解析OSI七层网络攻击行为及防范手段

时间：2020-03-17

2020年3月3日，360安全大脑披露美国*情报局攻击组织（APT-C-39）对我国大型互联网公司、**部门及相关企业进行长达11年的网络攻击渗透，该组织所使用的网络武器和CIA“Vault7”项目中的网络武器完全吻合。如今随着互联网技术的蓬勃发展，网络攻击手段层出不穷，如何更好的保护企业机密信息不被非法泄露，成为全世界科研人员共同的话题。

在互联网设计初期，为了更好的对互联网进行管理，依照OSI标准，按照物理层、数据链路层、网络层、传输层、会话层、表示层和应用层对网络进行了划分，网络攻击行为的发生，也是针对其中一层或多层的弱点进行展开的。对此，我们可以分析网络各层不同的弱点分析存在的攻击行为，并总结防范手段，对于我们的防范工作会有很好的借鉴意义：

一、针对物理层的攻击

针对物理层的攻击方法就是比较暴力直接的攻击方式，一般是针对其网络硬件和基础设施来进行物理破坏或者是强行改变路由器，比如说要去攻击一个公司，就把他们公司的网线剪掉，让他们无法访问外网。

防范手段：保护物理线路的可靠性，对于物理设备的接入采用双线、双设备接入，保证物理线路和物理设备的可靠性，并处于监管的状态。

二、针对数据链路层的攻击

针对数据链路层的攻击常见的是对基于mac地址的伪装欺骗，在数据链路层有两个重要的协议ARP（地址解析协议）和RARP协议（反向地址解析协议），常见的攻击方式就是ARP欺骗（ARP伪装），其攻击原理为攻击者利用自己伪造的mac地址来告诉被攻击者自己是对方想要访问的身份，显而易见这个身份是攻击者自己伪造的，从而欺骗被攻击者将数据流量转发到自己伪造的身份地址上，进而获取数据，达到欺骗的目的。

防范手段：对于系统和通信网络中关键的设备进行ARP地址绑定，可以在Windows中输入arp-s gate-way-ip gate-way-mac固化ARP表，也可以通过安装ARP防护软件-ARPGuard，对ARP信息进行防护。

三、针对网络层的攻击

针对网络层的攻击也是目前互联网上常见的几种主要的攻击方式，如Smurf攻击（通过将回复地址设置为受害网络的广播地址，使用数据包淹没目标主机）、ICMP路由欺骗攻击、IP分片攻击、ping of death（死亡之ping）、IP欺骗伪造攻击，其通性都是通过制造大量的无用数据包，对目标服务器或者主机发动攻击，使得目标对外拒绝服务，可以理解为DDOS或者是类DDOS攻击。

防范手段：可以通过扩大带宽并部署DDOS防御系统来防御拒绝攻击，对于攻击发生过的IP和确认安全的IP，可以通过设置防火墙上IP白名单和黑名单对通信主机的地址进行限制、绑定，防止欺骗行为的发生。

四、针对传输层的攻击

针对传输层的攻击主要是利用TCP/UDP协议进行攻击，而利用TCP协议攻击主要是利用TCP协议的三次握手机制，向目标主机或者服务器发送大量连接请求但是不对其进行响应，使得占用大量目标服务器主机资源，造成瘫痪的攻击方式，常见的攻击方式由Flooding洪泛攻击、ACK flooding洪范攻击等，而利用UDP的攻击主要是利用流量攻击，使用UDP的不可靠性，大量发送数据包，造成目标拒绝服务的目的，常见的攻击方式有UDP flooding洪泛攻击。

防范手段：在这里也可以通过部署抗DDOS防御系统进行防护，并扩大带宽，对数据包进行筛选、防护。

五、针对会话层的攻击

针对会话层的攻击主要是利用或者窃取合法用户的cookie和session，然后冒用或者利用合法用户的身份，以达到非法授权访问的目的，其主要攻击目标为攻击cookie和token，常见的攻击方式有XSS（跨站脚本攻击）和CSRF（跨站请求伪造）。

