CHD11-网络通信协议安全剖析.ppt

1、网络通信协议安全(TCP/IP Security),2,本章內容,11.1 TCP/IP网络协议 11.2 应用层的网络安全通信协议 11.3 传输层的网络安全通信协议 11.4 网络层的网络安全通信协议 11.5 拒绝服务攻击,3,11.1 TCP/IP网络协议,TCP/IP网络协议是1970年由美国国防部在发展分封交换网络(ARPANET)时所提出的 ，是一钟网络通信协议。 目前已成为一项国际标准协议。 TCP/IP由一些协议组成，负责两主机间的连接与数据交换 。 分为4层 (Layer)，每一层都通过呼叫它的下一层所提供的服务来完成自己的需求。,4,TCP/IP 网络协议的4个层,SMT

2、P TELNET FTP DNS SNMP,TCP UDP,IP ICMP,网络界面：驱动程序(Drivers),网络硬件：Ethernet、Token Ring等,应用层(Application),传输层(Transport),网络层(Internet),数据链路层(Interface),5,OSI网络协议与TCP/IP网络协议,6,11.1.1 应用层,TCP/IP协议的最上层(第4层)，对应于OSI的会话层(Session Layer)、表示层(Presentation Layer)及应用层 。 主要是提供应用程序的数据传输接口 。 根据这些网络协议，可以在应用层上开发与网络通信相关的应

3、用程序，好让用户利用这些应用程序进行数据传输 。 在应用层中，相关应用程序有简单邮件传输协议(SMTP)、文件传输协议(FTP)与超文本传输协议(HTTP)等。,7,11.1.2 传输层,由传输控制协议 (Transmission Control Protocol, TCP)与用户数据报协议 (User Datagram Protocol, UDP)组成 。 提供主机间的数据分割与发送服务，並确定数据已被送达与接受。 TCP：支持错误相应与封包(Packet)重組的能力，提供两主机之间可信赖的传输，接收端收到每一封包都会返回确认。 UDP：属于非面向连接(Connectionless Orie

4、nted)的传输协议 ，缺乏相关的侦错与确认机制，数据传递的可靠度较差 。优点是传送数据时速度较快，适合大量的数据传递情况 。,8,11.1.3 网络层,是TCP/IP协议的第2层，对应于OSI的网络层 。 由Internet协议 (Internet Protocol, IP)与Internet控制消息协议 (Internet Control Message Protocol, ICMP)组成。 主要是将传输层所接收的封包转换成封包实际的传输接口 。,9,(1)IP (Internet Protocol) 定义数据单元的格式。 定义网络寻址方式(IP Address)。 决定数据封包在网络上的

5、传递路径。 (2) ICMP (Internet Control Message Protocol) 网络状况监视工具 。 (3) ARP (Address Resolution Protocol) 通过网络上的IP地址来查出其网卡的实体位置MAC(Media Access Control)地址 。,网络层通信协议,10,(4)RARP (Reverse Address Resolution Protocol) 协助发送端找到本身的IP地址。,網路層的通訊協定(續),11,11.1.4 数据链路层,数据链路层也称网络接口层(Network Interface Layer) 。 负责提供计算机系

6、统与网卡的驱动程序，以定义如何在此网络连线架构下传送数据 。,12,11.1.5 封包的传递与拆装,封包传递与拆装的流程,13,Ethernet数据格式,发送端地址 (Source Address) 接收端地址 (Destination Address) 类型 (Type Code) 检查码 (Checksum Code),14,11.2 应用层的网络安全通信协议,SMTP :简单邮件传输协议 TELNET : 远程登录协议 FTP : 文件传输协议 DNS : 域名服务器 SNMP :简单网络管理协议,15,11.2.1 PGP安全电子邮件系统,PGP由Philip Zimmermann撰写

7、，并于1991年完成第一版 。 PGP可以提供电子邮件机密性、完整性和验证性服务。,16,PGP信息的传送和接收过程,17,电子邮件系统所使用的符号及代表的意义,18,11.2.2 PGP协议的数字签名机制,PGP的数字签名过程,19,11.2.3 PGP协议的信息加密机制,PGP的信息加密过程,20,11.2.4 PGP协议的邮件传递流程,PGP产生电子邮件的过程,21,接收方收到PGP电子邮件后的处理流程,11.2.4 PGP协议的邮件传递流程(续),22,11.3.1 SSL安全传输协议,SSL(Secure Socket Layer)是由Netscape公司在1995年所发表的网络安全

8、协议，其主要功能是建立起浏览器与Web服务器之间数据传递的安全通道 。 SSL通过加密技术来保障交易数据的安全，当客户端传送数据时，便启动SSL加密机制 。 开头是“https:/”，就表示是具有SSL保护的网页 。,23,SSL所提供的安全服务主要有以下几项 ： (1) 提供数据传送的机密性 (Confidentiality) 。 (2) 提供数据传送的完整性 (Integrity) 。 (3) 提供用户与顾客间的身份验证机制 (Authenticity)。,11.3.1 SSL安全传输协议(续),24,11.3.1 SSL安全传输协议(续),SSL协议主要分为两部分： SSL记录协议(SS

9、L Record Protocol) SSL记录协议提供数据保密性及完整性两种服务。 SSL握手协议(SSL Handshake Protocol) SSL握手协议则提供用户与服务器间的身份验证机制。,25,SSL记录协议的运作过程,26,SSL握手协议的运作过程,27,11.3.2 TLS传输层安全协议,IETF(Internet Engineering Task Force)组织在1999年发表了传输层安全(Transport Layer Security，TLS)协议 。 TLS主要是以SSL第三版本为基础，其内容仅信息格式及部分加密套件与SSL略有不同 。 TLS大部分的记录格式与SS

