网络攻防原理与技术 第3版 教案 第3讲 网络脆弱性分析

内容备注《网络攻防原理与技术》课程教案讲课题目：第三讲网络脆弱性分析目的要求：了解影响网络安全的因素；掌握因特网易被攻击者利用的特性；掌握典型网络协议存在的安全问题。重点难点：因特网易被攻击者利用的特性；典型网络协议的安全问题。方法步骤：理论讲授。器材保障：电脑、投影仪。主要教学内容:一、影响网络安全的因素我们将所有影响网络正常运行的因素称之为网络安全威胁，从这个角度讲，影响网络安全的既包括环境和灾害因素，也包括人为因素和系统自身的因素。多数网络安全事件是由于人员的疏忽、黑客的主动攻击造成的，此即为人为因素，包括：（1）有意：人为主动的恶意攻击、违纪、违法和犯罪等。（2）无意：工作疏忽造成失误（配置不当等），对网络系统造成不良影响。系统自身因素是指网络中的计算机系统或网络设备因为自身的原因引发的网络安全风险，主要包括：（1）计算机系统硬件系统的故障。（2）各类计算机软件故障或安全缺陷，包括系统软件（如操作系统）、支撑软件（各种中间件、数据库管理系统等）和应用软件的故障或缺陷。（3）网络和通信协议自身的缺陷。二、计算机网络概述（一）网络结构和组成计算机网络由若干结点(node)和连接这些结点的链路(link)组成。网络中的结点主要包括两类：端系统和中间结点。端系统(endsystem)通常是指网络边缘的结点，它不再仅仅是功能强大的计算机，还包括其他非传统计算机的数字设备，如智能手机、电视、汽车、家用电器、摄像机、传感设备等。可以将这些连接在网络上的计算机和非计算机设备统称为主机(host)。中间结点，主要包括集线器、交换机、路由器、自治系统、虚拟结点和代理等网络设备或组织。链路则可以分为源主机到目的主机间的端到端路径(path)和两个结点之间的跳(hop)。网络和网络通过互联设备（路由器,router）互连起来，可以构成一个覆盖范围更大的网络，即互联网(internet或internetwork)，或称为网络的网络(networkofnetworks)，泛指由多个计算机网络互连而成的网络，这些网络之间的通信协议可以是任意的。因特网(Internet)是全球最大的、开放的互联网，它采用TCP/IP协议族作为通信的规则，且其前身是美国的ARPANET。网络体系结构计算机网络之所以能够做到有条不紊地交换数据，是因为网络中的各方都遵守一些事先约定好的规则。这些规则明确规定了所交换的数据的格式以及有关的同步问题。这些为进行网络中的数据交换而建立的规则、标准或约定即称为网络协议。在计算机网络中，将计算机网络的各层及其协议的集合，称为网络的体系结构(architecture)。比较著名的网络体系结构有：国际标准化组织(ISO)制定的开放系统互连参考模型(OSI/RM,OpenSystemInterconnection/ReferenceModel)，采用7层结构，IETF的TCP/IP体系结构等。以TCP/IP体系结构为基础的计算机网络得到广泛应用，成为事实上的网络标准。尽管OSI/RM从整体上来讲未被采用，但其制定的很多网络标准仍在今天的因特网得到了广泛应用。在体系结构的框架下，网络协议可定义为：为网络中互相通信的对等实体间进行数据交换而建立的规则、标准或约定。实体(entity)是指任何可以发送或接收信息的硬件或软件进程。在许多情况下，实体就是一个特定的软件模块。位于不同子系统的同一层次内交互的实体，就构成了对等实体(peerentity)。网络协议是计算机网络不可缺少的组成部分，它保证实体在计算机网络中有条不紊地交换数据。网络体系结构的脆弱性因特网的设计初衷是在各科研机构间共享资源，因此尽可能地开放以方便计算机间的互联和资源共享，对安全性考虑较少。导致其存在一些固有的安全缺陷，即具有一些容易被攻击者利用的特性。一般认为，因特网的以下几个特性易被攻击者利用，特别是在基于IPv4的因特网中。(1)分组交换。因特网是基于分组交换的，这使得它比采用电路交换的电信网更容易受攻击。所有用户共享所有资源，给予一个用户的服务会受到其他用户的影响。