D4-08 8–10 分钟 重要程度:高
网络攻击与防护选择
D4 最后要能把攻击和控制配对:DoS/DDoS、窃听、伪装、重放、修改、ARP 欺骗、DNS 投毒。
一、必须记住
- DoS/DDoS 重点是可用性受损。
- DDoS 可通过 ISP 过滤、边界过滤、禁用广播、阻止欺骗、补丁和专业防护服务缓解。
- 窃听主要用加密和安全通信协议降低风险。
- 伪装可用强认证、一次性密码、Kerberos 和加密保护凭据。
- 重放可用一次性凭据、nonce、时间戳和序列号降低风险。
- 修改攻击可用数字签名、hash 和校验和发现。
- ARP 欺骗可用静态 ARP、监控 ARP 缓存和 IDS 检测。
二、核心概念
DoS / DDoS
DoS 让目标资源不可用。防护通常要结合本地边界过滤、系统补丁、禁用不必要响应、与 ISP 协作和商业 DDoS 缓解服务。
伪装、重放、修改
伪装冒充合法主体;重放重复旧流量建立会话;修改攻击改变抓到的报文再发送。对应控制分别偏向强认证、防重放机制和完整性验证。
ARP 与 DNS 攻击
ARP 欺骗把错误 MAC 写入缓存,经常成为中间人攻击组成;DNS 投毒/欺骗会把域名解析导向攻击者控制地址。
三、CISSP 判断规则
- 问可用性被大量流量耗尽,优先 DoS/DDoS。
- 问捕获旧流量后重新发送,优先 Replay attack。
- 问改包后再发,优先 Modification attack。
- 问 IP 到 MAC 映射被伪造,优先 ARP spoofing。
- 问域名解析被导向错误 IP,优先 DNS poisoning/spoofing。
四、常见陷阱
- DDoS 不能只靠单台防火墙解决,常需要上游或云端清洗。
- 加密能降低窃听风险,但不能自动阻止所有流量洪水。
- ARP 是本地网络常见弱点,静态映射只适合关键系统或小范围。
五、英文关键字
DoS (拒绝服务) 定义:让目标资源不可用。 DDoS (分布式拒绝服务) 定义:多来源流量耗尽目标资源。 Eavesdropping (窃听) 定义:未经授权监听通信内容。 Masquerading (伪装) 定义:冒充合法主体进行访问。 Replay attack (重放攻击) 定义:重新发送先前有效消息以触发未授权动作。 Modification attack (修改攻击) 定义:修改捕获的报文后再发送。 ARP spoofing (ARP 欺骗) 定义:伪造 IP 到 MAC 映射以重定向流量。 DNS poisoning (DNS 投毒) 定义:篡改域名到 IP 的映射,将流量导向错误地址。 DNS spoofing (DNS 欺骗) 定义:发送虚假 DNS 回复击败真实回复。 Ingress filtering (入站过滤) 定义:过滤进入网络的可疑或伪造流量。 Egress filtering (出站过滤) 定义:过滤离开网络的违规或伪造流量。
小测验
1. 大量流量耗尽目标资源,主要破坏哪个安全目标?
DoS/DDoS 主要破坏可用性。
2. 伪造 IP 到 MAC 映射,把流量导向攻击者主机,属于?
ARP 欺骗通过伪造 ARP 映射重定向本地网络流量。
3. 防止重放攻击最直接的机制是?
Nonce、时间戳和序列号可让旧消息失效,降低重放风险。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成