Internet协议的安全性(网络层)

已于 2024-01-13 18:13:23 修改
阅读量1.8k 收藏 29
点赞数 50
分类专栏: 网络安全-技术与实践 文章标签: 网络安全 网络协议 ip
于 2024-01-11 21:40:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79965866/article/details/135536545
版权

网络层协议

IP协议的安全性

IP协议可能存在的安全风险
  1. IP协议未验证IP地址
    源IP地址欺骗 :IP协议缺乏对地址真实性的认证机制,不能保证是从数据包给定的源地址发出来的。
    目的IP地址欺骗:可能欺骗者收到了数据包。
    防范措施
    抛弃基于地址的信任策略,采用更高层的认证方式。
    进行包过滤,配置路由器使其能拒绝网络外部与本网内具有相同IP地址的连接请求。
  1. IP协议支持定向广播
    主机会对广播包进行响应,消耗主机资源,以及网络带宽。
    防范措施:在路由器上关闭定向广播转发选项。
  1. IP协议未对数据加密
    数据容易被监听。
    防范措施:采取加密措施
  1. IP协议仅对首部进行检验
    攻击者可能截取数据报,并修改后发给接收方
    防范措施:对IP数据报数据载荷部分进行完整性检测机制
  1. IP源路由选项支持
    IP数据包中有个“IP source routing”选项,可以指定从源到目的的路由,则目的到源的应答包也会沿着这个路由传递。
    防范措施:关闭源路由功能。
  1. IP协议支持分段重组
    大包分片攻击:分片重组后的长度超过65535字节,使得事先分配的缓冲区溢出,造成系统崩溃。
    ping:发送ICMP ECHO请求数据包,数据部分超过65507字节就溢出了
    IP首部:至少20B,ICMP首部:8B,数据:最长65507B
    极小碎片攻击:攻击者发送极小的分片来绕过包过滤系统或者入侵检测系统的一种攻击手段。
    Tiny fragment: 通过nmap实现(nmap - f -sS -p ip)
    分片重叠攻击:分片报文重组后,数据产生重叠,造成系统崩溃或绕过防火墙
    在这里插入图片描述
    绕过防火墙:Teardrop利用分片重组漏洞的拒绝服务攻击(主要就是偏移量)
    在这里插入图片描述
    IP分片Dos攻击:目标计算机在处理分片报文时,会先把收到的分片报文缓存起来,然后一直等待后续的分片报文,如果攻击者只发一部分,目标计算机就会一直等待,批量操作会导致计算机无法响应正常的IP报文
    防御措施
    强制丢弃IP分片报文
    ==发送方探测路径最小MTU,避免分片(如果报文打上无法分片标志,路由器会无法传输,将丢弃报文,并返回一个ICMP差错报文,通知报文发起者丢弃原因,互相协商最小MTU)
    丢弃过短报文
    包过滤设备先重组再过滤
IP安全性总结
IP协议特点IP安全问题防范措施
IP未验证IP欺骗攻击源,目的地址鉴别机制
IP定向广播定向广播攻击禁止广播
数据未加密数据监听,窃听加密
IP首部检验IP数据篡改完整性检测
IP源路由选项IP源路由攻击禁止源路由选项
IP分片重组大包攻击,极小碎片攻击,分片重叠攻击,DoS攻击先重组,不分片

ARP协议的安全性

以太网发送的是48位MAC地址的数据包(也可以叫以太地址,物理地址)
IP驱动程序必须将32位IP目标地址转换成48位MAC地址
两类地址存在静态或算法上的影射
ARP用来确定两者之间的影射关系
ARP协议是为获得MAC地址,加入缓存

ARP缓存中毒

ARP缓存中毒后,攻击者使用伪造ARP消息欺骗受害者接收无效的IP-MAC映射,并将映射存入缓存中,又叫ARP欺骗,ARP重定向。
在这里插入图片描述

防范措施
  1. 在关键系统之间设置静态ARP项。比如在防火墙和边界路由器上设置静态的ARP项。
  2. 在交换机上配置802.1x协议,攻击者连接交换机时,需要验证身份
    在这里插入图片描述

