网络协议的安全性PPT课件

1、网络协议的安全性第2章网络协议的安全性网络协议的安全性计算机网络的演变网络协议的安全性计算机网络的概念技术角度资源共享角度对信息的存储和处理实现计算机与计算机之间的互连、互通网络协议的安全性4计算机网络的的性质网络协议的安全性计算机网络协议网络协议包含三个基本要求网络协议是网络上所有设备之间通信规则的集合。网络协议的安全性6计算机网络分类网络协议的安全性计算机网络的组成与结构主机局域网主机局域网主机局域网大型机终端路由器路由器路由器路由器路由器路由器终端网络协议的安全性8常见计算机网络拓扑结构总线型结构 优点：结构简单，可扩充性好缺点：维护难，分支节点故障查找难网络协议的安全性常见计算机网络拓

2、扑结构环状结构 优点：简化了路径选择，节点控制软件简单缺点：传输效率低，不便于扩充，可靠性低，维护难，网络协议的安全性常见计算机网络拓扑结构星状结构 优点：结构简单，便于管理；控制简单，便于建网；网络延迟时间较小，传输误差较低。缺点：成本高、可靠性较低、资源共享能力也较差。以中央节点为中心，又称为集中控制式网络网络协议的安全性常见计算机网络拓扑结构树状结构 分级的集中控制式网络网络协议的安全性常见计算机网络拓扑结构网状结构 优点：系统可靠性高，容错能力强缺点：连接不经济，每台设备之间均有点到点的链路连接；安装复杂分布式网络网络协议的安全性常见计算机网络拓扑结构无线接入设备无线终端无线终端无线通

3、信基站无线通信基站地面接受天线卫星无线通信与卫星通信网络结构 网络协议的安全性TCP/IP协议基础 OSI参考模型 互联网设计之初的使用目的是用于科学研究，其基本假设就是节点的诚实性；由于计算机网络的广泛使用，这种假设在今天已经无法成立，因此可能导致各种各样的攻击。这些攻击主要针对两方面的缺陷：协议设计的缺陷，这种攻击会一直存在，直至该协议更新；协议实现的缺陷，这种攻击会随着软件的更新而消除。网络协议的安全性TCP/IP协议基础 OSI参考模型(Cont.) 网络协议的安全性TCP/IP协议基础TCP/IP协议栈(Cont.) uOSI模型是在协议开发前设计的, 具有通用性.TCP/IP是先有

4、协议集然后建立模型, 不适用于非TCP/IP网络.u实际市场应用不同（OSI模型只是理论上的模型，并没有成熟的产品，而TCP/IP已经成为“实际上的国际标准”）网络协议的安全性TCP/IP协议基础TCP/IP协议栈(Cont.) 应用应用层层传输传输层层网际网际层层网络网络接口接口层层网络协议的安全性TCP/IP协议基础协议数据封装网络协议的安全性假消息攻击v假消息攻击假消息攻击 利用网络协议设计中的缺陷，通过发送伪造的数据包达到欺骗目标、从中获利的目的 哪些协议设计有缺陷，是容易受到攻击的呢？哪些协议设计有缺陷，是容易受到攻击的呢？网络协议的安全性假消息攻击的分类 分类与网络协议各层次的关系

5、应用层传输层网络层数据链路层DNS欺骗，SMB中间人攻击SYN Flood攻击，IP欺骗ICMP重定向攻击，IP分片攻击ARP欺骗物理层网络协议的安全性数据发送应用层应用层传输层传输层网络层网络层主机网络层主机网络层应用程序操作系统操作系统网络设备应用数据应用数据TCP头应用数据TCP头IP头应用数据TCP头IP头帧头网络协议的安全性网页访问内部网络外部网络GET HTTP:/正确的TCP包头正确的IP包头正确的MAC帧头您的主机：网络协议的安全性建立TCP连接 要访问上的数据，必须首先和服务器建立起连接。正确的TCP包头正确的IP包头正确的MAC帧头网络协议的安全性TCP包头 TCP包头部分

