搜索
1第八章网络攻击和防御原理2本章内容概要一、简介网络分层结构控制报文协议(ICMP)TCP连接规程二、叙述他们的漏洞和对策三、构造安全可靠的防火墙攻防模型四、概括叙述网络防御技术的发展方向3本章目录8.1网络分层结构和安全性简介8.2基于控制报文协议的网络攻击和防御8.3基于TCP连接规程的网络攻击和防御8.4基于TCP与ICMP分组组合的网络攻击和防御8.5基于网络防御设备的攻防模型8.6网络防御技术的新进展48.1网络分层结构和安全性简介8.1.1概述8.1.2网络接入层8.1.3互联网层(IP层)8.1.4传输层8.1.5应用层8.1.6TCP/IP信息包构造58.1网络分层结构和安全性简介在简要介绍网络分层结构的基础上,评估每一层的安全漏洞和对策。68.1.1概述1.开放系统互连参考模型国际标准化组织(TheInternationalOrganizationforStandardization,ISO)创建一个七层模型,它是为网络通信创建一个标准。该模型称作开放系统互连(theOpenSystemsInterconnection,OSI)参考模型。OSI模型从一个很高的层次对网络系统进行了描述。OSI模型总共包含了七层。从最顶部的“应用层”开始,一直到最底部的“物理层”,这七个层的描述如表8-1所示,它完整阐述了最基本的网络概念。图8-1展示的正是OSI模型的样子。7图8-1OSI开放系统连接参考模型数据链路层网络层传输层会话层表示层应用层物理层数据链路层网络层传输层会话层表示层应用层物理层数据链路层网络层物理层数据链路层网络层物理层1Q2Q3Q1P2P3P1R2R3R6P7P5P4P主机网络设备网络设备主机8表8-1OSI网络模型层描述应用层为用户提供相应的界面,以便使用提供的网络服务表示层完成数据的格式化会话层控制两个主机间的通信链路(开放、运行和关闭)传输层提供数据传输服务(可靠或不可靠两种)网络层在两个主机之间提供一套定址/寻址机制,同时负责数据包的路由选择数据链路层控制两个主机间的物理通信链路,同时还要负责对数据进行整形,以便在物理媒体上传输物理层物理媒体负责以一系列电子信号的形式,传出数据9TCP/IP协议TCP/IP协议族无疑是当今流行最为广泛的网络互联协议,人们今大所熟悉的绝大多数Internet服务都是架构在该协议族之上的。TCP/IP与OSI的体系结构都是采用分层结构,结构中的下层向上层提供服务。这种分层结构具有模块划分清晰,扩展性好等优点,所以被TCP/IP和OSI所采用。虽然TCP/IP和OSI都是采用分层结构,它们之间还是存在着许多重要的区别。10TCP/IP与OSI分层架构间的对应,见下图。OSI具有完整的七层架构,而TCP/IP则只定义了3种层次的服务。TCP/IP应用服务层,对应到OSI架构中的应用层、表示层以及会话层。两者之间最大的不同点在于OSI考虑到开放式系统互联而设定了数据表示层,而TCP/IP的网络层与传输层,则分别与OSI的网络层和传输层的功能大致相同,此外,TCP/IP本身并没有提供物理层和数据链路层的服务,所以一般是架在OSI的第一、二层上运作。11TCP/IP与OSI七层体系结构的对应关系OSITCP/IP应用层应用层表示层会话层传输层传输层网络层Internet层数据链路层网络接入层物理层12TCP/IP各层协议集族应用层TelnetFTPHTTPSMTPDNS传输层TCPUDP网络层IPARPRARPICMPIGMP数据链路层逻辑链路子层介质访问子层物理层SONET/SDH/PDH13IP数据包版本头部长服务类型总长标识标志片偏移TimetoLive协议头部校验和源IP地址目的IP地址IP选项(如果有)数据…14TCP/IP信息包创建过程⑴电子邮件首先传输到mail服务器⑵mail服务器对收件人创建一个邮件会话⑶mail服务器堆栈弹出TCP页眉⑷把TCP信息包封成IP数据报⑸把IP数据报依次压入物理媒体信息包四个参数:即TCP端口号(应用层和传输层)、源IP地址、目标IP地址(互联网层)和目目标物理地址(网络接入层)。