Internet协议的安全性

最新推荐文章于 2024-06-21 08:25:01 发布
最新推荐文章于 2024-06-21 08:25:01 发布
阅读量968 收藏 24
点赞数 20
文章标签: 网络 tcp/ip 网络协议 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19300283/article/details/136772152
版权

Internet协议的安全性

文章目录

1. 网络层

1. IP*6

攻击原理防御
IP源地址欺骗IP不认证源IP高层认证, 如IPsec的IKE
定向广播IP协议支持定向广播禁止定向广播
监听IP无加密加密, 如IPsec的ESP
完整性破坏IP仅CRC校验首部完整性校验, 如IPsec的AH和ESP
IP源路由选项IP支持指定往返路由路由器禁止源路由选项
IP分片攻击大包攻击
碎片攻击:头放几片里,可以绕过包过滤
分片重叠
不发完DoS		先重组,不分片, 序号(如IPsec)

2. ARP*3

攻击原理防御
ARP欺骗做中间人静态ARP, 永久ARP(下面一样)
ARP重定向不停告诉别人我是网关
MAC flooding给交换机狂发,占满表, 交换机变集线器不知道

3. ICMP * 3

攻击原理(ICMP没有验证可以伪造)防御
针对带宽DoS狂ping允许单方向ping
针对连接DoS发假的不可达终止连接阻止一些类型的ICMP
ICMP重定向利用重定向改变主机路由表,自己伪装成路由器,常和IP源地址欺骗结合阻止一些类型的ICMP

2. 传输层协议

1. TCP

1. * SYN-Flood攻击
攻击

  • 原理: 属于语义DoS攻击(利用协议缺陷),狂发SYN形成一堆半连接

  • 根据源地址欺骗(随机伪造,子网伪造,固定伪造)有放大攻击(DNS请求和响应大小远不同),反射攻击(固定伪造)

  • 防止SYN返回报文攻击到自己的方式就是源地址伪造

检测
  • 半开连接检测
  • 新建连接速率检测:检测不活动连接
* 防御

  • 源地址过滤

  • 释放无效连接:检测半开和不活动连接释放

  • 延缓TCB分配(收到SYN后分配的资源叫TCB)

  • 代理服务器(也算延缓TCB)

    • SYN proxy:窗口设为0

    • SYN cache: 用cache存半连接

    • SYN cookie: cookie, 第三次开TCB

    • Safe reset: cookie, 第三次发rst重连,后续不代理

      在这里插入图片描述

2. TCP序号攻击
攻击

TCP只有基于序号的认证,认证很弱,如果能猜到序号,人家就相信

先dos冒充对象

再连接攻击者来试探序号

再正式建立连接

在这里插入图片描述

3. 拥塞机制攻击

故意制造拥塞

防护:网关实时检测异常流量

2. UDP

攻击基于缺陷
UDP Flood是暴力DoS,没有拥塞控制
UDP欺骗没有连接没有认证

3. 应用层协议

1. DNS

攻击*3

DNS污染: 攻击DNS服务器

DNS欺骗: 假装DNS服务器

DNS中毒: 伪装其他服务器对DNS服务器响应

防范*3:

  1. 基于地址认证

  2. 不把秘密信息放在主机名里

  3. DNSsec

2. FTP

攻击防御
明文传输:登录用户名、密码以及传输内容都明文传输,易被窃听使用SFTP
1. 加密
2. 采用SSH(port22),避免开大量数据连接端口
两种方向的数据连接:PORT开放端口导致访问控制失效禁止PORT,只允许PASV
FTP反弹攻击:攻击者在PORT命令中指定特定的IP地址和端口号参数,将数据发送的第三方限制PORT指定的IP和port 或者关闭PORT
用户权限限制问题:如果FTP用户权限限制不合理,会导致授权访问不用root运行
匿名FTP问题:全球可读写的目录常用来存储和发布盗版软件或其它违法的软件或数据只读,取消匿名

3. TELNET: 改用ssh

无加密,无完整,无认证

4. 电子邮件

SMTP明文, 无认证

1. 攻击

  1. 邮件炸弹: 挤爆邮箱

  2. 垃圾邮件: 垃圾内容

  3. 社工

2. 防御
  1. 反垃圾: 过滤等

4. 路由协议

1. RIP

RIP流程复习

探寻邻居, 定期发整张路由表给邻居,然后看情况更新, 最后收敛,每个路由器都有完整拓扑

协议缺陷:
  • 不可靠的UDP传输
  • RIPv1没有认证, RIPv2用MD5但已被破解,总之就是没认证
攻防:
攻击防御
1. 攻击者可以伪造RIP路由更新信息,并向邻居发送, 经过收敛网络可能瘫痪
2.可以嗅探路由表,然后再破坏完整性截取或者重放		1. 配置路由器为被动接口(只进不出)
2. 增加认证
3. 配置访问控制,只允许指定IP更新报文

