Internet协议的安全性

news2024/12/25 22:28:30

Internet协议的安全性

文章目录

  • Internet协议的安全性
    • 1. 网络层
      • 1. `IP`*6
      • 2. `ARP`*3
      • 3. ICMP * 3
    • 2. 传输层协议
      • 1. `TCP`
        • 1. * SYN-Flood攻击
          • 攻击
          • 检测
          • * 防御
        • 2. TCP序号攻击
          • 攻击
        • 3. 拥塞机制攻击
      • 2. UDP
    • 3. 应用层协议
      • 1. DNS
        • 攻击*3
        • 防范*3:
      • 2. FTP
      • 3. TELNET: 改用ssh
      • 4. 电子邮件
        • 1. 攻击
        • 2. 防御
    • 4. 路由协议
      • 1. RIP
        • RIP流程复习
        • 协议缺陷:
        • 攻防:
      • 2. OSPF
        • OSPF流程复习
        • 协议缺陷
      • 3. BGP
        • BGP复习
        • 协议缺陷

1. 网络层

1. IP*6

攻击原理防御
IP源地址欺骗IP不认证源IP高层认证, 如IPsec的IKE
定向广播IP协议支持定向广播禁止定向广播
监听IP无加密加密, 如IPsec的ESP
完整性破坏IP仅CRC校验首部完整性校验, 如IPsec的AH和ESP
IP源路由选项IP支持指定往返路由路由器禁止源路由选项
IP分片攻击大包攻击
碎片攻击:头放几片里,可以绕过包过滤
分片重叠
不发完DoS
先重组,不分片, 序号(如IPsec)

2. ARP*3

攻击原理防御
ARP欺骗做中间人静态ARP, 永久ARP(下面一样)
ARP重定向不停告诉别人我是网关
MAC flooding给交换机狂发,占满表, 交换机变集线器不知道

3. ICMP * 3

攻击原理(ICMP没有验证可以伪造)防御
针对带宽DoS狂ping允许单方向ping
针对连接DoS发假的不可达终止连接阻止一些类型的ICMP
ICMP重定向利用重定向改变主机路由表,自己伪装成路由器,常和IP源地址欺骗结合阻止一些类型的ICMP

2. 传输层协议

1. TCP

1. * SYN-Flood攻击
攻击
  • 原理: 属于语义DoS攻击(利用协议缺陷),狂发SYN形成一堆半连接

  • 根据源地址欺骗(随机伪造,子网伪造,固定伪造)有放大攻击(DNS请求和响应大小远不同),反射攻击(固定伪造)

  • 防止SYN返回报文攻击到自己的方式就是源地址伪造

检测
  • 半开连接检测
  • 新建连接速率检测:检测不活动连接
* 防御
  • 源地址过滤

  • 释放无效连接:检测半开和不活动连接释放

  • 延缓TCB分配(收到SYN后分配的资源叫TCB)

  • 代理服务器(也算延缓TCB)

    • SYN proxy:窗口设为0

    • SYN cache: 用cache存半连接

    • SYN cookie: cookie, 第三次开TCB

    • Safe reset: cookie, 第三次发rst重连,后续不代理

      在这里插入图片描述

2. TCP序号攻击
攻击

TCP只有基于序号的认证,认证很弱,如果能猜到序号,人家就相信

先dos冒充对象

再连接攻击者来试探序号

再正式建立连接

在这里插入图片描述

3. 拥塞机制攻击

故意制造拥塞

防护:网关实时检测异常流量

2. UDP

攻击基于缺陷
UDP Flood是暴力DoS,没有拥塞控制
UDP欺骗没有连接没有认证

3. 应用层协议

1. DNS

攻击*3

DNS污染: 攻击DNS服务器

DNS欺骗: 假装DNS服务器

DNS中毒: 伪装其他服务器对DNS服务器响应

防范*3:
  1. 基于地址认证

  2. 不把秘密信息放在主机名里

  3. DNSsec

2. FTP

攻击防御
明文传输:登录用户名、密码以及传输内容都明文传输,易被窃听使用SFTP
1. 加密
2. 采用SSH(port22),避免开大量数据连接端口
两种方向的数据连接:PORT开放端口导致访问控制失效禁止PORT,只允许PASV
FTP反弹攻击:攻击者在PORT命令中指定特定的IP地址和端口号参数,将数据发送的第三方限制PORT指定的IP和port 或者关闭PORT
用户权限限制问题:如果FTP用户权限限制不合理,会导致授权访问不用root运行
匿名FTP问题:全球可读写的目录常用来存储和发布盗版软件或其它违法的软件或数据只读,取消匿名

