通信网络安全-第6章..优秀PPT.ppt

第六章通信网络平安体系结构（二）2内容概要n传输层风险及缓解方法n攻击TCP和UDP的方法及缓解方法nDNS风险及缓解方法nSMTP邮件风险及缓解方法nHTTP风险及缓解方法31.传输层核心功能n传输层定义网络层和面对应用层之间的接口，从应用层抽象连网功能，包括连接管理、分组组装和服务识别。为实现这些功能，传输层有两个核心成分，传输层端口和序列号n1.端口和套接字（Socket）n端口：假如把一个IP地址比作一间房子，端口就是出入这间房子的门。一个IP地址的端口可以有65536个之多，范围是从0到65535。n端口有什么用呢？一台拥有IP地址的主机可以供应很多服务，比如Web服务、FTP服务、SMTP服务等，这些服务完全可以通过1个IP地址来实现。那么，主机是怎样区分不同的网络服务呢？明显不能只靠IP地址，因为IP地址与网络服务的关系是一对多的关系。事实上是通过“IP地址+端口号”来区分不同的服务的。41.传输层核心功能n1.端口和套接字（Socket）n须要留意的是，端口并不是一一对应的。比如你的电脑作为客户机访问一台WWW服务器时，WWW服务器运用“80”端口与你的电脑通信，但你的电脑则可能运用“3457”这样的端口，如图1所示。51.传输层核心功能n1.端口和套接字（Socket）n按对应的协议类型，端口有两种：TCP端口和UDP端口。由于TCP和UDP两个协议是独立的，因此各自的端口号也相互独立，比如TCP有235端口，UDP也可以有235端口，两者并不冲突。n按端口号可分为3大类：（1）公认端口（WellKnownports）：从0到1023，它们紧密绑定（binding）于一些服务。通常这些端口的通讯明确表明白某种服务的协议。例如：80端口事实上总是HTTP通讯。（2）注册端口（Registeredports）：从1024到49151。它们松散地绑定于一些服务。也就是说有很多服务绑定于这些端口，这些端口同样用于很多其它目的。例如：很多系统处理动态端口从1024左右起先。（3）动态和/或私有端口（Dynamicand/orprivateports）：从49152到65535。理论上，不应为服务安排这些端口。事实上，机器通常从1024起安排动态端口。61.传输层核心功能n1.端口和套接字（Socket）n应用层通过传输层进行数据通信时，TCP和UDP会遇到同时为多个应用程序进程供应并发服务的问题。多个TCP连接或多个应用程序进程可能须要通过同一个TCP协议端口传输数据。为了区分不同的应用程序进程和连接，计算机操作系统为应用程序与TCPIP协议交互供应了称为套接字(Socket)的接口，区分不同应用程序进程间的网络通信和连接。n套接字主要有3个参数：通信的目的IP地址、运用的传输层协议(TCP或UDP)和运用的端口号。Socket原意是“插座”。通过将这3个参数结合起来，与一个“插座”Socket绑定，应用层就可以和传输层通过套接字接口，区分来自不同应用程序进程或网络连接的通信，实现数据传输的并发服务。71.传输层核心功能n1.端口和套接字（Socket）nSocket可以看成在两个程序进行通讯连接中的一个端点，一个程序将一段信息写入Socket中，该Socket将这段信息发送给另外一个Socket中，使这段信息能传送到其他程序中。如图：81.传输层核心功能n1.端口和套接字（Socket）n要通过互联网进行通信，至少须要一对套接字，一个运行于客户机端，另一个运行于服务器端。套接字之间的连接过程可以分为三个步骤：服务器监听，客户端恳求，连接确认。n服务器监听：服务器端套接字并不定位具体的客户端套接字，而是处于等待连接的状态，实时监控网络状态。