本文主要对5G、企业组织、金融以及医疗健康等产业2020安全进行预测。
安全预测

一、2020年5G技术

据估计，到2025年，全球数据将达到175zettabytes，高于2010年4G首次在全球部署的1.2zettabytes。

随着连接设备数量和传输速度的急剧增加，威胁自然也会被放大。5G内众多系统的演进、发展和连通性为众多威胁打开了大门，可以总结如下。

1、电信服务和基础设施的漏洞

随着5G创新的普及，5G设备、客户框架和政府管理等方面将出现更多的缺陷。这可能使攻击者破坏或摧毁电信基础设施，监视客户端或转移其流量。各国政府需要建立全国性的安全防护能力，客观评估5G采用者和供应商的安全性，及时发现故障并规定修复措施。

2、用户安全和隐私问题

在隐私方面，事情变得更加复杂。

5G短程技术的出现将意味着更多的蜂窝通信塔将被部署到商业中心和建筑中，这也意味着攻击者可以收集和跟踪用户的精确位置。另一个问题是，5G服务提供商可以访问用户设备发送的大量数据，这些数据可以准确显示用户家中发生的事情，可以通过元数据描述他们的生活环境、内部传感器等数据。这些数据可能暴露用户的隐私，或被操纵滥用。服务提供商也可以将这些数据出售给其他服务公司，如广告商，以开辟新的收入来源。在某些情况下，漏洞可能导致人身伤害，例如，如果客户的治疗设备断开连接且无法运行。当水和能源设备等关键基础设施组件面临风险时，潜在的威胁将更大。

3、关键基础设施风险

5G有助于将通信扩展到比目前更多的地理区域。它还可以为非联网设备配备远程监控和控制。越来越多的像这样的连接系统将扩大了我们的风险范围。用户正采用方便和不间断的通信，但相关的威胁可能会带来严重的公共安全风险。

4、行动计划

5G将对电信产生革命性的影响，因为除了技术本身，它还将成为其他技术和的基础，特别是在智能城市、智能电网和国防设施领域。5G将能够容纳更多的网络连接设备，并大大提高所有用户的速度。

然而，5G很可能会引起攻击者的注意。例如，可能会看到大规模的DDoS攻击，或者在保护连接设备的复杂网络等问题，其中一个设备的危害可能导致整个网络崩溃。此外，5G正在先前基础设施的基础上开发技术，意味着它将继承先前基础设施的漏洞和错误配置。

通信信任模型将不同于以前的蜂窝世代。预计物联网和M2M设备将占据网络的更大一部分。5G网络中所有这些设备的交互将可能引发产品设计和设备行为方面前所未有的问题，零信任网络模式和严格的产品质量合规将有助于在技术采用者和提供商之间建立信任。

政府和行业领袖应联手推进安全可靠的5G技术项目，提升智慧城市服务和生活质量。

二、2020年金融机构网络威胁

1、反欺诈系统绕过

在过去的几年里，网络罪犯在绕过反欺诈系统的方法上投入了大量资金，现在仅仅盗取登录名、密码和PII是不够的。现在需要数字指纹来绕过反欺诈系统，以便从银行提取资金。2019年发现了一个名为Genesis的巨大地下市场，该市场出售全球网上银行用户的数字指纹。

从反欺诈系统的角度来看，用户的数字身份是一个数字指纹：每个设备独有的系统属性和用户的个人行为属性的组合。它包括IP地址、屏幕信息、固件版本、操作系统版本、安装的浏览器插件、时区、设备ID、电池信息、字体等。罪犯们一直在寻找通过反欺诈措施的方法，他们试图用伪造的指纹来代替系统的真实指纹。

Genesis是一个接受在线邀请的私人网络犯罪市场，专门出售被盗的数字指纹。它提供了6万多个被盗的档案。这些资料包括浏览器指纹、网站用户登录和密码、cookies信息等。

这类攻击表明，犯罪分子对内部银行系统的工作原理有着深入的了解，防范此类攻击最好的选择是始终使用多因素身份验证。

2、多因素认证(MFA)和生物特征挑战

MFA对网络罪犯来说是一个挑战。当使用MFA时，绕过它最常用的方法是：

利用系统配置中的漏洞和缺陷。例如，罪犯能够发现并利用远程银行系统中的一些缺陷来绕过otp(一次性密码);

