通信網(wǎng)絡(luò)安全05

第五章通信網(wǎng)絡(luò)安全體系結(jié)構(gòu)（二）內(nèi)容概要傳輸層風(fēng)險(xiǎn)及緩解方法攻擊TCP和UDP的方法及緩解方法DNS風(fēng)險(xiǎn)及緩解方法SMTP郵件風(fēng)險(xiǎn)及緩解方法HTTP風(fēng)險(xiǎn)及緩解方法1.傳輸層核心功能傳輸層定義網(wǎng)絡(luò)層和面向應(yīng)用層之間的接口，從應(yīng)用層抽象連網(wǎng)功能，包括連接管理、分組組裝和服務(wù)識(shí)別。傳輸層有兩個(gè)核心成份，傳輸層端口和序列號(hào)1.端口和套接字（Socket）端口：如果把一個(gè)服務(wù)器比作一間房子，IP地址就是出入這間房子的大門，端口是小。一個(gè)IP地址的端口可以有65536個(gè)之多，范圍是從0到65535。一臺(tái)擁有IP地址的主機(jī)可以提供許多服務(wù)，比如Web服務(wù)、FTP服務(wù)、SMTP服務(wù)等，這些服務(wù)完全可以通過(guò)1個(gè)IP地址來(lái)實(shí)現(xiàn)。通過(guò)“IP地址+端口號(hào)”來(lái)區(qū)分不同的服務(wù)的。1.傳輸層核心功能1.端口和套接字（Socket）客戶端和服務(wù)器端端口并不是一一對(duì)應(yīng)的?？蛻魴C(jī)訪問(wèn)一臺(tái)WWW服務(wù)器時(shí)，WWW服務(wù)器使用“80”端口通信，但客戶機(jī)可能使用“3457”這樣的端口，如下所示。1.傳輸層核心功能1.端口和套接字（Socket）按對(duì)應(yīng)的協(xié)議類型，端口分為：TCP端口和UDP端口。TCP和端口號(hào)也相互獨(dú)立按端口號(hào)可分為3大類：（1）公認(rèn)端口（WellKnownports）：從0到1023，它們緊密綁定（binding）于一些服務(wù)。通常這些端口的通訊明確表明了某種服務(wù)的協(xié)議。例如：80端口對(duì)應(yīng)HTTP服務(wù)。（2）注冊(cè)端口（Registeredports）：從1024到49151。它們松散地綁定于一些服務(wù)。也就是說(shuō)有許多服務(wù)綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統(tǒng)處理動(dòng)態(tài)端口從1024左右開(kāi)始。（3）動(dòng)態(tài)和/或私有端口（Dynamicand/orprivateports）：從49152到65535。理論上，不應(yīng)為服務(wù)分配這些端口。實(shí)際上，機(jī)器通常從1024起分配動(dòng)態(tài)端口。1.傳輸層核心功能1.端口和套接字（Socket）應(yīng)用層通過(guò)傳輸層進(jìn)行數(shù)據(jù)通信時(shí)，TCP和UDP會(huì)遇到同時(shí)為多個(gè)應(yīng)用程序進(jìn)程提供并發(fā)服務(wù)的問(wèn)題。多個(gè)TCP連接或多個(gè)應(yīng)用程序進(jìn)程可能需要通過(guò)同一個(gè)TCP協(xié)議端口傳輸數(shù)據(jù)。為了區(qū)別不同的應(yīng)用程序進(jìn)程和連接，計(jì)算機(jī)操作系統(tǒng)為應(yīng)用程序與TCP／IP協(xié)議交互提供了稱為套接字(Socket)的接口，區(qū)分不同應(yīng)用程序進(jìn)程間的網(wǎng)絡(luò)通信和連接。套接字主要有3個(gè)參數(shù)：通信的目的IP地址、使用的傳輸層協(xié)議(TCP或UDP)和使用的端口號(hào)。通過(guò)將這3個(gè)參數(shù)結(jié)合起來(lái)，與一個(gè)Socket綁定，應(yīng)用層就可以和傳輸層通過(guò)套接字接口，區(qū)分來(lái)自不同應(yīng)用程序進(jìn)程或網(wǎng)絡(luò)連接的通信，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)牟l(fā)服務(wù)。1.傳輸層核心功能1.端口和套接字（Socket）端口和套接字關(guān)系傳輸層生成端口，每個(gè)端口包含一個(gè)唯一的、針對(duì)特定高層服務(wù)的標(biāo)識(shí)。一個(gè)套接字可管理很多端口，但每個(gè)端口都需要一個(gè)套接字，端口和特定高層協(xié)議相關(guān)聯(lián)，或動(dòng)態(tài)分配大部分遠(yuǎn)程網(wǎng)絡(luò)攻擊針對(duì)特定端口的特定服務(wù)。但很多DoS攻擊針對(duì)很多端口或套接字，因此傳輸層攻擊目標(biāo)包括端口、套接字和專門的協(xié)議1.傳輸層核心功能2.排序傳輸層從高層接收數(shù)據(jù)塊，并將其分成分組，每個(gè)分組賦予一個(gè)唯一的序列標(biāo)識(shí)，用來(lái)跟蹤分組。傳輸層保持一些已經(jīng)用于端口的序列號(hào)表，以防止序列號(hào)重復(fù)。因?yàn)樾蛄刑?hào)用于保持傳輸層的分組傳輸有序，這構(gòu)成普遍的攻擊因素，排序能用于傳輸層攔截攻擊1.傳輸層核心功能3.序列攔截攻擊者要觀察傳輸層分組必須識(shí)別序列，以插入或攔截連接。因此序列號(hào)的產(chǎn)生最好不要依次漸增，否則攻擊者易于預(yù)測(cè)下個(gè)分組編號(hào)序列號(hào)通常起始于隨機(jī)值，以防止攻擊者猜得到第一個(gè)分組，但整個(gè)會(huì)話過(guò)程中逐一增加。