Internet安全体系结构之二

1、第第7章章 Internet安全体系结构之二安全体系结构之二整理课件第第7章章 Internet安全体系结构安全体系结构之二之二 第第7章章 Internet安全体系结构之二安全体系结构之二整理课件 传输层定义网络层和面向应用层的接口。传输层定义网络层和面向应用层的接口。建立建立应用间的端到端连接，并且为数据传输提供可应用间的端到端连接，并且为数据传输提供可靠或不可靠的连接服务靠或不可靠的连接服务 功能包括：连接管理、分组组装、服务识别、功能包括：连接管理、分组组装、服务识别、流量控制等。流量控制等。 传输层的两个核心成分：传输层的两个核心成分：传输层端口传输层端口和和序列。序列。传输层核心功

2、能传输层核心功能 第第7章章 Internet安全体系结构之二安全体系结构之二整理课件TCP协议协议 TCP协议是面向连接的端到端的可靠的传输层协议是面向连接的端到端的可靠的传输层协议。支持多种网络应用程序，同时假定下层协议。支持多种网络应用程序，同时假定下层只能提供不可靠的数据报服务，可在多种硬件只能提供不可靠的数据报服务，可在多种硬件构成的网络上运行。构成的网络上运行。 在实现在实现TCP的主机上，的主机上，TCP不直接和网络打交不直接和网络打交道，控制网络的任务由专门的设备驱动模块完道，控制网络的任务由专门的设备驱动模块完成。成。 TCP只是调用只是调用IP接口，接口， IP向向TCP提

3、供所有提供所有TCP需要的服务。需要的服务。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件TCP 首部首部 FINSYNRSTPSHACKURG保留(6位)4位首部长度16位窗口大小32位确认号32位序列号16位紧急指针16位TCP校验和选项(若有)数据16位目的端口号16位源端口号015 163120字节第第7章章 Internet安全体系结构之二安全体系结构之二整理课件 源端口和目标端口用于定位源端的应用进程和目的端的应源端口和目标端口用于定位源端的应用进程和目的端的应用进程。用进程。 序列号和确认号（序列号和确认号（3232比特）：比特）：TCPTCP发送的流中的每

4、个字节都发送的流中的每个字节都是编号的是编号的 头长度（头长度（4 4比特）：以比特）：以4 4字节为单位表示字节为单位表示TCPTCP头的大小。头的大小。 标志（标志（6 6比特）：标志字段部分包含比特）：标志字段部分包含6 6个标志位，它说明了个标志位，它说明了其他字段含有有意义的数据或说明某种控制功能。其他字段含有有意义的数据或说明某种控制功能。 窗口（窗口（1616比特）：此字段告诉接收这个段的比特）：此字段告诉接收这个段的TCPTCP实体，除了实体，除了那些已被确认的，它还可以发送多少数据字节。那些已被确认的，它还可以发送多少数据字节。 校验和（校验和（1616比特）：用于传输层差错

5、检测。比特）：用于传输层差错检测。 紧急指针（紧急指针（1616比特）：是一个正的偏移量，和序号字段中比特）：是一个正的偏移量，和序号字段中的值相加表示紧急数据最后一个字节的序号。的值相加表示紧急数据最后一个字节的序号。 选项字段用于确定选项字段用于确定TCPTCP实体可从其他实体收到的段的最大尺实体可从其他实体收到的段的最大尺寸。寸。 数据（可变大小）：用户提供的数据。数据（可变大小）：用户提供的数据。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件URG 紧急指针有效紧急指针有效 ACK 确认序列号有效确认序列号有效 PSH 接收方应当尽快将这个报文交给应用层接收方应当

6、尽快将这个报文交给应用层 RST 连接复位连接复位 SYN 同步序列号用来发起一个连接同步序列号用来发起一个连接 FIN 发送端完成发送任务发送端完成发送任务 第第7章章 Internet安全体系结构之二安全体系结构之二整理课件发送发送 SYN (seq=N ctl=SYN)接收接收 SYNTCP 的连接建立的连接建立1第第7章章 Internet安全体系结构之二安全体系结构之二整理课件发送发送 SYN (seq=N ctl=SYN)接收接收 SYN发送发送 SYN, ACK (seq=M ack=N1 ctl=syn,ack)接收接收 SYN12TCP 连接建立连接建立第第7章章 Inter

7、net安全体系结构之二安全体系结构之二整理课件发送发送 SYN (seq=N ctl=SYN)接收接收 SYN发送发送 SYN, ACK (seq=M ack=N1 ctl=syn,ack)建立会话建立会话(seq=N1 ack=M1 ctl=ack)123接收接收 SYNTCP 连接建立连接建立第第7章章 Internet安全体系结构之二安全体系结构之二整理课件7.1.1 端口和套接字端口和套接字 套接字（套接字（Socket）：）：主机上的进程是通过端口主机上的进程是通过端口号来区别的。计算机中的不同进程可能同时进号来区别的。计算机中的不同进程可能同时进行通信，它们用端口号来区别，由网络地

