《关于互联网第二层协议的安全》由会员分享,可在线阅读,更多相关《关于互联网第二层协议的安全(5页珍藏版)》请在金锄头文库上搜索。
1、关于互联网第二层协议的平安学习报告 2012211313班 梁霄 2012211479一、 引言在网络平安领域,大家普遍把焦点放在网络层及以上层次的平安上,而无视了由于低层协议缺乏健壮性而导致的平安隐患。直到ARP欺骗、VLAN攻击等利用低层协议设计缺陷而出现的网络攻击频繁发生时,人们才将注意力放到低层尤其是数据链路层的平安上来。在网络体系结构中,越是低层的平安问题,产生的影响也越大,而且越不容易彻底解决。本报告涵盖了数据链路层几种主要的平安隐患及保护方案,通过学习网络平安技术大体了解了互联网第二层协议的实现,查阅书籍和网络,给出了每一种针对链路的攻击的解决方法。二、 数据链路层协议平安(一)
2、 网络窃听及根本防范措施以ARP欺骗为例 网络窃听是指截获网络上通信的数据流,从而窃取所需的信息。1、 ARP协议的工作原理 源主机向网络中所有主机播送包含有ARP请求的数据包,询问与目的主机IP地址相对应的MAC地址。拥有该IP的目的主时机向请求方发送一个含有其MAC地址的ARP应答数据包。源主机将根据这个应答数据包更新自己的ARP缓存,并按得到的MAC地址发送正式的数据包给目的主机。2、 ARP欺骗的原理为了减少局域网内的ARP通信量,ARP协议规定,即使一台主机收到的ARP响应报文并非自己请求得到,他也会将其更新到本机的ARP缓存列表中。而且ARP缓存列表的更新策略是以最新的为准,也就是
3、说,在ARP缓存列表已存在相关记录的情况下,如果新收到的ARP应答报文中的记录与ARP缓存列表中的记录不符,ARP协议规定用最新的记录更新ARP缓存列表中的旧记录。ARP协议的这些设计原那么使得ARP欺骗成为可能。举例而言,假设主机MIP_M,MAC_M想改变主机AIP_A,MAC_A与主机BIP_B,MAC_B之间的数据流流向,那么主机M只需要以固定时间间隔向主机A发送ARP响应报文:“我是IP_B,我的MAC地址是MAC_M,向主机B发送ARP响应报文:“我是IP_A,我的MAC地址是MAC_M。这样,主机A就会把本应送达主机B的数据发给主机M,主机B亦然。为保证主机A与主机B之间的通信不
4、被中断,主机M上需要有相应的数据转发机制。如此,主机M就可以监测主机A与主机B之间的会话内容。3、 ARP欺骗的检测及防范(1) 检测 使用ARP欺骗,在监测过程中会发送大量的ARP包,容易被检测出来;由于受监测主机的网络性能受到较大影响,该主机的用户更容易感受到异常。(2) 被动防范措施对于计算机来说,可以通过绑定网关等重要设备的IP与MAC地址记录来防止ARP欺骗攻击,即使用静态ARP表。在交换机上防范ARP欺骗攻击的方法与在计算机上根本相同,可以将下连设备的MAC地址与交换机端口进行绑定,并通过端口平安功能对违背规那么的主机进行相应的处理。ARP欺骗是基于交换式局域网的网络窃听,可以使用
5、第三层交换设备来进行防范。第三层交换设备是集交换和路由于一身的设备,取消了局域网对目的MAC地址和ARP协议的依赖,采用基于IP地址的交换。第三层交换设备正在广泛普及,价格相对昂贵但功能十分强大。(3) 主动防范措施 监听ARP数据包、定期探测数据包传送路径和使用SNMP协议定期轮询ARP表等方法,可以作为被动防范措施的补充,最大限度地防止信息被“中间人获取。(二) 数据传输加密1、 链路加密所有消息在被传输之前进行加密,在每一个节点对接收到的消息进行解密,然后先使用下一个链路的密钥对消息进行加密,再进行传输。采用链路加密方式,从起点到终点,要经过许多中间节点,在每个节点地均要暴露明文节点加密
6、方法除外,如果链路上的某一节点平安防护比拟薄弱,那么按照木桶原理木桶水量由最低的一块木板决定,虽然采取了加密措施,但整个链路的平安只相当于最薄弱的节点处的平安状况。链路加密,每条物理链路上,不管用户多少,可使用一种密钥。在极限情况下,每个节点都与另外一个单独的节点相连,密钥的数目也只是n*(n-1)/2种。这里n是节点数而非用户数,一个节点一般有多个用户。 链路加密方式有两个缺点,一是全部报文都以明文形式通过各节点的计算机中央处理机,在这些节点上数据容易受到非法存取的危害;二是由于每条链路都要有一对加/解密设备和一个独立的密钥,维护节点的平安性费用较高,因此本钱也较高。2、 节点加密在节点处采
7、用一个与结点机相连的密码装置,密文在该装置中被解密并重新加密。与链路加密不同,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程是在节点上的一个平安模块中进行。同链路加密一样,节点加密也有一些固有的缺点,一是某些信息如报头和路由信息必须以明文形式传输;二是因为所有节点都必须有密钥,密钥分发和管理变得困难。因此数据传输加密通常采用更平安的表示层上的端到端加密。(三) VLAN的原理及保护解决交换机在进行局域网互连时无法限制播送的问题,把一个LAN划分成多个逻辑的LANVLAN,每个VLAN是一个播送域,VLAN内的主机间通信就和在一个
