（通信与信息系统专业论文）立体化ip网络安全的研究和实现.pdf

ab s t r a c t t h e i s s u e s a b o u t i n f o r m a t i o n s e c u r i t y w it h i n t h e i n t e rn e t h a v e a t t r a c t e d m o r e a n d m o r e a t t e n t i o n s fr o m m a n y f i e l d s o f s o c ie t y . n o t o n l y t h e t h e o r e t i c b u t a l s o t h e t e c h n o l o g i e s o f t h is f ie l d h a v e g o t a g r e a t d e v e l o p m e n t t h e s e y e a r s . t h i s p a p e r a n a l y z e s t h e s t r u c t u r e o f t h e i p n e t w o r k w it h a v i e w o f s o l i d . b a s e d o n th e o s i m o d e l , t h e p a p e r d i s c u s s e s t h e f e a t u r e s a n d s e c u r i t y t h r e a t s o f e v e ry s in g l e l a y e r o f n e t w o r k s a n d o ff e r s a s o l u t i o n , t o m a k e u s e o f p e rt i n e n t s e c u r i ty m o d u l e s a t e v e ry n e t w o r k l a y e r , w h i c h c a n c o n s t r u c t a f u l l y p r o t e c t i n g s h i e l d f o r n e t w o r k . t h i s p a p e r e x p l a in s t h e a d v a n t a g e s o f ta k i n g e m b e d d e d s y s t e m a n d l i n u x a s t h e p l a t f o r m o f n e t w o r k i n g d e v ic e s . a n d i n t h e c h a p t e r t h r e e , t h e im p l e m e n t a t io n o f t h o s e s e c u r ity m o d u l e s i s d i s c u s s e d . f o r p o rt s e c u r it y a n d s e s s i o n ma n a g e m e n t m o d u l e , a s h a v e b e e n w o r k e d o u t b y t h e a u t h o r h i m s e l f , t h e y a r e d i s c u s s e d i n d e t a i l , w h i le f o r o t h e r m o d u l e s l ik e i p s e c , a t t a c k d e ff e n s e , a s p f , a a a , t h i s p a p e r o n l y g i v e s o u t t h e g e n e r a l d e s c r i p t i o n . f i n a l l y , t h i s p a p e r v a l i d a t e s t h e g i v e n s o lu t i o n b y t h r e e d i ff e r e n t a p p l i c a t i o n m o d e l s a n d m a k e s o u t t h e d e v e l o p m e n t o f i p n e t w o r k s e c u r i ty i n t h e f u t u r e . k e y w o r d n e t w o r k i n f o r m a t io n s e c u r i ty , p o rt s e c u r ity , s e s s i o n , i p s e c , a s p f , a a a 目录 图 目 录 图 2 . 