網(wǎng)絡(luò)接口層的安全威脅

在網(wǎng)絡(luò)中，flooding是指從任何節(jié)點(diǎn)通過(guò)一個(gè)路由器發(fā)送的信息包會(huì)被發(fā)送給與該路由器相連的所有其他節(jié)點(diǎn)(除了發(fā)送信息包出來(lái)的那個(gè)節(jié)點(diǎn))。

在典型的MAC flooding中，攻擊者能讓目標(biāo)網(wǎng)絡(luò)中的交換機(jī)不斷泛洪大量不同源MAC地址的數(shù)據(jù)包，導(dǎo)致交換機(jī)內(nèi)存不足以存放正確的MAC地址和物理端口號(hào)相對(duì)應(yīng)的關(guān)系表。如果攻擊成功，交換機(jī)會(huì)進(jìn)入failopen模式，所有新進(jìn)入交換機(jī)的數(shù)據(jù)包會(huì)不經(jīng)過(guò)交換機(jī)處理直接廣播到所有的端口(類似HUB集線器的功能)。攻擊者能進(jìn)一步利用嗅探工具(例如Wireshark)對(duì)網(wǎng)絡(luò)內(nèi)所有用戶的信息進(jìn)行捕獲，從而能得到機(jī)密信息或者各種業(yè)務(wù)敏感信息。

損壞：自然災(zāi)害、動(dòng)物破壞、老化、誤操作

干擾：大功率電器/電源線路/電磁輻射

電磁泄漏：傳輸線路電磁泄漏

搭線竊聽：物理搭線

欺騙：ARP欺騙

嗅探：常見二層協(xié)議是明文通信的(以太、arp等)

拒絕服務(wù)：macflooding，arpflooding等

互聯(lián)網(wǎng)網(wǎng)絡(luò)層

譯名為傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議，又名網(wǎng)絡(luò)通訊協(xié)議，是Internet最基本的協(xié)議、Internet國(guó)際互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)，由網(wǎng)絡(luò)層的IP協(xié)議和傳輸層的TCP協(xié)議組成。

TCP/IP定義了電子設(shè)備如何連入因特網(wǎng)，以及數(shù)據(jù)如何在它們之間傳輸?shù)臉?biāo)準(zhǔn)。協(xié)議采用了4層的層級(jí)結(jié)構(gòu)，每一層都呼叫它的下一層所提供的協(xié)議來(lái)完成自己的需求。通俗而言：TCP負(fù)責(zé)發(fā)現(xiàn)傳輸?shù)膯?wèn)題，一有問(wèn)題就發(fā)出信號(hào)，要求重新傳輸，直到所有數(shù)據(jù)安全正確地傳輸?shù)侥康牡?。而IP是給因特網(wǎng)的每一臺(tái)聯(lián)網(wǎng)設(shè)備規(guī)定一個(gè)地址。

IP協(xié)議簡(jiǎn)介：

IP協(xié)議是用于將多個(gè)包交換網(wǎng)絡(luò)連接起來(lái)的，它在源地址和目的地址之間傳送一種稱之為數(shù)據(jù)包的東西，它還提供對(duì)數(shù)據(jù)大小的重新組裝功能，以適應(yīng)不同網(wǎng)絡(luò)對(duì)包大小的要求。

IP實(shí)現(xiàn)兩個(gè)基本功能：尋址和分段。IP可以根據(jù)數(shù)據(jù)包包頭中包括的目的地址將數(shù)據(jù)報(bào)傳送到目的地址，在此過(guò)程中IP負(fù)責(zé)選擇傳送的道路，這種選擇道路稱為路由功能。如果有些網(wǎng)絡(luò)內(nèi)只能傳送小數(shù)據(jù)報(bào)，IP可以將數(shù)據(jù)報(bào)重新組裝并在報(bào)頭域內(nèi)注明。IP模塊中包括這些基本功能，這些模塊存在于網(wǎng)絡(luò)中的每臺(tái)主機(jī)和網(wǎng)關(guān)上，而且這些模塊(特別在網(wǎng)關(guān)上)有路由選擇和其它服務(wù)功能。對(duì)IP來(lái)說(shuō)，數(shù)據(jù)報(bào)之間沒(méi)有什么聯(lián)系，對(duì)IP不好說(shuō)什么連接或邏輯鏈路。

