網(wǎng)絡(luò)與通信安全資料.ppt

1、網(wǎng)絡(luò)與通信安全, 綠盟科技,議題,網(wǎng)絡(luò)基礎(chǔ)概述 網(wǎng)絡(luò)體系結(jié)構(gòu) 網(wǎng)絡(luò)協(xié)議安全分析 網(wǎng)絡(luò)中面臨的威脅 針對網(wǎng)絡(luò)設(shè)備的攻擊 拒絕服務(wù)（DoS）攻擊 欺騙攻擊 網(wǎng)絡(luò)嗅探 網(wǎng)絡(luò)設(shè)備安全 網(wǎng)絡(luò)服務(wù)的安全 拒絕服務(wù)攻擊（DoS）的防御策略,OSI參考模型,ISOOSI網(wǎng)絡(luò)體系結(jié)構(gòu) 網(wǎng)絡(luò)體系結(jié)構(gòu)分層的目的 OSI參考模型的層次劃分 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層,TCP/IP協(xié)議層次模型,TCP/IP協(xié)議分層并不完全對應(yīng)OSI模型 應(yīng)用層 Telnet FTP DNS SMTP 傳輸層 TCP UDP 網(wǎng)絡(luò)層 IP ICMP ARP RARP 網(wǎng)絡(luò)接口層 X.25 ARPanet,

2、常見黑客攻擊方式,應(yīng)用層：應(yīng)用程序和操作系統(tǒng)的攻擊與破壞 網(wǎng)絡(luò)層：拒絕服務(wù)攻擊和數(shù)據(jù)竊聽風(fēng)險 傳輸層：拒絕服務(wù)攻擊 硬件設(shè)備與數(shù)據(jù)鏈路：物理竊聽與破壞,TCP/IP模型與潛在風(fēng)險,Internet 的安全問題的產(chǎn)生,Internet起于研究項目,安全不是主要的考慮 少量的用戶，多是研究人員,可信的用戶群體 可靠性(可用性)、計費、性能 、配置、安全 網(wǎng)絡(luò)協(xié)議的開放性與系統(tǒng)的通用性 目標可訪問性，行為可知性 攻擊工具易用性 Internet 沒有集中的管理權(quán)威和統(tǒng)一的政策 安全政策、計費政策、路由政策,網(wǎng)絡(luò)安全的語義范圍,保密性(Confidentiality) 完整性(Integrity) 可

3、用性(Availability),局域網(wǎng)的特性,局域網(wǎng)典型特性 高數(shù)據(jù)傳輸率 短距離 低誤碼率 常用的局域網(wǎng)介質(zhì)訪問控制技術(shù) 載波監(jiān)聽多路訪問/沖突檢測(CSMA/CD)技術(shù) 令牌控制技術(shù) 令牌總線控制技術(shù) 光纖分布數(shù)據(jù)接口(FDDI)技術(shù),局域網(wǎng)安全管理,良好的網(wǎng)絡(luò)拓撲規(guī)劃 對網(wǎng)絡(luò)設(shè)備進行基本安全配置 合理的劃分VLAN 分離數(shù)據(jù)廣播域 綁定IP地址與Mac地址 配置防火墻和IDS設(shè)備 使用內(nèi)容監(jiān)控與病毒過濾,良好的網(wǎng)絡(luò)規(guī)劃,網(wǎng)絡(luò)安全規(guī)劃原則 合理的分配地址 合理的網(wǎng)絡(luò)邏輯結(jié)構(gòu) 通過VLAN分隔邏輯網(wǎng)絡(luò) 通過域或工作組確定用戶權(quán)限 建立良好的網(wǎng)絡(luò)安全制度,網(wǎng)絡(luò)設(shè)備安全配置,關(guān)閉不必要的設(shè)備服

4、務(wù) 使用強口令或密碼 加強設(shè)備訪問的認證與授權(quán) 升級設(shè)備固件或OS 使用訪問控制列表限制訪問 使用訪問控制表限制數(shù)據(jù)包類型,廣域網(wǎng)的概念和特性,廣域網(wǎng)是覆蓋地理范圍相對較廣的數(shù)據(jù)通信網(wǎng)絡(luò)。 網(wǎng)絡(luò)的規(guī)模和分類： 局域網(wǎng)(LAN，local area network)可覆蓋一個建筑物或一所學(xué)校; 城域網(wǎng)(MAN，metropolitan area network)可覆蓋一座城市; (WAN，wide area network)可覆蓋多座城市、多個國家或洲。,廣域網(wǎng)的構(gòu)成和種類,廣域網(wǎng)的參考模型 廣域網(wǎng)的構(gòu)成 廣域網(wǎng)的種類 X.25 幀中繼 ATM,廣域網(wǎng)安全管理,良好的網(wǎng)絡(luò)拓撲規(guī)劃 對網(wǎng)絡(luò)設(shè)備進行

