查看單個文章
舊 2006-03-13, 06:12 AM   #2 (permalink)
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

TCP/IP 網路漏洞和安全

TCP/IP 傳輸協定組本身存在很多安全性方面的漏洞。這些弱點正導致了攻擊者的拒絕服務(DOS)、Connection Hijacking 以及其它一系列攻擊行為。TCP/IP 主要存在以下幾個方面的安全問題:

  TCP SYN attacks 或 SYN Flooding - TCP 利用序列號以確保資料以正確順序對應特定的用戶。在三向握手(Three-Way Handshake)方式的連接開啟階段,序列號就已經建立好。TCP SYN 攻擊者利用大多數主機執行三次握手中存在的漏洞展開攻擊行為。當主機 B 接收到來自 A 的 SYN 請求,那麼它必須以「Listen Queue」跟蹤那部分開啟的連接,時間至少維持75秒鍾,並且一台主機可以只跟蹤有限數量的連接。一台非法主機通過向其它主機傳送 SYN 請求,但不答覆 SYN & ACK,從而形成一個小型的 Listen Queue,而另一台主機則傳送返回。這樣,另一台主機的 Listen Queue 迅速被排滿,並且它將停止接收新連接,直到佇列中開啟的連接全部完成或超出時間。至少在75秒內將主機撤離網路的行為即屬於拒絕服務(Denial-of-Service)攻擊,而在其它攻擊中也常發生這樣的行為,如偽 IP。

  IP Spoofing - 偽 IP 技術是指一種獲取對電腦未經許可的訪問的技術,即攻擊者通過偽 IP 位址向電腦傳送訊息,並顯示該訊息來自於真實主機。IP 層假設它所接收到的任何 IP 資料包上的源位址都與實際傳送資料包的系統 IP 位址(沒有經過認證)相同。很多高層傳輸協定和應用程式也會作這樣的假設,所以似乎每個偽造 IP 資料包源位址的人都可以獲得非認證特免。偽 IP 技術包含多種檔案類型,如 Blind 和 Non-Blind Spoofing、Man-in-the-Middle-Attack (Connection Hijacking)等。詳細內容請參照「偽 IP」文件。

  Routing Attacks - 該攻擊利用路由選項訊息傳輸協定(RIP:TCP/IP 網路中的基本組成)。RIP 主要用來為網路分配路由選項訊息(如最短路徑)並將線路傳播出區域網路絡。與 TCP/IP 一樣,RIP 沒有建立認證機制,所以在無需校驗的情況下就可以使用 RIP 資料包中的訊息。RIP 攻擊會改變資料傳送目的地,而不能改變資料來源位置。例如,攻擊者可以偽造一個 RIP 資料包,並聲稱他的主機「X」具有最快網外路徑。所有從網路中傳送出去的資料包可以通過「X」傳送,並且進行修改或檢查。攻擊者還可以通過 RIP 高效模仿任何主機,並導致所有將要傳送到那台主機上的通信流量全部傳送到了攻擊者電腦上。

  ICMP Attacks - IP 層通常使用 Internet 控制訊息傳輸協定(ICMP:Internet Control Message Protocol)向主機傳送單行道訊息,如「ping」訊息。ICMP 中不提供認證,這使得攻擊者有機會利用 ICMP 漏洞攻擊通信網路,從而導致拒絕服務(Denial of Service)或資料包被截取等攻擊。

  拒絕服中務基本上利用 ICMP Time Exceeded 或 Destination Unreachable 訊息,使得主機立即放棄連接。攻擊者可以偽造其中一個 ICMP 訊息,然後將它傳送給通信主機雙方或其中一方,以取消通信雙方之間的連接。另外通過 ICMP 中的 Redirect 訊息(當某台主機錯誤地以為目的端不在區域網路絡中時,網路閘道通常也會使用 Redirect 訊息),攻擊者可以截取網路資料包。如果攻擊者偽造一個 ICMP 「Redirect」訊息,另一台主機在不知情的情況下繼續傳送資料包,建立與攻擊者機器之間的連接。這種攻擊檔案類型類似於 RIP 攻擊,所不同的是 ICMP 訊息只適用於現有連接,並且攻擊者(接收重轉發IP的主機)必須在區域網路絡中。

  DNS Attacks - 域名系統 DNS 是 Internet 中適用較為普遍的一種傳輸協定,主要用於映射主機名和 IP 位址。攻擊者利用 IP 位址和主機名之間的映射性質欺騙名稱認證。但可以通過在第一次查詢返回的主機名上執行第二次查詢的方法避免這種攻擊。

  The IP Address as Identifier is no Longer Unique - 任何依靠 IP 位址維持機器時間或空間上唯一的安全模式都有其不足之處,這歸因於廣泛使用的網路位址轉換和動態 IP 位址技術。在現今的 TCP/IP 網路中,各種網路傳輸協定套用廣泛,如 PPP/SLIP 和 DHCP 傳輸協定,其中 DHCP 傳輸協定支持主機 lease 任意時間的 IP 位址。防火牆(代理 socket 伺服器)以及其它網路位址轉換器(Network Address Translators)是 IP 位址作為標幟符的更為複雜的套用,這主要表現在當通信流量在網路內、外傳輸時,它們仍可以轉換位址。不同的主機可能使用同樣的 IP 位址,或同一台主機可能具有不同的 IP 位址。因此 IP 位址不再是用於識別主機的唯一標幟。

  有很多可行工具可以說明 最小化或阻止以上出現的各種安全問題。另一方面,為增強 TCP/IP 傳輸協定安全效能,解決其存在的漏洞,人們已經作了很多努力。如 IPsec 是 TCP/IP 傳輸協定組中新增的一種安全性傳輸協定,在 IPv6 中也增添了一些安全性選項和特性
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次