6、包括源端口、目的端口、TCP标志、TCP选项等内容。正确的TCP包头正确的IP包头正确的MAC帧头源端口：4039目的端口：80FLAGS：SYN网络协议的安全性IP包头 IP包头部分包括源IP地址、目的IP地址、IP标志等内容。正确的TCP包头正确的IP包头正确的MAC帧头源IP：目的IP：? ? ?目的IP：14n目的IP地址通过DNS解析确定。网络协议的安全性MAC帧头 MAC帧头部分包括源MAC地址、目的MAC地址以及上层协议类型等内容。正确的TCP包头正确的IP包头正确的MAC帧头源MAC：00-06-29-b3-4c-49 目的MA

7、C：? ? ?网络协议的安全性连接的MAC帧头部分 由路由表信息和ARP缓存信息，可以确定帧头的目的MAC地址域正确的TCP包头正确的IP包头正确的MAC帧头源MAC：00-06-29-b3-4c-49 目的MAC：? ? ?目的MAC： 00-e0-4c-de-04-26目标IP地址路由IP地址目标MAC地址网络协议的安全性主机路由表 route print显示当前主机的路由表信息。= Active Routes:Network Destination Netmask Gateway Interface 54 1

8、 202.196.53. 8 202.196.53. 8 55 Default Gateway: 54=vDestIP & Netmask = Network Destination，选择相应的选择相应的Interface和和Gateway发送数据发送数据14网络协议的安全性地址解析协议ARP Arp命令显示了本机的ar

9、p缓存。 Internet Address Physical Address Type 54 00-e0-4c-de-04-26 dynamic 7 08-00-46-60-8d-3a dynamicC:arp -a网络协议的安全性 ARP协议的作用物理地址物理地址IP地址IP地址地址解析协议地址解析协议（ARP）（ARP）反向地址解析协议反向地址解析协议（RARP）（RARP）地址解析协议ARP网络协议的安全性31地址解析协议ARP015311：ARP请求(request)2：ARP应答（reply） 1 ： Ethernet (10 Mb)3

10、 ： Amateur Radio AX.254 ： Token Ring6 ： IEEE 802 networks11 ：Local talk0 x0800：IPv4网络协议的安全性32ARP: ARP: 地址解析协议地址解析协议p每个在局域网上的每个在局域网上的IPIP节点节点 (Host, (Host, Router)Router)都有都有ARP ARP 表表pARPARP表表: : 局域网上局域网上一些节点的一些节点的IP/MACIP/MAC地址映射地址映射 IP address; MAC address; TTL TTL (Time To TTL (Time To Live): Liv

11、e): 映射地址的映射地址的失效时间失效时间 ( (典型为典型为2020分钟分钟) )问题：知道问题：知道B B的的IPIP地址怎么地址怎么知道它的知道它的MACMAC地址地址1A-2F-BB-76-09-AD1A-2F-BB-76-09-AD58-23-D7-FA-20-B058-23-D7-FA-20-B00C-C4-11-6F-E3-980C-C4-11-6F-E3-9871-65-F7-2B-08-5371-65-F7-2B-08-53 LAN LAN33884237.196.

12、7.1488网络协议的安全性33ARPARP协议协议p A想发送分组给想发送分组给 B，A知道知道 B的的IP地址地址p 假设假设B的的MAC地址不在地址不在A的的ARP表中表中p A广播广播包含包含B的的IP地址的地址的ARP查查询包询包 目的目的MAC地址地址= FF-FF-FF-FF-FF-FF 在局域网上的所有机器都能在局域网上的所有机器都能收到收到ARP查询查询p B收到收到 ARP包，回给包，回给A一个带有一个带有B的的MAC地址的包地址的包 包单播包单播unicast发送给发送给A的的MAC地址地址p A缓存缓存IP-to-MAC地址对

13、在地址对在 ARP表中，直到信息过期表中，直到信息过期 (timeout) 软件规定软件规定: 如果如果ARP表的信息表的信息在一定时间内没有刷新，则在一定时间内没有刷新，则信息将过期。信息将过期。p ARP是即插即用的是即插即用的: 无需网络管理员干预，节点无需网络管理员干预，节点就能创建就能创建ARP表表网络协议的安全性34路由到其他局域网路由到其他局域网A A通过通过R R向向B B发送分组发送分组 假设假设A A知道知道B B的的IPIP地址地址p 在路由器在路由器R R中有两个中有两个ARPARP表，每个针对一个表，每个针对一个IPIP网络网络 (LAN)(LAN)p 在主机的路由表

