Internet協(xié)議安全性分析(-119張)課件

1、Internet協(xié)議安全性分析1Internet協(xié)議安全性分析1 2.1 Internet 的安全性需求 2.2 安全套接層與傳輸層的安全 2.3 Kerberos認(rèn)證系統(tǒng) 2.4 PGP電子郵件加密 2.5 安全電子交易 本章主要內(nèi)容2 2.1 Internet 的安全性需求本章主要內(nèi)容22.1.1 Internet存在的威協(xié) 1缺乏對用戶身份的認(rèn)證2缺乏對路由協(xié)議的認(rèn)證 3TCPUDP的缺陷 4對Web安全性威脅Web服務(wù)器、Web瀏覽器、Web傳輸過程2.1 Internet 的安全性需求32.1.1 Internet存在的威協(xié) 2.1 Inter2.1.1 Internet存在的威協(xié)

2、缺乏對用戶身份的認(rèn)證在網(wǎng)絡(luò)中傳送的IP包，對IP地址不進(jìn)行認(rèn)證。存在幾種欺騙攻擊方式：MAC欺騙ARP欺騙IP欺騙DNS欺騙42.1.1 Internet存在的威協(xié) 缺乏對用戶身份的認(rèn)證1. MAC攻擊MAC攻擊之一：MAC地址欺騙 將合法的MAC 地址修改成不存在的MAC 地址或其它計(jì)算機(jī)的MAC 地址，從而隱藏自己真實(shí)的MAC，來達(dá)到一些不可告人的目的，這就是MAC 地址欺騙。51. MAC攻擊MAC攻擊之一：MAC地址欺騙 將合MAC攻擊MAC攻擊之二：MAC地址洪泛攻擊交換機(jī)內(nèi)部的MAC地址表空間是有限的，MAC攻擊會很快占滿交換機(jī)內(nèi)部MAC地址表，使得單播包在交換機(jī)內(nèi)部也變成廣播包向

3、同一個VLAN中所有端口轉(zhuǎn)發(fā)，每個連在端口上的客戶端都可以收到該報(bào)文，交換機(jī)變成了一個Hub，用戶的信息傳輸也沒有安全保障了。6MAC攻擊MAC攻擊之二：MAC地址洪泛攻擊交換機(jī)內(nèi)部的MAMAC攻擊交換機(jī)攻擊者M(jìn)AC APC BMAC BPC CMAC C MAC Port H 1 X 2 Y 3 交換機(jī)內(nèi)部的MAC地址表空間很快被不存在的源MAC地址占滿。沒有空間學(xué)習(xí)合法的MAC B，MAC C流量 CB流量 CB流量CB單播流量在交換機(jī)內(nèi)部以廣播包方式在所有端口轉(zhuǎn)發(fā)，非法者也能接受到這些報(bào)文MAC攻擊：每秒發(fā)送成千上萬個隨機(jī)源MAC的報(bào)文7MAC攻擊交換機(jī)攻擊者PC BPC C MAC P

4、ortMAC攻擊交換機(jī)攻擊者 FTP 服務(wù)器PC C用戶名、密碼用戶名、密碼用戶名、密碼用戶名：unit密碼：qy7ttvj7vgSniffer截取數(shù)據(jù)包利用MAC地址洪泛攻擊截獲客戶信息8MAC攻擊交換機(jī)攻擊者 FTP PC C用戶名、密碼用戶MAC攻擊9MAC攻擊9MAC攻擊防范： 1、MAC靜態(tài)地址鎖 2、802.1x自動綁定MAC地址 3、限定交換機(jī)某個端口上可以學(xué)習(xí)的MAC數(shù)量10MAC攻擊防范：10MAC攻擊 交換機(jī)攻擊者 當(dāng)端口學(xué)習(xí)的源MAC地址數(shù)量大于一定的數(shù)量（這個值可以自己設(shè)定）或源MAC地址和端口綁定的不一樣，受到的數(shù)據(jù)幀丟棄/發(fā)送警告信息通知網(wǎng)管員/端口可關(guān)閉MAC攻擊

5、防范11MAC攻擊 交換機(jī)攻擊者 當(dāng)端口學(xué)習(xí)的源M欺騙攻擊MACARPIPDNS12欺騙攻擊MAC122. ARP欺騙ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺計(jì)算機(jī)感染ARP木馬，則感染該ARP 木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。132. ARP欺騙ARP攻擊就是通過偽造IP地址和MAC地

6、址實(shí)ARP攻擊 ARP協(xié)議原理：局域網(wǎng)中兩臺PC通訊，一臺PC B要和另一臺PC A通訊，首先需要知道PC A的MAC地址。 PC B先查找機(jī)器緩存中存貯的ARP表。如果沒有，必須先發(fā)出一個ARP請求的廣播報(bào)文。 局域網(wǎng)里的PC都會收到ARP請求報(bào)文，并查看自己的IP是否是PC A，如果是則響應(yīng)。PC APC BPC CPC DARP請求：IP A?ARP響應(yīng)：IP AMAC A14ARP攻擊 ARP協(xié)議原理：PC APC BPC CPC ARP攻擊 按照RFC的規(guī)定，PC在發(fā)ARP響應(yīng)時，不需要一定要先收到ARP請求報(bào)文，局域網(wǎng)中任何一臺PC都可以向網(wǎng)絡(luò)內(nèi)其它PC通告：自己就是PC A和MA

7、C A的對應(yīng)關(guān)系，這就給攻擊者帶來可乘人之危的漏洞 ！ARP協(xié)議的缺陷PC APC BPC CPC D非法ARP響應(yīng)：IP AMAC C15ARP攻擊 按照RFC的規(guī)定，PC在發(fā)ARP響應(yīng)時，不需要ARP攻擊ARP攻擊之一：ARP欺騙ARP欺騙：利用上頁講到的ARP漏洞，發(fā)送虛假的ARP請求報(bào)文和響應(yīng)報(bào)文，報(bào)文中的源IP和源MAC均為虛假的，擾亂局域網(wǎng)中被攻擊PC中保存的ARP表，使得網(wǎng)絡(luò)中被攻擊PC的流量都可流入到攻擊者手中。16ARP攻擊ARP攻擊之一：ARP欺騙ARP欺騙：利用上頁講到ARP攻擊PC B攻擊者：發(fā)送ARP欺騙MAC AMAC CMAC B發(fā)送ARP響應(yīng)，告訴：對應(yīng)的MAC

8、是MAC CARP表刷新，對應(yīng)的是MAC C發(fā)送到PC A的流量均到攻擊者手中MAC C發(fā)送ARP響應(yīng)，告訴：對應(yīng)的MAC是MAC CARP表刷新，對應(yīng)的是MAC CPC A17ARP攻擊PC B攻擊者：192.ARP攻擊ARP攻擊之二：ARP惡作劇ARP惡作劇：和ARP欺騙的原理一樣，報(bào)文中的源IP和源MAC均為虛假的，或錯誤的網(wǎng)關(guān)IP和網(wǎng)關(guān)MAC對應(yīng)關(guān)系。它的主要目的不是竊取報(bào)文，而是擾亂局域網(wǎng)中合法PC中保存的ARP表，使得網(wǎng)絡(luò)中的合法PC無法正常上網(wǎng)、通訊中斷。18ARP攻擊ARP攻擊之二：ARP惡作劇ARP惡作?。汉虯RPARP攻擊PC B攻擊者：發(fā)送ARP欺騙 MAC AMAC C

