《网络协议的安全性》PPT课件.ppt

第2章 网络协议的安全性 计算机网络的演变 第一阶段 理论基础研究的基础 第二阶段 新型分组交换技术的诞生标志着计算机网络与通信技术的结合基本成型 第三阶段 TCP IP协议的提出标志着通信与计算机技术的结合基本完成 计算机网络的概念 能够相互共享资源的方式互连起来的自治计算机系统的集合 通信技术 计算机技术 计算机网络 对信息的存储和处理 实现计算机与计算机之间的互连 互通 4 计算机网络的的性质 分散性计算机网络所连接的计算机系统可以是分布在不同地理位置的多台独立的计算机系统 异构性计算机网络中所包含的计算机不论是在组成上 还是功能上 都可以有显著的不同 自治性参与连接计算机网络的计算机应该是 自治计算机系统 即所有计算机应该实行自我管理 计算机网络协议 用来规定信息格式 语法 用来说明通信双方应当怎么做 语义 详细说明事件的先后顺序 时序规则 网络协议是网络上所有设备之间通信规则的集合 6 计算机网络分类 广播式网络 BroadcastNetworks 点对点网络 Point to PointNetworks 按传输技术分类 局域网 LAN 城域网 MAN 广域网 WAN 按网络的覆盖范围与规模分类 有线网络无线网络 按通信技术分类 计算机网络的组成与结构 主机 局域网 主机 局域网 主机 局域网 大型机 终端 路由器 路由器 路由器 路由器 路由器 路由器 终端 8 常见计算机网络拓扑结构 优点 结构简单 可扩充性好缺点 维护难 分支节点故障查找难 常见计算机网络拓扑结构 优点 简化了路径选择 节点控制软件简单缺点 传输效率低 不便于扩充 可靠性低 维护难 常见计算机网络拓扑结构 优点 结构简单 便于管理 控制简单 便于建网 网络延迟时间较小 传输误差较低 缺点 成本高 可靠性较低 资源共享能力也较差 以中央节点为中心 又称为集中控制式网络 常见计算机网络拓扑结构 分级的集中控制式网络 常见计算机网络拓扑结构 优点 系统可靠性高 容错能力强缺点 连接不经济 每台设备之间均有点到点的链路连接 安装复杂 分布式网络 常见计算机网络拓扑结构 无线接入设备 无线终端 无线终端 无线通信基站 无线通信基站 地面接受天线 卫星 TCP IP协议基础 OSI参考模型 互联网设计之初的使用目的是用于科学研究 其基本假设就是节点的诚实性 由于计算机网络的广泛使用 这种假设在今天已经无法成立 因此可能导致各种各样的攻击 这些攻击主要针对两方面的缺陷 协议设计的缺陷 这种攻击会一直存在 直至该协议更新 协议实现的缺陷 这种攻击会随着软件的更新而消除 TCP IP协议基础 OSI参考模型 Cont 应用进程访问网络服务的窗口 应用层 解释不同控制码 字符集和图形字符等 表示层 负责建立 维护和同步通信设备之间的交互操作 会话层 负责整个消息无差错 按顺序地的从信源到信宿传递过程 传输层 负责数据包成功和有效率地经过多条链路 由信源到信宿的传递过程 网络层 负责将数据帧无差错地从一个站点送达下一个相邻站点 数据链路层 数据链路实体间透明的比特 Bit 流传输 物理层 TCP IP协议基础 TCP IP协议栈 Cont 直接为网络应用提供服务 使得应用程序能通过网络收发数据 应用层 为应用层实体提供端到端的通信功能 提供有连接的服务和无连接的服务 传输层 提供可靠 无连接的数据报传递服务 网际层负责对数据包进行路由选择 网际互联层 负责在实际网络中传输 发送 接收端到端数据包 网络接口层 OSI模型是在协议开发前设计的 具有通用性 TCP IP是先有协议集然后建立模型 不适用于非TCP IP网络 实际市场应用不同 OSI模型只是理论上的模型 并没有成熟的产品 而TCP IP已经成为 实际上的国际标准 TCP IP协议基础 TCP IP协议栈 Cont SMTP HTTP TELNET DNS SNMP TFTP RPC TCP UDP ARP RARP etc