《第02讲-网络安全问题分析解析》由会员分享,可在线阅读,更多相关《第02讲-网络安全问题分析解析(37页珍藏版)》请在金锄头文库上搜索。
1、第二讲 网络安全问题分析,吴礼发,洪征,李华波 ( ),2,内容提纲,TCP/IP协议栈主要协议安全问题分析,2,小结,3,网络安全威胁分析,1,3,内容提纲,TCP/IP协议栈主要协议安全问题分析,2,小结,3,网络安全威胁分析,1,4,(一)构成威胁的因素(1/2),广义上的网络安全概念 威胁因素 环境和灾害因素 温度、湿度、供电、火灾、水灾、地震、静电、灰尘、雷电、强电磁场、电磁脉冲等,均会破坏数据和影响信息系统的正常工作 人为因素:多数安全事件是由于人员的疏忽、恶意程序、黑客的主动攻击造成的 有意:人为的恶意攻击、违纪、违法和犯罪 无意:工作疏忽造成失误(配置不当等),会对系统造成严重
2、的不良后果,5,(一)构成威胁的因素(2/2),威胁因素(Cont.) 系统自身因素 计算机系统硬件系统的故障 软件组件:操作平台软件、应用平台软件和应用软件 网络和通信协议 系统自身的脆弱和不足是造成信息系统安全问题的内部根源,攻击者正是利用系统的脆弱性使各种威胁变成现实,6,(二)漏洞产生的原因分析,在系统的设计、开发过程中有如下因素会导致系统、软件漏洞: 系统基础设计错误导致漏洞 编码错误导致漏洞 安全策略实施错误导致漏洞 实施安全策略对象歧义导致漏洞 系统设计实施时相关人员刻意留下后门,7,(三)漏洞多的原因,漏洞不仅存在,而且层出不穷,Why? 方案的设计可能存在缺陷 从理论上证明一
3、个程序的正确性是非常困难的 一些产品测试不足,匆匆投入市场 为了缩短研制时间,厂商常常将安全性置于次要地位 系统中运行的应用程序越来越多,相应的漏洞也就不可避免地越来越多,8,(四)补丁不是万能的(1/2),打补丁不是万能的,Why? 由于漏洞太多,相应的补丁也太多,补不胜补 有的补丁会使得某些已有的功能不能使用,导致拒绝服务 有时补丁并非厂商们所宣称的那样解决问题 很多补丁一经打上,就不能卸载,如果发现补丁因为这样或那样的原因不合适,就只好把整个软件卸载,然后重新安装,非常麻烦 漏洞的发现到补丁的发布有一段时间差,此外,漏洞也可能被某些人发现而未被公开,这样就没有相应的补丁可用,9,(五)补
4、丁不是万能的(2/2),打补丁不是万能的,Why?(Cont.) 网络、网站增长太快,没有足够的合格的补丁管理员 有时候打补丁需要离线操作,这就意味着关闭该机器上的服务,这对很多关键的服务来说也许是致命的 有时补丁并非总是可以获得的,特别是对于那些应用范围不广的系统而言,生产厂商可能没有足够的时间、精力和动机去开发补丁程序 厂商通常可能在补丁中除解决已有问题之外添加很多的其他功能,这些额外的功能可能导致新漏洞的出现、性能下降、服务中断或者出现集成问题和安全功能的暂时中断等 补丁的成熟也需要一个过程,仓促而就的补丁常常会有这样或那样的问题 自动安装补丁也有它的问题,很多自动安装程序不能正常运行,
5、10,内容提纲,TCP/IP协议栈主要协议安全问题分析,2,小结,3,网络安全威胁分析,1,11,(一)TCP/IP协议栈概述,这个图是错误的!,12,(一)TCP/IP协议栈概述(续),由底层网络定义的协议,IP, ICMP, IGMP,ARP,RARP,SMTP,FTP,SNMP,DNS,NFS,WEB,TCP,UDP,各种应用程序层,13,IEEE 802.3以太网 : 缺陷:该协议没有提供报文完整性和源地址的认证 攻击方法:恶意节点以高速率发送大量广播报文,耗尽网络带宽,进行拒绝服务攻击,定位难,Why? 通过不断变换源MAC地址的方法来逃避追踪; 由于网络带宽大量被占用,容易导致基于
6、SNMP协议网管软件无法收取响应报文,从而无法通过读取交换机源地址列表的方法定位攻击源,(二)链路层协议分析,14,(三)网络层协议分析(1/9),IPv4协议,IP协议的版本。目前广泛使用的IP协议版本号为4(即IPv4),以前的3个版本已不使用。通信双方使用的IP协议的版本必须一致。,占4 bit,可表示的最大数值是15个单位(一个单位为4字节),因此IP的首部长度的最大值是60字节。当IP分组的首部长度不是4字节的整数倍时,必须利用最后一个填充字段加以填充。首部长度限制为60字节的缺点是有时(如源站路由选择)不够用。但这样做是希望用户尽量减少开销。最常用的首部长度就是20字节,即不使用任