1 图 2 . 2 s n a模型.“ ” . “ “ 二 ” . “ ” . “ ” . ” .” . ” ” 二 ” “ . ” . ” ” “ . ” ” ” ” ” ” 二 4 o r七层模型.” ” :.” “ ” ” .“ “ “ “ “ . “ ” ” “ 二 “ “ 二 ” “ “ “ ” “ “ . . “ “ 5 图2 .3 o s i 和s n a的 对应关系. ” ” “ “ . ” . ” ” “ :. ” ” 二 ” ” “ . “ . ” 7 图2 .4 8 0 2 .2 / 8 0 2 .3 与以 太网的 帧格式对比.” :. ” . ” . “ . ” ” 二 ” . . 1 0 图2 .5 i p 数 据报格式. ” ” 二 “ . .” ” . “ . “ . .” “ “ ” . .“ .” . “ ” ” ” . 1 3 图2 . 6 t c p首部 . . “ . “ ” . ” . ” “ . “ ” :. ” “ ” “ “ :.” . “ “ . “ . 1 6 图2 . 7 win d o w s 系统中 应用软 件的 工作模式. . . . . . . . 2 2 图2 .8 l in u x 系统中 应用程序的工 作模式. . . . . . . . . 2 3 图3 .1 嵌入式网 络设备系统框图” ” ” . ” 二 ” . . . . . . . 2 6 图3 .2 c o m w a r e 软件系统 框图二 “ 二 “ ” ” ” 二 ” “ :.” ” ” ” ” ” “ 一 2 7 图3 .3 本文中的安 全特性的 位置.“ 二 ” . ” . “ . “ ” 二 ” “ 二 “ 一“ 二 “ ” ” 二 2 8 图3 .4 8 0 2 . 1 % 协议的 三个角色. ” ” ” “ “ . ” “ ” . “ ” “ ” ” “ . . . . . “ ” “ ” ” 二 3 1 图3 . 5 8 0 2 . 1 x 认证过程通过认证. ” . ” ” ” . ” . ” ” . “ :.” ” ” . “ ” . ” 二 3 2 图3 .6 8 0 2 . 1 x 认证过程认证失 败. “ :. ” ” . ” ” :.“ :.“ . . 3 3 图3 .7 请求者发 起的 认证过程.” .“ ” 二 “ ” . ” 二 ” . . . . . . . . 3 3 目录 图3 . 8 有一方不支 持协议的 情况二 ” “ . ” ” ” ” ” ” . “ . ” . “ .” . .“ 二 3 4 图3 . 9 8 0 2 .1 a 状态机. “ .” ” ” “ ” “ “ :. ” . .” “ ” .” . ” . ” 二 ” :. “ 二 “ 二 “ . . 3 5 图3 . 1 0 增加了m a c 检测之后的8 0 2 . 1 % 协议. . . . . . 3 6 图3 . 1 1 m a c地址认证的报 文处 理过 程. . . . . . . . . . 3 7 图 3 . 1 2 端口安全功能示意图. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 8 图3 . 1 3 端口 安 全内 部模块划分二 ” . “ .“ ” . “ ” . “ 二 “ . . . . . . 3 9 图3 . 1 4 a u t o l e r a n 模式” . ” “ . “ . . ” ” . . “ ” . “ “ :.” :.” ” 二 4 0 图3 . 1 5 m a c a u t h - e l s e - u s e r lo g in 模式 ” . .” ，. :.” :. ” ” . ” 二 ” “ “ 二 ” 二 4 0 图3 . 1 6 u s e r lo g i u - e l s e - m a c a u t h 模式.” - .” “ . ” . “ ” 二 _ . . 4 1 图3 .1 7 连接管 理在系统中的位置. ” . . . “ . ” ” ” ” . ” “ . . ” . “ ” 二 4 3 图3 . 1 8 t c p 协议状态机. . . .“ . “ “ 二 ” :. “ 二 ” “ .“ ” . ” :.“ . . . . 4 4 图 3 . 1 ， 连接管理顶级图. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 6 图3 . 2 0 连接管理 报文处理 流程二 ” . “ . “ :.“ “ ” . ” . ” “ . “ ” ” ” “ ” . “ ” ” 二 4 7 图3 .2 1 t c p 协议状态机二 . . ” .“ . ” . . ” ” .“ “ 二 “ 二 “ 二 ” ” “ 二 4 8 图3 .2 2 u d p 连接状态机 ” ” . ” ” . ” .” ” “ .