TCP/IP攻擊常見手段有以下這些:
IP欺騙攻擊:IP 欺騙技術就是偽造某臺主機的 IP 地址的技術。通過IP 地址的偽裝使得某臺主機能夠偽裝另外的一臺主機,而這臺主機往往具有某種特權或者被另外的主機所信任。
拒絕服務攻擊:是一種常見的 DOS(denial of service拒絕服務)和 DDos(distributed denial of serivce 分布式拒絕服務)攻擊方式。這是一種使用TCP協議缺陷,發送大量的偽造的 TCP 連接請求,使得被攻擊方 CPU 或內存資源耗盡,最終導致被攻擊方無法提供正常的服務。
UDP Flooding:UDP 洪泛是也是一種拒絕服務攻擊,將大量的用戶數據報協議(UDP)數據包發送到目標服務器,目的是壓倒該設備的處理和響應能力。防火墻保護目標服務器也可能因 UDP泛濫而耗盡,從而導致對合法流量的拒絕服務。
TCP重置攻擊:在 TCP 重置攻擊中,攻擊者通過向通信的一方或雙方發送偽造的消息,告訴它們立即斷開連接,從而使通信雙方連接中斷。正常情況下,如果客戶端收發現到達的報文段對于相關連接而言是不正確的,TCP 就會發送一個重置報文段,從而導致 TCP 連接的快速拆卸。
中間人攻擊:攻擊中間人攻擊英文名叫 Man-in-the-MiddleAttack,簡稱「MITM攻擊」。指攻擊者與通訊的兩端分別創建獨立的聯系,并交換其所收到的數據,使通訊的兩端認為他們正在通過一個私密的連接與對方 直接對話,但事實上整個會話都被攻擊者完全控制。
DDOS:DDos 全名 Distributed Denial of Service,翻譯成中文就是分布式拒絕服務。指的是處于不同位置的多個攻擊者同時向一個或數個目標發動攻擊,是一種分布的、協同的大規模攻擊方式。單一的DoS攻擊一般是采用一對一方式的,它利用網絡協議和操作系統的一些缺陷,采用欺騙和偽裝的策略來進行網絡攻擊,使網站服務器充斥大量要求回復的信息,消耗網絡帶寬或系統資源,導致網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。
預防TCP/IP攻擊的方法有以下這些:
保護自己免受信任關系欺騙攻擊最容易的方法就是不使用信任關系,但這并不是最佳的解決方案。不過可以通過做一些事情使信任關系的暴露達到最小。首先,限制擁有信任關系的人員。相比控制建立信任關系的機器數量,決定誰真正需要信任關系更加有意義。
可以關掉可能產生無限序列的服務來防止這種攻擊。比如我們可以在服務器端拒絕所有的ICMP包,或者在該網段路由器上對ICMP包進行帶寬方面的限制,控制其在一定的范圍內。
在路由器的前端做必要的TCP攔截,使得只有完成TCP三次握手過程的數據包才可進入該網段,這樣可以有效地保護本網段內的服務器不受此類攻擊。
要防止SYN數據段攻擊,我們應對系統設定相應的內核參數,使得系統強制對超時的Syn請求連接數據包復位,同時通過縮短超時常數和加長等候隊列使得系統能迅速處理無效的Syn請求數據包。
將重要的域名和IP地址的映射寫到系統HOST文件,保護好HOST文件不被惡意篡改。使用靜態ARP,綁定MAC地址和IP地址映射,防止ARP攻擊。安裝ARP防火墻,使用污染小的DNS服務器,使用自己可信賴的網絡代理,將自己所有的網路數據加密傳輸到安全的代理中去。
更改隱私設置,設備上安裝的多數應用都是黑客的進行tcp/ip攻擊的主要渠道,將要將這些應用的隱私做好保護,對應用所使用的密碼要使用強密碼。
回答所涉及的環境:聯想天逸510S、Windows 10。
