网络攻击的概念_网络攻击都有什么协议

计算机网络协议有哪些？

网络协议

1、协议：通信双方所共同遵守的规则。

2、网络协议：计算机在网络中实现通信时必须遵守的规则和约定。

每个网络中至少要选择一种网络协议。具体选择哪一种网络通信协议主要取决于网络的规模、网络的兼容性和网络管理等几个方面。常接触的局域网中，一般使用NETBEUT、IPX/SPX和TCP/IP三种协议。

NETBEUI：是为IBM开发的非路由协议，用于携带NETBIOS通信。NETBEUI缺乏路由和网络层寻址功能，既是其最大的优点，也是其最大的缺点。因为它不需要附加的网络地址和网络层头尾，所以很快并很有效且适用于只有单个网络或整个环境都桥接起来的小工作组环境。

IPX/SPX：它是由Novell提出的用于客户/服务器相连的网络协议。使用IPX/SPX协议能运行通常需要NetBEUI支持的程序，通过IPX/SPX协议可以跨过路由器访问其他网络。IPX具有完全的路由能力，可用于大型企业网。

TCP/IP：TCP/IP是在60年代由麻省理工学院和一些商业组织为美国国防部开发的，即便遭到核攻击而破坏了大部分网络，TCP/IP仍然能够维持有效的通信。TCP/IP同时具备了可扩展性和可靠性的需求。每种网络协议都有自己的优点，但是只有TCP/IP允许与Internet完全的连接。TCP/IP的32位寻址功能方案不足以支持即将加入Internet的主机和网络数。因而可能代替当前实现的标准是IPv6。

常见的网络攻击都有哪几种？

1、口令入侵

所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。

2、电子邮件

电子邮件是互连网上运用得十分广泛的一种通讯方式。攻击者能使用一些邮件炸弹软件或CGI程式向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，更有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。

3、节点攻击

攻击者在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们能使用网络监听方法，尝试攻破同一网络内的其他主机；也能通过IP欺骗和主机信任关系，攻击其他主机。

4、网络监听

网络监听是主机的一种工作模式，在这种模式下，主机能接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而攻击者就能在两端之间进行数据监听。

5、黑客软件

利用黑客软件攻击是互连网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马，他们能非法地取得用户计算机的终极用户级权利，能对其进行完全的控制，除了能进行文件操作外，同时也能进行对方桌面抓图、取得密码等操作。

6、端口扫描

所谓端口扫描，就是利用Socket编程和目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。常用的扫描方式有：Connect()扫描。Fragmentation扫描。

参考资料来源：百度百科-网络攻击

常见网络安全攻击有哪些

1、DoS和DDoS攻击

DoS是Denial of

Service的简称，即拒绝服务。单一的DoS攻击一般是采用一对一方式的，通过制造并发送大流量无用数据，造成通往被攻击主机的网络拥塞，耗尽其服务资源，致使被攻击主机无法正常和外界通信。

DDos全称Distributed Denial of Service，分布式拒绝服务攻击。攻击者可以伪造IP 地址，间接地增加攻击流量。通过伪造源 IP

地址，受害者会误认为存在大量主机与其通信。黑客还会利用IP 协议的缺陷,对一个或多个目标进行攻击,消耗网络带宽及系统资源,使合法用户无法得到正常服务。

2、MITM攻击

中间人类型的网络攻击是指网络安全漏洞，使得攻击者有可能窃听两个人、两个网络或计算机之间来回发送的数据信息。在MITM攻击中，所涉及的两方可能会觉得通信正常，但在消息到达目的地之前，中间人就非法修改或访问了消息。

3、网络钓鱼攻击

网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息的一种攻击方式。

攻击者可能会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。最常见的是向用户发送链接，通过欺骗用户下载病毒等恶意软件，或提供私人信息来完成诈骗。在许多情况下，目标可能没有意识到他们已被入侵，这使得攻击者可以在没有任何人怀疑恶意活动的情况下获取同一组织中更多的相关信息。

在打开的电子邮件类型和单击的链接时要格外留意电子邮件标题，检查回复和返回路径的参数。不要点击任何看起来可疑的东西，也不要在网上留下可以证明自己身份的任何资料，包括手机号码、身份证号、银行卡号码等。

