网络协议是一组既定规则,通过遵循安全、可靠和简单的方法来控制和管理信息交换。这些规则集适用于各种应用程序。一些众所周知的协议示例包括有线网络(如以太网)、无线网络(如 WLAN)和 Internet 通信。用于在 Internet 上广播和传输数据的 Internet 协议套件包括数十种协议。
这些协议中存在大量漏洞,导致其被积极利用,并对网络安全构成严重挑战。让我们了解 14 种最常见的网络协议以及它们中存在的相应漏洞。
1.地址解析协议(ARP)
一种通信层协议(数据链路层和网络层之间的映射过程),用于识别给定 IP 地址的媒体访问控制 (MAC) 地址。主机无法验证网络数据包来自对等网络中的何处。这是一个漏洞,会导致 ARP 欺骗。如果攻击者与目标位于同一 LAN 上或使用同一网络上的受感染计算机,则攻击者可以利用此漏洞。这个想法是攻击者将他的 MAC 地址与目标的 IP 地址相关联,以便攻击者接收到任何针对目标的流量。
2. 域名系统 (DNS)
IP 地址是数字格式,因此它们不容易被人类读取或记住。 DNS 是一个分层系统,可将这些 IP 地址转换为人类可读的主机名。 DNS 中最常见的漏洞是缓存中毒。在这里,攻击者替换合法 IP 地址将目标受众发送到恶意网站。也可以在 DNS 服务器上利用 DNS 放大,它允许递归查找并使用递归来放大攻击的幅度。
3.文件传输协议/安全(FTP/S)
它是一种基于客户端和服务器模型架构的网络协议,用于在计算机网络上的客户端和服务器之间传输文件。当攻击者使用 Web 应用程序以浏览器端脚本(或 cookie)的形式向用户发送恶意代码时,最常见的 FTP 攻击使用跨站点脚本。远程文件传输协议 (FTP) 不控制连接并加密其数据。用户名和密码以明文形式传输,可以被任何网络嗅探器拦截,甚至可能导致中间人攻击(MITM)。
4. 超文本传输协议/安全(HTTP/S)
它用于计算机网络上的安全通信。其主要功能包括对访问的网站进行身份验证,然后保护所交换数据的隐私和完整性。 HTTPS 中的一个主要漏洞是 Drown 攻击,它可以帮助攻击者破解加密、窃取信用卡信息和密码。另一个严重的错误是 Heartbleed 错误,它允许窃取受用于保护 Internet 的 TLS/SSL 加密保护的信息。其他一些漏洞包括 Factoring RSA export keys 和 Compressing Ratio Info-leak Made Easy。
5. 互联网消息访问协议(IMAP)
它是一种 Internet 电子邮件协议,可将电子邮件存储在邮件服务器上,但允许最终用户检索、查看和操作存储在用户设备本地的消息。首先,当电子邮件通过互联网发送时,它会通过不受保护的通信渠道。用户名、密码和消息可以自行截获。还可以在邮件服务器上执行拒绝服务 (DoS) 攻击,这会导致未收到和未发送的电子邮件。此外,电子邮件服务器可能会被注入恶意软件,而恶意软件又会使用受感染的附件发送给客户端。
6. 邮局协议 (POP3)
应用层 Internet 协议用于将电子邮件从远程服务器检索到客户端的个人本地机器。即使您处于离线状态,它也可用于查看消息。以邮箱存储为目标的漏洞包括 Firewire 直接内存访问或 DMS 攻击,这些攻击依赖于使用直接硬件访问直接读取或写入主内存,而无需任何操作系统交互或监督。登录过程允许用户通过未加密的路径进行连接,从而导致登录凭据以明文形式通过网络发送。
7. 远程桌面协议 (RDP)
它由 Microsoft 开发,是一种为用户提供图形界面以通过网络连接连接到另一台计算机的协议,其中一个用户运行 RDP 客户端软件,而另一个用户运行 RDP 服务器软件。一个名为 BlueKeep 的漏洞可能允许勒索软件等恶意软件通过易受攻击的系统传播。 BlueKeep 允许攻击者连接到 RDP 服务。在此之后,他们可以发出命令来窃取或修改数据,安装危险的恶意软件,并可能进行其他恶意活动。漏洞的利用不需要用户的身份验证。它甚至不需要用户点击任何东西来激活。
