概览

第一部分：按各层次攻击分类
应用层：漏洞，缓冲区溢出攻击，WEB应用的攻击，病毒及木马
传输层：TCP欺骗，TCP拒绝服务，UDP拒绝服务，端口扫描
网络层：IP欺骗，Smurf攻击，ICMP攻击，地址扫描
链路层：MAC欺骗，MAC泛洪，ARP欺骗
物理层：设备破坏，线路监听

第二部分：防火墙对常见攻击的防范原理
流量攻击
扫描窥探攻击

第一部分

一.数据链路层的安全问题及防范

1.MAC欺骗
攻击原理：攻击者将自己的MAC地址更改位受信任系统的地址（伪装）

造成影响：仿冒用户，截取数据帧

防范策略：在交换机上配置静态条目，将特定的MAC地址始终与特定的端口绑定

2.MAC泛洪
攻击原理：因为交换机的MAC学习机制，MAC表项的数目限制，交换机的转发机制，攻击者向交换机发酥大量的二层数据帧，以快速填满交换机的MAC表，MAC表填满之后，开始将后续的帧进行泛洪，导致整个网络系统中的链路还有交换机处于拥塞的状态，直至崩溃

造成影响：（1）试交换机无法正常工作(MAC表满)（2）网络中流量增大

防范策略：配置静态的MAC转发表，配置端口的MAC学习数目限制

3.ARP欺骗
攻击原理：攻击者抢先合法主机发出的ARP请求作出应答，这样要发送给合法主机的数据就会发送到伪装主机处

造成影响：截获数据

防范策略：主机手动配置MAC表

二.网络层的安全问题及防范

1.IP欺骗攻击
攻击原理：攻击者使用相同的IP地址可以魔法网络上的合法主机，来访问关键信息

造成影响：伪装成某一合法用户

攻击步骤：
（1）首先使被信任主机的网络暂时瘫痪，以免对攻击造成干扰（攻陷要伪装的主机）
（2）连接到目标机的某个端口来猜测序列号和增加的规律
（3）接下来把源地址伪装成被信任的主机，发送带有SYN标志的数据段来请求连接
（4）等待目标机发送SYN+ACK包给已经瘫痪的主机
（5）最后再此伪装成被信任主机向目标发送ACK，此时发送的数据段带有预测的目标机的序列号+1
（6）连接建立，发送命令请求

2.Smurf攻击（DDOS攻击的一种）
攻击原理：攻击者发送ICMP请求，请求包的目标地址设置为受害网络的广播地址，这样该网络中的所有主机对此ICMP请求作出答复，导致网络阻塞，高级的Smurf攻击，主要使用来攻击目标主机，方法是将上述ICMP请求包的源地址改为被迫害的主机，最终导致受害主机雪崩，网络中的主机越多，攻击效果越明显

造成影响：（1）被攻击网络内流量增大（2）接受ICMP应答包的主机可能会宕机

防范策略：检查ICMP请求包的目的地址是否为子网广播地址或子网的网络地址，如果是则直接拒绝

3.ICMP重定向和不可达攻击
攻击原理：ICMP重定向报文是ICMP控制报文中的一种，在某些情况下，当路由器检测到一台机器上使用非优化路由的时候，他会向该主机发送一个ICMP重定向报文，请求主机改变路由。ICMP协议虽然不是路由协议，但是他可以指导数据包的流向。攻击者通过向主机发送ICMP重定向数据包，使受害人主机数据包发送不到正确的网关，以达到攻击目的

造成影响：使用户的数据不按正常的路径转发，造成网络断开

防范策略：修改注册表关闭主机的ICMP重定向报文处理

4.IP地址扫描攻击
攻击原理：攻击者运用ICMP报文探测目标地址，或者使用TCP/UDP报文对一定地址发起连接，通过判断是否有应答报文，以确定哪些目标系统存活并连接在目标网络上

