CISP-2-網(wǎng)絡(luò)與通信安全_第1頁(yè)
CISP-2-網(wǎng)絡(luò)與通信安全_第2頁(yè)
CISP-2-網(wǎng)絡(luò)與通信安全_第3頁(yè)
CISP-2-網(wǎng)絡(luò)與通信安全_第4頁(yè)
CISP-2-網(wǎng)絡(luò)與通信安全_第5頁(yè)
已閱讀5頁(yè),還剩165頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

信息安全技術(shù)

網(wǎng)絡(luò)安全——堅(jiān)韌不拔、追求卓越議題網(wǎng)絡(luò)基礎(chǔ)概述網(wǎng)絡(luò)體系結(jié)構(gòu)網(wǎng)絡(luò)協(xié)議安全分析網(wǎng)絡(luò)中面臨的威脅針對(duì)網(wǎng)絡(luò)設(shè)備的攻擊拒絕服務(wù)(DoS)攻擊欺騙攻擊網(wǎng)絡(luò)嗅探網(wǎng)絡(luò)設(shè)備安全網(wǎng)絡(luò)服務(wù)的安全拒絕服務(wù)攻擊(DoS)的防御策略INTERNET的美妙之處在于你和每個(gè)人都能互相連接INTERNET的可怕之處在于每個(gè)人都能和你互相連接OSI參考模型ISO/OSI網(wǎng)絡(luò)體系結(jié)構(gòu)

網(wǎng)絡(luò)體系結(jié)構(gòu)分層的目的

OSI參考模型的層次劃分

應(yīng)用層表示層

會(huì)話層

傳輸層網(wǎng)絡(luò)層

數(shù)據(jù)鏈路層物理層

TCP/IP協(xié)議層次模型TCP/IP協(xié)議分層并不完全對(duì)應(yīng)OSI模型應(yīng)用層TelnetFTPDNSSMTP傳輸層TCPUDP網(wǎng)絡(luò)層IPICMPARPRARP網(wǎng)絡(luò)接口層X(jué).25ARPnetTelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無(wú)線網(wǎng)絡(luò)SATNETARPNETTCP/IP模型與潛在風(fēng)險(xiǎn)應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽(tīng)和竊取硬件設(shè)備破壞常見(jiàn)黑客攻擊方式應(yīng)用層:應(yīng)用程序和操作系統(tǒng)的攻擊與破壞網(wǎng)絡(luò)層:拒絕服務(wù)攻擊和數(shù)據(jù)竊聽(tīng)風(fēng)險(xiǎn)傳輸層:拒絕服務(wù)攻擊硬件設(shè)備與數(shù)據(jù)鏈路:物理竊聽(tīng)與破壞Internet的安全問(wèn)題的產(chǎn)生Internet起于研究項(xiàng)目,安全不是主要的考慮少量的用戶,多是研究人員,可信的用戶群體可靠性(可用性)、計(jì)費(fèi)、性能、配置、安全網(wǎng)絡(luò)協(xié)議的開(kāi)放性與系統(tǒng)的通用性目標(biāo)可訪問(wèn)性,行為可知性攻擊工具易用性Internet沒(méi)有集中的管理權(quán)威和統(tǒng)一的政策安全政策、計(jì)費(fèi)政策、路由政策網(wǎng)絡(luò)安全的語(yǔ)義范圍

保密性(Confidentiality)

完整性(Integrity)可用性(Availability)局域網(wǎng)的特性

局域網(wǎng)典型特性高數(shù)據(jù)傳輸率短距離低誤碼率常用的局域網(wǎng)介質(zhì)訪問(wèn)控制技術(shù)載波監(jiān)聽(tīng)多路訪問(wèn)/沖突檢測(cè)(CSMA/CD)技術(shù)令牌控制技術(shù)令牌總線控制技術(shù)光纖分布數(shù)據(jù)接口(FDDI)技術(shù)局域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行基本安全配置合理的劃分VLAN分離數(shù)據(jù)廣播域綁定IP地址與Mac地址配置防火墻和IDS設(shè)備使用內(nèi)容監(jiān)控與病毒過(guò)濾良好的網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)安全規(guī)劃原則合理的分配地址合理的網(wǎng)絡(luò)邏輯結(jié)構(gòu)通過(guò)VLAN分隔邏輯網(wǎng)絡(luò)通過(guò)域或工作組確定用戶權(quán)限建立良好的網(wǎng)絡(luò)安全制度網(wǎng)絡(luò)設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問(wèn)的認(rèn)證與授權(quán)升級(jí)設(shè)備固件或OS使用訪問(wèn)控制列表限制訪問(wèn)使用訪問(wèn)控制表限制數(shù)據(jù)包類型廣域網(wǎng)的概念和特性廣域網(wǎng)是覆蓋地理范圍相對(duì)較廣的數(shù)據(jù)通信網(wǎng)絡(luò)。網(wǎng)絡(luò)的規(guī)模和分類:局域網(wǎng)(LAN,localareanetwork)可覆蓋一個(gè)建筑物或一所學(xué)校;城域網(wǎng)(MAN,metropolitanareanetwork)可覆蓋一座城市;(WAN,wideareanetwork)可覆蓋多座城市、多個(gè)國(guó)家或洲。廣域網(wǎng)的構(gòu)成和種類廣域網(wǎng)的參考模型廣域網(wǎng)的構(gòu)成廣域網(wǎng)的種類X.25幀中繼ATM廣域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行基本安全配置確保路由協(xié)議安全使用ACL進(jìn)行數(shù)據(jù)過(guò)濾使用AAA加強(qiáng)訪問(wèn)控制和認(rèn)證分層模型網(wǎng)絡(luò)分層的概念:網(wǎng)絡(luò)協(xié)議按結(jié)構(gòu)化層次方式組織,每層完成一定的功能,每層都建在其下層之上,并通過(guò)層間接口向上層提供服務(wù),將服務(wù)實(shí)現(xiàn)的細(xì)節(jié)對(duì)上層隱蔽。

優(yōu)點(diǎn):減少?gòu)?fù)雜性,維護(hù)、修改相對(duì)容易、不同節(jié)點(diǎn)之間的對(duì)等層可以通過(guò)共享數(shù)據(jù)格式來(lái)進(jìn)行通信

網(wǎng)絡(luò)的分層連同其相應(yīng)協(xié)議叫網(wǎng)絡(luò)體系架構(gòu)。TCP/IP,OSI,SNA,DNA等OSI模型(1)國(guó)際標(biāo)準(zhǔn)組織ISO(InternationalOrganizationforStandardization)提出了開(kāi)放式系統(tǒng)互聯(lián)網(wǎng)絡(luò)體結(jié)架構(gòu)(OpenSystemInterconnection/ReferenceModel)OSI定義了異種機(jī)互連的標(biāo)準(zhǔn)框架,為連接分散的“開(kāi)放”系統(tǒng)提供了基礎(chǔ)——任何兩個(gè)遵守OSI標(biāo)準(zhǔn)的系統(tǒng)均可實(shí)施互連。

七層網(wǎng)絡(luò)體系架構(gòu),這七層網(wǎng)絡(luò)自底向上分別是:物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層,各層完成一定的功能,每層為其上層網(wǎng)絡(luò)提供支持,這種支持表現(xiàn)為數(shù)據(jù)(信息)的封裝:SegmentPacketFrameOSI模型(2)OSI模型各層功能簡(jiǎn)述A:為應(yīng)用進(jìn)程訪問(wèn)OSI環(huán)境提供手段,并為應(yīng)用進(jìn)程提供服務(wù),關(guān)心數(shù)據(jù)的語(yǔ)義,如WWWP:提供數(shù)據(jù)的句法,處理通信雙方之間的數(shù)據(jù)表示問(wèn)題,如ASCIIS:提供一種經(jīng)過(guò)組織的方法在用戶之間交換數(shù)據(jù),如SQLT:資源子網(wǎng)與通信子網(wǎng)的界面和橋梁,端到端的通信N:通信子網(wǎng)與網(wǎng)絡(luò)高層的界面,用戶進(jìn)人網(wǎng)絡(luò)、以及網(wǎng)絡(luò)之間互連的接口,主機(jī)到主機(jī)的通信,即尋址D:進(jìn)行鏈路上的數(shù)據(jù)傳輸,物理尋址P:物理設(shè)備間的接口,電平信號(hào)或光信號(hào)TCP/IP體系架構(gòu)TCP/IP由美國(guó)DODResearchProjectsAgency—DARPA)70年代開(kāi)發(fā)。包括了一組協(xié)議。

采用了網(wǎng)絡(luò)分層的概念,一般稱為DOD體系結(jié)構(gòu)。分為4層:自底向上分別是:網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)互聯(lián)層、傳輸層、應(yīng)用層。

TCP/IP各層功能簡(jiǎn)述應(yīng)用層:向用戶提供一組常用的應(yīng)用程序,如FTP,HTTP,TELNET等,用戶亦可在TCP/UDP基礎(chǔ)上定義專有應(yīng)用。傳輸層:提供應(yīng)用程序間(即端到端)的通信,格式化信息流、提供可靠傳輸及解決不同應(yīng)用程序的識(shí)別問(wèn)題

網(wǎng)絡(luò)互連層:負(fù)責(zé)相鄰計(jì)算機(jī)之間的通信

網(wǎng)絡(luò)接口層:負(fù)責(zé)收發(fā)數(shù)據(jù)包并通過(guò)網(wǎng)絡(luò)傳輸

OSI模型與DOD體系對(duì)照TCP/IP協(xié)議棧物理層安全網(wǎng)絡(luò)層安全傳輸層安全應(yīng)用層安全TCP/IP協(xié)議安全分析TCP/IP協(xié)議集TCP/IP(傳輸控制協(xié)議/網(wǎng)間協(xié)議)是一組網(wǎng)絡(luò)通信協(xié)議,它規(guī)范了網(wǎng)絡(luò)上的所有通信設(shè)備,尤其是一個(gè)主機(jī)與另一個(gè)主機(jī)之間的數(shù)據(jù)往來(lái)格式以及傳送方式TCP/IP協(xié)議集與分層模型TCP/IP網(wǎng)絡(luò)的安全來(lái)由力求簡(jiǎn)單高效的設(shè)計(jì)初衷使TCP/IP協(xié)議集的許多安全因素未得以完善安全缺陷的一些表現(xiàn): TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸

TCP/IP協(xié)議以IP地址作為網(wǎng)絡(luò)節(jié)點(diǎn)的唯一標(biāo)識(shí),此舉并不能對(duì)節(jié)點(diǎn)上的用戶進(jìn)行有效的身份認(rèn)證 協(xié)議本身的特點(diǎn)被利用實(shí)施網(wǎng)絡(luò)攻擊

………物理層的安全威脅

物理層介紹物理層的安全風(fēng)險(xiǎn)分析

物理層的安全防護(hù)物理層介紹第一層稱為物理層(PhysicalLayer),這一層負(fù)責(zé)傳送比特流

提供建立、維護(hù)和拆除物理鏈路所需的機(jī)械、電氣、功能和規(guī)程特性通過(guò)傳輸介質(zhì)進(jìn)行數(shù)據(jù)流的物理傳輸,故障檢測(cè)和物理層管理物理層的安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)主要指網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用,而造成網(wǎng)絡(luò)系統(tǒng)的不可用。 例如:設(shè)備被盜、被毀壞;設(shè)備老化、意外故障;計(jì)算機(jī)系統(tǒng)通過(guò)無(wú)線電輻射泄露秘密信息等。由于局域網(wǎng)中采用廣播方式,因此,若在某個(gè)廣播域中可以偵聽(tīng)到所有的信息包,黑客就可以對(duì)信息包進(jìn)行分析,那么本廣播域的信息傳遞都會(huì)暴露在黑客面前。

物理層的安全防護(hù)網(wǎng)絡(luò)分段網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)分段網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式,物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層(ISO/OSI模型中的第一層和第二層)上分為若干網(wǎng)段,各網(wǎng)段相互之間無(wú)法進(jìn)行直接通訊目前,許多交換機(jī)都有一定的訪問(wèn)控制能力,可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的物理分段網(wǎng)絡(luò)拓?fù)浒踩芾韱T必須了解他們保護(hù)的網(wǎng)絡(luò)的所有布局。黑客最常用的攻擊和滲透到網(wǎng)絡(luò)中的—種方法是在公司內(nèi)部主機(jī)上安裝一個(gè)packetsniffer。記住物理定義了介質(zhì)上的電子信號(hào)。局域網(wǎng)使用基帶傳輸,任何線纜上傳輸?shù)臄?shù)據(jù)將可被任何可以物理連接的人得到。理解你的網(wǎng)絡(luò)布局可以幫助阻止未知的sniffer

發(fā)生。最普通的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是星型,總線型,環(huán)型,和復(fù)合型網(wǎng)絡(luò)層的安全威脅

網(wǎng)絡(luò)層協(xié)議及安全威脅網(wǎng)絡(luò)層的安全防護(hù)與安全協(xié)議網(wǎng)絡(luò)層介紹網(wǎng)絡(luò)層主要用于尋址和路由。它并不提供任何錯(cuò)誤糾正和流控制的方法。網(wǎng)絡(luò)層使用較高效的服務(wù)來(lái)傳送數(shù)據(jù)報(bào)文

網(wǎng)絡(luò)層協(xié)議IP網(wǎng)間協(xié)議(InternetProtocol)。負(fù)責(zé)主機(jī)間數(shù)據(jù)的路由和網(wǎng)絡(luò)上數(shù)據(jù)的存儲(chǔ)。同時(shí)為ICMP、TCP、UDP提供分組發(fā)送服務(wù)。用戶進(jìn)程通常不需要涉及這一層。ARP地址解析協(xié)議(AddressResolutionProtocol)。此協(xié)議將網(wǎng)絡(luò)地址映射到硬件地址。RARP反向地址解析協(xié)議(ReverseAddressResolutionProtocol)。此協(xié)議將硬件地址映射到網(wǎng)絡(luò)地址。ICMP網(wǎng)間報(bào)文控制協(xié)議(InternetControlMessageProtocol)。此協(xié)議處理信關(guān)和主機(jī)間的差錯(cuò)和傳送控制。ICMP報(bào)文使用IP數(shù)據(jù)報(bào)進(jìn)行傳送,這些報(bào)文通常由TCP/IP網(wǎng)絡(luò)軟件本身來(lái)保證正確性。網(wǎng)絡(luò)層的安全威脅IP協(xié)議安全(spoofing等)Internet控制信息協(xié)議(ICMP)ARP欺騙和ARP洪水,DoSIGMP攻擊ARP協(xié)議ARP:將IP地址轉(zhuǎn)化成MAC地址的一種協(xié)議,ARP在IP層之下,一般認(rèn)為其屬網(wǎng)絡(luò)層,但它利用數(shù)據(jù)鏈路層工作---分層并不嚴(yán)格以太網(wǎng)的傳輸靠mac地址決定,即主機(jī)響應(yīng)ip包依靠ip包中所包含的mac地址來(lái)識(shí)別:主機(jī)在發(fā)送一個(gè)ip包之前,它要到該轉(zhuǎn)換表中尋找和ip包對(duì)應(yīng)的mac地址。如果沒(méi)有找到,該主機(jī)就發(fā)送一個(gè)ARP廣播包,看起來(lái)象這樣子:

"我是主機(jī)xxx.xxx.xxx.xxx,mac是xxxxxxxxxxx,ip為xxx.xxx.xxx.xx1的主機(jī)請(qǐng)告之你的mac來(lái)"

ip為xxx.xxx.xxx.xx1的主機(jī)響應(yīng)這個(gè)廣播,應(yīng)答ARP廣播為:

"我是xxx.xxx.xxx.xx1,我的mac為xxxxxxxxxx2"

*ARP的查詢包為廣播包,而ARP的應(yīng)答包為單播包ARP協(xié)議安全問(wèn)題針對(duì)ARP的攻擊主要有兩種,一種是DOS,一種是SpoofDOS:大量的arp

請(qǐng)求報(bào)文的攻擊假冒ARP應(yīng)答---DOS:冒充B向A應(yīng)答,使得A與B的通信不成功點(diǎn)對(duì)點(diǎn)的假冒查詢:顯充A向B發(fā)包更新B的ARP表,使B與A的通信不成功

自動(dòng)定時(shí)ARP欺騙:對(duì)網(wǎng)關(guān)的干擾推測(cè)ARP解析時(shí)間解決ARP協(xié)議安全網(wǎng)絡(luò)安全信任關(guān)系不要單純建立在ip或mac基礎(chǔ)上設(shè)置靜態(tài)的mac-->ip對(duì)應(yīng)表,不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表使用ARP服務(wù)器:確保該機(jī)安全,通過(guò)該機(jī)查找自己的ARP轉(zhuǎn)換表來(lái)響應(yīng)其他機(jī)器的ARP廣播使用"proxy"代理ip的傳輸使用硬件屏蔽主機(jī),交換機(jī)和網(wǎng)橋無(wú)法阻止ARP欺騙定期用響應(yīng)的ip包中獲得一個(gè)rarp請(qǐng)求,然后檢查ARP響應(yīng)的真實(shí)性使用防火墻/IDS連續(xù)監(jiān)控網(wǎng)絡(luò)IP協(xié)議網(wǎng)際協(xié)議,

TCP/IP協(xié)議族中的主要網(wǎng)絡(luò)層協(xié)議,與TCP協(xié)議結(jié)合組成整個(gè)因特網(wǎng)協(xié)議的核心協(xié)議。包含尋址信息和控制信息,可使數(shù)據(jù)包在網(wǎng)絡(luò)中路由。IP適用于LAN和WAN通信。除了ARP和RARP,其它所有TCP/IP族中的協(xié)議都是使用

IP傳送主機(jī)與主機(jī)間的通信兩個(gè)基本任務(wù):提供無(wú)連接的和最有效的數(shù)據(jù)包傳送;提供數(shù)據(jù)包的分割及重組以支持不同最大傳輸單元大小的數(shù)據(jù)連接。IP協(xié)議只用于發(fā)送包,TCP協(xié)議負(fù)責(zé)將其按正確順序排列IP協(xié)議結(jié)構(gòu)HeaderlengthTypeofserviceTotallengthinbytesIdentification3bitflags13bitfragmentoffsetTimetoliveProtocolIDHeaderchecksumSourceIPaddressDestinationIPaddressVersion0Bit16Bit32BitdataTCP/UDPheaderIPheaderIP協(xié)議結(jié)構(gòu)Version–4位字段,指出當(dāng)前使用的IP版本。IPHeaderLength(IHL)―指數(shù)據(jù)報(bào)協(xié)議頭長(zhǎng)度,具有32位字長(zhǎng)。指向數(shù)據(jù)起點(diǎn)。正確協(xié)議頭最小值為5。Type-of-Service―指出上層協(xié)議對(duì)處理當(dāng)前數(shù)據(jù)報(bào)所期望的服務(wù)質(zhì)量,并對(duì)數(shù)據(jù)報(bào)按照重要性級(jí)別進(jìn)行分配。這些8位字段用于分配優(yōu)先級(jí)、延遲、吞吐量以及可靠性。TotalLength―指定整個(gè)IP數(shù)據(jù)包的字節(jié)長(zhǎng)度,包括數(shù)據(jù)和協(xié)議頭。其最大值為65,535字節(jié)。典型的主機(jī)可以接收576字節(jié)的數(shù)據(jù)報(bào)。Identification―包含一個(gè)整數(shù),用于識(shí)別當(dāng)前數(shù)據(jù)報(bào)。該字段由發(fā)送端分配幫助接收端集中數(shù)據(jù)報(bào)分片。Flags―由3位字段構(gòu)成,其中低兩位(最不重要)控制分片。低位指出數(shù)據(jù)包是否可進(jìn)行分片。中間位指出在一系列分片數(shù)據(jù)包中數(shù)據(jù)包是否是最后的分片。第三位即最高位不使用。FragmentOffset―13位字段,指出與源數(shù)據(jù)報(bào)的起始端相關(guān)的分片數(shù)據(jù)位置,支持目標(biāo)IP適當(dāng)重建源數(shù)據(jù)報(bào)。Time-to-Live―是一種計(jì)數(shù)器,在丟棄數(shù)據(jù)報(bào)的每個(gè)點(diǎn)值依次減1直至減少為0。這樣確保數(shù)據(jù)包無(wú)止境的環(huán)路過(guò)程。Protocol―指出在IP處理過(guò)程完成之后,有哪種上層協(xié)議接收導(dǎo)入數(shù)據(jù)包。HeaderChecksum―幫助確保

