[NOTE]底层协议安全

最新推荐文章于 2023-05-08 13:59:58 发布
原创 最新推荐文章于 2023-05-08 13:59:58 发布 · 398 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了网络协议如IP、TCP、UDP、ICMP、DNS等的安全隐患,包括地址欺骗、路由欺骗、分片攻击、定向广播攻击、网络监听、SYNFlood、序号攻击、UDP Flood、ICMP DoS、DNS欺骗等,并详细阐述了各种攻击手段及其防御措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

基本协议及简述

  • IP:
    1. 无状态
    2. 无连接(不支持上下文)
    3. 不可靠(尽力送达)
    4. 无序(送达顺序不固定)
    5. 支持分片(分片字段)
    6. 路由不固定
    7. 地址由报文头指定
  • TCP:
    1. <localhost,localport->remotehost,remoteport>
    2. 三步握手:SYN->SYNACK->ACK
  • UDP:
    1. 简单的数据传输,没有纠错和重传
    2. 没有序列号机制,支持分片
    3. 开销小
  • ICMP
    1. 控制报文协议
    2. 可以用来探测可达性
    3. 对TCP/UDP产生影响

协议的安全隐患

IP协议
IP地址欺骗

报文头部的IP地址并不能保证是真实IP地址;可以通过伪造源IP进行欺骗

IP路由欺骗

可以在报文头部指定路由,则可以通过伪造IP和指定路由来接受应答数据包.

IP分片攻击
  • 老式设备在接受重组后总长超过65535的碎片时会造成缓冲区溢出
  • 偏移量攻击:Ping O’ Death
    1. Ping包的结构:ICMP头+Max=65507 PING数据
    2. 指定发送碎片偏移量超过65507会引发崩溃(如frag 9@65520)
  • 分片攻击:Teardrop:发送偏移重叠的片段导致处理出错.
    在这里插入图片描述
  • Tiny Fragment 攻击:发送极小的分片绕过包过滤系统:报头分为两个分片;第一个包含目的IP,目的是绕过防火墙建立连接;第二个分片包含禁止访问的目标端口,这样可以绕过针对端口进行封锁的防火墙,因为这种系统多半只会判断第一个分片是否合法.
  • Fragment Overlap:利用偏移覆盖端口.
    1. 在第一个分片声明使用合法端口
    2. 在第二个分片使用重叠的偏移量覆盖端口,造成了非法访问.
  • 分片Dos: 发送一部分分片但不发送完全造成资源等待,从而耗尽路由或主机资源
定向广播攻击

发送目的地为***.***.***.255的报文,等同向网域内所有主机发送(.2~.254),这样可以消耗主机资源产生拒绝服务攻击.

网络监听

IP协议采用明文传输.

被动监听技术
  • 基于介质的报文捕获:Hub
  • 基于交换介质的捕获:arp重定向/光纤分流
ARP协议

主要功能:建立IP地址和Mac地址的映射.
实现方式:向所有域内主机发送查询,符合条件的返回应答信息,其他的主机不返回.
攻击方式:发出假冒的ARP应答信息从而重定向数据流或者修改(中间人攻击)

TCP协议
SYN Flood

取消第三次握手的ACK包导致连接长期挂起,占用连接资源导致拒绝服务
应对:

  1. 半开连接数量检测
  2. 新建连接速率检测
  3. 阻断新建连接
  4. 释放超时连接
  5. 中间代理防火墙
    1. 用hash暂时保存半开连接信息
    2. SYN Cookie
    3. 判断合法后放行
序号攻击

TCP的信息重组基于序号,如果可以猜测起始序号ISN可以欺骗主机.

  1. 压制信任主机
  2. 攻击者连接主机端口,猜测ISN变化规律
  3. 主机向被压制的信任主机返回SYN+ACK.
  4. 估算时间向主机发送ACK
  5. 此时攻击者和攻击目标建立了连接.
    在这里插入图片描述
TCP序号劫持

使用上述类似的方法猜测序列号并压制信任主机从而接管会话.

UDP协议
UDP Flood

大量堵塞信道造成丢包

UDP欺骗

没有连接的概念(没有源地址)导致非常的不安全,很容易实施欺骗.

