单元5 网络攻击

单元5网络攻击《网络安全技术》课程授课人：__________授课班级：__________课程目录COURSE

CONTENTS01被动攻击解析网络攻击中隐蔽性极强的被动攻击手段，深入了解网络监听、数据嗅探的底层工作原理，剖析其不易被发现的特性与潜在危害。02主动攻击概述深入剖析主动攻击的核心特征，对比被动攻击的本质差异，系统掌握攻击者篡改数据、伪造身份、中断服务等主动干预网络通信的行为模式。03典型欺骗攻击详解DNS欺骗、ARP欺骗、IP欺骗等经典欺骗类攻击手段，拆解攻击者如何通过伪装合法身份、篡改路由信息来诱骗系统，从而获取非法访问权限。04拒绝服务攻击深度探讨DoS与DDoS攻击的技术机制，分析流量型攻击与资源耗尽型攻击的运作原理，理解其对网络带宽、服务器资源及业务连续性的毁灭性影响。05单元小结系统回顾本单元核心知识点，梳理各类网络攻击的特征与应对思路，总结防御被动与主动攻击的关键策略，构建完整的网络安全攻击认知体系。5.1被动攻击核心定义被动攻击是指攻击者对网络信息、状态或信息流不产生任何直接的修改或干扰，主要目的是秘密窃取和监听，核心破坏的是信息的保密性，而非完整性或可用性。主要攻击类型01嗅探攻击：在网络中截获并复制传输中的数据包，获取敏感数据。02非法访问：未经授权读取存储在主机或介质上的信息内容。03流量分析：通过统计流量模式、通信频率推断敏感信息。关键特征与应对攻击过程完全透明化，网络数据流向未发生改变，因此极难被传统的入侵检测系统发现。其应对策略必须以预防为主，核心手段包括数据加密传输、会话密钥保护以及限制网络访问范围。安全启示：由于被动攻击难以被察觉，构建安全体系时不应依赖“事后检测”，而应在数据产生和传输的源头就建立起完善的加密与隔离机制。5.1.1嗅探攻击01攻击原理核心依赖共享网络的广播机制，集线器设备会自动将数据泛洪至所有端口。黑客通过部署嗅探工具被动捕获流经网络的数据包，整个过程不建立主动连接，因此通常不会干扰目标网络的正常通信，具有极强的隐蔽性。02交换机嗅探突破针对交换机的MAC地址表溢出攻击。攻击者向交换机发送海量伪造源MAC地址的数据包，快速耗尽交换机的MAC表存储资源。当表项满溢后，交换机将退化为类似集线器的广播模式，向所有端口转发数据，从而实现流量监听。03核心防御策略构建分层防御体系：物理层面严格准入，阻止非法设备接入；交换机层面开启MAC地址绑定与溢出防护功能；数据传输层面，特别是无线通信，必须采用WPA3等端到端加密协议，确保即使数据被捕获也无法解析明文内容。总结：嗅探攻击的核心在于“被动捕获”，防御的关键在于切断广播环境、限制MAC表容量滥用以及对数据链路层进行高强度加密保护。5.2主动攻击01.核心定义：主动介入与破坏主动攻击是指攻击者通过改变网络信息的内容、状态或信息流模式，直接对目标系统实施干预的攻击行为。这类攻击不仅窃取信息，更直接破坏信息的保密性、完整性和可用性，是网络安全面临的主要威胁之一。关键特征：攻击者不再是“旁观者”，而是“参与者”，行为具有明显的破坏性和侵略性。02.四种核心攻击类型解析篡改信息(Modification)恶意修改传输或存储中的数据内容，破坏信息的完整性，如修改文件、订单金额等。截获攻击(Interception)攻击者非法截留、延迟或重发信息，破坏正常的通信流程，窃取敏感信息。欺骗攻击(Deception)伪造虚假身份或错误信息，误导用户或系统进行非授权操作，如IP欺骗、DNS欺骗。拒绝服务(DoS/DDoS)通过发送海量无效请求耗尽系统资源，使合法用户无法访问服务，导致系统瘫痪。防御启示：主动攻击通常具有突发性和破坏性，单一防御手段难以奏效，需结合加密技术、入侵检测系统(IDS)、访问控制及流量清洗等多层防御体系进行综合防范。5.2.1截获攻击01攻击原理：流量劫持与路径篡改攻击者通过技术手段非法介入网络传输链路，强制改变信息的正常传输路径，使原本在通信双方之间传输的数据流全部流经黑客控制的终端设备。核心操作手段：1.篡改后转发：修改数据包内容再发送给接收方；2.延迟转发：拖延数据传输时间，影响业务实时性；3.截留不转发：直接阻断通信，造成数据丢失或服务中断。02攻击后果：隐私泄露与业务逻辑破坏明文传输场景：攻击者可直接窃取传输中的用户名、登录口令、银行卡号等敏感隐私信息，导致用户身份冒用或财产直接损失。交易篡改与重放攻击：可恶意修改购物金额、收货地址等交易数据；即便在密文场景下，也可实施“重放攻击”，将截获的有效数据包重复发送，造成业务重复执行、逻辑混乱等严重后果。核心认知：截获攻击本质上是一种“被动+主动”结合的复合型攻击，其核心危害在于打破了通信链路的机密性与完整性，是网络安全防御的重点防范对象。5.2.2MAC地址欺骗攻击01.正常转发机制交换机在数据传输过程中，会自动建立并维护MAC地址表，该表记录了端口与终端MAC地址的一一映射关系。当接收到单播数据帧时，交换机依据MAC表将数据精准转发至目标端口，避免了数据的盲目广播，保障了网络通信的高效性。02.欺骗攻击实施流程攻击者接入网络后，利用工具修改自身网卡MAC地址为目标终端的合法MAC。随后持续广播伪造的ARP/MAC数据帧，强制刷新网络中所有交换机的MAC地址表，使交换机将原本发往目标终端的流量错误地转发至黑客控制的恶意终端，从而实现窃听或篡改。03.核心防御与加固策略核心手段是实施端口安全策略，在交换机上开启“端口-MAC地址绑定”功能，限制每个端口允许接入的MAC数量。同时部署接入控制设备（如802.1X认证）阻止非法设备入网，并配置交换机过滤异常的MAC广播帧，防止地址表被恶意刷新。关键提示：MAC地址欺骗攻击利用了交换机MAC表的动态更新机制，防御的关键在于将动态的、可被篡改的映射关系转变为静态的、受信任的绑定关系。5.2.3DHCP欺骗攻击01攻击原理：抢占响应权网络环境中若存在多个DHCP服务器，终端通常会优先选择最先收到的响应报文。攻击者利用这一机制，在局域网内伪造非法DHCP服务器，快速响应终端请求，将网关和DNS服务器地址篡改为攻击者自身IP，从而接管终端的网络配置。02攻击过程：流量截获伪造的DHCP服务器部署在同一广播域内，抢先于合法服务器应答。终端获取错误的网关配置后，所有出站流量都会被迫经过攻击者的终端中转。在此过程中，用户通常无任何感知，但数据已被攻击者全程窃听、篡改，甚至可发起中间人攻击。03防御机制：端口管控核心手段是配置交换机端口安全策略（DHCPSnooping）。仅允许连接合法DHCP服务器的信任端口转发响应报文，禁止非信任端口（普通接入端口）发送DHCPOffer/Ack报文，从物理层面阻断伪造服务器的非法响应，保障终端获取真实配置。关键警示：DHCP欺骗攻击是内网渗透的常见手段，它不依赖复杂的漏洞，而是利用协议设计的特性。部署DHCPSnooping与IP+MAC绑定，是企业内网防御此类攻击的标配方案。5.2.4ARP与路由欺骗ARP欺骗原理以太网终端设备通常缺乏对ARP报文的真伪校验机制。黑客利用这一漏洞，通过广播伪造的IP-MAC地址绑定报文，强行刷新局域网内所有终端的ARP缓存表。

