网际协议(Internet Protocol,IP)
- 由于IP报文默认是没有被加密的,因此容易被攻击者监听、窃取,从而造成数据泄露
- 解决措施:对IP数据报进行加密
- 由于IP只对数据报的头部进行差错检测,并没有对数据部分进行检测,因此容易被截取后更改数据部分再发给接收方
- 解决措施:对数据部分增加完整性检测机制
地址解析协议(Address Resolution Protocol,ARP)
- ARP协议可以将IP地址映射成Mac地址(32位->48位)。如果ARP缓存表中没有IP对应的映射,主机A就会在网段内广播ARP报文,来获取主机C的MAC地址。源MAC地址为发送端主机A的MAC地址,目的MAC地址为广播地址FF-FF-FF-FF-FF-FF,也就是说主机B和主机C都会收到主机A发送的ARP广播请求报文
- ARP欺骗攻击:主机B伪装成主机C返回应答请求,主机A接收后会更新ARP缓存表
- 解决措施:身份认证/建立静态ARP表
传输控制协议(Transmission Control Protocol,TCP)
- SYN Flood攻击:攻击者不断向服务器的监听接口发送连接请求SYN数据包,使服务器一直处于半开放连接状态,无法接受被的正常连接请求
- 解决措施:在服务器前端部署防火墙进行数据包过滤
- 序列号攻击:TCP协议确认数据包的真实性的方式是判断数据包中32位的序列号是否正确,假若攻击者能预测目标主机的起始序号,就可以欺骗主机
- 解决措施:在TCP连接建立时使用随机数作为初始序列号
- 制造拥塞:利用TCP拥塞控制的特性,周期性的制造网络关键节点的拥塞,不断触发窗口的慢启动过程,从而降低网络正常的传输能力
- 解决措施:实时监测并过滤网络异常流量
用户数据报协议(User Datagram Protocol,UDP)
- UDP Flood攻击:发送大量的UDP报文到攻击目标,从而使服务器无法提供正常服务(Dos攻击)
- 解决措施:实时监测并过滤网络异常流量
超文本传输协议(Hypertext Transfer Protocol,HTTP)
- 数据泄露:HTTP协议的数据是通过明文进行传输的,因此容易被攻击者获得传输数据
- 中间人攻击:HTTP协议没有提供差错检测机制,因此容易被篡改数据
- 防护措施:在HTTP协议和TCP协议之间增加安全层来增加安全性,从而实现身份认证、传输数据加密、数据完整性检验等
IPSec基本原理
IPSec(Internet Protocol Security)是一系列为IP网络提供安全性的协议和服务的集合,主要通过加密与验证等方式,为IP数据包提供安全服务。
- 数据来源验证:接收方验证发送方身份是否合法。
- 数据加密:发送方对数据进行加密,以密文的形式在Internet上传送,接收方对接收的加密数据进行解密后处理或直接转发。
- 数据完整性:接收方对接收的数据进行验证,以判定报文是否被篡改。
- 抗重放:接收方拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包所进行的攻击。