第3章 网络协议安全性.doc

第3章 网络协议安全性 12018年10月16日星期二网络安全技术（第22版）网络安全技术（第2版）刘化君等编著教学课件22018年10月16日星期二网络安全技术（第22版）网络协议安全是网络安全的关键所在。 本章在介绍TCP/IP协议体系结构的基础上，主要讨论与网络安全密切相关的一些网络协议及其安全风险，并给出提高、改进协议安全性的一些措施和方法。 第3章网络协议的安全性第3章网络协议的安全性32018年10月16日星期二网络安全技术（第22版）第第3章网络协议的安全性?3.1网络协议分析原理?3.2网络接口层的安全性?3.3网络层协议及安全性?3.4传输层协议及安全性?3.5应用层协议及安全性?3.6TCP/IP协议体系安全性能的改进42018年10月16日星期二网络安全技术（第22版）3.1网络协议分析原理图3-1TCP/IP协议分析原理应用数据以太网头部以太网尾部TCP头部IP头部应用数据应用数据TCP头部IP头部用户数据用户数据应用层协议头部TCP头部TCP数据报IP数据报以太网帧以太网驱动程序应用进程TCP/UDPIP应用层传输层网络层以太网网络接口层TCP/IP栈第3章网络协议的安全性52018年10月16日星期二网络安全技术（第22版）562018年10月16日星期二网络安全技术（第22版）3.2网络接口层的安全性3.2.1物理层安全物理层提供对物理链路的访问，以及对通过物理介质传输的数据编码和解码。 物理层没有通用的物理层协议直接提供安全服务。 身份认证、授权、验证等由高层通信协议来管理。 物理层安全威胁主要指由网络环境、网络设备、线路的物理特性引起的不可用而造成的网络系统不可用，如设备被盗、意外故障、设备老化等。 因此，对物理网络的攻击集中在物理网络部件方面，常见的攻击手段主要有搭线窃听、电磁泄漏窃听等等。 第3章网络协议的安全性72018年10月16日星期二网络安全技术（第22版）物理层威胁?搭线窃听?把未经批准的装置(如计算机终端)连接到通信线路上，通过生成错误信息或控制信号，或者通过改换合法用户的通信方式以获取对数据的访问。 ?电磁泄漏窃听?通过高灵敏度接收机接收计算机等各种信息技术设备和通信设备在工作时辐射的电磁波，从而获得机密信息。 第3章网络协议的安全性82018年10月16日星期二网络安全技术（第22版）3.2网络接口层的安全性3.2.2数据链路层安全风险数据链路层提供到物理层的接口，以确保数据在两个节点之间数据链路上的安全传递。 通过对一些网络攻击现象分析可知，数据链路层存在着身份认证、篡改MAC地址、网络嗅探、负载攻击、帧外数据等安全性威胁。 1.PPP和SLIP的安全风险2.MAC地址的安全风险3.网络流量嗅探第3章网络协议的安全性92018年10月16日星期二网络安全技术（第22版）MAC地址欺骗预防?利用ARP echo传送正确的ARP信息?通过频繁地提醒正确的ARP对照表，来达到防制的效果。 ?利用绑定方式，固定ARP对照表不受外来影响?通过固定正确的ARP对照表，来达到防制的效果。 第3章网络协议的安全性102018年10月16日星期二网络安全技术（第22版）网络嗅探的防护?网络嗅探原理?通过一种嗅探器(sniffer)软件进行?嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。 ?网卡设置为混杂模式，接收流经它的所有数据包，包括广播包。 ?以太网、FDDI Token、微波和无线网第3章网络协议的安全性112018年10月16日星期二网络安全技术（第22版）网络嗅探的防护?网络嗅探攻击症状?网络通信丢包率非常高?网络访问异常慢。 第3章网络协议的安全性122018年10月16日星期二网络安全技术（第22版）网络嗅探的防范?安装嗅探器探测工具，AntiSniff?改进网络拓扑结构不实用HUB而用交换机连接网络，能有效地避免数据进行泛播；对网络进行分段，如在交换机上设置VLAN。 ?