名稱攻擊防御

物理層	1. 竊聽 2. 回答（重放）3. 插入 4. 拒絕服務(wù)
局域網(wǎng)LAN	1. 破壞電源、電纜 2. 干擾信號 3. 故意攻擊	1. 防火墻，能實現(xiàn)網(wǎng)絡(luò)通信過濾 2. 特權(quán)區(qū)，分段拓?fù)?#xff0c;不同程度進(jìn)行保護(hù) 3. LAN連接，身份鑒別
無線網(wǎng)絡(luò)	1. 分組嗅測：用戶可以檢測到AP發(fā)送的全部數(shù)據(jù) 2. SSID：能被破壞 3. 假冒：AP假冒可以是故意的，也可以是不經(jīng)意的 4. 寄生者 5. 直接安全漏洞	1. SSID打標(biāo)簽，盡量模糊 2. 不廣播SSID 3. 天線放置，限制接收方位 4. MAC過濾 5. WEP能主動阻止連接 6. 其他密碼系統(tǒng)，WPA 7. 網(wǎng)絡(luò)體系結(jié)構(gòu)
數(shù)據(jù)鏈路層	1. 隨意模式監(jiān)控，使用網(wǎng)絡(luò)分析和差錯工具 2. 網(wǎng)絡(luò)負(fù)載攻擊，上千個廣播分組 3. 地址尋址攻擊，兩節(jié)點(diǎn)Mac地址相同 4. 幀外數(shù)據(jù)，不包含在報文幀內(nèi)數(shù)據(jù)丟棄，但會在物理層傳輸 5. 轉(zhuǎn)換通道，高層功能在鏈路層執(zhí)行 6. 物理風(fēng)險	1. 硬編碼，地址表可以設(shè)置靜態(tài)地址 2. 數(shù)據(jù)鏈路身份鑒別 3. 高層身份鑒別 4. 限制網(wǎng)絡(luò)分析器的能力
撥號網(wǎng)PPP，SLIP風(fēng)險	1. 身份鑒別。SLIP不提供身份鑒別機(jī)制，PPP有【PAP、CHAP】身份鑒別，但不支持強(qiáng)身份鑒別，傳輸數(shù)據(jù)未加密 2. 雙向通信。節(jié)點(diǎn)可以和遠(yuǎn)程網(wǎng)絡(luò)通信，遠(yuǎn)程網(wǎng)絡(luò)也可以和該節(jié)點(diǎn)通信。【可通過防火墻緩解】 3. 用戶教育，防火墻與很多軟件沖突
MAC風(fēng)險	1. 硬件框架攻擊：MAC地址可以暴露硬件廠商與操作系統(tǒng) 2. 偽裝攻擊：攻擊者可以改變用戶MAC地址，并復(fù)制到另一個節(jié)點(diǎn)，兩者會相互干擾
ARP與RARP	1. ARP損壞：當(dāng)一個無效的或不經(jīng)意的差錯進(jìn)入ARP表，使ARP表受損 2. ARP表受損影響：【a.資源攻擊：忽略新的ARP條目丟棄老的ARP條目 b.DoS攻擊：其他節(jié)點(diǎn)收到錯誤的ARP條目 c. MitM攻擊（中間人攻擊）：冒充正常節(jié)點(diǎn)，返回給ARP一個攻擊者的MAC地址 】3. 交換機(jī)攻擊【交換機(jī)中毒攻擊，交換機(jī)淹沒攻擊】	1. 硬編碼ARP表 2. ARP過期 3. 過濾ARP回答 4. 鎖住ARP表
網(wǎng)絡(luò)層	1. 竊聽 2. 偽裝 3. 插入攻擊
路由風(fēng)險	1. 直接路由攻擊 【a. DoS，基于負(fù)載攻擊 b. 系統(tǒng)破壞，路由損壞】 2. 路由表中毒：動態(tài)路由易受攻擊 3. 路由表淹沒：路由表容易滿 4. 路由度量攻擊：一些好的通路將不期望【利用QOS分組】 5. 路由環(huán)路攻擊
地址機(jī)制風(fēng)險	1. 假地址：兩個節(jié)點(diǎn)具有相同的網(wǎng)絡(luò)層地址，會產(chǎn)生沖突 2. 地址攔截：兩個節(jié)點(diǎn)相同的網(wǎng)絡(luò)地址，其中一個節(jié)點(diǎn)響應(yīng)慢，會被鎖住 3. 假釋放攻擊：偽裝一個已分配的地址 4. 假的動態(tài)分配
分段風(fēng)險	1. 丟失分段攻擊：當(dāng)一個大分組分段時，有一個分段永遠(yuǎn)未傳遞 2. 分段重組：分段ID出現(xiàn)兩次，導(dǎo)致分段重復(fù)和分段覆蓋 3.最大的不分段大小
IP風(fēng)險	1. 地址沖突 2. IP攔截【a. 攻擊者用為在用的地址攔截 b. 重指網(wǎng)絡(luò)連接到其他主機(jī) c. 隨意攔截】3. 回答攻擊 4.分組風(fēng)暴 5. 分段攻擊，大數(shù)據(jù)進(jìn)行分段傳輸 6. 轉(zhuǎn)換通道：防火墻不檢查ICMP分組的內(nèi)容，ICMP能不經(jīng)檢查地通過防火墻	1. 禁用ICMP 2. 非路由地址【攻擊者不能直接訪問被保護(hù)的主機(jī)，主機(jī)從網(wǎng)上隔離開，可以使用雙主代理或NAT】 3. NAT 【匿名和隱私】 4. RNAT：反向NAT【NAT不能作為一個主機(jī)，不能作為WEB服務(wù)器，但是RNAT可以】 5. IP過濾：第三層防火墻僅能看到IP報頭，第四層防火墻能過濾基于特定端口和服務(wù)的分組 6.出口過濾：不允許內(nèi)部網(wǎng)絡(luò)攻擊者對外部資源進(jìn)行攻擊，限制端口訪問，限制IP 7. IPSec：IP沒有身份鑒別，沒有驗證，沒有隱私，而IPSec有 8. IPV6
