TCP/IP协议安全

网络面临的安全问题

·随着互联网的不断发展，TCP/IP协议栈成为使用最广泛的网络互联协议

· 但由于协议在设计之初对安全考虑的不够，导致协议存在着一些安全风险问题

因此，在TCP/IP协议栈中，绝大多数协议没有提供必要的安全机制，如

○ 不提供认证服务

○ 明码传输，不提供保密性服务，不提供数据保密性服务

○ 不提供数据完整性保护

○ 不提供抗抵赖服务

○ 不保证可用性

TCP/IP协议栈——IPv4安全隐患

TCP/IP协议栈常见安全风险

TCP/IP协议栈中各层都有自己的协议。因此，针对这些协议的安全威胁及攻击行为越来越频繁，TCP/IP协议栈的安全问题也越来越凸显

设备破坏

·物理设备破坏

• 指攻击者直接破坏网络的各种物理设施，比如服务器设施，或者

网络的传输通信设施等

• 设备破坏攻击的目的主要是为了中断网络服务

·设备破坏攻击防范

• 主要靠非技术方面的因素，比如建造坚固的机房，指定严格的安

全管理制度，对于需要铺设在外部环境中的通信电缆等，采用各

种加强保护措施及安全管理措施

线路侦听

·物理层网络设备

• 集线器
• 中继器

·无线网络

·对线路侦听的防范

• 对于网络中使用集线器，中继器之类的，有条件的话置换设备为交换机

等

• 对于无线网络，使用强的认证及加密机制，这样窃听者即使能获取到传

输信号，也很难把原始信息还原出来

MAC欺骗

·MAC欺骗是一种非常直观的攻击，攻击者将自己的MAC地址更改为受信任系统的地址

·对于MAC攻击的防范措施

• 在交换机.上配置静态条目，将特定的MAC地址始终与特定的端口绑定

MAC泛洪

·MAC泛洪攻击利用了:

• 交换机的MAC学习机制
• MAC表项的数目限制
• 交换机的转发机制

·MAC泛洪攻击的预防

• 配置静态MAC转发表
• 配置端口的MAC学习数目限制

ARP欺骗

·当A与B需要通讯时:

• A发送ARP Request询问B的MAC地址
• B发送ARP Reply告诉A自己的MAC地址

IP欺骗攻击(IP Spoofing)

·节点间的信任关系有时会根据IP地址来建立

·攻击者使用相同的IP地址可以模仿网络上合法主机，访问关键信息

Smurf攻击

ICMP重定向和不可达攻击

IP地址扫描攻击

·攻击者运用ICMP报文探测目标地址，或者使用TCP/UDP报文对一定地址发起连接，通过判断是否有应答报文，以确定哪些目标系统确实存活着并且连接在目标网络上

TCP欺骗

TCP拒接服务——SYN Flood攻击

·SYN报文是TCP连接的第一个报文，攻击者通过大量发送SYN报文

造成大量未完全建立的TCP连接，占用被攻击者的资源

UDP拒接服务——UDP Flood攻击

·攻击者通过向服务器发送大量的UDP报文，占用服务器的链路带宽

导致服务器负担过重而不能正常向外提供服务

端口扫描攻击防范

·Port Scan攻击通常使用一些软件，向大范围的主机的一系列TCP/UDP端口发起连接，根据应答报文判断主机是否使用这些端口提供服务

缓冲区溢出攻击

·攻击软件系统的行为中，最常见的一种方法

·可以从本地实施，也可以从远端实施

·利用软件系统(操作系统，网络服务，程序库)实现中对内存操作的缺陷，以高操作权限运行攻击代码

·漏洞与操作系统和体系结构相关，需要攻击者有较高的知识/技巧

针对WEB应用的攻击

·常见的攻击

• 对客户端的

含有恶意代码的网页，利用浏览器的漏洞，威胁本地系统

• 对Web服务器的

利用Apace/IS...的漏洞

利用CGI实现语言(PHP/ASP/e...)和实现流程的漏洞

• 通过Web服务器，入侵数据库

为了解决网络中存在的安全性问题，OSI安全体系结构提出，设计安全的信息系统的 基础架构中应该包含5种安全服务（安全功能）、能够对这5种安全服务提供支持的8类安全机制，以及需要进行的5种OSI安全管理方式

安全体系结构

安全服务与安全机制的关系

功能层和安全机制的关系

安全协议分层

信息安全技术——网络安全

·网络安全管理是信息安全管理体系的一个重要组成部分

安全设计需求与安全设备