摘要:上篇咱们介绍了TCP/IP协定中常见的破绽类型包含ARP病毒攻打、基于RIP的攻打、DNS坑骗、TCP连贯坑骗。面对TCP/IP协定中存在的破绽咱们要采取什么样的安全措施去预防和解决呢?首先从架构角度来说:IPSec与TLS最罕用的两种平安架构,能够利IPSec、TLS平安架构在不同的协定层来爱护数据传输的安全性。一、IPSecIPSec 是一组用来在网络层进步数据包传输平安的协定族统称,它通过在原有的IP报文中退出一些特定的检测头来达到平安确认的目标。IPSec有两种工作模式,别离是传输模式和隧道模式,前者实用于端到端(End to End),即两台主机之间的 IPSec 通信,后者实用于站点到站点(Site to Site),即两个网关之间的 IPSec 通信,IPSec 由 AH 协定、ESP协定和一些简单的平安验证算法组成,这些根本的算法为IPSec中的协定服务。咱们次要介绍AH和ESP两个协定:(1)AH协定提供的平安服务AH 的工作模式是在每一个数据包中的 IP 报头后增加一个 AH 头,这个 AH 头有本人独特的字段用于提供平安服务,AH 能够保证数据的完整性不被篡改,但不能避免数据被偷盗。AH 应用的 IP 协定号是 51,当IP报文的协定号局部为51 时,代表IP头前面是一个 AH 报头。AH提供的平安服务次要有数据源认证,退出一个单方协商好的密文,来对对方身份以及数据的有效性进行验证;第二个是数据完整性校验,因为AH协定须要避免数据被非法篡改,因而该协定会通过引入一个单向Hash函数来创立一个散列值或者摘要信息,将该散列值与文本联合向接管方传输,同时接受方用同样的单向Hash函数对承受内容进行解密,验证后果是否统一,以此来爱护数据的完整性。第三个是防报文重放攻打,所谓重放攻打就是攻击者尽管不晓得加密过的数据包外面到底是什么,然而能够通过截取这个数据包再发给接受方从而使接管方无奈判断哪个才是正确的发送者,而AH协定会校验序列号字段中的数值是否反复过,若反复,则间接抛弃。(2)ESP 协定提供的平安服务ESP与 AH不同的是 ESP会先把数据段加密,而后再寄存到IP报文中,从而达到避免窃听的目标。ESP 除了在 IP 报头的前面会加上一个 ESP报头以外,还会在报文最初加上一个 ESP 报尾,该报尾用来提供加密服务。这样攻击者即便获取了该数据包,在没解开 ESP 加密的状况下也无奈获知其中的信息。ESP 提供的平安服务和 AH 有所重合,ESP应用序列号字段来避免重放攻打,ESP 通常应用HMAC-MD5 或 HMAC-SHA-1算法对加密后的载荷进行 Hash 计算来实现认证和保障数据完整性的性能。但因为ESP会把数据加密之后再传输,因而会提供保密性服务,在传输机密性数据的时候 ESP 有很大劣势。此外,在 NAT 模式下,因为AH会对IP地址也做Hash运算,因而在地址转换之后 AH 的 Hash 值会被毁坏,而ESP的IP协定号是50,在进行NAT转换时没有相应的 TCP或UDP端口号的概念。为了使 ESP 可能满足 NAT环境下的地址转换,这时就须要引进一个新的办法,即在ESP报文和 IP 报头之间退出一个新的UDP报头。二、TLS协定TLS 协定工作在传输层,因为TCP和UDP都有可被利用的破绽,因而它是为了解决传输层链路平安问题而呈现的。TLS 分为两种协定,别离是 TLS 记录协定和 TLS 握手协定。TLS 记录协定依据 TLS 握手协定协商的参数,对下层所交付的数据进行各种操作,从而使数据通过密文的模式传输,而接管方则通过解密的形式来承受数据。通过这种形式就能够大大增强数据传输的安全性。另一种协定是 TLS 握手协定,他让客户端和服务端进行协商,确定一组用于数据传输加密的密钥串,互相认证对方,这样当攻击者没有通过密钥认证时,就无奈与另一端进行数据通信。首先,客户端向服务端发送 ClientHello 音讯,其中含有一个客户端生成的随机数,咱们假如为R1和可供选择的版本号清单等信息。