Internet 协议安全问题
Internet 协议安全问题
因特网基本结构
因特网上的终端设备,路由器以及其他连接设备,都要运行一些列协议,这些协议控制因特网中的信息接收和发送。
因特网的主要协议统称为 TCP/IP 协议
网络安全五大属性
网络安全 CIA 属性
- 机密性(Confidentiality)
- 完整性(Integrity)
- 可用性(Availability)
- 真实性(Authentication)
- 不可抵赖性(Non-Repudiation)
网络攻击的基本模式
截获(窃听)
- 嗅探(sniffing)
- 监听(eavesdropping)
篡改
- 数据包篡改(tampering)
中断
- 拒绝服务(DoSing)
伪造
- 欺骗(Spoofing)
因特网协议栈层次结构
- 应用层
支持网络应用 FTP,SMTP,HTTP 等
- 传输层
主机到主机数据传输 TDP,UDP
- 网络层
从源到目的地数据报的选路 IP,ICMP,BGP 等
- 网络接口层
在临近网络设备之间传输数据 PPP,以太网
网络层基础协议
网络层基础协议包括
- IPi 协议
- ARP 地址解析协议
- BGP 边界网关协议
- 等动态路由协议
网络层协议安全分析--IP 源地址欺骗
- 路由器只根据目标 IP 地址进行路由转发,不对源 IP 地址做验证
- 任何人都可以使用原始套接字构造任意源地址的数据报
- 响应数据报也将被发回伪造的源 IP 地址
- 通常用于发起匿名的 Dos 攻击
传输层协议
传输层协议主要包括
- UDP 协议
- TCP 协议
下面分析基于 TCP 协议安全缺陷引发的 TCP RST 攻击和 TCP 会话劫持攻击。
传输层协议安全分析--TCP 三次握手
- C 向 S 发出 TCP 连接请求报文段,其首部中的标志位 SYN = 1,并使用随机数初始化序列号 SNc。
- S 收到连接请求报文段后,如同意,则发挥确认报文,标志位 SYN = 1,ACK = 1,确认好 ANs = SNc 同样,使用随机数初始化序列号 SNs。
- C 收到此保温段后向 S 给出确认,标志位 ACK = 1,确认号 SNc = 1,ANc = SNc。 C 的 TCP 通知上层应用,连接已经建立。
- S 的 TCP 收到来自 C 的确认后,也通知其上层应用,连接已经建立,双方开始数据传输。
传输层协议安全分析--TCP 报文首部格式
TCP 报文段中的几个关键字段
- 序号
- 确认号
- 6bit 标志字段
序号和确认好字段是用来实现通信双方可靠数据传输服务的
用于建立连接和拆除连接,包括一个已经被成功接收报文的确认,可以看到,通信双方在三次握手和随后的通信过程中,仅依靠序列号、确认号以及 SYN 、ACK 标志来完成身份验证,而且所有的内容均以明文传输,因此当攻击者和受害者都在同一个共享局域网内时,例如以太网,攻击者将非常容易利用 TCP 协议的缺陷,发起 TCP RST 攻击 和 TCP 会话劫持攻击。
TCP 协议安全分析
TCP RST 攻击
也被称为伪造 TCP 重置报文攻击,TCP 协议的 RST 标志位如果被置 1,则接收该数据报的主机将直接断开一个已经建立的 TCP 会话连接。
上图是一个 TCP RST 攻击场景,攻击者 C 通过网络嗅探,监视主机 A、B 的 TCP 通讯
在获得
- IP 地址
- 序列号
- TCP 端口号
- 序列号
- 确认号
攻击者 C 可以结合 IP 地址源地址欺骗,将自己伪装成主机 A 向主机 B 发送重置报文,直接关闭了主机 A 、B 之间的通信连接,造成 A、B 正常网络通讯中断。
会话劫持攻击
通常一些网络服务会在 TCP 会话建立后要求客户端再进行应用层身份认证,应用层身份认证通过后,客户端就会通过 TCP 会话获取服务端资源,而且在整个会话持续期内,不再需要进行身份认证,TCP 会话劫持攻击为攻击者提供了绕过应用层身份认证的技术途径,所以颇受攻击者青睐。
攻击者嗅探受害者和服务器之间的流量,可以获得 TCP 序列号值,等待受害者与服务器的会话建立后,攻击者通过伪造满足条件的虚假 TCP 数据包,以劫持这个会话。
应用层协议
应用层协议非常多样化,目前流行的应用层协议如
- HTTP
- FTP
- SMTP/POP3
- DNS
等均缺乏合理的身份验证机制,加上大多采用明文传输通信数据,因此普遍存在被嗅探、欺骗、中间人攻击等风险。
应用层协议安全分析
DNS 协议
DNS 协议是网络通信中最重要的协议之一
下面简答说一下 DNS 报文协议 和域名解析过程
DNS 查询和回答报文,都具有相同的报文格式。
Query ID:
16 bit 随机数
应答与查询使用相同的 QueryID
客户端以特定的标识 Query ID 向 DNS 服务器发起域名查询,DNS 服务器以同样的 Query ID 向客户端应答域名的查询结果。
DNS 查询报文 :
首先 IP 地址为 68.94.156.1 的本地 DNS 服务器向根 DNS 服务器 192.26.92.30 请求解析 www.unixwiz.net IP 地址,查询 ID 为 43561
DNS 应答报文 :
根服务器向本地 DNS 服务器返回能解析 unixwiz.net 域的权威 DNS 服务器的 IP 地址列表,应答 ID 同样为 43561.
