計算機網(wǎng)絡(luò)安全與管理15

計算機網(wǎng)絡(luò)安全管理

協(xié)議漏洞攻擊軟件學(xué)院田暄本章內(nèi)容協(xié)議漏洞偽裝攻擊Dos攻擊協(xié)議漏洞這里的協(xié)議漏洞指協(xié)議本身或者在軟件具體實現(xiàn)協(xié)議時，對于協(xié)議理解的不一致導(dǎo)致的漏洞對于高度互聯(lián)的動機留下了許多安全隱患例：客戶-服務(wù)器架構(gòu)，telnet協(xié)議的實現(xiàn)上，由于不同的系統(tǒng)與應(yīng)用廠商的認(rèn)識不同，造成很多漏洞IETF的工作很多集中在協(xié)議安全性增強與更換不安全協(xié)議例：IP層的IPsec，TCP層的SSL，TLS，SSH，PGP，S/MIME協(xié)議漏洞結(jié)合書中的圖例我們可以看到，TCP/IP協(xié)議族中的常用協(xié)議有數(shù)十個網(wǎng)絡(luò)層：IP，ARP，ICMP傳輸層：TCP，UDP應(yīng)用層：HTTP，F(xiàn)TP，DNS，SNMP以我們書中的例子兩個內(nèi)部子網(wǎng)分別使用兩個C類子網(wǎng)（/)(202.100,2.0/)路由器有兩個以太網(wǎng)端口連接兩個子網(wǎng)，一個串行端口連接InternetARP協(xié)議漏洞 ARP協(xié)議主要解決物理地址與IP地址的映射關(guān)系如果下層協(xié)議是局域網(wǎng)，則需要ARP協(xié)議解決IP地址與局域網(wǎng)協(xié)議之間的地址映射關(guān)系。通過ARP協(xié)議獲得MAC地址ARP請求是通過廣播方式傳播，對應(yīng)方應(yīng)答，請求方更新ARP緩存表問題：缺乏認(rèn)證IP協(xié)議中的漏洞IP包頭中，我們討論兩個字段：源地址，目的地址。主機發(fā)送時，若不是同一子網(wǎng)，則發(fā)送給默認(rèn)網(wǎng)關(guān)。網(wǎng)關(guān)根據(jù)路由表和ip地址，確定發(fā)送端口通過：目的IP&掩碼=子網(wǎng)地址的判斷確定發(fā)送端口缺陷：缺少對于源IP地址真實性的保障ICMP中的漏洞ICMP協(xié)議可以用來處理網(wǎng)絡(luò)傳輸過程中出現(xiàn)的錯誤或者控制信息，如通知一臺主機不通，網(wǎng)關(guān)擁塞或者或者有故障等常見軟件：ping，traceroute缺陷，ICMP沒有認(rèn)證，可能偽造造成拒絕服務(wù)TCP協(xié)議中的漏洞TCP是基于連接的協(xié)議，雙方在進(jìn)行數(shù)據(jù)通信前，首先要建立連接。同時要維護(hù)一系列狀態(tài)正常的TCP連接建立需要三次握手連接過程包括11個狀態(tài)，由于不同操作系統(tǒng)有可能在處理過程中有所差異從而造成安全隱患其他協(xié)議漏洞HTTP協(xié)議：主要是具體的實現(xiàn)上可能出現(xiàn)問題，即：客戶端瀏覽器，與服務(wù)器程序等SMTP協(xié)議：多數(shù)問題出在不當(dāng)配置上。另外，郵件服務(wù)器之間通過SMTP協(xié)議交換信息，彼此不認(rèn)證也造成問題Pop3協(xié)議：明文的口令傳輸，部分支持應(yīng)答挑戰(zhàn)類型的一次性口令DNS：攻擊者有可能用域名查詢來獲得有關(guān)信息，還可以利用ZONE傳輸請求獲得數(shù)據(jù)庫信息。在知道了端口與序列號的情況下，可以偽造服務(wù)器應(yīng)答。其他的協(xié)議漏洞TELNET協(xié)議：明文傳輸RIP/OSPF協(xié)議：RIP中的路由信息是廣播的。OSPF則具有認(rèn)證功能，但很多管理員沒有配置Finger：顯示用戶信息FTP協(xié)議：明文傳輸密碼或者匿名訪問SNMP協(xié)議：有很多隱患遠(yuǎn)程引導(dǎo)：RARP，TFTP，BOOTP協(xié)議，有可能收到發(fā)送的假應(yīng)答偽裝攻擊比較常見的攻擊方式IP地址偽造MAC地址偽造DNS偽造路由偽造MAC地址偽造主要發(fā)生在子網(wǎng)中偽造者可以通過偽造的ARP應(yīng)答導(dǎo)致子網(wǎng)無法正常工作。通過偽裝網(wǎng)關(guān)可以獲取其他子網(wǎng)內(nèi)機器的流量。IP地址偽造可以通過修改IP包頭中的源地址即可，當(dāng)真實源不在時，偽裝者可以使用其IP訪問當(dāng)源存在時，攻擊者可以通過監(jiān)聽通信了解TCP連接狀況，利用IP地址偽造與MAC地址偽造進(jìn)行攻擊（任務(wù)劫持）網(wǎng)絡(luò)效率越高，這樣的攻擊越可能實現(xiàn)路由偽造