(2)认证与可追踪性。因特网没有认证机制，任何一个终端接入即可访问全网，这导致一个严重的问题就是IP欺骗：攻击者可以伪造数据包中的任何区域的内容然后发送数据包到Internet中。通过IP欺骗隐藏来源，攻击者就可以发起攻击而无须担心对由此造成的损失负责。(3)尽力而为(best-effort)的服务策略。因特网采取的是尽力而为策略，即只要是交给网络的数据，不管其是正常用户发送的正常数据，还是攻击者发送的攻击流量，网络都会尽可能地将其送到目的地。(4)匿名与隐私。网络上的身份是虚拟的，普通用户无法知道对方的真实身份，也无法拒绝来路不明的信息。(5)无尺度网络。因特网是一种无尺度网络。无尺度网络的典型特征是网络中的大部分结点只和很少结点连接，而有极少数结点与非常多的结点连接。无尺度网络对意外故障有强大的承受能力，但面对针对枢纽结点的协同性攻击时则显得脆弱。(6)互联网的级联特性。互联网是一个由路由器将众多小的网络级联而成的大网络。一个路由器消息可以逐级影响到网络中的其他路由器，形成“蝴蝶效应”。中间盒子。“中间盒子”是指部署在源与目的主机之间的数据传输路径上的、实现各种非IP转发功能的任何中介设备，例如：用于改善性能的DNS缓存（Cache）、HTTP代理／缓存、CDN等，用于协议转换的NAT(NetworkAddressTranslation)、IPv4-IPv6转换器等，用于安全防护的防火墙、入侵检测系统／入侵防御系统（IDS/IPS）等不同类型的中间盒子大量被插入互联网之中。中间盒子的出现，背离了传统互联网“核心网络功能尽量简单、无状态”的设计宗旨，从源端到目的端的数据分组的完整性无法被保证，互联网透明性逐渐丧失。典型网络协议的脆弱性（一）IP协议安全性分析IPv4协议是无状态、无认证、无加密协议，其自身有很多特性易被攻击者利用，主要包括：（1）IPv4协议没有认证机制IPv4没有对报文源进行认证，无法确保接收到的IP包是IP包头中源地址所标识的源端实体发出的。IPv4也没有对报文内容进行认证，无法确保报文在传输过程中的完整性没有受到破坏。（2）IPv4协议没有加密机制由于IPv4报文没有使用加密机制，攻击者很容易窃听到IP数据包并提取出其中的应用数据。（3）无带宽控制攻击者还可以利用IPv4协议没有带宽控制的缺陷，进行数据包风暴攻击来消耗网络带宽、系统资源，从而导致拒绝服务攻击。为了解决IPv4存在的安全问题，IETF设计了一套端到端的确保IP通信安全的机制，称为IPsec（IPSecurity）。IPsec最开始是为IPv6制定的标准，考虑到IPv4的应用仍然很广泛，所以在IPsec标准制定过程中也增加了对IPv4的支持。与IPv4相比，IPv6通过IPsec协议来保证IP层的传输安全，提高了网络传输的保密性、完整性、可控性和抗否认性。尽管如此，IPv6也不可能彻底解决所有的网络安全问题，同时新增机制还会产生新的安全问题。（二）ICMP协议安全性分析为了提高IP数据报交付成功的机会，在网际层使用了ICMP协议。ICMP允许主机或路由器报告差错情况、提供有关异常情况的报告。ICMP报文作为IP层数据报的数据，加上数据报的首部后组成数据报发送出去。ICMPv4报文的前4个字节是统一的格式，共有三个字段：即类型、代码、检验和。接着的4个字节的内容与ICMPv4的类型有关。再后面是数据字段，其长度和格式取决于ICMPv4的类型。常用的差错报文有：目的站不可达（类型3）、时间超过（类型11）、改路由（或路由重定向，类5）。常用的询问报文有：回送(Echo)请求或回答（类型8或0）、时间戳(Timestamp)请求或回答（类型13或14）等。不管ICMPv4还是ICMPv6，ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机，因而被广泛应用。（1）利用“目的不可达”报文对攻击目标发起拒绝服务攻击。（2）利用“改变路由”报文破坏路由表，导致网络瘫痪。（3）木马利用ICMP协议报文进行隐蔽通信。