IP ICMP IGMP 应用层 传输层 网际层 网络接口层 以太网 帧中继 令牌环 etc TCP IP协议基础 协议数据封装 应用层 传输层 网络层 数据链路层 物理层 应用层 传输层 网络层 数据链路层 物理层 AH TH IH FH Bits DATA FT 假消息攻击 假消息攻击利用网络协议设计中的缺陷 通过发送伪造的数据包达到欺骗目标 从中获利的目的 哪些协议设计有缺陷 是容易受到攻击的呢 假消息攻击的分类 分类与网络协议各层次的关系 应用层 传输层 网络层 数据链路层 DNS欺骗 SMB中间人攻击 SYNFlood攻击 IP欺骗 ICMP重定向攻击 IP分片攻击 ARP欺骗 物理层 数据发送 应用数据 网页访问 GETHTTP 正确的TCP包头 正确的IP包头 正确的MAC帧头 您的主机 202 196 53 8 建立TCP连接 要访问上的数据 必须首先和服务器建立起连接 TCP包头 TCP包头部分包括源端口 目的端口 TCP标志 TCP选项等内容 源端口 4039 目的端口 80 FLAGS SYN IP包头 IP包头部分包括源IP地址 目的IP地址 IP标志等内容 源IP 202 196 53 8 目的IP 目的IP 162 105 203 114 目的IP地址通过DNS解析确定 MAC帧头 MAC帧头部分包括源MAC地址 目的MAC地址以及上层协议类型等内容 源MAC 00 06 29 b3 4c 49 目的MAC 连接的MAC帧头部分 由路由表信息和ARP缓存信息 可以确定帧头的目的MAC地址域 源MAC 00 06 29 b3 4c 49 目的MAC 目的MAC 00 e0 4c de 04 26 目标IP地址 路由IP地址 目标MAC地址 主机路由表 routeprint显示当前主机的路由表信息 ActiveRoutes NetworkDestinationNetmaskGatewayInterface0 0 0 00 0 0 0202 196 53 254202 196 53 8127 0 0 0255 0 0 0127 0 0 127 0 0 1202 196 53 0255 255 255 0202 196 53 8202 196 53 8202 196 53 8255 255 255 255127 0 0 1127 0 0 1 DefaultGateway 202 196 50 254 DestIP Netmask NetworkDestination 选择相应的Interface和Gateway发送数据 162 105 203 114 地址解析协议ARP Arp命令显示了本机的arp缓存 InternetAddressPhysicalAddressType202 196 53 25400 e0 4c de 04 26dynamic202 196 53 5708 00 46 60 8d 3adynamic C arp a ARP协议的作用 地址解析协议ARP 31 地址解析协议ARP 硬件类型 硬件地址长度 n 发送方硬件地址 n字节 发送方协议地址 m字节 目的方硬件地址 n字节 目的方协议地址 m字节 协议地址长度 m 协议类型 操作 0 15 31 1 ARP请求 request 2 ARP应答 reply 1 Ethernet 10Mb 3 AmateurRadioAX 254 TokenRing6 IEEE802networks11 Localtalk 0 x0800 IPv4 链路层和局域网 5 32 ARP 地址解析协议 每个在局域网上的IP节点 Host Router 都有ARP表ARP表 局域网上一些节点的IP MAC地址映射TTL TimeToLive 映射地址的失效时间 典型为20分钟 1A 2F BB 76 09 AD 58 23 D7 FA 20 B0 0C C4 11 6F E3 98 71 65 F7 2B 08 53 