14、中发现路由器的在主机的路由表中发现路由器的IPIP：1010p 在主机的在主机的ARPARP表中发现表中发现MACMAC地址：地址：E6-E9-00-17-BB-4BE6-E9-00-17-BB-4B等等等等A AR RB B网络协议的安全性35p A A创建一个分组，源地址为创建一个分组，源地址为A A，目的地址为，目的地址为B Bp A A使用使用ARPARP得到得到R R的的1010的的MACMAC地址地址p A A创建一个链路层帧，该帧以创建一个链路层帧，该帧以R R的的MACMAC

15、地址为目的地址，地址为目的地址，并包含并包含 A-to-BA-to-B的的IPIP数据包数据包p A A的适配器发送帧的适配器发送帧p R R的适配器收到帧的适配器收到帧p R R从从EthernetEthernet帧中提取帧中提取IPIP数据包，得知目的地址为数据包，得知目的地址为B Bp R R使用使用 ARPARP得到得到B B的的MACMAC地址地址p R R创建一个包含创建一个包含A-to-BA-to-B的的IPIP数据包的帧发送给数据包的帧发送给B BA AR RB B网络协议的安全性ARP协议的效率改进 响应ARP请求的主机将请求者的IPMAC映射缓存。 主动的ARP应答会被视为

16、有效信息接受网络协议的安全性ARP效率带来的问题 发送错误的发送者MAC地址的ARP请求 发送错误的接收者MAC地址的ARP应答网络协议的安全性38地址解析协议的安全威胁网关0100:00:00:00:00:A10200:00:00:00:00:A20300:00:00:00:00:A30400:00:00:00:00:A400:00:00:00:00:01Internet谁是02我是00:00:00:0000:00:0

17、0:00:00:01:00:01010100:00:00:0000:00:00:00:00:A1:00:A1020200:00:00:0000:00:00:00:00:A2:00:A2030300:00:00:0000:00:00:00:00:A3:00:A3040400:00:00:0000:00:00:00:00:A4:00:A4网络协议的安全性地址解析协议的安全威胁网关0100:00:00:0

18、0:00:A10200:00:00:00:00:A20300:00:00:00:00:A30400:00:00:00:00:A400:00:00:00:00:01Internet我是00:00:00:0000:00:00:00:00:A2:00:A2010100:00:00:0000:00:00:00:00:A1:00:A1网络协议的安全性 ARP欺骗的攻击过程 攻击者在局域网网段发送虚假的IP/M

19、AC对应信息，篡改网关MAC地址，使自己成为假网关 受害者将数据包发送给假网关（攻击者） 假网关（攻击者）分析接收到的数据包，把有价值的数据包记录下来（比如QQ以及邮箱登录数据包） 假网关再把数据包转发给真正的网关网络协议的安全性ARP欺骗0260.8c01.22220260.8c01.3333AB网关0260.8c01.111攻击者在局域网段发送虚假的IP/MAC对应信息，篡改网关MAC地址，使自己成为假网关受害者将数据包发送给假网关（攻击者）假网关（攻击者）分析接收到的数据包，把有价值的数据包记录下来（比如QQ以及邮箱登录数据包）假网关再把

20、数据包转发给真正的网关网络协议的安全性ARP欺骗ARP欺骗问题的原因：ARP协议设计之初没有考虑安全问题，所以任何计算机都可以发送虚假的ARP数据包。ARP协议的无状态性。响应数据包和请求数据包之间没有什么关系，如果主机收到一个ARP响应却无法知道是否真的发送过对应的ARP请求。ARP缓存需要定时更新，给攻击者以可乘之机。网络协议的安全性ARP欺骗 ARP欺骗的危害 嗅探 拒绝服务攻击 中间人攻击 ARP欺骗的局限性 ARP欺骗只能被用于局域网（黑客必须已经获得局域网中某台机器的访问权）。网络协议的安全性44网络接口层协议及安全威胁以太网采用星型拓扑结构，使用集线器（hub）或者交换机（swi

21、tch）连接网络节点。网络协议的安全性45集线器集线器Hub集线器本质上是物理层集线器本质上是物理层的中继器：的中继器： 处理的基本单位是位处理的基本单位是位 信号放大，延长网络距信号放大，延长网络距离离 收到的位发送给所有其收到的位发送给所有其它连接节点它连接节点 多个端口使用相同的传多个端口使用相同的传输速率，没有帧缓存输速率，没有帧缓存 没有没有CSMA/CD：由计算：由计算机的网卡检测冲突机的网卡检测冲突twisted pairtwisted pairhubhubABCD网络协议的安全性46集线器内部逻辑结构集线器内部逻辑结构端口端口1 1端口端口2 2端口端口3 3端口端口4 4集线

