網絡攻防原理與技術 第4版 課件 第3章 網絡脆弱性分析

本PPT是機械工業(yè)出版社出版的教材《網絡攻防原理與技術（第3版）》配套教學PPT（部分內容的深度和廣度比教材有所擴展），作者：吳禮發(fā)，洪征，李華波本PPT可能會直接或間接采用了網上資源或公開學術報告中的部分PPT頁面、圖片、文字，引用時我們力求在該PPT的備注欄或標題欄中注明出處，如果有疏漏之處，敬請諒解。同時對被引用資源或報告的作者表示誠摯的謝意！本PPT可免費使用、修改，使用時請保留此頁。聲明第三章網絡脆弱性分析威脅網絡安全的主要因素廣義上的網絡安全概念威脅因素環(huán)境和災害因素溫度、濕度、供電、火災、水災、地震、靜電、灰塵、雷電、強電磁場、電磁脈沖等，均會破壞數據和影響信息系統(tǒng)的正常工作人為因素：多數安全事件是由于人員的疏忽、惡意程序、黑客的主動攻擊造成的有意：人為的惡意攻擊、違紀、違法和犯罪無意：工作疏忽造成失誤（配置不當等），會對系統(tǒng)造成嚴重的不良后果威脅網絡安全的主要因素威脅因素(Cont.)系統(tǒng)自身因素計算機系統(tǒng)硬件系統(tǒng)的故障軟件：操作系統(tǒng)、支撐軟件和應用軟件網絡和通信協議系統(tǒng)自身的脆弱和不足是造成信息系統(tǒng)安全問題的內部根源，攻擊者正是利用系統(tǒng)的脆弱性使各種威脅變成現實內容提綱網絡體系結構的脆弱性2典型網絡協議的脆弱性3計算機系統(tǒng)安全分析4計算機網絡概述1計算機網絡：由通信信道連接的主機和網絡設備的集合，以方便用戶共享資源和相互通信主機：計算機和非計算機設備信道：有線與無線網絡設備：集線器、交換機、路由器等計算機網絡計算機網絡：由通信信道連接的主機和網絡設備的集合，以方便用戶共享資源和相互通信互聯網（internet或internetwork）因特網（Internet）計算機網絡因特網：多層次ISP結構的網絡計算機網絡結構和組成第一層ISP大公司本地ISP大公司大公司公司本地ISP本地ISP校園網局域網局域網局域網第二層ISP第二層ISPIXPIXP第一層ISP第二層ISP本地ISP本地ISP本地ISP本地ISP第一層ISP第一層第二層第三層本地ISP第二層ISP本地ISP本地ISP本地ISP本地ISP第二層ISP本地ISP本地ISP第二層ISP企業(yè)用戶住宅用戶單位用戶主機B主機A校園用戶因特網：邊緣部分+核心部分計算機網絡結構和組成核心部分邊緣部分主機網絡路由器接入網邊緣部分：主機+接入網計算機網絡結構和組成核心部分：大量網絡+路由器計算機網絡結構和組成H1H5H2H4H3H6發(fā)送的分組路由器AEDBC網絡核心部分主機網絡的體系結構(architecture)：計算機網絡的各層及其協議的集合協議（protocol）：為網絡中互相通信的對等實體間進行數據交換而建立的規(guī)則、標準或約定，三要素：語法、語義、同步網絡體系結構網絡體系結構內容提綱網絡體系結構的脆弱性2典型網絡協議的脆弱性3計算機系統(tǒng)安全分析4計算機網絡概述1從網絡體系結構上分析分組交換、認證與可追蹤性、盡力而為的服務策略、匿名與隱私、無尺度網絡、級聯結構、互聯網的級聯特性、中間盒子計算機網絡的脆弱性計算機網絡的脆弱性問題一：分組交換Internet是基于分組交換的，這使得它比電信網（采用電路交換）更容易受攻擊：所有用戶共享所有資源，給予一個用戶的服務會受到其它用戶的影響；攻擊數據包在被判斷為是否惡意之前都會被轉發(fā)到受害者！