LAN 237 196 7 23 237 196 7 78 237 196 7 14 237 196 7 88 链路层和局域网 5 33 ARP协议 A想发送分组给B A知道B的IP地址假设B的MAC地址不在A的ARP表中A广播包含B的IP地址的ARP查询包目的MAC地址 FF FF FF FF FF FF在局域网上的所有机器都能收到ARP查询B收到ARP包 回给A一个带有B的MAC地址的包包单播unicast发送给A的MAC地址 A缓存IP to MAC地址对在ARP表中 直到信息过期 timeout 软件规定 如果ARP表的信息在一定时间内没有刷新 则信息将过期 ARP是即插即用的 无需网络管理员干预 节点就能创建ARP表 链路层和局域网 5 34 路由到其他局域网 A通过R向B发送分组假设A知道B的IP地址在路由器R中有两个ARP表 每个针对一个IP网络 LAN 在主机的路由表中发现路由器的IP 111 111 111 110在主机的ARP表中发现MAC地址 E6 E9 00 17 BB 4B等等 A R B 链路层和局域网 5 35 A创建一个分组 源地址为A 目的地址为BA使用ARP得到R的111 111 111 110的MAC地址A创建一个链路层帧 该帧以R的MAC地址为目的地址 并包含A to B的IP数据包A的适配器发送帧R的适配器收到帧R从Ethernet帧中提取IP数据包 得知目的地址为BR使用ARP得到B的MAC地址R创建一个包含A to B的IP数据包的帧发送给B A R B ARP协议的效率改进 响应ARP请求的主机将请求者的IP MAC映射缓存 主动的ARP应答会被视为有效信息接受 ARP效率带来的问题 发送错误的发送者MAC地址的ARP请求发送错误的接收者MAC地址的ARP应答 38 地址解析协议的安全威胁 网关 192 168 1 10100 00 00 00 00 A1 192 168 1 10200 00 00 00 00 A2 192 168 1 10300 00 00 00 00 A3 192 168 1 10400 00 00 00 00 A4 192 168 1 100 00 00 00 00 01 Internet 谁是192 168 1 102 我是 地址解析协议的安全威胁 网关 192 168 1 10100 00 00 00 00 A1 192 168 1 10200 00 00 00 00 A2 192 168 1 10300 00 00 00 00 A3 192 168 1 10400 00 00 00 00 A4 192 168 1 100 00 00 00 00 01 Internet 我是192 168 1 1 ARP欺骗的攻击过程攻击者在局域网网段发送虚假的IP MAC对应信息 篡改网关MAC地址 使自己成为假网关受害者将数据包发送给假网关 攻击者 假网关 攻击者 分析接收到的数据包 把有价值的数据包记录下来 比如QQ以及邮箱登录数据包 假网关再把数据包转发给真正的网关 ARP欺骗攻击 ARP欺骗 0260 8c01 2222 0260 8c01 3333 A B 网关 0260 8c01 1111 10 0 0 2 10 0 0 1 10 0 0 3 攻击者在局域网段发送虚假的IP MAC对应信息 篡改网关MAC地址 使自己成为假网关 受害者将数据包发送给假网关 攻击者 假网关 攻击者 分析接收到的数据包 把有价值的数据包记录下来 比如QQ以及邮箱登录数据包 假网关再把数据包转发给真正的网关 ARP欺骗 ARP欺骗问题的原因 ARP协议设计之初没有考虑安全问题 所以任何计算机都可以发送虚假的ARP数据包 ARP协议的无状态性 响应数据包和请求数据包之间没有什么关系 如果主机收到一个ARP响应却无法知道是否真的发送过对应的ARP请求 ARP缓存需要定时更新 给攻击者以可乘之机 ARP欺骗 