网络中的一些攻击方式和防御方式

Posted on

一、归纳嗅探、截获、拒绝服务、欺骗攻击方法及防御措施

1、 嗅探攻击

嗅探攻击是被动攻击,攻击的目的是复制经过网络传输的信息,且这种复制过程一是不影响信息的正常传输过程,二十对网络和主机来说都是透明的。

原理:
在终端A和B的信息传输过程中,信息不仅沿着终端A到终端B的传输路径传输,还沿着
终端A至黑客终端的传输路径传输,而且终端A至黑客终端的路径对终端A和终端B都是透明的。

攻击方法:

1
2
3
(1) 接入集线器
(2) 交换机MAC表溢出攻击
(3) 嗅探无线通信过程中传输的信息

防御措施:

1
2
3
(1)	对于通过接入集线器实现的嗅探攻击,防御措施一般为防止黑客终端接入集线器。
(2)	对于通过交换机实现的嗅探攻击,一是需要有防止黑客终端接入交换机的措施,二是交换机需要具有防御MAC表溢出攻击的机制。如:在Cisco交换机中启用Port Security,限制每个端口可以出现的MAC地址,可以抑制MAC洪泛攻击。
(3)	对于无线通信的过程,防御措施为对信息进行加密,使得黑客终端即使嗅探到信息,也因为无法对信息解密而无法破坏信息的保密性。

2、 截获攻击

截获攻击是主动攻击,解惑攻击需要改变信息传输的路径,是的星系传输路径经过黑客终端。黑客终端截获信息后,可以继续转发该信息,转发篡改后的信息、重复多次转发该信息。

原理:黑客首先需要改变终端A至终端B的传输路径,将终端A至终端B的路径变为 终端A黑客终端终端B ,使得终端A传输给终端B的信息必须经过黑客终端,这样的话黑客终端就可以截获终端A传给终端B的所有信息了。

攻击方法:

1
2
3
4
5
(1)	MAC地址欺骗攻击
(2)	DHCP欺骗攻击
(3)	ARP欺骗攻击
(4)	生成树欺骗攻击
(5)	路由项欺骗攻击

防御措施:

1
2
3
4
5
6
7
(1)	防止MAC地址欺骗攻击一般可以采用阻止黑客终端连入以太网,还可以阻止黑客终端发送的以伪造的MAC地址为源MAC地址的MAC帧进入以太网。
(2)	防御DHCP欺骗攻击的关键是不允许伪造的DHCP服务器接入局域网,如以太网交换机端口只允许接受经过验证的DHCP服务器发送的DHCP提供和确认消息。
(3)	防御ARP欺骗攻击关键在于鉴别ARP报文是否真实,因为终端没有鉴别ARP请求和响应报文中IP地址与MAC地址绑定项真伪的功能,因此,需要以太网交换机提供鉴别ARP请求和响应报文中IP地址与MAC地址绑定项真伪的功能,以太网交换机只继续转发正确的IP地址与MAC地址绑定项的ARP请求和相应报文。
最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。 欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
使用ARP防护软件 ,目前关于ARP类的防护软件出的比较多了,大家使用比较常用的ARP工具主要是欣向ARP工具,Antiarp等
(4)	实施生成树欺骗攻击的前提是,黑客终端可以伪造成交换机参与网络生成树的建立过程,并通过配置很小的交换机优先级,使得网络中其他交换机构建生成树的过程中将黑客终端作为根交换机。因此,防御生成树欺骗攻击的前提是,不允许黑客终端参与网络生成树的建立过程,即只在用于实现两个认证交换机之间互连的交换机端口启动生成树协议。
(5)	为了防御路由项欺骗攻击,路由器接收到路由消息后,首先需要鉴别路由消息的发送端,并对路由消息进行完整性检测,确定路由消息是由经过认证的相邻路由器发送,且路由消息传输过程中没有被篡改过后才继续处理该路由消息,并依据处理结果更新路由表。

3、 拒绝服务攻击

拒绝服务攻击是主动攻击,可以通过协议的漏洞发起攻击,可以通过大量对服务器的请求造成服务器的瘫痪或是耗尽网络带宽。

原理:拒绝服务(Dos,Denial of Service)攻击就是用某种方法耗尽网络设备、链路或服务器资源,使其不能正常提供服务的一种攻击手段。

攻击方法:

1
2
3
(1)	SYN泛洪攻击
(2)	Smurf攻击
(3)	DDoS攻击

防御措施:

1
2
3
4
5
(1)	因为实施SYN泛洪攻击的前提是伪造源IP地址,因此,最直接的防御SYN泛洪攻击的办法是使网络具有阻止伪造源IP地址的IP分组继续传输的功能。还可以采取只对处于完成状态的TCP连接分配连接项的办法,这样,SYN泛洪攻击将无法耗尽会话表中的连接项。
(2)	因为在Smurf攻击中,黑客终端发送的ICMP ECHO请求报文封装成以攻击目标的IP地址为源IP地址的IP分组,即IP分组的源IP地址是伪造的,因此,最直接的防御Smurf攻击的办法是使网络具有阻止伪造源IP地址的IP分组继续传输的功能。
在Smurf攻击中,为了放大攻击的效果,黑客终端发送的ICMP ECHO请求报文封装成以直接广播地址为目的IP地址的IP分组,因此,路由器阻止以直接广播地址为目的IP地址的IP分组继续转发也可以有效防御Smurf攻击。
主机系统拒绝响应ICMP ECHO请求报文也可以有效防御Smurf攻击。
(3)	防御DDoS攻击一是需要尽可能减少肉鸡,这就要求连接在互联网上的主机能够具被防御病毒和黑客入侵的能力。二是使主机系统拒绝响应ICMP ECHO请求报文。三是,网络具有统计目的IP地址相同的ICMP ECHO响应报文,或ICMP差错报文数量的能力,如果网络中单位时间内经过目的IP地址相同的ICMP ECHO响应报文,或ICMP差错报文的数量超过设定的阈值,网络能够丢弃部分ICMP ECHO响应报文或ICMP差错报告报文。

4、 欺骗攻击

原理:欺骗攻击是主动攻击,是一种用错误的信息误导网络数据传输过程和用户资源访问过程的攻击行为。

攻击方法:

1
2
(1)	源IP地址欺骗攻击
(2)	钓鱼网站

防御措施:

1
2
(1)	防御源IP地址攻击主要是判别IP分组的源IP地址是否与发送该IP分组的终端的IP地址一致,如果不一致就终止该IP分组的转发过程。
(2)	防御钓鱼网站的关键主要是主机要具有防御黑客入侵的能力,黑客无法修改主机信息。还有就是以太网交换机具有防止伪造的DHCP服务器接入的能力,只允许经过认证的DHCP服务器接入以太网,还有就是终端应该具有鉴别Web服务器的能力,验证过Web服务器的身份之后,才继续对Web服务器进行访问。