5、基本安全配置 確保路由協(xié)議安全 使用ACL進行數(shù)據(jù)過濾 使用AAA加強訪問控制和認證,概念： 網(wǎng)絡(luò)協(xié)議按結(jié)構(gòu)化層次方式組織，每層完成一定的功能，每層都建在其下層之上，并通過層間接口向上層提供服務(wù)，將服務(wù)實現(xiàn)的細節(jié)對上層隱蔽。 優(yōu)點： 減少復(fù)雜性 ，維護、修改相對容易 、不同節(jié)點之間的對等層可以通過共享數(shù)據(jù)格式來進行通信. 網(wǎng)絡(luò)分層連同其相應(yīng)協(xié)議叫網(wǎng)絡(luò)體系架構(gòu) ,如TCP/IP，OSI等,分層模型,國際標準組織ISO(International Organization for Standardization)提出了開放式系統(tǒng)互聯(lián)網(wǎng)絡(luò)體結(jié)架構(gòu)(Open System Interconnectio

6、n/Reference Model) OSI 定義了異種機互連的標準框架，為連接分散的“開放”系統(tǒng)提供了基礎(chǔ)任何兩個遵守OSI標準的系統(tǒng)均可實施互連。 七層網(wǎng)絡(luò)體系架構(gòu)： 網(wǎng)絡(luò)自底向上分別是：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層，各層完成一定的功能，每層為其上層網(wǎng)絡(luò)提供支持，這種支持表現(xiàn)為數(shù)據(jù)(信息)的封裝：SegmentPacketFrame,OSI模型(1),OSI模型(2),A：為應(yīng)用進程訪問OSI環(huán)境提供手段，并為應(yīng)用進程提供服務(wù)，關(guān)心數(shù)據(jù)的語義 ，如WWW P：提供數(shù)據(jù)的句法，處理通信雙方之間的數(shù)據(jù)表示問題，如ASCII S：提供一種經(jīng)過組織的方法在用戶之間交換

7、數(shù)據(jù),如SQL T：資源子網(wǎng)與通信子網(wǎng)的界面和橋梁 ，端到端的通信 N：通信子網(wǎng)與網(wǎng)絡(luò)高層的界面，用戶進人網(wǎng)絡(luò)、以及網(wǎng)絡(luò)之間互連的接口 ，主機到主機的通信，即尋址 D：進行鏈路上的數(shù)據(jù)傳輸 ，物理尋址 P：物理設(shè)備間的接口 ，電平信號或光信號,OSI模型各層功能簡述,TCP/IP 由美國DOD Research Projects AgencyDARPA）70年代開發(fā)。包括了一組協(xié)議 ，采用了網(wǎng)絡(luò)分層的概念,一般稱為DOD體系結(jié)構(gòu) 。 其分為4層，自底向上分別是： 網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)互聯(lián)層、傳輸層、應(yīng)用層。,TCP/IP體系架構(gòu),應(yīng)用層： 向用戶提供一組常用的應(yīng)用程序 ，如FTP，HTTP，TEL

8、NET等，用戶亦可在TCP/UDP基礎(chǔ)上定義專有應(yīng)用。 傳輸層： 提供應(yīng)用程序間（即端到端）的通信 ，格式化信息流 、提供可靠傳輸 及解決不同應(yīng)用程序的識別問題 網(wǎng)絡(luò)互連層： 負責(zé)相鄰計算機之間的通信 網(wǎng)絡(luò)接口層： 負責(zé)收發(fā)數(shù)據(jù)包并通過網(wǎng)絡(luò)傳輸,TCP/IP各層功能簡述,OSI模型與DOD體系對照,TCP/IP協(xié)議棧 物理層安全 網(wǎng)絡(luò)層安全 傳輸層安全 應(yīng)用層安全,TCP/IP協(xié)議安全分析,力求簡單高效的設(shè)計初衷使TCP/IP協(xié)議集的許多安全因素未得以完善 安全缺陷的一些表現(xiàn): TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸 TCP/IP協(xié)議以IP地址作為網(wǎng)絡(luò)節(jié)點的唯一標識，此舉并不能對節(jié)點上的用戶進行有