“ .” ” . ” . . . . .” :.4 9 图3 .2 3 i c mp 连 接状态机.” ” “ . ” . “ “ ” . “ 二 ” “ .” . “ “ .“ 二 “ . 4 9 图3 . 2 4 关联表对外接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 0 、 q】 目录 图3 . 2 5 关联表的作用流程. ” “ . “ “ ” ” . ，. . ” . . “ . ” 一 ” . . . . . . . . 5 1 图3 .2 6 老化队 列定时 器处理” “ .” ” . “ . “ 二 “ ” ” . ” . ” .” . . . 5 2 图3 .2 7 攻击防 范流程图. . . . .; . . . . . . . . 5 3 图3 .2 8 r a d i u s 协议执行过 程. ” 二 “ . ” .” . “ 二 ” .” ” ” 二 ” “ ” ” 二 ” . “ “ :. ” 二 5 5 图3 .2 9 a a a模块结 构图. . . . . . . . . . . . . . 5 6 图3 .3 0 静态 包过滤防 火墙的 工作方式.” “ ” ” . “ ” . “ ” ” . ” . ” “ ” ” ” “ .5 9 图3 .3 1 a s p f 防火 墙的 工作 机制.“ “ 二 “ ” . ” ” ” ” 二 “ :. ” . “ ，. . “ 一 5 9 图 4 . 1 作为防火墙组网. ” . ” . ” . “ ” . ” ” “ . “ ” ” ” “ “ . “ :. ” . “ . ” ” 二 ” 二 6 1 图 4 . 2 作为路由器的组网图“ . ” ” “ 一 ” ” “ . “ . . ” 二 ” . . . . . . . . . . . . . . . 6 2 图4 .3 作为三层交换 机组网图 .” ” “ “ :.“ . “ ” ” ” ” ” “ ” “ “ ” . ” ” ” ” . “ ” “ 二 6 3 表 目 录 表2 . 1 s n a各 层结构.“ ” 二 “ . . . . . . . . . . . . . . . 5 表2 . 2 o s i 各层结构.” “ “ ，. ” . . .” 二 “ “ . ” . ” “ . “ ” . .“ . . 表 2 . 3 知名端口列表二 ” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 9 南开大学学位论文版权使用授权书 本人完全了解南开大学关于收集、保存、使用学位论文的规定，同意如下各项 内容:按照学校要求提交学位论文的印刷本和电子版本;学校有权保存学位论 文的印刷本和电子版，并采用影印、缩印、扫描、数字化或其它手段保存论文; 学校有权提供目录检索以 及提供本学位论文全文或者部分的阅览服务:学校有 权按有关规定向国家有关部门或者机构送交论文的复印件和电子版;在不以赢 利为目的的前提下，学校可以适当复制论文的部分或全部内容用于学术活动。 学位论文作者签名: 年月日 经指导教师同意，本学位论文属于保密，在年解密后适用 本授权书。 指导教师签名:学位论文作者签名: 解密时间: 年月日 各密级的最长保密年限及书写格式规定如下: 内部5 年 ( 最长 5 年，可少于0 年) 秘密x1 0 年 ( 最长4 0 年， 可少 于1 0 年) 机密2 0 年 ( 最长 1, 0 年，可少于 2 0 年) 南开大学学位论文原创性声明 本人郑重声明: 所呈交的学位论文， 是本人在导师指导下， 进行 研究工作 所取得的成果。 除 文中已 经 注明 引用的内 容外， 本学 位论文 的研究 成果 不包含任何他 人创作的、 己 公开发 表或者没有公开 发表的 作品的内容。对本论文所涉及的研究工作做出贡献的其他个人和集 体， 均已 在文中以明 确方式标明 。 本学 位论 文原创性声明的 法律责任 由本人承担。 学位论文作者签名: 年月日 第一章 绪论 第一章 绪论 第一节 课题提出的背 景和意义 1 . 1 . 1 背景介绍 i p网络或者说人们熟知的计算机网络、i n t e rn e t 已经成了现代社会不可缺少 的基础设施，人们在网络上娱乐、交流、获取知识，企业在网络上进行贸易、 运营，政府在网络上面办公，甚至网络还可以用来进行信息战.网络正在承载 更多的功能，正如美国前总统克林顿曾经说过的，谁掌握了网络，谁就掌握了 新的时代。 然而，当各种各样的数据流在网 络上面环游世界的时候，它们对整个网络 世界都是开放的，任何联入网络的设备都可能获取它。如果某个数据流 “ 碰巧” 发送到了不该发送的地方，而且数据流里面又 “ 碰巧”包含了非常关键的 信息， 例如信用卡帐号、密码，国家安全机关的密钥等等数据，这足以造成灾难性的 后果。 