《广域网和局域网攻击技术对比.doc》由会员分享,可在线阅读,更多相关《广域网和局域网攻击技术对比.doc(13页珍藏版)》请在金锄头文库上搜索。
1、广域网和局域网攻击技术对比关键词:网络安全体系 广域网 局域网 以太网 网络层协议前言随着科技的发展,特别是进入3G时代这个将传统的的计算机网络、通信网络和电视网络将最终融合成为一体。现在网络已的功能经不是刚刚开始出现时,仅仅为了共享计算资源和打印机;通过网络互通消息,发布各种信息,网络娱乐,已经融入了生活的方方面面;网络变成了一个平台,可以的各种功能应用来满足人们的各种需求。但带来的安全问题也日益严峻,对网络的安全危险已经从最开始蠕虫病毒,发展到出现损害计算机硬件的CHI病毒。本文就是从计算机网络所采用的网络底层技术进行分析,比较目前流行的几种网络攻击手段的特征,以提高我们对网络安全的防护能
2、力。一 网络安全概念和安全体系网络安全实际上是网络信息安全的一部分,是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。因此,我们不妨借用这些模型和标准来构建一套较为有效和具有普遍意义的企业安全防范体系。ITU-T X.800 Security architecture标准将我们常说的“网络安全(Network Security)”进行逻辑上的分别定义,即安全攻击(Security Attac
3、k)是指损害机构所拥有信息的安全的任何行为;安全机制(Security Mechanism)是指设计用于检测、预防安全攻击或者恢复系统的机制; 安全服务(Security Service)是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。三者之间的关系如表1所示。 为了能够有效了解用户的安全需求,选择各种安全产品和策略,有必要建立一些系统的方法来进行网络安全防范。网络安全防范体系的科学性、可行性是其可顺利实施的保障。图3给出了DISSP安全框架三维模型。第一维是安全服务,给出了八种安全属性。第二维是系统单元,给出了信息网络系统的组成。第三维是结构层次,给
4、出并扩展了国际标准化组织ISO的七层开放系统互联(OSI)模型。框架结构中的每一个系统单元都对应于某一个协议层次,需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制,应用平台需要有针对用户的认证、访问控制,需要保证数据传输的完整性、保密性,需要有抗抵赖和审计的功能,需要保证应用系统的可用性和可靠性。针对一个信息网络系统,如果在各个系统单元都有相应的安全措施来满足其安全需求,则我们认为该信息网络是安全的。安全架构的层次结构作为全方位的、整体的网络安全防范架构是分层次的,不同层次反映了不同的安全问题。我们可以将企业安全防范架构的层次划分为物理层安全、系统层安
5、全、网络层安全、应用层安全和安全管理(如图3)。由于层次的不同,我们也需要采用不同的安全技术来针对每层的安全问题进行应对和防护,因而也就产生了如图4中所列的种类繁多的安全技术。 物理层保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。因此,该层的安全防护技术具体体现在设备和系统的管理层面和电气工程相关技术的层面上。 网络层该层的安全及安全技术问题是当前企业面临的最大问题,安全问题主要体现在网络方面的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,
6、入侵检测的手段,网络设施防病毒等; 提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统、DNS等。 管理层管理层安全是最重要而且最容易被忽视的一个问题。它直接关系到上述安全问题和安全技术是否能够收到较好的成效,也是贯穿整个企业安全防范架构的一条重要主线。安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。二 局域网与广域网安全计算机网络一是种将计算机技术与现代通信技术结合产物,其中最著名的就是现在全球都在使用的internet。计算机网络常用的分类方法是按照网络的规模和距离来继续分类的,局域网和广域网,还有一种是介于两者之间的网络城域网(本文不做讨论)
7、。2.1局域网网络安全和典型的网络攻击例子局域网(LAN,Local Area Network):局域网一般用微型计算机或工作站通过高速通信线路相连,但地理范围局限于1km5km的地区,例如学校,企业。局域网的特点: 网络覆盖范围小(25公里以内) 选用较高特性的传输媒体:高的传输速率和低的传输误码率 (双绞线和光纤,或同轴电缆) 硬软件设施及协议方面有所简化 媒体访问控制方法相对简单 (最常用的就是访问竞争方式,令牌传递方式和令牌环) 采用广播方式传输数据信号,一个结点发出的信号可被网上所有的结点接收,不考虑路由选择的问题,甚至可以忽略OSI网络层的存在。 网络结构:为中线型,星型和环型 局
8、域网技术在发展的初期有多种网络技术(以太网,令牌环,FDDI等)并存,其中以太网技术以其简单易用成本低廉,经过20多年的技术发展,其标准一直随着网络的需求不断改进。作为IP网络的一种极具吸引力的解决方案,以太网具有下列关键特性:可扩充性;灵活的部署距离,支持从短程局域网(大约100m)到长距离城域网(40km以上)的各种网络应用;成本低;灵活性和互操作性;易于使用和管理。这些因素使以太网成为当今局域网关键网络的实现技术。因此本文重点讨论的局域网技术无特殊指明的话全部用以太网技术来做研究例子。 局域网面临的安全问题局域网的底层技术以太网特点是一种广播型的网络,并且在一个中小规模的网络其网络终端都