ICMP协议
Dos

针对带宽:发送大量无效的ICMP包
针对连接:伪造ICMP强行终止连接

ICMP重定向

ICMP重定向报文用于优化机器的路由路径.
攻击者利用这种报文重定向机器的路由表,可以伪装成路由器进行监听.

DNS协议

功能:IP-域名的映射

  1. DNS欺骗
  2. DNS解析可以省略后缀层次(?)
Windows系统SSL/TLS安全协议介绍
dvlinker的技术专栏
05-02 7567
Windows系统SSL/TLS安全协议介绍
基于STM32+OneNet的智能安全帽设计_113
07-07 2427
本设计基于STM32单片机的智能安全帽通过物联网技术实现了对施工人员的生命体征的实时监测和GPS定位功能。传统的安全帽仅能在一定程度上抵御对头部的打击,而智能安全帽则结合了各种传感器和通信模块,可以监测施工人员的生命体征,如心率、体温等,并将数据上传到云平台进行分析和记录。同时,智能安全帽还具备GPS定位功能,可以准确获取施工人员的位置信息,提高救援效率。当安全帽受到一定撞击力时,自动发送报警短信给指定的联系人,并携带GPS经纬度信息,方便紧急救援。此外,智能安全帽还有光敏检测功能,可以根据环境光照强度自动
IP Fragment攻击原理
路与肥的博客
04-29 2291
IP Fragment攻击原理
常见IP碎片攻击详解
ZCatLinux --资讯与技术社区--Open Source World----Linux/Shell/DevOPS--
08-30 2122
本文简单介绍了IP分片原理,并结合Snort抓包结果详细分析常见IP碎片攻击的原理和特征, 最后对阻止IP碎片攻击给出一些建议。希望对加深理解IP协议和一些DoS攻击手段有所帮助。 1. 为什么存在IP碎片 -=-=-=-=-=-=-=-=-=-=-= 链路层具有最大传输单元MTU这个特性,它限制了数据帧的最大长度,不同的网络类型都有一 个上限值。以太网的MTU是1500,你可以用 netstat
传输层安全协议(TLS)1.2版
Remy的学习记录
02-03 2万+
1.介绍   TLS协议的主要目标是在两个通信应用之间提供私密性和数据完整性。这个协议由两层组成:TLS记录协议和TLS握手协议。最低层是基于一些可靠传输协议(如TCP)的TLS记录协议。TLS记录协议提供的连接安全有两个基本性质: 连接是私有的。对称密码学被用于数据加密(如:AES,RC4等)。对称加密的密钥对每条连接都是独特的,而且是基于另外一种协议(如TLS握手协议)进行的秘密协商而生...
底层通讯协议问题排查案例
VMA_LMA的专栏
09-19 2854
最近每天抽调一点时间充当客服工作,解决用户的技术问题,在充当客服工作当中,遇到各种形形色色的问题,才知道以前自认为不是问题的问题现在都成为了问题,在问题的分析,解决过程中相当的困惑人,有时候同一个问题分析好几天,尝试各种方式,最后到问题的解决,解决问题后,那种兴奋是无法用语言来形容,感谢用户容忍我们这么不停的折腾,在这个过程当中,让我了解到一些更底层的东西,对于自身也是一个很大的提高。下面说说遇到
DDS通信协议安全实践
热门推荐
samli的博客
09-14 2万+
DDS(Data Distribution Service)是一套通信协议和 API 标准;它提供了以数据为中心的连接服务,基于发布者-订阅者模型。这是一套中间件,它提供介于操作系统和应用程序之间的功能,使得组件之间可以互相通信。并且提供了低延迟,高可靠的通信以及可扩展的架构。DDS本身是一套标准。由(简称OMG)维护。OMG是一个开放性的非营利技术标准联盟,由许多大型IT公司组成:包括IBM,Apple Computer,Sun Microsystems等。
WiFi(Wireless Fidelity)基础(一)
weixin_43153548的博客
05-08 5838
目录 一、基本介绍(Introduction) 二、进化发展(Evolution) 三、PHY帧((PHY Frame ) 四、MAC帧(MAC Frame ) 五、协议(Protocol) 六、安全(Security) 七、802.11ac标准 八、802.11ad标准 九、802.11ax (WiFi 6)标准 十、WiFi直接连接(WiFi Direct) 十一、测试(Testing) 十二、WiFi射频测量(WiFi RF Meas.) https://www.sharetechnote.com/
