網(wǎng)絡(luò)攻防原理與技術(shù) 第4版 課件 第3章 網(wǎng)絡(luò)脆弱性分析

本PPT是機(jī)械工業(yè)出版社出版的教材《網(wǎng)絡(luò)攻防原理與技術(shù)（第3版）》配套教學(xué)PPT（部分內(nèi)容的深度和廣度比教材有所擴(kuò)展），作者：吳禮發(fā)，洪征，李華波本PPT可能會(huì)直接或間接采用了網(wǎng)上資源或公開(kāi)學(xué)術(shù)報(bào)告中的部分PPT頁(yè)面、圖片、文字，引用時(shí)我們力求在該P(yáng)PT的備注欄或標(biāo)題欄中注明出處，如果有疏漏之處，敬請(qǐng)諒解。同時(shí)對(duì)被引用資源或報(bào)告的作者表示誠(chéng)摯的謝意！本PPT可免費(fèi)使用、修改，使用時(shí)請(qǐng)保留此頁(yè)。聲明第三章網(wǎng)絡(luò)脆弱性分析威脅網(wǎng)絡(luò)安全的主要因素廣義上的網(wǎng)絡(luò)安全概念威脅因素環(huán)境和災(zāi)害因素溫度、濕度、供電、火災(zāi)、水災(zāi)、地震、靜電、灰塵、雷電、強(qiáng)電磁場(chǎng)、電磁脈沖等，均會(huì)破壞數(shù)據(jù)和影響信息系統(tǒng)的正常工作人為因素：多數(shù)安全事件是由于人員的疏忽、惡意程序、黑客的主動(dòng)攻擊造成的有意：人為的惡意攻擊、違紀(jì)、違法和犯罪無(wú)意：工作疏忽造成失誤（配置不當(dāng)?shù)龋?，?huì)對(duì)系統(tǒng)造成嚴(yán)重的不良后果威脅網(wǎng)絡(luò)安全的主要因素威脅因素(Cont.)系統(tǒng)自身因素計(jì)算機(jī)系統(tǒng)硬件系統(tǒng)的故障軟件：操作系統(tǒng)、支撐軟件和應(yīng)用軟件網(wǎng)絡(luò)和通信協(xié)議系統(tǒng)自身的脆弱和不足是造成信息系統(tǒng)安全問(wèn)題的內(nèi)部根源，攻擊者正是利用系統(tǒng)的脆弱性使各種威脅變成現(xiàn)實(shí)內(nèi)容提綱網(wǎng)絡(luò)體系結(jié)構(gòu)的脆弱性2典型網(wǎng)絡(luò)協(xié)議的脆弱性3計(jì)算機(jī)系統(tǒng)安全分析4計(jì)算機(jī)網(wǎng)絡(luò)概述1計(jì)算機(jī)網(wǎng)絡(luò)：由通信信道連接的主機(jī)和網(wǎng)絡(luò)設(shè)備的集合，以方便用戶共享資源和相互通信主機(jī)：計(jì)算機(jī)和非計(jì)算機(jī)設(shè)備信道：有線與無(wú)線網(wǎng)絡(luò)設(shè)備：集線器、交換機(jī)、路由器等計(jì)算機(jī)網(wǎng)絡(luò)計(jì)算機(jī)網(wǎng)絡(luò)：由通信信道連接的主機(jī)和網(wǎng)絡(luò)設(shè)備的集合，以方便用戶共享資源和相互通信互聯(lián)網(wǎng)（internet或internetwork）因特網(wǎng)（Internet）計(jì)算機(jī)網(wǎng)絡(luò)因特網(wǎng)：多層次ISP結(jié)構(gòu)的網(wǎng)絡(luò)計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)和組成第一層ISP大公司本地ISP大公司大公司公司本地ISP本地ISP校園網(wǎng)局域網(wǎng)局域網(wǎng)局域網(wǎng)第二層ISP第二層ISPIXPIXP第一層ISP第二層ISP本地ISP本地ISP本地ISP本地ISP第一層ISP第一層第二層第三層本地ISP第二層ISP本地ISP本地ISP本地ISP本地ISP第二層ISP本地ISP本地ISP第二層ISP企業(yè)用戶住宅用戶單位用戶主機(jī)B主機(jī)A校園用戶因特網(wǎng)：邊緣部分+核心部分計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)和組成核心部分邊緣部分主機(jī)網(wǎng)絡(luò)路由器接入網(wǎng)邊緣部分：主機(jī)+接入網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)和組成核心部分：大量網(wǎng)絡(luò)+路由器計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)和組成H1H5H2H4H3H6發(fā)送的分組路由器AEDBC網(wǎng)絡(luò)核心部分主機(jī)網(wǎng)絡(luò)的體系結(jié)構(gòu)(architecture)：計(jì)算機(jī)網(wǎng)絡(luò)的各層及其協(xié)議的集合協(xié)議（protocol）：為網(wǎng)絡(luò)中互相通信的對(duì)等實(shí)體間進(jìn)行數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)或約定，三要素：語(yǔ)法、語(yǔ)義、同步網(wǎng)絡(luò)體系結(jié)構(gòu)網(wǎng)絡(luò)體系結(jié)構(gòu)內(nèi)容提綱網(wǎng)絡(luò)體系結(jié)構(gòu)的脆弱性2典型網(wǎng)絡(luò)協(xié)議的脆弱性3計(jì)算機(jī)系統(tǒng)安全分析4計(jì)算機(jī)網(wǎng)絡(luò)概述1從網(wǎng)絡(luò)體系結(jié)構(gòu)上分析分組交換、認(rèn)證與可追蹤性、盡力而為的服務(wù)策略、匿名與隱私、無(wú)尺度網(wǎng)絡(luò)、級(jí)聯(lián)結(jié)構(gòu)、互聯(lián)網(wǎng)的級(jí)聯(lián)特性、中間盒子計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性問(wèn)題一：分組交換Internet是基于分組交換的，這使得它比電信網(wǎng)（采用電路交換）更容易受攻擊：所有用戶共享所有資源，給予一個(gè)用戶的服務(wù)會(huì)受到其它用戶的影響；攻擊數(shù)據(jù)包在被判斷為是否惡意之前都會(huì)被轉(zhuǎn)發(fā)到受害者！(很容易被DoS攻擊)；路由分散決策，流量無(wú)序。