8、址和行通信，它们用端口号来区别，由网络地址和端口号的组合达到唯一标识的目的。端口号的组合达到唯一标识的目的。 发送套接字发送套接字=源源IP地址地址+源端口号源端口号 接收套接字接收套接字=目的目的IP地址地址+目的端口号目的端口号第第7章章 Internet安全体系结构之二安全体系结构之二整理课件 传输层使用网络层来建立结点之间的连接，网传输层使用网络层来建立结点之间的连接，网络层路由提供网络套接字。套接字有主动和被络层路由提供网络套接字。套接字有主动和被动的两种。主动套接字指示建立网络连接，服动的两种。主动套接字指示建立网络连接，服务器使用被动套接字，等待和监听网络连接。务器使用被动套接字

9、，等待和监听网络连接。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件端口号端口号TCP端口号端口号FTP传输层传输层TELNETDNSSNMPTFTPSMTPUDP应用层应用层2123255369161RIP520第第7章章 Internet安全体系结构之二安全体系结构之二整理课件7.1.2 排序排序 传输层从高层接收数据块，并将其分组，每个传输层从高层接收数据块，并将其分组，每个分组赋予一个唯一的序列标识，用来跟踪分组。分组赋予一个唯一的序列标识，用来跟踪分组。传输层保持一些已经用于端口的序列号表，以传输层保持一些已经用于端口的序列号表，以防止序列号重复。防止序列号重复

10、。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件7.1.3 序列拦截序列拦截 攻击者要观察传输层分组必须识别序列，以插入攻击者要观察传输层分组必须识别序列，以插入或拦截连接。或拦截连接。序列号的产生最好不要依次渐增，序列号的产生最好不要依次渐增，否则攻击者易于预测下一个分组的序列号。否则攻击者易于预测下一个分组的序列号。 随机初始序列号通常用于传输连接的开始，以阻随机初始序列号通常用于传输连接的开始，以阻止攻击者猜测第一个分组。止攻击者猜测第一个分组。 解决传输层拦截的方法大部分需要的安全服务是解决传输层拦截的方法大部分需要的安全服务是依靠高层协议来做连接的身份鉴别。依靠

11、高层协议来做连接的身份鉴别。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件7.2 传输层风险传输层风险 7.2.1 传输层拦截传输层拦截 传输层拦截攻击需要两个条件：攻击者必需对某传输层拦截攻击需要两个条件：攻击者必需对某种类型的网络层破坏；攻击者必需识别传输序列。种类型的网络层破坏；攻击者必需识别传输序列。 没有拦截和继续传输序列的能力，分组无法得到没有拦截和继续传输序列的能力，分组无法得到回答响应，新的分组也不能接受。回答响应，新的分组也不能接受。 为完成一次拦截，攻击者必需伪装网络层通信。为完成一次拦截，攻击者必需伪装网络层通信。第第7章章 Internet安全体系

12、结构之二安全体系结构之二整理课件7.2.2 一个端口和多个端口的比较一个端口和多个端口的比较 减少结点的端口数，能减少攻击因素。减少结点的端口数，能减少攻击因素。加固的加固的服务器将开放的端口数减少到只有基本服务。服务器将开放的端口数减少到只有基本服务。 少量端口打开的系统更安全。但是某些服务支少量端口打开的系统更安全。但是某些服务支持多路端口，或基于服务需求打开新的端口。持多路端口，或基于服务需求打开新的端口。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件7.2.3 静态端口赋值和动态端口赋值静态端口赋值和动态端口赋值 远程客户连接到服务器需要两个条件：服务器的远程客户

13、连接到服务器需要两个条件：服务器的网络地址；传输协议和端口。网络地址；传输协议和端口。 客户启动服务器连接时，通常连接到服务器的周客户启动服务器连接时，通常连接到服务器的周知端口。知端口。 某些高层协议不使用固定端口号，不用单个端口某些高层协议不使用固定端口号，不用单个端口于全部通信，控制服务使用周知端口，数据传输于全部通信，控制服务使用周知端口，数据传输则用动态端口。但动态端口会引起不安全的风险，则用动态端口。但动态端口会引起不安全的风险，因为大范围的端口必需都可以访问网络。因为大范围的端口必需都可以访问网络。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件7.2.4 端

14、口扫描端口扫描 端口扫描的任务是企图连接到主机的每一个端端口扫描的任务是企图连接到主机的每一个端口。扫描方法一般有两种：一种是口。扫描方法一般有两种：一种是目标端口扫目标端口扫描描，用以测试特定的端口；一种是，用以测试特定的端口；一种是端口扫除端口扫除，用以测试主机上所有可能的端口。用以测试主机上所有可能的端口。 防御扫描的方法有：非标准端口；无回答防御；防御扫描的方法有：非标准端口；无回答防御；总是回答防御；敲打协议；主动扫描检测以及总是回答防御；敲打协议；主动扫描检测以及故意延迟。故意延迟。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件7.2.5 信息泄露信息泄露 一

15、般传输层对传输的数据不进行加密，因此传一般传输层对传输的数据不进行加密，因此传输层协议本身并不对信息保护。输层协议本身并不对信息保护。 通常通过高层提供身份鉴别和加密。通常通过高层提供身份鉴别和加密。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件7.3 TCP侦察侦察 大部分大部分TCP的实施允许参数定制以优化连接。的实施允许参数定制以优化连接。 这些值的默认选择是由操作系统定的。它能识这些值的默认选择是由操作系统定的。它能识别专门的操作系统版本和补丁的级别。别专门的操作系统版本和补丁的级别。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件1.初始窗口