(很容易被DoS攻擊)；路由分散決策，流量無序。計算機網絡的脆弱性問題二：認證與可追蹤性Internet沒有認證機制，任何一個終端接入即可訪問全網（而電信網則不是，有UNI、NNI接口之分），這導致一個嚴重的問題就是IP欺騙：攻擊者可以偽造數據包中的任何區(qū)域的內容然后發(fā)送數據包到Internet中。通常情況下，路由器不具備數據追蹤功能（Why？），因此沒有現實的方法驗證一個數據包是否來自于其所聲稱的地方。攻擊者通過IP欺騙隱藏來源。計算機網絡的脆弱性問題三：盡力而為(best-effort)因特網采取的是盡力而為策略：把網絡資源的分配和公平性完全寄托在終端的自律上是不現實的（DDoS利用的就是這一點）計算機網絡的脆弱性問題四：匿名與隱私普通用戶無法知道對方的真實身份，也無法拒絕來路不明的信息（如郵件）有人提出新的體系：終端名字與地址分離OntheInternet,nobodyknowsyouareadog;OntheInternet,allknowsyouarenotadog!計算機網絡的脆弱性計算機網絡的脆弱性計算機網絡的脆弱性問題五：對全球網絡基礎實施的依賴全球網絡基礎設施不提供可靠性、安全性保證，這使得攻擊者可以放大其攻擊效力：一些不恰當的協議設計導致一些（尤其是畸形的）數據包比其它數據包耗費更多的資源（如TCPSYN包比其它的TCP包占用的目標資源更多）；Internet是一個大“集體”，其中有很多的不安全的系統(tǒng)計算機網絡的脆弱性問題六：無尺度網絡無尺度網絡的典型特征是網絡中的大部分結點只和很少結點連接，而有極少數結點與非常多的結點連接。這種關鍵結點（稱為“樞紐”或“集散結點”）的存在使得無尺度網絡對意外故障有強大的承受能力（刪除大部分網絡結點而不會引發(fā)網絡分裂），但面對針對樞紐結點的協同性攻擊時則顯得脆弱（刪除少量樞紐結點就能讓無尺度網絡分裂成微小的孤立碎片）。CDNLoop攻擊計算機網絡的脆弱性問題七：互聯網的級聯特性互聯網是一個由路由器將眾多小的網絡級聯而成的大網絡。當網絡中的一條通訊線路發(fā)生變化時，附近的路由器會通過“邊界網關協議(BGP)”向其鄰近的路由器發(fā)出通知。這些路由器接著又向其他鄰近路由器發(fā)出通知，最后將新路徑的情況發(fā)布到整個互聯網。也就是說，一個路由器消息可以逐級影響到網絡中的其它路由器，形成“蝴蝶效應”?！熬W絡數字大炮”計算機網絡的脆弱性問題八：中間盒子（MiddleBox）違背了“端到端原則”，從源端到目的端的數據分組的完整性無法被保證，互聯網透明性逐漸喪失中間盒子中間盒子中間盒子中間盒子中間盒子中間盒子中間盒子中間盒子清華大學段海新教授團隊關于中間盒子主要研究成果中間盒子清華大學段海新教授：中間盒子內容提綱網絡體系結構的脆弱性2典型網絡協議的脆弱性3計算機系統(tǒng)安全分析4計算機網絡概述1一、IP協議安全性分析IPv4安全性分析IPv4協議沒有認證機制：沒有消息源認證：源地址假冒沒有完整性認證：篡改IPv4安全性分析IPv4協議沒有認證機制：沒有消息源認證：源地址假冒沒有完整性認證：篡改IPv4安全性分析IPv4協議沒有認證機制：沒有消息源認證：源地址假冒沒有完整性認證：篡改IPv4安全性分析IPv4協議沒有認證機制：沒有消息源認證：源地址假冒沒有完整性認證：篡改IPv4沒有加密機制無機密性：監(jiān)聽應用數據泄露拓撲等信息：網絡偵察無帶寬控制：DDoS攻擊IPv4IPsec