9、效的身份認證 協(xié)議本身的特點被利用實施網(wǎng)絡(luò)攻擊 ,TCP/IP網(wǎng)絡(luò)的安全來由,物理層介紹 物理層的安全風(fēng)險分析 物理層的安全防護,物理層的安全威脅,第一層稱為物理層(Physical Layer)，這一層負責(zé)傳送比特流。 它提供建立、維護和拆除物理鏈路所需的機械、電氣、功能和規(guī)程特性。 通過傳輸介質(zhì)進行數(shù)據(jù)流的物理傳輸，故障檢測和物理層管理。,物理層介紹,物理安全風(fēng)險主要指：網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用，而造成網(wǎng)絡(luò)系統(tǒng)的不可用。 例如：設(shè)備被盜、被毀壞；設(shè)備老化、意外故障；計算機系統(tǒng)通過無線電輻射泄露秘密信息等。 由于局域網(wǎng)中采用廣播方式，因此，若在某個廣播域中可以偵聽到

10、所有的信息包，黑客就可以對信息包進行分析，那么本廣播域的信息傳遞都會暴露在黑客面前。,物理層的安全風(fēng)險分析,網(wǎng)絡(luò)分段 網(wǎng)絡(luò)拓撲,物理層的安全防護,網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。 物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層（ISO/OSI模型中的第一層和第二層）上分為若干網(wǎng)段，各網(wǎng)段相互之間無法進行直接通訊。 目前，許多交換機都有一定的訪問控制能力，可實現(xiàn)對網(wǎng)絡(luò)的物理分段,網(wǎng)絡(luò)分段,網(wǎng)絡(luò)層協(xié)議及安全威脅 網(wǎng)絡(luò)層的安全防護與安全協(xié)議,網(wǎng)絡(luò)層的安全威脅,網(wǎng)絡(luò)層主要用于尋址和路由。它并不提供任何錯誤糾正和流控制的方法。網(wǎng)絡(luò)層使用較高效的服務(wù)來傳送數(shù)據(jù)報文,網(wǎng)絡(luò)層介紹,網(wǎng)絡(luò)層協(xié)議,IP協(xié)議安

11、全(spoofing等) Internet 控制信息協(xié)議(ICMP) ARP欺騙和ARP洪水,DoS IGMP攻擊,網(wǎng)絡(luò)層的安全威脅,ARP: 將IP地址轉(zhuǎn)化成MAC地址的一種協(xié)議, ARP在IP層之下,一般認為其屬網(wǎng)絡(luò)層,但它利用數(shù)據(jù)鏈路層工作-分層并不嚴格。 以太網(wǎng)的傳輸靠mac地址決定,即主機響應(yīng)ip包依靠ip包中所包含的mac地址來識別:主機在發(fā)送一個ip包之前，它要到該轉(zhuǎn)換表中尋找和ip包對應(yīng)的mac地址。如果沒有找到，該主機就發(fā)送一個ARP廣播包，看起來象這樣子： 我是主機X.X.X.X1,mac是X-X-X-X1 ,ip為X.X.X.X2的主機請告之你的mac來 ip為X.X.X

12、.X2的主機響應(yīng)這個廣播，應(yīng)答ARP廣播為：我是X.X.X.X2,我的mac為X-X-X-X2 *ARP的查詢包為廣播包，而 ARP的應(yīng)答包為單播包,ARP協(xié)議,針對ARP的攻擊主要有兩種，一種是DOS,一種是Spoof DOS:大量的arp 請求報文的攻擊 假冒ARP應(yīng)答 -DOS:冒充B向A應(yīng)答,使得A與B的通信不成功 點對點的假冒查詢:顯充A向B發(fā)包更新B的ARP表,使B與A的通信不成功 自動定時ARP欺騙 : 對網(wǎng)關(guān)的干擾 推測ARP解析時間,ARP協(xié)議安全問題,網(wǎng)絡(luò)安全信任關(guān)系不要單純建立在ip或mac基礎(chǔ)上 設(shè)置靜態(tài)的mac-ip對應(yīng)表，不要讓主機刷新你設(shè)定好的轉(zhuǎn)換表 使用ARP服

13、務(wù)器:確保該機安全,通過該機查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機器的ARP廣播 使用proxy代理ip的傳輸 使用硬件屏蔽主機,交換機和網(wǎng)橋無法阻止ARP欺騙 定期用響應(yīng)的ip包中獲得一個rarp請求，然后檢查ARP響應(yīng)的真實性 使用防火墻/IDS連續(xù)監(jiān)控網(wǎng)絡(luò),解決ARP協(xié)議安全,網(wǎng)際協(xié)議，TCP/IP協(xié)議族中的主要網(wǎng)絡(luò)層協(xié)議，與TCP協(xié)議結(jié)合組成整個因特網(wǎng)協(xié)議的核心協(xié)議。 包含尋址信息和控制信息 ，可使數(shù)據(jù)包在網(wǎng)絡(luò)中路由。 IP適用于LAN和WAN 通信。除了ARP和RARP,其它所有TCP/IP族中的協(xié)議都是使用IP傳送主機與主機間的通信。 兩個基本任務(wù)： 提供無連接的和最有效的數(shù)據(jù)包傳送。

