网络安全-Internet安全体系结构
| 物理層 | 1. 竊聽(tīng) 2. 回答(重放)3. 插入 4. 拒絕服務(wù) | |
| 局域網(wǎng)LAN | 1. 破壞電源、電纜 2. 干擾信號(hào) 3. 故意攻擊 | 1. 防火墻,能實(shí)現(xiàn)網(wǎng)絡(luò)通信過(guò)濾 2. 特權(quán)區(qū),分段拓?fù)?#xff0c;不同程度進(jìn)行保護(hù) 3. LAN連接,身份鑒別 |
| 無(wú)線網(wǎng)絡(luò) | 1. 分組嗅測(cè):用戶可以檢測(cè)到AP發(fā)送的全部數(shù)據(jù) 2. SSID:能被破壞 3. 假冒:AP假冒可以是故意的,也可以是不經(jīng)意的 4. 寄生者 5. 直接安全漏洞 | 1. SSID打標(biāo)簽,盡量模糊 2. 不廣播SSID 3. 天線放置,限制接收方位 4. MAC過(guò)濾 5. WEP能主動(dòng)阻止連接 6. 其他密碼系統(tǒng),WPA 7. 網(wǎng)絡(luò)體系結(jié)構(gòu) |
| 數(shù)據(jù)鏈路層 | 1. 隨意模式監(jiān)控,使用網(wǎng)絡(luò)分析和差錯(cuò)工具 2. 網(wǎng)絡(luò)負(fù)載攻擊,上千個(gè)廣播分組 3. 地址尋址攻擊,兩節(jié)點(diǎn)Mac地址相同 4. 幀外數(shù)據(jù),不包含在報(bào)文幀內(nèi)數(shù)據(jù)丟棄,但會(huì)在物理層傳輸 5. 轉(zhuǎn)換通道,高層功能在鏈路層執(zhí)行 6. 物理風(fēng)險(xiǎn) | 1. 硬編碼,地址表可以設(shè)置靜態(tài)地址 2. 數(shù)據(jù)鏈路身份鑒別 3. 高層身份鑒別 4. 限制網(wǎng)絡(luò)分析器的能力 |
| 撥號(hào)網(wǎng)PPP,SLIP風(fēng)險(xiǎn) | 1. 身份鑒別。SLIP不提供身份鑒別機(jī)制,PPP有【PAP、CHAP】身份鑒別,但不支持強(qiáng)身份鑒別,傳輸數(shù)據(jù)未加密 2. 雙向通信。節(jié)點(diǎn)可以和遠(yuǎn)程網(wǎng)絡(luò)通信,遠(yuǎn)程網(wǎng)絡(luò)也可以和該節(jié)點(diǎn)通信。【可通過(guò)防火墻緩解】 3. 用戶教育,防火墻與很多軟件沖突 | |
| MAC風(fēng)險(xiǎn) | 1. 硬件框架攻擊:MAC地址可以暴露硬件廠商與操作系統(tǒng) 2. 偽裝攻擊:攻擊者可以改變用戶MAC地址,并復(fù)制到另一個(gè)節(jié)點(diǎn),兩者會(huì)相互干擾 | |
| ARP與RARP | 1. ARP損壞:當(dāng)一個(gè)無(wú)效的或不經(jīng)意的差錯(cuò)進(jìn)入ARP表,使ARP表受損 2. ARP表受損影響:【a.資源攻擊:忽略新的ARP條目丟棄老的ARP條目 b.DoS攻擊:其他節(jié)點(diǎn)收到錯(cuò)誤的ARP條目 c. MitM攻擊(中間人攻擊):冒充正常節(jié)點(diǎn),返回給ARP一個(gè)攻擊者的MAC地址 】3. 交換機(jī)攻擊【交換機(jī)中毒攻擊,交換機(jī)淹沒(méi)攻擊】 | 1. 硬編碼ARP表 2. ARP過(guò)期 3. 過(guò)濾ARP回答 4. 鎖住ARP表 |
| 網(wǎng)絡(luò)層 | 1. 竊聽(tīng) 2. 偽裝 3. 插入攻擊 | |
| 路由風(fēng)險(xiǎn) | 1. 直接路由攻擊 【a. DoS,基于負(fù)載攻擊 b. 系統(tǒng)破壞,路由損壞】 2. 路由表中毒:動(dòng)態(tài)路由易受攻擊 3. 路由表淹沒(méi):路由表容易滿 4. 路由度量攻擊:一些好的通路將不期望【利用QOS分組】 5. 路由環(huán)路攻擊 | |
