网络面临的安全问题
·随着互联网的不断发展,TCP/IP协议栈成为使用最广泛的网络互联协议
· 但由于协议在设计之初对安全考虑的不够,导致协议存在着一些安全风险问题
因此,在TCP/IP协议栈中,绝大多数协议没有提供必要的安全机制,如
○ 不提供认证服务
○ 明码传输,不提供保密性服务,不提供数据保密性服务
○ 不提供数据完整性保护
○ 不提供抗抵赖服务
○ 不保证可用性
TCP/IP协议栈——IPv4安全隐患
TCP/IP协议栈常见安全风险
TCP/IP协议栈中各层都有自己的协议。因此,针对这些协议的安全威胁及攻击行为越来越频繁,TCP/IP协议栈的安全问题也越来越凸显
设备破坏
·物理设备破坏
* 指攻击者直接破坏网络的各种物理设施,比如服务器设施,或者
网络的传输通信设施等
* 设备破坏攻击的目的主要是为了中断网络服务
·设备破坏攻击防范
* 主要靠非技术方面的因素,比如建造坚固的机房,指定严格的安
全管理制度,对于需要铺设在外部环境中的通信电缆等,采用各
种加强保护措施及安全管理措施
线路侦听
·物理层网络设备
* 集线器
* 中继器
·无线网络
·对线路侦听的防范
* 对于网络中使用集线器,中继器之类的,有条件的话置换设备为交换机
等
* 对于无线网络,使用强的认证及加密机制,这样窃听者即使能获取到传
输信号,也很难把原始信息还原出来
MAC欺骗
·MAC欺骗是一种非常直观的攻击,攻击者将自己的MAC地址更改为受信任系统的地址
·对于MAC攻击的防范措施
* 在交换机.上配置静态条目,将特定的MAC地址始终与特定的端口绑定
MAC泛洪
·MAC泛洪攻击利用了:
* 交换机的MAC学习机制
* MAC表项的数目限制
* 交换机的转发机制
·MAC泛洪攻击的预防
* 配置静态MAC转发表
* 配置端口的MAC学习数目限制
ARP欺骗
·当A与B需要通讯时:
* A发送ARP Request询问B的MAC地址
* B发送ARP Reply告诉A自己的MAC地址
IP欺骗攻击(IP Spoofing)
·节点间的信任关系有时会根据IP地址来建立
·攻击者使用相同的IP地址可以模仿网络上合法主机,访问关键信息
Smurf攻击
ICMP重定向和不可达攻击
IP地址扫描攻击
·攻击者运用ICMP报文探测目标地址,或者使用TCP/UDP报文对一定地址发起连接,通过判断是否有应答报文,以确定哪些目标系统确实存活着并且连接在目标网络上
TCP欺骗
TCP拒接服务——SYN Flood攻击
·SYN报文是TCP连接的第一个报文,攻击者通过大量发送SYN报文
造成大量未完全建立的TCP连接,占用被攻击者的资源
UDP拒接服务——UDP Flood攻击
·攻击者通过向服务器发送大量的UDP报文,占用服务器的链路带宽
导致服务器负担过重而不能正常向外提供服务
端口扫描攻击防范
·Port Scan攻击通常使用一些软件,向大范围的主机的一系列TCP/UDP端口发起连接,根据应答报文判断主机是否使用这些端口提供服务
缓冲区溢出攻击
·攻击软件系统的行为中,最常见的一种方法
·可以从本地实施,也可以从远端实施
·利用软件系统(操作系统,网络服务,程序库)实现中对内存操作的缺陷,以高操作权限运行攻击代码
·漏洞与操作系统和体系结构相关,需要攻击者有较高的知识/技巧
针对WEB应用的攻击
·常见的攻击
* 对客户端的
含有恶意代码的网页,利用浏览器的漏洞,威胁本地系统
* 对Web服务器的
利用Apace/IS...的漏洞
利用CGI实现语言(PHP/ASP/e...)和实现流程的漏洞
* 通过Web服务器,入侵数据库
为了解决网络中存在的安全性问题,OSI安全体系结构提出,设计安全的信息系统的
基础架构中应该包含5种安全服务(安全功能)、能够对这5种安全服务提供支持的8类安全机制,以及需要进行的5种OSI安全管理方式
安全体系结构
安全服务与安全机制的关系
功能层和安全机制的关系
安全协议分层
信息安全技术——网络安全
·网络安全管理是信息安全管理体系的一个重要组成部分
安全设计需求与安全设备