协议栈的脆弱性和常见安全风险？协议栈的主要工作流程

名词解释

大数据：是指主流软件工具无法在合理的时间内捕获、管理、处理和组织的大量数据，以帮助企业做出更主动的业务决策。

云计算：是指通过网络提供计算资源（服务器、存储、数据库、软件开发平台等）和服务的模式。用户无需直接管理和控制这些资源；即可检索和使用它们。这些资源可按需提供。这种服务方式大大增加了计算机资源的灵活性和可扩展性，降低了用户的IT成本和维护难度。

云服务器：提供云计算服务的虚拟化服务器，通过互联网提供计算、存储、网络等资源并让用户按需使用。

人工智能：研究和开发用于模拟、增强和扩展人类智能的理论、方法、技术和应用系统的一门新兴技术科学。

网络空间：相互依赖的信息基础设施的网络。

信息安全：防止未经授权的数据访问或防止有意或无意的信息泄漏、破坏、丢失或其他问题，使数据处于不构成威胁的状态或财产远离危险的措施。

网络安全：计算机网络环境中的信息安全。

漏洞：资产或控制中可能被一个或多个威胁利用的弱点。

攻击：任何破坏、泄露、改变、损坏、盗窃或未经授权访问或使用财产的企图。

入侵：未经授权访问网络或网络系统。换句话说，是对信息系统有意或无意的未经授权的访问，例如针对信息系统的恶意行为或滥用信息系统内的资源。

0day漏洞：通常指尚未修补的漏洞。换句话说，当局还没有发现这个漏洞，也没有开发安全补丁。

后门：如何绕过安全控制并访问程序或系统

WEBSHELL：以asp、php、jsp、cgi等网页文件形式存在的命令执行环境。也称为网络后门。

社会工程学：通过对受害者的心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱注入欺骗、伤害或其他有害手段来获取自身利益的方法。

Exploit：exp，称为exploit

APT 攻击：高级持续威胁。一种利用先进攻击技术对特定目标进行长期、持续的网络攻击的攻击形式。

协议栈的脆弱性和常见安全风险

协议栈本身的漏洞体现在：

缺乏数据源验证机制

缺乏完整性验证机制

缺乏保密保证机制

基本网络攻击模式：

1. 拦截：窃听

2. 篡改：数据包的篡改（伪造）

3. 中断：拒绝服务（剂量）

4. 伪造：欺骗（冒充）

被动威胁：窃听（保密）

主动威胁：篡改（完整性）、破坏（可用性）、伪造（真实性）

1、物理层

1.1 物理攻击

物理设备损坏：

指攻击者对网络上的各种物理设备，如服务器设备、网络传输/通信设备等进行直接破坏。

设备破坏攻击的主要目标是破坏网络服务。

窃听物理设备：

光纤监控

红外监控

2、链路层

2.1 MAC洪泛攻击

为了完成数据的快速传输，交换机中有一张记录MAC地址的表，并且这张表具有自动学习机制。

洪泛攻击是指攻击者利用这种学习机制不断向交换机发送不同的MAC地址，填满整个MAC表。目前交换机只能广播数据，攻击者可以利用广播数据来获取信息。

交换机工作原理：交换机接收数据时，首先记录数据帧中的源MAC地址与交换机端口的映射关系，并将其存储在MAC地址表中。然后，它将目标MAC 地址与MAC 地址表中的记录进行比较，以确定要转发的端口。如果不在表中，就会发生泛洪。

MAC洪水攻击原理：攻击者通过发送大量虚假MAC地址来填满交换机中的MAC地址表。因此，当另一台主机发送数据帧时，交换机会洪泛该数据帧，攻击者就可以接收到该帧。来自其他主机的数据帧。

特点：攻击者需要发送大量假MAC地址，并向交换机发送大量数据帧，占用大量攻击者自身带宽和交换机带宽，导致人和自己都难以识别对双方都不利。

2.2 ARP欺骗

如果A和B需要通信：

A发送ARP请求请求B的MAC地址。

黑客继续向A发送ARP Replies，冒充B（此时A认为收到的MAC地址是B的，但实际上是属于黑客的）

然后，从A发送到B的正常数据包被发送给黑客。

ARP协议：通过广播请求获取目标设备的MAC地址。当一台设备需要向另一台设备发送数据时，它会向LAN 中的所有设备发送ARP 请求，询问它们的MAC 地址是否与指定的IP 地址相对应，目标设备收到该请求后会返回ARP 响应。告诉请求者MAC 地址