(IPSecurity)端到端的確保IP通信安全：認證、加密及密鑰管理為IPv6制定（必選），支持IPv4（可選）IPsecIPv6IPv6從IPv4向IPv6過渡采用逐步演進的方法，IETF推薦的過渡方案主要有：雙協議棧(dualstack)隧道(tunneling)網絡地址轉換IPv6IPv6部署情況（APNIC，2019.6）：IPv6IPv6通過IPsec來保證IP層的傳輸安全，提高了網絡傳輸的保密性、完整性、可控性和抗否認性IPv6安全安全問題IPv4向IPv6過渡技術的安全風險無狀態(tài)地址自動配置的安全風險IPv6中PKI管理系統(tǒng)的安全風險IPv6編址機制的隱患IPv6安全安全問題IPv6的安全機制對網絡安全體系的挑戰(zhàn)所帶來的安全風險：正在服役的IDS/IPS/WAF不一定支持，于是可以暢行無阻IPv6安全二、ICMP協議安全性分析ICMPv4IP首部0IP數據部分檢驗和類型代碼（這4個字節(jié)取決于ICMP報文的類型）81631IP數據報前4個字節(jié)都是一樣的ICMP的數據部分（長度取決于類型）ICMP報文ICMPv6實現IPv4中ICMP、ARP和IGMP的功能，同時進行了功能擴展ICMPv6不僅可以用于錯誤報告，還可以用于鄰居發(fā)現（NeighborDiscovery,ND），對應IPv4中的ARP協議功能；配置和管理組播地址，由組播收聽發(fā)現協議（MulticastListenerDiscovery,MLD）實現，對應IPv4中的IGMP協議功能；路由器發(fā)現（RouterDiscovering,RD）以及消息重定向等功能ICMPv6安全問題利用“目的不可達”報文對攻擊目標發(fā)起拒絕服務攻擊。利用“改變路由”報文破壞路由表，導致網絡癱瘓。木馬利用ICMP協議報文進行隱蔽通信。利用“回送(Echo)請求或回答”報文進行網絡掃描或拒絕服務攻擊ICMP三、ARP協議安全性分析ARP用于將計算機的網絡地址（32位IP地址）轉化為物理地址（48位MAC地址）ARP高速緩存（ARPCache）ARPARP安全問題網絡嗅探：流量劫持阻止目標的數據包通過網關ARP四、RIP協議及其安全性分析RIP一種內部網關協議分布式的基于距離向量的路由選擇三個版本：RIPv1（RFC1058）、RIPv2（RFC1723）和RIPng。RIPv2新增了變長子網掩碼的功能，支持無類域間路由、支持組播、支持認證功能，同時對RIP路由器具有后向兼容性。RIPng主要用于IPv6網絡RIP協議路由策略和哪些路由器交換信息？僅和相鄰路由器交換信息交換什么信息？當前本路由器所知道的全部信息，即自己的路由表在什么時候交換信息？按固定的時間間隔交換路由信息RIP協議協議報文兩類報文：更新報文和請求報文。更新報文用于路由表的分發(fā)，請求報文用于路由器發(fā)現網上其它運行RIP協議的路由器。RIP協議報文使用UDP協議進行傳送RIP協議RIPv1不支持認證，且使用不可靠的UDP協議作為傳輸協議，安全性較差。如果在沒有認證保護的情況下，攻擊者可以輕易偽造RIP路由更新信息，并向鄰居路由器發(fā)送，偽造內容為目的網絡地址、子網掩碼地址與下一條地址，經過若干輪的路由更新，網絡通信將面臨癱瘓的風險RIP協議安全RIPv2在其報文格式中增加了一個可以設置16個字符的認證選項字段，支持明文認證和MD5加密認證兩種認證方式，字段值分別是16個字符的明文密碼字符串或者MD5簽名。RIP認證以單向為主，R2發(fā)送出的路由被R1授受，反之無法接受。另外，RIPv2協議路由更新需要配置統(tǒng)一的密碼明文認證的安全性仍然較弱RIP協議安全對于不安全的RIP協議，中小型網絡通?？刹扇〉姆婪洞胧┌ǎ孩賹⒙酚善鞯哪承┙涌谂渲脼楸粍咏涌?，配置為被動接口后，該接口停止向它所在的網絡廣播路由更新報文，但是允許它接收來自其他路由器的更新報文；②配置路由器的訪問控制列表，只允許某些源IP地址的路由更新報文進入列表RIP協議安全RIPng為IPv6環(huán)境下運行的RIP協議，采用和RIPv2完全不同的安全機制。RIPng使用和RIPv1相似的報文格式，充分利用IPv6中IPsec提供的安全機制，包括AH認證、ESP加密以及偽報頭校驗等，保證了RIPng路由協議交換路由信息的安全。RIP協議安全五、OSPF協議及其安全性分析路由策略和哪些路由器交換信息？向本自治系統(tǒng)中所有路由器發(fā)送信息，通常洪泛法交換什么信息？與本路由器相鄰的所有路由器的鏈路狀態(tài)，只是路由器所知部分信息表在什么時候交換信息？