IP協(xié)議頭的完整性。由于某些協(xié)議頭字段的改變,如生存期(TimetoLive),這就需要對(duì)每個(gè)點(diǎn)重新計(jì)算和檢驗(yàn)。Internet協(xié)議頭需要進(jìn)行處理。SourceAddress―指定發(fā)送代碼。DestinationAddress―指定接收代碼。Options―允許IP支持各種選項(xiàng),如安全性。Data―包括上層信息。IP協(xié)議安全問(wèn)題IP協(xié)議存在的主要缺陷包括IP通信不需用進(jìn)行身份認(rèn)證,IP數(shù)據(jù)傳輸沒(méi)有加密,IP的分組和重組機(jī)制不完善,IP地址的表示不需要真實(shí)并確認(rèn)真假等。IP碎片攻擊,源路由攻擊,IP欺騙,IP偽造,PingFlooding和PingofDeath等大量的攻擊,都是利用IP協(xié)議的缺陷對(duì)IP協(xié)議進(jìn)行攻擊的。且很多上層的安全隱患源于

IP欺騙,如DNS欺騙等實(shí)例:Smurf攻擊

,向大量的遠(yuǎn)程主機(jī)發(fā)送一系列的ping請(qǐng)求命令。黑客把源IP地址換成想要攻擊目標(biāo)主機(jī)的IP地址。所有的遠(yuǎn)程計(jì)算機(jī)都響應(yīng)這些ping請(qǐng)求,然后對(duì)目標(biāo)地址進(jìn)行回復(fù)而不是回復(fù)給攻擊者的IP地址用。目標(biāo)IP地址將被大量的ICMP包淹沒(méi)而不能有效的工作。IP協(xié)議安全解決辦法網(wǎng)絡(luò)分段VLAN防火墻IPSecICMP協(xié)議ICMP是“InternetControlMessageProtocol”(Internet控制消息協(xié)議)的縮寫控制消息是指網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息??刂葡⒉⒉粋鬏斢脩魯?shù)據(jù),但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。如PingICMP在IP層之上,利用IP層收、發(fā)數(shù)據(jù)包ICMP協(xié)議結(jié)構(gòu)ICMP協(xié)議結(jié)構(gòu)Type―錯(cuò)誤消息或信息消息。錯(cuò)誤消息可能是不可獲得目標(biāo)文件,數(shù)據(jù)包太大,超時(shí),參數(shù)問(wèn)題等??赡艿男畔⑾⒂校篍choRequest、EchoReply、GroupMembershipQuery、GroupMembershipReport、GroupMembershipReduction。Code―每種消息類型具有多種不同代碼。不可獲得目標(biāo)文件正是這樣一個(gè)例子,即其中可能的消息是:目標(biāo)文件沒(méi)有路由,禁止與目標(biāo)文件的通信,非鄰居,不可獲得地址,不可獲得端口。具體細(xì)節(jié)請(qǐng)參照相關(guān)標(biāo)準(zhǔn)。Checksum―計(jì)算校驗(yàn)和時(shí),Checksum字段設(shè)置為0。Identifier―幫助匹配Requests/Replies的標(biāo)識(shí)符,值可能為0。SequenceNumber―幫助匹配

Requests/Replies的序列號(hào),值可能為0。AddressMask―32位掩碼地址。

ICMP安全問(wèn)題lotsofnastythingscanbedonewithICMPmessageswhenscanningnetworksortryingtogainacovertchannelICMP協(xié)議本身的特點(diǎn)決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由器和主機(jī),此外也被用于攻擊前期掃描工作的系統(tǒng)指紋識(shí)別*基于ICMP路由欺騙的技術(shù)都是停留在理論上占整個(gè)攻擊總數(shù)的90%以上如:1.可以利用操作系統(tǒng)規(guī)定的ICMP數(shù)據(jù)包最大尺寸不超過(guò)64KB這一規(guī)定,向主機(jī)發(fā)起“PingofDeath”(死亡之Ping)攻擊2.向目標(biāo)主機(jī)長(zhǎng)時(shí)間、連續(xù)、大量地發(fā)送ICMP數(shù)據(jù)包,也會(huì)最終使系統(tǒng)癱瘓。ICMP協(xié)議安全解決辦法在路由器上對(duì)ICMP數(shù)據(jù)包進(jìn)行帶寬限制,將ICMP占用的帶寬控制在一定的范圍內(nèi)在主機(jī)上設(shè)置ICMP數(shù)據(jù)包的處理規(guī)則,最好是設(shè)定拒絕所有的ICMP數(shù)據(jù)包--包過(guò)濾/防火墻IGMP協(xié)議IGMP(InternetGroupManagementProtocol)是IP主機(jī)用作向相鄰多目路由器報(bào)告多目組成員。多目路由器是支持組播的路由器,向本地網(wǎng)絡(luò)發(fā)送IGMP查詢。主機(jī)通過(guò)發(fā)送IGMP報(bào)告來(lái)應(yīng)答查詢。組播路由器負(fù)責(zé)將組播包轉(zhuǎn)發(fā)到所有網(wǎng)絡(luò)中組播成員。Internet組管理協(xié)議(IGMP)是因特網(wǎng)協(xié)議家族中的一個(gè)組播協(xié)議,用于IP主機(jī)向任一個(gè)直接相鄰的路由器報(bào)告他們的組成員情況。IGMP信息封裝在

IP報(bào)文中,其

IP的協(xié)議號(hào)為2IGMP由IETF()定義在

RFC1112、RFC2236和RFC3376中IGMP協(xié)議結(jié)構(gòu)Type―0x11信息類型(會(huì)員查詢)MaxResponseTime―只用于會(huì)員查詢信息。規(guī)定每1/10秒中發(fā)送響應(yīng)報(bào)告之前的最大允許時(shí)間。在所有其它信息中,發(fā)送方設(shè)置該值為0,而接收方忽略不計(jì)。Checksum―信息差錯(cuò)的校驗(yàn)和。GroupAddress―當(dāng)發(fā)送一個(gè)通用查詢時(shí),GroupAddress設(shè)為0。當(dāng)發(fā)送一個(gè)特定組查詢或組及特定源查詢時(shí),它被設(shè)置為正在查詢的GroupAddress。在離開(kāi)組信息的會(huì)員報(bào)告中,該字段用于保存將要報(bào)告或離開(kāi)的組的IP組播組地址。RSV―預(yù)留。傳輸過(guò)程中設(shè)置為0,接收方忽略不計(jì)。QQIC―查詢者的查詢間隔代碼。NumberofSource(N)―信息中源地址的數(shù)目。SourceAddress―IP單播地址向量。IGMP協(xié)議結(jié)構(gòu)IGMP協(xié)議安全問(wèn)題可以發(fā)送畸形的igmp包來(lái)導(dǎo)致系統(tǒng)tcp-ip棧崩潰.win95最常用的igmp攻擊就是偽造一個(gè)目的地址是單個(gè)ip,但ip上層協(xié)議指定為IGMP,系統(tǒng)會(huì)為你打造一個(gè)igmp報(bào)頭,因?yàn)榻M播使用D類地址,所以系統(tǒng)不知如何處理,造成崩潰.IGMP攻擊如:向有WINDOWS9x操作系統(tǒng)的機(jī)器發(fā)送長(zhǎng)度和數(shù)量都較大的IGMP數(shù)據(jù)包。典型的攻擊工具有DOOM。IGMP安全解決辦法直接阻塞外來(lái)的IGMP數(shù)據(jù)包網(wǎng)絡(luò)層的安全防護(hù)網(wǎng)絡(luò)分段網(wǎng)絡(luò)安全掃描技術(shù)入侵檢測(cè)技術(shù)VPN技術(shù)加密技術(shù)、數(shù)字簽名和認(rèn)證技術(shù)防火墻服務(wù)VLAN的實(shí)現(xiàn)網(wǎng)絡(luò)層的安全防護(hù)網(wǎng)絡(luò)層的安全防護(hù)邏輯網(wǎng)絡(luò)分段:網(wǎng)絡(luò)分成若干IP子網(wǎng),各子網(wǎng)際必須通過(guò)路由器、路由交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接,利用這些中間設(shè)備(含軟件、硬件)的安全機(jī)制來(lái)控制各子網(wǎng)際的訪問(wèn)。VLAN的實(shí)施:按照系統(tǒng)的安全性來(lái)劃分VLAN防火墻服務(wù):在網(wǎng)絡(luò)入口點(diǎn)檢查網(wǎng)絡(luò)通訊,根據(jù)設(shè)定的安全規(guī)則,在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下,提供內(nèi)外網(wǎng)絡(luò)通訊。加密技術(shù):通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的加密來(lái)保障網(wǎng)絡(luò)的安全可靠性,有面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)2種形式數(shù)字簽名和認(rèn)證技術(shù):解決網(wǎng)絡(luò)通訊過(guò)程中通訊雙方的身份認(rèn)可VPN技術(shù):在不可信任的公共網(wǎng)絡(luò)上安全的通信

