网络安全——传输层安全
传输层安全
传输层概述
传输层主要负责提供端到端的数据传输,传输层在终端用户之间提供透明的数据传输,向上层提供可靠的数据传输服务。传输层在给定的链路上通过流量控制、分段/重组和差错控制来保证数据传输的可靠性。传输层的一些协议(如TCP)是面向连接的,这就意味着传输层能保持对分段的跟踪,并且重传那些失败的分段。
传输核心功能
- 协议与端口:传输层可以为不同的应用提供不同的传输服务,每种服务使用的端口号也不相同
- 套接字:每一个端口都与套接字相关
- 排序:传输层会对比较大的数据进行分组,接收端需要进行排序
- 序列拦截:TCP为了快速滑窗协议/错误重传/避免重复接收,使用了序列号,刚开始随机,后来则有规律
传输层的威胁
拦截
开放端口的折中:暴露服务器的多个端口会加大风险隐患,但是开放端口越少,提供的服务就越有限
端口扫描:
采集服务信息,以便确定攻击的方式信息泄露
传输层传输的数据大多数情况下不会进行加密处理,这使得数据有被窃听的风险
TCP侦察
使用TCP协议进行信息的获取
1.初始窗口大小
2.TCP选项
3.序列号
4.客户端口号
5.重试
端口扫描
利用TCP建立连接的方式判断服务器开放了那些端口,一个简单的程序可以看文章
TCP扫描程序
TCP拦截
任何干扰TCP服务的攻击都属于TCP拦截
全会话拦截:攻击者有直接数据链路访问。一般会观察网络地址、端口以及连接的序号。需要比正常用户更快的响应才能拦截
如:伪装成免费上网的WIFI热点
ICMP和TCP拦截:ICMP能够报告不成功的连接或重定向网络服务。恶意ICMP能将TCP重定向到不同端口和不同的主机,攻击者需要知道TCP连接的序号。
TCP DOS攻击
针对TCP服务的拒绝服务攻击DOS很容易执行,任何对端口或序号的干扰都会使连接断开。
SYN攻击:服务器收到SYN包会分配内存,大量SYN会消耗可用内存;或在连接超时前耗
尽连接数,让服务不能再响应
RST和FIN攻击:攻击者在能看到网络通信数据的情况下,可以发RST(FIN)数据包来结束已建立的连接
缓解TCP攻击的方法
改变系统框架:优化系统的一些默认参数,让它能抵御一定能力的攻击;变更服务端口
阻断攻击指向:利用防火墙来允许可能的连接,阻断其他流量
识别网络设备:根据不同设备的已知漏洞,采取预防措施
状态分组检测:利用状态防火墙来拦截非正常的数据包
入侵检测系统IDS:利用IDS对网络进行监控,识别攻击、非正常的流量和访问行为,作出提醒
入侵防御系统IPS:扩展了IDS功能,提供保护应对行为。例如拦截已知攻击流量,或将试探攻击行为牵引到蜜罐系统中
UDP安全威胁
非法的进入源
UDP不需要握手协议,任何主机都能直接连接过来,无需鉴别,能淹没慢的UDP服务
UDP拦截
无需身份鉴别,任何人都能发送数据给UDP服务,这些数据必须UDP服务的上层应用协议才能处理。容易拦截和替换。
UDP保持存活攻击
UDP不能指示连接是关闭还是打开,防火墙在UDP端口空闲一段时间后才会关闭 。持续攻击让防火墙保持多个UDP端口打开,耗尽防火墙允许的连接数
UDP Smurf攻击
类似于ICMP Smurf攻击,攻击者假冒某主机(受害者)发送多组UDP数据给足够多的UDP服务,利用返回的UDP数据包将受害者主机淹没
UDP侦察
可以进行UDP端口扫描,如果某UDP端口没有打开,则会返回ICMP协议中的“目的不可达”数据包。可以利用UDP扫描来确认目标系统开启的服务,也可以耗尽目标系统的CPU资源
DNS风险及缓解方法
DNS(Domain Name System)的主要作用是将枯燥难记的IP地址转换为便于人们记忆的主机名称,大大方便了互联网许多应用
DNS不需身份验证,基于不可靠的UDP服务,存在安全风险。
需要针对的提出缓解方法
SSL协议(Sercure Scoket Layer)
- 真实性:客户机和服务机在进行握手时交换数字证书,通过验证证书来验证身份的真实性
- 机密性:加密客户机和服务之间传输的数据,保证了信息的机密性
- 完整性:通过加密算法和HASH算法保证传输数据的完整性
组成:
层1:握手协议:记录连接,协商密钥
层2:记录协议:定于数据的传输格式,SSL记录协议建立在传输层协议(如TCP)之上,为高层协议(如HTTP、FTP等)提供数据封装、压缩、加密等基本功能的支持。
网络安全——传输层安全相关推荐
- 网络安全——传输层安全协议(3)
作者简介:一名云计算网络运维人员.每天分享网络与运维的技术与干货. 座右铭:低头赶路,敬事如仪 个人主页:网络豆的主页 目录 前言 一.SSL密钥更改协议 二.SSL告警协议 关闭报警 ...
