| 名称 | 攻击 | 防御 |
|---|---|---|
| 物理层 | 1. 窃听 2. 回答(重放)3. 插入 4. 拒绝服务 | |
| 局域网LAN | 1. 破坏电源、电缆 2. 干扰信号 3. 故意攻击 | 1. 防火墙,能实现网络通信过滤 2. 特权区,分段拓扑,不同程度进行保护 3. LAN连接,身份鉴别 |
| 无线网络 | 1. 分组嗅测:用户可以检测到AP发送的全部数据 2. SSID:能被破坏 3. 假冒:AP假冒可以是故意的,也可以是不经意的 4. 寄生者 5. 直接安全漏洞 | 1. SSID打标签,尽量模糊 2. 不广播SSID 3. 天线放置,限制接收方位 4. MAC过滤 5. WEP能主动阻止连接 6. 其他密码系统,WPA 7. 网络体系结构 |
| 数据链路层 | 1. 随意模式监控,使用网络分析和差错工具 2. 网络负载攻击,上千个广播分组 3. 地址寻址攻击,两节点Mac地址相同 4. 帧外数据,不包含在报文帧内数据丢弃,但会在物理层传输 5. 转换通道,高层功能在链路层执行 6. 物理风险 | 1. 硬编码,地址表可以设置静态地址 2. 数据链路身份鉴别 3. 高层身份鉴别 4. 限制网络分析器的能力 |
| 拨号网PPP,SLIP风险 | 1. 身份鉴别。SLIP不提供身份鉴别机制,PPP有【PAP、CHAP】身份鉴别,但不支持强身份鉴别,传输数据未加密 2. 双向通信。节点可以和远程网络通信,远程网络也可以和该节点通信。【可通过防火墙缓解】 3. 用户教育,防火墙与很多软件冲突 | |
| MAC风险 | 1. 硬件框架攻击:MAC地址可以暴露硬件厂商与操作系统 2. 伪装攻击:攻击者可以改变用户MAC地址,并复制到另一个节点,两者会相互干扰 | |
| ARP与RARP | 1. ARP损坏:当一个无效的或不经意的差错进入ARP表,使ARP表受损 2. ARP表受损影响:【a.资源攻击:忽略新的ARP条目丢弃老的ARP条目 b.DoS攻击:其他节点收到错误的ARP条目 c. MitM攻击(中间人攻击):冒充正常节点,返回给ARP一个攻击者的MAC地址 】3. 交换机攻击【交换机中毒攻击,交换机淹没攻击】 | 1. 硬编码ARP表 2. ARP过期 3. 过滤ARP回答 4. 锁住ARP表 |
| 网络层 | 1. 窃听 2. 伪装 3. 插入攻击 | |
| 路由风险 | 1. 直接路由攻击 【a. DoS,基于负载攻击 b. 系统破坏,路由损坏】 2. 路由表中毒:动态路由易受攻击 3. 路由表淹没:路由表容易满 4. 路由度量攻击:一些好的通路将不期望【利用QOS分组】 5. 路由环路攻击 | |
| 地址机制风险 | 1. 假地址:两个节点具有相同的网络层地址,会产生冲突 2. 地址拦截:两个节点相同的网络地址,其中一个节点响应慢,会被锁住 3. 假释放攻击:伪装一个已分配的地址 4. 假的动态分配 | |
| 分段风险 | 1. 丢失分段攻击:当一个大分组分段时,有一个分段永远未传递 2. 分段重组:分段ID出现两次,导致分段重复和分段覆盖 3.最大的不分段大小 | |
| IP风险 | 1. 地址冲突 2. IP拦截【a. 攻击者用为在用的地址拦截 b. 重指网络连接到其他主机 c. 随意拦截】3. 回答攻击 4.分组风暴 5. 分段攻击,大数据进行分段传输 6. 转换通道:防火墙不检查ICMP分组的内容,ICMP能不经检查地通过防火墙 | 1. 禁用ICMP 2. 非路由地址【攻击者不能直接访问被保护的主机,主机从网上隔离开,可以使用双主代理或NAT】 3. NAT 【匿名和隐私】 4. RNAT:反向NAT【NAT不能作为一个主机,不能作为WEB服务器,但是RNAT可以】 5. IP过滤:第三层防火墙仅能看到IP报头,第四层防火墙能过滤基于特定端口和服务的分组 6.出口过滤:不允许内部网络攻击者对外部资源进行攻击,限制端口访问,限制IP 7. IPSec:IP没有身份鉴别,没有验证,没有隐私,而IPSec有 8. IPV6 |
| 传输层 | 1. 传输层拦截【a. 攻击者必须对某种类型网络破坏 b. 攻击者必须识别传输序列 c. 伪装分组必须包含源地址、目的地址、源端口、目的端口】 2. 减少节点的端口数,能减少攻击因素 3. 静态端口赋值和动态端口赋值:动态端口会引起不安全的风险 4. 扫描端口:企图连接到主机的每一个端口,如果端口有回答,则说明有服务在监听 5.信息泄露:传输层对传输的数据不进行加密 | |