第二步,依据客户端发来的Client Hello,服务端回复 Server Hello 音讯,其中会依据客户端发来的清单数据确定两端通信将会应用的版本号,明码套件,压缩形式等等协定须要的重要信息,并产生一个服务端随机数 R2,当服务器认证时,服务器会发给客户端本人的证书。第三步,当要求客户端认证时,客户端会先发送本人的证书,同时依据之前客户端和服务器端产生的随机数专用一种算法计算出密钥。最初互相发送了 Finished 音讯后就代表握手完结,能够开始传输数据。同时也能够依据每种破绽不同的特点进行有针对性的进攻,然而一些进攻办法并不全面。一、ARP病毒攻打的常见进攻办法目前有很多针对ARP病毒攻打的进攻办法,咱们来看一下常见的进攻办法。(1)进步零碎安全性定期更新操作系统补丁,及时降级杀毒软件病毒库,并开启杀毒软件的实时监控性能,避免零碎被非法入侵或感化ARP病毒,然而这种进攻办法只能避免本机感化ARP病毒,并不能无效进攻ARP坑骗。(2)部署ARP防火墙ARP防火墙在肯定水平上能够用来帮忙缓解ARP攻打,帮助爱护局域网内主机平安。ARP防火墙除了下文行将介绍的绑定MAC地址性能外,最次要的进攻办法就是主动防御。主动防御是指ARP防火墙依照肯定频率强制对外发送正确的ARP数据包,这ARP防火墙在肯定水平上能够用来帮忙缓解ARP攻打,帮助爱护局域网内主机平安。ARP防火墙除了绑定MAC地址性能外,最次要的进攻办法就是主动防御。主动防御是指ARP防火墙依照肯定频率强制对外发送正确的ARP数据包,这显然会对网络造成额定的累赘。如果发送频率过高时,会在局域网内造成ARP风暴。而且攻击者只有进步攻击速度,使其大于ARP防火墙的主动防御速度,主动防御就会生效。(3)在交换机或主机端绑定MAC地址在交换机端绑定每台主机的IP/MAC对应关系,为每台主机增加一条动态ARP缓存条目。当交换机收到来自主机的数据包时,将数据包的IP地址和MAC地址与ARP缓存条目进行比对,如果雷同则放行数据包,否则该数据包将被抛弃。同理,在主机端也能够绑定网关的IP/MAC对应关系,为网关增加一条动态ARP缓存条目。这种进攻办法尽管能够抵挡肯定水平的ARP攻打,但会就义 Internet的移动性和主动配置性,减少了网络管理员的累赘,不适用于主机变动颊繁的局域网。二、基于RIP的攻打的常见预防办法(1) 将路由器的某些接口配置为被动接口。配置为被动接后,该接口进行向该接口所在的网络播送路由更新音讯。然而,容许持续在该接口接管路由更新播送音讯。(2) 配置ACL访问控制列表。只容许相应源IP地址的路由更新报文进入。(3) 在RIPV2中应用验证机制。RIPV1天生就有不平安因素。因为它没有应用认证机制并应用不牢靠的UDP协定进行传输。RIPv2的分组格局中蕴含了一个选项能够设置16个字符的明文明码字符串(示意可很容的被嗅探到)或者MD5签字。尽管RIP信息包能够很容易的伪造,但在RIPv2中你应用了MD5签字将会使坑骗的操作难度大大提高。(4)采纳路由器之间数据链路层PPP的验证。采纳PPP的PAP验证或Chap验证实现数据链路层的平安线路连贯。三、DNS坑骗常见预防办法(1)进行IP地址和MAC地址的绑定① 预防ARP坑骗攻打。因为DNS攻打的坑骗行为要以ARP坑骗作为开始,所以如果能无效防备或防止ARP坑骗,也就使得DNS坑骗攻打无从下手。例如能够通过将GatewayRouter的IpAddress和MACAddress动态绑定在一起,就能够防备ARP攻打坑骗。②DNS信息绑定。DNS坑骗攻打是利用变更或者假装DNS Server的IP Address,因而也能够应用MACAddress和IP Address动态绑定来进攻DNS坑骗的产生。因为每个Nctwork Card 的MAC Address具备惟一性质,所以能够把DNS Server的 MAC Address与其IPAddress绑定,而后此绑定信息存储在客户机网卡的Eprom中。当客户机每次向DNS Server 收回查问串请后,就会检测DNS Server响应的应答数据包中的MACAddress是否与Eprom存储器的 MAC Address雷同,要是不同,则很有可能该网络中的 DNS Server受到DNS坑骗攻打。