⽹络安全——⽹络攻击原理(嗅探攻击、截获攻击、拒绝服务攻击)
摘要:
⽹络攻击是导致⽹络安全威胁的主要原因,嗅探攻击、截获攻击、拒绝服务攻击等是常见的⽹络攻击。⽹络攻击和⽹络安全是⽭盾的两个⽅⾯,但是了解⽹络攻击⼿段可以帮助我们更好地保护⽹络安全。嗅探攻击是被动攻击,主要是⿊客终端通过接⼊嗅探⽬标终端的信息传输路径,然后复制经过⽹络传输的信息;截获攻击是⼀种主动攻击,攻击⼿段是改变传输路径,但是⿊客终端可以对截获的消息进⾏篡改等操作;拒绝服务攻击也是主动攻击,主要是通过耗尽⽹络设备或服务器等资源,使其不能给正常客户端提供服务的⼀种攻击。这篇⽂章主要叙述三种攻击的攻击⽅法和防御思路。
⼀、⽹络攻击简述
1.1⽹络攻击定义:
⽹络攻击是指利⽤⽹络中存在的漏洞和安全缺陷对⽹络中的硬件、软件及信息进⾏的攻击、其⽬的是破坏⽹咯中信息的保密性、完整性、可⽤性、可控性和不可抵赖性,削弱甚⾄瘫痪⽹络的服务功能。
1.2⽹络攻击分类:oppok5
主动攻击:是指会改变⽹络中的信息、状态和信息流模式的攻击⾏为,并且可以破坏信息的保密性、完整性和可⽤性。
被动攻击:是指不会对经过⽹络传输的信息、⽹络状态和⽹络信息流模式产⽣影响的攻击⾏为,⼀般只破坏信息的保密性。
⼆、攻击⽅法与防御机制
2.1嗅探攻击
嗅探攻击的原理:⾸先⿊客终端加⼊嗅探⽬标终端的信息传输路径,以太⽹是⼀个⼴播型的⽹络,⿊客终端再利⽤嗅探器,将⾃⼰的以太⽹卡设置成杂收模式,然后⿊客终端就可以捕获以太⽹上所有的报⽂和帧。这种攻击不会影响⽹络中信息的正常传输过程,并且对⽹络和主机都是透明的。
嗅探攻击的三个后果:
1.破坏信息的保密性。⿊客终端嗅探到信息后,可以阅读、分析信息。
2.嗅探攻击是实现数据流分析攻击的前提,只有实现嗅探攻击才能对嗅探到的数据流进⾏统计分析。
崔丹尼尔
3.实施重放攻击。
防御机制:
对于通过集线器实施的嗅探攻击,需要有防⽌⿊客终端接⼊集线器的措施,对于通过交换机实施的攻击,⼀是需要有防⽌⿊客终端接⼊交换机的措施,⽽是交换机需要具有防御MAC表溢出攻击的机制。1.划分VLAN技术,将连接到交换上的所有主机逻辑分开,将他们之间的通信变为点到点的通信⽅式,2.在⽹络中布置⼊侵检测系统(IDS),以及防⽕墙等安全设备,针对对路由器和交换机的攻击进⾏识别。
对于⽆线通信过程,只能通过传输信息进⾏加密来防御。
2.2截获攻击
攻击原理:⿊客⾸先要改变正常通信终端之间的传输路径,使传输路径经过⿊客终端,称为传输路径上的⼀个中间站,若另外两个终端要进⾏信息传输就必须经过⿊客终端,然后⿊客终端就可以截获信
息,并且进⾏⼀些列操作。截获攻击⼜可以细分为MAC地址欺骗攻击、DHCP地址欺骗攻击、ARP欺骗攻击、⽣成树攻击、路由项欺骗攻击。
截获攻击后果:
1.获得⽤户的私密信息,⽐如⽤户名和⼝令之类的。
2.⿊客终端截获信息之后,可以篡改信息。
3.实施重放攻击。
2.2.1 MAC地址欺骗攻击:
1.⿊客终端⾸先接⼊到其中⼀个通信终端接⼊的交换机,