如果沒有認(rèn)證機制，或沒有配置相關(guān)選項，攻擊者可以通過提供虛假路由，導(dǎo)致用戶訪問錯誤圖2.19DNS偽裝攻擊若攻擊者獲取了某個域名服務(wù)器的控制權(quán)，則可以修改相關(guān)記錄；如果可以截取流量，也可以偽造假的應(yīng)答Web偽裝改造界面?zhèn)窝b為服務(wù)器。獲取口令密碼等。不單單是Web服務(wù)器，也可能是其它類型服務(wù)器拒絕服務(wù)攻擊DenialofService(DoS):通過耗盡資源（包括cpu資源，帶寬，內(nèi)存，硬盤等）使被攻擊的系統(tǒng)，網(wǎng)絡(luò)無法為用戶提供正常的服務(wù)對象網(wǎng)絡(luò)帶寬系統(tǒng)資源應(yīng)用程序資源傳統(tǒng)的拒絕服務(wù)攻擊可以通過floodingping實現(xiàn)各種帶寬都有可能碰到導(dǎo)致通信資源的耗盡Flood源可以被標(biāo)示例源地址偽造SourceAddressSpoofing使用偽造的源地址在被授予足夠權(quán)限的網(wǎng)絡(luò)環(huán)境中可以較為容易地實現(xiàn)（參看前面）生成大量的包重定向目標(biāo)使用不同的，隨機的源地址造成擁塞離散化的網(wǎng)絡(luò)響應(yīng)難于尋找源地址TCPSYNFlood是一個典型的消耗主機資源的攻擊，利用了TCP連接的缺陷阻止服務(wù)器對未來連接的響應(yīng)過載連接控制表攻擊系統(tǒng)資源SYN攻擊攻擊者經(jīng)常使用隨機地址或偽裝地址以避免reset包需要較小的資源帶寬標(biāo)準(zhǔn)的Flooding攻擊ICMP攻擊比如echo請求UDP攻擊TCPSYNFloodDDoS單一資源消耗較少多系統(tǒng)可構(gòu)造更大規(guī)模的分布式攻擊常用pc就可完成反射攻擊利用網(wǎng)絡(luò)性質(zhì)攻擊者使用偽造地址攻擊服務(wù)器服務(wù)器響應(yīng)返回目標(biāo)發(fā)送到多個服務(wù)器可實現(xiàn)對目標(biāo)的flood多個協(xié)議：如UDP，tcp自循環(huán)的反射攻擊放大攻擊DNS放大攻擊利用偽造目標(biāo)地址方式發(fā)送dns請求搜索DNS性質(zhì)放大響應(yīng)60byte請求造成512-4000byte響應(yīng)發(fā)送多個請求到連接服務(wù)器變更請求流DNS服務(wù)器也被攻擊DoS

攻擊防御高流量需要合法性高度公開性

非常著名的網(wǎng)站,e.g.Olympicsetc或有攻擊者制造的合法流量針對(D)DoS的三條防御策略:攻擊預(yù)防與搶占攻擊檢測與過濾攻擊源回溯與取證攻擊阻止阻止哄騙源地址在路由器部分盡可能接近于源實際上很少得到執(zhí)行在上行數(shù)據(jù)流分配網(wǎng)絡(luò)上限制速率針對特定的包類型e.g.someICMP,someUDP,TCP/SYN使用修改的TCP連接處理使用SYNcookies或選擇性的或隨機性的放棄某實體攻擊阻止阻止IP直接廣播阻止可疑的服務(wù)