通信网络安全05

第五章通信网络安全体系结构（二）内容概要传输层风险及缓解方法攻击TCP和UDP的方法及缓解方法DNS风险及缓解方法SMTP邮件风险及缓解方法HTTP风险及缓解方法1.传输层核心功能传输层定义网络层和面向应用层之间的接口，从应用层抽象连网功能，包括连接管理、分组组装和服务识别。传输层有两个核心成份，传输层端口和序列号1.端口和套接字（Socket）端口：如果把一个服务器比作一间房子，IP地址就是出入这间房子的大门，端口是小。一个IP地址的端口可以有65536个之多，范围是从0到65535。一台拥有IP地址的主机可以提供许多服务，比如Web服务、FTP服务、SMTP服务等，这些服务完全可以通过1个IP地址来实现。通过“IP地址+端口号”来区分不同的服务的。1.传输层核心功能1.端口和套接字（Socket）客户端和服务器端端口并不是一一对应的。客户机访问一台WWW服务器时，WWW服务器使用“80”端口通信，但客户机可能使用“3457”这样的端口，如下所示。1.传输层核心功能1.端口和套接字（Socket）按对应的协议类型，端口分为：TCP端口和UDP端口。TCP和端口号也相互独立按端口号可分为3大类：（1）公认端口（WellKnownports）：从0到1023，它们紧密绑定（binding）于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口对应HTTP服务。（2）注册端口（Registeredports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。（3）动态和/或私有端口（Dynamicand/orprivateports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。1.传输层核心功能1.端口和套接字（Socket）应用层通过传输层进行数据通信时，TCP和UDP会遇到同时为多个应用程序进程提供并发服务的问题。多个TCP连接或多个应用程序进程可能需要通过同一个TCP协议端口传输数据。为了区别不同的应用程序进程和连接，计算机操作系统为应用程序与TCP／IP协议交互提供了称为套接字(Socket)的接口，区分不同应用程序进程间的网络通信和连接。套接字主要有3个参数：通信的目的IP地址、使用的传输层协议(TCP或UDP)和使用的端口号。通过将这3个参数结合起来，与一个Socket绑定，应用层就可以和传输层通过套接字接口，区分来自不同应用程序进程或网络连接的通信，实现数据传输的并发服务。1.传输层核心功能1.端口和套接字（Socket）端口和套接字关系传输层生成端口，每个端口包含一个唯一的、针对特定高层服务的标识。一个套接字可管理很多端口，但每个端口都需要一个套接字，端口和特定高层协议相关联，或动态分配大部分远程网络攻击针对特定端口的特定服务。但很多DoS攻击针对很多端口或套接字，因此传输层攻击目标包括端口、套接字和专门的协议1.传输层核心功能2.排序传输层从高层接收数据块，并将其分成分组，每个分组赋予一个唯一的序列标识，用来跟踪分组。传输层保持一些已经用于端口的序列号表，以防止序列号重复。因为序列号用于保持传输层的分组传输有序，这构成普遍的攻击因素，排序能用于传输层拦截攻击1.传输层核心功能3.序列拦截攻击者要观察传输层分组必须识别序列，以插入或拦截连接。因此序列号的产生最好不要依次渐增，否则攻击者易于预测下个分组编号序列号通常起始于随机值，以防止攻击者猜得到第一个分组，但整个会话过程中逐一增加。观察者很容易识别序列号并拦截会话，但盲目攻击者不能识别初始序列号，这样盲目攻击者无法决定序列号以及危害传输层连接很多传输层协议使用伪随机数发生器，就成为可预测的。这个弱点导致盲目攻击者能危害传输层连接2.传输层风险传输层风险围绕序列号和端口要拦截传输层连接，攻击者必须破坏分组排序目标瞄准端口，远程攻击者可针对一个专门的高层服务侦察攻击，包括端口扫描和信息泄露2.