當鏈路狀態(tài)發(fā)生變化時，路由器向所有路由器發(fā)送此信息；定期同步鏈路狀態(tài)OSPF協議OSPF使用分布式鏈路狀態(tài)協議(linkstateprotocol)由于OSPF依靠各路由器之間頻繁地交換鏈路狀態(tài)信息，因此所有的路由器都能建立一個鏈路狀態(tài)數據庫（LinkStateDatabase,LSDB），這個數據庫實際上就是全網拓撲結構圖每一個路由器使用LSDB中的數據，構造自己的路由表（例如，使用Dijkstra算法）OSPF協議OSPF協議報文類型1，問候(Hello)報文，用來發(fā)現和維持鄰站的可達性類型2，數據庫描述(DatabaseDescription)報文，向鄰站給出自己的鏈路狀態(tài)數據庫中的所有鏈路狀態(tài)項目的摘要信息類型3，鏈路狀態(tài)請求(LinkStateRequest,LSR)報文，向對方請求發(fā)送某些鏈路狀態(tài)項目的詳細信息OSPF協議OSPF協議報文類型4，鏈路狀態(tài)更新(LinkStateUpdate,LSU)報文，用洪泛法向全網發(fā)送更新的鏈路狀態(tài)類型5，鏈路狀態(tài)確認(LinkStateAcknowledgment,LSAck)報文，對鏈路更新報文的確認OSPF協議OSPF不用UDP而是直接用IP數據報傳送（其IP數據報首部的協議字段值為89）其報文OSPF協議OSPF協議可以對接口、區(qū)域、虛鏈路進行認證接口認證要求在兩個路由器之間必須配置相同的認證口令。區(qū)域認證是指所有屬于該區(qū)域的接口都要啟用認證，因為OSPF以接口作為區(qū)域分界。區(qū)域認證接口與鄰接路由器建立鄰居需要有相同的認證方式與口令，但在同一區(qū)域中不同網絡類型可以有不同的認證方式和認證口令。配置區(qū)域認證的接口可以與配置接口認證的接口互相認證，使用MD5認證口令ID要相同OSPF安全OSPF認證方式空認證（NULL，即不認證，類型為0），默認認證方式簡單口令認證（類型為1）MD5加密身份認證（類型為2）OSPF報文格式中有二個與認證有關的字段：認證類型（AuType,16位）、認證數據（Authentication,64位）OSPF安全同RIPng一樣，OSPFv3協議自身不再有加密認證機制，取而代之的是通過IPv6的IPsec協議來保證安全性，路由協議必須運行在支持IPsec的路由器上。IPsec可確保路由器報文來自于授權的路由器；重定向報文來自于被發(fā)送給初始包的路由器；路由更新未被偽造OSPF安全OSPF攻擊方式最大年齡（MaxAgeattack）攻擊序列號加1（Sequence++）攻擊最大序列號攻擊重放攻擊篡改攻擊OSPF安全六、BGP協議及其安全性分析BGP協議是一種應用于AS之間的邊界路由協議，而且運行邊界網關協議的路由器一般都是網絡上的骨干路由器運行BGP協議的路由器相互之間需要建立TCP連接以交換路由信息，這種連接稱為BGP會話(Session)BGP協議BGP定義了四種主要報文，即：打開(Open)報文，用來與相鄰的另一個BGP發(fā)言人建立關系更新(Update)報文，用來發(fā)送某一路由的信息以及列出要撤消的多條路由?；?KeepAlive)報文，用來確認打開報文和周期性地證實鄰站關系通知(Notification)報文，用來發(fā)送檢測到的差錯BGP協議BGP協議BGP發(fā)言人BGP發(fā)言人BGP發(fā)言人BGP發(fā)言人BGP發(fā)言人AS1AS3AS2AS5AS4BGP協議最主要的安全問題在于缺乏一個安全可信的路由認證機制，即BGP無法對所傳播的路由信息的安全性進行驗證。每個自治系統(tǒng)向外通告自己所擁有的CIDR地址塊，并且協議無條件信任對等系統(tǒng)的路由通告，這將就導致一個自治系統(tǒng)向外通告不屬于自己的前綴時，也會被BGP用戶認為合法，從而接受和傳播，導致路由攻擊的發(fā)生BGP安全由于BGP協議使用TCP作為其傳輸協議，因此同樣會面臨很多因為使用TCP而導致的安全問題，如SYNFlood攻擊、序列號預測等BGP安全BGP協議的路由更新機制也存在被攻擊的威脅。2011年美國明尼蘇達大學M.Schuchard等人在NDSS2011國際會議上提出了一種基于BGP協議漏洞的CXPST（CoordinatedCrossPlaneSessionTermination）攻擊方法，俗稱“數字大炮”BGP安全數字大炮BGP安全ABR1R2關鍵路徑關鍵路徑BGP協議BGP劫持BGP安全/articles/5042BGP安全/articles/6548BGP安全BGP安全2018年9月，NIST與DHS團隊共同發(fā)布了其BGP路由來源驗證（ROV）標準的初稿，此項標準將幫助互聯網服務供應商與云服務供應商抵御BGP劫持攻擊IETF網站上還以RFC8210與RFC8206的形式發(fā)布了BGPRPKI與BGPsec兩項SIDR協議標準BGP安全七、UDP協議及其安全性分析UDP源端口目的端口長度檢驗和數據數據首部首部UDP用戶數據報IP數據報2222字節(jié)發(fā)送在前安全問題可以用來發(fā)起風暴型拒絕服務攻擊，也可以進行網絡掃描UDP八、TCP協議及其安全性分析TCP目的端口數據偏移檢驗和選項（長度可變）源端口序號緊急指針窗口確認號保留FIN32bitTCP首部20