計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性問(wèn)題二：認(rèn)證與可追蹤性Internet沒(méi)有認(rèn)證機(jī)制，任何一個(gè)終端接入即可訪問(wèn)全網(wǎng)（而電信網(wǎng)則不是，有UNI、NNI接口之分），這導(dǎo)致一個(gè)嚴(yán)重的問(wèn)題就是IP欺騙：攻擊者可以偽造數(shù)據(jù)包中的任何區(qū)域的內(nèi)容然后發(fā)送數(shù)據(jù)包到Internet中。通常情況下，路由器不具備數(shù)據(jù)追蹤功能（Why？），因此沒(méi)有現(xiàn)實(shí)的方法驗(yàn)證一個(gè)數(shù)據(jù)包是否來(lái)自于其所聲稱的地方。攻擊者通過(guò)IP欺騙隱藏來(lái)源。計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性問(wèn)題三：盡力而為(best-effort)因特網(wǎng)采取的是盡力而為策略：把網(wǎng)絡(luò)資源的分配和公平性完全寄托在終端的自律上是不現(xiàn)實(shí)的（DDoS利用的就是這一點(diǎn)）計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性問(wèn)題四：匿名與隱私普通用戶無(wú)法知道對(duì)方的真實(shí)身份，也無(wú)法拒絕來(lái)路不明的信息（如郵件）有人提出新的體系：終端名字與地址分離OntheInternet,nobodyknowsyouareadog;OntheInternet,allknowsyouarenotadog!計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性問(wèn)題五：對(duì)全球網(wǎng)絡(luò)基礎(chǔ)實(shí)施的依賴全球網(wǎng)絡(luò)基礎(chǔ)設(shè)施不提供可靠性、安全性保證，這使得攻擊者可以放大其攻擊效力：一些不恰當(dāng)?shù)膮f(xié)議設(shè)計(jì)導(dǎo)致一些（尤其是畸形的）數(shù)據(jù)包比其它數(shù)據(jù)包耗費(fèi)更多的資源（如TCPSYN包比其它的TCP包占用的目標(biāo)資源更多）；Internet是一個(gè)大“集體”，其中有很多的不安全的系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性問(wèn)題六：無(wú)尺度網(wǎng)絡(luò)無(wú)尺度網(wǎng)絡(luò)的典型特征是網(wǎng)絡(luò)中的大部分結(jié)點(diǎn)只和很少結(jié)點(diǎn)連接，而有極少數(shù)結(jié)點(diǎn)與非常多的結(jié)點(diǎn)連接。這種關(guān)鍵結(jié)點(diǎn)（稱為“樞紐”或“集散結(jié)點(diǎn)”）的存在使得無(wú)尺度網(wǎng)絡(luò)對(duì)意外故障有強(qiáng)大的承受能力（刪除大部分網(wǎng)絡(luò)結(jié)點(diǎn)而不會(huì)引發(fā)網(wǎng)絡(luò)分裂），但面對(duì)針對(duì)樞紐結(jié)點(diǎn)的協(xié)同性攻擊時(shí)則顯得脆弱（刪除少量樞紐結(jié)點(diǎn)就能讓無(wú)尺度網(wǎng)絡(luò)分裂成微小的孤立碎片）。CDNLoop攻擊計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性問(wèn)題七：互聯(lián)網(wǎng)的級(jí)聯(lián)特性互聯(lián)網(wǎng)是一個(gè)由路由器將眾多小的網(wǎng)絡(luò)級(jí)聯(lián)而成的大網(wǎng)絡(luò)。當(dāng)網(wǎng)絡(luò)中的一條通訊線路發(fā)生變化時(shí)，附近的路由器會(huì)通過(guò)“邊界網(wǎng)關(guān)協(xié)議(BGP)”向其鄰近的路由器發(fā)出通知。這些路由器接著又向其他鄰近路由器發(fā)出通知，最后將新路徑的情況發(fā)布到整個(gè)互聯(lián)網(wǎng)。也就是說(shuō)，一個(gè)路由器消息可以逐級(jí)影響到網(wǎng)絡(luò)中的其它路由器，形成“蝴蝶效應(yīng)”。“網(wǎng)絡(luò)數(shù)字大炮”計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性問(wèn)題八：中間盒子（MiddleBox）違背了“端到端原則”，從源端到目的端的數(shù)據(jù)分組的完整性無(wú)法被保證，互聯(lián)網(wǎng)透明性逐漸喪失中間盒子中間盒子中間盒子中間盒子中間盒子中間盒子中間盒子中間盒子清華大學(xué)段海新教授團(tuán)隊(duì)關(guān)于中間盒子主要研究成果中間盒子清華大學(xué)段海新教授：中間盒子內(nèi)容提綱網(wǎng)絡(luò)體系結(jié)構(gòu)的脆弱性2典型網(wǎng)絡(luò)協(xié)議的脆弱性3計(jì)算機(jī)系統(tǒng)安全分析4計(jì)算機(jī)網(wǎng)絡(luò)概述1一、IP協(xié)議安全性分析IPv4安全性分析IPv4協(xié)議沒(méi)有認(rèn)證機(jī)制：沒(méi)有消息源認(rèn)證：源地址假冒沒(méi)有完整性認(rèn)證：篡改IPv4安全性分析IPv4協(xié)議沒(méi)有認(rèn)證機(jī)制：沒(méi)有消息源認(rèn)證：源地址假冒沒(méi)有完整性認(rèn)證：篡改IPv4安全性分析IPv4協(xié)議沒(méi)有認(rèn)證機(jī)制：沒(méi)有消息源認(rèn)證：源地址假冒沒(méi)有完整性認(rèn)證：篡改IPv4安全性分析IPv4協(xié)議沒(méi)有認(rèn)證機(jī)制：沒(méi)有消息源認(rèn)證：源地址假冒沒(méi)有完整性認(rèn)證：篡改IPv4沒(méi)有加密機(jī)制無(wú)機(jī)密性：監(jiān)聽(tīng)?wèi)?yīng)用數(shù)據(jù)泄露拓?fù)涞刃畔ⅲ壕W(wǎng)絡(luò)偵察無(wú)帶寬控制：DDoS攻擊IPv4IPsec