Mail服务器发送者TCP页眉堆栈Mail服务器发送者Mail服务器发送者TCP页眉堆栈IP数据报TCP页眉IP页眉TCP页眉IP页眉以太网信息包154层结构优点:路由器功能强直到网络层连接好前,路由器必须了解信息包的结构,也就是说路由器必须知道上述四个参数。路由器依靠这只四个参数干预、指行信息包从一台计算机到达处于适当位置的接收计算机。从TCP/IP信息包包装结构知道,路由器需要在不同的层次上操作,这种特性使得路由器适合用于信息包的过滤。信息包的过滤功能在防火墙和虚拟专用网络中有重要的作用。164层结构的缺陷:黑客旁路•封装的处理方法可能被TCP/IP协议栈某一层所修改。例如,黑客可以通过你公司网络中一个不用的路由器直接旁路公司的应用程序网关来发送病毒。病毒将居留在应用层的堆栈中,并且将不被路有器检测到,因为路由器只查看互联网层(IP)。黑客能够使用信息包嗅探器中途截获和读取数据报。•为了最好保护一个网络,用于TCP/IP协议栈中各层的地址应个别地安全地给出攻击服务器172.16.41.200敏感目标服务器10.45.33.10源服务器192.168.50.212RIP2路由器10.45.33.1RIP1路由器192.168.51.102从源服务器发往目标服务器的正常网络包会通过RIP1和RIP2路由器,而不会被拦截当往RIP2路由器发送了被欺骗的RIP分组之后,所有发往目标服务器的分组都会经过攻击服务器重路由,并在查看分组之后再转发到目标服务器178.1.2网络接入层TCP/IP协议栈的最底层是网络接入层(NetworkAccess因为它包括OSI模型中的第1,2层,所以又称物理/数据链路层(Physical/datalinklayers)。181.物理/数据链路层功能物理层由在光纤,同轴电缆,双绞线,调制解调器线路和红外线上传输的电信号组成。只要数据是在任何媒体上传输,物理层总是存在的。数据链路层定义来自物理层的信号如何重新集合成一个可用的格式。192.物理/数据链路层的保护为了维持这些层的安全,需要了解保护网络所用的网络技术。黑客攻击和检测一个网络的普遍的方法是在公司内部机器上安装一个信息包嗅探器或者把一个窃听装置连接到物理媒体上。使用加密技术,数据标签(datalabels)和通信量填充(trafficpadding)等方法,使得黑客很难利用从信息包嗅探器上获得的信息。203.网络接入层协议网络接入层使用的协议帮助主机-主机完成通信。大部分的安全威胁不起源于TCP/IP协议栈中的这一层;但是需要了解使用了什么协议。218.1.3互联网层(IP层)互联网层(Internetlayer,IP)是整个网络体系结构的关键部分,本节叙述互联网层的功能和弱点。221.互联网层主要功能IP层主要用于寻址主机和路由,不提供任何误差修正或流量控制的手段。为了传递IP数据报(datagrams),IP层使用最佳的服务器。由于各个分组独立地被发往目的地,它们达到时的顺序可能发生颠倒,因此应由高层对其重新排序。232.互联网层容易遭攻击的原因⑴公开的IP层体系结构⑵每一个IP数据报独立地从一个主机发往另一个主机⑶很多协议都是实时在运行⑷IP哄骗(IPspoofing)是使用假的IP地址代替源IP地址。因为TCP/IP开放的体系结构没有内置的认证,所以一个主机能够使用另一种身份哄骗。243.弱点之一:基于域名服务器的欺诈当客户PC机请求访问Microsoft的Web网站时,其浏览器于是通过查询DNS域名服务器尝试把主机名地址(如图中#1)。由于DNS服务器高速缓存已被攻击者麻醉,因而回送的是地址(如图中#2)。