14、 提供數(shù)據(jù)包的分割及重組以支持不同最大傳輸單元大小的數(shù)據(jù)連接。 IP協(xié)議只用于發(fā)送包，TCP協(xié)議負責(zé)將其按正確順序排列。,IP協(xié)議,IP協(xié)議結(jié)構(gòu),IP協(xié)議存在的主要缺陷包括：IP通信不需用進行身份認證，IP數(shù)據(jù)傳輸沒有加密，IP的分組和重組機制不完善，IP地址的表示不需要真實并確認真假等。 IP碎片攻擊，源路由攻擊，IP欺騙，IP偽造，Ping Flooding和Ping of Death等大量的攻擊，都是利用IP協(xié)議的缺陷對IP協(xié)議進行攻擊的。且很多上層的安全隱患源于 IP 欺騙，如 DNS 欺騙等 實例: Smurf攻擊 ,向大量的遠程主機發(fā)送一系列的ping 請求命令。黑客把源IP 地址

15、換成想要攻擊目標主機的IP 地址。所有的遠程計算機都響應(yīng)這些ping 請求，然后對目標地址進行回復(fù)而不是回復(fù)給攻擊者的IP 地址用。目標IP 地址將被大量的ICMP 包淹沒而不能有效的工作。,IP協(xié)議安全問題,網(wǎng)絡(luò)分段 VLAN 防火墻 IPSec,IP協(xié)議安全解決辦法,ICMP是“Internet Control Message Protocol”（Internet控制消息協(xié)議）的縮寫 控制消息是指：網(wǎng)絡(luò)通不通、主機是否可達、路由是否可用等網(wǎng)絡(luò)本身的消息?？刂葡⒉⒉粋鬏斢脩魯?shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。如Ping ICMP在IP層之上，利用IP層收、發(fā)數(shù)據(jù)包,ICMP協(xié)議,I

16、CMP協(xié)議結(jié)構(gòu),Type 錯誤消息或信息消息。錯誤消息可能是不可獲得目標文件，數(shù)據(jù)包太大，超時，參數(shù)問題等?？赡艿男畔⑾⒂校篍cho Request、Echo Reply、Group Membership Query、Group Membership Report、Group Membership Reduction。 Code 每種消息類型具有多種不同代碼。不可獲得目標文件正是這樣一個例子，即其中可能的消息是：目標文件沒有路由，禁止與目標文件的通信，非鄰居，不可獲得地址，不可獲得端口。具體細節(jié)請參照相關(guān)標準。 Checksum 計算校驗和時，Checksum 字段設(shè)置為0。 Identif

17、ier 幫助匹配 Requests/Replies 的標識符，值可能為0。 Sequence Number 幫助匹配 Requests/Replies 的序列號，值可能為0。 Address Mask 32位掩碼地址。,ICMP協(xié)議結(jié)構(gòu),lots of nasty things can be done with ICMP messages when scanning networks or trying to gain a covert channel ICMP協(xié)議本身的特點決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由器和主機,此外也被用于攻擊前期掃描工作的系統(tǒng)指紋識別。 基于ICMP路由欺騙的技術(shù)

18、都是停留在理論上占整個攻擊總數(shù)的90%以上。 如: 1.可以利用操作系統(tǒng)規(guī)定的ICMP數(shù)據(jù)包最大尺寸不超過64KB這一規(guī)定，向主機發(fā)起“Ping of Death”（死亡之Ping）攻擊 2.向目標主機長時間、連續(xù)、大量地發(fā)送ICMP數(shù)據(jù)包，也會最終使系統(tǒng)癱瘓。,ICMP安全問題,在路由器上對ICMP數(shù)據(jù)包進行帶寬限制，將ICMP占用的帶寬控制在一定的范圍內(nèi) 在主機上設(shè)置ICMP數(shù)據(jù)包的處理規(guī)則，最好是設(shè)定拒絕所有的ICMP數(shù)據(jù)包-包過濾/防火墻,ICMP協(xié)議安全解決辦法,IGMP（Internet Group Management Protocol）是IP主機用作向相鄰多目路由器報告多目組成

