网络安全技术(2)网络协议的安全性

in web安全 Views: 3,749 s with 2 comments

【注:“网络安全技术”这一个专题的所有内容,主要均依托于我这学期的一门专业课《网络安全技术》,因为真的非常喜欢这一门课,所以特意在博客上对其进行梳理,也可以顺便作为考前复习资料XD,所以整体文章风格更偏向 不近人情の笔记风 (..•˘_˘•..)……请见谅……】
【当然如果您发现了问题,请不吝赐教~~ (*•̀ㅂ•́)و】

计算机网络

计算机网络的概念通常可以从不同角度来理解。

从资源共享的角度来看,计算机网络是能以相互共享资源的方式互连起来的自治计算机系统的集合,有三个特性:

从技术角度来说,计算机网络 = 通信技术(实现互连互通) + 计算机技术(存储和处理信息)

分类

按传输技术分类

按网络的覆盖范围与规模分类

按通信技术分类

组成

计算机网络主要由 资源子网(负责数据处理的主计算机与终端)通信资源(负责数据通信处理的通信控制处理机与通信线路)组成。
2017-12-04_202452.png

常见拓扑结构

网络拓扑图.jpg

总线型

环状

星状

树状

网状

无线通信与卫星通信网络结构

除了以上这些的话,也有一些拓扑结构是上面几种结构的混合型,这里就按下不表了。

两种计算机网络的基础模型

因为太常见了就不详细说了,直接上图。

OSI参考模型

2017-12-04_212938.png

TCP/IP协议栈

2017-12-04_213048.png

TCP/IP协议栈各层常见的协议示意图
2017-12-04_213510.png

每个协议一般包含两个部分:

每次发送端要发送数据的时候,应用将数据交给应用层,应用层根据协议为其添加一个应用层协议头(Application Header, AH)得到应用层的数据,然后传到传输层,再在应用层数据的前面添加一个传输层协议(Transporation Header, TH)得到传输层数据报,并继续往下传递,如下图所示。
新文档 2017-12-04 (1)_1.jpg

其中AH是应用层协议头,TH是传输层协议头,IH(IP Header)是网络层协议头,在数据链路层,为其添加帧头(Frame Header, FH)和帧尾(Frame Tail, FT),封装成物理层对应的数据帧,并最终通过物理层以比特流的方式发送到网络上,在接收端收到封包后,再一层一层地把数据拆开(剥洋葱中……(´-灬-‘) ),去掉相应的协议头,并最终将数据交给相对应的应用程序进行处理。

网络协议的安全问题

互联网设计之初的使用目的是用于科学研究,其基本假设就是节点的诚实性;但由于计算机网络的广泛使用,这种假设在今天已经无法成立,因此可能导致各种各样的攻击。

这些攻击主要针对两方面的缺陷:

这里我们主要讨论利用协议设计的缺陷的攻击,也即假消息攻击。

常见的假消息攻击主要是以下几类。
2017-12-04_215546.png

下面自底向上对各种威胁进行介绍。
其中数据链路层和物理层也被合并称为网络接口层

网络接口层的威胁

最常见的网络接口层技术是以太网

集线器

物理层设备,单位为比特,直接将信息广播给所有接口,没有任何机密性可言。

交换机

根据交换机表来决定把到达的帧发送到哪个端口,通过自学习功能来建立交换机表,因为不采用广播的方式发送数据所以降低了被窃听的风险。但,如果①帧的目的MAC地址为广播地址(FF-FF-FF-FF-FF-FF)或②帧的目的MAC地址在交换机表中查不到对应的表项,就会广播该帧。

交换机毒化攻击
原因:交换表的空间是有限的,新的“MAC地址——端口”映射对的到达会替换旧的表项。
操作:

  1. 攻击者发送大量的具有不同伪造源MAC地址的帧
  2. 由于交换机的自学习功能,这些新的“MAC地址—端口”映射对会填充整个交换机表,而这些表项都是无效的
  3. 交换机完全退化为广播模式,攻击者达到窃听数据的目的。