22、器连接的网络集线器连接的网络 物理上是星型拓扑结构物理上是星型拓扑结构 逻辑上是总线型拓扑结构逻辑上是总线型拓扑结构twisted pairtwisted pairhubhubABCD网络协议的安全性47EthernetEthernet交换机交换机p交换机工作在链路层交换机工作在链路层p基于帧转发基于帧转发, , 实现实现MACMAC地址过滤地址过滤p物理上和逻辑上都是物理上和逻辑上都是星型结构星型结构p交换：交换：A-to-AA-to-A和和 B-B-to-Bto-B同时工作，不冲同时工作，不冲突突网络协议的安全性48交换机转发交换机转发 交换机怎么确定将接收到的交换机怎么确定将接收到的MA

23、C帧转发到哪帧转发到哪一个网段呢一个网段呢?hubhubhubhubhubhubswitchswitchA AB BC CD DE EF FG GH HI I1 12 23 3网络协议的安全性49交换机的交换机制交换机的交换机制p交换机内部保存一个交换机内部保存一个源地址源地址表又称为表又称为交换表交换表p交换表的表项交换表的表项: (MAC地址地址, 接口接口, 时间时间) 交换表中过期的表项将被删除交换表中过期的表项将被删除 (TTL 可以是可以是60分分钟钟) p交换机交换机学习学习哪一个主机可以通过哪一个接口哪一个主机可以通过哪一个接口到达交换机到达交换机 当接收一数据帧时当接收一数据

24、帧时,交换机交换机“学习学习”发送者的位发送者的位置置:即数据进入交换机的即数据进入交换机的LAN网段与接口之间的网段与接口之间的对应关系对应关系 在交换表中记录发送者在交换表中记录发送者/位置对应关系位置对应关系p上述机制称之为交换机的上述机制称之为交换机的“自学习自学习”网络协议的安全性50交换机举例交换机举例假设假设A A发送数据帧到发送数据帧到E Ep交换机接收来自交换机接收来自A的数据帧的数据帧m注意在交换表中注意在交换表中A在交换机的接口在交换机的接口1上，上，E在交换机在交换机的接口的接口2上上m交换机将转发数据帧到接口交换机将转发数据帧到接口p数据帧被数据帧被E接收接收 hub

25、hubhubhubhubhubswitchswitchA AB BC CD DE EF FG GH HI I接口接口ABEG11231 12 23 3MACMAC地址地址网络协议的安全性51交换机举例交换机举例假设假设C C发送数据帧到发送数据帧到D Dp交换机接收来自交换机接收来自C的数据帧的数据帧m记录记录C所对应的接口号所对应的接口号1m因为因为D不在交换表中不在交换表中,交换机将转发数据帧到接口交换机将转发数据帧到接口2和和3p数据帧被数据帧被D接收接收 hubhubhubhubhubhubswitchswitchA AB BC CD DE EF FG GH HI I接口接口ABEG1

26、1231 12 23 3MACMAC地址地址C 1网络协议的安全性52交换机举例交换机举例假设假设D D回复数据帧给回复数据帧给C. C. p交换机接收来自交换机接收来自D的数据帧的数据帧m记录记录D所对应的接口号为所对应的接口号为2m因为因为C在交换表中，并且接口为在交换表中，并且接口为1，则交换机只向接，则交换机只向接口口1转发数据帧转发数据帧p数据帧被数据帧被C接收接收hubhubhubhubhubhubswitchswitchA AB BC CD DE EF FG GH HI I接口接口11231 12 23 3MACMAC地址地址C 1ABEGD 2网络协议的安全性53交换机举例交换

27、机举例假设假设A A发送数据帧到发送数据帧到B B会有什么结果呢？会有什么结果呢？p交换机接收来自交换机接收来自A的数据帧的数据帧m注意在交换表中注意在交换表中A在交换机的接口在交换机的接口1上上,B也在交换机也在交换机的接口的接口1上上p数据帧将被交换机丢弃数据帧将被交换机丢弃 hubhubhubhubhubhubswitchswitchA AB BC CD DE EF FG GH HI I接口接口ABEG11231 12 23 3MACMAC地址地址丢弃相同接丢弃相同接口的数据帧口的数据帧网络协议的安全性网络接口层协议及安全威胁(Cont.) 交换表的空间是有限的，新的“MAC地址端口”映