ICMP协议的安全性

ICMP是一种差错和控制报文协议,不仅用于传输差错报文,而且传输控制报文,运行在网际层
ping和traceroute

ICMP可能存在的问题

ICMP没有验证机制
攻击者可能伪装正常的路由器,使用伪造的响应信息应答ICMP询问,形成拒绝服务,重定向等攻击
ICMPDos
针对带宽的ICMP DoS:主要利用无用的数据耗尽网络带宽,如ICMP Smurf 伪装受害主机的源地址,向网络的广播地址发送大量的ping包,目标系统都很快被大量的echo reply信息淹没。
针对连接的ICMP DoS:可以终止现有的网络连接,如Nuke,通过发送一个伪造的ICMP Destination Unreachable(目的不可达)消息来终止合法的连接。
ICMP重定向攻击
攻击者利用ICMP路由重定向报文改变主机的路由表。自己伪装成路由器,向目标机器发送重定向消息,使目标机器的数据报发送给攻击机,从而实现监听,会话劫持或拒绝服务攻击。

防范措施
  1. 支持PING-允许向外发送ICMP响应请求,并允许向内发送答复消息
  2. 支持traceroute路径追踪-允许向内发送TTL-超出和端口无法连接的消息(目标端口不可达)
  3. 支持路径MTU-允许向内发送,需要分片但DF置位的ICMP消息
  4. 阻止其他类型的ICMP通信

路由协议的安全性

RIP协议

动态内部路由/网关协议,用于自治系统内的路由信息的传递
在这里插入图片描述

RIP协议的安全问题

协议缺陷
不可靠UDP传输
缺乏认证机制,RIPv2有MD5签名与验证,但MD5已破解

安全问题
伪造RIP路由更新消息,并向邻居路由器发送,伪造内容为目的网络地址、子网掩码与下一跳地址,经过若干轮路由更新,网路通信面临瘫痪
利用嗅探工具获取远程网络的RIP路由表,通过欺骗工具伪造RIP报文,再利用重定向工具截取,修改和重写向外发送的报文,以控制网络中报文消息。