(IPSecurity)端到端的確保IP通信安全：認(rèn)證、加密及密鑰管理為IPv6制定（必選），支持IPv4（可選）IPsecIPv6IPv6從IPv4向IPv6過(guò)渡采用逐步演進(jìn)的方法，IETF推薦的過(guò)渡方案主要有：雙協(xié)議棧(dualstack)隧道(tunneling)網(wǎng)絡(luò)地址轉(zhuǎn)換IPv6IPv6部署情況（APNIC，2019.6）：IPv6IPv6通過(guò)IPsec來(lái)保證IP層的傳輸安全，提高了網(wǎng)絡(luò)傳輸?shù)谋Ｃ苄浴⑼暾?、可控性和抗否認(rèn)性IPv6安全安全問(wèn)題IPv4向IPv6過(guò)渡技術(shù)的安全風(fēng)險(xiǎn)無(wú)狀態(tài)地址自動(dòng)配置的安全風(fēng)險(xiǎn)IPv6中PKI管理系統(tǒng)的安全風(fēng)險(xiǎn)IPv6編址機(jī)制的隱患IPv6安全安全問(wèn)題IPv6的安全機(jī)制對(duì)網(wǎng)絡(luò)安全體系的挑戰(zhàn)所帶來(lái)的安全風(fēng)險(xiǎn)：正在服役的IDS/IPS/WAF不一定支持，于是可以暢行無(wú)阻IPv6安全二、ICMP協(xié)議安全性分析ICMPv4IP首部0IP數(shù)據(jù)部分檢驗(yàn)和類型代碼（這4個(gè)字節(jié)取決于ICMP報(bào)文的類型）81631IP數(shù)據(jù)報(bào)前4個(gè)字節(jié)都是一樣的ICMP的數(shù)據(jù)部分（長(zhǎng)度取決于類型）ICMP報(bào)文ICMPv6實(shí)現(xiàn)IPv4中ICMP、ARP和IGMP的功能，同時(shí)進(jìn)行了功能擴(kuò)展ICMPv6不僅可以用于錯(cuò)誤報(bào)告，還可以用于鄰居發(fā)現(xiàn)（NeighborDiscovery,ND），對(duì)應(yīng)IPv4中的ARP協(xié)議功能；配置和管理組播地址，由組播收聽(tīng)發(fā)現(xiàn)協(xié)議（MulticastListenerDiscovery,MLD）實(shí)現(xiàn)，對(duì)應(yīng)IPv4中的IGMP協(xié)議功能；路由器發(fā)現(xiàn)（RouterDiscovering,RD）以及消息重定向等功能ICMPv6安全問(wèn)題利用“目的不可達(dá)”報(bào)文對(duì)攻擊目標(biāo)發(fā)起拒絕服務(wù)攻擊。利用“改變路由”報(bào)文破壞路由表，導(dǎo)致網(wǎng)絡(luò)癱瘓。木馬利用ICMP協(xié)議報(bào)文進(jìn)行隱蔽通信。利用“回送(Echo)請(qǐng)求或回答”報(bào)文進(jìn)行網(wǎng)絡(luò)掃描或拒絕服務(wù)攻擊ICMP三、ARP協(xié)議安全性分析ARP用于將計(jì)算機(jī)的網(wǎng)絡(luò)地址（32位IP地址）轉(zhuǎn)化為物理地址（48位MAC地址）ARP高速緩存（ARPCache）ARPARP安全問(wèn)題網(wǎng)絡(luò)嗅探：流量劫持阻止目標(biāo)的數(shù)據(jù)包通過(guò)網(wǎng)關(guān)ARP四、RIP協(xié)議及其安全性分析RIP一種內(nèi)部網(wǎng)關(guān)協(xié)議分布式的基于距離向量的路由選擇三個(gè)版本：RIPv1（RFC1058）、RIPv2（RFC1723）和RIPng。RIPv2新增了變長(zhǎng)子網(wǎng)掩碼的功能，支持無(wú)類域間路由、支持組播、支持認(rèn)證功能，同時(shí)對(duì)RIP路由器具有后向兼容性。RIPng主要用于IPv6網(wǎng)絡(luò)RIP協(xié)議路由策略和哪些路由器交換信息？?jī)H和相鄰路由器交換信息交換什么信息？當(dāng)前本路由器所知道的全部信息，即自己的路由表在什么時(shí)候交換信息？按固定的時(shí)間間隔交換路由信息RIP協(xié)議協(xié)議報(bào)文兩類報(bào)文：更新報(bào)文和請(qǐng)求報(bào)文。更新報(bào)文用于路由表的分發(fā)，請(qǐng)求報(bào)文用于路由器發(fā)現(xiàn)網(wǎng)上其它運(yùn)行RIP協(xié)議的路由器。RIP協(xié)議報(bào)文使用UDP協(xié)議進(jìn)行傳送RIP協(xié)議RIPv1不支持認(rèn)證，且使用不可靠的UDP協(xié)議作為傳輸協(xié)議，安全性較差。