4、鲸鱼网络钓鱼攻击

之所以如此命名，是因为它针对的是组织的大鱼。通常包括最高管理层或其他负责组织的人，这些人掌握着企业或其运营的专有信息，更有可能为了买断信息而支付赎金。

鲸鱼网络钓鱼攻击可以通过采取相同的预防措施来避免攻击，例如仔细检查电子邮件及其随附的附件和链接，留意可疑的目的地或参数。

5、鱼叉式网络钓鱼攻击

鱼叉式网络钓鱼攻击是指一种有针对性的网络钓鱼攻击，攻击者花时间研究他们的预期目标，通过编写与目标相关性极强的消息来完成攻击。通常鱼叉式网络钓鱼攻击使用电子邮件欺骗，电子邮件发送人可能是目标信任的人，例如社交网络中的个人、密友或商业伙伴，使得受害者难以发觉。

6、勒索软件

勒索软件是一种流行的木马，通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。

7、密码攻击

密码是大多数人访问验证的工具，因此找出目标的密码对黑客来说非常具有吸引力。攻击者可能试图拦截网络传输，以获取未经网络加密的密码。他们通过引导用户解决看似重要的问题来说服目标输入密码。

一些安全性较低的密码很容易被攻击者获取，例如“1234567”。此外，攻击者还经常使用暴力破解方法来猜测密码，即使用有关个人或其职位的基本信息来尝试猜测他们的密码。例如，通过组合用户的姓名、生日、周年纪念日或其他个人信息破译密码。

8、SQL注入攻击

SQL注入攻击是指后台数据库操作时，如果拼接外部参数到SQL语句中，就可能导致欺骗服务器执行恶意的SQL语句，造成数据泄露、删库、页面篡改等严重后果。按变量类型分为：数字型、字符型;按HTTP提交方式分为：GET注入、POST注入、cookie注入;按注入方式可分为：报错注入、盲注、堆叠注入等等。

基于网络协议的攻击方式有哪些？如何防范

典型的互联网协议参考模型是OSI模型，把互联网通信功能划分为7个层次：物理层、数据链路层、网络层、传输层、会话层和应用层。

基于网络协议的攻击类型分为四类：

①针对数据链路层的攻击 如arp欺骗

②针对网络层的攻击 如Smurf攻击、ICMP路由欺骗

③针对传输层的攻击 如SYN洪水攻击、会话劫持

④ 针对应用层的攻击 如 DNS欺骗和窃取

基于 TCP/IP 协议的常见攻击方法

TCP/IP 中，对资源占杳和分配设计的一个基本原则是自觉原则。如参加 TCP通信的一方发现上次发送的数据报丢失，则主动将通信速率降至原来的一半。这样，也给恶意的网络破坏者提供了机会 c 如网络破坏者可以大量的发 IP 报，造成网络阻塞，也可以向一台主机发送大量的 SYN 包从而大量占有该主机的资源 (SYN Flood) 。这种基于资源占用造成的攻击被称为拒绝服务攻击( DOS)

IP 欺骗是指一个攻击者假冒一个主机或合法用户的 IP 地址，利用两个主机之间的信任关系来达到攻击的目的，而这种信任关系只是根据源 IP 地址来确定。所谓信任关系是指当主机 B 信任主机 A 上的 X用户时，只要 X 在 A 上登录， X 用户就可以直接登录到主机 B 上，而不需要任何口令。

IP 欺骗通常需要攻击者能构造各种形式 IP 数据包，用虚假的源 IP 地址替代自己的真实 IP 地址。如果主机之间存在基于 IP 地址的信任关系，目标主机无法检测出已经被欺骗。

防范措施

TCP 会话劫持跳过连接过程.对一个已经建立的连接进行攻击。攻击者与被假冒主机和目标主机之一在同一个子网中，攻击者通过一个嗅探程序可以看到被假冒主机和目标主机之间通信的数据包。

防范措施

最主要的方法是在传输层对数据进行加密。

拒绝服务坷的目的就是使受害的服务器不能提供正常的网络服务。

当开放了一个TCP端口后，该端口就处于Listening状态，不停地监视发到该端口的Syn报文，一旦接收到Client发来的Syn报文，就需要为该请求分配一个TCB（Transmission Control Block），通常一个TCB至少需要280个字节，在某些操作系统中TCB甚至需要1300个字节，并返回一个SYN ACK命令，立即转为SYN-RECEIVED即半开连接状态，而操作系统在SOCK的实现上最多可开启半开连接个数是一定的。

