网络安全与管理：第三章 网络层安全

1、第 3 章 网络层安全网络安全基础第6章提纲网络层的基本概念ARP协议及其安全问题IP协议及其安全问题ICMP协议及其安全问题场景分析网络层网络层的主要任务：把IP报文从源计算机经过适当的路径发送到目的计算机从源计算机到目的计算机可能要经过若干个中间节点，需要进行路由选择局域网广域网主机1主机2路由器 R1路由器 R2路由器 R3局域网局域网IP1 IP2IP1 IP2硬件目的地址硬件源地址类型数据FCS目的IPIP报文源IP数据帧参数ICMP报文ARP报文硬件目的地址硬件源地址目的IP源IP网络层IP报文IP报文结点结点结点结点结点帧HA1HA3HA4HA5HA6HA7HA8HA2帧帧帧HA

2、1HA3HA4HA5HA6HA7HA8HA2IP1 IP2IP报文提纲网络层的基本概念ARP协议及其安全问题IP协议及其安全问题ICMP协议及其安全问题场景分析ARP协议ARP缓存表：存放局域网上各个主机IP地址和硬件地址的对应关系ARP协议：将IP地址解析成硬件地址的协议发送者不知道目标设备的硬件地址，它向本网络广播ARP请求，本网的每台设备都会收到当一台设备收到ARP请求时，如果与自己的IP地址匹配，则返回给发送者一个ARP回应包，里面有自己的硬件地址当发送者收到ARP回应后，它把目标设备的IP和硬件地址对应条目放入自己的ARP缓冲区以后再向目标设备发送数据包时，只需查找缓冲区即可 IP

3、MAC 类型 210.118.45.100 00-0b-5f-e6-c5-d7 dynamic ARP缓存表ARP协议如果发送者和接受者不在同一个局域网上？如果通信双方有一段时间没互相发送数据？当一段时间后没人回应发送者的ARP请求？ARP缓存表的三个命令那么就要通过ARP找到一个本局域网出口路由器的硬件地址ARP缓存表中的条目被清除，使ARP表始终维持在一个较小的状态（ “老化机制” ）发送者会再试几次，之后主机向用户返回错误报告arp -a 查看缓存表内容arp -d 删除缓存表内容arp -s 手动制定ip与mac的对应关系ARP协议的安全问题漏洞：局域网中的计算机在收到任何ARP 应答

4、数据包时都会更新自己ARP缓存表中的记录攻击方法：伪造ARP应答，目的是更改受害者ARP缓存中的IP-MAC条目攻击者受害者IP1-MACX (假的)ARP应答 IP1 MAC1 (改为MACX)ARP 缓存表IP1 MAC1中间人攻击攻击者通过ARP欺骗，来窃听正常用户之间的通信攻击者A192.168.10.3 BB-BB-BB-BB-BB-BB (B的)ARP应答BC192.168.10.1 AA-AA-AA-AA-AA-AA192.168.10.2BB-BB-BB-BB-BB-BB192.168.10.3CC-CC-CC-CC-CC-CC192.168.10.1 BB-BB-BB-BB-

5、BB-BB (B的) 192.168.10.3 BB-BB-BB-BB-BB-BB ARP 缓存表 192.168.10.1 BB-BB-BB-BB-BB-BB ARP 缓存表ARP应答地址冲突攻击攻击者通过ARP欺骗，达到使受害者网络中断的目的攻击者AXX-XX-XX-XX-XX-XX(随便写的)192.168.10.1 ARP应答BC192.168.10.1 AA-AA-AA-AA-AA-AA192.168.10.2BB-BB-BB-BB-BB-BB192.168.10.3CC-CC-CC-CC-CC-CC提纲网络层的基本概念ARP协议及其安全问题IP协议及其安全问题ICMP协议及其安全问

6、题场景分析IP协议IP地址的构造：网络号+主机号IP地址的分类：A类，B类，C类197.12.15.10网络号主机号私有地址考虑到网络安全和内部实验等特殊情况，在IP地址中专门保留了三个区域作为私有地址只能在内部网络中使用，只有通过代理服务器才能与互联网通信网络类别地址范围网络数A类10.0.0.010.255.255.2551A类100.64.0.0100.127.255.255内网保留段（用于运营商级NAT）B类172.16.0.0172.31.255.25516C类192.168.0.0192.168.255.255255IP协议的安全问题漏洞：IP源地址不可靠IP地址欺骗攻击：攻击者使

7、用其他计算机的IP地址来骗取与目的计算机的连接，获取信息或者特权IP地址欺骗盲目飞行攻击盲目飞行攻击（flying blind attack，one-way attack）攻击者用假冒的IP地址向目标主机发送数据包只能向目标主机发包，而不会收到目标主机发回的包B10.50.50.50A10.10.20.30C10.10.5.5返回到A的应答源地址：10.10.20.30目标地址：10.10.5.5假冒A的IP攻击者 被冒充主机目标主机IP地址欺骗攻击者插入到数据流经的路径上由于动态路由机制，所以实现起来非常困难攻击者B10.50.50.50被冒充主机A10.10.20.30目标主机C10.10

