《TCPIP的安全性分析》由会员分享,可在线阅读,更多相关《TCPIP的安全性分析(112页珍藏版)》请在金锄头文库上搜索。
1、第3讲 TCP/IP的安全性分析,一、链路层的攻击方法和防范策略,1、以太网安全分析 2、电磁信息泄漏,1、以太网安全分析(1),以太网中,信道是共享的,任何主机发送的每一个以太网帧都会到达别的与该主机处于同一网段的所有主机的以太网接口,一般地,CSMA/CD协议使以太网接口在检测到数据帧不属于自己时,就把它忽略,不会把它发送到上层协议(如ARP、RARP层或IP层)。如果我们对其稍做设置或修改,就可以使一个以太网接口接收不属于它的数据帧。例如有的实现可以使用杂错接点,即能接收所有数据帧的机器节点。现在很多类型的网卡只要设置相应的参数就能进入杂错模式。,1、以太网安全分析(2),解决该漏洞的对
2、策是:网络分段,利用交换器、动态集线器和桥等设备对数据流进行限制,链路层加密和禁用杂错接点等。,1、以太网安全分析(3),很多以太网卡的MAC地址在网卡初始化被读入寄存器,以便在数据帧发送过程中填充源物理地址和接收过程中进行物理地址比较时使用。可以通过底层的I/O操作对寄存器中的MAC地址进行修改,这将使攻击者可以进行MAC地址欺骗,即把机器的MAC地址改为其它被信任的友好主机的MAC地址。,1、以太网安全分析(4),这类攻击的防范策略:追踪综合布线以确定没有非授权的机器挂接在网络上;确保线路上已授权的机器使用自身的MAC地址,现在很多交换机可以配置MAC地址和端口的映射。,还有一类安全问题与
3、物理设备相关,暂时放在链路层讨论,这就是电磁信息泄漏。电磁泄漏是指电子设备的杂散(寄生)电磁能量通过导线或空间向外扩散。任何处于工作状态的电磁信息设备,如:计算机、路由器、交换机、电话机等,都存在不同程度的电磁泄漏,这是无法摆脱的电磁学现象。如果这些泄漏“夹带”着设备所处理的信息,就构成了所谓的电磁信息泄漏。,2、电磁信息泄漏(2),事实上,几乎所有电磁泄漏都“夹带”着设备所处理的信息,只是程度不同而已。在满足一定条件的前提下,运用特定的仪器均可以接收并还原这些信息。因此,一旦所涉及的信息是保密的,这些泄漏,就威胁到了信息安全。,2、电磁信息泄漏(3),有资料表明:普通计算机显示终端辐射的带信
4、息电磁波可以在几百米甚至一公里外被接收和复现;交换机、电话机等信息处理和传输设备的泄漏信息,也可以在一定距离内通过特定手段截获和还原。这种电磁泄漏信息的接收和还原技术,目前已经成为许多国家情报机构用来窃取别国重要情报的手段。,2、电磁信息泄漏(4),当然,对电磁泄漏信息的截获还原并不是无条件的,只有强度和信噪比满足一定条件的信号才能够被截获和还原。因此,只要采取一定的措施,弱化泄漏信号的强度,减小泄漏信号的信噪比,就可以达到电磁防护的目的。常用的电磁防护措施有:屏蔽、滤波、隔离、合理的接地与良好的搭接、选用低泄漏设备、合理的布局和使用干扰器等。,二、网络层的攻击方法和防范策略,1、IP地址欺骗
5、 2、IP包碎片 3、IGMPNuke攻击 4、ICMP攻击 5、路由欺骗 6、ARP欺骗,1、IP地址欺骗(1),IP欺骗就是攻击者假冒他人IP地址,发送数据包。因为IP协议不对数据包中的IP地址进行认证,因此任何人不经授权就可伪造IP包的源地址。,1、IP地址欺骗(2),IP包一旦从网络中发送出去,源IP地址就几乎不用,仅在中间路由器因某种原因丢弃它或到达目标端后,才被使用。这使得一个主机可以使用别的主机的IP地址发送IP包,只要它能把这类IP包放到网络上就可以。因而如果攻击者把自己的主机伪装成被目标主机信任的友好主机,即把发送的IP包中的源IP地址改成被信任的友好主机的IP地址,利用主机
