ch6.IPv6安全技術.ppt

第六章 IPv6安全技術 章節目錄 網路安全概述 IPv4通訊協定的缺陷 Security Architecture for IPv6 network IP Security (IPsec) Security Threats in IPv6 network 防火牆與IPv6 IPv6安全技術之相關RFC 參考文獻 網路安全概述 網路安全定義 預防對於知識、事實、資料、或能力 的盜用、濫用、竄改、阻斷正常使用等措施。 安全是一種過程,而不是產品 CIA C : Confidentiality(機密性) I : Integrity(完整性) A : Availability(可用性) RFC3127 : AAA(Authentication, Authorization, and Accounting) 提供網路安全,並提供防禦各種攻擊的機制 網路攻擊分類 主動式攻擊(Active attack) Denial of Service (DoS) DistributedDenial of Service (DDoS) Buffer Overflow SYN Attack Spoofing Man in the Middle (MITM) Replay Transmission Control Protocol/Internet Protocol (TCP/IP) hijacking 網路攻擊分類 被動式攻擊(Passive attacks) 漏洞掃描(vulnerability scanning) 竊聽(sniffing) 密碼攻擊 密碼猜測 暴力破解法 以字典為基礎的密碼攻擊 後門程式 (backdoors) / 木馬程式(Trojans) 電腦病毒 (viruses) / worms IPv4 通訊協定的缺陷 TCP協定之缺陷 序號欺騙 (Sequence Number Spoofing) TCP SYN Flood 攻擊 連接建立時的同步破壞 連接中的連接失效 UDP Flood DoS攻擊 序號欺騙(Sequence Number Spoofing) TCP連線建立時，TCP會為每一個封包指定一個號碼以作為識別索引來進行連線，正在連線之兩台主機將利用此號碼來進行錯誤檢查 若攻擊者可算出正確的回應並猜出正確的序號，則攻擊者就可以假冒成受信任的主機與目標主機進行連線 當接收的資料包的序列號與期望的不同時，稱為同步破壞（Desynchronized state），會造成資料包接收的無序狀態。 相互丟棄封包 可達到中斷兩台主機間通訊的目的 TCP SYN Flood 攻擊 TCP Three-Way Handshake 攻擊者可針對發出連續大量的連線請求，而這些SYN封包的請求端IP位址卻是偽造的 TCP SYN Flood 攻擊 被害者在送回SYN ACK到攻擊者所偽造的IP位址後，根本就不可能會收到請求端的ACK，於是大量無法建立連線(Half-Opened Connection)的項目便佔滿了被攻擊者的等待佇列，使資源消耗殆盡無法再提供連線服務達到DoS的目的 連接建立時的同步破壞 建立連接時需要3次握手，當主機A向主機B發出SYN，B向A發送SYN+ACK後，攻擊者僞造一個從B到A的資料包。該資料包先通過設置RST欄位關閉連接，再用不同的序列號與A建立與原來“相同”的連接。則B將丟棄來自A的資訊（因為A使用攻擊者的序列號），A將丟棄來自B主機的資訊（因為A期望資訊中包含攻擊者的序列號）。 連接中的連接失效 若主機A和B已建立連接，在連接期間發送RST封包將終止連接。要在連接期間實現同步破壞，而不終止連接，只需要修改序列號計數器。 事實上，Telnet協定允許使用“NOP”命令增加接收者的序列號計數器，如果發送足夠多的NOP命令，攻擊者就能實現同步破壞，並用正確的序列號複製資料包。 UDP Flood DoS攻擊 透過UDP protocol送出假造來源的UDP Broadcast封包至目標網路，以產生放大的資料流，目標埠號（port）通常為7（Echo，回應服務） 當目的網域中的眾多主機回應之後，便可造成網路的壅塞 即使某些IP位址沒有回應，但產生的ICMP封包（Type Destination Unreachable）仍可達到DoS攻擊的效果 ARP協定之缺陷 ARP( Address Resolution Protocol)是一種將IP轉化成網路卡的實體位址(Physical Address)的一種協定 攻擊者可以藉由傳送假冒IP--MAC的轉換表給目標主機，以取代原先系統記憶體中的正確IP--