Internet协议的安全性

Internet协议的安全性

文章目录

  • Internet协议的安全性
    • 1. 网络层
      • 1. `IP`*6
      • 2. `ARP`*3
      • 3. ICMP * 3
    • 2. 传输层协议
      • 1. `TCP`
        • 1. * SYN-Flood攻击
          • 攻击
          • 检测
          • * 防御
        • 2. TCP序号攻击
          • 攻击
        • 3. 拥塞机制攻击
      • 2. UDP
    • 3. 应用层协议
      • 1. DNS
        • 攻击*3
        • 防范*3:
      • 2. FTP
      • 3. TELNET: 改用ssh
      • 4. 电子邮件
        • 1. 攻击
        • 2. 防御
    • 4. 路由协议
      • 1. RIP
        • RIP流程复习
        • 协议缺陷:
        • 攻防:
      • 2. OSPF
        • OSPF流程复习
        • 协议缺陷
      • 3. BGP
        • BGP复习
        • 协议缺陷

1. 网络层

1. IP*6

攻击原理防御
IP源地址欺骗IP不认证源IP高层认证, 如IPsec的IKE
定向广播IP协议支持定向广播禁止定向广播
监听IP无加密加密, 如IPsec的ESP
完整性破坏IP仅CRC校验首部完整性校验, 如IPsec的AH和ESP
IP源路由选项IP支持指定往返路由路由器禁止源路由选项
IP分片攻击大包攻击
碎片攻击:头放几片里,可以绕过包过滤
分片重叠
不发完DoS
先重组,不分片, 序号(如IPsec)

2. ARP*3

攻击原理防御
ARP欺骗做中间人静态ARP, 永久ARP(下面一样)
ARP重定向不停告诉别人我是网关
MAC flooding给交换机狂发,占满表, 交换机变集线器不知道

3. ICMP * 3

攻击原理(ICMP没有验证可以伪造)防御
针对带宽DoS狂ping允许单方向ping
针对连接DoS发假的不可达终止连接阻止一些类型的ICMP
ICMP重定向利用重定向改变主机路由表,自己伪装成路由器,常和IP源地址欺骗结合阻止一些类型的ICMP

2. 传输层协议

1. TCP

1. * SYN-Flood攻击
攻击
  • 原理: 属于语义DoS攻击(利用协议缺陷),狂发SYN形成一堆半连接

  • 根据源地址欺骗(随机伪造,子网伪造,固定伪造)有放大攻击(DNS请求和响应大小远不同),反射攻击(固定伪造)

  • 防止SYN返回报文攻击到自己的方式就是源地址伪造

检测
  • 半开连接检测
  • 新建连接速率检测:检测不活动连接
* 防御
  • 源地址过滤

  • 释放无效连接:检测半开和不活动连接释放

  • 延缓TCB分配(收到SYN后分配的资源叫TCB)

  • 代理服务器(也算延缓TCB)

    • SYN proxy:窗口设为0

    • SYN cache: 用cache存半连接

    • SYN cookie: cookie, 第三次开TCB

    • Safe reset: cookie, 第三次发rst重连,后续不代理

      在这里插入图片描述

2. TCP序号攻击
攻击

TCP只有基于序号的认证,认证很弱,如果能猜到序号,人家就相信

先dos冒充对象

再连接攻击者来试探序号

再正式建立连接

在这里插入图片描述

3. 拥塞机制攻击

故意制造拥塞

防护:网关实时检测异常流量

2. UDP

攻击基于缺陷
UDP Flood是暴力DoS,没有拥塞控制
UDP欺骗没有连接没有认证

3. 应用层协议

1. DNS

攻击*3

DNS污染: 攻击DNS服务器

DNS欺骗: 假装DNS服务器

DNS中毒: 伪装其他服务器对DNS服务器响应

防范*3:
  1. 基于地址认证

  2. 不把秘密信息放在主机名里

  3. DNSsec

2. FTP

攻击防御
明文传输:登录用户名、密码以及传输内容都明文传输,易被窃听使用SFTP
1. 加密
2. 采用SSH(port22),避免开大量数据连接端口
两种方向的数据连接:PORT开放端口导致访问控制失效禁止PORT,只允许PASV
FTP反弹攻击:攻击者在PORT命令中指定特定的IP地址和端口号参数,将数据发送的第三方限制PORT指定的IP和port 或者关闭PORT
用户权限限制问题:如果FTP用户权限限制不合理,会导致授权访问不用root运行
匿名FTP问题:全球可读写的目录常用来存储和发布盗版软件或其它违法的软件或数据只读,取消匿名

