隨著技術的進步,網絡不法分子也在不斷尋找新的方法來對網絡進行攻擊。了解OSI模型各個層級的功能及其漏洞可以幫助組織更好地預防網絡攻擊,提高網絡的安全性。

物理層

物理層負責通過諸如電纜、線纜和無線信號等物理介質來傳輸和接收原始的比特流(二進制的1和0),可以對物理連接進行創建、維護和關閉等操作。同時該層還負責同步數據比特并定義數據傳輸速率和數據傳輸模式(例如全雙工和半雙工模式)。物理層使用的設備包括以太網、同軸電纜、光纖以及其他連接器。

拒絕服務(Denial of Service,DoS)攻擊針對的就是物理層,因為物理層包括硬件設施,是系統中有形的層級。DoS攻擊會造成所有網絡功能的癱瘓,類似剪斷或拔掉網絡電纜一樣攻擊。而防御方則可以通過物理安全措施來減輕物理層的漏洞,例如訪問控制、視頻監控、防篡改的電磁干擾屏蔽以及使用冗余鏈接等。

數據鏈路層

數據鏈路層負責處理封裝在“幀”中的信息流。該層主要對數據中的錯誤進行檢測和糾正,確保物理鏈路上的網絡設備之間能夠進行可靠傳輸。數據鏈路層需要確保數據在網絡設備之間按照正確的順序傳輸,并且保持數據傳輸的一致性。同時該層也負責數據傳輸中的錯誤控制和流量控制。該層中循環冗余檢查(CRC)被用于監測幀是否損壞或丟失。當發送方將數據封裝成幀并發送給接收方時,它會附加一個CRC值到幀的末尾。接收方在接收到幀后會計算接收到的幀的CRC值,并與發送方附加的CRC值進行比較。如果接收方計算出的CRC值與發送方附加的CRC值不匹配,那么就意味著幀在傳輸過程中發生了錯誤。此時,接收方會通過丟棄該幀并發送一個請求重新傳輸的信號來指示發送方重新發送該幀。另外,網橋、交換機、網絡接口控制器(NIC)以及諸如地址解析協議(ARP)、點對點協議(PPP)、生成樹協議(STP)、鏈路聚合控制協議(LACP)等協議均屬于這數據鏈路層。

數據鏈路層的攻擊源自內部局域網(Local Area Network,LAN),其中一些攻擊包括:

? ARP欺騙(ARP spoofing)—— ARP欺騙是一種中間人攻擊(MiTM),攻擊者假裝成網絡通信通道的兩端,嗅探數據包以竊取數據、篡改通信、進行會話劫持和分布式拒絕服務(DDoS)攻擊。為了防止這種攻擊,防御方可以啟用私有VLAN、靜態ARP并安裝入侵檢測系統(IDS)來進行抵御。

? MAC flooding攻擊 —— 此類攻擊是在網絡交換機上進行的。攻擊者使用虛假的MAC地址來使交換機的媒體訪問控制(MAC)地址表溢出,從而替換掉有效地址。這會迫使交換機表現得像一個網絡集線器。也就是說,當一個有效用戶嘗試訪問網絡時,他們會在整個網絡中創建一個廣播式的“洪水”。原本應該發送給真實用戶的數據現在將會被攻擊者接收。對于防御者來說,需要通過啟用端口安全和與認證、授權和計費(AAA)服務器進行身份驗證,以抵御此類攻擊。

? 生成樹攻擊(Spanning Tree attack)—— 生成樹協議(STP)的作用是防止網絡中存在的冗余交換機之間形成潛在的環路,從而避免無限廣播流量風暴的發生。攻擊者可以通過添加一個新的STP設備,并修改其操作參數,使其成為根橋。通過將自己設置為根橋,攻擊者可以改變生成樹協議的拓撲結構,控制數據流量的路徑,隨后流量將通過攻擊者的交換機進行傳輸。安全團隊可以選擇啟用交換機上的橋接協議數據單元(BPDU)保護來防止這種攻擊的發生。

網絡層

網絡層運行于“數據包”上,其主要功能是進行路由。它負責邏輯設備的標識和尋址,并通過選擇最短和最高效的路徑來進行數據包轉發。路由器和交換機是與該層最常相關的設備。在網絡層上運行的協議包括互聯網協議(IP)、互聯網控制報文協議(ICMP)、路由信息協議(RIP)以及開放最短路徑優先協議(OSPF)。

網絡層的攻擊是在互聯網上進行的,例如分布式拒絕服務(DDoS)攻擊,攻擊者針對路由器發起大量非法請求,使其超負荷運行,無法接受合法請求。數據包過濾控制和安全機制,如虛擬私人網絡(VPN)、IPsec和防火墻,是限制網絡層攻擊的常見方法。

傳輸層

傳輸層在源和目的地之間建立一對一的連接,確保數據按正確的順序傳輸。同時該層還執行流量控制、錯誤控制、數據重組和分段等功能。傳輸層的典型協議包括傳輸控制協議(TCP)和用戶數據報協議(UDP)。

