第02讲-网络安全问题分析

第二讲网络安全问题分析吴礼发，洪征，李华波（wulifa@）内容提纲TCP/IP协议栈主要协议安全问题分析2小结3网络安全威胁分析12内容提纲TCP/IP协议栈主要协议安全问题分析2小结3网络安全威胁分析13（一）构成威胁的因素(1/2)广义上的网络安全概念威胁因素环境和灾害因素温度、湿度、供电、火灾、水灾、地震、静电、灰尘、雷电、强电磁场、电磁脉冲等，均会破坏数据和影响信息系统的正常工作人为因素：多数安全事件是由于人员的疏忽、恶意程序、黑客的主动攻击造成的有意：人为的恶意攻击、违纪、违法和犯罪无意：工作疏忽造成失误（配置不当等），会对系统造成严重的不良后果4（一）构成威胁的因素(2/2)威胁因素(Cont.)系统自身因素计算机系统硬件系统的故障软件组件：操作平台软件、应用平台软件和应用软件网络和通信协议系统自身的脆弱和不足是造成信息系统安全问题的内部根源，攻击者正是利用系统的脆弱性使各种威胁变成现实5（二）漏洞产生的原因分析在系统的设计、开发过程中有如下因素会导致系统、软件漏洞：系统基础设计错误导致漏洞编码错误导致漏洞安全策略实施错误导致漏洞实施安全策略对象歧义导致漏洞系统设计／实施时相关人员刻意留下后门6（三）漏洞多的原因漏洞不仅存在，而且层出不穷，Why?方案的设计可能存在缺陷从理论上证明一个程序的正确性是非常困难的一些产品测试不足，匆匆投入市场为了缩短研制时间，厂商常常将安全性置于次要地位系统中运行的应用程序越来越多，相应的漏洞也就不可避免地越来越多7（四）补丁不是万能的(1/2)打补丁不是万能的，Why?由于漏洞太多，相应的补丁也太多，补不胜补有的补丁会使得某些已有的功能不能使用，导致拒绝服务有时补丁并非厂商们所宣称的那样解决问题很多补丁一经打上，就不能卸载，如果发现补丁因为这样或那样的原因不合适，就只好把整个软件卸载，然后重新安装，非常麻烦漏洞的发现到补丁的发布有一段时间差，此外，漏洞也可能被某些人发现而未被公开，这样就没有相应的补丁可用8（五）补丁不是万能的(2/2)打补丁不是万能的，Why?（Cont.）网络、网站增长太快，没有足够的合格的补丁管理员有时候打补丁需要离线操作，这就意味着关闭该机器上的服务，这对很多关键的服务来说也许是致命的有时补丁并非总是可以获得的，特别是对于那些应用范围不广的系统而言，生产厂商可能没有足够的时间、精力和动机去开发补丁程序厂商通常可能在补丁中除解决已有问题之外添加很多的其他功能，这些额外的功能可能导致新漏洞的出现、性能下降、服务中断或者出现集成问题和安全功能的暂时中断等补丁的成熟也需要一个过程，仓促而就的补丁常常会有这样或那样的问题自动安装补丁也有它的问题，很多自动安装程序不能正常运行9内容提纲TCP/IP协议栈主要协议安全问题分析2小结3网络安全威胁分析110（一）TCP/IP协议栈概述这个图是错误的！11（一）TCP/IP协议栈概述（续）由底层网络定义的协议IP,ICMP,IGMP,ARP,RARPSMTPFTPSNMPDNSNFSWEBTCPUDP各种应用程序层12

