本文目录一览:
- 1、tcp协议是怎么负债安全的呢
- 2、什么是TCP和ICMP?
- 3、所谓的黑客攻防是通过什么实现的呢?
- 4、网络安全中,tcp/ip协议的缺陷是哪些
- 5、TCP/IP协议主要安全隐患
- 6、TCP/IP攻击的基于TCP/IP协议的网络攻击方式
tcp协议是怎么负债安全的呢
由于自身的缺陷、网络的开放性以及黑客的攻击是造成互联网络不安全的主要原因。TCP/IP作为Internet使用的标准协议集,是黑客实施网络攻击的重点目标。TCP-/IP协议组是目前使用最广泛的网络互连协议。但TCP/IP协议组本身存在着一些安全性问题。TCP/IP协议是建立在可信的环境之下,首先考虑网络互连缺乏对安全方面的考虑;这种基于地址的协议本身就会泄露口令,而且经常会运行一些无关的程序,这些都是网络本身的缺陷。互连网技术屏蔽了底层网络硬件细节,使得异种网络之间可以互相通信。这就给“黑客”们攻击网络以可乘之机。由于大量重要的应用程序都以TCP作为它们的传输层协议,因此TCP的安全性问题会给网络带来严重的后果。网络的开放性,TCP/IP协议完全公开,远程访问使许多攻击者无须到现场就能够得手,连接的主机基于互相信任的原则等等性质使网络更加不安全。
下面列举几种利用TCP/IP簇安全设计缺陷的攻击:
(1)网络窥探(Network Snooping)利用数据在TCP/IP协议中的明文传输缺陷进 行在线侦听和业务流分析。攻击者可通过某些监控软件或网络分析仪等进行窃听。
(2)IP源地址欺骗(IP Source Address Spoofing)利用IP地址易于更改和伪造的缺陷,进行IP地址假冒和欺骗。
(3)路由攻击(Routing Attacks)
1) IP源路由攻击:利用IP报头中的源路由选项强制性地将IP包 按指定路径传递到希望的目标。
2) 路由消息协议攻击(RIP Attacks):攻击者利用RIP协议无认证机制的缺陷,在网络上发布假的路由信息。
3) 攻击路由器系统:利用路由器自身保护不严,攻击者进入路由器修改其配置或使之崩溃。
(4)IP隧道攻击(IP Tunneling Attacks)利用IP隧道技术实施特洛伊木马攻击。
(5)网际控制报文协议攻击(ICMP Attacks)
1) ICMP重定向消息攻击(破坏路由机制和提高侦听业务流能力)。
2) ICMP回应请求/应答消息(echo request/reply message)攻击(实现拒绝服务)。
3) ICMP目的不可达消息攻击。
4) PING命令攻击。
(6)IP层拒绝服务型攻击(IP Denial of Service Attacks)利用IP 广播发送伪造的ICMP回应请求包,导致向某一受害主机发回大量ICMP应答包,造成网络拥塞或崩溃。(如"Smurf"攻击)。
(7)IP栈攻击(IP Stack Attacks)利用多数操作系统不能处理相同源、宿IP地址类型IP包的缺陷,将伪造的此种类型的IP包大量发往某一目标主机,导致目标主机将其TCP/IP协议栈锁死甚至系统崩溃。
(8)IP地址鉴别攻击(Authentication Attacks)利用TCP/IP协议只能识别IP地址的缺陷,攻击者通过窃取口令从该节点上非法登录服务器。
(9)TCP SYN Flooding攻击。向攻击目标发送大量不可达的TCP SYN连接请求包,以淹没目标服务器,使正常连接的"三次握手"永远不能完成(拒绝服务攻击)。
(10)TCP序列号攻击。利用对TCP连接初始序列号的猜测、冒充可信任主机进行欺骗连接(也可造成拒绝服务)攻击。
什么是TCP和ICMP?
