無(wú)線網(wǎng)絡(luò)技術(shù)教程課件第11章無(wú)線

1、第11章 無(wú)線網(wǎng)絡(luò)安全金光,江先亮2本章內(nèi)容簡(jiǎn)介網(wǎng)絡(luò)安全概述無(wú)線網(wǎng)絡(luò)安全的簡(jiǎn)史 無(wú)線網(wǎng)絡(luò)的安全威脅無(wú)線網(wǎng)絡(luò)攻擊的防御方案無(wú)線網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢(shì)3網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全威脅密碼分析攻擊中間人攻擊洪泛攻擊協(xié)議漏洞攻擊病毒木馬和蠕蟲 4密碼分析攻擊密碼分析指在不知道解密所需信息的情況下，對(duì)加密信息進(jìn)行解密常見(jiàn)的密碼分析方法包括：唯密文攻擊、已知明文攻擊、選擇明文攻擊、相關(guān)密鑰攻擊等攻擊效果可分為：完全破解、部分破解和密文識(shí)別等5中間人攻擊攻擊者在多個(gè)合法者之間，通過(guò)一定技術(shù)手段(欺騙或會(huì)話劫持)，讓合法的通信流經(jīng)過(guò)攻擊者，攻擊者可對(duì)信息進(jìn)行竊取、篡改、重放等惡意攻擊。6中間人攻擊示意圖 7洪泛攻擊

2、洪泛攻擊示意圖 8協(xié)議漏洞攻擊 許多網(wǎng)絡(luò)安全問(wèn)題本質(zhì)上源于網(wǎng)絡(luò)協(xié)議設(shè)計(jì)之初的缺陷和漏洞，針對(duì)協(xié)議漏洞的攻擊也占了較大比例，常見(jiàn)的協(xié)議漏洞攻擊：TCP/SYN攻擊ARP攻擊IP欺騙攻擊淚滴攻擊9網(wǎng)絡(luò)安全防御技術(shù)密碼編碼學(xué)安全協(xié)議防火墻虛擬專網(wǎng)入侵檢測(cè)系統(tǒng) 10密碼編碼學(xué)密碼編譯學(xué)和密碼分析學(xué)處于對(duì)立面，目標(biāo)是為了保證信息保密和網(wǎng)絡(luò)通信的安全可分為兩類：對(duì)稱加密和非對(duì)稱加密對(duì)稱加密中，加密密鑰和解密密鑰相等或可相互推導(dǎo)，用于一般的加密系統(tǒng)非對(duì)稱加密中，使用公鑰和私鑰典型加密算法有：DES、IDEA、AES、RSA等11安全協(xié)議從基本的網(wǎng)絡(luò)協(xié)議角度提高網(wǎng)絡(luò)安全，及網(wǎng)絡(luò)安全協(xié)議，常見(jiàn)安全協(xié)議有安全套接

3、字層（SSL）、IPSec等防火墻 指一個(gè)由軟硬件系統(tǒng)或設(shè)備組合而成，位于內(nèi)網(wǎng)(企業(yè)網(wǎng))和外網(wǎng)(公眾網(wǎng))之間的安全保護(hù)屏障12防火墻部署結(jié)構(gòu)示意圖 13虛擬專網(wǎng)虛擬專網(wǎng)(VPN)為一個(gè)建立在公眾網(wǎng)絡(luò)(如因特網(wǎng))上的臨時(shí)但安全的連接入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)(IDS)是一種能實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)分組或系統(tǒng)運(yùn)行狀態(tài)，在發(fā)現(xiàn)可疑情況時(shí)發(fā)出警報(bào)或采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全系統(tǒng)14典型VPN結(jié)構(gòu)示意圖 15典型的入侵檢測(cè)系統(tǒng)部署示意圖 16無(wú)線網(wǎng)絡(luò)安全的簡(jiǎn)史早在二戰(zhàn)期間，無(wú)線竊聽(tīng)和無(wú)線攻擊就已出現(xiàn)(雖然此時(shí)尚無(wú)真正意義上的無(wú)線網(wǎng)絡(luò)) 二戰(zhàn)后的數(shù)十年里，無(wú)線通信技術(shù)繼續(xù)得到發(fā)展，而無(wú)線信號(hào)竊聽(tīng)和干擾技術(shù)也隨之一同發(fā)