16、大小初始窗口大小 不同操作系统使用不同初始窗口大小。不同操作系统使用不同初始窗口大小。 当当TCP会话继续时，窗口大小会增加，而总的会话继续时，窗口大小会增加，而总的增加值多少也是由操作系统确定的。增加值多少也是由操作系统确定的。选项选项 每个每个TCP分组包含分组包含TCP报头值的一些选项，不报头值的一些选项，不同的操作系统支持不同的选项、值和次序。同的操作系统支持不同的选项、值和次序。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件3.序列号序列号 所有实施所有实施TCP系统用同样的方法增加序列号，但是系统用同样的方法增加序列号，但是初始序列号是各个操作系统特定的。序列

17、号能用来初始序列号是各个操作系统特定的。序列号能用来识别操作系统、版本，以及补丁版本的信息。识别操作系统、版本，以及补丁版本的信息。4.客户端口号客户端口号 不同的操作系统使用不同的动态端口号范围，供客不同的操作系统使用不同的动态端口号范围，供客户选择。观察动态端口号的范围，可以帮助识别操户选择。观察动态端口号的范围，可以帮助识别操作系统。作系统。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件5.重试重试 当当TCP分组没有收到回答响应，分组重新分送。分组没有收到回答响应，分组重新分送。重试的次数以及间隔是不同操作系统特定的。重试的次数以及间隔是不同操作系统特定的。可以通

18、过可以通过SYN重试、重试、SYN-ACK重试以及重试以及ACK重试重试3钟不同方法来确定。钟不同方法来确定。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件7.3.2 端口扫描端口扫描 TCP端口扫描用来识别运行的服务。端口扫描端口扫描用来识别运行的服务。端口扫描企图连接到端口并记录结果。企图连接到端口并记录结果。 SYN-ACK RST ICMP不可达不可达 什么也没有什么也没有第第7章章 Internet安全体系结构之二安全体系结构之二整理课件日志日志 网络监控工具，诸如网络监控工具，诸如IDS和和IPS，一般监控和日，一般监控和日志志SYN请求以及任何不包括部分建立

19、连接的通请求以及任何不包括部分建立连接的通信。信。SYN分组被记录，未请求的分组被记录，未请求的ACK和和RST分分组也被日志。基于这些分组的频度、类型和次组也被日志。基于这些分组的频度、类型和次序，一些工具能识别网络扫描。序，一些工具能识别网络扫描。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件7.4 TCP拦截拦截 任何干扰任何干扰TCPTCP连接的攻击都归结为连接的攻击都归结为TCPTCP拦截。拦截。1.1.全会话拦截全会话拦截 全会话拦截常常需要攻击者具有直接的数据链路全会话拦截常常需要攻击者具有直接的数据链路访问。运行在随意模式，攻击者观察网络地址、访问。运行在

20、随意模式，攻击者观察网络地址、端口以及用于连接的序列号。端口以及用于连接的序列号。和和TCPTCP拦截拦截 遇到恶意使用时，遇到恶意使用时，ICMPICMP能将能将TCPTCP连接重新指向不同连接重新指向不同的端口和不同的主机。的端口和不同的主机。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件TCPTCP会话劫持会话劫持 攻击者重定向客户和服务器之间的数据流，使之经过攻击者攻击者重定向客户和服务器之间的数据流，使之经过攻击者的机器，就可以截获到他们之间的通信。在攻击过程中，可的机器，就可以截获到他们之间的通信。在攻击过程中，可以采取被动攻击以免引起注意，即客户的所有命令保

21、持原样以采取被动攻击以免引起注意，即客户的所有命令保持原样被发送到服务器，服务器的响应也不加修改地发送给客户。被发送到服务器，服务器的响应也不加修改地发送给客户。对于客户和服务器来说，它们都认为是在直接进行通信。由对于客户和服务器来说，它们都认为是在直接进行通信。由于攻击者可以看到序列号，有必要的话，它可以把伪造的数于攻击者可以看到序列号，有必要的话，它可以把伪造的数据包放到据包放到TCPTCP流中。这将允许攻击者以被欺骗的客户具有的特流中。这将允许攻击者以被欺骗的客户具有的特权来访问服务器。攻击者同样也可以查看所有同攻击相关的权来访问服务器。攻击者同样也可以查看所有同攻击相关的输出，而且不把

22、它们送往客户机，这样的攻击是透明的。在输出，而且不把它们送往客户机，这样的攻击是透明的。在这种情况下，攻击者甚至于不需要知道访问机器所需的口令。这种情况下，攻击者甚至于不需要知道访问机器所需的口令。攻击者只需简单地等待用户登录到服务器，然后劫持攻击者只需简单地等待用户登录到服务器，然后劫持(Hijack)(Hijack)会话数据流即可。会话数据流即可。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件TCP会话劫持会话劫持第第7章章 Internet安全体系结构之二安全体系结构之二整理课件可以看出，可以看出，TCP会话劫持能成功的前提首先会话劫持能成功的前提首先是是TCP建立