传输层风险1.传输层拦截传输层拦截攻击需要两个条件：一是攻击者必须对某种类型的网络层破坏，二是攻击者必须识别传输序列攻击者观察TCP分组头能识别序列的下一个分组以及任何需要回答响应的分组，拦截传输层连接的能力取决于序列号质量为完成一次拦截，攻击者必须伪装网络层通信，伪装的分组必须包括源和目的地址，源和目的端口2.传输层风险2.一个端口和多个端口的比较减少端口数量能减少攻击因素。服务器一般应该将开放地端口数量减少到只有基本服务，如，Web服务器只打开HTTP（80/TCP）端口，而远程控制台只打开SSH（22/TCP）端口2.传输层风险3.静态端口赋值和动态端口赋值远程客户连接到服务器需要两个条件，服务器的网络地址，传输协议及端口号客户端连接服务器时，通常连接到服务器的众所周知端口，但客户本身可能使用选自动态端口范围内的端口某些高层协议不使用固定端口号，如RPC，FTP的数据连接以及Netmeeting，控制服务使用众所周知端口，数据传输则用动态端口动态端口带来不安全的风险，因为防火墙必须允许大范围的端口可访问网络

2.传输层风险4.端口扫描为攻击一个服务，必须识别服务端口。端口扫描的任务是企图连接到主机的每一个端口。如果端口有回答，则活动服务正在监听端口，如果是众所周知端口，则增加了服务识别的可能性端口扫描的两种方法：一是目标端口扫描，用以测试特定的端口；二是端口扫视（sweep），用以测试主机上的所有可能的端口2.传输层风险4.端口扫描防御端口扫描方法非标准端口：将众所周知端口的服务移到非标准端口以模糊服务类型无回答防御：因为端口扫描等待分组回答，对不活动的端口分组请求不予回答，使扫描系统等待回答直至超时，但是对活动的端口还是要回答总是回答防御：活动与非活动端口总是回答，攻击者无法区别活动和非活动端口敲打协议（knock-knockprotocol）：敲打服务器不打开端口，而是监控其他端口或网络协议，观察到期望的分组序列，服务才启动。如SSH服务器先不和端口绑定，直到观察到具有700字节不规则数据字长的ICMP分组才和端口绑定主动扫描检测：入侵检测系统观察扫描主机的一系列连接并阻断访问故意延迟2.传输层风险5.信息泄露传输层对传输的数据不进行加密，因此传输层协议本身并不对信息保护，监控分组通信的观察者能观察到传输层内容。通常传输层上面的高层提供身份鉴别和加密3.TCP侦察绑定到TCP端口的网络服务提供对主机系统的直接访问，通过识别系统的类型和服务的类型，攻击者能选择相应的攻击方向1.操作系统框架1）初始窗口大小不同操作系统采用不同的初始窗口大小，但大部分系统还是使用默认值，因此根据窗口大小可识别传输数据的操作系统的类型，也可以结合窗口的变化情况判断操作系统类型2）TCP选项每个TCP分组包含TCP报头值的一些选项，不同操作系统支持不同的选项、值和次序，通过观察这些选项可识别特定的系统。某种情况下，TCP选项能唯一足够识别操作系统和补丁级别，可识别未打系统补丁的漏洞3.TCP侦察1.操作系统框架3）序列号虽然所有系统用同样的方法增加序列号，但是初始序列号是各个操作系统特定的。初始SYN和SYN-ACK分组交换用于连接初始的序列号，虽然单个TCP连接不能泄露可识别信息，但是一系列快速连接能泄露用来建立初始连接的模型，序列号能用来识别操作系统、版本，以及补丁版本信息4）客户端口号服务器用固定TCP端口号，但客户端可选择任何可用的端口号用于连接，服务器可从TCP报头确定客户动态端口号。从客户到一个或多个服务器重复的连接将显示对每个连接的不同端口号，不同的系统使用不同的动态端口范围供客户选择，观察动态端口范围，可帮助识别操作系统3.TCP侦察1.操作系统框架5）重试当TCP分组没有收到回答响应，分组重新发送，重试次数以及间隔是不同操作系统特定的，可以通过SYN重试、SYN-ACK重试以及ACK重试3种方法来确定操作系统框架对诊断技术是有用的，但对攻击者在攻击之前的侦查也是有用的，用来识别操作系统和补丁级别可以改变窗口大小、重试超时等默认值，可以阻止多操作系统的识别3.TCP侦察2.