从以上过程可以看到，如果恶意的向某个服务器端口发送大量的SYN包，则可以使服务器打开大量的半开连接，分配TCB，从而消耗大量的服务器资源，同时也使得正常的连接请求无法被相应。而攻击发起方的资源消耗相比较可忽略不计。

防范措施

从上图（左图）中可以看出，防火墙在确认了连接的有效性后，才向内部的服务器（Listener）发起SYN请求，在右图中，所有的无效连接均无法到达内部的服务器。

采用这种方式进行防范需要注意的一点就是防火墙需要对整个有效连接的过程发生的数据包进行代理，如下图所示：

因为防火墙代替发出的SYN ACK包中使用的序列号为c，而服务器真正的回应包中序列号为c’，这其中有一个差值|c-c’|，在每个相关数据报文经过防火墙的时候进行序列号的修改。

TCP Safe Reset技术：

这也是防火墙Syn代理的一种方式，其工作过程如下图所示：

这种方法在验证了连接之后立即发出一个Safe Reset命令包，从而使得Client重新进行连接，这时出现的Syn报文防火墙就直接放行。在这种方式中，防火墙就不需要对通过防火墙的数据报文进行序列号的修改了。这需要客户端的TCP协议栈支持RFC 793中的相关约定，同时由于Client需要两次握手过程，连接建立的时间将有所延长。

死亡之 Ping 是利用 ICMP 协议的一种碎片攻击 。攻击者发送一个长度超过 65 535Byte 的 Echo Request 数据包，目标主机在重组分片的时候会造成事先分配的 65 535 Byt 字节缓冲区溢出，系统通常会崩愤或挂起

IP 数据包的最大长度是 65 535 (2 16 - 1) Byte，其中包括包头长度(如果 IP 选项末指定，一般为 20 B)超过 MTU( Maximum Transmission Unit) 的数据包被分割成小的数据包，在接受端重新组装。一般以太网的MTU 为 11500 Byte ，互联网上的 MTU 通常是 576 Byte ICMP 回应请求放在 IP 数据包中，其中有 8 Byt 的 ICMP头信息，接下来是 "Ping" 请求的数据宇节的数目。因此数据区所允许的最大尺寸为 65 535 - 20 - 8 = 65 507Byte

分段后的 IP 包要在接收端的 IP 层进行重组，这样"死亡之 Ping"就可以再发送一个回应请求数据包，使它的数据包中的数据超过 65 507 Byte ，使得某些系统的 IP 分段组装模块出现异常。因为在 IP 分段组装的过程中，它通过每一个 IP 分段中的偏移量来决定每一个分段在整个 IP 包中的位置，最后一个分段中，如果 IP 包的长度大于 65 507 Byte各个分段组装后就会超过 IP 包的最大长度。某些操作系统要等到将所有的分段组装完后才对 IP 包进行处理，所以就存在这样一种内部缓冲区或内部变量溢出的可能性，这样会导致系统崩愤或重启。

防范措施

在 TCP 包中有 6 个标志位来指示分段的状态。其中 RST 用来复位一个连接， FIN 表示没有数据要发送了攻击者经常利用这两个标志位进行拒绝服务攻击。他们先分析通过目标主机和受骗主机之间的 IP 数据包，计算出从受骗主机发往目标主机的下一个 TCP 段的序列号，然后产生一个带有 RST 位设置的 TCP 段，将其放在假冒源 IP 地址的数据包中发往目标主机，目标主机收到后就关闭与受骗主机的连接。

利用 FIN 位的攻击与 RST 位的攻击很相似。攻击者预测到正确的序列号后，使用它创建一个带 FIN 位的 TCP 分段，然后发送给目标主机，好像受骗主机没有数据要发送了，这样，由受骗主机随后发出的 TCP 段都会目标主机认为是网络错误而忽略。

通过地址欺骗，并使用回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行。最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞

用一个特别打造的SYN包，其原地址和目标地址都被设置成某一个服务器地址。此举将导致服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留，直到超时