在讲俄语的网络罪犯中和亚太地区使用社会工程;SIMswapping在拉丁美洲和非洲等地区尤为流行。事实上，短信不再被认为是一种安全的2FA，但低运营成本意味着它是提供商最常用的方法。

从理论上讲，生物识别技术应该能解决很多与双因素认证相关的问题，但实践证明，并不是想象中的那么简单。在过去的一年里，已经有几个案例表明生物识别技术还远远不够完善。

首先，有很多实现问题。例如，Google Pixel 4在使用面部特征解锁过程中不会检查您的眼睛是否睁开。另一个例子是，三星(Samsung)等热门品牌在内的多家制造商生产的智能手机屏可以使用传感器绕过指纹认证。

在拉丁美洲常用的手段是视觉捕捉攻击。网络罪犯安装了流氓闭路电视摄像机，并用它们记录人们用来解锁手机的密码。这样一种简单的技术对于两种类型的受害者仍然非常有效：使用生物特征识别技术的受害者和喜欢用PIN而不是指纹或面部识别的受害者。

其次，生物特征数据库出现了几起泄密事件。Biostar 2数据库的泄露，其中包括超过100万人的生物特征数据。该公司存储未加密的数据，包括姓名、密码、家庭地址、电子邮件地址，指纹，面部识别模式以及面部的实际照片。美国海关和边境巡逻承包商也发生了类似的泄密事件，超过10万人的生物特征信息被泄露。生物特征数据无法更改，它永远伴随着你。

网络犯罪分子获取用户完整的数字指纹绕过反欺诈系统，表明单纯依靠生物特征数据并不能解决当前的问题。

3、对金融机构的攻击集团

2018年，欧洲刑警组织和美国司法部宣布逮捕FIN7和Carbanak/CobaltGoblin网络犯罪集团的头目。在CobaltGoblin和FIN7的保护下运行的组数量已经增加：有几个组使用非常相似的工具包和相同的基础设施来进行网络攻击。

FIN7专门攻击各种公司获取金融数据或其PoS基础设施;CobaltGoblin/Carbanak/EmpireMonkey使用相同的工具包、技术和类似的基础设施，但只针对金融机构和相关的软件和服务提供商;CopyPaste小组，它的目标是非洲国家的金融实体和公司。到目前为止，这些组织还没有使用过任何零日攻击。

2019年年中FIN7活跃度下降，但年底又带着新的攻击和新的工具回到了视野中。与FIN7相比，Cobalt Goblin的活动全年稳定，攻击强度略低于2018年。Cobalt Goblin的策略基本保持不变：他们使用带有漏洞的文档，首先加载下载程序，然后加载Cobalt beacon。主要目标也保持不变：各国的小银行。

JS sniffing全年都非常活跃，已发现成千上万的电子商务网站感染了这些脚本。注入脚本的行为方式不同，攻击者的基础设施也大不相同，这表明至少有十几个网络犯罪集团使用了这种手段。

Silence组织全年积极将业务扩展到不同国家。例如，东南亚和拉丁美洲的攻击。这表明，组织自己扩大了行动范围，或者开始与其他区域性网络犯罪集团合作。

4、ATM恶意软件更有针对性

2019年发现了一些全新的恶意软件家庭。最引人注目的是ATMJadi和ATMDtrack。

ATMJadi不使用标准的XFS、JXFS或CSC库，它使用受害者银行的ATM软件Java专有类：恶意软件只能在一小部分ATM上工作，使得这个恶意软件非常有针对性(只针对一个特定的银行)。

另一个恶意软件是ATMDtrack，它首先在印度的金融机构中被发现。此外，在研究中心也发现了类似的间谍软件，Lazarus APT使用相同的工具从科研机构窃取研究成果。

5、信息被盗和重复使用

在这一年里看到了许多针对终端用户和企业数据的恶意软件，HydraPOS和ShieldPOS在这一年里非常活跃。

ShieldPOS至少从2017年起就开始活动，之后它演变成了一种MaaS(malware-as-a-service)。表明拉丁美洲的网络罪犯对窃取个人银行数据非常感兴趣。