Computer Network Note
QiuHong 的博客
03-17 2831
《计算机网络》笔记 Chapter 1 概述 1.1 计算机网络向用户提供最重要的功能 连通性:计算机网络使上网用户之间都可以交换信息,使用户的计算机可以彼此连通。 共享:即资源共享,如,信息共享、软件共享,硬件共享。 1.2 因特网概述 网络(network):由若干结点 (node) 和连接这些结点的链路 (link) 组成。 网络的网络 (network of networks):网络和网络通过路由器互联起来,即互联网。 因特网发展的三个阶段 第一阶段:从单个网络 ARPANET 向互
云计算基础设施安全-note
Yale的博客
05-29 1866
#物理安全 #服务器虚拟化安全 ##服务器虚拟化的安全隐患 虚拟机蔓延 随着虚拟化技术的不断成熟,虚拟机的创建越来越容易,数量也越来越多,导致回收计算资源或清理虚拟机的工作越来越困难,这种失去控制的虚拟机繁殖称为虚拟机蔓延(VM Sprawl),可以分为: 僵尸虚拟机(Zombie VM)。在实际系统中,许多已经停用的虚拟机以及相关的镜像文件仍然保留在硬盘上,甚至还可能有多份副本,这些已经停用的虚拟机会占据大量系统资源 幽灵虚拟机。许多虚拟机的创建没有经过合理的验证与审核,导致了不必要的虚拟机配置,或者由
安全协议SSL
reFreever的专栏
03-30 1440
当今社会,电子商务大行其道,作为网络安全 infrastructure 之一的 -- SSL/TLS 协议的重要性已不用多说。 OpenSSL 则是基于该协议的目前应用最广泛的开源实现,其影响之大,以至于四月初爆出的 OpenSSL Heartbleed 安全漏洞(CVE-2014-0160) 到现在还余音未消。 本节就以出问题的 OpenSSL 1.0.1f 作为实例进行分析;整个分析过
SDN — OpenFlow SDN 协议标准
烟云的计算
05-03 986
从 OpenFlow v1.1 开始,每一台 OpenFlow Switch 能够拥有 Multi-level Flow Tables(多级流表),最多 256 级,从 0 依次编号排列。Multi-level Flow Tables 可以将 Flow Table Matching(流表匹配过程)分解成多个 Steps(步骤),形成 Multi Table Pipeline(多表流水线)处理方式。以此更好地应用了交换机 ASIC 转发芯片的多表特性,同时也避免了 Single Table 过度膨胀的问题。
【Axi协议标准版的安全性分析】:保障数据传输安全的核心机制与实践
![柔性龙门动态补偿-arm axi协议标准版]...接着,文章分析了Axi协议在数据封装、传输、安全通信协议设计以及安全事件处理方面的具体实
langchain4j-anthropic-spring-boot-starter-0.31.0.jar中文文档.zip
07-26
1、压缩文件中包含: 中文文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
TMS320F28335电机控制程序详解:BLDC、PMSM无感有感及异步VF源代码与开发资料
07-26
TMS320F28335这款高性能数字信号处理器(DSP)在电机控制领域的应用,涵盖了BLDC(无刷直流电机)、PMSM(永磁同步电机)的无感有感控制以及异步VF(变频调速)程序。文章不仅解释了各类型的电机控制原理,还提供了完整的开发资料,包括源代码、原理图和说明文档,帮助读者深入了解其工作原理和编程技巧。 适合人群:从事电机控制系统开发的技术人员,尤其是对TMS320F28335感兴趣的工程师。 使用场景及目标:适用于需要掌握TMS320F28335在不同电机控制应用场景下具体实现方法的专业人士,旨在提高他们对该微控制器的理解和实际操作能力。 其他说明:文中提供的开发资料为读者提供了从硬件到软件的全面支持,有助于加速项目开发进程并提升系统性能。
基于爬山搜索法的风力发电MPPT控制Simulink仿真:定步长与变步长算法性能对比 - 爬山搜索法 最新版
07-26