9、MAC B發(fā)送ARP響應(yīng)，告訴：對應(yīng)的MAC是MAC XARP表刷新，對應(yīng)的是MAC X正常的網(wǎng)絡(luò)訪問數(shù)據(jù)包，WWW、QQ 、FTP網(wǎng)關(guān)找不到正確的網(wǎng)關(guān)，所有訪問外網(wǎng)的數(shù)據(jù)都無法得到回應(yīng)19ARP攻擊PC B攻擊者：192.ARP攻擊發(fā)包工具TouchStone20ARP攻擊發(fā)包工具TouchStone20ARP攻擊ARP攻擊之三：ARP洪泛ARP洪泛：網(wǎng)絡(luò)病毒利用ARP協(xié)議，在網(wǎng)絡(luò)中大量發(fā)送偽造ARP報(bào)文，擾亂網(wǎng)絡(luò)中主機(jī)和設(shè)備的ARP緩存，導(dǎo)致無法正常訪問網(wǎng)絡(luò)的攻擊行為。相關(guān)病毒：TrojanDropper.Win32.Juntador.c Win32.Troj.Mir2 Win32.Tro

10、j.Zypsw.33952 21ARP攻擊ARP攻擊之三：ARP洪泛ARP洪泛：網(wǎng)絡(luò)病毒利用ARP攻擊防范： 需要使用專用的交換機(jī)端口ARP Check功能 ARP-Check技術(shù)對流入的ARP報(bào)文內(nèi)容進(jìn)行合法性檢查，丟棄非法報(bào)文，防止受控端口下聯(lián)的主機(jī)對網(wǎng)關(guān)或其它主機(jī)發(fā)起ARP欺騙攻擊。ARP-Check通常需要結(jié)合SAM認(rèn)證，用戶通過認(rèn)證后將在NAS上綁定用戶的IP和MAC信息；ARP-Check根據(jù)在NAS上動態(tài)綁定用戶的IP和MAC信息來檢查ARP報(bào)文內(nèi)容，轉(zhuǎn)發(fā)合法報(bào)文，丟棄非法報(bào)文 。22ARP攻擊防范：ARP-Check技術(shù)對流入的ARP報(bào)文內(nèi)容ARP攻擊PC B攻擊者：發(fā)送ARP

11、欺騙MAC CMAC B發(fā)送ARP響應(yīng)，說：PC A對應(yīng)的MAC是MAC C發(fā)送ARP響應(yīng)，說：PC B對應(yīng)的MAC是MAC CARP攻擊防范MAC APC A23ARP攻擊PC B攻擊者：192.14.4 欺騙攻擊MACARPIPDNS244.4 欺騙攻擊MAC243、IP欺騙攻擊IP欺騙：盜用合法用戶的IP地址，隱藏自己的真正身份。IP欺騙和MAC欺騙相結(jié)合，偽裝成其他人進(jìn)行網(wǎng)絡(luò)訪問。不斷修改IP，發(fā)送TCP SYN連接，攻擊Server，造成SYN Flood 攻擊。253、IP欺騙攻擊IP欺騙：盜用合法用戶的IP地址，隱藏自己的IP欺騙攻擊過程26IP欺騙攻擊過程26IP欺騙用網(wǎng)絡(luò)配置

12、工具改變機(jī)器的IP地址注意：只能發(fā)送數(shù)據(jù)包收不到回包防火墻可能阻擋在Linux平臺上用ifconfig方式1：改變自己的地址27IP欺騙用網(wǎng)絡(luò)配置工具改變機(jī)器的IP地址方式1：改變自己的地IP欺騙發(fā)送IP包，IP包頭填上假冒的源IP地址在Unix/Linux平臺上，直接用socket就可以發(fā)送，但是需要root權(quán)限在Windows平臺上，不能使用Winsock可以使用winpcap可以用libnet構(gòu)造IP包方式2：用程序?qū)崿F(xiàn)28IP欺騙發(fā)送IP包，IP包頭填上假冒的源IP地址方式2：用程Libnet(1)在Unix系統(tǒng)平臺上的網(wǎng)絡(luò)安全工具開發(fā)中，目前最為流行的C API library有l(wèi)i

13、bnet、libpcap、libnids和libicmp等。它們分別從不同層次和角度提供了不同的功能函數(shù)。使網(wǎng)絡(luò)開發(fā)人員能夠忽略網(wǎng)絡(luò)底層細(xì)節(jié)的實(shí)現(xiàn)，從而專注于程序本身具體功能的設(shè)計(jì)與開發(fā)。其中，libnet提供的接口函數(shù)主要實(shí)現(xiàn)和封裝了數(shù)據(jù)包的構(gòu)造和發(fā)送過程。libpcap提供的接口函數(shù)主要實(shí)現(xiàn)和封裝了與數(shù)據(jù)包截獲有關(guān)的過程。libnids提供的接口函數(shù)主要實(shí)現(xiàn)了開發(fā)網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)所必須的一些結(jié)構(gòu)框架。libicmp相對較為簡單，它封裝的是ICMP數(shù)據(jù)包的主要處理過程(構(gòu)造、發(fā)送、接收等)。29Libnet(1)在Unix系統(tǒng)平臺上的網(wǎng)絡(luò)安全工具開發(fā)中，Libnet(2)libnet庫一共約

14、7600行C源代碼，33個源程序文件，12個C頭文件，50余個自定義函數(shù)，提供的接口函數(shù)包含15種數(shù)據(jù)包生成器和兩種數(shù)據(jù)包發(fā)送器(IP層和數(shù)據(jù)鏈路層)。目前只支持IPv4，不支持IPv6。libnet提供的接口函數(shù)按其作用可分為四類： 內(nèi)存管理(分配和釋放)函數(shù) 地址解析函數(shù) 數(shù)據(jù)包構(gòu)造函數(shù) 數(shù)據(jù)包發(fā)送函數(shù)30Libnet(2)libnet庫一共約7600行C源代碼，3WinPcapwinpcap(windows packet capture)是Win32平臺下一個免費(fèi)的包截獲與網(wǎng)絡(luò)分析系統(tǒng)。開發(fā)winpcap這個項(xiàng)目的目的在于為win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力。它提供了以下的各項(xiàng)功能

15、：捕獲原始數(shù)據(jù)報(bào)，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送/接收的以及相互之間交換的數(shù)據(jù)報(bào)；在數(shù)據(jù)報(bào)發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過濾掉；在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào)；收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息。31WinPcapwinpcap(windows packet 用程序?qū)崿F(xiàn)IP欺騙代碼示例sockfd = socket(AF_INET, SOCK_RAW, 255);setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, &on, sizeof(on);struct ip *ip;struct tcphdr *tcp;struct pseudohdr pseud

16、oheader;ip-ip_src.s_addr = xxx;/ 填充IP和TCP頭的其他字段，并計(jì)算校驗(yàn)和pseudoheader.saddr.s_addr = ip-ip_src.s_addr;tcp-check = tcpchksum(u_short *)&pseudoheader,12+sizeof(struct tcphdr);/計(jì)算校驗(yàn)和sendto(sockfd, buf, len, 0, (const sockaddr *)addr, sizeof(struct sockaddr_in); 在Linux平臺上，打開一個raw socket，自己填寫IP頭和傳輸層數(shù)據(jù)，然后發(fā)送出