23、连接的三次握手过程中没有任何的建立连接的三次握手过程中没有任何的认证机制。认证机制。TCP假定只要接收到的数据包包含假定只要接收到的数据包包含正确的序列号就认为数据是可以接受的。一旦正确的序列号就认为数据是可以接受的。一旦连接建立，服务器将无法确定进入的数据包是连接建立，服务器将无法确定进入的数据包是确实来自真正的客户机器而不是某一台假冒的确实来自真正的客户机器而不是某一台假冒的机器；当然，攻击要成功还需要能准确地获得机器；当然，攻击要成功还需要能准确地获得服务器的服务器的ISN。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件伪造伪造IP地址地址 入侵者使用假入侵者使用假

24、IP地址发送包，利用基于地址发送包，利用基于IP地址地址认证的应用程序，其结果是使未授权的远端用认证的应用程序，其结果是使未授权的远端用户进入带有防火墙的主机系统。户进入带有防火墙的主机系统。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件TCP序列号猜测攻击序列号猜测攻击 TCP序列号猜测攻击是由序列号猜测攻击是由Robert Morris首先提首先提出来的，并由黑客出来的，并由黑客Kevin Mitnick在在1995年圣诞年圣诞节利用这种技术成功入侵了物理学家节利用这种技术成功入侵了物理学家Tsutomu Shimomura在在San Diego超级计算机中心的计算超

25、级计算机中心的计算机系统。这种攻击利用了应用程序之间基于机系统。这种攻击利用了应用程序之间基于IP地址的认证机制，攻击者通过地址的认证机制，攻击者通过IP地址欺骗获得地址欺骗获得远程系统的非法授权访问。远程系统的非法授权访问。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件7.5 TCP DoS DoS攻击有两个目的，其一是能使受害者不能执攻击有两个目的，其一是能使受害者不能执行任务，其二是更秘密的攻击。行任务，其二是更秘密的攻击。攻击攻击 每个每个TCP实施分配用于管理连接的内存。每个连实施分配用于管理连接的内存。每个连接包括网络地址、端口、窗口大小信息、序列号接包括网络

26、地址、端口、窗口大小信息、序列号以及用于入出分组的缓存空间。当每个服务器收以及用于入出分组的缓存空间。当每个服务器收到到SYN就分配内存。就分配内存。SYN攻击发送大量的攻击发送大量的SYN分分组来消耗可用的内存。组来消耗可用的内存。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件图图 SYN FLOODING示意图示意图XASYNSYNACK正常连接建立ACKSYNSYNSYNSYNSYNSYN FLOODING 忽略，队列满第第7章章 Internet安全体系结构之二安全体系结构之二整理课件缓解缓解SYN攻击风险的方法：攻击风险的方法： 增加增加SYN队列，以增加允许的

27、连接数，减少队列，以增加允许的连接数，减少SYN超时，以降低超时，以降低SYN攻击的影响以及当攻击攻击的影响以及当攻击停止时，可快速恢复；用停止时，可快速恢复；用SYNCookies以防止以防止因因SYN攻击而消耗内存。攻击而消耗内存。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件和和FIN攻击攻击 RST攻击是发送攻击是发送RST（或（或FIN）分组，反常地结）分组，反常地结束已建立的连接。束已建立的连接。攻击攻击 盲目盲目ICMP攻击也能使攻击也能使TCP不能连接。不能连接。攻击攻击 发送一个发送一个SYN分组到已知端口的开放服务，而回分组到已知端口的开放服务，而回答

28、地址和端口伪装成指回同一个系统，形成一个答地址和端口伪装成指回同一个系统，形成一个反馈环路，使系统很快摧垮。反馈环路，使系统很快摧垮。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件攻击者攻击 者发起LAND攻击，源地址和端口设置为服务器端攻击包的序列号1001服务器侦听连接服务器通过发送自己的初始序列号并把客户的序列号1作为应答服务器等待客户端发送回服务器的序列号1作为应答。这里是5000作为应答包的序列号服务器只看到序列号1002应答包，因此重发服务器等待客户端发送回服务器的序列号1作为应答。这里是5000作为应答包的序列号服务器只看到序列号1002应答包，因此重发服务

29、器序列号4999客户序列号应答1002服务器序列号4999客户序列号应答1002第第7章章 Internet安全体系结构之二安全体系结构之二整理课件 由于由于TCP是具有高优先权的内核级进程，是具有高优先权的内核级进程，这也就意味着这也就意味着TCP相对其它非内核应用程序具相对其它非内核应用程序具有更高的权限。基本上，它将中断其它的正常有更高的权限。基本上，它将中断其它的正常系统操作以声明更多的内核资源来处理进入的系统操作以声明更多的内核资源来处理进入的数据。这样，无限循环很快会消耗完系统资源，数据。这样，无限循环很快会消耗完系统资源，引起大多数系统死机。只有少数系统在内核资引起大多数系统死机

30、。只有少数系统在内核资源耗尽情况下还可以继续稳定运行。源耗尽情况下还可以继续稳定运行。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件7.6 缓解对缓解对TCP攻击的方法攻击的方法1.改变系统框架改变系统框架 TCP和网络服务攻击有两类，即和网络服务攻击有两类，即盲目攻击盲目攻击和和定向定向攻击攻击。前者没有假定的攻击目标，通过试探发现。前者没有假定的攻击目标，通过试探发现漏洞。漏洞。 定向攻击针对特定操作系统平台和网络服务。通定向攻击针对特定操作系统平台和网络服务。通过改变系统框架就可缓解攻击者的识别。不同的过改变系统框架就可缓解攻击者的识别。不同的框架包括框架包括SYN