TCP:传输控制协议(英语:Transmission Control Protocol,缩写:TCP)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793定义。在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能。
TCP旨在适应支持多网络应用的分层协议层次结构。 连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。
TCP假设它可以从较低级别的协议获得简单的,可能不可靠的数据报服务。 原则上,TCP应该能够在从硬线连接到分组交换或电路交换网络的各种通信系统之上操作。
ICMP:互联网控制消息协议(英语:Internet Control Message Protocol,缩写:ICMP)是互联网协议族的核心协议之一。
它用于网际协议(IP)中发送控制消息,提供可能发生在通信环境中的各种问题反馈。通过这些信息,使管理者可以对所发生的问题作出诊断,然后采取适当的措施解决。
ICMP 协议应用在许多网络管理命令中,下面以 ping 和 tracert 命令为例详细介绍 ICMP 协议的应用。
(1) ping 命令使用 ICMP 回送请求和应答报文
在网络可达性测试中使用的分组网间探测命令 ping 能产生 ICMP 回送请求和应答报文。目的主机收到 ICMP 回送请求报文后立刻回送应答报文,若源主机能收到 ICMP 回送应答报文,则说明到达该主机的网络正常。
(2)路由分析诊断程序 tracert 使用了 ICMP时间超过报文
tracert 命令主要用来显示数据包到达目的主机所经过的路径。通过执行一个 tracert 到对方主机的命令,返回数据包到达目的主机所经历的路径详细信息,并显示每个路径所消耗的时间。
扩展资料:
ICMP是在RFC 792中定义的互联网协议族之一。通常用于返回的错误信息或是分析路由。ICMP错误消息总是包括了源数据并返回给发送者。 ICMP错误消息的例子之一是TTL值过期。每个路由器在转发数据报的时候都会把IP包头中的TTL值减1。
如果TTL值为0,“TTL在传输中过期”的消息将会回报给源地址。 每个ICMP消息都是直接封装在一个IP数据包中的,因此,和UDP一样,ICMP是不可靠的。
虽然ICMP是包含在IP数据包中的,但是对ICMP消息通常会特殊处理,会和一般IP数据包的处理不同,而不是作为IP的一个子协议来处理。在很多时候,需要去查看ICMP消息的内容,然后发送适当的错误消息到那个原来产生IP数据包的程序,即那个导致ICMP消息被发送的IP数据包。
很多常用的工具是基于ICMP消息的。traceroute是通过发送包含有特殊的TTL的包,然后接收ICMP超时消息和目标不可达消息来实现的。
ping则是用ICMP的"Echo request"(类别代码:8)和"Echo reply"(类别代码:0)消息来实现的。
参考资料来源:百度百科-TCP
参考资料来源:百度百科-ICMP
所谓的黑客攻防是通过什么实现的呢?
黑客攻防:攻击基本原理与防范技术据统计,在所有黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法。相信很多人还记得2000年YAHOO网站遭受的攻击事例,当时黑客利用的就是简单而有效的SYN攻击,有些网络蠕虫病毒配合SYN攻击造成更大的破坏。本文介绍SYN攻击的基本原理、工具及检测方法,并全面探讨SYN攻击防范技术。
中文名
黑客攻防
外文名
Hacker attack and defense
介绍
SYN攻击基本原理工具及检测方法
tcp握手协议
采用三次握手建立一个连接
在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。
第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;
第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态;
第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。
完成三次握手,客户端与服务器开始传送数据,在上述过程中,还有一些重要的概念:
未连接队列:在三次握手协议中,服务器维护一个未连接队列,该队列为每个客户端的SYN包(syn=j)开设一个条目,该条目表明服务器已收到SYN包,并向客户发出确认,正在等待客户的确认包。这些条目所标识的连接在服务器处于Syn_RECV状态,当服务器收到客户的确认包时,删除该条目,服务器进入ESTABLISHED状态。
