计算机网络安全第2讲 层协议的安全性.pptVIP

DHCP协议工作过程示意 * * * * 标题一，做动画 * * * * ICMP 类型 代码（部分） ICMP DoS 针对带宽的ICMP DoS：主要利用无用的数据来耗尽网络带宽，如ICMP Smurf，伪造受害主机的源地址，向网络的广播地址发送大量的ping包，目标系统都很快就会被大量的echo reply信息淹没 针对连接的ICMP DoS：可以终止现有的网络连接，如Nuke，通过发送一个伪造的ICMP Destination Unreachable消息来终止合法的连接。 ICMP协议的安全性(1) ICMP Smurf攻击 ICMP重定向（类型5，代码0） 当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由。 ICMP重定向攻击 利用ICMP路由重定向报文来改变主机的路由表，向目标机器发送重定向消息，自己则可以伪装成路由器，使目标机器的数据报发送至攻击机从而实现监听。 具体攻击过程一般会和IP源地址欺骗技术结合实施，步骤如下： （1）攻击节点利用IP源地址欺骗技术，冒充网关IP地址，向被攻击节点发送ICMP重定向报文，并将指定的新路由器IP地址设置为攻击节点； （2）被攻击节点选择攻击节点作为其新路由器（即网关）； （3）攻击节点可以开启路由转发，充当一个中间人，对被攻击节点与外部网络的通信进行全程嗅探监听。 ICMP协议的安全性(2) 必要的ICMP限制（在服务与安全之间尽量平衡） 支持 PING —允许向外（目标为单台主机）发送 ICMP 响应请求，并允许向内发送响应答复消息（目标为预先定义的主机）。 支持traceroute路径追踪—允许向内发送 TTL -超出和端口无法连接的消息。 支持路径 MTU—允许向内发送 需要分片但DF置位的ICMP消息。 重定向只允许在路由器之间进行； 阻止其它类型的 ICMP 通信。 ICMP攻击的防范措施 第2章 低层协议的安全性 网络地址和域名管理 二 三 四 一 IPv6 网络地址转换 基本协议 一 路由协议是一种在因特网上动态寻找恰当路径的机制。路由信息确立了两种通路：(1)主叫机器到目标主机；(2)目标主机返回到主叫机器。第2条通道可以是第1条的逆通道，也可以不是。当第2条通路不是第1条的逆通道时，就称做非对称路由。 2.2.1 路由协议 现在攻击者掌握了许多攻击路由器的方法。最容易的办法是采用“IP loose source route”选项。采用这一选项，发起TCP连接的人能够指定一条到达目标主机的明确的路由，以覆盖正常的路由选择进程。根据RFC1122，目标主机必须使用逆通道作为返回路由。这意味着攻击者可以通过控制路由而假冒任何主机以骗取信任。 黑客采用的另外一种途径是“戏弄”路由协议。例如，将伪造的RIP数据包注入网络中非常容易，主机和路由器通常会相信它们。如果发起攻击的主机比真实的源主机离目标的距离更近，就容易改变数据流的方向。RIP的许多实现方案只接受特定主机的路由，要检测它就更加困难。 路由协议的安全性 对路由攻击的防护措施 对抗源路由欺骗攻击的最简单的办法是拒绝接收包含该选项的数据包。许多路由器都具备这种功能。 有些路由协议，如RIPv2和OSPF都规定了认证域，可以一定程度解决欺骗问题 但作用很有限： 认证方式较简单，如口令认证，容易泄漏； 某个合法用户被破坏，其消息也不再可信； 路由信息在邻居之间传递，欺骗也被传递。 采用具有防火墙功能的路由器，以确保一条给定线路上的路由的合法性。 但是，对于防火墙来说，如果路由表太大，配置起来就困难一些。 域名DHCP用来分配IP地址，并提供启动计算机（或唤醒一个新网络）的其他信息。它是BOOTP的扩展。 此协议能够提供：域名服务器地址、默认的路由地址、默认的域名及客户机的IP地址；以及网络时间服务器的地址等。 DHCP对IP地址提供集中化的管理，简化了管理任务，可以很容易地为便携计算机分配IP地址。 注：DHCP日志是重要的取证证据 2.2.2 动态主机配置协议——DHCP 此协议只能在本地网络上使用，这主要基于安全性考虑。处于启动状态的客户机向本地网络广播查询信息。这些查询信息可到处传播。由于处于启动状态的主机尚不知道其自身的IP地址，服务器的响应必须要传送它的第二层地址，通常为它的以太网地址。由于远程攻击者无法做到对本地网络的直接访问，因此也不能发动远程攻击。 由于DHCP查询没有认证措施，所以查询响应容易遭受中间人攻击和DOS攻击。 DHCP协议的安全性 如果攻击者已经接入到本地网络，那么它就可能对DHCP服