| 地址機(jī)制風(fēng)險(xiǎn) | 1. 假地址:兩個(gè)節(jié)點(diǎn)具有相同的網(wǎng)絡(luò)層地址,會(huì)產(chǎn)生沖突 2. 地址攔截:兩個(gè)節(jié)點(diǎn)相同的網(wǎng)絡(luò)地址,其中一個(gè)節(jié)點(diǎn)響應(yīng)慢,會(huì)被鎖住 3. 假釋放攻擊:偽裝一個(gè)已分配的地址 4. 假的動(dòng)態(tài)分配 | |
| 分段風(fēng)險(xiǎn) | 1. 丟失分段攻擊:當(dāng)一個(gè)大分組分段時(shí),有一個(gè)分段永遠(yuǎn)未傳遞 2. 分段重組:分段ID出現(xiàn)兩次,導(dǎo)致分段重復(fù)和分段覆蓋 3.最大的不分段大小 | |
| IP風(fēng)險(xiǎn) | 1. 地址沖突 2. IP攔截【a. 攻擊者用為在用的地址攔截 b. 重指網(wǎng)絡(luò)連接到其他主機(jī) c. 隨意攔截】3. 回答攻擊 4.分組風(fēng)暴 5. 分段攻擊,大數(shù)據(jù)進(jìn)行分段傳輸 6. 轉(zhuǎn)換通道:防火墻不檢查ICMP分組的內(nèi)容,ICMP能不經(jīng)檢查地通過(guò)防火墻 | 1. 禁用ICMP 2. 非路由地址【攻擊者不能直接訪問(wèn)被保護(hù)的主機(jī),主機(jī)從網(wǎng)上隔離開(kāi),可以使用雙主代理或NAT】 3. NAT 【匿名和隱私】 4. RNAT:反向NAT【NAT不能作為一個(gè)主機(jī),不能作為WEB服務(wù)器,但是RNAT可以】 5. IP過(guò)濾:第三層防火墻僅能看到IP報(bào)頭,第四層防火墻能過(guò)濾基于特定端口和服務(wù)的分組 6.出口過(guò)濾:不允許內(nèi)部網(wǎng)絡(luò)攻擊者對(duì)外部資源進(jìn)行攻擊,限制端口訪問(wèn),限制IP 7. IPSec:IP沒(méi)有身份鑒別,沒(méi)有驗(yàn)證,沒(méi)有隱私,而IPSec有 8. IPV6 |
| 傳輸層 | 1. 傳輸層攔截【a. 攻擊者必須對(duì)某種類型網(wǎng)絡(luò)破壞 b. 攻擊者必須識(shí)別傳輸序列 c. 偽裝分組必須包含源地址、目的地址、源端口、目的端口】 2. 減少節(jié)點(diǎn)的端口數(shù),能減少攻擊因素 3. 靜態(tài)端口賦值和動(dòng)態(tài)端口賦值:動(dòng)態(tài)端口會(huì)引起不安全的風(fēng)險(xiǎn) 4. 掃描端口:企圖連接到主機(jī)的每一個(gè)端口,如果端口有回答,則說(shuō)明有服務(wù)在監(jiān)聽(tīng) 5.信息泄露:傳輸層對(duì)傳輸?shù)臄?shù)據(jù)不進(jìn)行加密 | |
| TCP偵查 | 1. 可偵查操作系統(tǒng)框架【a. 可偵查操作系統(tǒng)框架 b. TCP選項(xiàng) c.序列號(hào) d. 客戶端口號(hào):客戶端可選擇任何可用的端口用于連接 e: 重試次數(shù)和間隔】 2. 端口掃描 3. 日志:網(wǎng)絡(luò)監(jiān)控攻擊IDS和IPS | |
| TCP攔截 | 任何干擾TCP連接的攻擊都?xì)w結(jié)為T(mén)CP攔截,如DoS一樣,時(shí)連接過(guò)早結(jié)束。【1. 全會(huì)話攔截:需要攻擊具有直接的數(shù)據(jù)鏈路訪問(wèn),運(yùn)行在隨意模式 2. ICMP和TCP攔截:ICMP連接重定向不同的端口和主機(jī)】 | |
