網絡安全學習筆記
一、 Ip欺騙(IP spoof)及防範原則
IP[地址]欺騙被用來從事非法活動,破壞網絡安全,黑客使用IP欺騙就不會被抓到,還有一些黑客進行Dos攻擊的時候,就可以隱藏真實的IP,這樣攻擊者就無法查到。IP欺騙有時候也可以用來被克隆某個內部網中的信息,這樣有時候就可以避免開戶名和密碼驗證而直接登錄系統。
TCP中的SYN、RST、FIN中 含義
在TCP報文的報頭中,有幾個標誌字段:
1、 SYN:同步序號(SYnchronize sequence Numbers),TCP SYN報文就是把這個標誌設置爲1,來請求建立連接;
2、 ACK:確認(Acknowledgement)請求/應答狀態。0爲請求,1爲應答;
3、 FIN:結束(FINish)連線。如果FIN爲0是結束連線請求,FIN爲1表示結束連線;
4、 RST:連線復位(Reset),首先斷開連接,然後重建;
5、 PSH:推送(Push)通知協議棧儘快把TCP數據提交給上層程序處理。
目前造成網絡不安全的因素有兩大類,一類是人爲因素,比如黑客;另外的就是網絡體系結構本身存在的安全缺陷,比如TCP/IP協議的安全性缺陷。IP地址欺騙就是通過TCP/IP協議本身存在的一些缺陷進行攻擊,取得目標系統的信任以便獲取機密信息。
IP地址欺騙的原理
在網絡上,計算機之間要進行交流必須在兩個前提之下:認證和信任。認證是一種鑑別過程,兩臺計算機經過認證的過程,纔會建立起相互信任的關係。信任和認證具有逆反關係,即如果計算機之間存在高度的信任關係,則交流時就不會要求嚴格的認證。而反之,如果計算機之間沒有很好的信任關係,則會進行嚴格的認證。
IP地址欺騙實質上就是冒充身份通過認證來騙取信任的攻擊方式,攻擊者針對認證機制的缺陷,將自己僞裝成其他計算機的IP地址,騙取連接來獲得信息或者得到特權。
常見的IP地址欺騙技術
- IP源路由欺騙
TCP/IP網絡中,IP包的傳輸路徑完全由路由決定,IP報文首部的可選項中有“源站選路”,可以指定到達目的站點的路由。
源站選路((source routing))給攻擊者帶來了很大的便利。
攻擊者可以使用假冒IP地址如10.10.2.3向受害者IP如10.10.5.5發送數據包,並指定了寬鬆的源站選路或者嚴格路由選擇,並把自己的IP地址如10.50.5.5填入地址清單中。
當受害者在應答的時候,按收到數據包的源路由選項反轉使用源路由,傳送到被更改過的路由器,由於路由器的路由表已被修改,收到受害者的數據包時,路由器根據路由表把數據包發送到攻擊者所在的網絡,攻擊者可在其局域網內較方便地進行偵聽,收取此數據包。
(2) TCP會話劫持
在一般的欺騙攻擊中攻擊者並不是積極主動地使一個用戶下線來實現他針對受害目標的攻擊,而是僅僅裝作是合法用戶。此時,被冒充的用戶可能並不在線上,而且它在整個攻擊中不扮演任何角色,因此攻擊者不會對它發動進攻。但是在會話劫持中,爲了接管整個會話過程,攻擊者需要積極攻擊使被冒充用戶下線。
在TCP/IP協議中,TCP協議提供可靠的連接服務,採用三次握手建立一個連接,用來交換TCP窗口大小信息,連接包含雙方的序列號和確認號。在TCP連接中,每臺主機會創建一個TCB數據結構,存儲與連接有關的數據。
TCP會話劫持過程分爲五個步驟:(1)發現攻擊目標。首先,通常攻擊者希望這個目標是一個准予TCP會話連接(例如Telnet和FTP等)的服務器。(2)確認動態會話。與大多數攻擊不同,會話劫持攻擊適合在網絡流通量達到高峯時纔會發生的。(3)猜測序列號。TCP區分正確數據包和錯誤數據包僅通過它們的SEQ/ACK序列號。序列號卻是隨着時間的變化而改變的。因此,攻擊者必須成功猜測出序列號。通過嗅探或ARP欺騙,先發現目標機正在使用的序列號,再根據序列號機制,可以猜測出下一對SEQ/ACK序列號。(4)使客戶主機下線。當攻擊者獲得了序列號後,爲了徹底接管這個會話,他就必須使客戶主機下線。使客戶主機下線最簡單的方式就是對其進行拒絕服務攻擊,從而使其不再繼續響應。(5)接管會話。既然攻擊者已經獲得了他所需要的一切信息,那麼他就可以持續向服務器發送數據包並且接管整個會話了。
IP欺騙攻擊的防禦
(1) 防範源路由欺騙
爲了保護一個單位不成爲基本IP地址攻擊的受害者,應該在路由器上進行基本過濾。大多數路由器有內置的欺騙過濾器。過濾器的最基本形式是,不允許任何從外面進入網絡的數據包使用單位的內部網絡地址作爲源地址。
保護自己或者單位免受源路由欺騙攻擊的最好方法是設置路由器禁止使用源路由。在一個Cisco路由器上,可以通過使用IPsource-route命令使源路由有效或者無效,在其他路由器上可以使用類似的命令使源路由無效。
(2) 防範會話劫持攻擊
會話劫持攻擊是非常危險的,因爲攻擊者能夠直接接管合法用戶的會話。在其他的攻擊中可以處理那些危險並且將它消除。但是在會話劫持中,消除這個會話也就意味着禁止了一個合法的連接,從本質上來說這麼做就背離了使用Internet進行連接的目的。