防御方法：

这类攻击的检测方法相对来说比较容易，因为可以直接通过判断网络数据包的源地址和目标地址是否相同确认是否属于攻击行为。反攻击的方法当然是适当地配置防火墙设备或制定包过滤路由器的包过滤规则，并对这种攻击进行审计，记录事件发生的时间、源主机和目标主机的MAC地址和IP地址，从而可以有效地分析并跟踪攻击者的来源。

UDP不需要像TCP那样进行三次握手，运行开销低，不需要确认数据包是否成功到达目的地。这就造成UDP泛洪攻击不但效率高，而且还可以在资源相对较少的情况下执行。UDP FLOOD可以使用小数据包(64字节)进行攻击,也可以使用大数据包(大于1500字节,以太网MTU为1500字节)进行攻击。大量小数据包会增大网络设备处理数据包的压力；而对于大数据包，网络设备需要进行分片、重组，最终达到的效果就是占用网络传输接口的带宽、网络堵塞、服务器响应慢等等。

防御方案： 限制每秒钟接受到的流量(可能产生误判)；通过动态指纹学习(需要攻击发生一定时间)，将非法用户加入黑名单。

“teardrop”,又称“泪滴”：IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动，达到攻击者需要的拒绝服务的目的。

“DoS”是Denial of Service，拒绝服务的缩写。所谓的拒绝服务是当前网络攻击手段中最常见的一种。它故意攻击网络协议的缺陷或直接通过某种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务停止响应甚至崩溃，而最值得注意的是，攻击者在此攻击中并不入侵目标服务器或目标网络设备，单纯利用网络缺陷或者暴力消耗即可达到目的。

从原理上来说 ，无论攻击者的攻击目标(服务器、计算机或网络服务)的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。任何资源都有一个极限，所以攻击者总能找到一个方法使请求的值大于该极限值，导致所提供的服务资源耗尽。

从技术分类的角度上来说 ，最常见的DoS攻击有对计算机网络的带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击服务器或计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。

在网络还不发达的时候，单一的DoS攻击一般是采用一对一的方式，也就是攻击者直接利用自己的计算机或者设备，对攻击目标发起DoS攻击。当攻击目标处在硬件性能低下、网络连接情况不好等情况的时候，一对一的DoS攻击效果是非常明显的，很有可能直接一个攻击者就搞定一个网站或者一个服务器，让它拒绝服务。

随着计算机和网络技术的发展，硬件设备的处理性能加速度增长，成本也变得非常低廉，网络的快速发展更是让带宽、出入口节点宽度等大大的提升，这让传统的DoS攻击很难凑效。

随着这样情况的出现，攻击者研究出了新的攻击手段，也就是DDoS。

DDoS是在传统的DoS攻击基础之上产生的一种新的攻击方式，即Distributed Denial Of Service，分布式拒绝服务攻击。

如果说计算机与网络的处理能力比以往加大了10倍的话(示例数据，没有实质意义)，那攻击者使用10台计算机同时进行攻击呢？也就达到了可以让目标拒绝服务的目的。简单来说，DDoS就是利用更多的计算机来发起攻击。

就技术实现方式来分析，分布式拒绝服务攻击就是攻击者利用入侵手段，控制几百台，或者成千上万台计算机(一般被控制的计算机叫做傀儡主机，或者口头被网络安全相关人员称为“肉鸡”)，然后在这些计算机上安装大量的DDoS程序。这些程序接受来自攻击者的控制命令，攻击者同时启动全部傀儡主机向目标服务器发起拒绝服务攻击，形成一个DoS攻击群，猛烈的攻击目标，这样能极为暴力的将原本处理能力很强的目标服务器攻陷。

通过上面的分析，可以看出DDoS与DoS的最大区别是数量级的关系，DoS相对于DDoS来说就像是一个个体，而DDoS是无数DoS的集合。另一方面，DDoS攻击方式较为自动化，攻击者可以把他的程序安装到网络中的多台机器上，所采用的这种攻击方式很难被攻击对象察觉，直到攻击者发下统一的攻击命令，这些机器才同时发起进攻。可以说DDoS攻击是由黑客集中控制发动的一组DoS攻击的集合，现在这种方式被认为是最有效的攻击形式，并且非常难以抵挡。

