传输控制协议

SYN Flood 攻击

攻击原理：利用TCP连接时的第一次握手，即向服务器发送大量的SYN包，若服务器在连接超时前不能等到ACK包，则会一直处于半连接状态，半连接会占用服务器的连接数，连接数会逐渐被占满，从而导致合法的连接请求不能得到应答（DDOS）。
防御措施：

1.首包丢弃：若请求合法，首包丢弃后，由于TCP协议的超时重传机制，客户端还会再次发起连接请求；此时再对请求报文进行源认证。

2.源认证：由服务端对接收到的SYN包做出应答，检测客户端是否做出回应，若客户端发起第三次握手，则认为时合法的连接请求。

地址解析协议

ARP协议：将IP地址转化为MAC地址。

ARP欺骗攻击原理：发送方没有对收到的应答包的真实性进行验证,黑客可以伪造应答包发起攻击。

防御策略：静态绑定MAC和IP。

Internet 控制消息协议（ICMP）

ICMP重定向攻击

原理：路由器向主机发送差错报告报文，改变主机选择的路由路径。由于主机没有对重定向报文进行合法性检查（好熟悉啊，这不就是ARP攻击的原理吗），黑客可以向主机发送恶意的重定向报文，从而实现从Redirect到MIM或从Redirect到DDOS。

防御：配置主机不接受重定向报文（就像有的服务器不接受Ping一样）

路由协议

路由欺骗攻击：

原理：动态路由可以由相关协议修改。

防御：拒绝接收含有这一选项的数据包。

DHCP（动态主机配置）

面临的威胁：

由于DHCP未对请求信息进行认证，所以查询响应容易受到中间人攻击和DOS攻击，如果攻击者已经接入本地网，就可以发动ARP攻击。同时可能存在DHCP服务器的伪造，可以压制合法的服务器或对合法的服务器发动DOS攻击。

DNS

可能遭到的攻击：
主要是域转移攻击，也称区转移攻击，主要是攻击者可以冒充备份服务器获得主服务器的域名空间所属信息的完整备份。同时还包括DNS注入攻击和DNS重绑定攻击等。

DNSSEC的优点：
1.可以有效防止域的所有者签署欺骗性记录。

2.对域的签名可以离线进行，降低了域签名私钥泄露的风险。

电子邮件系统

安全风险：

DOS攻击 口令爆破 钓鱼邮件

措施： 部署防火墙 使用双因素加密认证 加强安全培训

FTP

安全风险：
口令泄露 数据劫持

措施：使用安全的系统和FTP服务软件 用户名和口令加密传输。

IPSEC

IPSEC指的是一族协议

两种工作模式：传输模式：只对IP数据包的净荷进行加密或认证（结合图分析更为清晰）。

隧道模式：对整个IP数据包进行加密或认证（需要增加新的IP头）。

IPSEC的主要功能是实现加密 认证和密钥交换 ，这三个功能分别由AH ESP IKE3个协议来实现。

Q&A

1. Why UDP is more vulnerable than TCP?

非常简单，我们注意到上文对SYN Flood攻击的防御，无论是源认证，还是首包丢弃，都是利用了TCP协议可靠性。而UDP没有握手和交换序号的过程，防御起来更为困难，所以更容易被黑客利用发起攻击。