协议栈攻击分类(CISP-PTE笔记)

CISP-PTE笔记

协议栈攻击分类

1.协议栈自身的脆弱性

​ 1)缺乏数据源验证机制

​ 2)缺乏完整性验证机制

​ 3)缺乏机密性验证机制

2.网络接口层攻击

3.网络层攻击

4.应用层攻击

网络攻击的基本模式

被动威胁(不影响通信双方)

截获(机密性)

​ 嗅探(sniffing),监听(eavesdropping)

主动威胁(影响通信双方)

篡改(完整性)

​ 数据包篡改(tampering)

中断(可用性)

​ 拒绝服务(dosing)

伪造(真实性)

​ 欺骗(spoofing)

物理层------设备破环,监听

物理设备破坏

指攻击者直接破坏网络的各种物理设施,比如服务器设施,或者网络的传输通信设施等

设备破坏攻击的目的主要是为了中断网络服务

物理设备窃听

光纤监听,红外监听

链路层------MAC泛洪

MAC 泛洪

交换机中存在着一张记录着 MAC 地址的表,为了完成数据的快速转发,该表具有自动学习机制:泛洪攻击即是攻击者利用这种学习机制不断发送不同的 MAC 地址给交换机,填满整个 MAC 表,此时交换机只能进行数据广播,攻击者凭此获得信息。

MAC泛洪防护

给交换机的的每个端口限制主机的数量,当一个端口学习的 MAC 数量超过这个限制的数量,则将超出的 MAC 地址舍弃。

​ 1.[Quidway-Ethernet0/0/1]port-security enable //开启接口安全功能

​ 2.[Quidway-Ethernet0/0/1]port-security sticky //开启接口粘滞 MAC 地址功

​ 3.[Quidway-Ethernet0/0/1]port-security protect-action protect //接口安全功能的保护动作

​ 4.[Quidway-Ethernet0/0/1]port-security max-mac-num 20 //接口 MAC 地址学习限制数

规定端口能够通过什么样的 MAC 地址和学习什么样的 MAC 地址

对超过一定数量的 MAC 地址进行违背规则处理

网络层------IP欺骗,Smurf攻击

IP欺骗

IP地址欺骗是指行动产生的 IP 包为伪造的源IP地址,以便冒充其它系统和发件人的身份。这是一种黑客的攻击形式,黑客使用一台计算机上网,而借用另外一台机器的 IP 从而冒充另外一台机器与服务器打交道。

按照 lnternet Protocol网络互联协议,数据包头包含来源地和目的地信息。而 IP 地址欺骗,就是通过伪据数据包包头,使显示的信息源不是实际的来源,就像这个数据包是从另一台计算机发送的

Smurf攻击

· Smurf攻击是DDOS攻击的一种, 它主要通过IP欺骗和ICMP请求来占用被攻击主机资源, 使其网络拥塞停止服务。

· Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求( ping)数据包,来淹没受害主机, 最终导致该网络的所有主机都对此ICMP应答请求做出答复, 导致网络阻塞。更加复杂的 Smurf将源地址改为第三方的受害者, 最终导致第三方崩溃。

Smurf攻击检测与防护

·ICMP应答风暴的检测

​ 对网络进行监控和统计发现,若出现 Smurf攻击, 则会出现大量的echo报文。由于存在 echo应答风暴, echo报文在所有报文中所占的比例大大增加。如果出现这种情况, 就可能遭到了 Smurf攻击。

·报文丢失率和重传率的上升

​ 由于 echo风暴造成网络负载过重,会出现大量报文丢失和报文重传现象。若有明显的报文丢失率和重传率上升现象, 就有可能遭到了 Smurf攻击。

·常出现意外的连接重置的现象

​ 在受到 Smurf攻击时,由于网络重载,会使其它的网络连接出现意外的中断或重置的现象。如反复出现意外的中断或重置, 也可能受到了 Smurf攻击。

防范措施

配置路由器禁止IP广播包进入网络中

配置网络上所有计算机的操作系统,禁止对目标地址为广播地址的ICMP包响应。

被攻击目标与ISP协商,有ISP暂时阻止这些流量。

对于从本网络向外部网络发送的数据包,本网络应该将其源地址为其他网络的这部分数据包过滤掉。

传输层------TCP SYN Flood攻击

TCP SYN Flood攻击

SYN 报文是 TCP 连接的第一个报文,攻击者通过大量发送 SYN 报文,造成大量未完全建立的 TCP 连接,占用被攻击者的资源。

TCP SYN Flood攻击防护

·丢包模式,利用TCP重传机制,丢弃首个Syn包

·反向探测,即向Client发送探测包。

·代理模式,即Syn Proxy,也可以防火墙等设备做代理

应用层------缓冲区溢出攻击,Web攻击

缓冲区溢出攻击

攻击软件系统的行为中,最常见的一种方法

可以从本地实施,也可以从远端实施

利用软件系统(操作系统,网络服务,应用程序)实现中对内存操作的缺陷,以高操作权限运行攻击代码

漏洞与操作系统和体系结构相关,需要攻击者有较高的知识/技巧

Web攻击

常见的WEB攻击

对客户端

含有恶意代码的网页,利用浏览器的漏洞,威胁本地系统

对Web服务器

利用Apache/IIS...的漏洞

利用CGI实现语言(PHP/ASP/Perl...)和实现流程的漏洞

XSS/SQL/CSRF/上传漏洞/解析漏洞...

通过Web服务器,入侵数据库,进行横向渗透

相关推荐
TMDOG6667 分钟前
PostgreSQL 学习笔记:PostgreSQL 主从复制
笔记·学习·postgresql
安 当 加 密20 分钟前
【安当产品应用案例100集】029-使用安全芯片保护设备核心业务逻辑
网络·安全·信息安全·数据安全·芯片·加密技术·数据加密集成服务
坚持拒绝熬夜24 分钟前
IP协议知识点总结
网络·笔记·网络协议·tcp/ip
如光照24 分钟前
Linux与Windows中的流量抓取工具:wireshark与tcpdump
linux·windows·测试工具·网络安全
超栈29 分钟前
蓝桥杯-网络安全比赛题目-遗漏的压缩包
前端·网络·sql·安全·web安全·职场和发展·蓝桥杯
开MINI的工科男39 分钟前
【笔记】自动驾驶预测与决策规划_Part6_不确定性感知的决策过程
人工智能·笔记·自动驾驶·预测与决策·时空联合规划
黑龙江亿林等级保护测评1 小时前
DDOS防护介绍
网络·人工智能·安全·web安全·智能路由器·ddos
LilKevinRay1 小时前
【SpringMVC】记录一次Bug——mvc:resources设置静态资源不过滤导致WEB-INF下的资源无法访问
java·笔记·mvc·bug
蓝奕世2 小时前
我要精通前端-块级元素和行内元素深入学习笔记
前端·笔记·学习
follycat2 小时前
2024强网杯Proxy
网络·学习·网络安全·go