| TCP侦查 | 1. 可侦查操作系统框架【a. 可侦查操作系统框架 b. TCP选项 c.序列号 d. 客户端口号:客户端可选择任何可用的端口用于连接 e: 重试次数和间隔】 2. 端口扫描 3. 日志:网络监控攻击IDS和IPS | |
| TCP拦截 | 任何干扰TCP连接的攻击都归结为TCP拦截,如DoS一样,时连接过早结束。【1. 全会话拦截:需要攻击具有直接的数据链路访问,运行在随意模式 2. ICMP和TCP拦截:ICMP连接重定向不同的端口和主机】 | |
| TCP DoS | 【目的:1. 是受害者不能执行任务 2. 更秘密的攻击】 1. SYN攻击,发送大量的SYN分组来消耗可用的内存 2. RST和FIN攻击 发送RST(或FIN)分组,反常的结束已建立的连接【重置攻击】 3. ICMP攻击:可以用来指定一个断开连接,但防火墙能阻断ICMP攻击,而TCP重置攻击可以通过防火墙 4. LAND攻击【形成反馈环路】 | 1 SYN攻击解决方式:增加SYN队列,或者用SYNCookies以防止消耗内存 |
| TCP防御 | 1. 改变系统框架:不同的系统框架包括SYN超时、重试计数、重试间隔、初始窗口大小等。2. 阻断攻击指向:防火墙。3.识别网络设备和已受攻击的漏洞。4. 状态分组检测,跟踪TCP连接状态。5. 入侵检测系统(IDS)。6.入侵防御系统【IPS】。7.高层协议 | |
| UDP攻击 | 1. 非法的进入源:UDP服务器不执行初始握手,任何主机能连接到UDP服务器,因此任何类型的UDP分组都能淹没一个服务器。2.UDP拦截:UDP可以从任何主机接收分组,无需进行身份鉴别,攻击者很容易伪装成正确的网络地址和UDP端口。3. UDP保持存活攻击:UDP没有很清楚地指示拦截时是打开还是关闭。攻击者可以使足够多的的端口保持打开。4. UDP Smurf攻击:假的分组发送到UDP服务器。攻击者伪造被害者的网络地址作为分组发送者,服务器响应一个或多个给被害者。5. UDP侦查:UDP端口扫描依靠ICMP和分组回答 | |
| 应用层 | ||
| DNS | 1. 直接风险 【a. 攻击者伪造回答 b. DNS缓存受损 c.ID盲目攻击 d. 破坏DNS分组】2. 技术风险【a. DNS域拦截 b.DNS 服务器拦截 c.更新持续时间 d. 动态DNS】 3. 社会风险【a. 相似主机名 b. 自动名字实现】 | 1.直接风险:打补丁 2. 技术风险:加固服务器,防火墙 3. 社会风险:用户培训 |
| STMP 风险 | 1. 伪装报头及垃圾邮件 2. 中继和代理:每个中继都有可能拦截或修改报文内容。3.STMP和DNS:STMP最大的风险来自于他对DNS的依从。4. 底层协议:SMTP也会受到底层协议如MAC、IP、TCP拦截的影响 | |
| URL漏洞 | 1. 主机名求解攻击:相似的主机名、URL和自动完成。2. 主机伪装:有一些伪装主机名的方法无需求解系统,在URL中使用主机名。3. URI伪装:URI编码伪装主机URI信息。4.剪切和拼接:移调URI一部分成分或附加一部分成分。5.滥用查询:CGI应用允许服务器传递内容,而不仅是静态Web页面。6.SQL注入。7.跨站脚本XSS攻击。 | |
| HTTP风险 | 1. 无身份界别的用户。2. 无身份鉴别的服务器。3. 客户端隐私:cookies,URL包含登录凭证。4. 信息泄露:HTTP请求报头通常泄露WEB浏览器类型,时间戳,版本等。5. 服务器定位轮廓:IP地址可以将服务器定到国家或城市。6.访问操作系统。7.不安全应用XSS。8底层协议 |
重放攻击(Replay Attacks) :又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。防御方法:(1)加随机数 (2)加时间戳 (3)加流水号
MitM攻击(中间人攻击):ARP表的条目用不同的机器的MAC地址重写。在这种情况下,新的节点将接到所有指向老的节点的通信。通过损坏两者,敌意节点能建立一个成功的MitM。