n客户端恳求：客户端的套接字必需首先描述它要连接的服务器的套接字，指出服务器端套接字的地址和端口号，然后就向服务器端套接字提出连接恳求。n连接确认：是指当服务器端套接字响应客户端套接字的恳求，建立一个新的线程，把服务器端套接字的描述发给客户端，一旦客户端确认了此描述，连接就建立好了。而服务器端套接字接着处于监听状态，接着接收其他客户端套接字的连接恳求。91.传输层核心功能n1.端口和套接字（Socket）n端口和套接字关系n传输层生成端口，每个端口包含一个唯一的、针对特定高层服务的标识。一个套接字可管理很多端口，但每个端口都须要一个套接字，端口和特定高层协议相关联，或动态安排n大部分远程网络攻击针对特定端口的特定服务。但很多DoS攻击针对很多端口或套接字，因此传输层攻击目标包括端口、套接字和特地的协议101.传输层核心功能n2.排序n传输层从高层接收数据块，并将其分成分组，每个分组赐予一个唯一的序列标识，用来跟踪分组。传输层保持一些已经用于端口的序列号表，以防止序列号重复。n因为序列号用于保持传输层的分组传输有序，这构成普遍的攻击因素，排序能用于传输层拦截攻击111.传输层核心功能n3.序列拦截n攻击者要视察传输层分组必需识别序列，以插入或拦截连接。假如伪造者具有有效的序列号，就似乎经身份鉴别并被目标系统接收，因此序列号的产生最好不要依次渐增，否则攻击者易于预料下个分组编号n序列号通常起始于随机值，以防止攻击者猜得到第一个分组，但整个会话过程中逐一增加。视察者很简洁识别序列号并拦截会话，但盲目攻击者不能识别初始序列号，这样盲目攻击者无法确定序列号以及危害传输层连接n很多传输层协议运用伪随机数发生器，就成为可预料的。随机数发生器的困难性确定分组序列的预料性，攻击者能建立很多传输连接，并确定初始序列号的型式，这个弱点导致盲目攻击者能危害传输层连接122.传输层风险n传输层风险围绕序列号和端口n要拦截传输层连接，攻击者必需破坏分组排序n目标瞄准端口，远程攻击者可针对一个特地的高层服务n侦察攻击，包括端口扫描和信息泄露n1.传输层拦截n传输层拦截攻击须要两个条件：一是攻击者必需对某种类型的网络层破坏，二是攻击者必需识别传输序列n分组序列号可导致传输层拦截，并有助于重构视察到的数据传输。攻击者假如没有拦截和接着传输序列号的实力，分组无法得到回答响应，新的分组也不能被接受n攻击者视察TCP分组头能识别序列的下一个分组以及任何须要回答响应的分组，拦截传输层连接的实力取决于序列号质量n为完成一次拦截，攻击者必需伪装网络层通信，伪装的分组必需包括源和目的地址，源和目的端口132.传输层风险n2.一个端口和多个端口的比较n削减端口数量能削减攻击因素。服务器一般应当将开放地端口数量削减到只有基本服务，如，Web服务器只打开HTTP（80/TCP）端口，而远程限制台只打开SSH（22/TCP）端口142.传输层风险n3.静态端口赋值和动态端口赋值n远程客户连接到服务器须要两个条件，服务器的网络地址，传输协议及端口号n客户端连接服务器时，通常连接到服务器的众所周知端口，但客户本身可能运用选自动态端口范围内的端口n防火墙运用端口信息限制网络访问，如E-mail服务器前的防火墙允许外部恳求路由到特定内部主机的25/TCP端口n某些高层协议不运用固定端口号，如RPC，FTP的数据连接以及Netmeeting，限制服务运用众所周知端口，数据传输则用动态端口n动态端口带来担忧全的风险，因为大范围的端口都必需可访问网络。如FTP生成其次个动态端口传输数据，假如防火墙不打开全部端口，FTP数据连接会被阻断152.传输层风险n4.端口扫描n为攻击一个服务，必需识别服务端口。端口扫描的任务是企图连接到主机的每一个端口。