（4）利用“回送(Echo)请求或回答”报文进行网络扫描或拒绝服务攻击。（三）ARP协议安全性分析ARP用于将计算机的网络地址（32位IP地址）转化为物理地址（48位MAC地址）。在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址（硬件地址）来确定网络接口的，而不是根据32位的IP地址。每台主机均有一个ARP高速缓存（ARPCache）。通常情况下，一台主机的网络驱动程序要发送上层交来的数据时，会查看其ARP缓存中的IP地址和MAC地址的映射表。如果表中已有目的IP地址对应的MAC地址，则获取MAC地址，构建网络包发送，否则就发送ARP请求，等待拥有该IP的主机给出响应。发出请求的主机在收到响应后，更新其ARP缓存。ARP协议对收到的ARP响应不作任何验证就更新其ARP缓存，即允许未经请求的ARP广播或单播对缓存中的IP-MAC对应表表项进行删除、添加或修改。这一严重的安全缺陷，经常被攻击者用来进行各种网络攻击，例如：（1）网络监听。攻击者可以伪造ARP响应，从本地或远程发送给主机，修改ARP缓存，从而重定向IP数据流到攻击者主机，达到窃听、假冒或拒绝服务的目的。（2）阻止目标的数据包通过网关。攻击者可以利用ARP欺骗，导致计算机向外发送的数据包将总被发送到错误的网关MAC地址上，计算机不能够与外网通信。（四）RIP协议安全性分析RIP协议要求网络中的每一个路由器都要维护从它自己到其他每一个目的网络的距离记录（因此，这是一组距离，即“距离向量”）。RIP协议将“距离”定义如下：从一个路由器到直接连接的网络的距离定义为1。从一个路由器到非直接连接的网络的距离定义为所经过的路由器数加1。“加1”是因为到达目的网络后就直接交付，而到直接连接的网络的距离已经定义为1。RIP协议的“距离”也称为“跳数”(hopcount)，因为每经过一个路由器，跳数就加1。RIP认为一个好的路由就是它通过的路由器的数目少，即“距离短”。RIP允许一条路径最多只能包含15个路由器。因此“距离”的最大值为16时即相当于不可达。RIP只适用于小型网络。如果在没有认证保护的情况下，攻击者可以轻易伪造RIP路由更新信息，并向邻居路由器发送，伪造内容为目的网络地址、子网掩码地址与下一条地址，经过若干轮的路由更新，网络通信将面临瘫痪的风险。此外，攻击者可以利用一些网络嗅探工具来获得远程网络的RIP路由表，通过欺骗工具伪造RIPv1或RIPv2报文，再利用重定向工具截取、修改和重写向外发送的报文，例如某台受攻击者控制的路由器发布通告称有到其他路由器的路由且费用最低，则发向该路由的网络报文都将被重定向到受控的路由器上。（五）OSPF协议安全性分析OSPF使用分布式链路状态协议(linkstateprotocol)，路由器间信息交换的策略如下：1）向本自治系统中所有路由器发送信息。这里使用的方法是洪泛法(flooding)，这就是路由器通过所有输出端口向它所有相邻的路由器发送信息。应注意，RIP协议是仅仅向自己相邻的几个路由器发送信息。2）发送的信息就是与本路由器相邻的所有路由器的链路状态，但这只是路由器所知道的部分信息。所谓“链路状态”就是说明本路由器都和哪些路由器相邻，以及该链路的“度量”(metric)。OSPF将这个“度量”用来表示费用、距离、时延、带宽等等。对于RIP协议，发送的信息是：“到所有网络的距离和下一跳路由器”。3）只有当链路状态发生变化时，路由器才用洪泛法向所有路由器发送信息。而不像RIP那样，不管网络拓扑有无发生变化，路由器之间都要定期交换路由表的信息。常见的OSPF协议攻击手段包括：1）最大年龄（MaxAgeattack）攻击LSA的最大年龄（MaxAge）为1小时，攻击者发送带有最大MaxAge设置的LSA信息报文，这样，最开始的路由器通过产生刷新信息来发送这个LSA，而后就引起在age项中的突然改变值的竞争。如果攻击者持续的突然插入这类报文给整个路由器群，将会导致网络混乱和拒绝服务攻击。