（计算机软件与理论专业论文）ip安全性与ipsec协议的研究.pdf

摘要 y 8 86 9 r p 安拿是i n t e r n e t 以及t c p t p 网络安全的基础，随着人们埘i n ie f r i e t 的依顿 性越米越强，l p 安全性显得尤为重要，甚至关系到i n t e r n e t 的术米发展。 i p 安全协议1 p s e c 是i e t f 制定的安全i p 协议建议标准，住网络层提供基丁密 码。的安全服务。i p s e c 提供的安全服务包括访问控制、完整性( 无连接) 、数据源 。0 认h l 、数据保密干防重放功能。它包括两个主要的安全协议：认让头协议干封装 夏全协议玎应川了密钥管理协议。 i p s e c 实现，i p 包级安令，保护了i p 和t p 以上层的协议，是在网络层实现v p n 的核，山技术，是实现】n t e r n e t 安全的虽佳解决方案。l p s e c 通i l jt - t p v 4 和| 、一代1 p 协议1 p v 6 ，并且是i p v 6 自身必备的安全机制。但是i p s e c 仍然存诅有安全缺陷，闪 此，增强 p s e c 的安全性、完善其功能是计算机网络界的一个呕要研究谍题。7 本文系统深入地研究了i p 安全性和i p s e c 安全体系，前着m 研究了 p s e c 的宜 令r ，分析了其中存在的一些安全问题，提出了臼己的一些建议。本文土耍1 作9 1 纳 l jl 、： 1 分析了i n t e f r l e t 安全性。 2 分析了t c p i p 协议的安全性。 3 深入研究了i p s e c 协议安全体系，特别是对其中的 h 协议神je sj ，协议进仃 了结构分析，对i p s e c 中的密钥分配以及策略管理进行了简要的概述。 4 对i p s e c 中常_ 【l j 的算法进行丁分析。 5 刈i p s e c 中存在的主要安全题进行j 分析，如因为加密算法而产生的“剪 贴”攻击、可能明文攻击和在多点传送中的源验让问题年i l 抗重放问题，) i 提出了白己的建议和观点。文章还针对现有的i p 裁荷压缩协议提j 了基丁 e s p 协议的压缩思想及改进设计。 “ 文章最后简述了i p s e c 的实施和庸川，以及基f - l p s e c 的实川安全技术。 艾继，自：网络安奎：i n t e r n e t 、t c p 彭i p s e c ja t 7e s p n 、压缩 a b s t r a c t t h es e c u r i t yo fi pi st h ef o u n d a t i o no fn e t w o r ks e c u r i t y w i t hd e p e n d e n c et ot h e n e t w o r ko f p e o p l eb e i n gs t r o n g e ra n ds t r o n g e r ，i ps e c u r i t ys e e m sp a r t i c u l a r l yi m p o r t a n t ， e v e nc o n c e r n st h ed e v e l o p m e n to fn e t w o r k i p s e c u r i t yp r o t o c o l ( i p s e c ) i st h e s t a n d a r d s e c u r i t y i p p r o t o c o l sd e f i n e db y t h e i n t e r n e te n g i n e e r i n gt a s kf o r c e ( 1 e t f ) ，a n di tp r o v i d e sc r y p t o g r a p h i c a l l y b a s e ds e c u r i t y a tn e t w o r k l a y e r t h e s e to fs e c u r i t ys e r v i c e so f f e r e di n c l u d e sa c c e s sc o n t r o l ， c o n n e c t i o n l e s si n t e g r i t y ，d a t ao r i g i na u t h e n t i c a t i o n ，c o n f i d e n t i a l i t ya n dp r o t e c t i o na g a i n s t r e p l a y s i p s e ci n c l u d e st w oi m p o r t a n ts e c u r i t yp r o t o c o l s ：t h ea u t h e n t i c a t i o nh e a d e r ( a h ) a n dt h ee n c a p s u l a t i n gs e c u r i t yp a y l o a d ( e s p ) ，a