网络接口层的安全威胁
在网络中,flooding是指从任何节点通过一个路由器发送的信息包会被发送给与该路由器相连的所有其他节点(除了发送信息包出来的那个节点)。
在典型的mac flooding中,攻击者能让目标网络中的交换机不断泛洪大量不同源mac地址的数据包,导致交换机内存不足以存放正确的mac地址和物理端口号相对应的关系表。如果攻击成功,交换机会进入failopen模式,所有新进入交换机的数据包会不经过交换机处理直接广播到所有的端口(类似hub集线器的功能)。攻击者能进一步利用嗅探工具(例如wireshark)对网络内所有用户的信息进行捕获,从而能得到机密信息或者各种业务敏感信息。
损坏:自然灾害、动物破坏、老化、误操作
干扰:大功率电器/电源线路/电磁辐射
电磁泄漏:传输线路电磁泄漏
搭线窃听:物理搭线
欺骗:arp欺骗
嗅探:常见二层协议是明文通信的(以太、arp等)
拒绝服务:macflooding,arpflooding等
互联网网络层
译名为传输控制协议/因特网互联协议,又名网络通讯协议,是internet最基本的协议、internet国际互联网络的基础,由网络层的ip协议和传输层的tcp协议组成。
tcp/ip定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准。协议采用了4层的层级结构,每一层都呼叫它的下一层所提供的协议来完成自己的需求。通俗而言:tcp负责发现传输的问题,一有问题就发出信号,要求重新传输,直到所有数据安全正确地传输到目的地。而ip是给因特网的每一台联网设备规定一个地址。
ip协议简介:
ip协议是用于将多个包交换网络连接起来的,它在源地址和目的地址之间传送一种称之为数据包的东西,它还提供对数据大小的重新组装功能,以适应不同网络对包大小的要求。
ip实现两个基本功能:寻址和分段。ip可以根据数据包包头中包括的目的地址将数据报传送到目的地址,在此过程中ip负责选择传送的道路,这种选择道路称为路由功能。如果有些网络内只能传送小数据报,ip可以将数据报重新组装并在报头域内注明。ip模块中包括这些基本功能,这些模块存在于网络中的每台主机和网关上,而且这些模块(特别在网关上)有路由选择和其它服务功能。对ip来说,数据报之间没有什么联系,对ip不好说什么连接或逻辑链路。
互联网层网络安全威胁
传输层
ip分片技术
以太网的mtu是1500,你可以用 netstat -i 命令查看这个值。如果ip层有数据包要传,而且数据包的长度超过了mtu,那么ip层就要对数据包进行分片(fragmentation)操作,使每一片的长度都小于或等于mtu。我们假设要传输一个udp数据包,以太网的mtu为1500字节,一般ip首部为20字节,udp首部为8字节,数据的净荷(payload)部分预留是1500-20-8=1472字节。如果数据部分大于1472字节,就会出现分片现象。
ip分片攻击
如果有意发送总长度超过65535的ip碎片,一些老的系统内核在处理的时候就会出现问题,导致崩溃或者拒绝服务。另外,如果分片之间偏移量经过精心构造,一些系统就无法处理,导致死机。所以说,漏洞的起因是出在重组算法上。pingo‘ death是利用icmp协议的一种碎片攻击。攻击者发送一个长度超过65535的echorequest数据包,目标主机在重组分片的时候会造成事先分配的65535字节缓冲区溢出,系统通常会崩溃或挂起。ping不就是发送icmpecho request数据包的吗?让我们尝试攻击一下吧!不管ip和icmp首部长度了,数据长度反正是多多益善,就65535吧
ip数据包
数据包的结构:数据包的结构非常复杂,不是三言两语能够说清的,在这里主要了解一下它的关键构成就可以了,这对于理解tcp/ip协议的通信原理是非常重要的。数据包主要由“目的ip地址”、“源ip地址”、“净载数据”等部分构成,包括包头和包体,包头是固定长度,包体的长度不定,各字段长度固定,双方的请求数据包和应答数据包的包头结构是一致的,不同的是包体的定义。数据包的结构与我们平常写信非常类似,目的ip地址是说明这个数据包是要发给谁的,相当于收信人地址;源ip地址是说明这个数据包是发自哪里的,相当于发信人地址;而净载数据相当于信件的内容。正是因为数据包具有这样的结构,安装了tcp/ip协议的计算机之间才能相互通信。我们在使用基于tcp/ip协议的网络时,网络中其实传递的就是数据包。理解数据包,对于网络管理的网络安全具有至关重要的意义。
我们可以用一个形象一些的例子对数据包的概念加以说明:我们在邮局邮寄产品时,虽然产品本身带有自己的包装盒,但是在邮寄的时候只用产品原包装盒来包装显然是不行的。必须把内装产品的包装盒放到一个邮局指定的专用纸箱里,这样才能够邮寄。这里,产品包装盒相当于数据包,里面放着的产品相当于可用的数据,而专用纸箱就相当于帧,且一个帧中只有一个数据包。“包”听起来非常抽象,那么是不是不可见的呢?通过一定技术手段,是可以感知到数据包的存在的。 就是用数据包捕获软件iris捕获到的数据包的界面图,在此,大家可以很清楚地看到捕获到的数据包的mac地址、ip地址、协议类型端口号等细节。通过分析这些数据,网管员就可以知道网络中到底有什么样的数据包在活动了。
tcp/udp协议
面向连接的tcp协议:
tcp(transmissioncontrol protocol,传输控制协议)是基于连接的协议,也就是说,在正式收发数据前,必须和对方建立可靠的连接。一个tcp连接必须要经过三次“对话”才能建立起来,也就是所谓的”tcp的三次握手”。
面无连接的udp协议:
udp(userdata protocol,用户数据报协议)是与tcp相对应的协议。它是面向非连接的协议,它不与对方建立连接,而是直接就把数据包发送过去!
