第02講-網(wǎng)絡(luò)安全問題分析

第二講網(wǎng)絡(luò)安全問題分析吳禮發(fā)，洪征，李華波（wulifa@）內(nèi)容提綱TCP/IP協(xié)議棧主要協(xié)議安全問題分析2小結(jié)3網(wǎng)絡(luò)安全威脅分析12內(nèi)容提綱TCP/IP協(xié)議棧主要協(xié)議安全問題分析2小結(jié)3網(wǎng)絡(luò)安全威脅分析13（一）構(gòu)成威脅的因素(1/2)廣義上的網(wǎng)絡(luò)安全概念威脅因素環(huán)境和災(zāi)害因素溫度、濕度、供電、火災(zāi)、水災(zāi)、地震、靜電、灰塵、雷電、強(qiáng)電磁場、電磁脈沖等，均會(huì)破壞數(shù)據(jù)和影響信息系統(tǒng)的正常工作人為因素：多數(shù)安全事件是由于人員的疏忽、惡意程序、黑客的主動(dòng)攻擊造成的有意：人為的惡意攻擊、違紀(jì)、違法和犯罪無意：工作疏忽造成失誤（配置不當(dāng)?shù)龋?，?huì)對(duì)系統(tǒng)造成嚴(yán)重的不良后果4（一）構(gòu)成威脅的因素(2/2)威脅因素(Cont.)系統(tǒng)自身因素計(jì)算機(jī)系統(tǒng)硬件系統(tǒng)的故障軟件組件：操作平臺(tái)軟件、應(yīng)用平臺(tái)軟件和應(yīng)用軟件網(wǎng)絡(luò)和通信協(xié)議系統(tǒng)自身的脆弱和不足是造成信息系統(tǒng)安全問題的內(nèi)部根源，攻擊者正是利用系統(tǒng)的脆弱性使各種威脅變成現(xiàn)實(shí)5（二）漏洞產(chǎn)生的原因分析在系統(tǒng)的設(shè)計(jì)、開發(fā)過程中有如下因素會(huì)導(dǎo)致系統(tǒng)、軟件漏洞：系統(tǒng)基礎(chǔ)設(shè)計(jì)錯(cuò)誤導(dǎo)致漏洞編碼錯(cuò)誤導(dǎo)致漏洞安全策略實(shí)施錯(cuò)誤導(dǎo)致漏洞實(shí)施安全策略對(duì)象歧義導(dǎo)致漏洞系統(tǒng)設(shè)計(jì)／實(shí)施時(shí)相關(guān)人員刻意留下后門6（三）漏洞多的原因漏洞不僅存在，而且層出不窮，Why?方案的設(shè)計(jì)可能存在缺陷從理論上證明一個(gè)程序的正確性是非常困難的一些產(chǎn)品測試不足，匆匆投入市場為了縮短研制時(shí)間，廠商常常將安全性置于次要地位系統(tǒng)中運(yùn)行的應(yīng)用程序越來越多，相應(yīng)的漏洞也就不可避免地越來越多7（四）補(bǔ)丁不是萬能的(1/2)打補(bǔ)丁不是萬能的，Why?由于漏洞太多，相應(yīng)的補(bǔ)丁也太多，補(bǔ)不勝補(bǔ)有的補(bǔ)丁會(huì)使得某些已有的功能不能使用，導(dǎo)致拒絕服務(wù)有時(shí)補(bǔ)丁并非廠商們所宣稱的那樣解決問題很多補(bǔ)丁一經(jīng)打上，就不能卸載，如果發(fā)現(xiàn)補(bǔ)丁因?yàn)檫@樣或那樣的原因不合適，就只好把整個(gè)軟件卸載，然后重新安裝，非常麻煩漏洞的發(fā)現(xiàn)到補(bǔ)丁的發(fā)布有一段時(shí)間差，此外，漏洞也可能被某些人發(fā)現(xiàn)而未被公開，這樣就沒有相應(yīng)的補(bǔ)丁可用8（五）補(bǔ)丁不是萬能的(2/2)打補(bǔ)丁不是萬能的，Why?（Cont.）網(wǎng)絡(luò)、網(wǎng)站增長太快，沒有足夠的合格的補(bǔ)丁管理員有時(shí)候打補(bǔ)丁需要離線操作，這就意味著關(guān)閉該機(jī)器上的服務(wù)，這對(duì)很多關(guān)鍵的服務(wù)來說也許是致命的有時(shí)補(bǔ)丁并非總是可以獲得的，特別是對(duì)于那些應(yīng)用范圍不廣的系統(tǒng)而言，生產(chǎn)廠商可能沒有足夠的時(shí)間、精力和動(dòng)機(jī)去開發(fā)補(bǔ)丁程序廠商通?？赡茉谘a(bǔ)丁中除解決已有問題之外添加很多的其他功能，這些額外的功能可能導(dǎo)致新漏洞的出現(xiàn)、性能下降、服務(wù)中斷或者出現(xiàn)集成問題和安全功能的暫時(shí)中斷等補(bǔ)丁的成熟也需要一個(gè)過程，倉促而就的補(bǔ)丁常常會(huì)有這樣或那樣的問題自動(dòng)安裝補(bǔ)丁也有它的問題，很多自動(dòng)安裝程序不能正常運(yùn)行9內(nèi)容提綱TCP/IP協(xié)議棧主要協(xié)議安全問題分析2小結(jié)3網(wǎng)絡(luò)安全威脅分析110（一）TCP/IP協(xié)議棧概述這個(gè)圖是錯(cuò)誤的！11（一）TCP/IP協(xié)議棧概述（續(xù)）由底層網(wǎng)絡(luò)定義的協(xié)議IP,ICMP,IGMP,ARP,RARPSMTPFTPSNMPDNSNFSWEBTCPUDP各種應(yīng)用程序?qū)?2

