網(wǎng)絡(luò)攻防原理與技術(shù) 第3版 教案 第3講 網(wǎng)絡(luò)脆弱性分析

內(nèi)容備注《網(wǎng)絡(luò)攻防原理與技術(shù)》課程教案講課題目：第三講網(wǎng)絡(luò)脆弱性分析目的要求：了解影響網(wǎng)絡(luò)安全的因素；掌握因特網(wǎng)易被攻擊者利用的特性；掌握典型網(wǎng)絡(luò)協(xié)議存在的安全問(wèn)題。重點(diǎn)難點(diǎn)：因特網(wǎng)易被攻擊者利用的特性；典型網(wǎng)絡(luò)協(xié)議的安全問(wèn)題。方法步驟：理論講授。器材保障：電腦、投影儀。主要教學(xué)內(nèi)容:一、影響網(wǎng)絡(luò)安全的因素我們將所有影響網(wǎng)絡(luò)正常運(yùn)行的因素稱之為網(wǎng)絡(luò)安全威脅，從這個(gè)角度講，影響網(wǎng)絡(luò)安全的既包括環(huán)境和災(zāi)害因素，也包括人為因素和系統(tǒng)自身的因素。多數(shù)網(wǎng)絡(luò)安全事件是由于人員的疏忽、黑客的主動(dòng)攻擊造成的，此即為人為因素，包括：（1）有意：人為主動(dòng)的惡意攻擊、違紀(jì)、違法和犯罪等。（2）無(wú)意：工作疏忽造成失誤（配置不當(dāng)?shù)龋?，?duì)網(wǎng)絡(luò)系統(tǒng)造成不良影響。系統(tǒng)自身因素是指網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)設(shè)備因?yàn)樽陨淼脑蛞l(fā)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，主要包括：（1）計(jì)算機(jī)系統(tǒng)硬件系統(tǒng)的故障。（2）各類(lèi)計(jì)算機(jī)軟件故障或安全缺陷，包括系統(tǒng)軟件（如操作系統(tǒng)）、支撐軟件（各種中間件、數(shù)據(jù)庫(kù)管理系統(tǒng)等）和應(yīng)用軟件的故障或缺陷。（3）網(wǎng)絡(luò)和通信協(xié)議自身的缺陷。二、計(jì)算機(jī)網(wǎng)絡(luò)概述（一）網(wǎng)絡(luò)結(jié)構(gòu)和組成計(jì)算機(jī)網(wǎng)絡(luò)由若干結(jié)點(diǎn)(node)和連接這些結(jié)點(diǎn)的鏈路(link)組成。網(wǎng)絡(luò)中的結(jié)點(diǎn)主要包括兩類(lèi)：端系統(tǒng)和中間結(jié)點(diǎn)。端系統(tǒng)(endsystem)通常是指網(wǎng)絡(luò)邊緣的結(jié)點(diǎn)，它不再僅僅是功能強(qiáng)大的計(jì)算機(jī)，還包括其他非傳統(tǒng)計(jì)算機(jī)的數(shù)字設(shè)備，如智能手機(jī)、電視、汽車(chē)、家用電器、攝像機(jī)、傳感設(shè)備等。可以將這些連接在網(wǎng)絡(luò)上的計(jì)算機(jī)和非計(jì)算機(jī)設(shè)備統(tǒng)稱為主機(jī)(host)。中間結(jié)點(diǎn)，主要包括集線器、交換機(jī)、路由器、自治系統(tǒng)、虛擬結(jié)點(diǎn)和代理等網(wǎng)絡(luò)設(shè)備或組織。鏈路則可以分為源主機(jī)到目的主機(jī)間的端到端路徑(path)和兩個(gè)結(jié)點(diǎn)之間的跳(hop)。網(wǎng)絡(luò)和網(wǎng)絡(luò)通過(guò)互聯(lián)設(shè)備（路由器,router）互連起來(lái)，可以構(gòu)成一個(gè)覆蓋范圍更大的網(wǎng)絡(luò)，即互聯(lián)網(wǎng)(internet或internetwork)，或稱為網(wǎng)絡(luò)的網(wǎng)絡(luò)(networkofnetworks)，泛指由多個(gè)計(jì)算機(jī)網(wǎng)絡(luò)互連而成的網(wǎng)絡(luò)，這些網(wǎng)絡(luò)之間的通信協(xié)議可以是任意的。因特網(wǎng)(Internet)是全球最大的、開(kāi)放的互聯(lián)網(wǎng)，它采用TCP/IP協(xié)議族作為通信的規(guī)則，且其前身是美國(guó)的ARPANET。