字節(jié)的固定首部SYNRSTPSHACKURG比特08162431填充TCP數據部分TCP首部TCP報文段IP數據部分IP首部發(fā)送在前TCP協議TCP協議安全性分析網絡掃描拒絕服務（DoS）攻擊TCP會話劫持攻擊TCP協議端口掃描TCP協議端口掃描：TCPConnect掃描TCPSYN掃描TCPFIN掃描Xmas掃描和Null掃描TCP協議DDoS攻擊：TCPSYNFloodingTCP協議連接劫持：TCP協議只要TCP包中的源端口、目的端口、Seq、Ack正確，即可被正確接收。當得到入侵者構造的TCP數據包，協議會假設數據包是來源于TCP連接中另一方的合法數據包，并且發(fā)送響應包到（入侵者構造的數據包中設置的IP地址）。隨后，原來的TCP連接會由于計數器不匹配而斷開連接。連接劫持：TCP協議關鍵：猜測Seq、Ack，如果是旁路劫持還需猜測源端口號連接劫持：TCP協議連接劫持：TCP協議連接劫持：TCP協議連接劫持：TCP協議連接劫持：TCP協議連接劫持：TCP協議連接劫持：TCP協議連接劫持：TCP協議連接劫持：TCP協議連接劫持：TCP協議USENIXSECURITY2016連接劫持：TCP協議USENIXSECURITY2016RFC5961連接劫持：TCP協議USENIXSECURITY2016連接劫持：TCP協議USENIXSECURITY2016GeekPwn2016連接劫持：TCP協議USENIXSECURITY2018連接劫持：TCP協議USENIXSECURITY2018連接劫持：TCP協議USENIXSECURITY2018連接劫持：TCP協議USENIXSECURITY2018連接劫持：TCP協議USENIXSECURITY2018連接劫持：TCP協議USENIXSECURITY2018連接劫持：TCP協議USENIXSECURITY2018連接劫持：TCP協議USENIXSECURITY2018連接劫持：TCP協議USENIXSECURITY2018GeekPwn2017SSL/TLS