水冷空调2.⿊客终端将⾃⼰的MAC地址修改为攻击⽬标(终端A)的MAC地址(MAC A),
3.发送以攻击⽬标(终端A)为源MAC地址、以⼴播地址为⽬的MAC地址的MAC帧。
防御机制:
1.阻⽌⿊客接⼊以太⽹,
2.阻⽌⿊客终端发送的以伪造的MAC地址为源MAC地址的MAC帧进⼊以太⽹。
2.2.2 DHCP欺骗攻击:
攻击原理:终端在访问⽹络前必须配置⽹络信息,通过动态主机配置协议(DHCP)⾃动从DHCP服务器获取,所以为⿊客攻击提供了可能。
⿊客伪造⼀个DHCP服务器,并将其接⼊想要截获IP分组的局域⽹,然后将伪造的DHCP服务器的默认⽹关地址设置成⿊客终端的IP地址,该局域⽹内的终端通过伪造的DHCP服务器获得⽹络信息,其中默认⽹关地址是⿊客终端的地址,终端发送给其他⽹络的IP分组⾸先会发给⿊客终端。
防御机制:
以太⽹交换机端⼝对DHCP服务器进⾏验证,通过验证才能⼊以太⽹。
2.2.3 ARP欺骗攻击:
攻击原理:由于以太⽹中终端⽆法鉴别ARP请求报⽂、应答报⽂中给出的IP地址与MAC地址绑定项的真伪,此时如果⿊客终端想实施ARP 欺骗攻击,⿊客终端先⼴播⼀个ARP请求报⽂或者ARP应答报⽂,
然后将攻击⽬标的IP地址和⾃⼰的MAC地址绑定在⼀起,路由器接收到报⽂后,在缓冲区中记录攻击⽬标的IP地址和⿊客终端MAC地址的绑定项,当路由器需要转发⽬的地址为攻击⽬标的IP时,将该IP分组封装成以路由MAC为源MAC地址、⿊客终端MAC为⽬的MAC地址的MAC帧,这样⿊客终端就可以截获其他终端发给攻击⽬标的IP分组。
防御机制:
1.以太⽹交换机提供鉴别ARP报⽂中IP地址与MAC地址绑定项真伪的功能。
2.⽤静态ARP表
玩偶传说电影在线观看3.监控及早发现伪造主机
4.架设B/S结构服务器,使⽤SNMP协议远程管理整⽹的交换机,实现⾃动化检测。
5.服务器定期轮询汇聚层交换机的ARP缓存,如果出现ARP欺骗,由服务器通过SNMP协议远程⾃动关闭响应的端⼝。
6.开启定时器,过⼀段时间后⾃动关闭打开的端⼝。
2.2.4 ⽣成树协议欺骗攻击:
攻击原理:⿊客终端具有两个以太⽹接⼝,两个接⼝分别连接两台交换机,在⿊客终端中运⾏⽣成树协议,并配置很⼩的交换机优先级,其他交换机运⾏⽣成树协议过程中将⿊客终端当成根交换机,其他终端之间传输信息就会经过⿊客终端。
防御机制:
不允许⿊客终端参与⽹络⽣成树建⽴的过程。
2.2.5 路由项欺骗攻击:
攻击原理:如果⿊客终端想要截获路由器和通信⽬的⽹络之间的IP分组,则向路由器发送⼀项伪造的路由项,将该伪造路由项通往通信⽬的⽹络的距离设置为0,路由器接收到该路由项之后,选择⿊客终端作为通往通信⽬的⽹络的下⼀调,路由器会将所有发送给通信⽬的⽹络的IP分组转发给⿊客终端,⿊客终端便能截获消息。
防御机制:
1.验证消息源,对路由消息进⾏完整性检测。
2.利⽤公钥和哈希函数
2.3拒绝服务攻击
