《CHD11网络通信协议安全剖析》由会员分享,可在线阅读,更多相关《CHD11网络通信协议安全剖析(44页珍藏版)》请在金锄头文库上搜索。
1、CHD11-CHD11-网络通信协议安全网络通信协议安全剖析剖析信息与网络安全概论(第三版)本章內容11.1 TCP/IP网络协议11.2 应用层的网络安全通信协议11.3 传输层的网络安全通信协议11.4 网络层的网络安全通信协议11.5 拒绝服务攻击2信息与网络安全概论(第三版)11.1 TCP/IP网络协议TCP/IPTCP/IP网络协议是网络协议是19701970年由美国国防部在发展年由美国国防部在发展分封交换网络分封交换网络(ARPANET)(ARPANET)时所提出的时所提出的 ,是一是一钟网络通信协议钟网络通信协议。目前已目前已成为一项国际标准协议成为一项国际标准协议。TCP/I
2、PTCP/IP由由一些协议组成一些协议组成,负责负责两主机两主机间间的的连连接接与数据交与数据交换换 。分分为为4 4层层 (Layer) (Layer),每一层都通过呼叫它的下一每一层都通过呼叫它的下一层所提供的服务来完成自己的需求层所提供的服务来完成自己的需求。3信息与网络安全概论(第三版)TCP/IP 网络协议的4个层SMTP TELNET FTP DNS SNMP TCP UDP IP ICMP 网络界面:驱动程序(Drivers)网络硬件:Ethernet、Token Ring等应用层(Application)传输层(Transport)网络层(Internet)数据链路层(Inte
3、rface)4信息与网络安全概论(第三版)OSI网络协议与TCP/IP网络协议5信息与网络安全概论(第三版)11.1.1 应用层l lTCP/IPTCP/IP协议的最上层协议的最上层( (第第4 4层层) ),对应于对应于OSIOSI的会话的会话层层(Session Layer)(Session Layer)、表示层表示层(Presentation Layer)(Presentation Layer)及应及应用层用层 。l l主要是提供应用程序的数据传输接口主要是提供应用程序的数据传输接口 。l l根据这些网络协议根据这些网络协议,可以在应用层上开发与网络可以在应用层上开发与网络通信相关的应用
4、程序通信相关的应用程序,好让用户利用这些应用程好让用户利用这些应用程序进行数据传输序进行数据传输 。l l在应用层中在应用层中,相关应用程序有简单邮件传输协议相关应用程序有简单邮件传输协议(SMTP)(SMTP)、文件传输协议文件传输协议(FTP)(FTP)与超文本传输协议与超文本传输协议(HTTP)(HTTP)等等。6信息与网络安全概论(第三版)11.1.2 传输层 由由传输传输控制控制协议协议 ( (Transmission Control Protocol, TCP)Transmission Control Protocol, TCP)与与用用户户数据数据报协议报协议 (User Dat
5、agram Protocol, UDP)(User Datagram Protocol, UDP)组成组成 。 提供提供主机间的数据分割主机间的数据分割与与发送服务发送服务,並並确定数据已被送达确定数据已被送达与接受与接受。 TCPTCP:支持错误相应与支持错误相应与封包封包(Packet)(Packet)重組的能力重組的能力,提供提供两主两主机之间可信赖的传输机之间可信赖的传输,接收端收到每一封包都会返回确认接收端收到每一封包都会返回确认。 UDPUDP:属于非面向连接属于非面向连接(Connectionless Oriented)(Connectionless Oriented)的传输协的
6、传输协议议 ,缺乏相关的侦错与确认机制缺乏相关的侦错与确认机制,数据传递的可靠度较差数据传递的可靠度较差 。优点是传送数据时速度较快优点是传送数据时速度较快,适合大量的数据传递情况适合大量的数据传递情况 。7信息与网络安全概论(第三版)11.1.3 网络层是是TCP/IPTCP/IP协议的第协议的第2 2层层,对应于对应于OSIOSI的网络层的网络层 。由由InternetInternet协议协议 ( (Internet Protocol, IP)Internet Protocol, IP)与与InternetInternet控制消息协议控制消息协议 (Internet Control Mes
7、sage (Internet Control Message Protocol, ICMP)Protocol, ICMP)组成组成。主要是将主要是将传输层传输层所接收的封包所接收的封包转换转换成封包成封包实际实际的的传输传输接口接口 。8信息与网络安全概论(第三版)(1)IP (Internet Protocol)(1)IP (Internet Protocol) 定义数据单元的格式定义数据单元的格式。 定义网络寻址方式定义网络寻址方式(IP Address)(IP Address)。 决定数据封包在网络上的传递路径决定数据封包在网络上的传递路径。(2) ICMP (Internet Cont
