摘要:上篇咱们介绍了 TCP/IP 协定中常见的破绽类型包含 ARP 病毒攻打、基于 RIP 的攻打、DNS 坑骗、TCP 连贯坑骗。面对 TCP/IP 协定中存在的破绽咱们要采取什么样的安全措施去预防和解决呢?
首先从架构角度来说:IPSec 与 TLS 最罕用的两种平安架构,能够利 IPSec、TLS 平安架构在不同的协定层来爱护数据传输的安全性。
一、IPSec
IPSec 是一组用来在网络层进步数据包传输平安的协定族统称,它通过在原有的 IP 报文中退出一些特定的检测头来达到平安确认的目标。
IPSec 有两种工作模式,别离是传输模式和隧道模式,前者实用于端到端(End to End),即两台主机之间的 IPSec 通信,后者实用于站点到站点(Site to Site),即两个网关之间的 IPSec 通信,IPSec 由 AH 协定、ESP 协定和一些简单的平安验证算法组成,这些根本的算法为 IPSec 中的协定服务。咱们次要介绍 AH 和 ESP 两个协定:
(1)AH 协定提供的平安服务
AH 的工作模式是在每一个数据包中的 IP 报头后增加一个 AH 头,这个 AH 头有本人独特的字段用于提供平安服务,AH 能够保证数据的完整性不被篡改,但不能避免数据被偷盗。AH 应用的 IP 协定号是 51,当 IP 报文的协定号局部为 51 时,代表 IP 头前面是一个 AH 报头。
AH 提供的平安服务次要有数据源认证,退出一个单方协商好的密文,来对对方身份以及数据的有效性进行验证;第二个是数据完整性校验,因为 AH 协定须要避免数据被非法篡改,因而该协定会通过引入一个单向 Hash 函数来创立一个散列值或者摘要信息,将该散列值与文本联合向接管方传输,同时接受方用同样的单向 Hash 函数对承受内容进行解密,验证后果是否统一,以此来爱护数据的完整性。
第三个是防报文重放攻打,所谓重放攻打就是攻击者尽管不晓得加密过的数据包外面到底是什么,然而能够通过截取这个数据包再发给接受方从而使接管方无奈判断哪个才是正确的发送者,而 AH 协定会校验序列号字段中的数值是否反复过,若反复,则间接抛弃。
(2)ESP 协定提供的平安服务
ESP 与 AH 不同的是 ESP 会先把数据段加密,而后再寄存到 IP 报文中,从而达到避免窃听的目标。ESP 除了在 IP 报头的前面会加上一个 ESP 报头以外,还会在报文最初加上一个 ESP 报尾,该报尾用来提供加密服务。这样攻击者即便获取了该数据包,在没解开 ESP 加密的状况下也无奈获知其中的信息。
ESP 提供的平安服务和 AH 有所重合,ESP 应用序列号字段来避免重放攻打,ESP 通常应用 HMAC-MD5 或 HMAC-SHA- 1 算法对加密后的载荷进行 Hash 计算来实现认证和保障数据完整性的性能。但因为 ESP 会把数据加密之后再传输,因而会提供保密性服务,在传输机密性数据的时候 ESP 有很大劣势。
此外,在 NAT 模式下,因为 AH 会对 IP 地址也做 Hash 运算,因而在地址转换之后 AH 的 Hash 值会被毁坏,而 ESP 的 IP 协定号是 50,在进行 NAT 转换时没有相应的 TCP 或 UDP 端口号的概念。为了使 ESP 可能满足 NAT 环境下的地址转换,这时就须要引进一个新的办法,即在 ESP 报文和 IP 报头之间退出一个新的 UDP 报头。
二、TLS 协定
TLS 协定工作在传输层,因为 TCP 和 UDP 都有可被利用的破绽,因而它是为了解决传输层链路平安问题而呈现的。
TLS 分为两种协定,别离是 TLS 记录协定和 TLS 握手协定。TLS 记录协定依据 TLS 握手协定协商的参数,对下层所交付的数据进行各种操作,从而使数据通过密文的模式传输,而接管方则通过解密的形式来承受数据。
通过这种形式就能够大大增强数据传输的安全性。另一种协定是 TLS 握手协定,他让客户端和服务端进行协商,确定一组用于数据传输加密的密钥串,互相认证对方,这样当攻击者没有通过密钥认证时,就无奈与另一端进行数据通信。
首先,客户端向服务端发送 ClientHello 音讯,其中含有一个客户端生成的随机数,咱们假如为 R1 和可供选择的版本号清单等信息。
第二步,依据客户端发来的 Client Hello,服务端回复 Server Hello 音讯,其中会依据客户端发来的清单数据确定两端通信将会应用的版本号,明码套件,压缩形式等等协定须要的重要信息,并产生一个服务端随机数 R2,当服务器认证时,服务器会发给客户端本人的证书。