如果在沒(méi)有認(rèn)證保護(hù)的情況下，攻擊者可以輕易偽造RIP路由更新信息，并向鄰居路由器發(fā)送，偽造內(nèi)容為目的網(wǎng)絡(luò)地址、子網(wǎng)掩碼地址與下一條地址，經(jīng)過(guò)若干輪的路由更新，網(wǎng)絡(luò)通信將面臨癱瘓的風(fēng)險(xiǎn)RIP協(xié)議安全RIPv2在其報(bào)文格式中增加了一個(gè)可以設(shè)置16個(gè)字符的認(rèn)證選項(xiàng)字段，支持明文認(rèn)證和MD5加密認(rèn)證兩種認(rèn)證方式，字段值分別是16個(gè)字符的明文密碼字符串或者M(jìn)D5簽名。RIP認(rèn)證以單向?yàn)橹?，R2發(fā)送出的路由被R1授受，反之無(wú)法接受。另外，RIPv2協(xié)議路由更新需要配置統(tǒng)一的密碼明文認(rèn)證的安全性仍然較弱RIP協(xié)議安全對(duì)于不安全的RIP協(xié)議，中小型網(wǎng)絡(luò)通?？刹扇〉姆婪洞胧┌ǎ孩賹⒙酚善鞯哪承┙涌谂渲脼楸粍?dòng)接口，配置為被動(dòng)接口后，該接口停止向它所在的網(wǎng)絡(luò)廣播路由更新報(bào)文，但是允許它接收來(lái)自其他路由器的更新報(bào)文；②配置路由器的訪問(wèn)控制列表，只允許某些源IP地址的路由更新報(bào)文進(jìn)入列表RIP協(xié)議安全RIPng為IPv6環(huán)境下運(yùn)行的RIP協(xié)議，采用和RIPv2完全不同的安全機(jī)制。RIPng使用和RIPv1相似的報(bào)文格式，充分利用IPv6中IPsec提供的安全機(jī)制，包括AH認(rèn)證、ESP加密以及偽報(bào)頭校驗(yàn)等，保證了RIPng路由協(xié)議交換路由信息的安全。RIP協(xié)議安全五、OSPF協(xié)議及其安全性分析路由策略和哪些路由器交換信息？向本自治系統(tǒng)中所有路由器發(fā)送信息，通常洪泛法交換什么信息？與本路由器相鄰的所有路由器的鏈路狀態(tài)，只是路由器所知部分信息表在什么時(shí)候交換信息？當(dāng)鏈路狀態(tài)發(fā)生變化時(shí)，路由器向所有路由器發(fā)送此信息；定期同步鏈路狀態(tài)OSPF協(xié)議OSPF使用分布式鏈路狀態(tài)協(xié)議(linkstateprotocol)由于OSPF依靠各路由器之間頻繁地交換鏈路狀態(tài)信息，因此所有的路由器都能建立一個(gè)鏈路狀態(tài)數(shù)據(jù)庫(kù)（LinkStateDatabase,LSDB），這個(gè)數(shù)據(jù)庫(kù)實(shí)際上就是全網(wǎng)拓?fù)浣Y(jié)構(gòu)圖每一個(gè)路由器使用LSDB中的數(shù)據(jù)，構(gòu)造自己的路由表（例如，使用Dijkstra算法）OSPF協(xié)議OSPF協(xié)議報(bào)文類型1，問(wèn)候(Hello)報(bào)文，用來(lái)發(fā)現(xiàn)和維持鄰站的可達(dá)性類型2，數(shù)據(jù)庫(kù)描述(DatabaseDescription)報(bào)文，向鄰站給出自己的鏈路狀態(tài)數(shù)據(jù)庫(kù)中的所有鏈路狀態(tài)項(xiàng)目的摘要信息類型3，鏈路狀態(tài)請(qǐng)求(LinkStateRequest,LSR)報(bào)文，向?qū)Ψ秸?qǐng)求發(fā)送某些鏈路狀態(tài)項(xiàng)目的詳細(xì)信息OSPF協(xié)議OSPF協(xié)議報(bào)文類型4，鏈路狀態(tài)更新(LinkStateUpdate,LSU)報(bào)文，用洪泛法向全網(wǎng)發(fā)送更新的鏈路狀態(tài)類型5，鏈路狀態(tài)確認(rèn)(LinkStateAcknowledgment,LSAck)報(bào)文，對(duì)鏈路更新報(bào)文的確認(rèn)OSPF協(xié)議OSPF不用UDP而是直接用IP數(shù)據(jù)報(bào)傳送（其IP數(shù)據(jù)報(bào)首部的協(xié)議字段值為89）其報(bào)文OSPF協(xié)議OSPF協(xié)議可以對(duì)接口、區(qū)域、虛鏈路進(jìn)行認(rèn)證接口認(rèn)證要求在兩個(gè)路由器之間必須配置相同的認(rèn)證口令。區(qū)域認(rèn)證是指所有屬于該區(qū)域的接口都要啟用認(rèn)證，因?yàn)镺SPF以接口作為區(qū)域分界。區(qū)域認(rèn)證接口與鄰接路由器建立鄰居需要有相同的認(rèn)證方式與口令，但在同一區(qū)域中不同網(wǎng)絡(luò)類型可以有不同的認(rèn)證方式和認(rèn)證口令。