31、超时、重试计数、重试间隔、初始超时、重试计数、重试间隔、初始窗口大小、可用的窗口大小、可用的TCP选项以及初始序列值。选项以及初始序列值。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件2.阻断攻击指向阻断攻击指向 防火墙用来限制网络访问。防火墙用来限制网络访问。 阻断阻断ICMP通信能消除来自远程通信能消除来自远程ICMP淹没、淹没、拦截和重置攻击的风险。拦截和重置攻击的风险。3.识别网络设备识别网络设备 识别网络设备和已知已受攻击的漏洞，可设法识别网络设备和已知已受攻击的漏洞，可设法预先防止。预先防止。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件

32、4.状态分组检验状态分组检验 SPI跟踪跟踪TCP连接状态以及拒绝和已知状态不匹配的连接状态以及拒绝和已知状态不匹配的分组。分组。5.入侵检测系统（入侵检测系统（IDS） IDS对非标准的或非期望的分组的网络进行监控。对非标准的或非期望的分组的网络进行监控。6.入侵防御系统（入侵防御系统（IPS） IPS扩展了扩展了IDS功能，从仅仅是日志记录到采取行动。功能，从仅仅是日志记录到采取行动。IPS能使攻击指向不成功，而采取正确的行动。能使攻击指向不成功，而采取正确的行动。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件7.7 UDP（用户数据报协议）（用户数据报协议） UDP

33、UDP与与TCPTCP位于同一层，它是一个简单的协议，它提供给应位于同一层，它是一个简单的协议，它提供给应用程序的服务是一种用程序的服务是一种不可靠的、无连接不可靠的、无连接的分组传输服务。的分组传输服务。因此，因此，UDPUDP的报文可能会出现丢失、重复、延迟以及乱序，的报文可能会出现丢失、重复、延迟以及乱序，使用使用UDPUDP的应用程序必须负责处理这些问题。的应用程序必须负责处理这些问题。 对于某些应用程序来说，数据报的丢失或者数据包到来的对于某些应用程序来说，数据报的丢失或者数据包到来的顺序并不重要。由于顺序并不重要。由于UDPUDP协议无需额外提供字段保证可靠性，协议无需额外提供字段

34、保证可靠性，因此在性能上要超过因此在性能上要超过TCPTCP协议。比如在视频和声频中的应用协议。比如在视频和声频中的应用就是很好的例子。丢失几个包对于用户来说是完全可以接就是很好的例子。丢失几个包对于用户来说是完全可以接受的。受的。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件图图 UDP数据报的字段格式数据报的字段格式 16位源端口号16位报文长度(包括用户数据)16位目的端口号16位UDP检验和数据(如果有)015 1631第第7章章 Internet安全体系结构之二安全体系结构之二整理课件 UDP攻击常常基于无效的分组以及伪装攻击常常基于无效的分组以及伪装1.非法的

35、进入源非法的进入源 UDP服务器不执行初始握手，任何主机能连接到服务器不执行初始握手，任何主机能连接到UDP服务器。而且连接是无须进行身份鉴别的。服务器。而且连接是无须进行身份鉴别的。 任何类型的任何类型的UDP分组都能淹没一个服务器。分组都能淹没一个服务器。拦截拦截 UDP服务器可从任何主机接收分组，而无须进行服务器可从任何主机接收分组，而无须进行身份鉴别。这意味着身份鉴别。这意味着UDP是十分易于拦截的。是十分易于拦截的。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件保持存活攻击保持存活攻击 客户不在监听分组时，攻击者能发送客户不在监听分组时，攻击者能发送UDP分组分

36、组到防火墙，以保持防火墙端口打开。到防火墙，以保持防火墙端口打开。4.UDP Smurf攻击攻击 攻击者伪造被害者的网络地址作为分组发送者，攻击者伪造被害者的网络地址作为分组发送者，服务器响应发送一个或更多服务器响应发送一个或更多UDP分组给被害者。分组给被害者。侦察侦察第第7章章 Internet安全体系结构之二安全体系结构之二整理课件7.8 安全套接字层安全套接字层SSL TCP/IP协议本身没有加密、身份鉴别等安全特性协议本身没有加密、身份鉴别等安全特性 传输层安全协议传输层安全协议TLS/SSL：Transport Layer Security/SecureSockets Layer,

37、传输层安全传输层安全/安全套接字层安全套接字层SSH: Secure Shell Protocol,安全外壳协议安全外壳协议SOCKS: Socket Security,套接字安全协议套接字安全协议RPC: Remote Procedure Call,远程过程调用远程过程调用 第第7章章 Internet安全体系结构之二安全体系结构之二整理课件传输层安全协议传输层安全协议SSL SSL最初由最初由Netscape Communication Corporation开发一开发一套套Internet数据安全协议，用于数据安全协议，用于Web浏览器与服务器之间浏览器与服务器之间的身份认证和加密数据传

38、输。该公司于的身份认证和加密数据传输。该公司于1994年年11月推出。月推出。于于1996年年3月推出。它不仅解决了月推出。它不仅解决了SSL V2.0 存在的问题，存在的问题，还支持更多的加密算法。还支持更多的加密算法。 IETF于于1999年年1月推出。是一个月推出。是一个Internet标准，完全建立标准，完全建立在的基础上，又称。在的基础上，又称。 Microsoft宣布与宣布与Netscape一起支持。一起支持。 1999年，正式发布年，正式发布了了RFC 2246，也就是的正式版本。这些协议在浏览器中，也就是的正式版本。这些协议在浏览器中得到了广泛的支持，得到了广泛的支持，IE浏览

