Internet协议的安全性

Internet协议的安全性

文章目录

  • Internet协议的安全性
    • 1. 网络层
      • 1. `IP`*6
      • 2. `ARP`*3
      • 3. ICMP * 3
    • 2. 传输层协议
      • 1. `TCP`
        • 1. * SYN-Flood攻击
          • 攻击
          • 检测
          • * 防御
        • 2. TCP序号攻击
          • 攻击
        • 3. 拥塞机制攻击
      • 2. UDP
    • 3. 应用层协议
      • 1. DNS
        • 攻击*3
        • 防范*3:
      • 2. FTP
      • 3. TELNET: 改用ssh
      • 4. 电子邮件
        • 1. 攻击
        • 2. 防御
    • 4. 路由协议
      • 1. RIP
        • RIP流程复习
        • 协议缺陷:
        • 攻防:
      • 2. OSPF
        • OSPF流程复习
        • 协议缺陷
      • 3. BGP
        • BGP复习
        • 协议缺陷

1. 网络层

1. IP*6

攻击原理防御
IP源地址欺骗IP不认证源IP高层认证, 如IPsec的IKE
定向广播IP协议支持定向广播禁止定向广播
监听IP无加密加密, 如IPsec的ESP
完整性破坏IP仅CRC校验首部完整性校验, 如IPsec的AH和ESP
IP源路由选项IP支持指定往返路由路由器禁止源路由选项
IP分片攻击大包攻击
碎片攻击:头放几片里,可以绕过包过滤
分片重叠
不发完DoS
先重组,不分片, 序号(如IPsec)

2. ARP*3

攻击原理防御
ARP欺骗做中间人静态ARP, 永久ARP(下面一样)
ARP重定向不停告诉别人我是网关
MAC flooding给交换机狂发,占满表, 交换机变集线器不知道

3. ICMP * 3

攻击原理(ICMP没有验证可以伪造)防御
针对带宽DoS狂ping允许单方向ping
针对连接DoS发假的不可达终止连接阻止一些类型的ICMP
ICMP重定向利用重定向改变主机路由表,自己伪装成路由器,常和IP源地址欺骗结合阻止一些类型的ICMP

2. 传输层协议

1. TCP

1. * SYN-Flood攻击
攻击
  • 原理: 属于语义DoS攻击(利用协议缺陷),狂发SYN形成一堆半连接

  • 根据源地址欺骗(随机伪造,子网伪造,固定伪造)有放大攻击(DNS请求和响应大小远不同),反射攻击(固定伪造)

  • 防止SYN返回报文攻击到自己的方式就是源地址伪造

检测
  • 半开连接检测
  • 新建连接速率检测:检测不活动连接
* 防御
  • 源地址过滤

  • 释放无效连接:检测半开和不活动连接释放

  • 延缓TCB分配(收到SYN后分配的资源叫TCB)

  • 代理服务器(也算延缓TCB)

    • SYN proxy:窗口设为0

    • SYN cache: 用cache存半连接

    • SYN cookie: cookie, 第三次开TCB

    • Safe reset: cookie, 第三次发rst重连,后续不代理

      在这里插入图片描述

2. TCP序号攻击
攻击

TCP只有基于序号的认证,认证很弱,如果能猜到序号,人家就相信

先dos冒充对象

再连接攻击者来试探序号

再正式建立连接

在这里插入图片描述

3. 拥塞机制攻击

故意制造拥塞

防护:网关实时检测异常流量

2. UDP

攻击基于缺陷
UDP Flood是暴力DoS,没有拥塞控制
UDP欺骗没有连接没有认证

3. 应用层协议

1. DNS

攻击*3

DNS污染: 攻击DNS服务器

DNS欺骗: 假装DNS服务器

DNS中毒: 伪装其他服务器对DNS服务器响应

防范*3:
  1. 基于地址认证

  2. 不把秘密信息放在主机名里

  3. DNSsec

2. FTP

攻击防御
明文传输:登录用户名、密码以及传输内容都明文传输,易被窃听使用SFTP
1. 加密
2. 采用SSH(port22),避免开大量数据连接端口
两种方向的数据连接:PORT开放端口导致访问控制失效禁止PORT,只允许PASV
FTP反弹攻击:攻击者在PORT命令中指定特定的IP地址和端口号参数,将数据发送的第三方限制PORT指定的IP和port 或者关闭PORT
用户权限限制问题:如果FTP用户权限限制不合理,会导致授权访问不用root运行
匿名FTP问题:全球可读写的目录常用来存储和发布盗版软件或其它违法的软件或数据只读,取消匿名

