渗透测试第二章---网络协议安全

 

互联网层安全：  拒绝服务，欺骗，窃听，伪造

一.ARP

1.ARP协议是什么

ARP（Address Resolution Protocol）地址转换协议，工作在OSI模型的数据链路层，在以太网中，网络设备之间互相通信是用MAC地址而不是IP地址，ARP协议就是用来把IP地址转换为MAC地址的。而RARP和ARP相反，它是反向地址转换协议，把MAC地址转换为IP地址。

2.ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

 

3.怎样防范ARP欺骗

1）在主机绑定网关MAC与IP地址为静态（默认为动态），命令：arp -s 网关IP 网关MAC

2）在网关绑定主机MAC与IP地址

3）.使用ARP防火墙

 

二、Ip协议

iP是Internet Protocol（网际互连协议）的缩写，  IP是TCP/IP体系中的网络层协议。   不可靠无连接

三、ICMP协议   （ping命令）

特点:  构建在IP报文结构上，但被认为与IP在同一层得协议

 

（用tracer追踪路由）

PING of Death 

攻击特征:  数据包大于65535个字节 造成内存溢出 系统崩溃 重启

检测方法:  判断数据包是否大于65535

反攻击方法: 当收到大于65535个字节数据包时，丢弃数据包，并进行系统审计

 

泪滴攻击（Teardrop） 分片攻击

攻击特征:  发送多个分片ip包，操作系统收到含有重叠偏移得伪造分片数据包  出现系统崩溃。重启

检测方法:  看片偏移 是否有误

反攻击方法: 丢弃病态分片数据包，对攻击进行审计

 

Smurf攻击： 伪造别人ip

发送echo  收到reply请求 

 

 

 

 

 

 

 

 

四： TCP协议 ： 传输控制协议

TCP面向连接 可靠传输

 

 

TCP三次握手机制 与四次挥手

 

https://baijiahao.baidu.com/s?id=1654225744653405133&wfr=spider&for=pc

 

 

 

五、UDP  面向数据报的传输层协议

 

UDP速度块， DNS用到的是UDP协议，看中的是速度快

 

 

 

TCP和UDP比较

 

相同点：同一层协议，基于IP报文基础

 

不同点:

 

TCP可靠，三次握手，四次挥手，  高可用性， 但是复杂，需要大量资源和开销

 

UDP是不可靠的，但是高效的传输协议

 

 

 

六、传输层安全问题： 

拒绝服务：syn flood

　　　　　udp flood 

 

 

 

 

 

　　　　　 smurf

 

欺骗： TCP会话劫持

窃听：嗅探

伪造： 数据包伪造

<-----   实验

 

 

LAND攻击

 

攻击特征:源IP和目标IP都是一个主机 然后循环  造成死机

　　　　大量数据包使目标主机建立无效连接 系统资源被大量占用

 

检测方法:  源IP和目标IP一致

反攻击方法: 适当设置防火设备过滤路由器的过滤规则

 

 

 

 

 

 

七、应用层协议

域名解析:DNS

电子邮箱: SMTP/ POP3

文件传输： FTP

网页浏览： HTTP

 

DNS域名解析

　　　　　　　 　  www.baidu.com

国家域名分为顶级域名、二级域名、三级域名等  从后往前

实验

 

 

 

 

 

 八、什么是DNS欺骗？
DNS欺骗是一门改变DNS原始指向IP的艺术。
什么是DNSomain Name Server 域名服务器 域名虽然便于人们记忆，但网络中的计算机之间只能互相认识IP地址，它们之间的转换工作称为域名解析。
DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗了。欺骗后便会为客户机器提供错误的IP地址指向，例如你打开百度的网址却成了另外的一个未知网页，试想如果跳转的页面被无声无息地挂着马又会多糟糕。