TCP/IP协议栈 --ipv4安全隐患

在TCP/协议栈中绝对多数协议灭有提供必要的安全机制如：

不提供认证服务
明文传输不提供保密服务不提供数据保密服务
不提供数据完整性保护
不提供抵赖服务
不保证可用性--服务质量（QoS)

TCP/IP协议栈中各层都有自己的协议由于这些协议在开发之初并未重点考虑安全因素缺乏必要的安全机制因此针对这些协议的安全威胁及攻击行为越来越频繁 TCP/IP协议栈的安全问题也越来越凸显

应用层：漏洞缓冲区溢出攻击 WEB应用的攻击病毒及木马

传输层：TCP欺骗 TCP拒绝服务 UDP拒绝服务端口扫描

网络层：IP欺骗 Smurf攻击 ICMP攻击地址扫描

链路层：MAC欺骗 MAC泛洪 ARP欺骗

物理层：设备破坏线路监听

常见的网络安全问题

物理设备破坏：指攻击者直接破坏网络的物理设备比如服务器设备或者网络的传输通信设备等

设备破坏攻击的目的主要是为了中断网络服务

设备破坏攻击防范：主要靠非技术的因素比如建造坚固的机房指定严格的安全管理制度对于需要铺设在外部环境中的通信电缆等采用各种加强保护措施及安全管理措施

线路侦听

针对物理层网络设备：集线器，中继器，无线网络

对线路侦听的防范

对于网络中使用集线器中继之类的有条件的话置换设备为交换机等

对于无线网络使用强认证及加密机制这样窃听者即使能获取传输信号也很难把原始信息还原出来

MAC地址欺骗：MAC地址欺骗是一种非常直观的攻击即攻击者将自己的MAC地址更改为受信任系统的地址

对于MAC攻击的防范措施：在交换机上配置静态条目，将指定的MAC地址始终与特定的端口绑定

MAC泛洪

MAC泛洪攻击利用了：交换机的MAC学习机制

MAC表项的数目限制

交换机的转发机制

MAC泛洪攻击的防御：配置静态MAC转发表

配置端口的MAC学习数目限制

ARP欺骗

由于局域网的网段内信息交换不是根据IP地址进行的而是根据MAC地址进行传输

所以当MAC地址在主机的MAC地址缓存列表中伪造一个不存在的MAC地址（或欺骗性的MAC地址），这样就会导致网络不通或都跟错误的对象主机通信

IP地址欺骗攻击（IP Spoofing)

节点之间的信任关系有时是根据IP地址建立起来的

攻击者使用相同的IP地址可以模仿网络中的合法主机访问关键信息

IP欺骗攻击的整个步骤：

首先使被信任主机的网络暂时瘫痪以免对攻击者造成干扰
然后连接到目标主机的某个端口来猜测序列号和递进规律
接下来把源地址伪装成被受信任主机发送带有SYN标志的报文请求建立连接；
然后等待目标主机发送SYN+ACK保温给已瘫痪主机
再次伪装成被信任主机向目标主机发送ACK
建立连接

Smurf攻击

是以最初发动这种攻击的程序名“Smurf"来命名的是拒绝服务（DDOS）攻击的一种它是通过独占网络资源使其他主机不能进行正常访问从而导致网络瘫痪的这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统引起目标系统拒绝为正常系统进行服务 Smurf攻击通过使用将回复地址设置为受害网络的广播地址的ICMP应答请求数据包来淹没受害主机最终导致该网络的所有主机都对此ICMP应答请求做出答复导致网络阻塞更加复杂的Smurf将源地址改为第三方的受害者最终导致第三方崩溃

ICMP重定向与不可达攻击

ICMP重定向报文是ICMP控制报文中的一种在特定情况下当路由器检测到一台机器使用非优化路由的时候它会向该主机发送一个ICMP重定向报文请求主机改变路由路由器也会把初始数据报向它的目的地转发 ICMP虽然不是路由协议但是有时它也可以指导数据包的流向（使数据流向正确网关）ICMP协议通过ICMP重定向数据包（类型5，代码0：网络重定向）达到这个目的

攻击者可以利用ICMP重定向报文破坏路由并以此增强其窃听能力除了路由器主机必须服从ICMP重定向如果一台机器向网络中的另一台机器发送了一个ICMP重定向消息这就可能引起其他机器具有一张无效的路由表