8、rol Message Protocol)(2) ICMP (Internet Control Message Protocol) 网络状况监视工具网络状况监视工具 。(3) ARP (Address Resolution Protocol)(3) ARP (Address Resolution Protocol) 通过网络上的通过网络上的IPIP地址来查出其网卡的实体位地址来查出其网卡的实体位置置MAC(Media Access Control)MAC(Media Access Control)地址地址 。网络层通信协议9信息与网络安全概论(第三版)(4)RARP (Reverse Addr
9、ess Resolution Protocol)(4)RARP (Reverse Address Resolution Protocol) 协助发送端找到本身的协助发送端找到本身的IPIP地址地址。網路層的通訊協定(續)10信息与网络安全概论(第三版)11.1.4 数据链路层数据链路层也称网络接口层数据链路层也称网络接口层(Network Interface (Network Interface Layer)Layer) 。负责提供计算机系统与网卡的驱动程序负责提供计算机系统与网卡的驱动程序,以定以定义如何在此网络连线架构下传送数据义如何在此网络连线架构下传送数据 。11信息与网络安全概论(第
10、三版)11.1.5 封包的传递与拆装 封包传递与拆装的流程12信息与网络安全概论(第三版)Ethernet数据格式l l发发送端地址送端地址 (Source Address)(Source Address)l l接收端地址接收端地址 (Destination Address)(Destination Address)l l类型类型 (Type Code)(Type Code)l l检查码检查码 ( (Checksum Code)Checksum Code)13信息与网络安全概论(第三版)11.2 应用层的网络安全通信协议l lSMTP :SMTP :简单邮件传输协议简单邮件传输协议 l lTE
11、LNET : TELNET : 远程登录协议远程登录协议l lFTP : FTP : 文件传输协议文件传输协议l lDNS : DNS : 域名服务器域名服务器l lSNMP :SNMP :简单网络管理协议简单网络管理协议 14信息与网络安全概论(第三版)11.2.1 PGP安全电子邮件系统PGPPGP由由Philip ZimmermannPhilip Zimmermann撰写撰写,并于并于19911991年完成第年完成第一版一版 。PGPPGP可以提供电子邮件机密性可以提供电子邮件机密性、完整性和验证性服完整性和验证性服务务。 15信息与网络安全概论(第三版)PGP信息的传送和接收过程 16
12、信息与网络安全概论(第三版)电子邮件系统所使用的符号及代表的意义KSKS对称式加密算法的会话密钥对称式加密算法的会话密钥(Session (Session Key)Key)SKASKAPKAPKA用户用户A A的秘密密钥的秘密密钥用户用户A A的公开密钥的公开密钥EPEPDPDP公开密钥加密算法公开密钥加密算法公开密钥解密算法公开密钥解密算法ECECDCDC对称式加密算法对称式加密算法对称式解密算法对称式解密算法H H| |Z Z哈希函数哈希函数联结联结压缩算法压缩算法17信息与网络安全概论(第三版)11.2.2 PGP协议的数字签名机制PGP的数字签名过程18信息与网络安全概论(第三版)11
13、.2.3 PGP协议的信息加密机制PGP的信息加密过程19信息与网络安全概论(第三版)11.2.4 PGP协议的邮件传递流程PGP产生电子邮件的过程20信息与网络安全概论(第三版)接收方收到PGP电子邮件后的处理流程11.2.4 PGP协议的邮件传递流程(续)21信息与网络安全概论(第三版)11.3.1 SSL安全传输协议SSL(SecureSSL(Secure Socket Layer) Socket Layer)是由是由NetscapeNetscape公司在公司在19951995年所发表的网络安全协议年所发表的网络安全协议,其主要功能是建其主要功能是建立起浏览器与立起浏览器与WebWeb服
