,以便冒充其它系统和发件人的身份。这是一种黑客的攻击形式,黑客使用一台计算机上网,而借用另外一台机器的 IP 从而冒充另外一台机器与服务器打交道。

按照 lnternet Protocol网络互联协议,数据包头包含来源地和目的地信息。而 IP 地址欺骗,就是通过伪据数据包包头,使显示的信息源不是实际的来源,就像这个数据包是从另一台计算机发送的

Smurf攻击

· Smurf攻击是DDOS攻击的一种, 它主要通过IP欺骗和ICMP请求来占用被攻击主机资源, 使其网络拥塞停止服务。

· Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求( ping)数据包,来淹没受害主机, 最终导致该网络的所有主机都对此ICMP应答请求做出答复, 导致网络阻塞。更加复杂的 Smurf将源地址改为第三方的受害者, 最终导致第三方崩溃。

Smurf攻击检测与防护

·ICMP应答风暴的检测

​ 对网络进行监控和统计发现,若出现 Smurf攻击, 则会出现大量的echo报文。由于存在 echo应答风暴, echo报文在所有报文中所占的比例大大增加。如果出现这种情况, 就可能遭到了 Smurf攻击。

·报文丢失率和重传率的上升

​ 由于 echo风暴造成网络负载过重,会出现大量报文丢失和报文重传现象。若有明显的报文丢失率和重传率上升现象, 就有可能遭到了 Smurf攻击。

·常出现意外的连接重置的现象

​ 在受到 Smurf攻击时,由于网络重载,会使其它的网络连接出现意外的中断或重置的现象。如反复出现意外的中断或重置, 也可能受到了 Smurf攻击。

防范措施

配置路由器禁止IP广播包进入网络中

配置网络上所有计算机的操作系统,禁止对目标地址为广播地址的ICMP包响应。

被攻击目标与ISP协商,有ISP暂时阻止这些流量。

对于从本网络向外部网络发送的数据包,本网络应该将其源地址为其他网络的这部分数据包过滤掉。

传输层------TCP SYN Flood攻击

TCP SYN Flood攻击

SYN 报文是 TCP 连接的第一个报文,攻击者通过大量发送 SYN 报文,造成大量未完全建立的 TCP 连接,占用被攻击者的资源。

TCP SYN Flood攻击防护

·丢包模式,利用TCP重传机制,丢弃首个Syn包

·反向探测,即向Client发送探测包。

·代理模式,即Syn Proxy,也可以防火墙等设备做代理

应用层------缓冲区溢出攻击,Web攻击

缓冲区溢出攻击

攻击软件系统的行为中,最常见的一种方法

可以从本地实施,也可以从远端实施

利用软件系统(操作系统,网络服务,应用程序)实现中对内存操作的缺陷,以高操作权限运行攻击代码

漏洞与操作系统和体系结构相关,需要攻击者有较高的知识/技巧

Web攻击

常见的WEB攻击

对客户端

含有恶意代码的网页,利用浏览器的漏洞,威胁本地系统

对Web服务器

利用Apache/IIS...的漏洞

利用CGI实现语言(PHP/ASP/Perl...)和实现流程的漏洞

XSS/SQL/CSRF/上传漏洞/解析漏洞...

通过Web服务器,入侵数据库,进行横向渗透

相关推荐
hzyyyyyyyu1 小时前
内网安全隧道搭建-ngrok-frp-nps-sapp
服务器·网络·安全
网络研究院1 小时前
国土安全部发布关键基础设施安全人工智能框架
人工智能·安全·框架·关键基础设施
Komorebi.py3 小时前
【Linux】-学习笔记05
linux·笔记·学习
Daniel 大东3 小时前
BugJson因为json格式问题OOM怎么办
java·安全
亦枫Leonlew3 小时前
微积分复习笔记 Calculus Volume 1 - 6.5 Physical Applications
笔记·数学·微积分
中云DDoS CC防护蔡蔡4 小时前
微信小程序被攻击怎么选择高防产品
服务器·网络安全·微信小程序·小程序·ddos
EasyNVR7 小时前
NVR管理平台EasyNVR多个NVR同时管理:全方位安防监控视频融合云平台方案
安全·音视频·监控·视频监控
冰帝海岸8 小时前
01-spring security认证笔记
java·笔记·spring
小二·9 小时前
java基础面试题笔记(基础篇)
java·笔记·python
黑客Ash10 小时前
【D01】网络安全概论
网络·安全·web安全·php