17、去32用程序?qū)崿F(xiàn)IP欺騙代碼示例sockfd = socket(AIP欺騙攻擊SYN Flood利用TCP協(xié)議缺陷，變化IP，發(fā)送了大量偽造的TCP連接請求，使得被攻擊方資源耗盡，無法及時回應(yīng)或處理正常的服務(wù)請求； 在服務(wù)器端發(fā)送應(yīng)答包后，如果客戶端不發(fā)出確認(rèn)，服務(wù)器會等待到超時，期間這些半連接狀態(tài)都保存在服務(wù)器一個空間有限的緩存隊(duì)列中； 如果大量的SYN包發(fā)到服務(wù)器端后沒有應(yīng)答，就會使服務(wù)器端的TCP資源迅速耗盡，導(dǎo)致正常的連接不能進(jìn)入，甚至?xí)?dǎo)致服務(wù)器的系統(tǒng)崩潰。33IP欺騙攻擊SYN Flood利用TCP協(xié)議缺陷，變化IP，IP欺騙攻擊防范： 1、交換機(jī)端口靜態(tài)綁定IP地址 2、交換機(jī)端

18、口靜態(tài)綁定IP和MAC地址 3、802.1x自動綁定IP和MAC地址 4、DHCP動態(tài)綁定 5、路由器上設(shè)置欺騙過濾器 入口過濾，外來的包帶有內(nèi)部IP地址 出口過濾，內(nèi)部的包帶有外部IP地址34IP欺騙攻擊防范：344.4 欺騙攻擊MACARPIPDNS354.4 欺騙攻擊MAC354. DNS欺騙攻擊與DNS相關(guān)的一些攻擊案例事件1：百度遇DDOS攻擊事件 2006年09月12日17點(diǎn)30分，有北京、重慶等地的網(wǎng)友反映百度無法正常使用，出現(xiàn)“請求超時”(Request timed out)的信息。這次攻擊造成了百度搜索服務(wù)在全國各地出現(xiàn)了近30分鐘的故障。隨后，百度技術(shù)部門的員工們快速反應(yīng)，

19、將問題解決并恢復(fù)百度服務(wù)。9月12日晚上11時37分，百度空間發(fā)表了針對不明攻擊事件的聲明。“今天下午，百度遭受有史以來最大規(guī)模的不明身份黑客攻擊，導(dǎo)致百度搜索服務(wù)在全國各地出現(xiàn)了近30分鐘的故障?！?364. DNS欺騙攻擊與DNS相關(guān)的一些攻擊案例363737與DNS相關(guān)的一些攻擊案例事件2：全球云計(jì)算安全廠商趨勢科技與美國FBI攜手合作破獲全球僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet犯罪集團(tuán)，擊潰百萬網(wǎng)絡(luò)僵尸大軍！紐約時間11月8日，警方破獲以Rove Digital 為首的網(wǎng)絡(luò)犯罪集團(tuán)在紐約以及芝加哥的數(shù)據(jù)中心，順利在愛沙尼亞逮捕此犯罪集團(tuán)母公司 Rove Digital CEO Vladim

20、ir Tsastsin。此集團(tuán)除了透過木馬程序入侵用戶計(jì)算機(jī)并更改用戶的DNS網(wǎng)域，一旦使用者上網(wǎng)瀏覽網(wǎng)頁將會被轉(zhuǎn)址到特定的網(wǎng)址下載其他惡意軟件，借此從事不法行為，更透過謊稱中毒的訊息誘騙用戶付費(fèi)購買假防病毒軟件。估計(jì)受害計(jì)算機(jī)超過 4百萬臺，受害者遍及全球100個國家，總犯罪獲利達(dá)1400萬美元。38與DNS相關(guān)的一些攻擊案例事件2：全球云計(jì)算安全廠商趨勢事件3：暴風(fēng)影音事件2009年5月18日晚上22點(diǎn)左右，DNSPod主站及多個DNS服務(wù)器遭受超過10G流量的惡意攻擊。耗盡了整個機(jī)房約三分之一的帶寬資源，為了不影響機(jī)房其他用戶，最終導(dǎo)致DNS服務(wù)器被迫離線。該事件關(guān)聯(lián)導(dǎo)致了使用DNSPo

21、d進(jìn)行解析的暴風(fēng)影音程序頻繁的發(fā)生域名重新申請，產(chǎn)生請求風(fēng)暴，大量積累的不斷訪問申請導(dǎo)致各地電信網(wǎng)絡(luò)負(fù)擔(dān)成倍增加，網(wǎng)絡(luò)出現(xiàn)堵塞。于2009年5月19日晚21時左右開始，江蘇、安徽、廣西、海南、甘肅、浙江六省陸續(xù)出現(xiàn)大規(guī)模網(wǎng)絡(luò)故障，很多互聯(lián)網(wǎng)用戶出現(xiàn)訪問互聯(lián)網(wǎng)速度變慢或者無法訪問網(wǎng)站等情況。在零點(diǎn)以前，部分地區(qū)運(yùn)營商將暴風(fēng)影音服務(wù)器IP加入DNS緩存或者禁止其域名解析，網(wǎng)絡(luò)情況陸續(xù)開始恢復(fù)。39事件3：暴風(fēng)影音事件2009年5月18日晚上22點(diǎn)左右DNS攻擊的主要方法DNS攻擊的主要方法方式一：利用DNS服務(wù)器進(jìn)行DDOS攻擊41方式一：利用DNS服務(wù)器進(jìn)行DDOS攻擊41方式二：DNS緩存感染

22、 黑客會熟練的使用DNS請求，將數(shù)據(jù)放入一個沒有設(shè)防的DNS服務(wù)器的緩存當(dāng)中。這些緩存信息會在客戶進(jìn)行DNS訪問時返回給客戶，從而將客戶引導(dǎo)到入侵者所設(shè)置的運(yùn)行木馬的Web服務(wù)器或郵件服務(wù)器上，然后黑客從這些服務(wù)器上獲取用戶信息。 42方式二：DNS緩存感染 黑客會熟練的使用DNS請求，將數(shù)據(jù)放方式三：DNS劫持提交給某個域名服務(wù)器的域名解析請求的數(shù)據(jù)包被截獲，然后將一個虛假的IP地址作為應(yīng)答信息返回給請求者。1.黑客刺探 域名服務(wù)商2.黑客入侵 www服務(wù)器3.黑客通過 域名管理功能修改百度DNS4. DNS服務(wù)器更新緩存指向伊朗黑客WEB網(wǎng)站IP5.同步 DNS服務(wù)器更新百度DNS記錄緩存

23、43方式三：DNS劫持提交給某個域名服務(wù)器的域名解析請求的數(shù)據(jù)包關(guān)于欺騙技術(shù) 從這些欺騙技術(shù)，我們可以看到IP協(xié)議的脆弱性應(yīng)用層上也缺乏有效的安全措施在網(wǎng)絡(luò)攻擊技術(shù)中，欺騙術(shù)是比較初級的，技術(shù)含量并不高，它是針對Internet中各種不完善的機(jī)制而發(fā)展起來的非技術(shù)性的欺騙比如，實(shí)施社會工程畢竟網(wǎng)絡(luò)世界與現(xiàn)實(shí)世界是緊密相關(guān)的避免被欺騙最好的辦法是教育、教育、再教育增強(qiáng)每一個Internet用戶的安全意識，網(wǎng)絡(luò)管理人員以及軟件開發(fā)人員的安全意識更加重要44關(guān)于欺騙技術(shù) 從這些欺騙技術(shù)，我們可以看到442.1 Internet 的安全性需求 2.1.1 Internet存在的威協(xié) 1缺乏對用戶身份的