IEEE802.3以太網(wǎng)：

缺陷：該協(xié)議沒有提供報(bào)文完整性和源地址的認(rèn)證攻擊方法：惡意節(jié)點(diǎn)以高速率發(fā)送大量廣播報(bào)文，耗盡網(wǎng)絡(luò)帶寬，進(jìn)行拒絕服務(wù)攻擊，定位難，Why?通過不斷變換源MAC地址的方法來逃避追蹤；由于網(wǎng)絡(luò)帶寬大量被占用，容易導(dǎo)致基于SNMP協(xié)議網(wǎng)管軟件無法收取響應(yīng)報(bào)文，從而無法通過讀取交換機(jī)源地址列表的方法定位攻擊源（二）鏈路層協(xié)議分析13（三）網(wǎng)絡(luò)層協(xié)議分析(1/9)IPv4協(xié)議04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)服務(wù)類型總長度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長度可變）比特首部長度固定部分(20字節(jié))可變部分01234567DTRC未用優(yōu)先級(jí)數(shù)據(jù)部分首部比特?cái)?shù)據(jù)部分首部傳送IP數(shù)據(jù)報(bào)IP協(xié)議的版本。目前廣泛使用的IP協(xié)議版本號(hào)為4(即IPv4)，以前的3個(gè)版本已不使用。通信雙方使用的IP協(xié)議的版本必須一致。占4bit，可表示的最大數(shù)值是15個(gè)單位(一個(gè)單位為4字節(jié))，因此IP的首部長度的最大值是60字節(jié)。當(dāng)IP分組的首部長度不是4字節(jié)的整數(shù)倍時(shí)，必須利用最后一個(gè)填充字段加以填充。首部長度限制為60字節(jié)的缺點(diǎn)是有時(shí)(如源站路由選擇)不夠用。但這樣做是希望用戶盡量減少開銷。最常用的首部長度就是20字節(jié)，即不使用任何選項(xiàng)。

D比特，表示要求有更低的時(shí)延。T比特，表示要求有更高的吞吐量。R比特，表示要求有更高的可靠性(盡可能少地被路由器丟棄)。C比特，是新增加的，表示要求選擇代價(jià)更小的路由。在相當(dāng)長一段時(shí)期內(nèi)并沒有什么人使用服務(wù)類型TOS(TypeOfService)字段。直到最近，當(dāng)需要將實(shí)時(shí)多媒體信息在因特網(wǎng)上傳送時(shí)，服務(wù)類型字段才重新引起大家的重視。