i n t e rn e t 的特点就是开放，任何人、任何组织都可以 从任何地方接入网络， 这样一来，如果没有完善的安全保障机制和措施，那么网络无疑是夭法让人信 如此，近年来 i p网络己经从 i n t e rne t 扩展到传统的电 信部门，在 着 i m的实施，所有的传统网络都将 i p化.因此，随着 i nt e rn e t 速发展，对网络安全的需求和研究也在日 益升温。安全，已经成 热 门的课题 在此背景之下本文选取了网络安全这个热门课题为研究课题，结合在嵌入 式系统的应用，开展了深入的研究和实践。 7， 从而达卫 这竺 丝的 网 络 安 全 起更加有效的防护机制 构建安全屏障 本文试图从网络的各个层次入手， ，并且把关注点从ip 报文扩展到完 ，对 i p网络安全的趋势作出了示范 性的剖析。 1 . 1 .2 问题提出 网络信息安全包括很多方面，最为公众熟知的应该就是计算机病毒了，从 早年的蠕虫、后来的c i h 、尼姆达、l o v e l e t t e r 到最近的熊猫烧香，这些鼎鼎大 第 t页 第一章 绪论 名的病毒给全世界带来了数以百亿计的经济损失。所以我们知道著名的杀毒软 件卡巴 斯基、 m c a f e e 、 瑞星、 n o r to n ， 我们 知道要 及时 给w i n d o w s 打 补丁. 但 是，如果我们购买了最新的杀毒软件，操作系统一直在自 动更新，那么我们在 网上就安全了么? 说到这里，不得不提出这样一个问题什么是网络信息安全?正如一台 p c不能代表整个网络，杀毒软件也远远不能保证整个网络的信息安全。一个网 络的组成相当复杂，可能包括 p c 、终端、服务器、子网、路由、交换机等等各 种各样的设备，而且还可能是另一个或多个网络的子网.因此，网络信息安全， 必然是一个整体的概念. 网 络 包含很多 层次， 每一 份数据 在传递的 过程中 都是贯 穿所 有层次的， 在 任何一个层次上存在安全隐患，都不能保证网络的整体安全。因此本文提出了 立体 化的网 络安 全概 念. 研究 的对 象模型 是经 典的i s o / o s i 七层 参考 模型。 目前比较通用的理论是这样定义网络信息安全的:网络安全包括三个关键 特性 保 密性 ( c o n f id e n t ia l i ty ) 、 完整性 ( i n t e g r i t y ) 、 可 用性 ( a v a i l a b i l i ty ) 简称c i a ( . 评 估任 何一个 网 络的 安 全状况， 都要 包括 这 三方面的内 容. 因此 本 文在论述的时候也会考虑这三个方面的内容. 第二节 本文的 研究成果和主 要工作 1 .2 . 1 综述 本文选取 i s o的o s i 参考模型进行讨论，从最下面的物理层到最上面的应 用层，全面讨论了网络的所有层次，先介绍各层的特点、安全隐患，然后描述 了作者针对现有的安全隐患所进行的工作.最后，完成各个层次的工作之后， 得到了一个功能完整的嵌入式设备边界路由器，此设备加载了全面的安全 特性，用来组成局域网络并与外部网络连通，监控内部所有的网络流量。网管 人员可以 灵活的配置各种安全策略，在很大程度上实现网络信息安全。 在链路层，有以 8 0 2 . 1 x 协议为基础的端口安全模块，在网络设备的接口级 别实现了对介入网络的直接控制;在网络层有 i p s e c 作为网络层安全的保障， 可 以 屏 蔽掉 绝大多 数 s n i ff e r 攻 击;在 传输 层， 有 连接 管理 和攻 击防范 模块 来 控制 所有通过设备的网络连接，并且根据要求关闭或限制特定的连接，阻断不安全 第 2页 第一章 绪论 连 接 的 路 径 ; 在 上 层 ， 有 a s p f 作 为 状 态 防 火 墙 。 丛 王 到 上 二 连 竺 塑 鱼 室 金 握 埠 确保网络通信的每一个环节都在掌握之中，极大地提高了整个网 络的安全性. 1 .2 .2 重点内容说明 由于本文的目 标系统涉及的范围相当广泛，作者并不是一个人完成整个系 统 的 实 现 ， 侧瞳叉巡堕吐途过趟旦丝能越 鲤 逸， 因 此 ， 本 文 将 重 点介绍这两部分的设计、流程、实现方式。其他部分作简要介绍。 第三节 本文内 容组织 本文在第一章提出了文章的背景以及课题的范围及意义.第二章阐述网络 分层相关的背景知识，并且重点指出了各个网络层次面临的安全威胁及常见攻 击手段. 第三章说明了各个安全特性模块的实现方式，对于端口 安全和连接管 理进行了详细的论述，对于其他模块作一般性描述.第四章通过三种组网形式 验证了本文提出的立体化解决方案的有效性.在第五章，对课题期间所作的工 作进行了总结，并提出了 对网络安全今后发展方向的看法. 第 3页 第二章 网络安全分层描述 第二章 网络安全分层描述 第一节 网络 各层的安全 隐患 2 . 1 . 1 i s o / o s i 七层协议模型简介 2 . 1 . 1 . 