起源:blog.csdn.net/daocaokafei/article/details/116176790

据2020年上半年中国互联网网络安全监测数据分析报告显示,恶意程序管制服务器、拒绝服务攻打(DDoS)等网络攻击行为有增无减。时至今日,网络攻击曾经成为影响网络信息安全、业务信息安全的次要因素之一。

网络攻击是指利用网络存在的破绽和平安缺点对网络系统的软硬件及其零碎数据进行攻打的行为。TCP/IP协定作为网络的根底协定,从设计之初并没有思考到网络将会面临如此多的威逼,导致呈现了许多攻打办法。因为网络中的通信都源于数据包,通过对数据包的主动采集与解码剖析,能够疾速发现与追溯网络攻击。

TCP/IP协定

业界通常将TCP/IP协定栈划为四层:即链路层、网络层、传输层和应用层。

  • 链路层次要用来解决数据在物理介质(如以太网、令牌环等)的传输,实现网卡接口的网络驱动程序;
  • 网络层采纳IP协定是整个协定栈的外围,其次要性能是进行数据包的选路和转发,实现网际互联与拥塞管制等;
  • 传输层为主机间的应用程序提供端到端的通信,该层定义了两种协定即TCP与UDP;
  • 应用层的次要性能是解决应用程序的逻辑,比方文件传输、名称查问和网络管理等,位于该层的协定有基于TCP协定的FTP文件传输协定、HTTP超文本传输协定和基于UDP协定的域名服务DNS等。

TCP/IP协定模型层次结构图

因为 TCP/IP 协定有四层且每一层性能、协定各不相同,因而针对不同协定层攻打办法也各不相同:

针对链路层的攻打,次要是对网络硬件和基础设施进行物理毁坏或强行扭转路由器路由;IP协定与ARP协定是网络层最重要的两个协定,针对网络层的攻打,次要有IP碎片攻打、ARP 坑骗等;

因为TCP协定与UDP协定是传输层最次要的两个协定,因而针对传输层的攻打十分多,包含DOS攻打等;而应用层的协定是整个协定栈最多的,因而针对该层的攻打数量极为宏大,常见的如 DNS 坑骗等。

ARP攻打

ARP(Address Resolution Protocol,地址解析协定),将网络主机的 IP 地址解析成 MAC 地址,每台主机设施上都领有一个 ARP 缓存(ARP Cache),通过查看本人的 ARP 缓存,而后进行判断(如果有,能够间接映射;如果无,能够播送 ARP 申请包);

之后查看数据包中的指标 IP 地址是否与本人的IP地址统一,如果统一,能够发送 ARP 响应,告知 MAC 地址;当源节点在收到 ARP 响应数据包后,能够将失去的指标主机 IP 地址和 MAC 地址对映射表项增加至本人的 ARP 缓存中。

ARP协定工作原理

ARP 攻打就是通过伪造 IP 地址和 MAC 地址来实现 ARP 坑骗,通过在网络中制作大量的 ARP 通信量使网络阻塞,攻击者只有继续一直的收回伪造的 ARP 响应包就能更改指标主机 ARP 缓存中的 IP-MAC 条目,造成网络中断或中间人攻打,因而 ARP 攻打通常也被称作ARP坑骗。

只管ARP攻打仅能在以太网进行且门槛很低,造成的影响却很大,比方会呈现断网攻打、流量被限、账号被盗等状况。网络运维能够采取ARP防御机制,比方通过在交换机部署网络镜像,抓取可疑数据包剖析,也能够联合DHCP侦听、IP源防护等技术,保护网络安全。

DoS攻打

TCP 协定是基于流的形式,面向连贯的牢靠通信形式,能够在网络不佳的状况下升高零碎因为重传带来的带宽开销。

具体来说,TCP连贯的建设过程须要经验三个步骤,每一步同时连贯发送端与接收端,俗称“三次握手”:发送端收回SYN包,进入SYN_SENT状态,表明打算连贯的服务器端口以及初始序号,期待接收端确认;接收端收到SYN包,发送SYN_ACK,对发送端进行确认,进入SYN_RECV状态;发送端收到SYN_ACK包,向接收端发送ACK,单方连贯建设实现。

