十大漏洞,协议漏洞

2020年上半年中国互联网安全监测数据分析报告显示，恶意程序控制服务器、拒绝服务攻击(DDoS )等网络攻击行为是否在增加。 目前，网络攻击已成为影响网络信息安全、业务信息安全的主要因素之一。

网络攻击是利用网络中存在的漏洞和安全缺陷来攻击网络系统的硬件和软件及其系统数据的行为。 TCP/IP协议作为网络的基础协议，从设计之初就没有考虑到网络会面临这么多威胁，出现了很多攻击方法。 由于网络中的通信都来源于数据包，数据包的自动采集和解码分析可以快速发现和跟踪网络攻击。

TCP/IP协议行业通常将TCP/IP协议栈划分为四层：链路层、网络层、传输层和APP应用层。

链路层主要用于处理以太网、令牌环等物理介质上的数据传输和实现NIC接口的网络驱动程序。

网络层采用IP协议是协议栈整体的核心，其主要功能是对数据包进行路由和传输，实现互联网互联和拥塞控制等；

传输层为主机之间的APP应用程序提供端到端通信，以定义TCP和UDP协议。

的主要功能是处理文件传输、名称查询、网管等APP应用的逻辑。 此层的协议包括基于TCP协议的FTP文件传输协议、HTTP超文本传输协议和基于UDP协议的域名服务DNS。

TCP/IP协议模型层次结构图

TCP/IP协议有四层，每层的功能、协议不同，因此不同的协议层的攻击方法也不同。

对链路层的攻击主要是物理破坏网络硬件和基础设施或强制改变路由器路由的IP协议和ARP协议是网络层最重要的两个协议。

对网络层的攻击主要有IP碎片攻击、ARP诈骗等； TCP协议和UDP协议是传输层最主要的两种协议，因此对传输层的攻击非常多，包括DOS攻击等； 另一方面，由于APP应用层协议在整个协议栈中最多，对该层的攻击数量极大，常见于DNS诈骗等。

ARP攻击地址解析协议(ARP )将网络主机的IP地址解析为MAC地址，每个主机设备都有一个ARP缓存(ARP Cache )，用于检查自己的ARP缓存如果没有，则可以广播ARP请求包；

此后，可以检查分组中的目的地IP地址是否与其IP地址匹配，如果匹配，则发送通知MAC地址的ARP响应；

在源节点接收到ARP响应包后，可以将所获取的目标主机的IP地址MAC地址对映射表项添加到其ARP缓存中。

ARP协议的工作原理

ARP攻击是指通过伪造IP地址和MAC地址来实现ARP欺骗，通过在网络中建立大量的ARP流量来屏蔽网络。 ARP攻击通常也称为ARP欺骗，因为攻击者只需要继续发送伪造的ARP回复分组，就会修改目标主机的ARP缓存中的IP-MAC条目，从而导致网络中断和中间人攻击。

ARP攻击只能在以太网上进行，尽管门槛很低，但受断网攻击、流量限制、帐户被盗等影响很大。 网络运维可以采用ARP防御机制，例如在交换机中引入网络镜像，抓住可疑分组分析，结合DHCP拦截、IP信源防护等技术，也可以维护网络安全。

DoS攻击TCP协议是基于流的方案，是一种面向连接的可靠通信方案，能够在网络较差的情况下降低由于系统重传导致的带宽开销。

具体而言，TCP连接的建立过程需要经过三个步骤，每个步骤同时连接发送端和接收端，俗称“三次握手”。 发送端发出SYN数据包，进入SYN_SENT状态，指示要连接的服务器端口和初始序号，等待接收端的确认；

接收端接收SYN数据包，发送SYN_ACK，确认发送端，进入SYN_RECV状态； 发送侧接收SYN_ACK分组，向接收侧发送ACK，从而完成两个连接的建立。

TCP握手三次

因为TCP协议是面向连接的传输控制协议，所以DoS攻击的主要目的是防止用户主机或网络接收或处理外部请求。 例如，创建高流量的浪费数据会导致网络拥塞，从而导致受攻击的主机无法正常与外部通信

利用重复连接缺陷，重复发送重复服务请求，使其他请求无法正常处理；

另外，利用协议的缺陷反复发送攻击数据，消耗主机和系统资源，引起死机等。

简而言之，拒绝dos (死亡服务)服务攻击通常使用数据包淹没本地系统，阻碍或明显阻碍本地服务响应外部合法请求而破坏本地系统

SYN flood攻击是最常见的DoS攻击类型。 攻击者伪装自己的IP源地址，向本地系统发送TCP连接请求；

由于本地系统向模拟地址返回了SYN-ACK，本地系统无法接收RST消息，无法接收ACK响应，并处于半连接状态，直到资源耗尽。 攻击者发送连接请求的速度从TCP超时释放资金

解决SYN flood 的最好方法就是做好防范策略，通过网络性能管理工具，自动筛选可疑数据包，缩短 SYN Timeout 时间，设置 SYN Cookie，为每一个请求设置Cookie，如果短时间内收到某个IP的重复SYN报文，就认定为攻击，抛弃该IP地址。

IP协议为了将数据信息包从原设备传送到目的设备，需要依赖IP地址与IP路由器。IP地址是机器语言，通常较长，所以尽管IP地址具有唯一性，但是不方便记忆与使用，人们便在此基础上发明了DNS。DNS（Domain Name System）即域名系统，域名通常较短，兼具可读性与实用性。由于域名与IP地址呈一一对应关系，因此，上网时只需在地址栏输入域名，系统会直接进行域名解析，将域名翻译成IP地址。

在执行完域名搜索后，域名服务器会保存域名记录，每条记录都会包含域名与IP地址。如果域名服务器的某条地址被人为修改，那么就可以人为操作用户的访问地址，这种行为被称为“域名劫持”。“域名劫持”的儒雅的纸飞机是域名服务器提供商，因此目前解决该问题的有效方法是弃用或换用域名服务器。

除“域名劫持”外，还有另外一种常见的DNS攻击叫做“域名污染”或“域名欺骗”。当电脑发送“域名查询”至域名服务器后，域名服务器会将回应发送回电脑，发送请求与接收信息是一个过程，中间会出现时间差，网络攻击会在接收信息前，伪造错误应答至电脑，那么该信息即为错误IP。

面对网络攻击，我们除了需要提高安全意识，积极尽责地维护系统，加强防火墙设置外，还可以通过对数据包进行分析进而追溯网络攻击。

通过对网络数据进行采集与解码分析，掌握网络中最细微的变化，针对网络攻击的特征值或者行为进行有效的告警信息配置，可以快速定位网络中的攻击。

来源：136.la/jingpin/show-19936.html

推荐阅读 点击标题可跳转

都2021年了你还在用笨重的 ELK？来试试这个日志新贵

这套 Excel 大批量导入导出解决方案，太牛逼了

一款炫酷、轻量级性能监控系统

免费好用！这款 Win10 增强工具不要错过

无论开发、运维，这7种软件架构模式得知道

再见收费的 XShell，我改用国产良心工具！

场景+案例分析，SQL优化这么做就对了！

速来！整理了 25 个 PDF 电子书免费下载

PS：因为公众号平台更改了推送规则，如果不想错过内容，记得读完点一下“在看”，加个“星标”，这样每次新文章推送才会第一时间出现在你的订阅列表里。

随手在看、转发是最大的支持！