拒绝服务攻击就是利⽤某种⽅法耗尽⽹络设备、链路或服务器资源,使其不能正常提供服务的⼀种攻击⼿段。
拒绝服务攻击⼜分为SYN泛洪攻击、Smurf攻击、DDoS攻击等。
2.3.1 SYN泛洪攻击
攻击原理:终端在访问web服务器之前需先建⽴与web服务器之间的TCP连接,web服务器在会话列表中为每⼀个TCP连接创建⼀项连接项,SYN泛洪攻击就是通过快速消耗掉Web服务器TCP会话表中的连接项,⿊客终端伪造多个不存在的IP地址,请求建⽴与Web服务器之间的TCP连接,服务器能收到请求报⽂,但是不能收到响应报⽂,使得正常的TCP连接建⽴过程会因为会话列表中连接项耗尽⽽⽆法正常进⾏。
防御机制:
1.缩短SYN的Timeout时间
2.设置SYN Cookie
3.负反馈策略,设置半连接阈值
4.退让策略,迅速更换⾃⼰的IP地址,防⽌⼀台“牺牲”服务器
5.分布式DNS负载均衡
生意兴隆的祝福语6.利⽤防⽕墙
2.3.2 Smurf攻击
攻击原理:该攻击是通过ICMP ECHO报⽂进⾏的,⿊客终端随机选择⼀个IP地址作为⽬的IP地址,向该IP地址终端发送ICMP ECHO请求报⽂,但是该请求报⽂的的源IP地址是攻击⽬标的IP地址,⽬的地址为之前随机选择的IP地址,该⽬的地址终端收到请求报⽂之后就会向攻击⽬标发送报⽂。为了放⼤攻击效果,⿊客终端要在所连接的⽹络中⼴播⼀个ICMP ECHO请求报⽂,该请求报⽂被封装成源IP为攻击⽬标的IP地址,以全1的⼴播地址为⽬的地址的IP分组。然后该分组到达⽹络内的所有终端,⽹络内所有接到该ICMP ECHO请求报⽂的终端都会向该攻击⽬标终端发送响应报⽂,⿊客终端的攻击报⽂就被放⼤了。
防御机制:
1.阻⽌伪造源IP地址的IP分组在⽹络中继续传输
2.路由器阻⽌以直接⼴播地址为⽬的地址的IP分组在⽹络中继续转发
3.防⽌从⽹络内部发起攻击,路由器上使⽤输出过滤
4.防⽌⽹络成为中间代理
2.3.3 DDoS攻击
攻击原理:分布式拒绝服务攻击,攻击者先通过其他攻击⼿段攻陷⼤量主机系统,并植⼊攻击程序,接下来分为直接DDoS攻击和间接DDoS攻击。直接DDoS攻击通过植⼊“⾁鸡”的程序产⽣⼤量⽆⽤的⽤户数据报协议(UDP)报⽂或ICMP ECHO请求报⽂,并将这些报⽂直接发送给攻击⽬标,使⽬标丧失服务功能;间接DDoS攻击⽤随机产⽣的⼤量IP地址为⽬的IP地址、以攻击⽬标的IP地址作为源IP地址构建ICMP ECHO请求报⽂,这些报⽂到达⽬的端后会产⽣⼤量的应答报⽂到达攻击⽬标,使攻击⽬标连接⽹络的链路发⽣过载、处理器等资源耗尽,最终不能和其他端正常通信。
防御机制:
1.⽹络中的主机能够防御病毒和⿊客⼊侵
2.主机系统拒绝响应ICMP ECHO请求报⽂怎么打开隐藏文件
3.通过⽹络对ICMP ECHO响应报⽂的统计,如果单位时间内出现相同IP地址的ICMP ECHO响应报⽂或者ICMP差错报告报⽂的数量超过设定的阈值,⽹络就丢弃部分响应报⽂或者ICMP差错报告报⽂