【网络安全】第三章-Internet协议的安全性

Internet协议概述

1.Internet协议概述

网络接口层：TCP/IP模型的最底层

网际层：IP协议等、ARP协议

传输层：TCP协议、UDP协议

应用层：HTTP协议、SMTP协议、POP3协议、FTP协议等

2.网际层协议

（1）IP协议

IP协议的安全问题及防护措施

安全问题1:IP数据报在传递过程中易被攻击者监听、窃取。
防护措施1:对IP数据报进行加密。

安全问题2:由于IP层并没有采用任何机制保证数据净荷传输的正确性，攻击者可能截取数据报，修改数据报中的内容后，将修改结果发送给接收方。
防护措施2:对IP数据报净荷部分实行完整性检测机制。

安全问题3:IP层不能保证IP数据报一定是从源地址发送的。攻击者可伪装成另一个网络主机，发送含有伪造源地址的数据包欺骗接受者。此攻击称为IP欺骗攻击。
防护措施3:通过源地址鉴别机制加以防御。

安全问题4:IP数据报在传输过程中要经历被分段和重组的过程，攻击者可以在包过滤器中注入大量病态的小数据报，来破坏包过滤器的正常工作。
防护措施4:许多防火墙能够重组分段的IP数据报，以检查其内容。

安全问题5:使用特殊的目的地址发送IP数据报也会引入安全问题。如攻击者可使用目的地址为定向广播地址的IP数据报来攻击许多不同类型的主机。
防护措施5:配置路由器时启用禁止发送定向广播数据包的功能。

（2）ARP协议

地址解析协议(Address Resolution Protocol，ARP)是根据IP地址获取物理地址的一个TCP/P协议。

• 以太网发送的是48位以太地址的数据包;
• IP驱动程序必须将32位IP目标地址转换成48位MAC地址;
• 两类地址存在静态或算法上的映射;
• ARP用来确定两者之间的映射关系，

ARP协议的安全问题及防护措施（ARP攻击）

（3）ICMP协议

控制报文协议(Internet Control Message Protocol,ICMP)是一个重要的错误处理和信息处理协议。

• 它用于通知主机到达目的地的最佳路由，报告路由故障
• 它是两个非常重要的监控工具的重要组成部分：
  • 询问报告：Ping
  • 差错报告：Tracert
• 它是一种差错和控制报文协议，不仅用于传输差错报文，还传输控制报文

Ping

检测两个主机之间的网络是否连通。

Tracert

从源主机到目标主机之间经历了哪几个网关转发，可以了解网络的拓扑结构。

ICMP协议的安全问题及防护措施

安全问题1:ICMP重定向攻击
攻击者可以利用ICMP对消息进行重定向，使得目标机器遭受连接劫持和拒绝服务等攻击。
重定向消息应该仅由产生消息的主机或路由器执行，网管员不应使用ICMP创建通往目的地的新路由

安全问题2:ICMP路由器发现攻击
在进行路由发现时，ICMP并不对应答方进行认证，使得它可能遭受严重的中间人攻击。攻击者假冒正常的路由器，使用伪造信息应答ICMP询问，由于ICMP并不对应答方进行认证，因此接收方无法知道响应是伪造的。

安全问题3:防火墙穿越攻击
通过防火墙穿越攻击技术(Firewalking)，攻击者能够穿越某个防火墙的访问控制列表和规则集，进而确定该防火墙过滤的内容和具体的过滤方式。尽管防火墙面临启用ICMP所带来的风险，但由于主机采用Path MTU的机制，因此在防火墙封堵所有ICMP消息并不妥当。

（4）IGMP协议

组管理协议(Internet Group Management Protocol，IGMP是TCP/IP 协议族中负责IP 组播成员管理的协议。

• 主机通过IGMP通知路由器希望接收或离开某个特定组播组的信息。
• 路由器通过IGMP周期性地查询局域网内的组播组成员是否处于活动状态，实现所连网段组成员关系的收集与维护。

IGMP协议的安全问题及防护措施

利用查询报文攻击

• 当具有较低IP地址的路由器发送伪造的查询报文，那么当前的查询方就认为，查询任务由伪造的查询方执行，当前的查询方转变为响应查询请求，并且不再发出查询报文。

利用离开报文进行DoS攻击

• 子网内非法用户通过截获某个合法用户信息来发送伪造的IGMP离开报文，组播路由器接收报文后误以为该合法用户已经撤离该组播组则不再向该用户发送询问请求，从而造成拒绝服务攻击。