- 网络安全——传输层安全协议
作者简介:一名云计算网络运维人员.每天分享网络与运维的技术与干货. 座右铭:低头赶路,敬事如仪 个人主页:网络豆的主页 目录 前言 一.传输层安全协议 二.SSL协议背景 1.SSL协 ...
- 计算机网络4—传输层
udp协议:特点,首部各个字段 udp校验和怎么计算的 udp为什么要加伪首部,why伪包头 tcp协议:tcp与udp的概念相互区别及优劣 tcp的特点,首部 tcp通过哪些方式来保证可靠性 连接控 ...
- 计算机网络4小时速成:网络安全,被动攻击,主动攻击,对称加密,公钥秘钥,数字签名,鉴别,网络层安全协议IPsec,传输层安全协议SSL,防火墙,入侵检测系统
计算机网络4小时速成:网络安全,被动攻击,主动攻击,对称加密,公钥秘钥,数字签名,鉴别,网络层安全协议IPsec,传输层安全协议SSL,防火墙,入侵检测系统 2022找工作是学历.能力和运气的超强结合 ...
- Windows网络驱动、NDIS驱动(微端口驱动、中间层驱动、协议驱动)、TDI驱动(网络传输层过滤)、WFP(Windows Filtering Platfrom))
catalog 0.引言 1.Windows 2000网络结构和OSI模型 2.NDIS驱动 3.NDIS微端口驱动编程实例 4.NDIS中间层驱动编程实例 5.TDI驱动 6.TDI驱动 7.TDI ...
- TSL 传输层安全性协议
一. 介绍 传输层安全性协议 Transport Layer Security,TLS 及其前身安全套接层 Secure Sockets Layer,SSL是一种安全协议,目的是为互联网通信提供安全及 ...
- 传输层安全性(Transport Layer Security,TLS)-译
原文: 高性能网络浏览器-第四章传输层安全性(Transport Layer Security,TLS) 翻译: outshineamaze 介绍: SSL协议在网景公司最初开发支持电子商务网络交易安 ...
- Day5-2021.1.13 计算机网络原理 第八章 传输层+第九章 应用层 河北师范大学韩老师的视频
2021年1月13日 时间都去哪了? 今日计划:计算机网络的传输层和应用层看完视频.整理计网面经.面经才是重要的,笔记不用很细心,又不是期末考试. 今日工作:计算机网络的传输层和应用层看完视频. 今日 ...
- 计算机网络05:传输层
文章目录 5.1.传输层的两个协议 5.1.1.概述 5.1.2.TCP & UDP 协议的应用场景 5.1.3.传输层的端口 5.1.4.传输层协议和应用层协议之间的关系 5.1.5.网络安 ...
最新文章
- MySQL 5.7.2 发布,增强性能和可扩展性
- 粗选公式-通达信(东方财富网)
- Github 优秀开源项目 Best Open Source Projects
- 台式电脑可以连接手机热点吗_移动硬盘可以连接手机吗
- python 函数式 panda_python – 反向中的Pandas分裂函数
- YII中session和cookie
- Ruby实例方法和类方法的简写
- 这8个方法让你成为最优秀的程序员
- 60-60-020-API-Kafka Java consumer动态修改topic订阅
- 编译器、Make和CMake之间的关系
- 01.00 简单工厂模式
- OpenCV图像处理(17)—— 各种二值化对比
- structs - 标签库(html)
- jmeter接口性能测试实例
- java 正整数类型_跟我学java编程—认识java的整数类型
- JDK8中Lambda 表达式语法糖脱糖[非原创]
- fatal: unable to auto-detect email address (got ‘...@...(none)‘)
- Folium库使用心得(二)
- python中的统计模型库——statsmodels
- 如何使用RenderDoc截帧分析Godot
热门文章
- 不知道图片添加水印软件有哪些?推荐这三款给图片加水印的软件
- 苹果IOS内置应用介绍
- Google Research提出StylEx:训练GAN可视化解释每个属性如何影响分类模型 | ICCV2021...
- 计算机毕业设计(附源码)python中国朝鲜族民族特色服务系统
- 根号里3+根号三,一直重复
- C语言实现动态通讯录版本二
- C语言:求最小公倍数和最大公约数
- 论文阅读_基于知识的提示学习KnowPrompt
- 【有利可图网】实用!关于PS AI CDR 的格式互转教程!
- snap 无法卸载_ubuntu中snap包的安装、更新删除与简单使用