标签：网络安全 攻击 主机 报文 MAC 概述 攻击者 ICMP

一、TCP/IP协议安全（IPv4安全隐患）

1、不提供认证服务

2、明文传输，不提供数据保密性服务

3、不提供数据完整性保护

4、不提供抗抵赖服务（抗抵赖性：不可否认性，即由于某种机制的存在，不能否认自己发送信息的行为和信息的内容）

 

二、TCP/IP协议栈常见安全风险

物理层：物理破坏、线路侦听

数据链路层：MAC欺骗、MAC泛洪、ARP欺骗

网络层：IP欺骗、Smurf攻击、ICMP攻击、地址扫描

传输层：TCP欺骗、TCP拒绝服务攻击、UDP拒绝服务攻击、端口扫描

应用层：漏洞、缓存区溢出攻击、WEB攻击、病毒、木马

 

三、典型安全风险与攻击手段分析

1、线路侦听

物理层设备：抓取如集线器或中继器这样的设备的数据即可获取该网络的通信数据信息

无线网络：由于数据信息由无线信号传输，无线网络数据的保护需要通过安全加密协议来保障

侦听是以太网黑客惯用的手段，是基于数据传输进行攻击的基础。发起攻击的主机使用配置为混杂模式的网卡，可以监听到同一物理网段内所有的报文。使用明文方式进行验证的协议（SNMP/POP3/Telnet/...）,用户名和口令会泄露；使用明文进行传送的报文，其内容会泄露，报文头中的内容也可能被利用

 

 2、MAC欺骗

MAC欺骗是一种链路层攻击技术，攻击者将自己设备的MAC地址更改为受信任系统的地址，欺骗其他系统的行为

可通过在交换机上将设备与互联的出接口进行静态绑定，可以避免MAC欺骗攻击风险

 

3、MAC泛洪

正常情况，交换机通过学习MAC建立MAC地址表，使数据帧只在主机相连的端口间转发，其他端口并不能接收到这些数据帧，降低了数据包被监听的风险

但攻击者通过发送大量伪造源地址的数据帧，让交换机学习到大量错误的MAC转发表项；当交换机的MAC转发表项数量达到上线后，从而泛洪到VLAN内的所有其他端口。这样就可以实现报文侦听

 当网络中实施MAC泛洪攻击，会导致网络的可用性降低。原因是当MAC地址表达到上限后，数据帧会通过CPU进行“软转发”，而导致交换机的转发性能大幅下降；并且数据帧在VLAN内的所有端口间泛洪，占用了大量的网络带宽

 可在交换机上配置MAC地址静态表项，或限制交换机每个端口的MAC地址学习数量，可降低交换机遭受MAC泛洪攻击的风险

 

4、ARP欺骗

ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议

缺陷：设备只考虑如何将IP地址映射到MAC地址，而不会对这个映射关系进行验证；主机只会将新的映射关系记录下来，替换原有ARP缓存表

在ARP欺骗攻击过程中，攻击者会向被攻击主机发送伪造的ARP回应报文，报文中包含了一个错误的MAC地址与IP地址的映射关系。被攻击主机根据这个ARP回应报文，建立一个错误的MAC地址与IP地址的映射关系。被攻击主机根据这个ARP回应报文，建立一个错误的映射并保存一段时间，在这个时间段内，被攻击主机发出的报文就会被转给攻击者。

如果攻击者一直持续攻击行为，数据流就可能被一直误导下去。如果攻击者攻击网络出口路由器，使路由器中ARP表项错误，则会造成所有主机无法访问外网。如果攻击者将出口路由器IP和一个不存在的MAC地址进行映射，即可以导致业务流量的请求方受到拒绝服务的攻击

 如上面的分析，ARP欺骗攻击行为会导致两种常见的网络故障，一种是攻击主机作为“中间人”，被攻击主机的数据都会被它窃取；另一种是使被攻击主机无法访问网络

配置IP和MAC静态绑定是防范ARP欺骗攻击的常用方法

 

5、IP欺骗攻击

IP欺骗指攻击者产生伪造源IP地址的IP报文，以便冒充其它系统或发件人的身份

IP欺骗可使攻击者试图隐藏自己，通过伪造自身的IP地址向目标系统发送恶意请求，造成目标系统受到攻击后无法确认攻击源，或取得目标系统信任已便获取机密信息

 

IP欺骗攻击常见的场景：

场景一：攻击者通过IP欺骗隐藏自己，这种场景常用于DDoS攻击（分布式拒绝服务攻击：处于不同未知的多个攻击者同时向一个或数个目标发送攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的出发点是分布在不同地方的，这种攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个）

场景二：攻击者通过IP欺骗来窃取数据，例如原本A主机信任B主机，也就是B可以畅通无阻地获取A的数据资源。而攻击主机C为了能同样获取到A的数据，就需要伪装成B去和A通信。这时C需要做两件事，第一是想办法让B“把嘴堵上”，不再向A发送请求，比如向B主机发起DDoS攻击，占用B的连接使其无法正常发出报文；第二是伪造包含B的源IP的数据包，从而假冒B和A交互以达到窃取数据的目的

欺骗的防范：目标设备采取更强有力的认证措施（如加强口令等），而不仅仅根据源IP就信任来访者；另一方面可以采用健壮的交互协议以提高伪装源IP的门槛

 

6、Smurf攻击

攻击者发出ICMP应答请求，该请求的目标地址设置为受害网络的广播地址，这样该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞

另外，还有针对特定主机的Smurf攻击，方法是将上述ICMP应答请求的源地址改为受害主机的地址，最终导致受害主机雪崩。攻击报文的发送需要一定的流量和持续时间，才能真正构成攻击。理论上讲，网络的主机越多，攻击的效果越明显。

针对Smurf攻击，可以在路由器上配置检查ICMP应答请求包的目的地址是否为子网广播地址或子网的网络地址，如果是，则路由器直接拒绝该报文

 

7、ICMP重定向和不可达攻击

ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下，当路由器检测到一台机器使用非优化路由器的时候，他会向该主机发送一个ICMP重定向报文，请求主机改变路由，路由器也会把初始数据报文向正确的网关。ICMP虽然不是路由协议，但是有时它也可以指导数据报文的流向，使数据流向正确的网关。ICMP协议通过ICMP重定向向数据报文达到这个目的。ICMP重定向攻击是攻击机主动向受害人主机发送ICMP重定向数据包，使受害人主机数据包无法发送到正确的网关，以达到攻击的目的。ICMP重定向攻击既可以从局域网内发起，也可以从广域网上发起

 

 

8、IP地址扫描攻击

9、端口扫描攻击

10、TCP拒绝服务-SYN Flood攻击

11、UDP拒绝服务-UDP Flood攻击

12、WEB攻击

 

2021/06/07 10：58

ps.犯困了，先不更了

 

标签：网络安全,攻击,主机,报文,MAC,概述,攻击者,ICMP
来源： https://www.cnblogs.com/hunmengxian/p/14857988.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。