假如端口有回答，则活动服务正在监听端口，假如是众所周知端口，则增加了服务识别的可能性n端口扫描的两种方法：一是目标端口扫描，用以测试特定的端口；二是端口扫视（sweep），用以测试主机上的全部可能的端口162.传输层风险n4.端口扫描n防卫端口扫描方法n非标准端口：将众所周知端口的服务移到非标准端口以模糊服务类型，但要留意哪些端口未安排给其他服务n无回答防卫：因为端口扫描等待分组回答，对不活动的端口分组恳求不予回答，使扫描系统等待回答直至超时，但是对活动的端口还是要回答n总是回答防卫：活动与非活动端口总是回答，攻击者无法区分活动和非活动端口n敲打协议（knock-knockprotocol）：敲打服务器不打开端口，而是监控其他端口或网络协议，视察到期望的分组序列，服务才启动。如SSH服务器先不和端口绑定，直到视察到具有700字节不规则数据字长的ICMP分组才和端口绑定n主动扫描检测：入侵检测系统视察扫描主机的一系列连接并阻断访问n有意延迟172.传输层风险n5.信息泄露n传输层对传输的数据不进行加密，因此传输层协议本身并不对信息爱护，监控分组通信的视察者能视察到传输层内容。通常传输层上面的高层供应身份鉴别和加密183.TCP侦察n绑定到TCP端口的网络服务供应对主机系统的干脆访问，通过识别系统的类型和服务的类型，攻击者能选择相应的攻击方向n1.操作系统框架n1）初始窗口大小n不同操作系统接受不同的初始窗口大小，但大部分系统还是运用默认这，因此依据窗口大小可识别传输数据的操作系统的类型，也可以结合窗口的变更状况推断操作系统类型n2）TCP选项n每个TCP分组包含TCP报头值的一些选项，不同操作系统支持不同的选项、值和次序，通过视察这些选项可识别特定的系统。某种状况下，TCP选项能唯一足够识别操作系统和补丁级别，可识别未打系统补丁的漏洞193.TCP侦察n1.操作系统框架n3）序列号n虽然全部系统用同样的方法增加序列号，但是初始序列号是各个操作系统特定的。初始SYN和SYN-ACK分组交换用于连接初始的序列号，虽然单个TCP连接不能泄露可识别信息，但是一系列快速连接能泄露用来建立初始连接的模型，序列号能用来识别操作系统、版本，以及补丁版本信息n4）客户端口号n服务用用固定TCP端口号，但客户可选择任何可用的端口号用于连接，服务器可从TCP报头确定客户动态端口号。从客户到一个或多个服务器重复的连接将显示对每个连接的不同端口号，不同的系统运用不同的动态端口范围供客户选择，视察动态端口范围，可帮助识别操作系统203.TCP侦察n1.操作系统框架n5）重试n当TCP分组没有收到回答响应，分组重新发送，重试次数以及间隔是不同操作系统特定的，可以通过SYN重试、SYN-ACK重试以及ACK重试3种方法来确定n操作系统框架对诊断技术是有用的，但对攻击者在攻击之前的侦查也是有用的，用来识别操作系统和补丁级别n可以变更窗口大小、重试超时等默认值，可以阻挡多操作系统的识别213.TCP侦察n2.端口扫描nTCP端口扫描用来识别运行的服务，对连接恳求一般有四种类型的回答nSYN-ACK：假如一个服务在端口运行，那么SYN-ACK返回给客户，这是正常的识别。为了阻挡扫描，一些防火墙无论该端口有没有服务总是返回一个SYN-ACK，使扫描器不能识别nRST：假如没有服务在运行，很多系统返回一个RST，这供应一个快速确认：该端口没有服务nICMP不行达：假如主机不行达，那么ICMP分组返回以指示失败，这使端口未知。很多防火墙用这种方法迷惑扫描器n不应答：假如分组没有到主机，就没有回答，SYN恳求得不到SYN-ACK并超时。虽然这通常意味着主机不行达或不在线，但一些防火墙有意忽视发送的分组并关掉端口223.TCP侦察n3.