跳到主要内容

7.1 网络面临的 4 种威胁:截获、中断、篡改、伪造

(P334 7.1.1)计算机网络通信面临的两大威胁:主动攻击被动攻击

7.1.1 截获

指未经授权访问网络流量,获取敏感信息。常见方法包括但不限于窃听嗅探等。例如:

  • 在使用 CSMA/CD 的网络上,由于所有数据包都可视为广播发送,所有站点自觉丢弃不属于自己的数据包,因此若其中一个站点将网卡设置为嗅探模式,则它可以接收所有数据包,以实现截获。
  • 在公共 WiFi(即未启用认证的 WiFi)中,所有用户的数据包使用明文发送,即实际发送的数据不经过二次加密,此时若将 WiFi 网卡设置为嗅探模式,则可以接收所有数据包,以实现截获。

相关词条:

  • (P346 7.3.2)重放攻击

    指攻击者截获报文后,无需破译此报文,而是直接发送给报文目的地,这样攻击者就能伪装成报文发送者,从而能进一步执行操作。

    重放攻击的应对手段有:

    • 请求时加入当前时间,服务器接收请求时验证时间是否在合理的时间范围内,例如几分钟内。当服务器发现请求所携带的时间过于久远,则拒绝响应。
    • 创建请求前,先由服务器从随机数池中随机挑选一个未被使用的随机数,客户端请求时携带此随机数。当服务器发现请求中携带的随机数已被使用,则拒绝响应。

7.1.2 中断

通过攻击手段使网络服务不可用,导致合法用户无法访问服务。例如:

  • 经典中断攻击手段拒绝服务攻击 DoS(Denial of Service),通过发送大量的请求消耗服务器资源,使其无力处理更多请求,从而导致正常用户无法正常请求。

    进一步的还有分布式拒绝服务攻击 DDoS(Distributed Denial of Service)

  • SYN 泛洪攻击,即当服务端正常监听请求的情况下,客户端发送连接建立请求,服务端一定会响应请求,而服务端响应请求后就会进入 SYN-RCVD 状态,即会将请求放入半连接队列,若由客户端伪造大量不存在地址的连接建立请求,服务端发送的第二次挥手将无法收到响应,这会导致服务端半连接队列被填满,于是服务端无法再处理新的连接请求。

7.1.3 篡改

指对传输中的数据进行修改,使其在到达目标之前发生变化。例如:

  • 中间人攻击 MITM(Man-in-the-Middle Attack),指攻击者在通信的两端之间进行流量截获和篡改。

    这种情况下,客户端和服务器之间的通信被中间人劫持,客户端以为是直接与服务器通信,但实际上是与中间人进行通信,而中间人收到请求再转发给服务器,期间就能实现对请求的篡改。

    中间人攻击的应对手段有:

    • 使用非对称加密算法加密通信内容,且由受信任的机构统一签发数字证书和密钥对,在使用密钥对前校验密钥签发方身份。
    • 对通信内容进行数字签名,并在使用通信内容前校验签名。

相关词条:

  • (P351 7.4.2)认证中心 CA(Certification Authority)

    由政府或知名公司出资建立的、受信任的机构,其职责是签发数字证书,而数字证书包含公钥。

    CA 机构所签发的数字证书使用 CA 机构的私钥进行签名,而 CA 机构的公钥可以从任意受信任的地方获取,以验证数字证书的真伪。

7.1.4 伪造

创建虚假信息或数据,以欺骗接收方。例如:

  • 在 IPv4 的网络中,当一个站点需要发送数据包给另一个站点,需要使用 ARP 协议将 IPv4 地址解析为 MAC 地址。

    若抢在原本正确响应到达源主机前,构造一个虚假的、指向攻击者 MAC 地址 ARP 响应送达源主机,此时源主机就会将数据报发送给攻击者的 MAC 地址。

  • 交换机会学习端口与 MAC 地址的对应关系,即转发表。

    若构造大量虚假的 MAC 地址的请求,将交换机的转发表迅速占满,则交换机通常会进入老化模式,即将收到的未学习的 MAC 帧广播给所有端口,这会造成网络性能下降。