ARP欺骗原理：通过发送伪造的ARP报文，使目标设备误认为攻击者是网关或其他设备，达到欺骗目标设备的目的。这样，攻击者就可以接收并拦截目标设备发送的数据包或篡改数据包的内容。

3、网络层

3.1 ICMP攻击

ICMP 协议：TCP/IP 协议族的一个子协议，用于在IP 主机和路由器之间发送控制信息。这些控制消息用于处理有关网络本身的消息，例如网络故障、主机是否可达、路由是否可用等。

ICMP攻击原理：利用ICMP协议的特性，伪装成受害设备，向目标设备发送无效或大流量的ICMP报文，耗尽目标设备的资源，导致目标设备瘫痪。

4、传输层

4.1 TCP SYN Flood攻击

SYN 消息是TCP 连接的第一个消息。攻击者发送大量的SYN报文，大量不完整的TCP连接占用了攻击者的资源。 – – 拒绝服务攻击

TCP协议是有状态的协议

TCP SYN Flood攻击原理：客户端不断向目标设备发送SYN请求建立连接。目标设备将ACK 发送回客户端，并在等待客户端ACK 的同时发送SYN 请求。占用目标设备上的资源。建立太多会话可能会耗尽目标设备的资源。

防止SYN洪水攻击：

使用代理防火墙或每个目标IP 代理阈值、每个目标IP 数据包丢失阈值

第一次丢包

同步cookie

1. 使用代理防火墙或每个目标IP 代理阈值、每个目标IP 数据包丢失阈值。

在客户端和服务器之间设置代理服务器。只有客户端与代理防火墙建立连接后，代理防火墙才与服务器建立连接，客户端和服务器才建立连接。

但是，如果代理服务器受到攻击而崩溃，服务器将无法连接到外界。

一旦访问IP超过阈值，将不再与其他IP建立连接，严重限制服务器的效率。

2. 第一个数据包丢失

建立TCP连接时，如果发生丢包，则重传。因此，它会丢弃第一个SYN 数据包并等待第二个SYN 数据包，然后再建立连接。这可以防止一些TCP SYN 洪水攻击。然而，攻击者也可以配置SYN 数据包发送两次来克服这种防御。

3.SYN cookies

TCP连接建立过程中，服务器在第二次握手后将连接放入半连接队列，在第三次握手成功后将其从半连接队列中移除并添加到全连接队列中。

如果不启用SYN cookie，那么如果半连接队列满了，新的连接会被直接丢弃。

打开SYN cookie可以成功建立直接连接，而无需使用半连接队列。开启SYN cookie后，当服务器收到SYN请求（初次握手）时，会根据当前状态计算cookie值，并在客户端返回ACK（第二次握手）时在SYN+ACK消息中发送。 cookie 值在消息期间再次传输（第三次握手）。服务器验证cookie值有效后，将其添加到全连接队列中。

SYN cookie 的缺点：

MSS大小只有8个值（仅用3位表示）

加密是CPU 密集型的

如果客户端的第三个ACK丢失，服务器不会保存连接信息，因此不会重新发送ACK+SYN。结果，客户端只能等待一定的时间才会超时。

克服SYN cookies的缺点：TCP Cookie Transaction（TCP CT）是专门为克服上述问题而设计的新标准。

5、分布式拒绝服务攻击（DDoS）

通过主站控制大量代理并攻击目标设备

Master可以理解为CC服务器，Agent则称为肉鸡。这些形成了僵尸网络。

DDoS 通常使用特洛伊木马来控制大量计算机并创建大量Internet 资源。

DDoS攻击原理：攻击者通过大量的互联网流量耗尽目标的网络资源，导致目标系统无法连接网络并响应正常请求。

DDoS攻击风险防护方案：

网络设备性能足够：防火墙、路由器、交换机性能足够。

丰富的网络带宽资源：保持网络带宽裕度恒定百分比。

清洗异常流量：利用反D设备清洗异常流量

通过CDN分发：多个节点共享DDoS攻击流量

分布式集群：每个节点都分配足够的资源，瘫痪数据回发攻击的源头。

6、应用层

6.1 DNS欺骗攻击

DNS欺骗攻击原理：攻击者冒充DNS服务器，向受害者发送虚假的DNS响应，并告诉受害者所请求的域名对应的IP地址是攻击者控制的恶意网站的IP地址。

#以上有关协议栈漏洞及一般安全风险的相关内容仅供参考。相关信息请参见官方公告。