第2章协议层安全

全国高等职业教育计算机类规划教材实例与实训教程系列第2章协议层安全网络安全应用技术张蒲生主编你将学习◇TCP/IP协议的缺陷；◇协议层的安全隐患；◇利用TCP/IP缺陷的网络攻击技术。你将获取△使用网络协议分析软件snifferpro进行抓包、分析、流量监控的技能；△使用网络监视器捕获、显示、分析本地网络数据包，检测硬件和软件问题的技能。在这一章中第2章协议层安全2.1案例问题2.2技术视角2.3协议层安全的相关实验2.4超越与提高2.1案例问题案例说明思考与讨论案例说明某银行雇员张某是信息部的网络管理人员，凭借着自己掌握的网络操作技能，企图盗取公司的商业机密以谋取私利。于是他采用了ARP欺骗的中间人技术和IP欺骗的技术来分别冒充网关和获取访问重要服务器的权限盗取了商业机密。需求分析（1）防止员工窃听本不该他接收的报文；（2）防止重要的服务器被攻击至瘫痪（接收大量ping包）；（3）防止普通员工冒充管理员，以管理员的身份访问重要服务器；（4）防止域名欺骗；思考与讨论张某为什么凭借一点对网络技术就可以轻而一举盗取公司内网的机密，说明公司内部网络又很大的安全隐患？那么公司应该注意哪些安全隐患呢？2.1案例问题2.2技术视角2.3协议层安全的相关实验2.4超越与提高第2章协议层安全2.2技术视角TCP/IP协议以及工作原理网络安全防范体系层次TCP/IP协议以及工作原理TCP/IP协议概述TCP/IP的层次结构TCP/IP的工作原理TCP/IP协议TCP/IP协议叫做传输控制/网际协议，又叫网络通信协议，它是网络中使用的基本的通信协议。TCP/IP是指Internet协议族，而不单单是指TCP和IP协议，包括远程登录协议，文件传输和电子邮件协议等TCP/IP协议的四层结构TCP/IP的工作原理(1)使用TCP协议传送文件（如FTP应用程序）为例说明TCP/IP的工作原理⑴在源主机上应用层将一串数据流传给传输层；⑵传输层将数据流分组加上TCP报头形成成TCP段，交给网络层；⑶网络层生成一个包，将TCP段加入其数据域，并加上源主机和目的主机的IP地址，将IP包交给数据链路层；TCP/IP的工作原理(2)⑷数据链路层在其帧的数据部分装入IP包，发往目的主机或IP路由器；⑸在目的主机，数据链路层将数据链路层帧头去掉，将IP包交给网络层；⑹网络层检查IP报头，如果报头中的校验和与计算出来的不一致，则丢弃该包；如果校验和一致，去掉IP报头，将TCP段交给传输层；TCP/IP的工作原理(3)⑺传输层检查顺序号来判断是否为正确的TCP段，然后检查TCP报头数据，若正确，则向源主机发送确认信息；若不正确或丢包，则向源主机要求重发信息；⑻在目的主机，传输层去掉TCP头，将数据流传给应用程序。网络安全防范体系层次1.物理层安全2.链路层安全3.网络层安全4.传输层安全5.应用层安全1.物理层安全物理层由传输在线缆上的电子信号组成物理层上的安全保护措施不多。1.物理层安全包括通信线路的安全，物理设备的安全，机房的安全等主要体现在通信线路的可靠性软硬件设备安全性、设备的备份，防灾害能力、防干扰能力，设备的运行环境、不间断电源保障，等等。2.链路层安全数据链路层（第二协议层）的通信连接就安全而言，是较为薄弱的环节局域网组网普遍采用的的技术是以太网,以太网的工作原理为网络窃听提供了可能。共享式以太网工作原理传统的共享式以太网中是基于广播式通信。同一网段的所有网络接口都可以访问到物理、媒体上传输的数据每一个网络接口都有一个唯一的硬件地址，即MAC地址一般正常工作的网卡只响应两种数据帧，一种是目的地址与自己硬件地址相匹配的数据帧，另一种是发向所有机器的广播数据帧网卡通常有4种接收方式⑴广播方式：接收网络中的广播信息⑵组播方式：接收组播数据⑶直接方式：只有目的网卡才能接收该数据⑷混杂模式：接收一切通过它的数据，而不管该数据是否传给它的共享式以太网网络监听交换式以太网工作原理以太网交换机的原理很简单，它检测从以太端口来的数据包的源和目的地的MAC（介质访问层）地址，然后与系统内部的动态查找表进行比较，若数据包的MAC层地址不在查找表中，则将该地址加入查找表中，并将数据包发送给相应的目的端口。