日志n为了检测系统扫描和网络攻击，日志是重要的。很多网络服务有连接日志，包括时间戳、客户网络地址以及相关的连接信息。少数系统支持未加工的TCP通信，由高层执行日志。在握手完成以前，高层并不支持TCP连接，结果使部分端口扫描（在握手完成以前）常常没有日志。n网络监控工具如IDS和IPS，一般监控并把SYN恳求以及任何包括部分建立连接的通信记录日志，SYN分组被记录，未恳求的ACK和RST也被记录，基于这些分组的频率，类型和次序，一些工具能识别网络扫描，假如是IPS在扫描完成以前能作出反应，阻挡更多信息泄露以及限制服务检测。234.TCP拦截n任何干扰TCP连接的攻击都归结为TCP拦截，这些攻击常常像DoS一样出现，使连接过早结束n1.全会话拦截n常常须要攻击者具有干脆的数据链路访问。在混杂模式下，攻击者视察网络地址、端口以及用于连接的序列号，利用这些信息，攻击者试图比一个TCP连接结束更快的响应。成功的拦截供应具有连接会话的攻击者到网络服务，而失败的拦截结果造成DoS或是简洁的忽视n2.ICMP和TCP拦截nICMP用来在IP和TCP之间通信，ICMP能用来报告不成功的连接或重新指向网络服务。遇到恶意攻击时，ICMP能将TCP连接重新指向不同的端口和不同的主机，虽然攻击者仍必需知道TCP序列号，但ICMP不须要运用DoS来结束任何一个原始连接245.TCPDoSnDoS攻击的两个目的：是目标主机不能正常执行任务，二是分散管理者留意力，以便对另外一个系统实施攻击。TCP特别简洁受到DoS攻击，任何对端口或序列号的干扰都会使连接断开n1.SYN攻击n每个TCP实施安排用于管理连接的内存，每个连接包括网络地址、端口、窗口大小，序列号以及用于入出分组的缓存空间。每个服务器收到SYN就安排内存，SYN攻击发送大量的SYN分组来消耗内存，当连接个数超过限制的时候，新的连接被切断n每次SYN放到一个打开的服务，就产生一个SYN-ACK响应，此时客户端不产生ACK响应，这是连接被挂起直至超时。足够多的这样挂起将造成DoS攻击255.TCPDoSn1.SYN攻击n防范措施-过滤网关防护n网关超时设置：防火墙设置SYN转发超时参数，该参数远小于服务器的timeout时间。当客户端发送完SYN包，服务端发送确认包后（SYNACK），防火墙假如在计数器到期时还未收到客户端的确认包（ACK），则往服务器发送RST包，以使服务器从队列中删去该半连接。nSYN网关：SYN网关收到客户端的SYN包时，干脆转发给服务器；SYN网关收到服务器的SYN/ACK包后，将该包转发给客户端，同时以客户端的名义给服务器发ACK确认包。此时服务器由半连接状态进入连接状态。当客户端确认包到达时，假如有数据则转发，否则丢弃。nSYN代理：当客户端SYN包到达过滤网关时，SYN代理并不转发SYN包，而是以服务器的名义主动回复SYN/ACK包给客户，假如收到客户的ACK包，表明这是正常的访问，此时防火墙向服务器发送ACK包并完成三次握手。SYN代理事实上代替了服务器去处理SYN攻击，此时要求过滤网关自身具有很强的防范SYN攻击实力。265.TCPDoSn1.SYN攻击n防范措施-加固TCP/IP协议栈nSynAttackProtect机制：操作系统通过关闭某些socket选项，增加额外的连接指示和削减超时时间，使系统能处理更多的SYN连接n增加最大半连接数：大量的SYN恳求导致未连接队列被塞满，使正常的TCP连接无法顺当完成三次握手，通过增大半连接队列空间可以缓解这种压力。n缩短超时时间：削减超时时间也使系统能处理更多的SYN恳求。