網絡安全·第一天·IP協議安全分析

????????本篇博客講述的是網絡安全中一些協議缺陷以及相應的理論知識,本博主盡可能講明白其中的一些原理以及對應的防衛措施。

????????學習考研408的同學也能進來看看,或許對考研有些許幫助(按照考研現在的趨勢,年年都有新題目,本文當作課外拓展也是可以的)。

? ? ? ? 提及黑客,很多人的第一想法或許是一位戴著邪惡面具,躲在逼仄的房間里幾天沒有洗澡的油膩男,他們竊取許多無辜百姓們的信息,并且利用這些信息對目標受眾進行欺騙。也有的人會覺得黑客是很酷的一個職業,他們捍衛國家的機密,并且對敵國的信息進行竊聽,是人見人愛的大英雄。

? ? ? ?事實上,以上兩種說法都有道理,就好像我們寫語文或者英語作文時總是把某個東西比作成“雙刃劍”,有好的一面自然也會有壞的一面。在這里要借用《大明王朝1566》中不粘鍋趙貞吉的一句話“功過總是結伴而行,我不求有功,無過便是功。”

????????可以不用黑客技術去黑掉敵對勢力的網絡與主機,更重要的是“無過”二字,不要用技術去犯下過錯,釀成災難,這是所有技術人員應該遵循的底線。

? ? ? ? 端正好思想后,就跟隨博主,一起來了解部分網絡協議的具體作用以及相應的漏洞吧!

一、網絡層與IP協議作用

要想搞清楚IP協議的作用,首先要了解清楚網絡層的定位。
網絡層是負責地址管理和路由選擇。

IP協議:網絡層的一個協議,通過IP地址來標識一臺主機,并通過路由表的方式規劃出兩臺主機之間的數據傳輸的路由線路。

IP地址的核心作用就是用于定位主機IP具有將一個數據數據從A主機跨網絡送到B主機的能力(主機到主機)

二、IP數據報格式

  • 版本號(version):4位,指定IP協議的版本,對于IPv4來說,就是4,而IPv6則該字段為6
  • 首部長度(header length):4位,表示IP報頭的長度,以4字節為單位(口訣:1位總司令與4位首長要抓8個騙子:總長度乘1倍,首部長度乘4倍,片偏移乘8倍)
  • 服務類型(Type Of Service):8位,分為3位優先權字段(已經棄用),4位TOS字段,和1位保留字段(必須置為0)。
  • 總長度(total length):16位,IP報文(IP報頭+有效載荷)的總長度,用于將各個IP報文進行分離。
  • 標識(id):16位,唯一的標識主機發送的報文,如果數據在IP層進行了分片,那么每一個分片對應的id都是相同的
  • 標志字段:3位,第一位保留,暫時無用。第二位表示禁止分片DF(Don't Fragment),表示如果報文長度超過MTU,IP協議就會丟棄該報文。第三位表示更多分片MF(More?Fragment),如果報文沒有進行分片,則該字段設置為0,如果報文進行了分片,則除了最后一個分片報文設置為0以外,其余分片報文均設置為1
  • 片偏移(framegament offset):13位,分片相對于原始數據開始處的偏移,表示當前分片在原數據中的偏移位置,實際偏移的字節數是這個值乘8得到的。因此除了最后一個報文之外,其他報文的長度必須是8的整數倍。(由此也可以推出,算片偏移時是不帶報頭的,例如第一片報文為24B,報頭是20B,要是帶上報頭計算的話,44不能被8整除)
  • 生存時間(Time To Live,TTL):8位,數據報到達目的地的最大報文跳數,一般是64,每經過一個路由,TTL 減?1,一直減到0還沒到達,那么就丟棄了,這個字段主要是用來防止出現路由循環
  • 8位協議:表示上層協議的類型
  • 首部檢驗和:16位,使用CRC進行校驗,只檢驗數據報的首部是否損壞,不檢驗數據部分
  • 源IP地址(Source IP Address):32位,指示發送該數據報的源主機的IP地址。
  • 目標IP地址(Destination IP Address):32位,指示接收該數據報的目標主機的IP地址
  • 選項字段:不定長,最多40字節

三、IP協議漏洞

1、數據報格式類漏洞

①.“源IP地址”

IP協議缺乏對地址真實性的認證機制,不能保證數據就是從數據包中給定的源地址發出的。

②.“目標IP地址”

不能確保就一定能把數據發給了數據包報頭中目的地址的主機。

③.“首部校驗和”