觀察者很容易識(shí)別序列號(hào)并攔截會(huì)話，但盲目攻擊者不能識(shí)別初始序列號(hào)，這樣盲目攻擊者無(wú)法決定序列號(hào)以及危害傳輸層連接很多傳輸層協(xié)議使用偽隨機(jī)數(shù)發(fā)生器，就成為可預(yù)測(cè)的。這個(gè)弱點(diǎn)導(dǎo)致盲目攻擊者能危害傳輸層連接2.傳輸層風(fēng)險(xiǎn)傳輸層風(fēng)險(xiǎn)圍繞序列號(hào)和端口要攔截傳輸層連接，攻擊者必須破壞分組排序目標(biāo)瞄準(zhǔn)端口，遠(yuǎn)程攻擊者可針對(duì)一個(gè)專門的高層服務(wù)偵察攻擊，包括端口掃描和信息泄露2.傳輸層風(fēng)險(xiǎn)1.傳輸層攔截傳輸層攔截攻擊需要兩個(gè)條件：一是攻擊者必須對(duì)某種類型的網(wǎng)絡(luò)層破壞，二是攻擊者必須識(shí)別傳輸序列攻擊者觀察TCP分組頭能識(shí)別序列的下一個(gè)分組以及任何需要回答響應(yīng)的分組，攔截傳輸層連接的能力取決于序列號(hào)質(zhì)量為完成一次攔截，攻擊者必須偽裝網(wǎng)絡(luò)層通信，偽裝的分組必須包括源和目的地址，源和目的端口2.傳輸層風(fēng)險(xiǎn)2.一個(gè)端口和多個(gè)端口的比較減少端口數(shù)量能減少攻擊因素。服務(wù)器一般應(yīng)該將開(kāi)放地端口數(shù)量減少到只有基本服務(wù)，如，Web服務(wù)器只打開(kāi)HTTP（80/TCP）端口，而遠(yuǎn)程控制臺(tái)只打開(kāi)SSH（22/TCP）端口2.傳輸層風(fēng)險(xiǎn)3.靜態(tài)端口賦值和動(dòng)態(tài)端口賦值遠(yuǎn)程客戶連接到服務(wù)器需要兩個(gè)條件，服務(wù)器的網(wǎng)絡(luò)地址，傳輸協(xié)議及端口號(hào)客戶端連接服務(wù)器時(shí)，通常連接到服務(wù)器的眾所周知端口，但客戶本身可能使用選自動(dòng)態(tài)端口范圍內(nèi)的端口某些高層協(xié)議不使用固定端口號(hào)，如RPC，F(xiàn)TP的數(shù)據(jù)連接以及Netmeeting，控制服務(wù)使用眾所周知端口，數(shù)據(jù)傳輸則用動(dòng)態(tài)端口動(dòng)態(tài)端口帶來(lái)不安全的風(fēng)險(xiǎn)，因?yàn)榉阑饓Ρ仨氃试S大范圍的端口可訪問(wèn)網(wǎng)絡(luò)

2.傳輸層風(fēng)險(xiǎn)4.端口掃描為攻擊一個(gè)服務(wù)，必須識(shí)別服務(wù)端口。端口掃描的任務(wù)是企圖連接到主機(jī)的每一個(gè)端口。如果端口有回答，則活動(dòng)服務(wù)正在監(jiān)聽(tīng)端口，如果是眾所周知端口，則增加了服務(wù)識(shí)別的可能性端口掃描的兩種方法：一是目標(biāo)端口掃描，用以測(cè)試特定的端口；二是端口掃視（sweep），用以測(cè)試主機(jī)上的所有可能的端口2.傳輸層風(fēng)險(xiǎn)4.端口掃描防御端口掃描方法非標(biāo)準(zhǔn)端口：將眾所周知端口的服務(wù)移到非標(biāo)準(zhǔn)端口以模糊服務(wù)類型無(wú)回答防御：因?yàn)槎丝趻呙璧却纸M回答，對(duì)不活動(dòng)的端口分組請(qǐng)求不予回答，使掃描系統(tǒng)等待回答直至超時(shí)，但是對(duì)活動(dòng)的端口還是要回答總是回答防御：活動(dòng)與非活動(dòng)端口總是回答，攻擊者無(wú)法區(qū)別活動(dòng)和非活動(dòng)端口敲打協(xié)議（knock-knockprotocol）：敲打服務(wù)器不打開(kāi)端口，而是監(jiān)控其他端口或網(wǎng)絡(luò)協(xié)議，觀察到期望的分組序列，服務(wù)才啟動(dòng)。如SSH服務(wù)器先不和端口綁定，直到觀察到具有700字節(jié)不規(guī)則數(shù)據(jù)字長(zhǎng)的ICMP分組才和端口綁定主動(dòng)掃描檢測(cè)：入侵檢測(cè)系統(tǒng)觀察掃描主機(jī)的一系列連接并阻斷訪問(wèn)故意延遲2.傳輸層風(fēng)險(xiǎn)5.信息泄露傳輸層對(duì)傳輸?shù)臄?shù)據(jù)不進(jìn)行加密，因此傳輸層協(xié)議本身并不對(duì)信息保護(hù)，監(jiān)控分組通信的觀察者能觀察到傳輸層內(nèi)容。通常傳輸層上面的高層提供身份鑒別和加密3.TCP偵察綁定到TCP端口的網(wǎng)絡(luò)服務(wù)提供對(duì)主機(jī)系統(tǒng)的直接訪問(wèn)，通過(guò)識(shí)別系統(tǒng)的類型和服務(wù)的類型，攻擊者能選擇相應(yīng)的攻擊方向1.操作系統(tǒng)框架1）初始窗口大小不同操作系統(tǒng)采用不同的初始窗口大小，但大部分系統(tǒng)還是使用默認(rèn)值，因此根據(jù)窗口大小可識(shí)別傳輸數(shù)據(jù)的操作系統(tǒng)的類型，也可以結(jié)合窗口的變化情況判斷操作系統(tǒng)類型2）TCP選項(xiàng)每個(gè)TCP分組包含TCP報(bào)頭值的一些選項(xiàng)，不同操作系統(tǒng)支持不同的選項(xiàng)、值和次序，通過(guò)觀察這些選項(xiàng)可識(shí)別特定的系統(tǒng)。