CISP-PTE笔记

协议栈攻击分类

1.协议栈自身的脆弱性

​ 1）缺乏数据源验证机制

​ 2）缺乏完整性验证机制

​ 3）缺乏机密性验证机制

2.网络接口层攻击

3.网络层攻击

4.应用层攻击

网络攻击的基本模式

被动威胁（不影响通信双方）

截获（机密性）

​ 嗅探（sniffing），监听（eavesdropping）

主动威胁（影响通信双方）

篡改（完整性）

​ 数据包篡改（tampering）

中断（可用性）

​ 拒绝服务（dosing）

伪造（真实性）

​ 欺骗（spoofing）

物理层——设备破环，监听

物理设备破坏

指攻击者直接破坏网络的各种物理设施，比如服务器设施，或者网络的传输通信设施等

设备破坏攻击的目的主要是为了中断网络服务

物理设备窃听

光纤监听，红外监听

链路层——MAC泛洪

MAC 泛洪

交换机中存在着一张记录着 MAC 地址的表，为了完成数据的快速转发，该表具有自动学习机制：泛洪攻击即是攻击者利用这种学习机制不断发送不同的 MAC 地址给交换机，填满整个 MAC 表，此时交换机只能进行数据广播，攻击者凭此获得信息。

MAC泛洪防护

给交换机的的每个端口限制主机的数量，当一个端口学习的 MAC 数量超过这个限制的数量，则将超出的 MAC 地址舍弃。

​ 1.[Quidway-Ethernet0/0/1]port-security enable //开启接口安全功能

​ 2.[Quidway-Ethernet0/0/1]port-security sticky //开启接口粘滞 MAC 地址功

​ 3.[Quidway-Ethernet0/0/1]port-security protect-action protect //接口安全功能的保护动作

​ 4.[Quidway-Ethernet0/0/1]port-security max-mac-num 20 //接口 MAC 地址学习限制数

规定端口能够通过什么样的 MAC 地址和学习什么样的 MAC 地址

对超过一定数量的 MAC 地址进行违背规则处理

网络层——IP欺骗，Smurf攻击

IP欺骗

IP地址欺骗是指行动产生的 IP 包为伪造的源IP地址，以便冒充其它系统和发件人的身份。这是一种黑客的攻击形式，黑客使用一台计算机上网，而借用另外一台机器的 IP 从而冒充另外一台机器与服务器打交道。

按照 lnternet Protocol网络互联协议，数据包头包含来源地和目的地信息。而 IP 地址欺骗，就是通过伪据数据包包头，使显示的信息源不是实际的来源，就像这个数据包是从另一台计算机发送的

Smurf攻击

· Smurf攻击是DDOS攻击的一种, 它主要通过IP欺骗和ICMP请求来占用被攻击主机资源， 使其网络拥塞停止服务。
· Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求( ping)数据包，来淹没受害主机， 最终导致该网络的所有主机都对此ICMP应答请求做出答复， 导致网络阻塞。更加复杂的 Smurf将源地址改为第三方的受害者， 最终导致第三方崩溃。

Smurf攻击检测与防护

·ICMP应答风暴的检测

​ 对网络进行监控和统计发现，若出现 Smurf攻击， 则会出现大量的echo报文。由于存在 echo应答风暴， echo报文在所有报文中所占的比例大大增加。如果出现这种情况， 就可能遭到了 Smurf攻击。

·报文丢失率和重传率的上升

​ 由于 echo风暴造成网络负载过重，会出现大量报文丢失和报文重传现象。若有明显的报文丢失率和重传率上升现象， 就有可能遭到了 Smurf攻击。

·常出现意外的连接重置的现象

​ 在受到 Smurf攻击时，由于网络重载，会使其它的网络连接出现意外的中断或重置的现象。如反复出现意外的中断或重置， 也可能受到了 Smurf攻击。

防范措施

配置路由器禁止IP广播包进入网络中
配置网络上所有计算机的操作系统，禁止对目标地址为广播地址的ICMP包响应。
被攻击目标与ISP协商，有ISP暂时阻止这些流量。
对于从本网络向外部网络发送的数据包，本网络应该将其源地址为其他网络的这部分数据包过滤掉。

传输层——TCP SYN Flood攻击

TCP SYN Flood攻击

SYN 报文是 TCP 连接的第一个报文，攻击者通过大量发送 SYN 报文，造成大量未完全建立的 TCP 连接，占用被攻击者的资源。

TCP SYN Flood攻击防护

·丢包模式，利用TCP重传机制，丢弃首个Syn包
·反向探测，即向Client发送探测包。
·代理模式，即Syn Proxy，也可以防火墙等设备做代理

应用层——缓冲区溢出攻击，Web攻击

缓冲区溢出攻击

攻击软件系统的行为中，最常见的一种方法
可以从本地实施，也可以从远端实施
利用软件系统(操作系统，网络服务，应用程序)实现中对内存操作的缺陷，以高操作权限运行攻击代码
漏洞与操作系统和体系结构相关，需要攻击者有较高的知识/技巧

Web攻击

常见的WEB攻击

对客户端
含有恶意代码的网页，利用浏览器的漏洞，威胁本地系统

对Web服务器

利用Apache/IIS…的漏洞
利用CGI实现语言(PHP/ASP/Perl…)和实现流程的漏洞

XSS/SQL/CSRF/上传漏洞/解析漏洞…

通过Web服务器，入侵数据库，进行横向渗透