24、認(rèn)證2缺乏對路由協(xié)議的認(rèn)證在路由協(xié)議中，主機(jī)利用重定向報(bào)文來改變或優(yōu)化路由。如果一個路由器發(fā)送非法的重定向報(bào)文，就可以偽造路由表，錯誤引導(dǎo)非本地的數(shù)據(jù)報(bào)。另外，各個路由器都會定期向其相鄰的路由器廣播路由信息，如果使用RIP特權(quán)的主機(jī)的520端口廣播非法路由信息，也可以達(dá)到路由欺騙的目的。 3TCPUDP的缺陷 4對Web安全性威脅452.1 Internet 的安全性需求 2.1.1 Inte利用路由協(xié)議攻擊RIP路由欺騙：路由器在收到RIP數(shù)據(jù)包時一般不作檢查，即不對RIP數(shù)據(jù)包發(fā)送者進(jìn)行認(rèn)證。攻擊者可以聲稱他所控制的路由器A可以最快地到達(dá)某一站點(diǎn)B，從而誘使發(fā)往B的數(shù)據(jù)包由A中轉(zhuǎn)。由于A受

25、攻擊者控制，攻擊者可偵聽、篡改數(shù)據(jù)。 46利用路由協(xié)議攻擊46IP源路由欺騙IP報(bào)文首部的可選項(xiàng)中有“源站選路”,可以指定到達(dá)目的站點(diǎn)的路由。正常情況下,目的主機(jī)如果有應(yīng)答或其他信息返回源站,就可以直接將該路由反向運(yùn)用作為應(yīng)答的回復(fù)路徑。攻擊條件：主機(jī)A(1)是主機(jī)B的被信任主機(jī)，主機(jī)X想冒充主機(jī)A從主機(jī)B（）獲得某些服務(wù)。147IP源路由欺騙IP報(bào)文首部的可選項(xiàng)中有“源站選路”,可以指定IP源路由欺騙攻擊流程：首先，攻擊者修改距離X最近的路由器G2，使得到達(dá)此路由器且包含目的地址的數(shù)據(jù)包以主機(jī)X所在的網(wǎng)絡(luò)為目的地；然后，攻擊者X利用IP欺騙（把數(shù)據(jù)包的源地址改為1）向主機(jī)B發(fā)送帶有源路由選項(xiàng)

26、(指定最近的路由器G2)的數(shù)據(jù)包。當(dāng)B回送數(shù)據(jù)包時，按收到數(shù)據(jù)包的源路由選項(xiàng)反轉(zhuǎn)使用源路由，就傳送到被更改過的路由器G2。由于G2路由表已被修改，收到B的數(shù)據(jù)包時，G2根據(jù)路由表把數(shù)據(jù)包發(fā)送到X所在網(wǎng)絡(luò)，X可在其局域網(wǎng)內(nèi)較方便的進(jìn)行偵聽，收取此數(shù)據(jù)包。148IP源路由欺騙攻擊流程：1192.2.1 Internet 的安全性需求 2.1.1 Internet存在的威協(xié) 1缺乏對用戶身份的認(rèn)證2缺乏對路由協(xié)議的認(rèn)證3TCPUDP的缺陷 4對Web安全性威脅492.1 Internet 的安全性需求 2.1.1 InteTCPTCP三次握手過程建立連接有漏洞嗎？SYN-SENTESTAB-LISH

27、EDSYN-RCVDLISTENESTAB-LISHEDSYN = 1, seq = xACK = 1, seq = x + 1, ack = y 1CLOSEDCLOSED數(shù)據(jù)傳送主動打開被動打開AB客戶服務(wù)器SYN = 1, ACK = 1, seq = y, ack= x 150TCPTCP三次握手過程建立連接有漏洞嗎？SYN-ESTATCP攻擊舉例1. TCP欺騙基本流程：步驟一，攻擊者X要確定目標(biāo)主機(jī)A的被信任主機(jī)B不在工作狀態(tài)，若其在工作狀態(tài)，也可使用SYN flooding等攻擊手段使其處于拒絕服務(wù)狀態(tài)。步驟二，攻擊者X偽造數(shù)據(jù)包：B - A : SYN(ISN C)，源IP地址

28、使用B，初始序列號ISN為C，給目標(biāo)主機(jī)發(fā)送TCP的SYN包請求建立連接。步驟三，目標(biāo)主機(jī)回應(yīng)數(shù)據(jù)包：A - B : SYN(ISN S) , ACK(ISN C)，初始序列號為S，確認(rèn)序號為C。由于B處于拒絕服務(wù)狀態(tài)，不會發(fā)出響應(yīng)包。攻擊者X使用嗅探器捕獲TCP報(bào)文段，得到初始序列號S。步驟四，攻擊者X偽造數(shù)據(jù)包：B -A : ACK(ISN S)，完成三次握手建立TCP連接。步驟五，攻擊者X一直使用B的IP地址與A進(jìn)行通信。51TCP攻擊舉例1. TCP欺騙51TCP攻擊舉例1. TCP欺騙盲攻擊與非盲攻擊：非盲攻擊：攻擊者和被欺騙的目的主機(jī)在同一個網(wǎng)絡(luò)上，攻擊者可以簡單地使用協(xié)議分析器（

29、嗅探器）捕獲TCP報(bào)文段，從而獲得需要的序列號。見上述流程。 盲攻擊：由于攻擊者和被欺騙的目標(biāo)主機(jī)不在同一個網(wǎng)絡(luò)上，攻擊者無法使用嗅探器捕獲TCP報(bào)文段。其攻擊步驟與非盲攻擊幾乎相同，只不過在步驟三無法使用嗅探器，可以使用TCP初始序列號預(yù)測技術(shù)得到初始序列號。在步驟五，攻擊者X可以發(fā)送第一個數(shù)據(jù)包，但收不到A的響應(yīng)包，較難實(shí)現(xiàn)交互。52TCP攻擊舉例1. TCP欺騙522. TCP會話劫持：這種攻擊建立在IP欺騙和TCP序列號攻擊的基礎(chǔ)上攻擊者通過訪問在被欺騙主機(jī)和目的主機(jī)之間發(fā)送的數(shù)據(jù)報(bào)獲得正確的序列號。一旦成功獲得序列號，他就可以發(fā)送TCP報(bào)文段并有效地接管連接。被劫持主機(jī)發(fā)送的數(shù)據(jù)報(bào)文

30、卻由于序列號不正確而被忽略，并認(rèn)為報(bào)文中途丟失并重新發(fā)送，如圖所示 TCP攻擊舉例532. TCP會話劫持：TCP攻擊舉例53TCP會話劫持TCP劫持經(jīng)常用于接管Telnet會話，Telnet會話只在客戶和服務(wù)器之間簡單地傳送字節(jié)流，攻擊者可以把自己的命令插入到被欺騙的TCP報(bào)文段中。服務(wù)器將得到的這個命令串加以執(zhí)行，就像合法用戶發(fā)出的一樣。被劫持主機(jī)的Telnet進(jìn)程將由于沒有接收到確認(rèn)信息而被掛起，重新發(fā)送報(bào)文段。定時器超時之后，將開始重新建立新的連接。對于攻擊者來說，TCP會話劫持相對于其它攻擊方法有許多優(yōu)點(diǎn)，例如相對于網(wǎng)絡(luò)嗅探器程序，特別是當(dāng)合法用戶使用了高級的身份識別和認(rèn)證技術(shù)之后，