防范手段：针对会话层的攻击防范，主要是针对用户登录的cookie信息进行利用或盗取。为减少并防止该类攻击事件的发生。首先是应当在用户登录时，可采用双因子的认证方式，确认用户信息，并在cookice设置中启动httponle属性，并在代码层面添加随机产生的token认证，认证用户数据包信息，防止用户身份认证信息被窃取并盗用。

六、针对表示层的攻击

针对表示层的攻击主要是针对格式翻译和数据处理来进行的，攻击方式有Unicode攻击和计算溢出攻击。

防范手段：在系统设计层面，应考虑拥有足够充足的缓冲区，保证数据不会溢出被修改、覆盖。严格而控制服务器上文件和文件夹的权限，对登录用户和后台管理人员的权限进行合理的分配，防止服务器文件和文件夹被非法利用。

七、针对应用层的攻击

针对应用层的攻击主要是针对应用程序的设计漏洞进行的对应用协议漏洞的攻击、对应用数据的攻击、对应用操作系统平台的攻击等。其方法包括未经审查的WEB方式的信息录入、应用权限的访问控制被攻破、身份认证和会话管理被攻破、跨站点的执行代码漏洞、缓存溢出漏洞、弹出漏洞、错误处理不当、不安全存储、拒绝服务、不安全配置管理等。

防范手段：针对服务器的访问控制权限进行严格划分分配，防止管理员权限过大，可以采用基于角色的访问控制策略，保证用户的较小特权化。对服务器系统及时修补补丁，保证信息系统的一个安全状态，并对系统内用户行为和安全事件进行审计记录。

以上是针对OSI网络七层的攻击方式和防范方法的总结，构建信息安全防御体系，不仅需要从安全技术角度进行挖掘，还需要针对管理体系进行建设，华清信安除了提供安全技术支持，也提供配套的安全管理制度建设方案，希望大家持续关注。

13520912867

词条
词条说明
大数据中心等级保护服务商
大数据中心等级保护服务商：守护您的数据安全随着大数据时代的到来，数据已经成为企业、**乃至整个社会的重要资产。然而，随之而来的数据安全问题也日益凸显。在这个背景下，大数据中心等级保护服务商应运而生，成为守护数据安全的坚实屏障。本文将为您揭秘大数据中心等级保护服务商的工作原理，以及它们如何助力我们守护数据安全。一、什么是大数据中心等级保护？大数据中心等级保护是指对重要数据存储中心进行分级管理和保护，
lis系统等保测评机构
了解企业级信息系统安全等级保护测评机构随着信息技术的飞速发展，企业级信息系统已经成为企业运营中不可或缺的一部分。为了确保信息系统的安全稳定运行，安全等级保护制度成为了国家的重要政策。在这一过程中，企业级信息系统安全等级保护测评机构扮演着重要的角色。本文将为大家详细介绍这类机构的相关知识。一、什么是信息系统安全等级保护？信息系统安全等级保护是对信息系统中各类信息资产与信息活动进行不同程度的保护。这是
监控平台等保测评备案流程
随着信息技术的不断发展，监控平台等保测评备案变得越来越重要。本文将详细介绍监控平台等保测评备案流程，帮助大家了解如何进行备案。一、备案准备在进行监控平台等保测评备案前，需要做好充分的准备工作。首先，需要了解相关法律法规，确保备案符合法规要求。其次，需要了解监控平台的功能、架构、安全风险等情况，为后续备案工作奠定基础。二、备案申请备案申请是监控平台等保测评备案流程中的第一步。需要准备相关材料，包括备
IDC机房等保测评时间
IDC机房等保测评时间随着信息技术的发展，数据中心的数量不断增加，同时，数据中心的网络安全问题也日益严重。等保测评时间是在数据中心中非常重要的一环，需要正确把握和掌握。一、什么是等保测评时间等保测评时间是指对数据中心的安全保护措施进行评估的时间。等保测评时间是为了确保数据中心的安全性和可靠性，通过对数据的保密性、完整性和可用性进行评估，从而确定数据中心的安全等级。等保测评时间的时间周期一般为一年或