19、員。多目路由器是支持組播的路由器，向本地網(wǎng)絡(luò)發(fā)送IGMP查詢。主機通過發(fā)送IGMP報告來應(yīng)答查詢。組播路由器負責(zé)將組播包轉(zhuǎn)發(fā)到所有網(wǎng)絡(luò)中組播成員。 Internet組管理協(xié)議（IGMP）是因特網(wǎng)協(xié)議家族中的一個組播協(xié)議，用于IP主機向任一個直接相鄰的路由器報告他們的組成員情況。IGMP信息封裝在IP報文中，其IP的協(xié)議號為2。IGMP由IETF（）定義在RFC-1112、RFC-2236和 RFC376中。,IGMP協(xié)議,IGMP協(xié)議結(jié)構(gòu),問題：可以發(fā)送畸形的igmp包來導(dǎo)致系統(tǒng)tcp-ip棧崩潰。 最常用的igmp攻擊就是偽造一個目的地址是單個ip,但ip上層協(xié)議指定

20、為IGMP,系統(tǒng)會為你打造一個igmp報頭,因為組播使用D類地址,所以系統(tǒng)不知如何處理,造成崩潰。 IGMP攻擊如：向有WINDOWS9x操作系統(tǒng)的機器發(fā)送長度和數(shù)量都較大的IGMP數(shù)據(jù)包。典型的攻擊工具有DOOM。,IGMP安全問題,網(wǎng)絡(luò)層的安全防護,邏輯網(wǎng)絡(luò)分段: 網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)際必須通過路由器、路由交換機、網(wǎng)關(guān)或防火墻等設(shè)備進行連接，利用這些中間設(shè)備（含軟件、硬件）的安全機制來控制各子網(wǎng)際的訪問。 VLAN的實施 :按照系統(tǒng)的安全性來劃分VLAN。 防火墻服務(wù) :在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊，根據(jù)設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。 加密技術(shù) :通過對

21、網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性 ,有面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)2種形式。 數(shù)字簽名和認證技術(shù) :解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認可。 VPN技術(shù):在不可信任的公共網(wǎng)絡(luò)上安全的通信。,網(wǎng)絡(luò)層的安全防護,IPSEC：于1995年在互聯(lián)網(wǎng)標準草案中頒布，可以保證局域網(wǎng)、專用或公用的廣域網(wǎng)及Internet上信息傳輸?shù)陌踩?主要特征：可對所有IP級的通信進行加密和認證。其提供三種形式來保護通過IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù)。 數(shù)據(jù)認證-可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)在數(shù)據(jù)完整性方面是一致的，同時可以確定申請發(fā)送者在實際上是真實發(fā)送者，而不是偽裝的 完整性-保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何

22、不可檢測的數(shù)據(jù)丟失與改變 機密性-使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容,網(wǎng)絡(luò)層安全協(xié)議,主要優(yōu)點： 透明性，也就是說，安全服務(wù)的提供不需要應(yīng)用程序、其他通信層次和網(wǎng)絡(luò)部件做任何改動 主要缺點： 網(wǎng)絡(luò)層一般對屬于不同進程和相應(yīng)條例的包不作區(qū)別。對所有去往同一地址的包，它將按照同樣的加密密鑰和訪問控制策略來處理。這可能導(dǎo)致提供不了所需的功能，也會導(dǎo)致性能下降,網(wǎng)絡(luò)層的安全性特點,傳輸層介紹 傳輸層協(xié)議及其安全分析,傳輸層的安全威脅,傳輸層控制主機間傳輸?shù)臄?shù)據(jù)流。,傳輸層介紹,通過序列確認以及包重發(fā)機制，提供可靠的數(shù)據(jù)流發(fā)送和到應(yīng)用程序的虛擬連接服務(wù)。與

23、IP 協(xié)議相結(jié)合， TCP 組成了因特網(wǎng)協(xié)議的核心。 網(wǎng)絡(luò) IP 地址和端口號結(jié)合成為唯一的標識 , 我們稱之為“套接字”或“端點”。 TCP 在端點間建立連接或虛擬電路進行可靠通信。 提供數(shù)據(jù)流傳輸、可靠性、有效流控制、全雙工操作和多路復(fù)用技術(shù)等。,TCP協(xié)議,數(shù)據(jù)流傳輸 ,TCP交付一個由序列號定義的無結(jié)構(gòu)的字節(jié)流。 這個服務(wù)對應(yīng)用程序有利，因為在送出到TCP之前應(yīng)用程序不需要將數(shù)據(jù)劃分成塊，TCP可以將字節(jié)整合成字段，然后傳給 IP 進行發(fā)送。 可靠性：TCP在字節(jié)上加上一個遞進的確認序列號來告訴接收者發(fā)送者期望收到的下一個字節(jié)。如果在規(guī)定時間內(nèi)，沒有收到關(guān)于這個包的確認響應(yīng)，重新發(fā)送此