網(wǎng)絡(luò)體系結(jié)構(gòu)計(jì)算機(jī)網(wǎng)絡(luò)之所以能夠做到有條不紊地交換數(shù)據(jù)，是因?yàn)榫W(wǎng)絡(luò)中的各方都遵守一些事先約定好的規(guī)則。這些規(guī)則明確規(guī)定了所交換的數(shù)據(jù)的格式以及有關(guān)的同步問(wèn)題。這些為進(jìn)行網(wǎng)絡(luò)中的數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)或約定即稱為網(wǎng)絡(luò)協(xié)議。在計(jì)算機(jī)網(wǎng)絡(luò)中，將計(jì)算機(jī)網(wǎng)絡(luò)的各層及其協(xié)議的集合，稱為網(wǎng)絡(luò)的體系結(jié)構(gòu)(architecture)。比較著名的網(wǎng)絡(luò)體系結(jié)構(gòu)有：國(guó)際標(biāo)準(zhǔn)化組織(ISO)制定的開(kāi)放系統(tǒng)互連參考模型(OSI/RM,OpenSystemInterconnection/ReferenceModel)，采用7層結(jié)構(gòu)，IETF的TCP/IP體系結(jié)構(gòu)等。以TCP/IP體系結(jié)構(gòu)為基礎(chǔ)的計(jì)算機(jī)網(wǎng)絡(luò)得到廣泛應(yīng)用，成為事實(shí)上的網(wǎng)絡(luò)標(biāo)準(zhǔn)。盡管OSI/RM從整體上來(lái)講未被采用，但其制定的很多網(wǎng)絡(luò)標(biāo)準(zhǔn)仍在今天的因特網(wǎng)得到了廣泛應(yīng)用。在體系結(jié)構(gòu)的框架下，網(wǎng)絡(luò)協(xié)議可定義為：為網(wǎng)絡(luò)中互相通信的對(duì)等實(shí)體間進(jìn)行數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)或約定。實(shí)體(entity)是指任何可以發(fā)送或接收信息的硬件或軟件進(jìn)程。在許多情況下，實(shí)體就是一個(gè)特定的軟件模塊。位于不同子系統(tǒng)的同一層次內(nèi)交互的實(shí)體，就構(gòu)成了對(duì)等實(shí)體(peerentity)。網(wǎng)絡(luò)協(xié)議是計(jì)算機(jī)網(wǎng)絡(luò)不可缺少的組成部分，它保證實(shí)體在計(jì)算機(jī)網(wǎng)絡(luò)中有條不紊地交換數(shù)據(jù)。網(wǎng)絡(luò)體系結(jié)構(gòu)的脆弱性因特網(wǎng)的設(shè)計(jì)初衷是在各科研機(jī)構(gòu)間共享資源，因此盡可能地開(kāi)放以方便計(jì)算機(jī)間的互聯(lián)和資源共享，對(duì)安全性考慮較少。導(dǎo)致其存在一些固有的安全缺陷，即具有一些容易被攻擊者利用的特性。一般認(rèn)為，因特網(wǎng)的以下幾個(gè)特性易被攻擊者利用，特別是在基于IPv4的因特網(wǎng)中。(1)分組交換。因特網(wǎng)是基于分組交換的，這使得它比采用電路交換的電信網(wǎng)更容易受攻擊。所有用戶共享所有資源，給予一個(gè)用戶的服務(wù)會(huì)受到其他用戶的影響。(2)認(rèn)證與可追蹤性。因特網(wǎng)沒(méi)有認(rèn)證機(jī)制，任何一個(gè)終端接入即可訪問(wèn)全網(wǎng)，這導(dǎo)致一個(gè)嚴(yán)重的問(wèn)題就是IP欺騙：攻擊者可以偽造數(shù)據(jù)包中的任何區(qū)域的內(nèi)容然后發(fā)送數(shù)據(jù)包到Internet中。通過(guò)IP欺騙隱藏來(lái)源，攻擊者就可以發(fā)起攻擊而無(wú)須擔(dān)心對(duì)由此造成的損失負(fù)責(zé)。(3)盡力而為(best-effort)的服務(wù)策略。因特網(wǎng)采取的是盡力而為策略，即只要是交給網(wǎng)絡(luò)的數(shù)據(jù)，不管其是正常用戶發(fā)送的正常數(shù)據(jù)，還是攻擊者發(fā)送的攻擊流量，網(wǎng)絡(luò)都會(huì)盡可能地將其送到目的地。(4)匿名與隱私。網(wǎng)絡(luò)上的身份是虛擬的，普通用戶無(wú)法知道對(duì)方的真實(shí)身份，也無(wú)法拒絕來(lái)路不明的信息。