8、LAN内一样,而VLAN间那么不能直接互通,这样,播送报文被限制在一个VLAN内。但是交换机的设计者们在把这种隔离功能参加到产品之中时,优先考虑的并不是平安问题。常见的VLAN攻击有标记攻击、VLAN跳跃攻击及VTP攻击。如果将交换机端口配置成 DTP auto ,用于接收伪造 DTP分组,那么,它将成为干道端口,并有可能接收通往任何 VLAN 的流量。由此,恶意用户可以通过受控制的端口与其它 VLAN 通信。这就是标记攻击。跳跃攻击(hopping attack) 就是一类针对VLAN的攻击,指的是恶意设备通过为攻击流量打上特定的VLAN ID(VID)标,或者协商Trunk链路试图访问或者
9、接收与其配置不同的VLAN的流量。VLAN中继协议VTP是一种管理协议,它可以减少交换环境中的配置数量。黑客只要连接到交换机,并在自己的计算机和交换机之间建立一条中继,就可以充分利用VTP。黑客可以发送VTP消息到配置版本号高于当前的VTP效劳器,这会导致所有交换机都与黑客的计算机进行同步,从而把所有非默认的VLAN从VLAN数据库中移除出去。这样他就可以进入其他每个用户所在的同一个VLAN上。 VLAN攻击的防御方法:明确指定Access和Trunk端口,不使用的端口设置为Access,放入一个不承载任何数据的VLAN,并将其设置为Shutdown状态;Native VLAN不与任何数据VL
10、AN相同;使用Trunk allowed限制流量;链路会聚协议(DTP)设置为On或者Nonegotiate;通过私有VLANPVLAN过滤相同VLAN的流量。(四) WLAN保护方案 WLAN是以开放式的大气作为传输介质进行网络通信的,它的平安性相对有线网络来说,显得更加严峻。在WLAN网络中,基于链路层的加密技术或标准主要有:SSID、MAC、WEP、WPA和IEEE 802.11i。1、 WLAN SSID平安技术 SSID效劳设置标识符是一个类似于有线网络中的工作组名称,最多可以有32个字符,配备无线网卡、无线访问点AP及无线路由器时都必须配置它,而且无线网卡上配置的SSID一定要与A
11、P或无线路由器配置的SSID相同。如果配置的SSID与AP或无线路由器的SSID不同,那么AP或无线路由器将拒绝他通过本效劳区/工作组上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,实现一定的平安。2、 WLAN MAC地址过滤MAC地址过滤功能在有线网络中也经常使用。它可以允许或者禁止局部主机与局域网的连接。WLAN的MAC地址过滤功能也可以对接入客户机针对MAC地址进行过滤,可以灵活地允许或者禁止某局部MAC地址的主机接入对应的WLAN网络。3、 WLAN WEP加密 在WEP加密原理中,对于发送到任何方向的数据包,传输程序都将数据包的内容与数据包的检查和组合在一起。然后
12、,WEP 标准要求传输程序创立一个特定于数据包的初始化向量,再与密钥组合在一起,用于对数据包进行加密。接收方的伪随机数产生器生成自己的匹配数据包密钥序列,并用它对数据包进行解密。WEP加密和解密的过程均是在两节点的链路中进行的,加/解密功能集成在WLAN设备中,如WLAN AP、WALN无线路由器、WLAN网卡等。WEP采用对称加密机制和RC4加密算法,数据的加密和解密采用相同的密钥和加密算法。RC4加密算法是RC算法族中的一种,包括初始化算法也就是前面说到的初始化向量和伪随机子密码生成算法也就是前面说到的伪随机数产生器两大局部。所以在WEP加密架构中,每个包包含一个IV和根底密钥两局部。WE
13、P支持64位和128位两种加密级别。对于64位加密级别,共享密钥为10个十六进制字符09和AF或5个ASCII字符;对于128位加密级别,共享密钥为26个十六进制字符或13个ASCII 字符。4、 WLAN WPA加密/解密原理Wi-Fi联盟给出的WPA定义为:WPA = 802.1x + EAP + TKIP + MIC。其中,802.1x是指IEEE的802.1x身份认证标准;EAP是一种扩展身份认证协议;TKIP临时密钥完整性协议是一种密钥管理协议;MIC消息完整性编码是用来对消息进行完整性检查的,防止攻击者拦截、篡改甚至重发数据封包。由此可见,WPA已不再是单一的链路加密,还包括了身份
14、认证和完整性检查两个重要方面。、WPA2是对WPA在平安方面的改良版本,可以认为WPA2 = IEEE 802.11i = IEEE 802.1x/EAP + AES-CCMP。在WPA2中,采用了加密性能更好、平安性更高的加密技术AES-CCMP高级加密标准计数器模式密码区块链接消息身份验证代码协议。WPA中的TKIP虽然针对WEP的弱点作了重大的改良,但保存了RC4算法和根本架构,也就是说,TKIP亦存在着RC4本身所隐含的弱点。CCMP采用的是AES高级加密标准加密模块,既可以实现数据的机密性,又可以实现数据的完整性。这是在IEEE 802.11i 标准中指定的用于无线传输隐私保护的一个新方法。三、结论在互联网分层中,局域网仅涉及到物理层和数据链路层,以上各层的功能都要由一个个局域网完成。数据链路层承上启下,起着重要的连接作用。根据木桶原理,互联网的平安性与其最薄弱层次的平安性相当,因此必须同等重视互联网中每一层次的平安性,才能保证整个网络的平安运行。四、 参考文献1 杜里格瑞斯. 网络平安:现状与展望M. 科学出版社, 2010.2 兰巨龙. 信息网络平安与防护技术M. 人民邮电出版社, 2014.3 思科系统中国网络技术有公司. 下一代网络平安M. 北京邮电大学出版社, 2006. 8088.4 梅挺. 计算机网络平安M. 科学出版社, 2011.
