CHD11-网络通信协议安全剖析.ppt

2021/2/7 * 11.4.1 IPSec 网络层目前多半使用IP作为数据传输的协议,但仍有许多安全上的漏洞。于是,IETF便积极制订一套网络层的安全通信协议,称为IPSec协议(IP Secure),以确保IP层级的通信安全 。 PSec主要提供以下3种安全服务 : (1)确认性 (Authentication) (2)机密性 (Confidentiality) (3)密钥管理 (Key Management) 2021/2/7 * IPSec主要包括两种协议 : 确认性应用报头协议 (Authentication Header, AH) 确保来源认证性及数据完整性 。 数据封装安全负载协议 (Encapsulating Security Payload, ESP) 提供数据的机密性。 11.4.1 IPSec(续) 2021/2/7 * 11.4.2 IPSec的确认性应用报头协议 确认性应用报头的格式内容 2021/2/7 * 11.4.3 IPSec的安全数据封装协议 安全数据封装协议的格式内容 2021/2/7 * 11.4.4 IPSec的密钥管理机制 密钥管理服务的主要目的是帮助用户安全地协议出所需要的秘密密钥。 IPSec 提供了手动(Manual)与自动(Automated)两种密钥管理方式 。 2021/2/7 * 手动密钥管理 : -系统管理者以人工的方式用自己的密钥与其他系统的密钥来设定所需要的安全协议 。 -适用于小型且通信对象固定的环境 。 自动密钥管理 : -安全协议的设定工作由系统自动来执行 。 -适用于大型且通信对象经常变动的环境 。 -采用的是改良的Diffie-Hellman算法 。 11.4.4 IPSec的密钥管理机制(续) 2021/2/7 * 容易遭受“堵塞(Clogging)”的网络攻击  - 可利用cookies來协助预防“堵塞”网络攻击 容易遭受“藏镜人”的网络攻击 -要预防“藏镜人”的网络攻击,就需要在每次信息交换时都要附加上验证对方的信息,以确认对方的身份 。 Diffie-Hellman算法的缺点 2021/2/7 * 如何预防堵塞的网络攻击 ? 可以利用Cookies来协助。Cookies可视为一个64位的随机数值 A先产生其Cookies(CA),并传送给B 。 B也产生其Cookies(CB),将CB连同CA一起传送给用户A 。 A收到之后便将公开密钥YA连同CA及CB一起传送给B 。 同样,B也将其公开密钥YB连同CA及CB一起传送给A 。 A与B收到对方的公开密钥后,先验证所收到的CA及CB是否与记录上的相同。 若相同,则执行所对应的指数运算;若不同,则拒绝处理该信息 。 2021/2/7 * 11.5 拒绝服务攻击 拒绝服务攻击(Denial of Service Attack,DoS攻击)是目前TCP/IP协议上常见的攻击方式 。 其攻击方式是试图让系统的工作超过其负荷而导致系统瘫痪 。 2021/2/7 * DoS的攻击方式大致可以分为以下几种 : (1)死亡侦测攻击(Ping of death) (2)分割重组攻击(Teardrop) (3)来源地址欺骗攻击(Land) (4)请求泛滥攻击(SYN Flooding) (5)回复泛滥攻击(Smurf Flooding) (6)分布式攻击(Distributed) 11.5 拒绝服务攻击(续) 2021/2/7 * 死亡侦测攻击 指传送一个大于65 535字节的侦测(Ping)封包给系统 。 由于系统最大只能接收65 535字节的IP封包,因此一个大于65 535字节的封包将使系统因溢出而发生错误 。 通常系统无法接受一个大于65 535字节的封包,但攻击者还是可以将此封包分解后传送,然后再到被攻击系统处组合,进而造成系统瘫痪 。 如今的操作系统大部分都已经可以自动地来侦测这类的攻击 。 2021/2/7 * 分割重组攻击 利用封包分割与重组间的落差(Gap)来对系统进行攻击 。 当封包的大小超过封包所能传送的最大单位时,封包就必须进行分割,然后依次地将这些分割后的封包传输到目标主机上。目标主机收到封包后会对它们重组 。 刻意制造不正常的封包序列,例如信息重叠位移或改变封包大小等,使得主机在重组过程中因发生错误而造成系统瘫痪 。 2021/2/7 * 来源地址欺骗攻击 源地址欺骗攻击利用IP欺骗(IP Spoofing)的方式来攻击目标主机 。 攻击者刻意将目标主机的IP地址附加在封包的来源(Source)IP地址与目的 (Destination)IP地址这两个字段上,使得这