某種情況下，TCP選項(xiàng)能唯一足夠識(shí)別操作系統(tǒng)和補(bǔ)丁級(jí)別，可識(shí)別未打系統(tǒng)補(bǔ)丁的漏洞3.TCP偵察1.操作系統(tǒng)框架3）序列號(hào)雖然所有系統(tǒng)用同樣的方法增加序列號(hào)，但是初始序列號(hào)是各個(gè)操作系統(tǒng)特定的。初始SYN和SYN-ACK分組交換用于連接初始的序列號(hào)，雖然單個(gè)TCP連接不能泄露可識(shí)別信息，但是一系列快速連接能泄露用來(lái)建立初始連接的模型，序列號(hào)能用來(lái)識(shí)別操作系統(tǒng)、版本，以及補(bǔ)丁版本信息4）客戶端口號(hào)服務(wù)器用固定TCP端口號(hào)，但客戶端可選擇任何可用的端口號(hào)用于連接，服務(wù)器可從TCP報(bào)頭確定客戶動(dòng)態(tài)端口號(hào)。從客戶到一個(gè)或多個(gè)服務(wù)器重復(fù)的連接將顯示對(duì)每個(gè)連接的不同端口號(hào)，不同的系統(tǒng)使用不同的動(dòng)態(tài)端口范圍供客戶選擇，觀察動(dòng)態(tài)端口范圍，可幫助識(shí)別操作系統(tǒng)3.TCP偵察1.操作系統(tǒng)框架5）重試當(dāng)TCP分組沒(méi)有收到回答響應(yīng)，分組重新發(fā)送，重試次數(shù)以及間隔是不同操作系統(tǒng)特定的，可以通過(guò)SYN重試、SYN-ACK重試以及ACK重試3種方法來(lái)確定操作系統(tǒng)框架對(duì)診斷技術(shù)是有用的，但對(duì)攻擊者在攻擊之前的偵查也是有用的，用來(lái)識(shí)別操作系統(tǒng)和補(bǔ)丁級(jí)別可以改變窗口大小、重試超時(shí)等默認(rèn)值，可以阻止多操作系統(tǒng)的識(shí)別3.TCP偵察2.端口掃描TCP端口掃描用來(lái)識(shí)別運(yùn)行的服務(wù)，對(duì)連接請(qǐng)求一般有四種類型的回答SYN-ACK：假如一個(gè)服務(wù)在端口運(yùn)行，那么SYN-ACK返回給客戶，這是正常的識(shí)別。為了阻止掃描，一些防火墻無(wú)論該端口有沒(méi)有服務(wù)總是返回一個(gè)SYN-ACK，使掃描器不能識(shí)別RST：假如沒(méi)有服務(wù)在運(yùn)行，很多系統(tǒng)返回一個(gè)RST，這提供一個(gè)快速確認(rèn)：該端口沒(méi)有服務(wù)ICMP不可達(dá)：假如主機(jī)不可達(dá)，那么ICMP分組返回以指示失敗，這使端口未知。很多防火墻用這種方法迷惑掃描器不應(yīng)答：假如分組沒(méi)有到主機(jī)，就沒(méi)有回答，SYN請(qǐng)求得不到SYN-ACK并超時(shí)。雖然這通常意味著主機(jī)不可達(dá)或不在線，但一些防火墻有意忽略發(fā)送的分組并關(guān)掉端口3.TCP偵察3.日志為了檢測(cè)系統(tǒng)掃描和網(wǎng)絡(luò)攻擊，日志是重要的。很多網(wǎng)絡(luò)服務(wù)有連接日志，包括時(shí)間戳、客戶網(wǎng)絡(luò)地址以及相關(guān)的連接信息。少數(shù)系統(tǒng)支持未加工的TCP通信，由高層執(zhí)行日志。在握手完成以前，高層并不支持TCP連接，結(jié)果使部分端口掃描（在握手完成以前）常常沒(méi)有日志。網(wǎng)絡(luò)監(jiān)控工具如IDS和IPS，一般監(jiān)控并把SYN請(qǐng)求以及任何包括部分建立連接的通信記錄日志，SYN分組被記錄，未請(qǐng)求的ACK和RST也被記錄，基于這些分組的頻率，類型和次序，一些工具能識(shí)別網(wǎng)絡(luò)掃描，如果是IPS在掃描完成以前能作出反應(yīng)，阻止更多信息泄露以及限制服務(wù)檢測(cè)。3.TCP偵察3.日志4.TCP攔截任何干擾TCP連接的攻擊都?xì)w結(jié)為TCP攔截，這些攻擊常常像DoS一樣出現(xiàn)，使連接過(guò)早結(jié)束1.全會(huì)話攔截常常需要攻擊者具有直接的數(shù)據(jù)鏈路訪問(wèn)。在混雜模式下，攻擊者觀察網(wǎng)絡(luò)地址、端口以及用于連接的序列號(hào)，利用這些信息，攻擊者試圖比一個(gè)TCP連接結(jié)束更快的響應(yīng)。成功的攔截提供具有連接會(huì)話的攻擊者到網(wǎng)絡(luò)服務(wù)，而失敗的攔截結(jié)果造成DoS或是簡(jiǎn)單的忽略2.ICMP和TCP攔截ICMP用來(lái)在IP和TCP之間通信，ICMP能用來(lái)報(bào)告不成功的連接或重新指向網(wǎng)絡(luò)服務(wù)。遇到惡意攻擊時(shí)，ICMP能將TCP連接重新指向不同的端口和不同的主機(jī)，雖然攻擊者仍必須知道TCP序列號(hào)，但I(xiàn)CMP不需要使用DoS來(lái)結(jié)束任何一個(gè)原始連接5.TCP

DoSDoS攻擊的兩個(gè)目的：是目標(biāo)主機(jī)不能正常執(zhí)行任務(wù)，二是分散管理者注意力，以便對(duì)另外一個(gè)系統(tǒng)實(shí)施攻擊。TCP十分容易受到DoS攻擊，任何對(duì)端口或序列號(hào)的干擾都會(huì)使連接斷開(kāi)1.SYN攻擊每個(gè)TCP實(shí)施分配用于管理連接的內(nèi)存，每個(gè)連接包括網(wǎng)絡(luò)地址、端口、窗口大小，序列號(hào)以及用于入出分組的緩存空間。每個(gè)服務(wù)器收到SYN就分配內(nèi)存，SYN攻擊發(fā)送大量的SYN分組來(lái)消耗內(nèi)存，當(dāng)連接個(gè)數(shù)超過(guò)限制的時(shí)候，新的連接被切斷每次SYN分組放到一個(gè)打開(kāi)的服務(wù)，就產(chǎn)生一個(gè)SYN-ACK響應(yīng)，此時(shí)客戶端不產(chǎn)生ACK響應(yīng)，這時(shí)連接被掛起直至超時(shí)。足夠多的這樣掛起將造成DoS攻擊①SYN②SYN/ACK③ACK5.TCP