14（三）網(wǎng)絡(luò)層協(xié)議分析(1/9)IPv4協(xié)議04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)服務(wù)類型總長度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長度可變）比特首部長度固定部分(20字節(jié))可變部分01234567DTRC未用優(yōu)先級(jí)數(shù)據(jù)部分首部比特?cái)?shù)據(jù)部分首部傳送IP數(shù)據(jù)報(bào)總長度指首部和數(shù)據(jù)之和的長度，單位為字節(jié)?？傞L度字段為16bit，因此數(shù)據(jù)報(bào)的最大長度為65535字節(jié)（即64KB）。在IP層下面的每一種數(shù)據(jù)鏈路層都有其自己的幀格式，其中包括幀格式中的數(shù)據(jù)字段的最大長度，這稱為最大傳送單元MTU

(MaximumTransferUnit)（以太網(wǎng)的MTU=1500字節(jié)）。當(dāng)一個(gè)IP數(shù)據(jù)報(bào)封裝成鏈路層的幀時(shí)，此數(shù)據(jù)報(bào)的總長度一定不能超過下面的數(shù)據(jù)鏈路層的MTU值。

目前只有前兩個(gè)比特有意義：最低位記為MF(MoreFragment)。MF

1即表示后面“還有分片”的數(shù)據(jù)報(bào)。標(biāo)志字段中間的一位記為DF(Don'tFragment)，意思是“不能分片”。只有當(dāng)DF

0時(shí)才允許分片。片偏移指出：較長的分組在分片后，某片在原分組中的相對(duì)位置。也就是說，相對(duì)于用戶數(shù)據(jù)字段的起點(diǎn)，該片從何處開始。片偏移以8個(gè)字節(jié)為偏移單位。

生存時(shí)間字段記為TTL(TimeToLive)，即數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中的壽命，其單位為跳(Hop)。生存時(shí)間的建議值是32。但也可設(shè)定為3

4，或甚至255。

一個(gè)計(jì)數(shù)器，用來產(chǎn)生數(shù)據(jù)報(bào)的標(biāo)識(shí)。當(dāng)IP協(xié)議發(fā)送數(shù)據(jù)報(bào)時(shí)，它就將這個(gè)計(jì)數(shù)器的當(dāng)前值復(fù)制到標(biāo)識(shí)字段中。當(dāng)數(shù)據(jù)報(bào)由于長度超過網(wǎng)絡(luò)的MTU而必須分片時(shí)，這個(gè)標(biāo)識(shí)字段的值就被復(fù)制到所有的數(shù)據(jù)報(bào)片的標(biāo)識(shí)字段中。相同的標(biāo)識(shí)字段的值使分片后的各數(shù)據(jù)報(bào)片最后能正確地重裝成為原來的數(shù)據(jù)報(bào)。

此字段只檢驗(yàn)數(shù)據(jù)報(bào)的首部，不包括數(shù)據(jù)部分。這是因?yàn)閿?shù)據(jù)報(bào)每經(jīng)過一個(gè)結(jié)點(diǎn)，結(jié)點(diǎn)處理機(jī)都要重新計(jì)算一下首部檢驗(yàn)和(一些字段，如生存時(shí)間、標(biāo)志、片偏移等都可能發(fā)生變化)。如將數(shù)據(jù)部分一起檢驗(yàn)，計(jì)算的工作量就太大了。

