1、n网络协议安全是网络安全的关键所在。本章在介绍TCP/IP协议体系结构的基础上,主要讨论与网络安全密切相关的一些网络协议及其安全风险,并给出提高、改进协议安全性的一些措施和方法。n3.1 计算机网络体系结构计算机网络体系结构n3.2 网络接口层的安全性网络接口层的安全性n3.3 网络层协议及安全性网络层协议及安全性n3.4 传输层协议及安全性传输层协议及安全性n3.5 应用层协议及安全性应用层协议及安全性n3.6 TCP/IP协议体系安全性能的改进协议体系安全性能的改进3.1 计算机网络体系结构3.1.1 TCP/IP协议体系的层次结构TCP/IP协议体系从上到下分别为应用层、传输层、网络层和
2、网络接口层,其中每一层都有相应的协议,如图3-1。图 3-1 TCP/IP协议体系3.1 计算机网络体系结构TCP/IP是一个允许不同软硬件结构的计算机系统进行互联通信的协议体系,它的每一层都具有不同的网络通信功能。n1.网络接口层网络接口层是TCP/IP协议体系的最低层,该层负责接收从网络层(IP层)交来的IP数据报并将IP数据报通过底层物理网络发送出去,或者从底层物理网络上接收数据帧,抽出IP数据报,交给网络层(IP层)。3.1 计算机网络体系结构计算机网络体系结构3.1.2 TCP/IP协议体系的功能n2.网络层网络层主要解决网络主机之间的互联互通问题,负责在多个网络间通过网关/路由器传
3、输数据。网络层主要有三大功能:一是处理来自传输层的数据包发送请求,将数据包装入IP数据报,填充报头,选择去往目的节点的路径;将IP数据报发往适当的网络接口。二是处理输入IP数据报,检查IP数据报的合法性并进行路由选择;三是处理ICMP报文,即处理网络的路由选择、流量控制和拥塞控制等问题。网络层的核心协议是网际协议(IP),它向传输层提供一种无连接的尽力而为的数据报传输服务。除此之外,网络层还有多个控制协议,包括网际控制报文协议(ICMP)、互联网组管理协议(IGMP)以及地址解析协议(ARP)等。3.1 计算机网络体系结构3.1.2 TCP/IP协议体系的功能n3.传输层TCP/IP协议体系的
4、传输层与ISO/OSI-RM传输层的作用一样,在源节点和目的节点的两个实体之间提供可靠的端到端的数据包传输服务。为保证数据传输的可靠性,传输层协议规定接收端须发回确认;若数据包丢失,须重新发送。另外,传输层还要解决不同应用进程的标识、多种协议的识别以及进程间的相互作用模式等问题。传输层之上的应用层不再关心数据传输问题,所以传输层常被认为是计算机网络体系结构中最重要的一层。在TCP/IP协议体系中,传输控制协议(TCP)和用户数据报协议(UDP)是两个广泛使用且互不相同的传输协议。这两个协议在不同的应用程序中分别有不同的用途。3.1 计算机网络体系结构3.1.2 TCP/IP协议体系的功能n4.
5、应用层应用层是TCP/IP协议体系中的最高层,确定进程之间通信的性质以满足用户需要,直接为用户的应用进程提供服务。网络在此层向用户提供各种应用服务,用户则调用相应的程序并通过TCP/IP 网络来访问可用的服务,与每个传输层协议交互的应用程序负责接收和发送数据。应用层包括所有的高层协议。3.2 网络接口层的安全性3.2.1 物理层安全物理层提供对物理链路的访问,以及对通过物理介质传输的数据编码和解码,没有通用的物理层协议直接提供安全服务。身份认证、授权、验证等由高层通信协议来管理。物理层安全威胁主要指由网络环境、网络设备、线路的物理特性引起的不可用而造成的网络系统不可用,如设备被盗、意外故障、设
6、备老化等。因此,对物理网络的攻击集中在物理网络部件方面,常见的攻击手段主要有窃听、回答(重放)和插入等。这些攻击仅限于能访问物理网络的攻击者,限制物理访问也就防御了网络攻击。物理层安全措施相对较少,很多物理层协议的身份认证与高层协议紧密联系在一起。例如,拨号网络通常依靠PPP或SLIP协议进行用户身份认证,而无线网络对用户的身份认证则使用Web协议和MAC地址过滤进行。3.2 网络接口层的安全性3.2 网络接口层的安全性3.2 网络接口层的安全性3.3.1 IPv4地址2.IPv4地址的两种表示方法10100110 01101111 00000001 00000110 32位二进制位二进制16
7、6.111.1.6点分十进制点分十进制3.特殊IPv4地址3.2 网络接口层的安全性3.3.2 IPv4数据报格式网络层数据包也称为数据报,是IP协议的基本数据处理单元,由报头和数据两部分组成。IP数据报头部包含一个20字节的固定长度和一个可变长度部分,后者最多可达40字节图 3-3 IPv4数据报头格式3.3 网络层协议及安全性3.3.3 IPv4协议的安全风险n1.IP地址欺骗所谓IP地址欺骗(IP Spoofing)是指攻击者向一台主机发送带有某一IP地址消息(该IP地址并非是攻击者自身的IP地址),表明该消息来自于受信主机或者具有某种特权者,以便获得对该主机或其它主机非授权访问的一种欺
