1. 對網路安全的攻擊分為哪幾種
①截斷信息;②偽造;③篡改;④介入。
2. 屬於網路協議的攻擊有哪幾種
1. TCP/IP 協議的脆弱性
1.1 不能提供可靠的身份驗證
TCP/IP 協議以 32 bit 的 IP 地址來作為網路節點的唯一標識,而 IP 地址只是用戶軟體設置中的一個參數,因而是可以隨意修改的。
對 UDP 來說,是根據這個 IP 地址來唯一標識通信對方。 TCP 則通過三次握手,使情況稍有改善。 TCP 中的每個報文都含有一個標識本報文在整個通信流中位置的 32 bit 序列號,通信雙方通過序列號來確認數據的有效性。
由於 TCP 設計三次握手過程本身並不是為了身份驗證,只是提供同步確認和可靠通信,雖然這也能夠提供一定的身份驗證的支持,但這種支持很薄弱。
由於 TCP/IP 不能對節點上的用戶進行有效的身份認證,伺服器無法鑒別登錄用戶的身份有效性,攻擊者可以冒充某個可信節點的 IP 地址,進行 IP 欺騙攻擊.
其次,由於某些系統的 TCP 序列號是可以預測的,攻擊者可以構造一個TCP'數據包,對網路中的某個可信節點進行攻擊。
1.2 不能有效防止信息泄漏
IPv4 中沒有考慮防止信息泄漏,在 IP 、 TCP 、 UDP 中都沒有對數據進行加密。 IP 協議是無連接的協議,一個 IP 包在傳輸過程中很可能會經過很多路由器和網段,在其中的任何一個環節都很容易進行竊昕 。攻擊者只需簡單地安裝一個網路嗅探器,就可以看到通過本節點的所有網路數據包。
1.3 沒有提供可靠的信息完整性驗證手段
在 IP 協議中,僅對 IP 頭實現校驗和保護
在UDP 協議中,對整個報文的校驗和檢查是一個可選項,並且對 UDP 報文的丟失不做檢查。
在 TCP 協議中,雖然每個報文都經過校驗和檢查,並且通過連續的序列號來對包的順序和完整進行檢查,保證數據的可靠傳輸。但是,校驗演算法中沒有涉及加密和密碼驗證,很容易對報文內容進行修改,再重新計算校驗和
1.4 協議沒有手段控制資源占杳和分配
TCP/IP 中,對資源占杳和分配設計的一個基本原則是自覺原則。如參加 TCP通信的一方發現上次發送的數據報丟失,則主動將通信速率降至原來的一半。這樣,也給惡意的網路破壞者提供了機會 c 如網路破壞者可以大量的發 IP 報,造成網路阻塞,也可以向一台主機發送大量的 SYN 包從而大量佔有該主機的資源 (SYN Flood) 。這種基於資源佔用造成的攻擊被稱為拒絕服務攻擊( DOS)
2.常見 TCP/IP 協議攻擊方法分析
2.1 IP 欺騙( IP Spoofing)
IP 欺騙是指一個攻擊者假冒一個主機或合法用戶的 IP 地址,利用兩個主機之間的信任關系來達到攻擊的目的,而這種信任關系只是根據源 IP 地址來確定。所謂信任關系是指當主機 B 信任主機 A 上的 X用戶時,只要 X 在 A 上登錄, X 用戶就可以直接登錄到主機 B 上,而不需要任何口令。
IP 欺騙通常需要攻擊者能構造各種形式 IP 數據包,用虛假的源 IP 地址替代自己的真實 IP 地址。如果主機之間存在基於 IP 地址的信任關系,目標主機無法檢測出已經被欺騙。
防範措施
各個網路 ISP 應該限制源地址為外部地址的 IP 數據包進入互聯網
合理的配置防火牆,限制數據包的源地址為內部網路的數據包進入網路。
2.2 TCP 會話劫持 (TCP sessJOn hijacking)
image.png
TCP 會話劫持跳過連接過程.對一個已經建立的連接進行攻擊。攻擊者與被假冒主機和目標主機之一在同一個子網中,攻擊者通過一個嗅探程序可以看到被假冒主機和目標主機之間通信的數據包。
攻擊者看到被假冒主機和目標主機建立一個連接並進行身份認證後,通過對數據包捕獲和進行分析,就可以得到連接的序列號。
一旦得到正確的序列號就可以發送一個假冒的 TCP 分段,接管已經建立的連接。這樣,被假冒主機發送的數據包都會被目標主機忽略,因為它們的序列號會被目標主機認為不正確。
防範措施
最主要的方法是在傳輸層對數據進行加密。
2.3 拒絕服務( Denial Of Service )
拒絕服務坷的目的就是使受害的伺服器不能提供正常的網路服務。
2.3.1 SYN 淹沒 (SYN Flooding)