DoS1.SYN攻擊防范措施-過(guò)濾網(wǎng)關(guān)防護(hù)網(wǎng)關(guān)超時(shí)設(shè)置：防火墻設(shè)置SYN轉(zhuǎn)發(fā)超時(shí)參數(shù)，該參數(shù)遠(yuǎn)小于服務(wù)器的timeout時(shí)間。當(dāng)客戶端發(fā)送完SYN包，服務(wù)端發(fā)送確認(rèn)包后（SYN＋ACK），防火墻如果在計(jì)數(shù)器到期時(shí)還未收到客戶端的確認(rèn)包（ACK），則往服務(wù)器發(fā)送RST包，以使服務(wù)器從隊(duì)列中刪去該半連接。①SYN②SYN/ACK③ACKRST5.TCP

DoS1.SYN攻擊防范措施-過(guò)濾網(wǎng)關(guān)防護(hù)SYN網(wǎng)關(guān)：SYN網(wǎng)關(guān)收到客戶端的SYN包時(shí)，直接轉(zhuǎn)發(fā)給服務(wù)器；SYN網(wǎng)關(guān)收到服務(wù)器的SYN/ACK包后，將該包轉(zhuǎn)發(fā)給客戶端，同時(shí)以客戶端的名義給服務(wù)器發(fā)ACK確認(rèn)包。此時(shí)服務(wù)器由半連接狀態(tài)進(jìn)入連接狀態(tài)。當(dāng)客戶端確認(rèn)包到達(dá)時(shí)，如果有數(shù)據(jù)則轉(zhuǎn)發(fā)，否則丟棄。①SYN②SYN/ACK③ACKFIN③ACK①SYN②SYN/ACK5.TCP

DoS1.SYN攻擊防范措施-過(guò)濾網(wǎng)關(guān)防護(hù)SYN單向代理：TCP代理收到某客戶端發(fā)來(lái)的到服務(wù)器的SYN報(bào)文后，先代替服務(wù)器向客戶端回應(yīng)序號(hào)錯(cuò)誤的SYNACK報(bào)文。如果收到客戶端回應(yīng)的RST報(bào)文，則認(rèn)為該TCP連接請(qǐng)求通過(guò)TCP代理的驗(yàn)證。一定時(shí)間內(nèi)，TCP代理收到客戶端重發(fā)的SYN報(bào)文后，直接向服務(wù)器轉(zhuǎn)發(fā)，在客戶端和服務(wù)器之間建立TCP連接。TCP連接建立后，TCP代理直接轉(zhuǎn)發(fā)后續(xù)的報(bào)文，不對(duì)報(bào)文進(jìn)行處理。5.TCP

DoS1.SYN攻擊防范措施-過(guò)濾網(wǎng)關(guān)防護(hù)SYN雙向代理：TCP代理收到某客戶端發(fā)來(lái)的到服務(wù)器的SYN報(bào)文后，先代替服務(wù)器向客戶端回應(yīng)正常的SYNACK報(bào)文（窗口值為0）。如果收到客戶端回應(yīng)的ACK報(bào)文，則認(rèn)為該TCP連接請(qǐng)求通過(guò)TCP代理的驗(yàn)證。TCP代理再向服務(wù)器發(fā)送同樣的SYN報(bào)文，并通過(guò)三次握手與服務(wù)器建立TCP連接。雙向代理方式中，在客戶端和TCP代理、TCP代理和服務(wù)器之間建立兩個(gè)TCP連接。由于兩個(gè)TCP連接使用的序號(hào)不同，TCP報(bào)文交互過(guò)程中，TCP代理接收到客戶端或服務(wù)器發(fā)送的報(bào)文后，需要修改報(bào)文序號(hào)，再轉(zhuǎn)發(fā)給對(duì)端，這樣才能保證通信正常。5.TCP

DoS1.SYN攻擊防范措施-加固TCP/IP協(xié)議棧增加最大半連接數(shù)縮短超時(shí)時(shí)間SYNcookies技術(shù)：SYNcookies應(yīng)用于linux、FreeBSD等操作系統(tǒng)，當(dāng)半連接隊(duì)列滿時(shí)，SYNcookies并不丟棄SYN請(qǐng)求，也不分配內(nèi)存空間，而是通過(guò)加密技術(shù)來(lái)標(biāo)識(shí)半連接狀態(tài)。SYNcookies中，服務(wù)器的初始序列號(hào)是通過(guò)對(duì)客戶端IP地址、客戶端端囗、服務(wù)器IP地址和服務(wù)器端囗以及其他一些安全數(shù)值等要素進(jìn)行hash運(yùn)算加密得到的，稱之為cookie。當(dāng)服務(wù)器遭受SYN攻擊使得半連接隊(duì)列滿時(shí)，服務(wù)器并不拒絕新的SYN請(qǐng)求，而是回復(fù)cookie（回復(fù)包的SYN序列號(hào)）給客戶端，如果收到客戶端的ACK包，服務(wù)器將客戶端的ACK序列號(hào)減去1得到cookie比較值，并將上述要素進(jìn)行一次hash運(yùn)算，看看是否等于此cookie。如果相等，直接完成三次握手5.TCP

DoS2.RST（或FIN）攻擊RST（Resettheconnection）攻擊：盲目的RST攻擊發(fā)生在攻擊者不能攔截或看到網(wǎng)絡(luò)連接的時(shí)候，用不同的序列和端口值偽造RST分組發(fā)送，只要其中一個(gè)有效就能斷開(kāi)連接RSTTCPconnection攻擊者5.TCP