IEEE802.3以太网：

缺陷：该协议没有提供报文完整性和源地址的认证攻击方法：恶意节点以高速率发送大量广播报文，耗尽网络带宽，进行拒绝服务攻击，定位难，Why?通过不断变换源MAC地址的方法来逃避追踪；由于网络带宽大量被占用，容易导致基于SNMP协议网管软件无法收取响应报文，从而无法通过读取交换机源地址列表的方法定位攻击源（二）链路层协议分析13（三）网络层协议分析(1/9)IPv4协议04816192431版本标志生存时间协议标识服务类型总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）比特首部长度固定部分(20字节)可变部分01234567DTRC未用优先级数据部分首部比特数据部分首部传送IP数据报IP协议的版本。目前广泛使用的IP协议版本号为4(即IPv4)，以前的3个版本已不使用。通信双方使用的IP协议的版本必须一致。占4bit，可表示的最大数值是15个单位(一个单位为4字节)，因此IP的首部长度的最大值是60字节。当IP分组的首部长度不是4字节的整数倍时，必须利用最后一个填充字段加以填充。首部长度限制为60字节的缺点是有时(如源站路由选择)不够用。但这样做是希望用户尽量减少开销。最常用的首部长度就是20字节，即不使用任何选项。

D比特，表示要求有更低的时延。T比特，表示要求有更高的吞吐量。R比特，表示要求有更高的可靠性(尽可能少地被路由器丢弃)。C比特，是新增加的，表示要求选择代价更小的路由。在相当长一段时期内并没有什么人使用服务类型TOS(TypeOfService)字段。直到最近，当需要将实时多媒体信息在因特网上传送时，服务类型字段才重新引起大家的重视。

14（三）网络层协议分析(1/9)IPv4协议04816192431版本标志生存时间协议标识服务类型总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）比特首部长度固定部分(20字节)可变部分01234567DTRC未用优先级数据部分首部比特数据部分首部传送IP数据报总长度指首部和数据之和的长度，单位为字节。总长度字段为16bit，因此数据报的最大长度为65535字节（即64KB）。在IP层下面的每一种数据链路层都有其自己的帧格式，其中包括帧格式中的数据字段的最大长度，这称为最大传送单元MTU

(MaximumTransferUnit)（以太网的MTU=1500字节）。当一个IP数据报封装成链路层的帧时，此数据报的总长度一定不能超过下面的数据链路层的MTU值。

目前只有前两个比特有意义：最低位记为MF(MoreFragment)。MF

1即表示后面“还有分片”的数据报。标志字段中间的一位记为DF(Don'tFragment)，意思是“不能分片”。只有当DF

0时才允许分片。片偏移指出：较长的分组在分片后，某片在原分组中的相对位置。也就是说，相对于用户数据字段的起点，该片从何处开始。片偏移以8个字节为偏移单位。

生存时间字段记为TTL(TimeToLive)，即数据报在网络中的寿命，其单位为跳(Hop)。生存时间的建议值是32。但也可设定为3

4，或甚至255。

一个计数器，用来产生数据报的标识。当IP协议发送数据报时，它就将这个计数器的当前值复制到标识字段中。当数据报由于长度超过网络的MTU而必须分片时，这个标识字段的值就被复制到所有的数据报片的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。

此字段只检验数据报的首部，不包括数据部分。这是因为数据报每经过一个结点，结点处理机都要重新计算一下首部检验和(一些字段，如生存时间、标志、片偏移等都可能发生变化)。如将数据部分一起检验，计算的工作量就太大了。