互聯(lián)網(wǎng)層網(wǎng)絡(luò)安全威脅

傳輸層

IP分片技術(shù)

以太網(wǎng)的MTU是1500，你可以用 netstat -i 命令查看這個(gè)值。如果IP層有數(shù)據(jù)包要傳，而且數(shù)據(jù)包的長(zhǎng)度超過(guò)了MTU，那么IP層就要對(duì)數(shù)據(jù)包進(jìn)行分片(fragmentation)操作，使每一片的長(zhǎng)度都小于或等于MTU。我們假設(shè)要傳輸一個(gè)UDP數(shù)據(jù)包，以太網(wǎng)的MTU為1500字節(jié)，一般IP首部為20字節(jié)，UDP首部為8字節(jié)，數(shù)據(jù)的凈荷(payload)部分預(yù)留是1500-20-8=1472字節(jié)。如果數(shù)據(jù)部分大于1472字節(jié)，就會(huì)出現(xiàn)分片現(xiàn)象。

IP分片攻擊

如果有意發(fā)送總長(zhǎng)度超過(guò)65535的IP碎片，一些老的系統(tǒng)內(nèi)核在處理的時(shí)候就會(huì)出現(xiàn)問(wèn)題，導(dǎo)致崩潰或者拒絕服務(wù)。另外，如果分片之間偏移量經(jīng)過(guò)精心構(gòu)造，一些系統(tǒng)就無(wú)法處理，導(dǎo)致死機(jī)。所以說(shuō)，漏洞的起因是出在重組算法上。pingo‘ death是利用ICMP協(xié)議的一種碎片攻擊。攻擊者發(fā)送一個(gè)長(zhǎng)度超過(guò)65535的EchoRequest數(shù)據(jù)包，目標(biāo)主機(jī)在重組分片的時(shí)候會(huì)造成事先分配的65535字節(jié)緩沖區(qū)溢出，系統(tǒng)通常會(huì)崩潰或掛起。ping不就是發(fā)送ICMPEcho Request數(shù)據(jù)包的嗎?讓我們嘗試攻擊一下吧!不管IP和ICMP首部長(zhǎng)度了，數(shù)據(jù)長(zhǎng)度反正是多多益善，就65535吧

IP數(shù)據(jù)包

數(shù)據(jù)包的結(jié)構(gòu)：數(shù)據(jù)包的結(jié)構(gòu)非常復(fù)雜，不是三言兩語(yǔ)能夠說(shuō)清的，在這里主要了解一下它的關(guān)鍵構(gòu)成就可以了，這對(duì)于理解TCP/IP協(xié)議的通信原理是非常重要的。數(shù)據(jù)包主要由“目的IP地址”、“源IP地址”、“凈載數(shù)據(jù)”等部分構(gòu)成，包括包頭和包體，包頭是固定長(zhǎng)度，包體的長(zhǎng)度不定，各字段長(zhǎng)度固定，雙方的請(qǐng)求數(shù)據(jù)包和應(yīng)答數(shù)據(jù)包的包頭結(jié)構(gòu)是一致的，不同的是包體的定義。數(shù)據(jù)包的結(jié)構(gòu)與我們平常寫信非常類似，目的IP地址是說(shuō)明這個(gè)數(shù)據(jù)包是要發(fā)給誰(shuí)的，相當(dāng)于收信人地址;源IP地址是說(shuō)明這個(gè)數(shù)據(jù)包是發(fā)自哪里的，相當(dāng)于發(fā)信人地址;而凈載數(shù)據(jù)相當(dāng)于信件的內(nèi)容。正是因?yàn)閿?shù)據(jù)包具有這樣的結(jié)構(gòu)，安裝了TCP/IP協(xié)議的計(jì)算機(jī)之間才能相互通信。我們?cè)谑褂没赥CP/IP協(xié)議的網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)中其實(shí)傳遞的就是數(shù)據(jù)包。理解數(shù)據(jù)包，對(duì)于網(wǎng)絡(luò)管理的網(wǎng)絡(luò)安全具有至關(guān)重要的意義。