14、务器之间数据传递的安全通服务器之间数据传递的安全通道道 。SSLSSL通过加密技术来保障交易数据的安全通过加密技术来保障交易数据的安全,当客当客户端传送数据时户端传送数据时,便启动便启动SSLSSL加密机制加密机制 。开头是开头是“ “https:/”https:/”,就表示是具有就表示是具有SSLSSL保护的网页保护的网页 。 22信息与网络安全概论(第三版)l l SSLSSL所提供的安全服务主要有以下几项所提供的安全服务主要有以下几项 : (1)(1) 提供数据传送的机密性提供数据传送的机密性 (Confidentiality) (Confidentiality) 。 (2)(2) 提供
15、数据传送的完整性提供数据传送的完整性 (Integrity) (Integrity) 。 (3)(3) 提供用户与顾客间的身份验证机制提供用户与顾客间的身份验证机制 (Authenticity)(Authenticity)。 11.3.1 SSL安全传输协议(续)23信息与网络安全概论(第三版)11.3.1 SSL安全传输协议(续)SSLSSL协议主要分为两部分协议主要分为两部分:SSLSSL记录协议记录协议(SSL Record Protocol)(SSL Record Protocol) SSLSSL记录协议提供数据保密性及完整性两种服务记录协议提供数据保密性及完整性两种服务。SSLSSL
16、握手协议握手协议(SSL Handshake Protocol)(SSL Handshake Protocol) SSLSSL握手协议则提供用户与服务器间的身份验证机制握手协议则提供用户与服务器间的身份验证机制。24信息与网络安全概论(第三版)SSL记录协议的运作过程25信息与网络安全概论(第三版)SSL握手协议的运作过程26信息与网络安全概论(第三版)11.3.2 TLS传输层安全协议l lIETF(InternetIETF(Internet Engineering Task Force) Engineering Task Force)组织在组织在19991999年发表了传年发表了传输层安全
17、输层安全(Transport Layer Security(Transport Layer Security,TLS)TLS)协议协议 。l l TLSTLS主要是以主要是以SSLSSL第三版本为基础第三版本为基础,其内容仅信息格式及其内容仅信息格式及部分加密套件与部分加密套件与SSLSSL略有不同略有不同 。l lTLSTLS大部分的记录格式与大部分的记录格式与SSLSSL相同相同,只是版本编号的部分有只是版本编号的部分有些出入些出入 。l l SSLSSL与与TLSTLS在加密套件与信息验证码的选择上也有些不同在加密套件与信息验证码的选择上也有些不同 ,此外此外,此外,此外,TLSTLS与
18、与SSLSSL在在RandomRandom的产生方式及信息验的产生方式及信息验证码也稍微有些出入,但其基本思想都是一致的证码也稍微有些出入,但其基本思想都是一致的 。27信息与网络安全概论(第三版)11.4.1 IPSecl l网络层目前多半使用网络层目前多半使用IPIP作为数据传输的协议作为数据传输的协议,但仍有许多安全上的漏洞但仍有许多安全上的漏洞。于是于是,IETFIETF便积极便积极制订一套网络层的安全通信协议制订一套网络层的安全通信协议,称为称为IPSecIPSec协协议议(IP Secure)(IP Secure),以确保以确保IPIP层级的通信安全层级的通信安全 。l lPSec
19、PSec主要提供以下主要提供以下3 3种安全服务种安全服务 : (1)(1)确认性确认性 (Authentication)(Authentication) (2) (2)机密性机密性 (Confidentiality)(Confidentiality) (3) (3)密钥管理密钥管理 (Key Management)(Key Management)28信息与网络安全概论(第三版)IPSecIPSec主要包括两种协议主要包括两种协议 :E 确认性应用报头协议确认性应用报头协议 (Authentication Header, AH)(Authentication Header, AH)n n确保来
20、源认证性及数据完整性确保来源认证性及数据完整性 。E数据封装安全负载协议数据封装安全负载协议 (Encapsulating Security (Encapsulating Security Payload, ESP)Payload, ESP)n n提供数据的机密性提供数据的机密性。11.4.1 IPSec(续)29信息与网络安全概论(第三版)11.4.2 IPSec的确认性应用报头协议确认性应用报头的格式内容30信息与网络安全概论(第三版)11.4.3 IPSec的安全数据封装协议安全数据封装协议的格式内容31信息与网络安全概论(第三版)11.4.4 IPSec的密钥管理机制l l密钥管理服务