现在,客户PC机想与网站通信,实际是在与黑客网站通信(如图中#3)。因特网DNS服务器主机攻击者的Web服务器主机机#1#2#3254.互联网层弱点之二:Smurf攻击一个Smurf攻击是黑客发送一连串pings到众多的远程主机。所有远程计算机响应ping,对目标IP地址作回答,而不是对黑客的真实的IP地址作回答。然后目标IP地址淹没在因特网控制消息协议的信息包中,并且不能长期正确运行。Smurf攻击是拒绝服务攻击的一个例子。攻击者计算机...本地用户计算机服务提供者计算机政府部门计算机本地用户计算机科研机构计算机学校单位计算机目标计算机......黑客向远程主机发送一连串pings远程主机响应ping黑客隐瞒自己的真实地址造成目标计算机带宽耗尽,拒绝服务268.1.4传输层本节叙述传输层功能,扼要介绍传输控制协议和用户数据报协议的异同点,突出端口和套接口的概念。271.传输层主要功能•传输层(Thetransportlayer)又称主机-主机层(Host-to-HostLayer)。传输层使用两个端到端的协议:传输控制协议(Transmissioncontrolprotocol,TCP)和用户数据报协议(userdatagramprotocol,UDP),控制主机之间的信息流。TCP是负责把消息放置到自带寻址信息的数据报(datagrams)中,到达目的地后,重新集合数据报,并重发任何迷路的数据报。和TCP不同,UDP不提供把消息分划成数据报和在另一端重新集合消息的服务。明确规定,当数据到达后,UDP不规定数据报的先后顺序。•因为这两个协议都使用端口来接收和发送信息,所以端口设置是执行因特网安全措施的关键。282.传输控制协议(TCP)TCP是一个面向连接协议。为使源端主机和目的端主机上的对等实体进行会话,协议要求两主机之间完成以下操作:①进行握手处理;②每完成一次连接,需要交换信息;③连接完成后,才开始通信。因为以上操作可以确保数据无差错的传送并能进行流量控制,所以大多数因特网服务采用TCP协议,包括HTTP(theWorldWideWeb),TCPFTP,和SMTP(email)。但是握手处理给黑客提供攻击的机会。293.用户数据报协议(UDP)•UDP是一个无连接的协议,它既不能保证数据的可靠传送,又不能进行流量控制,但因其简单、高效,因此经常用于广播类型的协议和一次性请求——查询的客户/服务器模式以实现对分组丢失不敏感的实时语音﹑视频信息的传送。•因为一个主机发布一个UDP消息,并不指望有一个回音,所以在这种数据报类型中想嵌入恶意行为是困难的。另外,使用UDP攻击淹没端口是可能的。304.非连接型通信与连接型通信的差别TCP采用连接型的工作方式,UDP采用非连接型的工作方式。非连接型通信与连接型通信二者之间存在着一个重要的差别,即连接对通信要确定前后的顺序。利用这种前后顺序关系,TCP能够使各个报文之间建立一定的联系,并根据这一关系来标识各个报文的顺序。此外,如利用这种前后关系TCP就能识别重复的报文,那么还可确定某个特定报文是否丢失。TCP利用发送﹑接收序列号和校验和来保证可靠的传输数据。这种连接过程很容易被目标系统检测到,给黑客提供攻击的机会,所以完整的TCP连接过程的隐秘性不好。315.握手处理给黑客提供攻击的机会攻击者会发送一个从系统A到系统B的SYN分组,不过他会用一个不存在的系统伪装源地址。系统B于是试图发送一个TCP端口号的同步/接收确认(SYN/ACK)分组到这个欺骗性的地址。如果攻击者冒充的地址不存在。这么一来,系统B发出SYN/ACK分组后,却再也收不到相应的RST分组或ACK分组。系统B现在承担着把这个潜在连接设置完毕的义务,直到连接建立定时器发生超时而把该潜在连接冲刷出连接队列为止。一般设在75秒~23分钟之间。客户服务器(2)客户