Backlog参数:表示未连接队列的最大容纳数目。
SYN-ACK 重传次数 服务器发送完SYN-ACK包,如果未收到客户确认包,服务器进行首次重传,等待一段时间仍未收到客户确认包,进行第二次重传,如果重传次数超过系统规定的最大重传次数,系统将该连接信息从半连接队列中删除。注意,每次重传等待的时间不一定相同。
半连接存活时间:是指半连接队列的条目存活的最长时间,也即服务从收到SYN包到确认这个报文无效的最长时间,该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。
SYN攻击原理
SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。从上图可看到,服务器接收到连接请求(syn=j),将此信息加入未连接队列,并发送请求包给客户(syn=k,ack=j+1),此时进入SYN_RECV状态。当服务器未收到客户端的确认包时,重发请求包,一直到超时,才将此条目从未连接队列删除。配合IP欺骗,SYN攻击能达到很好的效果,通常,客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列
网络安全中,tcp/ip协议的缺陷是哪些
由于自身的缺陷、网络的开放性以及黑客的攻击是造成互联网络不安全的主要原因。TCP/IP作为Internet使用的标准协议集,是黑客实施网络攻击的重点目标。TCP-/IP协议组是目前使用最广泛的网络互连协议。但TCP/IP协议组本身存在着一些安全性问题。TCP/IP协议是建立在可信的环境之下,首先考虑网络互连缺乏对安全方面的考虑;这种基于地址的协议本身就会泄露口令,而且经常会运行一些无关的程序,这些都是网络本身的缺陷。互连网技术屏蔽了底层网络硬件细节,使得异种网络之间可以互相通信。这就给“黑客”们攻击网络以可乘之机。由于大量重要的应用程序都以TCP作为它们的传输层协议,因此TCP的安全性问题会给网络带来严重的后果。网络的开放性,TCP/IP协议完全公开,远程访问使许多攻击者无须到现场就能够得手,连接的主机基于互相信任的原则等等性质使网络更加不安全。
TCP/IP协议主要安全隐患
TCP/IP协议主要安全隐患:
1、链路层上的攻击
在TCP/IP网络中,链路层这一层次的复杂程度是最高的。其中最常见的攻击方式通常是网络嗅探组成的TCP/IP协议的以太网。
以太网卡有两种主要的工作方式,一种是一般工作方式,另一种是较特殊的混杂方式。这一情况下,很可能由于被攻击的原因而造成信息丢失情况,且攻击者可以通过数据分析来获取账户、密码等多方面的关键数据信息。
2、网络层上的攻击
如果ARP识别链接错误,这样的话ARP直接应用可疑信息,那么可疑信息就会很容易进入目标主机当中。ARP协议没有状态,不管有没有收到请求,主机会将任何受到的ARP相应自动缓存。
如果信息中带有病毒,采用ARP欺骗就会导致网络信息安全泄露。因此,在ARP识别环节,应加大保护,建立更多的识别关卡,不能只简单通过IP名进行识别,还需充分参考IP相关性质等。
3、传输层上的攻击
在传输层还存在网络安全问题。如在网络安全领域中,IP欺骗就是隐藏自己的有效手段,主要是通过将自身IP地址进行伪造,并向目标主机发送恶意的请求,攻击主机,而主机却因为IP地址被隐藏而无法准确确认攻击源。或者通过获取目标主机信任而趁机窃取相关的机密信息。
4、应用层上的攻击
对于因特网而言,IP地址与域名均是一一对应的,这两者之间的转换工作,被称为域名解析。而DNS就是域名解析的服务器。DNS欺骗指的是攻击方冒充域名服务器的行为,使用DNS欺骗能将错误DNS信息提供给目标主机。所以说,通过DNS欺骗可误导用户进入非法服务器,让用户相信诈骗IP。
扩展资料
TCP/IP协议能够迅速发展起来并成为事实上的标准,是它恰好适应了世界范围内数据通信的需要。它有以下特点:
1、协议标准是完全开放的,可以供用户免费使用,并且独立于特定的计算机硬件与操作系统。
2、独立于网络硬件系统,可以运行在广域网,更适合于互联网。
3、网络地址统一分配,网络中每一设备和终端都具有一个唯一地址。
4、高层协议标准化,可以提供多种多样可靠网络服务。
TCP/IP攻击的基于TCP/IP协议的网络攻击方式
有三台主机:
A:IP地址 192.168.0.1;硬件地址AA:AA:AA:AA:AA:AA
B:IP地址 192.168.0.2;硬件地址BB: BB: BB: BB: BB: BB
C:IP地址 192.168.0.3;硬件地址CC:CC:CC: CC:CC:CC
一个位于主机B的入侵者想非法进入主机A,可是这台主机上安装有防火墙。通过收集资料得知这台主机A的防火墙只对主机C有信任关系。而入侵者必须要使用telnet来进入主机A,这个时候入侵者应当如何处理?
