第2讲 网络协议的安全性-3学时.pptxVIP

第2讲 网络协议的安全性本讲内容概要第2讲网络协议的安全性1 协议概述2 网际层协议3 传输层协议4 应用层协议网络接口层应用层网际层传输层TCP/IP协议族网络协议的安全性网络接口层TCP/IP模型的最底层网络协议概述网际层IP协议等ARP协议传输层TCP协议UDP协议应用层HTTP协议SMTP协议POP3协议FTP协议等本讲内容概要第2讲网络协议的安全性1 协议概述2 网际层协议3 传输层协议4 应用层协议网络协议的安全性IP协议 网际协议（Internet Protocol，IP）是TCP/IP协议族的核心，也是网际层最重要的协议。IP协议：IP数据报由首部和数据两部分组成；首部前一部分是固定长度20字节，是数据报必有的；首部固定部分之后，是一些可选字段，长度可变。网际层协议网络协议的安全性IP协议的安全问题及防护措施1安全问题：IP数据报在传递过程中易被攻击者监听、窃取。这是一种被动攻击，攻击者不改变IP数据报的内容，但可截取数据报，解析数据净荷，从而获得数据内容。防护措施：对IP数据报进行加密。2安全问题：由于IP层并没有采用任何机制保证数据净荷传输的正确性，攻击者可能截取数据报，修改数据报中的内容后，将修改结果发送给接收方。防护措施：对IP数据报净荷部分实行完整性检测机制。3安全问题：IP层不能保证IP数据报一定是从源地址发送的。攻击者可伪装成另一个网络主机，发送含有伪造源地址的数据包欺骗接受者。此攻击称为IP欺骗攻击。防护措施：通过源地址鉴别机制加以防御。网际层协议4安全问题：IP数据报在传输过程中要经历被分段和重组的过程，攻击者可以在包过滤器中注入大量病态的小数据报，来破坏包过滤器的正常工作。防护措施：许多防火墙能够重组分段的IP数据报，以检查其内容。5安全问题：使用特殊的目的地址发送IP数据报也会引入安全问题。如攻击者可使用目的地址为定向广播地址的IP数据报来攻击许多不同类型的主机。防护措施：配置路由器时启用禁止发送定向广播数据包的功能。网络协议的安全性ARP协议 地址解析协议（Address Resolution Protocol，ARP）是根据IP地址获取物理地址的一个TCP/IP协议。以太网发送的是48位以太地址的数据包;IP驱动程序必须将32位IP目标地址转换 成48位地址;两类地址存在静态或算法上的影射；ARP用来确定两者之间的影射关系。网际层协议网络协议的安全性ARP协议的安全问题及防护措施ARP欺骗攻击伪造ARP响应：主机A的IP地址对应的MAC地址为：00-aa-00-F2-c8-04伪造ARP响应：主机B的IP地址对应的MAC地址为：00-aa-00-F2-c8-04攻击者主机CMAC地址：00-aa-00-F2-c8-04主机B将收到的对应关系写入ARP缓存表主机A将收到的对应关系写入ARP缓存表网际层协议主机A或主机B向对方发送数据时，都会被转发给主机C主机A主机B安全问题：攻击者发动ARP欺骗攻击，可以完全控制主机A和主机B之间的流量，发动被动攻击（流量监测、获取涉密信息）或主动攻击（伪造数据）。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”防护措施：在交换机上配置基于端口的访问控制协议--IEEE 802.1x协议，攻击者连接交换机时需进行身份认证（MAC、端口、账户、VLAN和密码）； 建立静态ARP表。网络协议的安全性ICMP协议 控制报文协议（Internet Control Message Protocol，ICMP）是一个重要的错误处理和信息处理协议。它用于通知主机到达目的地的最佳路由，报告路由故障；它是两个非常重要的监控工具——Ping和Tracert的重要组成部分； 它是一种差错和控制报文协议，不仅用于传输差错报文，还传输控制报文。网际层协议网关：54网络协议的安全性ICMP协议的安全问题及防护措施12安全问题：ICMP重定向攻击安全问题：ICMP路由器发现攻击 攻击者可以利用ICMP对消息进行重定向，使得目标机器遭受连接劫持和拒绝服务等攻击。一般来说，重定向消息应该仅由主机执行，而不是由路由器来执行。仅当消息直接来自路由器时，才由路由器执行重定向。有时网管员有可能使用ICMP创建通往目的地的新路由。这种不谨慎的行为最终会导致非常严重的网络安全问题。 在进行路由发现时，ICMP并不对应答方进行认证，使得它可能遭受严重的中间人