协议栈攻击分类(CISP-PTE笔记)

CISP-PTE笔记

协议栈攻击分类

1.协议栈自身的脆弱性

​ 1)缺乏数据源验证机制

​ 2)缺乏完整性验证机制

​ 3)缺乏机密性验证机制

2.网络接口层攻击

3.网络层攻击

4.应用层攻击

网络攻击的基本模式

被动威胁(不影响通信双方)

截获(机密性)

​ 嗅探(sniffing),监听(eavesdropping)

主动威胁(影响通信双方)

篡改(完整性)

​ 数据包篡改(tampering)

中断(可用性)

​ 拒绝服务(dosing)

伪造(真实性)

​ 欺骗(spoofing)

物理层------设备破环,监听

物理设备破坏

指攻击者直接破坏网络的各种物理设施,比如服务器设施,或者网络的传输通信设施等

设备破坏攻击的目的主要是为了中断网络服务

物理设备窃听

光纤监听,红外监听

链路层------MAC泛洪

MAC 泛洪

交换机中存在着一张记录着 MAC 地址的表,为了完成数据的快速转发,该表具有自动学习机制:泛洪攻击即是攻击者利用这种学习机制不断发送不同的 MAC 地址给交换机,填满整个 MAC 表,此时交换机只能进行数据广播,攻击者凭此获得信息。

MAC泛洪防护

给交换机的的每个端口限制主机的数量,当一个端口学习的 MAC 数量超过这个限制的数量,则将超出的 MAC 地址舍弃。

​ 1.[Quidway-Ethernet0/0/1]port-security enable //开启接口安全功能

​ 2.[Quidway-Ethernet0/0/1]port-security sticky //开启接口粘滞 MAC 地址功

​ 3.[Quidway-Ethernet0/0/1]port-security protect-action protect //接口安全功能的保护动作

​ 4.[Quidway-Ethernet0/0/1]port-security max-mac-num 20 //接口 MAC 地址学习限制数

规定端口能够通过什么样的 MAC 地址和学习什么样的 MAC 地址

对超过一定数量的 MAC 地址进行违背规则处理

网络层------IP欺骗,Smurf攻击

IP欺骗

IP地址欺骗是指行动产生的 IP 包为伪造的源IP地址,以便冒充其它系统和发件人的身份。这是一种黑客的攻击形式,黑客使用一台计算机上网,而借用另外一台机器的 IP 从而冒充另外一台机器与服务器打交道。

按照 lnternet Protocol网络互联协议,数据包头包含来源地和目的地信息。而 IP 地址欺骗,就是通过伪据数据包包头,使显示的信息源不是实际的来源,就像这个数据包是从另一台计算机发送的

Smurf攻击

· Smurf攻击是DDOS攻击的一种, 它主要通过IP欺骗和ICMP请求来占用被攻击主机资源, 使其网络拥塞停止服务。

· Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求( ping)数据包,来淹没受害主机, 最终导致该网络的所有主机都对此ICMP应答请求做出答复, 导致网络阻塞。更加复杂的 Smurf将源地址改为第三方的受害者, 最终导致第三方崩溃。

Smurf攻击检测与防护

·ICMP应答风暴的检测

​ 对网络进行监控和统计发现,若出现 Smurf攻击, 则会出现大量的echo报文。由于存在 echo应答风暴, echo报文在所有报文中所占的比例大大增加。如果出现这种情况, 就可能遭到了 Smurf攻击。

·报文丢失率和重传率的上升

​ 由于 echo风暴造成网络负载过重,会出现大量报文丢失和报文重传现象。若有明显的报文丢失率和重传率上升现象, 就有可能遭到了 Smurf攻击。

·常出现意外的连接重置的现象

​ 在受到 Smurf攻击时,由于网络重载,会使其它的网络连接出现意外的中断或重置的现象。如反复出现意外的中断或重置, 也可能受到了 Smurf攻击。

防范措施

配置路由器禁止IP广播包进入网络中

配置网络上所有计算机的操作系统,禁止对目标地址为广播地址的ICMP包响应。

被攻击目标与ISP协商,有ISP暂时阻止这些流量。

对于从本网络向外部网络发送的数据包,本网络应该将其源地址为其他网络的这部分数据包过滤掉。

传输层------TCP SYN Flood攻击

TCP SYN Flood攻击

SYN 报文是 TCP 连接的第一个报文,攻击者通过大量发送 SYN 报文,造成大量未完全建立的 TCP 连接,占用被攻击者的资源。

TCP SYN Flood攻击防护

·丢包模式,利用TCP重传机制,丢弃首个Syn包

·反向探测,即向Client发送探测包。

·代理模式,即Syn Proxy,也可以防火墙等设备做代理

应用层------缓冲区溢出攻击,Web攻击

缓冲区溢出攻击

攻击软件系统的行为中,最常见的一种方法

可以从本地实施,也可以从远端实施

利用软件系统(操作系统,网络服务,应用程序)实现中对内存操作的缺陷,以高操作权限运行攻击代码

漏洞与操作系统和体系结构相关,需要攻击者有较高的知识/技巧

Web攻击

常见的WEB攻击

对客户端

含有恶意代码的网页,利用浏览器的漏洞,威胁本地系统

对Web服务器

利用Apache/IIS...的漏洞

利用CGI实现语言(PHP/ASP/Perl...)和实现流程的漏洞

XSS/SQL/CSRF/上传漏洞/解析漏洞...

通过Web服务器,入侵数据库,进行横向渗透

相关推荐
不爱缺氧i15 分钟前
dvwa靶场
安全
HSunR21 分钟前
概率论 期末 笔记
笔记·概率论
陈哥聊测试27 分钟前
软件格局在变,谁能扛起国产替代的大旗?
安全·程序员·产品
红色的山茶花31 分钟前
YOLOv9-0.1部分代码阅读笔记-loss_tal.py
笔记·深度学习·yolo
车轮滚滚__2 小时前
uniapp对接unipush 1.0 ios/android
笔记
星竹2 小时前
upload-labs-master第21关超详细教程
网络安全
蜜獾云2 小时前
docker 安装雷池WAF防火墙 守护Web服务器
linux·运维·服务器·网络·网络安全·docker·容器
虹科数字化与AR3 小时前
安宝特应用 | 美国OSHA扩展Vuzix AR眼镜应用,强化劳动安全与效率
安全·ar·远程协助
Hacker_Fuchen3 小时前
天融信网络架构安全实践
网络·安全·架构
炫彩@之星3 小时前
Windows和Linux安全配置和加固
linux·windows·安全·系统安全配置和加固