當開放了一個TCP埠後,該埠就處於Listening狀態,不停地監視發到該埠的Syn報文,一旦接收到Client發來的Syn報文,就需要為該請求分配一個TCB(Transmission Control Block),通常一個TCB至少需要280個位元組,在某些操作系統中TCB甚至需要1300個位元組,並返回一個SYN ACK命令,立即轉為SYN-RECEIVED即半開連接狀態,而操作系統在SOCK的實現上最多可開啟半開連接個數是一定的。
image.png
從以上過程可以看到,如果惡意的向某個伺服器埠發送大量的SYN包,則可以使伺服器打開大量的半開連接,分配TCB,從而消耗大量的伺服器資源,同時也使得正常的連接請求無法被相應。而攻擊發起方的資源消耗相比較可忽略不計。
防範措施
無效連接監視釋放
這種方法不停監視系統的半開連接和不活動連接,當達到一定閾值時拆除這些連接,從而釋放系統資源。這種方法對於所有的連接一視同仁,而且由於SYN Flood造成的半開連接數量很大,正常連接請求也被淹沒在其中被這種方式誤釋放掉,因此這種方法屬於入門級的SYN Flood方法。
延緩TCB分配方法
從前面SYN Flood原理可以看到,消耗伺服器資源主要是因為當SYN數據報文一到達,系統立即分配TCB,從而佔用了資源。而SYN Flood由於很難建立起正常連接,因此,當正常連接建立起來後再分配TCB則可以有效地減輕伺服器資源的消耗。常見的方法是使用Syn Cache和Syn Cookie技術。
Syn Cache技術:
這種技術是在收到SYN數據報文時不急於去分配TCB,而是先回應一個SYN ACK報文,並在一個專用HASH表(Cache)中保存這種半開連接信息,直到收到正確的回應ACK報文再分配TCB。在FreeBSD系統中這種Cache每個半開連接只需使用160位元組,遠小於TCB所需的736個位元組。在發送的SYN ACK中需要使用一個己方的Sequence Number,這個數字不能被對方猜到,否則對於某些稍微智能一點的Syn Flood攻擊軟體來說,它們在發送Syn報文後會發送一個ACK報文,如果己方的Sequence Number被對方猜測到,則會被其建立起真正的連接。因此一般採用一些加密演算法生成難於預測的Sequence Number。
Syn Cookie技術:
對於SYN攻擊,Syn Cache雖然不分配TCB,但是為了判斷後續對方發來的ACK報文中的Sequence Number的正確性,還是需要使用一些空間去保存己方生成的Sequence Number等信息,也造成了一些資源的浪費。
Syn Cookie技術則完全不使用任何存儲資源,這種方法比較巧妙,它使用一種特殊的演算法生成Sequence Number,這種演算法考慮到了對方的IP、埠、己方IP、埠的固定信息,以及對方無法知道而己方比較固定的一些信息,如MSS、時間等,在收到對方的ACK報文後,重新計算一遍,看其是否與對方回應報文中的(Sequence Number-1)相同,從而決定是否分配TCB資源。
使用SYN Proxy防火牆
Syn Cache技術和Syn Cookie技術總的來說是一種主機保護技術,需要系統的TCP/IP協議棧的支持,而目前並非所有的操作系統支持這些技術。因此很多防火牆中都提供一種SYN代理的功能,其主要原理是對試圖穿越的SYN請求進行驗證後才放行,下圖描述了這種過程:
image.png
從上圖(左圖)中可以看出,防火牆在確認了連接的有效性後,才向內部的伺服器(Listener)發起SYN請求,在右圖中,所有的無效連接均無法到達內部的伺服器。
採用這種方式進行防範需要注意的一點就是防火牆需要對整個有效連接的過程發生的數據包進行代理,如下圖所示:
image.png
因為防火牆代替發出的SYN ACK包中使用的序列號為c,而伺服器真正的回應包中序列號為c』,這其中有一個差值|c-c』|,在每個相關數據報文經過防火牆的時候進行序列號的修改。
TCP Safe Reset技術:
這也是防火牆Syn代理的一種方式,其工作過程如下圖所示:
image.png
