网络安全技术02教材分析.ppt

第2章 网络安全协议基础 TCP/IP协议安全分析 2.1 TCP/IP模型 TCP/IP协议族与OSI参考模型对应关系 解剖TCP/IP模型 TCP/IP协议簇包括四个功能层：应用层、传输层、网络层及网络接口层。 1、网络接口层 网络接口层包括用于物理连接、传输的所有功能。OSI模型把这一层功能分为两层：物理层和数据链路层，TCP/IP参考模型把两层合在一起。 2、网络层（Internet层） 网络层由在两个主机之间通信所必须的协议和过程组成。这意味着数据报文必须是可路由的。 解剖TCP/IP模型 3、传输层 这一层支持的功能包括：为了在网络中传输对应用数据进行分段，执行数学检查来保证所收数据的完整性，为多个应用同时传输数据多路复用数据流(传输和接收)。这意味着该层能识别特殊应用，对乱序收到的数据进行重新排序。 4、应用层 应用层协议提供远程访问和资源共享。应用包括Telnet服务、FTP服务、SMTP服务和HTTP服务等，很多其他应用程序驻留并运行在此层，并且依赖于底层的功能。该层是最难保护的一层。 2.2 TCP协议安全 TCP协议的头结构 TCP协议工作原理 首先将字节分成段，然后对段进行编号和排序以便传输。在两个TCP主机之间交换数据之前，必须先相互建立会话。TCP会话通过三次握手的完成初始化。这个过程使序号同步，并提供在两个主机之间建立虚拟连接所需的控制信息。 TCP在建立连接的时候需要三次确认，俗称“三次握手”，在断开连接的时候需要四次确认，俗称“四次挥手”。 2.2 TCP协议安全 TCP协议的三次“握手” 这个过程在FTP的会话过程中明显的显示出来: 第一次“握手” 首先分析建立“握手”第一个过程包的结构: 第二次“握手” SYN为1，开始建立请求连接，需要对方计算机确认，对方计算机确认返回的数据包。 第三次“握手” 对方计算机返回的数据包中ACK为1并且SYN为1，说明同意连接。 这个时候需要源计算机的确认就可以建立连接了。确认数据包的结构: 2.2 TCP协议安全 TCP协议的四次“挥手” 2.2 TCP协议安全 TCP协议安全分析 通过TCP序列号猜测，窃取TCP连接攻击。 在Unix实现的协议族中，有一个漏洞能使窃TCP连接成为可能。 原理：当TCP连接正在建立时，服务器用一个含有初始序列号的回答包来确认用户请求。客户端收到回答后，再对其确认一次，连接就建立了。 2.2 TCP协议安全 【案例】假设一个攻击者谷窃取客户机C的端口X与服务器S的端口Y之间的TCP连接。 攻击步骤： 向C的端口X发送大量的连接请求，以至于没有别的包可以到达C的TCP协议。 创建一个到S的TCP连接，并记录从S返回的包的初始序列号N。 然后构造拥有合法TCP SYN头的IP包。包的源地址是C，源端口是X。 攻击者再将此包传送到S，S对C发回一确认包。 若C收到确认，会给S发一个包放弃这个连接。但大量的包阻塞在C的端口X，使S的回答确认不能通过。这时攻击者伪造一个来自C的对S的回答确认，这个确认包含S发出的初始序列号。 2.2 TCP协议安全 攻击成功的原因： 攻击者能够得到服务器对请求回答包的初始序列号； 攻击者发出大量包阻塞客户机的端口。 解决方法： 使初始序列号的产生具有随机性。 2.3 UDP协议安全 UDP的结构 2.3 UDP协议安全 侵袭者通过冒充内部用户的网络地址，然后再利用适当 的应用软件很容易伪造UDP包分组。 2.4 ARP协议安全 ARP欺骗 ARP欺骗攻击的原理是因为计算机中维护着一个ARP高速缓存，并且这个ARP高速缓存是随着计算机不断地发出ARP请求和收到ARP响应而不断地更新的。 『ARP协议如何找出新加入本地网络的主机的物理地址？』 2.4 ARP协议安全 【案例】 假设网络中存在A、B、C、D四台主机，利用交换机连接。现在恶意主机C试图获得A与B之间的通信，如何进行ARP欺骗攻击？ 2.5 IP协议安全 IP头的结构 2.5 IP协议安全 IP地址欺骗 直接更改本机的IP地址为别的主机的IP地址; 用假的IP地址构造IP数据包发送出去。 2.5 IP协议安全 IP分组、重组算法安全 利用典型过滤器的行为和IP分组、重组算法，通过制造一些特定的包分组来使得不合法的IP 数据报通过防火墙。 极小碎片攻击 IP碎片攻击 2.6 ICMP协议安全 2.6 ICMP协议安全 Ping命令的数据报： 2.6 ICMP协议安全 Ping隐蔽传送通道 ECHO类型的ICMP允许提供数据选项，没有设备检查填充域的内容，被攻击者利用以隐蔽方式传递数据。 滥用ICMP“目的地不可达”数据包 侵袭者不断发出“需要分段和DF设置”包扰乱网络。 滥用ICMP“