我們可以用一個(gè)形象一些的例子對(duì)數(shù)據(jù)包的概念加以說(shuō)明：我們?cè)卩]局郵寄產(chǎn)品時(shí)，雖然產(chǎn)品本身帶有自己的包裝盒，但是在郵寄的時(shí)候只用產(chǎn)品原包裝盒來(lái)包裝顯然是不行的。必須把內(nèi)裝產(chǎn)品的包裝盒放到一個(gè)郵局指定的專用紙箱里，這樣才能夠郵寄。這里，產(chǎn)品包裝盒相當(dāng)于數(shù)據(jù)包，里面放著的產(chǎn)品相當(dāng)于可用的數(shù)據(jù)，而專用紙箱就相當(dāng)于幀，且一個(gè)幀中只有一個(gè)數(shù)據(jù)包。“包”聽起來(lái)非常抽象，那么是不是不可見的呢?通過(guò)一定技術(shù)手段，是可以感知到數(shù)據(jù)包的存在的。 就是用數(shù)據(jù)包捕獲軟件Iris捕獲到的數(shù)據(jù)包的界面圖，在此，大家可以很清楚地看到捕獲到的數(shù)據(jù)包的MAC地址、IP地址、協(xié)議類型端口號(hào)等細(xì)節(jié)。通過(guò)分析這些數(shù)據(jù)，網(wǎng)管員就可以知道網(wǎng)絡(luò)中到底有什么樣的數(shù)據(jù)包在活動(dòng)了。

TCP/UDP協(xié)議

面向連接的TCP協(xié)議：

TCP(TransmissionControl Protocol，傳輸控制協(xié)議)是基于連接的協(xié)議，也就是說(shuō)，在正式收發(fā)數(shù)據(jù)前，必須和對(duì)方建立可靠的連接。一個(gè)TCP連接必須要經(jīng)過(guò)三次“對(duì)話”才能建立起來(lái)，也就是所謂的”TCP的三次握手”。

面無(wú)連接的UDP協(xié)議：

UDP(UserData Protocol，用戶數(shù)據(jù)報(bào)協(xié)議)是與TCP相對(duì)應(yīng)的協(xié)議。它是面向非連接的協(xié)議，它不與對(duì)方建立連接，而是直接就把數(shù)據(jù)包發(fā)送過(guò)去!

“面向連接”就是在正式通信前必須要與對(duì)方建立起連接。比如你給別人打電話，必須等線路接通了、對(duì)方拿起話筒才能相互通話。

TCP的三次握手：

其中的過(guò)程非常復(fù)雜，我們這里只做簡(jiǎn)單、形象的介紹，你只要做到能夠理解這個(gè)過(guò)程即可。我們來(lái)看看這三次對(duì)話的簡(jiǎn)單過(guò)程：主機(jī)A向主機(jī)B發(fā)出連接請(qǐng)求數(shù)據(jù)包：“我想給你發(fā)數(shù)據(jù)，可以嗎?”，這是第一次對(duì)話;主機(jī)B向主機(jī)

A發(fā)送同意連接和要求同步(同步就是兩臺(tái)主機(jī)一個(gè)在發(fā)送，一個(gè)在接收，協(xié)調(diào)工作)的數(shù)據(jù)包：“可以，你什么時(shí)候發(fā)?”，這是第二次對(duì)話;主機(jī)A再發(fā)出一個(gè)數(shù)據(jù)包確認(rèn)主機(jī)B的要求同步：“我現(xiàn)在就發(fā)，你接著吧!”，這是第三次對(duì)話。三次“對(duì)話”的目的是使數(shù)據(jù)包的發(fā)送和接收同步，經(jīng)過(guò)三次“對(duì)話”之后，主機(jī)A才向主機(jī)B正式發(fā)送數(shù)據(jù)。