数据或会话加密第3章网络协议的安全性132018年10月16日星期二网络安全技术（第22版）3.3网络层协议及安全性IP数据报是面向无连接协议的数据包，通过对通信传输的控制，数据报有可能被路由器发送到错误的地方，服务也可能被局部或全部拒绝。 因此，网络层存在着许多安全隐患。 第3章网络协议的安全性142018年10月16日星期二网络安全技术（第22版）3.3.1IPv4协议的安全风险?1.IP地址欺骗所谓IP地址欺骗(IP Spoofing)是指攻击者向一台主机发送带有某一IP地址消息（该IP地址并非是攻击者自身的IP地址），表明该消息于受信主机或者具有某种特权者，以便获得对该主机或其它主机非授权访问的一种欺骗技术。 理论上一个IP数据报是否真正的源IP地址，IP协议并不作任何可靠保证。 任何一台计算机都可以发出包含任意源IP地址的数据包，这意味着IP数据报中的源IP地址是不可信的。 第3章网络协议的安全性152018年10月16日星期二网络安全技术（第22版）3.3.1IPv4协议的安全风险?2路由欺骗路由欺骗是指由攻击者通过修改路由器或主机中的路由表,来实现网络监听或者网络攻击的一种攻击方式。 路由欺骗有多种方法，但多是采用伪造路由表，错误引导非本地的数据报来实现的。 ? (1)基于IP源路由的欺骗攻击? (2)基于RIP的攻击? (3)基于ICMP的路由欺骗攻击第3章网络协议的安全性162018年10月16日星期二网络安全技术（第22版）? (1)基于IP源路由的欺骗攻击IP源路由机制:在IP包的头部中有一个可选项是“源站选路”，可以指定到达目的主机的路由，同时当目的主机有应答报文或者需要返回数据包时，就会将“源站选路”中指定的路由反向应用，作为应答数据包的路由。 但是如果发送方进行了源路由欺骗，比如说，S进行源路由欺骗，伪装成B的ip地址，给服务器D发送了一个包,此时D收到包后发现要返回信息，正常的话因为发送栏地址是B，应该返回给B但是由于源路由信息记录了来时的路线，反推回去就把应该给B的信息给了S，而D没有意识到问题，B对此一无所知，S拿到了B才能拿到的信息对此称为源路由欺骗。 3.3.1IPv4协议的安全风险第3章网络协议的安全性172018年10月16日星期二网络安全技术（第22版）17 (1)基于IP源路由的欺骗攻击3.3.1IPv4协议的安全风险第3章网络协议的安全性182018年10月16日星期二网络安全技术（第22版）? (1)基于IP源路由的欺骗攻击?防止源路由欺骗的方法主要有两种? 一、通过检测本机的常驻数据，查看此信息是否于合法的路由器，防止源路由欺骗。 ? 二、通过关闭主机和路由器上的源路由功能来防止这种攻击。 3.3.1IPv4协议的安全风险第3章网络协议的安全性192018年10月16日星期二网络安全技术（第22版）? (2)基于RIP的攻击?RIP用于自治系统内传播路由信息。 路由器在收到RIP数据报时一般不作检查。 攻击者可以伪造RIP数据包，声称某主机A拥有最快的连接网络外部的路径。 然后，所有需要从那个网络发出的数据包都会经主机A转发，而在主机A中这些数据包既可以被检查，也可以被修改。 攻击者也可以使用RIP来模仿任何主机，使得所有应该发送到那台主机的通信都被发送到攻击者的主机中。 3.3.1IPv4协议的安全风险202018年10月16日星期二网络安全技术（第22版）?RIP路由欺骗的防范措施主要有?路由器在接受新路由前应先验证其是否可达；?经常检查日志文件由于路由信息在网上可见，随着假路由信息在网上的传播范围扩大，它被发现的可能性也在增大，有助于发现此类攻击。 3.3.1IPv4协议的安全风险第3章网络协议的安全性212018年10月16日星期二网络安全技术（第22版）?地址解析协议(Address ResolutionProtocol，ARP)解决了32位的IP地址与48位的MAC地址之间的映射问题。 ?1.ARP协议?ARP协议定义了两类基本报文一类是请求包，另一类是应答包。 请求报文包含一个IP地址和对应的MAC地址的请求；应答报文既包含发来的IP地址，也包含相应的MAC地址。 