ICMP 是网络层,目前 VPN 隧道协议主要有 4 种:点到点隧道协议 PPTP、第二层隧道协议 L2TP、网络层隧道协议 IPSec 以及 SOCKS v5 协议。其中,PPTP 和 L2TP 工作在数据链路层,IPSec 工作在网络层,SOCK v5 工作在会话层

ARP 和 RARP 是网络层的协议,但是它所工作的内容是链路层的。具体来说应该是在网络层。

7. 应用层

DNS

DNS 递归查询

DNS 客户端与本地 DNS 服务器

在DNS递归名称解析中,当所配置的本地名称服务器解析不了时,后面的查询工作是由本地名称服务器替代DNS客户端进行的(以“本地名称服务器”为中心),只需要本地名称服务器向DNS客户端返回最终的查询结果即可。

DNS 迭代查询

所有查询工作全部是DNS客户端自己进行(以“DNS客户端”自己为中心)。

  1. DNS 劫持

    1. DNS 缓存毒化(DNS cache poisoning)

    2. DNS ID 欺骗(DNS ID spoofing)

基于 DNS 的 DDos 攻击

HTTP

钓鱼攻击

HTTP 协议没有考虑用户认证
解决:使用 HTTPS

服务器过滤不足:

反射性
存储性

客户端脚本:

DOM 型

电子邮件

传输安全,存储安全,发送者身份确认安全,邮箱轰炸。

6. 表示层

5. 会话层

4. 传输层

TCP 协议

特点: 全双工,面向连接,可靠性,面向字节流。

  1. SYN flooding 攻击 --> 拒绝服务攻击

    解决方法: SYN cookie 解决 “半连接拒绝服务攻击”,但是对于 “全连接” 拒绝服务攻击是无效的。

  2. ACK flooding 攻击

    服务器收到 ACK 包后,需要进行查表、回应 ACK,RST。 利用大流量 ACK 小包才会对服务器造成影响。

    一些 TCP 服务会对 ACK Folooding 比较敏感。

    解决方法: 对称型分析: 收包异常大于发包

  3. 序列号预测攻击

    在一个 TCP 连接中, TCP 端口号和序列号是判断数据包是否为所需数据包的主要依据。由于一旦建立连接之后,端口号是不变的,因此攻击的难点就在于序列号预测。

  4. LAND 攻击

    LAND(Local Area Network Denial),攻击者构造一种特殊的 TCP SYN 攻击包,该包的目的地址和源地址均为目的主机,这样被攻击主机有发回给自己 ACK 消息,保持连接,直到超时,创建一个空连接,导致目的主机连续地自我响应。

    新系统已经基本消除。

UDP

特点: 无连接,不可靠,不保序

  1. UDP 假冒 (UDP spoofing)

    本质上是 IP 假冒攻击,即: 攻击者可以构造 UDP 数据包,其源地址为某个可信节点的地址。

  2. UDP 劫持(UDP hijack)

    可信客户端发起 UDP 请求后,攻击者假冒服务器发出 UDP 应答。

3. 网络层

IP 层协议

IP 假冒攻击(IP spoofing) 利用路由器只根据目的 IP 来确定分组转发到那个端口,而不关心源 IP 来实现。 IP 假冒攻击主要用于两种网络攻击: 拒绝服务攻击与基于 IP 地址认证的网络服务。

解决:

  1. 入口/出口过滤
  2. IP 回溯技术

2. 链路层

以太网协议

  1. 交换机毒化 --> 窃听

    交换机与集线器都是连接网络节点。

  2. arp 欺骗/毒化 --> 窃听,中间人攻击

    网络适配器(网卡) 针对网关的攻击

    arp 欺骗实现当主务器失败时,用户透明的切换至备份服务器。

1. 物理层

集线器工作于 OSI/RM 参考模型的物理层和数据链路层的 MAC(介质访问控制)子层

集线器 -- 早期使用其链接网络节点,因其一个节点发送时,其余节点只能监听,否则会产生冲突,导致重传,因此目前很少使用了它,大都用二层交换机了。

  1. 集线器窃听