作者简介：一名云计算网络运维人员    
    
    
    
、每天分享网络与运维的技术与干货    
    
    
    
。   座右铭：低头赶路  
    
    
    
   ，敬事如仪 个人主页：网络豆的主页​​​​​​

目录

 前言

引言

一.网络攻击与防御

1.常见的网络攻击

（1）窃听

 （2）数据簒改

 （3）身份欺骗（IP地址欺骗）

 （4）盗用口令攻击

（5）拒绝服务攻击

（6）中间人攻击

（7）盗取密钥攻击

 2.防御方法及优点

（1）边界防御

（2） 用IPSec抵御网络攻击

（3）第三层保护的优点

 前言

本章将会讲解网络层的安全协议

     


     


     


     

，了解常见的网络攻击与防御

引言

IP网络安全一直是一个备受关注的领域 




 




 




 




，如果缺乏一定的安全保障  

   

   

   

  ，无论是公共网络还是企业专用网络

     

     

     

     
，都难以抵挡网络攻击和非法入侵   


     


     


     


   。对于某个特定的企业内部网Intranet来说  




  




  




  




，网络攻击既可能来自网络内部  


  


  


  


 ，也可能来自外部的lnternet.其结果均可能导致企业内部网络毫无安全性可言
     
     
     
     ，单靠口令访问控制不足以保证数据在网络传输过程中的安全性



 




 




 




 

。

一.网络攻击与防御

1.常见的网络攻击

如果没有适当的安全措施和安全的访问控制方法
   




   




   




   




，在网络上传输的数据很容易受到各式各样的攻击   

   

   

   

。

 网络攻击既有被动型的 



 



 



 



，也有主动型的    

     

     

     

  。

被动攻击通常指信息受到非法侦听




  




  




  




  
。 主动攻击则往往意味着对数据甚至网络本身恶意的篡改和破坏  


  


  


  


。

以下列举几种常见的网络攻击类型     
     
     
     
 。

（1）窃听

一般情况下                     ，绝大多数网络通信都以一种不安全的“明文    
    
    
    
”形式进行

    




    




    




    



，这就给攻击者很大的机会




   




   




   




   。只要获取数据通信路径



















，就可轻易“侦听   


     


     


     


   ”或者“解读



 




 




 




 

”明文数据流
 



 



 



 



。窃听型攻击者虽然不破坏数据                     ，却可能造成通信信息外泄

     



     



     



     


，甚至危及敏感数据安全                    。

对于多数普通企业来说



















，这类网络窃听行为已经构成网管员面临的最大的网络安全问题 




    




    




    




    。

 （2）数据簒改

网络攻击者非法读取数据后  
    
    
    
   ，下一步通常就想去篡改它

     


     


     


     

，而且这种篡改一般可以做得让数据包的发送方和接收方无知无觉




















。

但作为网络通信用户 




 




 




 




，即使并非所有的通信数据都是高度机密的  

   

   

   

  ，也不想看到数据在传输过程中出现任何差错                    。比如在网上购物

     

     

     

     
，一旦我们提交了购物订单  




  




  




  




，谁也不希望订单中的任何内容被人肆意篡改  



     



     



     



    。

 （3）身份欺骗（IP地址欺骗）

大多数网络操作系统使用IP地址来标识网络主机




















。然而  


  


  


  


 ，一些貌似合法的IP地址很有可能是经过伪装的
     
     
     
     ，这就是所谓的IP地址欺骗
   




   




   




   




，也就是身份欺骗    
    
    
    
。另外 



 



 



 



，网络攻击者还可以使用一些特殊的程序                     ，对某个从合法地址传来的数据包做些手脚

    




    




    




    



，借此合法地址来非法侵入某个目标网络   


     


     


     


   。

 （4）盗用口令攻击

基于口令的访问控制是一种最常见的安全措施



 




 




 




 

。是对某台主机或网络资源的访问权限决定于谁



















，也就是说                     ，这种访问权是基于用户名和账号密码的   

   

   

   

。攻击者可以通过多种途径获取用户合法账号

     



     



     



     


，一旦拥有了合法账号



















，也就拥有了与合法用户同等的网络访问权限    

     

     

     

  。

因此  
    
    
    
   ，假设账号被盗的用户具有网管权限

     


     


     


     

，攻击者甚至可以借机给自己再创建一个合法账号 




 




 




 




，以备后用




  




  




  




  
。有了合法账号进入目标网络后  

   

   

   

  ，攻击者也就可以随心所欲地盗取合法用户信息以及网络信息；修改服务器和网络配置

     

     

     

     
，包括访问控制方式和路由表；篡改   


     


     


     


   、重定向



 




 




 




 

、删除数据等  


  


  


  


。

（5）拒绝服务攻击

与盗用口令攻击不同  




  




