第3讲 网络安全(一).ppt

1、第3讲 网络安全（一）,分析TCPIP的安全威胁,一、网络安全威胁,1、网络缺陷概述 2、网络拓扑安全 3、网络软件漏洞 4、网络人为威胁,1、网络缺陷概述,开放性 复杂性：规模庞大、集成度高、高度封装 管理方面 技术落后,2、网络拓扑安全,总线型拓扑结构（集线器） 故障诊断困难 故障隔离困难 中继器配置 终端必须是智能的 星型拓扑结构（交换机） 电缆的长度和安装 扩展困难 对中央节点的依赖性太大 容易出现“瓶颈”现象,环形拓扑结构： 节点的故障将会引起全网的故障 诊断故障困难 不易重新配置网络 环型拓扑结构影响访问协议 树形拓扑结构： 对根节点的依赖性太大,3、网络软件漏洞,设计缺陷，版本、

2、兼容性问题 后门 缓冲区溢出,4、网络人为威胁,二、链路层安全,1、以太网安全分析 2、电磁信息泄漏 3、ARP欺骗,1、以太网安全分析,非交换式、交换式局域网环境 地址映射机制,2、电磁信息泄漏,电子线路 电子设备 屏幕 无限设备,3、ARP欺骗 （1）,考虑交换式环境 攻击者首先会试探交换机是否存在失败保护模式（fail-safe mode）。当交换机维护IP地址和MAC地址的映射关系时会花费一定处理能力，当网络通信时出现大量虚假MAC地址时，某些类型的交换机会出现过载情况，从而转换到失败保护模式。有一类工具叫“macof”可以完成此项攻击功能。当交换机进入失败保护模式后，其工作方式和集线

3、器相同。,3、ARP欺骗 （2）,3、ARP欺骗 （3）,在上图环境中，攻击者主机需要两块网卡，IP地址分别为192.168.0.5和192.168.0.6，插入交换机的两个端口，准备截获和侦听目标主机192.168.0.3和网关192.168.0.1之间的所有通信。另外攻击者主机还需要有IP数据包的转发能力,3、ARP欺骗 （4）,我们先以192.168.0.4的网络通信为例讲述正常的ARP转换过程： 步骤一，主机A（192.168.0.4）想要与网关（192.168.0.1）通信，从而接入Internet。 步骤二，主机A以广播的方式发送ARP请求，希望得到网关的MAC地址。 步骤三，交换

4、机收到ARP请求，并把此请求发送给连接到交换机的各个主机。同时，交换机将更新它的MAC地址和端口之间的映射表，即将192.168.0.4绑定它所连接的端口。 步骤四，网关收到A的ARP请求后，发出带有自身MAC地址的ARP响应。,3、ARP欺骗 （5）,步骤五，网关更新ARP缓存表，绑定A的IP地址和MAC地址。 步骤六，交换机收到了网关对A的ARP响应后，查找它的MAC地址和端口之间的映射表，把此ARP响应数据包发送到相应端口。同时，交换机更新它的MAC地址和端口之间的映射表，即将192.168.0.1绑定它所连接的端口。 步骤七，主机A收到ARP响应数据包，更新ARP缓存表，绑定网关的IP

5、地址和MAC地址。 步骤八，主机A使用更新后的MAC地址信息把数据发送给网关，通信通道就此建立,3、ARP欺骗 （6）,ARP欺骗需要攻击者迅速地诱使目标主机（192.163.0.3）和网关（192.168.0.1）都和它建立通信，从而使自己成为中间人MiM（Man in Middle）。要达到同时欺骗目标主机和网关的目的，攻击者应打开两个命令界面，执行两次ARP欺骗：一次诱使目标主机认为攻击者的主机有网关的MAC地址，这可以利用IP地址欺骗技术，伪造网关的IP地址从攻击者主机的一块网卡上发送给目标主机ARP请求包，则错误的MAC地址和IP地址的映射将更新到目标主机；另一次使网关相信攻击者的主