这种办法有肯定的有余,因为如果局域网外部的客户主机也保留了DNS Server 的 MAC Address,依然能够用 MACAddress进行假装坑骗攻打 。(2)应用Digital Password 进行分别在不同子网的文件数据传输中,为预防窃取或篡改信息事件的产生,能够应用工作数字签名(TSIG)技术即在主从Donain Name Server中应用雷同的Password和数学模型算法,在数据通信过程中进行分别和确认。因为有Password进行校验的机制,从而使主从 Server的身份位置极难假装,增强了Domain Name信息传递的安全性。在不同子网的文件数据传输中,为预防窃取或篡改信息事件的产生,能够应用工作数字签名(TSIG)技术即在主从Donain Name Server中应用雷同的Password和数学模型算法,在数据通信过程中进行分别和确认。因为有Password进行校验的机制,从而使主从 Server的身份位置极难假装,增强了Domain Name信息传递的安全性。安全性和可靠性更好的 Domain Name Service是应用域名零碎的平安协定(Domain Name System Security,DNSSEC)),用Digital Signature的形式对搜寻中的信息源进行分辨,对 DATA的完整性施行校验。因为在设立 Domain时就会产生Password,同时要求下层的Domain Name也必须进行相干的Domain Password Signature,显然这种办法很简单,所以InterNIC域名治理截至目前尚未应用。然而就技术档次上讲,DNSSEC应该是现今最欠缺的Domain Name设立和解析的方法,对防备Domain Name坑骗攻打等安全事件是十分无效的。(3)间接应用IP地址拜访对个别信息安全等级要求非常严格的WEB站点尽量不要应用DNS进行解析。因为DNS坑骗攻打中不少是针对窃取客户的私密数据面来的,而少数用户拜访的站点并不波及这些隐衷信息,因而当拜访具备严格窃密信息的站点时,能够间接应用IP地址而无需通过DNS解析,这样所有的DNS坑骗攻打可能造成的危害就能够防止了。除此,应该做好 DNS Server的平安配置我的项目和降级DNS软件,正当限定 DNS Server进行响应的IP地址区间,敞开DNS Server的递归查问我的项目等。(4)对DNS数据包进行监测在DNS坑骗攻打中, Client会接管到至多两个 DNS的数据响应包,一个是实在的数据包,另一个是攻打数据包。坑骗攻打数据包为了抢在实在应答包之前回复给Client,它的信息数据结构与实在的数据包相比非常简略,只有应答域,而不包含受权域和附加域。因而,能够通过监测DNS响应包,遵循相应的准则和模型算法对这两种响应包进行分辨,从而防止虚伪数据包的攻打。四、TCP连贯坑骗的常见进攻办法(1)利用网络拓扑构造IP协定自身反对包过滤,当一个数据包从广域网进入局域网时,受害者能够查问源IP地址字段是否属于局域网外部地址段。如果是,则抛弃这个数据包。这种进攻办法的前提是受害者仪信赖局域网内主机。如果受害者不仅信赖局域网内主机,还通过其余协定受权。域网的主机对其进行拜访,那么就无奈利用该办法进攻来自广域网的攻击者。(2)限度仅利用IP地址进行认证的协定比方Unix零碎的Rlogin协定,它仅仅利用IP地址进行身份认证。只有主机的IP地址蕴含在信赖列表中,Rlogin协定就容许近程登录到另一主机,而不需输出明码。这样,攻击者能够利用Rlogin协定轻松地登录到受害者主机。咱们能够限度这些仅利用IP地址进行认证的协定,或对IP地址进行肯定配置或验证,通过危险画像、IP代理检测验明这些IP地址是否存在危险,进步这些协定的安全性。(3)应用加密算法或认证算法对协定进行加密或认证能够组织攻击者篡改或伪造TCP连贯中的数据。而就目前的加密技术或认证技术而言,单方须要共享一个密钥或者协商出一对射私密钥对。这就波及到通信单方必须采纳同种加密或认证伎俩,然而,加密算法或认证算法往往波及到简单的数学计算,很耗费系统资源,会使通信效率显著降落。