南宁手机建站公司,wordpress目录地址,wordpress缩略图延时加载,网站弹出广告的是怎么做的Internet协议的安全性 文章目录 Internet协议的安全性1. 网络层1. IP*62. ARP*33. ICMP * 3 2. 传输层协议1. TCP1. * SYN-Flood攻击攻击检测* 防御 2. TCP序号攻击攻击 3. 拥塞机制攻击 2. UDP 3. 应用层协议1. DNS攻击*3防范*3: 2. FTP3. TELNET: 改用ssh4. 电子邮件1. 攻击2…Internet协议的安全性 文章目录 Internet协议的安全性1. 网络层1. IP*62. ARP*33. ICMP * 3 2. 传输层协议1. TCP1. * SYN-Flood攻击攻击检测* 防御 2. TCP序号攻击攻击 3. 拥塞机制攻击 2. UDP 3. 应用层协议1. DNS攻击*3防范*3: 2. FTP3. TELNET: 改用ssh4. 电子邮件1. 攻击2. 防御 4. 路由协议1. RIPRIP流程复习协议缺陷攻防 2. OSPFOSPF流程复习协议缺陷 3. BGPBGP复习协议缺陷 1. 网络层
1. IP*6
攻击原理防御IP源地址欺骗IP不认证源IP高层认证 如IPsec的IKE定向广播IP协议支持定向广播禁止定向广播监听IP无加密加密 如IPsec的ESP完整性破坏IP仅CRC校验首部完整性校验 如IPsec的AH和ESPIP源路由选项IP支持指定往返路由路由器禁止源路由选项IP分片攻击大包攻击碎片攻击头放几片里可以绕过包过滤分片重叠不发完DoS先重组不分片 序号如IPsec
2. ARP*3
攻击原理防御ARP欺骗做中间人静态ARP 永久ARP下面一样ARP重定向不停告诉别人我是网关MAC flooding给交换机狂发占满表 交换机变集线器不知道
3. ICMP * 3
攻击原理ICMP没有验证可以伪造防御针对带宽DoS狂ping允许单方向ping针对连接DoS发假的不可达终止连接阻止一些类型的ICMPICMP重定向利用重定向改变主机路由表自己伪装成路由器常和IP源地址欺骗结合阻止一些类型的ICMP
2. 传输层协议
1. TCP
1. * SYN-Flood攻击
攻击 原理 属于语义DoS攻击利用协议缺陷狂发SYN形成一堆半连接 根据源地址欺骗随机伪造子网伪造固定伪造有放大攻击DNS请求和响应大小远不同反射攻击(固定伪造) 防止SYN返回报文攻击到自己的方式就是源地址伪造
检测
半开连接检测新建连接速率检测检测不活动连接
* 防御 源地址过滤 释放无效连接检测半开和不活动连接释放 延缓TCB分配收到SYN后分配的资源叫TCB 代理服务器(也算延缓TCB) SYN proxy窗口设为0 SYN cache 用cache存半连接 SYN cookie cookie 第三次开TCB Safe reset cookie 第三次发rst重连后续不代理
2. TCP序号攻击
攻击
TCP只有基于序号的认证认证很弱如果能猜到序号人家就相信
先dos冒充对象
再连接攻击者来试探序号
再正式建立连接 3. 拥塞机制攻击
故意制造拥塞
防护:网关实时检测异常流量
2. UDP
攻击基于缺陷UDP Flood是暴力DoS,没有拥塞控制UDP欺骗没有连接没有认证
3. 应用层协议
1. DNS
攻击*3
DNS污染: 攻击DNS服务器
DNS欺骗: 假装DNS服务器
DNS中毒: 伪装其他服务器对DNS服务器响应
防范*3: 基于地址认证 不把秘密信息放在主机名里 DNSsec
2. FTP
攻击防御明文传输登录用户名、密码以及传输内容都明文传输易被窃听使用SFTP1. 加密2. 采用SSH(port22)避免开大量数据连接端口两种方向的数据连接PORT开放端口导致访问控制失效禁止PORT,只允许PASVFTP反弹攻击攻击者在PORT命令中指定特定的IP地址和端口号参数将数据发送的第三方限制PORT指定的IP和port 或者关闭PORT用户权限限制问题如果FTP用户权限限制不合理会导致授权访问不用root运行匿名FTP问题全球可读写的目录常用来存储和发布盗版软件或其它违法的软件或数据只读,取消匿名
3. TELNET: 改用ssh
无加密,无完整,无认证
4. 电子邮件
SMTP明文, 无认证
1. 攻击 邮件炸弹: 挤爆邮箱 垃圾邮件: 垃圾内容 社工
2. 防御
反垃圾: 过滤等
4. 路由协议
1. RIP
RIP流程复习
探寻邻居 定期发整张路由表给邻居然后看情况更新 最后收敛每个路由器都有完整拓扑
协议缺陷
不可靠的UDP传输RIPv1没有认证 RIPv2用MD5但已被破解总之就是没认证
攻防
攻击防御1. 攻击者可以伪造RIP路由更新信息并向邻居发送 经过收敛网络可能瘫痪2.可以嗅探路由表然后再破坏完整性截取或者重放1. 配置路由器为被动接口只进不出2. 增加认证3. 配置访问控制只允许指定IP更新报文
2. OSPF
OSPF流程复习
发的是相邻路由器的状态 有变化才发 给全网泛洪 最后拿dijkstra算、
协议缺陷
有认证但是很多节点还是用口令会泛洪 欺骗容易扩散
3. BGP
BGP复习
不是最佳路由只保证不兜圈子下层是TCP 有IGP和EGP
协议缺陷
没有认证
解决
MD5 BGP
S-BGP
…