ARP欺骗的危害嗅探拒绝服务攻击中间人攻击ARP欺骗的局限性ARP欺骗只能被用于局域网 黑客必须已经获得局域网中某台机器的访问权 44 网络接口层协议及安全威胁 根据交换表来决定把到达的帧发送到哪个端口 而不是广播接收到的帧 但是对于以下两种情况 交换机会采用广播方式发送数据第一 如果帧的目的MAC地址为广播地址 广播该帧 即 FF FF FF FF FF FF 第二 如果帧的目的MAC地址在交换机表中查不到对应的表项 则广播该帧 窃听 交换机毒化攻击 以太网采用星型拓扑结构 使用集线器 hub 或者交换机 switch 连接网络节点 链路层和局域网 5 45 集线器 Hub 集线器本质上是物理层的中继器 处理的基本单位是位信号放大 延长网络距离收到的位发送给所有其它连接节点多个端口使用相同的传输速率 没有帧缓存没有CSMA CD 由计算机的网卡检测冲突 链路层和局域网 5 46 集线器内部逻辑结构 端口1 端口2 端口3 端口4 集线器连接的网络物理上是星型拓扑结构逻辑上是总线型拓扑结构 链路层和局域网 5 47 Ethernet交换机 交换机工作在链路层基于帧转发 实现MAC地址过滤物理上和逻辑上都是星型结构交换 A to A 和B to B 同时工作 不冲突 链路层和局域网 5 48 交换机转发 交换机怎么确定将接收到的MAC帧转发到哪一个网段呢 hub hub hub switch A B C D E F G H I 1 2 3 链路层和局域网 5 49 交换机的交换机制 交换机内部保存一个源地址表又称为交换表交换表的表项 MAC地址 接口 时间 交换表中过期的表项将被删除 TTL可以是60分钟 交换机学习哪一个主机可以通过哪一个接口到达交换机当接收一数据帧时 交换机 学习 发送者的位置 即数据进入交换机的LAN网段与接口之间的对应关系在交换表中记录发送者 位置对应关系上述机制称之为交换机的 自学习 链路层和局域网 5 50 交换机举例 假设A发送数据帧到E 交换机接收来自A的数据帧注意在交换表中A在交换机的接口1上 E在交换机的接口2上交换机将转发数据帧到接口数据帧被E接收 hub hub hub switch A B C D E F G H I 接口 ABEG 1123 1 2 3 MAC地址 链路层和局域网 5 51 交换机举例 假设C发送数据帧到D 交换机接收来自C的数据帧记录C所对应的接口号1因为D不在交换表中 交换机将转发数据帧到接口2和3数据帧被D接收 hub hub hub switch A B C D E F G H I 接口 ABEG 1123 1 2 3 MAC地址 C1 链路层和局域网 5 52 交换机举例 假设D回复数据帧给C 交换机接收来自D的数据帧记录D所对应的接口号为2因为C在交换表中 并且接口为1 则交换机只向接口1转发数据帧数据帧被C接收 hub hub hub switch A B C D E F G H I 接口 1123 1 2 3 MAC地址 C1 ABEG D2 链路层和局域网 5 53 交换机举例 假设A发送数据帧到B会有什么结果呢 交换机接收来自A的数据帧注意在交换表中A在交换机的接口1上 B也在交换机的接口1上数据帧将被交换机丢弃 hub hub hub switch A B C D E F G H I 接口 ABEG 1123 1 2 3 MAC地址 丢弃相同接口的数据帧 网络接口层协议及安全威胁 Cont 交换机毒化攻击 交换表的空间是有限的 新的 MAC地址 端口 映射对的到达会替换旧的表项 如果攻击者发送大量的具有不同伪造源MAC地址的帧 由于交换机的自学习功能 这些新的 MAC地址 端口 映射对会填充整个交换机表 而这些表项都是无效的 结果交换机完全退化为广播模式 攻击者达到窃听数据的目的 switchpoisoning 55 版本号 标识 生存期 源IP地址 目的IP地址 选项 数据 IP协议 填充位 报头校验和 分段移位标志 13 总长度 标志 