TCP/IP协议族

网络接口层:TCP/IP模型的最底层
网际层:IP协议等、ARP协议
传输层:TCP协议、UDP协议
应用层:HTTP协议、SMTP协议、POP3协议、FTP协议等

IP协议的安全问题及防护措施

网际协议(Internet Protocol, IP)是TCP/IP协议族的核心,也是网际层最重要的协议。
IP协议: IP数据报由首部和数据两部分组成;首部前一部分是固定长度20字节,是数据报必有的;首部固定部分之后,是一些可选字段,长度可变。

安全问题1:IP数据报在传递过程中易被攻击者监听、窃取。这是一种被动攻击,攻击者可截取数据报,解析数据净荷,从而获得数据内容。
防护措施1:对IP数据报进行加密。

安全问题2:由于IP层并没有采用任何机制保证数据净荷传输的正确性,攻击者可能截取数据报,修改数据报中的内容后,将修改结果发送给接收方。
防护措施2:对IP数据报净荷部分实行完整性检测机制。

安全问题3:IP层不能保证IP数据报一定是从源地址发送的。 攻击者可伪装成另一个网络主机,发送含有伪造源地址的数据包欺骗接受者。此攻击称为IP欺骗攻击。
防护措施3:通过源地址鉴别机制加以防御。

安全问题4:IP数据报在传输过程中要经历被分段和重组的过程,攻击者可以在包过滤器中注入大量病态的小数据报,来破坏包过滤器的正常工作。
防护措施4:许多***能够重组分段的IP数据报,以检查其内容。

安全问题5:使用特殊的目的地址发送IP数据报也会引入安全问题。如攻击者可使用目的地址为定向广播地址的IP数据报来攻击许多不同类型的主机。
防护措施5:配置路由器时启用禁止发送定向广播数据包的功能。

ARP协议的安全问题及防护措施

地址解析协议(Address Resolution Protocol,ARP)是根据IP地址获取物理地址的一个TCP/IP协议。
以太网发送的是48位以太地址的数据包;IP驱动程序必须将32位IP目标地址转换成48位地址;两类地址存在静态或算法上的映射;ARP用来确定两者之间的映射关系。

安全问题:攻击者发动ARP欺骗攻击,可以完全控制主机A和主机B之间的流量,发动被动攻击(流量监测、获取涉密信息)或主动攻击(伪造数据)。
防护措施:在交换机上配置IEEE 802.1x协议,攻击者连接交换机时需进行身份认证;建立静态ARP表。

ICMP协议的安全问题及防护措施

控制报文协议(Internet Control Message Protocol,ICMP)是一个重要的错误处理和信息处理协议。
它用于通知主机到达目的地的最佳路由,报告路由故障;
它是两个非常重要的监控工具一Ping和Tracert的重要组成部分;
它是一种差错和控制报文协议,不仅用于传输差错报文,还传输控制报文。

安全问题1:ICMP重定向攻击
攻击者可以利用ICMP对消息进行重定向,使得目标机器遭受连接劫持和拒绝服务等攻击。
重定向消息应该仅由产生消息的主机或路由器执行,网管员不应使用ICMP创建通往目的地的新路由。

安全问题2:ICMP路由器发现攻击
在进行路由发现时,ICMP并不对应答方进行认证,使得它可能遭受严重的中间人攻击。攻击者假冒正常的路由器,使用伪造信息应答ICMP询问。由于ICMP并不对应答方进行认证,因此接收方无法知道响应是伪造的。

安全问题3:***穿越攻击通过***穿越攻击技术(Firewalking), 攻击者能够穿越某个***的访问控制列表和规则集,进而确定该***过滤的内容和具体的过滤方式。尽管***面临启用ICMP所带来的风险,但由于主机采用Path MTU的机制,因此在***封堵所有ICMP消息并不妥当。

IGMP协议的安全问题及防护措施

组管理协议(Internet Group Management Protocol,IGMP)是TCP/IP协议族中负责IP组播成员管理的协议。
1. 主机通过IGMP通知路由器希望接收或离开某个特定组播组的信息。
2. 路由器通过IGMP周期性地查询局域网内的组播组成员是否处于活动状态,实现所连网段组成员关系的收集与维护。
  • 利用查询报文攻击
当具有较低IP地址的路由器发送伪造的查询报文,那么当前的查询方就认为,查询任务由伪造的查询方执行,当前的查询方转变为响应查询请求,并且不再发出查询报文。
  • 利用离开报文进行DoS攻击
子网内非法用户通过截获某个合法用户信息来发送伪造的IGMP离开报文,组播路由器接收报文后误以为该合法用户已经撤离该组播组,则不再向该用户发送询问请求,从而造成拒绝服务攻击。
  • 利用报告报文攻击
非法用户伪装报告报文,或截获合法用户的报告报文向组播路由器发送伪造报文,使组播路由器误以为有新用户加入,于是将组播树扩展到非法用户所在的子网。

解决方案:组播组成员的身份认证采用公钥密码技术实现

OSPF协议的安全问题及防护措施

开放最短路径优先协议(Open Shortest Path First,OSPF)是一个内部网关协议,用于在单一自治系统内决策路由。
  • OSPF协议是分布式的链路状态路由协议。
  • 在该协议中,只有当链路状态发生变化时,路由器才用洪泛法向所有路由器发送路由信息,每个路由器都有一个保存全网链路信息的链路状态数据库。

OSPF协议中规定了认证域(authentication),但其作用非常有限。
  1. 即使OSPF提供了较强的认证,但某些节点仍然使用简单的口令认证。
  2. 在路由对话中,如果有一一个合法的用户遭到破坏,那么它的消息就不再可信。
  3. 在许多路由协议中,邻近的计算机会重复旧的对话内容,导致欺骗得到传播扩散。

BGP协议的安全问题及防护措施

边界网关协议(Border Gateway Protocol,BGP)将单一管理的网络转化为由多个自治系统分散互连的网络。
安全问题:BGP缺乏一个安全可信的路由认证机制,无法对所传播的路由信息的安全性进行验证。
解决方案:
  • 路由认证类方案
MD5 BGP认证技术、S-BGP方案、soBGP方案等
  • 前缀劫持检测类方案
多源AS检测技术、主动探测技术