【通信安全CACE-管理类基础级】第10章网络攻击

杰西啊杰西

已于 2023-10-24 11:36:58 修改

阅读量863

点赞数 1

分类专栏：通信安全CACE 文章标签：网络 CACE 通信安全安全 1024程序员节

于 2023-07-04 09:45:09 首次发布

本文链接：https://blog.csdn.net/qq_43681877/article/details/131528516

版权

通信安全CACE 专栏收录该内容

9 篇文章 8 订阅

订阅专栏

本文详细介绍了网络攻击中的欺骗技术，包括IP欺骗、ARP欺骗和DNS欺骗，以及DDoS攻击的分类和防范措施。同时，文章列举了多种DOS型攻击，如Ping洪水、teardrop攻击和Land攻击，并提出了相应的防御策略，如IP和MAC地址绑定、使用安全协议和防火墙过滤等。

摘要由CSDN通过智能技术生成

资源
中国通信企业协会网络安全人员能力认证考试知识点大纲
 中国通信企业协会网络安全人员能力认证管理类基础级考试课件
 中国通信企业协会网络安全人员能力认证考试管理类基础级复习资料
 中国通信企业协会网络安全人员能力认证考试管理类基础级模拟题

10.4 网络攻击技术

10.4.1 欺骗技术

IP欺骗

直接混淆攻击者的IP地址以进行拒绝服务(DoS)攻击。

防范源路由欺骗：设置路由器禁止使用源路由，防范信任关系欺骗，不使用信任关系或不允许通过外部网络使用信任关系。
防范会话劫持攻击：进行加密，如果攻击者不能读取传输数据，那么进行会话劫持攻击也是十分困难的。
使用安全协议：像 SSH（Secure Shell）这样的协议或是安全的 Telnet 都可以使系统免受会话劫持攻击。
限制保护措施：允许从网络上传输到用户单位内部网络的信息越少，那么用户将会越安全，这是个最小化会话劫持攻击的方法。

ARP欺骗

ARP 协议是建立在信任局域网内所有节点的基础上，虽然高效但并不安全。ARP 协议是一种无状态的协议，他不会检查自己是否发过请求，也不管应答是否合法，当接收到目标 MAC 地址是自己的 ARP 广播报文，都会接收并更新缓存，这就为 ARP 欺骗提供了可能。
由于局域网内的每台主机内都存有 ARP Cache，ARP 攻击者将发送大量的 ARP 欺骗报文以淹没正常的 ARP 报文，使得主机的 ARP 缓存表内记录假的 MAC 信息，从而达到 ARP 欺骗的目的。
防范措施：

在网关上实现 IP 地址和 MAC 地址的绑定。为每台主机添加一条 IP 地址和 MAC 地址对应的关系静态地址表
通过防火墙过滤常见病毒端口：134-139,445,500,6677,5800,5900,593 等以及 P2Peye.com 下载。
除非很必要，否则停止使用 ARP，将 ARP 作为永久条目保存在对应表中。
使用 ARP 服务器。通过该服务器查找自己的 ARP 转换表来响应其他机器的 ARP 广播。确保这台 ARP 服务器不被黑掉。
使用 Proxy 代理 IP 的传输。
使用硬件屏蔽主机，设置好路由，确保 IP 地址能到达合法的路径。
管理员要定期从响应的 IP 包中获得一个 RARP 请求，然后检查 ARP 响应的真实性。
管理员要定期轮询，检查主机上的 ARP 缓存。

DNS欺骗

攻击者冒充域名服务器

使用较新的 DNS 软件，因为其中有些可以支持控制访问方式记录 DNS 信息，域名解析服务器只对那些合法的请求做出响应。内部的请求可以不受限制地访问区域信息，外部的请求仅能访问那些公开的信息。
直接用 IP 访问重要的服务，这样至少可以避开 DNS 欺骗攻击，但需要记住自己要访问的 IP 地址。
正确配置区域传输。即只允许相互信任的 DNS 服务器之间才允许传输解析数据。
配合使用防火墙。使用防火墙可使得 DNS 服务器位于防火墙的保护之内，只开放相应的服务端口和协议。
保护 DNS 服务器所存储的信息。部分注册信息的登录方式仍然采用一些比较过时的方法，如采用电子邮件的方式就可以升级 DNS 注册信息，这些过时的方法需要添加安全措施，如采用加密的口令，或者采用安全的浏览器平台工具来提供管理域代码记录的方式。
系统管理员也可以采用分离 DNS 的方式，内部的系统与外部系统分别访问不同的 DNS 系统，外部的计算机仅能访问公共的记录。