HydraPOS主要从餐厅、和不同零售店的POS系统中窃取资金。HydraPOS是Maggler攻击者发起的攻击活动，Maggler至少从2016年就开始从事该业务。主要区别在于它不能作为MaaS工作。

6、2020年预测

(1) 加密货币攻击

Libra和Gram等加密货币的推出会引起犯罪分子的注意，2018年比特币和altcoins快速增长期间网络犯罪活动严重激增，可预测在Gram和Libra很可能会出现类似的情况。有很多APT集团，比如WildNeutron和Lazarus，他们对加密资产很感兴趣。

(2) 转售银行访问权限

2019年专门针对金融机构的攻击团体在销售rdp/vnc访问权限。

2020年预计非洲和亚洲地区以及东欧专门销售网络接入的活动将有所增加。他们的主要目标是小银行，以及最近被大公司收购的金融机构，这些公司正在按照母公司的标准重建其网络安全系统。

(3) 针对银行的勒索软件攻击

如上所述，小型金融机访问权最合理的货币化方式就是勒索。银行是更可能支付赎金的组织之一，因此预计此类有针对性的勒索软件攻击数量在2020年将继续上升。

(4) 定制工具

反病毒产品以及最新网络防御技术的采用，将推动网络犯罪行在2020年回归定制工具，并投资新的木马和漏洞利用。

(5) 手机银行木马全球扩张

手机银行木马的源代码已被泄露，预计宙斯和SpyEye木马源代码被泄露的情况将重演：攻击用户的尝试次数将增加，攻击地域将扩展到世界上几乎每个国家。

(6) 新兴投资目标

移动投资应用在全球用户中越来越受欢迎。这一趋势在2020年不会被网络罪犯忽视。并非所有人都准备好应对大规模网络攻击，一些应用程序仍然缺乏对客户账户的基本保护，并且不提供双因素身份验证或证书来保护应用程序通信。

(7) 政治不稳定导致网络犯罪在特定地区蔓延

一些国家正经历政治和社会动荡，导致大批人在其他国家寻求难民地位，这些移民潮包括网络罪犯。这一现象将导致网络攻击将在一些地区持续蔓延。

三、2020医疗产业网络安全

在Wannacry勒索软件使全球医疗设施和其他组织瘫痪两年多后，2019年全球受攻击医疗设备(医生的电脑、医疗服务器和设备)数量减少。

统计数据显示，2017年，医疗机构中30%的计算机和设备受到感染，2018年这一数字下降到28%，今年攻击几乎减少了三分之一(19%)。但仍然有一些国家医疗设施受到勒索软件攻击。造成此类网络攻击的主要原因有两个：一是对数字化风险缺失，二是医疗机构工作人员缺乏网络安全意识，在医疗部门员工中调查显示，近三分之一的受访者(32%)从未接受过任何网络安全培训。

2020年预测：

• 暗网对医疗记录需求将会增长。研究中发现，这种记录有时甚至比个人银行信息还要贵。它还开辟了新的欺诈手段：利用某人的医疗细节，诈骗患者或其亲属。
• 问内部患者信息不仅可以窃取信息，而且可以修改记录。这可能导致针对个人的击，从而扰乱诊断。据统计，诊断失误是医疗领域导致患者死亡的首要原因。
• 医疗服务领域刚刚开始数字化进程的国家，医疗设施设备的攻击数量明年将大幅增长。
• 针对从事创新研究的医学研究机构和制药公司的攻击越来越多。医学研究非常昂贵，一些专门从事知识产权盗窃的APT组织将在2020年更频繁地攻击此类机构。
• 从未在野看到过对植入医疗设备的攻击，但事实上，在这些设备中存在许多安全漏洞。

四、2020年企业组织安全

1、向云端移动

云服务越来越受欢迎，攻击者也正在利用这一趋势，2020年预计将出现以下趋势。

攻击者将更难将目标公司的资源与云提供商的资源分开。对于公司来说，在初始阶段发现对其资源的攻击将更加困难。向云的过渡模糊了公司基础设施的边界。因此，精确的瞄准一个组织的资源变得非常困难，实施攻击将变得更加困难，攻击者的行动将变得更加复杂更加频繁。另一方面，公司也很难在早期确定攻击。