TCP的三次握手

因为TCP协定是面向连贯的传输控制协议,因而DoS攻打的次要目标就是使用户主机或网络无奈接管或解决外界申请。比方通过制作大流量的无用数据,造成网络拥塞,使被攻打的主机无奈和外界失常通信;利用反复连贯缺点,重复发送反复服务申请,使其无奈失常解决其它申请;又或利用协定缺点,重复发送攻打数据,占用主机或系统资源,导致死机等。

简略来说,DoS(Denial of Service)拒绝服务攻打通常应用数据包吞没本地零碎,以打搅或重大妨碍肯帮本地的服务响应外来非法的申请,使本地零碎奔溃。SYN flood 攻打是最常见的 DoS 攻打类型。

攻击者将本身 IP 源地址进行假装,向本地零碎发送 TCP连贯申请;本地零碎回复SYN-ACK至假装地址,导致本地零碎收不到RST音讯,无奈接管ACK回应,将始终处于半连贯状态,直至资源耗尽。攻击者发送连贯申请速度比 TCP超时开释资源速度更快,利用重复连贯申请,导致本地服务无奈接管其它连贯。

解决SYN flood 的最好办法就是做好防备策略,通过网络性能管理工具,主动筛选可疑数据包,缩短 SYN Timeout 工夫,设置 SYN Cookie,为每一个申请设置Cookie,如果短时间内收到某个IP的反复SYN报文,就认定为攻打,摈弃该IP地址。

DNS攻打

IP协定为了将数据信息包从原设施传送到目标设施,须要依赖IP地址与IP路由器。IP地址是机器语言,通常较长,所以只管IP地址具备唯一性,然而不不便记忆与应用,人们便在此基础上创造了DNS。DNS(Domain Name System)即域名零碎,域名通常较短,兼具可读性与实用性。因为域名与IP地址呈一一对应关系,因而,上网时只需在地址栏输出域名,零碎会间接进行域名解析,将域名翻译成IP地址。

在执行完域名搜寻后,域名服务器会保留域名记录,每条记录都会蕴含域名与IP地址。如果域名服务器的某条地址被人为批改,那么就能够人为操作用户的拜访地址,这种行为被称为“域名劫持”。“域名劫持”的始作俑者是域名服务器提供商,因而目前解决该问题的无效办法是弃用或换用域名服务器。

除“域名劫持”外,还有另外一种常见的DNS攻打叫做“域名净化”或“域名坑骗”。当电脑发送“域名查问”至域名服务器后,域名服务器会将回应发送回电脑,发送申请与接管信息是一个过程,两头会呈现时间差,网络攻击会在接管信息前,伪造谬误应答至电脑,那么该信息即为谬误IP。

面对网络攻击,咱们除了须要进步安全意识,踊跃尽责地保护零碎,增强防火墙设置外,还能够通过对数据包进行剖析进而追溯网络攻击。通过对网络数据进行采集与解码剖析,把握网络中最轻微的变动,针对网络攻击的特征值或者行为进行无效的告警信息配置,能够疾速定位网络中的攻打。也能够通过应用具备平安防护性能的网络性能管理工具,譬如天旦网络性能治理NPM,反对TCP端口扫描、ARP攻打与DOS攻打等可疑数据包主动剖析,实现主动告警,保障数据信息的失常传输与应用。

近期热文举荐:

1.1,000+ 道 Java面试题及答案整顿(2022最新版)

2.劲爆!Java 协程要来了。。。

3.Spring Boot 2.x 教程,太全了!

4.别再写满屏的爆爆爆炸类了,试试装璜器模式,这才是优雅的形式!!

5.《Java开发手册(嵩山版)》最新公布,速速下载!

感觉不错,别忘了顺手点赞+转发哦!