21、的主要目的是帮助用户安全地协议密钥管理服务的主要目的是帮助用户安全地协议出所需要的秘密密钥出所需要的秘密密钥。l lIPSec IPSec 提供了手动提供了手动(Manual)(Manual)与自动与自动(Automated)(Automated)两两种密钥管理方式种密钥管理方式 。32信息与网络安全概论(第三版)l l手手动动密密钥钥管理管理 :- -系系统统管理者以人工的方式用自己的密管理者以人工的方式用自己的密钥钥与其他系与其他系统统的密的密钥钥来来设设定所需要的安全定所需要的安全协议协议 。- -适用于小型且通信适用于小型且通信对对象固定的象固定的环环境境 。l l自自动动密密钥钥管理
22、管理 :- -安全安全协议协议的的设设定工作由系定工作由系统统自自动动来来执执行行 。- -适用于大型且通信适用于大型且通信对对象象经经常常变动变动的的环环境境 。- -采用的是改良的采用的是改良的DiffieDiffie-Hellman-Hellman算法算法 。11.4.4 IPSec的密钥管理机制(续)33信息与网络安全概论(第三版)l l容易遭受容易遭受“ “堵塞堵塞(Clogging)”(Clogging)”的网络攻击的网络攻击 - - 可利用可利用cookiescookies來來协助预防协助预防“ “堵塞堵塞” ”网络攻击网络攻击l l容易遭受容易遭受“ “藏镜人藏镜人” ”的网络
23、攻击的网络攻击 - -要预防要预防“ “藏镜人藏镜人” ”的网络攻击的网络攻击,就需要在每次就需要在每次信息交换时都要附加上验证对方的信息信息交换时都要附加上验证对方的信息,以确以确认对方的身份认对方的身份 。Diffie-Hellman算法的缺点34信息与网络安全概论(第三版)如何预防堵塞的网络攻击 ? 可以利用可以利用CookiesCookies来协助来协助。CookiesCookies可视为一个可视为一个6464位的位的随机数值随机数值1. 1.A A先产生其先产生其Cookies(CA)Cookies(CA),并传送给并传送给B B 。2. 2.B B也产生其也产生其Cookies(C
24、ookies(CBCB) ),将将CBCB连同连同CACA一起传送给用户一起传送给用户A A 。3. 3.A A收到之后便将公开密钥收到之后便将公开密钥YAYA连同连同CACA及及CBCB一起传送给一起传送给B B 。4. 4.同样同样,B B也将其公开密钥也将其公开密钥YBYB连同连同CACA及及CBCB一起传送给一起传送给A A 。5. 5.A A与与B B收到对方的公开密钥后收到对方的公开密钥后,先验证所收到的先验证所收到的CACA及及CBCB是否是否与记录上的相同与记录上的相同。6. 6.若相同若相同,则执行所对应的指数运算则执行所对应的指数运算;若不同若不同,则拒绝处理该则拒绝处理该
25、信息信息 。35信息与网络安全概论(第三版)11.5 拒绝服务攻击l l拒绝服务攻击拒绝服务攻击(Denial of Service Attack(Denial of Service Attack,DoSDoS攻击攻击) )是目前是目前TCP/IPTCP/IP协议上常见的攻击方式协议上常见的攻击方式 。l l其其攻击方式攻击方式是是试图让系统的工作超过其负荷而导试图让系统的工作超过其负荷而导致系统瘫痪致系统瘫痪 。36信息与网络安全概论(第三版) DoSDoS的攻击方式大致可以分为以下几种的攻击方式大致可以分为以下几种 : (1)(1)死亡侦测攻击死亡侦测攻击(Ping of death)(P
26、ing of death) (2) (2)分割重组攻击分割重组攻击(Teardrop)(Teardrop) (3) (3)来源地址欺骗攻击来源地址欺骗攻击(Land)(Land) (4) (4)请求泛滥攻击请求泛滥攻击(SYN Flooding)(SYN Flooding) (5) (5)回复泛滥攻击回复泛滥攻击(Smurf Flooding)(Smurf Flooding) (6) (6)分布式攻击分布式攻击(Distributed)(Distributed) 11.5 拒绝服务攻击(续)37信息与网络安全概论(第三版)死亡侦测攻击指传送一个大于指传送一个大于65 53565 535字节的侦
27、测字节的侦测(Ping)(Ping)封包给系封包给系统统 。由于系统最大只能接收由于系统最大只能接收65 53565 535字节的字节的IPIP封包封包,因此因此一个大于一个大于65 53565 535字节的封包将使系统因溢出而发生字节的封包将使系统因溢出而发生错误错误 。通常系统无法接受一个大于通常系统无法接受一个大于65 53565 535字节的封包字节的封包,但但攻击者还是可以将此封包分解后传送攻击者还是可以将此封包分解后传送,然后再到被然后再到被攻击系统处组合攻击系统处组合,进而造成系统瘫痪进而造成系统瘫痪 。如今的操作系统大部分都已经可以自动地来侦测这如今的操作系统大部分都已经可以自
