08IP和TCP安全.ppt

第八章 IP和TCP层安全 目 录 TCP/IP 概述 IPSec概述 SSL协议 SSH协议 TCP/IP（Transmission Control Protocol / Internet Protocol）协议，即传输控制/网际协议，是互联网的基础。 它使得互联网上由不同厂家生产的、使用不同操作系统的网络设备联接在一起。 它既可以用于专用网络的联接，也可以用于将不同的局域网络联接起来，是网际互联工业标准。 TCP/IP协议栈 用户数据经过协议栈的封装过程 IPV4数据报 IPv4的缺陷 缺乏对通信双方身份真实性的鉴别能力 缺乏对传输数据的完整性和机密性保护的机制 由于IP地址可软件配置以及基于源IP地址的鉴别机制，IP层存在业务流被监听和捕获、IP地址欺骗、信息泄露和数据项篡改等攻击 TCP和IP是TCP/IP协议族中两个最重要的协议。 IP位于TCP/IP协议模型的网际层，它提供的是一种无连接的不可靠的服务。IP的任务就是将数据包尽量地向目的地传送，但它不能保证数据一定能到达。 TCP位于TCP/IP协议模型的传输控制层，在IP的上一层，它提供的是面向连接的可靠的服务。 TCP通过多个方法来保证传输的可靠性，如对传送的数据进行顺序编号、“三次握手”建立连接、对接收到的数据进行确认等。 网络嗅探 TCP的SYN Flooding 顺序号猜测 源路由欺骗 IP欺骗 TCP 连接劫持 ICMP攻击 其他攻击方式 网络嗅探是指攻击者使用工具软件（如Sniffer、Windows2000 Server的网络监视器Netmon）在网络接口上获取到他人的数据。 在以太网中，数据是以广播方式传递的。当网卡设为混杂模式时，就可以接收网络中所有的数据。 TCP/IP协议中的数据是以明文方式传送的，所以一些重要的信息如用户名、口令等就可能被攻击者获得，从而给他人造成损失。 SYN Flooding 原理： 每个机器都需要为半开连接分配一定的资源 这种半开连接的数量是有限制 共计方利用TCP连接三次握手过程，打开大量的半开TCP连接 目标机器不能进一步接受TCP连接。机器就不再接受进来的连接请求。 受影响的系统：大多数操作系统 攻击细节 连接请求是正常的，但是，源IP地址往往是伪造的，并且是一台不可达的机器的IP地址，否则，被伪造地址的机器会重置这些半开连接 一般，半开连接超时之后，会自动被清除，所以，攻击者的系统发出SYN包的速度要比目标机器清除半开连接的速度要快 任何连接到Internet上并提供基于TCP的网络服务，都有可能成为攻击的目标 这样的攻击很难跟踪，因为源地址往往不可信，而且不在线 SYN Flooding 攻击特征 目标主机的网络上出现大量的SYN包，而没有相应的应答包 SYN包的源地址可能是伪造的，甚至无规律可循 防止措施 针对网络 防火墙或者路由器可以在给定时间内只允许有限数量的半开连接 入侵检测，可以发现这样的DoS攻击行为 打补丁 Linux和Solaris使用了一种被称为SYN cookie的技术来解决SYN Flood攻击：在半开连接队列之外另设置了一套机制，使得合法连接得以正常继续 TCP报头中使用32-bit来标志TCP连接中使用的顺序号。 如果初始序列号（ISN）的产生是有一定规律的，则可以比较容易地猜测出来。当攻击者获得了连接的初始序列号之后，就可以通过估算传送的数据量来估算出当前的顺序号。 通过猜测TCP连接中的顺序号，攻击者就可以通过伪造数据进行攻击。如：攻击者可以伪造IP地址与被攻击主机建立连接，可以伪造RST报文终止正常的TCP会话，可以插入虚假数据到正常的TCP会话。 ICMP（Internet Control Messages Protocol，网间控制报文协议）允许主机或路由器报告差错情况和提供有关异常情况的报告。 ICMP协议可以协助IP协议来进行差错控制。 ICMP不需要认证，这就使得攻击者通过伪造ICMP数据包来进行攻击。 攻击者通过伪造ICMP的“超时”或“目标不可达”消息，发送给通信双方或其中一方，就会中断此连接。通过伪造的“重定向”消息，攻击者也可以使某个主机发往特定目的地址的数据包经过攻击者的主机，从而对数据进行窃听或篡改。 DOS实例 之 Smurf 原理：向广播地址发送伪造ICMP数据包 源地址为被攻击目标机 目的地址为广播地址 Smurf放大器：可以攻击被smurf利用的网络 下载 防御 禁止从其他网络到本网络的广播地址通信 设置操作系统上不对发往广播地址的ICMP分组作响应 在防火墙上设置规则，丢弃掉ICMP包 Smurf放大器 DNS攻击 ：是指在根据域名进行认证或授权的系统中，攻击者通过修改DNS服务器中相应域