IP协议的安全问题及防护措施
网际协议(Internet Protocol,IP)是TCP/IP协议族的核心,也是网际层最重要的协议。
- 安全问题:IP数据报在传递过程中易被攻击者监听、窃取。这是一种被动攻击,攻击者不改变IP数据报的内容,但可截取数据报,解析数据净荷,从而获得数据内容。
- 防护措施:对IP数据报进行加密。
- 安全问题:由于IP层并没有采用任何机制保证数据净荷传输的正确性,攻击者可能截取数据报,修改数据报中的内容后,将修改结果发送给接收方。
- 防护措施:对IP数据报净荷部分实行完整性检测机制。
- 安全问题:IP层不能保证IP数据报一定是从源地址发送的。攻击者可伪装成另一个网络主机,发送含有伪造源地址的数据包欺骗接受者。此攻击称为IP欺骗攻击。
- 防护措施:通过源地址鉴别机制加以防御。
- 安全问题:IP数据报在传输过程中要经历被分段和重组的过程,攻击者可以在包过滤器中注入大量病态的小数据报,来破坏包过滤器的正常工作。
- 防护措施:许多防火墙能够重组分段的IP数据报,以检查其内容。
- 安全问题:使用特殊的目的地址发送IP数据报也会引入安全问题。如攻击者可使用目的地址为定向广播地址的IP数据报来攻击许多不同类型的主机。
- 防护措施:配置路由器时启用禁止发送定向广播数据包的功能。
ARP协议的安全问题及防护措施
地址解析协议(Address Resolution Protocol,ARP)是根据IP地址获取物理地址的一个TCP/IP协议。
- 安全问题:攻击者发动ARP欺骗攻击,可以完全控制主机A和主机B之间的流量,发动被动攻击(流量监测、获取涉密信息)或主动攻击(伪造数据)。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了” - 防护措施:在交换机上配置基于端口的访问控制协议–IEEE 802.1x协议,攻击者连接交换机时需进行身份认证(MAC、端口、账户、VLAN和密码);建立静态ARP表。
ICMP协议的安全问题及防护措施
控制报文协议(Internet Control Message Protocol,ICMP)是一个重要的错误处理和信息处理协议。
它用于通知主机到达目的地的最佳路由,报告路由故障;
它是两个非常重要的监控工具——Ping和Tracert的重要组成部分;
它是一种差错和控制报文协议,不仅用于传输差错报文,还传输控制报文。
-
安全问题:ICMP重定向攻击
攻击者可以利用ICMP对消息进行重定向,使得目标机器遭受连接劫持和拒绝服务等攻击。一般来说,重定向消息应该仅由主机执行,而不是由路由器来执行。仅当消息直接来自路由器时,才由路由器执行重定向。有时网管员有可能使用ICMP创建通往目的地的新路由。这种不谨慎的行为最终会导致非常严重的网络安全问题。 -
安全问题:ICMP路由器发现攻击
在进行路由发现时,ICMP并不对应答方进行认证,使得它可能遭受严重的中间人攻击。例如,在正常的路由器响应ICMP询问之前,攻击者可能会假冒正常的路由器,使用伪造的相应信息应答ICMP询问。由于在路由发现的过程中,ICMP并不对应答方进行认证,因此接收方无法知道这个响应是伪造的。 -
安全问题:防火墙穿越攻击
通过防火墙穿越攻击技术(Firewalking),攻击者能够穿越某个防火墙的访问控制列表和规则集,进而确定该防火墙过滤的内容和具体的过滤方式。尽管防火墙面临启用ICMP所带来的风险,但由于主机采用Path MTU的机制,因此在防火墙封堵所有ICMP消息并不妥当。
(1)正常时,user通过交换机Switch连接到网关设备Gateway,利用默认网关与跨网段的服务器Server通信。
(2)异常情况下,攻击者Attacker可以伪造网关向user发送ICMP重定向报文,可以结合ARP欺骗技术,然后用户user主机路由变成流量要通过Attacker来进行转发通信。
(3)攻击者可以截获、提取、分析、修改、重放用户user的数据包,造成多种安全威胁。
- 防御:
(1)网关端:
关闭ICMP重定向(No IP Rredirects)。
使用网络控制列表(ACL)和代理。
(2)主机端:
可以使用防火墙等过滤掉ICMP报文,或使用反间谍软件监控。
结合防ARP、IP欺骗等进行防御。