调查事件将变得更加复杂。在安全事故方面，时间至关重要。讨论记录哪些数据以及如何备份这些数据是非常重要的。云基础设施安全的意识并没有随着云服务的普及而快速增长，因此调查事件的复杂性将会增加，事件响应的有效性将会降低。

当公司将数据给云提供商进行存储或处理时，他们还需要考虑该提供商是否具备必要的网络安全级别，这需要信息安全方面的专业知识水平，不是所有技术人员都具备。

罪犯们将移居云端，攻击者在云中部署基础设施，这将减少攻击的复杂性，增加攻击的次数和频率。提供商将不得不考虑审查安全程序并更改其服务策略和基础设施。

2、内部威胁

到企业和组织的总体安全水平有所提高，对基础设施的直接攻击变得越来越昂贵，攻击者需要越来越多的技能和时间，2020年预计将出现以下趋势。

使用社会工程方法的攻击数量增长。尤其是对公司员工的网络钓鱼攻击。由于人的因素仍然是安全方面的一个薄弱环节，随着其他类型的攻击变得更加难以实施，社会工程的攻击数量将增加。

内部人员渗透。由于其他攻击成本不断增加，攻击者将有愿意向内部人员提供大量资金。可以通过多种方式招募此类内部人员：在论坛上发布一个提议，并为某些信息提供奖励。攻击者会掩饰自己的行为，以免员工意识到自己的行为违法。例如，向潜在的受害者提供一份简单的工作，提供信息，同时保证数据不敏感，事实上可能与银行客户个人账户中的资金数额或目标电话号码有关。

企业网络勒索将增加。敲诈公司员工，收集有关公司员工的泄露信息(如犯罪证据、个人记录等个人数据)的网络敲诈集团也将更加活跃。通常情况下，攻击者收集泄漏的电子邮件和密码，找到他们感兴趣的目标用于勒索。

摘自：《FreeBuf》 作者：Kriston

网络安全基础之网络协议与安全威胁介绍，首先我们要先了解一下网络基础究竟是什么，接下来的文章中小编将会从osi七层模型、TCP/IP协议、OSI模型与TCP/IP协议的对应、数据传输的协议单元以及数据封包和解包过程等方面进行详细的介绍，感兴趣的朋友可以阅读本文进行参考。

OSI(OpenSystem Interconnect)，即开放式系统互联。 一般都叫OSI参考模型，是ISO(国际标准化组织)组织在1985年研究的网络互联模型。

网络协议的简介：

定义：协议是网络中计算机或设备之间进行通信的一系列规则集合。

什么是规则?

交通中的红黄绿灯：红灯停，绿灯行就是规则。

OSI(OpenSystem Interconnect)，即开放式系统互联。 一般都叫OSI参考模型，是ISO(国际标准化组织)组织在1985年研究的网络互联模型。

(1)物理层(Physical Layer)

物理层是OSI参考模型的最低层，它利用传输介质为数据链路层提供物理连接。它主要关心的是通过物理链路从一个节点向另一个节点传送比特流，物理链路可能是铜线、卫星、微波或其他的通讯媒介。

(2)数据链路层(Data Link Layer)

数据链路层是为网络层提供服务的，解决两个相邻结点之间的通信问题，传送的协议数据单元称为数据帧。

(3)网络层(Network Layer)

网络层是为传输层提供服务的，传送的协议数据单元称为数据包或分组。

(4)传输层(Transport Layer)

传输层的作用是为上层协议提供端到端的可靠和透明的数据传输服务，包括处理差错控制和流量控制等问题。

传输层传送的协议数据单元称为段或报文。

(5)会话层(Session Layer)

会话层主要功能是管理和协调不同主机上各种进程之间的通信(对话)，即负责建立、管理和终止应用程序之间的会话。

(6)表示层(Presentation Layer)

表示层处理流经结点的数据编码的表示方式问题，以保证一个系统应用层发出的信息可被另一系统的应用层读出。如果必要，该层可提供一种标准表示形式，用于将计算机内部的多种数据表示格式转换成网络通信中采用的标准表示形式。数据压缩和加密也是表示层可提供的转换功能之一。

