网络安全 第三章 Internet协议的安全性

网络安全 第三章 Internet协议的安全性

3.1 Internet 协议概述

TCP / IP 协议族

  • 网络接口层
    • TCP / IP 模型的最底层
  • 网际层
    • IP、ARP
  • 传输层
    • TCP、UDP
  • 应用层
    • HTTP、SMTP、POP3、FTP

3.2 网际层协议

IP 协议

IP 数据报格式
IP 数据报格式
  • IP 数据报由首部和数据两部分组成
  • 首部前一部分固定长度 20 字节

IP 协议的安全问题和防护措施

  • 安全问题:IP 数据报在传递过程中易被攻击者监听窃取。这是一种被动攻击。

    防护措施:对 IP 数据报进行加密。

  • 安全问题:由于 IP 层并没有采用任何机制保证数据净荷传输的正确性,攻击者可能截取数据报,修改数据报中的内容后,将修改结果发送给接收方。 l

    防护措施:对 IP 数据报净荷部分实行完整性检测机制。

  • 安全问题:IP 层不能保证 IP 数据报一定是从源地址发送的。攻击者可伪装成另一个网络主机,发送含有伪造源地址的数据包欺骗接受者。此攻击称为 IP 欺骗攻击

    防护措施:通过源地址鉴别机制加以防御。

  • 安全问题:IP 数据报在传输过程中要经历被分段和重组的过程,攻击者可以在包过 滤器中注入大量病态的小数据报,来破坏包过滤器的正常工作。

    防护措施:许多防火墙能够重组分段的IP数据报,以检查其内容。

  • 安全问题:使用特殊的目的地址发送 IP 数据报也会引入安全问题。如攻击者可使用目的地址为定向广播地址的 IP 数据报来攻击许多不同类型的主机。

    防护措施:配置路由器时启用禁止发送定向广播数据包的功能

ARP 协议

地址解析协议(ARP)是根据 IP 地址获取物理地址的一个 TCP / IP 协议。

ARP 欺骗
ARP 欺骗

安全问题:攻击者发动 ARP 欺骗攻击,可以完全控制主机 A 和主机 B 之间的流量, 发动被动攻击(流量监测、获取涉密信息)或主动攻击(伪造数据)。 防护措施:在交换机上配置 IEEE 802.1x 协议,攻击者连接交换机时需进行身份 认证;建立静态 ARP 表,但破坏了动态 ARP 协议。

ICMP 协议

控制报文协议(ICMP)是一个重要的错误处理和信息处理协议。

  • 是 Ping 和 Tracert 的重要组成部分。

安全问题

  • ICMP 重定向攻击
    • 攻击者可以利用 ICMP 对消息进行重定向,使得目标机器遭受连接劫持和拒绝服务等 攻击。
  • ICMP 路由器发现攻击
    • 在进行路由发现时,ICMP 并不对应答方进行认证,使得它可能遭受严重的中间人攻击。
    • 在正常的路由器响应 ICMP 询问之前,攻击者可能会假冒正常的路由 器,使用伪造的相应信息应答 ICMP 询问。
    • 由于在路由发现的过程中,ICMP 并不对应答方进行认证,因此接收方无法指导这个响应是伪造的。
  • 防火墙穿越攻击
    • 攻击者能够穿越某个防火墙的访问控制列表和规则集,进而确定该防火墙过滤的内容和具体的过滤方式。

3.3 传输层协议

TCP 协议

  • 第一类攻击
    • 针对 TCP 建立连接阶段的三次握手过程的 SYN Flood 攻击
    • 攻击者不断向服务器的监听接口发送建立 TCP 连接的请求 SYN 数据包,使服务器一直处于半开放连接状态,无法接受其他正常的连接请求。这种攻击属于拒绝服务(DoS)攻击。
    • 防护措施:在服务器前端部署网络安全设备(防火墙)进行数据包过滤。
  • 第二类攻击
    • 针对 TCP 协议不对数据包加密和认证的漏洞的 TCP 会话劫持攻击
    • TCP 协议确认数据包的真实性主要依据是判断数据包中独有的 32 位 序列号是否正确。如果攻击者能够预测目标主机的起始序号,就可以欺骗该目标主机。
    • 防护措施:在 TCP 建立连接时采用一个随机数作为初始序列号。
  • 第三类攻击
    • 针对 TCP 拥塞控制机制的特性,在 TCP 建立连接后的数据阶段进行攻击
    • 利用拥塞机制的特性,周期性地制造网络关键节点的拥塞,不断触发拥塞窗口的慢启动过程,最终达到降低正常传输能力目的。
    • 防护措施:网管实时监测网络异常流量。