TCP/IP攻擊常見手段有以下這些:
IP欺騙攻擊:IP 欺騙技術就是偽造某臺主機的 IP 地址的技術。通過IP 地址的偽裝使得某臺主機能夠偽裝另外的一臺主機,而這臺主機往往具有某種特權或者被另外的主機所信任。
拒絕服務攻擊:是一種常見的 DOS(denial of service拒絕服務)和 DDos(distributed denial of serivce 分布式拒絕服務)攻擊方式。這是一種使用TCP協議缺陷,發送大量的偽造的 TCP 連接請求,使得被攻擊方 CPU 或內存資源耗盡,最終導致被攻擊方無法提供正常的服務。
UDP Flooding:UDP 洪泛是也是一種拒絕服務攻擊,將大量的用戶數據報協議(UDP)數據包發送到目標服務器,目的是壓倒該設備的處理和響應能力。防火墻保護目標服務器也可能因 UDP泛濫而耗盡,從而導致對合法流量的拒絕服務。
TCP重置攻擊:在 TCP 重置攻擊中,攻擊者通過向通信的一方或雙方發送偽造的消息,告訴它們立即斷開連接,從而使通信雙方連接中斷。正常情況下,如果客戶端收發現到達的報文段對于相關連接而言是不正確的,TCP 就會發送一個重置報文段,從而導致 TCP 連接的快速拆卸。
中間人攻擊:攻擊中間人攻擊英文名叫 Man-in-the-MiddleAttack,簡稱「MITM攻擊」。指攻擊者與通訊的兩端分別創建獨立的聯系,并交換其所收到的數據,使通訊的兩端認為他們正在通過一個私密的連接與對方 直接對話,但事實上整個會話都被攻擊者完全控制。
DDOS:DDos 全名 Distributed Denial of Service,翻譯成中文就是分布式拒絕服務。指的是處于不同位置的多個攻擊者同時向一個或數個目標發動攻擊,是一種分布的、協同的大規模攻擊方式。單一的DoS攻擊一般是采用一對一方式的,它利用網絡協議和操作系統的一些缺陷,采用欺騙和偽裝的策略來進行網絡攻擊,使網站服務器充斥大量要求回復的信息,消耗網絡帶寬或系統資源,導致網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。
預防TCP/IP攻擊的方法有以下這些:
保護自己免受信任關系欺騙攻擊最容易的方法就是不使用信任關系,但這并不是最佳的解決方案。不過可以通過做一些事情使信任關系的暴露達到最小。首先,限制擁有信任關系的人員。相比控制建立信任關系的機器數量,決定誰真正需要信任關系更加有意義。
可以關掉可能產生無限序列的服務來防止這種攻擊。比如我們可以在服務器端拒絕所有的ICMP包,或者在該網段路由器上對ICMP包進行帶寬方面的限制,控制其在一定的范圍內。
在路由器的前端做必要的TCP攔截,使得只有完成TCP三次握手過程的數據包才可進入該網段,這樣可以有效地保護本網段內的服務器不受此類攻擊。
要防止SYN數據段攻擊,我們應對系統設定相應的內核參數,使得系統強制對超時的Syn請求連接數據包復位,同時通過縮短超時常數和加長等候隊列使得系統能迅速處理無效的Syn請求數據包。
將重要的域名和IP地址的映射寫到系統HOST文件,保護好HOST文件不被惡意篡改。使用靜態ARP,綁定MAC地址和IP地址映射,防止ARP攻擊。安裝ARP防火墻,使用污染小的DNS服務器,使用自己可信賴的網絡代理,將自己所有的網路數據加密傳輸到安全的代理中去。
更改隱私設置,設備上安裝的多數應用都是黑客的進行tcp/ip攻擊的主要渠道,將要將這些應用的隱私做好保護,對應用所使用的密碼要使用強密碼。
回答所涉及的環境:聯想天逸510S、Windows 10。