n dt h r o u g ht h eu s eo f c r y p t o g r a p h i ck e y m a n a g e m e n tp r o t o c o l s i p s e cp r o v i d e ss e c u r i t ya ti p - l a y e ro ft h en e t w o r k ，a n do f f e r sp r o t e c t i o nf o ri pa n d o r u p p e rl a y e rp r o t o c o l s i p s e ci s t h eb e s ts o l u t i o nf o ri n t e m e ts e c u r i t yi p s e cc a nb eu s e d b yi p v 4a n d m u s tb es u p p o r t e db yi p v 6 b u t ，i ts t i l lh a ss m i l es e c u r i t yf l a w s s o ，h o w t o i m p r o v e t h es e c u r i t ya n dp e r f o r m a n c eo fi p s e ci st h ei m p o r t a n tt a s kf o rt h ec o m p u t e r n e t w o r kw o r d t h r o u g ht h ed e e ps t u d yo f i ps e c u r i t ya n di p s e ca r c h i t e c t u r e ，t h i st h e s i sf o c u s e so n d i s c u s s i n gs o m es a f ep r o b l e m se x i s t i n ga m o n gt h ei p s e c ，a n dp u tf o r w a r dm yo w n s u g g e s t i o n s t h eg r o u n d w o r ko f t h i st h e s i si ss u m m e du p a sf o l l o w s ： i t h i st h e s i sa n a l y s e st h es e c u r i t yo fi n t e m e ti nc h a p t e ro u e 2 t h i st h e s i sa n a l y s e st h es e c u r i t yo f l pi nc h a p t e rt w o 3i ps e c u r i t ya n d1 p s e ca r c h i t e c t u r eh a v eb e e nd e e p l ys t u d i e di n c h a p t e rt h r e e t h e nt h i st h e s i sg o e so ns t r u c t u r ea n a l y s et oa ha n de s p a n ds u m m a r i z e st h e c r y p t o g r a p h i ck e ym a n a g e m e n tp r o t o c o l s ， 4 t h i st h e s i sa n a l y s e st h ec o m m o n l yu s e da l g o r i t h mo fi p s e ei nc h a p t e rf o u r 5 t h i st h e s i sf o c u s e so n d i s c u s s i n g s o m es a f e p r o b l e m se x i s t i n ga m o n gt h e i p s e c ，s u c ha s c u t - a n d - p a s t e ”，“p r o b a b l ep l a i n t e x t ”a h a c k s ，t h ep r o b l e m so f d a t a o r i g i n a u t h e n t i c a t i o na n d p r o t e c t i o na g a i n s tr e p l a y s i nm u l t i b r o a d c a s t e n v i r o n m e n t ，a n dp u tf o r w a r dm yo w ns u g g e s t i o n sa b o u tt h e s eq u e s t i o n s i n a d d i t i o n ，t h i st h e s i sp u t sf o r w a r dac o m p r e s s i o ni d e aa n di m p r o v e dd e s i g nb a s e d o ne s p 6 