3. TELNET: 改用ssh

无加密,无完整,无认证

4. 电子邮件

SMTP明文, 无认证

1. 攻击
  1. 邮件炸弹: 挤爆邮箱

  2. 垃圾邮件: 垃圾内容

  3. 社工

2. 防御
  1. 反垃圾: 过滤等

4. 路由协议

1. RIP

RIP流程复习

探寻邻居, 定期发整张路由表给邻居,然后看情况更新, 最后收敛,每个路由器都有完整拓扑

协议缺陷:
  • 不可靠的UDP传输
  • RIPv1没有认证, RIPv2用MD5但已被破解,总之就是没认证
攻防:
攻击防御
1. 攻击者可以伪造RIP路由更新信息,并向邻居发送, 经过收敛网络可能瘫痪
2.可以嗅探路由表,然后再破坏完整性截取或者重放
1. 配置路由器为被动接口(只进不出)
2. 增加认证
3. 配置访问控制,只允许指定IP更新报文

2. OSPF

OSPF流程复习

发的是相邻路由器的状态, 有变化才发, 给全网泛洪, 最后拿dijkstra算、

协议缺陷
  • 有认证,但是很多节点还是用口令
  • 会泛洪, 欺骗容易扩散

3. BGP

BGP复习

不是最佳路由,只保证不兜圈子,下层是TCP, 有IGP和EGP

协议缺陷

没有认证

解决:

MD5 BGP

S-BGP

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1522023.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Microsoft Visio 编辑属性值

Microsoft Visio 编辑属性值 1. 编辑属性值References 1. 编辑属性值 单击长度或高度位置,弹出形状的各属性值,点击编辑对应的属性值。 ​ References [1] Yongqiang Cheng, https://yongqiang.blog.csdn.net/

解决:IDEA编译Java程序时报编译失败

1、问题展示: 2、解决方法:

自制一个操作系统 第一天

目录 环境准备引导程序 环境准备 自制操作系统的第一个困难是假设我们写好了操作系统,我们怎么模拟运行我们的操作系统?不用担心,已经有现成的模拟工具了,QEMU(Quick Emulator) 是一个广泛使用的开源计算机仿真器和虚拟机。使用它…

2023年中国抗DDoS市场规模现状及竞争格局,公有云抗DDoS是主要增长点

分布式拒绝服务(DDoS)是在DoS基础之上产生的一种新的攻击方式,具有多对一的攻击模式。它通过制造伪造的流量,使得被攻击的服务器、网络链路或是网络设备(如防火墙、路由器等)负载过高,无法处理正…

webpack5零基础入门-5使用webpack处理stylus文件

1.需要下载一个包 npm i stylus-loader 2.功能介绍 stylus-loader:负责将stylus文件编译成css文件 3.配置: const path require(path);//nodejs用来处理路径问题的模块module.exports {/**入口 */entry: ./src/main.js,/**输出 相对路径*/output: {/**文件输…

如何有效地组织和管理自己的代码?

如何有效地组织和管理自己的代码? 🧩 🛠️ 如何有效地组织和管理自己的代码? 🧩摘要引言正文1. 使用合适的目录结构2. 模块化设计3. 命名规范4. 版本控制 总结参考资料 博主 默语带您 Go to New World. ✍ 个人主页——…

008:安装Docker

安装Docker 如果不太熟悉Linux命令,不想学习Linux命令,可以直接看文末NAS面板章节,通过面板,像使用Window一样操作NAS。 一、安装 Docker 1.安装 Docker wget -qO- https://get.docker.com/ | sh2.启动 Docker 服务 sudo sys…

复习知识点

1. Java常用API 1.1 String类 在java中,String类代表字符串,字符串是常量的,不能被改变。如果想改变字符串。可以用字符串的缓冲区,StringBuffer、StringBuilder 1.1.1 String类的创建方式 第一种(常用&#xff09…