(5)無(wú)尺度網(wǎng)絡(luò)。因特網(wǎng)是一種無(wú)尺度網(wǎng)絡(luò)。無(wú)尺度網(wǎng)絡(luò)的典型特征是網(wǎng)絡(luò)中的大部分結(jié)點(diǎn)只和很少結(jié)點(diǎn)連接，而有極少數(shù)結(jié)點(diǎn)與非常多的結(jié)點(diǎn)連接。無(wú)尺度網(wǎng)絡(luò)對(duì)意外故障有強(qiáng)大的承受能力，但面對(duì)針對(duì)樞紐結(jié)點(diǎn)的協(xié)同性攻擊時(shí)則顯得脆弱。(6)互聯(lián)網(wǎng)的級(jí)聯(lián)特性?；ヂ?lián)網(wǎng)是一個(gè)由路由器將眾多小的網(wǎng)絡(luò)級(jí)聯(lián)而成的大網(wǎng)絡(luò)。一個(gè)路由器消息可以逐級(jí)影響到網(wǎng)絡(luò)中的其他路由器，形成“蝴蝶效應(yīng)”。中間盒子?！爸虚g盒子”是指部署在源與目的主機(jī)之間的數(shù)據(jù)傳輸路徑上的、實(shí)現(xiàn)各種非IP轉(zhuǎn)發(fā)功能的任何中介設(shè)備，例如：用于改善性能的DNS緩存（Cache）、HTTP代理／緩存、CDN等，用于協(xié)議轉(zhuǎn)換的NAT(NetworkAddressTranslation)、IPv4-IPv6轉(zhuǎn)換器等，用于安全防護(hù)的防火墻、入侵檢測(cè)系統(tǒng)／入侵防御系統(tǒng)（IDS/IPS）等不同類(lèi)型的中間盒子大量被插入互聯(lián)網(wǎng)之中。中間盒子的出現(xiàn)，背離了傳統(tǒng)互聯(lián)網(wǎng)“核心網(wǎng)絡(luò)功能盡量簡(jiǎn)單、無(wú)狀態(tài)”的設(shè)計(jì)宗旨，從源端到目的端的數(shù)據(jù)分組的完整性無(wú)法被保證，互聯(lián)網(wǎng)透明性逐漸喪失。典型網(wǎng)絡(luò)協(xié)議的脆弱性（一）IP協(xié)議安全性分析IPv4協(xié)議是無(wú)狀態(tài)、無(wú)認(rèn)證、無(wú)加密協(xié)議，其自身有很多特性易被攻擊者利用，主要包括：（1）IPv4協(xié)議沒(méi)有認(rèn)證機(jī)制IPv4沒(méi)有對(duì)報(bào)文源進(jìn)行認(rèn)證，無(wú)法確保接收到的IP包是IP包頭中源地址所標(biāo)識(shí)的源端實(shí)體發(fā)出的。IPv4也沒(méi)有對(duì)報(bào)文內(nèi)容進(jìn)行認(rèn)證，無(wú)法確保報(bào)文在傳輸過(guò)程中的完整性沒(méi)有受到破壞。（2）IPv4協(xié)議沒(méi)有加密機(jī)制由于IPv4報(bào)文沒(méi)有使用加密機(jī)制，攻擊者很容易竊聽(tīng)到IP數(shù)據(jù)包并提取出其中的應(yīng)用數(shù)據(jù)。（3）無(wú)帶寬控制攻擊者還可以利用IPv4協(xié)議沒(méi)有帶寬控制的缺陷，進(jìn)行數(shù)據(jù)包風(fēng)暴攻擊來(lái)消耗網(wǎng)絡(luò)帶寬、系統(tǒng)資源，從而導(dǎo)致拒絕服務(wù)攻擊。為了解決IPv4存在的安全問(wèn)題，IETF設(shè)計(jì)了一套端到端的確保IP通信安全的機(jī)制，稱為IPsec（IPSecurity）。IPsec最開(kāi)始是為IPv6制定的標(biāo)準(zhǔn)，考慮到IPv4的應(yīng)用仍然很廣泛，所以在IPsec標(biāo)準(zhǔn)制定過(guò)程中也增加了對(duì)IPv4的支持。與IPv4相比，IPv6通過(guò)IPsec協(xié)議來(lái)保證IP層的傳輸安全，提高了網(wǎng)絡(luò)傳輸?shù)谋Ｃ苄浴⑼暾?、可控性和抗否認(rèn)性。盡管如此，IPv6也不可能徹底解決所有的網(wǎng)絡(luò)安全問(wèn)題，同時(shí)新增機(jī)制還會(huì)產(chǎn)生新的安全問(wèn)題。（二）ICMP協(xié)議安全性分析為了提高IP數(shù)據(jù)報(bào)交付成功的機(jī)會(huì)，在網(wǎng)際層使用了ICMP協(xié)議。