1 i b m s n a网络模型 在计 算机网 络刚出 现的 最初 一段时 间 里，由 于没有 统一的标 准， 各个网络 的结构、传输介质都很不一样，每个网络上面都运行着自己的协议。 这就造成 了互通的问 题.为了解决这个问题，i b m 在 1 9 7 4年提出了系统网络体系结构 ( s n a )首次对网络进行了分层的描述，如图2 . 1 所示。 事务服务层 表示服务层 数据流控制层 传输控制层 路径控制层 数据链路控制层 物理层 图2 . 1 s n a模型 使用分层的优点是把类似功能的协议的接口 统一起来，屏蔽同一层次内的 不同协议对其他层次的区别，把复杂的网络协议体系简单化。网络协议的设计 者只需要根据标准的层次接口设计新的协议。不同网络也可以根据层次划分统 一起来，实现良好的互联互通.s n a各层的结构如表 2 . 1 所示. 第 a页 第二章 网络安全分层描迷 表 2 . 1 s n a各层结构 数据链路控制层 ( dlc) 定义了几个网络协议， 包括分层通信中的同步链路数据控制协 议 ( s d l c ) 和 对等 局域网通 信节点 间的 令 牌环网 络通 信协 议 路径控制层实现了很多 o s i的网络层的功能，包括路由和数据分片和重 组等。 传输控制层 提供可靠的端对端的连接服务以及加密、解密服务 数据流控制层管理所有网络请求、回应的处理，决定各种处理 ( 例如通信、 发送组播消息、中断数据流)的执行顺序 表示服务层定义了不同格式数据之间的转化算法， 与资源共享以及同步事 务处理协作 事务服务层是实现了分布式处理或管理服务的应用程序的形式提供各种 应用服务 物理层 s n a 没有定义任何物理控制层的协议，这一层的协议依赖其 他相关协议 2 . 1 . 1 . 2 i s o / o s i 开 放系统互 连 参考模型 1 9 8 4 年，国际标准化组织 ( i s o)和国际电 联 ( c c i tt )在 s n a的基础上 定 义了“ 开 放系统 互连 参考模型” ， 也就是著 名的o s i 七 层协 议模型11 1 . o s i 模 型如图2 .2 所示。 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 图2 .2 o s i 七层 模型 第5 页 第二章 网络安全分层描述 o s i 与 s n a一样，也分成了七层，其各层结构如表2 .2 . 表2 .2 o s i 各 层结构 物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 物理层的概念包括数据传输介质、网络插头、网络拓扑结构、信 令与编码方法、数据传输设备、网络接口、信令出错检验 数据链路层负责在两个相邻结点间的线路上，无差错的传送以帧 为单位的数据。每一帧包括一定数量的数据和一些必要的控制信 息。l a n中数据链路层的作用是构造帧。 网络层的任务就是选择合适的网间路由 和交换结点，确保数据及 时传送。 该层的任务时根据通信子网的特性最佳的利用网络资源，并以可 靠和经济的方式，为两个端系统 ( 也就是源站和目的站)的会话 层之间，提供建立、维护和取消传输连接的功能，负责可靠地传 输数据. 会话层不参与具体的传输，它提供包括访问 验证和连接管理在内 的建立和维护应用之间 通信的机制. i-a.纂a. * i 6 位总长度 字 k 吸) 1 6 位 标识 3n s6 。” 斗 “ 时 、 、 。 。 。 1 6 1 4 改 部检较和 刃位刃印 地址 3 2 位 日 的 i p 地址 选 巧 抽 招 ” 了 节 图2 . 5 i p 数据报格式 由 于本文 主题并 不是 阐述i p 协议， 所以 关于i p 协议的 细节请 参考r f c 7 9 1 0 第1 3 页 第二章 网络安全分层描述 这里只说一个概念-i p 地址。 2 . 1 . 4 . 3 i p 地址 i p 地址是联网的主机在互联网 上的唯一标识。 根据t c p / i p 协议规定， i p 地 址是由3 2 位二进制数组成， 而且在i n t e r n e t范围内是唯一的。 例如， 某台联 在因 特网 上的计 算机的i p 地址为1 1 0 1 0 0 1 0 0 1 0 0 1 0 0 1 1 0 0 0 1 1 0 0 0 0 0 0 0 0 1 0 ， 很明 显，这些数字对于人来说不太好记忆。人们为了方便记忆，就将组成计算机的 i f地址的3 2 位二进制分成四段，每段 8 位，中间用小数点隔开，然后将每八位 二进制 转换成十 进制 数， 这样上 述计 算机的i p 地址就 变 成了 : 2 1 0 . 7 3 . 1 4 0 . 2 . i p 地址的3 2 位可以 分为 两部 分 一一网 络号 和主机 号， 前半 部分为网 络号， 后半部分为主机号.网络号表示主机属于哪个子网，主机号表明主机在子网中 的序号。 2 . 1 . 4 . 4 常见攻 击方式 2 . 1 . 4 .4 . 