3 协议标识 服务类型 包头长度 0 15 31 56 IP协议的安全威胁 拒绝服务攻击 避免被追踪而受到惩罚 构造针对同一目的IP地址的IP分组 而源IP地址为随机的IP地址 基于IP地址认证的网络服务 假冒可信的IP地址而非法访问计算机资源 TCP首部 20字节的固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN 32位 SYN RST PSH ACK URG 位08162431 填充 TCP数据部分 TCP首部 TCP报文段 IP数据部分 IP首部 发送在前 TCP协议 TCP首部 20字节固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN SYN RST PSH ACK URG 位08162431 填充 源端口和目的端口字段 各占2字节 端口是运输层与应用层的服务接口 运输层的复用和分用功能都要通过端口才能实现 序号字段 占4字节 TCP连接中传送的数据流中的每一个字节都编上一个序号 序号字段的值则指的是本报文段所发送的数据的第一个字节的序号 确认号字段 占4字节 是期望收到对方的下一个报文段的数据的第一个字节的序号 数据偏移 即首部长度 占4位 它指出TCP报文段的数据起始处距离TCP报文段的起始处有多远 数据偏移 的单位是32位字 以4字节为计算单位 保留字段 占6位 保留为今后使用 但目前应置为0 紧急URG URGent 当URG 1时 表明紧急指针字段有效 它告诉系统此报文段中有紧急数据 应尽快传送 相当于高优先级的数据 确认ACK ACKnowledgment 只有当ACK 1时确认号字段才有效 当ACK 0时 确认号无效 推送PSH PuSH 发送方收到push指示后快速发送该数据及其之前的数据 接收TCP收到PSH 1的报文段 就尽快地交付接收应用进程 而不再等到整个缓存都填满了后再向上交付 复位RST ReSeT 当RST 1时 表明TCP连接中出现严重差错 如由于主机崩溃或其他原因 必须释放连接 然后再重新建立运输连接 同步SYN SYNchronize 同步SYN 1表示这是一个连接请求或连接接受报文 终止FIN FINis 用来释放一个连接 FIN 1表明此报文段的发送端的数据已发送完毕 并要求释放运输连接 窗口字段 占2字节 用来让对方设置发送窗口的依据 单位为字节 检验和 占2字节 检验和字段检验的范围包括首部和数据这两部分 在计算检验和时 要在TCP报文段的前面加上12字节的伪首部 紧急指针字段 占16位 指出在本报文段中紧急数据共有多少个字节 紧急数据放在本报文段数据的最前面 选项字段 长度可变 TCP最初只规定了一种选项 即最大报文段长度MSS MSS告诉对方TCP 我的缓存所能接收的报文段的数据字段的最大长度是MSS个字节 填充字段 这是为了使整个首部长度是4字节的整数倍 TCP连接的建立 已经建立的TCP连接 SEQ ISNA 1000 SYN 1 主机B 主机A SEQ ISNB 2000ACKA 1001 SYN 1 ACK 1 SEQ 1000ACK 2001 ACK 1 TCP连接的释放 已经建立的TCP连接 SEQ 6000 FIN 1 主机B 主机A SEQ 8000ACK 6001 ACK 1 SEQ 6001ACK 8001 ACK 1 连接被释放 SEQ 8000ACK 6001 FIN 1 TCP协议的特点 全双工连接 full duplexconnection 该连接的两端有两条彼此独立 方向相反的传输通道 面向连接 connection oriented 通信双方在开始传输数据前 必须通过 三次握手 的方式在二者之间建立一条逻辑上的链路 虚电路 用于传输数据 可靠性 reliable 自动分片 保证传送给应用层的数据顺序是正确的 自动过滤重复的封包 确认 重传确保数据包可靠到达 面向字节流 byte