通信网络安全 第6章.ppt

6.缓解对TCP攻击的方法 4.入侵检测系统（IDS） IDS对非标准的或非期望的分组进行监控。IDS能很快识别远程系统框架、TCP端口扫描、拦截企图以及DoS攻击 5.入侵防御系统 IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。 对于部署在数据转发路径上的IPS，可以根据预先设定的安全策略，对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等)，如果一旦发现隐藏于其中网络攻击，可以根据该攻击的威胁级别立即采取抵御措施，这些措施包括：向管理中心告警；丢弃该报文；切断此次应用会话；切断此次TCP连接。 6.缓解对TCP攻击的方法 7.高层协议 一般来说，假定高层协议将鉴别通信以及检测可能的攻击 7.UDP UDP是一个简单的传输协议，用于无连接服务。UDP的报头值包括源端口、目的端口、数据长度和校验和，共8个字节，UDP传输不产生回答的响应。UDP攻击常常基于无效的分组以及伪装 1.非法的进入源 UDP服务器不执行初始握手，任何主机都能连接到UDP服务器而无须身份鉴别。 服务器缓冲有限数的UDP分组。缓冲器空间满后收到的分组将被丢弃。UDP分组能很快淹没慢的UDP服务 2.UDP拦截 由于无身份鉴别，任何客户可以发任何分组到任何UDP服务器，管理会话和连接必须由高层协议处理。因此UDP容易被拦截，攻击者能很容易伪装成正确的网络地址和UDP端口，将数据插入到接受者，盲目的UDP攻击只需猜测端口号，不超过65536个，只需几秒 7.UDP 3.UDP保持存活攻击 UDP没有清楚地指示连接是打开还是关闭，结果大多数防火墙当看到第一个出口连接时，打开端口，一段时间不活动才关闭端口，攻击者能利用这个弱点来保持UDP端口打开。即使客户不再监听分组时，攻击者能发送UDP分组到防火墙，以保持防火墙端口打开。当足够多的端口保持打开，那么没有新的端口不能被打开，这使UDP不能有效地通过防火墙。 7.UDP 4. UDP Smurf攻击 攻击者向网络广播地址发送ICMP包，并将回复地址设置成受害网络的广播地址，通过使用ICMP应答请求数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞。更加复杂的Smurf攻击攻击将源地址改为第三方受害者，最终导致第三方崩溃。 防范措施： 配置路由器禁止IP广播包进网 配置网络上所有计算机的操作系统，禁止对目标地址为广播地址的ICMP包响应。 对于从本网络向外部网络发送的数据包，本网络应该将其源地址为其他网络的这部分数据包过滤掉。 7.UDP 5. UDP 侦察 UDP对系统侦察只提供少量选项。UDP端口扫描依靠ICMP和分组回答实现。 如果没有UDP服务存在于扫描端口，那么ICMP返回“目的不可达”分组。但是有些UDP服务对没有连接返回一个回答。任何UDP回答指示一个存在的服务。 防范这类端口扫描的唯一办法是不返回任何ICMP分组，使攻击者难以区分有没有服务 9.DNS风险及缓解办法 1.直接风险 DNS系统假定DNS服务器之间是可信的，DNS服务器不会故意提供错误的信息，DNS协议不提供客户和服务器之间的身份鉴别，这使攻击者可破坏这种可信关系 1）无身份鉴别的响应 DNS使用一个会话标识来匹配请求和回答，但会话标识不提供身份鉴别，攻击者观察DNS请求，能伪造一个DNS回答。假的回答会有观察到的会话标识，攻击者甚至可以在分组中设置授权标记，去除对数据正确性的怀疑，结果是攻击者能控制主机名的查找，并进一步重指被害者的连接 9.DNS风险及缓解办法 1.直接风险 2）DNS缓存受损 当计算机对域名访问时并不是每次访问都需要向DNS服务器发出请求，一般来说当解析工作完成一次后，该解析条目会保存在计算机的DNS缓存列表中，如果这时DNS解析出现更改变动的话，由于DNS缓存列表信息没有改变，在计算机对该域名访问时仍然不会连接DNS服务器获取最新解析信息，会根据自己计算机上保存的缓存对应关系来解析，这样就会出现DNS解析故障 攻击者观察DNS请求，并生成一个伪造的DNS回答，并含有一个长的缓存超时值，这样受损的DNS缓存可对任何数据请求提供假的数据 9.DNS风险及缓解办法 1.直接风险 3)ID盲目攻击 攻击者选择一个公用的域名，生成DNS回答的泛滥，每个回答包含一个不同的会话标识 盲目攻击 9.DNS风险及缓解办法 1.直接风险 4)利用DNS服务器进行DDOS攻击 假设攻击者已知被攻击机器的IP地址，然后攻击者使用该地址作为发送解析命令的源地址。这样当使用DNS服务器递归查询后，DNS服务器响应给最初用户，而这个用户正是被攻击者。那么如果攻击者控制了足够多的肉鸡，反