●发送方将用户数据提交给应用程序把数据送达目的地,整个数据封装流程如下:
1.用户数据首先传送至应用层,添加应用层信息;
2.完成应用层处理后,数据将往下层传输层继续传送,添加传输层信息(如TCP或
UDP,应用层协议已规定是TCP还是UDP);
3.完成传输层处理后,数据将往下层网络层继续传送,添加网络层信息(如IP);
●完成网络层处理后,数据将往下层数据链接层继续传送,添加数据链层信息(如
Ethernet、802.3、PPP、HDLC等),而后以比特流方式传输至对端(中间根据不同类型设备处理方式不同,交换机一般只进行数据链路层信息处理,而路由器进行更高层网络层处理,只有到达最终目的地才能恢复原用户数据);
●用户数据到达目的地后,将完成解封装流程:
1.数据包先传送至数据链路层,经过解析后数据链路层信息被剥离,并根据解析信
息知道网络层信息,比如为IP;
2.网络层接收数据包后,经过解析后网络层信息被剥离,并根据解析信息知道上层
处理协议,比如TCP;
3.传输层(TCP)接收数据包后,经过解析后传输层信息被剥离,并根据解析信息知
道上层处理协议,比如HTTP;
4.应用层接收到数据包后,经过解析后应用层信息被剥离,最终展示的用户数据与
发送方主机发送的数据完全相同。
●应用层和传输层提供端到端服务,网络层和数据链路层提供段到段服务。
随着互联网的不断发展,TCP/IP协议族成为使用最广泛的网络互连协议。但由于协议在设计之初对安全考虑的不够,导致协议存在着一些安全风险问题。Internet首先应用于研究环境,针对少量、可信的的用户群体,网络安全问题不是主要的考虑因素。因此,在TCP/IP协议栈中,绝大多数协议没有提供必要的安全机制,例如:
1.不提供认证服务
2.明码传输,不提供保密性服务,不提供数据保密性服务
3.不提供数据完整性保护
4.不提供抗抵赖服务
5.不保证可用性——服务质量(QoS)
●针对交换机的Mac地址学习机制,攻击者通过伪造的源Mac地址数据包发送给交换机
,造成交换机学习到了错误的Mac地址与端口的映射关系,导致交换机要发送到正确目的地的数据包被发送到了攻击者的主机上,攻击者主机通过安装相关的嗅探软件,可获得相关的信息以实现进一步的攻击。
●通过在交换机上配置静态条目,绑定到正确的出接口,就能避免Mac欺骗攻击风险。
●前面讲到MAC泛洪,使用这个方法会为网络带来大量垃圾数据报文,对于监听者来说
也不是什么好事,很容易被发现,而且设计了端口保护的交换机可能会在超负荷时强行关闭所有端口造成网络中断。所以现在攻击者都偏向于使用地址解析协议ARP进行的欺骗性攻击。
●ARP实现机制只考虑业务的正常交互,对非正常业务交互或恶意行为不做任何验证。比
如当主机收到ARP响应包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表。
●在网络监听过程中,攻击者抢先合法主机B应答主机A发起的ARP请求;主机A被误导
建立一个错误的映射并保存一段时间,在这段时间内,主机A发送给主机B的信息被误导致攻击者。如果攻击者持续抢先应答ARP请求,数据流就可能被一直误导下去。如果攻击者模拟网络出口路由器发动ARP攻击,内部网络的所有出口信息都将被接管。如果攻击者将出口路由器IP和一个不存在的MAC地址进行映射,即可以导致发送方受到拒绝服务的攻击。
●ARP欺骗不仅仅可以通过ARP请求来实现,通过ARP响应也可以实现。
●IP欺骗是利用了主机之间的正常信任关系来发动的。基于IP地址的信任关系的主机之间
将充许以IP地址为基础的验证,允许或者拒绝以IP地址为基础的存取服务。信任主机之间无需输入口令验证就可以直接登录。
●IP欺骗攻击的整个步骤:
☐首先使被信任主机的网络暂时瘫痪,以免对攻击造成干扰;
☐然后连接到目标机的某个端口来猜测序列号和增加规律;
☐接下来把源址址伪装成被信任主机,发送带有SYN标志的数据段请求连接;
☐然后等待目标机发送SYN+ACK包给已经瘫痪的主机;
☐最后再次伪装成被信任主机向目标机发送的ACK,此时发送的数据段带有预测的目标机的序列号+1;
☐连接建立,发送命令请求。
●Smurf攻击方法是发ICMP应答请求,该请求包的目标地址设置为受害网络的广播地址
,这样该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞。高级的Smurf攻击,主要用来攻击目标主机。方法是将上述ICMP应答请求包的源地址改为受害主机的地址,最终导致受害主机雪崩。攻击报文的发送需要一定的流量和持续时间,才能真正构成攻击。理论上讲,网络的主机越多,攻击的效果越明显。
●针对Smurf攻击,在路由设备上配置检查ICMP应答请求包的目的地址是否为子网广播
地址或子网的网络地址,如果是,则直接拒绝。
IP地址扫描往往不是攻击者最终目的。攻击者通过IP地址扫描操作,获取目标网络的
拓扑结构和存活的系统,为实施下一步攻击做准备。
●TCP欺骗大多数发生在TCP连接建立的过程中,利用主机之间某种网络服务的信任关系
建立虚假的TCP连接,可能模拟受害者从服务器端获取信息。具体过程与IP欺骗类似。
例如:A信任B,C是攻击者,想模拟B和A之间建立连接。
1.C先破坏掉B,例如使用floogin, redirect, crashing等
2.C用B的地址作为源地址给A发送TCP SYN报文
3.A回应TCP SYN/ACK报文,从A发给B,携带序列码S
4.C收不到该序列码S,但为了完成握手必须用S+1作为序列码进行应答,这时C可
以通过以下两种方法得到序列码S:
☐ C 监听SYN/ACK报文,根据得到的值进行计算
☐ C 根据A操作系统的特性等,进行猜测
5.C使用得到的序列码S回应A,握手完成,虚假连接建立…