傳輸層	1. 傳輸層攔截【a. 攻擊者必須對某種類型網(wǎng)絡(luò)破壞 b. 攻擊者必須識別傳輸序列 c. 偽裝分組必須包含源地址、目的地址、源端口、目的端口】 2. 減少節(jié)點(diǎn)的端口數(shù)，能減少攻擊因素 3. 靜態(tài)端口賦值和動態(tài)端口賦值：動態(tài)端口會引起不安全的風(fēng)險 4. 掃描端口：企圖連接到主機(jī)的每一個端口，如果端口有回答，則說明有服務(wù)在監(jiān)聽 5.信息泄露：傳輸層對傳輸?shù)臄?shù)據(jù)不進(jìn)行加密
TCP偵查	1. 可偵查操作系統(tǒng)框架【a. 可偵查操作系統(tǒng)框架 b. TCP選項 c.序列號 d. 客戶端口號：客戶端可選擇任何可用的端口用于連接 e: 重試次數(shù)和間隔】 2. 端口掃描 3. 日志：網(wǎng)絡(luò)監(jiān)控攻擊IDS和IPS
TCP攔截	任何干擾TCP連接的攻擊都?xì)w結(jié)為TCP攔截，如DoS一樣，時連接過早結(jié)束。【1. 全會話攔截：需要攻擊具有直接的數(shù)據(jù)鏈路訪問，運(yùn)行在隨意模式 2. ICMP和TCP攔截：ICMP連接重定向不同的端口和主機(jī)】
TCP DoS	【目的：1. 是受害者不能執(zhí)行任務(wù) 2. 更秘密的攻擊】 1. SYN攻擊，發(fā)送大量的SYN分組來消耗可用的內(nèi)存 2. RST和FIN攻擊 發(fā)送RST（或FIN）分組，反常的結(jié)束已建立的連接【重置攻擊】 3. ICMP攻擊：可以用來指定一個斷開連接，但防火墻能阻斷ICMP攻擊，而TCP重置攻擊可以通過防火墻 4. LAND攻擊【形成反饋環(huán)路】	1 SYN攻擊解決方式：增加SYN隊列，或者用SYNCookies以防止消耗內(nèi)存
TCP防御		1. 改變系統(tǒng)框架：不同的系統(tǒng)框架包括SYN超時、重試計數(shù)、重試間隔、初始窗口大小等。2. 阻斷攻擊指向：防火墻。3.識別網(wǎng)絡(luò)設(shè)備和已受攻擊的漏洞。4. 狀態(tài)分組檢測，跟蹤TCP連接狀態(tài)。5. 入侵檢測系統(tǒng)（IDS）。6.入侵防御系統(tǒng)【IPS】。7.高層協(xié)議
UDP攻擊	1. 非法的進(jìn)入源：UDP服務(wù)器不執(zhí)行初始握手，任何主機(jī)能連接到UDP服務(wù)器，因此任何類型的UDP分組都能淹沒一個服務(wù)器。2.UDP攔截：UDP可以從任何主機(jī)接收分組，無需進(jìn)行身份鑒別，攻擊者很容易偽裝成正確的網(wǎng)絡(luò)地址和UDP端口。3. UDP保持存活攻擊：UDP沒有很清楚地指示攔截時是打開還是關(guān)閉。攻擊者可以使足夠多的的端口保持打開。4. UDP Smurf攻擊：假的分組發(fā)送到UDP服務(wù)器。攻擊者偽造被害者的網(wǎng)絡(luò)地址作為分組發(fā)送者，服務(wù)器響應(yīng)一個或多個給被害者。5. UDP偵查：UDP端口掃描依靠ICMP和分組回答
應(yīng)用層
DNS	1. 直接風(fēng)險 【a. 攻擊者偽造回答 b. DNS緩存受損 c.ID盲目攻擊 d. 破壞DNS分組】2. 技術(shù)風(fēng)險【a. DNS域攔截 b.DNS 服務(wù)器攔截 c.更新持續(xù)時間 d. 動態(tài)DNS】 3. 社會風(fēng)險【a. 相似主機(jī)名 b. 自動名字實現(xiàn)】	1.直接風(fēng)險：打補(bǔ)丁 2. 技術(shù)風(fēng)險：加固服務(wù)器，防火墻 3. 社會風(fēng)險：用戶培訓(xùn)
STMP 風(fēng)險	1. 偽裝報頭及垃圾郵件 2. 中繼和代理：每個中繼都有可能攔截或修改報文內(nèi)容。3.STMP和DNS：STMP最大的風(fēng)險來自于他對DNS的依從。4. 底層協(xié)議：SMTP也會受到底層協(xié)議如MAC、IP、TCP攔截的影響
URL漏洞	1. 主機(jī)名求解攻擊：相似的主機(jī)名、URL和自動完成。2. 主機(jī)偽裝：有一些偽裝主機(jī)名的方法無需求解系統(tǒng)，在URL中使用主機(jī)名。3. URI偽裝：URI編碼偽裝主機(jī)URI信息。4.剪切和拼接：移調(diào)URI一部分成分或附加一部分成分。5.濫用查詢：CGI應(yīng)用允許服務(wù)器傳遞內(nèi)容，而不僅是靜態(tài)Web頁面。6.SQL注入。7.跨站腳本XSS攻擊。
HTTP風(fēng)險	1. 無身份界別的用戶。2. 無身份鑒別的服務(wù)器。3. 客戶端隱私：cookies,URL包含登錄憑證。4. 信息泄露：HTTP請求報頭通常泄露WEB瀏覽器類型，時間戳，版本等。5. 服務(wù)器定位輪廓：IP地址可以將服務(wù)器定到國家或城市。6.訪問操作系統(tǒng)。7.不安全應(yīng)用XSS。8底層協(xié)議

