🏆 作者简介,愚公搬代码 🏆《头衔》:华为云特约编辑,华为云云享专家,华为开发者专家,华为产品云测专家,CSDN博客专家,CSDN商业化专家,阿里云专家博主,阿里云签约作者,腾讯云优秀博主,腾讯云内容共创官,掘金优秀博主,51CTO博客专家等。 🏆《近期荣誉》:2022年度博客之星TOP2,2023年度博客之星TOP2,2022年华为云十佳博主,2023年华为云十佳博主等。
🏆《博客内容》:.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。
🏆🎉欢迎 👍点赞✍评论⭐收藏
网络层攻击是指针对网络层协议(如IP协议)的攻击。这些攻击旨在破坏网络通信、拒绝服务、窃取数据等。以下是网络层攻击的一些常见类型:
对于网络层攻击的应急响应,以下是一些常见的措施:
网络层攻击的分析与应急响应需要综合使用技术工具、网络监控和日志分析等手段,及时发现和应对攻击行为,保障网络的安全和可用性。
以下内容属于固定流程,来源于书本整理。
网络层主要用于寻址和路由,不提供错误纠正和流控制服务。它将所有上层通信封装到IP数据报中,包括TCP、UDP、ICMP和IGMP等协议。尽管网络层的安全威胁较少,但它在主机到主机通信中起到了重要的帮助作用。网络层的安全性优点是透明性,不需要改动应用程序等其他部件来提供安全服务。然而,网络层的安全性缺点是缺乏对不同进程和相应条例的区别处理,可能导致功能不足和性能下降。
目前,进行DDoS攻击的防御还是比较困难的。首先,这种攻击的特点是它利用了 TCP/IP 的漏洞,除非不使用TCP/IP才有可能完全抵御 DDoS攻。
虽然它难于防范,但实际上防止 DDoS 攻击也并不是绝对不可能的事情Intemet的使用者是各种各样的,在与 DDoS 的战斗中,不同的角色有不同的任务。下面以企业网络管理员、ISPICP管理员、骨干网络运营商为例分别进介绍。
网络管理员作为企业内部网络的管理者,往往也是安全员、守护神。在他维护的网络中有一些服务器需要向外提供WWW服务,因而不可避免地成为DDoS的攻击目标,那么他该如何抵御DDoS攻击呢?可以从主机与网络设两个角度考虑。
1)主机上的设置
几乎所有的主机平台都有抵御DDoS的设置,基本的有以下几种。
(1)关闭不必要的服务。
(2)限制同时打开的 SYN 半连接数目。
(3)缩短 SYN 半连接的 time out 时间
(4)及时更新系统补丁。
2)网络设备上的设置
企业网的网络设备防火墙和路由器是与外界的接口设备,在进行防DDoS设置的同时,要注意可用性和安全性之间的平衡。
防火墙的设置如下。
(1)禁止对主机非开放服务的访问。
(2)限制同时打开的 SYN 最大连接数。
(3)限制特定IP地址的访问。
(4)启用防火墙的防 DDoS 属性。
(5)严格限制对外开放服务器的向外访问。
路由器的设置如下(以Cisco 路由器为例)。
(1)使用 Cisco Express Forwarding(CEF)。
(2)使用unicast reverse-path。
(3)访问控制列表(ACL)过滤。
(4)设置SYN 数据包流量速率。
(5)升级版本过低的 ISO。
(6)为路由器建立 log server。
其中,设置 CEF和Unicast 时要特别注意,如果设置不当会造成路由器作效率严重下降。升级IOS时也应谨慎。
ISP/ICP为很多中小型企业提供了各种规模的主机托管业务,所以在预防DDoS 攻击时,除了使用与企业网管理员一样的操作方法外,还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。
骨干网络运营商提供了Internet存在的物理基础。如果骨干网络运营商能很好地进行合作,那么 DDoS 攻击就可以很好地被预防。在Yahoo等知名网站被攻击后,美国的网络安全研究机构提出了骨干运营商联手解决 DDoS 攻击的方案。其实方法很简单,就是每家运营商在自己的出口路由器上进行源P地址的验证,如果路由表中没有找到这个数据包源IP的路由,就丢弃该数据包。这种方法可以阻止黑客利用伪造的源IP进行DDoS攻击。其缺点是会降低路由器的效率。