15（三）網(wǎng)絡(luò)層協(xié)議分析(2/9)IPv4安全缺陷：無狀態(tài)、無認(rèn)證協(xié)議沒有訪問控制和帶寬控制：閱讀上層協(xié)議內(nèi)容或利用包風(fēng)暴消耗資源（拒絕服務(wù)攻擊）支持廣播和多播：拒絕服務(wù)攻擊、掃描或應(yīng)用層攻擊尋址與協(xié)議選項(xiàng)：泄露了部分網(wǎng)絡(luò)拓?fù)湫畔ⅲ捎糜诰W(wǎng)絡(luò)偵察數(shù)據(jù)包分片：IP無狀態(tài)，分片功能可用來繞過防火墻和入侵檢測；還可用于攻擊不能正確處理數(shù)據(jù)包分片異常的主機(jī)（拒絕服務(wù)攻擊）數(shù)據(jù)包竄改：IP沒有來源認(rèn)證和防數(shù)據(jù)包竄改機(jī)制，包中的所有內(nèi)容幾乎都可以偽造與上層協(xié)議如TCP、UDP的類似脆弱性一起，IP偽造可以用于會(huì)話劫持、中間人攻擊、偽造攻擊等。16（三）網(wǎng)絡(luò)層協(xié)議分析(3/9)因特網(wǎng)控制報(bào)文協(xié)議ICMP(InternetControlMessageProtocol)[RFC792]ICMP目的：為了提高IP數(shù)據(jù)報(bào)交付成功的機(jī)會(huì)。它允許主機(jī)或路由器報(bào)告差錯(cuò)情況和提供有關(guān)異常情況的報(bào)告。兩類ICMP報(bào)文：ICMP差錯(cuò)報(bào)告報(bào)文、ICMP詢問報(bào)文17（三）網(wǎng)絡(luò)層協(xié)議分析(4/9)ICMP報(bào)文種類類型的值ICMP報(bào)文的類型差錯(cuò)報(bào)告報(bào)文3終點(diǎn)不可達(dá)4源站抑制(Sourcequench)11時(shí)間超過12參數(shù)問題5改變路由(Redirect)詢問報(bào)文8或0回送(Echo)請(qǐng)求或回答13或14時(shí)間戳(Timestamp)請(qǐng)求或回答17或18地址掩碼(Addressmask)請(qǐng)求或回答10或9路由器詢問(Routersolicitation)或通告當(dāng)路由器或主機(jī)由于擁塞而丟棄數(shù)據(jù)報(bào)時(shí)，就向源站發(fā)送源站抑制報(bào)文，使其降低發(fā)送速率當(dāng)路由器收到生存時(shí)間為零的數(shù)據(jù)報(bào)時(shí)，除丟棄該數(shù)據(jù)報(bào)外，還要向源站發(fā)送時(shí)間超過報(bào)文。當(dāng)目的站在預(yù)先規(guī)定的時(shí)間內(nèi)不能收到一個(gè)數(shù)據(jù)報(bào)的全部數(shù)據(jù)報(bào)片時(shí)，就將已收到的數(shù)據(jù)報(bào)片都丟棄，并向源站發(fā)送時(shí)間超過報(bào)文。當(dāng)路由器或目的主機(jī)收到的數(shù)據(jù)報(bào)的首部中有的字段的值不正確時(shí)，就丟棄該數(shù)據(jù)報(bào)，并向源站發(fā)送參數(shù)問題報(bào)文。路由器將改變路由報(bào)文發(fā)送給主機(jī)，讓主機(jī)知道下次應(yīng)將數(shù)據(jù)報(bào)發(fā)送給另外的路由器（可通過更好的路由）。測試目的站是否可達(dá)以及了解其有關(guān)狀態(tài)。PING命令?？捎脕磉M(jìn)行時(shí)鐘同步和測量時(shí)間。響應(yīng)中的時(shí)間值：從1900年1月1日起到當(dāng)前時(shí)刻一共有多少秒。向子網(wǎng)掩碼服務(wù)器得到某個(gè)接口的地址掩碼。了解連接在本網(wǎng)絡(luò)上的路由器是否正常工作。主機(jī)將路由器詢問報(bào)文進(jìn)行廣播（或多播）。收到詢問報(bào)文的一個(gè)或幾個(gè)路由器就使用路由器通告報(bào)文廣播其路由選擇信息。