面试题答案
一键面试- TCP SYN 洪泛攻击
- 漏洞描述:攻击者发送大量伪造源IP地址的SYN包,服务器为每个连接分配资源,导致资源耗尽无法为正常用户提供服务。
- 防护措施:
- SYN Cookies:服务器在收到SYN包时,不立即分配资源,而是根据客户端IP、端口等信息生成一个特殊的Cookie值作为初始序列号返回给客户端。当客户端返回ACK包时,服务器验证Cookie的合法性。
- 增加半连接队列长度:适当增大TCP半连接队列的大小,以容纳更多的未完成连接请求,但这需要考虑服务器的内存等资源限制。
- 启用防火墙:配置防火墙对异常的SYN包流量进行检测和过滤,例如限制单位时间内来自同一源IP的SYN包数量。
- IP 地址欺骗
- 漏洞描述:攻击者伪造合法的IP地址,以达到绕过认证、访问受限资源等目的。
- 防护措施:
- 反向DNS查询:在进行关键操作前,对源IP地址进行反向DNS查询,验证IP地址的合法性。但此方法有局限性,因为攻击者也可能伪造DNS记录。
- IP 地址绑定:在网络设备(如路由器、防火墙)上,将IP地址与MAC地址进行绑定,确保IP地址的真实性。
- 使用IPsec:IPsec提供了数据加密、身份验证和完整性校验等功能,可以有效防止IP地址欺骗。
- TCP 会话劫持
- 漏洞描述:攻击者获取TCP连接双方的通信信息,通过猜测序列号等方式,冒充其中一方与另一方进行通信,篡改或窃取数据。
- 防护措施:
- 使用加密协议:如SSL/TLS,对传输的数据进行加密,使攻击者无法获取到有效的通信内容,也就难以实施会话劫持。
- 随机化初始序列号:每次TCP连接时,使用随机化的初始序列号,增加攻击者猜测序列号的难度。
- 会话认证:在应用层增加会话认证机制,如使用一次性令牌等,确保通信双方的身份在整个会话过程中持续得到验证。
- ICMP 重定向攻击
- 漏洞描述:攻击者发送伪造的ICMP重定向消息,误导主机将数据包发送到错误的路由,从而实现中间人攻击等目的。
- 防护措施:
- 禁用ICMP重定向功能:在主机或网络设备上禁用ICMP重定向功能,不接受任何ICMP重定向消息。但这可能会影响一些网络自动配置功能。
- 验证ICMP重定向来源:只接受来自可信路由器的ICMP重定向消息,通过配置静态路由表等方式确保重定向来源的合法性。
- UDP 端口扫描与反射放大攻击
- 漏洞描述:攻击者利用UDP协议无连接的特性,进行端口扫描以发现开放端口。同时,通过向一些支持UDP反射的服务器发送伪造源IP(目标受害者IP)的UDP请求,利用这些服务器放大攻击流量,对受害者进行DDoS攻击。
- 防护措施:
- 限制UDP端口开放:仅开放必要的UDP端口,关闭不必要的UDP服务,减少被扫描和攻击的面。
- 配置防火墙:防火墙对UDP流量进行严格过滤,限制异常的UDP请求,例如限制单位时间内的UDP包数量、限制UDP包的源和目的IP范围等。
- 检测和防范反射放大攻击:部署流量监测设备,实时监测UDP流量的异常放大情况,一旦发现反射放大攻击流量,及时进行封堵或引流。