交换式以太网工作原理各端口之间能有效分隔冲突域，由交换机连接的网络会将整个网络分隔成很多小的网域同时提供多个通道，比传统的共享式集线器提供更多的带宽。交换式以太网允许不同用户间进行传送，比如，一个16端口的以太网交换机允许16个站点在8条链路间通信。交换式以太网下的网络监听具备镜像功能的交换式网络不具备镜像功能的交换式网络具备镜像功能的交换式网络•端口镜像技术不具备镜像功能的交换式网络如何来检测网络监听•⑴对怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址Ping，运行监听程序的机器会有响应•⑵向网上发大量不存在物理地址的包，运行监听程序的机器性能下降•⑶使用反监听工具antisniffier进行检测防范网络监听•⑴对网络进行逻辑分段或者物理分段•⑵使用交换机•⑶使用加密技术•⑷划分VLAN网络层安全⑴网际协议（IP）：在主机和网络之间进行数据包的路由转发⑵地址解析协议（ARP）：获得同一物理网络中的硬件主机地址⑶网际控制报文协议（ICMP）:发送消息，并报告有关数据包的传送错误⑷互联组管理协议（IGMP）：IP主机向本地多路广播路由器报告主机组成员网际协议（IP）数据选项(如果有)32位目的IP地址32位源IP地址16位首部校验和8位协议8位生存时间(TTL)13位片偏移3位标志16位标识8位服务类型16位总长度(字节数)(TOS)4位首部长度4位版本151603120字节•IP欺骗技术•源路由欺骗•Smurf攻击IP欺骗技术•IP欺骗就是伪造他人的源IP地址。其实质就是让一台机器扮演另一台机器。•常见的攻击过程–让被替代的机器A休眠–发现目标机器B的序列号规律–冒充机器A向机器B发出请求，算出机器应该发来什么序列号，给出机器B想要的回应。–这样就可以利用机器B对机器A的信任关系进行攻击。IP欺骗技术•IP欺骗通常发生在需要与可信主机通信的时候。•常见的IP欺骗技术:•利用可信主机IP进行欺骗•利用已授权IP进行欺骗•IP欺骗的危害:•IP通常用于在一个已经连接的数据通道中，注入有害数据或命令。•黑客还可以改变路由表指向欺骗地址，然后黑客就可以收到所有的数据报，在转发出去。IP欺骗的防范•对于IP伪装目前还没有有效根治的防范方法，只能是尽可能的降低这种风险:–访问控制—这是最为常用的防范手段.–在入端口（路由器）过滤使用内部IP地址的数据报。–附加的认证方式，而不依赖IP层的认证:•加密认证(推荐)Smurf攻击攻击者使用ICMPECHO（ping）报文把ECHO的源地址设置为一个广播地址计算机会向广播地址回复REPLY本地网络上所有的计算机都必须处理这些广播报文。如果攻击者发送的ECHO请求报文足够多，产生的REPLY广播报文就可能把整个网络淹没。这就是所谓的smurf攻击。ARP协议•ARP（AddressResolutionProtocol）是地址解析协议，是一种将IP地址转化成物理地址MAC的协议。它靠维持在内存中保存的一张表来使IP得以在网络上被目标机器应答。ARP的包结构ARP的工作原理•本地通信（同网段主机通信）•远程通信（不同网络的主机通信）本地通信范例•两个TCP/IP主机，主机A和主机B，都位于同一个物理网络上。主机A分配的IP地址是10.0.0.99，主机B分配的IP地址是10.0.0.100。ARP为本地通讯解析MAC地址远程通信范例•主机A分配的IP地址是10.0.0.99，主机B使用的IP地址是192.168.0.99。路由器一接口与主机A在同一物理网络上，使用的IP地址是10.0.0.1。路由器另一接口与主机B在同一物理网络上，使用的IP地址是192.168.0.1。