造成影响：使攻击者获悉存在的网络主机，对后续进攻作准备

防范策略：设置主机使其不对ping请求作出应答

三.传输层安全问题及防范

1.TCP欺骗
描述：利用主机之间某种网络服务的信任关系建立虚拟的TCP连接，可能模拟受害者从服务器端获取信息，具体过程类似于IP欺骗攻击

攻击原理：
（1）攻击者先将要伪装的主机攻克
（2）攻击者用被攻克的主机的地址作为源地址给目的主机发送TCP SYN报文
（3）目标主机回应TCP SYN/ACK报文，携带序列码S
（4）C收不到序列码，但为了完成握手必须使用S+1作为序列码进行应答，这时C可以通过监听SYN/ACK报文，根据得到的值进行计算或者根据操作系统的特新进行猜测
（5）攻击者使用得出的序列码S回应给目标主机，握手完成，虚假连接建立

2.TCP拒绝服务攻击—SYN Flood攻击
攻击原理：SYN报文是TCP连接的第一个报文，攻击者通过大量发送SYN报文，造成大量未完全建立的TCP连接，占用被攻击者的资源

解决方法：关闭处于Half Open状态的连接

3.端口扫描攻击
攻击原理：攻击者通常使用一些软件，先大范围的主机的一系列TCP/UDP端口发起连接，根据应答报文判断主机是否使用这些端口提供服务

防范策略：配置端口扫描攻击防范参数后，设备对进入的TCP，UDP，ICMP报文进行检测，并以每个源地址作为索引，判断该源地址发送报文的目的端口与前一报文的目的端口是否不同，如果是则异常数加1，当异常频率到达阈值时，则认为该源IP地址的报文为端口扫描攻击，并将该源ip地址加入黑名单

第二部分

一.流量型攻击

一.SYN Flood攻击防范（DDOS）
攻击介绍：采用源地址伪造的方式对目标主机发送大量的SYN报文，导致目标主机瘫痪
处理方法：
·采用TCP PROXY的方式进行SYN Flood攻击防御，其基本参数就是需要指定对哪些主机进行保护
·反向源探测技术
·目标主机进行SYN报文限速的方式进行防御

SYN Flood攻击和SYN报文扫描攻击
SYN Flood攻击的源地址不是真实的，是伪造的
SYN 报文扫描的源地址是真实的，不是伪造的

SYN报文扫描攻击可以加入黑名单
SYN Flood攻击不可能加入黑名单

1.TCP Proxy技术

使用TCP代理，检测源IP是否存在

2.TCP反向源检测
防范原理：收到SYN报文时，会对源IP是否存在进行探测
如果源IP不存在，则说明可能时攻击报文，将其予以丢弃
如果源IP有效，则将正确的源IP地址加入白名单，此源IP地址的TCP报文进行直接转发

由于反向源检测机制不会受会话表是否成功建立的影响，所以推荐使用反向源探测技术来进行SYN Flood的攻击防范。如果必须使用TCP代理方式的攻击防范，则必须开启状态检测机制

二.Connection Flood 攻击防范
攻击介绍：攻击者向被攻击服务器发送大量的请求，使被攻击者服务器产生大量连接而不能受理合法用户的请求

处理方法：
·USG统计用户向服务器发送的报文，如果在设定的时间间隔内用户发送的报文少于设定的阈值，则认为该用户不合法
·防火墙统计用户和服务器建立的连接数，如果在设定的时间间隔内用户建立的连接数大于设定的阈值，则认为该用户不合法
·USG将不合法的IP地址加入黑名单

与SYN Flood不同，TCP全连接攻击是指攻击者与被攻击对象正常建立了连接，但是却没有后续的报文，占用被攻击者的资源的攻击的行为，通过配置防范功能，将TCP连接建立后不继续进行报文交互的连接作为不正常连接。当不正常连接超过阈值时，对其进行阻断

三.ICMP/UDP Flood攻击防范
攻击介绍：短时间内向特定目标发送大量的UDP/ICMP报文，致使目标系统负担过重而不能处理合法的连接
处理方法：检测通向特定目的地址的UDP报文速率，当速度超过设定阈值上限时，设定攻击标识并做CAR处理，对攻击记录日志，当速率低于设定的阈值下线，取消攻击标志，允许所有报文通向特定目的地址