網(wǎng)絡(luò)層安全協(xié)議IPSEC:于1995年在互聯(lián)網(wǎng)標(biāo)準(zhǔn)草案中頒布可以保證局域網(wǎng)、專用或公用的廣域網(wǎng)及Internet上信息傳輸?shù)陌踩饕卣魇强梢詫?duì)所有IP級(jí)的通信進(jìn)行加密和認(rèn)證提供三種形式來(lái)保護(hù)通過(guò)IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù)數(shù)據(jù)認(rèn)證--可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)在數(shù)據(jù)完整性方面是一致的,同時(shí)可以確定申請(qǐng)發(fā)送者在實(shí)際上是真實(shí)發(fā)送者,而不是偽裝的完整--保證數(shù)據(jù)從原發(fā)地到目的地的傳送過(guò)程中沒(méi)有任何不可檢測(cè)的數(shù)據(jù)丟失與改變機(jī)密性--使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容,而無(wú)意獲取數(shù)據(jù)的接收者無(wú)法獲知數(shù)據(jù)的真正內(nèi)容從VPN實(shí)例看網(wǎng)絡(luò)層數(shù)據(jù)安全防護(hù)基于PPTP,使用windows2000提供的遠(yuǎn)程訪問(wèn)和路由服務(wù)構(gòu)造VPN鏈接:使用挑戰(zhàn)握手協(xié)議chapv2/v1加密認(rèn)證使用明文密碼協(xié)議pap進(jìn)行認(rèn)證internetWin2kServerRASWinPro/XP/ServerVPN構(gòu)造實(shí)例服務(wù)端(遠(yuǎn)程訪問(wèn)和路由服務(wù))客戶端(VPNClient)

網(wǎng)絡(luò)連接使用PAP認(rèn)證服務(wù)端控制策略的身份驗(yàn)證配置客戶端安全設(shè)置使用PAP認(rèn)證PAP認(rèn)證使用了明文傳輸?shù)拿艽a使用CHAP認(rèn)證客戶端安全配置服務(wù)端遠(yuǎn)程訪問(wèn)控制策略網(wǎng)絡(luò)層的安全性特點(diǎn)主要優(yōu)點(diǎn):透明性,也就是說(shuō),安全服務(wù)的提供不需要應(yīng)用程序、其他通信層次和網(wǎng)絡(luò)部件做任何改動(dòng)主要缺點(diǎn):網(wǎng)絡(luò)層一般對(duì)屬于不同進(jìn)程和相應(yīng)條例的包不作區(qū)別。對(duì)所有去往同一地址的包,它將按照同樣的加密密鑰和訪問(wèn)控制策略來(lái)處理。這可能導(dǎo)致提供不了所需的功能,也會(huì)導(dǎo)致性能下降

傳輸層的安全威脅

傳輸層介紹傳輸層協(xié)議及其安全分析

傳輸層介紹傳輸層控制主機(jī)間傳輸?shù)臄?shù)據(jù)流。TCP傳輸控制協(xié)議(TransmissionControlProtocol)。這是一種提供給用戶進(jìn)程的可靠的全雙工字節(jié)流面向連接的協(xié)議。它要為用戶進(jìn)程提供虛電路服務(wù),并為數(shù)據(jù)可靠傳輸建立檢查。大多數(shù)網(wǎng)絡(luò)用戶程序使用TCP。UDP用戶數(shù)據(jù)報(bào)協(xié)議(UserDatagramProtocol)。這是提供給用戶進(jìn)程的無(wú)連接協(xié)議,用于傳送數(shù)據(jù)而不執(zhí)行正確性檢查。

TCP協(xié)議通過(guò)序列確認(rèn)以及包重發(fā)機(jī)制,提供可靠的數(shù)據(jù)流發(fā)送和到應(yīng)用程序的虛擬連接服務(wù)。與IP協(xié)議相結(jié)合,TCP組成了因特網(wǎng)協(xié)議的核心。網(wǎng)絡(luò)

IP地址和端口號(hào)結(jié)合成為唯一的標(biāo)識(shí),我們稱之為“套接字”或“端點(diǎn)”。TCP在端點(diǎn)間建立連接或虛擬電路進(jìn)行可靠通信。提供數(shù)據(jù)流傳輸、可靠性、有效流控制、全雙工操作和多路復(fù)用技術(shù)等。TCP協(xié)議數(shù)據(jù)流傳輸

,TCP交付一個(gè)由序列號(hào)定義的無(wú)結(jié)構(gòu)的字節(jié)流。這個(gè)服務(wù)對(duì)應(yīng)用程序有利,因?yàn)樵谒统龅絋CP之前應(yīng)用程序不需要將數(shù)據(jù)劃分成塊,

TCP可以將字節(jié)整合成字段,然后傳給IP進(jìn)行發(fā)送??煽啃?。TCP在字節(jié)上加上一個(gè)遞進(jìn)的確認(rèn)序列號(hào)來(lái)告訴接收者發(fā)送者期望收到的下一個(gè)字節(jié)。如果在規(guī)定時(shí)間內(nèi),沒(méi)有收到關(guān)于這個(gè)包的確認(rèn)響應(yīng),重新發(fā)送此包。TCP的可靠機(jī)制允許設(shè)備處理丟失、延時(shí)、重復(fù)及讀錯(cuò)的包。超時(shí)機(jī)制允許設(shè)備監(jiān)測(cè)丟失包并請(qǐng)求重發(fā)。有效流控制。當(dāng)向發(fā)送者返回確認(rèn)響應(yīng)時(shí),接收TCP進(jìn)程就會(huì)說(shuō)明它能接收并保證緩存不會(huì)發(fā)生溢出的最高序列號(hào)。全雙工操作:TCP進(jìn)程能夠同時(shí)發(fā)送和接收包。多路技術(shù):大量同時(shí)發(fā)生的上層會(huì)話能在單個(gè)連接上時(shí)進(jìn)行多路復(fù)用。TCP協(xié)議結(jié)構(gòu)SourcePort–識(shí)別上層源處理器接收

TCP服務(wù)的點(diǎn)。DestinationPort–識(shí)別上層目標(biāo)處理器接收

TCP服務(wù)的點(diǎn)。SequenceNumber–通常指定分配到當(dāng)前信息中的數(shù)據(jù)首字節(jié)的序號(hào)。在連接建立階段,該字段用于設(shè)別傳輸中的初始序列號(hào)。AcknowledgmentNumber–包含數(shù)據(jù)包發(fā)送端期望接收的數(shù)據(jù)下一字節(jié)的序列號(hào)。一旦連接成功,該值會(huì)一直被發(fā)送。DataOffset–4位。TCP協(xié)議頭中的32位字序號(hào)表示數(shù)據(jù)開(kāi)始位置。Reserved–6位。預(yù)留以備用,必須設(shè)置為0。ControlBits(Flags)–6位。傳送各種控制信息。Window–16位。指定發(fā)送端接收窗口的大小,也就是說(shuō),數(shù)據(jù)可用的八位緩存區(qū)大小。Checksum–16位。指出協(xié)議頭在傳輸中是否遭到破壞。UrgentPointer–16位。指向數(shù)據(jù)包中的第一個(gè)重要數(shù)據(jù)字節(jié)。Option+Padding–指定各種

TCP選項(xiàng)??蛇x項(xiàng)有兩種可能形式:?jiǎn)蝹€(gè)八位可選類型和八位可選類型,八位可選長(zhǎng)度和實(shí)際可選數(shù)據(jù)八位位組。Data–包含上層信息TCP協(xié)議結(jié)構(gòu)建立一個(gè)TCP連接SYN(SEQs=ISNc)SYN(SEQs=ISNc),ACK(SEQA=ISNc+1)ACK(SEQA=ISNs+1)服務(wù)器S客戶機(jī)C結(jié)束一個(gè)TCP連接TCP協(xié)議的安全問(wèn)題

TCP協(xié)議被攻擊,主要是利用TCP的三次握手機(jī)制,如有:TCP序列號(hào)欺騙

TCP序列號(hào)轟炸攻擊

SYNFlooding攻擊,ACKFlooding攻擊等;此外,Tcp

掃描攻擊包括SYNscan、FINscan、XmasTreescan和Nullscan也是TCP安全問(wèn)題之一,再如會(huì)話劫持、RST攻擊等傳輸層協(xié)議,為無(wú)確認(rèn)的數(shù)據(jù)報(bào)服務(wù),只是簡(jiǎn)單的接收和傳輸數(shù)據(jù)UDP比TCP傳輸數(shù)據(jù)快UDP頭標(biāo)UDP數(shù)據(jù)區(qū)IP頭標(biāo)IP數(shù)據(jù)區(qū)UDPUDP無(wú)連接的傳輸層協(xié)議,提供面向事務(wù)的簡(jiǎn)單不可靠信息傳送服務(wù)與TCP不同,UDP并不提供對(duì)IP協(xié)議的可靠機(jī)制、流控制以及錯(cuò)誤恢復(fù)功能等。UDP比較簡(jiǎn)單,UDP頭包含很少的字節(jié),比TCP負(fù)載消耗少。UDP適用于不需要

TCP可靠機(jī)制的情形,如網(wǎng)絡(luò)文件系統(tǒng)(NFS)、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)、域名系統(tǒng)(DNS)以及簡(jiǎn)單文件傳輸系統(tǒng)(TFTP)均基于UDPUDP協(xié)議結(jié)構(gòu)SourcePort—16位。源端口是可選字段。當(dāng)使用時(shí),它表示發(fā)送程序的端口,同時(shí)它還被認(rèn)為是沒(méi)有其它信息的情況下需要被尋址的答復(fù)端口。如果不使用,設(shè)置值為0。DestinationPort—16位。目標(biāo)端口在特殊因特網(wǎng)目標(biāo)地址的情況下具有意義。Length—16位。該用戶數(shù)據(jù)報(bào)的八位長(zhǎng)度,包括協(xié)議頭和數(shù)據(jù)。長(zhǎng)度最小值為8。Checksum—16位。IP協(xié)議頭、UDP協(xié)議頭和數(shù)據(jù)位,最后用0填補(bǔ)的信息假協(xié)議頭總和。如果必要的話,可以由兩個(gè)八位復(fù)合而成。Data—包含上層數(shù)據(jù)信息。UDP協(xié)議結(jié)構(gòu)UDP協(xié)議安全問(wèn)題對(duì)UDP協(xié)議的攻擊,主要利用UDP協(xié)議本身特性,進(jìn)行流量攻擊,強(qiáng)化UDP通信的不可靠性,以達(dá)到拒絕服務(wù)的目的。此外,某些Unix的服務(wù)器默認(rèn)一些可被惡意利用的UDP服務(wù),如echo和chargen,它會(huì)顯示接收到的每一個(gè)數(shù)據(jù)包,而原本作為測(cè)試功能的chargen服務(wù)會(huì)在收到每一個(gè)數(shù)據(jù)包時(shí)隨機(jī)反饋一些字符,如果惡意攻擊者將這2個(gè)UDP服務(wù)互指,則網(wǎng)絡(luò)可用帶寬將很快耗盡。

