作者简介：一名云计算网络运维人员    
    
    
   、每天分享网络与运维的技术与干货    
    
    
   。   座右铭：低头赶路  
    
    
    
，敬事如仪 个人主页：网络豆的主页​​​​​​

目录

 前言

引言

一.网络攻击与防御

1.常见的网络攻击

（1）窃听

 （2）数据簒改

 （3）身份欺骗（IP地址欺骗）

 （4）盗用口令攻击

（5）拒绝服务攻击

（6）中间人攻击

（7）盗取密钥攻击

 2.防御方法及优点

（1）边界防御

（2） 用IPSec抵御网络攻击

（3）第三层保护的优点

 前言

本章将会讲解网络层的安全协议

     


     


     


   ，了解常见的网络攻击与防御

引言

IP网络安全一直是一个备受关注的领域 




 




 




 

，如果缺乏一定的安全保障  

   

   

   

，无论是公共网络还是企业专用网络

     

     

     

  ，都难以抵挡网络攻击和非法入侵   


     


     


     

。对于某个特定的企业内部网Intranet来说  




  




  




  
，网络攻击既可能来自网络内部  


  


  


  


，也可能来自外部的lnternet.其结果均可能导致企业内部网络毫无安全性可言
     
     
     
 ，单靠口令访问控制不足以保证数据在网络传输过程中的安全性



 




 




 




。

一.网络攻击与防御

1.常见的网络攻击

如果没有适当的安全措施和安全的访问控制方法
   




   




   




   ，在网络上传输的数据很容易受到各式各样的攻击   

   

   

  。

 网络攻击既有被动型的 



 



 



 



，也有主动型的    

     

     

     
。

被动攻击通常指信息受到非法侦听




  




  




  




。 主动攻击则往往意味着对数据甚至网络本身恶意的篡改和破坏  


  


  


 。

以下列举几种常见的网络攻击类型     
     
     
     。

（1）窃听

一般情况下                ，绝大多数网络通信都以一种不安全的“明文    
    
    
   ”形式进行

    




    




    




    ，这就给攻击者很大的机会




   




   




   




。只要获取数据通信路径


















，就可轻易“侦听   


     


     


     

”或者“解读



 




 




 




”明文数据流
 



 



 



。窃听型攻击者虽然不破坏数据                 ，却可能造成通信信息外泄

     



     



     



    ，甚至危及敏感数据安全                    。

对于多数普通企业来说

















，这类网络窃听行为已经构成网管员面临的最大的网络安全问题 




    




    




    



。

 （2）数据簒改

网络攻击者非法读取数据后  
    
    
    
，下一步通常就想去篡改它

     


     


     


   ，而且这种篡改一般可以做得让数据包的发送方和接收方无知无觉
















。

但作为网络通信用户 




 




 




 

，即使并非所有的通信数据都是高度机密的  

   

   

   

，也不想看到数据在传输过程中出现任何差错                   。比如在网上购物

     

     

     

  ，一旦我们提交了购物订单  




  




  




  
，谁也不希望订单中的任何内容被人肆意篡改  



     



     



     


。

 （3）身份欺骗（IP地址欺骗）

大多数网络操作系统使用IP地址来标识网络主机

















。然而  


  


  


  


，一些貌似合法的IP地址很有可能是经过伪装的
     
     
     
 ，这就是所谓的IP地址欺骗
   




   




   




   ，也就是身份欺骗    
    
    
   。另外 



 



 



 



，网络攻击者还可以使用一些特殊的程序                ，对某个从合法地址传来的数据包做些手脚

    




    




    




    ，借此合法地址来非法侵入某个目标网络   


     


     


     

。

 （4）盗用口令攻击

基于口令的访问控制是一种最常见的安全措施



 




 




 




。是对某台主机或网络资源的访问权限决定于谁


















，也就是说                 ，这种访问权是基于用户名和账号密码的   

   

   

  。攻击者可以通过多种途径获取用户合法账号

     



     



     



    ，一旦拥有了合法账号

















，也就拥有了与合法用户同等的网络访问权限    

     

     

     
。

因此  
    
    
    
，假设账号被盗的用户具有网管权限

     


     


     


   ，攻击者甚至可以借机给自己再创建一个合法账号 




 




 




 

，以备后用




  




  




  




。有了合法账号进入目标网络后  

   

   

   

，攻击者也就可以随心所欲地盗取合法用户信息以及网络信息；修改服务器和网络配置

     

     

     

  ，包括访问控制方式和路由表；篡改   


     


     


     

、重定向



 




 




 




、删除数据等  


  


  


 。

（5）拒绝服务攻击

与盗用口令攻击不同  




  