基于爬山搜索法的风力发电最大功率点追踪(MPPT)控制的Simulink仿真模型,重点比较了定步长和变步长算法在不同风速条件下的表现。文中展示了两种算法的具体实现方法及其优缺点。定步长算法虽然结构简单、计算量小,但在风速突变时响应较慢,存在明显的稳态振荡。相比之下,变步长算法能够根据功率变化动态调整步长,表现出更快的响应速度和更高的精度,尤其在风速突变时优势明显。实验数据显示,变步长算法在风速从8m/s突增至10m/s的情况下,仅用0.3秒即可稳定,功率波动范围仅为±15W,而定步长算法则需要0.8秒,功率波动达到±35W。 适合人群:从事风力发电研究的技术人员、对MPPT控制感兴趣的工程技术人员以及相关专业的高校师生。 使用场景及目标:适用于风力发电系统的设计与优化,特别是需要提高系统响应速度和精度的场合。目标是在不同风速条件下,选择合适的MPPT算法以最大化风能利用率。 其他说明:文章还讨论了定步长算法在风速平稳情况下的优势,提出了根据不同应用场景灵活选择或组合使用这两种算法的建议。
基于MatlabSimulink的风电场调频策略研究:虚拟惯性、超速减载与下垂控制的协调优化
最新发布
07-27
内容概要:本文详细探讨了在Matlab/Simulink环境下,针对风电场调频的研究,尤其是双馈风机调频策略的应用及其与其他调频策略的协调工作。文中介绍了三种主要的调频策略——虚拟惯性、超速减载和下垂控制,并基于三机九节点系统进行了改进,模拟了四组风电机组的协同调频过程。研究指出,虚拟惯性的应用虽然可以提供短期频率支持,但也可能导致频率二次跌落的问题。因此,需要通过超速减载和下垂控制来进行补偿,以维持电网的稳定。此外,文章还展示了在变风速条件下,风电机组对电网频率支撑能力的显著提升,尤其是在高比例风电并网渗透的情况下,频率最低点提高了50%,验证了调频策略的有效性。 适合人群:从事电力系统、风电场运营管理和调频技术研发的专业人士,以及对风电调频感兴趣的科研人员和技术爱好者。 使用场景及目标:适用于希望深入理解风电场调频机制及其优化方法的人群。目标是掌握不同调频策略的工作原理及其协调工作的关键点,提高风电场的运行效率和稳定性。 其他说明:本文通过具体的案例研究和仿真数据,展示了调频策略的实际效果,强调了合理运用调频策略对于风电场稳定运行的重要意义。同时,也为未来的风电调频技术创新提供了理论依据和实践经验。
三菱QL系列PLC在3C-FPC组装机中的定位与伺服控制及触摸屏应用解析
07-26
三菱Q系列和L系列PLC在3C-FPC组装机中的具体应用,涵盖硬件架构、软件编程以及实际操作技巧。主要内容包括:使用QX42数字输入模块和QY42P晶体管输出模块进行高效信号处理;采用JE系列伺服控制系统实现高精度四轴联动;利用SFC(顺序功能图)和梯形图编程方法构建稳定可靠的控制系统;通过触摸屏实现多用户管理和权限控制;并分享了一些实用的调试和维护技巧,如流水线节拍控制和工程师模式进入方法。最终,该系统的设备综合效率(OEE)达到了92%以上。 适合人群:从事自动化控制领域的工程师和技术人员,尤其是对三菱PLC有初步了解并希望深入了解其高级应用的人群。 使用场景及目标:适用于需要高精度、高效能的工业生产设备控制场合,旨在帮助用户掌握三菱PLC及其相关组件的应用技能,提高生产效率和产品质量。 其他说明:文中提供了详细的编程实例和操作指南,有助于读者更好地理解和实践。同时提醒使用者在调试过程中应注意伺服刚性参数调整,避免不必要的机械损伤。
Simulink环境下四永磁同步电机偏差耦合转速同步控制仿真模型及其应用
07-26
内容概要:本文介绍了作者在Simulink上搭建的一个用于四永磁同步电机偏差耦合转速同步控制的仿真模型。文中详细描述了四永磁同步电机系统的建模方法,包括电机本体、电源、控制器等组成部分的设置。重点阐述了偏差耦合转速同步控制策略的具体实现方式,即利用PID控制器调节各电机的转速差值,确保所有电机能以相同的速率运转。此外,还展示了不同工况下仿真的实验结果,证明了所提方案的有效性。最后讨论了该模型在未来可能的发展方向和应用场景。 适合人群:从事工业自动化领域的研究人员和技术人员,特别是关注多电机系统协调控制的研究者。 使用场景及目标:适用于希望深入了解多电机同步控制机制的人群,旨在提供一种有效的解决方案来应对多电机系统中存在的协调难题,提升系统的稳定性和效率。 其他说明:文中提供了具体的MATLAB/Simulink代码片段作为参考,便于读者理解和复现相关工作。
oauth2认证的底层原理
12-28