由于IP層沒有采用任何機制保證數據凈荷的正確性,只檢驗首部的正確性,導致攻擊者可能截取數據報,修改數據報中的內容,將修改結果發送給接收方。

④“標志”

上面三類漏洞都好理解,最惡心的是利用標志位的這類攻擊,也就是說,這類攻擊常常以分片的方式來惡心人。

主要分為大包分片攻擊、極小碎片攻擊以及分片重疊攻擊這三大類。

大包分片攻擊利用分片重組的特點,使受害主機在數據包重組之后的長度超過65535字節,使得事先分配的緩沖區溢出,造成系統崩潰。

極小碎片攻擊稍微復雜一點,他是攻擊者通過惡意操作,發送極小的分片來繞過包過濾系統或者入侵檢測系統的一種攻擊手段。

最典型的例子是,將TCP報頭分布在2個分片中,標志字段包含在第二個分片中; 若包過濾設備或者入侵檢測系統通過判斷TCP SYN標志來采取禁止外部連接,則可能放行這些分片報文。

分片重疊攻擊則是在分片報文重組時,使數據產生重疊,造成系統崩潰或繞過防火墻

數據重疊造成系統崩潰的意思很明顯,假設第一個分片報文長為80B,第二個分片卻在報頭偏移量的位置填了個5而不是10,在重組時有40B的內容就會被吞掉,造成系統崩潰。

而繞過防火墻則需要與標識位配合,假設防火墻運行目的端口40通過,而不允許目的端口50通過,則通過分片重疊,可以讓目的端口仍為40但卻可以繞過防火墻。

所以通過以上IP報文邏輯漏洞的分析,我們就能很清楚的找到對應策略,最極端的方式就是減少分片,能不分片就盡量不分片,同時也要丟棄過短的報文,避免極小碎片攻擊,再者,為了避免上圖中繞過防火墻的行為,可以先對報文重組,重組后再判斷是否該重組后的報文需要被過濾掉。

2、IP定向廣播攻擊

①定向廣播地址的定義

定向廣播地址是每個子網的最后一個IP地址,用于向該子網內所有設備發送廣播數據包。例如192.168.1.0/24的定向廣播地址就是192.168.1.255。

當數據包發送到定向廣播地址時,路由器會將其轉發到目標子網,并由子網內所有主機接收。

②典型攻擊:smurf攻擊

例如,·攻擊者A偽造源地址為受害主機B,并向定向廣播地址發送大量的ICMP中的Ping請求,此時,該子網內的主機都會向受害者B回復一個ICMP Echo Reply。而受害者突然收到了這么多的回復導致服務中斷,遭受DDos攻擊。

這就好比,伍老師邪惡的課代表狐假虎威,代替老師給全班亂布置作業,讓全班同學今天回去之后寫篇八百字的作文。事實上,語文老師自己都不知道自己給全班同學布置了一篇作文,這就導致第二天要改全班三四十篇作文,累得要命,從而沒有精力給班上上課了。

③防御措施

防范此類攻擊,最簡單的就是禁用定向廣播轉發功能,并且想辦法找出并過濾掉偽造IP源地址的數據包,這都能從根源上抵御該類型攻擊。

3、IP源路由欺騙

①IP source routing

什么是IP source routing呢?它是IP數據包中有一個選項,可以指定從源到目的的路由,則目的到源的應答包也會沿著這個路由傳遞。它分為兩種類型:

嚴格源路由:簡稱SSR,Strict Source Routing,不是陰陽師抽卡里面的SSR。在該條件下,數據包必須嚴格按照指定路徑轉發,否則將會丟棄該數據包。

松散源路由:LSR,Loose?Source Routing,數據包經過指定路徑中的關鍵節點,其余路徑由路由器決定。

這就好比大耳朵圖圖放學回家,有羊腸小道的小路也有布滿監控的大路。但是走小道回家會有小混混收保護費,圖圖為了自己不被小混混盯上,安全回家,所以在此期間他老老實實的走大路回家,完全不經過巷子,這就是“嚴格源路由”。而經過掃黑除惡行動后,小混混沒有以前那么猖獗了,圖圖也開始時不時走走小道,但是為了以防萬一,他在回家的路上,肯定會經過警局,至于去警局走哪條路,從警局回家走哪條道,圖圖隨緣決定,這就是“松散源路由”。

②攻擊原理

攻擊者可以利用“IP source routing”選項獲取到應答數據包,并且通過偽裝IP地址進行網絡攻擊。攻擊者利用源路由選項,偽裝成另一個IP地址,發送數據包到目標服務器,從而獲取不屬于自己的信息。