第三步,当要求客户端认证时,客户端会先发送本人的证书,同时依据之前客户端和服务器端产生的随机数专用一种算法计算出密钥。最初互相发送了 Finished 音讯后就代表握手完结,能够开始传输数据。
同时也能够依据每种破绽不同的特点进行有针对性的进攻,然而一些进攻办法并不全面。
一、ARP 病毒攻打的常见进攻办法
目前有很多针对 ARP 病毒攻打的进攻办法,咱们来看一下常见的进攻办法。
(1)进步零碎安全性
定期更新操作系统补丁,及时降级杀毒软件病毒库,并开启杀毒软件的实时监控性能,避免零碎被非法入侵或感化 ARP 病毒,然而这种进攻办法只能避免本机感化 ARP 病毒,并不能无效进攻 ARP 坑骗。
(2)部署 ARP 防火墙
ARP 防火墙在肯定水平上能够用来帮忙缓解 ARP 攻打,帮助爱护局域网内主机平安。ARP 防火墙除了下文行将介绍的绑定 MAC 地址性能外,最次要的进攻办法就是主动防御。
主动防御是指 ARP 防火墙依照肯定频率强制对外发送正确的 ARP 数据包,这 ARP 防火墙在肯定水平上能够用来帮忙缓解 ARP 攻打,帮助爱护局域网内主机平安。ARP 防火墙除了绑定 MAC 地址性能外,最次要的进攻办法就是主动防御。
主动防御是指 ARP 防火墙依照肯定频率强制对外发送正确的 ARP 数据包,这显然会对网络造成额定的累赘。如果发送频率过高时,会在局域网内造成 ARP 风暴。而且攻击者只有进步攻击速度,使其大于 ARP 防火墙的主动防御速度,主动防御就会生效。
(3)在交换机或主机端绑定 MAC 地址
在交换机端绑定每台主机的 IP/MAC 对应关系,为每台主机增加一条动态 ARP 缓存条目。当交换机收到来自主机的数据包时,将数据包的 IP 地址和 MAC 地址与 ARP 缓存条目进行比对,如果雷同则放行数据包,否则该数据包将被抛弃。同理,在主机端也能够绑定网关的 IP/MAC 对应关系,为网关增加一条动态 ARP 缓存条目。这种进攻办法尽管能够抵挡肯定水平的 ARP 攻打,但会就义 Internet 的移动性和主动配置性,减少了网络管理员的累赘,不适用于主机变动颊繁的局域网。
二、基于 RIP 的攻打的常见预防办法
(1) 将路由器的某些接口配置为被动接口。配置为被动接后,该接口进行向该接口所在的网络播送路由更新音讯。然而,容许持续在该接口接管路由更新播送音讯。
(2) 配置 ACL 访问控制列表。只容许相应源 IP 地址的路由更新报文进入。
(3) 在 RIPV2 中应用验证机制。RIPV1 天生就有不平安因素。因为它没有应用认证机制并应用不牢靠的 UDP 协定进行传输。
RIPv2 的分组格局中蕴含了一个选项能够设置 16 个字符的明文明码字符串(示意可很容的被嗅探到) 或者 MD5 签字。尽管 RIP 信息包能够很容易的伪造,但在 RIPv2 中你应用了 MD5 签字将会使坑骗的操作难度大大提高。
(4)采纳路由器之间数据链路层 PPP 的验证。采纳 PPP 的 PAP 验证或 Chap 验证实现数据链路层的平安线路连贯。
三、DNS 坑骗常见预防办法
(1) 进行 IP 地址和 MAC 地址的绑定
① 预防 ARP 坑骗攻打。因为 DNS 攻打的坑骗行为要以 ARP 坑骗作为开始,所以如果能无效防备或防止 ARP 坑骗,也就使得 DNS 坑骗攻打无从下手。例如能够通过将 GatewayRouter 的 IpAddress 和 MACAddress 动态绑定在一起,就能够防备 ARP 攻打坑骗。
②DNS 信息绑定。DNS 坑骗攻打是利用变更或者假装 DNS Server 的 IP Address, 因而也能够应用 MACAddress 和 IP Address 动态绑定来进攻 DNS 坑骗的产生。
因为每个 Nctwork Card 的 MAC Address 具备惟一性质, 所以能够把 DNS Server 的 MAC Address 与其 IPAddress 绑定,而后此绑定信息存储在客户机网卡的 Eprom 中。当客户机每次向 DNS Server 收回查问串请后,就会检测 DNS Server 响应的应答数据包中的 MACAddress 是否与 Eprom 存储器的 MAC Address 雷同,要是不同, 则很有可能该网络中的 DNS Server 受到 DNS 坑骗攻打。