1 拒绝服务攻击 ( d e n i a l o f s e r v i c e ) d o s是d e n i a l o f s e rvi c e 的简称， 即拒绝服务， 造成d o s 的攻击行为被称为 d o s攻击，其目的是使计算机或网络无法提供正常的服务.最常见的 d o s攻击 有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络， 使得 所有可用网络资 源都 被消耗 殆尽， 最后导 致合法的 用 户请求就无 法通过。 连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都 被消耗殆尽，最终计算机无法再处理合法用户的请求。 2 . 1 . 4 . 4 .2 ddo s 分布式拒 绝服务 ( d d o s :d i s t r i b u t e d d e n i a l o f s e rv i c e ) 攻 击指借 助于客户 服务 器技术，将多个计算机联合起来作为攻击平台，对一个或多个目 标发动 d o s攻 击， 从 而成倍 地提高 拒绝 服务攻 击的 威 力。 通常， 攻击 者使用 一个 偷窃帐 号将 d d o s 主控程序安装在一个计算机上， 在一个设定的时间主控程序将与大量代理 程序通讯， 代理程序已 经被安装在 i n t e rn e t 上的许多计算机上. 代理程序收到指 令时就发动攻击。利用客户服 务器技术，主控程序能在几秒钟内 激活成百上千 第 1 4页 第二章 网络安全分层描述 次代理程序的运行。 2 . 1 .4 . 4 3 i t 地址欺编 ( i p s p o o f i n g ) i p地址欺骗是指攻击者伪造来自 于一个已知的被信任的网络实体的报文和 目的主机进行通信， 获得使用网络的权限。 我们知道i p 地址是网络主机在i n t e rn e t 上的唯一标识，因此很多网 上的 服务器根据 i p 地址设置可以访问的用户，i p地 址欺骗通过修改i p 数据报里面的源地址信息的方法把数据报伪装为合法i p ，实 现了对受限网络的入侵。 2 . 1 . 4 . 4 .4 i p地址耗尽 我们知道，i p地址是由网络号和主机号两部分组成的，每个网络下能容纳 的主机数量是有限的，如果一个网段的所有 i p地址都被占用的话，那么新接入 的主机就无法获得 i p地址从而不能在网络上进行通信。基于这个原因，攻击者 可以模拟出大量的虚拟主机同时在网络上进行获取i p的动作， 造成在短时间内， 该网段的i p 地址分配完毕，导致无法为正常用户提供服务，网络不可用。 2 . 1 . 5 传输层安全 2 . 1 . 5 . 1 传 翰层简 介 网络层为网络上的主机提供了i p 地址， 凭借i p地址， 可以实现联网的主机 之间的通信，因此网络层提供的是主机到主机的服务，而传输层提供的是端到 端的服务。 通常说来，在一台主机上并不是只有一个程序在使用网络，即使是一个程 序，也不会只使用一条网络连接，那么如何确定一条网络连接是哪个程序在使 用就是传输层需要做的工作.传输层协议包括 t c p . u d p等，这一层区分具体 的应用靠的是端口。传输层协议也有自己特定的首部结构，各个传输层协议的 首部都在i p 数据报数据部分的开始. 第巧页 第二章 网络安全分层描述 2 . 1 . 5 . 2 t c p 和u d p -节- -|咚一- ，6 位 泪段 口 号1 6 位目 的 端口 号 3 2 位 序列 号 3 2 位 确 认序 列号 月 位 首部 长度 保留 b 位 : : : ! : 】: 16 位窗 口 大小 16 位 t c p 校毅 和 16 位 皿急 指 针 选 项 欣招 -郁- -|唁一- .代 图2 .6 t c p 首部 t c p 19 1 和u d p 1 0 l 是使 用最 多的 两个 传输 层协议 ， 他们 的首部 如图2 . 6 和图2 . 7 所示，在t c p 和 u d p 首部的最开始，都确定了源、目的端口号. u d p 为了便于会 话层服务的实现，标准中将这些服务进行了分类，组合成 1 2 个功能单元。分别 为: 1 . 核心功能单元:支持会话连接的建立和释放，以及常规数据的传输; 2 . 协商释 放功能 单 元: 支持 协商式 地有序释 放会话 连接， 发起协 商式有 序 释放会话连接的一方必须事先获得对应的令牌; 3 . 半双工功能单元:支持用户以半双工方式交换数据，此时，申请发送数 据的一方必须拥有数据令牌; 4 . 全双工功 能单 元: 支持用 户以 全 双工方 式交 换数 据; 5 . 加速数据功能单元:支持用户之间进行优先级较高的数据传输; 6 . 特权数据功能单元: 支持用户之间传输特权数据 ( 控制信息) ，这些数据 第 1 7页 第二章 网络安全分层描述 传输独立于数据令牌的控制; 7 . 能力 数据功 能单 元: 支持 用户在 活动外部 交换 少量的 用户 数据， 这种 数 据交换要求对方的确认信息; s . 