6、间的信任关系和这种信任关系的实际认证中存在的脆弱性(只通过IP确认),就可以对信任主机进行攻击。注意,其中所说的信任关系是指一个被授权的主机可以对信任主机进行方便的访问。,1、IP地址欺骗(3),例如UNIX中的所有的r*命令都采用信任主机方案,所以一个攻击主机把自己的IP改为被信任主机的IP,就可以连接到信任主机并能利用r*命令开后门达到攻击的目的。,1、IP地址欺骗(4),要实现IP欺骗有两个难点。首先,因为远程主机只向伪造的IP地址发送应答信号,攻击者不可能收到远程主机发出的信息,即用C主机假冒B主机IP,连接远程主机A,A主机只向B主机发送应答信号,C主机无法收到。第二,要在攻击者和被
7、攻击者之间建立连接,攻击者需要使用正确的TCP序列号。,1、IP地址欺骗(5),攻击者使用IP欺骗的目的有两种:一种是只想隐藏自身的IP地址或伪造源IP和目的IP相同的不正常包而并不关心是否能收到目标主机的应答,例如IP包碎片、Land攻击等;另一种是伪装成被目标主机信任的友好主机得到非授权的服务,一般需要使用正确的TCP序列号。得到TCP序列号的方法在传输层安全分析中描述。,1、IP地址欺骗(6),缺乏认证机制是TCP/IP安全方面的最大缺陷。由于缺乏认证,主机不能保证数据包的真实来源,构成了IP欺骗的基础。到目前还没有理想的方法,可以彻底根除IP欺骗。但通过各种手段,可以尽量减少威胁。最理
8、想的方法是:使用防火墙决定是否允许外部的IP数据包进入局域网,对来自外部的IP数据包进行检验。假如过滤器看到来自外部的数据包声称有内部的地址,它一定是欺骗包,反之亦然。如果数据包的IP不是防火墙内的任何子网,它就不能离开防火墙。在某种意义上,过滤器分割能将Internet分成小区域,除子网内部外,子网之间不能欺骗。,2、IP包碎片(1),链路层具有最大传输单元MTU这个特性,它限制了数据帧的最大长度,不同的网络类型都有一个上限值。以太网的MTU是1500。如果IP层有数据包要传送,而且数据包的长度超过了MTU,那么IP层就要对数据包进行分片(fragmentation)操作,使每一片的长度都小
9、于或等于MTU。,2、IP包碎片(2),IP分段含有指示该分段所包含的是原数据包的哪一段的信息,某些系统的TCP/IP协议栈在收到含有重叠偏移的伪造分段时将崩溃。,2、IP包碎片(3),泪滴(teardrop):IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击:第一个包的偏移量为0,长度为N;第二个包的偏移量小于N,而且算上第二片IP包的数据部分,也未超过第一片的尾部。这样就出现了重叠现象(overlap)。为了合并这些数据段,有的系统(如linux 2.0内核)的TCP/IP堆栈会计算出负数值(对应取值很大的无符号数),将分
10、配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。WinNT/95在接收到10至50个teardrop分片时也会崩溃。,2、IP包碎片(4),Jolt2:原理是发送许多相同的分片包,且这些包的offset值与总长度之和超出了单个IP包的长度限制(65536 bytes)。例如,构造IP包:分片标志位MF=0,说明是最后一个分片,偏移量为0x1FFE,报文总长度29。于是计算重组后的长度为(0x1FFE*8) + 29 = 6554965535,溢出。可以在一死循环中连续发送此包攻击目标主机。linux在遭受攻击时每5秒便打印一条信息,windows95、98系统CPU占用便会达到
11、100%。,2、IP包碎片(5),IP包碎片主要是利用系统实现TCP/IP协议栈时对异常情况考虑不周全留下的漏洞,要阻止IP包碎片的攻击需要升级系统或给系统打补丁。另外,现在的入侵检测系统和防火墙系统都有IP碎片重组的功能,可以及时发现异常的IP碎片包。,3、IGMPNuke攻击(1),IGMP是一种无连接协议,所以在向服务器连接时不需要指定连接的端口,只需要指定IP地址即可。一些目标主机的系统(例如没有打补丁的win95、win98等)不能很好的处理过大的IGMP数据包,很容易出现系统崩溃的情况。例如最简单的win98蓝屏炸弹,就可以使用Socket的原始套接字编程向目标主机发送多个超过65