7、何选项。,D比特,表示要求有更低的时延。T比特,表示要求有更高的吞吐量。R比特,表示要求有更高的可靠性(尽可能少地被路由器丢弃)。C比特,是新增加的,表示要求选择代价更小的路由。在相当长一段时期内并没有什么人使用服务类型TOS (Type Of Service)字段。直到最近,当需要将实时多媒体信息在因特网上传送时,服务类型字段才重新引起大家的重视。,15,(三)网络层协议分析(1/9),IPv4协议,总长度指首部和数据之和的长度,单位为字节。总长度字段为16 bit,因此数据报的最大长度为65535字节(即64 KB)。在IP层下面的每一种数据链路层都有其自己的帧格式,其中包括帧格式中的数据
8、字段的最大长度,这称为最大传送单元MTU (Maximum Transfer Unit)(以太网的MTU=1500字节)。当一个IP数据报封装成链路层的帧时,此数据报的总长度一定不能超过下面的数据链路层的MTU值。,目前只有前两个比特有意义:最低位记为MF (More Fragment)。MF 1即表示后面“还有分片”的数据报。标志字段中间的一位记为DF (Dont Fragment),意思是“不能分片”。只有当DF 0时才允许分片。,片偏移指出:较长的分组在分片后,某片在原分组中的相对位置。也就是说,相对于用户数据字段的起点,该片从何处开始。片偏移以8个字节为偏移单位。,生存时间字段记为TT
9、L (Time To Live),即数据报在网络中的寿命,其单位为跳(Hop)。生存时间的建议值是32。但也可设定为34,或甚至255。,一个计数器,用来产生数据报的标识。当IP协议发送数据报时,它就将这个计数器的当前值复制到标识字段中。当数据报由于长度超过网络的MTU而必须分片时,这个标识字段的值就被复制到所有的数据报片的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。,此字段只检验数据报的首部,不包括数据部分。这是因为数据报每经过一个结点,结点处理机都要重新计算一下首部检验和(一些字段,如生存时间、标志、片偏移等都可能发生变化)。如将数据部分一起检验,计
10、算的工作量就太大了。,16,(三)网络层协议分析(2/9),IPv4安全缺陷:无状态、无认证协议 没有访问控制和带宽控制:阅读上层协议内容或利用包风暴消耗资源(拒绝服务攻击) 支持广播和多播:拒绝服务攻击、扫描或应用层攻击 寻址与协议选项:泄露了部分网络拓扑信息,可用于网络侦察 数据包分片:IP无状态,分片功能可用来绕过防火墙和入侵检测;还可用于攻击不能正确处理数据包分片异常的主机(拒绝服务攻击) 数据包窜改:IP没有来源认证和防数据包窜改机制,包中的所有内容几乎都可以伪造 与上层协议如TCP、UDP的类似脆弱性一起,IP伪造可以用于会话劫持、中间人攻击、伪造攻击等。,17,(三)网络层协议分
11、析(3/9),因特网控制报文协议ICMP (Internet Control Message Protocol) RFC 792 ICMP目的:为了提高IP数据报交付成功的机会。它允许主机或路由器报告差错情况和提供有关异常情况的报告。 两类ICMP报文:ICMP差错报告报文、ICMP询问报文,18,(三)网络层协议分析(4/9),当路由器或主机由于拥塞而丢弃数据报时,就向源站发送源站抑制报文,使其降低发送速率,当路由器收到生存时间为零的数据报时,除丢弃该数据报外,还要向源站发送时间超过报文。当目的站在预先规定的时间内不能收到一个数据报的全部数据报片时,就将已收到的数据报片都丢弃,并向源站发送时