stream 议将应用程序和网络传输相分割 为流传输服务提供了一个一致的接口 DoS DenialofService 拒绝服务DoS攻击是指利用网络协议漏洞或其他系统以及应用软件的漏洞耗尽被攻击目标资源 使得被攻击的计算机或网络无法正常提供服务 直至系统停止响应甚至崩溃的攻击方式 即攻击者通过某种手段 导致目标机器或网络停止向合法用户提供正常的服务或资源访问 拒绝服务攻击 DOS原理 DOS的基本模式 1 资源耗尽型 UESTC DOS的基本模式 消耗网络带宽 攻击者有意制造大量的数据报或传输大量文件以占用有限的网络带宽 致使合法用户无法正常使用网络资源 消耗磁盘空间 攻击者利用磁盘空间的有限性或存储空间大小控制的缺陷 短时间内制造大量的垃圾信息 使系统或用户因没有磁盘空间而停止工作 消耗CPU和内存资源 操作系统需要提供CPU和内存资源给许多进程共用 攻击者利用系统中存在的缺陷 有意使用大量的CPU和内存资源 导致系统服务性能下降甚至造成系统崩溃 例如 UESTC UNIX系统中 编制下面的C程序可以实现消耗CPU资源和内存资源的攻击 main fork main DOS的基本模式 2 配置修改型 UESTC 改变路由信息 修改WindowsNT注册表 修改UNIX系统的各种配置文件 如 etc目录下的各种文件 DOS的基本模式 3 基于系统缺陷型攻击者利用目标系统和通信协议的漏洞实现拒绝服务攻击 例如一些系统出于安全考虑 限制用户试探口令次数和注册等待时间 当用户口令输入次数超过若干次 或注册等待时间超过某个时间值 系统就会停止该用户的使用权 攻击者利用系统这个安全特点 有意输错口令导致系统锁定该用户帐号 致使该用户得不到应有的服务 4 物理实体破坏型这种拒绝服务攻击针对物理设备 攻击者通过破坏或改变网络部件实现拒绝服务攻击 其攻击的目标包括 计算机 路由器 网络配线室 网络主干段 电源 冷却设备 UESTC 1 服务过载当大量的服务请求发向一台计算机中的服务守护进程时 就会发生服务过载 计算机忙碌地处理不断到来的服务请求 以至于无法处理常规的任务 同时 许多新到来的请求被丢弃 如果攻击的是一个基于TCP协议的服务 那么这些请求的包还会被重发 结果更加重了网络的负担 DOS攻击的基本形式 DOS攻击的基本形式 2 消息流消息流发生于用户向一台网络上的目标主机发送大量的数据报 来延缓目标主机的处理速度 阻止它处理正常的任务 这些请求可能是请求文件服务 要求登录或者仅仅是简单的要求响应数据报 3 信号接地物理方法也可以关闭一个网络 将网络的电缆接地 引入一些其他信号或者将以太网上的端接器拿走 都可以有效地阻止客户发送或者接收消息 UESTC 广播风暴 4 粘住 攻击可以使用TCP的半连接耗尽资源 如果攻击者发出多个连接请求 初步建立了连接 但又没有完成其后的连接步骤 接收者便会保留许多这种半连接 占据有限的资源 通常这些连接请求使用的是伪造的源地址 连接来自于一台不存在的主机或者一台无法访问的主机 DOS攻击的基本形式 DoS攻击分类 DoS的攻击方式有很多种 最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源 从而使合法用户无法得到服务 SYNFlood死ping pingofdeath 泪滴 teardrop Smurf攻击Land攻击分布式拒绝服务攻击 SYNFlood攻击 SYNFlood攻击 SEQ ISNA 1000 SYN 1 主机B 主机A SEQ ISNB 2000ACKA 1001 SYN 1 ACK 1 对WindowsNT攻击很有效利用IP欺骗技术 SYNFlood攻击 SYNFlood远程拒绝服务攻击具有以下特点 针对TCP IP协议的薄弱环节进行攻击 发动攻击时 只要很少的数据流量就可以产生显著的效果 攻击来源无法定位 在服务端无法区分TCP连接请求是否合法 防御措施 在防火墙上过滤来自同一主机的后续连接 