3.3.2ARP协议及其安全风险第3章网络协议的安全性222018年10月16日星期二网络安全技术（第22版）22图3-22ARP报文格式第3章网络协议的安全性232018年10月16日星期二网络安全技术（第22版）3.3.3ICMP协议及其安全风险IP协议提供的是无连接数据报的传送，发挥作用的前提条件是假设一切都没问题。 然而，在复杂的网络环境中，这种前提条件是无法保证的。 因为硬件设置可能有误、线路可能会中断、设备可能发生故障、路由器可能负载太高等状况都是不可避免的。 互联网控制报文协议专门用来处理差错报告和控制。 ICMP能由出错节点向源节点发送差错报文或控制报文，源节点接收到这种报文后由ICMP确定错误类型，或确定重传出错数据报。 第3章网络协议的安全性242018年10月16日星期二网络安全技术（第22版）3.3.3ICMP协议及其安全风险ICMP协议的一个显著特点是无连接性，也就是说只要发送端完成报文的封装并传递给路由器，这个报文就会象邮包一样自己去寻找目的地址。 任何人都可以伪造一个报文并发送出去，伪造者可以利用原始套接字直接改写ICMP报文头和IP报文头，这样伪造的报文所携带的源IP地址在目的端将无法追查。 根据这个原理，出现了不少基于ICMP的攻击程序，有通过网络架构缺陷制造风暴的，也有使用非常大的报文堵塞网络的，也有利用ICMP碎片攻击消耗服务器CPU的。 若用ICMP协议进行通信，也可以制作出不需要任何TCP/UDP端口的木马。 第3章网络协议的安全性252018年10月16日星期二网络安全技术（第22版）?两种方法防范ICMP协议安全风险:? 一、在路由器上对ICMP数据包进行带宽限制,将ICMP占用的带宽控制在一定的范围内,这样即使有ICMP攻击,它所占用的带宽也是非常有限的,对整个网络的影响非常少。 ? 二、在主机上设置ICMP数据包的处理规则,最好是设定拒绝所有的ICMP数据包。 3.3.3ICMP协议及其安全风险第3章网络协议的安全性262018年10月16日星期二网络安全技术（第22版）3.4传输层协议及安全性?TCP/IP协议体系的传输层为应用层提供了两种截然不同的传输协议是传输控制协议(TCP)，二是用户数据报协议(UDP)。 ?传输层与网络层在功能上的最大区别是提供了进程通信能力，即端到端通信。 为实现端到端通信，传输层引入了端口和序列号两个核心要素。 传输层的安全问题也主要围绕着序列号与端口展开。 第3章网络协议的安全性272018年10月16日星期二网络安全技术（第22版）3.4.1TCP协议分析图3-24TCP会话建立过程的数据包列表第3章网络协议的安全性282018年10月16日星期二网络安全技术（第22版）图3-25第1次握手的数据包292018年10月16日星期二网络安全技术（第22版）图3-26第2次握手的数据包第3章网络协议的安全性302018年10月16日星期二网络安全技术（第22版）图3-27第3次握手的数据包第3章网络协议的安全性312018年10月16日星期二网络安全技术（第22版）3.4.2传输层协议的安全风险与网络层安全机制相比，传输层安全机制主要是提供了基于进程对进程的(而不是主机对主机的)安全服务。 然而，传输层协议的安全隐患比较多，如端口扫描、会话劫持、序列号欺骗、拒绝服务（DoS）、UDP Smurf攻击等。 大部分远程网络攻击都是以特定端口的特定服务为目标展开的，因此传输层的安全威胁主要于端口、套接字、TCP/UDP报文头部信息。 另外，传输层对传输的数据一般不进行加密，通常在传输层上面的应用层才提供身份认证、加密，因此，传输层协议本身对数据未提供保护，很容易造成信息泄漏。 第3章网络协议的安全性322018年10月16日星期二网络安全技术（第22版）3.4.2传输层协议的安全风险?1.TCP协议的安全风险TCP协议在报文段中引入了URG、ACK、PSH、RST、SYN和FIN6位控制位标志字段，正因为此导致TCP协议存在许多安全隐患。 ? （1）端口扫描? （2）TCP会话劫持? （3）TCP序列号猜测攻击第3章网络协议的安全性332018年10月16日星期二网络安全技术（第22版） （1）端口扫描?