39、器的浏览器的SSL和和TLS的设置如图的设置如图 :第第7章章 Internet安全体系结构之二安全体系结构之二整理课件第第7章章 Internet安全体系结构之二安全体系结构之二整理课件SSL的特点的特点 SSL位于位于TCP层和应用层之间，层和应用层之间，SSL为应用层为应用层数据提供传输过程中的安全数据提供传输过程中的安全 ，它提供的连接安，它提供的连接安全有三个特点：全有三个特点：（1）连接是保密的，对称加密用于加密数据；）连接是保密的，对称加密用于加密数据；（2）实体的身份通过公钥加密得到验证；）实体的身份通过公钥加密得到验证；（3）连接是可靠的，带密钥的）连接是可靠的，带密钥的MA

40、C用于保证消用于保证消息的完整性。息的完整性。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件IPHTTPFTPSMTPTCPSSL or TLS第第7章章 Internet安全体系结构之二安全体系结构之二整理课件 SSL协议的目标就是在通信双方利用加密的协议的目标就是在通信双方利用加密的SSL信道建立安全的连接。它不是一个单独的协议，信道建立安全的连接。它不是一个单独的协议，而是而是两层协议两层协议，低层是，低层是SSL记录协议层，简称记录协议层，简称记记录层录层；高层是；高层是SSL握手协议层，简称握手协议层，简称握手层握手层。结。结构如图：构如图： 第第7章章 Int

41、ernet安全体系结构之二安全体系结构之二整理课件TLS/SSLTLS/SSL部件部件u记录协议记录协议分片、数据压缩、加分片、数据压缩、加/ /解密、身份认证、数据完整性解密、身份认证、数据完整性检查检查u握手协议握手协议所有与安全相关的参数，如：协议版本号、加所有与安全相关的参数，如：协议版本号、加/ /解密解密算法、身份认证算法、身份认证u报警协议报警协议信息错误的严重程度及警告描述信息错误的严重程度及警告描述u修改密码规范协议修改密码规范协议加密策略改变的通知加密策略改变的通知第第7章章 Internet安全体系结构之二安全体系结构之二整理课件SSL记录协议记录协议 记录协议层的功能是

42、根据当前会话状态给出的压缩算法，记录协议层的功能是根据当前会话状态给出的压缩算法，CipherSpec给出对称加密算法、给出对称加密算法、MAC算法、密钥长度、算法、密钥长度、Hash长度、长度、IV长度等参数，以及连接状态中给出的长度等参数，以及连接状态中给出的Client和和Server的随机数、加密密钥、的随机数、加密密钥、MAC secrets、IVs、消息序列、消息序列号对当前的连接中要传送的高层数据实施压缩号对当前的连接中要传送的高层数据实施压缩/解压缩、加解压缩、加/解密、计算解密、计算/校验校验MAC等操作。等操作。 SSL记录协议为记录协议为SSL连接提供两种服务：连接提供两

43、种服务：（1）机密性机密性：握手协议定义了共享的、可以用于对：握手协议定义了共享的、可以用于对SSL有效载有效载荷进行常规加密的密钥；荷进行常规加密的密钥；（2）报文完整性报文完整性：握手协议定义了共享的、可以用于形成报：握手协议定义了共享的、可以用于形成报文的文的MAC码和密钥。码和密钥。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件 SSL记录协议的操作步骤如下：记录协议的操作步骤如下：（1）分片分片：每个上层报文被分成：每个上层报文被分成16KB或更小的或更小的数据块。数据块。（2）压缩压缩：压缩是可选的应用，压缩的前提是：压缩是可选的应用，压缩的前提是不能丢失信息

44、。不能丢失信息。（3）增加增加MAC码码。（4）加密加密。（5）增加增加SSL首部首部。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件SSL记录协议记录协议 Habcabcabcabcabcdefghiabcdefghi附加SSL记录协议头加密计算MAC压缩分段/组合应用数据第第7章章 Internet安全体系结构之二安全体系结构之二整理课件SSL握手协议握手协议 SSL握手协议使得服务器和客户能相互鉴别对方的握手协议使得服务器和客户能相互鉴别对方的身份、协商加密和身份、协商加密和MAC算法以及用来保护在算法以及用来保护在SSL记记录中发送数据的加密密钥。录中发送数据的加

45、密密钥。 握手协议由一系列在客户和服务器之间交互的报文握手协议由一系列在客户和服务器之间交互的报文组成。所有这些报文具有三个字段：组成。所有这些报文具有三个字段：（1）类型（）类型（1字节）：指示字节）：指示10种报文中的一个；种报文中的一个；（2）长度（）长度（3字节）：以字节为单位的报文长度；字节）：以字节为单位的报文长度；（3）内容（）内容（=1字节）：和这个报文有关的参数。字节）：和这个报文有关的参数。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件第第7章章 Internet安全体系结构之二安全体系结构之二整理课件OpenSSL概述概述 目前实现目前实现SSL/T