2. OSPF

OSPF流程复习

发的是相邻路由器的状态, 有变化才发, 给全网泛洪, 最后拿dijkstra算、

协议缺陷
  • 有认证,但是很多节点还是用口令
  • 会泛洪, 欺骗容易扩散

3. BGP

BGP复习

不是最佳路由,只保证不兜圈子,下层是TCP, 有IGP和EGP

协议缺陷

没有认证

解决:

MD5 BGP

S-BGP

程序喵;
关注
  • 20
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Internet协议安全性分析(PPT 119页).ppt编程资料
04-17
Internet协议安全性分析(PPT 119页).ppt
因特网安全协议.pptx
10-14
网络安全领域,安全管理与审计是至关重要的组成部分,确保网络资源的安全性和数据的完整性。以下是对这些概念的详细解释: 7.1 基本概念 7.1.1 安全管理目标 安全管理的核心目标包括:防止未授权访问,避免信息...
Web服务实现及安全性分析.doc
11-17
Web服务实现及安全性分析 本文档主要讨论 Web 服务的实现和安全性分析。随着互联网技术的进步和商业企业对互联网依赖性的增强,软件需要集成到 Internet 上来,需要和 Internet 上的其他软件进行交互。Web 服务是...
Internet安全协议.ppt
09-28
《互联网安全协议》 在互联网世界中,安全是至关重要的,因为网络上的数据交换和通信涉及个人信息、商业机密和各种敏感信息。本章将深入探讨互联网安全协议,特别是HTTP协议,以及它在网络中的作用。 HTTP协议,即...
第十章安全通信协议及交易协议.ppt
11-12
网络安全】\n\n安全通信协议和交易协议网络通信中的关键组成部分,它们确保了信息在传输过程中的安全性和完整性。本章主要讨论了IPSec(Internet Protocol Security),这是一种广泛使用的安全框架,用于保护IP...
使用 Python 中的美丽汤进行网络数据解析的完整指南
SmartGarret的博客
06-20 925
如果你已经迷上了数据解析的概念,你可能会尝试打开 HTML 文档,阅读其中的信息,感觉就像在尝试破译古老的象形文字。你也可能把它看成是一碗汤–把各种配料放在一起,切片、煮沸、烹饪。它们一起构成了美味的一餐,但如果你试图挑出每一片胡萝卜(不管出于什么原因),你可能就会意识到这是一项多么复杂的工作。Beautiful Soup 来拯救你了,它能让你的汤更美。它是一个 Python 库,通常用于刮取和解析 HTML 和 XML 文档,并提供导航和搜索其中内容的工具。
Python网络安全项目开发实战,怎么扫描漏洞
一个好知识的传播者
06-19 1445
Python在网络安全项目开发实战中发挥着重要的作用。通过Python编写的漏洞扫描器可以自动化地收集目标信息、进行端口扫描和漏洞检测,并生成详细的扫描报告。然而,网络安全是一个复杂的领域,仅仅依靠Python编写的扫描器是远远不够的。未来,我们可以结合机器学习、大数据等技术来进一步提高漏洞扫描的准确性和效率。同时,也需要不断学习和研究新的漏洞利用方式和防范措施,以应对日益复杂的网络安全威胁。Python网络安全项目开发实战_扫描漏洞_编程案例解析实例详解课程教程.pdf。
【2024最新精简版】网络_Linux操作系统面试篇
最新发布
A的博客
06-21 815
应⽤层:⽹络服务与最终⽤⼾的⼀个接⼝。包括电子邮件、网页浏览、文件传输表⽰层:数据的格式转换、加密解密和压缩解压会话层:建⽴、管理、终⽌会话。传输层:定义传输数据的协议端⼝号,负责端到端的数据传输。⽹络层:转发数据包数据链路层:比特流组织成数据帧物理层:传输原始比特流其中HTTP协议和HTTPS协议属于应用层 ,TCP协议和UDP协议属于传输层协议TCP协议位于传输层,作用是提供可靠的字节流服务,为了准确无误地将数据送达目的地,TCP协议采用三次握手策略。
计算机网络 —— 应用层(FTP)
qq_67693066的博客
06-20 977
计算机网络 —— 应用层(FTP)
Java中的网络编程实践指南
weixin_44627014的博客
06-19 233
通过本文的介绍,相信大家对Java中的网络编程有了更深入的了解。网络编程是Java开发中非常重要的一部分,掌握了这些技术,可以让我们更好地开发各种类型的网络应用,提高开发效率和代码质量。
