—TCP/IP协议栈
互联网设计之初的使用目的是用于军事与科学研究,其基本假设就是节点的诚实
性;由于计算机网络的广泛使用,这种假设在今天已经无法成立,因此可能导致各种各样的攻击。
互联网安全协议概述
-
存在的问题:原始协议几乎没有安全方面的考虑。存在各种各样的攻击手段,如窃听、篡改、伪造、冒充等。
-
解决办法:现有TCP/IP协议仍在使用,彻底更换不现实也办不到。只有通过添加新的安全协议的方法进行解决。今后开发的因特网协议,应将安全问题作为重要因素加以考虑。
-
TCP/IP协议栈中安全机制的相对位置 :网络层、传输层和应用层。
互联网安全协议(1)
将安全机制放置在网络层:如IPsec协议,好处是对最终用户和应用程序透明。
互联网安全协议概述(2)
将安全机制放置在运输层:如SSL协议,好处是能够提供基于进程对进程的安全服务。
互联网安全协议概述(3)
将安全机制放置在应用层:好处是与应用有关的安全服务被嵌入到特定的应用程序中,可根据需要定制安全服务。
网络接口层的安全性
物理层安全
◼ 物理层提供对物理链路的访问,以及对通过物理介质传输的数据编码和解码。物理层没有通用的物理层协议直接提供安全服务。身份认证、授权、验证等由高层通信协议来管理。
◼ 物理层安全威胁主要指由网络环境、网络设备、线路的物理特性引起的不可用而造成的网络系统不可用,如设备被盗、意外故障、设备老化等。因此,对物理
网络的攻击集中在物理网络部件方面,常见的攻击手段主要有搭线窃听、电磁泄漏窃听等。
数据链路层安全风险
- 数据链路层提供到物理层的接口,以确保数据在两个节点之间数据链路上的安全传递。通过对一些网络攻击现象分析可知,数据链路层存在着身份认证、篡改MAC地址、网络嗅探等安全威胁。
ARP-地址解析协议
ARP协议特性中的漏洞
• 漏洞的根源就是ARP协议是无连接的, • ARP协议是建立在信任局域网内所有结点的基础上的。
• 它是无状态的协议,不会检查自己是否发过请求包,没有ARP的请求也可以ARP回复。最致命的就是操作系统收到这个请求后就会更 新ARP缓存!!
ARP欺骗
ARP欺骗问题的原因:
① ARP协议设计之初没有考虑安全问题,所以任何计算机都可以发送虚假的ARP数据包。
② ARP协议的无状态性。响应数据包和请求数据包之间没有什么关系,如果主机收到一个ARP响应却无法知道是否真的发送过对应的ARP请求。
③ ARP缓存需要定时更新,给攻击者以可趁之机
ARP网关欺骗
• 在ARP的攻击中,网关欺骗是一种比较常见的攻击方法。通过伪装的ARP Request请求报文或Reply应答报文达到修改PC机网关的MAC-IP对照表的目的。造成PC机不能访问网关,将原本应该发往网关的数据包被发往被修改对方的MAC地址。
ARP主机欺骗
ARP主机欺骗的最终目地是修改PC机或交换机设备的MAC表项。将原本正确的表项修改为错误的MAC地址。最终导致PC机不能访问网络。
MAC地址欺骗预防
-
利用绑定方式,静态ARP对照表不受外来影响
-
通过设置固定的ARP对照表,来达到预防的效果