-
单包攻击属于拒绝服务攻击的一种,单包攻击分类:
-
扫描探测攻击:扫描型攻击是一种潜在的攻击行为,并不具备直接的破坏行为,通常是攻击者发动真正攻击前的网络探测行为。如IP地址扫描攻击、端口扫描攻击。
-
畸形报文攻击:畸形报文攻击通常指攻击者发送大量有缺陷的报文,从而造成主机或服务器在处理这类报文时系统崩溃。如LAND攻击,Smurf攻击。
-
特殊控制报文攻击:特殊控制报文攻击通常使用正常的报文对系统或网络进行攻击,通常会导致系统崩溃、网络中断,或者用于刺探网络结构。如超大ICMP报文攻击、ICMP不可达报文攻击。
-
LAND攻击原理
-
在系统视图下,执行命令anti-attack enable可以使能所有的攻击防范功能(包括畸形报文攻击防范功能)。
-
泛洪攻击也是拒绝服务攻击的一种。
-
TCP SYN攻击原理
-
TCP SYN攻击利用了TCP三次握手的漏洞。在TCP的3次握手期间,当接收端收到来自发送端的初始SYN报文时,向发送端返回一个SYN+ACK报文。接收端在等待发送端的最终ACK报文时,该连接一直处于半连接状态。如果接收端最终没有收到ACK报文包,则重新发送一个SYN+ACK到发送端。如果经过多次重试,发送端始终没有返回ACK报文,则接收端关闭会话并从内存中刷新会话。在这段时间内,攻击者可能将数十万个SYN报文发送到开放的端口,并且不回应接收端的SYN+ACK报文。接收端内存很快就会超过负荷,且无法再接受任何新的连接,并将现有的连接断开。
-
泛洪攻击防范命令
-
anti-attacktcp-synenable命令用来使能TCP SYN泛洪攻击防范功能。
-
anti-attacktcp-syncar命令用来配置TCP SYN泛洪攻击报文的限制速率。如果收到的TCP SYN泛洪报文数目超过了限速值,设备会丢弃超出限速的报文,保证CPU的正常工作。
-
URPF的两种工作模式:
-
严格模式
-
严格模式下,设备不仅要求报文源地址在FIB表中存在相应表项,还要求接口匹配才能通过URPF检查。如图所示,在攻击者上伪造源地址为2.1.1.1的报文向S1发起请求,S1响应请求时将向真正的“2.1.1.1”即PC1发送报文。这种非法报文对S1和PC1都造成了攻击。如果在S1上启用URPF,则S1在收到源地址为2.1.1.1的报文时,URPF检查到以此报文源地址对应的接口与收到该报文的接口不匹配,报文会被丢弃。
-
建议在路由对称的环境下使用URPF严格模式,例如两个网络边界设备之间只有一条路径的话,这时,使用严格模式能够最大限度的保证网络的安全性。
-
松散模式
-
松散模式下,设备不检查接口是否匹配,只要FIB表中存在该报文源地址的路由,报文就可以通过。
-
建议在不能保证路由对称的环境下使用URPF的松散模式,例如两个网络边界设备之间如果有多条路径连接的话,路由的对称性就不能保证,在这种情况下,URPF的松散模式也可以保证较强的安全性。
-
IPSG基本原理
-
IPSG功能是基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查。当设备在转发IP报文时,将此IP报文中的源IP、源MAC、端口、VLAN信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该IP报文。如图所示,在S1上配置IPSG功能,对进入接口的IP报文进行绑定表匹配检查,合法用户发送报文的信息和绑定表一致,允许其通过;攻击者伪造的报文信息和绑定表不一致,S1将报文丢弃。
-
IPSG命令
-
绑定表可以通过DHCP动态绑定,静态IP需要手工进行绑定(user-bind static命令用来配置静态绑定表)。
-
ipsource check user-bind enable命令用来使能IP报文检查功能。
-
ipsource check user-bind check-item命令用来配置基于VLAN或接口的IP报文检查项,该命令只对动态绑定表生效。
-
如图所示是中间人攻击的一个场景。攻击者主动向PC1发送伪造PC3的ARP报文,导致PC1的ARP表中记录了错误的PC3地址映射关系,攻击者可以轻易获取到PC1原本要发往PC3的数据;同样,攻击者也可以轻易获取到PC3原本要发往PC1的数据。这样,PC1与PC3间的信息安全无法得到保障。
-
为了防御中间人攻击,可以在S1上部署动态ARP检测功能。
-
当S1上部署动态ARP检测功能后,如果攻击者连接到S1并试图发送伪造的ARP报文,S1会根据DHCP Snooping绑定表检测到这种攻击行为,对该ARP报文进行丢弃处理。如果S1上同时使能了动态ARP检测丢弃报文告警功能,则当ARP报文因不匹配DHCP Snooping绑定表而被丢弃的数量超过了告警阈值时,S1会发出告警通知管理员。
-
DAI命令
-
arpanti-attack check user-bind enable命令用来使能接口或VLAN下动态ARP检测功能,即对ARP报文进行绑定表匹配检查功能。
-
若在网络中部署IPSec,便可对传输的数据进行加密、完整性校验及源认证等处理,降低信息泄漏的风险。
-
SA是通信的IPSec对等体间对某些要素的约定,例如:对等体间使用何种安全协议、需要保护的数据流特征、对等体间传输的数据的封装模式、协议采用的加密算法、验证算法,对等体间使用何种密钥交换和IKE协议,以及SA的生存周期等。
-
SA由一个三元组来唯一标识,这个三元组包括安全参数索引SPI(SecurityParameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。
-
因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上,是基于UDP的应用层协议,可为数据加密提供所需的密钥,能够简化IPSec的使用和管理,大大简化了IPSec的配置和维护工作。
-
对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPSec SA。此后,对等体间的数据将在IPSec隧道中加密传输。
-
AH是报文头验证协议,主要提供数据源验证、数据完整性验证和防报文重放功能,不提供加密功能。
-
ESP是封装安全载荷协议,主要提供加密、数据源验证、数据完整性验证和防报文重放功能。
-
AH和ESP协议提供的安全功能依赖于协议采用的验证、加密算法。
-
IPSec加密和验证算法所使用的密钥可以手工配置,也可以通过因特网密钥交换IKE(Internet Key Exchange)协议动态协商。本课程主要讲解手工方式的IPSec隧道建立。
-
传输模式不改变报文头,故隧道的源和目的地址必须与IP报文头中的源和目的地址一致,所以只适合两台主机或一台主机和一台VPN网关之间通信。
-
隧道模式主要应用于两台VPN网关之间或一台主机与一台VPN网关之间的通信。
-
传输模式和隧道模式的区别在于:
-
从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据包进行验证和加密。隧道模式下可以隐藏内部IP地址,协议类型和端口。
-
从性能来讲,隧道模式因为有一个额外的IP头,所以它将比传输模式占用更多带宽。
-
IPSec采用对称加密算法对数据进行加密和解密。
-
验证指IP通信的接收方确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。
-
IPSec采用HMAC(Keyed-Hash Message Authentication Code)功能进行验证。HMAC功能通过比较数字签名进行数据包完整性和真实性验证。
原文始发于微信公众号(数据安全矩阵):基础的网络安全防范技术
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论