nSYNcookies技术：SYNcookies应用于linux、FreeBSD等操作系统，当半连接队列满时，SYNcookies并不丢弃SYN恳求，而是通过加密技术来标识半连接状态。SYNcookies中，服务器的初始序列号是通过对客户端IP地址、客户端端囗、服务器IP地址和服务器端囗以及其他一些平安数值等要素进行hash运算加密得到的，称之为cookie。当服务器遭遇SYN攻击使得半连接队列满时，服务器并不拒绝新的SYN恳求，而是回复cookie（回复包的SYN序列号）给客户端，假如收到客户端的ACK包，服务器将客户端的ACK序列号减去1得到cookie比较值，并将上述要素进行一次hash运算，看看是否等于此cookie。假如相等，干脆完成三次握手275.TCPDoSn2.RST（或FIN）攻击nRST（Resettheconnection）攻击：用于复位因某种缘由引起出现的错误连接，也用来拒绝非法数据和恳求。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为1.1.1.1，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从1.1.1.1发送的连接有错误，就会清空缓冲区中建立好的连接。这时，假如合法用户1.1.1.1再发送合法数据，服务器就已经没有这样的连接了，该用户就必需重新起先建立连接。n盲目的RST攻击发生在攻击者不能拦截或看到网络连接的时候，用不同的序列和端口值伪造RST分组发送，只要其中一个有效就能断开连接285.TCPDoSn3.ICMP攻击n类似RST攻击，ICMP可用来指定一个断开连接。盲目的ICMP攻击也能使TCP不能连接。不像TCP重置攻击，防火墙能阻断ICMP攻击，而RST攻击因为有效的端口和地址组合，能通过防火墙n4.LAND攻击nland攻击是一种运用相同的源和目的地址和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。n在Land攻击中，一个特殊打造的SYN包中的源地址和目标地址都被设置成某一个服务器地址，这时将导致接受服务器向它自己的地址发送SYN一ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。对Land攻击反应不同，很多UNIX系统将崩溃，而WindowsNT会变的极其缓慢（大约持续五分钟）。296.缓解对TCP攻击的方法n1.变更系统框架nTCP和网络服务攻击有两类，盲目攻击和定向攻击，前者没有假定的攻击没标，通过摸索发觉漏洞，大部分计算机病毒运用这种方法n定向攻击这对特定操作系统平台和网络服务。首先通过侦察识别可能的目标，然后攻击可行的目标，通过变更系统框架可缓解攻击者的识别。修改SYN超时、重试计数、重试间隔、初始窗口大小、可行的TCP选项以及初始序列值n很多TCP端口是标准化的，特定端口用于特定服务。虽然这些端口是标准的，但不是必需的，可以变更端口号以削减攻击的可能性。306.缓解对TCP攻击的方法n2.阻断攻击指向n假如家庭网或者内部网不对外供应任何网络服务，可以用防火墙阻断任何外部的SYN分组，假如WEB或者E-mail服务器放于DMZ区，可以设置路由器只开放相应的端口和地址。同时阻断ICMP通行能消退来自远程的ICMP沉没、拦截和重置攻击的风险n3.状态分组检测n很多防火墙支持状态分组检测（SPI），SPI跟踪TCP连接状态以及具有和已知状态不匹配的分组，如，一个RST分组送到关闭的端口，可以干脆丢弃，而不是传递给主机，SPI能削减拦截攻击、重置攻击、远程系统框架等的影响316.缓解对TCP攻击的方法n4.入侵检测系统（IDS）nIDS对非标准的或非期望的分组进行监控。