通信網(wǎng)絡安全05

第五章通信網(wǎng)絡安全體系結(jié)構(gòu)（二）內(nèi)容概要傳輸層風險及緩解方法攻擊TCP和UDP的方法及緩解方法DNS風險及緩解方法SMTP郵件風險及緩解方法HTTP風險及緩解方法1.傳輸層核心功能傳輸層定義網(wǎng)絡層和面向應用層之間的接口，從應用層抽象連網(wǎng)功能，包括連接管理、分組組裝和服務識別。傳輸層有兩個核心成份，傳輸層端口和序列號1.端口和套接字（Socket）端口：如果把一個服務器比作一間房子，IP地址就是出入這間房子的大門，端口是小。一個IP地址的端口可以有65536個之多，范圍是從0到65535。一臺擁有IP地址的主機可以提供許多服務，比如Web服務、FTP服務、SMTP服務等，這些服務完全可以通過1個IP地址來實現(xiàn)。通過“IP地址+端口號”來區(qū)分不同的服務的。1.傳輸層核心功能1.端口和套接字（Socket）客戶端和服務器端端口并不是一一對應的?？蛻魴C訪問一臺WWW服務器時，WWW服務器使用“80”端口通信，但客戶機可能使用“3457”這樣的端口，如下所示。1.傳輸層核心功能1.端口和套接字（Socket）按對應的協(xié)議類型，端口分為：TCP端口和UDP端口。TCP和端口號也相互獨立按端口號可分為3大類：（1）公認端口（WellKnownports）：從0到1023，它們緊密綁定（binding）于一些服務。通常這些端口的通訊明確表明了某種服務的協(xié)議。例如：80端口對應HTTP服務。（2）注冊端口（Registeredports）：從1024到49151。它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統(tǒng)處理動態(tài)端口從1024左右開始。（3）動態(tài)和/或私有端口（Dynamicand/orprivateports）：從49152到65535。理論上，不應為服務分配這些端口。實際上，機器通常從1024起分配動態(tài)端口。1.傳輸層核心功能1.端口和套接字（Socket）應用層通過傳輸層進行數(shù)據(jù)通信時，TCP和UDP會遇到同時為多個應用程序進程提供并發(fā)服務的問題。多個TCP連接或多個應用程序進程可能需要通過同一個TCP協(xié)議端口傳輸數(shù)據(jù)。為了區(qū)別不同的應用程序進程和連接，計算機操作系統(tǒng)為應用程序與TCP／IP協(xié)議交互提供了稱為套接字(Socket)的接口，區(qū)分不同應用程序進程間的網(wǎng)絡通信和連接。套接字主要有3個參數(shù)：通信的目的IP地址、使用的傳輸層協(xié)議(TCP或UDP)和使用的端口號。通過將這3個參數(shù)結(jié)合起來，與一個Socket綁定，應用層就可以和傳輸層通過套接字接口，區(qū)分來自不同應用程序進程或網(wǎng)絡連接的通信，實現(xiàn)數(shù)據(jù)傳輸?shù)牟l(fā)服務。1.傳輸層核心功能1.端口和套接字（Socket）端口和套接字關系傳輸層生成端口，每個端口包含一個唯一的、針對特定高層服務的標識。一個套接字可管理很多端口，但每個端口都需要一個套接字，端口和特定高層協(xié)議相關聯(lián)，或動態(tài)分配大部分遠程網(wǎng)絡攻擊針對特定端口的特定服務。但很多DoS攻擊針對很多端口或套接字，因此傳輸層攻擊目標包括端口、套接字和專門的協(xié)議1.傳輸層核心功能2.排序傳輸層從高層接收數(shù)據(jù)塊，并將其分成分組，每個分組賦予一個唯一的序列標識，用來跟蹤分組。傳輸層保持一些已經(jīng)用于端口的序列號表，以防止序列號重復。因為序列號用于保持傳輸層的分組傳輸有序，這構(gòu)成普遍的攻擊因素，排序能用于傳輸層攔截攻擊1.傳輸層核心功能3.序列攔截攻擊者要觀察傳輸層分組必須識別序列，以插入或攔截連接。