概覽

第一部分：按各層次攻擊分類
應用層：漏洞，緩沖區(qū)溢出攻擊，WEB應用的攻擊，病毒及木馬
傳輸層：TCP欺騙，TCP拒絕服務，UDP拒絕服務，端口掃描
網(wǎng)絡層：IP欺騙，Smurf攻擊，ICMP攻擊，地址掃描
鏈路層：MAC欺騙，MAC泛洪，ARP欺騙
物理層：設備破壞，線路監(jiān)聽

第二部分：防火墻對常見攻擊的防范原理
流量攻擊
掃描窺探攻擊

第一部分

一.數(shù)據(jù)鏈路層的安全問題及防范

1.MAC欺騙
攻擊原理：攻擊者將自己的MAC地址更改位受信任系統(tǒng)的地址（偽裝）

造成影響：仿冒用戶，截取數(shù)據(jù)幀

防范策略：在交換機上配置靜態(tài)條目，將特定的MAC地址始終與特定的端口綁定

2.MAC泛洪
攻擊原理：因為交換機的MAC學習機制，MAC表項的數(shù)目限制，交換機的轉發(fā)機制，攻擊者向交換機發(fā)酥大量的二層數(shù)據(jù)幀，以快速填滿交換機的MAC表，MAC表填滿之后，開始將后續(xù)的幀進行泛洪，導致整個網(wǎng)絡系統(tǒng)中的鏈路還有交換機處于擁塞的狀態(tài)，直至崩潰

造成影響：（1）試交換機無法正常工作(MAC表滿)（2）網(wǎng)絡中流量增大

防范策略：配置靜態(tài)的MAC轉發(fā)表，配置端口的MAC學習數(shù)目限制

3.ARP欺騙
攻擊原理：攻擊者搶先合法主機發(fā)出的ARP請求作出應答，這樣要發(fā)送給合法主機的數(shù)據(jù)就會發(fā)送到偽裝主機處

造成影響：截獲數(shù)據(jù)

防范策略：主機手動配置MAC表

二.網(wǎng)絡層的安全問題及防范

1.IP欺騙攻擊
攻擊原理：攻擊者使用相同的IP地址可以魔法網(wǎng)絡上的合法主機，來訪問關鍵信息

造成影響：偽裝成某一合法用戶

攻擊步驟：
（1）首先使被信任主機的網(wǎng)絡暫時癱瘓，以免對攻擊造成干擾（攻陷要偽裝的主機）
（2）連接到目標機的某個端口來猜測序列號和增加的規(guī)律
（3）接下來把源地址偽裝成被信任的主機，發(fā)送帶有SYN標志的數(shù)據(jù)段來請求連接
（4）等待目標機發(fā)送SYN+ACK包給已經(jīng)癱瘓的主機
（5）最后再此偽裝成被信任主機向目標發(fā)送ACK，此時發(fā)送的數(shù)據(jù)段帶有預測的目標機的序列號+1
（6）連接建立，發(fā)送命令請求

2.Smurf攻擊（DDOS攻擊的一種）
攻擊原理：攻擊者發(fā)送ICMP請求，請求包的目標地址設置為受害網(wǎng)絡的廣播地址，這樣該網(wǎng)絡中的所有主機對此ICMP請求作出答復，導致網(wǎng)絡阻塞，高級的Smurf攻擊，主要使用來攻擊目標主機，方法是將上述ICMP請求包的源地址改為被迫害的主機，最終導致受害主機雪崩，網(wǎng)絡中的主機越多，攻擊效果越明顯

造成影響：（1）被攻擊網(wǎng)絡內流量增大（2）接受ICMP應答包的主機可能會宕機

防范策略：檢查ICMP請求包的目的地址是否為子網(wǎng)廣播地址或子網(wǎng)的網(wǎng)絡地址，如果是則直接拒絕

3.ICMP重定向和不可達攻擊
攻擊原理：ICMP重定向報文是ICMP控制報文中的一種，在某些情況下，當路由器檢測到一臺機器上使用非優(yōu)化路由的時候，他會向該主機發(fā)送一個ICMP重定向報文，請求主機改變路由。ICMP協(xié)議雖然不是路由協(xié)議，但是他可以指導數(shù)據(jù)包的流向。攻擊者通過向主機發(fā)送ICMP重定向數(shù)據(jù)包，使受害人主機數(shù)據(jù)包發(fā)送不到正確的網(wǎng)關，以達到攻擊目的

造成影響：使用戶的數(shù)據(jù)不按正常的路徑轉發(fā)，造成網(wǎng)絡斷開

防范策略：修改注冊表關閉主機的ICMP重定向報文處理

4.IP地址掃描攻擊
攻擊原理：攻擊者運用ICMP報文探測目標地址，或者使用TCP/UDP報文對一定地址發(fā)起連接，通過判斷是否有應答報文，以確定哪些目標系統(tǒng)存活并連接在目標網(wǎng)絡上

造成影響：使攻擊者獲悉存在的網(wǎng)絡主機，對后續(xù)進攻作準備

防范策略：設置主機使其不對ping請求作出應答

三.傳輸層安全問題及防范

1.TCP欺騙
描述：利用主機之間某種網(wǎng)絡服務的信任關系建立虛擬的TCP連接，可能模擬受害者從服務器端獲取信息，具體過程類似于IP欺騙攻擊

攻擊原理：
（1）攻擊者先將要偽裝的主機攻克
（2）攻擊者用被攻克的主機的地址作為源地址給目的主機發(fā)送TCP SYN報文
（3）目標主機回應TCP SYN/ACK報文，攜帶序列碼S
（4）C收不到序列碼，但為了完成握手必須使用S+1作為序列碼進行應答，這時C可以通過監(jiān)聽SYN/ACK報文，根據(jù)得到的值進行計算或者根據(jù)操作系統(tǒng)的特新進行猜測
（5）攻擊者使用得出的序列碼S回應給目標主機，握手完成，虛假連接建立