利用报告报文攻击
非法用户伪装报告报文，或截获合法用户的报告报文向组播路由器发送伪造报文，使组播路由器误以为有新用户加入，于是将组播树扩展到非法用户所在的子网。

解决方法：采用公钥密码技术实现组播组成员的身份认证

（5）OSPF协议

开放最短路径优先协议(Open Shortest Path First,OSPF)是一个内部网关协议，用于在单一自治系统内决策路由。设法使分组在一个自治系统内尽可能有效地从源网络传输到目的网络。

• OSPF协议是分布式的链路状态路由协议。
• 在该协议中，只有当链路状态发生变化时，路由器才用洪泛法向所有路由器发送路由信息，每个路由器都有一个保存全网链路信息的链路状态数据库。

OSPF协议的安全问题及防护措施

OSPF协议中规定了认证域(authentication)，但其作用非常有限。

1. 即使OSPF提供了较强的认证，但某些节点仍然使用简单的口令认证。
2. 在路由对话中，如果有一个合法的用户遭到破坏，那么它的消息就不再可信。
3. 在许多路由协议中，邻近的计算机会重复旧的对话内容，导致欺骗得到传播扩散。

（6）BGP协议

边界网关协议(Border Gateway Protocol，BGP)将单一管理的网络转化为由多个自治系统分散互连的网络。

• 在不同自治系统内，度量路由的“代价”(距离，带宽，费用等)可能不同。因此，对于自治系统之间的路由选择，使用“代价”作为度量来寻找最佳路由是不行的。
• 自治系统之间的路由选择必须考虑相关策略。(政治，经济，安全等)

安全问题

BGP缺乏一个安全可信的路由认证机制，无法对所传播的路由信息的安全性进行验证。

解决方案

1. 路由认证类方案：MD5 BGP认证技术、5-BGP方案、soBGP方案等
2. 前缀劫持检测类方案：多源AS检测技术、主动探测技术

3.传输层协议

（1）TCP协议

第一类攻击:攻击实施

针对TCP连接建立阶段的三次握手过程的SYN Flood攻击

• 攻击者不断向服务器的监听接口发送建立TCP连接的请求SYN数据包，使服务器一直处于半开放连接状态，无法接受其他正常的连接请求。这种攻击属于拒绝服务(DoS)攻击。
• 防护措施:在服务器前端部署网络安全设备(防火墙)进行数据包过滤。

第二类攻击:

针对TCP协议不对数据包加密和认证的漏洞的TCP会话劫持攻击。

• 攻击描述：TCP协议确认数据包的真实性主要依据是判断数据包中独有的32位序列号是否正确。如果攻击者能够预测目标主机的起始序号，就可以欺骗该目标主机。
• 防护措施：在TCP连接建立时采用一个随机数作为初始序列号。

第三类攻击:

针对TCP的拥塞控制机制的特性，在TCP连接建立后的数据阶段攻击

• 攻击描述：拥塞控制功能旨在防止过多的数据注入网络。有经验的攻击者可以利用拥塞机制的特性，周期性地制造网络关键节点的拥塞不断触发拥塞窗口的慢启动过程，最终达到降低正常传输能力目的。
• 防护措施：网管实时监测网络异常流量。

（2）UDP协议

用户数据报协议(User Datagram Protocol，UDP)是一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。

UDP协议的安全问题及防护措施

安全问题:最常见的UDP攻击为DoS攻击，而UDPFlood攻击又是DoS攻击中最普遍的流量型攻击。

• 攻击原理:攻击源发送大量的UDP小包到攻击目标目标可以是服务器或网络设备，使其忙于处理和回应UDP报文，系统资源使用率飙高，最后导致该设备不能提供正常服务或者直接死机，严重的会造成全网瘫痪。

防护措施:使用UDP进行传输的应用层协议之间差异极大，因此不同情况下的UDP攻击需要采用不同的防护手段。

• 如果攻击包是大包，则根据攻击包大小设定包碎片重组大小，通常不小于1500。
• 当攻击端口为业务端口，根据该业务UDP最大包长设置UDP最大包以过滤异常流量。
• 当攻击端口为非业务端口，通常通过设置UDP连接规则，要求其首先建立TCP连接。

4.应用层协议