31、嗅探一次性口令或嗅探密碼認(rèn)證機(jī)制發(fā)出的挑戰(zhàn)信息的響應(yīng)是無意義的。然而由于這些認(rèn)證技術(shù)都發(fā)生在連接剛開始建立的時候，一般會話建立和相互認(rèn)證之后將不再提供其它的保護(hù)措施。因此，TCP會話劫持可以繞過一次性口令和強(qiáng)認(rèn)機(jī)制劫持合法連接來獲得系統(tǒng)的入口。 54TCP會話劫持TCP劫持經(jīng)常用于接管Telnet會話，TelTCP攻擊舉例3 Land攻擊在Land攻擊中，攻擊者向目標(biāo)主機(jī)發(fā)送一個特別偽造的SYN包，它的IP源地址和目標(biāo)地址都被設(shè)置目標(biāo)主機(jī)，此舉將導(dǎo)致目標(biāo)主機(jī)向它自自身發(fā)送SYN-ACK消息，而其自身又發(fā)回ACK消息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時，這樣的空連接多了，由于TCP

32、/IP協(xié)議棧對連接有數(shù)量的限制，這就造成了拒絕服務(wù)攻擊。不同系統(tǒng)對Land攻擊反應(yīng)不同，許多UNIX系統(tǒng)將崩潰，NT變的極其緩慢。55TCP攻擊舉例3 Land攻擊55TCP攻擊舉例4 Winnuke攻擊winnuke是利用NetBIOS協(xié)議中一個OOB（Out of Band）的漏洞，也就是所謂的帶外數(shù)據(jù)漏洞而進(jìn)行的，它的原理是通過TCP/IP協(xié)議傳遞一個Urgent緊急數(shù)據(jù)包到計(jì)算機(jī)的137、138或139端口，當(dāng)win95/NT收到這個數(shù)據(jù)包之后就會瞬間死機(jī)或藍(lán)屏，不重新啟動計(jì)算機(jī)就無法繼續(xù)使用TCP/IP協(xié)議來訪問網(wǎng)絡(luò)帶外數(shù)據(jù)OOB是指TCP連接中發(fā)送的一種特殊數(shù)據(jù)，它的優(yōu)先級高于一般

33、的數(shù)據(jù)，帶外數(shù)據(jù)在報(bào)頭中設(shè)置了URG標(biāo)志，可以不按照通常的次序進(jìn)入TCP緩沖區(qū)，而是進(jìn)入另外一個緩沖區(qū)，立即可以被進(jìn)程讀取或根據(jù)進(jìn)程設(shè)置使用SIGURG信號通知進(jìn)程有帶外數(shù)據(jù)到來。后來的Winnuke系列工具已經(jīng)從最初對單個IP的攻擊發(fā)展到可以攻擊一個IP區(qū)間范圍的計(jì)算機(jī)，可以檢測和選擇端口，并且可以進(jìn)行連續(xù)攻擊，還能驗(yàn)證攻擊的效果，所以使用它可以造成某個IP地址區(qū)間的計(jì)算機(jī)全部藍(lán)屏死機(jī)。56TCP攻擊舉例4 Winnuke攻擊56TCP攻擊舉例5. RST和FIN攻擊：TCP報(bào)文段中有兩個特別的標(biāo)志RST和FIN也能被攻擊者用來進(jìn)行拒絕服務(wù)攻擊。在正常情況下，RST標(biāo)志用于連接復(fù)位，F(xiàn)IN標(biāo)

34、志用于表示發(fā)送方字節(jié)流結(jié)束。這種攻擊要求的條件和TCP會話劫持一樣，都要求能夠訪問在目標(biāo)主機(jī)和被欺騙主機(jī)之間發(fā)送的IP數(shù)據(jù)報(bào)，以便攻擊者可使用協(xié)議分析器收集IP數(shù)據(jù)報(bào)獲得正確的TCP序列號。發(fā)送目標(biāo)主機(jī)可接收的帶有RST或FIN標(biāo)志的TCP報(bào)文段只需要有正確的序列號，而不需要確認(rèn)信號。攻擊者計(jì)算目標(biāo)主機(jī)所期望的、來自被欺騙主機(jī)的下一個TCP報(bào)文段的序列號，然后發(fā)送-個偽造數(shù)據(jù)包：RST標(biāo)志被置位，具有正確TCP序列號，使用被欺騙主機(jī)的IP地址。目標(biāo)主機(jī)接收這個報(bào)文之后，關(guān)閉和被欺騙主機(jī)的連接。FIN攻擊和RST攻擊類似，攻擊者構(gòu)造好TCP報(bào)文段后向目標(biāo)主機(jī)發(fā)送，目標(biāo)主機(jī)接收之后，將不再接收被欺

35、騙主機(jī)以后發(fā)送來的數(shù)據(jù)，目標(biāo)主機(jī)認(rèn)為這些在FIN包之后的數(shù)據(jù)是由網(wǎng)絡(luò)錯誤造成的。 57TCP攻擊舉例5. RST和FIN攻擊：57TCP攻擊舉例6 SYN flooding攻擊：是當(dāng)前最流行也是最有效的DoS方式之一它利用建立TCP連接的三次握手機(jī)制進(jìn)行攻擊。在正常條件下，希望通過TCP交換數(shù)據(jù)的主機(jī)必須使用三次握手建立會話連接，服務(wù)器系統(tǒng)需要為維護(hù)每個三次握手付出一部分系統(tǒng)資源.SYN flooding 攻擊就是利用耗盡系統(tǒng)資源達(dá)到拒絕服務(wù)攻擊的目的的。攻擊主機(jī)只是不斷的偽造不同IP發(fā)送TCP請求建立鏈接的數(shù)據(jù)包，服務(wù)器在接受請求建立鏈接的數(shù)據(jù)包后始終無法處于等待接受確認(rèn)包的過程，直到超時，

36、在超時前如果系統(tǒng)維護(hù)連接的系統(tǒng)資源耗盡，則系統(tǒng)無法提供正常的服務(wù)。被攻擊主機(jī) 攻擊主機(jī)偽造源地址不存在的主機(jī)不斷重試及等待，消耗系統(tǒng)資源不響應(yīng)SYNSYN+ACK58TCP攻擊舉例6 SYN flooding攻擊：被攻擊主機(jī) TCP攻擊舉例7 端口掃描攻擊：TCP connect() 掃描：連接成功表示端口開啟；TCP SYN掃描：這種技術(shù)通常認(rèn)為是“半開放”掃描，這是因?yàn)閽呙璩绦虿槐匾蜷_一個完全的TCP連接。掃描程序發(fā)送的是一個SYN數(shù)據(jù)包，好象準(zhǔn)備打開一個實(shí)際的連接并等待反應(yīng)一樣（參考TCP的三次握手建立一個TCP連接的過程）。一個SYN|ACK的返回信息表示端口處于偵聽狀態(tài)。一個RST

37、返回，表示端口沒有處于偵聽?wèi)B(tài)。如果收到一個SYN|ACK，則掃描程序必須再發(fā)送一個RST信號，來關(guān)閉這個連接過程59TCP攻擊舉例7 端口掃描攻擊：59TCP攻擊舉例TCP FIN 掃描：這種掃描方法的思想是關(guān)閉的端口會用適當(dāng)?shù)腞ST來回復(fù)FIN數(shù)據(jù)包。這種方法和系統(tǒng)的實(shí)現(xiàn)有一定的關(guān)系。有的系統(tǒng)不管端口是否打開，都回復(fù)RST，這樣，這種掃描方法就不適用了。并且這種方法在區(qū)分Unix和NT時，是十分有用的。慢速掃描：由于一般掃描檢測器的實(shí)現(xiàn)是通過監(jiān)視某個時間段里一臺特定主機(jī)被連接的數(shù)目來決定是否在被掃描，這樣攻擊者可以通過使用掃描速度慢一些的掃描軟件進(jìn)行掃描，這樣檢測軟件就不會判別出他在進(jìn)行掃描