端口扫描TCP端口扫描用来识别运行的服务，对连接请求一般有四种类型的回答SYN-ACK：假如一个服务在端口运行，那么SYN-ACK返回给客户，这是正常的识别。为了阻止扫描，一些防火墙无论该端口有没有服务总是返回一个SYN-ACK，使扫描器不能识别RST：假如没有服务在运行，很多系统返回一个RST，这提供一个快速确认：该端口没有服务ICMP不可达：假如主机不可达，那么ICMP分组返回以指示失败，这使端口未知。很多防火墙用这种方法迷惑扫描器不应答：假如分组没有到主机，就没有回答，SYN请求得不到SYN-ACK并超时。虽然这通常意味着主机不可达或不在线，但一些防火墙有意忽略发送的分组并关掉端口3.TCP侦察3.日志为了检测系统扫描和网络攻击，日志是重要的。很多网络服务有连接日志，包括时间戳、客户网络地址以及相关的连接信息。少数系统支持未加工的TCP通信，由高层执行日志。在握手完成以前，高层并不支持TCP连接，结果使部分端口扫描（在握手完成以前）常常没有日志。网络监控工具如IDS和IPS，一般监控并把SYN请求以及任何包括部分建立连接的通信记录日志，SYN分组被记录，未请求的ACK和RST也被记录，基于这些分组的频率，类型和次序，一些工具能识别网络扫描，如果是IPS在扫描完成以前能作出反应，阻止更多信息泄露以及限制服务检测。3.TCP侦察3.日志4.TCP拦截任何干扰TCP连接的攻击都归结为TCP拦截，这些攻击常常像DoS一样出现，使连接过早结束1.全会话拦截常常需要攻击者具有直接的数据链路访问。在混杂模式下，攻击者观察网络地址、端口以及用于连接的序列号，利用这些信息，攻击者试图比一个TCP连接结束更快的响应。成功的拦截提供具有连接会话的攻击者到网络服务，而失败的拦截结果造成DoS或是简单的忽略2.ICMP和TCP拦截ICMP用来在IP和TCP之间通信，ICMP能用来报告不成功的连接或重新指向网络服务。遇到恶意攻击时，ICMP能将TCP连接重新指向不同的端口和不同的主机，虽然攻击者仍必须知道TCP序列号，但ICMP不需要使用DoS来结束任何一个原始连接5.TCP

DoSDoS攻击的两个目的：是目标主机不能正常执行任务，二是分散管理者注意力，以便对另外一个系统实施攻击。TCP十分容易受到DoS攻击，任何对端口或序列号的干扰都会使连接断开1.SYN攻击每个TCP实施分配用于管理连接的内存，每个连接包括网络地址、端口、窗口大小，序列号以及用于入出分组的缓存空间。每个服务器收到SYN就分配内存，SYN攻击发送大量的SYN分组来消耗内存，当连接个数超过限制的时候，新的连接被切断每次SYN分组放到一个打开的服务，就产生一个SYN-ACK响应，此时客户端不产生ACK响应，这时连接被挂起直至超时。足够多的这样挂起将造成DoS攻击①SYN②SYN/ACK③ACK5.TCP

DoS1.SYN攻击防范措施-过滤网关防护网关超时设置：防火墙设置SYN转发超时参数，该参数远小于服务器的timeout时间。当客户端发送完SYN包，服务端发送确认包后（SYN＋ACK），防火墙如果在计数器到期时还未收到客户端的确认包（ACK），则往服务器发送RST包，以使服务器从队列中删去该半连接。①SYN②SYN/ACK③ACKRST5.TCP

DoS1.SYN攻击防范措施-过滤网关防护SYN网关：SYN网关收到客户端的SYN包时，直接转发给服务器；SYN网关收到服务器的SYN/ACK包后，将该包转发给客户端，同时以客户端的名义给服务器发ACK确认包。此时服务器由半连接状态进入连接状态。当客户端确认包到达时，如果有数据则转发，否则丢弃。①SYN②SYN/ACK③ACKFIN③ACK①SYN②SYN/ACK5.TCP