例如,受害者A向服務器B發送數據,攻擊者C偽造一個源路由選項位A->C->B的數據包,則接收方B收到消息后,會自動沿著源路由選項的逆向路徑回復,即B->C->A,后續雙方的通信都被迫經過C,C就可以實現中間人MITM攻擊,也可以監聽A與B的全部信息從而獲取關鍵信息(例如HTTP密碼、cookie),甚至在雙方的通信中加入惡意代碼。

③防范措施

該攻擊并不難防,以至于現在很少見到此類攻擊了。

首先,現代操作系統和網絡設備不再支持IP source routing選項了,這從根源上遏制了IP源路由欺騙攻擊的發展。

其次,TSL或者SSL等加密協議使得就算有中間人截獲信息也無法得知內容。

好滴,本期的博客就到此為止啦,如果你感覺小編寫的還可以,麻煩給本博主點個小小的贊吧!

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/bicheng/76910.shtml
繁體地址,請注明出處:http://hk.pswp.cn/bicheng/76910.shtml
英文地址,請注明出處:http://en.pswp.cn/bicheng/76910.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

【詳解】Nginx配置WebSocket

目錄 Nginx配置WebSocket 簡介 準備工作 檢查 Nginx 版本 配置 Nginx 支持 WebSocket 修改 Nginx 配置文件 解釋配置項 測試配置 測試 WebSocket 連接 WebSocket 服務端 (Node.js) WebSocket 客戶端 (HTML JavaScript) 運行測試 Nginx 配置文件示例 解釋 測試配…

《軌道力學講義》——第八講:行星際軌道設計

第八講:行星際軌道設計 引言 行星際軌道設計是探索太陽系的核心技術,它涉及如何規劃和優化航天器從一個天體到另一個天體的飛行路徑。隨著人類探索太陽系的雄心不斷擴大,從最初的月球探測到火星探測,再到更遙遠的外太陽系探測&a…

操作系統學習筆記——[特殊字符]超詳細 | 如何喚醒被阻塞的 socket 線程?線程阻塞原理、線程池、fork/vfork徹底講明白!

💡超詳細 | 如何喚醒被阻塞的 socket 線程?線程阻塞原理、線程池、fork/vfork徹底講明白! 一、什么是阻塞?為什么線程會阻塞?二、socket線程被阻塞的典型場景🧠 解法思路: 三、線程的幾種阻塞狀…

第十六屆藍橋杯大賽軟件賽省賽 Python 大學 B 組 滿分題解

題面鏈接Htlang/2025lqb_python_b 個人覺得今年這套題整體比往年要簡單許多,但是G題想簡單了出大問題,預估50101015120860,道阻且長,再接再厲 代碼僅供學習參考,滿分為賽后洛谷中的測評,藍橋杯官方測評待…

若依代碼生成器原理velocity模板引擎(自用)

1.源碼分析 代碼生成器:導入表結構(預覽、編輯、刪除、同步)、生成前后端代碼 代碼生成器表結構說明: 若依提供了兩張核心表來存儲導入的業務表信息: gen_table:存儲業務表的基本信息 ,它對應于配置代碼基本信息和生成信息的頁…

如何制定有效的風險應對計劃

制定有效的風險應對計劃的核心在于: 識別潛在風險、評估風險的影響與概率、選擇合適的應對策略、建立動態監控和反饋機制。 其中,識別潛在風險是最為關鍵的第一步。只有準確識別出可能的風險,才能在后續的評估、應對、監控等環節中做到有的放…

A2A協議實現詳解及示例

A2A協議概述 A2A (Agent2Agent) 是Google推出的一個開放協議,旨在使AI智能體能夠安全地相互通信和協作。該協議打破了孤立智能體系統之間的壁壘,實現了復雜的跨應用自動化。[1] A2A協議的核心目標是讓不同的AI代理能夠相互通信、安全地交換信息以及在各…

【中級軟件設計師】前趨圖 (附軟考真題)

【中級軟件設計師】前趨圖 (附軟考真題) 目錄 【中級軟件設計師】前趨圖 (附軟考真題)一、歷年真題三、真題的答案與解析答案解析 復習技巧: 若已掌握【前趨圖】相關知識,可直接刷以下真題; 若對知識一知半解,建議略讀題目&#x…