IP欺骗DOS攻击 :这种攻击利用RST位来实现。假设现在有一个合法用户(61.61.61.61)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为61.61.61.61,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从61.61.61.61发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户61.61.61.61再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开 始建立连接。攻击时,攻击者会伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务,从而实现了对受害服务器的拒绝服务攻击。
Teardrop攻击、Nesta攻击 :分段攻击。Teardrop是基于UDP的病态分片数据包的攻击方法。IP支持将大的数据分段传输和在接收端重新组装的能力。Teardrop攻击是利用在TCP/IP堆栈中实现信任IP碎片中的包头所包含的信息来实现自己的攻击。IP分段含有指明该分段所包含的是原包的哪一段的信息,某些TCP/IP在收到含有重叠偏移的伪造分段时将崩溃。
Ping Flood洪流攻击 : 该攻击在短时间内向目的主机发送大量ping包。
Ping of Death : 是一种拒绝服务攻击。根据TCP/IP的规范,一个IP包的长度最大为65536B,但发送较大的IP包时将进行分片,这些IP分片到达目的主机时又重新组合起来。在Ping of Death攻击时,各分片组合后的总长度将超过65536B,在这种情况下会造成某些操作系统的宕机。
Ping Sweep : 使用ICMP Echo轮询多个主机,阻塞网络。
SYN Foold(SYN攻击): SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不 足)的攻击方式。SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake),而SYN Flood拒绝服务攻击就是通过三次握手而实现的。
RST和FIN攻击 :RST攻击是发送RST(或FIN)分组,反常地结束已建立的连接。
ICMP攻击 :类似于TCP重置攻击,ICMP可以用来指定一个断开连接。盲目ICMP攻击也能使TCP不能连接。不想TCP重置攻击,防火墙能阻断ICMP攻击,而TCP重置攻击则因为有效的端口和地址组合,能通过防火墙。
Smurf攻击 : 通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行。 最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞。它比ping of death洪水的流量高出1或2个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方崩溃。
Fraggle攻击(UDP Smurf攻击):Fraggle 类似于Smurf攻击,只是使用UDP应答消息而非ICMP。假的分组送到UDP服务器。攻击者伪造被害者的网络地址作为分组发送者,服务器响应发送一个或更多UDP分组给被害者。虽然少数UDP分组不会严重影响分组,但每秒几千个分组能摧垮一个网络。
UDP洪水攻击 :攻击者利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务(CHARGEN是在TCP连接建立后,服务器不断传送任意的字符到客户端,直到客户端关闭连接。)之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间存在很多的无用数据流,这些无用数据流就会导致带宽的服务攻击。
LAND攻击 : LAND攻击形成反馈环路影响大部分LAN守护进程,这种攻击是发送一个SYN分组到已知端口的开放服务,而回答地址和端口伪装成指回同一个系统,形成一个反馈环路,使系统很快摧垮。
扫一扫
5752
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