這種方法在驗證了連接之後立即發出一個Safe Reset命令包,從而使得Client重新進行連接,這時出現的Syn報文防火牆就直接放行。在這種方式中,防火牆就不需要對通過防火牆的數據報文進行序列號的修改了。這需要客戶端的TCP協議棧支持RFC 793中的相關約定,同時由於Client需要兩次握手過程,連接建立的時間將有所延長。
2.3.2 死亡之 Ping(Ping O' Death )
死亡之 Ping 是利用 ICMP 協議的一種碎片攻擊 。攻擊者發送一個長度超過 65 535Byte 的 Echo Request 數據包,目標主機在重組分片的時候會造成事先分配的 65 535 Byt 位元組緩沖區溢出,系統通常會崩憤或掛起
IP 數據包的最大長度是 65 535 (2 16 - 1) Byte,其中包括包頭長度(如果 IP 選項末指定,一般為 20 B)超過 MTU( Maximum Transmission Unit) 的數據包被分割成小的數據包,在接受端重新組裝。一般乙太網的MTU 為 11500 Byte ,互聯網上的 MTU 通常是 576 Byte ICMP 回應請求放在 IP 數據包中,其中有 8 Byt 的 ICMP頭信息,接下來是 "Ping" 請求的數據宇節的數目。因此數據區所允許的最大尺寸為 65 535 - 20 - 8 = 65 507Byte
image.png
分段後的 IP 包要在接收端的 IP 層進行重組,這樣"死亡之 Ping"就可以再發送一個回應請求數據包,使它的數據包中的數據超過 65 507 Byte ,使得某些系統的 IP 分段組裝模塊出現異常。因為在 IP 分段組裝的過程中,它通過每一個 IP 分段中的偏移量來決定每一個分段在整個 IP 包中的位置,最後一個分段中,如果 IP 包的長度大於 65 507 Byte各個分段組裝後就會超過 IP 包的最大長度。某些操作系統要等到將所有的分段組裝完後才對 IP 包進行處理,所以就存在這樣一種內部緩沖區或內部變數溢出的可能性,這樣會導致系統崩憤或重啟。
防範措施
可以利用防火牆來阻止 Ping ,然而這樣也會阻擋一些合法應用。所以只要阻止被分段的 Ping ,這樣在大多數系統上允許一般合法的 64 Byt 的 Ping 通過,擋住了那些長度大於 MTU 的 ICMP 數據包.
這種攻擊能使系統崩潰的原因因系統不同而異.有的可能因為內核中固定大小的緩沖區因 IP 數據包過大而越界,損壞了其它數據或編碼;有的則可能因為用一個無符號的 16 bit 變數來保存數據包的長度和相關變數,當這些變數的值超過 65 535 Byte 時,變數不再與其數值一致,從而引發異常。因此可以為相應的系統打上補丁。
2.3.3 RST 和 FIN 攻擊( RST and FIN attack)
在 TCP 包中有 6 個標志位來指示分段的狀態。其中 RST 用來復位一個連接, FIN 表示沒有數據要發送了攻擊者經常利用這兩個標志位進行拒絕服務攻擊。他們先分析通過目標主機和受騙主機之間的 IP 數據包,計算出從受騙主機發往目標主機的下一個 TCP 段的序列號,然後產生一個帶有 RST 位設置的 TCP 段,將其放在假冒源 IP 地址的數據包中發往目標主機,目標主機收到後就關閉與受騙主機的連接。
利用 FIN 位的攻擊與 RST 位的攻擊很相似。攻擊者預測到正確的序列號後,使用它創建一個帶 FIN 位的 TCP 分段,然後發送給目標主機,好像受騙主機沒有數據要發送了,這樣,由受騙主機隨後發出的 TCP 段都會目標主機認為是網路錯誤而忽略。
2.3.6 Smurf攻擊
通過地址欺騙,並使用回復地址設置成受害網路的廣播地址的ICMP應答請求(ping)數據包來淹沒受害主機的方式進行。最終導致該網路的所有主機都對此ICMP應答請求做出答復,導致網路阻塞
黑客鎖定一個被攻擊的主機(通常是一些Web伺服器);
黑客尋找可做為中間代理的站點,用來對攻擊實施放大(通常會選擇多個,以便更好地隱藏自己,偽裝攻擊);
黑客給中間代理站點的廣播地址發送大量的ICMP包(主要是指Ping命令的回應包)。這些數據包全都以被攻擊的主機的IP地址做為IP包的源地址;
中間代理向其所在的子網上的所有主機發送源IP地址欺騙的數據包;