(7)应用层(Application Layer)

应用层是OSI参考模型的最高层，是用户与网络的接口。该层通过应用程序来完成网络用户的应用需求，如文件传输、收发电子邮件等。

译名为传输控制协议/因特网互联协议，又名网络通讯协议，是Internet最基本的协议、Internet国际互联网络的基础，由网络层的IP协议和传输层的TCP协议组成。

TCP/IP定义了电子设备如何连入因特网，以及数据如何在它们之间传输的标准。

协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的协议来完成自己的需求。通俗而言：TCP负责发现传输的问题，一有问题就发出信号，要求重新传输，直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台联网设备规定一个地址。

左边是OSI模型，右边是TCPIP协议栈分层模型，可以看得出，两个模型有很清晰的对应关系。

两个模型的下四层是一一对应的，而OSI模型的上三层对应到TCPIP协议的应用层，所以在谈论“应用层”概念的时候，要注意讨论的是哪个模型。

依据标准的OSI术语，每层间对应的“协议数据单元”(Protocol Data Unit，简称PDU)的名称都是不同的物理层为“位”(bit)，即平常讲的二进制数位流，在物理传输介质上以二进制数字信号传输(简单的如高电平代表“1”，底电平代表“0”)。

物理层的传输介质包括：

1. 同轴电缆(coaxical cable)：细缆和粗缆，目前已经不常用;
2. 双绞线(twistedpair)：UTP(Unshielded Twisted Paired , 非屏蔽双绞线)，这种即平时常用的网线;
3. STP (Shielded Twisted Pair,屏蔽双绞线)，这种线适用于电磁干扰恶劣的工业环境;(这两种线使用铜线做介质，到用户家虽然看起来就一两根，但在运营商的管线里是几千条几百条线在一起的大对线缆，经常是偷铜者的目标)
4. 光纤(OpticalFiber)：使用光信号来传播数字信号的介质，坐火车到处看到路边写的大标语：“光纤没铜，挖了没用”就是指这个;
5. 无线电波(wirelessradio);

数据链路层PDU名称叫数据帧“Frame”，例如帧中继技术名称叫Frame Relay ，其数据单元名字叫“帧”，对以太网来说是以太帧。

网络层PDU的名称叫数据包Packet, 因为IP协议在这一层，所以互联网上的数据一般被称为IP数据包。

传输层PDU的名称叫数据段Segment ，这个层面最著名的是传输控制协议TCP和用户数据报协议UDP。

• 会话层Session 的PDU叫SPDU,会晤协议数据单元;
• 表示层Presentation的PDU叫PPDU,表示协议数据单元;
• 应用层Application的PDU叫APDU,应用协议数据单元;

用户数据报文的一个封装过程，应用程序的数据使用TCP协议进行传输，用户数据被切割成合适的数据片段后，被加上网络层协议IP的首部字节，成为IP数据包，然后被加上数据链路层的以太网首部，成为以太网数据帧，再由以太网驱动程序将帧转化为二进制位流，在物理层面传送。

上图是两个主机通过一台交换机和一台路由器通信的示意图。二层交换机仅跨越OSI模型的物理层和数据链路层，所以称为二层交换机，仅为所有连接的主机提供数据链路层间的互通功能。

路由器是跨越物理层、数据链路层、网络层的设备。

最简单的路由器的概念是一台装有两块网卡的主机，主机内部安装的路由软件可以根据IP地址在两块网卡间转发IP数据包，两块网卡各有一个IP地址，具有两个物理接口的路由器同这个道理是类似的。

由上图图四可以看到，IP地址的概念是属于IP协议，IP协议是属于OSI模型第三层网络层的，所有跨越网络层的设备都需要有IP地址。最左边的主机同路由器的左侧接口各有一个IP地址，使用IP协议通信;最右边的服务器和路由器右侧接口各有一个IP地址，使用IP协议通信;路由器的不同接口的IP地址是属于不同的IP子网的，路由器就是在不同IP子网间传送IP数据包的设备，路由是根据IP数据包里的地址选择正确传递路径的过程。