端口扫描的任务就是企图连接到主机的每一个端口。 一般有两种扫描方法，一种是目标端口扫描，用以测试特定的端口；另一种是端口扫除（Sweep），用以测试主机上所有可能的端口。 ?很多网络服务运行在众所周知的端口上，很容易被攻击者识别服务类型。 远程攻击者可瞄准特定端口针对一个专门的高层服务实施攻击，也有一些拒绝服务（DoS）攻击直接把许多端口或套接字作为攻击目标。 1.TCP协议的安全风险第3章网络协议的安全性342018年10月16日星期二网络安全技术（第22版）? （2）TCP会话劫持?利用TCP连接的三次握手机制来实现的。 所谓会话是指两台主机之间的一次通信。 例如，用Tel到某台主机，就是一次Tel会话，浏览某个网站也是一次会话。 ?分为TCP连接欺骗攻击和注射式攻击两种方式。 ?在TCP连接欺骗攻击中，攻击者借助IP地址欺骗、ARP欺骗或DNS欺骗手段，将本来是通信双方直接联系的过程变为经过第三方中转的过程，相当于在通信双方之间加入了透明的代理。 ?注射式攻击方式，不会改变会话双方的数据流，只是在双方正常数据流中（基于TCP会话）插入恶意数据，即注射额外的信息。 1.TCP协议的安全风险第3章网络协议的安全性352018年10月16日星期二网络安全技术（第22版） （2）TCP会话劫持攻击的目的是要接替这个会话，而不是DOWN掉这个会话。 首先攻击者要窃听这个会话以便确认TCP序列号。 如果序列号不对，那就会有ack风暴。 当会话双方接收到一个不期望的数据包后，就会用自己期望的序列号返回ACK包；而另一端，这个数据包也不是所期望，就会再次以自己期望的序列号返回ACK包于是，最终导致ACK风暴。 比较好的解决办法是先进行ARP欺骗，使双方的数据包“正常”的发送到攻击者这里，然后设置包转发，最后就可以进行会话劫持了。 第3章网络协议的安全性362018年10月16日星期二网络安全技术（第22版）3.4.2传输层协议的安全风险?2.UDP协议的安全缺陷由UDP报头信息可知，欺骗UDP数据报比欺骗TCP数据报更为容易。 由于UDP没有初始化连接建立(也可以称为握手)机制，与UDP相关的服务面临着更大的安全威胁。 基于UDP的通信很难在传输层建立起安全机制。 针对UDP攻击的一个典型例证是称为Fraggle的拒绝服务攻击。 在这种攻击中，涉及单播(Unicasting)、广播(Broadcasting)和多播(Multicasting)等技术。 预防这类攻击的办法是在防火墙内过滤掉ICMP不可到达消息。 第3章网络协议的安全性372018年10月16日星期二网络安全技术（第22版）3.5应用层协议及安全性TCP/IP协议体系提供的网络应用服务很多，比较典型地应用层协议如远程登录协议（Tel）、文件传输协议（FTP）和简单邮件传输协议（SMTP）等。 随着计算机网络技术的迅速发展，又增加了许多新协议。 例如，域名系统（DNS）用于把主机域名映射到网络IP地址，协议用于万维网（Web）上获取网页等。 一般而言，这些服务都是用户希望得到的，也是大多数网站支持的。 入侵者也曾以不同的方式攻击过这些服务。 第3章网络协议的安全性382018年10月16日星期二网络安全技术（第22版）3.5.1协议?协议安全风险协议的设计目标是灵活和实时的传送文件，没有考虑安全因素。 但是，使用的各种应用都期望提供身份认证，这就导致了基于无身份认证的系统存在着诸多安全隐患。 第3章网络协议的安全性392018年10月16日星期二网络安全技术（第22版）391.分析 （1）设置捕获过滤器，启动抓包第3章网络协议的安全性402018年10月16日星期二网络安全技术（第22版）利用浏览器到sjjx.njit./bysj/上登录账户，按照要求输入用户名“00930”和登录密码，然后提交表单。 图3-34请求报文第3章网络协议的安全性412018年10月16日星期二网络安全技术（第22版）图3-37找包选项的搜索结果第3章网络协议的安全性422018年10月16日星期二网络安全技术（第22版）422.URL漏洞使用统一资源定位器（URL）作为定义查询类型的缩写标记。 