UDP協(xié)議安全問(wèn)題Trinoo就是基于UDPflood的攻擊軟件,它向被攻擊目標(biāo)主機(jī)的隨機(jī)端口發(fā)出全零的4字節(jié)UDP包,在處理這些超出其處理能力垃圾數(shù)據(jù)包的過(guò)程中,被攻擊主機(jī)的網(wǎng)絡(luò)性能不斷下降,直到不能提供正常服務(wù),乃至崩潰以及釣魚(yú)島事件中用于攻擊日本的阿拉丁UDP攻擊軟件傳輸層安全性 傳輸層處于通信子網(wǎng)和資源子網(wǎng)之間,起著承上啟下的作用,支持多種安全服務(wù):對(duì)等實(shí)體認(rèn)證服務(wù);訪問(wèn)控制服務(wù);數(shù)據(jù)保密服務(wù);數(shù)據(jù)完整性服務(wù);數(shù)據(jù)源點(diǎn)認(rèn)證服務(wù)。

傳輸層安全措施采用安全協(xié)議:SSL和PCTtls應(yīng)用傳輸層安全協(xié)議要對(duì)傳輸層IPC界面和應(yīng)用程序兩端都進(jìn)行修改

基于UDP的通信很難在傳輸層建立起安全機(jī)制

優(yōu)點(diǎn):提供基于進(jìn)程對(duì)進(jìn)程的(而不是主機(jī)對(duì)主機(jī)的)安全服務(wù)

使用防火墻/包過(guò)濾針對(duì)TCP和UDP攻擊的防火墻安全策略目的:阻止傳輸層協(xié)議特點(diǎn)被利用帶來(lái)的系統(tǒng)與數(shù)據(jù)安全威脅應(yīng)用層的安全威脅

應(yīng)用層介紹應(yīng)用層常見(jiàn)協(xié)議安全性應(yīng)用層的安全實(shí)現(xiàn)

應(yīng)用層介紹標(biāo)準(zhǔn)協(xié)議:簡(jiǎn)單郵件傳輸協(xié)議(SMTP)文件傳輸協(xié)議(FTP)超文本傳輸協(xié)議(HTTP)遠(yuǎn)程連接服務(wù)標(biāo)準(zhǔn)協(xié)議(Telnet)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)域名系統(tǒng)(DNS)定制應(yīng)用:復(fù)雜DNSSNMPTelnetHTTPFTPSMTPFTP協(xié)議文件傳輸協(xié)議(FTP)使得主機(jī)間可以共享文件FTP使用

TCP生成一個(gè)虛擬連接用于控制信息,然后再生成一個(gè)單獨(dú)的TCP連接用于數(shù)據(jù)傳輸??刂七B接使用類似

TELNET協(xié)議在主機(jī)間交換命令和消息。主要功能:提供文件的共享(計(jì)算機(jī)程序/數(shù)據(jù));支持間接使用遠(yuǎn)程計(jì)算機(jī);使用戶不因各類主機(jī)文件存儲(chǔ)器系統(tǒng)的差異而受影響;可靠且有效的傳輸數(shù)據(jù)。

FTP協(xié)議結(jié)構(gòu)FTP安全問(wèn)題上載弱點(diǎn) 上載就是允許客戶將文件傳送到服務(wù)器,此弱點(diǎn)對(duì)連接在互聯(lián)網(wǎng)上的服務(wù)器來(lái)言,大量的數(shù)據(jù)涌入服務(wù)器,致使服務(wù)器的磁盤空間被填滿,導(dǎo)致系統(tǒng)不能正常工作;參數(shù)溢出參數(shù)溢出主要是在PASV方式下,由于執(zhí)行不完善的命令,導(dǎo)致系統(tǒng)CoreDump而使系統(tǒng)崩潰;遠(yuǎn)程執(zhí)行漏洞遠(yuǎn)程執(zhí)行功能如果允許執(zhí)行諸如cat,cp等能瀏覽和拷貝文件的命令,則系統(tǒng)存在很大的危險(xiǎn)性,入侵者可以利用此功能獲取系統(tǒng)中的敏感文件,或改變系統(tǒng)中的配置文件;獲取超級(jí)用戶權(quán)限獲取超級(jí)用戶權(quán)限主要是有些FTP服務(wù)進(jìn)程支持CD~root命令,此命令可使普通用戶獲得超級(jí)用戶權(quán)限。Telnet協(xié)議TELNET是TCP/IP環(huán)境下的終端仿真協(xié)議,通過(guò)

TCP建立服務(wù)器與客戶機(jī)之間的連接。Telnet協(xié)議結(jié)構(gòu)Telnet安全問(wèn)題Telnet本身的缺陷是沒(méi)有口令保護(hù)沒(méi)有強(qiáng)力認(rèn)證過(guò)程沒(méi)有完整性檢查傳送的數(shù)據(jù)都沒(méi)有加密客戶機(jī)/服務(wù)器模型

HTTP協(xié)議請(qǐng)求/響應(yīng)式的應(yīng)用層協(xié)議請(qǐng)求的格式是:統(tǒng)一資源標(biāo)識(shí)符(URI)、協(xié)議版本號(hào),后面是類似

MIME的信息,包括請(qǐng)求修飾符、客戶機(jī)信息和可能的內(nèi)容。響應(yīng)信息,其格式是:一個(gè)狀態(tài)行包括信息的協(xié)議版本號(hào)、一個(gè)成功或錯(cuò)誤的代碼,后面也是類似

MIME的信息,包括服務(wù)器信息、實(shí)體信息和可能的內(nèi)容。也可用作普通協(xié)議,實(shí)現(xiàn)用戶代理與連接其它Internet服務(wù)(如SMTP、NNTP、FTP、GOPHER及WAIS)的代理服務(wù)器或網(wǎng)關(guān)之間的通信,允許基本的超媒體訪問(wèn)各種應(yīng)用提供的資源,同時(shí)簡(jiǎn)化了用戶代理系統(tǒng)的實(shí)施HTTP協(xié)議結(jié)構(gòu)HTTP協(xié)議安全問(wèn)題HTTP協(xié)議明文傳輸數(shù)據(jù)。WEB用戶可能下載有破壞性的ActiveX控件或JAVAapplets這些程序在用戶的計(jì)算機(jī)上執(zhí)行并含有某種類別的代碼,包括病毒或特洛伊木馬HTTP服務(wù)器也必須要小心保護(hù),HTTP服務(wù)器在很多基礎(chǔ)上類似FTP服務(wù)器HTTP明文被截獲SMTP協(xié)議SMTP是建模在FTP文件傳輸服務(wù)上的一種郵件服務(wù),主要用于傳輸系統(tǒng)之間的郵件信息并提供來(lái)信有關(guān)的通知。SMTP獨(dú)立于特定的傳輸子系統(tǒng),且只需要可靠有序的數(shù)據(jù)流信道支持。SMTP重要特性之一是其能跨越網(wǎng)絡(luò)傳輸郵件,即“

SMTP郵件中繼”。使用

SMTP,可實(shí)現(xiàn)相同網(wǎng)絡(luò)上處理機(jī)之間的郵件傳輸,也可通過(guò)中繼器或網(wǎng)關(guān)實(shí)現(xiàn)某處理機(jī)與其它網(wǎng)絡(luò)之間的郵件傳輸。域名服務(wù)系統(tǒng)(DNS)的郵件交換服務(wù)器可以用來(lái)識(shí)別出傳輸郵件的下一跳IP地址。SMTP協(xié)議結(jié)構(gòu)SMTP安全問(wèn)題大多數(shù)郵件系統(tǒng)使用SMTP實(shí)現(xiàn) 用TCP進(jìn)行的郵件交換是由報(bào)文傳送代理MTA(MessageTransferAgent)完成的。兩個(gè)MTA之間用NVTASCII進(jìn)行通信,客戶向服務(wù)器發(fā)出命令,服務(wù)器用數(shù)字應(yīng)答碼和可選的字符串進(jìn)行響應(yīng)SMTP自身沒(méi)有安全問(wèn)題,但處理SMTP的服務(wù)器存在安全問(wèn)題,如郵件中繼代理open-relaySNMP協(xié)議用于在IP網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點(diǎn)使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)效能,發(fā)現(xiàn)并解決網(wǎng)絡(luò)問(wèn)題以及規(guī)劃網(wǎng)絡(luò)增長(zhǎng)。通過(guò)

SNMP接收隨機(jī)消息(及事件報(bào)告)網(wǎng)絡(luò)管理系統(tǒng)獲知網(wǎng)絡(luò)出現(xiàn)問(wèn)題。三個(gè)主要組成部分:管理的設(shè)備、代理和網(wǎng)絡(luò)管理系統(tǒng)。一種應(yīng)用程序協(xié)議,封裝在