10、L相同，只是版本编号的部分有些出入 。 SSL与TLS在加密套件与信息验证码的选择上也有些不同 ，此外，此外，TLS与SSL在Random的产生方式及信息验证码也稍微有些出入，但其基本思想都是一致的 。,28,11.4.1 IPSec,网络层目前多半使用IP作为数据传输的协议，但仍有许多安全上的漏洞。于是，IETF便积极制订一套网络层的安全通信协议，称为IPSec协议(IP Secure)，以确保IP层级的通信安全 。 PSec主要提供以下3种安全服务 ： (1)确认性 (Authentication) (2)机密性 (Confidentiality) (3)密钥管理 (Key Managem

11、ent),29,IPSec主要包括两种协议 ： 确认性应用报头协议 (Authentication Header, AH) 确保来源认证性及数据完整性 。 数据封装安全负载协议 (Encapsulating Security Payload, ESP) 提供数据的机密性。,11.4.1 IPSec(续),30,11.4.2 IPSec的确认性应用报头协议,确认性应用报头的格式内容,31,11.4.3 IPSec的安全数据封装协议,安全数据封装协议的格式内容,32,11.4.4 IPSec的密钥管理机制,密钥管理服务的主要目的是帮助用户安全地协议出所需要的秘密密钥。 IPSec 提供了手动(Ma

12、nual)与自动(Automated)两种密钥管理方式 。,33,手动密钥管理 ： -系统管理者以人工的方式用自己的密钥与其他系统的密钥来设定所需要的安全协议 。 -适用于小型且通信对象固定的环境 。 自动密钥管理 ： -安全协议的设定工作由系统自动来执行 。 -适用于大型且通信对象经常变动的环境 。 -采用的是改良的Diffie-Hellman算法 。,11.4.4 IPSec的密钥管理机制(续),34,容易遭受“堵塞(Clogging)”的网络攻击 - 可利用cookies來协助预防“堵塞”网络攻击 容易遭受“藏镜人”的网络攻击 -要预防“藏镜人”的网络攻击，就需要在每次信息交换时都要附加

13、上验证对方的信息，以确认对方的身份 。,Diffie-Hellman算法的缺点,35,如何预防堵塞的网络攻击 ？,可以利用Cookies来协助。Cookies可视为一个64位的随机数值 A先产生其Cookies(CA)，并传送给B 。 B也产生其Cookies(CB)，将CB连同CA一起传送给用户A 。 A收到之后便将公开密钥YA连同CA及CB一起传送给B 。 同样，B也将其公开密钥YB连同CA及CB一起传送给A 。 A与B收到对方的公开密钥后，先验证所收到的CA及CB是否与记录上的相同。 若相同，则执行所对应的指数运算；若不同，则拒绝处理该信息 。,36,11.5 拒绝服务攻击,拒绝服务攻击

14、(Denial of Service Attack，DoS攻击)是目前TCP/IP协议上常见的攻击方式 。 其攻击方式是试图让系统的工作超过其负荷而导致系统瘫痪 。,37,DoS的攻击方式大致可以分为以下几种 ： (1)死亡侦测攻击(Ping of death) (2)分割重组攻击(Teardrop) (3)来源地址欺骗攻击(Land) (4)请求泛滥攻击(SYN Flooding) (5)回复泛滥攻击(Smurf Flooding) (6)分布式攻击(Distributed),11.5 拒绝服务攻击(续),38,死亡侦测攻击,指传送一个大于65 535字节的侦测(Ping)封包给系统 。 由

15、于系统最大只能接收65 535字节的IP封包，因此一个大于65 535字节的封包将使系统因溢出而发生错误 。 通常系统无法接受一个大于65 535字节的封包，但攻击者还是可以将此封包分解后传送，然后再到被攻击系统处组合，进而造成系统瘫痪 。 如今的操作系统大部分都已经可以自动地来侦测这类的攻击 。,39,分割重组攻击,利用封包分割与重组间的落差(Gap)来对系统进行攻击 。 当封包的大小超过封包所能传送的最大单位时，封包就必须进行分割，然后依次地将这些分割后的封包传输到目标主机上。目标主机收到封包后会对它们重组 。 刻意制造不正常的封包序列，例如信息重叠位移或改变封包大小等，使得主机在重组过程

16、中因发生错误而造成系统瘫痪 。,40,来源地址欺骗攻击,源地址欺骗攻击利用IP欺骗(IP Spoofing)的方式来攻击目标主机 。 攻击者刻意将目标主机的IP地址附加在封包的来源(Source)IP地址与目的 (Destination)IP地址这两个字段上，使得这个封包的来源及目的地址都一样 。 主机在收到这些封包时，由于无法回应信息给自己而使得系统瘫痪或处理速度变慢 。,41,请求泛滥攻击是通过传送大量SYN封包给目标主机，使得目标主机忙于处理这些封包，而无法正常地为合法用户提供服务 。 SYN封包是当用户要与目标主机通信时，会先送出一个SYN封包来要求目标主机进行通信。目标主机收到封包后

17、会回复一个SYN-ACK封包给用户，用户再送一个ACK封包给目标主机确认 。 然后才开始进行通信协议。攻击者就送出多个SYN封包给目标主机，目标主机以为要进行通信便开启一个通信埠，并传送SYN-ACK信息给用户，等待用户回复ACK封包 。 这个等待必须等到该封包溢出时才会被移除，若一个时段内有多个这样的等待事件，则会使系统处理速度变慢 。,请求泛滥攻击,42,回复泛滥攻击,攻击者传送一连串Ping封包(或ICMP echo message)给一个第三者。 然后利用IP欺骗的方式将送给第三者的这些封包上的来源地址改变为受攻击主机的IP地址 。 会误以为这些封包是由受害主机所传送来的，于是将回复封包传送给这个受