ARP协议：

地址解析协议，即ARP(Address Resolution Protocol)，是根据IP地址获取物理地址的一个TCP/IP协议。

原理：

主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。

在网络中，flooding是指从任何节点通过一个路由器发送的信息包会被发送给与该路由器相连的所有其他节点(除了发送信息包出来的那个节点)。

在典型的MAC flooding中，攻击者能让目标网络中的交换机不断泛洪大量不同源MAC地址的数据包，导致交换机内存不足以存放正确的MAC地址和物理端口号相对应的关系表。如果攻击成功，交换机会进入failopen模式，所有新进入交换机的数据包会不经过交换机处理直接广播到所有的端口(类似HUB集线器的功能)。攻击者能进一步利用嗅探工具(例如Wireshark)对网络内所有用户的信息进行捕获，从而能得到机密信息或者各种业务敏感信息。

损坏：自然灾害、动物破坏、老化、误操作
干扰：大功率电器/电源线路/电磁辐射
电磁泄漏：传输线路电磁泄漏
搭线窃听：物理搭线
欺骗：ARP欺骗
嗅探：常见二层协议是明文通信的(以太、arp等)
拒绝服务：macflooding，arpflooding等

译名为传输控制协议/因特网互联协议，又名网络通讯协议，是Internet最基本的协议、Internet国际互联网络的基础，由网络层的IP协议和传输层的TCP协议组成。

TCP/IP定义了电子设备如何连入因特网，以及数据如何在它们之间传输的标准。协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的协议来完成自己的需求。通俗而言：TCP负责发现传输的问题，一有问题就发出信号，要求重新传输，直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台联网设备规定一个地址。

IP协议简介：

IP协议是用于将多个包交换网络连接起来的，它在源地址和目的地址之间传送一种称之为数据包的东西，它还提供对数据大小的重新组装功能，以适应不同网络对包大小的要求。

IP实现两个基本功能：寻址和分段。IP可以根据数据包包头中包括的目的地址将数据报传送到目的地址，在此过程中IP负责选择传送的道路，这种选择道路称为路由功能。如果有些网络内只能传送小数据报，IP可以将数据报重新组装并在报头域内注明。IP模块中包括这些基本功能，这些模块存在于网络中的每台主机和网关上，而且这些模块(特别在网关上)有路由选择和其它服务功能。对IP来说，数据报之间没有什么联系，对IP不好说什么连接或逻辑链路。

IP分片技术

以太网的MTU是1500，你可以用 netstat -i 命令查看这个值。如果IP层有数据包要传，而且数据包的长度超过了MTU，那么IP层就要对数据包进行分片(fragmentation)操作，使每一片的长度都小于或等于MTU。我们假设要传输一个UDP数据包，以太网的MTU为1500字节，一般IP首部为20字节，UDP首部为8字节，数据的净荷(payload)部分预留是1500-20-8=1472字节。如果数据部分大于1472字节，就会出现分片现象。

IP分片攻击

如果有意发送总长度超过65535的IP碎片，一些老的系统内核在处理的时候就会出现问题，导致崩溃或者拒绝服务。另外，如果分片之间偏移量经过精心构造，一些系统就无法处理，导致死机。所以说，漏洞的起因是出在重组算法上。pingo‘ death是利用ICMP协议的一种碎片攻击。攻击者发送一个长度超过65535的EchoRequest数据包，目标主机在重组分片的时候会造成事先分配的65535字节缓冲区溢出，系统通常会崩溃或挂起。ping不就是发送ICMPEcho Request数据包的吗?让我们尝试攻击一下吧!不管IP和ICMP首部长度了，数据长度反正是多多益善，就65535吧。

IP数据包

数据包的结构：数据包的结构非常复杂，不是三言两语能够说清的，在这里主要了解一下它的关键构成就可以了，这对于理解TCP/IP协议的通信原理是非常重要的。数据包主要由“目的IP地址”、“源IP地址”、“净载数据”等部分构成，包括包头和包体，包头是固定长度，包体的长度不定，各字段长度固定，双方的请求数据包和应答数据包的包头结构是一致的，不同的是包体的定义。数据包的结构与我们平常写信非常类似，目的IP地址是说明这个数据包是要发给谁的，相当于收信人地址;源IP地址是说明这个数据包是发自哪里的，相当于发信人地址;而净载数据相当于信件的内容。正是因为数据包具有这样的结构，安装了TCP/IP协议的计算机之间才能相互通信。我们在使用基于TCP/IP协议的网络时，网络中其实传递的就是数据包。理解数据包，对于网络管理的网络安全具有至关重要的意义。