12、间超过报文。,当路由器或目的主机收到的数据报的首部中有的字段的值不正确时,就丢弃该数据报,并向源站发送参数问题报文。,路由器将改变路由报文发送给主机,让主机知道下次应将数据报发送给另外的路由器(可通过更好的路由)。,测试目的站是否可达以及了解其有关状态。 PING命令。,可用来进行时钟同步和测量时间。响应中的时间值:从1900年1月1日起到当前时刻一共有多少秒。,向子网掩码服务器得到某个接口的地址掩码 。,了解连接在本网络上的路由器是否正常工作。主机将路由器询问报文进行广播(或多播)。收到询问报文的一个或几个路由器就使用路由器通告报文广播其路由选择信息。,终点不可达分为:网络不可达、主机不可达
13、、协议不可达、端口不可达、需要分片但DF比特已置为1,以及源路由失败等六种情况 。,类型字段的值与ICMP报文的类型的关系,19,(三)网络层协议分析(5/9),ICMP协议安全缺陷:协议的设计未考虑安全因素,存在很多安全漏洞 ICMP协议攻击方法: 主机探测 Ping of Death攻击 Smurf攻击 重定向攻击,20,(三)网络层协议分析(6/9),IPv6协议 IPv6通过强制使用IPSec,引入了访问控制、无连接的完整性、数据源身份认证、防御包重传攻击、保密、有限的业务流保密性等安全服务,大大地改善了网络层的安全性。 但是,由于其一些设计缺陷,该协议带来了一些新的安全隐患: 隧道机
14、制的安全问题: 双栈机制的安全问题: 邻居发现协议的安全问题:,21,(三)网络层协议分析(7/9),路由协议 安全隐患:使用非加密的一次性口令来认证数据中的路由信息,容易被窃听;通过伪造路由器或发送伪造的路由信息来破坏或修改主机或网关的路由表。 RIP (Routing Information Protocol) 安全隐患: 用于在局域网上传播路由信息,通常收到的信息不会被检查,使得攻击者可以伪造路由信息给目标主机,同时发送伪造的路由信息给沿途的网关,以此来假冒某个特定的主机。 外部网关协议EGP:主干网关和外部网关间的通信 冒充一个自治系统的另外一个外部网关:较难成功 在真实网关关机的情况
15、下声称网络可达:可行,22,ARP协议分析: 缺陷:ARP协议缺乏相应的认证机制,导致用户无法辨别ARP报文信息的真实性 支持“不请自来”的请求(“Unsolicited” Requests):允许未经请求的ARP广播或单播对缓存条目的增、删、改 ARP缓存表可以远程更新且ARP无法验证更新消息的真实性 代理ARP可以被利用 攻击方法: 拒绝服务攻击: 中间人攻击: MAC洪泛: 网络监听,(三)网络层协议分析(8/9),23,RARP协议分析: 缺陷:RARP被上层协议(DHCP,BOOTP)利用,允许主机通过DHCP和BOOTP服务自动配置自己的IP地址,缺乏必要的验证机制 攻击方法: 攻
16、击者安装或配置一台DHCP服务器,向DHCP客户端传播错误的配置信息(服务器劫持),包括:错误的IP地址、网关、路由、域名服务器、NetBIOS、域信息等,导致客户端的数据流被重定向到攻击者设置的代理服务器,构成中间人攻击。,(三)网络层协议分析(9/9),24,(四)运输层协议分析(1/2),TCP协议安全缺陷: 缺乏认证机制和报文的完整性检查,TCP协议无法确认报文的来源的真实性和数据完整性; 三次握手过程存在安全漏洞。 攻击方法:利用上述缺陷,结合TCP的某些设计上的漏洞,通过伪造TCP报文进行各种攻击 网络扫描 SYN Flood攻击 LAND攻击 序列号猜测,25,(四)运输层协议分
17、析(2/2),UDP协议安全缺陷:无连接性,且没有任何认证机制和拥塞控制机制,更容易伪造其数据包 。 攻击方法: UDP洪泛攻击 Fraggle攻击:与Smurf攻击类似 Trinoo攻击,26,(五)应用层协议分析(1/2),Finger服务的缺陷: Finger服务的设计目的是为了系统管理员可以在远程获取用户信息。但该服务的漏洞导致攻击者可以轻易获取用户的密码等重要信息 邮件协议的缺陷: POP协议的认证方式是用户发送用户名和密码。在最早期的版本中,由于用户名和密码捆绑在同一报文中发送,因此极易被攻击者窃听 DNS协议的缺陷: 缺乏密码认证机制。利用DNS服务器来实现拒绝服务攻击和窃听攻击,