次同步功能单元:支持用户分割会话单元内部的数据流。 9 . 主同步功能单元:支持用户分割会话单元，要求活动和主同步令牌的支 持;对于主同步点请求，对方必须予以 应答; 1 0 . 重新同步功能单元:支持用户在异常情况下进行恢复动作; 1 1 . 异常功能单元:支持将异常情况通知用户，以便于用户进行恢复: 1 2 . 活动管理功能单元:支持活动管理服务，利用活动划分逻辑工作段，并 加以控制和恢复. 2 . 1 . 6 . 2常 见攻 击方式 由于会话层要维持会话，必须要经常交互一些同步信息，如果这些信息被 篡改，就会造成应该建立的会话没有建立起来或者应该删除的会话没有删除。 事实上，很多入侵就是这样造成的。入侵者先发送一个合法的报文开启会话， 通过 分析交互 的信息 确定目 标 系统采 用的加密算 法和 会话 机制， 然后构造 攻击 报文，建立非法会话，入侵目 标系统.尽管相关机构在会话层采取了很多手段， 例如s s l协议，但是仍无法杜绝此类攻击。 2 . 1 .7 表示层安全 2 . 1 . 7 . 1表示 层简介 会话层向用户提供了信息交互的控制和管理的手段，使用户能够控制信息 交互的过程.但是计算机联网的最终目的是实现用户之间的数据交换.然而， 由 于 不同的 计算 机系 统可能 采 用了 不同 的 信息编 码 ( 如: p c机 采用的 是a s c i i 码， 而 i b m主 机采 用的是e b c d i c码) ， 或者 具有 不同的 信息 描述 和表 示方法 ( 如，对于同样一个整数， 有些机器可能采用2 个字 节表示，而有些计算机系 统则可能采用4 个字节表示) ，如果不加以处理，不同的信息描述 ( 表示)将导 致通信的计算机系统之间无法正确地识别信息. 表示层的目的是屏蔽不同计算机在信息表示方面的差异.表示层功能包括 传送语法的协商，以及抽象语法和传送语法之间的转换.通过这种转换来统一 表示被传送的用户数据， 使得通信双方使用的计算机都可以识别. 第 1 8页 第二章 网络安全分层描述 2 . 1 . 7 . 2常见 攻击方式 除数据描述和数据表示方法，数据的压缩和数据加密也是数据的重要表示， 也属于表示层的范畴.自然的，针对数据的密码破解也就成了表示层攻击的常 见攻击方式。目 前使用的加密方式多为固定长度密码，这种密码不论是6 4 位还 是 1 2 8位，在理论上都有可能最终被破解，而且随着分布式计算的流行，密码 越来越脆弱，因此，针对表示层加密算法的攻击也越来越多，实行起来越来越 简单。 针对这一层的攻击，实际上传统网络设备已经无能为力，因为网络设备并 不知道也不关心报文中包含的数据的内容，每次对数据报的处理只是解析出 i p 头和四层的端口，然后根据相应的网络传输协议来转发或丢弃.由于实际中来 自 上层的攻击越来越多，也使得网络设备制造商开始把自己处理的范围向上层 逐步扩展，为特殊的上层协议提供支持。 2 . 1 . 8 应用层安全 2 . 1 . 8 . 1 应用层 简介 应用层是网络通信的最高一层，也是直接面对用户的一层. 对于用户来说， 正是应用层才真正实现了用户的需求。应用层为用户提供多种应用服务. 2 . 1 . 8 . 2典型应 用及安 全隐患 由于用户的需求多种多样，应用层作为直接为用户服务的一层，也会提供 相当多的服务，是最复杂的一层.即使在网络发展的早期，也有相当多的服务 在应用层上提供，例如 s mt p( 电子邮件) 、f t p . t e l n e t 等等。由于应用程序会 在系统上注册自己使用的端口，因此，应用层服务的类型可以根据端口号来识 别。 b s d早期定义了一批应用层协议使用的端口， 这些端口的范围在 1 0 2 4 以下， 称为 “ 知名端口” ，常见的知名端口如表 2 . 3所示，此表中还列出了相应服务的 安全隐患。 表2 .3 知名端口列表 瑞口母 2 1f t p 别迷r黄全层. f t p 服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻 找打开a n o n y m o u s 的f t p服务 器的方 法. 这些 服务 器带有 可读写的 第 . 9页 第二章 网络安全分层描述 一 魏 、 爷 矫 中 s s h 剐 哭举 公 瑟汉 澳?毅份概 叮 一币 巍 喂瑟淤 由塔 文 产毛褚 华赛 2 3 t e l n e t 笋 飞 碱 监 沃 蕊 貂魏 豪 漏澎 玩 漏 乏 叼 耳 激 歌 巍 冷 魏 矛 蒸 哭 - 2 5 s ni p 落 塌邢 乏 纂 券 巍 乏 砚艾 黔 卜 一 飞 级 岁 姿 钊渡 黔 黔 id n 目 录。木马d o l y t r o j a n . f o r e , i n v i s i b l e f t p . w e b e x . w i n c r a s h 和b l a d e r u n n e r 所 开 放 的 端 口 . _ _ _ _ 一 _ _ _。 