重放攻擊(Replay Attacks) ：又稱重播攻擊、回放攻擊，是指攻擊者發(fā)送一個目的主機(jī)已接收過的包，來達(dá)到欺騙系統(tǒng)的目的，主要用于身份認(rèn)證過程，破壞認(rèn)證的正確性。重放攻擊可以由發(fā)起者，也可以由攔截并重發(fā)該數(shù)據(jù)的敵方進(jìn)行。攻擊者利用網(wǎng)絡(luò)監(jiān)聽或者其他方式盜取認(rèn)證憑據(jù)，之后再把它重新發(fā)給認(rèn)證服務(wù)器。防御方法：(1)加隨機(jī)數(shù) (2)加時間戳 (3)加流水號

MitM攻擊（中間人攻擊）：ARP表的條目用不同的機(jī)器的MAC地址重寫。在這種情況下，新的節(jié)點(diǎn)將接到所有指向老的節(jié)點(diǎn)的通信。通過損壞兩者，敵意節(jié)點(diǎn)能建立一個成功的MitM。

IP欺騙DOS攻擊 ：這種攻擊利用RST位來實現(xiàn)。假設(shè)現(xiàn)在有一個合法用戶(61.61.61.61)已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為61.61.61.61，并向服務(wù)器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為從61.61.61.61發(fā)送的連接有錯誤，就會清空緩沖區(qū)中建立好的連接。這時，如果合法用戶61.61.61.61再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒有這樣的連接了，該用戶就必須從新開 始建立連接。攻擊時，攻擊者會偽造大量的IP地址，向目標(biāo)發(fā)送RST數(shù)據(jù)，使服務(wù)器不對合法用戶服務(wù)，從而實現(xiàn)了對受害服務(wù)器的拒絕服務(wù)攻擊。