这种办法有肯定的有余, 因为如果局域网外部的客户主机也保留了 DNS Server 的 MAC Address, 依然能够用 MACAddress 进行假装坑骗攻打。
(2)应用 Digital Password 进行分别
在不同子网的文件数据传输中, 为预防窃取或篡改信息事件的产生, 能够应用工作数字签名 (TSIG) 技术即在主从 Donain Name Server 中应用雷同的 Password 和数学模型算法, 在数据通信过程中进行分别和确认。
因为有 Password 进行校验的机制, 从而使主从 Server 的身份位置极难假装, 增强了 Domain Name 信息传递的安全性。
在不同子网的文件数据传输中, 为预防窃取或篡改信息事件的产生, 能够应用工作数字签名 (TSIG) 技术即在主从 Donain Name Server 中应用雷同的 Password 和数学模型算法, 在数据通信过程中进行分别和确认。因为有 Password 进行校验的机制, 从而使主从 Server 的身份位置极难假装, 增强了 Domain Name 信息传递的安全性。
安全性和可靠性更好的 Domain Name Service 是应用域名零碎的平安协定 (Domain Name System Security,DNSSEC)), 用 Digital Signature 的形式对搜寻中的信息源进行分辨, 对 DATA 的完整性施行校验。
因为在设立 Domain 时就会产生 Password, 同时要求下层的 Domain Name 也必须进行相干的 Domain Password Signature, 显然这种办法很简单,所以 InterNIC 域名治理截至目前尚未应用。然而就技术档次上讲,DNSSEC 应该是现今最欠缺的 Domain Name 设立和解析的方法, 对防备 Domain Name 坑骗攻打等安全事件是十分无效的。
(3)间接应用 IP 地址拜访
对个别信息安全等级要求非常严格的 WEB 站点尽量不要应用 DNS 进行解析。因为 DNS 坑骗攻打中不少是针对窃取客户的私密数据面来的, 而少数用户拜访的站点并不波及这些隐衷信息, 因而当拜访具备严格窃密信息的站点时, 能够间接应用 IP 地址而无需通过 DNS 解析,这样所有的 DNS 坑骗攻打可能造成的危害就能够防止了。
除此, 应该做好 DNS Server 的平安配置我的项目和降级 DNS 软件, 正当限定 DNS Server 进行响应的 IP 地址区间, 敞开 DNS Server 的递归查问我的项目等。
(4)对 DNS 数据包进行监测
在 DNS 坑骗攻打中, Client 会接管到至多两个 DNS 的数据响应包, 一个是实在的数据包, 另一个是攻打数据包。坑骗攻打数据包为了抢在实在应答包之前回复给 Client, 它的信息数据结构与实在的数据包相比非常简略,只有应答域, 而不包含受权域和附加域。
因而, 能够通过监测 DNS 响应包, 遵循相应的准则和模型算法对这两种响应包进行分辨, 从而防止虚伪数据包的攻打。
四、TCP 连贯坑骗的常见进攻办法
(1) 利用网络拓扑构造
IP 协定自身反对包过滤,当一个数据包从广域网进入局域网时,受害者能够查问源 IP 地址字段是否属于局域网外部地址段。如果是,则抛弃这个数据包。
这种进攻办法的前提是受害者仪信赖局域网内主机。如果受害者不仅信赖局域网内主机,还通过其余协定受权。域网的主机对其进行拜访,那么就无奈利用该办法进攻来自广域网的攻击者。
(2)限度仅利用 IP 地址进行认证的协定
比方 Unix 零碎的 Rlogin 协定,它仅仅利用 IP 地址进行身份认证。只有主机的 IP 地址蕴含在信赖列表中,Rlogin 协定就容许近程登录到另一主机,而不需输出明码。这样,攻击者能够利用 Rlogin 协定轻松地登录到受害者主机。咱们能够限度这些仅利用 IP 地址进行认证的协定,或对 IP 地址进行肯定配置或验证,通过危险画像、IP 代理检测验明这些 IP 地址是否存在危险,进步这些协定的安全性。
(3)应用加密算法或认证算法
对协定进行加密或认证能够组织攻击者篡改或伪造 TCP 连贯中的数据。而就目前的加密技术或认证技术而言,单方须要共享一个密钥或者协商出一对射私密钥对。这就波及到通信单方必须采纳同种加密或认证伎俩,然而,加密算法或认证算法往往波及到简单的数学计算,很耗费系统资源,会使通信效率显著降落。