· 网络安全全国
源路由欺骗:IP地址并非是出厂时就与MAC地址固定在一起的,攻击者通过自封包和修改网络节点的IP地址冒充某个可信节点的IP地址。
源路由攻击:获取TCP序列号进行序号攻击。
防范:①拒绝接收含有源路由功能的数据包,关闭主机和路由器上的源路由功能;②抛弃由外部网进来却声称是内部主机的报文。
RIP路由信息协议:动态路由选择,用于自治系统内的路由信息的传递,基于距离矢量算法,使用跳数衡量到达目标地址的路由距离,只与15跳以内的路由器交换信息。
安全缺陷:①通过RIP数据包注入,若攻击主机比真正的源点主机距离更近则可能改变数据流方向;防范:采用备份路由/使用hopcount站计数衡量路径长短②有些实现方案可以接收特定主机的路由,使检测更加困难。
DNS域名系统:分布式数据系统,实现域名到IP之间的相互映射。
安全威胁:
①DNS欺骗:DNS的查询请求基于UDP,客户端对DNS应答包仅通过随机发生的查询ID和UDP端口号验证,且只接受首先到达的应答包,为DNS欺骗提供了机会。
步骤:1)Arp欺骗。欺骗者向用户发送伪造的arp应答报文,更新用户本地的arp缓存,使用户认为欺骗者为网关。这样,在用户向本地DNS服务器发送请求时,数据的流向就改为用户—欺骗者—网关—本地DNS服务器。欺骗者通过sniffer软件,嗅探到DNS请求包的ID和端口号。2)欺骗者利用得到的ID和端口号,优先向用户发送伪造DNS应答,用户在对ID和端口号进行核对后认为是正确的应答。此时用户访问的域名已经被替换为欺骗者伪造的IP。3)本地DNS服务器发送的真的DNS应答包因为晚于伪造包,用户收到后丢弃。(前提:攻击者与用户处于同一局域网)
*不满足前提时,攻击者对DNS缓存进行攻击(如生日攻击),使DNS缓存中毒。
②分布式拒绝服务攻击DDos:攻击者通过庞大的被控主机群向目标DNS服务器发送DNS查询请求,使其过载以及网络线路堵塞。
③DNS软件漏洞攻击:Dos攻击(发送特定数据包请求使BIND自动关闭无法应答)、缓冲区溢出攻击(利用DNS软件对输入的请求字符串不做严格检查的安全漏洞,构造特殊数据包使缓冲区溢出后执行特殊代码获取控制权)
④管理缺陷
防范措施:防范ARP攻击、采用UDP随机端口、建立静态IP映射、运行最新版本BIND、限制查询、利用防火墙、利用交叉检验、利用DNSsec机制、TCP区转移。
DNSsec机制:兼容现有协议的基础上引入加密和认证体系,允许校验应答信息的可靠性。
NAT网络地址转换协议:将私有(保留)地址转换为合法IP地址的转换技术,解决了IPv4地址短缺的问题,有效避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
安全威胁:①不能与加密协调工作,不能对加密的应用数据流进行检查;②与IPsec冲突。③单点攻击:SYN flood/Ping flood。
2.3电子邮件协议