24、包。TCP的可靠機制允許設(shè)備處理丟失、延時、重復(fù)及讀錯的包。超時機制允許設(shè)備監(jiān)測丟失包并請求重發(fā)。 有效流控制。當(dāng)向發(fā)送者返回確認響應(yīng)時，接收TCP進程就會說明它能接收并保證緩存不會發(fā)生溢出的最高序列號。 全雙工操作：TCP進程能夠同時發(fā)送和接收包。多路技術(shù)：大量同時發(fā)生的上層會話能在單個連接上時進行多路復(fù)用。,TCP協(xié)議,TCP協(xié)議結(jié)構(gòu),建立一個TCP連接,結(jié)束一個TCP連接,TCP協(xié)議被攻擊，主要是利用TCP的三次握手機制, 如有: TCP序列號欺騙 TCP序列號轟炸攻擊 SYN Flooding攻擊，ACK Flooding攻擊等;,TCP協(xié)議的安全問題,UDP協(xié)議,傳輸層協(xié)議，為無確認

25、的數(shù)據(jù)報服務(wù)，只是簡單的接收和傳輸數(shù)據(jù) UDP比TCP傳輸數(shù)據(jù)快,UDP,無連接的傳輸層協(xié)議，提供面向事務(wù)的簡單不可靠信息傳送服務(wù)。 與 TCP 不同， UDP 并不提供對 IP 協(xié)議的可靠機制、流控制以及錯誤恢復(fù)功能等。 UDP 比較簡單， UDP 頭包含很少的字節(jié)，比 TCP 負載消耗少。 UDP 適用于不需要 TCP 可靠機制的情形,如網(wǎng)絡(luò)文件系統(tǒng)（NFS）、簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）、域名系統(tǒng)（DNS）以及簡單文件傳輸系統(tǒng)（TFTP）均基于UDP,UDP協(xié)議,UDP協(xié)議結(jié)構(gòu),對UDP協(xié)議的攻擊，主要利用UDP協(xié)議本身特性，進行流量攻擊，強化UDP通信的不可靠性，以達到拒絕服務(wù)的目的。

26、 此外,某些Unix的服務(wù)器默認一些可被惡意利用的UDP服務(wù)，如echo和chargen，它會顯示接收到的每一個數(shù)據(jù)包，而原本作為測試功能的chargen服務(wù)會在收到每一個數(shù)據(jù)包時隨機反饋一些字符，如果惡意攻擊者將這2個UDP服務(wù)互指，則網(wǎng)絡(luò)可用帶寬將很快耗盡。,UDP協(xié)議安全問題,傳輸層處于通信子網(wǎng)和資源子網(wǎng)之間，起著承上啟下的作用，支持多種安全服務(wù)： 對等實體認證服務(wù)； 訪問控制服務(wù)； 數(shù)據(jù)保密服務(wù)； 數(shù)據(jù)完整性服務(wù)； 數(shù)據(jù)源點認證服務(wù)。,傳輸層安全性,應(yīng)用層介紹 應(yīng)用層常見協(xié)議安全性 應(yīng)用層的安全實現(xiàn),應(yīng)用層的安全威脅,標準協(xié)議: 簡單郵件傳輸協(xié)議（SMTP） 文件傳輸協(xié)議(FTP) 超

27、文本傳輸協(xié)議(HTTP) 遠程連接服務(wù)標準協(xié)議（Telnet） 簡單網(wǎng)絡(luò)管理協(xié)議(SNMP) 域名系統(tǒng)(DNS) 定制應(yīng)用：復(fù)雜,DNS,SNMP,Telnet,HTTP,FTP,SMTP,應(yīng)用層介紹,文件傳輸協(xié)議（FTP）使得主機間可以共享文件 FTP 使用 TCP 生成一個虛擬連接用于控制信息，然后再生成一個單獨的 TCP 連接用于數(shù)據(jù)傳輸?？刂七B接使用類似 TELNET 協(xié)議在主機間交換命令和消息。 主要功能: 提供文件的共享（計算機程序 / 數(shù)據(jù)）； 支持間接使用遠程計算機； 使用戶不因各類主機文件存儲器系統(tǒng)的差異而受影響； 可靠且有效的傳輸數(shù)據(jù)。,FTP協(xié)議,TELNET 是 TCP

