- 1基于Vue,mysql,JavaEE的简单投票与投票管理系统
- 2【NLP+图神经网络+推荐领域】2024年最新综述性文章推荐_nlp最新论文
- 3SQL server 时间戳 (timestamp) 与时间格式 (datetime) 互转_sqlserver时间戳转换日期格式
- 4Studio One6.5最新版本新增了对Linux的支持_ubuntu studio one
- 5【模型制作】如何把模之屋的模型导入UE_模之屋的模型怎么导入blender
- 6C语言文件操作函数总结
- 7gitee的远程仓库上的回滚到上一次_gitee回滚
- 8爆肝将近 5 万字使用 Python 本地端、服务器端搭建 QQ 智能聊天机器人(新手教程)_which dynamo backend would you like to use?
- 9SpringMVC获取请求参数的各种方法_springmvc 获取restful请求的参数
- 10Web安全:文件上传漏洞测试(防止 黑客利用此漏洞.)_文件上传漏洞怎么测试
Internet协议的安全性(网络层)_网络每层协议的安全问题和防护方法
赞
踩
网络层协议
IP协议的安全性
IP协议可能存在的安全风险
- IP协议未验证IP地址
源IP地址欺骗 :IP协议缺乏对地址真实性的认证机制,不能保证是从数据包给定的源地址发出来的。
目的IP地址欺骗:可能欺骗者收到了数据包。
防范措施:
抛弃基于地址的信任策略,采用更高层的认证方式。
进行包过滤,配置路由器使其能拒绝网络外部与本网内具有相同IP地址的连接请求。
- IP协议支持定向广播
主机会对广播包进行响应,消耗主机资源,以及网络带宽。
防范措施:在路由器上关闭定向广播转发选项。
- IP协议未对数据加密
数据容易被监听。
防范措施:采取加密措施
- IP协议仅对首部进行检验
攻击者可能截取数据报,并修改后发给接收方
防范措施:对IP数据报数据载荷部分进行完整性检测机制
- IP源路由选项支持
IP数据包中有个“IP source routing”选项,可以指定从源到目的的路由,则目的到源的应答包也会沿着这个路由传递。
防范措施:关闭源路由功能。
- IP协议支持分段重组
大包分片攻击:分片重组后的长度超过65535字节,使得事先分配的缓冲区溢出,造成系统崩溃。
ping:发送ICMP ECHO请求数据包,数据部分超过65507字节就溢出了
IP首部:至少20B,ICMP首部:8B,数据:最长65507B
极小碎片攻击:攻击者发送极小的分片来绕过包过滤系统或者入侵检测系统的一种攻击手段。
Tiny fragment: 通过nmap实现(nmap - f -sS -p ip)
分片重叠攻击:分片报文重组后,数据产生重叠,造成系统崩溃或绕过防火墙
绕过防火墙:Teardrop利用分片重组漏洞的拒绝服务攻击(主要就是偏移量)
IP分片Dos攻击:目标计算机在处理分片报文时,会先把收到的分片报文缓存起来,然后一直等待后续的分片报文,如果攻击者只发一部分,目标计算机就会一直等待,批量操作会导致计算机无法响应正常的IP报文
防御措施:
强制丢弃IP分片报文
==发送方探测路径最小MTU,避免分片(如果报文打上无法分片标志,路由器会无法传输,将丢弃报文,并返回一个ICMP差错报文,通知报文发起者丢弃原因,互相协商最小MTU)
丢弃过短报文
包过滤设备先重组再过滤
IP安全性总结
| IP协议特点 | IP安全问题 | 防范措施 |
|---|---|---|
| IP未验证 | IP欺骗攻击 | 源,目的地址鉴别机制 |
| IP定向广播 | 定向广播攻击 | 禁止广播 |
| 数据未加密 | 数据监听,窃听 | 加密 |