TCP/IP攻击的基于TCP/IP协议的网络攻击方式

有三台主机：

A:IP地址 192.168.0.1；硬件地址AA:AA:AA:AA:AA:AA

B:IP地址 192.168.0.2；硬件地址BB: BB: BB: BB: BB: BB

C:IP地址 192.168.0.3；硬件地址CC:CC:CC: CC:CC:CC

一个位于主机B的入侵者想非法进入主机A，可是这台主机上安装有防火墙。通过收集资料得知这台主机A的防火墙只对主机C有信任关系。而入侵者必须要使用telnet来进入主机A，这个时候入侵者应当如何处理？

要telnet到主机A，入侵者可以让主机A相信主机B就是主机C。如果主机A与C的信任关系是建立在IP地址上的。攻击者可以先通过各种拒绝式服务方式让C这台机器暂时宕机，同时将B的IP地址改为192.168.0.3，B就可以成功地通过23端口telnet到A上，而成功地绕过防火墙的限制。

但是，如果AC的信任关系是建立在硬件地址之上，这个时候上述的方式就不行了，需要运用ARP欺骗方式。

入侵者认为地制造一个arp_reply的响应包，发送给想要欺骗的主机A，这是可以实现的，因为ARP协议并没有规定在收到arp_echo请求后才可以发送响应包（这就是能够实现的关键，在一般的情况之下只有路由器进行了arp广播之后，主机才会回复）。这样，就可以通过发送虚假的ARP响应包来修改主机A上的动态ARP缓存来达到欺骗的目的。

具体步骤如下：

①利用工具，进行拒绝式服务攻击，让主机C宕机，暂时停止工作。

②在这段时间里，入侵者把自己的IP改为192.168.0.3(主机C的IP)。

③用工具发一个源地址为192.168.0.3，源MAC地址为BB: BB: BB: BB: BB: BB的包给主机A，要求A更新自己的ARP转换表（ARP缓存）。

④主机A更新了ARP缓存中关于主机C的IPàMAC的对应关系。

⑤防火墙失效了，现在主机B可以telnet到主机A。 2.1ICMP转向连接攻击

攻击者使用ICMP超时或者ICMP主机不可达报文，这两种报文都会使得主机迅速放弃连接。此时通信连接就会被切断。

一台主机错误地认为信息的目标地址不在本地网络之中的时候，网关通常会使用ICMP重定向消息。如果攻击者伪造一条重定向消息，就可以导致主机经过攻击者主机向特定连接发送数据包。

2.2ICMP数据包放大（ICMP Smurf）

攻击者向安全薄弱网络的广播地址发送ICMP回显请求，所有的主机都会像被攻击主机，发送ICMP应答，占用了目标系统的带宽，并导致合法通信的拒绝服务（DoS）。

2.3ICMP Ping淹没攻击

大量的ping信息广播淹没了目标系统。

2.4ICMP nuke攻击

nuke发送出目标操作系统无法处理的信息数据包，从而导致该系统瘫痪。

2.5通过ICMP进行攻击信息收集

可以通过ping来检查目标主机是否存活，并且根据返回的TTL值就可以判断目标主机的操作系统（Linux应答TTL为64，windows 200/NT/XP为128，其他系统未列出）。

2.6ICMP攻击防范

策略一：对ICMP数据包进行过滤

使用防火墙的功能

策略二：修改TTL值巧妙骗过黑客

系统缺省的TTL值是可以修改的，可以编写一个批处理文件来进行修改。 假设主机A和B建立TCP连接，要进行三次握手。针对TCP协议的攻击原理是：TCP协议三次握手没有完成的时候，被请求端B一般都会重试（即再给A发送SYN+ACK报文）并等待一段时间，这就可以用来进行DoS、Land、SYN flood攻击。

在SYN flood攻击中，黑客向受害主机发送大量伪造源地址的TCP SYN报文，受害主机分配必要的资源，然后向源地址返回SYN+ACK包；并等待源地址返回ACK包，由于源地址是伪造的所以源端永远不会发送ACK包，所以受害主机继续发送SYN+ACK包，并将半链接放入端口的积压队列之中，虽然一般主机都有超时机制和默认的重传次数，但是如果不断向受害主机发送大量的TCP SYN报文，半连接队列就会很快被填满，导致受害主机无法响应其他主机的连接请求。

防御方法：针对SYN flood的攻击防范措施主要有两种：一种是通过防火墙、路由器等过滤网关防护，另一种是通过加固TCP/IP协议栈。