當前位置:首頁 > 公眾號精選 > 21ic電子網(wǎng)
[導(dǎo)讀]據(jù)2020年上半年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告顯示,惡意程序控制服務(wù)器、拒絕服務(wù)攻擊(DDoS)等網(wǎng)絡(luò)攻擊行為有增無減。時至今日,網(wǎng)絡(luò)攻擊已經(jīng)成為影響網(wǎng)絡(luò)信息安全、業(yè)務(wù)信息安全的主要因素之一。網(wǎng)絡(luò)攻擊是指利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對網(wǎng)絡(luò)系統(tǒng)的軟硬件及其系統(tǒng)數(shù)據(jù)進行攻擊的行...

據(jù)2020年上半年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告顯示,惡意程序控制服務(wù)器、拒絕服務(wù)攻擊(DDoS)等網(wǎng)絡(luò)攻擊行為有增無減。時至今日,網(wǎng)絡(luò)攻擊已經(jīng)成為影響網(wǎng)絡(luò)信息安全、業(yè)務(wù)信息安全的主要因素之一。

網(wǎng)絡(luò)攻擊是指利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對網(wǎng)絡(luò)系統(tǒng)的軟硬件及其系統(tǒng)數(shù)據(jù)進行攻擊的行為。TCP/IP協(xié)議作為網(wǎng)絡(luò)的基礎(chǔ)協(xié)議,從設(shè)計之初并沒有考慮到網(wǎng)絡(luò)將會面臨如此多的威脅,導(dǎo)致出現(xiàn)了許多攻擊方法。由于網(wǎng)絡(luò)中的通訊都源于數(shù)據(jù)包,通過對數(shù)據(jù)包的自動采集與解碼分析,可以快速發(fā)現(xiàn)與追溯網(wǎng)絡(luò)攻擊。

TCP/IP協(xié)議

業(yè)界通常將TCP/IP協(xié)議棧劃為四層:即鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。

  • 鏈路層主要用來處理數(shù)據(jù)在物理介質(zhì)(如以太網(wǎng)、令牌環(huán)等)的傳輸,實現(xiàn)網(wǎng)卡接口的網(wǎng)絡(luò)驅(qū)動程序;
  • 網(wǎng)絡(luò)層采用IP協(xié)議是整個協(xié)議棧的核心,其主要功能是進行數(shù)據(jù)包的選路和轉(zhuǎn)發(fā),實現(xiàn)網(wǎng)際互聯(lián)與擁塞控制等;
  • 傳輸層為主機間的應(yīng)用程序提供端到端的通信,該層定義了兩種協(xié)議即TCP與UDP;
  • 應(yīng)用層的主要功能是處理應(yīng)用程序的邏輯,比如文件傳輸、名稱查詢和網(wǎng)絡(luò)管理等,位于該層的協(xié)議有基于TCP協(xié)議的FTP文件傳輸協(xié)議、HTTP超文本傳輸協(xié)議和基于UDP協(xié)議的域名服務(wù)DNS等。
萬萬沒想到,TCP/IP?協(xié)議會有這么多漏洞!
TCP/IP協(xié)議模型層次結(jié)構(gòu)圖

由于 TCP/IP 協(xié)議有四層且每一層功能、協(xié)議各不相同,因此針對不同協(xié)議層攻擊方法也各不相同:

  • 針對鏈路層的攻擊,主要是對網(wǎng)絡(luò)硬件和基礎(chǔ)設(shè)施進行物理破壞或強行改變路由器路由;IP協(xié)議與ARP協(xié)議是網(wǎng)絡(luò)層最重要的兩個協(xié)議。
  • 針對網(wǎng)絡(luò)層的攻擊,主要有IP碎片攻擊、ARP 欺騙等;由于TCP協(xié)議與UDP協(xié)議是傳輸層最主要的兩個協(xié)議,因此針對傳輸層的攻擊非常多,包括DOS攻擊等;而應(yīng)用層的協(xié)議是整個協(xié)議棧最多的,因此針對該層的攻擊數(shù)量極為龐大,常見的如 DNS 欺騙等。

ARP攻擊

ARP(Address Resolution Protocol,地址解析協(xié)議),將網(wǎng)絡(luò)主機的 IP 地址解析成 MAC 地址,每臺主機設(shè)備上都擁有一個 ARP 緩存(ARP Cache),通過檢查自己的 ARP 緩存,然后進行判斷(如果有,可以直接映射;如果無,可以廣播 ARP 請求包);

之后檢查數(shù)據(jù)包中的目標 IP 地址是否與自己的IP地址一致,如果一致,可以發(fā)送 ARP 響應(yīng),告知 MAC 地址;

當源節(jié)點在收到 ARP 響應(yīng)數(shù)據(jù)包后,可以將得到的目標主機 IP 地址和 MAC 地址對映射表項添加至自己的 ARP 緩存中。


萬萬沒想到,TCP/IP?協(xié)議會有這么多漏洞!
ARP協(xié)議工作原理

ARP 攻擊就是通過偽造 IP 地址和 MAC 地址來實現(xiàn) ARP 欺騙,通過在網(wǎng)絡(luò)中制造大量的 ARP 通信量使網(wǎng)絡(luò)阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的 ARP 響應(yīng)包就能更改目標主機 ARP 緩存中的 IP-MAC 條目,造成網(wǎng)絡(luò)中斷或中間人攻擊,因此 ARP 攻擊通常也被稱作ARP欺騙。