ICMP/UDP是无连接的协议，因此不能提供类似 SYN FLOOD代理的方式的防御方法

二.扫描窥探攻击

一.地址扫描攻击防范
攻击介绍：利用ping程序来探测目标地址，以用来确定目标系统是否存活的标识，也可使用TCP/UDP报文对目标系统发起探测
处理方法：
检测进入防火墙的ICMP，TCP和UDP报文，由该报文的源IP地址获取统计表项的索引，如目的IP地址与前一报文的目的IP地址不同，则将表项中的总报文个数增1.如在一定时间内报文的个数到达设置的阈值，记录日志，并根据配置决定是否将源IP地址自动加入到黑名单

二.端口扫描
攻击介绍：通常使用一些软件，向大范围的主机的一系列TCP/UDP端口发起连接，根据应答报文判断主机是否使用这些端口提供服务
处理方法：检测进入的TCP或UDP报文，由该报文的源IP地址获取统计表项，如目的端口与前一报文不同，将表项中的报文个数增1，如在一定时间内报文的个数到达设置的阈值，记录日志，并根据配置决定是否将源IP地址自动加入到黑名单

网络安全之TCP/IP协议栈常见安全风险及防范办法相关推荐

TCP/IP协议栈到底是内核态好还是用户态好？
"TCP/IP协议栈到底是内核态的好还是用户态的好?" 问题的根源在于,干嘛非要这么刻意地去区分什么内核态和用户态. 引子为了不让本文成为干巴巴的说教,在文章开头,我以一个实例分 ...
TCP/IP协议栈到底是内核态的好还是用户态的好？
"TCP/IP协议栈到底是内核态的好还是用户态的好?"这根本就是一个错误的问题,问题的根源在于,干嘛非要这么刻意地去区分什么内核态和用户态. 引子为了不让本文成为干巴巴的说教,在 ...
TCP/IP 协议栈4层结构及3次握手4次挥手
TCP/IP 协议栈是一系列网络协议的总和,是构成网络通信的核心骨架,它定义了电子设备如何连入因特网,以及数据如何在它们之间进行传输.TCP/IP 协议采用4层结构,分别是应用层.传输层.网络层和链路 ...
OSI七层 TCP/IP四层 TCP/IP协议栈：不同的通信协议的大集合
应用层: 网络服务与最终用户的一个接口. 协议有:HTTP FTP TFTP SMTP SNMP DNS TELNET HTTPS POP3 DHCP 表示层: 数据的表示.安全.压缩.(在五层模型里 ...
TCP/IP 协议栈及 OSI 参考模型详解--云平台技术栈04
导读:之前发布了云平台技术栈(ps:点击可查看),本文主要说一下其中的tcp/ip和网络! 来源:王东裕 http://wangdy.blog.51cto.com/3845563/1588379 OS ...
渣渣小本求职复习之路每天一博客系列——TCP/IP协议栈（5）
前情回顾:一篇短短的博客明显不能满足TCP和UDP这两个饥渴的汉子,而且还被应用协议占了一小半的篇幅.在昨天结束之后,相信大家都基本对TCP/IP协议栈的轮廓有一个大概的印象了,能够对整体有所把握. ...
TCP/IP 协议栈及 OSI 参考模型详解
TCP/IP 协议栈及 OSI 参考模型详解转载地址:http://www.codeceo.com/article/tcp-ip-osi-model.html OSI参考模型 OSI RM:开放系统 ...
网络编程-TCP/IP协议栈-IP协议
协议协议就是约定的一种规则,例如扑克游戏中约定好的各种规则,2<3<4<5<-等,以此作为游戏规则.当所有人都遵循这个规则,那么久可以不需要任何多余的交流就可以进行游戏,这个 ...
-1-7 java 网络编程基本知识点计算机网络 TCP/IP协议栈通信必备 tcp udp
计算机网络是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来, 在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统. 网络编程 ...

网络安全之TCP/IP协议栈常见安全风险及防范办法

概览