地址解析协议(ARP)的威胁

ARP协议的作用是,将IP地址映射为MAC地址,而将MAC地址映射为IP地址的为反向地址解析协议(RARP)

ARP协议的运作主要是基于ARP表,每个在局域网上的IP节点都有ARP表,ARP表实际上就是局域网上一些节点的IP/MAC地址映射。

<IP address; MAC address; TTL>

通常来说,ARP协议的运作方式为:

  1. A想发送分组给B,A知道B的IP地址
  2. 假设B的MAC地址不在A的ARP表中, A广播包含B的IP地址的ARP查询包

    • 目的MAC地址= FF-FF-FF-FF-FF-FF
    • 在局域网上的所有机器都能收到ARP查询
  3. B收到ARP包,回给A一个带有B的MAC地址的包(包单播unicast发送给A的MAC地址)
  4. A缓存IP-to-MAC地址对在ARP表中,直到信息过期(timeout)

因为主动的应答会被视为有效信息被A主机接受,所以常见的ARP攻击过程如下:

  1. 攻击者在局域网网段发送虚假的IP/MAC对应信息,篡改网关MAC地址,使自己成为假网关
  2. 受害者将数据包发送给假网关(攻击者)
  3. 假网关(攻击者)分析接收到的数据包,把有价值的数据包记录下来(比如QQ以及邮箱登录数据包)
  4. 假网关再把数据包转发给真正的网关

发生ARP欺骗的原因:

ARP欺骗的危害:

ARP欺骗的局限性:

IP层协议的威胁——IP假冒攻击(IP Spoofing)

根据IP协议,路由器只是根据IP分组的目的IP地址来确定该IP分组从哪一个端口发送的,而不关心该IP分组的源IP
地址。基于该原理,任意节点均可以构造IP分组,即使其源IP地址并非当前结点的IP地址,该IP分组仍然能够顺利到达目的结点,即IP假冒攻击(IP Spoofing)

IP假冒攻击主要用于两类网络攻击:

防范IP假冒攻击的方法:

传输层协议的威胁

TCP

TCP协议头部格式
2017-12-22_095023.png

TCP连接的特点

TCP面临的安全威胁

下面依次对这四种安全威胁进行介绍。

SYN Flooding 攻击
2017-12-22_095725.png

特点:

防御措施:

ACK Flooding 攻击
主机接收到带有ACK状态的数据包,需要检测数据包所包含的连接四元组是否存在,如存在需要检查数据包状态数据是否合法。

序列号预测攻击
攻击者通过猜测序列号,在TCP会话中插入自己构造的数据包

LAND攻击
构造一个SYN包,其源地址和目标地址都被设置成某一个服务器地址;导致接收服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接;每一个这样的连接都将保留直到超时;

UDP

UDP协议头部格式
2017-12-22_100437.png

UDP协议特点

UDP面临的安全威胁

2017-12-22_101511.png

2017-12-22_101702.png

应用层协议的威胁

域名服务协议(DNS)

DNS:将域名和IP地址相互映射的一个分布式数据库
图片1.png

超文本传输协议(HTTP)

HTTP是一个应用层协议,设计用于分布式的、协同的和超媒体的信息系统。是一个通用的无状态协议。

HTTP协议面临的安全威胁

电子邮件协议

常见电子邮件协议:

电子邮件协议的安全

「一键投喂 软糖/蛋糕/布丁/牛奶/冰阔乐!」

薇拉航线

(๑>ڡ<)☆谢谢老板~

使用微信扫描二维码完成支付

Comments are closed.
  1. 写计算机安全课的实验报告看到这篇。。太赞了。。

    回复
    1. @pwxcoo

      嘿嘿。。。(心虚地发现自己这个系列还没更完,有点慌

      回复