于是 ,本地 dns 服务器在此地址列表中选择一个权威 DNS 服务器,再次发起对 www.unixwiz.net 的域名的查询,但本次查询 ID 为 43562.
最终 IP 地址为 64.170.162.98 的权威 DNS 域名服务器返回对 www.unixwiz.net 主机域名的解析结果 8.7.25.94,应答 ID 为 43562.
DNS 欺骗
从上述实例可以看出,DNS 服务器和客户端仅通过匹配查询 ID 就可以认证应答包来自于合法的域名服务器,缺乏有效的身份认证机制。
因此如果攻击者和被攻击者在同一个局域网内,攻击者就可以通过嗅探 DNS 请求包获取查询 ID,然后
或者 伪造 DNS 应答包
或者 拦截 DNS 服务器的应答数据包并修改其内容再返回给客户端
以达到恶意欺骗的目的。
拒绝服务攻击 DOS
拒绝式服务(Denial of Service,简称 DoS)攻击使得网络、主机或其他基础设施不能被合法用户所使用,Web 服务、电子邮件服务、DNS 服务和机构网络,都会成为拒绝式服务攻击的目标。
拒绝服务攻击,其本质是:用超出目标处理能力的海量数据包消耗系统资源、带宽资源等,或造成程序缓冲区溢出错误,致使其无法处理合法用户的正常请求,最终致使网络服务瘫痪,甚至系统死机。
弱点攻击
攻击者向目标主机上运行的存在安全漏洞的应用程序或操作系统发送精心设计的报文,最终能够使得服务器停止运行,甚至系统崩溃
洪泛 攻击
攻击者利用僵尸网络 向目标生成大量的洪泛分组导致目标主机的接入链路发生拥塞,使得合法的分组无法到达服务器,或者使得目标主机资源耗尽,停止接受合法用户的连接请求。
典型拒绝服务攻击技术列表
- Ping of Death
- 泪滴(Teardrop)
- IP 欺骗 DoS 攻击
- UDP 洪泛
- TCP SYN 洪泛
- Land 攻击
- ICMP Smurf 攻击
- Fraggle 攻击
- 电子邮件炸弹
- 畸形消息攻击
- Slashdot effect
- WinNuke 攻击
TCP SYN 洪泛
TCP SYN 洪泛是一种极为有效和常见的基于流量的拒绝式服务攻击。
它利用 TCP 三次握手的缺陷向目标主机发送大量伪造源地址的 SYN 连接请求消耗目标主机的连接队列资源。从而不能为正常用户提供服务。
ICMP Smurf 攻击
以广播包方式发送大量数据包,包的源地址填写为被攻击目标主机的 IP 地址;
所有接收到此包的主机都将向被攻击主机发送 ICMP 回复包。
TCP/IP 网络协议栈攻击防范措施
由于在短期内基础的 TCP/IP 协议不可能重新设计和部署,因此通过监测,预防和安全加固等措施能较为有效的抵御 TCP/IP 网络协议栈的攻击。
主要措施有:
- 网络接口层
监测和防御网络威胁,对网关路由器等关键网络节点设备进行安全防护,优化网络设计,增强链路层加密强度。
- 网络层
采用多种监测和过滤技术来发现和阻断网络中欺骗攻击,增强防火墙、路由器和网关设备的安全策略,关键服务器使用静态绑定 IP-MAC 映射表、使用 IPsec 协议加密通信等防御机制。
- 传输层
传输层加密传输和安全控制机制,包括身认证和访问控制。
- 应用层
应用层加密,用户级身份认证,数字签名技术,授权和访问控制技术以及审计、入侵检测。
标题:Internet 协议安全问题
作者:shuaibing90
版权声明:本站所有文章除特别声明外,均采用 CC BY-SA 4.0转载请于文章明显位置附上原文出处链接和本声明
地址:https://xysycx.cn/articles/2020/03/17/1584432679347.html
欢迎加入博主QQ群点击加入群聊:验证www.xysycx.cn