TCP/IP网络协议攻击
一、协议栈攻击
1、网络安全属性:机密性、完整性、可用性。网络安全的其他属性:真实性、不可抵赖性。
2、网络攻击基本模式:(被动)截获、(主动)中断、篡改和伪造。
3、TCP/IP网络协议栈的分层模型:网络接口层、互联网层、传输层和应用层。针对不同的层出现了不同的攻击技术。
4、原始报文伪造技术以及工具:原始套接字(raw socket)、netwox、netwag
二、网络层协议欺骗
1、IP源址欺骗:
原理:只使用数据包中的目标地址进行路由转发,而不对源地址进行真实性的验证。
步骤:对受信任的主机进行拒绝服务攻击、对目标主机的TCP初始序列号(ISN)进行取样和猜测、伪造源地址为受信任的主机IP的SYN数据包发送给主机、等待目标主机将SYN/ACK包发给已经瘫痪的受信任的主机、再次伪装成被信任的目标主机发送ACK包、建立连接。
应用场景:拒绝服务攻击中
工具:netwox、wireshark、nmap
防范措施:使用随机化的初试序列号、使用网络层安全传输协议、避免采用基于IP地址的信任策略、在路由器和网关上实施包过滤。
2、ARP欺骗
原理:攻击者在有线以太网或者无线网上发送伪造ARP消息,对特定IP所对应的MAC地址进行假冒欺骗,从而达到恶意目的的攻击技术
应用场景:交换式网络、构造中间人攻击、恶意代码即为ARP病毒
工具:DSniff中的Arpspoof、arpison、Ettercap、netwox
防范措施:静态绑定关键主机的IP地址和MAC地址映射关系、使用相应的ARP防范工具、使用VLAN虚拟子网细分网络拓扑、加密是传输数据。
3、ICMP路由重定向攻击
ICMP报文类型:差错报告类(目的站不可达、数据报超时、数据包参数错误)、控制类报文(请求/应答类和通知类)
原理:利用ICMP路由重定向报文改变主机路由表,向目标主机发送重定向消息,伪装成路由器,使得目标机器的数据报文发送至攻击机从而加强监听。
工具:netwox
防范措施:根据类型过滤一些ICMP数据包,设置防火墙过滤,对ICMP重定向报文判断是不是来自本地路由器的。
三、传输层协议攻击
1、TCP RST攻击:伪造TCP重置报文攻击,假冒干扰TCP通信连接的技术方法。
2、TCP会话劫持攻击:劫持通信双方已经建立的连接,假冒其中一方的身份与另一方进行进一步通信。
防范措施:禁用主机上的源路由、采用静态绑定IP-MAC映射表以及避免ARP欺骗,引用和过滤ICMP重定向报文。
3、TCP SYN Flood拒绝服务攻击:难防御,目的是使服务器不能正常访问的用户提供服务。又称为SYN洪泛工具
防范措施:SYN-Cookie技术、防火墙地址状态监控技术。
4、UDP Flood:通过目标主机和网络发送大量的UDP数据包,造成目标主机显著的计算负载提升,或者目标网络的网络拥塞,从而使得目标主机和网络陷入不可用的状态,造成拒绝服务攻击。
防范措施:禁用或过滤监控和响应服务、禁用或过滤其他的UDP服务等。
网络安全防范技术
一、安全模型
1、可信任计算机系统评估准则(TCSEC)
2、动态可适应网络安全模型基于闭环控制理论:PDR模型、P2DR模型。
PDR模型:基于时间的动态安全模型
P2DR模型:网络安全+根据风险分析定制的安全策略+执行安全防护策略+实时检测+实时响应。
二、网络安全防范技术与系统
1、防火墙:认识防火墙关键特性,合理部署和配置防火墙。
2、防火墙技术:包过滤(网络层)、电路级网关(传输层)和应用层代理(应用层)技术。
3、防火墙功能:检查控制进出网络的网络流量、防止脆弱和不安全的协议和服务、防止内部网络信息的外泄、对网络存取和访问进行监控审计、防火墙可以强化网络安全策略并集成其他安全防御机制。
4、网络边界防护机制而先天无法防范的安全威胁:来自网络内部的安全威胁、通过非法外联的网络攻击、计算机病毒传播。
5、技术瓶颈问题而无法有效防范的安全威胁:针对开放服务安全漏洞的渗透攻击、针对网络客户端程序的渗透攻、基于隐蔽通道进行通信的特洛伊木马或僵尸网络。
6、防火墙技术和产品:包过滤技术、基于状态检测的包过滤技术、代理技术(应用层代理技术、电路级代理技术、NAT代理技术)、防火墙产品(集成包过滤功能的路由器、基于通用操作系统的防火墙软件产品、基于安全操作系统的防火墙)
7、防火墙的部署方法:包过滤路由器、双宿主堡垒主机、屏蔽主机屏蔽子网。
8、netfilter/iptables的NAT机制:IP伪装、SNAT机制、DNAT机制。
9、其他网络防御技术:VPN、内网安全管理、内容管理SCM、统一威胁管理。
网络检测技术与系统
1、入侵分类:外部渗透者、假冒者、违法者、秘密用户。
2、入侵检测技术评估指标:参数(检测率和误报率)
3、入侵检测技术:误用检测、异常检测
4、Snort:功能:数据包嗅探、数据包记录和分析、以及各种入侵检测功能。组成部分:数据包嗅探(解码器)、预处理器、检测引擎、输出模块。
5、网络安全事件相应过程中涉及的关键技术包括:计算机取证、攻击追溯与归因、备份回复与灾难回复等。