计算机网络之危机四伏
本讲主题
网络安全威胁
“坏蛋”们可能做什么?
Answer:很多!
1、窃听(eavesdrop):窃听信息
2、插入(insert):主动在连接中插入信息
3、假冒(impersonation):可以通过伪造(spoof)分组中的源地址(或者分组的任意其他字段)
4、劫持(hijacking):通过移除/取代发送或接收方“接管”(take over)连接
5、拒绝服务DoS(denial of service):阻止服务器为其他用户提供服务(e.g.,通过过载资源)
Internet安全威胁
1.1 映射(Mapping):
发起攻击前:“探路”(case the joint)-找出网络上在运行什么服务
利用ping命令确定网络上主机的地址
端口扫描(Porting-scanning):依次尝试与每个端口建立TCP连接
nmap(http://www.insecure.org/nmap/),广为使用的国外端口扫描工具之一
1.2 对策(Countermeasures)?
记录到达的网络流量
分析、识别出可疑活动(IP地址和端口被依次扫描)
2.1 分组“嗅探”(sniffing):
广播截至(共享式以太网,无线网络)
混杂(promiscuous)模式网络接口可以接收/记录所有经过的分组/帧
可以读到所有未加密数据(e.g.,包括口令!)
Wireshark就是一个典型免费的分组嗅探软件
2.2 分组嗅探:对策
组织中的所有主机都运行软件,周期性检测网络接口是否工作在混杂模式
每段广播介质连接一台主机(如交换机以太网)
3.1 IP欺骗(Spoofing):
直接由应用生成“原始”IP分组,可以设置分组的源IP地址字段为任意值
接收方无法判断源地址是否被欺骗
e.g.:C冒充B
3.2 IP欺骗对策:入口过滤(ingress filtering)
路由器不转发源IP地址无效的IP分组(e.g.,源IP地址不属于所连接网络)
很有效!但是不能强制所有网络都执行入口过滤
4.1 拒绝服务DOS(Denial of service):
1、向接收方恶意泛洪(flood)分组,淹没(swarm)接收方
带宽耗尽
资源耗尽
2、分布式拒绝服务攻击(DDoS):多个源主机协同淹没接收方
3、e.g.,C与另一个远程主机协同对A进行SYN攻击
DDoS攻击过程:
1、选择目标
2、入侵(break into)网络中主机(构建僵尸网络)
3、控制僵尸主机向目标发送分组
反射式DDos攻击:
1、选择目标
2、入侵网络中主机(构建僵尸网络)
3、选择反射服务器
4、借助反射服务器向目标发起攻击
4.2 Dos:对策
1、在到达主机前过滤掉泛洪分组(e.g.,SYN)
可能好坏一起扔
2、追溯(traceback)攻击源
3、SYN cookie[RFC 4987]
SYN cookie
SYN cookie:
y=Hash(源IP地址,目的IP地址,源端口号,目的端口号,R)
————————————
仅用于本人学习
来源:中国大学慕课-计算机网络-哈尔滨工业大学-李全龙、聂兰顺