網絡安全是信息技術領域的一個重要分支，它涉及到保護計算機網絡免受各種攻擊和威脅。OSI (Open Systems Interconnection, 開放系統互連) 模型為理解網絡通信提供了一個框架，將網絡通信分為七個層次。每一層都可能成為攻擊者的目標。下圖列舉了每個層次可能遭受的一些常見攻擊。

圖片

01 應用層

SQL注入 (SQL Injection)：攻擊者在網站輸入表單中輸入惡意SQL代碼，如果后端數據庫系統未正確過濾用戶輸入，這些代碼就可能被執行，導致數據泄露或損壞。

跨站腳本（Cross-site Scripting, XSS)：攻擊者在網頁中注入惡意腳本，當其他用戶瀏覽該網頁時，腳本執行，可能導致用戶信息被竊取或者會話被劫持。

DDoS攻擊：通過利用大量受控制的網絡設備（僵尸網絡）向目標發送大量請求，導致目標服務不可用。

02 顯示層

• 字符編碼/解碼攻擊 (Character Encoding/Decoding Attacks)：通過改變字符編碼方式，攻擊者可以繞過應用程序的輸入過濾機制，執行惡意代碼。
• SSL剝離 (SSL Striping)：攻擊者在客戶端和服務器之間強制使用非加密連接，而不是安全的HTTPS連接，以便竊聽或篡改數據。
• 數據壓縮操作(Data Compression Manipulation)：利用數據壓縮算法的特性來推斷傳輸中的數據，可能導致敏感信息泄露。

03 會話層

• 會話重放 (Session Replay)：攻擊者截獲合法的數據包然后重新發送，以嘗試非法認證或執行未授權的操作。
• 會話固定攻擊 (Session Fixation Attacks)：攻擊者強制用戶在服務器上使用一個由攻擊者定義的會話ID，然后劫持用戶的會話。
• 中間人攻擊 (Man-in-the-Middle Attacks)：攻擊者置身于通信雙方之間，秘密監聽或篡改他們之間的信息交換。

04 傳輸層

• UDP Flood：通過發送大量的UDP包到目標系統的隨機端口，導致系統處理這些無用請求而耗盡資源。
• SYN Flood：利用TCP協議的三次握手過程，發送大量的SYN請求但不完成握手過程，耗盡服務器資源，使其無法處理合法請求。

05 網絡層

• IP欺騙 (IP Spoofing)：攻擊者偽造IP地址的數據包，使目標計算機或網絡設備認為該數據包來自可信源。
• 路由表篡改 (Route Table Manipulation)：通過修改網絡路由表，攻擊者可以控制數據包的流向，進行數據竊聽或流量劫持。
• 藍精靈攻擊 (Smurf Attacks)：利用ICMP協議的漏洞，通過發送畸形的ICMP數據包來使目標系統崩潰。

06 數據鏈路層

• MAC地址欺騙 (MAC Address Spoofing)：攻擊者更改其設備的MAC地址以模仿另一設備，可能導致對網絡訪問控制的繞過。
• ARP欺騙 (ARP Spoofing)：通過發送偽造的ARP消息，攻擊者可以將自己的MAC地址與另一IP地址關聯起來，從而劫持流量或進行中間人攻擊。
• 交換機泛洪 (Switch Flooding)：通過向交換機發送大量的以太網幀，每個幀都有不同的源MAC地址，導致交換機的地址表溢出，使其退化為一個集線器，廣播所有流量。

07 物理層

• 竊聽/監聽 (Eavesdropping/Tapping)：直接監聽網絡線路上的數據傳輸，以獲取敏感信息。
• 物理篡改 (Physical Tampering)：直接對網絡設備或線路進行物理損害或修改，以影響網絡通信。
• 電磁干擾 (Electromagnetic Interference)：通過生成電磁波干擾信號，影響設備的正常工作。

了解這些攻擊及其在OSI模型中的位置有助于網絡安全專家設計更有效的防御策略，保護網絡免受攻擊。