盡管ARP攻擊僅能在以太網(wǎng)進行且門檻很低,造成的影響卻很大,比如會出現(xiàn)斷網(wǎng)攻擊、流量被限、賬號被盜等情況。網(wǎng)絡(luò)運維可以采取ARP防御機制,比如通過在交換機部署網(wǎng)絡(luò)鏡像,抓取可疑數(shù)據(jù)包分析,也可以結(jié)合DHCP偵聽、IP源防護等技術(shù),維護網(wǎng)絡(luò)安全。

DoS攻擊

TCP 協(xié)議是基于流的方式,面向連接的可靠通信方式,可以在網(wǎng)絡(luò)不佳的情況下降低系統(tǒng)由于重傳帶來的帶寬開銷。

具體來說,TCP連接的建立過程需要經(jīng)歷三個步驟,每一步同時連接發(fā)送端與接收端,俗稱“三次握手”:發(fā)送端發(fā)出SYN包,進入SYN_SENT狀態(tài),表明計劃連接的服務(wù)器端口以及初始序號,等待接收端確認;

接收端收到SYN包,發(fā)送SYN_ACK,對發(fā)送端進行確認,進入SYN_RECV狀態(tài);發(fā)送端收到SYN_ACK包,向接收端發(fā)送ACK,雙方連接建立完成。

萬萬沒想到,TCP/IP?協(xié)議會有這么多漏洞!
TCP三次握手

由于TCP協(xié)議是面向連接的傳輸控制協(xié)議,因此DoS攻擊的主要目的就是使用戶主機或網(wǎng)絡(luò)無法接收或處理外界請求。比如通過制造大流量的無用數(shù)據(jù),造成網(wǎng)絡(luò)擁塞,使被攻擊的主機無法和外界正常通信;

  • 利用重復(fù)連接缺陷,反復(fù)發(fā)送重復(fù)服務(wù)請求,使其無法正常處理其它請求;
  • 又或利用協(xié)議缺陷,反復(fù)發(fā)送攻擊數(shù)據(jù),占用主機或系統(tǒng)資源,導(dǎo)致死機等。
簡單來說,DoS(Denial of Service)拒絕服務(wù)攻擊通常使用數(shù)據(jù)包淹沒本地系統(tǒng),以打擾或嚴重阻礙本地的服務(wù)響應(yīng)外來合法的請求,使本地系統(tǒng)奔潰。

SYN flood 攻擊是最常見的 DoS 攻擊類型。攻擊者將自身 IP 源地址進行偽裝,向本地系統(tǒng)發(fā)送 TCP連接請求;

  • 本地系統(tǒng)回復(fù)SYN-ACK至偽裝地址,導(dǎo)致本地系統(tǒng)收不到RST消息,無法接收ACK回應(yīng),將一直處于半連接狀態(tài),直至資源耗盡。攻擊者發(fā)送連接請求速度比 TCP超時釋放資源速度更快,利用反復(fù)連接請求,導(dǎo)致本地服務(wù)無法接收其它連接。
  • 解決SYN flood 的最好方法就是做好防范策略,通過網(wǎng)絡(luò)性能管理工具,自動篩選可疑數(shù)據(jù)包,縮短 SYN Timeout 時間,設(shè)置 SYN Cookie,為每一個請求設(shè)置Cookie,如果短時間內(nèi)收到某個IP的重復(fù)SYN報文,就認定為攻擊,拋棄該IP地址。

DNS 攻擊

IP協(xié)議為了將數(shù)據(jù)信息包從原設(shè)備傳送到目的設(shè)備,需要依賴IP地址與IP路由器。IP地址是機器語言,通常較長,所以盡管IP地址具有唯一性,但是不方便記憶與使用,人們便在此基礎(chǔ)上發(fā)明了DNS。DNS(Domain Name System)即域名系統(tǒng),域名通常較短,兼具可讀性與實用性。由于域名與IP地址呈一一對應(yīng)關(guān)系,因此,上網(wǎng)時只需在地址欄輸入域名,系統(tǒng)會直接進行域名解析,將域名翻譯成IP地址。

在執(zhí)行完域名搜索后,域名服務(wù)器會保存域名記錄,每條記錄都會包含域名與IP地址。如果域名服務(wù)器的某條地址被人為修改,那么就可以人為操作用戶的訪問地址,這種行為被稱為“域名劫持”?!坝蛎俪帧钡氖甲髻刚呤怯蛎?wù)器提供商,因此目前解決該問題的有效方法是棄用或換用域名服務(wù)器。

除“域名劫持”外,還有另外一種常見的DNS攻擊叫做“域名污染”或“域名欺騙”。當電腦發(fā)送“域名查詢”至域名服務(wù)器后,域名服務(wù)器會將回應(yīng)發(fā)送回電腦,發(fā)送請求與接收信息是一個過程,中間會出現(xiàn)時間差,網(wǎng)絡(luò)攻擊會在接收信息前,偽造錯誤應(yīng)答至電腦,那么該信息即為錯誤IP。

安全建議

面對網(wǎng)絡(luò)攻擊,我們除了需要提高安全意識,積極盡責地維護系統(tǒng),加強防火墻設(shè)置外,還可以通過對數(shù)據(jù)包進行分析進而追溯網(wǎng)絡(luò)攻擊。

通過對網(wǎng)絡(luò)數(shù)據(jù)進行采集與解碼分析,掌握網(wǎng)絡(luò)中最細微的變化,針對網(wǎng)絡(luò)攻擊的特征值或者行為進行有效的告警信息配置,可以快速定位網(wǎng)絡(luò)中的攻擊。

來源:網(wǎng)絡(luò)版權(quán)歸原作者所有,如有侵權(quán),請聯(lián)系刪除。

21ic電子網(wǎng)

掃描二維碼,關(guān)注更多精彩內(nèi)容

本站聲明: 本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風險,如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