8. 会话发起协议 (SIP)
它是一种信令协议,用于启动、维护、更改和终止实时会话。这些会话可以包括 IP 网络上两个或多个端点之间的语音、视频、消息传递和其他通信应用程序和服务。它可能会遭受安全威胁,例如缓冲区溢出、注入攻击、劫持等。这些攻击者很容易以最少的费用或接近免费的费用安装这些攻击者。当攻击者发送大量流量导致目标系统消耗其所有资源并使其无法为合法客户提供服务时,就会发生洪水攻击。 SIP 网络基础设施中的泛滥很容易发生,因为信令和数据传输的通道没有分离。
9. 服务器消息块 (SMB)
它是一种网络通信协议,用于在网络节点之间提供对文件、打印机和串行端口的共享访问。它还提供了经过身份验证和授权的进程间通信机制。 SMB 中的漏洞是 SMB Relay 攻击,用于进行中间人攻击。另一种攻击是永恒之蓝攻击。各种版本的 Microsoft Windows 中的 SMBv1server 错误地处理了来自远程攻击者的特制数据包,允许他们在目标计算机上执行任意代码。
10. 简单邮件传输协议 (SMTP)
它是一种通信应用层协议,用于发送电子邮件。垃圾邮件发送者和黑客可以使用电子邮件服务器以毫无戒心的开放中继所有者为幌子通过电子邮件发送垃圾邮件或恶意软件。黑客还会执行目录收集攻击,这是一种从服务器或域中收集有效电子邮件地址供黑客使用的方法。漏洞还包括缓冲区溢出攻击、木马攻击、shell 脚本攻击等。
11.简单网络管理协议(SNMP)
它是一种互联网标准协议,用于收集和组织有关 IP 网络上受管设备的信息,也用于更改和修改该信息以改变设备行为。 SNMP 反射是一种分布式拒绝服务或 DDoS 攻击。这些攻击可以产生每秒数百吉比特的攻击量,可以针对来自各种宽带网络的攻击目标。攻击者使用伪造的 IP 地址(即受害者的 IP)向多个连接的设备发送大量 SNMP 查询,这些设备反过来回复该伪造的 IP 地址。随着越来越多的设备继续响应,攻击量变得越来越严重,直到目标网络在这些响应的总量下被关闭。
12. 安全外壳 (SSH)
它是一种基于密码学的网络协议,用于在不安全的网络上安全可靠地运行网络服务。一些特定的应用程序包括远程命令行、远程命令执行、登录,但任何网络服务都可以在 SSH 的帮助下变得安全。中间人 (MITM) 攻击可能会让对手完全破坏稳定并破坏加密,并可能获得对包括密码在内的加密内容的访问权限。一个成功的对手是一条电缆,可以将命令注入终端以修改或更改传输中的数据或窃取数据。该攻击还允许将有害恶意软件注入通过系统下载的任何二进制文件和其他软件更新。过去,该技术已被各种攻击组和恶意软件包使用。
13.远程登录
它是一种在 Internet 或局域网 (LAN) 上使用的应用程序协议,它提供使用虚拟终端连接的双向交互式文本导向通信。 telnet 协议中最大的安全问题是缺乏加密。从正在配置的远程设备发送到网络设备的每个通信都以纯文本的形式发送。攻击者可以很容易地看到我们在该设备上配置的内容,并且他可以看到我们用于连接到设备并进入配置模式的密码。另一种类型的 Telnet 攻击是 DoS,攻击者发送许多无用和不相关的数据帧,并以这种方式使连接窒息。
14. 虚拟网络计算 (VNC)
虚拟网络计算用于建立远程桌面共享,这是一种远程访问计算机网络的形式。 VNC 显示另一台计算机的可视桌面显示并通过网络连接控制该计算机。所有攻击都是由不正确的内存使用引起的,利用它们的攻击会导致拒绝服务状态、故障以及未经授权访问用户信息,以及在目标设备上运行恶意代码的选项。漏洞和攻击包括 DoS 攻击、缓冲区溢出、缓冲区下溢和远程代码执行。