网络协议脆弱性分析
摘 要: CP/IP 协议是网络发展的一个基础,在安全性与性能上存在 部分弱点,盲目的对其应用会给网络安全带来隐患, 认识到TCP/IP 协议的脆弱性进对我们加强网络管理和采用安全技术手段具有指导性作用。
关键词:TCP/IP; 网络安全; 协议分析
IP数据链路层安全性缺陷
在TCP/IP协议栈中,数据链路层位于网络层底下,网络层的包拆封成不同的数据帧。数据链路层上的常见攻击方式是嗅探(sniff),嗅探是在共享的网络信道上,利用网络接口卡接收不属于自己的数据包。广泛应用的以太网、共享信道的媒体访问协议CSMA/CD、广播机制等构成了嗅探的物理基础。
攻击者可能从数据中分析出帐户、口令等关键数据。同时嗅探也是其他攻击(如IP欺骗、拒绝服务攻击)的基础。嗅探使用的包捕获技术依赖于具体的操作系统,其中比较流行的是UNIX平台上的BPF技术,在通常情况下,网卡驱动程序从网络上接收一个数据包,然后提交给系统协议栈。如果有BPF侦听网络,则驱动程序会先调用BPF,复制一个包给BPF的过滤器,过滤器根据用户规则决定是否接收此数据包,并判断此包是否是发给本机的。如果是,则提交给协议栈,然后返回。否则,驱动程序从中断中返回,继续接收数据包。
IP无线链路性能缺陷
无线链路的特点是易受干扰、多径衰减的影响。信道通信行为会随时间和地理位置而变化,链路层差错控制对包一级QOS的影响也会随时间变化。因此为固定网络开发的TCP无法很好地应用于移动通信和卫星等无线链路中,这是因为TCP/IP缺乏网络自适应性。
在有线网络中,流量控制和资源分配策略均基于底层的物理媒质是高度可靠的这一假定,但这对无线网不成立。在无线网上进行TCP传输TCP认为包的丢失是由拥塞引起的,而实际上包丢失可能是由于信道错误引起的包丢弃或网络延时而引发的,这将导致超时并启动拥塞控制算法,显然不必要。
同时在无线通信中还有一个问题:当主机不断移动时,它可能离开其IP地址标识的那个区域,从而无法连接到网络中。解决主机移动性问题的基本难题是主机的IP地址有双重意义,它既是对主机的惟一标识,又指示它所在位置。而移动主机的位置要经常变化,这意味着IP地址也应改变,这是TCP/IP无法解决的问题。
3.网络层与传输层性能缺陷
实现TCP的可靠传输需要三次握手,导致报文段在网络传输中遇到不利情况的概率增加:当第三次握手时,如果出现网络问题使主机A的一个报文段无法到达主机B,则主机B不会认为建立连接,而主机A认为连接已经建立,并开始发送数据,浪费了A的网络资源;同样如果一个报文段在某些结点延时过长才能到达主机B,在此之前主机B也不会认为连接建立,而主机A确会认为连接已经建立开始发送数据,从而也会浪费了A的网络资源。
所以无论是何种网络或则无论网络状况是否良好,进行三次握手都会比进行两次握手多出部分时延。
4.网络层与传输层安全性缺陷
网络安全中安全问题突出的部分,常发上在这两层上,以下为常见的安全问题与对策:
劫持(传输层)
当用户连接远程机器时,攻击者接管用户的连接,使正常连接与经过攻击者中转一样,客户和服务器都认为他们在互相通信,攻击者便能对连接交换的数据进行修改,冒充客户给服务器发送非法命令,或给用户发回虚假信息。
隧道(网络层)
几乎所有的基于TCP/IP的机器都会对ICMP echo请求进行响应。所以如果一个敌意主机同时运行很多个PING命令向一个服务器发送超过其处理能力的请求时,就可以淹没该服务器使其拒绝其它服务,而PING命令用的就是ICMP协议,ICMP的请求和应答可用来检验目的机是否可达。由于ICMP有一个可选的数据域,而很多防火墙都允许PING命令通过,这就可能形成一条秘密的信息通道,这种通道称为ICMP隧道。
欺骗(网络层)
ARP协议用来进行IP地址和网络物理地址之间的转换。主机用ARP Cache来缓存已经得到的映射关系,并在一定时间后作废Cache的内容。ARP协议的一个重要特性是信任,ARP基于一种思想,认为所有机器都相互协作,而且任何响应都是合法的。主机保存了通过ARP得到的映射,却不考虑它们的有效性,也不维护一致性。因此,当ARP表把几个IP地址映射到同一个物理地址时,不违反协议规范。这个特性对于在网络中使用代理ARP技术是很重要的。但是一台机器可冒名顶替另一台机器以截获分组。攻击者可以利用暂时没有使用主机的IP地址,伪造IP地址和物理地址之间的映射,欺骗用户向虚假的物理地址发送报文。
4.使用SYN报文段淹没服务器
使用SYN报文段淹没服务器。利用TCP建立连接3的步骤的缺点和服务器端口允许的连接数量的限制, 窃取不可达IP地址作为源地址, 使得服务器端得不到而使连接处于半开状态, 从而阻止服务器响应别的连接请求。尽管半开的连接会因过期
而关闭, 但只要攻击系统发送的spoofed SYN请求的速度比过期的快就可达到攻击的目的。
参考文献:
.北京: 电子工业出版社, 2002
上一篇:搭建安全的网络接入层
下一篇:基于网络的入侵检测系统的研究