“面向非連接”就是在正式通信前不必與對(duì)方先建立連接，不管對(duì)方狀態(tài)就直接發(fā)送。與手機(jī)短信非常相似：你在發(fā)短信的時(shí)候，只需要輸入對(duì)方手機(jī)號(hào)就OK了。

TCP:FTPHTTP POP IMAP SMTP TELNET SSH

UDP

Q聊天,在線視頻RTSP,網(wǎng)絡(luò)語(yǔ)音電話VoIP

第一次握手：建立連接時(shí)，客戶端發(fā)送syn包(syn=j)到服務(wù)器，并進(jìn)入SYN_SENT狀態(tài)，等待服務(wù)器確認(rèn);SYN：同步序列編號(hào)(Synchronize Sequence Numbers)。第二次握手：服務(wù)器收到syn包，必須確認(rèn)客戶的SYN(ack=j+1)，同時(shí)自己也發(fā)送一個(gè)SYN包(syn=k)，即SYN+ACK包，此時(shí)服務(wù)器進(jìn)入SYN_RECV狀態(tài);第三次握手：客戶端收到服務(wù)器的SYN+ACK包，向服務(wù)器發(fā)送確認(rèn)包ACK(ack=k+1)，此包發(fā)送完畢，客戶端和服務(wù)器進(jìn)入ESTABLISHED(TCP連接成功)狀態(tài)，完成三次握手。完成三次握手，客戶端與服務(wù)器開始傳送數(shù)據(jù)。

傳輸層的安全威脅

在網(wǎng)絡(luò)中，flooding是指從任何節(jié)點(diǎn)通過(guò)一個(gè)路由器發(fā)送的信息包會(huì)被發(fā)送給與該路由器相連的所有其他節(jié)點(diǎn)(除了發(fā)送信息包出來(lái)的那個(gè)節(jié)點(diǎn))。

在典型的MAC flooding中，攻擊者能讓目標(biāo)網(wǎng)絡(luò)中的交換機(jī)不斷泛洪大量不同源MAC地址的數(shù)據(jù)包，導(dǎo)致交換機(jī)內(nèi)存不足以存放正確的MAC地址和物理端口號(hào)相對(duì)應(yīng)的關(guān)系表。如果攻擊成功，交換機(jī)會(huì)進(jìn)入failopen模式，所有新進(jìn)入交換機(jī)的數(shù)據(jù)包會(huì)不經(jīng)過(guò)交換機(jī)處理直接廣播到所有的端口(類似HUB集線器的功能)。攻擊者能進(jìn)一步利用嗅探工具(例如Wireshark)對(duì)網(wǎng)絡(luò)內(nèi)所有用戶的信息進(jìn)行捕獲，從而能得到機(jī)密信息或者各種業(yè)務(wù)敏感信息。

拒絕服務(wù)：syn flood/udp flood/Smurf欺騙：TCP會(huì)話劫持竊聽：嗅探偽造：數(shù)據(jù)包偽造

應(yīng)用層的安全威脅

域名解析：DNS電子郵件：SMTP/POP3文件傳輸：FTP網(wǎng)頁(yè)瀏覽：HTTP……

拒絕服務(wù)：超長(zhǎng)URL鏈接欺騙：跨站腳本、釣魚式攻擊、cookie欺騙竊聽：嗅探偽造：應(yīng)用數(shù)據(jù)篡改暴力破解：應(yīng)用認(rèn)證口令暴力破解等……

以上就是小編為大家?guī)?lái)的網(wǎng)絡(luò)安全基礎(chǔ)之網(wǎng)絡(luò)協(xié)議與安全威脅介紹，希望能對(duì)您有所幫助，小伙伴們有空可以來(lái)腳本之家網(wǎng)站，我們的網(wǎng)站上還有許多其它的資料等著小伙伴來(lái)挖掘哦！

最新評(píng)論