平J早電大網方地 1Z1 3.源路由選擇欺騙(Source Routing
置了一個選項MP Source Rouing,該選項可以 spoofing)。TCP/IP協議中,為測試目的,IP數據包設 個選項進行欺騙,進行非 法連接。 直接指明到達節點的路由。攻擊者可以利用這 個服務器的直接路徑 徑和返回的路徑, 攻擊者可以冒充某個可信節點的IP地址,構造一個通往某
以向服務器發請求,對其進行攻擊。 利用可信用戶作為通往服務器的路由中的最后一站,就可 UDP是面向非連接的,因而沒有 在TCP/IP協議的兩個傳輸層協議TCP和UDP中由于
4由選擇信息協議攻擊(RP Aakeis RIP協議用來在周城網中發形動態路由信息, 初始化的連接建立過程,所以UDP更容易被欺騙。
它是為工在局城網中的節點提供一致路由選擇可達性假息面設計的。但是各節點對收到的 信息是不檢在它的真實性的(TCP/P協議沒有概供這個功能)因此攻擊者可以在網上發布假 器,從而達到非法存放的目的。 的路由信息利用ICMP的重定向信息欺騙路由器或主機, ,將正常的路由器定義為失效路由
5.鑒別攻tutheication Ataks) TCP/TP協議只能以IP地址進行鑒別,而不能對節 點上的用戶進行有效的身份認證,因此服務器無法鑒別登錄用戶的身份有效性。目前主要依 靠服務器軟件平臺提供的用戶控制機制,比m UNIX系統采用用戶名、口令。雖然口令是密 文存放在服務器上,但是由于口令是靜態的明文傳輸的。所以無法抵御重傳、竊聽,而且在 UNIX系統中常常將加密后的口令文件存放在一個普通用戶就可以讀的文件里,攻擊者也可 以運行已準備好的口令破譯程序來破譯口令,對系統進行攻擊。
6.TCP序列號欺騙(TCP Sequence Number Spoofing)由于TCP序列號可以預測,因此攻 擊者可以構造一個TCP包序列,對網絡中的某個可信節點進行攻擊。
7.TCP序列號轟炸攻擊(TCP SYN Flooding Attack)簡稱SYN攻擊(SYN Attack)。 TCP
是一個面向連接、可靠的傳輸層協議。通信雙方必須通過一個三方握手的方式建立一條連接。 如果主機A要建立一條和主機B的TCP連接,正常的TCP連接要使用三次握手,如圖5- 3 ①所示;首先A發送一個SYN數據包(一個具有SYN位組的TCP數據包)給主機B;主機B 回答一個SYN/ACK數據包(一個具有SYN和ACK位組的TCP數據包)給主機A,表示確認 第一個SYN數據包并繼續進行握手;最后主機A發送一個ACK數據包給主機B,完成整個三 次握手過程.這樣通信雙方正式建立一條連接。當主機B接受到一個SYN數據包時,它分配 塊內存給這個 新的連接。如果連接數沒有限制 ,那么主機B為處理TCP連接將很快用完它 的內存資源。然而對一個給定的應用服務,比如www服務并發的TCP連接請求有一個限 度,如果達到了這個限度,別的請求將會被拒絕。如果一個客戶采用地址欺騙的方式偽裝成一 個不可到達的主機時,那么正常的三次握手過程將不能完成。目標主機直得等到超時再恢 復,這是SYN攻擊的原理。如圖5 3②所示。 攻擊主機A發送一定數量的SYN請求(一般 小于10就足夠了)到主機B。攻擊者采用地址欺騙的方式把他的地址動態偽裝成主機A”的 地址(其實這個地址根本不存在),因為攻擊主機A根本不想讓任何一個主機收到這個目標 TCP連接發出的SYN/ACK數據包,這樣主機B無法釋放被占用的資源,主機B將拒絕接受 別的正常請求.攻擊成功。只有等到SYN請求超時,主機B才會恢復連接。如果主機A'可 到達,如圖5一3③所示,那么當主機A收到主機B發來的SYNVACK數據包時,它不知道它 該做什么,就發一個RST數據包給主機B.主機就復原連接,攻擊失敗。