38、了。60TCP攻擊舉例TCP FIN 掃描：這種掃描方法的思想是關(guān)閉TCP攻擊舉例8 TCP初始序號預(yù)測：有3種常用的方法來產(chǎn)生初始序列號：64K規(guī)則：這是一種最簡單的機(jī)制，目前仍在一些主機(jī)上使用。每秒用一常量（12800）增加初始序列號，如果有某一個連接啟動，則用另一個常量（64000）增加序列號計(jì)數(shù)器。與時間相關(guān)的產(chǎn)生規(guī)則：這是一種很流行的簡單機(jī)制，允許序列號產(chǎn)生器產(chǎn)生與時間相關(guān)的值。這個產(chǎn)生器在計(jì)算機(jī)自舉時產(chǎn)生初始值，依照每臺計(jì)算機(jī)各自的時鐘增加。由于各計(jì)算機(jī)上的時鐘并不完全相等，增大了序列號的隨機(jī)性。偽隨機(jī)數(shù)產(chǎn)生規(guī)則：較新的操作系統(tǒng)使用偽隨機(jī)數(shù)產(chǎn)生器產(chǎn)生初始序列號。 61TCP攻擊舉例

39、8 TCP初始序號預(yù)測：61TCP初始序號預(yù)測對于第一、第二種方式產(chǎn)生的初始序號，攻擊者在一定程度上是可以預(yù)測的。首先，攻擊者發(fā)送一個SYN包，目標(biāo)主機(jī)響應(yīng)后，攻擊者可以知道目標(biāo)主機(jī)的TCP/IP協(xié)議棧當(dāng)前使用的初始序列號。然后，攻擊者可以估計(jì)數(shù)據(jù)包的往返時間，根據(jù)相應(yīng)的初始序號產(chǎn)生方法較精確的估算出初始序號的一個范圍。有了這個預(yù)測出的初始序號范圍，攻擊者可以對目標(biāo)主機(jī)進(jìn)行TCP欺騙的盲攻擊62TCP初始序號預(yù)測對于第一、第二種方式產(chǎn)生的初始序號，攻擊者UDP攻擊舉例ICMP端口不能到達(dá)掃描 由于這個協(xié)議很簡單，所以掃描變得相對比較困難。這是由于打開的端口對掃描探測并不發(fā)送一個確認(rèn)，關(guān)閉的端口

40、也并不需要發(fā)送一個錯誤數(shù)據(jù)包。許多主機(jī)在向一個未打開的UDP端口發(fā)送一個數(shù)據(jù)包時，會返回一個ICMP_PORT_UNREACH錯誤。這樣就能發(fā)現(xiàn)哪個端口是關(guān)閉的。63UDP攻擊舉例ICMP端口不能到達(dá)掃描 63TCP攻擊防范1) 縮短SYN Timeout（連接等待超時）時間：由于SYN flooding攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù)，這個值等于SYN攻擊的頻度乘以SYN Timeout，所以通過縮短從接收到SYN報(bào)文到確定這個報(bào)文無效并丟棄改連接的時間（過低的SYN Timeout設(shè)置可能會影響客戶的正常訪問），可以成倍的降低服務(wù)器的負(fù)荷。 2) 根據(jù)源IP記錄SYN連接：就是

41、對每一個請求連接的IP地址都進(jìn)行記錄，如果短時間內(nèi)連續(xù)受到某個IP的重復(fù)SYN報(bào)文，就認(rèn)定是受到了攻擊，以后從這個IP地址來的包會被丟棄。64TCP攻擊防范1) 縮短SYN Timeout（連接等待超時TCP攻擊防范3)負(fù)反饋策略：正常情況下，操作系統(tǒng)對TCP連接的一些重要參數(shù)有一個常規(guī)的設(shè)置：SYN Timeout時間、SYN-ACK的重試次數(shù)、SYN報(bào)文從路由器到系統(tǒng)再到Winsock的延時等等。這個常規(guī)設(shè)置針對系統(tǒng)優(yōu)化，可以給用戶提供方便快捷的服務(wù)；一旦服務(wù)器受到攻擊，SYN Half link（SYN半連接） 的數(shù)量超過系統(tǒng)中TCP活動半連接的最大設(shè)置，系統(tǒng)將會認(rèn)為自己受到了SYN f

42、looding攻擊，并將根據(jù)攻擊的判斷情況作出反應(yīng)：減短SYN Timeout時間、減少SYN-ACK的重試次數(shù)、自動對緩沖區(qū)中的報(bào)文進(jìn)行延時等等措施，力圖將攻擊危害減到最低。65TCP攻擊防范3)負(fù)反饋策略：正常情況下，操作系統(tǒng)對TCP連TCP攻擊防范4)容忍策略：它是基于SYN flooding攻擊代碼的一個缺陷。SYN flooding攻擊程序有兩種攻擊方式，基于IP的和基于域名的，前者是攻擊者自己進(jìn)行域名解析并將IP地址傳遞給攻擊程序，后者是攻擊程序自動進(jìn)行域名解析，它們有一點(diǎn)是相同的，就是一旦攻擊開始，將不會再進(jìn)行域名解析。假設(shè)一臺服務(wù)器在受到SYN flooding攻擊后迅速更換自

43、己的IP地址，那么攻擊者仍在不斷攻擊的只是一個空的IP地址，并沒有任何主機(jī)，而防御方只要將DNS解析更改到新的IP地址就能在很短的時間內(nèi)（取決于DNS的刷新時間）恢復(fù)用戶通過域名進(jìn)行的正常訪問。為了迷惑攻擊者，甚至可以放置一臺“犧牲”服務(wù)器讓攻擊者滿足于攻擊的“效果”。 66TCP攻擊防范4)容忍策略：它是基于SYN floodingTCP攻擊防范5）利用DNS進(jìn)行負(fù)載均衡：在眾多的負(fù)載均衡架構(gòu)中，基于DNS解析的負(fù)載均衡本身就擁有對SYN flooding的免疫力，基于DNS解析的負(fù)載均衡能將用戶的請求分配到不同IP的服務(wù)器主機(jī)上，攻擊者攻擊的永遠(yuǎn)只是其中一臺服務(wù)器，一來這樣增加了攻擊者的成

44、本，二來過多的DNS請求可以幫助我們追查攻擊者的真正蹤跡（DNS請求不同于SYN攻擊，是需要返回?cái)?shù)據(jù)的，所以很難進(jìn)行IP偽裝）。67TCP攻擊防范5）利用DNS進(jìn)行負(fù)載均衡：在眾多的負(fù)載均衡架TCP攻擊防范6）利用防火墻技術(shù)第一階段，客戶機(jī)請求與防火墻建立連接；第二階段，防火墻偽裝成客戶機(jī)與后臺的服務(wù)器建立連接；第三階段，之后所有從客戶機(jī)來的TCP報(bào)文防火墻都直接轉(zhuǎn)發(fā)給后臺的服務(wù)器。68TCP攻擊防范6）利用防火墻技術(shù)68針對SYN-Flooding攻擊的防范措施4 攻擊的技術(shù)與方法69針對SYN-Flooding攻擊的防范措施4 攻擊的技術(shù)與方2.1 Internet 的安全性需求 2.1.