a tl a s tt h i st h e s i ss u m m a r i z e st h ei m p l e m e n t a t i o no fi p s e ca n ds o m ep r a c t i c a l t e c h n o l o g i e sb a s e d o ni p s e c k e y w o r d s ：n e t w o r ks e c u r i t y 、i n t e m e t 、t c p ，i p 、i p s e c 、a h 、e s p 、c o m p r e s s i o n 1 1 引言 第1 章i n t e r n e t 上的安全性分析 信息技术的发展导致了人类社会止住由工业经济为主的社会向知识经济过渡，而 计算机网络，特别是i n t e r n e t 且联网将是2 l 世纪知识经济社会运行的必要条件。据不 完全统计，i n t e m e l 现在遍及1 8 6 个国家，容纳近6 0 万个网络，提供了包括6 0 0 个人 犁联网图书馆，4 0 0 个联网的学术文献库，2 0 0 0 种网上杂志，9 0 0 种网上新闻报纸， 5 0 多万个w e b 网站在内的多种服务，总共近1 0 0 万个信息源为世界各地的网民提供 人时信息资源交流干共享的空间。这使得全球化的网络结构已经打破了传统商业地域 限制、竞争格局和交易模式。 网络的系统开放性、资源共享性和互连性的特点，给人们的生活平l l 生产带米了极 人的便利，如今，i n t e r n e t 连接着全世界数以千自万计的人，人们可以实时通信，亓 能访问儿乎没有限制的信息。数据、影像等人们能想象到的儿乎任何一种通信，每分 每秒都在i n t e r n e 上进行着。但是开放和安全自身就是一对矛盾，止是由丁其开放性， 伙定了它容易受剑攻击和破坏，人们在享受网络带来的便利的同时，也不得不面l 临的 个严重问题就是网络安全问题。 从广义上讲，网络安全性主要有两个方面的内容： ( 1 ) 保证用户数据的私有性，防i r l f 法窃取、篡改和伪造： ( 2 ) 限制用户的访问权限，防止非法用户入侵。 网络安全可以定义为：保障网络用户的可用性和网络信息的完整性、真实性与机 密性。可用性是要求网络向所有合法用户育选抒地提供箨自府得的网络服务：完整性 址篮求网络保证其信息资源完整地、准确地在指定的有限范罔内传j 番，不受1 f ：法的篡 改、伪造、删除和重放：真实性是指消息所卢称的发送者就是此消息真止的发送者： 机密性是确保数据信息只能被授权用户访问。 国际标准化组织i s o1 9 8 9 年颁布的i s 0 7 4 9 8 2 网络安全体系结构中要求网络安 全提供的五类安全服务是： 认证( a u t h e n t i c a t i o n ) 访问控制( a c c e s sc o n t r 0 1 ) 机密性( c o n f i d e n t i a ijt y ) 数据完整性( d a t ai n t e g r i t y ) 不可否认( n o n r e p u d i a t i o n ) 网络安全的六个目标是：机密性、认证、完楚性、抗抵赖、访问控制 j j 可埘性。 网络安全问题解决方案： 加密：确保数据信息的机密性： 认证和授权：阻止不正确访问； 完整性检查和消息认证码：保护抵御不正确的消息更改； 抗抵赖：防t l - 发7 7 ( 收方) 对自己发送( 接收) 信息行为的否认 数字签名和证书：确定通信方的身份： 一次性f 令利双向随机数握手：会话般方的且相认证： 频繁密钥刷新和强密钥：对破解密钥和密码分析攻击的保护： 地址隐藏：抵御拒绝服务攻击。 1 2i n t e r n e t 安全 随着i n t e r n e t 的e 速增长和网上电子商务的繁荣，i n t e m e l 已从虽初的科研教育网 络转变成为了一个庞人的商业通信骨干网。越来越多的企业、部fj 利组织加入进米， 新的应用领域不断扩展，很多企业开始希望在i n t e r n e t 上开展白己的业务，而个人也 希望i n t e m e t 能提供更多的服务。现在，许多企业都将白己的内部网络连接剑 ln t e r n e t ，以满足其重要的商业目的，包括： 止员】：访问i n t e r n e t 资源以便使其 利j hi n t e r n e t 中人晕的信息和设施提高他们的生产率；允许外部川户通过i n t e r n e t w 问内部网；将内部网络信息向外部用户公开：寻求客户、提供商和商业伙伴：将 in ie r n e t 作为商务基础等。i n t e r n e t 最吸引人的一个地方在r 与常规商业媒介相比 它能使备公司接触剑的客户范罔更广，数量也更多。 人们对i n t e r n e t 的依赖越来越强，但这所有的要求都必须建立住安全之上： 通信是商务的根源，如果不能保证客户的订单真实可信，那么很难为自己的 服务收费，如果不能确保机密信息的机密，就不可能将自己的生意做人，伙 伴关系也很难建立。 除非能担保记录和信息保持机密，否则不能利用i n t e r n e t 拓展自己的服务， 同时降低成本。 