Chinaunix首页 | 论坛 | 博客
  • 博客访问: 19271554
  • 博文数量: 7460
  • 博客积分: 10434
  • 博客等级: 上将
  • 技术积分: 78178
  • 用 户 组: 普通用户
  • 注册时间: 2008-03-02 22:54
文章分类

全部博文(7460)

文章存档

2011年(1)

2009年(669)

2008年(6790)

分类: 系统运维

2008-03-22 21:16:58

 TCP/IP 协议组本身存在很多安全性方面的漏洞。这些弱点正导致了攻击者的拒绝服务(DOS)、Connection Hijacking 以及其它一系列攻击行为。TCP/IP 主要存在以下几个方面的安全问题:

  TCP SYN attacks 或 SYN Flooding ― TCP 利用序列号以确保数据以正确顺序对应特定的用户。在三向握手(Three-Way Handshake)方式的连接打开阶段,序列号就 已经建立好。TCP SYN 攻击者利用大多数主机执行三次握手中存在的漏洞展开攻击行为。当主机 B 接收到来自 A 的 SYN 请求,那么它必须以“Listen Queue”跟踪那部分打开的连接,时间至少维持75秒钟,并且一台主机可以只跟踪有限数量的连接。一台非法主机通过向其它主机发送 SYN 请求,但不答复 SYN & ACK,从而形成一个小型的 Listen Queue,而另一台主机则发送返回。这样,另一台主机的 Listen Queue 迅速被排满,并且它将停止接收新连接,直到队列中打开的连接全部完成或超出时间。至少在75秒内将主机撤离网络的行为即属于拒绝服务(Denial-of-Service)攻击,而在其它攻击中也常发生这样的行为,如伪 IP。

  IP Spoofing ― 伪 IP 技术是指一种获取对计算机未经许可的访问的技术,即攻击者通过伪 IP 地址向计算机发送信息,并显示该信息来自于真实主机。IP 层假设它所接收到的任何 IP 数据包上的源地址都与实际发送数据包的系统 IP 地址(没有经过认证)相同。很多高层协议和应用程序也会作这样的假设,所以似乎每个伪造 IP 数据包源地址的人都可以获得非认证特免。伪 IP 技术包含多种类型,如 Blind 和 Non-Blind Spoofing、Man-in-the-Middle-Attack (Connection Hijacking)等。详细内容请参照“伪 IP”文档。

  Routing Attacks ― 该攻击利用路由选择信息协议(RIP:TCP/IP 网络中的基本组成)。RIP 主要用来为网络分配路由选择信息(如最短路径)并将线路传播出局域网络。与 TCP/IP 一样,RIP 没有建立认证机制,所以在无需校验的情况下就可以使用 RIP 数据包中的信息。RIP 攻击会改变数据发送目的地,而不能改变数据源位置。例如,攻击者可以伪造一个 RIP 数据包,并声称他的主机“X”具有最快网外路径。所有从网络中发送出去的数据包可以通过“X”发送,并且进行修改或检查。攻击者还可以通过 RIP 高效模仿任何主机,并导致所有将要发送到那台主机上的通信流量全部发送到了攻击者机器上。

  ICMP Attacks ― IP 层通常使用 Internet 控制信息协议(ICMP:Internet Control Message Protocol)向主机发送单行道信息,如“ping”信息。ICMP 中不提供认证,这使得攻击者有机会利用 ICMP 漏洞攻击通信网络,从而导致拒绝服务(Denial of Service)或数据包被截取等攻击。

  拒绝服中务基本上利用 ICMP Time Exceeded 或 Destination Unreachable 信息,使得主机立即放弃连接。攻击者可以伪造其中一个 ICMP 信息,然后将它发送给通信主机双方或其中一方,以取消通信双方之间的连接。另外通过 ICMP 中的 Redirect 信息(当某台主机错误地以为目的端不在局域网络中时,网关通常也会使用 Redirect 信息),攻击者可以截取网络数据包。如果攻击者伪造一个 ICMP “Redirect”信息,另一台主机在不知情的情况下继续发送数据包,建立与攻击者机器之间的连接。这种攻击类型类似于 RIP 攻击,所不同的是 ICMP 信息只适用于现有连接,并且攻击者(接收重定向的主机)必须在局域网络中。

  DNS Attacks ― 域名系统 DNS 是 Internet 中适用较为普遍的一种协议,主要用于映射主机名和 IP 地址。攻击者利用 IP 地址和主机名之间的映射性质欺骗名称认证。但可以通过在第一次查询返回的主机名上执行第二次查询的方法避免这种攻击。

  The IP Address as Identifier is no Longer Unique ― 任何依靠 IP 地址维持机器时间或空间上唯一的安全模式都有其不足之处,这归因于广泛使用的网络地址转换和动态 IP 地址技术。在现今的 TCP/IP 网络中,各种网络协议应用广泛,如 PPP/SLIP 和 DHCP 协议,其中 DHCP 协议支持主机 lease 任意时间的 IP 地址。防火墙(代理 socket 服务器)以及其它网络地址转换器(Network Address Translators)是 IP 地址作为标识符的更为复杂的应用,这主要表现在当通信流量在网络内、外传输时,它们仍可以转换地址。不同的主机可能使用同样的 IP 地址,或同一台主机可能具有不同的 IP 地址。因此 IP 地址不再是用于识别主机的唯一标识。

  有很多可行工具可以帮助最小化或阻止以上出现的各种安全问题。另一方面,为增强 TCP/IP 协议安全性能,解决其存在的漏洞,人们已经作了很多努力。如 IPsec 是 TCP/IP 协议组中新增的一种安全性协议,在 IPv6 中也增添了一些安全选项和特性。
阅读(985) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~