| TCP DoS | 【目的:1. 是受害者不能執(zhí)行任務(wù) 2. 更秘密的攻擊】 1. SYN攻擊,發(fā)送大量的SYN分組來(lái)消耗可用的內(nèi)存 2. RST和FIN攻擊 發(fā)送RST(或FIN)分組,反常的結(jié)束已建立的連接【重置攻擊】 3. ICMP攻擊:可以用來(lái)指定一個(gè)斷開(kāi)連接,但防火墻能阻斷ICMP攻擊,而TCP重置攻擊可以通過(guò)防火墻 4. LAND攻擊【形成反饋環(huán)路】 | 1 SYN攻擊解決方式:增加SYN隊(duì)列,或者用SYNCookies以防止消耗內(nèi)存 |
| TCP防御 | 1. 改變系統(tǒng)框架:不同的系統(tǒng)框架包括SYN超時(shí)、重試計(jì)數(shù)、重試間隔、初始窗口大小等。2. 阻斷攻擊指向:防火墻。3.識(shí)別網(wǎng)絡(luò)設(shè)備和已受攻擊的漏洞。4. 狀態(tài)分組檢測(cè),跟蹤TCP連接狀態(tài)。5. 入侵檢測(cè)系統(tǒng)(IDS)。6.入侵防御系統(tǒng)【IPS】。7.高層協(xié)議 | |
| UDP攻擊 | 1. 非法的進(jìn)入源:UDP服務(wù)器不執(zhí)行初始握手,任何主機(jī)能連接到UDP服務(wù)器,因此任何類型的UDP分組都能淹沒(méi)一個(gè)服務(wù)器。2.UDP攔截:UDP可以從任何主機(jī)接收分組,無(wú)需進(jìn)行身份鑒別,攻擊者很容易偽裝成正確的網(wǎng)絡(luò)地址和UDP端口。3. UDP保持存活攻擊:UDP沒(méi)有很清楚地指示攔截時(shí)是打開(kāi)還是關(guān)閉。攻擊者可以使足夠多的的端口保持打開(kāi)。4. UDP Smurf攻擊:假的分組發(fā)送到UDP服務(wù)器。攻擊者偽造被害者的網(wǎng)絡(luò)地址作為分組發(fā)送者,服務(wù)器響應(yīng)一個(gè)或多個(gè)給被害者。5. UDP偵查:UDP端口掃描依靠ICMP和分組回答 | |
| 應(yīng)用層 | ||
| DNS | 1. 直接風(fēng)險(xiǎn) 【a. 攻擊者偽造回答 b. DNS緩存受損 c.ID盲目攻擊 d. 破壞DNS分組】2. 技術(shù)風(fēng)險(xiǎn)【a. DNS域攔截 b.DNS 服務(wù)器攔截 c.更新持續(xù)時(shí)間 d. 動(dòng)態(tài)DNS】 3. 社會(huì)風(fēng)險(xiǎn)【a. 相似主機(jī)名 b. 自動(dòng)名字實(shí)現(xiàn)】 | 1.直接風(fēng)險(xiǎn):打補(bǔ)丁 2. 技術(shù)風(fēng)險(xiǎn):加固服務(wù)器,防火墻 3. 社會(huì)風(fēng)險(xiǎn):用戶培訓(xùn) |
| STMP 風(fēng)險(xiǎn) | 1. 偽裝報(bào)頭及垃圾郵件 2. 中繼和代理:每個(gè)中繼都有可能攔截或修改報(bào)文內(nèi)容。3.STMP和DNS:STMP最大的風(fēng)險(xiǎn)來(lái)自于他對(duì)DNS的依從。4. 底層協(xié)議:SMTP也會(huì)受到底層協(xié)議如MAC、IP、TCP攔截的影響 | |
| URL漏洞 | 1. 主機(jī)名求解攻擊:相似的主機(jī)名、URL和自動(dòng)完成。2. 主機(jī)偽裝:有一些偽裝主機(jī)名的方法無(wú)需求解系統(tǒng),在URL中使用主機(jī)名。3. URI偽裝:URI編碼偽裝主機(jī)URI信息。4.剪切和拼接:移調(diào)URI一部分成分或附加一部分成分。5.濫用查詢:CGI應(yīng)用允許服務(wù)器傳遞內(nèi)容,而不僅是靜態(tài)Web頁(yè)面。6.SQL注入。7.跨站腳本XSS攻擊。 | |