45、1 Internet存在的威協(xié) 1缺乏對用戶身份的認(rèn)證2缺乏對路由協(xié)議的認(rèn)證 3TCPUDP的缺陷 4對Web安全性威脅Web服務(wù)器、Web瀏覽器、Web傳輸過程702.1 Internet 的安全性需求 2.1.1 Inte2.1.1 Internet存在的威協(xié)4. 對Web安全性威脅Web服務(wù)器、Web瀏覽器、Web傳輸過程利用編程錯誤應(yīng)用程序的開發(fā)是一個復(fù)雜的過程，它不可避免地會產(chǎn)生編程錯誤。在某些情況下，這些錯誤可能會導(dǎo)致嚴(yán)重的漏洞，使得攻擊者可以通過網(wǎng)絡(luò)遠(yuǎn)程利用這些漏洞。這樣的例子有：緩沖區(qū)溢出漏洞：它來自對不安全的C庫函數(shù)的使用；XSS(Cross Site Script)跨站腳本

46、攻：惡意攻擊者往Web頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。SQL注入攻擊：以Web為中心的漏洞，如將未經(jīng)清理的查詢傳遞給后端數(shù)據(jù)庫的Web服務(wù)器URL漏洞利用信任關(guān)系有些攻擊利用的是信任關(guān)系而不是應(yīng)用程序的錯誤。對與應(yīng)用程序本身交互而言，這類攻擊看上去是完全合法的，但它們的目標(biāo)是信任這些應(yīng)用程序的用戶。釣魚式攻擊就是一個這樣的例子，它的目標(biāo)是訪問釣魚網(wǎng)站或電子郵件信息的用戶。耗盡資源像網(wǎng)絡(luò)層或傳輸層的DoS攻擊一樣， 應(yīng)用程序有時候也會遭受到大量數(shù)據(jù)輸入的攻擊。這類攻擊將使得應(yīng)用程序不可使用。712.1.1 In

47、ternet存在的威協(xié)4. 對Web安全性威XSS攻擊實(shí)例攻擊Yahoo Mail的Yamanner蠕蟲是一個著名的XSS攻擊實(shí)例。Yahoo Mail系統(tǒng)有一個漏洞，當(dāng)用戶在web上察看信件時，有可能執(zhí)行到信件內(nèi)的javascript代碼。病毒可以利用這個漏洞使被攻擊用戶運(yùn)行病毒的script。同時Yahoo Mail系統(tǒng)使用了Ajax技術(shù)，這樣病毒的script可以很容易的向Yahoo Mail系統(tǒng)發(fā)起ajax請求，從而得到用戶的地址簿，并發(fā)送病毒給他人。72XSS攻擊實(shí)例攻擊Yahoo Mail的Yamanner蠕蟲SQL注入攻擊SQL注入攻擊利用的是在將用戶輸入寫進(jìn)數(shù)據(jù)庫查詢語句之前未

48、經(jīng)過合法性驗(yàn)證或過濾的漏洞。攻擊者可以利用SQL語言嵌套的能力構(gòu)建一個新的查詢，不知不覺地修改或提取數(shù)據(jù)庫中的信息。常見的SQL注入攻擊目標(biāo)是通過Web服務(wù)器執(zhí)行的CGI程序以及到后端數(shù)據(jù)庫的接口。 舉例，假設(shè)一個CGI程序執(zhí)行用戶名和密碼檢測的任務(wù)，它將Web客戶端提供的用戶名和密碼與數(shù)據(jù)庫中存儲的信息進(jìn)行比對。如果Web客戶端提供的用戶名和密碼沒有被正確地過濾，那么用于執(zhí)行驗(yàn)證的查詢語句就很容易遭受到注入攻擊。注入攻擊可以改變查詢語句，使得它不僅會檢查用戶名和密碼是否匹配，還會使用一個新的查詢?nèi)バ薷臄?shù)據(jù)庫中的數(shù)據(jù)。攻擊者可以通過這種攻擊方式為任何用戶設(shè)置密碼，甚至設(shè)置一個管理員級別用戶的密

49、碼。73SQL注入攻擊SQL注入攻擊利用的是在將用戶輸入寫進(jìn)數(shù)據(jù)庫查使用密碼技術(shù)、認(rèn)證技術(shù)等來提供必要的安全性。 在TCPIP協(xié)議棧和各層中實(shí)現(xiàn)安全協(xié)議和應(yīng)用： IPSec在保護(hù)IP網(wǎng)絡(luò)以便提供私密通信中發(fā)揮著重要的作用。 SSL在傳輸層（TCP）提供安全性。 應(yīng)用層SHTTP、Kerberos、SET、PGP 2.1 Internet 的安全性需求 2.1.2 實(shí)現(xiàn)Internet通信量安全的方法 74使用密碼技術(shù)、認(rèn)證技術(shù)等來提供必要的安全性。 2.1 Int 2.1 Internet 的安全性需求 2.2 安全套接層與傳輸層的安全 2.3 Kerberos認(rèn)證系統(tǒng) 2.4 PGP電子郵件

50、加密 2.5 安全電子交易本章主要內(nèi)容75 2.1 Internet 的安全性需求本章主要內(nèi)容75SSL（Secure Socket Layer）在Internet基礎(chǔ)上提供一種基于會話加密和認(rèn)證的安全協(xié)議。 SSL協(xié)議已成為Internet上保密通訊的工業(yè)標(biāo)準(zhǔn)。現(xiàn)行Web瀏覽器普遍將HTTP和SSL相結(jié)合，從而實(shí)現(xiàn)安全通信。2.2 SSL與傳輸層的安全SSL概述76SSL（Secure Socket Layer）在IntSSL發(fā)展歷史1994年Netscape開發(fā)了SSL(Secure Socket Layer)安全套接層協(xié)議，專門用于保護(hù)Web通訊。版本和歷史：1.0，不成熟2.0，基本上

51、解決了Web通訊的安全問題3.0，1996年發(fā)布，增加了一些算法，修改了一些缺陷Microsoft公司發(fā)布了PCT(Private Communication Technology)，并在IE中支持。TLS 1.0(Transport Layer Security傳輸層安全協(xié)議, 也被稱為SSL 3.1)，1997年IETF發(fā)布了Draft，同時，Microsoft宣布放棄PCT，與Netscape一起支持TLS 1.01999年，發(fā)布RFC 2246(The TLS Protocol v1.0)77SSL發(fā)展歷史1994年Netscape開發(fā)了SSL(SecSSL協(xié)議有以下三個特性： 保密性

52、。因?yàn)樵谖帐謪f(xié)議定義了會話密鑰后，所有的消息都被加密。 確認(rèn)性。因?yàn)楸M管會話的客戶端認(rèn)證是可選的，但是服務(wù)器端始終是被認(rèn)證的。 可靠性。因?yàn)閭魉偷南ㄏ⑼暾詸z查（使用MAC）。2.2 SSL與傳輸層的安全SSL概述78SSL協(xié)議有以下三個特性：2.2 SSL與傳輸層的安全SSL2.2 SSL與傳輸層的安全SSL概述圖 21 SSL在TCP/IP協(xié)議棧中的位置IPHTTPFTPSMTPTCPSSL or TLS792.2 SSL與傳輸層的安全SSL概述圖 21 SS2.2 SSL與傳輸層的安全圖 22 SSL Protocol StackIPSSL修改密文規(guī)約協(xié)議SSL 告警協(xié)議HTTP