調節磁盤和CPU的矛盾——InnoDB的Buffer Pool

緩存的重要性 無論是用于存儲用戶數據的索引【聚簇索引、二級索引】還是各種系統數據,都是以頁的形式存放在表空間中【對一個/幾個實際文件的抽象,存儲在磁盤上】如果需要訪問某頁的數據,就會把完整的頁數據加載到內存中【即使只訪問頁中的一…

springboot和springcloud的區別

1. ?目的與功能? ?1)Spring Boot?: 主要用于快速構建獨立的、生產級的 Spring 應用程序。它通過自動配置和嵌入式服務器等特性,簡化了微服務的開發、啟動和部署,使開發者能夠專注于業務邏輯而非繁瑣的配置。?Spring Boot是一個快速開發的框架,旨在簡化Java應用程序的開…

耘想WinNAS:以聊天交互重構NAS生態,開啟AI時代的存儲革命

一、傳統NAS的交互困境與范式瓶頸 在傳統NAS(網絡附加存儲)領域,用戶需通過復雜的圖形界面或命令行工具完成文件管理、權限配置、數據檢索等操作,學習成本高且效率低下。例如,用戶若需搜索特定文件,需手動…

在斷網的時候,websocket 一直在CLOSING 狀態

現象 websocket 先連接成功,然后斷網。 由于維護了一套心跳機制,前端發起心跳,如果一段時間內沒有收到服務端返回的心跳。則表示連接斷開。 用心跳的方式處理斷網的兜底情況。 然而,此時網絡是斷開的,在代碼中直接調…

基于AWS的大模型調用場景:10大成本優化實戰方案

大模型訓練與推理是AI領域的計算密集型場景,如何在AWS上實現高性能與低成本的雙重目標?本文從實例選型、彈性伸縮、存儲優化等角度,分享10個經過驗證的AWS成本優化策略,幫助企業節省30%以上成本。 一、大模型場景的成本痛點分析 計…

【網絡原理】TCP/IP協議五層模型

目錄 一. 協議的分層 二. OSI七層網絡協議 三. TCP/IP五層網絡協議 四. 網絡設備所在分層 五. 封裝 六. 分用 七. 傳輸中的封裝和分用 八. 數據單位術語 一. 協議的分層 常見的分層為兩種OSI七層模型和TCP/IP五層模型 為什么要協議分層? 在網絡通信中&…

科技快訊 | 阿里云百煉MCP服務上線;英偉達官宣:CUDA 工具鏈將全面原生支持 Python

李飛飛團隊最新AI報告:中美模型性能差距近乎持平 4月8日,斯坦福大學以人為本人工智能研究所發布《2025年人工智能指數報告》。報告顯示,2023年AI性能顯著提升,AI應用加速,投資增長,中美AI模型差距縮小。報告…

貓咪如廁檢測與分類識別系統系列【三】融合yolov11目標檢測

? 前情提要 家里養了三只貓咪,其中一只布偶貓經常出入廁所。但因為平時忙于學業,沒法時刻關注牠的行為。我知道貓咪的如廁頻率和時長與健康狀況密切相關,頻繁如廁可能是泌尿問題,停留過久也可能是便秘或不適。為了更科學地了解牠…

2025年燃氣證書:傳承與發展的行業紐帶

回溯歷史長河,能源的利用與人類文明的發展息息相關。從遠古時期的鉆木取火,到如今廣泛應用的燃氣能源,每一次能源的變革都推動著社會的巨大進步。而在現代燃氣行業蓬勃發展的背后,燃氣從業人員資格證書正扮演著傳承與發展的重要紐…

在Ubuntu下進行單片機開發是否需要關閉Secure Boot

1. Secure Boot的作用 功能:Secure Boot是UEFI的安全功能,旨在阻止未經驗證的驅動或操作系統啟動,防止惡意軟件篡改引導過程。 影響范圍:它主要限制的是操作系統啟動階段加載的內核級驅動(如顯卡驅動、虛擬化模塊&…

國達陶瓷重磅推出陶瓷羅馬柱外墻整裝尖端新產品“冠巖臻石”

近日,記者在佛山國達建材有限公司(以下簡稱國達陶瓷)董事長楊建平處了解到,該公司重磅推出的“冠巖臻石”新產品,是屬于陶瓷羅馬柱外墻整裝產品中的尖端產品。新產品自面市之后,深受高端用戶的青睞與認可。…

【分享】Ftrans文件擺渡系統:既保障傳輸安全,又提供強集成支持

【分享】Ftrans文件擺渡系統:既保障傳輸安全,又提供強集成支持! 在數字化浪潮中,企業對數據安全愈發重視,網絡隔離成為保護核心數據的關鍵防線,比如隔離成研發網-辦公網、生產網-測試網、內網-外網等。網絡…