第2章协议层安全(免费阅读).pptVIP

2.4 超越与提高 传输层安全协议 针对协议层缺陷的主要网络攻击 传输层安全协议 ⒈ SSL（安全套接字层协议） ⒉ SSH（安全外壳协议） SSL（安全套接字层协议） SSL(Secure Socket Layer)是由Netscape设计的一种开放协议。它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。 SSL被视为因特网上Web浏览器和服务器的安全标准。 握手协议、记录协议、警告协议 SSL通讯 SSH（安全外壳协议） SSH是一种在不安全网络上用于安全远程登录和其他安全网络服务的协议。 它提供了对安全远程登录、安全文件传输和安全TCP/IP，和X-Window系统通信量进行转发的支持。它可以自动加密、认证并压缩所传输的数据。 针对协议层缺陷的主要网络攻击 1. ARP欺骗原理与实现 2. 利用TCP协议的三次握手原理进行的攻击 ⑴ 拦截TCP连接 ⑵ 使用TCP SYN报文段淹没服务器 网际协议（IP） IP欺骗技术 源路由欺骗 Smurf攻击 IP欺骗技术 IP欺骗就是伪造他人的源IP地址。其实质就是让一台机器扮演另一台机器。 常见的攻击过程 让被替代的机器A休眠 发现目标机器B的序列号规律 冒充机器A向机器B发出请求，算出机器应该发来什么序列号，给出机器B想要的回应。 这样就可以利用机器B对机器A的信任关系进行攻击。 IP欺骗技术 IP欺骗通常发生在需要与可信主机通信的时候。 常见的IP欺骗技术: 利用可信主机IP进行欺骗 利用已授权IP进行欺骗 IP欺骗的危害: IP通常用于在一个已经连接的数据通道中，注入有害数据或命令。 黑客还可以改变路由表指向欺骗地址，然后黑客就可以收到所有的数据报，在转发出去。 IP 欺骗的防范 对于IP伪装目前还没有有效根治的防范方法，只能是尽可能的降低这种风险: 访问控制—这是最为常用的防范手段. 在入端口（路由器）过滤使用内部IP地址的数据报。 附加的认证方式，而不依赖IP层的认证: 加密认证(推荐) Smurf攻击 攻击者使用ICMP ECHO（ping）报文 把ECHO的源地址设置为一个广播地址 计算机会向广播地址回复REPLY 本地网络上所有的计算机都必须处理这些广播报文。 如果攻击者发送的ECHO 请求报文足够多，产生的REPLY广播报文就可能把整个网络淹没。这就是所谓的smurf攻击。 ARP协议 ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址MAC的协议。它靠维持在内存中保存的一张表来使IP得以在网络上被目标机器应答。 ARP的包结构 ARP的工作原理 本地通信（同网段主机通信） 远程通信（不同网络的主机通信） 本地通信范例 两个 TCP/IP 主机，主机 A 和主机 B，都位于同一个物理网络上。主机 A 分配的 IP 地址是 9，主机 B 分配的 IP 地址是 00。 ARP为本地通讯解析MAC地址 远程通信范例 主机A分配的IP地址是9，主机B使用的IP地址是9。路由器一接口与主机 A 在同一物理网络上，使用的 IP 地址是 。路由器另一接口与主机 B 在同一物理网络上，使用的 IP 地址是 。 ARP为远程通信解析MAC地址 传输层安全 传输层是两台计算机经过网络进行数据通信时，第一个端到端的层次，具有缓冲作用 传输层只存在于端开放系统中，是介于低3层通信子网系统和高3层之间的一层，但是很重要的一层 传输层协议为应用层提供的是进程之间的通信服务。 传输层存在两个协议，传输控制协议（TCP）和用户数据报协议（UDP） 传输控制协议（TCP） TCP三次握手 TCP连接 TCP连接 TCP包头的标记区建立和中断一个基本的TCP连接。有三个标记来完成这些过程 SYN：同步序列号 FIN：发送端没有更多的数据要传输的信号 ACK：识别数据包中的确认信息 建立一个TCP连接：SYN和ACK 1 客户端（或请求端）通过激活一个TCP包头中的SYN标计来执行一个active open。这个TCP包头包括： 用于连接的端口号；序列号字段中的初始序列号（ISN）。这个号是随机产生的，在客户端和服务器传输数据流时用于同步。 2 服务器通过向客户端发送其自己的SYN而执行了一个passive open，包含 服务器的ISN；对于客户端的一个确认（ACK） 3 最后，客户端返回一个ACK给服务器。现在客户端和服务器可以通过比特流来传输数据，并且连接建立。 建立TCP连接 中断一个TCP连接：FIN和ACK 1