46、LSSSL/TLS的软件虽然不多，但都很优秀。的软件虽然不多，但都很优秀。除了除了SSLSSL标准提出者标准提出者NetscapeNetscape实现的，实现的，OpenSSLOpenSSL是是一个非常优秀的实现一个非常优秀的实现SSL/TLSSSL/TLS的开放源代码软件的开放源代码软件包，主要是作为提供包，主要是作为提供SSLSSL算法的函数库供其他软算法的函数库供其他软件调用而出现的，可给任何件调用而出现的，可给任何TCP/IPTCP/IP应用提供应用提供SSLSSL功能。功能。 19951995年，年，Eric A. YoungEric A. Young和和Tim J. HudsonT

47、im J. Hudson开始开开始开发发OpenSSLOpenSSL，后来不断发展更新，直到现在，后来不断发展更新，直到现在，SSLSSL还在不断的修改和完善，新版本也不断的推出。还在不断的修改和完善，新版本也不断的推出。最新的版本可以从最新的版本可以从OpenSSLOpenSSL的官方网站下载。的官方网站下载。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件 IP层安全机制的主要优点是它的透明性，即安全层安全机制的主要优点是它的透明性，即安全服务的提供不要求应用做任何改变。这对传输层服务的提供不要求应用做任何改变。这对传输层来说是做不到的。来说是做不到的。 传输层安全机制

48、的主要缺点就是对应用层不透明，传输层安全机制的主要缺点就是对应用层不透明，应用程序必须修改以使用应用程序必须修改以使用SSL应用接口，而且要应用接口，而且要对传输层建立起安全机制。对传输层建立起安全机制。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件 同网络层安全机制相比，传输层安全机制的主同网络层安全机制相比，传输层安全机制的主要优点是它提供基于进程对进程的安全服务和要优点是它提供基于进程对进程的安全服务和加密传输信道，利用公钥体系进行身份鉴别，加密传输信道，利用公钥体系进行身份鉴别，安全强度高，支持用户选择的加密算法。安全强度高，支持用户选择的加密算法。第第7章章 I

49、nternet安全体系结构之二安全体系结构之二整理课件 互联网是基于互联网是基于TCP/IPTCP/IP协议的，要进行通信必须获协议的，要进行通信必须获得对方的得对方的IPIP地址，这是通过地址，这是通过DNSDNS服务器来实现的。服务器来实现的。域名系统域名系统(DNS)(DNS)是一种用于是一种用于TCP/IPTCP/IP应用程序的分布应用程序的分布式数据库，它提供主机名字和式数据库，它提供主机名字和IPIP地址之间的转换地址之间的转换及有关电子邮件的选路信息。及有关电子邮件的选路信息。 DNSDNS定义了一个用于查询和响应的报文格式。下图定义了一个用于查询和响应的报文格式。下图显示了这个

50、报文的总体格式。显示了这个报文的总体格式。 7.9 DNS风险及缓解方法风险及缓解方法第第7章章 Internet安全体系结构之二安全体系结构之二整理课件12字节授权资源记录数(NNS)问题数(NQY)标识额外资源记录数(NAD)标志查询问题回答(资源记录数可变)授权(资源记录数可变)额外信息(资源记录数可变)0151631资源记录数(NAN)DNSDNS查询和响应的一般格式查询和响应的一般格式 第第7章章 Internet安全体系结构之二安全体系结构之二整理课件DNS查询查询 DNSDNS客户端使用运行在客户机上的一个本地进程客户端使用运行在客户机上的一个本地进程DNSDNS解析器，解析器，

51、来访问来访问DNSDNS分布式的数据库系统。分布式的数据库系统。 递归查询：递归查询：DNSDNS客户机发送到客户机发送到DNSDNS服务器的查询，要求服务器的查询，要求DNSDNS服服务器提供完整的查询答案，即使务器提供完整的查询答案，即使DNSDNS服务器没有所请求的信服务器没有所请求的信息，它也会联系其它息，它也会联系其它DNSDNS服器。服器。 迭代查询：迭代查询：DNSDNS客户机允许客户机允许DNSDNS服务器根据自己的高速缓存或服务器根据自己的高速缓存或DNSDNS区域提供的最佳答案。如果区域提供的最佳答案。如果DNSDNS服务器不能答复，则它会服务器不能答复，则它会返回一个指针

52、，指向有下级域名空间授权的返回一个指针，指向有下级域名空间授权的DNSDNS服务器。这服务器。这种类型的查询通常由试图解析种类型的查询通常由试图解析DNSDNS客户机的迭代查询的客户机的迭代查询的DNSDNS服服务器发出。务器发出。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件DNS解析过程解析过程第第7章章 Internet安全体系结构之二安全体系结构之二整理课件 有两种类型的有两种类型的DNSDNS查询：查询：A A类型类型和和PTRPTR类型类型。A A类型查询表示希望获得被查询域名的类型查询表示希望获得被查询域名的IPIP地址；地址；PTRPTR查询查询( (也称

53、为指针查询也称为指针查询) )则请求获得一个则请求获得一个IPIP地地址对应的域名。址对应的域名。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件 实际上，实际上，DNS是是Internet上的一个标准机制，用来发布和访上的一个标准机制，用来发布和访问关于主机的各种信息，而不只是地址。几乎所有的网间问关于主机的各种信息，而不只是地址。几乎所有的网间互联软件都在使用互联软件都在使用DNS，包括电子邮件、远程终端程序，包括电子邮件、远程终端程序（Telnet）、文件传输程序（）、文件传输程序（FTP）以及）以及Web浏览器。浏览器。 DNS的另一个重要特性就是它使主机信息在的另