UDP/TCP中。SNMP安全問(wèn)題SNMPv1跟蹤消息處理系列缺陷:SNMP代理(SNMPagents)發(fā)送跟蹤消息(SNMPtrapmessages)到管理器(SNMPmanager),向管理器報(bào)告錯(cuò)誤信息、警報(bào)和其它的有關(guān)宿主的狀態(tài)信息。管理器必須解析和處理這些數(shù)據(jù)。OUSPG發(fā)現(xiàn)很多SNMP管理器在解析和處理過(guò)程中存在缺陷(ouluuniversitysecureprogramminggroup)SNMPv1請(qǐng)求信息處理系列缺陷:在數(shù)據(jù)處理過(guò)程中,代理和管理器都有出現(xiàn)拒絕服務(wù)錯(cuò)誤、格式化字符串錯(cuò)誤和緩沖溢出攻擊的可能。SNMP的安全隱患團(tuán)體名作為唯一的SNMP認(rèn)證手段,也是薄弱環(huán)節(jié)之一SNMPv1消息的團(tuán)體名在網(wǎng)上以明碼傳輸SNMP主要采用UDP傳輸,很容易進(jìn)行IP源地址假冒多數(shù)SNMP設(shè)備接收來(lái)自網(wǎng)絡(luò)廣播地址的SNMP消息SNMP安全問(wèn)題攻擊方法:如果獲取支持SNMP協(xié)議設(shè)備的“communitystring”,攻擊者將可以修改路由器配置、獲取服務(wù)器最高控制權(quán)、重新啟動(dòng)設(shè)備不知道“communitystring”的前提下,則進(jìn)行拒絕服務(wù)攻擊。SNMP安全解決辦法從廠商獲得補(bǔ)丁程序并執(zhí)行禁止SNMP服務(wù)

邊界訪問(wèn)過(guò)濾

(tcp161/162,udp161/162)在內(nèi)部網(wǎng)絡(luò)中過(guò)濾不正常的SNMP訪問(wèn)

修改缺省的"communitystring"隔離SNMP包

分布式網(wǎng)絡(luò)目錄服務(wù),用于域名與IP地址的相互轉(zhuǎn)換,控制電子郵件發(fā)送,負(fù)載均衡等。多數(shù)因特網(wǎng)服務(wù)依賴于DNS而工作兩個(gè)獨(dú)立的方面:定義命名語(yǔ)法和規(guī)范,以利于通過(guò)名稱委派域名權(quán)限?;菊Z(yǔ)法是:local.group.site;定義如何實(shí)現(xiàn)一個(gè)分布式計(jì)算機(jī)系統(tǒng),以便有效地將域名轉(zhuǎn)換成

IP地址。DNS協(xié)議結(jié)構(gòu)DNS協(xié)議結(jié)構(gòu)DNS協(xié)議結(jié)構(gòu)ID–用于連接查詢和答復(fù)的16bit。Q–識(shí)別查詢和答復(fù)消息的1位字段。Query–描述消息類型的4位字段:0標(biāo)準(zhǔn)查詢(由姓名到地址);1逆向查詢;2服務(wù)狀態(tài)請(qǐng)求A–命令回答:1位字段。當(dāng)設(shè)置為1時(shí),識(shí)別由命令名字服務(wù)器作出的答復(fù)。T–切斷。1位字段。當(dāng)設(shè)置為1,表明消息已被切斷。R–1位字段。由名字服務(wù)器設(shè)置為1請(qǐng)求遞歸服務(wù)。V–1位字段。由名字服務(wù)器設(shè)置表示遞歸服務(wù)的實(shí)用性。B–3位字段。備用,必須設(shè)置為0。Rcode–響應(yīng)代碼,由名字服務(wù)器設(shè)置的4位字段用以識(shí)別查詢狀態(tài)。Questioncount–16位字段用以定義問(wèn)題部分的登陸號(hào)。Answercount–16位字段,用以定義回答部分的資源記錄號(hào)。Authoritycount–16位字段,用以定義命令部分名字服務(wù)器的資源記錄號(hào)。Additionalcount–16位字段,用以定義附加記錄部分的資源記錄號(hào)。DNS服務(wù)是Internet上其它服務(wù)的基礎(chǔ)DNS服務(wù)存在的主要安全問(wèn)題名字欺騙信息隱藏DNS協(xié)議安全問(wèn)題NetBIOS對(duì)所有人完全共享對(duì)所有人完全共享,這是在WindowNT共享時(shí)的缺省配置,他對(duì)所有可訪問(wèn)該主機(jī)的用戶提供完全的訪問(wèn)權(quán)限;對(duì)Guest用戶完全共享對(duì)Guest用戶完全共享,Guest帳號(hào)是WinNT的缺省帳號(hào),它有缺省口令,如果系統(tǒng)提供對(duì)Guest用戶的完全訪問(wèn)權(quán)限,入侵者可通過(guò)Guest帳號(hào)注冊(cè)到服務(wù)器獲取信息或修改數(shù)據(jù);沒(méi)有訪問(wèn)控制的共享沒(méi)有訪問(wèn)控制的共享,是指沒(méi)有合法認(rèn)證的共享,在網(wǎng)絡(luò)上的任何用戶都可訪問(wèn),此弱點(diǎn)在Win95上常見(jiàn);對(duì)所有人可寫對(duì)所有人可寫是指對(duì)所有可訪問(wèn)該服務(wù)器的用戶具有對(duì)共享目錄的寫權(quán)限,此弱點(diǎn)可能會(huì)使被共享目錄中的文件被篡改或刪除;對(duì)Guest用戶可寫對(duì)Guest用戶可寫是指通過(guò)Guest帳號(hào)注冊(cè)就能獲取共享資源的寫權(quán)限;NetBios空會(huì)話NetBios空會(huì)話通過(guò)長(zhǎng)度為零的用戶名和口令注冊(cè)獲取對(duì)服務(wù)器的訪問(wèn)權(quán)。應(yīng)用層協(xié)議安全小結(jié)應(yīng)用層協(xié)議本身存在的主要問(wèn)題是信息明文傳輸,包括如FTP、Telnet登錄驗(yàn)證帳號(hào)和密碼都是明文,攻擊者可以通過(guò)網(wǎng)絡(luò)嗅探獲取有價(jià)值信息,以備下一步攻擊之用,此外應(yīng)用層協(xié)議的許多威脅來(lái)自于低層協(xié)議的安全性問(wèn)題。應(yīng)用層應(yīng)用實(shí)現(xiàn)的安全缺陷(網(wǎng)絡(luò)編程)應(yīng)用層安全防護(hù)威脅:復(fù)雜多樣

安全協(xié)議:SSH,S-HTTP,SET.PGP,S/MIME應(yīng)用層的安全服務(wù)實(shí)際上是最靈活的處理單個(gè)文件安全性的手段,可以實(shí)施細(xì)粒度的安全控制

可能的方法:對(duì)每個(gè)應(yīng)用(及應(yīng)用協(xié)議)分別進(jìn)行修改;實(shí)施強(qiáng)大的基于用戶的身份認(rèn)證;實(shí)施數(shù)據(jù)加密;訪問(wèn)控制;數(shù)據(jù)的備份和恢復(fù)措施;對(duì)資源的有效性進(jìn)行控制。應(yīng)用層安全的解決目前往往依賴于網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫(kù)的安全

網(wǎng)絡(luò)中面臨的威脅交換機(jī)-針對(duì)CDP攻擊說(shuō)明Cisco專用協(xié)議,用來(lái)發(fā)現(xiàn)周邊相鄰的網(wǎng)絡(luò)設(shè)備鏈路層幀,30s發(fā)送一次可以得到相鄰設(shè)備名稱,操作系統(tǒng)版本,接口數(shù)量和類型,接口IP地址等關(guān)鍵信息在所有接口上默認(rèn)打開(kāi)危害任何人可以輕松得到整個(gè)網(wǎng)絡(luò)信息可以被利用發(fā)起DoS攻擊:http://www.phenoelit.de/irpas/對(duì)策如不需要,禁止CDP禁止User-End端口的CDP交換機(jī)-針對(duì)STP攻擊說(shuō)明SpanningTreeProtocol防止交換網(wǎng)絡(luò)產(chǎn)生回路RootBridgeBPDU--bridgeID,pathcost,interface攻擊強(qiáng)制接管rootbridge,導(dǎo)致網(wǎng)絡(luò)邏輯結(jié)構(gòu)改變,在重新生成STP時(shí),可以導(dǎo)致某些端口暫時(shí)失效,可以監(jiān)聽(tīng)大部份網(wǎng)絡(luò)流量。BPDUFlood:消耗帶寬,拒絕服務(wù)對(duì)策對(duì)User-End端口,禁止發(fā)送BPDU路由器-發(fā)現(xiàn)路由通過(guò)tracertroute命令最后一個(gè)路由容易成為DoS攻擊目標(biāo)路由器-猜測(cè)路由器類型端口掃描操作系統(tǒng)堆棧指紋登陸旗標(biāo)(banner)其它特征:如Cisco路由器1999端口的ack分組信息,會(huì)有cisco字樣提示路由器-缺省帳號(hào)設(shè)備用戶名密碼級(jí)別bay路由器user空用戶

Manager空管理員baysuperStackIIsecuritysecurity管理員3com交換機(jī)adminsynnet管理員

readsynnet用戶

writesynnet管理員

debugsynnet管理員

techtech

monitormonitor用戶

managermanager管理員

securitysecurity管理員cisco路由器(telnet)c(Cisco2600s)管理員

(telnet)cisco用戶

enablecisco管理員

(telnet)ciscorouters

MotorolaCableRoutercablecomrouter管理員路由器-密碼與TFTPCisco路由器的密碼弱加密MD5加密Enablesecret5Cisco路由器TFTP攻擊