要telnet到主机A,入侵者可以让主机A相信主机B就是主机C。如果主机A与C的信任关系是建立在IP地址上的。攻击者可以先通过各种拒绝式服务方式让C这台机器暂时宕机,同时将B的IP地址改为192.168.0.3,B就可以成功地通过23端口telnet到A上,而成功地绕过防火墙的限制。
但是,如果AC的信任关系是建立在硬件地址之上,这个时候上述的方式就不行了,需要运用ARP欺骗方式。
入侵者认为地制造一个arp_reply的响应包,发送给想要欺骗的主机A,这是可以实现的,因为ARP协议并没有规定在收到arp_echo请求后才可以发送响应包(这就是能够实现的关键,在一般的情况之下只有路由器进行了arp广播之后,主机才会回复)。这样,就可以通过发送虚假的ARP响应包来修改主机A上的动态ARP缓存来达到欺骗的目的。
具体步骤如下:
①利用工具,进行拒绝式服务攻击,让主机C宕机,暂时停止工作。
②在这段时间里,入侵者把自己的IP改为192.168.0.3(主机C的IP)。
③用工具发一个源地址为192.168.0.3,源MAC地址为BB: BB: BB: BB: BB: BB的包给主机A,要求A更新自己的ARP转换表(ARP缓存)。
④主机A更新了ARP缓存中关于主机C的IPàMAC的对应关系。
⑤防火墙失效了,现在主机B可以telnet到主机A。 2.1ICMP转向连接攻击
攻击者使用ICMP超时或者ICMP主机不可达报文,这两种报文都会使得主机迅速放弃连接。此时通信连接就会被切断。
一台主机错误地认为信息的目标地址不在本地网络之中的时候,网关通常会使用ICMP重定向消息。如果攻击者伪造一条重定向消息,就可以导致主机经过攻击者主机向特定连接发送数据包。
2.2ICMP数据包放大(ICMP Smurf)
攻击者向安全薄弱网络的广播地址发送ICMP回显请求,所有的主机都会像被攻击主机,发送ICMP应答,占用了目标系统的带宽,并导致合法通信的拒绝服务(DoS)。
2.3ICMP Ping淹没攻击
大量的ping信息广播淹没了目标系统。
2.4ICMP nuke攻击
nuke发送出目标操作系统无法处理的信息数据包,从而导致该系统瘫痪。
2.5通过ICMP进行攻击信息收集
可以通过ping来检查目标主机是否存活,并且根据返回的TTL值就可以判断目标主机的操作系统(Linux应答TTL为64,windows 200/NT/XP为128,其他系统未列出)。
2.6ICMP攻击防范
策略一:对ICMP数据包进行过滤
使用防火墙的功能
策略二:修改TTL值巧妙骗过黑客
系统缺省的TTL值是可以修改的,可以编写一个批处理文件来进行修改。 假设主机A和B建立TCP连接,要进行三次握手。针对TCP协议的攻击原理是:TCP协议三次握手没有完成的时候,被请求端B一般都会重试(即再给A发送SYN+ACK报文)并等待一段时间,这就可以用来进行DoS、Land、SYN flood攻击。
在SYN flood攻击中,黑客向受害主机发送大量伪造源地址的TCP SYN报文,受害主机分配必要的资源,然后向源地址返回SYN+ACK包;并等待源地址返回ACK包,由于源地址是伪造的所以源端永远不会发送ACK包,所以受害主机继续发送SYN+ACK包,并将半链接放入端口的积压队列之中,虽然一般主机都有超时机制和默认的重传次数,但是如果不断向受害主机发送大量的TCP SYN报文,半连接队列就会很快被填满,导致受害主机无法响应其他主机的连接请求。
防御方法:针对SYN flood的攻击防范措施主要有两种:一种是通过防火墙、路由器等过滤网关防护,另一种是通过加固TCP/IP协议栈。