DoS1.SYN攻击防范措施-过滤网关防护SYN单向代理：TCP代理收到某客户端发来的到服务器的SYN报文后，先代替服务器向客户端回应序号错误的SYNACK报文。如果收到客户端回应的RST报文，则认为该TCP连接请求通过TCP代理的验证。一定时间内，TCP代理收到客户端重发的SYN报文后，直接向服务器转发，在客户端和服务器之间建立TCP连接。TCP连接建立后，TCP代理直接转发后续的报文，不对报文进行处理。5.TCP

DoS1.SYN攻击防范措施-过滤网关防护SYN双向代理：TCP代理收到某客户端发来的到服务器的SYN报文后，先代替服务器向客户端回应正常的SYNACK报文（窗口值为0）。如果收到客户端回应的ACK报文，则认为该TCP连接请求通过TCP代理的验证。TCP代理再向服务器发送同样的SYN报文，并通过三次握手与服务器建立TCP连接。双向代理方式中，在客户端和TCP代理、TCP代理和服务器之间建立两个TCP连接。由于两个TCP连接使用的序号不同，TCP报文交互过程中，TCP代理接收到客户端或服务器发送的报文后，需要修改报文序号，再转发给对端，这样才能保证通信正常。5.TCP

DoS1.SYN攻击防范措施-加固TCP/IP协议栈增加最大半连接数缩短超时时间SYNcookies技术：SYNcookies应用于linux、FreeBSD等操作系统，当半连接队列满时，SYNcookies并不丢弃SYN请求，也不分配内存空间，而是通过加密技术来标识半连接状态。SYNcookies中，服务器的初始序列号是通过对客户端IP地址、客户端端囗、服务器IP地址和服务器端囗以及其他一些安全数值等要素进行hash运算加密得到的，称之为cookie。当服务器遭受SYN攻击使得半连接队列满时，服务器并不拒绝新的SYN请求，而是回复cookie（回复包的SYN序列号）给客户端，如果收到客户端的ACK包，服务器将客户端的ACK序列号减去1得到cookie比较值，并将上述要素进行一次hash运算，看看是否等于此cookie。如果相等，直接完成三次握手5.TCP

DoS2.RST（或FIN）攻击RST（Resettheconnection）攻击：盲目的RST攻击发生在攻击者不能拦截或看到网络连接的时候，用不同的序列和端口值伪造RST分组发送，只要其中一个有效就能断开连接RSTTCPconnection攻击者5.TCP

DoS3.ICMP攻击类似RST攻击，ICMP可用来指定一个断开连接。盲目的ICMP攻击也能使TCP不能连接。不像TCP重置攻击，防火墙能阻断ICMP攻击，而RST攻击因为有效的端口和地址组合，能通过防火墙4.LAND攻击一个特别打造的SYN包中的源地址和目标地址都被设置成某一个服务器地址，导致服务器向它自己的地址发送SYN-ACK消息，这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。对Land攻击反应不同，许多UNIX系统将崩溃，而WindowsNT会变的极其缓慢（大约持续五分钟）。6.缓解对TCP攻击的方法1.改变系统框架TCP和网络服务攻击有两类，盲目攻击和定向攻击，前者没有假定的攻击目标，通过试探发现漏洞，大部分计算机病毒使用这种方法定向攻击这对特定操作系统平台和网络服务。首先通过侦察识别可能的目标，然后攻击可行的目标，通过改变系统框架可缓解攻击者的识别。修改SYN超时、重试计数、重试间隔、初始窗口大小、可用的TCP选项以及初始序列值很多TCP端口是标准化的，特定端口用于特定服务。虽然这些端口是标准的，但不是必需的，可以改变端口号以减少攻击的可能性。6.缓解对TCP攻击的方法2.阻断攻击指向用防火墙阻断任何外部的SYN分组，对于DMZ区内提供的服务，可以设置路由器只开放相应的端口和地址。同时阻断ICMP通行能消除来自远程的ICMP淹没、拦截和重置攻击的风险3.状态分组检测很多防火墙支持状态分组检测（SPI），SPI跟踪TCP连接状态以及具有和已知状态不匹配的分组，如，一个RST分组送到关闭的端口，可以直接丢弃，而不是传递给主机，SPI能减少拦截攻击、重置攻击、远程系统框架等的影响6.缓解对TCP攻击的方法4.入侵检测系统（IDS）IDS对非标准的或非期望的分组进行监控。