| IP首部检验 | IP数据篡改 | 完整性检测 |
| IP源路由选项 | IP源路由攻击 | 禁止源路由选项 |
| IP分片重组 | 大包攻击,极小碎片攻击,分片重叠攻击,DoS攻击 | 先重组,不分片 |
ARP协议的安全性
以太网发送的是48位MAC地址的数据包(也可以叫以太地址,物理地址)
IP驱动程序必须将32位IP目标地址转换成48位MAC地址
两类地址存在静态或算法上的影射
ARP用来确定两者之间的影射关系
ARP协议是为获得MAC地址,加入缓存
ARP缓存中毒
ARP缓存中毒后,攻击者使用伪造ARP消息欺骗受害者接收无效的IP-MAC映射,并将映射存入缓存中,又叫ARP欺骗,ARP重定向。
防范措施
- 在关键系统之间设置静态ARP项。比如在防火墙和边界路由器上设置静态的ARP项。
- 在交换机上配置802.1x协议,攻击者连接交换机时,需要验证身份
ICMP协议的安全性
ICMP是一种差错和控制报文协议,不仅用于传输差错报文,而且传输控制报文,运行在网际层
ping和traceroute
ICMP可能存在的问题
ICMP没有验证机制
攻击者可能伪装正常的路由器,使用伪造的响应信息应答ICMP询问,形成拒绝服务,重定向等攻击
ICMPDos
针对带宽的ICMP DoS:主要利用无用的数据耗尽网络带宽,如ICMP Smurf 伪装受害主机的源地址,向网络的广播地址发送大量的ping包,目标系统都很快被大量的echo reply信息淹没。
针对连接的ICMP DoS:可以终止现有的网络连接,如Nuke,通过发送一个伪造的ICMP Destination Unreachable(目的不可达)消息来终止合法的连接。
ICMP重定向攻击
攻击者利用ICMP路由重定向报文改变主机的路由表。自己伪装成路由器,向目标机器发送重定向消息,使目标机器的数据报发送给攻击机,从而实现监听,会话劫持或拒绝服务攻击。
防范措施
- 支持PING-允许向外发送ICMP响应请求,并允许向内发送答复消息
- 支持traceroute路径追踪-允许向内发送TTL-超出和端口无法连接的消息(目标端口不可达)
- 支持路径MTU-允许向内发送,需要分片但DF置位的ICMP消息
- 阻止其他类型的ICMP通信
路由协议的安全性
RIP协议
动态内部路由/网关协议,用于自治系统内的路由信息的传递
RIP协议的安全问题
协议缺陷
不可靠UDP传输
缺乏认证机制,RIPv2有MD5签名与验证,但MD5已破解
安全问题
伪造RIP路由更新消息,并向邻居路由器发送,伪造内容为目的网络地址、子网掩码与下一跳地址,经过若干轮路由更新,网路通信面临瘫痪
利用嗅探工具获取远程网络的RIP路由表,通过欺骗工具伪造RIP报文,再利用重定向工具截取,修改和重写向外发送的报文,以控制网络中报文消息。
防护措施
路由器接口配置
某些接口配置改为被动接口,之后该接口停止向它所在的网络广播路由更新路由,但是允许它接受来自其他路由器的报文
路由器访问控制
配置路由器的访问控制列表,只允许某些源地址IP的路由更新报文进入列表
增加路由验证机制
采用MD5安全机制的RIPv2协议,或者移植了安全认知机制的OSPF机制
OSPF协议
开放最短枯井优先协议 内部网关协议 用于在单一自治系统内决策路由
洪范法向所有路由发送路由信息
每个路由器都有一个保存全网链路信息的链路状态数据库
OSPF协议的安全问题
BGP协议
将单一管理的网路转化为由多个自治系统分散互联的网络
安全问题
缺乏安全可信的路由认证机制,无法对所传播的路由信息的安全性进行验证
解决方法
路由认证类方案
MD5 BGP认证技术
S-BGP方案
soBGPf方案
前缀劫持检测类方案
多源AS检测技术
主动探测技术
