CISP-PTE笔记
协议栈攻击分类
1.协议栈自身的脆弱性
1)缺乏数据源验证机制
2)缺乏完整性验证机制
3)缺乏机密性验证机制
2.网络接口层攻击
3.网络层攻击
4.应用层攻击
网络攻击的基本模式
被动威胁(不影响通信双方)
截获(机密性)
嗅探(sniffing),监听(eavesdropping)
主动威胁(影响通信双方)
篡改(完整性)
数据包篡改(tampering)
中断(可用性)
拒绝服务(dosing)
伪造(真实性)
欺骗(spoofing)
物理层------设备破环,监听
物理设备破坏
指攻击者直接破坏网络的各种物理设施,比如服务器设施,或者网络的传输通信设施等
设备破坏攻击的目的主要是为了中断网络服务
物理设备窃听
光纤监听,红外监听
链路层------MAC泛洪
MAC 泛洪
交换机中存在着一张记录着 MAC 地址的表,为了完成数据的快速转发,该表具有自动学习机制:泛洪攻击即是攻击者利用这种学习机制不断发送不同的 MAC 地址给交换机,填满整个 MAC 表,此时交换机只能进行数据广播,攻击者凭此获得信息。
MAC泛洪防护
给交换机的的每个端口限制主机的数量,当一个端口学习的 MAC 数量超过这个限制的数量,则将超出的 MAC 地址舍弃。
1.[Quidway-Ethernet0/0/1]port-security enable //开启接口安全功能
2.[Quidway-Ethernet0/0/1]port-security sticky //开启接口粘滞 MAC 地址功
3.[Quidway-Ethernet0/0/1]port-security protect-action protect //接口安全功能的保护动作
4.[Quidway-Ethernet0/0/1]port-security max-mac-num 20 //接口 MAC 地址学习限制数
规定端口能够通过什么样的 MAC 地址和学习什么样的 MAC 地址
对超过一定数量的 MAC 地址进行违背规则处理
网络层------IP欺骗,Smurf攻击
IP欺骗
IP地址欺骗是指行动产生的 IP 包为伪造的源IP地址,以便冒充其它系统和发件人的身份。这是一种黑客的攻击形式,黑客使用一台计算机上网,而借用另外一台机器的 IP 从而冒充另外一台机器与服务器打交道。
按照 lnternet Protocol网络互联协议,数据包头包含来源地和目的地信息。而 IP 地址欺骗,就是通过伪据数据包包头,使显示的信息源不是实际的来源,就像这个数据包是从另一台计算机发送的
Smurf攻击
· Smurf攻击是DDOS攻击的一种, 它主要通过IP欺骗和ICMP请求来占用被攻击主机资源, 使其网络拥塞停止服务。
· Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求( ping)数据包,来淹没受害主机, 最终导致该网络的所有主机都对此ICMP应答请求做出答复, 导致网络阻塞。更加复杂的 Smurf将源地址改为第三方的受害者, 最终导致第三方崩溃。
Smurf攻击检测与防护
·ICMP应答风暴的检测
对网络进行监控和统计发现,若出现 Smurf攻击, 则会出现大量的echo报文。由于存在 echo应答风暴, echo报文在所有报文中所占的比例大大增加。如果出现这种情况, 就可能遭到了 Smurf攻击。
·报文丢失率和重传率的上升
由于 echo风暴造成网络负载过重,会出现大量报文丢失和报文重传现象。若有明显的报文丢失率和重传率上升现象, 就有可能遭到了 Smurf攻击。
·常出现意外的连接重置的现象
在受到 Smurf攻击时,由于网络重载,会使其它的网络连接出现意外的中断或重置的现象。如反复出现意外的中断或重置, 也可能受到了 Smurf攻击。
防范措施
配置路由器禁止IP广播包进入网络中
配置网络上所有计算机的操作系统,禁止对目标地址为广播地址的ICMP包响应。
被攻击目标与ISP协商,有ISP暂时阻止这些流量。
对于从本网络向外部网络发送的数据包,本网络应该将其源地址为其他网络的这部分数据包过滤掉。
传输层------TCP SYN Flood攻击
TCP SYN Flood攻击
SYN 报文是 TCP 连接的第一个报文,攻击者通过大量发送 SYN 报文,造成大量未完全建立的 TCP 连接,占用被攻击者的资源。
TCP SYN Flood攻击防护
·丢包模式,利用TCP重传机制,丢弃首个Syn包
·反向探测,即向Client发送探测包。
·代理模式,即Syn Proxy,也可以防火墙等设备做代理
应用层------缓冲区溢出攻击,Web攻击
缓冲区溢出攻击
攻击软件系统的行为中,最常见的一种方法
可以从本地实施,也可以从远端实施
利用软件系统(操作系统,网络服务,应用程序)实现中对内存操作的缺陷,以高操作权限运行攻击代码
漏洞与操作系统和体系结构相关,需要攻击者有较高的知识/技巧
Web攻击
常见的WEB攻击
对客户端
含有恶意代码的网页,利用浏览器的漏洞,威胁本地系统
对Web服务器
利用Apache/IIS...的漏洞
利用CGI实现语言(PHP/ASP/Perl...)和实现流程的漏洞
XSS/SQL/CSRF/上传漏洞/解析漏洞...
通过Web服务器,入侵数据库,进行横向渗透