28、射对的到达会替换旧的表项。 如果攻击者发送大量的具有不同伪造源MAC地址的帧，由于交换机的自学习功能，这些新的“MAC地址端口”映射对会填充整个交换机表，而这些表项都是无效的，结果交换机完全退化为广播模式，攻击者达到窃听数据的目的。（switch poisoning）网络协议的安全性55IP协议01531网络协议的安全性56IP协议的安全威胁网络协议的安全性TCP首部20 字节的固定首部目 的 端 口数据偏移检 验 和选 项 （长 度 可 变）源 端 口序 号紧 急 指 针窗 口确 认 号保 留F FI IN N32 位S SY YN NR RS ST TP PS SH HA AC CK KU

29、 UR RG G位 0 8 16 24 31填 充TCP 数据部分TCP 首部TCP 报文段IP 数据部分IP 首部发送在前TCP协议网络协议的安全性TCP首部20字节固定首部目 的 端 口数据偏移检 验 和选 项 （长 度 可 变）源 端 口序 号紧 急 指 针窗 口确 认 号保 留F FI IN NS SY YN NR RS ST TP PS SH HA AC CK KU UR RG G位 0 8 16 24 31填 充源端口和目的端口字段各占 2 字节。端口是运输层与应用层的服务接口。运输层的复用和分用功能都要通过端口才能实现。 序号字段占 4 字节。TCP 连接中传送的数据流中的每一个

30、字节都编上一个序号。序号字段的值则指的是本报文段所发送的数据的第一个字节的序号。 确认号字段占 4 字节，是期望收到对方的下一个报文段的数据的第一个字节的序号。 数据偏移（即首部长度）占 4 位，它指出 TCP 报文段的数据起始处距离 TCP 报文段的起始处有多远。“数据偏移”的单位是 32 位字（以 4 字节为计算单位）。 保留字段占 6 位，保留为今后使用，但目前应置为 0。 紧急 URG (URGent) 当 URG 1 时，表明紧急指针字段有效。它告诉系统此报文段中有紧急数据，应尽快传送(相当于高优先级的数据)。 确认 ACK(ACKnowledgment) 只有当 ACK 1 时确认

31、号字段才有效。当 ACK 0 时，确认号无效。 推送 PSH (PuSH) 发送方收到push指示后快速发送该数据及其之前的数据，接收 TCP 收到 PSH = 1 的报文段，就尽快地交付接收应用进程，而不再等到整个缓存都填满了后再向上交付。 复位 RST (ReSeT) 当 RST 1 时，表明 TCP 连接中出现严重差错（如由于主机崩溃或其他原因），必须释放连接，然后再重新建立运输连接。 同步 SYN(SYNchronize) 同步 SYN = 1 表示这是一个连接请求或连接接受报文。 终止 FIN (FINis) 用来释放一个连接。FIN 1 表明此报文段的发送端的数据已发送完毕，并要求

32、释放运输连接。 窗口字段窗口字段 占占 2 2 字节，用来让对方设置发送窗口字节，用来让对方设置发送窗口的依据，单位为字节。的依据，单位为字节。检验和 占 2 字节。检验和字段检验的范围包括首部和数据这两部分。在计算检验和时，要在 TCP 报文段的前面加上 12 字节的伪首部。紧急指针字段 占 16 位，指出在本报文段中紧急数据共有多少个字节（紧急数据放在本报文段数据的最前面）。 选项字段 长度可变。TCP 最初只规定了一种选项，即最大报文段长度 MSS。MSS 告诉对方 TCP：“我的缓存所能接收的报文段的数据字段的最大长度是 MSS 个字节。” 填充字段 这是为了使整个首部长度是 4 字节

33、的整数倍。 网络协议的安全性TCP连接的建立已经建立的TCP连接SEQ=ISNA=1000 (SYN=1)主机B主机ASEQ=ISNB=2000 ACKA=1001 (SYN=1, ACK=1)SEQ=1000 ACK=2001 (ACK=1)网络协议的安全性TCP连接的释放已经建立的TCP连接SEQ=6000 (FIN=1)主机B主机ASEQ=8000 ACK=6001 (ACK=1)SEQ=6001 ACK=8001 (ACK=1)连接被释放SEQ=8000 ACK=6001 (FIN=1)网络协议的安全性TCP协议的特点网络协议的安全性 DoS（Denial of Service）：拒绝

