网络安全之TCP/IP协议栈常见安全风险及防范办法
概覽
第一部分:按各層次攻擊分類
應用層:漏洞,緩沖區溢出攻擊,WEB應用的攻擊,病毒及木馬
傳輸層:TCP欺騙,TCP拒絕服務,UDP拒絕服務,端口掃描
網絡層:IP欺騙,Smurf攻擊,ICMP攻擊,地址掃描
鏈路層:MAC欺騙,MAC泛洪,ARP欺騙
物理層:設備破壞,線路監聽
第二部分:防火墻對常見攻擊的防范原理
流量攻擊
掃描窺探攻擊
第一部分
一.數據鏈路層的安全問題及防范
1.MAC欺騙
攻擊原理:攻擊者將自己的MAC地址更改位受信任系統的地址(偽裝)
造成影響:仿冒用戶,截取數據幀
防范策略:在交換機上配置靜態條目,將特定的MAC地址始終與特定的端口綁定
2.MAC泛洪
攻擊原理:因為交換機的MAC學習機制,MAC表項的數目限制,交換機的轉發機制,攻擊者向交換機發酥大量的二層數據幀,以快速填滿交換機的MAC表,MAC表填滿之后,開始將后續的幀進行泛洪,導致整個網絡系統中的鏈路還有交換機處于擁塞的狀態,直至崩潰
造成影響:(1)試交換機無法正常工作(MAC表滿)(2)網絡中流量增大
防范策略:配置靜態的MAC轉發表,配置端口的MAC學習數目限制
3.ARP欺騙
攻擊原理:攻擊者搶先合法主機發出的ARP請求作出應答,這樣要發送給合法主機的數據就會發送到偽裝主機處
造成影響:截獲數據
防范策略:主機手動配置MAC表
二.網絡層的安全問題及防范
1.IP欺騙攻擊
攻擊原理:攻擊者使用相同的IP地址可以魔法網絡上的合法主機,來訪問關鍵信息
造成影響:偽裝成某一合法用戶
攻擊步驟:
(1)首先使被信任主機的網絡暫時癱瘓,以免對攻擊造成干擾(攻陷要偽裝的主機)
(2)連接到目標機的某個端口來猜測序列號和增加的規律
(3)接下來把源地址偽裝成被信任的主機,發送帶有SYN標志的數據段來請求連接
(4)等待目標機發送SYN+ACK包給已經癱瘓的主機
(5)最后再此偽裝成被信任主機向目標發送ACK,此時發送的數據段帶有預測的目標機的序列號+1
(6)連接建立,發送命令請求
2.Smurf攻擊(DDOS攻擊的一種)
攻擊原理:攻擊者發送ICMP請求,請求包的目標地址設置為受害網絡的廣播地址,這樣該網絡中的所有主機對此ICMP請求作出答復,導致網絡阻塞,高級的Smurf攻擊,主要使用來攻擊目標主機,方法是將上述ICMP請求包的源地址改為被迫害的主機,最終導致受害主機雪崩,網絡中的主機越多,攻擊效果越明顯
造成影響:(1)被攻擊網絡內流量增大(2)接受ICMP應答包的主機可能會宕機
防范策略:檢查ICMP請求包的目的地址是否為子網廣播地址或子網的網絡地址,如果是則直接拒絕
3.ICMP重定向和不可達攻擊
攻擊原理:ICMP重定向報文是ICMP控制報文中的一種,在某些情況下,當路由器檢測到一臺機器上使用非優化路由的時候,他會向該主機發送一個ICMP重定向報文,請求主機改變路由。ICMP協議雖然不是路由協議,但是他可以指導數據包的流向。攻擊者通過向主機發送ICMP重定向數據包,使受害人主機數據包發送不到正確的網關,以達到攻擊目的
造成影響:使用戶的數據不按正常的路徑轉發,造成網絡斷開
防范策略:修改注冊表關閉主機的ICMP重定向報文處理
4.IP地址掃描攻擊
攻擊原理:攻擊者運用ICMP報文探測目標地址,或者使用TCP/UDP報文對一定地址發起連接,通過判斷是否有應答報文,以確定哪些目標系統存活并連接在目標網絡上
造成影響:使攻擊者獲悉存在的網絡主機,對后續進攻作準備
防范策略:設置主機使其不對ping請求作出應答
三.傳輸層安全問題及防范
1.TCP欺騙
描述:利用主機之間某種網絡服務的信任關系建立虛擬的TCP連接,可能模擬受害者從服務器端獲取信息,具體過程類似于IP欺騙攻擊
攻擊原理:
(1)攻擊者先將要偽裝的主機攻克
(2)攻擊者用被攻克的主機的地址作為源地址給目的主機發送TCP SYN報文
(3)目標主機回應TCP SYN/ACK報文,攜帶序列碼S
(4)C收不到序列碼,但為了完成握手必須使用S+1作為序列碼進行應答,這時C可以通過監聽SYN/ACK報文,根據得到的值進行計算或者根據操作系統的特新進行猜測
(5)攻擊者使用得出的序列碼S回應給目標主機,握手完成,虛假連接建立
2.TCP拒絕服務攻擊—SYN Flood攻擊
攻擊原理:SYN報文是TCP連接的第一個報文,攻擊者通過大量發送SYN報文,造成大量未完全建立的TCP連接,占用被攻擊者的資源