| HTTP風(fēng)險(xiǎn) | 1. 無(wú)身份界別的用戶。2. 無(wú)身份鑒別的服務(wù)器。3. 客戶端隱私:cookies,URL包含登錄憑證。4. 信息泄露:HTTP請(qǐng)求報(bào)頭通常泄露WEB瀏覽器類型,時(shí)間戳,版本等。5. 服務(wù)器定位輪廓:IP地址可以將服務(wù)器定到國(guó)家或城市。6.訪問(wèn)操作系統(tǒng)。7.不安全應(yīng)用XSS。8底層協(xié)議 |
重放攻擊(Replay Attacks) :又稱重播攻擊、回放攻擊,是指攻擊者發(fā)送一個(gè)目的主機(jī)已接收過(guò)的包,來(lái)達(dá)到欺騙系統(tǒng)的目的,主要用于身份認(rèn)證過(guò)程,破壞認(rèn)證的正確性。重放攻擊可以由發(fā)起者,也可以由攔截并重發(fā)該數(shù)據(jù)的敵方進(jìn)行。攻擊者利用網(wǎng)絡(luò)監(jiān)聽(tīng)或者其他方式盜取認(rèn)證憑據(jù),之后再把它重新發(fā)給認(rèn)證服務(wù)器。防御方法:(1)加隨機(jī)數(shù) (2)加時(shí)間戳 (3)加流水號(hào)
MitM攻擊(中間人攻擊):ARP表的條目用不同的機(jī)器的MAC地址重寫(xiě)。在這種情況下,新的節(jié)點(diǎn)將接到所有指向老的節(jié)點(diǎn)的通信。通過(guò)損壞兩者,敵意節(jié)點(diǎn)能建立一個(gè)成功的MitM。
IP欺騙DOS攻擊 :這種攻擊利用RST位來(lái)實(shí)現(xiàn)。假設(shè)現(xiàn)在有一個(gè)合法用戶(61.61.61.61)已經(jīng)同服務(wù)器建立了正常的連接,攻擊者構(gòu)造攻擊的TCP數(shù)據(jù),偽裝自己的IP為61.61.61.61,并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后,認(rèn)為從61.61.61.61發(fā)送的連接有錯(cuò)誤,就會(huì)清空緩沖區(qū)中建立好的連接。這時(shí),如果合法用戶61.61.61.61再發(fā)送合法數(shù)據(jù),服務(wù)器就已經(jīng)沒(méi)有這樣的連接了,該用戶就必須從新開(kāi) 始建立連接。攻擊時(shí),攻擊者會(huì)偽造大量的IP地址,向目標(biāo)發(fā)送RST數(shù)據(jù),使服務(wù)器不對(duì)合法用戶服務(wù),從而實(shí)現(xiàn)了對(duì)受害服務(wù)器的拒絕服務(wù)攻擊。
Teardrop攻擊、Nesta攻擊 :分段攻擊。Teardrop是基于UDP的病態(tài)分片數(shù)據(jù)包的攻擊方法。IP支持將大的數(shù)據(jù)分段傳輸和在接收端重新組裝的能力。Teardrop攻擊是利用在TCP/IP堆棧中實(shí)現(xiàn)信任IP碎片中的包頭所包含的信息來(lái)實(shí)現(xiàn)自己的攻擊。IP分段含有指明該分段所包含的是原包的哪一段的信息,某些TCP/IP在收到含有重疊偏移的偽造分段時(shí)將崩潰。
Ping Flood洪流攻擊 : 該攻擊在短時(shí)間內(nèi)向目的主機(jī)發(fā)送大量ping包。
Ping of Death : 是一種拒絕服務(wù)攻擊。根據(jù)TCP/IP的規(guī)范,一個(gè)IP包的長(zhǎng)度最大為65536B,但發(fā)送較大的IP包時(shí)將進(jìn)行分片,這些IP分片到達(dá)目的主機(jī)時(shí)又重新組合起來(lái)。在Ping of Death攻擊時(shí),各分片組合后的總長(zhǎng)度將超過(guò)65536B,在這種情況下會(huì)造成某些操作系統(tǒng)的宕機(jī)。