对一些个人服务来说，比如家庭记帐、证卷交易以及保险业务等，如果能保 障这些交易安全进行，便能得到极人的简化和扩展。 令人不安的是i n t e r n e t 的安全现状是很令人担忧的，网络安全问题已经成为网络 管理员头等关心的人事，也是决定i n t e r n e t 命运的重要冈素。住为企业带米巨人商机 和效瓿的同时，i n t e r n e t 的负面效应也与日兀现。黑客威胁已是耳熟能详，因此造成 的1 f 亓果是据i n t e r n e t w e e k 最近的调育表明，6 0 的被调商者卢称曾经受过3 0 玖以上的外部攻击，每年已知的因安全问题造成的商业损失高达$ 5 0 亿。实际上， 已经出现许多个体网络由于自身安全受威胁，不得被迫暂时退出l n l e r n e t 事件。据凋 商对i n t e r n e t 的攻击还在呈上升趋势，传统的攻击之外，义出现了许多新的威胁 攻击的技术更加精细复杂，这些都使得人们在增加对i n t e r n e t 依赖的同时也增加了对 它的安全性的关注。 1 2 1i n t e r n e t 安全的脆弱性 造成i n t e r n e t 不安全的因素是多方面的，包括人为的、技术上的、系统配置和实 2 朋j ：的以及舒珲等多疗面的原冈，概括如h ： ( i )i n t e r n e t 臼身就是不安全的。i n t e r n e t 起源r1 9 6 9 年美国国防部高级研究计划 署d a r p a 建立的科研学术网络a r p a n e t ，它是建立拄一种相且信任关系之 上的，没有安全方面的考虑，因此最初的i n t e m e t 本身没有安全性可言。 ( 2 )构成i n t e m e t 的基础设施的许多早期网络协议最初设计时没有安全考虑，如 i n t e r n e t 所依赖的基础协议t c p i p 最初是为开放性和灵活性的目的而设计的， 协议亡| 身没自+ 安全机制。 ( 3 ) i n t e r n e t 和协议原始设计时l 削有的开放性原冈使得i n t e r n e t 攻击通常是快速、 存易、廉价和难以检测和跟踪的。 ( 4 ) i n t e r n e t 上的许多站点之间有太多的信任关系，未意识剑安全威胁利攻击的易 于实现。 ( 5 ) i n t e r n e t 上的绝大多数数据流是明文传输的，信息的机密性平i i 完转性得不剑保 证。 ( 6 ) i n t e r n e t 上技术脆弱性还包括：软件和协议设计雨实现中的缺陷，系统年网络 配置中的缺1 端。 ( 7 ) 操作系统安全也是影响i n t e r n e t 安全的一个重要因素。 1 2 2i n t e r n e t 常见攻击类型 1 ) 线路窃听：这是入侵者经常采用并很难被发现的攻击手段。入侵者通过对网络业 务流的监控和分析，以获取口令等重要信息。 2 ) 假冒欺骗：攻击者通过伪造或更改i p 包和i p 地址，利川士机问的信任关系，假 冒合法用户或系统的可信主机，达到欺骗系统、d 州合法 h 户资源以及进行恶意 活动的目的。 3 ) 非授权访问：通过巧妙避开系统访问控制机制，攻击者戏合法户对网络设备及 资源进行非止确使j 【1 = | ，擅自扩人权限，访问无权访问的信息。 4 ) 破上1 、信息完整性：对信息进, 1 7 t 1 _ ! 授权的更改、删除、添加或重放，改变数据流的 次序或流向。 5 ) 破上1 、信息机密性：通过对加密信息的密码分析和密钥穷举等攻击方法获取密钥和 明文信息。 6 ) 拒绝服务：通过向网络服务器或主机发送人蕈请求数据，以淹没目的服务器造成 土机耗尽或占用系统资源，从而达到阻j r 对合法_ 户的止常行为的响戍。 1 2 3 i n t e r n e t 安全技术 要提高i n t e r n e t 的安全性，需要一个包括安全策略、安全过科、安全拽术f l l 安令 实践在内的全面解决方案。i n t e m e t 上的信息安全主要包括二方面：机密性、完整性 干u j _ j 性。目前已出现了各种各样的技术来维护网络系统和信息的安全。归纳起来主 要有两类安全技术：安全动作技术和密码术 i ) 安全动作技术：目的是维护和防御，使数据资源以安全的方式获得。主要技术有： 一次性口令 防火墙 监控】：具 安全分析j 具 安全虚拟专川网( v p n ) 安全协议 2 ) 密码术：目的是保证信息的机密性和认i 止。采凡j 密码学机制对数据信息进行加密、 完整性检查、认证、数字签名以及密钥的产生、分配与管理。 i 2 4i n t e r n e t 安全发展趋势 想要预测i n t e r n e t 安全的未来是很难的，但有几个发展方向还是可以肖定的： 1 ) 安全协议 删络协议的安全是i n t e r n e l 安全运作的基础。因此对现有网络叻议进行安全改进 或歼发新的安全协议将是未来i n t e r n e t 安全发展的一个重要方面。