网络面临的安全问题

·随着互联网的不断发展,TCP/IP协议栈成为使用最广泛的网络互联协议

· 但由于协议在设计之初对安全考虑的不够,导致协议存在着一些安全风险问题

因此,在TCP/IP协议栈中,绝大多数协议没有提供必要的安全机制,如

○ 不提供认证服务

○ 明码传输,不提供保密性服务,不提供数据保密性服务

○ 不提供数据完整性保护

○ 不提供抗抵赖服务

○ 不保证可用性

TCP/IP协议栈——IPv4安全隐患

 

TCP/IP协议栈常见安全风险

 

TCP/IP协议栈中各层都有自己的协议。因此,针对这些协议的安全威胁及攻击行为越来越频繁,TCP/IP协议栈的安全问题也越来越凸显

设备破坏

·物理设备破坏

* 指攻击者直接破坏网络的各种物理设施,比如服务器设施,或者
网络的传输通信设施等

* 设备破坏攻击的目的主要是为了中断网络服务
·设备破坏攻击防范

* 主要靠非技术方面的因素,比如建造坚固的机房,指定严格的安
全管理制度,对于需要铺设在外部环境中的通信电缆等,采用各

种加强保护措施及安全管理措施

线路侦听

·物理层网络设备

* 集线器
* 中继器
·无线网络

·对线路侦听的防范

* 对于网络中使用集线器,中继器之类的,有条件的话置换设备为交换机


* 对于无线网络,使用强的认证及加密机制,这样窃听者即使能获取到传
输信号,也很难把原始信息还原出来

MAC欺骗

·MAC欺骗是一种非常直观的攻击,攻击者将自己的MAC地址更改为受信任系统的地址

·对于MAC攻击的防范措施

* 在交换机.上配置静态条目,将特定的MAC地址始终与特定的端口绑定

 

MAC泛洪

·MAC泛洪攻击利用了:

* 交换机的MAC学习机制
* MAC表项的数目限制
* 交换机的转发机制
·MAC泛洪攻击的预防

* 配置静态MAC转发表
* 配置端口的MAC学习数目限制

 

ARP欺骗

·当A与B需要通讯时:

* A发送ARP Request询问B的MAC地址
* B发送ARP Reply告诉A自己的MAC地址

 

 

IP欺骗攻击(IP Spoofing)

·节点间的信任关系有时会根据IP地址来建立

·攻击者使用相同的IP地址可以模仿网络上合法主机,访问关键信息

 

Smurf攻击

 

ICMP重定向和不可达攻击

 

IP地址扫描攻击

·攻击者运用ICMP报文探测目标地址,或者使用TCP/UDP报文对一定地址发起连接,通过判断是否有应答报文,以确定哪些目标系统确实存活着并且连接在目标网络上

 

TCP欺骗

 

TCP拒接服务——SYN Flood攻击

·SYN报文是TCP连接的第一个报文,攻击者通过大量发送SYN报文

造成大量未完全建立的TCP连接,占用被攻击者的资源

 

UDP拒接服务——UDP Flood攻击

·攻击者通过向服务器发送大量的UDP报文,占用服务器的链路带宽

导致服务器负担过重而不能正常向外提供服务

 

端口扫描攻击防范

·Port Scan攻击通常使用一些软件,向大范围的主机的一系列TCP/UDP端口发起连接,根据应答报文判断主机是否使用这些端口提供服务

 

缓冲区溢出攻击

·攻击软件系统的行为中,最常见的一种方法

·可以从本地实施,也可以从远端实施

·利用软件系统(操作系统,网络服务,程序库)实现中对内存操作的缺陷,以高操作权限运行攻击代码

·漏洞与操作系统和体系结构相关,需要攻击者有较高的知识/技巧

 

针对WEB应用的攻击

·常见的攻击

* 对客户端的
含有恶意代码的网页,利用浏览器的漏洞,威胁本地系统

* 对Web服务器的
利用Apace/IS...的漏洞

利用CGI实现语言(PHP/ASP/e...)和实现流程的漏洞

* 通过Web服务器,入侵数据库
为了解决网络中存在的安全性问题,OSI安全体系结构提出,设计安全的信息系统的
基础架构中应该包含5种安全服务(安全功能)、能够对这5种安全服务提供支持的8类安全机制,以及需要进行的5种OSI安全管理方式

安全体系结构

 

安全服务与安全机制的关系

 

功能层和安全机制的关系

 

安全协议分层

 

信息安全技术——网络安全

 

·网络安全管理是信息安全管理体系的一个重要组成部分

安全设计需求与安全设备

 

技术
今日推荐
下载桌面版
GitHub
百度网盘(提取码:draw)
Gitee
云服务器优惠
阿里云优惠券
腾讯云优惠券
华为云优惠券
站点信息
问题反馈
邮箱:[email protected]
QQ群:766591547
关注微信