UDP 协议

安全问题:

最常见的 UDP 攻击为 DoS 攻击,而 UDP Flood 攻击又是 DoS 攻击中最普遍的流量型攻击。

攻击原理:攻击源发送大量的 UDP 小包到攻击目标, 目标可以是服务器或网络设备,使其忙于处理和回应 UDP 报文,系统资源使用率飙高,最后导致该设备不能提供正常服务或者直接死机,严重的会造成全网瘫痪。

防护措施:使用 UDP 进行传输的应用层协议之间差异极大,因此不同情况下的UDP 攻击需要采用不同的防护手段。

3.4 应用层协议

HTTP 协议(端口:TCP80)

HTTP 协议中数据是直接通过明文进行传输的,不提供任何方式的数据加密,因此存在较大的安全缺陷。

  • 攻击者可以通过网络嗅探工具轻易获得明文的传输数据,从而分析出特定的敏感信息;
  • HTTP 协议是一种无状态连接, 在传输客户端请求和服务器响应时,不对传输内容进行消息完整性检测。攻击者可以轻易篡改传输数据,发动中间人攻击。

防护措施:

在 HTTP 协议和 TCP 协议之间增加安全层来增强安全性。安全层主要通过安全套接层 (SSL)及其替代协议传输层安全协议(TLS) 实现。其中 SSL 协议通过443 端口进行传输, 主要包含记录协议和握手协议。

HTTPS 协议

HTTPS 协议通过增加安全层,可实现双向身份认证、生成会话密钥、传输数据加密、数 完整性验证和防止数据包重放攻击等安全功能。

针对 HTTPS 协议的攻击方式主要是发生在 SSL 连接还未发生时的中间人攻击。

TELNET 协议(端口:TCP23)

Telnet 提供了简单终端到某台主机的访问。主叫用户输入帐户名称和口令来进行登录。

攻击者可以通过 Sniffer 记录用户名和口令组合,或者记录整个会话。攻击者还可以采取主动的攻击方式, 比如劫持 Telnet 会话并在认证完成后篡改或插入一些命令。 黑客可以使用 TCP 劫持工具在某种条件下劫持 Telnet 对话。

防护措施:

对 Telnet 会话进行加密。目前出现了几种 Telnet 的加密解决方案,它们分别为Stel、SSLtelnet、Stelnet、 SSH 等协议。其中 SSH 已经成为远程登录的标准协议。

DNS 协议(端口:TCP53)

  • DNS 欺骗攻击
    • 攻击者假冒域名服务器的欺骗行为
  • DNS 缓存中毒攻击
    • 攻击者给 DNS 服务器注入非法网络域名地址,若服务器接受此非法地址,此后域名请求的响应将会受黑客控制。当非法地址写入服务器缓存, 用户就会跳转到 DNS 指定的非法地址。
  • DNS 重定向攻击
    • 攻击者将 DNS 名称查询重定向到恶意 DNS 服务器上,域名解析就会被劫持,完全处在攻击者的控制之下

防护措施:

  • 建议主机不要采用基于名称的认证,基于地址的认证虽然也脆弱,但优于前者;
  • 不要把秘密信息放在主机名中;
  • 采用 DNSsec 新标准,但其还有许多问题。

SMTP 协议(端口:TCP25)

安全问题:

  • SMTP 自身是完全无害的,但它可能成为拒绝服务攻击(DoS)的发源地, 攻击者可以采用 DoS 攻击阻止合法用户使用该邮件服务器;
  • 邮件的别名有时也会给黑客提供一些有用的信息;
  • “开放中继”允许在 任何人之间进行邮件传递,这是非常危险的。

防护措施:使用 SMTP 认证,并与加密 SMTP 会话结合使用,从而避免“开放中继”。

FTP 协议(端口:TCP20/21)

安全问题:

  • 使用 PORT 命令:
    • 服务器主动对客户机进行连接,一旦该连接受到黑客攻击,防火墙无法作出正确处理。此外,引起 FTP 反 弹攻击,客户机在 PORT 命令中发送了自己的 IP 和端口号。
  • 攻击者将 Java 程序伪装成 FTP 客户机从而发动攻击
  • 登录口令容易探测或猜测到
  • FTPD 守护程序缺陷

防护措施:

  • 为避免 PORT 命令早晨大哥安全问题,使用 PASV 命令
    • PASV 命令在配置防火墙时,可禁止所有进入的 TCP 连接
  • 使用密文来传输用户名和口令

Comments

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×