IDS能很快识别远程系统框架、TCP端口扫描、拦截企图以及DoS攻击5.入侵防御系统对于部署在数据转发路径上的IPS，可以根据预先设定的安全策略，对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等)，如果一旦发现隐藏于其中网络攻击，可以根据该攻击的威胁级别立即采取抵御措施，这些措施包括：向管理中心告警；丢弃该报文；切断此次应用会话；切断此次TCP连接。6.缓解对TCP攻击的方法7.高层协议一般来说，假定高层协议将鉴别通信以及检测可能的攻击7.UDPUDP是一个简单的传输协议，用于无连接服务。UDP的报头值包括源端口、目的端口、数据长度和校验和，共8个字节，UDP传输不产生回答的响应。UDP攻击常常基于无效的分组以及伪装1.非法的进入源UDP服务器不执行初始握手，任何主机都能连接到UDP服务器而无须身份鉴别。服务器缓冲有限数的UDP分组。缓冲器空间满后收到的分组将被丢弃。UDP分组能很快淹没慢的UDP服务2.UDP拦截由于无身份鉴别，任何客户可以发任何分组到任何UDP服务器，管理会话和连接必须由高层协议处理。因此UDP容易被拦截，攻击者能很容易伪装成正确的网络地址和UDP端口，将数据插入到接受者，盲目的UDP攻击只需猜测端口号，不超过65536个，只需几秒7.UDP3.UDP保持存活攻击UDP没有清楚地指示连接是打开还是关闭，结果大多数防火墙当看到第一个出口连接时，打开端口，一段时间不活动才关闭端口，攻击者能利用这个弱点来保持UDP端口打开。即使客户不再监听分组时，攻击者能发送UDP分组到防火墙，以保持防火墙端口打开。当足够多的端口保持打开，那么没有新的端口不能被打开，这使UDP不能有效地通过防火墙。7.UDP4.UDPSmurf攻击攻击者向网络广播地址发送ICMP包，并将回复地址设置成受害网络的广播地址，通过使用ICMP应答请求数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞。更加复杂的Smurf攻击攻击将源地址改为第三方受害者，最终导致第三方崩溃。防范措施：配置路由器禁止IP广播包进网配置网络上所有计算机的操作系统，禁止对目标地址为广播地址的ICMP包响应。对于从本网络向外部网络发送的数据包，本网络应该将其源地址为其他网络的这部分数据包过滤掉。7.UDP5.UDP侦察UDP对系统侦察只提供少量选项。UDP端口扫描依靠ICMP和分组回答实现。如果没有UDP服务存在于扫描端口，那么ICMP返回“目的不可达”分组。但是有些UDP服务对没有连接返回一个回答。任何UDP回答指示一个存在的服务。防范这类端口扫描的唯一办法是不返回任何ICMP分组，使攻击者难以区分有没有服务9.DNS风险及缓解办法1.直接风险DNS系统假定DNS服务器之间是可信的，DNS服务器不会故意提供错误的信息，DNS协议不提供客户和服务器之间的身份鉴别，这使攻击者可破坏这种可信关系1）无身份鉴别的响应DNS使用一个会话标识来匹配请求和回答，但会话标识不提供身份鉴别，攻击者观察DNS请求，能伪造一个DNS回答。假的回答会有观察到的会话标识，攻击者甚至可以在分组中设置授权标记，去除对数据正确性的怀疑，结果是攻击者能控制主机名的查找，并进一步重指被害者的连接9.DNS风险及缓解办法1.直接风险2）DNS缓存受损当计算机对域名访问时并不是每次访问都需要向DNS服务器发出请求，一般来说当解析工作完成一次后，该解析条目会保存在计算机的DNS缓存列表中，如果这时DNS解析出现更改变动的话，由于DNS缓存列表信息没有改变，在计算机对该域名访问时仍然不会连接DNS服务器获取最新解析信息，会根据自己计算机上保存的缓存对应关系来解析，这样就会出现DNS解析故障攻击者观察DNS请求，并生成一个伪造的DNS回答，并含有一个长的缓存超时值，这样受损的DNS缓存可对任何数据请求提供假的数据9.DNS风险及缓解办法1.