TCPIP的安全性分析.pptVIP

第3讲 TCP/IP的安全性分析 一、链路层的攻击方法和防范策略 1、以太网安全分析 2、电磁信息泄漏 1、以太网安全分析（1） 以太网中，信道是共享的，任何主机发送的每一个以太网帧都会到达别的与该主机处于同一网段的所有主机的以太网接口，一般地，CSMA/CD协议使以太网接口在检测到数据帧不属于自己时，就把它忽略，不会把它发送到上层协议（如ARP、RARP层或IP层）。如果我们对其稍做设置或修改，就可以使一个以太网接口接收不属于它的数据帧。例如有的实现可以使用杂错接点，即能接收所有数据帧的机器节点。现在很多类型的网卡只要设置相应的参数就能进入杂错模式。 1、以太网安全分析（2） 解决该漏洞的对策是：网络分段，利用交换器、动态集线器和桥等设备对数据流进行限制，链路层加密和禁用杂错接点等。 1、以太网安全分析（3） 很多以太网卡的MAC地址在网卡初始化被读入寄存器，以便在数据帧发送过程中填充源物理地址和接收过程中进行物理地址比较时使用。可以通过底层的I/O操作对寄存器中的MAC地址进行修改，这将使攻击者可以进行MAC地址欺骗，即把机器的MAC地址改为其它被信任的友好主机的MAC地址。 1、以太网安全分析（4） 这类攻击的防范策略：追踪综合布线以确定没有非授权的机器挂接在网络上；确保线路上已授权的机器使用自身的MAC地址，现在很多交换机可以配置MAC地址和端口的映射。 2、电磁信息泄漏（1） 还有一类安全问题与物理设备相关，暂时放在链路层讨论，这就是电磁信息泄漏。电磁泄漏是指电子设备的杂散（寄生）电磁能量通过导线或空间向外扩散。任何处于工作状态的电磁信息设备，如：计算机、路由器、交换机、电话机等，都存在不同程度的电磁泄漏，这是无法摆脱的电磁学现象。如果这些泄漏“夹带”着设备所处理的信息，就构成了所谓的电磁信息泄漏。 2、电磁信息泄漏（2） 事实上，几乎所有电磁泄漏都“夹带”着设备所处理的信息，只是程度不同而已。在满足一定条件的前提下，运用特定的仪器均可以接收并还原这些信息。因此，一旦所涉及的信息是保密的，这些泄漏，就威胁到了信息安全。 2、电磁信息泄漏（3） 有资料表明：普通计算机显示终端辐射的带信息电磁波可以在几百米甚至一公里外被接收和复现；交换机、电话机等信息处理和传输设备的泄漏信息，也可以在一定距离内通过特定手段截获和还原。这种电磁泄漏信息的接收和还原技术，目前已经成为许多国家情报机构用来窃取别国重要情报的手段。 2、电磁信息泄漏（4） 当然，对电磁泄漏信息的截获还原并不是无条件的，只有强度和信噪比满足一定条件的信号才能够被截获和还原。因此，只要采取一定的措施，弱化泄漏信号的强度，减小泄漏信号的信噪比，就可以达到电磁防护的目的。常用的电磁防护措施有：屏蔽、滤波、隔离、合理的接地与良好的搭接、选用低泄漏设备、合理的布局和使用干扰器等。 二、网络层的攻击方法和防范策略 1、IP地址欺骗 2、IP包碎片 3、IGMPNuke攻击 4、ICMP攻击 5、路由欺骗 6、ARP欺骗 1、IP地址欺骗（1） IP欺骗就是攻击者假冒他人IP地址，发送数据包。因为IP协议不对数据包中的IP地址进行认证，因此任何人不经授权就可伪造IP包的源地址。 1、IP地址欺骗（2） IP包一旦从网络中发送出去，源IP地址就几乎不用，仅在中间路由器因某种原因丢弃它或到达目标端后，才被使用。这使得一个主机可以使用别的主机的IP地址发送IP包，只要它能把这类IP包放到网络上就可以。因而如果攻击者把自己的主机伪装成被目标主机信任的友好主机，即把发送的IP包中的源IP地址改成被信任的友好主机的IP地址，利用主机间的信任关系和这种信任关系的实际认证中存在的脆弱性（只通过IP确认），就可以对信任主机进行攻击。注意，其中所说的信任关系是指一个被授权的主机可以对信任主机进行方便的访问。 1、IP地址欺骗（3） 例如UNIX中的所有的r*命令都采用信任主机方案，所以一个攻击主机把自己的IP改为被信任主机的IP，就可以连接到信任主机并能利用r*命令开后门达到攻击的目的。 1、IP地址欺骗（4） 要实现IP欺骗有两个难点。首先，因为远程主机只向伪造的IP地址发送应答信号，攻击者不可能收到远程主机发出的信息，即用C主机假冒B主机IP，连接远程主机A，A主机只向B主机发送应答信号，C主机无法收到。第二，要在攻击者和被攻击者之间建立连接，攻击者需要使用正确的TCP序列号。 1、IP地址欺骗（5） 攻击者使用IP欺骗的目的有两种：一种是只想隐藏自身的IP地址或伪造源IP和目的IP相同的不正常包而并不关心是否能收到目标主机的应答，例如IP包碎片、Land攻击等；另一种是伪装成被目标主机信任的友好主机得到非授权的服务，一般需要使用正确的TCP序列号。得