IPv4和IPv6
IP无法验证数据包中包含的源IP地址是否实际上来自该源。因此,威胁参与者可以使用欺骗源IP地址发送数据包。威胁参与者也可以篡改IP标头中的其他字段来进行攻击。安全分析人员必须了解IPv4和IPv6标头中的不同字段。
表中显示了一些更常见的与IP相关的攻击。
ICMP攻击
威胁参与者使用ICMP进行侦察和扫描攻击。他们可以发起信息收集攻击,以绘制网络拓扑图,发现哪些主机处于活动状态(可访问),识别主机操作系统(OS指纹),并确定防火墙的状态。威胁参与者还使用ICMP进行DoS攻击。
注意:用于IPv4的ICMP(ICMPv4)和用于IPv6的ICMP(ICMPv6)容易受到类似类型的攻击。
网络应在网络边缘进行严格的ICMP访问控制列表(ACL)过滤,以避免从Internet进行ICMP探测。安全分析人员应该能够通过查看捕获的流量和日志文件来检测与ICMP相关的攻击。在大型网络中,防火墙和入侵检测系统(IDS)等安全设备会检测到此类攻击,并向安全分析人员发出警报。
下表列出了威胁参与者感兴趣的常见ICMP消息。
放大和反射攻击
威胁参与者经常使用放大和反射技术来发起DoS攻击。图中的示例说明了如何使用称为Smurf攻击的放大和反射技术来压倒目标主机。
- 放大 -威胁参与者将ICMP回显请求消息转发给许多主机。这些消息包含受害者的源IP地址。
- 反射 -这些主机都答复受害者的欺骗IP地址,以使其不堪重负。
注意:现在正在使用更新形式的放大和反射攻击,例如基于DNS的反射和放大攻击以及网络时间协议(NTP)放大攻击。
威胁参与者也使用资源枯竭攻击。这些攻击会消耗目标主机的资源,以使其崩溃或消耗网络的资源。
解决欺骗攻击
- 非盲目欺骗 -威胁参与者可以看到主机与目标之间正在发送的流量。威胁参与者使用非盲目欺骗来检查来自目标受害者的答复数据包。非盲目欺骗可确定防火墙的状态和序列号预测。它还可以劫持授权的会话。
- 盲目欺骗 -威胁参与者无法看到主机与目标之间正在发送的流量。DoS攻击中使用了盲目的欺骗。
交换机将覆盖当前的MAC表条目,并将MAC地址分配给新端口,如图所示。然后,它将发往目标主机的帧转发到攻击主机。
954
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