3. TELNET: 改用ssh

无加密,无完整,无认证

4. 电子邮件

SMTP明文, 无认证

1. 攻击
  1. 邮件炸弹: 挤爆邮箱

  2. 垃圾邮件: 垃圾内容

  3. 社工

2. 防御
  1. 反垃圾: 过滤等

4. 路由协议

1. RIP

RIP流程复习

探寻邻居, 定期发整张路由表给邻居,然后看情况更新, 最后收敛,每个路由器都有完整拓扑

协议缺陷:
  • 不可靠的UDP传输
  • RIPv1没有认证, RIPv2用MD5但已被破解,总之就是没认证
攻防:
攻击防御
1. 攻击者可以伪造RIP路由更新信息,并向邻居发送, 经过收敛网络可能瘫痪
2.可以嗅探路由表,然后再破坏完整性截取或者重放
1. 配置路由器为被动接口(只进不出)
2. 增加认证
3. 配置访问控制,只允许指定IP更新报文

2. OSPF

OSPF流程复习

发的是相邻路由器的状态, 有变化才发, 给全网泛洪, 最后拿dijkstra算、

协议缺陷
  • 有认证,但是很多节点还是用口令
  • 会泛洪, 欺骗容易扩散

3. BGP

BGP复习

不是最佳路由,只保证不兜圈子,下层是TCP, 有IGP和EGP

协议缺陷

没有认证

解决:

MD5 BGP

S-BGP

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/749650.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Javascript编程实操06】1、反转数组和字符串 2、将二维数组转一维数组

前言 1、反转数组和字符串 代码: 实现效果: 2、将二维数组转一维数组 代码: 实现效果: 总结 前言 本次主要是针对Javascript阶段的字符串与数组的实操练习,共有2个实操,大家可以在实操的过程中更加深…

什么时候去检测大数据信用风险比较合适?

什么时候去检测大数据信用风险比较合适?在当今这个数据驱动的时代,大数据信用风险检测已经成为个人的一项重要需求。本文将从贷前检测、信息泄露检测和定期检测三个方面,阐述何时进行大数据信用风险检测较为合适。 一、贷前检测 大数据信用风险检测在贷…

Docker使用(二)Docker安装和常见典型操作

Docker使用(二)Docker安装和常见典型操作 二、软件安装 1、Docker安装 (1)环境准备 [rootlocalhost ~]# uname -r 3.10.0-327.el7.x86_64 # cat /etc/os-release (2)卸载旧版本 $ sudo yum remove docker \ ​ docker-cli…

折半搜索.

折半搜索 知识点折半搜索的原理折半搜索的过程 例题题目:世界冰球锦标赛题目描述输入样例输出样例提示 世界冰球锦标赛题解思路代码 知识点 折半搜索的原理 折半搜索是一种技巧,实际上就是将一个次搜索过程分成两次进行,然后将两次搜索的结果…

145 Linux 网络编程1 ,协议,C/S B/S ,OSI 7层模型,TCP/IP 4层模型,

一 协议的概念 从应用的角度出发,协议可理解为“规则”,是数据传输和数据的解释的规则。 典型协议 传输层 常见协议有TCP/UDP协议。 应用层 常见的协议有HTTP协议,FTP协议。 网络层 常见协议有IP协议、ICMP协议、IGMP协议。 网络接口层 常…

作业-逆序和定位

目录 字符串逆序 题目描述 输入 输出 样例 解题思路: 单词倒排 题目描述 输入 输出 样例 解题思路: 首字母大写 题目描述 输入 输出 样例 解题思路: 统计句子中单词个数 题目描述 输入 输出 样例 解题思路: 大小写字母互换 题目描…

springboot“涛宝”大学生二手物品交易商城

摘 要 二十一世纪我们的社会进入了信息时代,信息管理系统的建立,大大提高了人们信息化水平。传统的管理方式对时间、地点的限制太多,而在线管理系统刚好能满足这些需求,在线管理系统突破了传统管理方式的局限性。于是本文针对这一…

Kubernetes operator系列:webhook 知识学习

云原生学习路线导航页(持续更新中) 本文是 Kubernetes operator学习 系列文章,本节会对 kubernetes webhook 知识进行学习 本文的所有代码,都存储于github代码库:https://github.com/graham924/share-code-operator-st…

免费接口调用 招标信息自动抽取|招标信息|招标数据解析接口

一、开源项目介绍 一款多模态AI能力引擎,专注于提供自然语言处理(NLP)、情感分析、实体识别、图像识别与分类、OCR识别和语音识别等接口服务。该平台功能强大,支持本地化部署,并鼓励用户体验和开发者共同完善&#xf…

