名稱攻擊防御

物理層	1. 竊聽 2. 回答（重放）3. 插入 4. 拒絕服務
局域網LAN	1. 破壞電源、電纜 2. 干擾信號 3. 故意攻擊	1. 防火墻，能實現網絡通信過濾 2. 特權區，分段拓撲，不同程度進行保護 3. LAN連接，身份鑒別
無線網絡	1. 分組嗅測：用戶可以檢測到AP發送的全部數據 2. SSID：能被破壞 3. 假冒：AP假冒可以是故意的，也可以是不經意的 4. 寄生者 5. 直接安全漏洞	1. SSID打標簽，盡量模糊 2. 不廣播SSID 3. 天線放置，限制接收方位 4. MAC過濾 5. WEP能主動阻止連接 6. 其他密碼系統，WPA 7. 網絡體系結構
數據鏈路層	1. 隨意模式監控，使用網絡分析和差錯工具 2. 網絡負載攻擊，上千個廣播分組 3. 地址尋址攻擊，兩節點Mac地址相同 4. 幀外數據，不包含在報文幀內數據丟棄，但會在物理層傳輸 5. 轉換通道，高層功能在鏈路層執行 6. 物理風險	1. 硬編碼，地址表可以設置靜態地址 2. 數據鏈路身份鑒別 3. 高層身份鑒別 4. 限制網絡分析器的能力
撥號網PPP，SLIP風險	1. 身份鑒別。SLIP不提供身份鑒別機制，PPP有【PAP、CHAP】身份鑒別，但不支持強身份鑒別，傳輸數據未加密 2. 雙向通信。節點可以和遠程網絡通信，遠程網絡也可以和該節點通信。【可通過防火墻緩解】 3. 用戶教育，防火墻與很多軟件沖突
MAC風險	1. 硬件框架攻擊：MAC地址可以暴露硬件廠商與操作系統 2. 偽裝攻擊：攻擊者可以改變用戶MAC地址，并復制到另一個節點，兩者會相互干擾
ARP與RARP	1. ARP損壞：當一個無效的或不經意的差錯進入ARP表，使ARP表受損 2. ARP表受損影響：【a.資源攻擊：忽略新的ARP條目丟棄老的ARP條目 b.DoS攻擊：其他節點收到錯誤的ARP條目 c. MitM攻擊（中間人攻擊）：冒充正常節點，返回給ARP一個攻擊者的MAC地址 】3. 交換機攻擊【交換機中毒攻擊，交換機淹沒攻擊】	1. 硬編碼ARP表 2. ARP過期 3. 過濾ARP回答 4. 鎖住ARP表
網絡層	1. 竊聽 2. 偽裝 3. 插入攻擊
路由風險	1. 直接路由攻擊 【a. DoS，基于負載攻擊 b. 系統破壞，路由損壞】 2. 路由表中毒：動態路由易受攻擊 3. 路由表淹沒：路由表容易滿 4. 路由度量攻擊：一些好的通路將不期望【利用QOS分組】 5. 路由環路攻擊
地址機制風險	1. 假地址：兩個節點具有相同的網絡層地址，會產生沖突 2. 地址攔截：兩個節點相同的網絡地址，其中一個節點響應慢，會被鎖住 3. 假釋放攻擊：偽裝一個已分配的地址 4. 假的動態分配
分段風險	1. 丟失分段攻擊：當一個大分組分段時，有一個分段永遠未傳遞 2. 分段重組：分段ID出現兩次，導致分段重復和分段覆蓋 3.最大的不分段大小
IP風險	1. 地址沖突 2. IP攔截【a. 攻擊者用為在用的地址攔截 b. 重指網絡連接到其他主機 c. 隨意攔截】3. 回答攻擊 4.分組風暴 5. 分段攻擊，大數據進行分段傳輸 6. 轉換通道：防火墻不檢查ICMP分組的內容，ICMP能不經檢查地通過防火墻	1. 禁用ICMP 2. 非路由地址【攻擊者不能直接訪問被保護的主機，主機從網上隔離開，可以使用雙主代理或NAT】 3. NAT 【匿名和隱私】 4. RNAT：反向NAT【NAT不能作為一個主機，不能作為WEB服務器，但是RNAT可以】 5. IP過濾：第三層防火墻僅能看到IP報頭，第四層防火墻能過濾基于特定端口和服務的分組 6.出口過濾：不允許內部網絡攻擊者對外部資源進行攻擊，限制端口訪問，限制IP 7. IPSec：IP沒有身份鑒別，沒有驗證，沒有隱私，而IPSec有 8. IPV6