DoS3.ICMP攻擊類似RST攻擊，ICMP可用來(lái)指定一個(gè)斷開(kāi)連接。盲目的ICMP攻擊也能使TCP不能連接。不像TCP重置攻擊，防火墻能阻斷ICMP攻擊，而RST攻擊因?yàn)橛行У亩丝诤偷刂方M合，能通過(guò)防火墻4.LAND攻擊一個(gè)特別打造的SYN包中的源地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址，導(dǎo)致服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直到超時(shí)掉。對(duì)Land攻擊反應(yīng)不同，許多UNIX系統(tǒng)將崩潰，而WindowsNT會(huì)變的極其緩慢（大約持續(xù)五分鐘）。6.緩解對(duì)TCP攻擊的方法1.改變系統(tǒng)框架TCP和網(wǎng)絡(luò)服務(wù)攻擊有兩類，盲目攻擊和定向攻擊，前者沒(méi)有假定的攻擊目標(biāo)，通過(guò)試探發(fā)現(xiàn)漏洞，大部分計(jì)算機(jī)病毒使用這種方法定向攻擊這對(duì)特定操作系統(tǒng)平臺(tái)和網(wǎng)絡(luò)服務(wù)。首先通過(guò)偵察識(shí)別可能的目標(biāo)，然后攻擊可行的目標(biāo)，通過(guò)改變系統(tǒng)框架可緩解攻擊者的識(shí)別。修改SYN超時(shí)、重試計(jì)數(shù)、重試間隔、初始窗口大小、可用的TCP選項(xiàng)以及初始序列值很多TCP端口是標(biāo)準(zhǔn)化的，特定端口用于特定服務(wù)。雖然這些端口是標(biāo)準(zhǔn)的，但不是必需的，可以改變端口號(hào)以減少攻擊的可能性。6.緩解對(duì)TCP攻擊的方法2.阻斷攻擊指向用防火墻阻斷任何外部的SYN分組，對(duì)于DMZ區(qū)內(nèi)提供的服務(wù)，可以設(shè)置路由器只開(kāi)放相應(yīng)的端口和地址。同時(shí)阻斷ICMP通行能消除來(lái)自遠(yuǎn)程的ICMP淹沒(méi)、攔截和重置攻擊的風(fēng)險(xiǎn)3.狀態(tài)分組檢測(cè)很多防火墻支持狀態(tài)分組檢測(cè)（SPI），SPI跟蹤TCP連接狀態(tài)以及具有和已知狀態(tài)不匹配的分組，如，一個(gè)RST分組送到關(guān)閉的端口，可以直接丟棄，而不是傳遞給主機(jī)，SPI能減少攔截攻擊、重置攻擊、遠(yuǎn)程系統(tǒng)框架等的影響6.緩解對(duì)TCP攻擊的方法4.入侵檢測(cè)系統(tǒng)（IDS）IDS對(duì)非標(biāo)準(zhǔn)的或非期望的分組進(jìn)行監(jiān)控。IDS能很快識(shí)別遠(yuǎn)程系統(tǒng)框架、TCP端口掃描、攔截企圖以及DoS攻擊5.入侵防御系統(tǒng)對(duì)于部署在數(shù)據(jù)轉(zhuǎn)發(fā)路徑上的IPS，可以根據(jù)預(yù)先設(shè)定的安全策略，對(duì)流經(jīng)的每個(gè)報(bào)文進(jìn)行深度檢測(cè)(協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計(jì)分析、事件關(guān)聯(lián)分析等)，如果一旦發(fā)現(xiàn)隱藏于其中網(wǎng)絡(luò)攻擊，可以根據(jù)該攻擊的威脅級(jí)別立即采取抵御措施，這些措施包括：向管理中心告警；丟棄該報(bào)文；切斷此次應(yīng)用會(huì)話；切斷此次TCP連接。6.緩解對(duì)TCP攻擊的方法7.高層協(xié)議一般來(lái)說(shuō)，假定高層協(xié)議將鑒別通信以及檢測(cè)可能的攻擊7.UDPUDP是一個(gè)簡(jiǎn)單的傳輸協(xié)議，用于無(wú)連接服務(wù)。UDP的報(bào)頭值包括源端口、目的端口、數(shù)據(jù)長(zhǎng)度和校驗(yàn)和，共8個(gè)字節(jié)，UDP傳輸不產(chǎn)生回答的響應(yīng)。UDP攻擊常常基于無(wú)效的分組以及偽裝1.非法的進(jìn)入源UDP服務(wù)器不執(zhí)行初始握手，任何主機(jī)都能連接到UDP服務(wù)器而無(wú)須身份鑒別。服務(wù)器緩沖有限數(shù)的UDP分組。緩沖器空間滿后收到的分組將被丟棄。UDP分組能很快淹沒(méi)慢的UDP服務(wù)2.UDP攔截由于無(wú)身份鑒別，任何客戶可以發(fā)任何分組到任何UDP服務(wù)器，管理會(huì)話和連接必須由高層協(xié)議處理。因此UDP容易被攔截，攻擊者能很容易偽裝成正確的網(wǎng)絡(luò)地址和UDP端口，將數(shù)據(jù)插入到接受者，盲目的UDP攻擊只需猜測(cè)端口號(hào)，不超過(guò)65536個(gè)，只需幾秒7.UDP3.UDP保持存活攻擊UDP沒(méi)有清楚地指示連接是打開(kāi)還是關(guān)閉，結(jié)果大多數(shù)防火墻當(dāng)看到第一個(gè)出口連接時(shí)，打開(kāi)端口，一段時(shí)間不活動(dòng)才關(guān)閉端口，攻擊者能利用這個(gè)弱點(diǎn)來(lái)保持UDP端口打開(kāi)。即使客戶不再監(jiān)聽(tīng)分組時(shí)，攻擊者能發(fā)送UDP分組到防火墻，以保持防火墻端口打開(kāi)。當(dāng)足夠多的端口保持打開(kāi)，那么沒(méi)有新的端口不能被打開(kāi)，這使UDP不能有效地通過(guò)防火墻。