2）序列号加1（Sequence++）攻击当攻击者持续插入比较大的LSASequence号报文时，最开始的路由器就会产生发送自己更新的LSA序列号来超过攻击者序列号的竞争，这样就导致了网络不稳定和拒绝服务攻击。3）最大序列号攻击根据OSPF协议的规定，当发送最大序列号（0x7FFFFFFF）的网络设备再次发送报文（此时为最小序列号）前，要求其他设备也将序列号重置，OSPF停15分钟。如果攻击者插入一个最大序列号的LSA报文，将触发序列号初始化过程。在实践中，在某些情况下，拥有最大序列号的LSA并没有被清除而是在连接状态数据库中保持一小时的时间。如果攻击者不断地修改收到的LSA的序列号，就会造成网络运行的不稳定。4）重放攻击攻击者重放一个与拓扑不符的LSA，并洪泛出去，而且该LSA必须被认为比当前的新。各路由器接收到后，会触发相应的SPF计算（计算最小路径树的过程）。当源路由器收到重放的LSA时，将洪泛一个具有更高序列号的真实LSA时，各路由器收到后，更新LSA，势必又会触发SPF计算。SPF计算是一个很消耗资源的操作，频繁的SPF计算会导致路由器性能的下降。5）篡改攻击IP首部的源IP地址、目的IP地址字段分别标识OSPF分组由哪个路由器发出的、分组要发送到哪个路由器，协议号字段置为89时表明封装是OSPF分组。所有这些字段如果被修改，都会导致OSPF路由陷入混乱。（六）BGP协议安全性分析BGP协议是一种应用于AS之间的边界路由协议，而且运行边界网关协议的路由器一般都是网络上的骨干路由器。运行BGP协议的路由器相互之间需要建立TCP连接以交换路由信息，这种连接称为BGP会话(Session)。每一个会话包含了两个端点路由器，这两个端点路由器称为相邻体(Neighbor)或是对等体(Peer)。BGP一般是在两个自治系统的边界路由器之间建立对等关系，也可以在同一个自治系统内的两个边界路由器之间建立对等关系。BGP协议最主要的安全问题在于缺乏一个安全可信的路由认证机制，即BGP无法对所传播的路由信息的安全性进行验证。每个自治系统向外通告自己所拥有的CIDR（ClasslessInter-DomainRouting）地址块，并且协议无条件信任对等系统的路由通告，这将就导致一个自治系统向外通告不属于自己的前缀时，也会被BGP用户认为合法，从而接受和传播，导致路由攻击的发生。由于BGP协议使用TCP作为其传输协议，因此同样会面临很多因为使用TCP而导致的安全问题，如SYNFlood攻击、序列号预测等。BGP没有使用自身的序列号而依靠TCP的序列号，因此，如果设备采用了可预测序列号的方案，就面临着这种类型的攻击。“数字大炮”攻击利用BGP路由器正常工作过程中路由表更新机制，通过在网络上制造某些通信链路的时断时续的震荡效应，导致网络中路由器频繁地更新路由表，最终当网络上震荡路径数量足够多、震荡的频率足够高时，网络上所有路由器都处于瘫痪状态。对于数字大炮，现有的BGP内置故障保护措施几乎无能为力。一种解决办法是通过一个独立网络来发送BGP更新，但这不太现实，因为这必然涉及建立一个影子互联网。另一种方法是改变BGP系统，让其假定连接永不断开，但根据研究者的模型，此方法必须让互联网中至少10%的自治系统做出这种改变，并且要求网络运营者寻找其他办法监控连接的健康状况，但是要说服足够多的独立运营商做出这一改变非常困难。（七）UDP协议安全性分析UDP协议提供的是不可靠数据传输服务，但由于其简单高效，因此有很多应用层协议利用UDP作为传输协议，如域名解析协议（DNS）、简单网络管理协议（SNMP）、网络文件系统（NFS）、动态主机配置协议（DHCP）和路由信息协议（RIP）。如果某一应用层协议需要可靠传输，则可根据需要在UDP基础上加入一些可靠机制，如重传、超时、序号等，或直接利用TCP协议。UDP协议可以用来发起风暴型拒绝服务攻击，也可以进行网络扫描。（八）TCP协议安全性分析TCP协议被攻击者广泛利用。1）由于一台主机或服务器所允许建立的TCP连接数是有限的，因此，攻击者常常用TCP全连接（完成三次握手过程）或半连接（只完成二次握手过程）来对目标发起拒绝服务攻击。