3. TELNET: 改用ssh

无加密,无完整,无认证

4. 电子邮件

SMTP明文, 无认证

1. 攻击
  1. 邮件炸弹: 挤爆邮箱

  2. 垃圾邮件: 垃圾内容

  3. 社工

2. 防御
  1. 反垃圾: 过滤等

4. 路由协议

1. RIP

RIP流程复习

探寻邻居, 定期发整张路由表给邻居,然后看情况更新, 最后收敛,每个路由器都有完整拓扑

协议缺陷:
  • 不可靠的UDP传输
  • RIPv1没有认证, RIPv2用MD5但已被破解,总之就是没认证
攻防:
攻击防御
1. 攻击者可以伪造RIP路由更新信息,并向邻居发送, 经过收敛网络可能瘫痪
2.可以嗅探路由表,然后再破坏完整性截取或者重放
1. 配置路由器为被动接口(只进不出)
2. 增加认证
3. 配置访问控制,只允许指定IP更新报文

2. OSPF

OSPF流程复习

发的是相邻路由器的状态, 有变化才发, 给全网泛洪, 最后拿dijkstra算、

协议缺陷
  • 有认证,但是很多节点还是用口令
  • 会泛洪, 欺骗容易扩散

3. BGP

BGP复习

不是最佳路由,只保证不兜圈子,下层是TCP, 有IGP和EGP

协议缺陷

没有认证

解决:

MD5 BGP

S-BGP

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/462297.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【leetcode-53最大子数组和】

题目: 给你一个整数数组 nums ,请你找出一个具有最大和的连续子数组(子数组最少包含一个元素),返回其最大和。子数组是数组中的一个连续部分。 示例 1: 输入:nums [-2,1,-3,4,-1,2,1,-5,4] …

Java关于物联网消息引擎:EMQ X

1.背景 1、5G 时代,万物互联 随着5G的到来,万物互联已经成为现实,物联网行业得以蓬勃发展,催生了很多的应用,比如:物联网pass平台,车联网,面向云平台的IOT-Hub,NB-IoT蜂…

更安全的C gets()和str* 以及fgets和strcspn的用法

#include <stdio.h>int main() {char *str;gets(str);puts(str);return(0); }可以说全是错误 首先char *str没有指向一个分配好的地址&#xff0c;就直接读入&#xff0c;危险 ps: 怎么理解char *str "Hello World" 是将一个存储在一个只读的数据段中字符串常…

进程学习--02

在C语言中&#xff0c;一般使用fork函数开辟进程&#xff0c;这个函数开辟进程后会返回一个进程号&#xff0c;在子进程中会返回0&#xff0c;在父进程中会返回子进程的进程号。 int main(){int ret fork();if(ret<0){fprintf(stderr, "pid error");exit(-1);}e…

【嵌入式实践】【芝麻】【硬件篇-4】从0到1给电动车添加指纹锁:IO电路简单介绍

0. 前言 该项目是基于stm32F103和指纹模块做了一个通过指纹锁控制电动车的小工具。支持添加指纹、删除指纹&#xff0c;电动车进入P档等待时计时&#xff0c;计时超过5min则自动锁车&#xff0c;计时过程中按刹车可中断P档状态&#xff0c;同时中断锁车计时。改项目我称之为“芝…

linux最佳入门(笔记)

1、内核的主要功能 2、常用命令 3、通配符&#xff1a;这个在一些启动文件中很常见 4、输入/输出重定向 意思就是将结果输出到别的地方&#xff0c;例如&#xff1a;ls标准会输出文件&#xff0c;默认是输出到屏幕&#xff0c;但是用>dir后&#xff0c;是将结果输出到dir文…

基于springboot+vue实现艺术水平考级报名系统【项目源码+论文说明】计算机毕业设计

基于springbootvue实现艺术水平考级报名系统演示 摘要 本次毕业设计基于SpringBoot框架开发了一款艺术水平考级报名管理系统。该系统为考生提供了线上报名、准考证管理等核心功能&#xff0c;并为系统管理员提供了在线发布考试信息、对报名考生进行审核等管理功能。通过该系统…

一文搞懂PCL中自定义点云类型的构建与函数使用

上周猛男快乐开发时遇到个bug&#xff0c;要用pcl的函数对自定义的点云进行处理。一起解决问题时遇到了很多问题&#xff0c;解决后整理出来分享给各位参考&#xff0c;以免踩一样的坑&#x1f60a;。文章中自定义的点我用PointT来表示&#xff0c;自定义点云一般指的是pcl::Po…

SaaS智慧校园管理平台,智能电子班牌源码,智慧校园建设方案

电子班牌是什么&#xff1f; 电子班牌是一种智能交互终端&#xff0c;电子班牌可以解决“走班教学”考勤管理问题&#xff0c;将大数据、物联网和人工智能等新兴技术和教学管理工作融合&#xff0c;提升学校管理水平和管理效率。 电子班牌是在学校各教室门口安装高清可视化和具…