数学建模--MATLAB基本使用

1.线性方程组 这个是一个线性方程组(属于线性代数的范畴),Axb类型的方程,如果使用MATLAB进行求解,就需要分别表示A矩阵(线性方程组未知数前面的系数),b矩阵(表示等式右边…

刷题日记——非素数个数(厦大机试)

题目 分析 使用欧拉筛法计算从1到b的素数个数,方法如下: 找到一个素数后,就将它的倍数标记为合数,也就是把它的倍数“筛掉”;如果一个数没有被比它小的素数“筛掉”,那它就是素数。计算出从1到b的…

Ubuntu Desktop - gnome-calculator (计算器)

Ubuntu Desktop - gnome-calculator [计算器] 1. Ubuntu Software -> gnome-calculator -> Install -> Continue2. Search your computer -> Calculator -> Lock to LauncherReferences 1. Ubuntu Software -> gnome-calculator -> Install -> Continu…

mysql颗粒归仓

B B树:节点排序 一个节点存多个元素 多个元素也排序了 叶子节点间有指针,非叶子节点上的元素在叶子节点冗余:叶子节点存储排好序的all元素 通过数据排序提高查询速度,节点存储多个元素 高度不会太高,一个innodb页B树…

如何批量获取公众号所有文章的阅读数点赞数和留言数导出excel?

如何批量获取公众号所有文章的阅读数点赞数和留言数导出excel?我写了个脚本批量抓取,导出的excel文章数据包含文章日期,文章标题,文章链接,文章简介,文章作者,文章封面图,是否原创&a…

由浅到深认识C语言(5):函数

该文章Github地址:https://github.com/AntonyCheng/c-notes 在此介绍一下作者开源的SpringBoot项目初始化模板(Github仓库地址:https://github.com/AntonyCheng/spring-boot-init-template & CSDN文章地址:https://blog.csdn…

Fork - 将 GitHub 的某个特定仓库复制到自己的账户下

Fork - 将 GitHub 的某个特定仓库复制到自己的账户下 1. ForeverStrongCheng/OpenCV-tutorials2. Fork -> ForeverStrongCheng/R2CNN_Faster-RCNN_TensorflowReferences 访问仓库页面,点击 Fork 按钮创建自己的仓库。 Fork 是将 GitHub 的某个特定仓库复制到自己…

python二级备考(3)-综合应用

1 《命运》是著名科幻作家倪匡的作品。这里给出《命运》的一个网络版本文件,文件名为“命运. txt”。 问题1 (5分) :在PY301-1. py文件中修改代码,对“命运. txt”文件进行字符频次统计,输出频次最高的中文字符(不包含标点符号)及其频次&…

图像去噪--(1)

系列文章目录 文章目录 系列文章目录前言一、图像噪声1.1 噪声定义1.2 基本特征 二、按照噪声概率分布分类1.高斯噪声2.泊松噪声 三、去噪算法3.1 线性滤波3.1.1 高斯滤波3.1.2 均值滤波 3.2 非线性滤波3.2.1 中值滤波3.2.2 双边滤波 四、深度学习总结 前言 一、图像噪声 1.1 …

【模糊集合】示例

【模糊集合】隶属函数、关系与运算 例1 设, 分别进行交、并、补运算,有: 由上模糊集合的全体组成的集合称为的模糊幂集,记为,fuzzy 上述为模糊集合的Zadeh记法,其中的“”号不表示分式求和,仅作…

深度强化学习(七)策略梯度

深度强化学习(七)策略梯度 策略学习的目的是通过求解一个优化问题,学出最优策略函数或它的近似函数(比如策略网络) 一.策略网络 假设动作空间是离散的,,比如 A { 左 , 右 , 上 } \cal A\{左,右,上\} A{左,右,上},策…

Linux 进程控制进程终止

目录 一、fork函数 1、概念 2、父子进程的共享 3、 为什么父子进程会从fork()调用之后的位置继续执行代码 4、写时拷贝 5、为什么需要写时拷贝 6、写时拷贝的好处 7、fork常规用法 8、fork调用失败的原因 9、查看系统最大进程数 二、进程终止 1、进程退出场景 2、…