网络安全-Internet安全体系结构
| 物理層 | 1. 竊聽 2. 回答(重放)3. 插入 4. 拒絕服務 | |
| 局域網LAN | 1. 破壞電源、電纜 2. 干擾信號 3. 故意攻擊 | 1. 防火墻,能實現網絡通信過濾 2. 特權區,分段拓撲,不同程度進行保護 3. LAN連接,身份鑒別 |
| 無線網絡 | 1. 分組嗅測:用戶可以檢測到AP發送的全部數據 2. SSID:能被破壞 3. 假冒:AP假冒可以是故意的,也可以是不經意的 4. 寄生者 5. 直接安全漏洞 | 1. SSID打標簽,盡量模糊 2. 不廣播SSID 3. 天線放置,限制接收方位 4. MAC過濾 5. WEP能主動阻止連接 6. 其他密碼系統,WPA 7. 網絡體系結構 |
| 數據鏈路層 | 1. 隨意模式監控,使用網絡分析和差錯工具 2. 網絡負載攻擊,上千個廣播分組 3. 地址尋址攻擊,兩節點Mac地址相同 4. 幀外數據,不包含在報文幀內數據丟棄,但會在物理層傳輸 5. 轉換通道,高層功能在鏈路層執行 6. 物理風險 | 1. 硬編碼,地址表可以設置靜態地址 2. 數據鏈路身份鑒別 3. 高層身份鑒別 4. 限制網絡分析器的能力 |
| 撥號網PPP,SLIP風險 | 1. 身份鑒別。SLIP不提供身份鑒別機制,PPP有【PAP、CHAP】身份鑒別,但不支持強身份鑒別,傳輸數據未加密 2. 雙向通信。節點可以和遠程網絡通信,遠程網絡也可以和該節點通信。【可通過防火墻緩解】 3. 用戶教育,防火墻與很多軟件沖突 | |
| MAC風險 | 1. 硬件框架攻擊:MAC地址可以暴露硬件廠商與操作系統 2. 偽裝攻擊:攻擊者可以改變用戶MAC地址,并復制到另一個節點,兩者會相互干擾 | |
| ARP與RARP | 1. ARP損壞:當一個無效的或不經意的差錯進入ARP表,使ARP表受損 2. ARP表受損影響:【a.資源攻擊:忽略新的ARP條目丟棄老的ARP條目 b.DoS攻擊:其他節點收到錯誤的ARP條目 c. MitM攻擊(中間人攻擊):冒充正常節點,返回給ARP一個攻擊者的MAC地址 】3. 交換機攻擊【交換機中毒攻擊,交換機淹沒攻擊】 | 1. 硬編碼ARP表 2. ARP過期 3. 過濾ARP回答 4. 鎖住ARP表 |
| 網絡層 | 1. 竊聽 2. 偽裝 3. 插入攻擊 | |
| 路由風險 | 1. 直接路由攻擊 【a. DoS,基于負載攻擊 b. 系統破壞,路由損壞】 2. 路由表中毒:動態路由易受攻擊 3. 路由表淹沒:路由表容易滿 4. 路由度量攻擊:一些好的通路將不期望【利用QOS分組】 5. 路由環路攻擊 | |
| 地址機制風險 | 1. 假地址:兩個節點具有相同的網絡層地址,會產生沖突 2. 地址攔截:兩個節點相同的網絡地址,其中一個節點響應慢,會被鎖住 3. 假釋放攻擊:偽裝一個已分配的地址 4. 假的動態分配 | |
| 分段風險 | 1. 丟失分段攻擊:當一個大分組分段時,有一個分段永遠未傳遞 2. 分段重組:分段ID出現兩次,導致分段重復和分段覆蓋 3.最大的不分段大小 | |
| IP風險 | 1. 地址沖突 2. IP攔截【a. 攻擊者用為在用的地址攔截 b. 重指網絡連接到其他主機 c. 隨意攔截】3. 回答攻擊 4.分組風暴 5. 分段攻擊,大數據進行分段傳輸 6. 轉換通道:防火墻不檢查ICMP分組的內容,ICMP能不經檢查地通過防火墻 | 1. 禁用ICMP 2. 非路由地址【攻擊者不能直接訪問被保護的主機,主機從網上隔離開,可以使用雙主代理或NAT】 3. NAT 【匿名和隱私】 4. RNAT:反向NAT【NAT不能作為一個主機,不能作為WEB服務器,但是RNAT可以】 5. IP過濾:第三層防火墻僅能看到IP報頭,第四層防火墻能過濾基于特定端口和服務的分組 6.出口過濾:不允許內部網絡攻擊者對外部資源進行攻擊,限制端口訪問,限制IP 7. IPSec:IP沒有身份鑒別,沒有驗證,沒有隱私,而IPSec有 8. IPV6 |
| 傳輸層 | 1. 傳輸層攔截【a. 攻擊者必須對某種類型網絡破壞 b. 攻擊者必須識別傳輸序列 c. 偽裝分組必須包含源地址、目的地址、源端口、目的端口】 2. 減少節點的端口數,能減少攻擊因素 3. 靜態端口賦值和動態端口賦值:動態端口會引起不安全的風險 4. 掃描端口:企圖連接到主機的每一個端口,如果端口有回答,則說明有服務在監聽 5.信息泄露:傳輸層對傳輸的數據不進行加密 | |
| TCP偵查 | 1. 可偵查操作系統框架【a. 可偵查操作系統框架 b. TCP選項 c.序列號 d. 客戶端口號:客戶端可選擇任何可用的端口用于連接 e: 重試次數和間隔】 2. 端口掃描 3. 日志:網絡監控攻擊IDS和IPS | |
| TCP攔截 | 任何干擾TCP連接的攻擊都歸結為TCP攔截,如DoS一樣,時連接過早結束。【1. 全會話攔截:需要攻擊具有直接的數據鏈路訪問,運行在隨意模式 2. ICMP和TCP攔截:ICMP連接重定向不同的端口和主機】 | |
| TCP DoS | 【目的:1. 是受害者不能執行任務 2. 更秘密的攻擊】 1. SYN攻擊,發送大量的SYN分組來消耗可用的內存 2. RST和FIN攻擊 發送RST(或FIN)分組,反常的結束已建立的連接【重置攻擊】 3. ICMP攻擊:可以用來指定一個斷開連接,但防火墻能阻斷ICMP攻擊,而TCP重置攻擊可以通過防火墻 4. LAND攻擊【形成反饋環路】 | 1 SYN攻擊解決方式:增加SYN隊列,或者用SYNCookies以防止消耗內存 |
| TCP防御 | 1. 改變系統框架:不同的系統框架包括SYN超時、重試計數、重試間隔、初始窗口大小等。2. 阻斷攻擊指向:防火墻。3.識別網絡設備和已受攻擊的漏洞。4. 狀態分組檢測,跟蹤TCP連接狀態。5. 入侵檢測系統(IDS)。6.入侵防御系統【IPS】。7.高層協議 | |
| UDP攻擊 | 1. 非法的進入源:UDP服務器不執行初始握手,任何主機能連接到UDP服務器,因此任何類型的UDP分組都能淹沒一個服務器。2.UDP攔截:UDP可以從任何主機接收分組,無需進行身份鑒別,攻擊者很容易偽裝成正確的網絡地址和UDP端口。3. UDP保持存活攻擊:UDP沒有很清楚地指示攔截時是打開還是關閉。攻擊者可以使足夠多的的端口保持打開。4. UDP Smurf攻擊:假的分組發送到UDP服務器。攻擊者偽造被害者的網絡地址作為分組發送者,服務器響應一個或多個給被害者。5. UDP偵查:UDP端口掃描依靠ICMP和分組回答 | |
| 應用層 | ||
| DNS | 1. 直接風險 【a. 攻擊者偽造回答 b. DNS緩存受損 c.ID盲目攻擊 d. 破壞DNS分組】2. 技術風險【a. DNS域攔截 b.DNS 服務器攔截 c.更新持續時間 d. 動態DNS】 3. 社會風險【a. 相似主機名 b. 自動名字實現】 | 1.直接風險:打補丁 2. 技術風險:加固服務器,防火墻 3. 社會風險:用戶培訓 |
| STMP 風險 | 1. 偽裝報頭及垃圾郵件 2. 中繼和代理:每個中繼都有可能攔截或修改報文內容。3.STMP和DNS:STMP最大的風險來自于他對DNS的依從。4. 底層協議:SMTP也會受到底層協議如MAC、IP、TCP攔截的影響 | |
| URL漏洞 | 1. 主機名求解攻擊:相似的主機名、URL和自動完成。2. 主機偽裝:有一些偽裝主機名的方法無需求解系統,在URL中使用主機名。3. URI偽裝:URI編碼偽裝主機URI信息。4.剪切和拼接:移調URI一部分成分或附加一部分成分。5.濫用查詢:CGI應用允許服務器傳遞內容,而不僅是靜態Web頁面。6.SQL注入。7.跨站腳本XSS攻擊。 | |
| HTTP風險 | 1. 無身份界別的用戶。2. 無身份鑒別的服務器。3. 客戶端隱私:cookies,URL包含登錄憑證。4. 信息泄露:HTTP請求報頭通常泄露WEB瀏覽器類型,時間戳,版本等。5. 服務器定位輪廓:IP地址可以將服務器定到國家或城市。6.訪問操作系統。7.不安全應用XSS。8底層協議 |
重放攻擊(Replay Attacks) :又稱重播攻擊、回放攻擊,是指攻擊者發送一個目的主機已接收過的包,來達到欺騙系統的目的,主要用于身份認證過程,破壞認證的正確性。重放攻擊可以由發起者,也可以由攔截并重發該數據的敵方進行。攻擊者利用網絡監聽或者其他方式盜取認證憑據,之后再把它重新發給認證服務器。防御方法:(1)加隨機數 (2)加時間戳 (3)加流水號
MitM攻擊(中間人攻擊):ARP表的條目用不同的機器的MAC地址重寫。在這種情況下,新的節點將接到所有指向老的節點的通信。通過損壞兩者,敵意節點能建立一個成功的MitM。
