第03讲 TCPIP安全分析.ppt

第3讲 TCPIP安全分析 1 低层协议安全性分析 1.1 物理层攻击举例 1.2 链路层攻击举例 1.3 IP攻击举例 1.4 低层协议弱点分析 1.5 低层安全防范 1.1 物理层攻击举例 电磁泄漏: 指电子设备的杂散（寄生）电磁能量通过导线或空间向外扩散。任何处于工作状态的电磁信息设备，如：计算机、路由器、交换机、电话机等，都存在不同程度的电磁泄漏，这是无法摆脱的电磁学现象。如果这些泄漏“夹带”着设备所处理的信息，就构成了所谓的电磁信息泄漏。 1.2 链路层攻击举例 数据窃听： 以太网中，信道是共享的，任何主机发送的每一个以太网帧都会到达别的与该主机处于同一网段的所有主机的以太网接口，一般地，CSMA/CD协议使以太网接口在检测到数据帧不属于自己时，就把它忽略，不会把它发送到上层协议（如ARP、RARP层或IP层）。如果我们对其稍做设置或修改，就可以使一个以太网接口接收不属于它的数据帧。例如大多数以太网卡的实现包括一种称为混杂模式的工作方式，一旦设定该种方式，数据链路层即能接收所有经过该节点的数据帧。 ARP欺骗 非交换环境下，内网主机都可以监听整个内网的网络数据。非交换环境没有这个问题，通过ARP欺骗可以一定程度的达到这个目的 ARP欺骗的基本原理如图所示： ARP欺骗需要攻击者迅速地诱使目标主机（）和网关（）都和它建立通信，从而使自己成为中间人MiM（Man in Middle）。要达到同时欺骗目标主机和网关的目的，攻击者应打开两个命令界面，执行两次ARP欺骗：一次诱使目标主机认为攻击者的主机有网关的MAC地址，这可以利用IP地址欺骗技术，伪造网关的IP地址从攻击者主机的一块网卡上发送给目标主机ARP请求包，则错误的MAC地址和IP地址的映射将更新到目标主机；另一次使网关相信攻击者的主机具有目标主机的MAC地址，方法和前面相似 1.3 IP攻击举例 IP利用攻击 IP欺骗：由于IP协议不对数据包中的IP地址进行认证，所以攻击者假冒他人IP地址发送数据包，或直接将自身IP修改成他人IP地址。前者可能造成网络通信异常、流量迅速增大；后者可以骗取基于IP的信任。IP欺骗的局限性：远程主机只向伪造的IP地址发送应答信号，攻击者不可能收到远程主机发出的信息，即用C主机假冒B主机IP，连接远程主机A，A主机只向B主机发送应答信号，C主机无法收到。要在攻击者和被攻击者之间建立连接，攻击者需要使用正确的TCP序列号。 泪滴(teardrop)： IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段（或者更多）数据包来实现TearDrop攻击：第一个包的偏移量为0，长度为N；第二个包的偏移量小于N，而且算上第二片IP包的数据部分，也未超过第一片的尾部。这样就出现了重叠现象（overlap）。为了合并这些数据段，有的系统（如linux 2.0内核）的TCP/IP堆栈会计算出负数值（对应取值很大的无符号数），将分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。WinNT/95在接收到10至50个teardrop分片时也会崩溃。 Jolt2： 原理是发送许多相同的分片包，且这些包的offset值与总长度之和超出了单个IP包的长度限制(65536 bytes)。例如，构造IP包：分片标志位MF=0，说明是最后一个分片，偏移量为0x1FFE，报文总长度29。于是计算重组后的长度为(0x1FFE*8) + 29 = 6554965535，溢出。可以在一死循环中连续发送此包攻击目标主机。linux在遭受攻击时每5秒便打印一条信息，windows95、98系统CPU占用便会达到100%。 路由协议利用攻击 RIP路由欺骗：路由器在收到RIP数据包时一般不作检察，即不对RIP数据包发送者进行认证。攻击者可以声称他所控制的路由器A可以最快地到达某一站点B，从而诱使发往B的数据包由A中转。由于A受攻击者控制，攻击者可侦听、篡改数据。 IP源路由欺骗：IP报文首部的可选项中有“源站选路”,可以指定到达目的站点的路由。正常情况下,目的主机如果有应答或其他信息返回源站,就可以直接将该路由反向运用作为应答的回复路径。 攻击条件：主机A(1)是主机B的被信任主机，主机X想冒充主机A从主机B（）获得某些服务。 攻击流程： 首先，攻击者修改距离X最近的路由器G2，使得到达此路由器且包含目的地址的数据包以主机X所在的网络为目的地； 然后，攻击者X利用IP欺骗（把数据包的源地址改为1）向主机B发送带有源路由选项(指定最近的路由器G2)的数据包。当B回送数据包时，按收到数据包的源路由选项反转使用源路由，就传送到被更改过的路由器G2。由于G2路由表已被修改，收到B的数据包时，G2根据路由表把数据包发送到X所在网络，X可在其局域网内较