密码学和协议相结 合已被设计j = j 丁保证i n t e m e t 上不同目的的安全通信，现在已经开发了许多不同j 途 的安全协议，如用于e - m a i l 的p e m 、p g p 和s 月i m e ：用于h t t p 的s h t t p 和s s l i 刚j i 远稗安全注册的s s h ：用于电子商务的s e t 。这里需要特别指出的是，对y - i n t e r n e t 的丝础协议l p 进行安全增强将是i n t e r n e t 安全的重要保障。这就是安全i p 协议 i p s e c 的由来。安全i p 能对整个i n t e r n e t 安全提供全面通川的低层支持。 2 ) 入侵检测 有两个主要领域：异常检测和模式识别。异常检测是基丁对网络、主机和_ l 户的 止常行为的确定，以检测出明显不同( 反常) 的行为：模式识别目标是检测出与已知 入侵者攻击情形匹酉己的网络、主机和用户的活动模式。 3 ) 软什l ：程和系统拯救力 州软件i ：程方式来设计软件和协议以发现其中的安全缺陷。系统拯救力是一个系 统住遭受攻击时能继续正常动作的能力。 4 第2 章t c p i p 协议的安全性分析 f c p i p 协议是目前最流行的网络互连协议，它具有互连能力强、网络技术独芷 剐芝持的协议灵活多样等优点，因此得到了最j 泛的麻刖，i n t e r n e t 也是基 t c p i p 之卜进行网际且连通信的。因此我们说i n t e r n e t 是计算机和网络的一个晟人混合体， 它的优点住丁它能允许异种计算机和操作系统之间互相成功地进行通信，而t c p i p 协议就是将这些不同的计算机和网络联系起来的纽带。但是i n t c r n e t 的安全问题也是 源_ rt c p i p 协议，冈此对t c p i p 协议的安全性进行详细的分析是十分必要的。 2 1t c p i p 协议概述 t c p i p 协议是 n t e r n e t 网的基本协议，它实际由许多协议组成，其中的主要 协议宵：传输控制协议( t c p ) 、刖户数据报协议( u d p ) 、网际协议( i p ) 、网际报文 控制协议( i c m p ) 和地址解析协议( a r e ) 等。 t c p i p 协议是分层组织的，图2 1 1 是t c p i p 协议的层次结构。从图中可看山， t c p i p 映射为四层的结构化模型。这一模型也称为网际协议组( i n t e r n e tp r o t o c o l s u l le ) ，可划分为网络接口层、网际层、传输层雨应川层。 阚络接口层( n e t w o r ki n t e r f a c el a y e r ) 负责和网络的直接通讯。它必须理解 止住使用的网络结构，诸如令牌环和以太网等，并且还要提供允许网际层与之通计l 的 接rj 。 网络层( i n t e r n e tl a y e r ) 主要完成利用网际协议( i p ) 的路由和数据包传递。 传输层上的所有协议均要使用i p 发送数据。网际协议定义如r 规! i l j ：如f f 寻址年定 向数据包：如何处理数据包的分段和重新组裟；如何提供安全性信息：以及如何识别 往使用的服务类型等。 i 圃囤圆圆 应州层 l i 而订阿司 传输层 !团 网络层 l l 匝亟圃匝囹回 物理层 l 图2 1 1t c p i p 协议层次结构 但是，由丁i p 不是基于连接的协议，因此它不能保证在线路中传输的数据不会 丢，人、破坏、重复或颠倒次序。这由网络模型中的高层，即传输层或戍用层负责。网 际层中还有一些其他的协议：网际报文控制协议( i c m p ) ，网际组管理协议( 1 g m p ) 以硬地址解析协议( a r p ) 等。 传输层( t r a n s p o r tl a y e r ) 负责提供j , t s n 程序之间的通讯。这种通讯可以是基 r 迎接的，也可以是基f 非连接的。这两种连接类型的主要差别住r 是否跟踪数据以 及是否确保数据发送到目的地等。传输控制协议( t r a n s m i s s i o nc o n t r o lp r o t o c 0 1 ， t c p ) 是基于连接的协议，能提供可靠的数据传输：而州户数据报协议( u s e rd a t a g r a m p r o t o c o l ，u d p ) 是基_ 丁二非连接的协议，不能确保数据的正确传输。 j n t e r n e t 协议卵的应心层( a p p l i c a t j o nl a y e r ) 作为府川程序利网络绢之 间的接口，其中包括很多协议，例如简单网络管理协议( s i m p i en e t w o r km a n a g e m e a t p r o t o c 0 1 ，s n m p ) 、文件传输协议( f i l et r a n s f e rp r o t o c o l ，f t p ) 、简单邮制：传输 协议( s i m p l em a i lt r a n s f e rp r o t o c o l ，s m t p ) 等。 划2 i 2t c p 数据包的传输 幽2l 2 给山了t c p 数据包的在网际协议中的传输情况。