ICMP允許主機(jī)或路由器報(bào)告差錯(cuò)情況、提供有關(guān)異常情況的報(bào)告。ICMP報(bào)文作為IP層數(shù)據(jù)報(bào)的數(shù)據(jù)，加上數(shù)據(jù)報(bào)的首部后組成數(shù)據(jù)報(bào)發(fā)送出去。ICMPv4報(bào)文的前4個(gè)字節(jié)是統(tǒng)一的格式，共有三個(gè)字段：即類(lèi)型、代碼、檢驗(yàn)和。接著的4個(gè)字節(jié)的內(nèi)容與ICMPv4的類(lèi)型有關(guān)。再后面是數(shù)據(jù)字段，其長(zhǎng)度和格式取決于ICMPv4的類(lèi)型。常用的差錯(cuò)報(bào)文有：目的站不可達(dá)（類(lèi)型3）、時(shí)間超過(guò)（類(lèi)型11）、改路由（或路由重定向，類(lèi)5）。常用的詢問(wèn)報(bào)文有：回送(Echo)請(qǐng)求或回答（類(lèi)型8或0）、時(shí)間戳(Timestamp)請(qǐng)求或回答（類(lèi)型13或14）等。不管ICMPv4還是ICMPv6，ICMP協(xié)議本身的特點(diǎn)決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由器和主機(jī)，因而被廣泛應(yīng)用。（1）利用“目的不可達(dá)”報(bào)文對(duì)攻擊目標(biāo)發(fā)起拒絕服務(wù)攻擊。（2）利用“改變路由”報(bào)文破壞路由表，導(dǎo)致網(wǎng)絡(luò)癱瘓。（3）木馬利用ICMP協(xié)議報(bào)文進(jìn)行隱蔽通信。（4）利用“回送(Echo)請(qǐng)求或回答”報(bào)文進(jìn)行網(wǎng)絡(luò)掃描或拒絕服務(wù)攻擊。（三）ARP協(xié)議安全性分析ARP用于將計(jì)算機(jī)的網(wǎng)絡(luò)地址（32位IP地址）轉(zhuǎn)化為物理地址（48位MAC地址）。在以太網(wǎng)中的數(shù)據(jù)幀從一個(gè)主機(jī)到達(dá)網(wǎng)內(nèi)的另一臺(tái)主機(jī)是根據(jù)48位的以太網(wǎng)地址（硬件地址）來(lái)確定網(wǎng)絡(luò)接口的，而不是根據(jù)32位的IP地址。每臺(tái)主機(jī)均有一個(gè)ARP高速緩存（ARPCache）。通常情況下，一臺(tái)主機(jī)的網(wǎng)絡(luò)驅(qū)動(dòng)程序要發(fā)送上層交來(lái)的數(shù)據(jù)時(shí)，會(huì)查看其ARP緩存中的IP地址和MAC地址的映射表。如果表中已有目的IP地址對(duì)應(yīng)的MAC地址，則獲取MAC地址，構(gòu)建網(wǎng)絡(luò)包發(fā)送，否則就發(fā)送ARP請(qǐng)求，等待擁有該IP的主機(jī)給出響應(yīng)。發(fā)出請(qǐng)求的主機(jī)在收到響應(yīng)后，更新其ARP緩存。ARP協(xié)議對(duì)收到的ARP響應(yīng)不作任何驗(yàn)證就更新其ARP緩存，即允許未經(jīng)請(qǐng)求的ARP廣播或單播對(duì)緩存中的IP-MAC對(duì)應(yīng)表表項(xiàng)進(jìn)行刪除、添加或修改。這一嚴(yán)重的安全缺陷，經(jīng)常被攻擊者用來(lái)進(jìn)行各種網(wǎng)絡(luò)攻擊，例如：（1）網(wǎng)絡(luò)監(jiān)聽(tīng)。攻擊者可以偽造ARP響應(yīng)，從本地或遠(yuǎn)程發(fā)送給主機(jī)，修改ARP緩存，從而重定向IP數(shù)據(jù)流到攻擊者主機(jī)，達(dá)到竊聽(tīng)、假冒或拒絕服務(wù)的目的。（2）阻止目標(biāo)的數(shù)據(jù)包通過(guò)網(wǎng)關(guān)。攻擊者可以利用ARP欺騙，導(dǎo)致計(jì)算機(jī)向外發(fā)送的數(shù)據(jù)包將總被發(fā)送到錯(cuò)誤的網(wǎng)關(guān)MAC地址上，計(jì)算機(jī)不能夠與外網(wǎng)通信。（四）RIP協(xié)議安全性分析RIP協(xié)議要求網(wǎng)絡(luò)中的每一個(gè)路由器都要維護(hù)從它自己到其他每一個(gè)目的網(wǎng)絡(luò)的距離記錄（因此，這是一組距離，即“距離向量”）。