4、展，并對(duì)各種無(wú)線通信業(yè)務(wù)造成了嚴(yán)重威脅。最近20年來(lái)因特網(wǎng)不斷普及，無(wú)線和移動(dòng)因特網(wǎng)迅速發(fā)展，其安全問(wèn)題也日趨嚴(yán)重。 17無(wú)線網(wǎng)絡(luò)的安全威脅從無(wú)線網(wǎng)絡(luò)協(xié)議?？梢钥闯?，與有線網(wǎng)絡(luò)不同，無(wú)線網(wǎng)絡(luò)中的安全問(wèn)題有其特點(diǎn)。表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層無(wú)線鏈路控制層物理層媒體接入層物理層應(yīng)用層無(wú)線網(wǎng)絡(luò)層適配層應(yīng)用層OSI模型分層協(xié)議棧18無(wú)線網(wǎng)絡(luò)常見(jiàn)的安全威脅協(xié)議棧層次無(wú)線網(wǎng)絡(luò)攻擊類型應(yīng)用層淹沒(méi)攻擊、路徑DoS攻擊、泛濫攻擊、軟件漏洞、傳輸層SYN洪泛、同步失效攻擊、網(wǎng)絡(luò)層欺騙、篡改和重放路由信息、Hello報(bào)文洪泛、選擇轉(zhuǎn)發(fā)、黑洞攻擊、蟲洞攻擊、女巫攻擊、數(shù)據(jù)鏈路層碰撞攻擊、耗盡攻擊、不公平攻擊、物理

5、層干擾攻擊、節(jié)點(diǎn)干預(yù)或破壞、19可看出，目前已存在許多針對(duì)無(wú)線網(wǎng)絡(luò)的安全威脅，其破壞形式多種多樣?？梢灶A(yù)見(jiàn)，隨著無(wú)線網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，其安全威脅將不斷增多，新形式的未知威脅也將會(huì)逐漸顯現(xiàn)。另一方面，盡管許多研究機(jī)構(gòu)和研究者投入了大量精力，也提出了許多各具特點(diǎn)的防御方案，但對(duì)于變化多端的各種安全威脅而言，還有許多問(wèn)題需要解決。 20干擾和擁塞惡意攻擊者采用一定的技術(shù)手段，干擾正常的無(wú)線網(wǎng)絡(luò)信號(hào)，造成無(wú)線網(wǎng)絡(luò)不能正常通信該威脅難以防御擁塞攻擊指在無(wú)線網(wǎng)絡(luò)中，攻擊節(jié)點(diǎn)在某一工作頻段上不斷發(fā)送無(wú)用信號(hào)，則使用該頻段的其它節(jié)點(diǎn)無(wú)法進(jìn)行正常工作對(duì)單頻通信的無(wú)線網(wǎng)絡(luò)比較有效，而對(duì)全頻通信效果不佳，可以防御

6、21干擾和擁塞攻擊示意圖 22黑洞攻擊攻擊節(jié)點(diǎn)可利用收發(fā)器功率大、收發(fā)能力強(qiáng)、距離遠(yuǎn)的節(jié)點(diǎn)，在基站和攻擊點(diǎn)之間形成單跳路由或比其它節(jié)點(diǎn)更快到達(dá)基站的路由，以此吸引附近大范圍內(nèi)的無(wú)線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)，以其為父節(jié)點(diǎn)向基站轉(zhuǎn)發(fā)數(shù)據(jù)。黑洞攻擊改變了網(wǎng)絡(luò)中數(shù)據(jù)報(bào)文的傳輸流向，破壞了網(wǎng)絡(luò)負(fù)載平衡，也為其它攻擊方式提供了平臺(tái)。 23蟲洞攻擊蟲洞攻擊(Wormholes)也稱隧道攻擊，指兩個(gè)或多個(gè)節(jié)點(diǎn)合謀通過(guò)封裝技術(shù)，壓縮其內(nèi)部路由，減少它們之間的路徑長(zhǎng)度，使之似乎是相鄰節(jié)點(diǎn)。常見(jiàn)的蟲洞攻擊如：惡意節(jié)點(diǎn)將在某一區(qū)域網(wǎng)絡(luò)中收到的數(shù)據(jù)包通過(guò)低時(shí)延鏈路傳到另一區(qū)域的惡意節(jié)點(diǎn)，并在該區(qū)域重發(fā)該數(shù)據(jù)包。蟲洞攻擊容易轉(zhuǎn)化為