28、/IP 環(huán)境下的終端仿真協(xié)議，通過 TCP 建立服務(wù)器與客戶機之間的連接。,Telnet協(xié)議,Telnet本身的缺陷： 沒有口令保護 沒有強力認證過程 沒有完整性檢查 傳送的數(shù)據(jù)都沒有加密 客戶機/服務(wù)器模型,Telnet安全問題,請求 / 響應(yīng)式的應(yīng)用層協(xié)議 請求的格式是：統(tǒng)一資源標識符（URI）、協(xié)議版本號，后面是類似MIME的信息，包括請求修飾符、客戶機信息和可能的內(nèi)容。 響應(yīng)信息，其格式是：一個狀態(tài)行包括信息的協(xié)議版本號、一個成功或錯誤的代碼，后面也是類似 MIME 的信息，包括服務(wù)器信息、實體信息和可能的內(nèi)容。 也可用作普通協(xié)議，實現(xiàn)用戶代理與連接其它 Internet 服務(wù)（如 S

29、MTP、NNTP、FTP、GOPHER 及WAIS）的代理服務(wù)器或網(wǎng)關(guān)之間的通信，允許基本的超媒體訪問各種應(yīng)用提供的資源，同時簡化了用戶代理系統(tǒng)的實施,HTTP協(xié)議,HTTP協(xié)議結(jié)構(gòu),HTTP協(xié)議明文傳輸數(shù)據(jù)。 WEB用戶可能下載有破壞性的ActiveX控件或JAVA applets這些程序在用戶的計算機上執(zhí)行并含有某種類別的代碼，包括病毒或特洛伊木馬 HTTP服務(wù)器也必須要小心保護，HTTP服務(wù)器在存在較多安全性問題。,HTTP協(xié)議安全問題,用于在 IP 網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點 使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)效能，發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題以及規(guī)劃網(wǎng)絡(luò)增長。 通過 SNMP 接收隨機消息（及事件報告）網(wǎng)絡(luò)管理系

30、統(tǒng)獲知網(wǎng)絡(luò)出現(xiàn)問題。 三個主要組成部分：管理的設(shè)備、代理、網(wǎng)絡(luò)管理系統(tǒng)。 一種應(yīng)用程序協(xié)議，封裝在 UDP /TCP中。,SNMP協(xié)議,SNMPv1跟蹤消息處理系列缺陷: SNMP代理(SNMP agents)發(fā)送跟蹤消息(SNMP trap messages)到管理器(SNMP manager)，向管理器報告錯誤信息、警報和其它的有關(guān)宿主的狀態(tài)信息。管理器必須解析和處理這些數(shù)據(jù)。OUSPG發(fā)現(xiàn)很多SNMP管理器在解析和處理過程中存在缺陷 (oulu university secure programming group) SNMPv1請求信息處理系列缺陷: 在數(shù)據(jù)處理過程中，代理和管理器都有

31、出現(xiàn)拒絕服務(wù)錯誤、格式化字符串錯誤和緩沖溢出攻擊的可能。,SNMP安全隱患,團體名作為唯一的SNMP認證手段，也是薄弱環(huán)節(jié)之一。 SNMP v1消息的團體名在網(wǎng)上以明碼傳輸。 SNMP主要采用UDP傳輸，很容易進行IP源地址假冒多數(shù)SNMP設(shè)備接收來自網(wǎng)絡(luò)廣播地址的SNMP消息。,SNMP安全隱患,攻擊方法： 如果獲取支持SNMP協(xié)議設(shè)備的“community string”，攻擊者將可以修改路由器配置、獲取服務(wù)器最高控制權(quán)、重新啟動設(shè)備。 不知道“community string”的前提下，則進行拒絕服務(wù)攻擊。,SNMP安全問題,從廠商獲得補丁程序并執(zhí)行 禁止SNMP服務(wù) 邊界訪問過濾 (t

32、cp 161/162,udp161/162) 在內(nèi)部網(wǎng)絡(luò)中過濾不正常的SNMP訪問 修改缺省的community string 隔離SNMP包,SNMP安全解決辦法,DNS服務(wù)是Internet上其它服務(wù)的基礎(chǔ) DNS服務(wù)存在的主要安全問題 名字欺騙 信息隱藏,DNS協(xié)議安全問題,對所有人完全共享 對所有人完全共享，這是在WindowNT共享時的缺省配置，他對所有可訪問該主機的用戶提供完全的訪問權(quán)限； 對Guest用戶完全共享 對Guest用戶完全共享，Guest帳號是WinNT的缺省帳號，它有缺省口令，如果系統(tǒng)提供對Guest用戶的完全訪問權(quán)限，入侵者可通過Guest帳號注冊到服務(wù)器獲取信息