RIP協(xié)議將“距離”定義如下：從一個(gè)路由器到直接連接的網(wǎng)絡(luò)的距離定義為1。從一個(gè)路由器到非直接連接的網(wǎng)絡(luò)的距離定義為所經(jīng)過(guò)的路由器數(shù)加1?！凹?”是因?yàn)榈竭_(dá)目的網(wǎng)絡(luò)后就直接交付，而到直接連接的網(wǎng)絡(luò)的距離已經(jīng)定義為1。RIP協(xié)議的“距離”也稱為“跳數(shù)”(hopcount)，因?yàn)槊拷?jīng)過(guò)一個(gè)路由器，跳數(shù)就加1。RIP認(rèn)為一個(gè)好的路由就是它通過(guò)的路由器的數(shù)目少，即“距離短”。RIP允許一條路徑最多只能包含15個(gè)路由器。因此“距離”的最大值為16時(shí)即相當(dāng)于不可達(dá)。RIP只適用于小型網(wǎng)絡(luò)。如果在沒(méi)有認(rèn)證保護(hù)的情況下，攻擊者可以輕易偽造RIP路由更新信息，并向鄰居路由器發(fā)送，偽造內(nèi)容為目的網(wǎng)絡(luò)地址、子網(wǎng)掩碼地址與下一條地址，經(jīng)過(guò)若干輪的路由更新，網(wǎng)絡(luò)通信將面臨癱瘓的風(fēng)險(xiǎn)。此外，攻擊者可以利用一些網(wǎng)絡(luò)嗅探工具來(lái)獲得遠(yuǎn)程網(wǎng)絡(luò)的RIP路由表，通過(guò)欺騙工具偽造RIPv1或RIPv2報(bào)文，再利用重定向工具截取、修改和重寫(xiě)向外發(fā)送的報(bào)文，例如某臺(tái)受攻擊者控制的路由器發(fā)布通告稱有到其他路由器的路由且費(fèi)用最低，則發(fā)向該路由的網(wǎng)絡(luò)報(bào)文都將被重定向到受控的路由器上。（五）OSPF協(xié)議安全性分析OSPF使用分布式鏈路狀態(tài)協(xié)議(linkstateprotocol)，路由器間信息交換的策略如下：1）向本自治系統(tǒng)中所有路由器發(fā)送信息。這里使用的方法是洪泛法(flooding)，這就是路由器通過(guò)所有輸出端口向它所有相鄰的路由器發(fā)送信息。應(yīng)注意，RIP協(xié)議是僅僅向自己相鄰的幾個(gè)路由器發(fā)送信息。2）發(fā)送的信息就是與本路由器相鄰的所有路由器的鏈路狀態(tài)，但這只是路由器所知道的部分信息。所謂“鏈路狀態(tài)”就是說(shuō)明本路由器都和哪些路由器相鄰，以及該鏈路的“度量”(metric)。OSPF將這個(gè)“度量”用來(lái)表示費(fèi)用、距離、時(shí)延、帶寬等等。對(duì)于RIP協(xié)議，發(fā)送的信息是：“到所有網(wǎng)絡(luò)的距離和下一跳路由器”。3）只有當(dāng)鏈路狀態(tài)發(fā)生變化時(shí)，路由器才用洪泛法向所有路由器發(fā)送信息。而不像RIP那樣，不管網(wǎng)絡(luò)拓?fù)溆袩o(wú)發(fā)生變化，路由器之間都要定期交換路由表的信息。常見(jiàn)的OSPF協(xié)議攻擊手段包括：1）最大年齡（MaxAgeattack）攻擊LSA的最大年齡（MaxAge）為1小時(shí)，攻擊者發(fā)送帶有最大MaxAge設(shè)置的LSA信息報(bào)文，這樣，最開(kāi)始的路由器通過(guò)產(chǎn)生刷新信息來(lái)發(fā)送這個(gè)LSA，而后就引起在age項(xiàng)中的突然改變值的競(jìng)爭(zhēng)。如果攻擊者持續(xù)的突然插入這類(lèi)報(bào)文給整個(gè)路由器群，將會(huì)導(dǎo)致網(wǎng)絡(luò)混亂和拒絕服務(wù)攻擊。2）序列號(hào)加1（Sequence++）攻擊當(dāng)攻擊者持續(xù)插入比較大的LSASequence號(hào)報(bào)文時(shí)，最開(kāi)始的路由器就會(huì)產(chǎn)生發(fā)送自己更新的LSA序列號(hào)來(lái)超過(guò)攻擊者序列號(hào)的競(jìng)爭(zhēng)，這樣就導(dǎo)致了網(wǎng)絡(luò)不穩(wěn)定和拒絕服務(wù)攻擊。3）最大序列號(hào)攻擊根據(jù)OSPF協(xié)議的規(guī)定，當(dāng)發(fā)送最大序列號(hào)（0x7FFFFFFF）的網(wǎng)絡(luò)設(shè)備再次發(fā)送報(bào)文（此時(shí)為最小序列號(hào)）前，要求其他設(shè)備也將序列號(hào)重置，OSPF停15分鐘。