配置區(qū)域認(rèn)證的接口可以與配置接口認(rèn)證的接口互相認(rèn)證，使用MD5認(rèn)證口令I(lǐng)D要相同OSPF安全OSPF認(rèn)證方式空認(rèn)證（NULL，即不認(rèn)證，類型為0），默認(rèn)認(rèn)證方式簡(jiǎn)單口令認(rèn)證（類型為1）MD5加密身份認(rèn)證（類型為2）OSPF報(bào)文格式中有二個(gè)與認(rèn)證有關(guān)的字段：認(rèn)證類型（AuType,16位）、認(rèn)證數(shù)據(jù)（Authentication,64位）OSPF安全同RIPng一樣，OSPFv3協(xié)議自身不再有加密認(rèn)證機(jī)制，取而代之的是通過(guò)IPv6的IPsec協(xié)議來(lái)保證安全性，路由協(xié)議必須運(yùn)行在支持IPsec的路由器上。IPsec可確保路由器報(bào)文來(lái)自于授權(quán)的路由器；重定向報(bào)文來(lái)自于被發(fā)送給初始包的路由器；路由更新未被偽造OSPF安全OSPF攻擊方式最大年齡（MaxAgeattack）攻擊序列號(hào)加1（Sequence++）攻擊最大序列號(hào)攻擊重放攻擊篡改攻擊OSPF安全六、BGP協(xié)議及其安全性分析BGP協(xié)議是一種應(yīng)用于AS之間的邊界路由協(xié)議，而且運(yùn)行邊界網(wǎng)關(guān)協(xié)議的路由器一般都是網(wǎng)絡(luò)上的骨干路由器運(yùn)行BGP協(xié)議的路由器相互之間需要建立TCP連接以交換路由信息，這種連接稱為BGP會(huì)話(Session)BGP協(xié)議BGP定義了四種主要報(bào)文，即：打開(kāi)(Open)報(bào)文，用來(lái)與相鄰的另一個(gè)BGP發(fā)言人建立關(guān)系更新(Update)報(bào)文，用來(lái)發(fā)送某一路由的信息以及列出要撤消的多條路由?；?KeepAlive)報(bào)文，用來(lái)確認(rèn)打開(kāi)報(bào)文和周期性地證實(shí)鄰站關(guān)系通知(Notification)報(bào)文，用來(lái)發(fā)送檢測(cè)到的差錯(cuò)BGP協(xié)議BGP協(xié)議BGP發(fā)言人BGP發(fā)言人BGP發(fā)言人BGP發(fā)言人BGP發(fā)言人AS1AS3AS2AS5AS4BGP協(xié)議最主要的安全問(wèn)題在于缺乏一個(gè)安全可信的路由認(rèn)證機(jī)制，即BGP無(wú)法對(duì)所傳播的路由信息的安全性進(jìn)行驗(yàn)證。每個(gè)自治系統(tǒng)向外通告自己所擁有的CIDR地址塊，并且協(xié)議無(wú)條件信任對(duì)等系統(tǒng)的路由通告，這將就導(dǎo)致一個(gè)自治系統(tǒng)向外通告不屬于自己的前綴時(shí)，也會(huì)被BGP用戶認(rèn)為合法，從而接受和傳播，導(dǎo)致路由攻擊的發(fā)生BGP安全由于BGP協(xié)議使用TCP作為其傳輸協(xié)議，因此同樣會(huì)面臨很多因?yàn)槭褂肨CP而導(dǎo)致的安全問(wèn)題，如SYNFlood攻擊、序列號(hào)預(yù)測(cè)等BGP安全BGP協(xié)議的路由更新機(jī)制也存在被攻擊的威脅。2011年美國(guó)明尼蘇達(dá)大學(xué)M.Schuchard等人在NDSS2011國(guó)際會(huì)議上提出了一種基于BGP協(xié)議漏洞的CXPST（CoordinatedCrossPlaneSessionTermination）攻擊方法，俗稱“數(shù)字大炮”BGP安全數(shù)字大炮BGP安全ABR1R2關(guān)鍵路徑關(guān)鍵路徑BGP協(xié)議BGP劫持BGP安全/articles/5042BGP安全/articles/6548BGP安全BGP安全2018年9月，NIST與DHS團(tuán)隊(duì)共同發(fā)布了其BGP路由來(lái)源驗(yàn)證（ROV）標(biāo)準(zhǔn)的初稿，此項(xiàng)標(biāo)準(zhǔn)將幫助互聯(lián)網(wǎng)服務(wù)供應(yīng)商與云服務(wù)供應(yīng)商抵御BGP劫持攻擊IETF網(wǎng)站上還以RFC8210與RFC8206的形式發(fā)布了BGPRPKI與BGPsec兩項(xiàng)SIDR協(xié)議標(biāo)準(zhǔn)BGP安全七、UDP協(xié)議及其安全性分析UDP源端口目的端口長(zhǎng)度檢驗(yàn)和數(shù)據(jù)數(shù)據(jù)首部首部UDP用戶數(shù)據(jù)報(bào)IP數(shù)據(jù)報(bào)2222字節(jié)發(fā)送在前安全問(wèn)題可以用來(lái)發(fā)起風(fēng)暴型拒絕服務(wù)攻擊，也可以進(jìn)行網(wǎng)絡(luò)掃描UDP八、TCP協(xié)議及其安全性分析TCP目的端口數(shù)據(jù)偏移檢驗(yàn)和選項(xiàng)（長(zhǎng)度可變）源端口序號(hào)緊急指針窗口確認(rèn)號(hào)保留FIN32bitTCP首部20