6、机具有目标主机的MAC地址，方法和前面相似。,3、ARP欺骗 （7）,对于ARP欺骗的防范：要阻止此类攻击可参考2.2.1.1MAC地址欺骗的防范；另外有一些工具可以很容易的检测此类攻击，例如ARPWatch，此类工具监视局域网内所有MAC地址和IP地址的映射对，一旦有改变将产生告警或日志。,三、网络层安全,1、IP地址欺骗（1）,IP欺骗就是攻击者假冒他人IP地址，发送数据包。因为IP协议不对数据包中的IP地址进行认证，因此任何人不经授权就可伪造IP包的源地址。,1、IP地址欺骗（2）,IP包一旦从网络中发送出去，源IP地址就几乎不用，仅在中间路由器因某种原因丢弃它或到达目标端后，才被使用。

7、这使得一个主机可以使用别的主机的IP地址发送IP包，只要它能把这类IP包放到网络上就可以。因而如果攻击者把自己的主机伪装成被目标主机信任的友好主机，即把发送的IP包中的源IP地址改成被信任的友好主机的IP地址，利用主机间的信任关系和这种信任关系的实际认证中存在的脆弱性（只通过IP确认），就可以对信任主机进行攻击。注意，其中所说的信任关系是指一个被授权的主机可以对信任主机进行方便的访问。,1、IP地址欺骗（3）,例如UNIX中的所有的r*命令都采用信任主机方案，所以一个攻击主机把自己的IP改为被信任主机的IP，就可以连接到信任主机并能利用r*命令开后门达到攻击的目的。,1、IP地址欺骗（4）,要

8、实现IP欺骗有两个难点。首先，因为远程主机只向伪造的IP地址发送应答信号，攻击者不可能收到远程主机发出的信息，即用C主机假冒B主机IP，连接远程主机A，A主机只向B主机发送应答信号，C主机无法收到。第二，要在攻击者和被攻击者之间建立连接，攻击者需要使用正确的TCP序列号。,1、IP地址欺骗（5）,攻击者使用IP欺骗的目的有两种：一种是只想隐藏自身的IP地址或伪造源IP和目的IP相同的不正常包而并不关心是否能收到目标主机的应答，例如IP包碎片、Land攻击等；另一种是伪装成被目标主机信任的友好主机得到非授权的服务，一般需要使用正确的TCP序列号。得到TCP序列号的方法在传输层安全分析中描述。,1

9、、IP地址欺骗（6）,缺乏认证机制是TCP/IP安全方面的最大缺陷。由于缺乏认证，主机不能保证数据包的真实来源，构成了IP欺骗的基础。到目前还没有理想的方法，可以彻底根除IP欺骗。但通过各种手段，可以尽量减少威胁。最理想的方法是：使用防火墙决定是否允许外部的IP数据包进入局域网，对来自外部的IP数据包进行检验。假如过滤器看到来自外部的数据包声称有内部的地址，它一定是欺骗包，反之亦然。如果数据包的IP不是防火墙内的任何子网，它就不能离开防火墙。在某种意义上，过滤器分割能将Internet分成小区域，除子网内部外，子网之间不能欺骗。,2、IP包碎片（1）,链路层具有最大传输单元MTU这个特性，它限

10、制了数据帧的最大长度，不同的网络类型都有一个上限值。以太网的MTU是1500。如果IP层有数据包要传送，而且数据包的长度超过了MTU，那么IP层就要对数据包进行分片（fragmentation）操作，使每一片的长度都小于或等于MTU。,2、IP包碎片（2）,IP分段含有指示该分段所包含的是原数据包的哪一段的信息，某些系统的TCP/IP协议栈在收到含有重叠偏移的伪造分段时将崩溃。,2、IP包碎片（3）,泪滴(teardrop)：IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段（或者更多）数据包来实现TearDrop攻击：第一个包的偏移量为0，长度为N；第二个包的偏移量小于

11、N，而且算上第二片IP包的数据部分，也未超过第一片的尾部。这样就出现了重叠现象（overlap）。为了合并这些数据段，有的系统（如linux 2.0内核）的TCP/IP堆栈会计算出负数值（对应取值很大的无符号数），将分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。WinNT/95在接收到10至50个teardrop分片时也会崩溃。,2、IP包碎片（4）,Jolt2：原理是发送许多相同的分片包，且这些包的offset值与总长度之和超出了单个IP包的长度限制(65536 bytes)。例如，构造IP包：分片标志位MF=0，说明是最后一个分片，偏移量为0x1FFE，报文总长度29。