因此序列號的產(chǎn)生最好不要依次漸增，否則攻擊者易于預測下個分組編號序列號通常起始于隨機值，以防止攻擊者猜得到第一個分組，但整個會話過程中逐一增加。觀察者很容易識別序列號并攔截會話，但盲目攻擊者不能識別初始序列號，這樣盲目攻擊者無法決定序列號以及危害傳輸層連接很多傳輸層協(xié)議使用偽隨機數(shù)發(fā)生器，就成為可預測的。這個弱點導致盲目攻擊者能危害傳輸層連接2.傳輸層風險傳輸層風險圍繞序列號和端口要攔截傳輸層連接，攻擊者必須破壞分組排序目標瞄準端口，遠程攻擊者可針對一個專門的高層服務偵察攻擊，包括端口掃描和信息泄露2.傳輸層風險1.傳輸層攔截傳輸層攔截攻擊需要兩個條件：一是攻擊者必須對某種類型的網(wǎng)絡層破壞，二是攻擊者必須識別傳輸序列攻擊者觀察TCP分組頭能識別序列的下一個分組以及任何需要回答響應的分組，攔截傳輸層連接的能力取決于序列號質(zhì)量為完成一次攔截，攻擊者必須偽裝網(wǎng)絡層通信，偽裝的分組必須包括源和目的地址，源和目的端口2.傳輸層風險2.一個端口和多個端口的比較減少端口數(shù)量能減少攻擊因素。服務器一般應該將開放地端口數(shù)量減少到只有基本服務，如，Web服務器只打開HTTP（80/TCP）端口，而遠程控制臺只打開SSH（22/TCP）端口2.傳輸層風險3.靜態(tài)端口賦值和動態(tài)端口賦值遠程客戶連接到服務器需要兩個條件，服務器的網(wǎng)絡地址，傳輸協(xié)議及端口號客戶端連接服務器時，通常連接到服務器的眾所周知端口，但客戶本身可能使用選自動態(tài)端口范圍內(nèi)的端口某些高層協(xié)議不使用固定端口號，如RPC，F(xiàn)TP的數(shù)據(jù)連接以及Netmeeting，控制服務使用眾所周知端口，數(shù)據(jù)傳輸則用動態(tài)端口動態(tài)端口帶來不安全的風險，因為防火墻必須允許大范圍的端口可訪問網(wǎng)絡

2.傳輸層風險4.端口掃描為攻擊一個服務，必須識別服務端口。端口掃描的任務是企圖連接到主機的每一個端口。如果端口有回答，則活動服務正在監(jiān)聽端口，如果是眾所周知端口，則增加了服務識別的可能性端口掃描的兩種方法：一是目標端口掃描，用以測試特定的端口；二是端口掃視（sweep），用以測試主機上的所有可能的端口2.傳輸層風險4.端口掃描防御端口掃描方法非標準端口：將眾所周知端口的服務移到非標準端口以模糊服務類型無回答防御：因為端口掃描等待分組回答，對不活動的端口分組請求不予回答，使掃描系統(tǒng)等待回答直至超時，但是對活動的端口還是要回答總是回答防御：活動與非活動端口總是回答，攻擊者無法區(qū)別活動和非活動端口敲打協(xié)議（knock-knockprotocol）：敲打服務器不打開端口，而是監(jiān)控其他端口或網(wǎng)絡協(xié)議，觀察到期望的分組序列，服務才啟動。如SSH服務器先不和端口綁定，直到觀察到具有700字節(jié)不規(guī)則數(shù)據(jù)字長的ICMP分組才和端口綁定主動掃描檢測：入侵檢測系統(tǒng)觀察掃描主機的一系列連接并阻斷訪問故意延遲2.傳輸層風險5.信息泄露傳輸層對傳輸?shù)臄?shù)據(jù)不進行加密，因此傳輸層協(xié)議本身并不對信息保護，監(jiān)控分組通信的觀察者能觀察到傳輸層內(nèi)容。通常傳輸層上面的高層提供身份鑒別和加密3.TCP偵察綁定到TCP端口的網(wǎng)絡服務提供對主機系統(tǒng)的直接訪問，通過識別系統(tǒng)的類型和服務的類型，攻擊者能選擇相應的攻擊方向1.操作系統(tǒng)框架1）初始窗口大小不同操作系統(tǒng)采用不同的初始窗口大小，但大部分系統(tǒng)還是使用默認值，因此根據(jù)窗口大小可識別傳輸數(shù)據(jù)的操作系統(tǒng)的類型，也可以結(jié)合窗口的變化情況判斷操作系統(tǒng)類型2）TCP選項每個TCP分組包含TCP報頭值的一些選項，不同操作系統(tǒng)支持不同的選項、值和次序，通過觀察這些選項可識別特定的系統(tǒng)。某種情況下，TCP選項能唯一足夠識別操作系統(tǒng)和補丁級別，可識別未打系統(tǒng)補丁的漏洞3.TCP偵察1.操作系統(tǒng)框架3）序列號雖然所有系統(tǒng)用同樣的方法增加序列號，但是初始序列號是各個操作系統(tǒng)特定的。初始SYN和SYN-ACK分組交換用于連接初始的序列號，雖然單個TCP連接不能泄露可識別信息，但是一系列快速連接能泄露用來建立初始連接的模型，序列號能用來識別操作系統(tǒng)、版本，以及補丁版本信息4）客戶端口號服務器用固定TCP端口號，但客戶端可選擇任何可用的端口號用于連接，服務器可從TCP報頭確定客戶動態(tài)端口號。從客戶到一個或多個服務器重復的連接將顯示對每個連接的不同端口號，不同的系統(tǒng)使用不同的動態(tài)端口范圍供客戶選擇，觀察動態(tài)端口范圍，可幫助識別操作系統(tǒng)3.TCP偵察1.操作系統(tǒng)框架5）重試當TCP分組沒有收到回答響應，分組重新發(fā)送，重試次數(shù)以及間隔是不同操作系統(tǒng)特定的，可以通過SYN重試、SYN-ACK重試以及ACK重試3種方法來確定操作系統(tǒng)框架對診斷技術是有用的，但對攻擊者在攻擊之前的偵查也是有用的，用來識別操作系統(tǒng)和補丁級別可以改變窗口大小、重試超時等默認值，可以阻止多操作系統(tǒng)的識別3.TCP偵察2.端口掃描TCP端口掃描用來識別運行的服務，對連接請求一般有四種類型的回答SYN-ACK：假如一個服務在端口運行，那么SYN-ACK返回給客戶，這是正常的識別。為了阻止掃描，一些防火墻無論該端口有沒有服務總是返回一個SYN-ACK，使掃描器不能識別RST：假如沒有服務在運行，很多系統(tǒng)返回一個RST，這提供一個快速確認：該端口沒有服務ICMP不可達：假如主機不可達，那么ICMP分組返回以指示失敗，這使端口未知。很多防火墻用這種方法迷惑掃描器不應答：假如分組沒有到主機，就沒有回答，SYN請求得不到SYN-ACK并超時。雖然這通常意味著主機不可達或不在線，但一些防火墻有意忽略發(fā)送的分組并關掉端口3.TCP偵察3.日志為了檢測系統(tǒng)掃描和網(wǎng)絡攻擊，日志是重要的。很多網(wǎng)絡服務有連接日志，包括時間戳、客戶網(wǎng)絡地址以及相關的連接信息。少數(shù)系統(tǒng)支持未加工的TCP通信，由高層執(zhí)行日志。在握手完成以前，高層并不支持TCP連接，結(jié)果使部分端口掃描（在握手完成以前）常常沒有日志。網(wǎng)絡監(jiān)控工具如IDS和IPS，一般監(jiān)控并把SYN請求以及任何包括部分建立連接的通信記錄日志，SYN分組被記錄，未請求的ACK和RST也被記錄，基于這些分組的頻率，類型和次序，一些工具能識別網(wǎng)絡掃描，如果是IPS在掃描完成以前能作出反應，阻止更多信息泄露以及限制服務檢測。3.TCP偵察3.日志4.TCP攔截任何干擾TCP連接的攻擊都歸結(jié)為TCP攔截，這些攻擊常常像DoS一樣出現(xiàn)，使連接過早結(jié)束1.全會話攔截常常需要攻擊者具有直接的數(shù)據(jù)鏈路訪問。在混雜模式下，攻擊者觀察網(wǎng)絡地址、端口以及用于連接的序列號，利用這些信息，攻擊者試圖比一個TCP連接結(jié)束更快的響應。成功的攔截提供具有連接會話的攻擊者到網(wǎng)絡服務，而失敗的攔截結(jié)果造成DoS或是簡單的忽略2.ICMP和TCP攔截ICMP用來在IP和TCP之間通信，ICMP能用來報告不成功的連接或重新指向網(wǎng)絡服務。遇到惡意攻擊時，ICMP能將TCP連接重新指向不同的端口和不同的主機，雖然攻擊者仍必須知道TCP序列號，但ICMP不需要使用DoS來結(jié)束任何一個原始連接5.TCP

DoSDoS攻擊的兩個目的：是目標主機不能正常執(zhí)行任務，二是分散管理者注意力，以便對另外一個系統(tǒng)實施攻擊。TCP十分容易受到DoS攻擊，任何對端口或序列號的干擾都會使連接斷開1.SYN攻擊每個TCP實施分配用于管理連接的內(nèi)存，每個連接包括網(wǎng)絡地址、端口、窗口大小，序列號以及用于入出分組的緩存空間。每個服務器收到SYN就分配內(nèi)存，SYN攻擊發(fā)送大量的SYN分組來消耗內(nèi)存，當連接個數(shù)超過限制的時候，新的連接被切斷每次SYN分組放到一個打開的服務，就產(chǎn)生一個SYN-ACK響應，此時客戶端不產(chǎn)生ACK響應，這時連接被掛起直至超時。足夠多的這樣掛起將造成DoS攻擊①SYN②SYN/ACK③ACK5.TCP

DoS1.SYN攻擊防范措施-過濾網(wǎng)關防護網(wǎng)關超時設置：防火墻設置SYN轉(zhuǎn)發(fā)超時參數(shù)，該參數(shù)遠小于服務器的timeout時間。當客戶端發(fā)送完SYN包，服務端發(fā)送確認包后（SYN＋ACK），防火墻如果在計數(shù)器到期時還未收到客戶端的確認包（ACK），則往服務器發(fā)送RST包，以使服務器從隊列中刪去該半連接。①SYN②SYN/ACK③ACKRST5.TCP

DoS1.SYN攻擊防范措施-過濾網(wǎng)關防護SYN網(wǎng)關：SYN網(wǎng)關收到客戶端的SYN包時，直接轉(zhuǎn)發(fā)給服務器；SYN網(wǎng)關收到服務器的SYN/ACK包后，將該包轉(zhuǎn)發(fā)給客戶端，同時以客戶端的名義給服務器發(fā)ACK確認包。此時服務器由半連接狀態(tài)進入連接狀態(tài)。當客戶端確認包到達時，如果有數(shù)據(jù)則轉(zhuǎn)發(fā)，否則丟棄。①SYN②SYN/ACK③ACKFIN③ACK①SYN②SYN/ACK5.TCP

DoS1.SYN攻擊防范措施-過濾網(wǎng)關防護SYN單向代理：TCP代理收到某客戶端發(fā)來的到服務器的SYN報文后，先代替服務器向客戶端回應序號錯誤的SYNACK報文。如果收到客戶端回應的RST報文，則認為該TCP連接請求通過TCP代理的驗證。一定時間內(nèi)，TCP代理收到客戶端重發(fā)的SYN報文后，直接向服務器轉(zhuǎn)發(fā)，在客戶端和服務器之間建立TCP連接。TCP連接建立后，TCP代理直接轉(zhuǎn)發(fā)后續(xù)的報文，不對報文進行處理。5.TCP

DoS1.SYN攻擊防范措施-過濾網(wǎng)關防護SYN雙向代理：TCP代理收到某客戶端發(fā)來的到服務器的SYN報文后，先代替服務器向客戶端回應正常的SYNACK報文（窗口值為0）。如果收到客戶端回應的ACK報文，則認為該TCP連接請求通過TCP代理的驗證。TCP代理再向服務器發(fā)送同樣的SYN報文，并通過三次握手與服務器建立TCP連接。雙向代理方式中，在客戶端和TCP代理、TCP代理和服務器之間建立兩個TCP連接。由于兩個TCP連接使用的序號不同，TCP報文交互過程中，TCP代理接收到客戶端或服務器發(fā)送的報文后，需要修改報文序號，再轉(zhuǎn)發(fā)給對端，這樣才能保證通信正常。5.TCP

DoS1.SYN攻擊防范措施-加固TCP/IP協(xié)議棧增加最大半連接數(shù)縮短超時時間SYNcookies技術：SYNcookies應用于linux、FreeBSD等操作系統(tǒng)，當半連接隊列滿時，SYNcookies并不丟棄SYN請求，也不分配內(nèi)存空間，而是通過加密技術來標識半連接狀態(tài)。SYNcookies中，服務器的初始序列號是通過對客戶端IP地址、客戶端端囗、服務器IP地址和服務器端囗以及其他一些安全數(shù)值等要素進行hash運算加密得到的，稱之為cookie。當服務器遭受SYN攻擊使得半連接隊列滿時，服務器并不拒絕新的SYN請求，而是回復cookie（回復包的SYN序列號）給客戶端，如果收到客戶端的ACK包，服務器將客戶端的ACK序列號減去1得到cookie比較值，并將上述要素進行一次hash運算，看看是否等于此cookie。如果相等，直接完成三次握手5.TCP

DoS2.RST（或FIN）攻擊RST（Resettheconnection）攻擊：盲目的RST攻擊發(fā)生在攻擊者不能攔截或看到網(wǎng)絡連接的時候，用不同的序列和端口值偽造RST分組發(fā)送，只要其中一個有效就能斷開連接RSTTCPconnection攻擊者5.TCP

DoS3.ICMP攻擊類似RST攻擊，ICMP可用來指定一個斷開連接。盲目的ICMP攻擊也能使TCP不能連接。不像TCP重置攻擊，防火墻能阻斷ICMP攻擊，而RST攻擊因為有效的端口和地址組合，能通過防火墻4.LAND攻擊一個特別打造的SYN包中的源地址和目標地址都被設置成某一個服務器地址，導致服務器向它自己的地址發(fā)送SYN-ACK消息，這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時掉。對Land攻擊反應不同，許多UNIX系統(tǒng)將崩潰，而WindowsNT會變的極其緩慢（大約持續(xù)五分鐘）。6.緩解對TCP攻擊的方法1.改變系統(tǒng)框架TCP和網(wǎng)絡服務攻擊有兩類，盲目攻擊和定向攻擊，前者沒有假定的攻擊目標，通過試探發(fā)現(xiàn)漏洞，大部分計算機病毒使用這種方法定向攻擊這對特定操作系統(tǒng)平臺和網(wǎng)絡服務。首先通過偵察識別可能的目標，然后攻擊可行的目標，通過改變系統(tǒng)框架可緩解攻擊者的識別。修改SYN超時、重試計數(shù)、重試間隔、初始窗口大小、可用的TCP選項以及初始序列值很多TCP端口是標準化的，特定端口用于特定服務。雖然這些端口是標準的，但不是必需的，可以改變端口號以減少攻擊的可能性。6.緩解對TCP攻擊的方法2.阻斷攻擊指向用防火墻阻斷任何外部的SYN分組，對于DMZ區(qū)內(nèi)提供的服務，可以設置路由器只開放相應的端口和地址。同時阻斷ICMP通行能消除來自遠程的ICMP淹沒、攔截和重置攻擊的風險3.狀態(tài)分組檢測很多防火墻支持狀態(tài)分組檢測（SPI），SPI跟蹤TCP連接狀態(tài)以及具有和已知狀態(tài)不匹配的分組，如，一個RST分組送到關閉的端口，可以直接丟棄，而不是傳遞給主機，SPI能減少攔截攻擊、重置攻擊、遠程系統(tǒng)框架等的影響6.緩解對TCP攻擊的方法4.入侵檢測系統(tǒng)（IDS）IDS對非標準的或非期望的分組進行監(jiān)控。IDS能很快識別遠程系統(tǒng)框架、TCP端口掃描、攔截企圖以及DoS攻擊5.入侵防御系統(tǒng)對于部署在數(shù)據(jù)轉(zhuǎn)發(fā)路徑上的IPS，可以根據(jù)預先設定的安全策略，對流經(jīng)的每個報文進行深度檢測(協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計分析、事件關聯(lián)分析等)，如果一旦發(fā)現(xiàn)隱藏于其中網(wǎng)絡攻擊，可以根據(jù)該攻擊的威脅級別立即采取抵御措施，這些措施包括：向管理中心告警；丟棄該報文；切斷此次應用會話；切斷此次TCP連接。6.緩解對TCP攻擊的方法7.高層協(xié)議一般來說，假定高層協(xié)議將鑒別通信以及檢測可能的攻擊7.UDPUDP是一個簡單的傳輸協(xié)議，用于無連接服務。UDP的報頭值包括源端口、目的端口、數(shù)據(jù)長度和校驗和，共8個字節(jié)，UDP傳輸不產(chǎn)生回答的響應。UDP攻擊常?；跓o效的分組以及偽裝1.非法的進入源UDP服務器不執(zhí)行初始握手，任何主機都能連接到UDP服務器而無須身份鑒別。服務器緩沖有限數(shù)的UDP分組。緩沖器空間滿后收到的分組將被丟棄。UDP分組能很快淹沒慢的UDP服務2.UDP攔截由于無身份鑒別，任何客戶可以發(fā)任何分組到任何UDP服務器，管理會話和連接必須由高層協(xié)議處理。因此UDP容易被攔截，攻擊者能很容易偽裝成正確的網(wǎng)絡地址和UDP端口，將數(shù)據(jù)插入到接受者，盲目的UDP攻擊只需猜測端口號，不超過65536個，只需幾秒7.UDP3.UDP保持存活攻擊UDP沒有清楚地指示連接是打開還是關閉，結(jié)果大多數(shù)防火墻當看到第一個出口連接時，打開端口，一段時間不活動才關閉端口，攻擊者能利用這個弱點來保持UDP端口打開。即使客戶不再監(jiān)聽分組時，攻擊者能發(fā)送UDP分組到防火墻，以保持防火墻端口打開。當足夠多的端口保持打開，那么沒有新的端口不能被打開，這使UDP不能有效地通過防火墻。7.UDP4.UDPSmurf攻擊攻擊者向網(wǎng)絡廣播地址發(fā)送ICMP包，并將回復地址設置成受害網(wǎng)絡的廣播地址，通過使用ICMP應答請求數(shù)據(jù)包來淹沒受害主機的方式進行，最終導致該網(wǎng)絡的所有主機都對此ICMP應答請求作出答復，導致網(wǎng)絡阻塞。更加復雜的Smurf攻擊攻擊將源地址改為第三方受害者，最終導致第三方崩潰。防范措施：配置路由器禁止IP廣播包進網(wǎng)配置網(wǎng)絡上所有計算機的操作系統(tǒng)，禁止對目標地址為廣播地址的ICMP包響應。對于從本網(wǎng)絡向外部網(wǎng)絡發(fā)送的數(shù)據(jù)包，本網(wǎng)絡應該將其源地址為其他網(wǎng)絡的這部分數(shù)據(jù)包過濾掉。7.UDP5.UDP偵察UDP對系統(tǒng)偵察只提供少量選項。UDP端口掃描依靠ICMP和分組回答實現(xiàn)。如果沒有UDP服務存在于掃描端口，那么ICMP返回“目的不可達”分組。但是有些UDP服務對沒有連接返回一個回答。任何UDP回答指示一個存在的服務。防范這類端口掃描的唯一辦法是不返回任何ICMP分組，使攻擊者難以區(qū)分有沒有服務9.DNS風險及緩解辦法1.直接風險DNS系統(tǒng)假定DNS服務器之間是可信的，DNS服務器不會故意提供錯誤的信息，DNS協(xié)議不提供客戶和服務器之間的身份鑒別，這使攻擊者可破壞這種可信關系1）無身份鑒別的響應DNS使用一個會話標識來匹配請求和回答，但會話標識不提供身份鑒別，攻擊者觀察DNS請求，能偽造一個DNS回答。假的回答會有觀察到的會話標識，攻擊者甚至可以在分組中設置授權標記，去除對數(shù)據(jù)正確性的懷疑，結(jié)果是攻擊者能控制主機名的查找，并進一步重指被害者的連接9.DNS風險及緩解辦法1.直接風險2）DNS緩存受損當計算機對域名訪問時并不是每次訪問都需要向DNS服務器發(fā)出請求，一般來說當解析工作完成一次后，該解析條目會保存在計算機的DNS緩存列表中，如果這時DNS解析出現(xiàn)更改變動的話，由于DNS緩存列表信息沒有改變，在計算機對該域名訪問時仍然不會連接DNS服務器獲取最新解析信息，會根據(jù)自己計算機上保存的緩存對應關系來解析，這樣就會出現(xiàn)DNS解析故障攻擊者觀察DNS請求，并生成一個偽造的DNS回答，并含有一個長的緩存超時值，這樣受損的DNS緩存可對任何數(shù)據(jù)請求提供假的數(shù)據(jù)9.DNS風險及緩解辦法1.直接風險3)ID盲目攻擊攻擊者選擇一個公用的域名，生成DNS回答的泛濫，每個回答包含一個不同的會話標識盲目攻擊9.DNS風險及緩解辦法1.直接風險4)利用DNS服務器進行DDOS攻擊假設攻擊者已知被攻擊機器的IP地址，然后攻擊者使用該地址作為發(fā)送解析命令的源地址。這樣當使用DNS服務器遞歸查詢后，DNS服務器響應給最初用戶，而這個用戶正是被攻擊者。那么如果攻擊者控制了足夠多的肉雞，反復的進行如上操作，那么被攻擊者就會受到來自于DNS服務器的響應信息DDOS攻擊9.DNS風險及緩解辦法1.直接風險5)破壞DNS分組DNS協(xié)議規(guī)定了查詢和回答的數(shù)據(jù)大小。但某些DNS實施沒有適當?shù)臋z查數(shù)據(jù)邊界。分組可聲稱包含比實際更多的數(shù)據(jù)，或者沒有包含足夠的數(shù)據(jù)。其結(jié)果是緩沖器溢出或不足9.DNS風險及緩解辦法2.技術風險直接風險是協(xié)議本身的影響，技術風險是基于配置的問題1）DNS域攔截是指在一定的網(wǎng)絡范圍內(nèi)攔截域名解析的請求，返回假的IP地址或者什么都不做使請求失去響應，其效果就是對特定的網(wǎng)絡不能反應或訪問的是假的對攻擊者有利的網(wǎng)址。所以域名劫持通常相伴的措施——封鎖正常DNS的IP解決辦法：防火墻出口過濾阻止用戶訪問惡意站點，本地DNS服務器配置成阻止惡意站點對主機名的查找9.DNS風險及緩解辦法2.技術風險2）DNS服務器攔截被攻擊的DNS服務器被增加、修改、刪除DNS記錄條目為緩解系統(tǒng)被破壞的風險，DNS服務器應運行在加固的系統(tǒng)，關閉所有不必要的服務9.DNS風險及緩解辦法2.技術風險3）更新持續(xù)時間緩存DNS服務器同每個DNS項的超時相關聯(lián)，當主機配置改變時，超時防止數(shù)據(jù)失效。如果超時值過大，則不能立即完成改變。如果管理者立即重新定位主機，那么緩存服務器將指向錯誤的地址9.DNS風險及緩解辦法2.技術風險4）動態(tài)DNSDHCP提供帶有網(wǎng)絡地址的新的主機、默認網(wǎng)關以及DNS服務器信息。這些主機只能用它們的網(wǎng)絡地址訪問，不能用主機名訪問。動態(tài)DNS（DDNS）解決該問題，使用DDNS，DHCP的客戶能在本地DNS系統(tǒng)放主機名，雖然客戶每次分配一個新的網(wǎng)絡地址，但DDNS能保證主機名總是指到主機的新的網(wǎng)絡地址用戶能很容易地配置DDNS主機名，但是DDNS主機名允許攔截。任何不和活動DHCP地址相聯(lián)系的主機名都可被請求。那么另一臺主機能很容易攔截該主機名。只要被攔截的名字同有效的DHCP主機相聯(lián)系著，真正的主機就不能請求該名字9.DNS風險及緩解辦法3.社會風險1）相似的主機名正常域名為，攻擊者擁有與之相似的域名，當用戶錯誤的輸入了該相似的主機名，就訪問了偽裝站點2）自動名字實現(xiàn)很多瀏覽器支持自動名字實現(xiàn)，即用戶不輸入域名服務器的高級域名（.com）而只輸入主機名的中間部分，自動名字實現(xiàn)可附件一個后綴，直到找到主機名，通常先試的是.com，如果web站點不是以.com結(jié)尾，那么攻擊者可以注冊.com的名字來攔截這個域3）社會工程說服注冊機構(gòu)，更改域名4）域更新欠費沒更新，導致原有域名被他人注冊9.DNS風險及緩解辦法4.緩解風險辦法DNS的設計是用來管理大量的網(wǎng)絡地址信息。設計時考慮了速度、靈活性和可擴展性，但未考慮安全問題，因此不提供身份鑒別，且假定所有的詢問時可信的1）直接威脅緩解辦法補?。篋NS服務器和主機經(jīng)常打補丁內(nèi)部和外部域分開：DNS服務器應該是分開的，大的網(wǎng)絡應考慮在內(nèi)部網(wǎng)絡分段間分開設置服務器，以限制單個服務器破壞的影響，且能平衡DNS負載有限的緩沖間隔拒絕不匹配的回答：假如緩沖DNS服務器接到多個具有不同值的回答，全部緩沖器刷新9.DNS風險及緩解辦法4.緩解風險辦法2）技術威脅的緩解加固服務器：限制遠程可訪問進程數(shù)量，就能限制潛在的攻擊的數(shù)量，加固服務器可降低來自技術攻擊的威脅防火墻：在DNS服務器前面放置硬件防火墻限制遠程攻擊的數(shù)量10.SMTP郵件風險SMTP郵件系統(tǒng)設計時主要考慮可靠地、及時的傳遞報文，沒有考慮安全10.SMTP郵件風險SMTP郵件系統(tǒng)設計時主要考慮可靠地、及時的傳遞報文，沒有考慮安全1.偽裝報頭及垃圾郵件郵件用戶代理MUA能指定郵件報頭，每個郵件中繼附加接收到的報頭到郵件的開頭，用來跟蹤報文。偽裝的郵件報頭發(fā)生在發(fā)送者故意插入假的報頭信息。除了最后接收的報頭以外，電子郵件報頭的所有屬性都可以偽造。主體、日期、接收者、內(nèi)容甚至最初接收的報頭都能利用SMTP數(shù)據(jù)命令偽造垃圾郵件：占所有電子郵件80%，成因一方面缺乏身份鑒別，另一方面?zhèn)窝b報頭只需要很低的技巧。反垃圾郵件只能過濾或攔截掉90%的垃圾郵件。但制造者不斷改變技術，使靜態(tài)反垃圾郵件系統(tǒng)失效。同樣反垃圾郵件也會過濾掉非垃圾郵件10.SMTP郵件風險1.偽裝報頭及垃圾郵件接收的報頭包含“from”和“by”地址，如果一個報頭的“by”地址和下一個報頭的“from”不匹配，那么這個郵件很可能是偽造的接收的報頭包含一個時間戳和跟蹤號，不存在的話，也可能是偽造的根據(jù)發(fā)件人和內(nèi)容判定是否是垃圾郵件通過服務器處理日志來判斷偽造電子郵件10.SMTP郵件風險2.中繼和攔截SMTP并非總是將電子郵件從發(fā)送者送到接受者，通常使用中繼來路由信息SMTP管理員無須專門的允許來操作中繼，而且電子郵件信息一般是明文發(fā)送，結(jié)果是中繼的擁有者能讀取電子郵件甚至修改報文內(nèi)容為緩解風險，敏感的電子郵件使用內(nèi)容加密，PGP是常用的加密電子郵件的例子，但加密技術用于電子郵件有其局限性：兼容性：PGP用mutt（unix郵件客戶）加密的電子郵件，對MicrosoftOutlook的用戶不是很容易能看到的。越是復雜的機密系統(tǒng)越安全，但兼容性越差一致性：電子郵件是可以發(fā)送給任何人，包括陌生人。流行的密碼系統(tǒng)需要發(fā)送者對接受者有事先的連接，包括密鑰交換10.SMTP郵件風險3.SMTP和DNSSMTP最大風險來自于對DNS的依從。DNS用來識別郵件中繼，DNS受損導致電子郵件受損。電子郵件可被路由到敵意的中繼或單純被阻斷4.底層協(xié)議電子郵件也會受到底層協(xié)議如MAC、IP和TCP攔截的影響。如果安全是第一要素，應盡量不用電子郵件，尤其不能用來發(fā)送口令、信用卡信息或保密信息5.電子郵件倫理問題電子郵件在技術上可以被任意轉(zhuǎn)發(fā)電子郵件可以偽裝成他人的電子郵件地址發(fā)送SMTP無法驗證電子郵件的傳送以及是否被接收，擴展的SMTP可提供傳遞通知，回執(zhí)和投遞通知，但無法證明接收者是否確實收到了該郵件11.HTTP風險HTTP的設計目的是靈活和實時地傳送文件，沒有考慮安全因素。但使用HTTP的各種應用都期盼提供身份鑒別、認證和隱私，這就導致了基于無身份鑒別HTTP系統(tǒng)的風險。HTTP使用通用資源訪問地址URL作為定義查詢類型的縮寫標記。它不僅允許標識遠程服務和文件，而且也導致暴露攻擊的目標11.HTTP風險URL（UniformResourceLocation的縮寫，譯為“統(tǒng)一資源定位符）網(wǎng)頁的地址，組成：scheme://host:port/pathInternet資源類型（scheme）：指出WWW客戶程序用來操作的工具。如“http://”表示W(wǎng)WW服務器，“ftp://”表示FTP服務器服務器地址（host）：指出WWW頁所在的服務器域名。端口（port）：有時（并非總是這樣），對某些資源的訪問來說，需給出相應的服務器提供端口號路徑（path）：指明服務器上某資源的位置例如/pub/HXWZ就是一個典型的URL地址。客戶程序首先看到http（超文本傳送協(xié)議），便知道處理的是HTML鏈接。接下來的是站點地址，最后是目錄pub/HXWZ。而/pub/HXWZ/cm9612a.GB，WWW客戶程序需要用FTP去進行文件傳送，站點是，然后去目錄pub/HXWZ下，下載文件cm9612a.GB。11.HTTP風險1.URL漏洞URL為用戶提供了方便識別網(wǎng)絡資源的方法，URL可識別服務、服務器以及資源參數(shù)，攻擊者可以策劃一個敵意的URL并把被害者指向另一個位置，導致被破壞1）主機名破解攻擊URL通常包含主機名，使用戶容易記住不同的文本字符串，而無須用不易記憶的網(wǎng)絡地址。這很容易讓攻擊者獲得主機名等信息諸如相似的主機名和自動完成的風險比直接DNS破壞更簡單