安全相关之操作维护——网络协议
网络协议
为什么学习网络协议
1. DDoS攻击
DDoS攻击:
分布式拒绝服务攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或者多个 目标发布DDOS攻击,从而成倍地提高拒绝服务攻击的威力。
换句话说就是对服务器发送大量无意义的请求,导致正常用户无法访问服务器造成阻塞,甚至导致服务器的瘫痪
DDoS攻击趋势变化:
2014,50Gbps
2015,100Gbps+
2016,200Gbps+
2017,300Gbps+
DDos攻击案例:
2016年,暴雪攻击,游戏无法登陆
2018年,荷兰三大银行受到攻击,银行服务瘫痪
2018年,GitHub受到攻击
DDoS攻击——黑色产业链
传统方式:流程复杂,需要各种中间环节,响应周期长。
技术改进;盛行页端DDoS攻击平台,缩减了中间环节。
DDoS攻击造成影响
主要在于经济、声誉、网站流量方面的损失
2. ARP攻击
ARP协议:
ARP协议就是通过目标设备的IP地址,查询目标设备的MAC地址,保证通信的进行
ARP攻击:
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量ARP通信量使网络阻塞,攻击者只要不断发出伪造的ARP响应包就能够更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或者中间人攻击。
攻击过程:
攻击者C发送伪造ARP响应,告诉主机A:主机B的IP地址对应的MAC地址,主机A相信后,会将发送给B的发送给C。
C同样发送一个伪造ARP响应给到主机B,B也将数据发送给到攻击者。
这样C就控制了A和B之间的流量,可以实施被动攻击或者主动攻击。
攻击方式演变
- 初期:ARP欺骗
- 伪装成他人电脑,达到窃取数据的目的
- 中期:ARP恶意攻击
- 出现了一些“管理软件”,导致ARP恶意攻击的泛滥。
- 现在:综合的ARP攻击
- 病毒加入了ARP攻击的行列,攻击目的、方式多样化,影响力度增大。
ARP攻击仅能在以太网(局域网)进行,无法针对外网(互联网,非本区域内的局域网)
- 病毒加入了ARP攻击的行列,攻击目的、方式多样化,影响力度增大。
攻击造成影响
- 断网
- 病毒传播
- 数据泄露
攻击门槛非常低,普通人拿到软件就能进行扰乱网络秩序。
3.DNS劫持
DNS劫持
又名域名劫持,指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应。
其效果就是对特定的网络不能访问或者访问的是假的网址。
攻击方式
- 利用DNS服务器进行DDoS攻击
- DNS缓存感染
- DNS信息劫持
- DNS重定向
- ARP欺骗
- 本机劫持
造成影响
- 网站无法访问
- 跳到其他地址
- 钓鱼、诈骗
- 网站内出现恶意广告
什么是网络通讯协议
1. 网络协议概述
定义
- 什么是网络通讯协议
- 为什么需要网络通讯协议
常见的网络通讯协议
- TCP/IP
用于计算机通信的一组协议 - NetBEUI
为IBM开发的非路由协议 - IPX/SPX
是Novell公司的通信协议集
组成以及分层
- 组成三要素:
- 语法
- 语义
- 定时 - 分层
将协议分层,各层协议相互独立且高效的工作,并且协议
2. 网络分层模型
七层模型
- 应用层
http、https、DNS等 - 表示层
加密 - 会话层
服务器验证用户登陆等 - 传输层
TCP、UDP等 - 网络层
路由器、交换器 - 数据链路层
网卡、网桥 - 物理层
中继器、网线等
分层优点
数据封装与分用
3. TCP/IP
概述
- 定义
- 核心协议
TCP/IP协议族
与七层模型对应
TCP/IP数据封装与解封
TCP/IP各个层面
- 应用层
- 传输层
- 数据链路层
- 物理层
怎么分析网络通讯协议
Wireshark工具简介
Wireshark介绍:
是一款网络分析工具,可捕捉和分析网络包。
主要特性
- 支持UNIX和Windows平台
- 实时捕获并详细显示网络包
- 可打开/保存数据包
- 可通过多种方式过滤查找包
- 可进行多种统计分析
- 开源软件,支持插件
Wireshark不能提供的功能
- 不是入侵检测系统,不会检测网络异常
- 仅能监视网络,不能处理网络事务
Wireshark操作
抓取数据包
选择监听的网卡进入监听模式。
抓包过程可以看到数据变化,可以停止捕获数据包。
不同颜色对应不同协议。
捕获过滤器
捕获过滤器语法,协议、方向、逻辑运算。
显示过滤器
可以用显示过滤器过滤抓取的包。
也可以通过选中数据包来生成过滤器。
数据分析
选中某一条数据项,显示数据包的详细信息。
浙公网安备 33010602011771号