10.4.2 DDOS型

DDOS分布式拒绝服务

通过大规模互联网流量淹没目标服务器或其周边基础设施，以破坏目标服务器、服务或网络正常流量的恶意行为。

DDOS的分类以及各个种类的特点

类型	攻击	目标	原理
应用层攻击	HTTP洪水	耗尽目标资源	使用相同范围的攻击 IP 地址、referrer 和用户代理访问一个 URL；使用大量攻击性 IP 地址，并使用随机 referrer 和用户代理来针对随机网址。
协议攻击	SYN洪水	过度消耗服务器资源和/或防火墙和负载平衡器之类的网络设备资源，从而导致服务中断。	此类攻击利用 TCP 握手，通过向目标发送大量带有伪造源 IP 地址的 TCP“初始连接请求”SYN 数据包来实现。目标计算机响应每个连接请求，然后等待握手中的最后一步，但这一步确永远不会发生，因此在此过程中耗尽目标的资源。
容量耗尽攻击	DNS 放大	消耗目标与较大的互联网之间的所有可用带宽来造成拥塞，如僵尸网络请求	利用受害者的 IP 地址向开放式 DNS 服务器大量发出请求后，目标 IP 地址将收到服务器发回的大量响应。

常见反射放大型攻击原理与检测

原理

攻击者并不直接攻击目标服务 IP，而是利用互联网的某些特殊服务开放的服务器，通过伪造被攻击者的 IP 地址、向有开放服务的服务器发送构造的请求报文，该服务器会将数倍于请求报文的回复数据发送到被攻击 IP，从而对后者间接形成 DDoS 攻击。

防范
1. Memcached服务可在配置服务器时禁止UDP传输；
2. DNS服务可在配置时关闭递归查询功能；
3. NTP服务器可升级到4.2.7p26或者更高的版本，或关闭当前NTP服务器的monlist功能[15]；
4. SNMP服务器可以禁用snmpbulkget请求命令；
5. 对于不需要使用UPnP服务的设备关闭SSDP服务；
6. 在非必要的情况下，关闭AD域服务器的rootDSE功能，此未防范LDAP协议的ddos；
7. 在服务器上通过变更服务端口或限制请求IP来进行防范

10.4.3 DOS型

Dos漏洞描述

使系统过于忙碌而不能执行有用的业务并且占尽关键系统资源

IP欺骗性攻击

行动产生的IP数据包为伪造的源IP地址
黑客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道

Ping（ICMP）洪流攻击

ping Flood 是一种拒绝服务攻击，攻击者试图用** ICMP **回显请求数据包淹没目标设备，导致目标设备无法访问正常流量。当攻击流量来自多个设备时，攻击就变成了DDoS或分布式拒绝服务攻击。

攻击者使用多个设备向目标服务器发送许多 ICMP 回显请求数据包。
然后，目标服务器向每个请求设备的 IP 地址发送一个 ICMP 回显回复数据包作为响应。

网络诊断工具traceroute和ping都使用 ICMP 运行。通常，ICMP echo-request 和 echo-reply 消息用于 ping 网络设备，以诊断设备的健康状况和连通性以及发送方与设备之间的连接。

teardrop攻击

是一种基于UDP的病态分片数据包的拒绝服务攻击
攻击者A给受害者B发送一些分片IP报文，并且故意将“13位分片偏移”字段设置成错误的值(既可与上一分片数据重叠，也可错开)，B在组合这种含有重叠偏移的伪造分片报文时，某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。

Land攻击

局域网拒绝服务攻击，通过发送精心构造的、具有相同源地址和目标地址的欺骗数据包，致使缺乏相应防护机制的目标设备瘫痪。
这种攻击方式采用了特别构造的TCP SYN数据包（通常用于开启一个新的连接），使目标机器开启一个源地址与目标地址均为自身IP地址的空连接，持续地自我应答，消耗系统资源直至崩溃。

Smurf攻击

Smurf攻击是一种病毒攻击，它结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。
Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。