中間代理主機對被攻擊的網路進行響應。
2.3.7 Land 攻擊
用一個特別打造的SYN包,其原地址和目標地址都被設置成某一個伺服器地址。此舉將導致伺服器向它自己的地址發送SYN-ACK消息,結果這個地址又發回ACK消息並創建一個空連接。被攻擊的伺服器每接收一個這樣的連接都將保留,直到超時
防禦方法:
這類攻擊的檢測方法相對來說比較容易,因為可以直接通過判斷網路數據包的源地址和目標地址是否相同確認是否屬於攻擊行為。反攻擊的方法當然是適當地配置防火牆設備或制定包過濾路由器的包過濾規則,並對這種攻擊進行審計,記錄事件發生的時間、源主機和目標主機的MAC地址和IP地址,從而可以有效地分析並跟蹤攻擊者的來源。
2.3.8 UDP FLOOD攻擊
UDP不需要像TCP那樣進行三次握手,運行開銷低,不需要確認數據包是否成功到達目的地。這就造成UDP泛洪攻擊不但效率高,而且還可以在資源相對較少的情況下執行。UDP FLOOD可以使用小數據包(64位元組)進行攻擊,也可以使用大數據包(大於1500位元組,乙太網MTU為1500位元組)進行攻擊。大量小數據包會增大網路設備處理數據包的壓力;而對於大數據包,網路設備需要進行分片、重組,最終達到的效果就是佔用網路傳輸介面的帶寬、網路堵塞、伺服器響應慢等等。
防禦方案: 限制每秒鍾接受到的流量(可能產生誤判);通過動態指紋學習(需要攻擊發生一定時間),將非法用戶加入黑名單。
2.3.9 淚滴攻擊
「teardrop」,又稱「淚滴」:IP數據包在網路傳遞時,數據包可以分成更小的片段。攻擊者可以通過發送兩段(或者更多)數據包來實現TearDrop攻擊。第一個包的偏移量為0,長度為N,第二個包的偏移量小於N。為了合並這些數據段,TCP/IP堆棧會分配超乎尋常的巨大資源,從而造成系統資源的缺乏甚至機器的重新啟動,達到攻擊者需要的拒絕服務的目的。
3. DOS與DDOS區別
3.1 DOS
「DoS」是Denial of Service,拒絕服務的縮寫。所謂的拒絕服務是當前網路攻擊手段中最常見的一種。它故意攻擊網路協議的缺陷或直接通過某種手段耗盡被攻擊對象的資源,目的是讓目標計算機或網路無法提供正常的服務或資源訪問,使目標系統服務停止響應甚至崩潰,而最值得注意的是,攻擊者在此攻擊中並不入侵目標伺服器或目標網路設備,單純利用網路缺陷或者暴力消耗即可達到目的。
從原理上來說,無論攻擊者的攻擊目標(伺服器、計算機或網路服務)的處理速度多快、內存容量多大、網路帶寬的速度多快都無法避免這種攻擊帶來的後果。任何資源都有一個極限,所以攻擊者總能找到一個方法使請求的值大於該極限值,導致所提供的服務資源耗盡。
從技術分類的角度上來說,最常見的DoS攻擊有對計算機網路的帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網路,使得所有可用網路資源都被消耗殆盡,最後導致合法用戶的請求無法通過。連通性攻擊指用大量的連接請求沖擊伺服器或計算機,使得所有可用的操作系統資源都被消耗殆盡,最終計算機無法再處理合法用戶的請求。
在網路還不發達的時候,單一的DoS攻擊一般是採用一對一的方式,也就是攻擊者直接利用自己的計算機或者設備,對攻擊目標發起DoS攻擊。當攻擊目標處在硬體性能低下、網路連接情況不好等情況的時候,一對一的DoS攻擊效果是非常明顯的,很有可能直接一個攻擊者就搞定一個網站或者一個伺服器,讓它拒絕服務。
3.2 DDOS
隨著計算機和網路技術的發展,硬體設備的處理性能加速度增長,成本也變得非常低廉,網路的快速發展更是讓帶寬、出入口節點寬度等大大的提升,這讓傳統的DoS攻擊很難湊效。
隨著這樣情況的出現,攻擊者研究出了新的攻擊手段,也就是DDoS。
DDoS是在傳統的DoS攻擊基礎之上產生的一種新的攻擊方式,即Distributed Denial Of Service,分布式拒絕服務攻擊。
如果說計算機與網路的處理能力比以往加大了10倍的話(示例數據,沒有實質意義),那攻擊者使用10台計算機同時進行攻擊呢?也就達到了可以讓目標拒絕服務的目的。簡單來說,DDoS就是利用更多的計算機來發起攻擊。