字節(jié)的固定首部SYNRSTPSHACKURG比特08162431填充TCP數(shù)據(jù)部分TCP首部TCP報(bào)文段IP數(shù)據(jù)部分IP首部發(fā)送在前TCP協(xié)議TCP協(xié)議安全性分析網(wǎng)絡(luò)掃描拒絕服務(wù)（DoS）攻擊TCP會(huì)話劫持攻擊TCP協(xié)議端口掃描TCP協(xié)議端口掃描：TCPConnect掃描TCPSYN掃描TCPFIN掃描Xmas掃描和Null掃描TCP協(xié)議DDoS攻擊：TCPSYNFloodingTCP協(xié)議連接劫持：TCP協(xié)議只要TCP包中的源端口、目的端口、Seq、Ack正確，即可被正確接收。當(dāng)?shù)玫饺肭终邩?gòu)造的TCP數(shù)據(jù)包，協(xié)議會(huì)假設(shè)數(shù)據(jù)包是來(lái)源于TCP連接中另一方的合法數(shù)據(jù)包，并且發(fā)送響應(yīng)包到（入侵者構(gòu)造的數(shù)據(jù)包中設(shè)置的IP地址）。隨后，原來(lái)的TCP連接會(huì)由于計(jì)數(shù)器不匹配而斷開(kāi)連接。連接劫持：TCP協(xié)議關(guān)鍵：猜測(cè)Seq、Ack，如果是旁路劫持還需猜測(cè)源端口號(hào)連接劫持：TCP協(xié)議連接劫持：TCP協(xié)議連接劫持：TCP協(xié)議連接劫持：TCP協(xié)議連接劫持：TCP協(xié)議連接劫持：TCP協(xié)議連接劫持：TCP協(xié)議連接劫持：TCP協(xié)議連接劫持：TCP協(xié)議連接劫持：TCP協(xié)議USENIXSECURITY2016連接劫持：TCP協(xié)議USENIXSECURITY2016RFC5961連接劫持：TCP協(xié)議USENIXSECURITY2016連接劫持：TCP協(xié)議USENIXSECURITY2016GeekPwn2016連接劫持：TCP協(xié)議USENIXSECURITY2018連接劫持：TCP協(xié)議USENIXSECURITY2018連接劫持：TCP協(xié)議USENIXSECURITY2018連接劫持：TCP協(xié)議USENIXSECURITY2018連接劫持：TCP協(xié)議USENIXSECURITY2018連接劫持：TCP協(xié)議USENIXSECURITY2018連接劫持：TCP協(xié)議USENIXSECURITY2018連接劫持：TCP協(xié)議USENIXSECURITY2018連接劫持：TCP協(xié)議USENIXSECURITY2018GeekPwn2017SSL/TLS