8、.5.5IP欺骗返回应答发送至A攻击者看到应答回到被冒充主机A源地址：10.10.20.30目标地址：10.10.5.5IP地址欺骗利用源路由机制攻击者在伪造IP数据包时指定使用源路由机制（LSR或SRS）,将自己IP填入必经地址清单攻击者B10.50.50.50被冒充主机A10.10.20.30目标主机C10.10.5.5IP欺骗使用源路由必经B：10.50.50.50返回应答发送至A应答流经攻击者应答回到被冒充主机A源地址：10.10.20.30目标地址：10.10.5.5单播反向路径验证抵御IP地址欺骗对称路径：NET1NET2的传输路径与NET2 NET1相同单播反向路径验证：当路由器

9、在端口X接到数据包时，用该数据包的源IP检索路由表，如果找不到匹配，则判定为IP欺骗攻击，丢弃数据包A193.1.1.0/24LAN1193.1.2.0/24LAN2193.1.3.0/24LAN3B123R1R3R2193.1.1.5193.1.3.5R3 路由表目的网络 距离 下一跳 接口LAN1 2 R1 1LAN2 2 R2 2LAN3 1 R3 3源地址：193.1.1.5目标地址：193.1.3.5攻击者H源地址：193.1.1.7目标地址：193.1.3.5提纲网络层的基本概念ARP协议及其安全问题IP协议及其安全问题ICMP协议及其安全问题场景分析网络层的IP协议及其配套协议I

10、CMP协议ICMP（网际控制消息协议，Internet Control Messaging Protocol）：在IP包无法传输时提供差错报告Ping请求和Ping应答ICMP回显请求（类型=8）和应答（类型=0）用途：诊断设备是否可以通信，测量一个数据包往返一次花费的时间，估计对方主机的远近标识：一个ping请求使用一个标识号，这个标识号对于一组ping请求和回应是唯一的序列号：序列号从0开始，每发送一次新的请求就加1安全问题：被攻击者用来测定一台主机是否正在运行类型（0或8）代码（0）检验和标识符序号选项数据使用ping测试网络的连通性1. 使用ipconfig /all观察本地网络设置是

11、否正确使用ping测试网络的连通性2. Ping 127.0.0.1检查本地的TCP/IP协议有没有设置好使用ping测试网络的连通性3. Ping本机IP地址，检查本机的IP地址是否设置有误使用ping测试网络的连通性4. Ping本网网关或本网IP地址，检查本机与本地网络连接是否正常使用ping测试网络的连通性5. Ping远程IP地址，检查本网或本机与外部的连接是否正常IP数据包中的生存时间（TTL）字段寻径寻径（traceroute）：在互联网上，从发送端到接收端走的是什么路径攻击者猜测目标网络的拓扑结构ping寻径发送者给目标发送一个数据包，TTL置1，遇到第一个路由器将值减值0，并

12、返回一个错误信息发送者给目标再发一个数据包，TTL置2，遇到第2个路由器将TTL减至0，并返回错误信息这样一直到达目标tracert寻径跟踪路由的命令ping寻径ping -i ttl 目标地址tracert 寻径tracert 目标地址猜测主机类型通过返回的TTL的值不同判断目标地址的操作系统类型Linux, TTL 64Unix, TTL 255Windows 95/98/98SE/ME, TTL 32Windows NT/2000，TTL 128猜测主机类型TTL 64 百度的服务器可能为LinuxICMP Smurf 攻击攻击者伪造大量的ICMP回显请求包，包的源地址为受害者的IP地址

13、，目的地址为受害者所在的网段的广播地址前提：最后一条路由器接收到这个广播包后，会进行转发并广播互联网攻击者源IP：192.168.65.100目的IP：192.168.65.255192.168.65.0/24网段受害者 192.168.65.100ICMP路由重定向使用场景：当网络拓扑结构发生变化时，可能导致主机采用非优化的路由来发送数据使用方法：路由器使用ICMP重定向报文来更新主机的路由表，告知主机新的路由器地址（下一跳）结果：主机根据网络变化，重新选择一条更优化的路由来传输数据，提高网络的传输效率类型=5代码=0校验和应使用的路由器IP地址IP首部（含选项）和原始IP数据报的前8个字节

14、07 815 1631限制条件：主机只会接收它之前使用过的路由器发来的重定向报文（来源认证）重定向报文也不能通知主机使用自己作为新的路由器（不能自卖自夸）指定的路由器必须与主机直接相连（直接相连）ICMP路由重定向互联网192.168.1.253192.168.1.254R1R2A192.168.1.105原网关：192.168.1.253ICMP重定向报文源IP：192.168.1.253新网关：192.168.1.254旧路由新路由新网关：192.168.1.254ICMP路由重定向攻击互联网192.168.1.100192.168.1.254BR2A192.168.1.105原网关：19