基于新型切片轮廓转换超分辨率的深度生成网络的高分辨率3D MRI重建
爱CV
06-18 151
通过训练深度生成网络实现了5.5倍的超分辨率重建,与SMORE超分辨率重建方法和常规降采样训练的网络相比,该研究的SPTSR框架在50个测试案例中展示了最佳的整体图像质量。该研究所提出的SPTSR框架的目标是从单个2D切片堆叠的一个方向(例如,冠状MRI扫描)进行训练,并利用正交方向(例如,轴向MRI扫描)推理各向同性高分辨率的3D成像。与简单的双线性插值相比,SMORE和KS-ZF训练的网络去除了大部分阶梯和模糊伪影,但未能重建前列腺内的小结构,并且存在放大的噪声。因此,通过平面的推理。
[Linux] TCP协议介绍(3): TCP协议的“四次挥手“过程、状态分析...
七月.cc的博客
06-16 1058
TCP协议是面向连接的, 面向字节流的, 可靠的 传输层协议...
【计算机网络体系结构】计算机网络体系结构实验-www实验
weixin_52553215的博客
06-19 531
2.浏览器打开。
面试题(TCP/IP协议)详解三次握手
m0_65013257的博客
06-16 617
在两次握手的情况下,只有客户端向服务器发送请求建立连接的SYN包,服务器收到后确认即可建立连接。在三次握手的过程中,双方会交换初始序列号,以便在后续的数据传输中能够正确地识别和处理接收到的数据。,当服务器能够接收到了客户端的信息,说明服务器的接受信息没有问题,所以发出消息让客户端知道自己的接受信息能力没有问题,同时也能让客户端知道它的发送能力没有问题.:在数据传输之前,TCP 必须先建立连接(三次握手),在数据传输结束后,还要终止这个连接(四次挥手)。通过进行三次握手,可以避免这种情况的发生。
速盾:CDN 转发循环攻击的解析
zhuguowang01的博客
06-19 307
只有通过各方的共同努力,包括 CDN 服务提供商、网站开发者和安全团队等,才能够有效地防范和应对这种攻击,保障网络空间的安全与稳定。在不断发展的网络环境中,我们必须保持警惕,不断探索和创新安全防护技术,以应对各种潜在的威胁和挑战。CDN 转发循环攻击的基本原理是,攻击者精心构造特定的请求,使得这些请求在 CDN 的网络中陷入无限循环的转发过程。通过实时监控流量模式和异常情况,及时发现可能的转发循环攻击迹象,并采取相应的措施进行阻断和缓解。例如,加强对输入请求的验证和过滤,防止恶意请求进入 CDN 网络
C++ 音视频传输
wy749929317的博客
06-20 999
在C++中实现音视频传输是一个相对复杂的任务,通常涉及到多个步骤和组件,包括音视频采集、编码、传输(如网络传输)、解码和播放。音视频采集对于视频,可以使用OpenCV(Open Source Computer Vision Library)或DirectShow(Windows平台)来捕获摄像头的视频流。对于音频,可以使用PortAudio、ALSA(Linux Audio System)或Windows Core Audio来捕获麦克风的音频流。音视频编码。
网络安全学习】使用Kali做信息收集-02-<指纹识别&目录扫描>
Zane的博客
06-17 868
怎么在kali下进行指纹识别以及目录扫描
JavaSE -网络编程
weixin_52242569的博客
06-18 416
网络通信协议下,不同计算机上运行的程序,进行的数据传输。
Clickhouse备份恢复_Docker环境下的clickhouse如何备份恢复
lusklusklusk的博客
06-19 575
Docker环境的下的clickhouse备份,不能使用clickhouse-backup,因为clickhouse-client只能备份Docker环境下的clickhouse的元数据 Docker环境的下的clickhouse备份,可以使用TCP的clickhouse-client的9000或HTTP的8123连接clickhouse服务器后使用backup\restore命令来备份\恢复
网络设备安全管理协议
06-21
网络设备安全管理协议(Network Device ...6. **IPSec**:Internet协议安全,为网络层通信提供端到端的加密和完整性保护。 7. **MFA(Multi-Factor Authentication)**:支持双因素或多因素认证,增加账户安全性

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值