TCP/IP 协议栈 - IPV4 安全隐患:
1, 缺乏数据源验证机制.
2, 缺乏完整性验证机制.
3, 缺乏机密性保障机制.
应用层: 漏洞, 缓冲区溢出攻击, web 应用的攻击, 病毒木马等.
传输层: TCP 欺骗, TCP 拒绝服务, UDP 拒绝服务端口扫描等.
网络层: IP 欺骗, Smurf 攻击, ICMP 攻击, 地址扫描等.
链路层: Mac 欺骗, Mac 泛洪, ARP 欺骗等.
物理层: 设备破坏, 线路侦听等.
数据链路层攻击方式:
1,Mac 欺骗: 是一种非常直观的攻击, 攻击者将自己的 Mac 地址更改为受信任的系统地址.
防范措施: 在交换机上配置静态条目, 将特定的 Mac 地址始终与特定的端口绑定.
2,Mac 泛洪:
原理: 交换机的 Mac 学习及机制, 利用报文的源 Mac;
Mac 表项点的数目限制, 将 Mac 表充满, 让合法的 Mac 地址无法加表, 未知单播泛洪;
交换机的转发机制, 依靠 Mac 表进行转发.
预防: 配置静态 Mac 转发表;
配置端口的 Mac 学习数目限制.
接口下: Mac-limit maxmum X alam enable
3,ARP 欺骗:
原理:
1当 A 与 B 需要通信时, A 发送 ARP Requset 询问 B 的 Mac 地址, B 发送 ARP Reply 告诉 A 自己的 Mac 地址; 但是此时中间有个黑客, 将 A 发送的包进行修改, 就导致 A 与 B 无法正常通信.
2HACKER 给 A 和 B 发送自己是它们的网关, 导致 AB 无法上公网, PPOE(P2P) 不会出现.
网络层的攻击方式:
IP 欺骗:
如图 A 与 B 正常通信前, Sniffer 提前将 A 攻瘫, 然后再冒充 A, 这时候 B 就会与假的 A 进行通信, 就会截取信息.
Smurf 攻击:
原理:
通过 PING 广播包的形式, 不一定 ping 255.255.255.255;
黑客以 128.100.100.2 为源 192.168.1.255 为目的发送一个报文, 此时如果 192.168.1.0 网段的主机足够多的话, 会向 128.100.100.2 回复, 这时候 128.100.100.2 就会收到大量的包, 若进行某时刻多次攻击, 就会将其搞瘫痪.
防范华为设备:
在路由器或者防火墙上开启防 smurf 攻击.
ICMP 重定向和不可达攻击:
原理:1当出现次优路径的时候会产生 ICMP 重定向, 利用内部主机, 发送说自己为下一跳可达, 这样就导致其网段其他主机都会向它发包, 导致内部其他主机无法访问外网;
2或者向被攻击的网段, 发送一条广播包, 其他主机收到后发现无法访问 128.100.100.2.
IP 地址扫描攻击: 扫描活动端口, 进行一系列的攻击.
传输层的攻击方式:
TCP 欺骗与 TCP/DUP 拒绝服务攻击:
原理: 主机 B 先给 A 发送一个 tcp 报文, 此时 C 利用拒绝服务攻击将 B 弄瘫痪, 然后通过手段将 A 发给 B 的 tcp 报文截获, 得到
序列号和 ack, 然后冒充 B 与 A tcp 通信.
攻击者给服务器发送大量的 TCP, 当 sever 收到后回复攻击者, 此时攻击者不会服 sever, 导致 server 拥有大量的半 tcp 连接, 占用大量资源.
攻击者给服务器发送大量的 UDP, 当 sever 收到后由于 UDP 是不需要回复的, 直接灌进来导致服务器瘫痪.
应用层的攻击方式:
将缓冲区放入大量的数据, 将有用数据挤出.
补充 (攻击方式):
被动攻击: 只侦听不破坏;
主动攻击: 破坏加截获;
中间人攻击: 欺骗.
来源: http://netsecurity.51cto.com/art/201901/590924.htm