33、或修改數(shù)據(jù)； 沒有訪問控制的共享 沒有訪問控制的共享，是指沒有合法認證的共享，在網(wǎng)絡(luò)上的任何用戶都可訪問，此弱點在Win95上常見； 對所有人可寫 對所有人可寫是指對所有可訪問該服務(wù)器的用戶具有對共享目錄的寫權(quán)限，此弱點可能會使被共享目錄中的文件被篡改或刪除； 對Guest用戶可寫 對Guest用戶可寫是指通過Guest帳號注冊就能獲取共享資源的寫權(quán)限； NetBios空會話 NetBios空會話通過長度為零的用戶名和口令注冊獲取對服務(wù)器的訪問權(quán)。,NetBIOS,應(yīng)用層協(xié)議本身存在的主要問題是：信息明文傳輸， 包括如FTP、Telnet登錄驗證帳號和密碼都是明文，攻擊者可以通過網(wǎng)絡(luò)嗅探獲取有

34、價值信息，以備下一步攻擊之用,此外應(yīng)用層協(xié)議的許多威脅來自于低層協(xié)議的安全性問題。 應(yīng)用層應(yīng)用實現(xiàn)的安全缺陷(網(wǎng)絡(luò)編程),應(yīng)用層協(xié)議安全小結(jié),安全威脅 ：復(fù)雜多樣 安全協(xié)議：SSH ，S-HTTP等。 應(yīng)用層的安全服務(wù)實際上是最靈活的處理單個文件安全性的手段 ，可以實施細粒度的安全控制 可能的方法：對每個應(yīng)用(及應(yīng)用協(xié)議)分別進行修改；實施強大的基于用戶的身份認證 ；實施數(shù)據(jù)加密 ；訪問控制 ；數(shù)據(jù)的備份和恢復(fù)措施 ；對資源的有效性進行控制 。 應(yīng)用層安全的解決目前往往依賴于網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫的安全,應(yīng)用層安全防護,網(wǎng)絡(luò)中面臨的威脅,DoS攻擊概念,DoS Denial of Servi

35、ce的簡稱，拒絕服務(wù)。屬于攻擊早期形態(tài)，由于攻擊者帶寬、CPU等資源不足，較難形成威脅。如果是目標有明顯漏洞，不需要僵尸網(wǎng)絡(luò)，攻擊成本較低。 DDoS 分布式拒絕服務(wù)(Distributed Denial of Service)。當(dāng)前主流攻擊手段，帶寬消耗、主機消耗、打漏洞都可以。,Internet,DDoS攻擊的過程,癱瘓最終服務(wù)器,阻塞沿途帶寬,DNS,攻擊基礎(chǔ)網(wǎng)絡(luò)設(shè)施,命令控制,合法使用者,DDoS攻擊的動機,技術(shù)炫耀、報復(fù)心理 針對系統(tǒng)漏洞 搗亂行為 商業(yè)利益驅(qū)使 不正當(dāng)競爭間接獲利 商業(yè)敲詐 政治因素 意識形態(tài)差別 政治利益沖突,上述現(xiàn)象的背后 原始的經(jīng)濟驅(qū)動力,工具開發(fā)者,惡意軟件

36、開發(fā)者,病毒,間諜軟件,工具濫用者- “市場與銷售”？,構(gòu)筑僵尸網(wǎng)絡(luò),僵尸網(wǎng)絡(luò): 出租 / 出售 / 勒索,信息竊取,敏感信息泄露,真正的攻擊者- “用戶與合作者”？,DDoS,垃圾郵件,網(wǎng)絡(luò)釣魚,身份盜用,最終價值,木馬,社會工程學(xué),直接攻擊,工具編寫者- “研發(fā)人員”？,蠕蟲,間諜活動 企業(yè)/政府,欺詐銷售,點擊率,非法/惡意競爭,偷竊,勒索盈利,商業(yè)銷售,金融欺詐,DDOS攻擊地下產(chǎn)業(yè)化,直接發(fā)展,收購肉雞,制造、控制， 培訓(xùn)、租售,學(xué)習(xí)、 賺錢,僵尸網(wǎng)絡(luò),工具、病毒制作,傳播銷售,攻擊工具,漏洞研究、目標破解,漏洞研究,攻擊實施者,廣告,經(jīng)紀人,需求方、 服務(wù)獲取者、 資金注入者,培訓(xùn),地下黑客攻擊網(wǎng)絡(luò),發(fā)展與變化,1）供給規(guī)模持續(xù)增