8、骗技术。理论上一个IP数据报是否来自真正的源IP地址,IP协议并不作任何可靠保证。任何一台计算机都可以发出包含任意源IP地址的数据包,这意味着IP数据报中的源IP地址是不可信的。在进行IP地址欺骗攻击时,攻击者须先找到一个受信主机的IP地址,然后修改数据报的报文头部,使得该数据报好像来自于那台主机。3.3.3 IPv4协议的安全风险n2路由欺骗路由欺骗是指由攻击者通过修改路由器或主机中的路由表,来实现网络监听或者网络攻击的一种攻击方式。路由欺骗有多种方法,但多是采用伪造路由表,错误引导非本地的数据报来实现的。n(1)基于IP源路由的欺骗攻击 n(2)基于RIP的攻击n(3)基于ICMP的路由欺
9、骗攻击3.3 网络层协议及安全性3.3.4 ARP协议及其安全风险ARP作为一个用来将IP地址转换成MAC地址的协议,是建立在局域网内各主机之间相互信任基础之上的,因此,它存在着广播性、无连接性、无序性、无认证字段、无关性和无状态性等一系列的安全风险。其中,最大的安全风险是ARP的无状态性。也就是说,监听应答的进程同发送请求的进程之间没有什么关系。如果主机收到一个ARP应答包,是无法知道是否真的发送过相应的ARP请求包,因此攻击者可以伪造应答包实施欺骗。ARP协议的无状态性提供了实施ARP欺骗的可能性。3.3 网络层协议及安全性3.3.5 ICMP协议及其安全风险ICMP能由出错节点向源节点发
10、送差错报文或控制报文,源节点接收到这种报文后由ICMP确定错误类型,或确定重传出错数据报。ICMP协议的一个显著特点是无连接性,也就是说只要发送端完成报文的封装并传递给路由器,这个报文就会象邮包一样自己去寻找目的地址。任何人都可以伪造一个报文并发送出去,伪造者可以利用原始套接字(Raw Socket)直接改写ICMP报文头和IP报文头,这样伪造的报文所携带的源IP地址在目的端将无法追查。根据这个原理,出现了不少基于ICMP的攻击程序,有通过网络架构缺陷制造风暴的,也有使用非常大的报文堵塞网络的,也有利用ICMP碎片攻击消耗服务器CPU的。若用ICMP协议进行通信,也可以制作出不需要任何TCP/
11、UDP端口的木马。3.4 传输层协议及安全性3.4 传输层协议及安全性3.4.1 TCP协议1.TCP报文结构图3-7 TCP报文格式3.4 传输层协议及安全性3.4.2 UDP协议1.UDP报文格式图3-11 UDP报文格式3.4 传输层协议及安全性3.4.3 传输层协议的安全风险与网络层安全机制相比,传输层安全机制主要是提供了基于进程对进程的(而不是主机对主机的)安全服务。然而,传输层协议的安全隐患比较多,如端口扫描、会话劫持、序列号欺骗、拒绝服务(DoS)、UDP Smurf攻击等。大部分远程网络攻击都是以特定端口的特定服务为目标展开的,因此传输层的安全威胁主要来自于端口、套接字、TCP
12、/UDP报文头部信息。另外,传输层对传输的数据一般不进行加密,通常在传输层上面的应用层才提供身份认证、加密,因此,传输层协议本身对数据未提供保护,很容易造成信息泄漏。3.4 传输层协议及安全性3.4.3 传输层协议的安全风险n1.TCP协议的安全风险TCP协议在报文段中引入了URG、ACK、PSH、RST、SYN和FIN 6位控制位标志字段,正因为此导致TCP协议存在许多安全隐患。n(1)端口扫描n(2)TCP会话劫持n(3)TCP序列号猜测攻击3.4.3 传输层协议的安全风险n2.UDP协议的安全缺陷由UDP报头信息可知,欺骗UDP数据报比欺骗TCP数据报更为容易。由于UDP没有初始化连接建
13、立(也可以称为握手)机制,与UDP相关的服务面临着更大的安全威胁。基于UDP的通信很难在传输层建立起安全机制。针对UDP攻击的一个典型例证是称为Fraggle的拒绝服务攻击。在这种攻击中,涉及单播(Unicasting)、广播(Broadcasting)和多播(Multicasting)等技术。3.5 应用层协议及安全性3.5 应用层协议及安全性3.5 应用层协议及安全性3.5.2 电子邮件系统协议电子邮件(E-Mail)是指以电子形式创建、发送、接收及存储的消息或文档。它已经成为互联网上使用最广泛和最受用户欢迎的一种网络应用。电子邮件系统的安全风险 针对电子邮件系统的攻击主要有两种:一是直接对电子邮件的攻击,如窃取电子邮件密码,截获邮件内容,发送邮件炸弹。另一种是间接对电子邮件的攻击,如通过邮件传输病毒、木马。3.5 应用层协议及安全性