IP/IPSec

TCP

HTTPFTPSMTP

IP

TCP

HTTPFTPSMTP

IP

UDP

SSLorTLS

TCP

Kerberos

SMTP

HTTP

S/MIME

(a)網(wǎng)絡(luò)層(b)傳輸層(c)應(yīng)用層SSL/TLS九、DNS協(xié)議及其安全性分析DNS遞歸查詢以瀏覽網(wǎng)站為例說(shuō)明域名解析過(guò)程瀏覽器導(dǎo)航欄中鍵入網(wǎng)站的域名或單擊URL鏈接后，瀏覽器將啟動(dòng)DNS解析過(guò)程來(lái)查找這些IP地址瀏覽器會(huì)向“解析器”(resolver)發(fā)送一個(gè)查詢，解析器會(huì)在本地保留以前查詢過(guò)的問(wèn)題的答案副本（緩存），如果存在直接響應(yīng)瀏覽器。如果緩存中沒(méi)有，則解析器會(huì)執(zhí)行完整的DNS解析過(guò)程。以瀏覽網(wǎng)站為例說(shuō)明域名解析過(guò)程向13個(gè)根服務(wù)器中的任意一個(gè)根服務(wù)器發(fā)送包含網(wǎng)站域名的查詢，詢問(wèn)該網(wǎng)站對(duì)應(yīng)的IP地址。收到查詢請(qǐng)求的根服務(wù)器會(huì)返回一個(gè)“引薦”（referral）作為響應(yīng)，包含網(wǎng)站域名TLD的名稱服務(wù)器的列表。例如，如果您嘗試訪問(wèn)網(wǎng)站，您的解析器將向其中一個(gè)根服務(wù)器發(fā)送一個(gè)查詢，詢問(wèn)該域名的IP地址，此時(shí)，根服務(wù)器將返回一個(gè)列出了“.com”（我們示例中的TLD）的所有名稱服務(wù)器的列表。以瀏覽網(wǎng)站為例說(shuō)明域名解析過(guò)程將同一查詢發(fā)送到引薦響應(yīng)中收到的其中一個(gè)TLD的名稱服務(wù)器。TLD名稱服務(wù)器通常也只包含它們負(fù)責(zé)的域的名稱服務(wù)器信息。因此，就像發(fā)送到根服務(wù)器的查詢一樣，發(fā)送到TLD名稱服務(wù)器的查詢也會(huì)收到引薦響應(yīng)，提供一個(gè)有關(guān)所查詢的二級(jí)域的名稱服務(wù)器列表。如前例，解析器將向其中一個(gè)“.com”名稱服務(wù)器發(fā)送對(duì)“”的查詢，詢問(wèn)該域名的IP地址，“.com”名稱服務(wù)器將返回一個(gè)列出“”的所有名稱服務(wù)器的列表。以瀏覽網(wǎng)站為例說(shuō)明域名解析過(guò)程此解析過(guò)程將一直繼續(xù)，直到將查詢發(fā)送到符合以下條件之一的域名服務(wù)器：擁有答案，即Web服務(wù)器的IP地址；或者域名服務(wù)器能夠發(fā)布權(quán)威性聲明，表示所查詢的域名不存在。在示例中，解析器將向其中一個(gè)“”的名稱服務(wù)器發(fā)送對(duì)“”的查詢，該名稱服務(wù)器可能知道與“”相關(guān)的IP地址，并返回這些地址。。以瀏覽網(wǎng)站為例說(shuō)明域名解析過(guò)程根服務(wù)器系統(tǒng)（rootserversystem）由1000多臺(tái)單獨(dú)的計(jì)算機(jī)（稱為根服務(wù)器“節(jié)點(diǎn)”【instance】）組成，這些計(jì)算機(jī)會(huì)保留DNS的根數(shù)據(jù)。這些節(jié)點(diǎn)通過(guò)引薦頂級(jí)域的名稱服務(wù)器來(lái)響應(yīng)來(lái)自互聯(lián)網(wǎng)解析器的查詢。根服務(wù)器鏡像根域名服務(wù)器遞歸與迭代相結(jié)合的查詢DNSDNS生態(tài)系統(tǒng)安全問(wèn)題DNSDNS面臨的安全威脅一、協(xié)議脆弱性域名欺騙：域名系統(tǒng)(包括DNS服務(wù)器和解析器)接收或使用來(lái)自未授權(quán)主機(jī)的不正確信息，事務(wù)ID欺騙和緩存投毒DNS安全威脅一、協(xié)議脆弱性域名欺騙：域名系統(tǒng)(包括DNS服務(wù)器和解析器)接收或使用來(lái)自未授權(quán)主機(jī)的不正確信息，事務(wù)ID欺騙和緩存投毒DNS安全威脅一、協(xié)議脆弱性USENIXSecurity2020：鄭曉峰等，PoisonOverTroubledForwarders:A