如果攻擊者插入一個(gè)最大序列號(hào)的LSA報(bào)文，將觸發(fā)序列號(hào)初始化過(guò)程。在實(shí)踐中，在某些情況下，擁有最大序列號(hào)的LSA并沒(méi)有被清除而是在連接狀態(tài)數(shù)據(jù)庫(kù)中保持一小時(shí)的時(shí)間。如果攻擊者不斷地修改收到的LSA的序列號(hào)，就會(huì)造成網(wǎng)絡(luò)運(yùn)行的不穩(wěn)定。4）重放攻擊攻擊者重放一個(gè)與拓?fù)洳环腖SA，并洪泛出去，而且該LSA必須被認(rèn)為比當(dāng)前的新。各路由器接收到后，會(huì)觸發(fā)相應(yīng)的SPF計(jì)算（計(jì)算最小路徑樹(shù)的過(guò)程）。當(dāng)源路由器收到重放的LSA時(shí)，將洪泛一個(gè)具有更高序列號(hào)的真實(shí)LSA時(shí)，各路由器收到后，更新LSA，勢(shì)必又會(huì)觸發(fā)SPF計(jì)算。SPF計(jì)算是一個(gè)很消耗資源的操作，頻繁的SPF計(jì)算會(huì)導(dǎo)致路由器性能的下降。5）篡改攻擊IP首部的源IP地址、目的IP地址字段分別標(biāo)識(shí)OSPF分組由哪個(gè)路由器發(fā)出的、分組要發(fā)送到哪個(gè)路由器，協(xié)議號(hào)字段置為89時(shí)表明封裝是OSPF分組。所有這些字段如果被修改，都會(huì)導(dǎo)致OSPF路由陷入混亂。（六）BGP協(xié)議安全性分析BGP協(xié)議是一種應(yīng)用于AS之間的邊界路由協(xié)議，而且運(yùn)行邊界網(wǎng)關(guān)協(xié)議的路由器一般都是網(wǎng)絡(luò)上的骨干路由器。運(yùn)行BGP協(xié)議的路由器相互之間需要建立TCP連接以交換路由信息，這種連接稱為BGP會(huì)話(Session)。每一個(gè)會(huì)話包含了兩個(gè)端點(diǎn)路由器，這兩個(gè)端點(diǎn)路由器稱為相鄰體(Neighbor)或是對(duì)等體(Peer)。BGP一般是在兩個(gè)自治系統(tǒng)的邊界路由器之間建立對(duì)等關(guān)系，也可以在同一個(gè)自治系統(tǒng)內(nèi)的兩個(gè)邊界路由器之間建立對(duì)等關(guān)系。BGP協(xié)議最主要的安全問(wèn)題在于缺乏一個(gè)安全可信的路由認(rèn)證機(jī)制，即BGP無(wú)法對(duì)所傳播的路由信息的安全性進(jìn)行驗(yàn)證。每個(gè)自治系統(tǒng)向外通告自己所擁有的CIDR（ClasslessInter-DomainRouting）地址塊，并且協(xié)議無(wú)條件信任對(duì)等系統(tǒng)的路由通告，這將就導(dǎo)致一個(gè)自治系統(tǒng)向外通告不屬于自己的前綴時(shí)，也會(huì)被BGP用戶認(rèn)為合法，從而接受和傳播，導(dǎo)致路由攻擊的發(fā)生。由于BGP協(xié)議使用TCP作為其傳輸協(xié)議，因此同樣會(huì)面臨很多因?yàn)槭褂肨CP而導(dǎo)致的安全問(wèn)題，如SYNFlood攻擊、序列號(hào)預(yù)測(cè)等。BGP沒(méi)有使用自身的序列號(hào)而依靠TCP的序列號(hào)，因此，如果設(shè)備采用了可預(yù)測(cè)序列號(hào)的方案，就面臨著這種類(lèi)型的攻擊。“數(shù)字大炮”攻擊利用BGP路由器正常工作過(guò)程中路由表更新機(jī)制，通過(guò)在網(wǎng)絡(luò)上制造某些通信鏈路的時(shí)斷時(shí)續(xù)的震蕩效應(yīng)，導(dǎo)致網(wǎng)絡(luò)中路由器頻繁地更新路由表，最終當(dāng)網(wǎng)絡(luò)上震蕩路徑數(shù)量足夠多、震蕩的頻率足夠高時(shí)，網(wǎng)絡(luò)上所有路由器都處于癱瘓狀態(tài)。對(duì)于數(shù)字大炮，現(xiàn)有的BGP內(nèi)置故障保護(hù)措施幾乎無(wú)能為力。一種解決辦法是通過(guò)一個(gè)獨(dú)立網(wǎng)絡(luò)來(lái)發(fā)送BGP更新，但這不太現(xiàn)實(shí)，因?yàn)檫@必然涉及建立一個(gè)影子互聯(lián)網(wǎng)。