“面向连接”就是在正式通信前必须要与对方建立起连接。比如你给别人打电话,必须等线路接通了、对方拿起话筒才能相互通话。
tcp的三次握手:
其中的过程非常复杂,我们这里只做简单、形象的介绍,你只要做到能够理解这个过程即可。我们来看看这三次对话的简单过程:主机a向主机b发出连接请求数据包:“我想给你发数据,可以吗?”,这是第一次对话;主机b向主机
a发送同意连接和要求同步(同步就是两台主机一个在发送,一个在接收,协调工作)的数据包:“可以,你什么时候发?”,这是第二次对话;主机a再发出一个数据包确认主机b的要求同步:“我现在就发,你接着吧!”,这是第三次对话。三次“对话”的目的是使数据包的发送和接收同步,经过三次“对话”之后,主机a才向主机b正式发送数据。
“面向非连接”就是在正式通信前不必与对方先建立连接,不管对方状态就直接发送。与手机短信非常相似:你在发短信的时候,只需要输入对方手机号就ok了。
tcp:ftphttp pop imap smtp telnet ssh
udp
q聊天,在线视频rtsp,网络语音电话voip
第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入syn_sent状态,等待服务器确认;syn:同步序列编号(synchronize sequence numbers)。第二次握手:服务器收到syn包,必须确认客户的syn(ack=j+1),同时自己也发送一个syn包(syn=k),即syn+ack包,此时服务器进入syn_recv状态;第三次握手:客户端收到服务器的syn+ack包,向服务器发送确认包ack(ack=k+1),此包发送完毕,客户端和服务器进入established(tcp连接成功)状态,完成三次握手。完成三次握手,客户端与服务器开始传送数据。
传输层的安全威胁
在网络中,flooding是指从任何节点通过一个路由器发送的信息包会被发送给与该路由器相连的所有其他节点(除了发送信息包出来的那个节点)。
在典型的mac flooding中,攻击者能让目标网络中的交换机不断泛洪大量不同源mac地址的数据包,导致交换机内存不足以存放正确的mac地址和物理端口号相对应的关系表。如果攻击成功,交换机会进入failopen模式,所有新进入交换机的数据包会不经过交换机处理直接广播到所有的端口(类似hub集线器的功能)。攻击者能进一步利用嗅探工具(例如wireshark)对网络内所有用户的信息进行捕获,从而能得到机密信息或者各种业务敏感信息。
拒绝服务:syn flood/udp flood/smurf欺骗:tcp会话劫持窃听:嗅探伪造:数据包伪造
应用层的安全威胁
域名解析:dns电子邮件:smtp/pop3文件传输:ftp网页浏览:http……
拒绝服务:超长url链接欺骗:跨站脚本、钓鱼式攻击、cookie欺骗窃听:嗅探伪造:应用数据篡改暴力破解:应用认证口令暴力破解等……
以上就是小编为大家带来的网络安全基础之网络协议与安全威胁介绍,希望能对您有所帮助,小伙伴们有空可以来网站,我们的网站上还有许多其它的资料等着小伙伴来挖掘哦!
如对本文有疑问, 点击进行留言回复!!
麦咖啡 (mcafee) VSE 8.5 防止Serv-U提权
mcafee 打造安全的windows服务器 安全设置图文说明
利用麦咖啡(McAfee)对服务器Web站点进行有效安全设置与管理
我要评论
网友评论