直接风险3)ID盲目攻击攻击者选择一个公用的域名，生成DNS回答的泛滥，每个回答包含一个不同的会话标识盲目攻击9.DNS风险及缓解办法1.直接风险4)利用DNS服务器进行DDOS攻击假设攻击者已知被攻击机器的IP地址，然后攻击者使用该地址作为发送解析命令的源地址。这样当使用DNS服务器递归查询后，DNS服务器响应给最初用户，而这个用户正是被攻击者。那么如果攻击者控制了足够多的肉鸡，反复的进行如上操作，那么被攻击者就会受到来自于DNS服务器的响应信息DDOS攻击9.DNS风险及缓解办法1.直接风险5)破坏DNS分组DNS协议规定了查询和回答的数据大小。但某些DNS实施没有适当的检查数据边界。分组可声称包含比实际更多的数据，或者没有包含足够的数据。其结果是缓冲器溢出或不足9.DNS风险及缓解办法2.技术风险直接风险是协议本身的影响，技术风险是基于配置的问题1）DNS域拦截是指在一定的网络范围内拦截域名解析的请求，返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能反应或访问的是假的对攻击者有利的网址。所以域名劫持通常相伴的措施——封锁正常DNS的IP解决办法：防火墙出口过滤阻止用户访问恶意站点，本地DNS服务器配置成阻止恶意站点对主机名的查找9.DNS风险及缓解办法2.技术风险2）DNS服务器拦截被攻击的DNS服务器被增加、修改、删除DNS记录条目为缓解系统被破坏的风险，DNS服务器应运行在加固的系统，关闭所有不必要的服务9.DNS风险及缓解办法2.技术风险3）更新持续时间缓存DNS服务器同每个DNS项的超时相关联，当主机配置改变时，超时防止数据失效。如果超时值过大，则不能立即完成改变。如果管理者立即重新定位主机，那么缓存服务器将指向错误的地址9.DNS风险及缓解办法2.技术风险4）动态DNSDHCP提供带有网络地址的新的主机、默认网关以及DNS服务器信息。这些主机只能用它们的网络地址访问，不能用主机名访问。动态DNS（DDNS）解决该问题，使用DDNS，DHCP的客户能在本地DNS系统放主机名，虽然客户每次分配一个新的网络地址，但DDNS能保证主机名总是指到主机的新的网络地址用户能很容易地配置DDNS主机名，但是DDNS主机名允许拦截。任何不和活动DHCP地址相联系的主机名都可被请求。那么另一台主机能很容易拦截该主机名。只要被拦截的名字同有效的DHCP主机相联系着，真正的主机就不能请求该名字9.DNS风险及缓解办法3.社会风险1）相似的主机名正常域名为，攻击者拥有与之相似的域名，当用户错误的输入了该相似的主机名，就访问了伪装站点2）自动名字实现很多浏览器支持自动名字实现，即用户不输入域名服务器的高级域名（.com）而只输入主机名的中间部分，自动名字实现可附件一个后缀，直到找到主机名，通常先试的是.com，如果web站点不是以.com结尾，那么攻击者可以注册.com的名字来拦截这个域3）社会工程说服注册机构，更改域名4）域更新欠费没更新，导致原有域名被他人注册9.DNS风险及缓解办法4.缓解风险办法DNS的设计是用来管理大量的网络地址信息。设计时考虑了速度、灵活性和可扩展性，但未考虑安全问题，因此不提供身份鉴别，且假定所有的询问时可信的1）直接威胁缓解办法补丁：DNS服务器和主机经常打补丁内部和外部域分开：DNS服务器应该是分开的，大的网络应考虑在内部网络分段间分开设置服务器，以限制单个服务器破坏的影响，且能平衡DNS负载有限的缓冲间隔拒绝不匹配的回答：假如缓冲DNS服务器接到多个具有不同值的回答，全部缓冲器刷新9.DNS风险及缓解办法4.缓解风险办法2）技术威胁的缓解加固服务器：限制远程可访问进程数量，就能限制潜在的攻击的数量，加固服务器可降低来自技术攻击的威胁防火墙：在DNS服务器前面放置硬件防火墙限制远程攻击的数量10.SMTP邮件风险SMTP邮件系统设计时主要考虑可靠地、及时的传递报文，没有考虑安全10.SMTP邮件风险SMTP邮件系统设计时主要考虑可靠地、及时的传递报文，没有考虑安全1.