ARP为远程通信解析MAC地址传输层安全•传输层是两台计算机经过网络进行数据通信时，第一个端到端的层次，具有缓冲作用•传输层只存在于端开放系统中，是介于低3层通信子网系统和高3层之间的一层，但是很重要的一层•传输层协议为应用层提供的是进程之间的通信服务。•传输层存在两个协议，传输控制协议（TCP）和用户数据报协议（UDP）传输控制协议（TCP）•TCP三次握手•TCP连接TCP连接•TCP包头的标记区建立和中断一个基本的TCP连接。有三个标记来完成这些过程–SYN：同步序列号–FIN：发送端没有更多的数据要传输的信号–ACK：识别数据包中的确认信息建立一个TCP连接：SYN和ACK1客户端（或请求端）通过激活一个TCP包头中的SYN标计来执行一个activeopen。这个TCP包头包括：用于连接的端口号；序列号字段中的初始序列号（ISN）。这个号是随机产生的，在客户端和服务器传输数据流时用于同步。2服务器通过向客户端发送其自己的SYN而执行了一个passiveopen，包含服务器的ISN；对于客户端的一个确认（ACK）3最后，客户端返回一个ACK给服务器。现在客户端和服务器可以通过比特流来传输数据，并且连接建立。建立TCP连接TowerSystemSYN标志,ISN及目的端口号SYN标志,ISN及确认信息(ACK)确认信息(ACK)中断一个TCP连接：FIN和ACK1服务器通过激活FIN标记执行一个Activeclose（客户端经常结束应用程序，但是服务器将开始TCP连接的结束），这个行动终止了从服务器到客户机的数据流。2客户端通过发送一个ACK到服务器，执行了一个passiveclose。3客户端也发送它自己的FIN给服务器，以终止从客户端到服务器的数据流。4最后服务器发送一个ACK返回给客户端，TCP连接被终止了中断一个TCP连接TowerSystemFIN标志,停止服务器端到客户端的数据传输FIN标志,停止客户端到服务器端的数据传输确认信息(ACK)确认信息(ACK)TCP三次握手漏洞•SYNFlood攻击：利用TCP的三次握手进行攻击UDP协议•UDP主要用来支持那些需要在计算机之间传输数据的网络应用，包括网络视频会议系统在内的众多的客户/服务器模式的网络应用都需要使用UDP协议。•UDPFlood攻击UDP首部应用层安全•该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生•包括Web服务、电子邮件系统、DNS等，此外，还包括病毒对系统的威胁应用层安全服务特点•网络层和传输层的安全协议允许为主机和进程之间的数据通道增加安全属性，但却不可能区分在同一通道上传输的一个具体文件的安全性要求。•提供应用层的安全服务实际上是最灵活的处理单个文件安全性的手段。•例如一个电子邮件系统可能需要对要发出的信件的个别段落实施数据签名•2.1案例问题•2.2技术视角•2.3协议层安全的相关实验•2.4超越与提高实验1:使用Sniffer工具进行捕包分析•实验目的•通过本次实训，使学生掌握Sniffer抓包工具的基本使用方法，用Sniffer捕获的报文进行网络流量的监控、网络状况和性能的判断。•具体实验环境和步骤参看教材P45实验2:捕获FTP数据包并进行分析•实验目的–通过本实训使学生可以掌握使用Sniffer捕捉特定协议数据包的一般方法，并对数据包进行协议分析，发现有价值的信息。具体实验环境和步骤参看教材P50•2.1案例问题•2.2技术视角•2.3协议层安全的相关实验•2.4超越与提高2.4超越与提高•传输层安全协议•针对协议层缺陷的主要网络攻击传输层安全协议⒈SSL（安全套接字层协议）⒉SSH（安全外壳协议）SSL（安全套接字层协议）•SSL(SecureSocketLayer)是由Netscape设计的一种开放协议。它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。•SSL被视为因特网上Web浏览器和服务器的安全标准。•握手协议、记录协议、警告协议SSL通讯SSH（安全外壳协议）•SSH是一种在不安全网络上用于安全远程