IP、TCP伪造攻击,防火墙是这样拦截的!

说到网络攻击,除了应用层面的病毒、蠕虫、木马之外,还有OSI模型中第二、三、四层的攻击方式。针对前者,应对手段较为复杂,不仅需要强大的防护体系,还得配备出色的杀毒工具,而且未必能彻底解决,这部分内容后续再和大家探讨。

本期咱们先来讨论三、四层的攻击方式以及防火墙怎样抵御这些攻击。

OSI模型里的第三、四层分别是网络层与传输层,这两层涉及的协议主要包括IP、TCP/UDP、ICMP、IGMP等,其中围绕IP地址的攻击与基于TCP/UDP协议的攻击最为常见。

针对IP地址的攻击主要有以下几种:IP伪造攻击、smurf攻击、ICMP重定向攻击、IP地址探测攻击等。

基于TCP/UDP协议的攻击又可细分为:TCP伪造、TCP/UDP拒绝服务攻击、端口探测攻击、TCP/UDP侦测攻击、非标准报文绕过等。

下面列举一些IP地址相关的攻击以及防火墙的防御策略:

IP欺骗攻击

IP欺骗攻击是指攻击者利用相同的IP来冒充合法主机与目标主机建立连接,在中间没有任何安全设备过滤的情况下,攻击者能够非常轻易地达成这一攻击,可以毫不费力地接入目标主机。

IP欺骗攻击

攻击者在连接过程中需要推测连接的序列号及其增长规律,只要在序列号的有效误差区间内,连接就不会受到干扰。

倘若中间部署了防火墙,这类攻击将失效,防火墙借助随机序列号打乱的方式能够有效阻止攻击者推测序列号。(没理解的话继续往下看,稍后会详细说明随机序列号打乱机制)

IP地址扫描攻击

扫描攻击可以说是攻击类型中危害最小且最容易实施的攻击手段,探测本身其实不具备任何破坏性,严格来说算不上攻击,但如果网络中出现了探测行为,则可能暗藏攻击者。

IP、TCP伪造攻击,防火墙是这样拦截的!

攻击者通过IP地址探测操作,获取目标网络的拓扑结构和存活主机,为执行下一步攻击做铺垫。

通常情况下,探测攻击的报文发送速度较快,可能一秒内发出上百个探测包。如果网络中间部署一个防火墙,可以有效削弱探测攻击。

防火墙可以设定一个源IP地址在限定时间内访问的目标端口数量或目标IP地址数量,例如规定一个源IP地址在2秒内可访问的不同目标IP地址数量为2个,或者目标端口号不超过5个。一般正常用户不太可能一秒内访问多个不同端口或多个不同目标IP。

TCP欺骗攻击

TCP欺骗大多发生在TCP连接建立的过程中,利用主机之间某种网络服务的信任关系建立虚假的TCP连接,可能冒充受害者从服务器端获取数据。具体流程与IP欺骗类似。

TCP欺骗攻击

过程:

1、A信任B,C是攻击者,想冒充B和A之间建立连接;

2、C先瘫痪掉B,例如使用floogin、redirect、crashing等手段;

3、C用B的地址作为源地址给A发送TCP SYN报文。

a. A回复TCP SYN/ACK报文,从A发往B,携带序列码S;

b. C收不到该序列码S,但为了完成握手必须用S+1作为序列码进行回应,此时C可以通过以下两种途径获取序列码S:

i. C 监听SYN/ACK报文,根据捕获的值进行推算

ii. C 依据A操作系统的特征等,进行猜测

c. C使用获取到的序列码S回复A,握手完成,虚假连接建立。

如果在AB之间部署防火墙,则攻击者将再无机会欺骗成功。

攻击者连接成功的核心就在于序列号问题,如果攻击者推测正确则连接成功,否则失败。

在TCP连接中,序列号来源于主机系统的一个递增值,每个主机启动后会自动开始计数,举个例子,XP操作系统启动后计数从0开始,每隔一毫秒增加10,最大值到2³²,如果计数达到最大值则回到0重新计数。

当需要建立一个TCP连接时,系统会在当前时刻截取一个值,以此充当TCP连接的初始序列号。

不同操作系统的递增值各不相同,而且有规律可循,并且对方主机在回应时序列号允许存在一定偏差,偏差值在5000以内被视为合法。因此黑客利用了这一漏洞实施TCP欺骗攻击。

那防火墙怎样防御?