34、服务 DoS攻击是指利用网络协议漏洞或其他系统以及应用软件的漏洞耗尽被攻击目标资源，使得被攻击的计算机或网络无法正常提供服务，直至系统停止响应甚至崩溃的攻击方式。即攻击者通过某种手段，导致目标机器或网络停止向合法用户提供正常的服务或资源访问。 网络协议的安全性DOS原理网络协议的安全性DOS的基本模式 (1) 资源耗尽型网络协议的安全性DOS的基本模式 消耗网络带宽。 攻击者有意制造大量的数据报或传输大量文件以占用有限的网络带宽，致使合法用户无法正常使用网络资源。 消耗磁盘空间。 攻击者利用磁盘空间的有限性或存储空间大小控制的缺陷，短时间内制造大量的垃圾信息，使系统或用户因没有磁盘空间而停止工

35、作。 消耗CPU和内存资源。 操作系统需要提供CPU和内存资源给许多进程共用，攻击者利用系统中存在的缺陷，有意使用大量的CPU和内存资源，导致系统服务性能下降甚至造成系统崩溃。例如： UNIX系统中，编制下面的C程序可以实现消耗CPU资源和内存资源的攻击。main()main() fork();fork();main();main(); 网络协议的安全性DOS的基本模式 (2) 配置修改型改变路由信息；修改 Windows NT注册表；修改UNIX系统的各种配置文件，如/etc目录下的各种文件。网络协议的安全性DOS的基本模式 (3) 基于系统缺陷型 攻击者利用目标系统和通信协议的漏洞实现拒绝

36、服务攻击。 例如一些系统出于安全考虑，限制用户试探口令次数和注册等待时间。当用户口令输入次数超过若干次，或注册等待时间超过某个时间值，系统就会停止该用户的使用权。攻击者利用系统这个安全特点，有意输错口令导致系统锁定该用户帐号，致使该用户得不到应有的服务。 (4) 物理实体破坏型 这种拒绝服务攻击针对物理设备。攻击者通过破坏或改变网络部件实现拒绝服务攻击，其攻击的目标包括: 计算机、路由器、网络配线室、网络主干段、电源、冷却设备。网络协议的安全性 (1) 服务过载 当大量的服务请求发向一台计算机中的服务守护进程时，就会发生服务过载。 计算机忙碌地处理不断到来的服务请求，以至于无法处理常规的任务。

37、同时，许多新到来的请求被丢弃。 如果攻击的是一个基于TCP协议的服务，那么这些请求的包还会被重发，结果更加重了网络的负担。DOS攻击的基本形式网络协议的安全性DOS攻击的基本形式 (2) 消息流 消息流发生于用户向一台网络上的目标主机发送大量的数据报，来延缓目标主机的处理速度，阻止它处理正常的任务。 这些请求可能是请求文件服务，要求登录或者仅仅是简单的要求响应数据报。 (3) 信号接地 物理方法也可以关闭一个网络。将网络的电缆接地，引入一些其他信号或者将以太网上的端接器拿走，都可以有效地阻止客户发送或者接收消息。“广播风暴”网络协议的安全性v(4) 粘住粘住攻击攻击 可以使用TCP的半连接耗尽

38、资源。 如果攻击者发出多个连接请求。初步建立了连接，但又没有完成其后的连接步骤，接收者便会保留许多这种半连接，占据有限的资源。 通常这些连接请求使用的是伪造的源地址，连接来自于一台不存在的主机或者一台无法访问的主机。DOS攻击的基本形式网络协议的安全性DoS攻击分类 DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。 SYN Flood 死ping(ping of death) 泪滴(teardrop) Smurf攻击 Land攻击 分布式拒绝服务攻击 网络协议的安全性SYN Flood攻击网络协议的安全性SYN Flood攻击

