D4-08 8–10 分钟 重要程度:高

网络攻击与防护选择

D4 最后要能把攻击和控制配对:DoS/DDoS、窃听、伪装、重放、修改、ARP 欺骗、DNS 投毒。

一、必须记住

  • DoS/DDoS 重点是可用性受损。
  • DDoS 可通过 ISP 过滤、边界过滤、禁用广播、阻止欺骗、补丁和专业防护服务缓解。
  • 窃听主要用加密和安全通信协议降低风险。
  • 伪装可用强认证、一次性密码、Kerberos 和加密保护凭据。
  • 重放可用一次性凭据、nonce、时间戳和序列号降低风险。
  • 修改攻击可用数字签名、hash 和校验和发现。
  • ARP 欺骗可用静态 ARP、监控 ARP 缓存和 IDS 检测。

二、核心概念

DoS / DDoS

DoS 让目标资源不可用。防护通常要结合本地边界过滤、系统补丁、禁用不必要响应、与 ISP 协作和商业 DDoS 缓解服务。

伪装、重放、修改

伪装冒充合法主体;重放重复旧流量建立会话;修改攻击改变抓到的报文再发送。对应控制分别偏向强认证、防重放机制和完整性验证。

ARP 与 DNS 攻击

ARP 欺骗把错误 MAC 写入缓存,经常成为中间人攻击组成;DNS 投毒/欺骗会把域名解析导向攻击者控制地址。

三、CISSP 判断规则

  • 问可用性被大量流量耗尽,优先 DoS/DDoS。
  • 问捕获旧流量后重新发送,优先 Replay attack。
  • 问改包后再发,优先 Modification attack。
  • 问 IP 到 MAC 映射被伪造,优先 ARP spoofing。
  • 问域名解析被导向错误 IP,优先 DNS poisoning/spoofing。

四、常见陷阱

  • DDoS 不能只靠单台防火墙解决,常需要上游或云端清洗。
  • 加密能降低窃听风险,但不能自动阻止所有流量洪水。
  • ARP 是本地网络常见弱点,静态映射只适合关键系统或小范围。

五、英文关键字

DoS (拒绝服务) DDoS (分布式拒绝服务) Eavesdropping (窃听) Masquerading (伪装) Replay attack (重放攻击) Modification attack (修改攻击) ARP spoofing (ARP 欺骗) DNS poisoning (DNS 投毒) DNS spoofing (DNS 欺骗) Ingress filtering (入站过滤) Egress filtering (出站过滤)

小测验

1. 大量流量耗尽目标资源,主要破坏哪个安全目标?

DoS/DDoS 主要破坏可用性。

2. 伪造 IP 到 MAC 映射,把流量导向攻击者主机,属于?

ARP 欺骗通过伪造 ARP 映射重定向本地网络流量。

3. 防止重放攻击最直接的机制是?

Nonce、时间戳和序列号可让旧消息失效,降低重放风险。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成