就技術實現方式來分析,分布式拒絕服務攻擊就是攻擊者利用入侵手段,控制幾百台,或者成千上萬台計算機(一般被控制的計算機叫做傀儡主機,或者口頭被網路安全相關人員稱為「肉雞」),然後在這些計算機上安裝大量的DDoS程序。這些程序接受來自攻擊者的控制命令,攻擊者同時啟動全部傀儡主機向目標伺服器發起拒絕服務攻擊,形成一個DoS攻擊群,猛烈的攻擊目標,這樣能極為暴力的將原本處理能力很強的目標伺服器攻陷。
3.3 區別
通過上面的分析,可以看出DDoS與DoS的最大區別是數量級的關系,DoS相對於DDoS來說就像是一個個體,而DDoS是無數DoS的集合。另一方面,DDoS攻擊方式較為自動化,攻擊者可以把他的程序安裝到網路中的多台機器上,所採用的這種攻擊方式很難被攻擊對象察覺,直到攻擊者發下統一的攻擊命令,這些機器才同時發起進攻。可以說DDoS攻擊是由黑客集中控制發動的一組DoS攻擊的集合,現在這種方式被認為是最有效的攻擊形式,並且非常難以抵擋。
3. 網路層DDOS攻擊和應用層DDOS攻擊有什麼不同
應用層DDoS攻擊方式與網路層DDoS攻擊的區別
http://cdmd.cnki.com.cn/Article/CDMD-10248-1013022066.htm
4. 求各位大神解答網路攻擊與對抗包括哪些層面各有什麼聯系
網路攻擊由淺入深的包括以下幾個層次:
(1)簡單拒絕服務。
(2)本地用戶獲得非授權讀許可權。
(3)本地用戶獲得非授權寫許可權。
(4)遠程用戶獲得非授權賬號信息。
(5)遠程用戶獲得特權文件的讀許可權。
(6)遠程用戶獲得特權文件的寫許可權。
(7)遠程用戶擁有了系統管理員許可權。
所謂網路對抗是指綜合利用己方網路系統和手段,有效地與敵方的網路系統相對抗。一方面保證己方網路系統的完好,免遭敵方利用、癱瘓和破壞;另一方面則設法利用、癱瘓和破壞敵方的網路系統,最終奪取網路優勢。進入新世紀以來,網路攻防技術迅猛發展。如果說早期的網路對抗還只停留在單一網路攻擊或防禦方面,那麼,現代信息網路對抗不僅涉及通信、雷達、光電、隱身、導航等網路系統,而且遍及空間、空中、地面、水面和水下,覆蓋了戰場所有領域,具有不可估量的作戰「效費比」。
5. 是網路層ddos還是傳輸層ddos
按照TCP/IP協議的層次可將DDOS攻擊分為基於ARP的攻擊、基於ICMP的攻擊、基於IP的攻擊、基於UDP的攻擊、基於TCP的攻擊和基於應用層的攻擊。
這個主要看是具體什麼樣的DDOS攻擊了,也就是說一般是網路層和傳輸層都有,這個要具體情況具體抓包分析
6. tcp/ip各層可能遭到攻擊各是什麼
ARP 欺騙
泛洪
腳本注入
等等
7. 網路層的特點有那些何如進行網路層的攻擊和防禦
網路層為建立網路連接和為上層提供服務,應具備以下主要功能. 1. 路由選擇和中繼. 2. 激活,終止網路連接. 3. 分段和合段 4. 在一條數據鏈路上復用多條網路連接,多採取分時復用技術. 5. 服務選擇. 6. 網際互連 7.擁塞控制 8.加速數據傳送 9.復位 網路層在數據鏈路層提供的兩個相鄰端點之間的數據幀的傳送功能上,進一步管理網路中的數據通信,將數據設法從源端經過若干個中間節點傳送到目的端,從而向傳輸層提供最基本的端到端的數據傳送服務。網路層的目的是實現兩個端系統之間的數據透明傳送,具體功能包括路由選擇、擁塞控制和網際互連等。
8. 網路分為哪7層,我知道當前5層還有ARP的攻擊原理是什麼
ISO發布的OSI模型 分為七層:物理層、數據鏈路層、網路層、傳輸層、會話層、表示層、應用層(由低到高)應用層是最高級層。 ARP(地址解析協議)ARP的攻擊原理 是,ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網路中產生大量的ARP通信量使網路阻塞,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網路中斷或中間人攻擊。網路分為哪7層,我知道當前5層?還有ARP的攻擊原理是什麼?
9. 1, 基於網路層的攻擊是() A,TCP會話攔截 B ping of death C 網路嗅探 D DNS欺詐
選B,ping基於ICMP協議,這個協議是網路層的。
TCP屬於傳輸層,網路嗅探,基於物理層,DNS欺詐,可以說基本應用層