t c p 利_ l ji p 数据包传 输它白己的数据包，这时，i p 数据包中的数据是t c p 数据包本身。u d p 也利川i p 数 据包进行数据的传输，在这种情况f ，接收方的i p 层必须能够知道接收剑的i p 数据 包耍发送给传输层中的哪个协议。为此，每个i p 数据包头中包含一个字1 ，专fj i | j 作协议标识符。接收方的i p 层利用这一标识符决定将数据包发送给传输层的哪个 协议处理。和上面的情况类似，同一台主机上利用同一协议进行通讯的应用程序可能 白r i ：多，因此，也需要一种机制来标识应由哪一个应用程序处理同一种数据包。为此， 6 心“j 程序利剧t c p 1 p 协议进行通讯时，不仅要指定目标i p 地址，还要指定应川科序 自j “端 i ，地址。端口可唯一标识应用程序，标准的网络应j _ j 程序使州标准的端口地 _ 【| 【= ，例如，w e b 服务器的标准端口为8 0 ，f t p 服务器的标准端口为2 l 。i p 地h l 年端 ll 地h ：的组合称为“套接口”。 i p 协议层可利川许多不同的物理介质传输i p 数据包，幽2 1 2 中，1 p 数据包进 一步包装在以太网数据帧中传输。除以太网外，i p 数据包还可以在令牌环网等其他 物卵介质上传输。以太网数据帧头中包含了数据帧的目标以太网地址。以太网地址实 酗、就是以太网 的物理地址，一般由6 位整数组成，如o oa o0 c 1 3 一c c 一7 8 。以太网 i 的物理地址是唯一的，一些特殊的物理地址保留用于广播筲e 的。冈为以太网数据 帧千l p 数据包一样，可以传输不同的协议数据，因此，数据帧中也包含一个标识协 议的整数。 住以太网中，数据的传输是通过物理地址实现的，而i p 地址实际只是一种概念 牛的逻辑地址，网此，在类似以太网这样的网络中，必须采川地址解析协、议( a r p ) 将i p 地址翻译为实际的硬件地址。a r p 负责为i p 所请求的任意一个本地i p 地址找 山其本地物理地址。a r p 使刚本地j “播米寻找主机的物理地址，升住内存的高速缓冲 中维护最近所映射的物理地址。如果目标i p 地址是本地地址，a r p 可发送一个本 地广播请求获取目标i p 主机的物理地址，并将物理地址返回i 给i p 。如果i p 发现日 帆、i p 地址处于远程子网中，则数据包必须发送到路由器，这时，a r p 可替i p 找剑路 由器的物理地址。 22 t c p i p 安全脆弱性 早在1 9 9 8 年，一个名叫r o b e r tm o r r i e s 的人，在v a x 机上_ jc 语言编写r 专 搜索用户名和口令的程序，并在1 9 9 8 年1 1 月开始在网络j ：传播，给州户造成r 巨 人的损火。白此，网络的安全事件成上升的趋势，引起越来越多的安全管理人员和刖 户的关注。事实上，网络上很多的攻击手段都是利用了t c p i p 协议本身不完善的地 力例如：扫描、拒绝服务、o o b 攻击、p i n g 攻击等等。 t c p i p 协议安全问题存在的最重要原因是它们没有验证通信烈方真实性的能力， 缺乏有效的认证机制。在t c p i p 协议下，网上任何一台计算机都可产生一个看米是 米白另外一个源点的消息。这主要是由丁t c p i p 的安全和控制机制是依赖丁i p 地址 的认让，然而一个数据包的源i p 地址是很容易被伪造平篡故的。更糟的是网络控制 特别是路由协议根本就没有认证机制。另一个主要缺点是t c p i p 协议没有能力保护 网上数据的隐私性，协议数据是明文传输的，缺乏保密机制，而且，t c p i p 不能阻 l f 网上t j 户对网络进行监听，因此就不能保证网上传输信息的机密性、完栏性与真实 性。这就使一个特定机器能够监视他所依附的网络上的所有业务流。此外，协议臼身 改计的某些细节和实现中的一些安全漏洞也引发了各种安全攻i h 。这些缺陷渗透剑： 层的席_ l 服务中，也就造成了上层协议服务的不安全性。在本章以后儿节中，将按照 t c p 1 p 协议层次进行分层分析以及相应的攻击说明。 2 3 网络接口层 网络接口层主要处理通信介质的细节问题。与此层相关的攻击是网络监听或嗅探 ( s n i f f i n g ) 。t c p i p 协议数据流采用明文传输，t c p i p 协议不能阻t t ：网上客户捕获 数据包，冈此数据信息在网上传送时很容易被在线窃听、篡改平伪造，特别是由丁住 使川f t p 、t e l n e t 、r l o g i n 等时，协议所要求提供的川户帐号和口令也是明文传输， 所以攻击者可通过使州s n i f f e r ，s n o o p 等监控程序或网络分析仪等其它方式米截获网 r 传送的含有刚户帐户和口令的数据包，此外通过s n i f f i n g 还可以获得如i p 地址和 t c p 端口号、序列号等协议信息。通过这些信息的收集攻击者就可以利用它们进行其 岜彤式的攻击。 2 4i p 层 i p 层的主要缺陷是缺乏有效的安全认证和保密机制。其中最主要的冈素就是i p 地址问题。