  




  
，拒绝服务攻击的目的不在于窃取信息  


  


  


  


，而是要使某个设备或网络无法正常运作     
     
     
     。

在非法侵入目标网络后
     
     
     
 ，这类攻击者惯用的攻击手法如下




   




   




   




。

①首先设法转移网管员注意力
   




   




   




   ，使之无法立刻察觉有人入侵 



 



 



 



，从而给自己争取时间
 



 



 



。 ②向某个应用系统或网络服务系统发送非法指令                ，致使系统出现异常行为或异常终止                    。 ③向某台主机或整个网络发送大量数据洪流

    




    




    




    ，导致网络因不堪过载而瘫痪 




    




    




    



。 ④拦截数据流


















，使授权用户无法取得网络资源
















。

（6）中间人攻击

顾名思义                 ，中间人攻击发生在用户与通信对象之间

     



     



     



    ，即通信过程以及通信数据遭到第三方的监视   

   

   

  、截取和控制

















，例如攻击者可以对数据交换进行重定向等                   。如果通信中使用网络底层协议  
    
    
    
，通信两端的主机是很难区分出不同对象的

     


     


     


   ，因此也不大容易察觉这类攻击  



     



     



     


。中间人攻击有点类似于身份欺骗

















。

（7）盗取密钥攻击

一般来说 




 




 




 

，盗取密钥是很困难的  

   

   

   

，但并非不可能    
    
    
   。通常把被攻击者盗取的密钥称为“已泄密的密钥   

   

   

  ”   


     


     


     

。攻击者可以利用这个已泄密的密钥

     

     

     

  ，对数据进行解密和修改  




  




  




  
，甚至还能试图利用该密钥计算其他密钥  


  


  


  


，以获取更多加密信息



 




 




 




。

 2.防御方法及优点

（1）边界防御

众所周知
     
     
     
 ，网络攻击常常可能导致系统崩溃及敏感数据的外泄
   




   




   




   ，因此数据资源必须受到足够的保护 



 



 



 



，以防被侦听    

     

     

     
、篡改或非法访问   

   

   

  。常规网络保护策略有使用防火墙




  




  




  




、安全路由器(安全网关)以及对拨号用户进行身份认证等    

     

     

     
。这些措施通常被称为“边界保护    

     

     

     
”                ，往往只着重于抵御来自网络外部的攻击

    




    




    




    ，但不能阻止网络内部的攻击行为




  




  




  




。

例如


















，一台主机由多个用户共享                 ，往往会发生人不在了

     



     



     



    ，而机器却仍处于登录状态的情况

















，从而导致系统出现不安全因素  


  


  


 。访问控制法最大的缺陷是一旦用户账号被窃  
    
    
    
，就根本无法阻止攻击者盗取网络资源     
     
     
     。

还有一种比较少见的保护策略是物理级保护

     


     


     


   ，就是保护实际的网络线路和网络访问结点 




 




 




 

，禁止任何未经授权的使用




   




   




   




。采用这种保护方式  

   

   

   

，当数据需要从数据源通过网络传输到目的地时

     

     

     

  ，无法做到保证数据的全程安全
 



 



 



。

（2） 用IPSec抵御网络攻击

IPSec采用端到端加密模式  




  




  




  
，基本工作原理是发送方在数据传输前(即到达网线之前)对数据实施加密                    。在整个传输过程中  


  


  


  


，报文都是以密文方式传输
     
     
     
 ，直到数据到达目的结点
   




   




   




   ，才由接收端进行解密 




    




    




    



。

 IPSec对数据的加密以数据包而不是整个数据流为单位 



 



 



 



，这不仅更灵活                ，也有助于进一步提高IP数据包的安全性
















。通过提供强有力的加密保护

    




    




    




    ，IPSec可以有效防范网络攻击


















，保证专用数据在公共网络环境下的安全性                   。

（3）第三层保护的优点

通常                 ，IPSec提供的保护需要对系统作一定修改

     



     



     



    ，但是IPSec在IP传输层

















，即第三层的“策略执行




  




  




  




”(Strategic lmplementation).几乎不需要什么额外开销就可以实现为绝大多数应用系统  


  


  


 、服务和上层协议提供较高级别的保护；为现有的应用系统和操作系统配置  
    
    
    
，IPSec几乎无须作任何修改

     


     


     


   ，安全策略可以在Active Directory里集中定义 




 




 




 

，也可以在某台主机上进行本地化管理  



     



     



     


。

创作不易  

   

   

   

，求关注

     

     

     

  ，点赞  




  




  




  
，收藏  


  


  


  


，谢谢~