防护措施

路由器接口配置
某些接口配置改为被动接口,之后该接口停止向它所在的网络广播路由更新路由,但是允许它接受来自其他路由器的报文

路由器访问控制
配置路由器的访问控制列表,只允许某些源地址IP的路由更新报文进入列表

增加路由验证机制
采用MD5安全机制的RIPv2协议,或者移植了安全认知机制的OSPF机制

OSPF协议

开放最短枯井优先协议 内部网关协议 用于在单一自治系统内决策路由
洪范法向所有路由发送路由信息
每个路由器都有一个保存全网链路信息的链路状态数据库

OSPF协议的安全问题
在这里插入图片描述

BGP协议

将单一管理的网路转化为由多个自治系统分散互联的网络

安全问题

缺乏安全可信的路由认证机制,无法对所传播的路由信息的安全性进行验证

解决方法

路由认证类方案
MD5 BGP认证技术
S-BGP方案
soBGPf方案
前缀劫持检测类方案
多源AS检测技术
主动探测技术

就要霸得蛮
关注
  • 50
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络层安全防护
weixin_40050195的博客
01-25 1182
本认证课程旨在帮助学员了解云计算网络层常用到的网络防护实践方法,以及掌握防火墙、入侵检测、Web应用防火墙、抗DDoS等防护手段的功能和基本原理。能够使用操作系统自带的防火墙(Windows主机防护墙、Linux IPtables)来进行安全策略的配置。最终能为自己企业建立基本的网络层防护。 关于网络层安全防护的详细信息:网络层安全防护 课程目标  了解和掌握云计算场景下网络层的基本安全防护...
网络安全协议 学习资料,ppt
11-22
网络安全协议是信息技术领域中的核心部分,它涉及到网络数据传输的安全性、用户隐私保护以及系统间的信任机制。这份学习资料由中科大教授薛开平提供,旨在深入解析网络安全协议的原理和应用。通过一系列的PPT章节,...
安全Clouder课程:网络层安全认知
weixin_40050195的博客
08-09 296
阿里云大学课程:云安全Clouder课程:网络层安全认知 课程介绍: 您还在为不清楚云环境中网络层安全威胁而担心吗?作为云环境的维护人员,看到众多的网络层防护产品不知道从何入手,并且还在寻求一个完美的网络层防护解决方案? 本认证课程旨在帮助学员理解云计算环境下网络层的常见威胁,以及能够使用网络数据抓包工具来抓取和分析网络流量。最后了解云计算环境下主要的网络层防护思路,为今后设计自己企业的网...
网络层安全IPsec和virtual private network
kking_edc的博客
05-13 721
IP安全协议IPsec)为网络层提供了安全性IPsec保护两个网络层实体间的IP数据报,包含主机和路由器。许多机构(公司、政府部门、非盈利性组织等)都使用IPsec来创建运行在公共因特网之上的虚拟专用网(virtual private network,VPN)。 在了解IPsec细节前,我们需要知道为网络层提供安全性的意义。在网络层实体间(例如,两台路由器间)如果具有机密性,那么发送实体加密它发送给接收实体的所有数据报的载荷。这种载荷可以是一个TCP报文段、一个UDP报文段、一个ICMP报文段等等。如果
【信息安全】-网络层安全问题
vector的博客
03-23 2368
Abstract:本篇文章讨论网络层三个协议安全问题。关于ARP协议,由于计算机会对收到的每个ARP应答报文作出响应,并更新自己的ARP缓冲表,攻击者利用这个漏洞可以发起中间人攻击,或者用地址冲突使得目标主机不能联网。关于ip协议,由于ip的源地址不可靠,攻击者可以利用这个漏洞发起盲目飞行攻击以及利用源路由机制发起中间人攻击,针对这个漏洞可以采用单播反向验证进行预防。关于ICMP协议,利用回送报文可以发起smurf攻击,利用路由重定向报文可以改变主机的路由。 目录 ARP协议 ARP协议安全.
协议安全——网络层
ChenD的学习笔记
10-02 882
网络层的一些基础知识
第六章 网络安全协议 IPSec协议
最新发布
06-12
2. **掌握IP安全协议IPSec**:深入学习IPSec协议的功能、工作机制及其在网络层提供的安全保障。 3. **掌握安全套接层SSL协议**:了解SSL协议在传输层提供数据安全的具体方式。 4. **掌握安全邮件扩展协议PGP**:探究...
中国科大网络安全协议.zip
08-23
IPSec不仅提供端到端的安全性,还支持在IP层对整个网络流量进行加密,包括TCP、UDP等各种应用层协议IPSec协议族由多个组件组成,包括IKE(Internet Key Exchange)用于密钥管理,AH(Authentication Header)用于...
chap06 网络层(8) - ICMP协议1
08-03
网络层】中的【ICMP协议】是Internet Control Message Protocol的缩写,是TCP/IP协议族的一个关键子协议。它的主要任务是在IP主机和路由器之间传递控制消息,这些消息涉及网络通断、主机可达性、路由可用性等问题...