t c p h p 协议是用i p 地址来作为网络节点的难一标识，许多t c p i p 服务， 包括r 命令，n f s ，xw i n d o w 等都是基了二l p 地址米对刖户进行认证和授权的。当前 t c p i p 网络的安全机制主要是基丁i p 地址的包过滤( p a c k e tf i l t e r i n g ) 羽i 认i 止 ( a u t h e n t i c a t i o n ) 技术，它们的止确有效性依赖于i p 包的源l p 地址的真实性。然而 i p 地自l 存在许多问题，首先，由于l p 地址是i n t e r n i c 分发的，就很容易找出一个包 的发送者，且j p 地址也隐含了所使用的子网掩码，就可使攻卉者勾画出目标网络的 拓扑结构。此外，i p 地址可以软纠一设置，是很容易伪造和更故的，【p 协议不能保证 一个i p 包中的源l p 地址就是此包的真d ：发送者的i p 地址。这就造成了地址假冒欺犏 生全隐患。理论上，网上任何一主机都可以产生一个带有任意源l p 地址的i p 包，以 此粜假冒另一个主机。而协议最人缺点就是缺乏对l p 地址的保护，缺乏对l p 包中源 i p 地址真实性的认证机制与保密机制。这也是引起整个t c p i p 协议不安全的根本所 在。 i c m p 协议的弱点：i c m p 的重定向可以被用于欺骗路由器或主机，儿乎所有的 荩j it c p i p 的机器都会对i c m pe c h o 请求进行响应。所以如粜一个敌意土机同时远 行很多个p i n g 命令向一个服务器发送超过其处理能力的i c m pe c h o 请求时，就可以 淹没该服务器使其拒绝其他的服务。另外，p i n g 命令可以在得剑允许的网络中建、z 秘 密通道从而可以在被攻击系统中开后门进行方便的攻击，如收集目标上的信息并进行 秘密通信等。解决该漏洞的措施是拒绝网络上的所有i c m pe c h o 响戍。 此外i p 层的另一个主要缺陷就是它的路由协议。路由协议是一种在i n t e r n e t 上动 态发现路径的机制，它们是t c p i p 运行的基础。然而t c p i p 的路由协议没有安全认 证机制，缺乏对路由信息的认证与保护。如果攻击者在某种科度上可以颠覆路由机制， 日标机就会铍愚弄，从而相信敌人的机器是一台可信任的机器。这种情况发生时，基 r 螈地址检查的认证机制就会失败。 8 l p 层存在的典型攻击有： ( 1 )i p 地址欺骗( i ps p o o f i n g ) l p 包一口从网络中发送山去，源i p 地址就儿乎不，仅住中间路0 a e - 冈某种原 五弃它或到达目标端后，才被使_ l j 。这使得一个主机可以使_ l j 别的士机的i p 地址 发送i p 包，只要它能把这类i p 包放到网络上就可以。冈而如果攻击者把白己的上机 伪装成被目标主机信任的友好主机，即把发送的i p 包中的源i p 地址政成被信任的友 女r 上机的i p 地址，利剧主机间的信任关系( u n i x 网络软件的开发者发明的术语) 和 这种信任关系的实际认证中存在的脆弱性( 只通过i p 确认) ，就可以对信任主机进行 j 女f 。注意，其中所说的信任芙系是指一个被授权的主机可以对信任土机进行方便的 访i u 。所有的p 命令都采_ l j 信任主机方案，所以个攻击主机把白己的i p 改为被信 仃卜机的i p 就可以连接到信任主机并能利用一命令开后门达剑攻击的目的。解决 这个问题的一个办法是，让路由器拒绝接收来自网络外部的l p 地址与本地某主机 的l p 地址相同的i p 包的进入。 ( 2 ) a r p 欺骗 a r p 协议在对l p 地址进行解析时，利川a r p 缓存( 也叫a r p 表) 米做。a r p 缓存的每一条目保存有i p 地址到物理地址的映射。如果在a r p 表中没有这样的对应 条ij ，a r p 协议会广播a r p 请求，获得对应丁那个i p 地】= | = 的物理地址，j 1 把该对应 天系加入到a r p 表中。a r p 表中的每一个条目都有个计时器，如果计时器过期， 该条目就无效，因而被从缓存中删除。显然，如果攻击者暂时使用不f 作的主机的i p 地址，就可以伪造i p 物理地址对应关系对，把自己伪装成象那个暂时不使_ l j 的主机 样。克服此问题的方法是，让硬4 1 地址常驻内存，并可以川a r p 命令手l 。加入( 特 权h j 户才可以那样做) ：也可以通过向r a r p 服务器询问米检商客户的a r p 欺骗。冈 为r a r p 服务器保留着网络中硬件地址乖】i p 的相关信息。 ( 3 )路由攻击土要有： i p 源路由攻击 路由信息协议欺骗 在路由协议中，主机利刚重定向报文来改变或优化路由。如果一个路由器发 送1 r 法的重定向报文，就可以伪造路由表，错误引导非本地的数据报。另外，各个路 由器都会定划向其相邻的路由器广播路由信息，如果使_ e jr i p 特权的土机的5 2 0 端口 j “播1 f 法路由信息，也可以达到路由欺骗的目的。解决这些问题的办法有，通过改置 土机忽略重定向信息可以防j r 路由欺骗；禁止路由器被动使_ l jr i p 和限制被动使川 r i p 的范同。 