12、于是计算重组后的长度为(0x1FFE*8) + 29 = 6554965535，溢出。可以在一死循环中连续发送此包攻击目标主机。linux在遭受攻击时每5秒便打印一条信息，windows95、98系统CPU占用便会达到100%。,2、IP包碎片（5）,IP包碎片主要是利用系统实现TCP/IP协议栈时对异常情况考虑不周全留下的漏洞，要阻止IP包碎片的攻击需要升级系统或给系统打补丁。另外，现在的入侵检测系统和防火墙系统都有IP碎片重组的功能，可以及时发现异常的IP碎片包。,3、IGMPNuke攻击（1）,IGMP是一种无连接协议,所以在向服务器连接时不需要指定连接的端口,只需要指定IP地址即可。一

13、些目标主机的系统（例如没有打补丁的win95、win98等）不能很好的处理过大的IGMP数据包,很容易出现系统崩溃的情况。例如最简单的win98蓝屏炸弹，就可以使用Socket的原始套接字编程向目标主机发送多个超过65536字节的IGMP包。,3、IGMPNuke攻击（2）,IGMPNuke攻击也是利用系统实现TCP/IP协议栈时对异常情况考虑不周全留下的漏洞，要阻止此类攻击需要升级系统或给系统打补丁。,4、ICMP攻击（1）,TCP/IP体系的网络层功能复杂，需要各种控制机制，如差错控制、拥塞控制以及路径控制等。IP协议本身没有内在的机制获取差错信息并进行相应的控制。ICMP协议为IP层的控

14、制提供了信息报文，告诉源主机有关网络拥塞、IP数据报由于主机不可达或TTL超时等原因不能传输等差错信息。但是，主机对ICMP数据报不作认证，这使攻击者可以伪造ICMP包使源主机产生错误的动作从而达到特定的攻击效果。 与ICMP有关的攻击有IP地址扫描、ping of death、ping flooding、smurf、ICMP重定向报文、ICMP主机不可达和TTL超时报文等。,4、ICMP攻击（2）,IP地址扫描：这种攻击经常出现在整个攻击过程的开始阶段，作为攻击者收集信息的手段。利用ICMP的回应请求与应答报文，运用ping这样的程序探测目标地址，对此作出响应的表示其存在。,4、ICMP攻击

15、（3）,ping of death：由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方死机。,4、ICMP攻击（4）,ping flooding：这也是一种DOS（拒绝服务）攻击方法，在某一时刻多台主机对目标主机使用Ping程序，就有可能耗尽目标主机的网络带宽和处理能力。如果一个网站一秒钟收到数万个ICMP回应请

16、求报文就可能使它过度繁忙而无法提供正常的服务。当然可以编制程序以最快的速度向目标主机发送ICMP回应请求报文，并且使用伪造的IP地址。99年有“爱国主义黑客”发动全国网民在某一时刻开始ping某美国站点，试图ping死远程服务器，这是一次典型的ping flooding 攻击。,4、ICMP攻击（5）,Smurf：一个简单的smurf攻击是攻击者伪造一个源地址为受害主机的地址、目标地址是反弹网络的广播地址的ICMP回应请求数据包，当反弹网络的所有主机返回ICMP回应应答数据包的时候将淹没受害主机。Smurf的原理和ping flooding类似，只不过利用了反弹网络发送ICMP回应应答数据包来

17、耗尽目标主机资源，若反弹网络规模较大，此攻击威力巨大。,4、ICMP攻击（6）,ICMP重定向报文：网间网的路径是由网关和主机上的寻径表决定的，其中网关寻径表起着主导作用，各主机寻径表的信息都来自主机的初始网关。主机的初始网关一般人为配置。主机启动时其寻径表中的初始网关信息可以保证主机通过该网关将数据报发送出去，但经过初始网关的路径不一定是最优的。初始网关一旦检测到某数据报经非最优路径传输，它一方面继续将该数据报转发出去，另一方面将向主机发送一个路径重定向报文，告诉主机去往相应信宿的最优路径。这样主机开机后经不断积累便能掌握越来越多的最优路径信息。ICMP重定向报文的优点是保证主机拥有一个动态