7、黑洞攻擊 24蟲洞攻擊示意圖 25女巫攻擊女巫(Sybil)攻擊的目標(biāo)是破壞依賴多節(jié)點(diǎn)合作和多路徑路由的分布式解決方案。女巫攻擊中的惡意節(jié)點(diǎn)通過(guò)扮演其它節(jié)點(diǎn)或聲明虛假的身份，而對(duì)網(wǎng)絡(luò)中其它節(jié)點(diǎn)表現(xiàn)出多重身份。26女巫攻擊示意圖 27選擇轉(zhuǎn)發(fā)攻擊無(wú)線傳感器網(wǎng)絡(luò)一般通過(guò)多跳路徑傳輸，每一個(gè)傳感器節(jié)點(diǎn)既是終端節(jié)點(diǎn)又是路由節(jié)點(diǎn)，通常要求節(jié)點(diǎn)收到報(bào)文時(shí)無(wú)條件轉(zhuǎn)發(fā)(除非報(bào)文的目標(biāo)地址就是本節(jié)點(diǎn))。攻擊者利用這一特點(diǎn)，在俘獲某一節(jié)點(diǎn)后丟棄需轉(zhuǎn)發(fā)的報(bào)文。28無(wú)線網(wǎng)絡(luò)攻擊的防御方案針對(duì)不斷涌現(xiàn)的無(wú)線網(wǎng)絡(luò)安全問(wèn)題，已經(jīng)涌現(xiàn)了不少解決方案，下表進(jìn)行了簡(jiǎn)單的總結(jié)協(xié)議棧層次攻擊防御技術(shù)應(yīng)用層節(jié)點(diǎn)協(xié)調(diào)、數(shù)據(jù)收集、認(rèn)證和反

8、重播保護(hù)、傳輸層SYN cookies、報(bào)文認(rèn)證、網(wǎng)絡(luò)層保護(hù)聚束、雙向認(rèn)證、地理路由、包頭加密、數(shù)據(jù)鏈路層認(rèn)證和反重播保護(hù)、檢測(cè)和休眠、廣播攻擊保護(hù)、物理層檢測(cè)和休眠、繞過(guò)干擾區(qū)、隱藏或偽裝節(jié)點(diǎn)、防拆封包、29無(wú)線網(wǎng)絡(luò)攻擊防御技術(shù)針對(duì)外部攻擊的防御方案外部攻擊指與受害節(jié)點(diǎn)不屬同一無(wú)線網(wǎng)絡(luò)的惡意節(jié)點(diǎn)，通過(guò)多跳路由形式攻擊受害節(jié)點(diǎn)?？赏ㄟ^(guò)使用全局共享密鑰的鏈路層加密、認(rèn)證和時(shí)間截等防御機(jī)制針對(duì)內(nèi)部攻擊的防御方案針對(duì)不同攻擊具有不同的防御形式30無(wú)線網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢(shì)未來(lái)無(wú)線網(wǎng)絡(luò)的發(fā)展趨勢(shì)將是多元化和綜合性，各類網(wǎng)絡(luò)融合將成為一個(gè)重要趨勢(shì)特征，多種網(wǎng)絡(luò)融合能滿足用戶長(zhǎng)時(shí)間連接和獲得高數(shù)據(jù)傳輸速率的需要，但融合后的網(wǎng)絡(luò)也附帶了原先各種網(wǎng)絡(luò)中的安全缺陷。因而，需要如下重新定義安全策略： 需要保證網(wǎng)絡(luò)協(xié)議棧內(nèi)各層的安全由于新的攻擊方法無(wú)法預(yù)知，對(duì)協(xié)議本身弱點(diǎn)的研究以及加強(qiáng)節(jié)點(diǎn)對(duì)協(xié)議規(guī)范的可靠執(zhí)行非常重要。使用可靠算法對(duì)傳輸數(shù)據(jù)加密以保證安全31隨