伪装报头及垃圾邮件邮件用户代理MUA能指定邮件报头，每个邮件中继附加接收到的报头到邮件的开头，用来跟踪报文。伪装的邮件报头发生在发送者故意插入假的报头信息。除了最后接收的报头以外，电子邮件报头的所有属性都可以伪造。主体、日期、接收者、内容甚至最初接收的报头都能利用SMTP数据命令伪造垃圾邮件：占所有电子邮件80%，成因一方面缺乏身份鉴别，另一方面伪装报头只需要很低的技巧。反垃圾邮件只能过滤或拦截掉90%的垃圾邮件。但制造者不断改变技术，使静态反垃圾邮件系统失效。同样反垃圾邮件也会过滤掉非垃圾邮件10.SMTP邮件风险1.伪装报头及垃圾邮件接收的报头包含“from”和“by”地址，如果一个报头的“by”地址和下一个报头的“from”不匹配，那么这个邮件很可能是伪造的接收的报头包含一个时间戳和跟踪号，不存在的话，也可能是伪造的根据发件人和内容判定是否是垃圾邮件通过服务器处理日志来判断伪造电子邮件10.SMTP邮件风险2.中继和拦截SMTP并非总是将电子邮件从发送者送到接受者，通常使用中继来路由信息SMTP管理员无须专门的允许来操作中继，而且电子邮件信息一般是明文发送，结果是中继的拥有者能读取电子邮件甚至修改报文内容为缓解风险，敏感的电子邮件使用内容加密，PGP是常用的加密电子邮件的例子，但加密技术用于电子邮件有其局限性：兼容性：PGP用mutt（unix邮件客户）加密的电子邮件，对MicrosoftOutlook的用户不是很容易能看到的。越是复杂的机密系统越安全，但兼容性越差一致性：电子邮件是可以发送给任何人，包括陌生人。流行的密码系统需要发送者对接受者有事先的连接，包括密钥交换10.SMTP邮件风险3.SMTP和DNSSMTP最大风险来自于对DNS的依从。DNS用来识别邮件中继，DNS受损导致电子邮件受损。电子邮件可被路由到敌意的中继或单纯被阻断4.底层协议电子邮件也会受到底层协议如MAC、IP和TCP拦截的影响。如果安全是第一要素，应尽量不用电子邮件，尤其不能用来发送口令、信用卡信息或保密信息5.电子邮件伦理问题电子邮件在技术上可以被任意转发电子邮件可以伪装成他人的电子邮件地址发送SMTP无法验证电子邮件的传送以及是否被接收，扩展的SMTP可提供传递通知，回执和投递通知，但无法证明接收者是否确实收到了该邮件11.HTTP风险HTTP的设计目的是灵活和实时地传送文件，没有考虑安全因素。但使用HTTP的各种应用都期盼提供身份鉴别、认证和隐私，这就导致了基于无身份鉴别HTTP系统的风险。HTTP使用通用资源访问地址URL作为定义查询类型的缩写标记。它不仅允许标识远程服务和文件，而且也导致暴露攻击的目标11.HTTP风险URL（UniformResourceLocation的缩写，译为“统一资源定位符）网页的地址，组成：scheme://host:port/pathInternet资源类型（scheme）：指出WWW客户程序用来操作的工具。如“http://”表示WWW服务器，“ftp://”表示FTP服务器服务器地址（host）：指出WWW页所在的服务器域名。端口（port）：有时（并非总是这样），对某些资源的访问来说，需给出相应的服务器提供端口号路径（path）：指明服务器上某资源的位置例如/pub/HXWZ就是一个典型的URL地址。客户程序首先看到http（超文本传送协议），便知道处理的是HTML链接。接下来的是站点地址，最后是目录pub/HXWZ。而/pub/HXWZ/cm9612a.GB，WWW客户程序需要用FTP去进行文件传送，站点是，然后去目录pub/HXWZ下，下载文件cm9612a.GB。11.HTTP风险1.URL漏洞URL为用户提供了方便识别网络资源的方法，URL可识别服务、服务器以及资源参数，攻击者可以策划一个敌意的URL并把被害者指向另一个位置，导致被破坏1）主机名破解攻击URL通常包含主机名，使用户容易记住不同的文本字符串，而无须用不易记忆的网络地址。这很容易让攻击者获得主机名等信息诸如相似的主机名和自动完成的风险比直接DNS破坏更简单