它在标识进程服务和文件的同时，也暴漏了可攻击的目标。 目前，有许多方法攻击URL，比较常见的方法有主机名求解攻击，主机名伪装，URL伪装、剪切和拼接，滥用查询，SQL注入，跨站脚本攻击等。 3.低层协议对本层协议的影响安全隐患也低层协议，DNS攻击、TCP劫持和更低层的攻击也能阻挡连接。 即使带有SSL和摘要认证，仍然会受到端点攻击的威胁。 第3章网络协议的安全性432018年10月16日星期二网络安全技术（第22版）3.5应用层协议及安全性3.5.2域名系统(DNS)域名系统（Domain NameSystem，DNS）是通过客户机/服务器模式提供的网络服务功能。 DNS是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字与IP地地址之间的转换及有关电子邮件的选路信息。 DNS的安全风险由于整个互联网都依赖于域名系统，没有域名系统就无法完成主机名字的解析，同样，网络用户也就无法访问公共服务器。 另外，如果域名服务器被“黑”，还可能影响那些依赖主机名字实施数据流过滤的防火墙或者代理服务器的正常工作。 DNS主要面临DNS欺骗、无身份认证的应答、缓冲区溢出和拒绝服务（DoS）等安全威胁。 第3章网络协议的安全性442018年10月16日星期二网络安全技术（第22版） （1）DNS欺骗?由于DNS不提供客户机与服务器之间的身份认证鉴别，使得攻击者能够破坏这种可信任关系。 因此，域名系统的最大安全威胁是DNS欺骗。 例如将用户引导到错误的互联网站点。 （2）拒绝服务?拒绝服务（DoS）是目前最为普遍的攻击手段之一，它结合相应的网络协议，对域名服务器进行攻击，造成域名服务器不能提供相应的服务。 3.5.2域名系统(DNS)第3章网络协议的安全性452018年10月16日星期二网络安全技术（第22版）3.5.3电子邮件系统协议电子邮件（E-Mail）是指以电子形式创建、发送、接收及存储的消息或文档。 它已经成为互联网上使用最广泛和最受用户欢迎的一种网络应用。 电子邮件系统的安全风险针对电子邮件系统的攻击主要有两种一是直接对电子邮件的攻击，如窃取电子邮件密码，截获邮件内容，发送邮件炸弹。 另一种是间接对电子邮件的攻击，如通过邮件传输病毒、木马。 第3章网络协议的安全性462018年10月16日星期二网络安全技术（第22版）（ （1）垃圾邮件由于电子邮件系统的普及应用，也增加了邮件服务器受攻击的概率。 常见的一类攻击就是垃圾邮件（Spam），即人们常说的邮件炸弹，它能在一定的时间内使服务器接收大量无用邮件，使之不堪重负而瘫痪。 （ （2）窃听电子邮件通信协议是建立在可信基础之上的，因此，发送时使用的SMTP协议、接收时使用的POP3协议都是明文通信协议。 电子邮件通信的过程，一般要经过多个服务器、路由器和交换机的中继以及转发才可以完成一次完整的传递，所以很容易被窃听。 窃听在客户机和服务器之间的所有节点上都有可能发生。 3.5.3电子邮件系统协议第3章网络协议的安全性472018年10月16日星期二网络安全技术（第22版） （3）劫持SMTP不提供任何认证机制，所以伪造和篡改电子邮件是很容易的。 伪造者只要给SMTP服务器提供恰当的信封信息(如发送者或接收者电子邮件地址)，并使用想要的数据产生有关的信件即可。 （4）低层协议对本层协议的影响电子邮件协议的安全隐患大多于低层协议的影响，SMTP协议受低层协议的影响最大。 诸如MAC地址、IP地址和TCP欺骗、劫持的影响，都能破坏正在传送的电子邮件。 3.5.3电子邮件系统协议第3章网络协议的安全性482018年10月16日星期二网络安全技术（第22版）3.6TCP/IP协议体系安全性能的改进1.IPv4协议安全性的改进与提高0151631源IP地址（16字节）业务流类别(8位)净荷长度（16位）跳数限制（8位）IP数据报的数据部分净荷版本号目的IP地址（16字节）流标签（20位）下一个头部（8位）基本头部扩展头部1扩展头部n数据信息?IPv6数据报选项第3章网络协议的安全性492018年10月16日星期