IDS能很快识别远程系统框架、TCP端口扫描、拦截企图以及DoS攻击n5.入侵防卫系统nIPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以爱护网络带宽资源。n对于部署在数据转发路径上的IPS，可以依据预先设定的平安策略，对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事务关联分析等)，假如一旦发觉隐藏于其中网络攻击，可以依据该攻击的威逼级别马上实行抵挡措施，这些措施包括：向管理中心告警；丢弃该报文；切断此次应用会话；切断此次TCP连接。326.缓解对TCP攻击的方法n7.高层协议n一般来说，假定高层协议将鉴别通信以及检测可能的攻击337.UDPnUDP是一个简洁的传输协议，用于无连接服务。UDP的报头值包括源端口、目的端口、数据长度和校验和，共8个字节，UDP传输不产生回答的响应。UDP攻击常常基于无效的分组以及伪装n1.非法的进入源nUDP服务器不执行初始握手，任何主机都能连接到UDP服务器而无须身份鉴别。n服务器缓冲有限数的UDP分组。缓冲器空间满后收到的分组将被丢弃。UDP分组能很快沉没慢的UDP服务n2.UDP拦截n由于无身份鉴别，任何客户可以发任何分组到任何UDP服务器，管理睬话和连接必需由高层协议处理。因此UDP简洁被拦截，攻击者能很简洁伪装成正确的网络地址和UDP端口，将数据插入到接受者，盲目的UDP攻击只需揣测端口号，不超过65536个，只需几秒347.UDPn3.UDP保持存活攻击nUDP没有清晰地指示连接是打开还是关闭，结果大多数防火墙当看到第一个出口连接时，打开端口，一段时间不活动才关闭端口，攻击者能利用这个弱点来保持UDP端口打开。即使客户不再监听分组时，攻击者能发送UDP分组到防火墙，以保持防火墙端口打开。当足够多的端口保持打开，那么没有新的端口不能被打开，这使UDP不能有效地通过防火墙。357.UDPn4.UDPSmurf攻击n攻击者向网络广播地址发送ICMP包，并将回复地址设置成受害网络的广播地址，通过运用ICMP应答恳求数据包来沉没受害主机的方式进行，最终导致该网络的全部主机都对此ICMP应答恳求作出答复，导致网络堵塞。更加困难的Smurf攻击攻击将源地址改为第三方受害者，最终导致第三方崩溃。n防范措施：n配置路由器禁止IP广播包进网n配置网络上全部计算机的操作系统，禁止对目标地址为广播地址的ICMP包响应。n对于从本网络向外部网络发送的数据包，本网络应当将其源地址为其他网络的这部分数据包过滤掉。367.UDPn5.UDP侦察nUDP对系统侦察只供应少量选项。UDP端口扫描依靠ICMP和分组回答实现。n假如没有UDP服务存在于扫描端口，那么ICMP返回“目的不行达”分组。但是有些UDP服务对没有连接返回一个回答。任何UDP回答指示一个存在的服务。n防范这类端口扫描的唯一方法是不返回任何ICMP分组，使攻击者难以区分有没有服务379.DNS风险及缓解方法n1.干脆风险nDNS系统假定DNS服务器之间是可信的，DNS服务器不会有意供应错误的信息，DNS协议不供应客户和服务器之间的身份鉴别，这使攻击者可破坏这种可信关系n1）无身份鉴别的响应nDNS运用一个会话标识来匹配恳求和回答，但会话标识不供应身份鉴别，攻击者视察DNS恳求，能伪造一个DNS回答。假的回答会有视察到的会话标识，攻击者甚至可以在分组中设置授权标记，去除对数据正确性的怀疑，结果是攻击者能限制主机名的查找，并进一步重指被害者的连接389.DNS风险及缓解方法n1.