15、2.168.1.254ICMP重定向报文假源IP：192.168.1.254新网关：192.168.1.100新网关：192.168.1.100“谎言与真话”现象会使攻击者制造的欺骗路由失效，原先正常的路由会被还原正常路由欺骗路由ICMP路由重定向攻击防范Windows XP：修改注册表，将EnableICMPRedirects设为0，即不接受ICMP重定向数据包实际上在Windows XP上这个值默认就是039小结用ping测定一台网络上的主机是否正在运行使用ping命令测试网络的连通性用ping寻径（攻击者用来猜测目标网络的拓扑结构）用ping猜测目标地址主机的操作系统类型用ping发起拒

16、绝服务攻击ICMP路由重定向攻击提纲网络层的基本概念ARP协议及其安全问题IP协议及其安全问题ICMP协议及其安全问题场景分析互联网R1H2H1H3目标下一跳网络1H1默认R1H1目标下一跳网络1R1网络2R1默认R2R1目标下一跳网络1R1网络2H3默认R2H3网络1网络2目标下一跳网络1H2默认R1H2R2广播风暴攻击方法：多个攻击者扫描目标网络扫描：攻击者向目标网络的所有IP地址发送数据包攻击后果：产生成千上万个广播包，导致目标网络崩溃C类目标网络攻击者1攻击者2攻击者3攻击者n主机1主机2主机3场景1 H1H2（通信双方在同一网络中）数据包1 ARP请求数据包2 ARP应答数据包3 I

17、CMP回显请求数据包4 ICMP回显应答网络1H1H2发往H2的ICMP回显请求来自H2的ICMP回显应答收到H1发来的ICMP回显请求发往H1的ICMP回显应答数据包发送者接受者报文类型硬件IP硬件IP1H1H1广播H2ARP2H2H2H1H1ARP3H1H1H2H2ICMP4H2H2H1H1ICMP时间IPMAC开始空空数据包2之后H2H2H1的ARP表时间IPMAC开始空空数据包1之后H1H1H2的ARP表场景2 H1网络1中不存在的主机数据包1 ARP请求数据包1 ARP请求数据包1 ARP请求数据包1 ARP请求发往H6的ICMP回显请求错误消息过期过期过期过期网络1H1H6的IP地

18、址在网络1中合法，但没有地址是H6的设备时间IPMAC开始空空H1的ARP表数据包发送者接受者报文类型硬件IP硬件IP1H1H1广播H6ARP2H1H1广播H6ARP3H1H1广播H6ARP4H1H1广播H6ARP场景3 H1H3（通信双方不在同一网络中）数据包1 ARP请求数据包2 ARP应答数据包3 ICMP回显请求数据包8 ICMP回显应答网络1H1R1发往H2的ICMP回显请求来自H2的ICMP回显应答收到H1发来的ICMP回显请求发往H1的ICMP回显应答H3数据包4 ARP请求数据包5 ARP应答数据包6 ICMP回显请求数据包7 ICMP回显应答时间IPMAC开始空空数据包2之后

19、R1R1H1的ARP表时间IPMAC开始空空数据包1之后H1H1数据包5之后H3H3R1的ARP表数据包发送者接受者报文类型硬件IP硬件IP1H1H1广播R1ARP2R1R1H1H1ARP3H1H1R1H3ICMP4R1R1广播H3ARP5H3H3R1R1ARP6R1H1H3H3ICMP7H3H3R1H1ICMP8H3H3R1H1ICMP时间IPMAC开始空空数据包4之后R1R1H3的ARP表R1将TTL减小1判断数据包是否存活场景4 H1网络2中不存在的主机数据包1 ICMP回显请求数据包6 ICMP目标不可达网络1H1R1发往H7的ICMP回显请求错误数据包2 ARP请求数据包3 ARP请

20、求数据包4 ARP请求数据包5 ARP请求网络2时间IPMAC开始H1H1R1的ARP表时间IPMAC开始R1R1H1的ARP表初始状态：R1和H1互相知道对方的硬件地址数据包发送者接受者报文类型硬件IP硬件IP1H1H1R1H7ICMP2R1R1广播H7ARP3R1R1广播H7ARP4R1R1广播H7ARP5R1R1广播H7ARP6R1R1H1H1ICMPR1将TTL减小1判断数据包是否存活如果H1收到ICMP目标不可达数据包，应用通常停止向该目标地址发送数据包并不是所有的路由器都会创建ICMP目标不可达数据包（类型3）类型（3）代码（0）检验和数据（差错信息：引起差错的原始分组的首部+数据部分的前8个字节）ICMP目标不可达报文场景分析及安全问题H1到H2（两者在同一网络中）数据包只能被网络内部的设备嗅探到网络1之外的设备不可能扰乱H1和H2的通信H1到网络1中不存在的主机广播风暴（很容易定位攻击者）H1到H3（两者不在同一网络中）流量能被网络1和2的设备嗅探在其中任一网络中的攻击者能扰乱H1到H3的通信一个网络设备仅仅向这个网络发送一个数据包就能引起几个数据包的产生H1到网络2中不