计算机网络 第4章网络层协议IPv4 PPT
04-16
- **选项**:用于扩展IP协议的功能,如安全性、记录路由、时间戳等。 #### 报文处理流程 - **分片**:如果原始数据报太大无法在网络中传输,则需要将其分片。每个分片包含原始数据报的一部分。 - **重组**:接收方...
【计算机网络自顶向下方法网络层安全IPsec和虚拟专用网
wgl307293845的博客
06-18 383
网关路由器将经典的IPv4转换成为IPsec数据报,然后将该IPsec数据报转发进因特网。该IPsec数据报实际上具有传统的IPv4首部,因此在公共因特网中的路由器处理该数据报,仿佛它对路由器而言是一个普通的IPv4数据报。IPsec数据报的载荷包括了一个IPsec首部,该首部被用于IPsec处理;此外,IPsec数据报的载荷是被加密的。当该IPsec数据报到达便携机时,便携机的操作系统解密载荷(并提供其他安全服务,如验证数据完整性),并将解密的载荷传递给上层协议(例如,给TCP或UDP) 。 .
2.3.4 网络层安全防护
The 44th Demilitarized Zone
11-14 3555
逻辑网络分段逻辑网络分段是指将整个网络系统在网络层(ISO/OSI模型中的第三层)上进行分段。例如,对于TCP/IP网络,可以把网络分成若干IP子网,各子网必须通过中间设备进行连接,利用这些 中间设备的安全机制来控制各子网之间的访问。VLAN的实施基于MAC的VLAN不能防止MAC欺骗攻击。因此,VLAN划分最好基于交换机端口。VLAN的划分方式的目的是为了保证系统的安全性。因此,可以
网络安全——网络层安全协议
m0_61869253的博客
04-12 854
本章将会讲解网络层安全协议,了解常见的网络攻击与防御。
网络层
XuShuangHui
02-27 423
概要网络层跟业务对接部分的设计网络层安全机制实现网络层的优化方案当回调之后要做的任务在每次回调时都是一致的情况下,选择delegate,在回调之后要做的任务在每次回调时无法保证一致,选择block1.使用哪种交互模式来跟业务层做对接?以什么方式将数据交付给业务层?交付什么样的数据给业务层?(1)iOS开发领域有很多对象间数据的传递方式,我看到的大多数App在网络层所采用的方案主要集中于这三种:D...
第10章 网络安全(4)_网络层安全IPSec
CherishPrecious的博客
11-23 921
5. 网络层安全IPSec 5.1 IPSec协议 (1)前面使用Outlook进行数字签名和数字加密是应用层实现的安全安全套接字实现的安全是在应用层和传输层之间插入了一层来实现数据通信安全。而IPSec是网络层实现的安全。不需要应用程序的支持,只要配置通信双方的安全规则,传输层的数据传输单元就会被加密后封装到网络层,实现数据通信安全IPSec工作在OSI模型的网络层。 (2)IPSec...
网络安全
我就是王大大的博客
01-18 2673
计算机网络面临的四大威胁:截获(被动攻击)、中断(主动攻击)、篡改(主动攻击)、伪造(主动攻击) 被动攻击是只是观察分析某个PDU(协议数据单元),而不干扰,又叫流量分析 主动攻击是对PDU做处理,又分为三种 { 更改报文流 拒绝服务:向服务器发送大量分组,使服务器没办法正常工作,占用服务器资源,又叫拒绝服务DoS,如果多个网站集中攻击一个网站,叫做分布式拒绝服务DDoS 伪造连接初
网络层安全协议是如何保护你的网络安全?——深入解析网络层安全协议
陈书予
03-08 991
网络层安全协议是一种用来保护网络数据传输的安全协议,它位于网络通信协议的第三层(网络层),主要用于确保数据包在传输过程中的保密性、完整性和认证性。在实际应用中,常用的网络层安全协议包括IPCSEC、SSL/TLS等。网络层安全协议是保护互联网传输安全的重要手段。本文详细介绍了网络层安全协议的定义和核心技术。(IPCSEC和SSL/TLS)。IPCSEC和SSL/TLS协议都能够提供安全数据通信,并保证数据传输的完整性、机密性和真实性。同时,这两种协议具有通用性和开放性,可以适用于各种互联网应用程序中。
2.3 网络安全协议
weixin_43263566的博客
08-03 1065
开放系统互连模型(Open System Interconnection Reference Model,OSI)是国际标准化组织(ISO)于1977年发布的一个标准参考模型,用于描述计算机系统和网络之间进行通信的基本过程和方法。于1983年成为ISO 7498国际标准。TCP/IP是目前互联网中最基本的协议,也是互联网构成的基础协议。TCP/IP最早源于美国国防部的ARPA网项目 (一个军用通信网络),经过多年的发展,其中的非涉密部分发展成今天的互联网。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值