傳輸層的攻擊通常是通過掃描網絡中的端口,以識別出存在漏洞的開放端口,并對其進行攻擊的。

? SYN洪水攻擊(SYN flood attack)是一種利用TCP三次握手的分布式拒絕服務(DDoS)攻擊。攻擊者向服務器的每個端口發送多個同步(SYN)數據包。服務器則會為每個SYN數據包都發送一個同步確認(SYN-ACK)消息進行確認。如果惡意的客戶端沒有按預期發送最后的確認(ACK)數據包,那么就會在服務器上創建“半開放”會話。隨著服務器處理請求的能力逐漸耗盡,合法客戶端的新請求和服務就會遭到拒絕。若SYN洪水攻擊持續進行,服務器則會發生故障或崩潰。在處理SYN請求時,可以分配較小的內存塊來存儲這些請求的信息。通常情況下,這些塊的大小可以設置為16字節或更小。通過限制每個SYN請求所需的資源,可以減少服務器在處理大量無效SYN請求時的負擔。同時,維護SYN cookie和RST cookie也是一種有效的防御手段。

? Smurf攻擊 —— 該攻擊得名于1980年代一種廣受歡迎的玩具角色,它幾乎無處不在。Smurf攻擊也是一種DDoS攻擊。該攻擊通過使用目標服務器的IP地址作為源IP地址,向IP廣播網絡生成虛假的ICMP Echo請求(PING)數據包。這些請求會引發大量的ICMP響應,并且響應看上去來自于各個地方,最后服務器的處理能力和資源會被極度消耗,最終導致服務器無法正常工作并崩潰。

會話層

會話層負責在本地和遠程設備之間建立、維護和終止會話。在該層級中,會話的建立和維護是通過同步和恢復機制來實現的。在數據傳輸過程中,該層會添加一些特殊的檢查點,以確保數據的可靠性和完整性。如果在傳輸過程中出現任何錯誤,傳輸將從上一個有效的檢查點處進行恢復。

會話層常見的攻擊包括:

? 會話劫持(Session hijacking)—— 攻擊者通過破解會話令牌來接管網絡會話,以獲取個人信息和密碼。使用強密碼與多因素身份驗證、使用虛擬私人網絡(VPN)以及及時更新軟件等措施可以減輕會話劫持攻擊的風險。

? 中間人攻擊(MiTM attack)—— 在此類攻擊中,攻擊者會位于兩個交互方的數據傳輸會話之間,以竊聽和中繼消息。開放的以及不安全的Wi-Fi連接是這類攻擊最常見的手段。其他通信技術,例如安全外殼協議(SSH),可以限制此類攻擊。

表示層

表示層負責將數據從發送者特定的格式轉換為應用層能夠理解的通用格式。例如,對不同的字符集(如ASCII到EBCDIC)進行轉換。從網絡安全的角度來看,該層負責的是數據的加密和解密。同時表示層還管理著網絡傳輸的數據壓縮。

在表示層發生的安全套接層(Secure Sockets Layer,SSL)劫持,也被稱為會話劫持攻擊,該層的加密技術確保了數據在傳輸過程中的機密性和完整性。

應用層

應用層負責為最終用戶提供各種服務,例如郵件服務、目錄服務、文件傳輸以及訪問和管理(FTAM)。該層的協議包括:文件傳輸協議(FTP)、簡單網絡管理協議(SNMP)、域名系統(DNS)、超文本傳輸協議(HTTP)以及電子郵件協議(SMTP、POP3、IMAP)等。

應用層攻擊是最難防御的,因為該層會存在許多漏洞,并且應用層也是最容易受到外部世界影響的層級。采用應用程序監控技術來檢測應用層和零日攻擊,并定期更新應用程序是保護應用層的最佳實踐。

該層最常見的網絡攻擊包括:病毒、蠕蟲、木馬、釣魚攻擊、分布式拒絕服務(DDoS)攻擊、HTTP洪泛攻擊、SQL注入以及跨站腳本等等。

結論

OSI模型提供了一種描述設備之間通信過程的框架。OSI概念模型可以幫助我們更加清晰地理解數據的傳輸過程。在復雜的通信過程中,攻擊者會通過各式各樣的手段來利用和破壞系統。了解每一層面臨的常見攻擊類型和潛在漏洞,并針對性地采取相應的防御措施,對于保護網絡的安全至關重要。

數世咨詢點評

OSI模型提供了一種標準的、層次化的方法來理解和設計計算機網絡。它為網絡通信提供了一個共同的語言和框架,促進了網絡設備和應用程序之間的互操作性以及互聯互通性。

需要注意的是,OSI模型的七個層級是針對通用網絡設計的,并不適用于所有類型的網絡。對于某些特定類型的網絡,例如點對點網絡或嵌入式系統,則不一定需要或使用所有的層級。在實際網絡設計和管理中,組織需要根據具體需求和現實情況對OSI模型進行調整和定制,以滿足實際網絡環境的要求。盡管在實際應用中可能存在一些限制和挑戰,但OSI模型仍然是網絡領域中廣泛應用的重要工具和參考模型。

網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接