Teardrop攻擊、Nesta攻擊 ：分段攻擊。Teardrop是基于UDP的病態(tài)分片數(shù)據(jù)包的攻擊方法。IP支持將大的數(shù)據(jù)分段傳輸和在接收端重新組裝的能力。Teardrop攻擊是利用在TCP/IP堆棧中實現(xiàn)信任IP碎片中的包頭所包含的信息來實現(xiàn)自己的攻擊。IP分段含有指明該分段所包含的是原包的哪一段的信息，某些TCP/IP在收到含有重疊偏移的偽造分段時將崩潰。

Ping Flood洪流攻擊 ： 該攻擊在短時間內(nèi)向目的主機(jī)發(fā)送大量ping包。

Ping of Death ： 是一種拒絕服務(wù)攻擊。根據(jù)TCP/IP的規(guī)范，一個IP包的長度最大為65536B，但發(fā)送較大的IP包時將進(jìn)行分片，這些IP分片到達(dá)目的主機(jī)時又重新組合起來。在Ping of Death攻擊時，各分片組合后的總長度將超過65536B，在這種情況下會造成某些操作系統(tǒng)的宕機(jī)。

Ping Sweep : 使用ICMP Echo輪詢多個主機(jī)，阻塞網(wǎng)絡(luò)。

SYN Foold（SYN攻擊）： SYN Flood是當(dāng)前最流行的DoS(拒絕服務(wù)攻擊)與DDoS(Distributed Denial Of Service分布式拒絕服務(wù)攻擊)的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不 足)的攻擊方式。SYN Flood攻擊的過程在TCP協(xié)議中被稱為三次握手(Three-way Handshake)，而SYN Flood拒絕服務(wù)攻擊就是通過三次握手而實現(xiàn)的。

RST和FIN攻擊 ：RST攻擊是發(fā)送RST（或FIN）分組，反常地結(jié)束已建立的連接。

ICMP攻擊 ：類似于TCP重置攻擊，ICMP可以用來指定一個斷開連接。盲目ICMP攻擊也能使TCP不能連接。不想TCP重置攻擊，防火墻能阻斷ICMP攻擊，而TCP重置攻擊則因為有效的端口和地址組合，能通過防火墻。

Smurf攻擊 ： 通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請求(ping)數(shù)據(jù)包來淹沒受害主機(jī)的方式進(jìn)行。 最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對此ICMP應(yīng)答請求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。它比ping of death洪水的流量高出1或2個數(shù)量級。更加復(fù)雜的Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。

Fraggle攻擊（UDP Smurf攻擊）：Fraggle 類似于Smurf攻擊，只是使用UDP應(yīng)答消息而非ICMP。假的分組送到UDP服務(wù)器。攻擊者偽造被害者的網(wǎng)絡(luò)地址作為分組發(fā)送者，服務(wù)器響應(yīng)發(fā)送一個或更多UDP分組給被害者。雖然少數(shù)UDP分組不會嚴(yán)重影響分組，但每秒幾千個分組能摧垮一個網(wǎng)絡(luò)。

UDP洪水攻擊 ：攻擊者利用簡單的TCP/IP服務(wù)，如Chargen和Echo來傳送毫無用處的占滿帶寬的數(shù)據(jù)。通過偽造與某一主機(jī)的Chargen服務(wù)（CHARGEN是在TCP連接建立后，服務(wù)器不斷傳送任意的字符到客戶端，直到客戶端關(guān)閉連接。）之間的一次的UDP連接，回復(fù)地址指向開著Echo服務(wù)的一臺主機(jī)，這樣就生成在兩臺主機(jī)之間存在很多的無用數(shù)據(jù)流，這些無用數(shù)據(jù)流就會導(dǎo)致帶寬的服務(wù)攻擊。

LAND攻擊 ： LAND攻擊形成反饋環(huán)路影響大部分LAN守護(hù)進(jìn)程，這種攻擊是發(fā)送一個SYN分組到已知端口的開放服務(wù)，而回答地址和端口偽裝成指回同一個系統(tǒng)，形成一個反饋環(huán)路，使系統(tǒng)很快摧垮。

總結(jié)

以上是生活随笔為你收集整理的网络安全-Internet安全体系结构的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。