cachePoisoningAttackTargetingDNSForwardingDevices。提出了針對(duì)DNS協(xié)議設(shè)計(jì)的一種新的攻擊方法，可以針對(duì)廣泛部署的DNS轉(zhuǎn)發(fā)服務(wù)（如家用WiFi路由器、公共Wi-Fi等場(chǎng)景）實(shí)現(xiàn)緩存污染攻擊，D-Link、Linksys、微軟DNS、開(kāi)源軟件dnsmasq等多個(gè)知名品牌的產(chǎn)品或系統(tǒng)可能受到該攻擊的影響。DNS安全威脅一、協(xié)議脆弱性域名欺騙：域名系統(tǒng)(包括DNS服務(wù)器和解析器)接收或使用來(lái)自未授權(quán)主機(jī)的不正確信息，事務(wù)ID欺騙和緩存投毒DNS安全威脅一、協(xié)議脆弱性網(wǎng)絡(luò)通信攻擊：針對(duì)DNS的網(wǎng)絡(luò)通信攻擊主要是DDoS攻擊、惡意網(wǎng)址重定向和中間人(man-in-the-middle,MITM)攻擊DNS安全威脅2016，DNS服務(wù)Dyn被DDoS攻擊2013，DNS被用于反射DDoS一、協(xié)議脆弱性網(wǎng)絡(luò)通信攻擊：DNS域名解析過(guò)程劫持DNS安全威脅段海新等USENIX2018一、協(xié)議脆弱性網(wǎng)絡(luò)通信攻擊：DNS域名解析過(guò)程劫持DNS安全威脅段海新等USENIX2018一、協(xié)議脆弱性網(wǎng)絡(luò)通信攻擊：DNS域名解析過(guò)程劫持DNS安全威脅段海新等USENIX2018一、協(xié)議脆弱性網(wǎng)絡(luò)通信攻擊：DNS域名解析過(guò)程劫持DNS安全威脅段海新等USENIX2018一、協(xié)議脆弱性網(wǎng)絡(luò)通信攻擊：DNS域名解析過(guò)程劫持DNS安全威脅段海新等USENIX2018一、協(xié)議脆弱性網(wǎng)絡(luò)通信攻擊：DNS域名解析過(guò)程劫持DNS安全威脅段海新等USENIX2018一、協(xié)議脆弱性網(wǎng)絡(luò)通信攻擊：DNS域名解析過(guò)程劫持DNS安全威脅段海新等USENIX2018一、協(xié)議脆弱性網(wǎng)絡(luò)通信攻擊：DNS域名解析過(guò)程劫持DNS安全威脅段海新等USENIX2018一、協(xié)議脆弱性網(wǎng)絡(luò)通信攻擊：DNS域名解析過(guò)程劫持DNS安全威脅段海新等USENIX2018一、協(xié)議脆弱性網(wǎng)絡(luò)通信攻擊：DNS域名解析過(guò)程劫持DNS安全威脅二、實(shí)現(xiàn)脆弱性DNS軟件，BIND的漏洞和缺陷無(wú)疑會(huì)給DNS系統(tǒng)帶來(lái)嚴(yán)重的威脅，其緩沖區(qū)溢出漏洞一度占據(jù)UNIX及Linux操作系統(tǒng)相關(guān)安全隱患的首位DNS安全威脅三、操作脆弱性由于人為操作或配置錯(cuò)誤所帶來(lái)的安全隱患：域名配置攻擊、域名注冊(cè)攻擊和信息泄漏等DNS安全威脅攻擊目標(biāo)網(wǎng)站域名注冊(cè)服務(wù)提供商

修改目標(biāo)網(wǎng)站域名記錄

申請(qǐng)網(wǎng)站證書(shū)

偽裝成目標(biāo)網(wǎng)站組合攻擊實(shí)現(xiàn)網(wǎng)站假冒攻擊目標(biāo)網(wǎng)站域名注冊(cè)服務(wù)提供商

修改目標(biāo)網(wǎng)站域名記錄

申請(qǐng)網(wǎng)站證書(shū)

偽裝成目標(biāo)網(wǎng)站組合攻擊實(shí)現(xiàn)網(wǎng)站假冒攻擊目標(biāo)網(wǎng)站域名注冊(cè)服務(wù)提供商

修改目標(biāo)網(wǎng)站域名記錄

申請(qǐng)網(wǎng)站證書(shū)

偽裝成目標(biāo)網(wǎng)站組合攻擊實(shí)現(xiàn)網(wǎng)站假冒通過(guò)查看的域名系統(tǒng)（DNS）記錄，發(fā)現(xiàn)指向的是馬來(lái)西亞的Internet地址：9攻擊者還從Let’sEncrypt獲得了的免費(fèi)加密證書(shū)。組合攻擊實(shí)現(xiàn)網(wǎng)站假冒此外，IP被解析到域名組合攻擊實(shí)現(xiàn)網(wǎng)站假冒DNSSEC域名欺騙、惡意網(wǎng)址重定向和中間人攻擊之所以能夠成功，是因?yàn)镈NS解析的請(qǐng)求者無(wú)法驗(yàn)證它所收到的應(yīng)答信息的真實(shí)性和完整性。為應(yīng)對(duì)上述安全威脅，IETF提出了DNS安全擴(kuò)展協(xié)議（DNSSEC）。DNSSECDNSSEC基本思想依賴于數(shù)字簽名和公鑰系統(tǒng)去保護(hù)DNS數(shù)據(jù)的可信性和完整性：權(quán)威域名服務(wù)器用自身的私鑰來(lái)簽名資源記錄，然后解析服務(wù)器用權(quán)威域名服務(wù)器的公鑰來(lái)認(rèn)證來(lái)自權(quán)威域名服務(wù)器的數(shù)據(jù)，如果認(rèn)證成功，則表明接收到的數(shù)據(jù)確實(shí)來(lái)自權(quán)威域名服務(wù)器，則解析服務(wù)器接收數(shù)據(jù)，如果認(rèn)證失敗，則表明接收到的數(shù)據(jù)很可能是偽造的，則解析服務(wù)器拋棄數(shù)據(jù)DNSSECDNS加密(DNSCrypt)十、HTTP協(xié)議及其安全性分析HTTP安全問(wèn)題HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的，也就是明文，再通過(guò)不加密的TCP協(xié)議傳輸，因此使用HTTP協(xié)議傳輸?shù)碾[私信息非常不安全，同時(shí)還存在不能有效抵御假冒服務(wù)器的問(wèn)題無(wú)狀態(tài)使攻擊變得容易HTTP安全問(wèn)題互聯(lián)網(wǎng)中存在的大量中間盒子，HTTP標(biāo)準(zhǔn)(RFC2616和RFC7320)的理解如果不一致，