換了,也不對其它部分的實現產 生影響。 作地東T的e能(政I06下工作。該體制應該是與算法無關的,即使加務算法勞 此外該體制必須能實行多種安全政策,但要避免給 不使用該體制的人造成不利影響。 按照這些要求 IPSEC工作組制訂了一個規范:認證頭(Au- thentication Header, AH) 之Z.AH現供包的真實性和完整性ES類供機要內容。 和封裝安 全有交
IP AH指一段消息認證代碼( 之Z.AH現供包的真實性和完整性ES類供機要內容。
已經被事先計算好。發送方用一個加密鑰算出AH,接收方用同一成另一密銷對之進行驗 (Message Authentication Code, MAC),在發送IP包之前,它 制,那它們就使用不同的密鑰。在后一種情形,AH體制能額外地提供不可否認的服務。事實 證。如果收發雙方使用的是單鑰體制,那它們就使用問一密鑰;如果收發雙方使用的是公鑰體 上,有些在傳輸中可變的城,如IPv4中的 time-to-live域或IPv6中的HopLimit域,都是在
AH的計算中必須忽略不計的。RFC 1828首次規定了加封狀態下AH的計算和驗證中要采用 案提出。 帶密鑰的MDS算法。而與此同時,MD5和加封狀態都被批評為加密強度太弱,并有替換的方
IP ESP的基本想法是整個IP包進行封裝,或者只對ESP內上層協議的數據(運輸狀態) 進行封裝,并對ESP的絕大部分數據進行加密。在管道狀態下,為當前已加密的ESP附加了 一個新的IP頭(純文本),它可以用來對IP包在Internet 上作路由選擇。接收方把這個IP頭 取掉,再對ESP進行解密,處理并取掉ESP頭對原來的IP包或更高層協議的數據就像對普通 的IP包那樣進行處理。在RFC 1827中對ESP的格式作了規定。在RFC 1829中規定了在密 碼塊鏈接(CBC)狀態下ESP加密和解密要使用數據加密標準(DES)。雖然其它算法和狀態 也是可以使用的,但一些國家對此類產品的進出口控制也是不能不考慮的因素。有些國家甚 至連私用加密都要限制。
AH與ESP體制可以合用,也可以分用。不管怎么用都逃不脫傳輸分析的攻擊。人們不 太清楚在Internet層上,是否真有經濟有效的對抗傳輸分析的手段,但是在Internet用戶里, 真正把傳輸分析當回事兒的也是寥寥無幾。
1995年8月,Internet工程領導小組(IEGS)批準了有關IPSP的RFC作為Internet 標準 系列的推薦標準。除RFC1828和RFC1829外,還有兩個實驗性的RFC文件,規定了在AH和 ESP體制中,用安全散列算法(SHA)代替MD5(RFC 1852),利用三元DES代替DES (RFC1851)。在最簡單的情況下, IPSP用手工來配置密鑰。然而,當IPSP大規模發展的時 候,就需要在Internet上建立標準化的密鑰管理協議。這個密鑰管理協議按照IPSP安全條例 的要求,指定管理密鑰的方法。
因此,IPSEC工作組也負責進行Internet密鑰管理協議(IKMP),其它若干協議的標準化 工作也已經提上日程。
Intermet和層安全性的主要優點是它的透明性,也就是說安全服務的提供不需要應用程 序.其它通信層次和網絡部件做任何改動。它的最主要的缺點是: Internet 層一般對屬于不同
進程和相應條例的包不作區別。對所有去往同地址的包,它將 按照同樣的加密密鑰和訪問 控制策略來處理。這可能導致提供不了所需的功能.也會導致性能下降。針對面向主機的密 鑰分配的這些問題RFC 1825允許(甚至可以說是推存)使用面向用戶的密鑰分配,網站制作其中不同
本文地址:http://123beaconmarketing.com//article/3840.html