12、536字节的IGMP包。,3、IGMPNuke攻击(2),IGMPNuke攻击也是利用系统实现TCP/IP协议栈时对异常情况考虑不周全留下的漏洞,要阻止此类攻击需要升级系统或给系统打补丁。,4、ICMP攻击(1),TCP/IP体系的网络层功能复杂,需要各种控制机制,如差错控制、拥塞控制以及路径控制等。IP协议本身没有内在的机制获取差错信息并进行相应的控制。ICMP协议为IP层的控制提供了信息报文,告诉源主机有关网络拥塞、IP数据报由于主机不可达或TTL超时等原因不能传输等差错信息。但是,主机对ICMP数据报不作认证,这使攻击者可以伪造ICMP包使源主机产生错误的动作从而达到特定的攻击效果。 与
13、ICMP有关的攻击有IP地址扫描、ping of death、ping flooding、smurf、ICMP重定向报文、ICMP主机不可达和TTL超时报文等。,4、ICMP攻击(2),IP地址扫描:这种攻击经常出现在整个攻击过程的开始阶段,作为攻击者收集信息的手段。利用ICMP的回应请求与应答报文,运用ping这样的程序探测目标地址,对此作出响应的表示其存在。,4、ICMP攻击(3),ping of death:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载
14、荷生成缓冲区。当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方死机。,4、ICMP攻击(4),ping flooding:这也是一种DOS(拒绝服务)攻击方法,在某一时刻多台主机对目标主机使用Ping程序,就有可能耗尽目标主机的网络带宽和处理能力。如果一个网站一秒钟收到数万个ICMP回应请求报文就可能使它过度繁忙而无法提供正常的服务。当然可以编制程序以最快的速度向目标主机发送ICMP回应请求报文,并且使用伪造的IP地址。99年有“爱国主义黑客”发动全国网民在某一时刻开始ping某美国站点,试图ping死
15、远程服务器,这是一次典型的ping flooding 攻击。,4、ICMP攻击(5),Smurf:一个简单的smurf攻击是攻击者伪造一个源地址为受害主机的地址、目标地址是反弹网络的广播地址的ICMP回应请求数据包,当反弹网络的所有主机返回ICMP回应应答数据包的时候将淹没受害主机。Smurf的原理和ping flooding类似,只不过利用了反弹网络发送ICMP回应应答数据包来耗尽目标主机资源,若反弹网络规模较大,此攻击威力巨大。,4、ICMP攻击(6),ICMP重定向报文:网间网的路径是由网关和主机上的寻径表决定的,其中网关寻径表起着主导作用,各主机寻径表的信息都来自主机的初始网关。主机的
16、初始网关一般人为配置。主机启动时其寻径表中的初始网关信息可以保证主机通过该网关将数据报发送出去,但经过初始网关的路径不一定是最优的。初始网关一旦检测到某数据报经非最优路径传输,它一方面继续将该数据报转发出去,另一方面将向主机发送一个路径重定向报文,告诉主机去往相应信宿的最优路径。这样主机开机后经不断积累便能掌握越来越多的最优路径信息。ICMP重定向报文的优点是保证主机拥有一个动态的既小且优的寻径表。然而,如前所述,TCP/IP体系不提供认证功能,攻击者可以冒充初始网关向目标主机发送ICMP重定向报文,诱使目标主机更改寻径表,其结果是到达某一IP子网的报文全部丢失或都经过一个攻击者能控制的网关。,4、ICMP攻击(7),ICMP主机不可达和TTL超时报文:此类报文一般由IP数据报传输路径中的路由器发现错误时发送给源主机的,主机接收到此类报文后会重新建立TCP连接。攻击者可以利用此类报文干扰正常的通信。,4、ICMP攻击(8),防范ICMP攻击的策略:禁止不必要的ICMP, 严格限制ICMP报文的作用范围;禁止未经请求就主动提供的ICMP回应应答数据包;严格限制ICMP重定向报文的应用范围,它应与某个已存在的特定连接绑定使用,即如果主机目前没有数据要发送到相应站点,就不按照收到的重定向报文改变自己的路由表;主机与其他路由器的全局路由表也不能以重定向报文为依据修改等。,