干脆风险n2）DNS缓存受损n当计算机对域名访问时并不是每次访问都须要向DNS服务器发出恳求，一般来说当解析工作完成一次后，该解析条目会保存在计算机的DNS缓存列表中，假如这时DNS解析出现更变更动的话，由于DNS缓存列表信息没有变更，在计算机对该域名访问时仍旧不会连接DNS服务器获得最新解析信息，会依据自己计算机上保存的缓存对应关系来解析，这样就会出现DNS解析故障n攻击者视察DNS恳求，并生成一个伪造的DNS回答，并含有一个长的缓存超时值，这样受损的DNS缓存可对任何数据恳求供应假的数据399.DNS风险及缓解方法n1.干脆风险n3)ID盲目攻击n攻击者选择一个公用的域名，生成DNS回答的泛滥，每个回答包含一个不同的会话标识盲目攻击409.DNS风险及缓解方法n1.干脆风险n4)利用DNS服务器进行DDOS攻击n假设攻击者已知被攻击机器的IP地址，然后攻击者运用该地址作为发送解析吩咐的源地址。这样当运用DNS服务器递归查询后，DNS服务器响应给最初用户，而这个用户正是被攻击者。那么假如攻击者限制了足够多的肉鸡，反复的进行如上操作，那么被攻击者就会受到来自于DNS服务器的响应信息DDOS攻击419.DNS风险及缓解方法n1.干脆风险n5)破坏DNS分组nDNS协议规定了查询和回答的数据大小。但某些DNS实施没有适当的检查数据边界。分组可声称包含比实际更多的数据，或者没有包含足够的数据。其结果是缓冲器溢出或不足。429.DNS风险及缓解方法n2.技术风险n干脆风险是协议本身的影响，技术风险是基于配置的问题n1）DNS域拦截n是指在确定的网络范围内拦截域名解析的恳求，返回假的IP地址或者什么都不做使恳求失去响应，其效果就是对特定的网络不能反应或访问的是假的对攻击者有利的网址。所以域名劫持通常相伴的措施封锁正常DNS的IPn解决方法：防火墙出口过滤阻挡用户访问恶意站点，本地DNS服务器配置成阻挡恶意站点对主机名的查找439.DNS风险及缓解方法n2.技术风险n2）DNS服务器拦截n被攻击的DNS服务器被增加、修改、删除DNS记录条目n为缓解系统被破坏的风险，DNS服务器应运行在加固的系统，关闭全部不必要的服务449.DNS风险及缓解方法n2.技术风险n3）更新持续时间n缓存DNS服务器同每个DNS项的超时相关联，当主机配置变更时，超时防止数据失效。假如超时值过大，则不能马上完成变更。假如管理者马上重新定位主机，那么缓存服务器将指向错误的地址459.DNS风险及缓解方法n2.技术风险n4）动态DNSnDHCP供应带有网络地址的新的主机、默认网关以及DNS服务器信息。这些主机只能用它们的网络地址访问，不能用主机名访问。动态DNS（DDNS）解决该问题，运用DDNS，DHCP的客户能在本地DNS系统放主机名，虽然客户每次安排一个新的网络地址，但DDNS能保证主机名总是指到主机的新的网络地址n用户能很简洁地配置DDNS主机名，但是DDNS主机名允许拦截。任何不和活动DHCP地址相联系的主机名都可被恳求。那么另一台主机能很简洁拦截该主机名。只要被拦截的名字同有效的DHCP主机相联系着，真正的主机就不能恳求该名字469.DNS风险及缓解方法n3.社会风险n1）相像的主机名n正常域名为bankofbeijing，攻击者拥有与之相像的域名bonkofbeijing，当用户错误的输入了该相像的主机名，就访问了伪装站点n2）自动名字实现n很多阅读器支持自动名字实现，即用户不输入域名服务器的高级域名（）而只输入主机名的中间部分，自动名字实现可附件一个后缀，直到找到主机名，通常先试的是，假如web站点不是以结尾，那么攻击者可以注册的名字来拦截这个域n3）社会工程n劝服注册机构，更改域名n4）域更新n欠费没更新，导致原有域名被他人注册479.DNS风险及缓解方法n4.缓解风险方法nDNS的设计是用来管理大量的网络地址信息。