Securities of Upper layer Protocol
电子邮件
SMTP 简单邮件传输协议
缺陷:root用户权限工作,违背了“最小信任”原则
邮局协议 POP3
离线:允许用户从服务器把有限存到本地主机,并删除服务器上的邮件
简单,perl脚本可以实现,不安全
多用途网间邮件扩充协议 MIME
对MIME存在分段攻击
邮件存在危险文件,蠕虫病毒
Internet消息访问协议 IMAP4
支持认证
- 邮件内的多个附件可以下载部分的
- 支持认证 (挑战响应
- 多个认证选项提高IMAP遭受版本反转攻击 version-rollback attack
internet电话
电话呼叫,电话会议,
H.323
ITU互联网电话协议
会话启动协议SIP session Initiation Protocol
消息传输
TFTP trivial file transfer protocol
UDP传输协议,没有认真
限制1/2目录文件传输,多为user/local/boot
路由器可用TFTP装在可执行镜像 or 配置文件
FTP
S到C之间,用FTP打开数据通道
安全性
- ATTACKER将Java程序嵌入Web页面中,有人再站点上运行这个程序则打开通往Web网站的FTP连接,发送PORT指令,采用23端口telnet到目标主机上,防火线顺从打开端口
- FTP会写路文件
- 访问依赖口令,可悲探测
- ftpd后台开始时以root用户权限运行。但不能在登陆后掩盖特权用户身份
- 匿名FTP服务,会产生盗版数据
NFS
网络文件系统 NFS
TCP/IP,提供文件共享服务
2049端口号,端口号无特权,改端口多分配给普通进程。 —— 配置UDP会话包过滤器组织进入2049端口的访问
安全性
NFS对客户机有风险。访问服务器的特权,伪造返回数据包,创建程序,等待客户机取消打开 —— 影响客户机运行代码
NFS浏览文件的时候,要在C端上种植恶意程序非常容易
服务器消息快协议 SMB
开放文件共享协议
SMB和CIFS可以给没有身份验证的用户提供信息
远程登陆
Telnet
简单终端到主机的访问,处理终端设置规定:自然模式,字符回送等。
调用login程序认证、引起会话。user提供用户名称,口令
- 本地Telnet可能会泄露秘密信息 —— 用户名,口令,记录会话
- ISP主机发现有口令嗅探器sniffer存在,捕获大部分业务流,记录telnet ftp rlogin前12字符
- telnet对花花加密,可以使用 stel,SSLtelnet,stelnet,ssh
SSH
- 身份认证
- 数据加密,所有数据进行加密处理
- 传输数据压缩处理
- 代替Telnet作为安全的全程登陆方式
- 为FTP POP提供安全隧道
SSH含两个代替程序ssh和scp,有相同的用户接口,使用了加密协议
简单网络管理
SNTP
Internet路由器管理问题 —— 控制router,网桥,其他网络单元。
与协议无关
网络时间
NTP network time protocol
调节系统时钟和外部时间源同步。NTP本身成为各种攻击目标。试图改变目标正确时间概念 —— 始终设为先前的某个值,重发认证字符串实行重发攻击
信息服务
用户查询
finger协议,查询用户细节。
- 信息可被黑客调查,发现潜在攻击目标。
- 可被黑客实行口令猜测攻击
- 最近和哪个实体相连
- 不能再防火墙上运行
数据库查询
whois
域名所有者身份和其他信息
LDAP
目录访问协议
- 相对小的信息
- 基于属性
- 读写比:合适读
- 搜寻能力:自身包含的信息
- 标准访问:目录提供标准访问信息
WWW
URL开头的名称处理internet服务,HTTP服务/FTP服务
host连接server,发送给服务器一个查询信息or信息指针,接受服务器想用。可以是一个文件,也可以是指针
- MIME编码用于返回信息,文档包含格式标签处理文档程序(危险
- server盲目接受URL
- 返回指针端口为电子邮件端口,会话是短脚本。脚本只想垃圾邮件——安全问题
- server与FTP共享目录树会有危险
- 风险愿意查询 —— 脚本文件
NNTP
会话类似SMTP,是为mail
缺点
- 消息耗费资源
- 程序安全漏洞
- if NNTP存在漏洞,消息会危险
- 防火墙结构设计假设网关遭受攻击
有点
- 知道邻居是谁,拒绝不友好的连接请求
隧道策略,但仍有风险
多播
多播是广播和单薄挂归一化。
多播数据包发送目标地址的一个子集(0台到全部主机
多播路由器之间封装完整的、正常目的地址的数据包,使用 距离矢量多博路由协议
音频视频服务
封装隐藏最终目的,防火墙保护站点出现问题。对大于3456任何一个端口发送单个UDP包就可攻击任何服务