IP/IPSec

TCP

HTTPFTPSMTP

IP

TCP

HTTPFTPSMTP

IP

UDP

SSLorTLS

TCP

Kerberos

SMTP

HTTP

S/MIME

(a)網絡層(b)傳輸層(c)應用層SSL/TLS九、DNS協議及其安全性分析DNS遞歸查詢以瀏覽網站為例說明域名解析過程瀏覽器導航欄中鍵入網站的域名或單擊URL鏈接后，瀏覽器將啟動DNS解析過程來查找這些IP地址瀏覽器會向“解析器”(resolver)發(fā)送一個查詢，解析器會在本地保留以前查詢過的問題的答案副本（緩存），如果存在直接響應瀏覽器。如果緩存中沒有，則解析器會執(zhí)行完整的DNS解析過程。以瀏覽網站為例說明域名解析過程向13個根服務器中的任意一個根服務器發(fā)送包含網站域名的查詢，詢問該網站對應的IP地址。收到查詢請求的根服務器會返回一個“引薦”（referral）作為響應，包含網站域名TLD的名稱服務器的列表。例如，如果您嘗試訪問網站，您的解析器將向其中一個根服務器發(fā)送一個查詢，詢問該域名的IP地址，此時，根服務器將返回一個列出了“.com”（我們示例中的TLD）的所有名稱服務器的列表。以瀏覽網站為例說明域名解析過程將同一查詢發(fā)送到引薦響應中收到的其中一個TLD的名稱服務器。TLD名稱服務器通常也只包含它們負責的域的名稱服務器信息。因此，就像發(fā)送到根服務器的查詢一樣，發(fā)送到TLD名稱服務器的查詢也會收到引薦響應，提供一個有關所查詢的二級域的名稱服務器列表。如前例，解析器將向其中一個“.com”名稱服務器發(fā)送對“”的查詢，詢問該域名的IP地址，“.com”名稱服務器將返回一個列出“”的所有名稱服務器的列表。以瀏覽網站為例說明域名解析過程此解析過程將一直繼續(xù)，直到將查詢發(fā)送到符合以下條件之一的域名服務器：擁有答案，即Web服務器的IP地址；或者域名服務器能夠發(fā)布權威性聲明，表示所查詢的域名不存在。在示例中，解析器將向其中一個“”的名稱服務器發(fā)送對“”的查詢，該名稱服務器可能知道與“”相關的IP地址，并返回這些地址。。以瀏覽網站為例說明域名解析過程根服務器系統(tǒng)（rootserversystem）由1000多臺單獨的計算機（稱為根服務器“節(jié)點”【instance】）組成，這些計算機會保留DNS的根數據。這些節(jié)點通過引薦頂級域的名稱服務器來響應來自互聯網解析器的查詢。根服務器鏡像根域名服務器遞歸與迭代相結合的查詢DNSDNS生態(tài)系統(tǒng)安全問題DNSDNS面臨的安全威脅一、協議脆弱性域名欺騙：域名系統(tǒng)(包括DNS服務器和解析器)接收或使用來自未授權主機的不正確信息，事務ID欺騙和緩存投毒DNS安全威脅一、協議脆弱性域名欺騙：域名系統(tǒng)(包括DNS服務器和解析器)接收或使用來自未授權主機的不正確信息，事務ID欺騙和緩存投毒DNS安全威脅一、協議脆弱性USENIXSecurity2020：鄭曉峰等，PoisonOverTroubledForwarders:A

