第八章节-因特网安全,VPN和IPSEC.ppt

　　　　第三部分　系统安全机制第８章　因特网安全,VPN 和IPsec 导读 　 　因特网在最初建立时的指导思想就是资源共享,为了实现资源共享而把系统做成开放式的。在建立协议模型以及协议实现时，更多地考虑到易用性，而在安全性方面的考虑存在严重不足，这就给攻击者造成了可乘之机。 内容 8.1 TCP/IP协议簇 8.2 Ipv6 8.3 黑客攻击的流程 8.4 黑客攻击技术概述 8.5 虚拟专用网VPN 8.6 IPSec 8.7 IPSec安全关联的建立 8.1.1 TCP/IP协议簇模型 8.1.2 IP协议 IP协议的安全问题 1.死亡之ping(ping of death) 　这种攻击主要是由于单个包的长度超过了IP协议规范所规定的包长度。因为以太网帧长度有限，IP包必须被分片。当一个IP包的长度超过以太网帧的最大尺寸时，包就会被分片，作为多个帧来发送。接收端的机器提取各个分片，并重组为一个完整的IP包。超大的包一旦出现，包当中的额外数据就会被写入其它正常内存区域。这很容易导致系统进入非稳定状态，是一种典型的缓冲区溢出(Buffer Overflow)攻击 -l size 该参数定制发送数据包的大小，windows中最大为65500，命令格式：ping ip -l 65500 默认发送的数据包大小为32bytes Windows NT(service pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping of death攻击的能力。对防火墙进行配置，阻断ICMP以及任何未知协议，都能防止此类攻击。  2.泪滴(Teardrop)攻击 　Teardrop攻击同死亡之ping有些类似，在这儿，一个大IP包的各个分片包并非首尾相连，而是存在重叠(Overlap)现象。例如，分片1的偏移等于0，长度等于15，分片2的偏移为5，这意味着分片2是从分片1的中间位置开始的，即存在10字节的重叠。系统内核将试图消除这种重叠，但是如果重叠问题严重，内核将无法进行正常处理。 泪滴攻击利用修改在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。某些操作系统（如SP4以前的Windows NT 4.0）的TCP/IP在收到含有重叠偏移的伪造分段时将崩溃，不过新的操作系统已基本上能自己抵御这种攻击了。 防御方法：尽可能采用最新的操作系统，或者在防火墙上设置分段重组功能，由防火墙先接收到同一原包中的所有拆分数据包，然后完成重组工作，而不是直接转发。因为防火墙上可以设置当出现重叠字段时所采取的规则。 3.源路由(Source Routing) 　IP协议包含一个选项，叫作IP源路由选项(Source Routing)，可以用来指定一条源地址和目的地址之间的直接路径。对于一些TCP和UDP的服务来说，使用了该选项的IP包好象是从路径上的最后一个系统传递过来的，而不是来自于它的真实地点。利用该选项可以欺骗系统，使之放行那些通常是被禁止的网络连接。因此，许多依靠IP源地址进行身份认证的服务将会产生安全问题以至被非法入侵。源路由选项允许黑客伪装成其它的可信任机器，这使得黑客攻击变得难于跟踪。 4.IP地址欺骗 　入侵者使用假IP地址发送包，基于IP地址认证的应用程序将认为入侵者是合法用户。 如何阻止Ａ向Ｂ发送信息？SYN flood X如何得到与Ｂ建立ＴＣＰ连接的初始序列号？ 防御方法：每一个连接局域网的网关或路由器在决定是否允许外部的IP数据包进入局域网之前，先对来自外部的IP数据包进行检验。如果该IP包的IP源地址是其要进入的局域网内的IP地址，该IP包就被网关或路由器拒绝，不允许进入该局域网。 8.1.3 TCP协议 TCP协议的安全问题 1.SYN洪水(SYN flood)攻击 　SYN洪水攻击利用的是大多数主机在实现三次握手协议所存在的漏洞。当主机A接收到来自主机X的SYN请求时，它就必须在侦听队列中对此连接请求保持75秒的跟踪。由于大多数系统资源有限，能够打开的连接数有限，因而攻击者X可以同时向主机A发送多个SYN请求，而且对A返回的SYN+ACK包不进行应答。这样，侦听队列将很快被阻塞，从而拒绝接受其它新的连接请求，直到部分打开的连接完成或者超时。这种拒绝服务攻击就可以作为实施上述IP地址欺骗攻击的辅助手段，使主机A无法对来自主机B的包进行应答。 2.序列号猜测 　现在，主机A已经无法对主机B发来的包进行应答了。攻击者X现在需要解决的是初始序列号的猜测。 　在实际系统的初始序列号产生方法中，并非完全随机，而且很多操作系统TCP实现中初始序列号的产生方法是公开的。这就方便了黑客攻击。因此关键在于要使初始序列号的选取近可能地随机。 3.LAND攻