另一種方法是改變BGP系統(tǒng)，讓其假定連接永不斷開(kāi)，但根據(jù)研究者的模型，此方法必須讓互聯(lián)網(wǎng)中至少10%的自治系統(tǒng)做出這種改變，并且要求網(wǎng)絡(luò)運(yùn)營(yíng)者尋找其他辦法監(jiān)控連接的健康狀況，但是要說(shuō)服足夠多的獨(dú)立運(yùn)營(yíng)商做出這一改變非常困難。（七）UDP協(xié)議安全性分析UDP協(xié)議提供的是不可靠數(shù)據(jù)傳輸服務(wù)，但由于其簡(jiǎn)單高效，因此有很多應(yīng)用層協(xié)議利用UDP作為傳輸協(xié)議，如域名解析協(xié)議（DNS）、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）、網(wǎng)絡(luò)文件系統(tǒng)（NFS）、動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）和路由信息協(xié)議（RIP）。如果某一應(yīng)用層協(xié)議需要可靠傳輸，則可根據(jù)需要在UDP基礎(chǔ)上加入一些可靠機(jī)制，如重傳、超時(shí)、序號(hào)等，或直接利用TCP協(xié)議。UDP協(xié)議可以用來(lái)發(fā)起風(fēng)暴型拒絕服務(wù)攻擊，也可以進(jìn)行網(wǎng)絡(luò)掃描。（八）TCP協(xié)議安全性分析TCP協(xié)議被攻擊者廣泛利用。1）由于一臺(tái)主機(jī)或服務(wù)器所允許建立的TCP連接數(shù)是有限的，因此，攻擊者常常用TCP全連接（完成三次握手過(guò)程）或半連接（只完成二次握手過(guò)程）來(lái)對(duì)目標(biāo)發(fā)起拒絕服務(wù)攻擊。2）序號(hào)預(yù)測(cè)。TCP報(bào)文段的初始序號(hào)（ISN）在TCP連接建立時(shí)產(chǎn)生，攻擊者向目標(biāo)主機(jī)發(fā)送連接請(qǐng)求可得到上次的序號(hào)，再通過(guò)多次測(cè)量來(lái)回傳輸路徑得到進(jìn)攻主機(jī)到目標(biāo)主機(jī)間數(shù)據(jù)包傳送的來(lái)回時(shí)間（RTT）。已知上次連接的序號(hào)和RTT，就能預(yù)測(cè)下次連接的序號(hào)。若攻擊者推測(cè)出正確的序號(hào)就能偽造有害數(shù)據(jù)包并使目標(biāo)主機(jī)接受，實(shí)TCP連接劫持攻擊。3）網(wǎng)絡(luò)掃描。攻擊者可以利用TCP連接請(qǐng)求來(lái)進(jìn)行端口掃描，從而獲得目標(biāo)主機(jī)上的網(wǎng)絡(luò)服務(wù)狀態(tài)，進(jìn)一步發(fā)起有針對(duì)性的攻擊。（九）DNS協(xié)議安全性分析DNS協(xié)議缺乏必要的認(rèn)證機(jī)制，客戶無(wú)法確認(rèn)接收到的信息的真實(shí)性和權(quán)威性，基于名字的認(rèn)證過(guò)程并不能起到真正的識(shí)別作用，而且接收到的應(yīng)答報(bào)文中往往含有額外的附加信息，其正確性也無(wú)法判斷。此外，DNS的絕大部分通信使用UDP，數(shù)據(jù)報(bào)文容易丟失，也易于受到劫持和欺騙。DNS協(xié)議脆弱性面臨的威脅主要是域名欺騙和網(wǎng)絡(luò)通信攻擊。域名欺騙是指域名系統(tǒng)（包括DNS服務(wù)器和解析器）接收或使用來(lái)自未授權(quán)主機(jī)的不正確信息。攻擊者通常偽裝成客戶可信的DNS服務(wù)器，然后將偽造的惡意信息反饋給客戶。域名欺騙主要包括事務(wù)ID欺騙(transactionIDspoofing)和緩存投毒(cachepoisoning)。針對(duì)DNS的網(wǎng)絡(luò)通信攻擊主要是分布式拒絕服務(wù)攻擊（DistributedDenialofService,DDoS）攻擊、惡意網(wǎng)址重定向和中間人(Man-In-The-Middle,MITM)攻擊。同其他互聯(lián)網(wǎng)服務(wù)一樣，DNS系統(tǒng)容易遭受拒絕服務(wù)攻擊。