cachePoisoningAttackTargetingDNSForwardingDevices。提出了針對DNS協議設計的一種新的攻擊方法，可以針對廣泛部署的DNS轉發(fā)服務（如家用WiFi路由器、公共Wi-Fi等場景）實現緩存污染攻擊，D-Link、Linksys、微軟DNS、開源軟件dnsmasq等多個知名品牌的產品或系統(tǒng)可能受到該攻擊的影響。DNS安全威脅一、協議脆弱性域名欺騙：域名系統(tǒng)(包括DNS服務器和解析器)接收或使用來自未授權主機的不正確信息，事務ID欺騙和緩存投毒DNS安全威脅一、協議脆弱性網絡通信攻擊：針對DNS的網絡通信攻擊主要是DDoS攻擊、惡意網址重定向和中間人(man-in-the-middle,MITM)攻擊DNS安全威脅2016，DNS服務Dyn被DDoS攻擊2013，DNS被用于反射DDoS一、協議脆弱性網絡通信攻擊：DNS域名解析過程劫持DNS安全威脅段海新等USENIX2018一、協議脆弱性網絡通信攻擊：DNS域名解析過程劫持DNS安全威脅段海新等USENIX2018一、協議脆弱性網絡通信攻擊：DNS域名解析過程劫持DNS安全威脅段海新等USENIX2018一、協議脆弱性網絡通信攻擊：DNS域名解析過程劫持DNS安全威脅段海新等USENIX2018一、協議脆弱性網絡通信攻擊：DNS域名解析過程劫持DNS安全威脅段海新等USENIX2018一、協議脆弱性網絡通信攻擊：DNS域名解析過程劫持DNS安全威脅段海新等USENIX2018一、協議脆弱性網絡通信攻擊：DNS域名解析過程劫持DNS安全威脅段海新等USENIX2018一、協議脆弱性網絡通信攻擊：DNS域名解析過程劫持DNS安全威脅段海新等USENIX2018一、協議脆弱性網絡通信攻擊：DNS域名解析過程劫持DNS安全威脅段海新等USENIX2018一、協議脆弱性網絡通信攻擊：DNS域名解析過程劫持DNS安全威脅二、實現脆弱性DNS軟件，BIND的漏洞和缺陷無疑會給DNS系統(tǒng)帶來嚴重的威脅，其緩沖區(qū)溢出漏洞一度占據UNIX及Linux操作系統(tǒng)相關安全隱患的首位DNS安全威脅三、操作脆弱性由于人為操作或配置錯誤所帶來的安全隱患：域名配置攻擊、域名注冊攻擊和信息泄漏等DNS安全威脅攻擊目標網站域名注冊服務提供商

修改目標網站域名記錄

申請網站證書

偽裝成目標網站組合攻擊實現網站假冒攻擊目標網站域名注冊服務提供商

修改目標網站域名記錄

申請網站證書

偽裝成目標網站組合攻擊實現網站假冒攻擊目標網站域名注冊服務提供商

修改目標網站域名記錄

申請網站證書

偽裝成目標網站組合攻擊實現網站假冒通過查看的域名系統(tǒng)（DNS）記錄，發(fā)現指向的是馬來西亞的Internet地址：9攻擊者還從Let’sEncrypt獲得了的免費加密證書。組合攻擊實現網站假冒此外，IP被解析到域名組合攻擊實現網站假冒DNSSEC域名欺騙、惡意網址重定向和中間人攻擊之所以能夠成功，是因為DNS解析的請求者無法驗證它所收到的應答信息的真實性和完整性。為應對上述安全威脅，IETF提出了DNS安全擴展協議（DNSSEC）。DNSSECDNSSEC基本思想依賴于數字簽名和公鑰系統(tǒng)去保護DNS數據的可信性和完整性：權威域名服務器用自身的私鑰來簽名資源記錄，然后解析服務器用權威域名服務器的公鑰來認證來自權威域名服務器的數據，如果認證成功，則表明接收到的數據確實來自權威域名服務器，則解析服務器接收數據，如果認證失敗，則表明接收到的數據很可能是偽造的，則解析服務器拋棄數據DNSSECDNS加密(DNSCrypt)十、HTTP協議及其安全性分析HTTP安全問題HTTP協議傳輸的數據都是未加密的，也就是明文，再通過不加密的TCP協議傳輸，因此使用HTTP協議傳輸的隱私信息非常不安全，同時還存在不能有效抵御假冒服務器的問題無狀態(tài)使攻擊變得容易HTTP安全問題互聯網中存在的大量中間盒子，HTTP標準(RFC2616和RFC7320)的理解如果不一致，