18、的既小且优的寻径表。然而，如前所述，TCP/IP体系不提供认证功能，攻击者可以冒充初始网关向目标主机发送ICMP重定向报文，诱使目标主机更改寻径表，其结果是到达某一IP子网的报文全部丢失或都经过一个攻击者能控制的网关。,4、ICMP攻击（7）,ICMP主机不可达和TTL超时报文：此类报文一般由IP数据报传输路径中的路由器发现错误时发送给源主机的，主机接收到此类报文后会重新建立TCP连接。攻击者可以利用此类报文干扰正常的通信。,4、ICMP攻击（8）,防范ICMP攻击的策略：禁止不必要的ICMP, 严格限制ICMP报文的作用范围；禁止未经请求就主动提供的ICMP回应应答数据包；严格限制ICMP重

19、定向报文的应用范围,它应与某个已存在的特定连接绑定使用，即如果主机目前没有数据要发送到相应站点，就不按照收到的重定向报文改变自己的路由表；主机与其他路由器的全局路由表也不能以重定向报文为依据修改等。,5、路由欺骗（1）,TCP/IP网络中，IP包的传输路径完全由路由表决定。若攻击者通过各种手段可以改变路由表，使目标主机发送的IP包到达攻击者能控制的主机或路由器，就可以完成侦听、篡改等攻击方式。上一小节的ICMP攻击中，ICMP重定向报文可以改变主机的路由表，下面再介绍另外两种路由欺骗技术。,5、路由欺骗（2）,RIP路由欺骗：RIP协议，如2.1.3所述，用于自治域内传播路由信息。路由器在收到

20、RIP数据包时一般不作检察，即不对RIP数据包发送者进行认证。攻击者可以声称他所控制的路由器A可以最快地到达某一站点B，从而诱使发往B的数据包由A中转。由于A受攻击者控制，攻击者可侦听、篡改数据。,5、路由欺骗（3）,对于RIP路由欺骗的防范：路由器在接受新路由前应先验证其是否可达,这可以大大降低受此类攻击的概率。但是RIP的有些实现并不进行验证,使一些假路由信息也能够广泛流传。由于路由信息在网上可见,随着假路由信息在网上的传播范围扩大,它被发现的可能性也在增大。所以,对于系统管理员而言,经常检查日志文件会有助于发现此类问题。另一种方法则是对RIP包进行身份认证,杜绝假冒路由器。但由于目前缺乏

21、比较廉价的公钥签名机制,这种方法在广播型的协议中比较难实现。,5、路由欺骗（4）,IP源路由欺骗：IP报文首部的可选项中有“源站选路”,可以指定到达目的站点的路由。正常情况下,目的主机如果有应答或其他信息返回源站,就可以直接将该路由反向运用作为应答的回复路径。攻击实例如图:,5、路由欺骗（5）,主机A(假设IP地址是192.168.100.11)是主机B的被信任主机，主机X想冒充主机A从主机B（假设IP为192.168.100.1）获得某些服务。,5、路由欺骗（6）,首先，攻击者修改距离X最近的路由器G2，使得到达此路由器且包含目的地址192.168.100.1的数据包以主机X所在的网络为目的地；然后，攻击者X利用IP欺骗（把数据包的源地址改为192.168.100.11）向主机B发送带有源路由选项(指定最近的路由器G2)的数据包。当B回送数据包时，按收到数据包的源路由选项反转使用源路由，就传送到被更改过的路由器G2。由于G2路由表已被修改，收到B的数据包时，G2根据路由表把数据包发送到X所在网络，X可在其局域网内较方便的进行侦听，收取此数据包。,5、路由欺骗（7）,防范IP源路由欺骗的方法：配置好路由器，使它抛弃那些由外部网进来的却声称是内部主机的报文；关闭主机和路由器上的源路由功能。,