网安笔记10 Securities of Lower-layer Protocol

Securities of Lower-layer Protocol

协议

TCP/IP

IP 网际协议

1. 源+目的地址
2. 比特位选项、头检验，数据净荷
3. IP数据包击败字节到 160000字节
4. IP级上无虚拟电路概念
5. 数据包独立
6. 不稳定保证
7. 只检验IP头，正确性不检验

安全性：无法保证数据从数据包给定源地址发出 —— 可发送伪造返回地址的数据包（IP欺骗）

大流量情况：路由器回丢包

在中间节点，数据会被拆成小鼠举报，若过滤器注入小鼠举报，对包过滤器会有损害

CIDR网络前n位：网络域，后7主机域，可定向广播攻击

ARP —— 静态、算法映射

1. 48位以太低指数举报
2. IP驱动需要将32位IP目标地址转为48位

ARP欺骗空寂：假冒的ARP查询信息，将数据流转移，伪装机器。 —— 多用硬件静态映射，禁止自动协议干扰。确保主机不进行相互ARP翻译

TCP 传输控制协议

格式

<localhost, localport, remotehost, remoteport>

• 小于1024的端口为特权端口（针对unix系统
• 确定系统规则，正确实施管理，可以相信低端口号的特权

三步握手

1. server接受syn，半开放
2. 服务器返回序号等待确认
3. 客户发送第三个数据包

TCP安全性

SYN Flood攻击

**原理：**TCP半开放状态发动攻击，使用第一个数据包对服务器完成大流量冲击，让服务器一直半开放连接状态

不进行第三步握手

**序号攻击：**预测目标主机的其实序号，让主机相信对方可信

morris的序号攻击依赖于建立一条通往目标主机的和发链接（若被阻挡则失败 —— 可延申攻击其他协议

防范

1. SYN Defender ？？
2. SYN proxy
   1. SYNPROXY是一个TCP握手代理，该代理截获TCP连接建立的请求，它可以保证只有与自己完成整个TCP握手(该握手过程非常轻量级，
   2. 采用Syncookie机制，不会涉及任何关于socket的逻辑)的连接才被认为是正常的连接，此时才会由代理真正发起与真实服务器的TCP连接
   3. 根据client的SYN计算出cookie，客户端第三次返回ACK的时候，计算cookie域返回的确认序列号对比
   4. 攻击者伪造源地址进行请求：未进行发送ACK的SYN信息会屏蔽一段时间

UDP

无纠错、重传、丢包、复制、重排机制

1. 数据接收端，分片的UDP包被重组
2. 开销小于TCP，合适 挑战、响应等类型，如NFS

安全性

1. UDP无流量控制，堵塞router或host丢失数据包
2. 无电力概念，无源地址和端口号
3. 没握手的建立过程、序列 —— 欺骗攻击

ICMP 控制消息协议

低层机制

TCP,UDP连接影响

1. 通知主机到达目的地的最佳路由
2. 路由故障
3. 报告网络故障中断的某个链接

网管员常用工具：

• ping
• tracerout (windows为tracert

安全性

主机收到的ICMP消息属于特定连接：黑客滥用ICMP中断这些连接

黑客用ICMP对消息重定向，篡改到达目的地的正确路由。

主机采用path MTU测试多大的数据包可以不分段发送。（设置不可分段比特位）

网络地址、域名管理

路由协议

1. 因特网上动态寻找恰当路径的机制
   1. 呼叫机到目标机
   2. 目标机返回
2. 非对称路由（1.2不是1.1的逆通道

TCP连接的人指定到目标主机的路由，覆盖正常路由的选择进程。而目标主机根据RFC要使用逆通道，攻击者可以控制路由，假冒主机

还可以“戏弄”路由协议，伪造的RIP数据包可以注入网络。容易改变数据流方向

防护措施

1. 拒绝接受包含该选项的数据包（对抗源路由欺骗攻击
2. RIPv2和OSPF规定了认证域
3. 防火墙功能（确保路线路由的合法性
4. ISP内部使用IS-IS代替OSPF
   1. 外部用户不可以注入家的路由
   2. 不能防止内部攻击

BGP + 安全分析

border Gateway protocol 边界网关协议， 为核心路由器提供路由表

• GRE隧道让数据流转向，窃听、解惑、一直
• 黑客劫持BGP TCP绘画（解决方法， MD5 BGP

S-BGP对某个BGP会话者提供整个path的数字签名链，

DHCP

分配IP地址，提供计算机/网络的其他信息

• 域名服务器地址
• 默认路由地址
• 默认域名
• 客户机IP地址
• 网络事件服务器地址

DHCP对IP集中化管理，简化管理任务，为计算机分配IP地址。

安全性：

1. 本地网络上使用，基于安全性考虑，处于启动状态的客户机想本地网络广播查询消息。 启动状态的主机不知道自身的IP地址，服务器响应要传送到第二层地址 —— 以太网地址。 远程攻击者不能对本地网网络访问，不能发动远程攻击

2. DHCP无认证措施 —— 中间人攻击 DOS攻击

3. 攻击者接入本地网络 —— ARP攻击

4. 假冒的DHCP服务器挤压其他服务器。相应查询，允许各种类型攻击 —— 假冒服务器模仿不同一台地址，向合法服务器发出请求，合法服务器被淹没，可用IP地址耗尽

DNS 域名系统

分布式数据库系统：域名 —— IP地址的映射

1. 前向命名，后向命名分离，导致安全问题。黑客掌握部分反向映射，实现欺骗
   1. 反向记录含有你信赖的机器的虚假名称，rlogin远程登陆
2. 攻击者发起呼叫之前，燃料目标及DNS高速缓存。目标及交叉校验的时候黑客获得访问权
3. 变种攻击：呼叫相应淹没DNS服务器

防护

• 暴露的主机不要使用名称认证
• 不要把米面信息放入主机
• 对纪录进行数字签名

ipv6

IPv6的安全性
通过IPSec保证IP安全，IPsec是IP6的组成部分，对于IP4是可选的。
但本质上6并没有比4更安全

开槽IPv6隧道 （目前很多防火墙无法实现IPv6过滤）

1. 6to4 41号端口
2. 6over4 4数据包装了6的数据流
3. Teredo 3544UDP端口，隧道穿过NAT盒
4. 电路中继 路由器的中继代理，把IPv6连接映射到4的TCP连接

网络地址转换

NAT， 解决IPv4地址空间缺乏

概念：监听使用专用地址空间的内部接口 —— 对 外出的数据包重写源地址和端口号，使用ISP位外部接口分别Internet静态IP地址， 对返回数据包操作相反
（复杂，不可靠

安全性

数据路由到特定第景台主机端口，但不能处理任意的应用协议

• 不能与加密协调工作
  • NAT无啊对加密数据检查
  • IPsec和NAT产生冲突：IPsec保护传输层协议头，NAT要重写协议头的IP地址
• NAT是某种形式的包的过滤器——缺少应用级过滤