Cisco基于拒絕服務(wù)攻擊HTTP的漏洞

Cisco路由啟用(enable)遠(yuǎn)程WEB管理,很容易遭受DoS。這種DoS能導(dǎo)致路由器停止對(duì)網(wǎng)絡(luò)請(qǐng)求的響應(yīng)。這是功能是Cisco路由的內(nèi)嵌功能。但啟用這個(gè)特性,通過(guò)構(gòu)造一個(gè)簡(jiǎn)單的Http請(qǐng)求就會(huì)造成DoS攻擊:

http://<router-ip>/%%

這種請(qǐng)求導(dǎo)致路由停止響應(yīng),甚至引起路由器執(zhí)行硬重置(hardreset)。

如果http起用,瀏覽:

http://route_ip_addr/anytest?/并且提供特權(quán)口令,則可以導(dǎo)致DoS攻擊,導(dǎo)致路由停機(jī)或者重啟。Cisco的WEB服務(wù)的越權(quán)訪問(wèn)漏洞:幾乎所有的版本的Cisco設(shè)備IOS都有這個(gè)問(wèn)題存在,攻擊者只需要構(gòu)造一個(gè)如下的URL:http://IP/level/xx/exec/......即可!這里的xx是一個(gè)從16-99之間的整數(shù)。對(duì)于不同的設(shè)備,這個(gè)數(shù)值可能是不同的,但是攻擊者僅需要測(cè)試84次即可找到正確的數(shù)值。如果不能進(jìn)入,嘗試:0/level/20/exec/showconfig

試試這個(gè)連接地址,就會(huì)發(fā)現(xiàn)結(jié)果好象是不一樣了,我們已經(jīng)按照剛才的漏洞描述成功的繞過(guò)了Cisco的密碼檢查機(jī)制,現(xiàn)在擁有的是設(shè)備的管理員權(quán)限。Cisco路由器的安全配置使用加密的強(qiáng)密碼servicepassword-encryptionenablesecretpa55w0rd使用分級(jí)密碼策略enablesecret6pa55wordprivilegeexec6show使用用戶密碼策略u(píng)sernamepasswordpassprivilegeexec6showCisco路由器安全配置控制網(wǎng)絡(luò)線路訪問(wèn)access-list8permit0access-list8permit***.***.***.***access-list8denyanylinevty04access-class8in設(shè)置網(wǎng)絡(luò)連接超時(shí)Exec-timeout50

Cisco路由器安全配置禁用交換機(jī)HTTP服務(wù)器noiphttpserver禁用CDP發(fā)掘協(xié)議nocdprun禁用交換機(jī)NTP服務(wù)器nontpenable禁用低端口簡(jiǎn)單服務(wù)noservice-udp-small-servicesnoservice-udp-small-services禁用Finger服務(wù)noservicefinger以上措施可以降低路由器遭受應(yīng)用層攻擊的風(fēng)險(xiǎn)Cisco路由器安全配置禁用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議nosnmp-serverenable使用SNMPv3加強(qiáng)安全特性snmp-serverenabletrapssnmpauthmd5使用強(qiáng)的SNMPv1通訊關(guān)鍵字snmp-servercommunityname以上三者不可同時(shí)使用,如果必要使用SNMP安全性1>>2>>3Cisco路由器安全配置禁用IPUnreachable報(bào)文禁用ICMPRedirect報(bào)文noipredirect禁用定向廣播noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP驗(yàn)證Ipverifyunicastreverse-path禁用IP源路由選項(xiàng)noipsource-routeCisco路由器安全配置使用訪問(wèn)控制列表限制訪問(wèn)地址使用訪問(wèn)控制列表限定訪問(wèn)端口使用訪問(wèn)控制列表過(guò)濾特定類型數(shù)據(jù)包使用訪問(wèn)控制列表限定數(shù)據(jù)流量使用訪問(wèn)控制列表保護(hù)內(nèi)部網(wǎng)絡(luò)路由設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問(wèn)的認(rèn)證與授權(quán)升級(jí)設(shè)備固件或OS使用訪問(wèn)控制列表限制訪問(wèn)使用訪問(wèn)控制表限制數(shù)據(jù)包類型關(guān)于IOS的問(wèn)題的幾點(diǎn)安全建議

通過(guò)noiphttpserver取消http服務(wù),消除Http帶來(lái)的隱患;限制SNMP訪問(wèn)配置;及時(shí)升級(jí)Cisco的IOS程序或者修補(bǔ)程序;利用安全工具對(duì)路由進(jìn)行安全檢查。拒絕服務(wù)攻擊定義

DoS

(DenialofService)

拒絕服務(wù)攻擊是用來(lái)顯著降低系統(tǒng)提供服務(wù)的質(zhì)量或可用性的一種有目的行為。

DDoS

(DistributedDenialofservice)分布式拒絕服務(wù)攻擊使用了分布式客戶服務(wù)器功能,加密技術(shù)及其它類的功能,它能被用于控制任意數(shù)量的遠(yuǎn)程機(jī)器,以產(chǎn)生隨機(jī)匿名的拒絕服務(wù)攻擊和遠(yuǎn)程訪問(wèn)。DDoS攻擊示意圖分布式拒絕服務(wù)攻擊示意圖DoS攻擊舉例SynFloodIcmpSmurf(directedbroadcast)UdpFloodIcmpPingFloodTARGA3(堆棧突破)操作系統(tǒng)級(jí)別的拒絕服務(wù)(SMBDie)應(yīng)用級(jí)別的拒絕服務(wù)(pcanywhere)DDoS攻擊類型TrinooTFNTFN2KFunTimeApocalypseSynFloodSYNFlood是當(dāng)前最流行的DoS(拒絕服務(wù)攻擊)與DDoS(分布式拒絕服務(wù)攻擊)的方式之一,這是一種利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請(qǐng)求,從而使得被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。SynFloodSYN(我可以連接嗎?)ACK(可以)/SYN(請(qǐng)確認(rèn)!)ACK(確認(rèn)連接)發(fā)起方應(yīng)答方正常的三次握手建立通訊的過(guò)程SynFloodSYN(我可以連接嗎?)ACK(可以)/SYN(請(qǐng)確認(rèn)?。┕粽呤芎φ邆卧斓刂愤M(jìn)行SYN請(qǐng)求為何還沒(méi)回應(yīng)就是讓你白等不能建立正常的連接IcmpSmurf

Smurf攻擊是以最初發(fā)動(dòng)這種攻擊的程序名Smurf來(lái)命名。這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng),引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)進(jìn)行服務(wù)。攻擊的過(guò)程是這樣的:Attacker向一個(gè)具有大量主機(jī)和因特網(wǎng)連接的網(wǎng)絡(luò)的廣播地址發(fā)送一個(gè)欺騙性Ping分組(echo請(qǐng)求),這個(gè)目標(biāo)網(wǎng)絡(luò)被稱為反彈站點(diǎn),而欺騙性Ping分組的源地址就是攻擊者希望攻擊的系統(tǒng)。IcmpSmurf網(wǎng)段中的所有主機(jī)都會(huì)向欺騙性分組的IP地址發(fā)送echo響應(yīng)信息。如果這是一個(gè)很大的以太網(wǎng)段,可以會(huì)有500個(gè)以上的主機(jī)對(duì)收到的echo請(qǐng)求進(jìn)行回復(fù)。由于多數(shù)系統(tǒng)都會(huì)盡快地處理ICMP傳輸信息,Attacker把分組的源地址設(shè)置為目標(biāo)系統(tǒng),因些目標(biāo)系統(tǒng)都很快就會(huì)被大量的echo信息吞沒(méi),這樣輕而易舉地就能夠阻止該系統(tǒng)處理其它任何網(wǎng)絡(luò)傳輸,從而引起拒絕為正常系統(tǒng)服務(wù)。這種攻擊不僅影響目標(biāo)系統(tǒng),還影響目標(biāo)系統(tǒng)的網(wǎng)絡(luò)狀況。IcmpSmurf阻塞Smurf攻擊的源頭