28、动地来侦测这类的攻击类的攻击 。38信息与网络安全概论(第三版)分割重组攻击利用封包分割与重组间的落差利用封包分割与重组间的落差(Gap)(Gap)来对系统进行来对系统进行攻击攻击 。当封包的大小超过封包所能传送的最大单位时当封包的大小超过封包所能传送的最大单位时,封封包就必须进行分割包就必须进行分割,然后依次地将这些分割后的封然后依次地将这些分割后的封包传输到目标主机上包传输到目标主机上。目标主机收到封包后会对它目标主机收到封包后会对它们重组们重组 。刻意制造不正常的封包序列刻意制造不正常的封包序列,例如信息重叠位移或例如信息重叠位移或改变封包大小等改变封包大小等,使得主机在重组过程中因发生
29、错使得主机在重组过程中因发生错误而造成系统瘫痪误而造成系统瘫痪 。39信息与网络安全概论(第三版)来源地址欺骗攻击源地址欺骗攻击利用源地址欺骗攻击利用IPIP欺骗欺骗(IP Spoofing)(IP Spoofing)的方式来的方式来攻击目标主机攻击目标主机 。攻击者刻意将目标主机的攻击者刻意将目标主机的IPIP地址附加在封包的来源地址附加在封包的来源( (Source)IPSource)IP地址与目的地址与目的 ( (Destination)IPDestination)IP地址这两个字地址这两个字段上段上,使得这个封包的来源及目的地址都一样使得这个封包的来源及目的地址都一样 。主机在收到这些
30、封包时主机在收到这些封包时,由于无法回应信息给自己由于无法回应信息给自己而使得系统瘫痪或处理速度变慢而使得系统瘫痪或处理速度变慢 。40信息与网络安全概论(第三版) 请求泛滥攻击是通过传送大量请求泛滥攻击是通过传送大量SYNSYN封包给目标主机封包给目标主机,使得使得目标主机忙于处理这些封包目标主机忙于处理这些封包,而无法正常地为合法用户提而无法正常地为合法用户提供服务供服务 。 SYNSYN封包是当用户要与目标主机通信时封包是当用户要与目标主机通信时,会先送出一个会先送出一个SYNSYN封包来要求目标主机进行通信封包来要求目标主机进行通信。目标主机收到封包后目标主机收到封包后会回复一个会回复
31、一个SYN-ACKSYN-ACK封包给用户封包给用户,用户再送一个用户再送一个ACKACK封包封包给目标主机确认给目标主机确认 。 然后才开始进行通信协议然后才开始进行通信协议。攻击者就送出多个攻击者就送出多个SYNSYN封包给封包给目标主机目标主机,目标主机以为要进行通信便开启一个通信埠目标主机以为要进行通信便开启一个通信埠,并传送并传送SYN-ACKSYN-ACK信息给用户信息给用户,等待用户回复等待用户回复ACKACK封包封包 。 这个等待必须等到该封包溢出时才会被移除这个等待必须等到该封包溢出时才会被移除,若一个时段若一个时段内有多个这样的等待事件内有多个这样的等待事件,则会使系统处理
32、速度变慢则会使系统处理速度变慢 。请求泛滥攻击41信息与网络安全概论(第三版)回复泛滥攻击攻击者传送一连串攻击者传送一连串PingPing封包封包( (或或ICMP echo message)ICMP echo message)给一个第三者给一个第三者。然后利用然后利用IPIP欺骗的方式将送给第三者的这些封包上欺骗的方式将送给第三者的这些封包上的来源地址改变为受攻击主机的的来源地址改变为受攻击主机的IPIP地址地址 。-会误以为这些封包是由受害主机所传送来的会误以为这些封包是由受害主机所传送来的,于于是将回复封包传送给这个受害主机是将回复封包传送给这个受害主机 。-由于由于PingPing封包
33、会要求路由器对网络广播封包会要求路由器对网络广播,这使得这使得网络上充满了要求及回复封包网络上充满了要求及回复封包,进而导致网络拥进而导致网络拥塞甚至中断塞甚至中断 。42信息与网络安全概论(第三版)分布式攻击指多个远端主机在同一时段内传送许多信息给目标指多个远端主机在同一时段内传送许多信息给目标主机主机,使得目标主机在短时间内因收到大量的信息使得目标主机在短时间内因收到大量的信息,超过系统负载而瘫痪超过系统负载而瘫痪 。另一种分布式攻击方式是针对网络来进行攻击另一种分布式攻击方式是针对网络来进行攻击,其其攻击方式就是在网上传输许多信息攻击方式就是在网上传输许多信息,以浪费宽宽以浪费宽宽,造成网络拥塞造成网络拥塞,这种攻击不会对计算机主机造成伤这种攻击不会对计算机主机造成伤害害,但能使合法的用户无法正常地访问数据但能使合法的用户无法正常地访问数据 。一般来说一般来说,DDoSDDoS攻击是很难防范的攻击是很难防范的,因为由这些因为由这些分散主机所做的传输都跟正常的用户无异分散主机所做的传输都跟正常的用户无异,因此系因此系统很难去分辨真假统很难去分辨真假 。43结束!结束!