核心危害：使原本发往网关或其他主机的流量被错误地转发至黑客控制的终端，从而实现流量窃听或中间人攻击。路由欺骗原理路由协议（如RIP、OSPF）依赖路径开销或跳数选择最优路径。黑客通过构造并发送伪造的路由更新报文，宣称拥有到达目标网络的“更短距离”或“更低开销”路径。

核心危害：路由器会优先选择该伪造路径，导致网络中所有发往特定目标的流量被劫持到黑客设备，造成大规模的数据泄露或服务中断。关键防御机制1.终端侧防护：在接入交换机上开启ARP报文合法性校验（如DAI动态ARP检测），绑定合法IP-MAC条目，丢弃非法伪造报文。

2.网络层防护：配置路由器启用路由协议认证（如MD5），确保仅接收来自可信邻居的路由更新；同时部署路由过滤与监控机制。总结：ARP欺骗发生在局域网数据链路层，利用缓存信任漏洞；路由欺骗发生在网络层，利用路由协议的信任机制。防御需从链路层绑定与网络层认证双管齐下。5.2.5拒绝服务攻击01SYN泛洪攻击攻击原理：攻击者伪造大量不存在的源IP地址，向服务器发送TCPSYN连接请求。服务器回复SYN+ACK后等待确认，导致半开连接耗尽会话表资源，正常用户无法建立连接。防御策略：部署防火墙过滤伪造源IP报文；服务器开启SYNCookie机制，仅记录完成三次握手的连接。02Smurf攻击攻击原理：攻击者将ICMP请求包的源IP伪装成攻击目标的IP，发送至网络广播地址。广播域内所有终端收到请求后，会向伪装的目标IP回送响应，形成流量放大效应。防御策略：路由器禁止转发定向广播报文；配置主机忽略ICMP广播请求；网络设备过滤源IP为广播地址的报文。03攻击核心本质核心逻辑：拒绝服务（DoS）的本质是资源消耗战。攻击者利用合理的服务请求，通过海量并发或畸形报文，耗尽目标系统的关键资源，使其无法向合法用户提供服务。关键被耗尽资源：网络带宽、服务器CPU计算能力、内存空间、TCP连接表、应用进程句柄等系统核心资源。总结：拒绝服务攻击利用了网络协议的缺陷或系统资源的有限性，其防御不仅需要技术手段（如流量清洗、访问控制），更需要网络架构的冗余设计。单元小结01网络攻击分类被动攻击：隐蔽难防以嗅探、非法访问、流量分析为主，特点是透明不改变网络状态，难以被直接检测，核心策略是“预防为主”。主动攻击：危害巨大通过篡改、截获、欺骗或DoS手段改变网络数据或状态，直接破坏系统可用性与完整性，影响恶劣。02欺骗攻击核心机理利用协议先天缺陷多数网络协议（如ARP、ICMP）设计时缺乏严格的身份校验机制。攻击者伪造合法的协议报文，发送给目标设备，使其错误地刷新转发表