7.UDP4.UDPSmurf攻擊攻擊者向網(wǎng)絡(luò)廣播地址發(fā)送ICMP包，并將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址，通過(guò)使用ICMP應(yīng)答請(qǐng)求數(shù)據(jù)包來(lái)淹沒(méi)受害主機(jī)的方式進(jìn)行，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。更加復(fù)雜的Smurf攻擊攻擊將源地址改為第三方受害者，最終導(dǎo)致第三方崩潰。防范措施：配置路由器禁止IP廣播包進(jìn)網(wǎng)配置網(wǎng)絡(luò)上所有計(jì)算機(jī)的操作系統(tǒng)，禁止對(duì)目標(biāo)地址為廣播地址的ICMP包響應(yīng)。對(duì)于從本網(wǎng)絡(luò)向外部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)包，本網(wǎng)絡(luò)應(yīng)該將其源地址為其他網(wǎng)絡(luò)的這部分?jǐn)?shù)據(jù)包過(guò)濾掉。7.UDP5.UDP偵察UDP對(duì)系統(tǒng)偵察只提供少量選項(xiàng)。UDP端口掃描依靠ICMP和分組回答實(shí)現(xiàn)。如果沒(méi)有UDP服務(wù)存在于掃描端口，那么ICMP返回“目的不可達(dá)”分組。但是有些UDP服務(wù)對(duì)沒(méi)有連接返回一個(gè)回答。任何UDP回答指示一個(gè)存在的服務(wù)。防范這類端口掃描的唯一辦法是不返回任何ICMP分組，使攻擊者難以區(qū)分有沒(méi)有服務(wù)9.DNS風(fēng)險(xiǎn)及緩解辦法1.直接風(fēng)險(xiǎn)DNS系統(tǒng)假定DNS服務(wù)器之間是可信的，DNS服務(wù)器不會(huì)故意提供錯(cuò)誤的信息，DNS協(xié)議不提供客戶和服務(wù)器之間的身份鑒別，這使攻擊者可破壞這種可信關(guān)系1）無(wú)身份鑒別的響應(yīng)DNS使用一個(gè)會(huì)話標(biāo)識(shí)來(lái)匹配請(qǐng)求和回答，但會(huì)話標(biāo)識(shí)不提供身份鑒別，攻擊者觀察DNS請(qǐng)求，能偽造一個(gè)DNS回答。假的回答會(huì)有觀察到的會(huì)話標(biāo)識(shí)，攻擊者甚至可以在分組中設(shè)置授權(quán)標(biāo)記，去除對(duì)數(shù)據(jù)正確性的懷疑，結(jié)果是攻擊者能控制主機(jī)名的查找，并進(jìn)一步重指被害者的連接9.DNS風(fēng)險(xiǎn)及緩解辦法1.直接風(fēng)險(xiǎn)2）DNS緩存受損當(dāng)計(jì)算機(jī)對(duì)域名訪問(wèn)時(shí)并不是每次訪問(wèn)都需要向DNS服務(wù)器發(fā)出請(qǐng)求，一般來(lái)說(shuō)當(dāng)解析工作完成一次后，該解析條目會(huì)保存在計(jì)算機(jī)的DNS緩存列表中，如果這時(shí)DNS解析出現(xiàn)更改變動(dòng)的話，由于DNS緩存列表信息沒(méi)有改變，在計(jì)算機(jī)對(duì)該域名訪問(wèn)時(shí)仍然不會(huì)連接DNS服務(wù)器獲取最新解析信息，會(huì)根據(jù)自己計(jì)算機(jī)上保存的緩存對(duì)應(yīng)關(guān)系來(lái)解析，這樣就會(huì)出現(xiàn)DNS解析故障攻擊者觀察DNS請(qǐng)求，并生成一個(gè)偽造的DNS回答，并含有一個(gè)長(zhǎng)的緩存超時(shí)值，這樣受損的DNS緩存可對(duì)任何數(shù)據(jù)請(qǐng)求提供假的數(shù)據(jù)9.DNS風(fēng)險(xiǎn)及緩解辦法1.直接風(fēng)險(xiǎn)3)ID盲目攻擊攻擊者選擇一個(gè)公用的域名，生成DNS回答的泛濫，每個(gè)回答包含一個(gè)不同的會(huì)話標(biāo)識(shí)盲目攻擊9.DNS風(fēng)險(xiǎn)及緩解辦法1.直接風(fēng)險(xiǎn)4)利用DNS服務(wù)器進(jìn)行DDOS攻擊假設(shè)攻擊者已知被攻擊機(jī)器的IP地址，然后攻擊者使用該地址作為發(fā)送解析命令的源地址。這樣當(dāng)使用DNS服務(wù)器遞歸查詢后，DNS服務(wù)器響應(yīng)給最初用戶，而這個(gè)用戶正是被攻擊者。那么如果攻擊者控制了足夠多的肉雞，反復(fù)的進(jìn)行如上操作，那么被攻擊者就會(huì)受到來(lái)自于DNS服務(wù)器的響應(yīng)信息DDOS攻擊9.DNS風(fēng)險(xiǎn)及緩解辦法1.直接風(fēng)險(xiǎn)5)破壞DNS分組DNS協(xié)議規(guī)定了查詢和回答的數(shù)據(jù)大小。但某些DNS實(shí)施沒(méi)有適當(dāng)?shù)臋z查數(shù)據(jù)邊界。分組可聲稱包含比實(shí)際更多的數(shù)據(jù)，或者沒(méi)有包含足夠的數(shù)據(jù)。其結(jié)果是緩沖器溢出或不足9.DNS風(fēng)險(xiǎn)及緩解辦法2.