終點(diǎn)不可達(dá)分為：網(wǎng)絡(luò)不可達(dá)、主機(jī)不可達(dá)、協(xié)議不可達(dá)、端口不可達(dá)、需要分片但DF比特已置為1，以及源路由失敗等六種情況。類型字段的值與ICMP報(bào)文的類型的關(guān)系18（三）網(wǎng)絡(luò)層協(xié)議分析(5/9)ICMP協(xié)議安全缺陷：協(xié)議的設(shè)計(jì)未考慮安全因素，存在很多安全漏洞ICMP協(xié)議攻擊方法：主機(jī)探測PingofDeath攻擊Smurf攻擊重定向攻擊19（三）網(wǎng)絡(luò)層協(xié)議分析(6/9)IPv6協(xié)議IPv6通過強(qiáng)制使用IPSec，引入了訪問控制、無連接的完整性、數(shù)據(jù)源身份認(rèn)證、防御包重傳攻擊、保密、有限的業(yè)務(wù)流保密性等安全性服務(wù)，大大地改善了網(wǎng)絡(luò)層的安全性。但是，由于其一些設(shè)計(jì)缺陷，該協(xié)議帶來了一些新的安全隱患:隧道機(jī)制的安全問題:雙棧機(jī)制的安全問題:鄰居發(fā)現(xiàn)協(xié)議的安全問題:20（三）網(wǎng)絡(luò)層協(xié)議分析(7/9)路由協(xié)議安全隱患：使用非加密的一次性口令來認(rèn)證數(shù)據(jù)中的路由信息，容易被竊聽；通過偽造路由器或發(fā)送偽造的路由信息來破壞或修改主機(jī)或網(wǎng)關(guān)的路由表。RIP(RoutingInformationProtocol)安全隱患:用于在局域網(wǎng)上傳播路由信息，通常收到的信息不會(huì)被檢查，使得攻擊者可以偽造路由信息給目標(biāo)主機(jī)，同時(shí)發(fā)送偽造的路由信息給沿途的網(wǎng)關(guān)，以此來假冒某個(gè)特定的主機(jī)。外部網(wǎng)關(guān)協(xié)議EGP：主干網(wǎng)關(guān)和外部網(wǎng)關(guān)間的通信冒充一個(gè)自治系統(tǒng)的另外一個(gè)外部網(wǎng)關(guān)：較難成功在真實(shí)網(wǎng)關(guān)關(guān)機(jī)的情況下聲稱網(wǎng)絡(luò)可達(dá)：可行21ARP協(xié)議分析：缺陷：ARP協(xié)議缺乏相應(yīng)的認(rèn)證機(jī)制，導(dǎo)致用戶無法辨別ARP報(bào)文信息的真實(shí)性支持“不請(qǐng)自來”的請(qǐng)求(“Unsolicited”Requests)：允許未經(jīng)請(qǐng)求的ARP廣播或單播對(duì)緩存條目的增、刪、改ARP緩存表可以遠(yuǎn)程更新且ARP無法驗(yàn)證更新消息的真實(shí)性代理ARP可以被利用攻擊方法：拒絕服務(wù)攻擊：中間人攻擊：MAC洪泛：網(wǎng)絡(luò)監(jiān)聽（三）網(wǎng)絡(luò)層協(xié)議分析(8/9)22RARP協(xié)議分析：缺陷：RARP被上層協(xié)議（DHCP，BOOTP）利用，允許主機(jī)通過DHCP和BOOTP服務(wù)自動(dòng)配置自己的IP地址，缺乏必要的驗(yàn)證機(jī)制攻擊方法：攻擊者安裝或配置一臺(tái)DHCP服務(wù)器，向DHCP客戶端傳播錯(cuò)誤的配置信息（服務(wù)器劫持），包括：錯(cuò)誤的IP地址、網(wǎng)關(guān)、路由、域名服務(wù)器、NetBIOS、域信息等，導(dǎo)致客戶端的數(shù)據(jù)流被重定向到攻擊者設(shè)置的代理服務(wù)器，構(gòu)成中間人攻擊。（三）網(wǎng)絡(luò)層協(xié)議分析(9/9)23（四）運(yùn)輸層協(xié)議分析(1/2)TCP協(xié)議安全缺陷：缺乏認(rèn)證機(jī)制和報(bào)文的完整性檢查，TCP協(xié)議無法確認(rèn)報(bào)文的來源的真實(shí)性和數(shù)據(jù)完整性；三次握手過程存在安全漏洞。攻擊方法：利用上