浅谈性能测试中的基准测试

在性能测试中有一种测试类型叫做基准测试。这篇文章,就聊聊关于基准测试的一些事儿。 1、定义 通过设计合理的测试方法,选用合适的测试工具和被测系统,实现对某个特定目标场景的某项性能指标进行定量的和可对比的测试。 2、特质 ①、可重…

软件实例,餐厅酒水寄存管理系统软件,酒水寄存登记表软件操作教程

软件实例,餐厅酒水寄存管理系统软件,酒水寄存登记表软件操作教程 一、前言 以下软件操作以 佳易王酒水寄存管理系统软件V16.0为例说明 件文件下载可以点击最下方官网卡片——软件下载——试用版软件下载 1、酒水寄存管理系统软件可以管理多个品类的物…

SendMessage 和 PostMessage 有什么区别?

SendMessage和PostMessage都是Windows编程中用于进程间通信或同一进程内不同线程间通信的函数,用于向窗口发送消息。尽管这两个函数的目的相似,但它们在实现方式和行为上存在一些关键差异。 同步与异步: SendMessage是一个同步消息发送函数。…

用 C 语言模拟 Rust 的 Result 类型

在 Rust 中&#xff0c;Result<T, E> 类型是一个枚举&#xff0c;它表示一个操作可能成功并返回一个值 T&#xff0c;或者失败并返回一个错误 E。在 C 语言中&#xff0c;没有直接对应的 Result 类型&#xff0c;但我们可以使用结构体和枚举来模拟它。 下面是一个用 C 语…

AI健身教练-引体向上-俯卧撑计数-仰卧起坐姿态估计-康复训练姿态识别-姿态矫正

在AI健身应用中&#xff0c;通过关键点检测技术可以实现对用户动作的精准捕捉和分析&#xff0c;从而进行统计计数和规范性姿态识别。 统计计数&#xff1a;比如在做瑜伽、健身操等运动时&#xff0c;系统可以通过对人体关键点&#xff08;如手部、脚部、关节等&#xff09;的…

复习 --- windows 上安装 git,使用相关命令

文章目录 很少使用windows的git工具&#xff0c;这次借助这个任务&#xff0c;记录下使用过程&#xff0c;其他的等有空在整理。 其中&#xff0c;还使用了浏览器的AI小助手&#xff0c;复习了git相关的命令&#xff1a;图片放最后

ROS——集成开发环境搭建

1.4 ROS集成开发环境搭建 和大多数开发环境一样&#xff0c;理论上&#xff0c;在 ROS 中&#xff0c;只需要记事本就可以编写基本的 ROS 程序&#xff0c;但是工欲善其事必先利其器&#xff0c;为了提高开发效率&#xff0c;可以先安装集成开发工具和使用方便的工具:终端、ID…

C++ 虚函数表

虚函数表 当一个类中声明了虚函数时&#xff0c;这个函数在编译时会被标记为虚函数&#xff0c;并且对应的虚函数表中会为这个类生成一个虚函数表&#xff1b; 当基类指针指向派生类对象时&#xff0c;如果这个函数被调用&#xff0c;实际上调用的是派生类中的函数。这是因为…

Vue2(四):Vue监测数据的原理(对象,数组),Vue.set的使用方法

一、更新时的一个问题 如果我要点击按钮实现更新冯万宁儿的信息&#xff0c;那么如果一个属性一个属性地改&#xff0c;可以修改成功&#xff0c;并且Vue也会检测到并更新到页面。 但是我如果直接把要修改的信息写在this.persons[0] { id: 001, name: 冯千宁儿, age: 66, se…

Android Studio中快速修改包名

Android Studio中快速修改包名 假设原包名是com.abc.efg&#xff0c; 新包名是com.aaa.bbb 1、点击齿轮图标&#xff0c;把Compact Middle Packages前面的对勾取消&#xff0c;如果没有就忽略此步 2、在左侧项目栏中&#xff0c;选择Android, App-->java-->com,下面可以看…

SpringBoot程序的核心功能及优点

本篇博客主要记录SpringBoot程序的核心功能及优点&#xff1a; 起步依赖&#xff08;简化依赖配置&#xff09; 依赖配置的书写简化就是靠这个起步依赖达成的。 自动配置&#xff08;简化常用工程相关配置&#xff09; 配置过于繁琐&#xff0c;使用自动配置就可以做相应的简化…