前面提到了随机序列号打乱,下面来看它的实现方式:

IP、TCP伪造攻击,防火墙是这样拦截的!

如图所示,经过防火墙的报文序列号都被修改,被增加或减小了10000,请注意,这个值是随机的,而且每次报文的随机值都不相同。通过修改序列号可以有效抵御TCP伪造攻击。

防火墙除了以上这些攻击外还有大量防御手段,总而言之,为了保障网络安全,防火墙是一个极其关键的安全防护产品。

原创文章,作者:余初云,如若转载,请注明出处:https://blog.jidcy.com/jsjc/2826.html

Like (0)
Previous 2026年6月1日 上午10:43
Next 2026年6月1日

相关推荐

  • IPv4 与 IPv6 是什么? 带你一次搞懂 IP 地址差异

    随着网络设备、云端服务与 IoT 应用快速成长,全球连接设备的数量早已远远超过当初设计网络时的预期,也让 IPv4 地址不足成为无法忽视的现实问题。 从电脑、手机、企业官网、App…

    2026年3月28日
    0
  • 什么是 CSRF 攻击?

    平时登录各类网站后,无需重复输入账号密码就能正常使用,这一便捷体验全都依靠 Cookie 实现。但 Cookie 在提升使用体验的同时,也存在安全漏洞,极易被不法分子利用,冒用用户…

    2026年5月18日
    0
  • 云主机快照有什么作用?

    伴随用户业务的推进,云主机磁盘数据持续发生变化,用户期望对某些关键时刻的数据进行备份,方便后续磁盘数据发生异常时,能够回退到备份时的状态,此时我们便可以借助云主机快照功能,实现数据…

    2026年6月13日
    0
  • 余初云:高防CDN的作用

    伴随互联网业务的蓬勃发展,高防CDN作为一类网络安全防护服务,受到众多尤其是门户站点的青睐。高防CDN是一项依托CDN(内容分发网络)技术构建的网络安全方案,旨在为网站或应用提供高…

    2026年6月8日
    0
  • SQL DDL 是什么? 五个指令一次学会:CREATE、ALTER、TRUNCATE、DROP、RENAME

    SQL 有四大分类: DDL(数据定义语言)负责处理表格的「结构」。 DML(数据操作语言)负责处理表格的「资料」。 DCL(数据控制语言)负责处理「权限」。 TCL(事务控制语言…

    2026年5月13日
    0
  • 负载均衡实战:用 Nginx 搭建高可用流量分发架构

    做过高并发项目的运维或开发都清楚,单台服务器扛流量很容易在高峰期卡顿、宕机,只靠升级配置治标不治本。想让服务稳定、响应快、能扩容,负载均衡是绕不开的核心方案。本文结合实际部署经验,…

    2026年4月15日
    0
  • 什么是内网渗透?内网渗透工具有哪些?

    内网穿透也叫NAT穿越,核心是在部署了NAT设备的私有TCP/IP网络里,让不同内网主机之间成功建立连接,通过端口映射的方式,让公网设备能够定位到处于内网环境的主机。 而内网渗透指…

    2026年6月30日
    0
  • 一文读懂什么是DDoS高防IP?

    什么是DDoS高防IP? DDoS高防IP是网络安全厂商针对解决互联网服务器遭遇大流量DDoS攻击后造成服务不可用的状况,所推出的付费增值方案。企业可通过部署DDoS高防IP服务,…

    2026年6月1日
    0
  • oss对象存储服务是什么?

    高效地处理大规模数据已经成为许多企业的核心需求​​​​​​​,企业正日益借助大规模的对象存储来打造企业级数据池与智能存储服务,存储系统正朝着更具弹性、更高效、更智能的方向迈进,以契…

    2026年6月9日
    0
  • 如何在 Ubuntu 22.04 和 24.04 上安装 Git

    Git 可在 Ubuntu 默认的 22.04 LTS 和 24.04 版本中直接安装,因此安装过程非常快捷。较为复杂的部分是配置 GitHub 或 GitLab 的 SSH 密钥…

    2026年3月27日
    0