2）序号预测。TCP报文段的初始序号（ISN）在TCP连接建立时产生，攻击者向目标主机发送连接请求可得到上次的序号，再通过多次测量来回传输路径得到进攻主机到目标主机间数据包传送的来回时间（RTT）。已知上次连接的序号和RTT，就能预测下次连接的序号。若攻击者推测出正确的序号就能伪造有害数据包并使目标主机接受，实TCP连接劫持攻击。3）网络扫描。攻击者可以利用TCP连接请求来进行端口扫描，从而获得目标主机上的网络服务状态，进一步发起有针对性的攻击。（九）DNS协议安全性分析DNS协议缺乏必要的认证机制，客户无法确认接收到的信息的真实性和权威性，基于名字的认证过程并不能起到真正的识别作用，而且接收到的应答报文中往往含有额外的附加信息，其正确性也无法判断。此外，DNS的绝大部分通信使用UDP，数据报文容易丢失，也易于受到劫持和欺骗。DNS协议脆弱性面临的威胁主要是域名欺骗和网络通信攻击。域名欺骗是指域名系统（包括DNS服务器和解析器）接收或使用来自未授权主机的不正确信息。攻击者通常伪装成客户可信的DNS服务器，然后将伪造的恶意信息反馈给客户。域名欺骗主要包括事务ID欺骗(transactionIDspoofing)和缓存投毒(cachepoisoning)。针对DNS的网络通信攻击主要是分布式拒绝服务攻击（DistributedDenialofService,DDoS）攻击、恶意网址重定向和中间人(Man-In-The-Middle,MITM)攻击。同其他互联网服务一样，DNS系统容易遭受拒绝服务攻击。针对DNS的拒绝服务攻击通常有两种方式：一种是攻击DNS系统本身，包括对名字服务器和客户端进行攻击，另一种是利用DNS系统作为反射点攻击其他目标。在针对DNS系统客户端的拒绝服务攻击中，主要通过发送否定回答显示域名不存在，从而制造黑洞效应，对客户端造成事实上的拒绝服务攻击。对域名服务器的攻击则是直接以域名服务器为攻击目标。在反射式攻击中，攻击者利用域名服务器作为反射点，用DNS应答对目标进行洪泛攻击。在恶意网址重定向和中间人攻击过程中，攻击者通常伪装成客户可信任的实体对通信过程进行分析和篡改，将客户请求重定向到假冒的网站等与请求不符的目的地址，从而窃取客户的账户和密码等机密信息，进行金融欺诈和电子盗窃等网络犯罪活动。（十）HTTP协议安全性分析在安全的HTTP协议（HTTPS）出现之前，Web浏览器和服务器之间通过HTTP协议进行通信。HTTP协议传输的数据都是未加密的，也就是明文，再通过不加密的TCP协议传输，因此使用HTTP协议传输的隐私信息非常不安全，同时还存在不能有效抵御假冒服务器的问题。将HTTP和SSL/TLS协议结合起来后，既能够对网络服务器的身份进行认证，又能保护交换数据的机密性和完整性。计算机系统安全分析计算机系统的安全风险主要包括：1）计算机系统硬件系统的故障。因设计不当、器件的质量及使用寿命的限制、外界因素等导致的计算机系统硬件出现故障，进而影响到整个系统的安全。2）各类计算机软件故障或安全缺陷。由于某些特定程序缺陷存在，计算机程序在运行时刻会出现一些设计时非预期的行为，其非但不能完成预期的功能，反而会出现意料之外的执行状况。这种预期之外的程序行为轻则损害程序的预期功能，重则会导致程序崩溃，使其不能正常运行。3）配置和管理不当等人为因素导致计算机存在安全风险。计算机系统自身的脆弱和不足是造成信息系统安全问题的内部根源，攻击者正是利用系统的脆弱性使各种威胁变成现实危害。一般来说，不管是操作系统还是应用软件，在其设计、开发过程中有很多因素会导致系统、软件漏洞的出现，主要包括：1）系统基础设计错误导致漏洞。2）编码错误导致漏洞。3）安全策略实施错误导致漏洞。4）实施安全策略对象歧义导致漏洞，即实施安全策略时，处理的对象和最终操作处理的对象不一致。5）系统开发人员刻意留下的后门。这些后门一旦被攻击者获悉，将严重威胁系统的安全。除了上述设计实现过程中产生的系统安全漏洞外，不正确的安全配置也会导致安全事故，例如弱口令、开放Guest用户、安全策略配置不当等。为了降低安全漏洞