IP欺騙DOS攻擊 :這種攻擊利用RST位來實現。假設現在有一個合法用戶(61.61.61.61)已經同服務器建立了正常的連接,攻擊者構造攻擊的TCP數據,偽裝自己的IP為61.61.61.61,并向服務器發送一個帶有RST位的TCP數據段。服務器接收到這樣的數據后,認為從61.61.61.61發送的連接有錯誤,就會清空緩沖區中建立好的連接。這時,如果合法用戶61.61.61.61再發送合法數據,服務器就已經沒有這樣的連接了,該用戶就必須從新開 始建立連接。攻擊時,攻擊者會偽造大量的IP地址,向目標發送RST數據,使服務器不對合法用戶服務,從而實現了對受害服務器的拒絕服務攻擊。
Teardrop攻擊、Nesta攻擊 :分段攻擊。Teardrop是基于UDP的病態分片數據包的攻擊方法。IP支持將大的數據分段傳輸和在接收端重新組裝的能力。Teardrop攻擊是利用在TCP/IP堆棧中實現信任IP碎片中的包頭所包含的信息來實現自己的攻擊。IP分段含有指明該分段所包含的是原包的哪一段的信息,某些TCP/IP在收到含有重疊偏移的偽造分段時將崩潰。
Ping Flood洪流攻擊 : 該攻擊在短時間內向目的主機發送大量ping包。
Ping of Death : 是一種拒絕服務攻擊。根據TCP/IP的規范,一個IP包的長度最大為65536B,但發送較大的IP包時將進行分片,這些IP分片到達目的主機時又重新組合起來。在Ping of Death攻擊時,各分片組合后的總長度將超過65536B,在這種情況下會造成某些操作系統的宕機。
Ping Sweep : 使用ICMP Echo輪詢多個主機,阻塞網絡。
SYN Foold(SYN攻擊): SYN Flood是當前最流行的DoS(拒絕服務攻擊)與DDoS(Distributed Denial Of Service分布式拒絕服務攻擊)的方式之一,這是一種利用TCP協議缺陷,發送大量偽造的TCP連接請求,使被攻擊方資源耗盡(CPU滿負荷或內存不 足)的攻擊方式。SYN Flood攻擊的過程在TCP協議中被稱為三次握手(Three-way Handshake),而SYN Flood拒絕服務攻擊就是通過三次握手而實現的。
RST和FIN攻擊 :RST攻擊是發送RST(或FIN)分組,反常地結束已建立的連接。
ICMP攻擊 :類似于TCP重置攻擊,ICMP可以用來指定一個斷開連接。盲目ICMP攻擊也能使TCP不能連接。不想TCP重置攻擊,防火墻能阻斷ICMP攻擊,而TCP重置攻擊則因為有效的端口和地址組合,能通過防火墻。
Smurf攻擊 : 通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求(ping)數據包來淹沒受害主機的方式進行。 最終導致該網絡的所有主機都對此ICMP應答請求作出答復,導致網絡阻塞。它比ping of death洪水的流量高出1或2個數量級。更加復雜的Smurf將源地址改為第三方的受害者,最終導致第三方崩潰。
Fraggle攻擊(UDP Smurf攻擊):Fraggle 類似于Smurf攻擊,只是使用UDP應答消息而非ICMP。假的分組送到UDP服務器。攻擊者偽造被害者的網絡地址作為分組發送者,服務器響應發送一個或更多UDP分組給被害者。雖然少數UDP分組不會嚴重影響分組,但每秒幾千個分組能摧垮一個網絡。
UDP洪水攻擊 :攻擊者利用簡單的TCP/IP服務,如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen服務(CHARGEN是在TCP連接建立后,服務器不斷傳送任意的字符到客戶端,直到客戶端關閉連接。)之間的一次的UDP連接,回復地址指向開著Echo服務的一臺主機,這樣就生成在兩臺主機之間存在很多的無用數據流,這些無用數據流就會導致帶寬的服務攻擊。
LAND攻擊 : LAND攻擊形成反饋環路影響大部分LAN守護進程,這種攻擊是發送一個SYN分組到已知端口的開放服務,而回答地址和端口偽裝成指回同一個系統,形成一個反饋環路,使系統很快摧垮。
總結
以上是生活随笔為你收集整理的网络安全-Internet安全体系结构的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 猪排骨的功效与作用、禁忌和食用方法
- 下一篇: 计算机网络-基本概念(10)【传输层】T