Ping Sweep : 使用ICMP Echo輪詢多個(gè)主機(jī),阻塞網(wǎng)絡(luò)。
SYN Foold(SYN攻擊): SYN Flood是當(dāng)前最流行的DoS(拒絕服務(wù)攻擊)與DDoS(Distributed Denial Of Service分布式拒絕服務(wù)攻擊)的方式之一,這是一種利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請(qǐng)求,使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不 足)的攻擊方式。SYN Flood攻擊的過(guò)程在TCP協(xié)議中被稱為三次握手(Three-way Handshake),而SYN Flood拒絕服務(wù)攻擊就是通過(guò)三次握手而實(shí)現(xiàn)的。
RST和FIN攻擊 :RST攻擊是發(fā)送RST(或FIN)分組,反常地結(jié)束已建立的連接。
ICMP攻擊 :類似于TCP重置攻擊,ICMP可以用來(lái)指定一個(gè)斷開(kāi)連接。盲目ICMP攻擊也能使TCP不能連接。不想TCP重置攻擊,防火墻能阻斷ICMP攻擊,而TCP重置攻擊則因?yàn)橛行У亩丝诤偷刂方M合,能通過(guò)防火墻。
Smurf攻擊 : 通過(guò)使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求(ping)數(shù)據(jù)包來(lái)淹沒(méi)受害主機(jī)的方式進(jìn)行。 最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求作出答復(fù),導(dǎo)致網(wǎng)絡(luò)阻塞。它比ping of death洪水的流量高出1或2個(gè)數(shù)量級(jí)。更加復(fù)雜的Smurf將源地址改為第三方的受害者,最終導(dǎo)致第三方崩潰。
Fraggle攻擊(UDP Smurf攻擊):Fraggle 類似于Smurf攻擊,只是使用UDP應(yīng)答消息而非ICMP。假的分組送到UDP服務(wù)器。攻擊者偽造被害者的網(wǎng)絡(luò)地址作為分組發(fā)送者,服務(wù)器響應(yīng)發(fā)送一個(gè)或更多UDP分組給被害者。雖然少數(shù)UDP分組不會(huì)嚴(yán)重影響分組,但每秒幾千個(gè)分組能摧垮一個(gè)網(wǎng)絡(luò)。
UDP洪水攻擊 :攻擊者利用簡(jiǎn)單的TCP/IP服務(wù),如Chargen和Echo來(lái)傳送毫無(wú)用處的占滿帶寬的數(shù)據(jù)。通過(guò)偽造與某一主機(jī)的Chargen服務(wù)(CHARGEN是在TCP連接建立后,服務(wù)器不斷傳送任意的字符到客戶端,直到客戶端關(guān)閉連接。)之間的一次的UDP連接,回復(fù)地址指向開(kāi)著Echo服務(wù)的一臺(tái)主機(jī),這樣就生成在兩臺(tái)主機(jī)之間存在很多的無(wú)用數(shù)據(jù)流,這些無(wú)用數(shù)據(jù)流就會(huì)導(dǎo)致帶寬的服務(wù)攻擊。
LAND攻擊 : LAND攻擊形成反饋環(huán)路影響大部分LAN守護(hù)進(jìn)程,這種攻擊是發(fā)送一個(gè)SYN分組到已知端口的開(kāi)放服務(wù),而回答地址和端口偽裝成指回同一個(gè)系統(tǒng),形成一個(gè)反饋環(huán)路,使系統(tǒng)很快摧垮。
總結(jié)
以上是生活随笔為你收集整理的网络安全-Internet安全体系结构的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 猪排骨的功效与作用、禁忌和食用方法
- 下一篇: 山慈姑的功效与作用、禁忌和食用方法