课件分享：D4-7 网络层攻击＃CISSP认证学习

每天叫醒你的不是闹钟，而是学习

01

TCP/IP架构和协议的脆弱性有很多。在各种操作系统中，不正确地实现TCP/IP 堆找很容易遭受缓冲区溢出攻击、SYN 泛洪攻击、各种DoS 攻击、碎片攻击、过长数据包攻击、欺骗攻击、中间人攻击、劫持攻击以及编码错误攻击。

除了这些侵入式攻击以外，TCP/IP( 以及大多数协议)还常常遭受通过监控或嗅探进行的被动式攻击。网络监控是对信息流量模式进行监控，从而获得网络相关信息的行为。数据包嗅探是从网络中捕获数据包井期望从信息数据包内容中抽取出有用信息的行为。有效的数据包嗅探器可以抽取出用户名、密码、电子邮件地址、加密密钥、信用卡号、IP 地址和系统名等信息。

02

接下来我们看一些常见的攻击：

拒绝服务攻击拒绝服务(DoS)攻击可以有多种形式，但其本质是对安全三元组中的可用性进行破坏。一般来说，有两种基本的拒绝服务攻击类型，一种是利用网络协议或系统的漏洞，发送异常的数据包，引起网络服务的不可用，另一种是通过巨量网络流量，使得网络不可用。

对于前一种拒绝服务攻击，最有名的就是死亡Ping。这一攻击利用了一个漏洞，即许多早期的网络堆栈并没有强制执行ICMP包的最大长度，即65,536个字节。如果攻击者发送的回波请求大于最大长度，那么许多常见操作系统将变得不稳定，最终会冻结或崩溃。虽然死亡Ping是我们过去的遗物，但它展示了目前仍然存在着类似的一整套攻击行为。

对于后一种拒绝服务攻击，最有名的则是SYN洪泛。这是一种利用TCP建立三次握手连接的攻击。客户机首先发送一个SYN包来建立一个TCP连接，然后从服务器发送一个SYN / ACK包，最后从客户端发送一个ACK包。服务器无法知道哪些连接请求是恶意的，因此它对所有这些请求进行响应。所以攻击者所要做的就是发送一个稳定的SYN数据包流，而忽略服务器的响应。服务器用来存储这些半链接的缓冲区空间有限，因此，如果攻击者可以发送足够的SYN包，就可以填充这个缓冲区，最终导致服务器删除所有后续的连接请求。

03

网络窃取或嗅探是对数据机密性的攻击，通过观察、监听、分析数据流和数据流模式，窃取敏感信息。在我们的网络内部，这种攻击需要一个嗅探代理。也就是说，攻击者首先必须突破网络，并安装一个嗅探器才能够进行攻击。

嗅探在网络维护和防御方面有着重要的作用，所以它的作用并不全是坏的方面。如果不使用这种技术，解决许多网络问题将非常困难。最明显的区别是，如果攻击者这样做，很有可能会泄露敏感信息。

04

DNS劫持是一种迫使受害者使用恶意DNS服务器而不是合法的DNS服务器的攻击。其中的技术很简单，可有以下三种分类。

基于主机从概念上讲，这是最简单的劫持攻击，攻击者只要将受害者的电脑的IP设置变到流氓DNS服务器上即可。显然，这需要目标终端的物理或逻辑访问通道，并且通常需要管理员权限。

基于网络在这种方法中，攻击者在网络中，但不在客户机或DNS服务器中。如本章前面所述，他能利用一种技术，如ARP列表缓存，将DNS通信重新定向到他自己的服务器上。

基于服务器如果合法的DNS服务器配置不合理，攻击者可以分辨出这一服务器，并在他想劫持的任何域名中使自己的服务器成为授权服务器。然后，每当一个合法服务器收到一个对劫持域名的请求，它会自动将它转发给流氓服务器。

-END-