傳輸層	1. 傳輸層攔截【a. 攻擊者必須對某種類型網絡破壞 b. 攻擊者必須識別傳輸序列 c. 偽裝分組必須包含源地址、目的地址、源端口、目的端口】 2. 減少節點的端口數，能減少攻擊因素 3. 靜態端口賦值和動態端口賦值：動態端口會引起不安全的風險 4. 掃描端口：企圖連接到主機的每一個端口，如果端口有回答，則說明有服務在監聽 5.信息泄露：傳輸層對傳輸的數據不進行加密
TCP偵查	1. 可偵查操作系統框架【a. 可偵查操作系統框架 b. TCP選項 c.序列號 d. 客戶端口號：客戶端可選擇任何可用的端口用于連接 e: 重試次數和間隔】 2. 端口掃描 3. 日志：網絡監控攻擊IDS和IPS
TCP攔截	任何干擾TCP連接的攻擊都歸結為TCP攔截，如DoS一樣，時連接過早結束。【1. 全會話攔截：需要攻擊具有直接的數據鏈路訪問，運行在隨意模式 2. ICMP和TCP攔截：ICMP連接重定向不同的端口和主機】
TCP DoS	【目的：1. 是受害者不能執行任務 2. 更秘密的攻擊】 1. SYN攻擊，發送大量的SYN分組來消耗可用的內存 2. RST和FIN攻擊 發送RST（或FIN）分組，反常的結束已建立的連接【重置攻擊】 3. ICMP攻擊：可以用來指定一個斷開連接，但防火墻能阻斷ICMP攻擊，而TCP重置攻擊可以通過防火墻 4. LAND攻擊【形成反饋環路】	1 SYN攻擊解決方式：增加SYN隊列，或者用SYNCookies以防止消耗內存
TCP防御		1. 改變系統框架：不同的系統框架包括SYN超時、重試計數、重試間隔、初始窗口大小等。2. 阻斷攻擊指向：防火墻。3.識別網絡設備和已受攻擊的漏洞。4. 狀態分組檢測，跟蹤TCP連接狀態。5. 入侵檢測系統（IDS）。6.入侵防御系統【IPS】。7.高層協議
UDP攻擊	1. 非法的進入源：UDP服務器不執行初始握手，任何主機能連接到UDP服務器，因此任何類型的UDP分組都能淹沒一個服務器。2.UDP攔截：UDP可以從任何主機接收分組，無需進行身份鑒別，攻擊者很容易偽裝成正確的網絡地址和UDP端口。3. UDP保持存活攻擊：UDP沒有很清楚地指示攔截時是打開還是關閉。攻擊者可以使足夠多的的端口保持打開。4. UDP Smurf攻擊：假的分組發送到UDP服務器。攻擊者偽造被害者的網絡地址作為分組發送者，服務器響應一個或多個給被害者。5. UDP偵查：UDP端口掃描依靠ICMP和分組回答
應用層
DNS	1. 直接風險 【a. 攻擊者偽造回答 b. DNS緩存受損 c.ID盲目攻擊 d. 破壞DNS分組】2. 技術風險【a. DNS域攔截 b.DNS 服務器攔截 c.更新持續時間 d. 動態DNS】 3. 社會風險【a. 相似主機名 b. 自動名字實現】	1.直接風險：打補丁 2. 技術風險：加固服務器，防火墻 3. 社會風險：用戶培訓
STMP 風險	1. 偽裝報頭及垃圾郵件 2. 中繼和代理：每個中繼都有可能攔截或修改報文內容。3.STMP和DNS：STMP最大的風險來自于他對DNS的依從。4. 底層協議：SMTP也會受到底層協議如MAC、IP、TCP攔截的影響
URL漏洞	1. 主機名求解攻擊：相似的主機名、URL和自動完成。2. 主機偽裝：有一些偽裝主機名的方法無需求解系統，在URL中使用主機名。3. URI偽裝：URI編碼偽裝主機URI信息。4.剪切和拼接：移調URI一部分成分或附加一部分成分。5.濫用查詢：CGI應用允許服務器傳遞內容，而不僅是靜態Web頁面。6.SQL注入。7.跨站腳本XSS攻擊。
HTTP風險	1. 無身份界別的用戶。2. 無身份鑒別的服務器。3. 客戶端隱私：cookies,URL包含登錄憑證。4. 信息泄露：HTTP請求報頭通常泄露WEB瀏覽器類型，時間戳，版本等。5. 服務器定位輪廓：IP地址可以將服務器定到國家或城市。6.訪問操作系統。7.不安全應用XSS。8底層協議