針對(duì)DNS的拒絕服務(wù)攻擊通常有兩種方式：一種是攻擊DNS系統(tǒng)本身，包括對(duì)名字服務(wù)器和客戶端進(jìn)行攻擊，另一種是利用DNS系統(tǒng)作為反射點(diǎn)攻擊其他目標(biāo)。在針對(duì)DNS系統(tǒng)客戶端的拒絕服務(wù)攻擊中，主要通過(guò)發(fā)送否定回答顯示域名不存在，從而制造黑洞效應(yīng)，對(duì)客戶端造成事實(shí)上的拒絕服務(wù)攻擊。對(duì)域名服務(wù)器的攻擊則是直接以域名服務(wù)器為攻擊目標(biāo)。在反射式攻擊中，攻擊者利用域名服務(wù)器作為反射點(diǎn)，用DNS應(yīng)答對(duì)目標(biāo)進(jìn)行洪泛攻擊。在惡意網(wǎng)址重定向和中間人攻擊過(guò)程中，攻擊者通常偽裝成客戶可信任的實(shí)體對(duì)通信過(guò)程進(jìn)行分析和篡改，將客戶請(qǐng)求重定向到假冒的網(wǎng)站等與請(qǐng)求不符的目的地址，從而竊取客戶的賬戶和密碼等機(jī)密信息，進(jìn)行金融欺詐和電子盜竊等網(wǎng)絡(luò)犯罪活動(dòng)。（十）HTTP協(xié)議安全性分析在安全的HTTP協(xié)議（HTTPS）出現(xiàn)之前，Web瀏覽器和服務(wù)器之間通過(guò)HTTP協(xié)議進(jìn)行通信。HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的，也就是明文，再通過(guò)不加密的TCP協(xié)議傳輸，因此使用HTTP協(xié)議傳輸?shù)碾[私信息非常不安全，同時(shí)還存在不能有效抵御假冒服務(wù)器的問(wèn)題。將HTTP和SSL/TLS協(xié)議結(jié)合起來(lái)后，既能夠?qū)W(wǎng)絡(luò)服務(wù)器的身份進(jìn)行認(rèn)證，又能保護(hù)交換數(shù)據(jù)的機(jī)密性和完整性。計(jì)算機(jī)系統(tǒng)安全分析計(jì)算機(jī)系統(tǒng)的安全風(fēng)險(xiǎn)主要包括：1）計(jì)算機(jī)系統(tǒng)硬件系統(tǒng)的故障。因設(shè)計(jì)不當(dāng)、器件的質(zhì)量及使用壽命的限制、外界因素等導(dǎo)致的計(jì)算機(jī)系統(tǒng)硬件出現(xiàn)故障，進(jìn)而影響到整個(gè)系統(tǒng)的安全。2）各類(lèi)計(jì)算機(jī)軟件故障或安全缺陷。由于某些特定程序缺陷存在，計(jì)算機(jī)程序在運(yùn)行時(shí)刻會(huì)出現(xiàn)一些設(shè)計(jì)時(shí)非預(yù)期的行為，其非但不能完成預(yù)期的功能，反而會(huì)出現(xiàn)意料之外的執(zhí)行狀況。這種預(yù)期之外的程序行為輕則損害程序的預(yù)期功能，重則會(huì)導(dǎo)致程序崩潰，使其不能正常運(yùn)行。3）配置和管理不當(dāng)?shù)热藶橐蛩貙?dǎo)致計(jì)算機(jī)存在安全風(fēng)險(xiǎn)。計(jì)算機(jī)系統(tǒng)自身的脆弱和不足是造成信息系統(tǒng)安全問(wèn)題的內(nèi)部根源，攻擊者正是利用系統(tǒng)的脆弱性使各種威脅變成現(xiàn)實(shí)危害。一般來(lái)說(shuō)，不管是操作系統(tǒng)還是應(yīng)用軟件，在其設(shè)計(jì)、開(kāi)發(fā)過(guò)程中有很多因素會(huì)導(dǎo)致系統(tǒng)、軟件漏洞的出現(xiàn)，主要包括：1）系統(tǒng)基礎(chǔ)設(shè)計(jì)錯(cuò)誤導(dǎo)致漏洞。2）編碼錯(cuò)誤導(dǎo)致漏洞。3）安全策略實(shí)施錯(cuò)誤導(dǎo)致漏洞。4）實(shí)施安全策略對(duì)象歧義導(dǎo)致漏洞，即實(shí)施安全策略時(shí)，處理的對(duì)象和最終操作處理的對(duì)象不一致。5）系統(tǒng)開(kāi)發(fā)人員刻意留下的后門(mén)。這些后門(mén)一旦被攻擊者獲悉，將嚴(yán)重威脅系統(tǒng)的安全。除了上述設(shè)計(jì)實(shí)現(xiàn)過(guò)程中產(chǎn)生的系統(tǒng)安全漏洞外，不正確的安全配置也會(huì)導(dǎo)致安全事故，例如弱口令、開(kāi)放Guest用戶、安全策略配置不當(dāng)?shù)?。為了降低安全漏?/p>