ネットワークインターフェイスレイヤーのセキュリティ:
ARPスプーフィング防御:
1.静的ARPキャッシュを使用する
2. IPおよびMACアドレスバインディング(最も直接的なソリューション)
3. ARP防御ツール
IPヘッダー構造:
全長(16ビット):IPパケットの全長は65536を超えてはなりません。
存続時間(TTL):データパケットがルーターを通過するたびに、TTLは-1になり、データパケットがネットワーク内で継続的に循環してネットワークリソースを浪費するのを防ぎます。パケットタイプによって、WindowsとLinuxのどちらであるかを判断するための初期値が異なります。(IPv6関連情報は後で確認できます)
ICMPプロトコル:
機能:IPパケットの構造に基づいて構築されていますが、IPと同じ層のプロトコルと見なされます。
役割:
1.エラーメッセージや注意が必要なその他の情報を転送する
2. ICMPアドレスマスクの要求と応答
3. ICMPタイムスタンプ要求と応答
tracerコマンド:ネットワークを介してこれらのルートを診断し、パケットをトレースする
インターネット層のセキュリティ:
1.サービス妨害:シャーディング攻撃(ティアドロップ)/ ping of death
DOSまたは分散型サービス拒否
死のピン
攻撃原理:
データパケットが送信され、64 kbのバッファが開かれるため、常時pingする代わりに、2000年代に-l 10000にpingできます。64kbを超えると、バッファオーバーフローが発生します。その結果、TCP / IPプロトコルスタックがクラッシュし、ホストが再起動またはクラッシュします。
検出方法:データパケットが65535バイトより大きいかどうかを判断します。大きい場合は、IDS侵入検知アラームです。
IDS侵入検知:組み込みの一般的な攻撃機能、ネットワークトラフィックパケットの解析と照合、一致した場合のアラーム。
侵入検知製品を検出するための指標:偽陰性率と偽陽性率。
涙
「ティアドロップ」はフラグメント化された攻撃とも呼ばれ、TCP / IPプロトコルを使用してサービス拒否攻撃を実行する一般的な方法です。
この攻撃を実装する最初のプログラムの名前はティアドロップであるため、この攻撃は「ティアドロップ」とも呼ばれます。
攻撃原理:
シャーディングの例1-1025 1026-2049 2049-3073
攻撃後1-1025 1000-2049 2049-3073
ホストの再編成を受け入れるときに上書きまたはオーバーフローが発生し、プロトコルスタックがクラッシュする
検出方法:受信した断片化されたデータパケットを分析し、データパケットのフラグメントオフセット(オフセット)が間違っているかどうかを計算します。
スマーフ攻撃
攻撃方法を強調する
攻撃原理:
ハッカーは、ターゲットWebサイトのIPを偽造して、大量のブロードキャストパケットを中間Webサイトに送信します。中間Webサイトにホストが10,000あると想定すると、ブロードキャストの送信後に応答が受信され、ターゲットWebサイトに応答が送信されるため、多数のエコー応答が発生します。パッケージはDOSによって削除されました。
主にICMPのエコー要求を使用して応答を受信します。
2.スプーフィング:IPスプーフィング
3.盗聴:スニッフィング
4.偽造:IPデータパケットの偽造
トランスポート層のセキュリティ: