互聯(lián)網(wǎng)基礎(chǔ)設(shè)施

本地和域間路由
用于路由和消息傳遞的TCP/IP

域名系統(tǒng)
從符號(hào)名稱(www.lancaster.ac.uk)查找IP地址

域名系統(tǒng)是Internet或?qū)Ｓ镁W(wǎng)絡(luò)內(nèi)的節(jié)點(diǎn)、服務(wù)和其他資源的命名系統(tǒng)。

TCP協(xié)議棧

這是通過LAN或WAN在不同機(jī)器(運(yùn)行分布式應(yīng)用程序)之間進(jìn)行通信(向其發(fā)送數(shù)據(jù))使用最廣泛的協(xié)議，而不考慮機(jī)器中固有的硬件和軟件平臺(tái)。

較低的層向直接的上層提供服務(wù)。應(yīng)用層是用戶應(yīng)用程序和下面面向通信的層之間的接口。

鏈路(在硬件級(jí)運(yùn)行)-以太網(wǎng)，X.25，點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)

網(wǎng)絡(luò)(提供尋址和路由功能，將消息發(fā)送到各自的目的地)-IP(最重要的)，Internet控制消息協(xié)議(ICMP)和Internet組管理協(xié)議(IGMP)。路由器將報(bào)文轉(zhuǎn)發(fā)到IP報(bào)文中指定的目的IP地址。

傳輸(管理端到端數(shù)據(jù)傳輸，可以同時(shí)處理多個(gè)數(shù)據(jù)流)-傳輸控制協(xié)議(TCP)提供了可靠的面向連接的服務(wù)，用戶數(shù)據(jù)報(bào)協(xié)議(UDP)提供了不可靠但快速的無(wú)連接服務(wù)。

應(yīng)用程序?qū)?yīng)于特定的客戶端軟件應(yīng)用程序(例如，文件傳輸，電子郵件，視頻流等)- HTTP, FTP, Telnet, SMTP等。應(yīng)用程序和傳輸之間的接口。它是根據(jù)端口號(hào)和套接字定義的。

以太網(wǎng)報(bào)頭包含一個(gè)序文、一個(gè)起始幀分隔符(SFD)、目的地、源和類型。導(dǎo)語(yǔ)是以太網(wǎng)幀開始的標(biāo)識(shí)符。SFD是一個(gè)字節(jié)(前文的最后一個(gè)字節(jié))，表示下一個(gè)字節(jié)是目的MAC地址。destination字段是目的計(jì)算機(jī)的MAC地址，source字段是源計(jì)算機(jī)的MAC地址。Type是一個(gè)2字節(jié)的字段，存儲(chǔ)有關(guān)直接上層(即IP)使用的協(xié)議的信息。

Ethernet trailer是一個(gè)包含4個(gè)字節(jié)的幀檢查序列(FCS)，用于循環(huán)冗余錯(cuò)誤檢查。

因特網(wǎng)協(xié)議（IP）

1. 無(wú)連接，盡最大努力

1. 不可靠的

2. IP地址

1. 命名或標(biāo)記通過計(jì)算機(jī)網(wǎng)絡(luò)相互通信的每個(gè)設(shè)備
2. 32位數(shù)字(IPv4)
   
   
   IP根據(jù)報(bào)文頭中的IP地址，將源主機(jī)的報(bào)文發(fā)送到目的主機(jī)。

它是不可靠的，因?yàn)楣收峡赡馨l(fā)生，如數(shù)據(jù)損壞，數(shù)據(jù)包丟失和復(fù)制。因此，IP提供了最好的交付服務(wù)。

IP路由

典型的路由需要幾跳
IP:無(wú)訂貨和發(fā)貨保證

IP協(xié)議功能(概述)

路由選擇

1. IP主機(jī)知道路由器(網(wǎng)關(guān))的位置
2. IP網(wǎng)關(guān)必須知道到其他網(wǎng)絡(luò)的路由

分段和重組
如果max-packet-size小于user-data-size

錯(cuò)誤報(bào)告
如果報(bào)文被丟棄，ICMP報(bào)文被發(fā)送到源

TTL字段:每跳一次后減少
TTL=0時(shí)丟棄數(shù)據(jù)包。防止無(wú)限循環(huán)。

在網(wǎng)絡(luò)上發(fā)送一個(gè)巨大的數(shù)據(jù)包在物理上是不可能的。例如，一個(gè)6000字節(jié)的數(shù)據(jù)報(bào)需要被分解成4個(gè)數(shù)據(jù)報(bào)(每個(gè)1500字節(jié))。這個(gè)過程被稱為“碎片化”。目標(biāo)主機(jī)將4個(gè)數(shù)據(jù)報(bào)(按照正確的順序)重新組裝的過程稱為“重新組裝”。

問題:沒有 src IP認(rèn)證

客戶端被信任嵌入正確的源IP

1. 使用原始套接字很容易覆蓋。
2. Libnet：用于格式化帶有任意IP頭的原始數(shù)據(jù)包的庫(kù)。
3. 任何擁有自己機(jī)器的人都可以發(fā)送數(shù)據(jù)包。

啟示（DDoS講座中的解決方案)：

1. 匿名DoS攻擊
2. 匿名感染攻擊(例如，攻擊蠕蟲)

用戶數(shù)據(jù)報(bào)協(xié)議（UDP）

IP上不可靠的傳輸:

1. 沒有確認(rèn)
2. 沒有擁塞控制
3. 沒有消息延續(xù)
   
   當(dāng)消息流量非常大以至于減慢整個(gè)網(wǎng)絡(luò)響應(yīng)時(shí)間時(shí)，就會(huì)發(fā)生擁塞。擁塞控制機(jī)制必須在應(yīng)用程序或網(wǎng)絡(luò)級(jí)別實(shí)現(xiàn)(例如，漏桶算法或令牌桶算法)。

在UDP中，丟失的消息不會(huì)被重發(fā)(也就是說(shuō)，沒有確認(rèn))。因此，沒有消息延續(xù)。

校驗(yàn)和驗(yàn)證報(bào)頭和消息的數(shù)據(jù)完整性。校驗(yàn)和是一個(gè)表示正在發(fā)送的數(shù)據(jù)的值。接收方計(jì)算校驗(yàn)和。如果兩個(gè)值匹配，則數(shù)據(jù)未損壞/未更改。UDP通過位補(bǔ)位計(jì)算校驗(yàn)和值。

傳輸控制協(xié)議 (TCP)

以連接為導(dǎo)向，保持秩序
發(fā)送者

1. 將數(shù)據(jù)分成數(shù)據(jù)包
2. 附加數(shù)據(jù)包編號(hào)

接收者

1. 確認(rèn)接收;丟失的數(shù)據(jù)包被重發(fā)
2. 按照正確的順序重新組裝包
   

TCP報(bào)頭

TCP(三向)握手

這個(gè)過程是在客戶端和服務(wù)器之間建立連接。

1. 客戶端將段序列SNC設(shè)置為隨機(jī)值randC。由于沒有確認(rèn)號(hào)，所以ANC的值為0。
2. 服務(wù)器回復(fù)一個(gè)確認(rèn)消息SYNC/ACK。段序列是一個(gè)隨機(jī)數(shù)rand，確認(rèn)數(shù)是SNC的回聲。
3. 最后，客戶機(jī)向服務(wù)器發(fā)回一個(gè)確認(rèn)。序列號(hào)為SNC+1，確認(rèn)號(hào)為SNS的回聲。

在流程結(jié)束時(shí)，客戶端和服務(wù)器都收到了連接的確認(rèn)。因此，建立了全雙工通信。

基本安全問題

1. 網(wǎng)絡(luò)數(shù)據(jù)包通過不受信任的主機(jī)
   1）偷聽，嗅探數(shù)據(jù)包
   2）當(dāng)攻擊者控制靠近受害者的機(jī)器時(shí)尤其容易

2. TCP狀態(tài)很容易猜測(cè)
   啟用欺騙和會(huì)話劫持

*Perl和JavaScript是最常見的web腳本語(yǔ)言
從用戶獲取詳細(xì)信息

會(huì)話劫持發(fā)生在用戶會(huì)話(例如，銀行應(yīng)用會(huì)話或社交網(wǎng)絡(luò)會(huì)話)被攻擊者接管時(shí)。

TCP的狀態(tài)有:LISTEN、SYNC-SENT、SYNC-RECEIVED、ESTABLISHED、FIN-WAIT-1、FIN-WAIT-2、CLOSE-WAIT、CLOSING、LAST-ACK、TIME-WAIT和CLOSED。

數(shù)據(jù)包嗅聽

攻擊者讀取所有數(shù)據(jù)包

1. 讀取所有未加密的數(shù)據(jù)(例如“wireshark”)
2. FTP, Telnet(和POP, IMAP)可以明文發(fā)送密碼
   

TCP連接欺騙

假設(shè)init.sequence是可預(yù)測(cè)的
攻擊者可以利用偽造源IP創(chuàng)建TCP會(huì)話
破壞基于ip的身份驗(yàn)證(例如SPF, /etc/hosts)

SPF代表發(fā)送方策略框架。是一種在郵件發(fā)送過程中檢測(cè)偽造發(fā)件人地址的郵件認(rèn)證方法。

隨機(jī)初始TCP SNs

不可預(yù)測(cè)的SNs會(huì)阻止基本的報(bào)文注入
大多數(shù)TCP堆棧現(xiàn)在生成隨機(jī)SNs
隨機(jī)發(fā)生器應(yīng)該是不可預(yù)測(cè)的

路由的漏洞

ARP(地址解析協(xié)議): IP地址-》Mac地址
(發(fā)現(xiàn)與IP相關(guān)聯(lián)的MAC (link layer address)地址)

節(jié)點(diǎn)A可以混淆網(wǎng)關(guān)，使其向B發(fā)送流量

攻擊者A可以很容易地將數(shù)據(jù)包注入到B的會(huì)話中(例如WiFi網(wǎng)絡(luò))

Arp欺騙(Man in Middle Attack)

攻擊者用自己的MAC向目標(biāo)發(fā)送虛假ARP響應(yīng)

目標(biāo)IP上的所有流量都被路由到攻擊者地址
（對(duì)嗅探很有用）
給ARP表下毒以偽造IP地址：

1. 嗅探局域網(wǎng)流量以發(fā)現(xiàn)IP地址
2. 攻擊者使用ARP欺騙來(lái)冒充交換機(jī)/路由器和受害者的MAC地址

防范ARP欺騙

靜態(tài)ARP表項(xiàng)

1. 最簡(jiǎn)單的認(rèn)證形式是對(duì)主機(jī)ARP緩存中的關(guān)鍵服務(wù)使用靜態(tài)只讀條目。
2. 本地ARP緩存中的IP地址到mac地址的映射關(guān)系可能是靜態(tài)輸入的。如果存在ARP表項(xiàng)，則主機(jī)不需要發(fā)送ARP請(qǐng)求。
3. 雖然靜態(tài)條目提供了一些防止欺騙的安全性，但它們會(huì)導(dǎo)致維護(hù)工作，因?yàn)楸仨毶珊头职l(fā)網(wǎng)絡(luò)中所有系統(tǒng)的地址映射。

ARP欺騙檢測(cè)和預(yù)防軟件(如xArp)

1. 檢測(cè)ARP欺騙的軟件通常依賴于某種形式的認(rèn)證或ARP響應(yīng)的交叉檢查。
2. 然后阻止未經(jīng)認(rèn)證的ARP響應(yīng)。

如果ARP表包含兩個(gè)不同的IP地址和相同的MAC地址，機(jī)器可能正在遭受ARP欺騙攻擊。

DNS (Domain Name System)與安全問題

層次名稱空間

DNS根名稱服務(wù)器

分層次服務(wù)系統(tǒng)

1. 頂級(jí)域的根名稱服務(wù)器
2. 子域的權(quán)威名稱服務(wù)器
3. 本地名稱解析器在不知道某個(gè)名稱時(shí)聯(lián)系權(quán)威服務(wù)器
   
   權(quán)威名稱服務(wù)器提供有關(guān)區(qū)域中名稱的問題的答案。

DNS查詢示例

DNS記錄類型（部分列表）：
NS: 名稱服務(wù)器（指向其他服務(wù)器）
A: 地址記錄（包含IP地址）

緩存

緩存DNS響應(yīng)
1）快速響應(yīng)重復(fù)翻譯
2）用于查找服務(wù)器和地址
3）域的NS記錄

DNS負(fù)查詢被緩存
為不存在的網(wǎng)站節(jié)省時(shí)間，例如拼寫錯(cuò)誤。
補(bǔ)充：負(fù)查詢是指請(qǐng)求DNS服務(wù)器返回某個(gè)域名不存在的信息。

為不存在的網(wǎng)站節(jié)省時(shí)間，例如拼寫錯(cuò)誤。

緩存數(shù)據(jù)定期超時(shí)

1. 數(shù)據(jù)所有者控制的數(shù)據(jù)的生存時(shí)間(TTL)
2. TTL通過每條記錄

基本DNS漏洞

用戶/主機(jī)信任DNS提供的主機(jī)地址映射：
用作許多安全策略的基礎(chǔ)（瀏覽器同源策略，URL地址欄）

明顯的問題
攔截DNS服務(wù)器的請(qǐng)求可能導(dǎo)致錯(cuò)誤或惡意的響應(yīng)（例如:咖啡館里的惡意接入點(diǎn)）

DNS緩存中毒[a la Kaminsky’08]

本地DNS解析器認(rèn)為攻擊者是ns.bank.com

攻擊者欺騙記錄，試圖猜測(cè)DNS查詢ID。

受害者的機(jī)器訪問攻擊者的網(wǎng)站并下載JavaScript。

如果對(duì)所有j: x1 = yj攻擊者獲勝。

本地DNS服務(wù)器發(fā)現(xiàn)惡意站點(diǎn)并將其存儲(chǔ)在緩存中。因此，用戶被轉(zhuǎn)發(fā)到惡意站點(diǎn)。

防御

A:解析器隨機(jī)化它發(fā)送查詢的src端口，額外的位到查詢ID（現(xiàn)在攻擊需要幾個(gè)小時(shí)）

B 每個(gè)DNS查詢請(qǐng)求兩次:
攻擊者必須正確猜測(cè)QueryID兩次(32位)

野外DNS投毒攻擊

2015年1月，紐約一家大型互聯(lián)網(wǎng)服務(wù)提供商Panix的域名被劫持到澳大利亞的一個(gè)網(wǎng)站。

2004年11月，谷歌和亞馬遜的用戶被送到Med Network Inc.，一家在線藥店。

2013年3月，一個(gè)名為“自由網(wǎng)絡(luò)部隊(duì)民兵”的組織劫持了半島電視臺(tái)網(wǎng)站的訪問者，并向他們展示了“上帝保佑我們的軍隊(duì)”的信息。

總結(jié)

1. 互聯(lián)網(wǎng)基礎(chǔ)設(shè)施檢討
2. 安全問題
3. 基本防守技術(shù)

Acknowledgements: Jiangtao Wang文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-424376.html

到了這里，關(guān)于【安全與風(fēng)險(xiǎn)】互聯(lián)網(wǎng)協(xié)議漏洞的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！