9、拥有比较充足的带宽(10、100甚至1000),而且一般的网络规划中局域网都是属于企业或事业单位的内部网络,安全防护在网络的设计之初就没有像外部网络那么强,这样的环境使得一些网络攻击行为利用了这个特点,对网络进行侦听,获取网络的访问权,甚至是通过网络窃取操作其他的访问密码获得控制权。 我们通过几个典型的局域网网络攻击行为,来分析如何利用局域网的技术特性的。报文窃听: 报文窃听是在利用网络适配器捕获某个冲突域的所有报文,例如我们常用的sinffer和netray等工具可以帮助我们做流量分析和故障查询,但有些网络应用(pop3,telnet,ftp,smtp等)是以明码传输数据的,因此报文窃听是可
10、以提供像密码登陆用户这样的敏感数据的。很多用户都会在日常应用中使用相同的用户名和密码,这样的话就很容易为黑客利用从而获取网络和系统的访问甚至是控制权。针对局域网设备的攻击:1)MAC地址表的攻击MAC地址表一般存在于以太网交换机上,以太网通过分析接收到的数据幀的目的MAC地址,来查本地的MAC地址表,然后作出合适的转发决定。这些MAC地址表一般是通过学习获取的,交换机在接收到一个数据幀后,有一个学习的过程,该过程是这样的:a) 提取数据幀的源MAC地址和接收到该数据幀的端口号;b) 查MAC地址表,看该MAC地址是否存在,以及对应的端口是否符合;c) 如果该MAC地址在本地MAC地址表中不存在
11、,则创建一个MAC地址表项;d) 如果存在,但对应的出端口跟接收到该数据幀的端口不符,则更新该表;e) 如果存在,且端口符合,则进行下一步处理。分析这个过程可以看出,如果一个攻击者向一台交换机发送大量源MAC地址不同的数据幀,则该交换机就可能把自己本地的MAC地址表学满。一旦MAC地址表溢出,则交换机就不能继续学习正确的MAC表项,结果是可能产生大量的网络冗余数据,甚至可能使交换机崩溃。而构造一些源MAC地址不同的数据幀,是非常容易的事情。2)针对ARP表的攻击ARP表是IP地址和MAC地址的映射关系表,任何实现了IP协议栈的设备,一般情况下都通过该表维护IP地址和MAC地址的对应关系,这是为
12、了避免ARP解析而造成的广播数据报文对网络造成冲击。ARP表的建立一般情况下是通过二个途径:1) 主动解析,如果一台计算机想与另外一台不知道MAC地址的计算机通信,则该计算机主动发ARP请求,通过ARP协议建立(前提是这两台计算机位于同一个IP子网上);2) 被动请求,如果一台计算机接收到了一台计算机的ARP请求,则首先在本地建立请求计算机的IP地址和MAC地址的对应表。因此,如果一个攻击者通过变换不同的IP地址和MAC地址,向同一台设备,比如三层交换机发送大量的ARP请求,则被攻击设备可能会因为ARP缓存溢出而崩溃。针对ARP表项,还有一个可能的攻击就是误导计算机建立正确的ARP表。根据AR
13、P协议,如果一台计算机接收到了一个ARP请求报文,在满足下列两个条件的情况下,该计算机会用ARP请求报文中的源IP地址和源MAC地址更新自己的ARP缓存:1)如果发起该ARP请求的IP地址在自己本地的ARP缓存中;2)请求的目标IP地址不是自己的。可以举一个例子说明这个过程,假设有三台计算机A,B,C,其中B已经正确建立了A和C计算机的ARP表项。假设A是攻击者,此时,A发出一个ARP请求报文,该请求报文这样构造:1)源IP地址是C的IP地址,源MAC地址是A的MAC地址;2)请求的目标IP地址是A的IP地址。这样计算机B在收到这个ARP请求报文后(ARP请求是广播报文,网络上所有设备都能收到
14、),发现B的ARP表项已经在自己的缓存中,但MAC地址与收到的请求的源MAC地址不符,于是根据ARP协议,使用ARP请求的源MAC地址(即A的MAC地址)更新自己的ARP表。这样B的ARP混存中就存在这样的错误ARP表项:C的IP地址跟A的MAC地址对应。这样的结果是,B发给C的数据都被计算机A接收到。2.2广域网安全和典型的攻击例子广域网 (WAN,Wide Area Network): 广域网的作用范围通常为几十km几千km,同一国家或州、甚至全球范围,因此又称为远程网。广域网的特点(1)主要提供面向通信的服务,支持用户使用计算机进行远距离的信息交换; (2)覆盖范围广,通信的距离远,需要
15、考虑的因素增多,如媒体的成本、线路的冗余、媒体带宽的利用和差错处理等; (3)由电信部门或公司负责组建、管理和维护,并向全社会提供面向通信的有偿服务、流量统计和计费问题。 广域网由相距较远的局域网或城域网互连而成,通常是除了计算机设备以外,更多的涉及一些电信通讯技术;主要体现在OSI参考模型的下3层:物理层、数据链路层和网络层。由于对网络安全的攻击是通过高层是网络协议和操作系统漏洞来实现的,例如是通过TCP/IP协议,本文不对具体的广域网技术进行详细的介绍。广域网安全问题 广域网目前的主流互联技术是TCPIP协议,通过TCP/IP将不同的种类和地域的网络互联到一起,很好的屏蔽了网络底层技术的不同,统一了整个网络通讯语言。但也可以说是现在广域网的网络安全问题都是由这个协议本身的一些缺陷带来的。 我们还是通过一些典型的广域网攻击手段,来分析是如何通过TCP/IP这个协议特性和网络操纵系统漏洞来实现的。 一、TCP SYN拒绝服务攻击一般情况下,一个TCP连接的建立需要经过三次握手的过程,即:1、建立发起者向目标计算机发送一个TCP SYN报文;2、目标计算机收到这个SYN报文后,在内存中创建TCP连接控制块(TCB),然后向发起者回送一个TCP ACK报文,等待发起