15（三）网络层协议分析(2/9)IPv4安全缺陷：无状态、无认证协议没有访问控制和带宽控制：阅读上层协议内容或利用包风暴消耗资源（拒绝服务攻击）支持广播和多播：拒绝服务攻击、扫描或应用层攻击寻址与协议选项：泄露了部分网络拓扑信息，可用于网络侦察数据包分片：IP无状态，分片功能可用来绕过防火墙和入侵检测；还可用于攻击不能正确处理数据包分片异常的主机（拒绝服务攻击）数据包窜改：IP没有来源认证和防数据包窜改机制，包中的所有内容几乎都可以伪造与上层协议如TCP、UDP的类似脆弱性一起，IP伪造可以用于会话劫持、中间人攻击、伪造攻击等。16（三）网络层协议分析(3/9)因特网控制报文协议ICMP(InternetControlMessageProtocol)[RFC792]ICMP目的：为了提高IP数据报交付成功的机会。它允许主机或路由器报告差错情况和提供有关异常情况的报告。两类ICMP报文：ICMP差错报告报文、ICMP询问报文17（三）网络层协议分析(4/9)ICMP报文种类类型的值ICMP报文的类型差错报告报文3终点不可达4源站抑制(Sourcequench)11时间超过12参数问题5改变路由(Redirect)询问报文8或0回送(Echo)请求或回答13或14时间戳(Timestamp)请求或回答17或18地址掩码(Addressmask)请求或回答10或9路由器询问(Routersolicitation)或通告当路由器或主机由于拥塞而丢弃数据报时，就向源站发送源站抑制报文，使其降低发送速率当路由器收到生存时间为零的数据报时，除丢弃该数据报外，还要向源站发送时间超过报文。当目的站在预先规定的时间内不能收到一个数据报的全部数据报片时，就将已收到的数据报片都丢弃，并向源站发送时间超过报文。当路由器或目的主机收到的数据报的首部中有的字段的值不正确时，就丢弃该数据报，并向源站发送参数问题报文。路由器将改变路由报文发送给主机，让主机知道下次应将数据报发送给另外的路由器（可通过更好的路由）。测试目的站是否可达以及了解其有关状态。PING命令。可用来进行时钟同步和测量时间。响应中的时间值：从1900年1月1日起到当前时刻一共有多少秒。向子网掩码服务器得到某个接口的地址掩码。了解连接在本网络上的路由器是否正常工作。主机将路由器询问报文进行广播（或多播）。收到询问报文的一个或几个路由器就使用路由器通告报文广播其路由选择信息。终点不可达分为：网络不可达、主机不可达、协议不可达、端口不可达、需要分片但DF比特已置为1，以及源路由失败等六种情况。类型字段的值与ICMP报文的类型的关系18（三）网络层协议分析(5/9)ICMP协议安全缺陷：协议的设计未考虑安全因素，存在很多安全漏洞ICMP协议攻击方法：主机探测PingofDeath攻击Smurf攻击重定向攻击19（三）网络层协议分析(6/9)IPv6协议IPv6通过强制使用IPSec，引入了访问控制、无连接的完整性、数据源身份认证、防御包重传攻击、保密、有限的业务流保密性等安全性服务，大大地改善了网络层的安全性。但是，由于其一些设计缺陷，该协议带来了一些新的安全隐患:隧道机制的安全问题:双栈机制的安全问题:邻居发现协议的安全问题:20（三）网络层协议分析(7/9)路由协议安全隐患：使用非加密的一次性口令来认证数据中的路由信息，容易被窃听；通过伪造路由器或发送伪造的路由信息来破坏或修改主机或网关的路由表。RIP(RoutingInformationProtocol)安全隐患:用于在局域网上传播路由信息，通常收到的信息不会被检查，使得攻击者可以伪造路由信息给目标主机，同时发送伪造的路由信息给沿途的网关，以此来假冒某个特定的主机。外部网关协议EGP：主干网关和外部网关间的通信冒充一个自治系统的另外一个外部网关：较难成功在真实网关关机的情况下声称网络可达：可行21ARP协议分析：缺陷：ARP协议缺乏相应的认证机制，导致用户无法辨别ARP报文信息的真实性支持“不请自来”的请求(“Unsolicited”Requests)：允许未经请求的ARP广播或单播对缓存条目的增、删、改ARP缓存表可以远程更新且ARP无法验证更新消息的真实性代理ARP可以被利用攻击方法：拒绝服务攻击：中间人攻击：MAC洪泛：网络监听（三）网络层协议分析(8/9)22RARP协议分析：缺陷：RARP被上层协议（DHCP，BOOTP）利用，允许主机通过DHCP和BOOTP服务自动配置自己的IP地址，缺乏必要的验证机制攻击方法：攻击者安装或配置一台DHCP服务器，向DHCP客户端传播错误的配置信息（服务器劫持），包括：错误的IP地址、网关、路由、域名服务器、NetBIOS、域信息等，导致客户端的数据流被重定向到攻击者设置的代理服务器，构成中间人攻击。（三）网络层协议分析(9/9)23（四）运输层协议分析(1/2)TCP协议安全缺陷：缺乏认证机制和报文的完整性检查，TCP协议无法确认报文的来源的真实性和数据完整性；三次握手过程存在安全漏洞。攻击方法：利用上