实验室管理系统 |基于springboot框架+ Mysql+JSP技术+Tomcat的实验室管理系统 设计与实现(可运行源码+数据库+设计文档)

推荐阅读100套最新项目 最新ssmjava项目文档视频演示可运行源码分享 最新jspjava项目文档视频演示可运行源码分享 最新Spring Boot项目文档视频演示可运行源码分享 目录 用户后台功能模块 用户后台管理 管理员功能登录前台功能效果图 系统功能设计 数据库E-R图设计 lunw…

论文阅读FCN-Transformer Feature Fusion for PolypSegmentation

本文提出了一种名为Fully Convolutional Branch-TransFormer (FCBFormer)的图像分割框架。该架构旨在结合Transformer和全卷积网络&#xff08;FCN&#xff09;的优势&#xff0c;以提高结肠镜图像中息肉的检测和分类准确性。 1&#xff0c;框架结构&#xff1a; 模型采用双分…

专题二 - 滑动窗口 - leetcode 904. 水果成篮 | 中等难度

leetcode 904. 水果成篮 leetcode 904. 水果成篮 | 中等难度1. 题目详情1. 原题链接2. 基础框架 2. 解题思路1. 题目分析2. 算法原理3. 时间复杂度 3. 代码实现4. 知识与收获 leetcode 904. 水果成篮 | 中等难度 1. 题目详情 你正在探访一家农场&#xff0c;农场从左到右种植…

【SQL Server】实验六 数据安全性

1 实验目的 掌握用户管理的基本方法&#xff0c;包括创建用户、删除用户和设置用户密码。掌握用户授权和回收权限的基本方法。掌握系统级权限和对象级权限的授权和回收方法掌握角色的使用方法 2 实验内容 2.1 掌握用户管理的基本使用方法 创建用户&#xff08;带密码&#…

RTP 控制协议 (RTCP) 反馈用于拥塞控制

摘要 有效的 RTP 拥塞控制算法&#xff0c;需要比标准 RTP 控制协议(RTCP)发送方报告(SR)和接收方报告(RR)数据包提供的关于数据包丢失、定时和显式拥塞通知 (ECN) 标记的更细粒度的反馈。 本文档描述了 RTCP 反馈消息&#xff0c;旨在使用 RTP 对交互式实时流量启用拥塞控制…

【每日力扣】235. 二叉搜索树的最近公共祖先与39. 组合总和问题描述

&#x1f525; 个人主页: 黑洞晓威 &#x1f600;你不必等到非常厉害&#xff0c;才敢开始&#xff0c;你需要开始&#xff0c;才会变的非常厉害。 235. 二叉搜索树的最近公共祖先 给定一个二叉搜索树, 找到该树中两个指定节点的最近公共祖先。 百度百科中最近公共祖先的定义…

简易版 RPC 框架实现 2.0 -netty实现

这一篇理解如果有难度&#xff0c;可能对netty不是很理解&#xff0c; 可以关注我netty专栏&#xff0c;还有另外一篇&#xff1a; 用 Netty 自己实现简单的RPC&#xff0c; 这一篇是学习netty的时候写的&#xff0c;更倾向于分析netty相关的知识&#xff0c; 今天我是学习dubb…

Delphi7应用教程学习1.3【练习题目】:文本及悬停文字的显示

这个例子主要用到了btn的Hint 属性&#xff0c;Hint是提示的意思。 还有Delphi7还是很好用的&#xff0c;改变了的属性是粗体&#xff0c;默认没有改变的属性为细体。

插入排序:一种简单而有效的排序算法

插入排序&#xff1a;一种简单而有效的排序算法 一、什么是插入排序&#xff1f;二、插入排序的步骤三、插入排序的C语言实现四、插入排序的性能分析五、插入排序的优化六、总结 在我们日常生活和工作中&#xff0c;排序是一种非常常见的操作。比如&#xff0c;我们可能需要对一…

B端界面又丑又乱,也不会总结规范,来,我给5个规范模板,照着学

发5个别人总结的规范&#xff0c;一定会对你的B端系统改进&#xff0c;有帮助的。

TSINGSEE青犀AI烟火识别等算法打造电瓶车消防安全解决方案

一、背景分析 根据国家消防救援局的统计&#xff0c;2023年全国共接报电动自行车火灾2.1万起&#xff0c;相比2022年上升17.4%&#xff0c;电动自行车火灾安全隐患问题不容忽视。 电瓶车火情主要问题和原因&#xff1a; 电瓶车/电池质量良莠不齐用户安全意识薄弱&#xff0c…