54、一个重要特性就是它使主机信息在Internet上随处上随处可得。将主机信息按照某种格式存为文件，放在某台计算可得。将主机信息按照某种格式存为文件，放在某台计算机上，并只对机上，并只对 那台计算机的用户有用。那台计算机的用户有用。DNS则提供了一种则提供了一种远程检索信息的方式，用户能从网络上任何一个地方查找远程检索信息的方式，用户能从网络上任何一个地方查找信息。信息。 DNS还能将主机信息的管理分布到许多地点和组织。还能将主机信息的管理分布到许多地点和组织。 第第7章章 Internet安全体系结构之二安全体系结构之二整理课件 DNS安全的前提是假定安全的前提是假定DNS服务器之间是可信的，服

55、务器之间是可信的，即即DNS系统假定系统假定DNS服务器不会故意提供错误的服务器不会故意提供错误的信息。信息。1.无身份鉴别的响应无身份鉴别的响应 攻击者观察攻击者观察DNS请求，能伪造一个请求，能伪造一个DNS回答。回答。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件图图 未经身份鉴别的未经身份鉴别的DNS响应攻击响应攻击 第第7章章 Internet安全体系结构之二安全体系结构之二整理课件缓存受损缓存受损 攻击者观察攻击者观察DNS请求，并生产一个伪造的请求，并生产一个伪造的DNS回答，含有一个长的缓存超时值。受损的回答，含有一个长的缓存超时值。受损的DNS服务器可对

56、任何数据请求提供假数据。这就使服务器可对任何数据请求提供假数据。这就使请求者的域不可达。而且会一直提供错误的信请求者的域不可达。而且会一直提供错误的信息，只要受损信息在缓存中。息，只要受损信息在缓存中。盲目攻击盲目攻击 攻击的方法是生成攻击的方法是生成DNS回答的泛滥，每个回答回答的泛滥，每个回答包含一个不同的会话标识。包含一个不同的会话标识。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件图图 ID盲目攻击盲目攻击 第第7章章 Internet安全体系结构之二安全体系结构之二整理课件4.破坏破坏DNS分组分组 DNS协议规定了查询和回答的数据大小。某些协议规定了查询和回答

57、的数据大小。某些DNS实施没有适当地检查数据边界。分组可声实施没有适当地检查数据边界。分组可声称含有比实际更多的数据，或没有包含足够的称含有比实际更多的数据，或没有包含足够的数据。结果是缓冲器溢出和不足。数据。结果是缓冲器溢出和不足。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件 直接的直接的DNS风险是由于风险是由于协议本身协议本身的影响，但技术的影响，但技术风险是风险是基于配置基于配置的问题。的问题。域拦截域拦截 任何任何DNS服务器的所有者能把服务器配置为任何服务器的所有者能把服务器配置为任何域的一级源。但域的一级源。但DNS的层次结构能阻止这类配置的层次结构能阻止

58、这类配置作为无效信息在作为无效信息在Internet中泛滥。中泛滥。 DNS拦截是可行的，通用的阻止这些风险的缓解拦截是可行的，通用的阻止这些风险的缓解方法是使恶意软件不能搜集主机。方法是使恶意软件不能搜集主机。 利用利用DNS服务器来阻断不希望的主机名查找能阻服务器来阻断不希望的主机名查找能阻断访问不希望的站点。断访问不希望的站点。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件服务器拦截服务器拦截 DNS服务器能被拦截。被拦截的服务器能配置成服务器能被拦截。被拦截的服务器能配置成提供不同的主机信息或包含一些新的主机名。提供不同的主机信息或包含一些新的主机名。DNS拦截通

59、常发生的两种情况，即拦截通常发生的两种情况，即系统被破坏系统被破坏或或IP拦截拦截。 为缓解系统被破坏的风险，关键的为缓解系统被破坏的风险，关键的DNS服务器应服务器应运行在加固的系统。运行在加固的系统。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件3.更新持续时间更新持续时间 缓存缓存DNS服务器同每个服务器同每个DNS项的超时相关联。项的超时相关联。当主机配置改变时，超时防止数据失效。假如当主机配置改变时，超时防止数据失效。假如超时值太大，则不能立即完成改变。管理者立超时值太大，则不能立即完成改变。管理者立即重新定位主机，那么缓存服务器将指向错误即重新定位主机，那么缓

60、存服务器将指向错误的地址。的地址。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件4.动态动态DNS 动态动态DNS（DDNS）解决）解决DHCP的主机名问题。的主机名问题。使用使用DDNS，DHCP的客户能在本地的客户能在本地DNS系统系统放主机名。放主机名。DDNS确保主机名总是指到主机的确保主机名总是指到主机的新的网络地址。新的网络地址。第第7章章 Internet安全体系结构之二安全体系结构之二整理课件7.9.3 社会风险社会风险1.相似的主机名相似的主机名 腾讯公司为回报老客户，现对您免费开放腾讯公司为回报老客户，现对您免费开放5位号码注册。注册位号码注册。注册地