对 DDoS的原理与应对方法的研究一直在进行中,而找到既有效又切实可行的方案并不是一朝一夕的事情。但目前至少可以做到把自己的网络与主机维护好。首先,让自己的主机不成为别人利用的对象去攻击别人。其次,在受到攻击时要尽量地保存证据,以便事后追查,所以一个良好的网络和日志系统是必要的。总之,无论 DDoS 的防御向何处发展,都需要IT界的同行一起关注,通力合作。
(1)尝试开展网络监听。
(2)使用 Nmap 扫描端口。
(3)使用 tcpdump 抓包。
(4)使用 Wireshark 分析数据包。
使用 Nmap 进行扫描或攻击,使用tcpdump进行监听抓包,使用Wireshark进行数据包分析。
(1)开启 tcpdump 监听抓包,如图所示。
tcpdump工具的参数说明如下。
① tcp:ip、icmp、arp、rarp和 tcp、udp、icmp 这些选项都要放到第一个
tcpdump ip -i eth0 -t -s 0 -c 100 src net 192.168.182.129 -w ./target.cap
② -ieth0:只抓经过接口 eth0 的包。
③ -t:不显示时间戳。
④-s 0:抓取数据包时默认抓取长度为68 byte,加上“-s0”参数后可以抓到完整的数据包。
⑤-c 100:只抓取 100 个数据包。
⑥ src net 192.168.182.129:数据包的源网络地址为192.168.182.129。
⑦-w ./target.cap:保存成 cap 文件,方便使用 Wireshark进行分析。
(2)测试Windows设备 ping 通 Kali 时的抓包,如图所示。
(3)通过 Wireshark 分析抓包结果,如图所示。
(4)Kali Linux 通过"nmap -sS 192.168.182.1
”命令获得 Windows开通的服务,并重复步骤(1)~步骤(3),得到监听数据包后用Wireshark打开,可查看获得的扫描工具 nmap 的攻击数据包,如图所示。
在Wireshark软件中,通过菜单“文件”一“打开”命令读取网络数据包,如图所示。
运行菜单“统计”→“会话”命令,Wireshark将自动分析数据并显示分析结果,如图所示。
在IPv4选项卡中,可以看到各个IP的通信情况汇总,其中192.168.182.129与192.168.82.1有通信从而可以判定192.168.182.129为网络扫描的IP。
所谓 TCP的“三次握手”,即对每次发送的数据量如何跟踪进行协商,使数据段的发送和接收同步,根据所接收的数据量而确定数据发送、接收完毕后何时撤销联系,并建立虚连接。
为了提供可靠的传送,TCP在发送新的数据之前,会以特定的顺序命名数据包的序号,并需要这些包传送给目标主机之后的确认消息,当应用程序收到数据后要做出确认时也要用到 TCP。TCP 三次握手过程如图所示。
下面判断 192.168.88.156 的 135 端口是否开放,用到了 TCP 的三次握手理论在Wireshark 的过滤器中输入ip.addr-192.168.88.156 and tcp.port--135.
192.168.88.151发送Syn=1 Seq=0到192.168.88.156,如图所示。
192.168.88.156发送Syn=1 Ack=1 Seq=0到192.168.88.151,如图所示。
192.168.88.151发送Ack=1 Seq=1到192.168.88.156,如图所示。
通过完整的三次握手,说明192.168.88.151访问192.168.88.156的135端口的TCP连接是成功的,同时可以确认192.168.88.156的135端口是开放的。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。