重放攻擊(Replay Attacks) ：又稱重播攻擊、回放攻擊，是指攻擊者發送一個目的主機已接收過的包，來達到欺騙系統的目的，主要用于身份認證過程，破壞認證的正確性。重放攻擊可以由發起者，也可以由攔截并重發該數據的敵方進行。攻擊者利用網絡監聽或者其他方式盜取認證憑據，之后再把它重新發給認證服務器。防御方法：(1)加隨機數 (2)加時間戳 (3)加流水號

MitM攻擊（中間人攻擊）：ARP表的條目用不同的機器的MAC地址重寫。在這種情況下，新的節點將接到所有指向老的節點的通信。通過損壞兩者，敵意節點能建立一個成功的MitM。

IP欺騙DOS攻擊 ：這種攻擊利用RST位來實現。假設現在有一個合法用戶(61.61.61.61)已經同服務器建立了正常的連接，攻擊者構造攻擊的TCP數據，偽裝自己的IP為61.61.61.61，并向服務器發送一個帶有RST位的TCP數據段。服務器接收到這樣的數據后，認為從61.61.61.61發送的連接有錯誤，就會清空緩沖區中建立好的連接。這時，如果合法用戶61.61.61.61再發送合法數據，服務器就已經沒有這樣的連接了，該用戶就必須從新開 始建立連接。攻擊時，攻擊者會偽造大量的IP地址，向目標發送RST數據，使服務器不對合法用戶服務，從而實現了對受害服務器的拒絕服務攻擊。

Teardrop攻擊、Nesta攻擊 ：分段攻擊。Teardrop是基于UDP的病態分片數據包的攻擊方法。IP支持將大的數據分段傳輸和在接收端重新組裝的能力。Teardrop攻擊是利用在TCP/IP堆棧中實現信任IP碎片中的包頭所包含的信息來實現自己的攻擊。IP分段含有指明該分段所包含的是原包的哪一段的信息，某些TCP/IP在收到含有重疊偏移的偽造分段時將崩潰。

Ping Flood洪流攻擊 ： 該攻擊在短時間內向目的主機發送大量ping包。

Ping of Death ： 是一種拒絕服務攻擊。根據TCP/IP的規范，一個IP包的長度最大為65536B，但發送較大的IP包時將進行分片，這些IP分片到達目的主機時又重新組合起來。在Ping of Death攻擊時，各分片組合后的總長度將超過65536B，在這種情況下會造成某些操作系統的宕機。

Ping Sweep : 使用ICMP Echo輪詢多個主機，阻塞網絡。

SYN Foold（SYN攻擊）： SYN Flood是當前最流行的DoS(拒絕服務攻擊)與DDoS(Distributed Denial Of Service分布式拒絕服務攻擊)的方式之一，這是一種利用TCP協議缺陷，發送大量偽造的TCP連接請求，使被攻擊方資源耗盡(CPU滿負荷或內存不 足)的攻擊方式。SYN Flood攻擊的過程在TCP協議中被稱為三次握手(Three-way Handshake)，而SYN Flood拒絕服務攻擊就是通過三次握手而實現的。

RST和FIN攻擊 ：RST攻擊是發送RST（或FIN）分組，反常地結束已建立的連接。

ICMP攻擊 ：類似于TCP重置攻擊，ICMP可以用來指定一個斷開連接。盲目ICMP攻擊也能使TCP不能連接。不想TCP重置攻擊，防火墻能阻斷ICMP攻擊，而TCP重置攻擊則因為有效的端口和地址組合，能通過防火墻。

Smurf攻擊 ： 通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求(ping)數據包來淹沒受害主機的方式進行。 最終導致該網絡的所有主機都對此ICMP應答請求作出答復，導致網絡阻塞。它比ping of death洪水的流量高出1或2個數量級。更加復雜的Smurf將源地址改為第三方的受害者，最終導致第三方崩潰。

Fraggle攻擊（UDP Smurf攻擊）：Fraggle 類似于Smurf攻擊，只是使用UDP應答消息而非ICMP。假的分組送到UDP服務器。攻擊者偽造被害者的網絡地址作為分組發送者，服務器響應發送一個或更多UDP分組給被害者。雖然少數UDP分組不會嚴重影響分組，但每秒幾千個分組能摧垮一個網絡。

UDP洪水攻擊 ：攻擊者利用簡單的TCP/IP服務，如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen服務（CHARGEN是在TCP連接建立后，服務器不斷傳送任意的字符到客戶端，直到客戶端關閉連接。）之間的一次的UDP連接，回復地址指向開著Echo服務的一臺主機，這樣就生成在兩臺主機之間存在很多的無用數據流，這些無用數據流就會導致帶寬的服務攻擊。

LAND攻擊 ： LAND攻擊形成反饋環路影響大部分LAN守護進程，這種攻擊是發送一個SYN分組到已知端口的開放服務，而回答地址和端口偽裝成指回同一個系統，形成一個反饋環路，使系統很快摧垮。

總結

以上是生活随笔為你收集整理的网络安全-Internet安全体系结构的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。