### OAuth2 认证机制底层实现原理 #### 一、OAuth2 协议概述 OAuth2 是一种授权框架,允许应用程序在用户许可的情况下访问其他应用的数据。通过此协议,客户端可以获取资源拥有者的同意来获得有限的访问权。 #### 二、主要角色定义 - **资源所有者 (Resource Owner)**:通常是最终用户。 - **客户端 (Client)**:请求受保护资源的应用程序。 - **授权服务器 (Authorization Server)**:验证用户的凭证并颁发令牌。 - **资源服务器 (Resource Server)**:存储实际数据的服务端,它依赖于有效的访问令牌提供资源访问[^1]。 #### 三、四种授权模式详解 OAuth2 定义了四种不同的授权流程以适应不同场景下的需求: ##### 授权码模式 (Authorization Code Grant) 这是最常用的一种方式,适用于具有后端组件的传统Web应用。当用户尝试登录时,会被重定向至授权服务器,在那里输入用户名密码完成身份验证;随后返回一个临时性的授权码给客户端,再由后者交换成正式的访问令牌用于后续API调用。 ```mermaid sequenceDiagram participant User as 用户 participant Client as 客户端 participant AuthServer as 授权服务器 participant ResourceServer as 资源服务器 Note over User,AuthServer: 用户点击登录按钮\n被重定向到授权服务器 User->>AuthServer: GET /authorize?response_type=code&client_id=<CLIENT_ID>&redirect_uri=<REDIRECT_URI> loop 登录表单提交 User->>AuthServer: POST 表单数据 {username,password} end AuthServer-->>User: HTTP 302 Found Location=http://<REDIRECT_URI>?code=<AUTHORIZATION_CODE> Client->>AuthServer: POST /token grant_type=authorization_code code=<AUTHORIZATION_CODE> AuthServer-->>Client: {"access_token":"<ACCESS_TOKEN>"} Client->>ResourceServer: GET /api/resource Authorization: Bearer <ACCESS_TOKEN> ResourceServer-->>Client: 返回所需资源 ``` ##### 隐式模式 (Implicit Grant) 主要用于浏览器中的JavaScript前端应用。由于这些环境难以安全保存秘密信息,因此直接授予短寿命的访问令牌而非授权码。这种方式下不再有额外的Token Exchange步骤,而是立即得到Access Token。 ##### 密码模式 (Resource Owner Password Credentials Grant) 在这种情况下,客户可以直接向授权服务器发送用户名和密码换取令牌。不过官方并不推荐广泛采用这种做法因为这违反了OAuth设计初衷—减少暴露敏感凭据的机会。 ##### 客户端证书模式 (Client Credentials Grant) 适合机器间通信场合,比如微服务架构内部各模块间的交互。此时不存在具体的人类参与者作为资源主人,所以只需凭借已知的身份证明材料(如API Key)去申请权限范围内的操作权利即可。 #### 四、安全性考量 为了保障整个过程中各个环节的安全性,通常还会采取诸如HTTPS加密传输通道、签名算法防止篡改以及过期时间控制等措施确保系统的健壮性和可靠性[^2]。 #### 五、SSO单点登录实践案例 对于支持多租户或多产品的大型互联网公司来说,构建统一的身份认证中心变得尤为重要。例如在一个典型的SSO环境中,一旦某位访客完成了首次登陆动作,则在未来一段时间内再次进入关联站点时便无需重复经历相同的鉴权环节。具体表现为跳转到指定域名下的`/login.html`页面,并附带必要的查询字符串参数如`key`与`redirect`以便识别来源及回退路径[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值