SYN洪水威胁很大 由于释放洪流的主机并不寻求响应 所以无法从一个简单高容量的传输中鉴别出来 死ping pingofdeath 在早期版本中许多操作系统对网络数据包的最大尺寸有限制 对TCP IP栈的实现在ICMP包上规定为64KB 在读取包的报头后 要根据该报头里包含的信息来为有效载荷生成缓冲区 当发送ping请求的数据包声称自己的尺寸超过ICMP上限 也就是加载的尺寸超过64K上限时 就会使ping请求接收方出现内存分配错误 导致TCP IP堆栈崩溃致使接受方当机 死ping pingofdeath 防御 现在所有的标准TCP IP实现都已实现对付超大尺寸的包 并且大多数防火墙能够自动过滤这些攻击 包括从windows98之后的windows NT servicepack3之后 linux Solaris和MacOS都具有抵抗一般pingofdeath攻击的能力 此外对防火墙进行配置 阻断ICMP以及任何未知协议都将防止此类攻击 泪滴 teardrop 泪滴攻击利用那些在TCP IP堆栈实现中 信任IP碎片中的包的标题头所包含的信息来实现攻击 IP分段含有指示该分段所包含的是原包的哪一段的信息 某些TCP IP包括servicepack4以前的NT在收到含有重叠偏移的伪造分段时将崩溃 例如一个40个字节的数据报被分为两片 第一片数据发送0 36个字节 而第二片发送24 27字节 在某些情况下会破坏整个IP协议栈 必须重新启动计算机才能恢复 补充 IP数据包格式 UESTC 泪滴 teardrop 防御 服务器应用最新的服务包 或者在设置防火墙时对分段进行重组 而不是转发它们 特别打造一个SYN包 其源地址和目标地址都被设置成某一个服务器地址 导致接收服务器向它自己的地址发送SYN ACK消息 结果这个地址又发回ACK消息并创建一个空连接 每一个这样的连接都将保留直到超时 许多UNIX将崩溃 NT变的极其缓慢 大约持续五分钟 Land攻击 通过采用ICMP技术进行攻击 a 攻击者找出网络上有哪些路由器会回应ICMP请求 b 用一个虚假的IP源地址向路由器的广播地址发出讯息 路由器会把这讯息广播到网络上所连接的每一台设备 c 这些设备马上回应 同时产生大量讯息流量 从而占用所有设备的资源及网络带宽 而回应的地址就是受攻击的目标 Smurf攻击 Smurf攻击示意图 Fraggle攻击与Smurf攻击类似 但它使用的不是ICMP 而是UDPEcho 防范 在防火墙上过滤UDP应答消息 Fraggle攻击 基本原理是利用工具软件 集中在一段时间内 向目标机发送大量垃圾信息 或是发送超出系统接收范围的信息 使对方出现负载过重 网络堵塞等状况 从而造成目标的系统崩溃及拒绝服务 常见的炸弹攻击有邮件炸弹 聊天室炸弹等 防御 对邮件地址进行配置 自动删除来自同一主机的过量或重复的消息 炸弹攻击 85 UDP协议 UDP源端口 消息长度 数据 UDP目的端口 校验和 0 15 31 86 UDP协议的特点 无连接的协议 传输数据之前 源端和目的端无需建立连接 不可靠的协议 如果在从发送方到接收方的传递过程中出现数据报的丢失 协议本身并不能做出任何检测或提示 不保序的协议 不能确保数据的发送和接收顺序 87 UDP的安全威胁 192 168 1 104服务器 192 168 1 103 192 168 1 101可信客户端 UDP请求源地址192 168 1 101 UDP应答 UDP假冒 UDP的安全威胁 Cont 192 168 1 104服务器 192 168 1 103 192 168 1 101可信客户端 UDP请求 填充UDP应答源地址192 168 1 104 UDP应答 UDP劫持 应用层 域名服务协议 com org cn edu net org uk edu com org uestc www bbs ccse me ee 域名服务协议 Cont 客户端 本地DNS服务器 