2.TCP拒絕服務攻擊—SYN Flood攻擊
攻擊原理：SYN報文是TCP連接的第一個報文，攻擊者通過大量發(fā)送SYN報文，造成大量未完全建立的TCP連接，占用被攻擊者的資源

解決方法：關閉處于Half Open狀態(tài)的連接

3.端口掃描攻擊
攻擊原理：攻擊者通常使用一些軟件，先大范圍的主機的一系列TCP/UDP端口發(fā)起連接，根據(jù)應答報文判斷主機是否使用這些端口提供服務

防范策略：配置端口掃描攻擊防范參數(shù)后，設備對進入的TCP，UDP，ICMP報文進行檢測，并以每個源地址作為索引，判斷該源地址發(fā)送報文的目的端口與前一報文的目的端口是否不同，如果是則異常數(shù)加1，當異常頻率到達閾值時，則認為該源IP地址的報文為端口掃描攻擊，并將該源ip地址加入黑名單

第二部分

一.流量型攻擊

一.SYN Flood攻擊防范（DDOS）
攻擊介紹：采用源地址偽造的方式對目標主機發(fā)送大量的SYN報文，導致目標主機癱瘓
處理方法：
·采用TCP PROXY的方式進行SYN Flood攻擊防御，其基本參數(shù)就是需要指定對哪些主機進行保護
·反向源探測技術
·目標主機進行SYN報文限速的方式進行防御

SYN Flood攻擊和SYN報文掃描攻擊
SYN Flood攻擊的源地址不是真實的，是偽造的
SYN 報文掃描的源地址是真實的，不是偽造的

SYN報文掃描攻擊可以加入黑名單
SYN Flood攻擊不可能加入黑名單

1.TCP Proxy技術

使用TCP代理，檢測源IP是否存在

2.TCP反向源檢測
防范原理：收到SYN報文時，會對源IP是否存在進行探測
如果源IP不存在，則說明可能時攻擊報文，將其予以丟棄
如果源IP有效，則將正確的源IP地址加入白名單，此源IP地址的TCP報文進行直接轉發(fā)

由于反向源檢測機制不會受會話表是否成功建立的影響，所以推薦使用反向源探測技術來進行SYN Flood的攻擊防范。如果必須使用TCP代理方式的攻擊防范，則必須開啟狀態(tài)檢測機制

二.Connection Flood 攻擊防范
攻擊介紹：攻擊者向被攻擊服務器發(fā)送大量的請求，使被攻擊者服務器產(chǎn)生大量連接而不能受理合法用戶的請求

處理方法：
·USG統(tǒng)計用戶向服務器發(fā)送的報文，如果在設定的時間間隔內用戶發(fā)送的報文少于設定的閾值，則認為該用戶不合法
·防火墻統(tǒng)計用戶和服務器建立的連接數(shù)，如果在設定的時間間隔內用戶建立的連接數(shù)大于設定的閾值，則認為該用戶不合法
·USG將不合法的IP地址加入黑名單

與SYN Flood不同，TCP全連接攻擊是指攻擊者與被攻擊對象正常建立了連接，但是卻沒有后續(xù)的報文，占用被攻擊者的資源的攻擊的行為，通過配置防范功能，將TCP連接建立后不繼續(xù)進行報文交互的連接作為不正常連接。當不正常連接超過閾值時，對其進行阻斷

三.ICMP/UDP Flood攻擊防范
攻擊介紹：短時間內向特定目標發(fā)送大量的UDP/ICMP報文，致使目標系統(tǒng)負擔過重而不能處理合法的連接
處理方法：檢測通向特定目的地址的UDP報文速率，當速度超過設定閾值上限時，設定攻擊標識并做CAR處理，對攻擊記錄日志，當速率低于設定的閾值下線，取消攻擊標志，允許所有報文通向特定目的地址

ICMP/UDP是無連接的協(xié)議，因此不能提供類似 SYN FLOOD代理的方式的防御方法

二.掃描窺探攻擊

一.地址掃描攻擊防范
攻擊介紹：利用ping程序來探測目標地址，以用來確定目標系統(tǒng)是否存活的標識，也可使用TCP/UDP報文對目標系統(tǒng)發(fā)起探測
處理方法：
檢測進入防火墻的ICMP，TCP和UDP報文，由該報文的源IP地址獲取統(tǒng)計表項的索引，如目的IP地址與前一報文的目的IP地址不同，則將表項中的總報文個數(shù)增1.如在一定時間內報文的個數(shù)到達設置的閾值，記錄日志，并根據(jù)配置決定是否將源IP地址自動加入到黑名單

二.端口掃描
攻擊介紹：通常使用一些軟件，向大范圍的主機的一系列TCP/UDP端口發(fā)起連接，根據(jù)應答報文判斷主機是否使用這些端口提供服務
處理方法：檢測進入的TCP或UDP報文，由該報文的源IP地址獲取統(tǒng)計表項，如目的端口與前一報文不同，將表項中的報文個數(shù)增1，如在一定時間內報文的個數(shù)到達設置的閾值，記錄日志，并根據(jù)配置決定是否將源IP地址自動加入到黑名單

總結

以上是生活随笔為你收集整理的网络安全之TCP/IP协议栈常见安全风险及防范办法的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。