技術(shù)風(fēng)險(xiǎn)直接風(fēng)險(xiǎn)是協(xié)議本身的影響，技術(shù)風(fēng)險(xiǎn)是基于配置的問(wèn)題1）DNS域攔截是指在一定的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請(qǐng)求，返回假的IP地址或者什么都不做使請(qǐng)求失去響應(yīng)，其效果就是對(duì)特定的網(wǎng)絡(luò)不能反應(yīng)或訪問(wèn)的是假的對(duì)攻擊者有利的網(wǎng)址。所以域名劫持通常相伴的措施——封鎖正常DNS的IP解決辦法：防火墻出口過(guò)濾阻止用戶訪問(wèn)惡意站點(diǎn)，本地DNS服務(wù)器配置成阻止惡意站點(diǎn)對(duì)主機(jī)名的查找9.DNS風(fēng)險(xiǎn)及緩解辦法2.技術(shù)風(fēng)險(xiǎn)2）DNS服務(wù)器攔截被攻擊的DNS服務(wù)器被增加、修改、刪除DNS記錄條目為緩解系統(tǒng)被破壞的風(fēng)險(xiǎn)，DNS服務(wù)器應(yīng)運(yùn)行在加固的系統(tǒng)，關(guān)閉所有不必要的服務(wù)9.DNS風(fēng)險(xiǎn)及緩解辦法2.技術(shù)風(fēng)險(xiǎn)3）更新持續(xù)時(shí)間緩存DNS服務(wù)器同每個(gè)DNS項(xiàng)的超時(shí)相關(guān)聯(lián)，當(dāng)主機(jī)配置改變時(shí)，超時(shí)防止數(shù)據(jù)失效。如果超時(shí)值過(guò)大，則不能立即完成改變。如果管理者立即重新定位主機(jī)，那么緩存服務(wù)器將指向錯(cuò)誤的地址9.DNS風(fēng)險(xiǎn)及緩解辦法2.技術(shù)風(fēng)險(xiǎn)4）動(dòng)態(tài)DNSDHCP提供帶有網(wǎng)絡(luò)地址的新的主機(jī)、默認(rèn)網(wǎng)關(guān)以及DNS服務(wù)器信息。這些主機(jī)只能用它們的網(wǎng)絡(luò)地址訪問(wèn)，不能用主機(jī)名訪問(wèn)。動(dòng)態(tài)DNS（DDNS）解決該問(wèn)題，使用DDNS，DHCP的客戶能在本地DNS系統(tǒng)放主機(jī)名，雖然客戶每次分配一個(gè)新的網(wǎng)絡(luò)地址，但DDNS能保證主機(jī)名總是指到主機(jī)的新的網(wǎng)絡(luò)地址用戶能很容易地配置DDNS主機(jī)名，但是DDNS主機(jī)名允許攔截。任何不和活動(dòng)DHCP地址相聯(lián)系的主機(jī)名都可被請(qǐng)求。那么另一臺(tái)主機(jī)能很容易攔截該主機(jī)名。只要被攔截的名字同有效的DHCP主機(jī)相聯(lián)系著，真正的主機(jī)就不能請(qǐng)求該名字9.DNS風(fēng)險(xiǎn)及緩解辦法3.社會(huì)風(fēng)險(xiǎn)1）相似的主機(jī)名正常域名為，攻擊者擁有與之相似的域名，當(dāng)用戶錯(cuò)誤的輸入了該相似的主機(jī)名，就訪問(wèn)了偽裝站點(diǎn)2）自動(dòng)名字實(shí)現(xiàn)很多瀏覽器支持自動(dòng)名字實(shí)現(xiàn)，即用戶不輸入域名服務(wù)器的高級(jí)域名（.com）而只輸入主機(jī)名的中間部分，自動(dòng)名字實(shí)現(xiàn)可附件一個(gè)后綴，直到找到主機(jī)名，通常先試的是.com，如果web站點(diǎn)不是以.com結(jié)尾，那么攻擊者可以注冊(cè).com的名字來(lái)攔截這個(gè)域3）社會(huì)工程說(shuō)服注冊(cè)機(jī)構(gòu)，更改域名4）域更新欠費(fèi)沒(méi)更新，導(dǎo)致原有域名被他人注冊(cè)9.DNS風(fēng)險(xiǎn)及緩解辦法4.緩解風(fēng)險(xiǎn)辦法DNS的設(shè)計(jì)是用來(lái)管理大量的網(wǎng)絡(luò)地址信息。設(shè)計(jì)時(shí)考慮了速度、靈活性和可擴(kuò)展性，但未考慮安全問(wèn)題，因此不提供身份鑒別，且假定所有的詢問(wèn)時(shí)可信的1）直接威脅緩解辦法補(bǔ)?。篋NS服務(wù)器和主機(jī)經(jīng)常打補(bǔ)丁內(nèi)部和外部域分開(kāi)：DNS服務(wù)器應(yīng)該是分開(kāi)的，大的網(wǎng)絡(luò)應(yīng)考慮在內(nèi)部網(wǎng)絡(luò)分段間分開(kāi)設(shè)置服務(wù)器，以限制單個(gè)服務(wù)器破壞的影響，且能平衡DNS負(fù)載有限的緩沖間隔拒絕不匹配的回答：假如緩沖DNS服務(wù)器接到多個(gè)具有不同值的回答，全部緩沖器刷新9.DNS風(fēng)險(xiǎn)及緩解辦法4.緩解風(fēng)險(xiǎn)辦法2）技術(shù)威脅的緩解加固服務(wù)器：限制遠(yuǎn)程可訪問(wèn)進(jìn)程數(shù)量，就能限制潛在的攻擊的數(shù)量，加固服務(wù)器可降低來(lái)自技術(shù)攻擊的威脅防火墻：在DNS服務(wù)器前面放置硬件防火墻限制遠(yuǎn)程攻擊的數(shù)量10.SMTP郵件風(fēng)險(xiǎn)SMTP郵件系統(tǒng)設(shè)計(jì)時(shí)主要考慮可靠地、及時(shí)的傳遞報(bào)文，沒(méi)有考慮安全10.SMTP郵件風(fēng)險(xiǎn)SMTP郵件系統(tǒng)設(shè)計(jì)時(shí)主要考慮可靠地、及時(shí)的傳遞報(bào)文，沒(méi)有考慮安全1.