www example org192 0 32 10 其他DNS DNS查询www example org DNS查询www example org DNS应答192 0 32 10 DNS应答192 0 32 10 HTTP请求 HTTP应答 DNS会话的验证 DNS查询和应答是基于UDP的应用验证不同的查询 应答是依靠报文中的标识段 ID DNS欺骗的原理客户端以特定的标识ID向DNS服务器发送域名查询数据包DNS服务器查询之后以同样的ID返回给客户端响应数据包攻击者拦截该响应数据包 并修改其内容 返回给客户端 DNS欺骗 DNS欺骗 难点在于如何获得标识号ID可以结合ARP欺骗或ICMP重定向等手段 采用嗅探的方法得到 94 域名服务协议安全威胁 DNS服务器 受害客户端 www example org ID 111 www example org 1 1 1 1ID 111 攻击者 DNSID欺骗攻击 域名服务协议安全威胁 Cont DNS服务器 受害客户端 www example org ID 111 www example org ID 36 www example org 1 1 1 1和一些其他被篡改的记录 ID 36 www example org 1 1 1 1ID 111 96 域名服务协议安全威胁 Cont DNS服务器 受害客户端 www example org 1 1 1 1ID xxxx大量猜测ID的伪造应答数据包 攻击者 www example org ID xxxx发出大量查询 www example org www example org 1 1 1 1 97 域名服务协议安全威胁 Cont DNS服务器组 攻击者 被攻击者1 1 1 1 www example org ID xxxx发出大量查询 FromIP 1 1 1 1 www example org 1 2 3 4大量应答 基于DNS的DDoS攻击 超文本传输协议 本地DNS服务器 203 208 39 22 客户端 HTTP协议安全威胁 本地DNS服务器 21 120 12 12 客户端 74 125 71 83 中间人攻击 HTTP协议安全威胁 Cont 持久性跨站 persistentXSSorstoredXSS 攻击数据存放于服务器 当用户访问正常网页时 服务端会将恶意的指令夹杂在正常网页中传回给用户 非持久性跨站 non persistentXSSorreflectedXSS 当服务端未能正确地过滤客户端发出的数据 并根据用户提交的恶意数据生成页面时 就有可能生成非持久性跨站攻击 DOM跨站 DOM basedXSS 如果客户端脚本 例如JavaScript 动态生成HTML的时候 没有严格检查和过滤参数 则可以导致DOM跨站攻击 101 电子邮件传输过程 MTA MUASender MTA MUASender 102 常见电子邮件协议 SMTP 简单邮件传输协议 主要负责底层的邮件系统如何将邮件从一台机器传至另外一台机器 POP3 邮局协议 目前的版本为POP3 POP3是把邮件从电子邮箱中传输到本地计算机的协议 IMAP Internet邮件访问协议 目前的版本为IMAP4 是POP3的一种替代协议 提供了邮件检索和邮件处理的新功能 HTTP S 通过浏览器使用邮件服务时使用 S MIME 支持邮件加密的传输协议 103 传输安全 电子邮件的内容大多是明文在网上传输 传输过程可能被窃听 储存安全 如同于其它文件的储存安全一样 重点在于防范非授权使用 发送者身份确认 发送者可能抵赖说他 她没有发送电子邮件 借此电传播脑病毒和诈骗信息 接收者已收到确认 接收者可能抵赖说他 她没有收到电子邮件 邮箱炸弹攻击 发送大量无意义的邮件给受害者 耗尽其电子邮箱的存储空间 从而该电子邮箱无法继续接收邮件 电子邮件协议安全威胁 作业 书P562 23 2 24 2 29 2 30 2 31