  




  




，拒绝服务攻击的目的不在于窃取信息  


  


  


  


 ，而是要使某个设备或网络无法正常运作     
     
     
     
 。

在非法侵入目标网络后
     
     
     
     ，这类攻击者惯用的攻击手法如下




   




   




   




   。

①首先设法转移网管员注意力
   




   




   




   




，使之无法立刻察觉有人入侵 



 



 



 



，从而给自己争取时间
 



 



 



 



。 ②向某个应用系统或网络服务系统发送非法指令                     ，致使系统出现异常行为或异常终止                    。 ③向某台主机或整个网络发送大量数据洪流

    




    




    




    



，导致网络因不堪过载而瘫痪 




    




    




    




    。 ④拦截数据流



















，使授权用户无法取得网络资源




















。

（6）中间人攻击

顾名思义                     ，中间人攻击发生在用户与通信对象之间

     



     



     



     


，即通信过程以及通信数据遭到第三方的监视   

   

   

   

、截取和控制



















，例如攻击者可以对数据交换进行重定向等                    。如果通信中使用网络底层协议  
    
    
    
   ，通信两端的主机是很难区分出不同对象的

     


     


     


     

，因此也不大容易察觉这类攻击  



     



     



     



    。中间人攻击有点类似于身份欺骗




















。

（7）盗取密钥攻击

一般来说 




 




 




 




，盗取密钥是很困难的  

   

   

   

  ，但并非不可能    
    
    
    
。通常把被攻击者盗取的密钥称为“已泄密的密钥   

   

   

   

”   


     


     


     


   。攻击者可以利用这个已泄密的密钥

     

     

     

     
，对数据进行解密和修改  




  




  




  




，甚至还能试图利用该密钥计算其他密钥  


  


  


  


 ，以获取更多加密信息



 




 




 




 

。

 2.防御方法及优点

（1）边界防御

众所周知
     
     
     
     ，网络攻击常常可能导致系统崩溃及敏感数据的外泄
   




   




   




   




，因此数据资源必须受到足够的保护 



 



 



 



，以防被侦听    

     

     

     

  、篡改或非法访问   

   

   

   

。常规网络保护策略有使用防火墙




  




  




  




  
、安全路由器(安全网关)以及对拨号用户进行身份认证等    

     

     

     

  。这些措施通常被称为“边界保护    

     

     

     

  ”                     ，往往只着重于抵御来自网络外部的攻击

    




    




    




    



，但不能阻止网络内部的攻击行为




  




  




  




  
。

例如



















，一台主机由多个用户共享                     ，往往会发生人不在了

     



     



     



     


，而机器却仍处于登录状态的情况



















，从而导致系统出现不安全因素  


  


  


  


。访问控制法最大的缺陷是一旦用户账号被窃  
    
    
    
   ，就根本无法阻止攻击者盗取网络资源     
     
     
     
 。

还有一种比较少见的保护策略是物理级保护

     


     


     


     

，就是保护实际的网络线路和网络访问结点 




 




 




 




，禁止任何未经授权的使用




   




   




   




   。采用这种保护方式  

   

   

   

  ，当数据需要从数据源通过网络传输到目的地时

     

     

     

     
，无法做到保证数据的全程安全
 



 



 



 



。

（2） 用IPSec抵御网络攻击

IPSec采用端到端加密模式  




  




  




  




，基本工作原理是发送方在数据传输前(即到达网线之前)对数据实施加密                    。在整个传输过程中  


  


  


  


 ，报文都是以密文方式传输
     
     
     
     ，直到数据到达目的结点
   




   




   




   




，才由接收端进行解密 




    




    




    




    。

 IPSec对数据的加密以数据包而不是整个数据流为单位 



 



 



 



，这不仅更灵活                     ，也有助于进一步提高IP数据包的安全性




















。通过提供强有力的加密保护

    




    




    




    



，IPSec可以有效防范网络攻击



















，保证专用数据在公共网络环境下的安全性                    。

（3）第三层保护的优点

通常                     ，IPSec提供的保护需要对系统作一定修改

     



     



     



     


，但是IPSec在IP传输层



















，即第三层的“策略执行




  




  




  




  
”(Strategic lmplementation).几乎不需要什么额外开销就可以实现为绝大多数应用系统  


  


  


  


、服务和上层协议提供较高级别的保护；为现有的应用系统和操作系统配置  
    
    
    
   ，IPSec几乎无须作任何修改

     


     


     


     

，安全策略可以在Active Directory里集中定义 




 




 




 




，也可以在某台主机上进行本地化管理  



     



     



     



    。

创作不易  

   

   

   

  ，求关注

     

     

     

     
，点赞  




  




  




  




，收藏  


  


  


  


 ，谢谢~