39、SEQ=ISNA=1000 (SYN=1)主机B主机ASEQ=ISNB=2000 ACKA=1001 (SYN=1, ACK=1)l 对Windows NT攻击很有效l 利用IP欺骗技术网络协议的安全性SYN Flood攻击 SYN Flood远程拒绝服务攻击具有以下特点: 针对TCP/IP协议的薄弱环节进行攻击； 发动攻击时，只要很少的数据流量就可以产生显著的效果； 攻击来源无法定位； 在服务端无法区分TCP连接请求是否合法。 防御措施: 在防火墙上过滤来自同一主机的后续连接。SYN洪水威胁很大，由于释放洪流的主机并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。网络协议的安全性死pi

40、ng(ping of death) 在早期版本中许多操作系统对网络数据包的最大尺寸有限制，对TCP/IP栈的实现在ICMP包上规定为64KB。在读取包的报头后，要根据该报头里包含的信息来为有效载荷生成缓冲区。 当发送ping请求的数据包声称自己的尺寸超过ICMP上限，也就是加载的尺寸超过64K上限时，就会使ping请求接收方出现内存分配错误，导致TCP/IP堆栈崩溃致使接受方当机。网络协议的安全性死ping(ping of death) 防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括从windows98之后的windows,NT(ser

41、vice pack 3之后) linux, Solaris 和Mac OS都具有抵抗一般ping of death攻击的能力。此外对防火墙进行配置，阻断ICMP以及任何未知协议都将防止此类攻击。网络协议的安全性泪滴(teardrop) 泪滴攻击利用那些在TCP/IP堆栈实现中，信任IP碎片中的包的标题头所包含的信息来实现攻击。 IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP 包括service pack 4以前的NT 在收到含有重叠偏移的伪造分段时将崩溃。 例如一个40个字节的数据报被分为两片，第一片数据发送036个字节，而第二片发送2427字节，在某些情况下会破坏整个I

42、P协议栈，必须重新启动计算机才能恢复。网络协议的安全性补充：IP数据包格式网络协议的安全性泪滴(teardrop) 防御： 服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。网络协议的安全性l 特别打造一个特别打造一个SYNSYN包，其源地址和目标地址都包，其源地址和目标地址都被设置成某一个服务器地址；被设置成某一个服务器地址；l导致接收服务器向它自己的地址发送导致接收服务器向它自己的地址发送SYN-ACK消息，消息，结果这个地址又发回结果这个地址又发回ACKACK消息并创建一个空连接；消息并创建一个空连接；l每一个这样的连接都将保留直到超时；每一个这样的连接都将保留直

43、到超时；l许多许多UNIXUNIX将崩溃，将崩溃，NTNT变的极其缓慢（大约持续五变的极其缓慢（大约持续五分钟）。分钟）。Land攻击攻击 网络协议的安全性l通过采用通过采用ICMP技术进行攻击。技术进行攻击。（a）攻击者找出网络上有哪些路由器会回应）攻击者找出网络上有哪些路由器会回应ICMP请求。请求。 （b）用一个虚假的）用一个虚假的IP源地址向路由器的广播源地址向路由器的广播地址发出讯息，路由器会把这讯息广播到网络上地址发出讯息，路由器会把这讯息广播到网络上所连接的每一台设备。所连接的每一台设备。 （c）这些设备马上回应，同时产生大量讯息流）这些设备马上回应，同时产生大量讯息流量，从而占

44、用所有设备的资源及网络带宽，而回量，从而占用所有设备的资源及网络带宽，而回应的地址就是受攻击的目标应的地址就是受攻击的目标。Smurf攻击攻击 网络协议的安全性Smurf攻击示意图 网络协议的安全性lFraggle攻击与攻击与Smurf攻击类似，但它使用的攻击类似，但它使用的不是不是ICMP，而是，而是 UDP Echo。l防范防范 ：在防火墙上过滤：在防火墙上过滤UDP应答消息应答消息Fraggle攻击 网络协议的安全性l基本原理是利用工具软件，集中在一段时间内，基本原理是利用工具软件，集中在一段时间内，向目标机发送大量垃圾信息，或是发送超出系统接向目标机发送大量垃圾信息，或是发送超出系统接收范围的信息，使对方出现负载过重、网络堵塞等收范围的信息，使对方出现负载过重、网络堵塞等状况，从而造成目标的系统崩溃及拒绝服务。状况，从而造成目标的系统崩溃及拒绝服务。l常见的炸弹攻击有邮件炸弹、聊天室炸弹等。常见的炸弹攻击有邮件炸弹、聊天室炸弹等。l防御：对邮件地址进行配置，自动删除来自同一防御：对邮件