CHD11 网络通信协议安全.ppt

网络通信协议安全(TCP/IP Security) 本章內容 OSI网络协议与TCP/IP网络协议 PGP信息的传送和接收过程 电子邮件系统所使用的符号及代表的意义 11.3.1 SSL安全传输协议(续) SSL协议主要分为两部分： SSL记录协议(SSL Record Protocol) SSL记录协议提供数据保密性及完整性两种服务。 SSL握手协议(SSL Handshake Protocol) SSL握手协议则提供用户与服务器间的身份验证机制。 如何预防堵塞的网络攻击 ？ 可以利用Cookies来协助。Cookies可视为一个64位的随机数值 A先产生其Cookies(CA)，并传送给B 。 B也产生其Cookies(CB)，将CB连同CA一起传送给用户A 。 A收到之后便将公开密钥YA连同CA及CB一起传送给B 。 同样，B也将其公开密钥YB连同CA及CB一起传送给A 。 A与B收到对方的公开密钥后，先验证所收到的CA及CB是否与记录上的相同。 若相同，则执行所对应的指数运算；若不同，则拒绝处理该信息 。 死亡侦测攻击 指传送一个大于65 535字节的侦测(Ping)封包给系统 。 由于系统最大只能接收65 535字节的IP封包，因此一个大于65 535字节的封包将使系统因溢出而发生错误 。 通常系统无法接受一个大于65 535字节的封包，但攻击者还是可以将此封包分解后传送，然后再到被攻击系统处组合，进而造成系统瘫痪 。 如今的操作系统大部分都已经可以自动地来侦测这类的攻击 。 分割重组攻击 利用封包分割与重组间的落差(Gap)来对系统进行攻击 。 当封包的大小超过封包所能传送的最大单位时，封包就必须进行分割，然后依次地将这些分割后的封包传输到目标主机上。目标主机收到封包后会对它们重组 。 刻意制造不正常的封包序列，例如信息重叠位移或改变封包大小等，使得主机在重组过程中因发生错误而造成系统瘫痪 。 来源地址欺骗攻击 源地址欺骗攻击利用IP欺骗(IP Spoofing)的方式来攻击目标主机 。 攻击者刻意将目标主机的IP地址附加在封包的来源(Source)IP地址与目的 (Destination)IP地址这两个字段上，使得这个封包的来源及目的地址都一样 。 主机在收到这些封包时，由于无法回应信息给自己而使得系统瘫痪或处理速度变慢 。 请求泛滥攻击 请求泛滥攻击是通过传送大量SYN封包给目标主机，使得目标主机忙于处理这些封包，而无法正常地为合法用户提供服务 。 SYN封包是当用户要与目标主机通信时，会先送出一个SYN封包来要求目标主机进行通信。目标主机收到封包后会回复一个SYN-ACK封包给用户，用户再送一个ACK封包给目标主机确认 。 然后才开始进行通信协议。攻击者就送出多个SYN封包给目标主机，目标主机以为要进行通信便开启一个通信埠，并传送SYN-ACK信息给用户，等待用户回复ACK封包 。 这个等待必须等到该封包溢出时才会被移除，若一个时段内有多个这样的等待事件，则会使系统处理速度变慢 。 回复泛滥攻击 攻击者传送一连串Ping封包(或ICMP echo message)给一个第三者。 然后利用IP欺骗的方式将送给第三者的这些封包上的来源地址改变为受攻击主机的IP地址 。 会误以为这些封包是由受害主机所传送来的，于是将回复封包传送给这个受害主机 。 由于Ping封包会要求路由器对网络广播，这使得网络上充满了要求及回复封包，进而导致网络拥塞甚至中断 。 分布式攻击 指多个远端主机在同一时段内传送许多信息给目标主机，使得目标主机在短时间内因收到大量的信息，超过系统负载而瘫痪 。 另一种分布式攻击方式是针对网络来进行攻击，其攻击方式就是在网上传输许多信息，以浪费宽宽，造成网络拥塞，这种攻击不会对计算机主机造成伤害，但能使合法的用户无法正常地访问数据 。 一般来说，DDoS攻击是很难防范的，因为由这些分散主机所做的传输都跟正常的用户无异，因此系统很难去分辨真假 。 11.4.3 IPSec的安全数据封装协议 安全数据封装协议的格式内容 11.4.4 IPSec的密钥管理机制 密钥管理服务的主要目的是帮助用户安全地协议出所需要的秘密密钥。 IPSec 提供了手动(Manual)与自动(Automated)两种密钥管理方式 。 手动密钥管理 ： -系统管理者以人工的方式用自己的密钥与其他系统的密钥来设定所需要的安全协议 。 -适用于小型且通信对象固定的环境 。 自动密钥管理 ： -安全协议的设定工作由系统自动来执行 。 -适用于大型且通信对象经常变动的环境 。 -采用的是改良的Diffie-Hellman算法 。 11.4.4 IPSec的密钥管理机制(续) 容易遭受“堵塞(Clogging)”的网