53、TCPSSL 記錄協(xié)議SSL 握手協(xié)議SSL體系結(jié)構(gòu) 提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持用于在實(shí)際的數(shù)據(jù)傳輸開始前，通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。它由三個協(xié)議組成SSL協(xié)議分為兩層協(xié)議802.2 SSL與傳輸層的安全圖 22 SSL ProSSL實(shí)現(xiàn)OpenSSL, 最新0.9.7a, 實(shí)現(xiàn)了SSLv2,SSLv3, TLSv1.0Openssl a command line tool.ssl(3) the OpenSSL SSL/TLS library.crypto(3) the OpenSSL Crypto library.URL: SSLeay.au/ftp/

54、Crypto/Internet號碼分配當(dāng)局已經(jīng)為具備SSL功能的應(yīng)用分配了固定的端口號,例如帶SSL的HTTP(https)被分配以端口號443帶SSL的SMTP(ssmtp)被分配以端口號465帶SSL的NNTP(snntp)被分配以端口號56381SSL實(shí)現(xiàn)OpenSSL, 最新0.9.7a, 實(shí)現(xiàn)了SSL 2.1 Internet 的安全性需求 2.2 安全套接層與傳輸層的安全 2.3 Kerberos認(rèn)證系統(tǒng) 2.4 PGP電子郵件加密 2.5 安全電子交易本章主要內(nèi)容82 2.1 Internet 的安全性需求本章主要內(nèi)容822.3 Kerberos認(rèn)證系統(tǒng) 圖 25 認(rèn)證雙方與Ke

55、rberos的關(guān)系 Kerberos ClientServer832.3 Kerberos認(rèn)證系統(tǒng) 圖 25 認(rèn)證雙方與Ke2.3 Kerberos認(rèn)證系統(tǒng) Kerberos一種為網(wǎng)絡(luò)通信提供可信第三方服務(wù)的面向開放系統(tǒng)的認(rèn)證機(jī)制。網(wǎng)絡(luò)上的Kerberos服務(wù)器起著可信仲裁的作用，每當(dāng)客戶(client)申請得到某服務(wù)程序(server)的服務(wù)時，client和server會首先向Kerberos要求認(rèn)證對方的身份，認(rèn)證建立在client和server對Kerberos的信任的基礎(chǔ)上。在申請認(rèn)證時，client和server都可看成是Kerberos認(rèn)證服務(wù)的用戶，認(rèn)證雙方與Kerberos的

56、關(guān)系如圖 25所示。842.3 Kerberos認(rèn)證系統(tǒng) Kerberos一種2.3 Kerberos認(rèn)證系統(tǒng) 2.3.1 Kerboros模型 在Kerberos模型中，具有客戶機(jī)和服務(wù)器。客戶機(jī)可以是用戶，也可以是處理事務(wù)所需的獨(dú)立的軟件程序，如下載文件、發(fā)送消息、訪問數(shù)據(jù)庫、訪問打印機(jī)和獲取管理特權(quán)等。 Kerberos有一個所有客戶和他們的秘密鑰的數(shù)據(jù)庫。由于Kerberos知道每個人的秘密鑰，因此它就能產(chǎn)生消息向一個實(shí)體證實(shí)另一個實(shí)體的身份。Kerberos還能產(chǎn)生會話密鑰，只供一個客戶機(jī)和一個服務(wù)器(或兩個客戶機(jī))使用，會話密鑰用來加密雙方的通信消息，通信完畢后，即銷毀會話密鑰。8

57、52.3 Kerberos認(rèn)證系統(tǒng) 2.3.1 Kerboro2.3 Kerberos認(rèn)證系統(tǒng) 2.3.2 Kerboros工作原理 Kerberos V5 是域中用于認(rèn)證的主要安全協(xié)議。Kerberos V5 協(xié)議同時檢驗(yàn)用戶身份和網(wǎng)絡(luò)服務(wù)。這種雙重檢驗(yàn)稱為相互認(rèn)證。Kerberos協(xié)議認(rèn)證過程:862.3 Kerberos認(rèn)證系統(tǒng) 2.3.2 Kerboro2.3 Kerberos認(rèn)證系統(tǒng) 2.3.2 Kerboros工作原理 請求許可票據(jù)。證書響應(yīng)。 請求應(yīng)用服務(wù)器許可票據(jù)。 服務(wù)器證書響應(yīng)。 請求服務(wù)。 服務(wù)器響應(yīng)。Kerberos的認(rèn)證過程 Kerberos認(rèn)證服務(wù)器AS應(yīng)用服務(wù)器K

58、erberos許可證頒發(fā)服務(wù)器TGS客戶872.3 Kerberos認(rèn)證系統(tǒng) 2.3.2 Kerboro 2.1 Internet 的安全性需求 2.2 安全套接層與傳輸層的安全 2.3 Kerberos認(rèn)證系統(tǒng) 2.4 PGP電子郵件加密 2.5 安全電子交易本章主要內(nèi)容88 2.1 Internet 的安全性需求本章主要內(nèi)容882. 4 PGP電子郵件加密 PGP（PrettyGoodPrivacy）開發(fā)：由美國在20世紀(jì)九十年代初開發(fā)的一個完整電子郵件安全軟件包。功能：加密、認(rèn)證、數(shù)字簽名和壓縮等算法：PGP并沒有使用什么新概念，它只是將現(xiàn)有的一些（如MD5、RSA，以及IDEA等）綜合

59、在一起。892. 4 PGP電子郵件加密 PGP（PrettyGooPGP成功的原因版本眾多，包括各種系統(tǒng)平臺，商業(yè)版本使用戶得到很好的支持。算法的安全性已經(jīng)得到了充分的論證，如公鑰加密包括RSA、DSS、Diffie-Hellman，單鑰加密包括CAST-128、IDEA、3DES、AES，以及SHA-1散列算法。適用性強(qiáng)，公司可以選擇用來增強(qiáng)加密文件和消息；個人可以選擇用來保護(hù)自己與外界的通信。不是由政府或者標(biāo)準(zhǔn)化組織所控制，可信性90PGP成功的原因版本眾多，包括各種系統(tǒng)平臺，商業(yè)版本使用戶得2. 4 PGP電子郵件加密2.4.1 PGP的主要功能 為了適應(yīng)郵件的大小限制，PGP支持分段

60、和重組數(shù)據(jù)分段郵件應(yīng)用完全透明，加密后的消息用Radix 64轉(zhuǎn)換Radix 64郵件兼容性消息用ZIP算法壓縮ZIP壓縮消息用一次性會話密鑰加密，會話密鑰用接收方的公鑰加密CAST或IDEA或3DES、AES及RSA或D-F消息加密用SHA-1創(chuàng)建散列碼，用發(fā)送者的私鑰和DSS或RSA加密消息摘要DSS/SHA或RSA/SHA數(shù)字簽名說明采用算法服務(wù)912. 4 PGP電子郵件加密2.4.1 PGP的主要功能 PGP 功能：身份認(rèn)證發(fā)送方產(chǎn)生消息M用SHA-1對M生成一個160位的散列碼H用發(fā)送者的私鑰對H加密，并與M連接接收方用發(fā)送者的公鑰解密并恢復(fù)散列碼H對消息M生成一個新的散列碼，與H