沒有有效的辦法可以從根本上防範會話劫持攻擊,以下列舉了一些方法可以儘量縮小會話攻擊所帶來危害:(1)進行加密。加密技術是可以防範會話劫持攻擊爲數不多的方式之一。如果攻擊者不能讀取傳輸數據,那麼進行會話劫持攻擊也是十分困難的。(2)使用安全協議。無論何時當用戶連入到一個遠端的機器上,特別是當從事敏感工作或是管理員操作時,都應當使用安全協議。(3)限制保護措施。允許從網絡上傳輸到用戶單位內部網絡的信息越少,那麼用戶將會越安全,這是個最小化會話劫持攻擊的方法。攻擊者越難進入系統,那麼系統就越不容易受到會話劫持攻擊。
二、無線網絡安全術語
SSID(Service Set Identifier,服務集標識)技術可以將一個無線局域網分爲幾個需要不同身份驗證的子網絡,每一個子網絡都需要獨立的身份驗證,只有通過身份驗證的用戶纔可以進入相應的子網絡,防止未被授權的用戶進入本網絡。
ESSID(Extended Service Set Identifier,擴展的服務集標識),用來區分不同的大型網絡,最多32個字符,無線網卡設置了不同的SSID就可以進入不同網絡,SSID通常由AP或無線路由器廣播,通過系統自帶的掃描功能可以查看當前區域內的SSID。
無線接入點是指無線局域網(WLAN)用戶終端接入網絡的設備。用戶通過網卡接入WLAN的接入點AP(Access Point),就可以接入有線網絡。
Wi-Fi無線局域網的認證(Authentication)和加密(Encryption)方式有Open System, WEP, WPA, WPA2, MAC ACL。
Open System: 完全不認證也不加密,任何擁有無線網卡的人都可以連到無線接入點。
WEP (Wired Equivalent Privacy,有線等效保密): 有線等效保護協議。無線接入點設定有 WEP密鑰(WEP Key),無線網卡在要接入到無線網絡是必須要設定相同的WEP Key,否則無法連接到無線網絡。WEP可以用在認證或是加密,例如認證使用Open System,而加密使用WEP;或者認證和加密都使用WEP。
WEP加密方式各密鑰類型要求密鑰字符數目:
64位密鑰:ASCII碼字符5個,十六進制字符10個
128位密鑰:ASCII碼字符13個,十六進制字符26個
標準的64比特WEP使用40比特(十六進制字符10個)的接上24比特的初向量(initialization vector,IV) 成爲64比特密鑰。 128 比特的 WEP 使用104比特(十六進制字符26個)的接上24比特的IV。
十六進制字符包括0~9和A~F。
【ASCII (American Standard Code for Information Interchange,美國信息交換標準代碼)碼使用指定的7 位或8 位二進制數組合來表示128 或256 種可能的字符。標準ASCII 碼也叫基礎ASCII碼,使用7 位二進制數(剩下的1位二進制爲0)來表示所有的大寫和小寫字母,數字0 到9、標點符號, 以及在美式英語中使用的特殊控制字符。擴展ASCII 字符是從128 到255(0x80-0xff)的字符。擴展ASCII不再是國際標準。】
WPA (Wi-Fi Protected Access,Wi-Fi網絡安全接入 ): WPA的認證分爲兩種:第一種採用802.1x+EAP的方式,用戶提供認證所需的憑證,如用戶名密碼,通過特定的用戶認證服務器(一般是RADIUS服 務器)來實現。在大型企業網絡中,通常採用這種方式。另外一種是相對簡單的模式,它不需要專門的認證服務器,這種模式叫做WPA預共享密鑰(WPA-PSK),僅要求在每個WLAN節點(AP、無 線路由器、網卡等)預先輸入一個密鑰即可實現。只要密鑰吻合,客戶就可以獲得WLAN的訪問權。由於這個密鑰僅僅用於認證過程,而不用於加密過程,因此不 會導致諸如使用WEP密鑰來進行802.11共享認證那樣嚴重的安全問題。WPA採用TKIP(Temporal Key Integrity Protocol,臨時密鑰完整性協議)爲加密引入了新的機制,它使用一種密鑰構架和管理方法,通過由認證服務器動態生成分發的密鑰來取代單個靜態密鑰、把密鑰首部長度從24 位增加到48位等方法增強安全性。而且,TKIP利用了802.1x/EAP構架。認證服務器在接受了用戶身份後,使用802.1x產生一個唯一的主密鑰 處理會話。然後,TKIP把這個密鑰通過安全通道分發到AP和客戶端,並建立起一個密鑰構架和管理系統,使用主密鑰爲用戶會話動態產生一個唯一的數據加密密鑰,來加密每一個無線通信數據報文。TKIP的密鑰構架使WEP靜態單一的密鑰變成了500萬億可用密鑰。雖然WPA採用的還是和WEP一樣的RC4加 密算法,但其動態密鑰的特性很難被攻破。
WPA2: WPA2顧名思義就是WPA的加強版,也就是IEEE 802.11i的最終方案。同樣有家用的PSK版本與企業的IEEE 802.1x版本。WPA2與WPA的差別在於,它使用更安全的加密技術AES (Advanced Encryption Standard),因此比WPA更難被破解、更安全。
MAC ACL (Access Control List): MAC ACL只是一種認證方式。在無線AP輸入允許被連入的無線網卡MAC位址,不在此清單的無線網卡無法連入無線網絡。