偽裝報(bào)頭及垃圾郵件郵件用戶代理MUA能指定郵件報(bào)頭，每個(gè)郵件中繼附加接收到的報(bào)頭到郵件的開(kāi)頭，用來(lái)跟蹤報(bào)文。偽裝的郵件報(bào)頭發(fā)生在發(fā)送者故意插入假的報(bào)頭信息。除了最后接收的報(bào)頭以外，電子郵件報(bào)頭的所有屬性都可以偽造。主體、日期、接收者、內(nèi)容甚至最初接收的報(bào)頭都能利用SMTP數(shù)據(jù)命令偽造垃圾郵件：占所有電子郵件80%，成因一方面缺乏身份鑒別，另一方面?zhèn)窝b報(bào)頭只需要很低的技巧。反垃圾郵件只能過(guò)濾或攔截掉90%的垃圾郵件。但制造者不斷改變技術(shù)，使靜態(tài)反垃圾郵件系統(tǒng)失效。同樣反垃圾郵件也會(huì)過(guò)濾掉非垃圾郵件10.SMTP郵件風(fēng)險(xiǎn)1.偽裝報(bào)頭及垃圾郵件接收的報(bào)頭包含“from”和“by”地址，如果一個(gè)報(bào)頭的“by”地址和下一個(gè)報(bào)頭的“from”不匹配，那么這個(gè)郵件很可能是偽造的接收的報(bào)頭包含一個(gè)時(shí)間戳和跟蹤號(hào)，不存在的話，也可能是偽造的根據(jù)發(fā)件人和內(nèi)容判定是否是垃圾郵件通過(guò)服務(wù)器處理日志來(lái)判斷偽造電子郵件10.SMTP郵件風(fēng)險(xiǎn)2.中繼和攔截SMTP并非總是將電子郵件從發(fā)送者送到接受者，通常使用中繼來(lái)路由信息SMTP管理員無(wú)須專門的允許來(lái)操作中繼，而且電子郵件信息一般是明文發(fā)送，結(jié)果是中繼的擁有者能讀取電子郵件甚至修改報(bào)文內(nèi)容為緩解風(fēng)險(xiǎn)，敏感的電子郵件使用內(nèi)容加密，PGP是常用的加密電子郵件的例子，但加密技術(shù)用于電子郵件有其局限性：兼容性：PGP用mutt（unix郵件客戶）加密的電子郵件，對(duì)MicrosoftOutlook的用戶不是很容易能看到的。越是復(fù)雜的機(jī)密系統(tǒng)越安全，但兼容性越差一致性：電子郵件是可以發(fā)送給任何人，包括陌生人。流行的密碼系統(tǒng)需要發(fā)送者對(duì)接受者有事先的連接，包括密鑰交換10.SMTP郵件風(fēng)險(xiǎn)3.SMTP和DNSSMTP最大風(fēng)險(xiǎn)來(lái)自于對(duì)DNS的依從。DNS用來(lái)識(shí)別郵件中繼，DNS受損導(dǎo)致電子郵件受損。電子郵件可被路由到敵意的中繼或單純被阻斷4.底層協(xié)議電子郵件也會(huì)受到底層協(xié)議如MAC、IP和TCP攔截的影響。如果安全是第一要素，應(yīng)盡量不用電子郵件，尤其不能用來(lái)發(fā)送口令、信用卡信息或保密信息5.電子郵件倫理問(wèn)題電子郵件在技術(shù)上可以被任意轉(zhuǎn)發(fā)電子郵件可以偽裝成他人的電子郵件地址發(fā)送SMTP無(wú)法驗(yàn)證電子郵件的傳送以及是否被接收，擴(kuò)展的SMTP可提供傳遞通知，回執(zhí)和投遞通知，但無(wú)法證明接收者是否確實(shí)收到了該郵件11.HTTP風(fēng)險(xiǎn)HTTP的設(shè)計(jì)目的是靈活和實(shí)時(shí)地傳送文件，沒(méi)有考慮安全因素。但使用HTTP的各種應(yīng)用都期盼提供身份鑒別、認(rèn)證和隱私，這就導(dǎo)致了基于無(wú)身份鑒別HTTP系統(tǒng)的風(fēng)險(xiǎn)。HTTP使用通用資源訪問(wèn)地址URL作為定義查詢類型的縮寫標(biāo)記。它不僅允許標(biāo)識(shí)遠(yuǎn)程服務(wù)和文件，而且也導(dǎo)致暴露攻擊的目標(biāo)11.HTTP風(fēng)險(xiǎn)URL（UniformResourceLocation的縮寫，譯為“統(tǒng)一資源定位符）網(wǎng)頁(yè)的地址，組成：scheme://host:port/pathInternet資源類型（scheme）：指出WWW客戶程序用來(lái)操作的工具。如“http://”表示W(wǎng)WW服務(wù)器，“ftp://”表示FTP服務(wù)器服務(wù)器地址（host）：指出WWW頁(yè)所在的服務(wù)器域名。端口（port）：有時(shí)（并非總是這樣），對(duì)某些資源的訪問(wèn)來(lái)說(shuō)，需給出相應(yīng)的服務(wù)器提供端口號(hào)路徑（path）：指明服務(wù)器上某資源的位置例如/pub/HXWZ就是一個(gè)典型的URL地址。客戶程序首先看到http（超文本傳送協(xié)議），便知道處理的是HTML鏈接。接下來(lái)的是站點(diǎn)地址，最后是目錄pub/HXWZ。而/pub/HXWZ/cm9612a.GB，WWW客戶程序需要用FTP去進(jìn)行文件傳送，站點(diǎn)是，然后去目錄pub/HXWZ下，下載文件cm9612a.GB。11.HTTP風(fēng)險(xiǎn)1.URL漏洞URL為用戶提供了方便識(shí)別網(wǎng)絡(luò)資源的方法，URL可識(shí)別服務(wù)、服務(wù)器以及資源參數(shù)，攻擊者可以策劃一個(gè)敵意的URL并把被害者指向另一個(gè)位置，導(dǎo)致被破壞1）主機(jī)名破解攻擊URL通常包含主機(jī)名，使用戶容易記住不同的文本字符串，而無(wú)須用不易記憶的網(wǎng)絡(luò)地址。這很容易讓攻擊者獲得主機(jī)名等信息諸如相似的主機(jī)名和自動(dòng)完成的風(fēng)險(xiǎn)比直接DNS破壞更簡(jiǎn)單