14. 2.2 TCP/IP协议TCP/IP:Transmission Control Protocol/Internet Protocol的简写,中译名为传输控制协议/因特网互联协议,又名网络通讯协议,是Internet最基本的协议、Internet国际互联网络的基础,由网络层的IP协议和传输层的TCP协议组成。TCP/IP 定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准。协议采用了4层的层级结构,每一层都呼叫它的下一层所提供的协议来完成自己的需求。通俗而言:TCP负责发现传输的问题,一有问题就发出信号,要求重新传输,直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台电脑规定一个地址。
15. TCP/IP是一个复杂的协议集, 其中有许多协议对用户是透明的。TCP/IP中各层的主要功能如下:
物理接口层。这一层定义了基本的网络硬件以及怎样把数据组织成帧和计算机怎样通过网络传输帧。它的功能和OSI/RM的第一层、第二层的功能相对应。
网络层或Internet层。这一层规定了包格式以及包怎样从一个计算机上经过一个或多个路由器到达目的计算机。这一层包含了IP(Internet Protocol)协议、ICMP(Internet Control Message Protocol)协议和IGMP(Internet Group Management Protocol)协议。
传输层。这一层大致对应着OSI/RM的传输层。这一层有两个协议,即TCP(Transmission Control Protocol)协议和UDP(User Datagram Protocol)协议。TCP通过应答机制提供可靠的传输。UDP协议提供不可靠的传输,维持可靠性的任务留给高层来完成。但它比TCP要高效,常用于实时应用中,在这种情况下,应用程序要考虑可靠性的问题。
应用层。这一层大致对应于OSI/RM的上三层,它提供的服务包括:Telnet、FTP(File Transfer Protocol)、SMTP(Simple Mail Transfer Protocol)、NSP(Name Server Protocol)和SNMP(Simple Network Management Protocol)等。2.2 TCP/IP协议
55. 拒绝服务: LAND 攻击攻击者
172.18.1.1InternetCode目标
204.241.161.12欺骗性的 IP 包
源地址 204.241.161.12 Port 139
目的地址 204.241.161.12 Port 139
TCP OpenG. Mark Hardy
56. 攻击者
172.18.1.1InternetCode目标
204.241.161.12 IP包欺骗
源地址 204.241.161.12 Port 139
目的地址 204.241.161.12 Port 139
包被送回它自己崩溃G. Mark Hardy拒绝服务: LAND 攻击
57. LAND攻击防范:代理类的防火墙攻击者
172.18.1.1InternetCode目标
204.241.161.12IP包欺骗
源地址 204.241.161.12 Port 139
目标地址 204.241.161.12 Port 139
TCP Open防火墙防火墙把有危险的包
阻隔在网络外G. Mark Hardy
58. TCP 同步泛滥攻击者
172.18.1.1InternetCode目标
192.0.2.1欺骗性的 IP 包
源地址不存在
目标地址是 192.0.2.1
TCP OpenG. Mark Hardy
59. TCP SYN 泛滥攻击者
172.18.1.1InternetCode目标
192.0.2.1同步应答响应
源地址 192.0.2.1
目标地址不存在
TCP ACK崩溃G. Mark Hardy
60. TCP SYN 泛滥攻击的安全对策G. Mark Hardy法一:缩短SYN Timeout时间
—— 由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数,这个值=SYN攻击的频度 x SYN Timeout,所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间,例如设置为20秒以下(过低的SYN Timeout设置可能会影响客户的正常访问),可以成倍的降低服务器的负荷。
法二:设置SYN Cookie
—— 就是给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被丢弃。