我们可以用一个形象一些的例子对数据包的概念加以说明：我们在邮局邮寄产品时，虽然产品本身带有自己的包装盒，但是在邮寄的时候只用产品原包装盒来包装显然是不行的。必须把内装产品的包装盒放到一个邮局指定的专用纸箱里，这样才能够邮寄。这里，产品包装盒相当于数据包，里面放着的产品相当于可用的数据，而专用纸箱就相当于帧，且一个帧中只有一个数据包。“包”听起来非常抽象，那么是不是不可见的呢?通过一定技术手段，是可以感知到数据包的存在的。 就是用数据包捕获软件Iris捕获到的数据包的界面图，在此，大家可以很清楚地看到捕获到的数据包的MAC地址、IP地址、协议类型端口号等细节。通过分析这些数据，网管员就可以知道网络中到底有什么样的数据包在活动了。

TCP/UDP协议

面向连接的TCP协议：

TCP(TransmissionControl Protocol，传输控制协议)是基于连接的协议，也就是说，在正式收发数据前，必须和对方建立可靠的连接。一个TCP连接必须要经过三次“对话”才能建立起来，也就是所谓的”TCP的三次握手”。

面无连接的UDP协议：

UDP(UserData Protocol，用户数据报协议)是与TCP相对应的协议。它是面向非连接的协议，它不与对方建立连接，而是直接就把数据包发送过去!

“面向连接”就是在正式通信前必须要与对方建立起连接。比如你给别人打电话，必须等线路接通了、对方拿起话筒才能相互通话。

TCP的三次握手：

其中的过程非常复杂，我们这里只做简单、形象的介绍，你只要做到能够理解这个过程即可。我们来看看这三次对话的简单过程：主机A向主机B发出连接请求数据包：“我想给你发数据，可以吗?”，这是第一次对话;主机B向主机 A发送同意连接和要求同步(同步就是两台主机一个在发送，一个在接收，协调工作)的数据包：“可以，你什么时候发?”，这是第二次对话;主机A再发出一个数据包确认主机B的要求同步：“我现在就发，你接着吧!”，这是第三次对话。三次“对话”的目的是使数据包的发送和接收同步，经过三次“对话”之后，主机A才向主机B正式发送数据。

“面向非连接”就是在正式通信前不必与对方先建立连接，不管对方状态就直接发送。与手机短信非常相似：你在发短信的时候，只需要输入对方手机号就OK了。
TCP:FTPHTTP POP IMAP SMTP TELNET SSH

UDP

第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SENT状态，等待服务器确认;SYN：同步序列编号(Synchronize Sequence Numbers)。第二次握手：服务器收到syn包，必须确认客户的SYN(ack=j+1)，同时自己也发送一个SYN包(syn=k)，即SYN+ACK包，此时服务器进入SYN_RECV状态;第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED(TCP连接成功)状态，完成三次握手。完成三次握手，客户端与服务器开始传送数据。

在网络中，flooding是指从任何节点通过一个路由器发送的信息包会被发送给与该路由器相连的所有其他节点(除了发送信息包出来的那个节点)。

在典型的MAC flooding中，攻击者能让目标网络中的交换机不断泛洪大量不同源MAC地址的数据包，导致交换机内存不足以存放正确的MAC地址和物理端口号相对应的关系表。如果攻击成功，交换机会进入failopen模式，所有新进入交换机的数据包会不经过交换机处理直接广播到所有的端口(类似HUB集线器的功能)。攻击者能进一步利用嗅探工具(例如Wireshark)对网络内所有用户的信息进行捕获，从而能得到机密信息或者各种业务敏感信息。

拒绝服务：syn flood/udp flood/Smurf欺骗：TCP会话劫持窃听：嗅探伪造：数据包伪造

拒绝服务：超长URL链接欺骗：跨站脚本、钓鱼式攻击、cookie欺骗窃听：嗅探伪造：应用数据篡改暴力破解：应用认证口令暴力破解等……