i c m p 路由欺骗 攻击路由器本身 ( 4 ) i p 隧道攻击 ( 5 ) i p 层的拒绝服务攻击主要有：“s m u r f ”攻击、“l a n d ”攻击、“p i n go f d e a t h ” 和“t e a r d r o p ”攻击。 9 2 5t c p u d p 层 由rt c p u d p 是基于i p 协议之上的，t c p 分段和u d p 数据报是封装住i p 包中 ：mt 传输的，它们也同样面临i p 层所遇到的安全威胁，另外还有针对t c p u d p 协 义没计和实现中的缺陷实行的攻击。 2 5 1t c p 的安全问题 针对t c p 连接建立时的“二次握手”机制的攻击：术加密的t c p 连接被欺骗、 儆窃取、被操纵。存住的主要攻击有：t c ps y n 淹没攻击、t c p 序列号攻, i f 、t c p 会活截取攻击( t c ps e s s i o nh i j a c k i n g ) 和t c p 连接不同步状态攻击( t c p c o n n e c t i o n d e s y n c h r o n i z e ds t a t ea t 【a c k s ) 一利用连接双方都处丁不同步状态而实行的一种“中 间人”攻击。 ( 1 ) 拦截t c p 连接：攻击者可以使t c p 连接的两端进入不同步状态，入侵者t 机向两端发送伪造的数据包。冒充被信任士机建立t c p 连接，_ l i js y n 淹没被信任的 - l 十j l ，f ：猜测3 步握手中的响应( 建立多个连接到信任土机的t c p 连接，获得初始 序列号i s n ( i n i t i a ls e r i a ln u m b e r ) 和r t t ，然后猜测响麻的i s n 冈为序列号每隔 、r 秒加6 4 0 0 0 ，每建立一个连接加6 4 0 0 0 ) 。预防方法：使所有的r 命令火效，让路 由器拒绝来自外面的与本地主机有相同的i p 地址的包。r a r p 布询可用来发现与目标 服务器处在同一物理网络的主机的攻击。另外i s n 攻击可通过止每一个连接的i s n 随 机分配配合每隔、f 秒加6 4 0 0 0 来防【r 。 ( 2 ) 使用t c ps y n 报文段淹没服务器：利州t c p 建立连接的3 步骤的缺点利服 务器端口允许的连接数量的限制，窃取不可达i p 地址作为源i p 地址，使得服务器端 得小刨a c k 而使连接处于半开状态，从而阻止服务器响应别的连接请求。尽管、f 开的 连接会被过期而关闭的，但只要攻击系统发送的s p o o f e ds y n 请求的速度比过期的快 就可以达到攻击的目的。这种攻击的方法一直是一种重要的攻 i s p ( i n t e r n e t $ e r v i c ep r o v i d e r ) 的方法，这种攻击并不会损害服务，而是使服务能力削弱。解决 这种攻击的办法是，给u n i x 内核加一个补j 1 程序或使h j 一些l 具对内核进行配置。 股的做法是，使允许的半开连接的数晕增加，允许连接处j 。r 开状态的时间缩短。 但这些并不能从根本上解决这些问题。实际上在系统的内存中有一个专fj 的队列包含 所有的半开连接，这个队列的大小是有限的，因而只要有意使服务器建立过多的、 ，开 迎接就可以使服务器的这个队列溢出，从而无法响应其他客户的连接请求。 2 5 2u d p 的安全问题 由丁u d p 是无连接的，更易受到i p 源路由和拒绝服务攻，h 如u d p 诊断端l 拒绝服务攻击( u d pd i a g n o s t i cp o r td e n i a lo fs e r v i c ea t t a c k s ) 就是结合i ps p o o f i n g 攻m 向u d p 的c h a r g e n 和e c h o 服务端口发送大量带有伪造的源i p 地址的u d p 数据 报而导致的拒绝服务攻击。 2 6 应用层 由丁应用层是在最上层，f , e 2 - 的安全缺陷会导致它的安全崩溃。此外各席川层协 议层白身也存在着许多安全问题，如t e l n e t 、f t p 、s m t p 等应用协议缺乏认i 止和保 密措施。 t 要有以r 儿方面的问题： f i n g e r ：可被用来获得一个指定主机上的所有川户的详细信息( 如用户注册名、电话 号码、最后注册时间等等) ，给入侵者进行破译v i 令和网络刺探提供了极有 用的信息和j 二具。此外，还有f i n g e r 炸弹拒绝服务攻击。 f t p ：f t p 缺乏对用户身份的认证机制和有效的访问权限控制机制；匿名f t p ( a n o n y m o u sf t p ) 可使任何剧户连接到一远程t 机并从其lr 载儿乎所川 类型的信息而不需要口令：f t p 服务器上的 n e t r c 文什可能导致泄、赫一些对 攻m 者有用的信息：f t p 服务器中可能含有特洛依小马。 t e l n e t ：_ l f 户可通过远程登录t e l n e t 服务来与一个远