Smurf攻擊依靠攻擊者的力量使用欺騙性源地址發(fā)送echo請(qǐng)求。用戶可以使用路由路的訪問(wèn)保證內(nèi)部網(wǎng)絡(luò)中發(fā)出的所有傳輸信息都具有合法的源地址,以防止這種攻擊。這樣可以使欺騙性分組無(wú)法找到反彈站點(diǎn)。阻塞Smurf的反彈站點(diǎn) 用戶可以有兩種選擇以阻塞Smurf攻擊的反彈站點(diǎn)。第一種方法可以簡(jiǎn)單地阻塞所有入站echo請(qǐng)求,這們可以防止這些分組到達(dá)自己的網(wǎng)絡(luò)。如果不能阻塞所有入站echo請(qǐng)求,用戶就需要將自己的路由器把網(wǎng)絡(luò)廣播地址映射成為L(zhǎng)AN廣播地址。制止了這個(gè)映射過(guò)程,自己的系統(tǒng)就不會(huì)再收到這些echo請(qǐng)求。UdpFloodUDP攻擊的原理是使兩個(gè)或兩個(gè)以上的系統(tǒng)之間產(chǎn)生巨大的UDP數(shù)據(jù)包。首先使這兩種UDP服務(wù)都產(chǎn)生輸出,然后讓這兩種UDP服務(wù)之間互相通信,使一方的輸出成為另一方的輸入。這樣會(huì)形成很大的數(shù)據(jù)流量。當(dāng)多個(gè)系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時(shí),最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。如果涉及的主機(jī)數(shù)目少,那么只有這幾臺(tái)主機(jī)會(huì)癱瘓一些被惡意利用的UDP服務(wù),如echo和chargen服務(wù),它會(huì)顯示接收到的每一個(gè)數(shù)據(jù)包,而原本作為測(cè)試功能的chargen服務(wù)會(huì)在收到每一個(gè)數(shù)據(jù)包時(shí)隨機(jī)反饋一些字符,如果惡意攻擊者將這2個(gè)UDP服務(wù)互指,則網(wǎng)絡(luò)可用帶寬將很快耗盡UdpFlood禁止相關(guān)服務(wù)與網(wǎng)絡(luò)設(shè)備配合IcmpPingFloodPing是通過(guò)發(fā)送ICMP報(bào)文(類型8代碼0)探尋網(wǎng)絡(luò)主機(jī)是否存在的一個(gè)工具。部分操作系統(tǒng)(例如win95),不能很好處理過(guò)大的Ping包,導(dǎo)致出現(xiàn)了PingtoDeath的攻擊方式(用大Ping包搞垮對(duì)方或者塞滿網(wǎng)絡(luò)),由于在早期的階段,路由器對(duì)包的最大尺寸都有限制,許多操作系統(tǒng)對(duì)TCP/IP棧的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB,并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后,要根據(jù)該標(biāo)題頭里包含的信息來(lái)為有效載荷生成緩沖區(qū),當(dāng)產(chǎn)生畸形的,聲稱自己的尺寸超過(guò)ICMP上限的包也就是加載的尺寸超過(guò)64K上限時(shí),就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤,導(dǎo)致TCP/IP堆棧崩潰,致使接受方當(dāng)機(jī)。如果對(duì)方的操作系統(tǒng)已經(jīng)可以防御堆棧崩潰,也占去許多帶寬。如TFN2K會(huì)產(chǎn)生大量的進(jìn)程,每個(gè)進(jìn)程都不停地發(fā)送PING包,從而導(dǎo)致被攻擊目標(biāo)的無(wú)法正常工作。IcmpPingFlood正常情況下,Ping的流程是這樣的:主機(jī)A發(fā)送ICMP8,0報(bào)文給主機(jī)B主機(jī)B回送ICMp0,0報(bào)文給主機(jī)A因?yàn)镮CMP基于無(wú)連結(jié),假設(shè)現(xiàn)在主機(jī)A偽裝成主機(jī)C發(fā)送ICMP8,0報(bào)文,結(jié)果會(huì)怎么樣呢?顯然,主機(jī)B會(huì)以為是主機(jī)C發(fā)送的報(bào)文而去回應(yīng)主機(jī)C,結(jié)構(gòu)如下:偽裝為主機(jī)C錯(cuò)誤的回復(fù)主機(jī)A--------------------->主機(jī)B------------------>主機(jī)C這種情況下,由于主機(jī)A只需要不斷發(fā)送Ping報(bào)文而不需要處理返回的EchoReply,所以攻擊力度成倍的增加,同時(shí)實(shí)際上主機(jī)B和主機(jī)C都是被進(jìn)攻的目標(biāo),而且不會(huì)留下攻擊者的痕跡。IcmpFlood禁止相關(guān)服務(wù)與網(wǎng)絡(luò)設(shè)備配合TARGA3(堆棧突破)TARGA3攻擊的基本原理是發(fā)送TCP/UDP/ICMP的碎片包,其大小、標(biāo)記、包數(shù)據(jù)等都是隨機(jī)的。一些有漏洞的系統(tǒng)內(nèi)核由于不能正確處理這些極端不規(guī)范數(shù)據(jù)包,便會(huì)使其TCP/IP堆棧出現(xiàn)崩潰,從而導(dǎo)致無(wú)法繼續(xù)響應(yīng)網(wǎng)絡(luò)請(qǐng)求(即拒絕服務(wù))。典型代表是winnuke,jolt,teardrop等TARGA3(堆棧突破)升級(jí)操作系統(tǒng)與IDS等安全產(chǎn)品配合操作系統(tǒng)級(jí)別的拒絕服務(wù)Microsoft操作系統(tǒng)對(duì)畸形的SMB(ServerMessageBlock)請(qǐng)求存在漏洞應(yīng)用級(jí)別的拒絕服務(wù)包含在操作系統(tǒng)或應(yīng)用程序中與安全相關(guān)的系統(tǒng)缺陷而引起的拒絕服務(wù)問(wèn)題,這些缺陷大多是由于錯(cuò)誤的程序編制,粗心的源代碼審核,無(wú)心的副效應(yīng)或一些不適當(dāng)?shù)慕壎ㄋ斐傻?。典型代表是pcanywhere的拒絕服務(wù)問(wèn)題應(yīng)用級(jí)別的拒絕服務(wù)PCAnywhere

存在因端口掃描導(dǎo)致的DoS

攻擊發(fā)布日期:2000-4-27受影響的系統(tǒng):SymantecPCAnywhere9.2SymantecPCAnywhere9.0SymantecpcAnywhere8.0.2描述:在遭受到nmap2.30BETA21的TCPSYN掃描之后,PcAnyWhere將停止響應(yīng),只有重新啟動(dòng)服務(wù)才能正常運(yùn)行。應(yīng)用級(jí)別的拒絕服務(wù)升級(jí)相關(guān)軟件與安全產(chǎn)品配合Trinoo介紹影響平臺(tái):Linux,Solaris,Unix風(fēng)險(xiǎn)級(jí)別:高攻擊類型:基于網(wǎng)絡(luò),基于主機(jī)的Trin00是一種分布式拒絕服務(wù)的工具。攻擊者使用該工具可以控制多個(gè)主機(jī),利用這些主機(jī)向其他主機(jī)發(fā)送UDPflood。Trin00控制者可以給Trin00主機(jī)守護(hù)程序制造多種請(qǐng)求。使用UDP包開(kāi)始flood主機(jī)使用UDP包終止flood主機(jī)修改主機(jī)主流程序的UDPflood配置Trinoo介紹Trinoo的攻擊方法是向被攻擊目標(biāo)主機(jī)的隨機(jī)端口發(fā)出全零的4字節(jié)UDP包,在處理這些超出其處理能力的垃圾數(shù)據(jù)包的過(guò)程中,被攻擊主機(jī)的網(wǎng)絡(luò)性能不斷下降,直到不能提供正常服務(wù),乃至崩潰。它對(duì)IP地址不做假,采用的通訊端口是:

攻擊者主機(jī)到主控端主機(jī):27665/TCP

主控端主機(jī)到代理端主機(jī):27444/UDP

代理端主機(jī)到主服務(wù)器主機(jī):31335/UDPTFN介紹影響平臺(tái):Linux,Solaris,Unix風(fēng)險(xiǎn)級(jí)別:高攻擊類型:基于網(wǎng)絡(luò),基于主機(jī)的TribeFloodNetwork,TFN,是一種分布式拒絕服務(wù)的工具,使用該工具可以使攻擊者利用多個(gè)主機(jī),一次flood一個(gè)目標(biāo)。有四種不同類型的flood:ICMPEchofloodUDPFloodSYNFloodSmurf攻擊TFN介紹TFN客戶機(jī)和服務(wù)器使用ICMPecho互相發(fā)送響應(yīng)包進(jìn)行通訊。TFN由主控端程序和代理端程序兩部分組成,具有偽造數(shù)據(jù)包的能力。TFN2K介紹影響平臺(tái):Linux,Solaris,Unix風(fēng)險(xiǎn)級(jí)別:高攻擊類型:基于網(wǎng)絡(luò),基于主機(jī)的TribeFloodNetwork2000(TFN2k)是一種分布式拒絕服務(wù)的工具,可以實(shí)施多種類型的flood攻擊一個(gè)主機(jī)。TFN2k由客戶端和主機(jī)駐留程序組成。客戶端控制一個(gè)或多個(gè)主機(jī)主流程序,主機(jī)主流程序?qū)δ繕?biāo)主機(jī)進(jìn)行flood??蛻舳丝梢允褂肬DP、TCP或ICMP與主機(jī)主流程序進(jìn)行通訊,并可以隱藏欺騙發(fā)包的源IP地址。TFN2K介紹TFN2K是由TFN發(fā)展而來(lái)的,在TFN所具有的特性上,TFN2K又新增一些特性,它的主控端和代理端的網(wǎng)絡(luò)通訊是經(jīng)過(guò)加密的,中間還可能混雜了許多虛假數(shù)據(jù)包,而TFN對(duì)ICMP的通訊沒(méi)有加密。攻擊方法增加了Mix和Targa3。并且TFN2K可配置的代理端進(jìn)程端口。DDoS攻擊特性DDoS攻擊將越來(lái)越多地采用IP欺騙的技術(shù);DDoS攻擊呈現(xiàn)由單一攻擊源發(fā)起進(jìn)攻,轉(zhuǎn)變?yōu)橛啥鄠€(gè)攻擊源對(duì)單一目標(biāo)進(jìn)攻的趨勢(shì);DDoS攻擊將會(huì)變得越來(lái)越智能化,試圖躲過(guò)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的檢測(cè)跟蹤,并試圖繞過(guò)防火墻防御體系;針對(duì)路由器的弱點(diǎn)的DDoS攻擊將會(huì)增多;DDoS攻擊利用路由器的多點(diǎn)傳送功能可以將攻擊效果擴(kuò)大若干倍;采用半連接技術(shù)SYN攻擊,和針對(duì)TCP/IP協(xié)議先天缺陷的的ACK攻擊。采用ICMP攻擊。采用smurf攻擊采用UDP攻擊。IP欺騙原理IP是網(wǎng)絡(luò)層的一個(gè)非面向連接的協(xié)議,偽造IP地址相對(duì)容易。TCP三次握手DoS攻擊序列號(hào)取樣和猜測(cè)預(yù)防拋棄基于地址的信任策略進(jìn)行包過(guò)濾加密使用隨機(jī)化初始序列號(hào)ARP欺騙實(shí)現(xiàn)簡(jiǎn)易指定ARP包中的源IP、目標(biāo)IP、源MAC、目標(biāo)MACArp_send.c危害嗅探導(dǎo)致windows9x、NTIP沖突死機(jī)Flooding導(dǎo)致網(wǎng)絡(luò)異常共享環(huán)境下的嗅探技術(shù)原理在以太網(wǎng)中是基于廣播方式傳送數(shù)據(jù)網(wǎng)卡置于混雜模式下可以接收所有經(jīng)的數(shù)據(jù)工具Snifferpro、IRIS、netxraytcpdump、snoop、dsniff交換環(huán)境下的嗅探技術(shù)dsniff

、arpredirect、arpspoof,fragroute;拒絕服務(wù)攻擊的防御策略第一種是縮短SYNTimeout時(shí)間,由于SYNFlood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù),這個(gè)值=SYN攻擊的頻度xSYNTimeout,所以通過(guò)縮短從接收到SYN報(bào)文到確定這個(gè)報(bào)文

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論