。 、 二 、 、 p c a n y w h e r e 建立的t c p 和 这一端口 的连 接可能 是为了 寻找s s h . 这 一服务有 许多弱 点， 如果 配1成 特定的 模式， 许 多使用r s a r e f 库的 版本就会有不少的漏洞存在. 远程登录，入侵者在搜索远程登录u n i x的服务。大多数情况下扫描 这一端口是为了找到机器运行的操作系统.还有使用其他技术，入 侵 者 也 会 找 到 密 码 木 马t i n y t e l n e t s e r v e r 就 开 放 这 个 端口 s n i p服务器所开放的端口， 用于发送邮件. 入侵者寻找s n i p 服务器 是为了传递他们的 s p a m .入侵者的帐户被关闭，他们需要连接到高 带宽的e - m a i l 服务器 上， 将简单的 信息 传递到 不同 的地 址。 木马 a n t i g e n、 e m a i l p a s s w o r d s e n d e r, h a e b u c o c e d a, s h t r i l i t z s t e a l t h . w i n p c . w i n s p y 都开放这个端口。 d n s 服务器所开放的端口，入侵者可能是试图进行区域传递 ( t c p ) . 欺骗 d n s ( u d p )或隐藏其他的通信。因此防火墙常常过滤或记录此 _ 、 、 二 _ 二 、ha撇 、 端口 。 二 礁:枷 、 姗 。 、 、 、 、 、。、 、 。 二 、 、 、 、 ， ， 二 、 赢掇 8 0 h t t p 呀 艇 义一 乍 绍藻琴 众全 娜 1 0 9 p o p 3 巍 翻 燕朴护军公浮 袋 茶象墓乏争 钱 声 黔 翩 式 溺 巍 豁 湍 _ 1 1 0 r p c 1 1 9 :;、 笋 黔 臀嘿 公 一 一 护 监 哪淤 犷 n n t p 盛潞币 谷扭笋 ， 书多哭浓犷公 f 蕊墓 _ n e t b i o s 1 3 9 n a m e s e r v i c e 用于网页浏览.木马e x e c u t o r开放此端口。 一 令 泌 郊” 、 丫 “ ”一长 镬 p o p 3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮 件服务. p o p 3 服务有许多公认的弱点。 关于用户名和密码交 换缓冲 区溢出的弱点至少有2 0 个，这意味着入侵者可以在真正登陆前进入 系统. 成功登 陆后 还有 其他缓 冲区 滋出 错误。 _、 、 、 、 -j -i s u n公司的r p c 服务所有端口 常见r p c 服务 有r p c . m o u n t d , n f s , r p c . s t a t d . r p c . c s m d , r p c . t t y b d , a m d 等 一 一“ 一 丫分一 沙喂 一 朴一， 娜-一一 群一钾“ - 吧 子 鑫 参 n e w s新闻组传输协议， 承载u s e n e t 通信.这个端口的连接通常是人 们在寻找u s e n e t 服务器。多数 i s p 限制，只有他们的客户才能访问 他们的新闻组服务器。打开新闻组服务器将允许发/ 读任何人的帖 子， 丈问 被 限 制 的 新 闻 组 服 务 器 ， 匿 名 发 帖 或 发 送s p a m 二，_ 茹 其中 1 3 7 , 1 3 8 是u d p 端口， 当通过网上邻居传输文件时用这个端口。 而 1 3 9端口:通过这个端口进入的连接试图获得n e t b i o s / s m b 服务. 这个协议被用于 ，w i n d o 。 文件和打印机共享和 s a m b a .还有 w i n s 第 2 0 页 第二章 网络安全分层描迷 1 4 3 碳赛缪壤笋 卿呷%铆溉映 i m a p v 2 缘麟汾 形 荔 赛 碳策赞 影 湍 麒 豁掇歌翩 琴 尹 笼 淤碳撼 药诩 1 6 1 s n m p 切 嗯 畏 矍哭 魏 形 袋 邵器群 % 3 8 9 l d a p . i l s 4 4 3 h t t p s r e g i s r t a t i o n 也用它. 和 p o p 3 的安全问题一样，许多 i m a p 服务器存在有缓冲区滋出漏洞。 记住: 一种l i n u x 蠕虫 ( a d m v o r m ) 会通过 这个 端口 繁殖，因 此许 多 这个端口的扫描来自不知情的已经被感染的用户.当r e d r a t 在他们 的l i n u x 发布版本中默认允许i m a p 后，这些漏洞变的很流行。这一 端口 还 被用于 i m a p 2 ， 但并不 流行. _二 二 添 、 二、 、 、 、二 砂 、 _ 、 藕 s n m p允 许远程管 理设备。 所有 配置和 运行信