解決方法:關閉處于Half Open狀態的連接
3.端口掃描攻擊
攻擊原理:攻擊者通常使用一些軟件,先大范圍的主機的一系列TCP/UDP端口發起連接,根據應答報文判斷主機是否使用這些端口提供服務
防范策略:配置端口掃描攻擊防范參數后,設備對進入的TCP,UDP,ICMP報文進行檢測,并以每個源地址作為索引,判斷該源地址發送報文的目的端口與前一報文的目的端口是否不同,如果是則異常數加1,當異常頻率到達閾值時,則認為該源IP地址的報文為端口掃描攻擊,并將該源ip地址加入黑名單
第二部分
一.流量型攻擊
一.SYN Flood攻擊防范(DDOS)
攻擊介紹:采用源地址偽造的方式對目標主機發送大量的SYN報文,導致目標主機癱瘓
處理方法:
·采用TCP PROXY的方式進行SYN Flood攻擊防御,其基本參數就是需要指定對哪些主機進行保護
·反向源探測技術
·目標主機進行SYN報文限速的方式進行防御
SYN Flood攻擊和SYN報文掃描攻擊
SYN Flood攻擊的源地址不是真實的,是偽造的
SYN 報文掃描的源地址是真實的,不是偽造的
SYN報文掃描攻擊可以加入黑名單
SYN Flood攻擊不可能加入黑名單
1.TCP Proxy技術
使用TCP代理,檢測源IP是否存在
2.TCP反向源檢測
防范原理:收到SYN報文時,會對源IP是否存在進行探測
如果源IP不存在,則說明可能時攻擊報文,將其予以丟棄
如果源IP有效,則將正確的源IP地址加入白名單,此源IP地址的TCP報文進行直接轉發
由于反向源檢測機制不會受會話表是否成功建立的影響,所以推薦使用反向源探測技術來進行SYN Flood的攻擊防范。如果必須使用TCP代理方式的攻擊防范,則必須開啟狀態檢測機制
二.Connection Flood 攻擊防范
攻擊介紹:攻擊者向被攻擊服務器發送大量的請求,使被攻擊者服務器產生大量連接而不能受理合法用戶的請求
處理方法:
·USG統計用戶向服務器發送的報文,如果在設定的時間間隔內用戶發送的報文少于設定的閾值,則認為該用戶不合法
·防火墻統計用戶和服務器建立的連接數,如果在設定的時間間隔內用戶建立的連接數大于設定的閾值,則認為該用戶不合法
·USG將不合法的IP地址加入黑名單
與SYN Flood不同,TCP全連接攻擊是指攻擊者與被攻擊對象正常建立了連接,但是卻沒有后續的報文,占用被攻擊者的資源的攻擊的行為,通過配置防范功能,將TCP連接建立后不繼續進行報文交互的連接作為不正常連接。當不正常連接超過閾值時,對其進行阻斷
三.ICMP/UDP Flood攻擊防范
攻擊介紹:短時間內向特定目標發送大量的UDP/ICMP報文,致使目標系統負擔過重而不能處理合法的連接
處理方法:檢測通向特定目的地址的UDP報文速率,當速度超過設定閾值上限時,設定攻擊標識并做CAR處理,對攻擊記錄日志,當速率低于設定的閾值下線,取消攻擊標志,允許所有報文通向特定目的地址
ICMP/UDP是無連接的協議,因此不能提供類似 SYN FLOOD代理的方式的防御方法
二.掃描窺探攻擊
一.地址掃描攻擊防范
攻擊介紹:利用ping程序來探測目標地址,以用來確定目標系統是否存活的標識,也可使用TCP/UDP報文對目標系統發起探測
處理方法:
檢測進入防火墻的ICMP,TCP和UDP報文,由該報文的源IP地址獲取統計表項的索引,如目的IP地址與前一報文的目的IP地址不同,則將表項中的總報文個數增1.如在一定時間內報文的個數到達設置的閾值,記錄日志,并根據配置決定是否將源IP地址自動加入到黑名單
二.端口掃描
攻擊介紹:通常使用一些軟件,向大范圍的主機的一系列TCP/UDP端口發起連接,根據應答報文判斷主機是否使用這些端口提供服務
處理方法:檢測進入的TCP或UDP報文,由該報文的源IP地址獲取統計表項,如目的端口與前一報文不同,將表項中的報文個數增1,如在一定時間內報文的個數到達設置的閾值,記錄日志,并根據配置決定是否將源IP地址自動加入到黑名單
總結
以上是生活随笔為你收集整理的网络安全之TCP/IP协议栈常见安全风险及防范办法的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Android 仿直播特效点赞飘爱心
- 下一篇: scipy.ndimage.morpho