设计时考虑了速度、敏捷性和可扩展性，但未考虑平安问题，因此不供应身份鉴别，且假定全部的询问时可信的n1）干脆威逼缓解方法n补丁：DNS服务器和主机常常打补丁n内部和外部域分开：DNS服务器应当是分开的，大的网络应考虑在内部网络分段间分开设置服务器，以限制单个服务器破坏的影响，且能平衡DNS负载n有限的缓冲间隔：n拒绝不匹配的回答：假如缓冲DNS服务器接到多个具有不同值的回答，全部缓冲器刷新489.DNS风险及缓解方法n4.缓解风险方法n2）技术威逼的缓解n加固服务器：限制远程可访问进程数量，就能限制潜在的攻击的数量，加固服务器可降低来自技术攻击的威逼n防火墙：在DNS服务器前面放置硬件防火墙限制远程攻击的数量4910.SMTP邮件风险nSMTP邮件系统设计时主要考虑牢靠地、刚好的传递报文，没有考虑平安5010.SMTP邮件风险nSMTP邮件系统设计时主要考虑牢靠地、刚好的传递报文，没有考虑平安n1.伪装报头及垃圾邮件n邮件用户代理MUA能指定邮件报头，每个邮件中继附加接收到的报头到邮件的开头，用来跟踪报文。伪装的邮件报头发生在发送者有意插入假的报头信息。n除了最终接收的报头以外，电子邮件报头的全部属性都可以伪造。主体、日期、接收者、内容甚至最初接收的报头都能利用SMTP数据吩咐伪造n垃圾邮件：占全部电子邮件80%，成因一方面缺乏身份鉴别，另一方面伪装报头只须要很低的技巧。反垃圾邮件只能过滤或拦截掉90%的垃圾邮件。但制造者不断变更技术，使静态反垃圾邮件系统失效。同样反垃圾邮件也会过滤掉非垃圾邮件5110.SMTP邮件风险n1.伪装报头及垃圾邮件n接收的报头包含“from”和“by”地址，假如一个报头的“by”地址和下一个报头的“from”不匹配，那么这个邮件很可能是伪造的n接收的报头包含一个时间戳和跟踪号，不存在的话，也可能是伪造的n依据发件人和内容判定是否是垃圾邮件n通过服务器处理日志来推断伪造电子邮件5210.SMTP邮件风险n2.中继和拦截nSMTP并非总是将电子邮件从发送者送到接受者，通常运用中继来路由信息nSMTP管理员无须特地的允许来操作中继，而且电子邮件信息一般是明文发送，结果是中继的拥有者能读取电子邮件甚至修改报文内容n为缓解风险，敏感的电子邮件运用内容加密，PGP是常用的加密电子邮件的例子，但加密技术用于电子邮件有其局限性：n兼容性：PGP用mutt（unix邮件客户）加密的电子邮件，对MicrosoftOutlook的用户不是很简洁能看到的。越是困难的机密系统越平安，但兼容性越差n一样性：电子邮件是可以发送给任何人，包括生疏人。流行的密码系统须要发送者对接受者有事先的连接，包括密钥交换5310.SMTP邮件风险n3.SMTP和DNSnSMTP最大风险来自于对DNS的依从。DNS用来识别邮件中继，DNS受损导致电子邮件受损。电子邮件可被路由到敌意的中继或单纯被阻断n4.底层协议n电子邮件也会受究竟层协议如MAC、IP和TCP拦截的影响。n假如平安是第一要素，应尽量不用电子邮件，尤其不能用来发送口令、信用卡信息或保密信息n5.电子邮件伦理问题n电子邮件在技术上可以被随意转发n电子邮件可以伪装成他人的电子邮件地址发送nSMTP无法验证电子邮件的传送以及是否被接收，扩展的SMTP可供应传递通知，回执和投递通知，但无法证明接收者是否的确收到了该邮件5411.HTTP风险nHTTP的设计目的是敏捷和实时地传送文件，没有考虑平安因素。但运用HTTP的各种应用都期盼供应身份鉴别、认证和隐私，这就导致了基于无身份鉴别HTTP系统的风险。nHTTP运用通用资源访问地址URL作为定义查询类型的缩写标记。它不仅允许标识远程服务和文件，而且也导致暴露攻击的目标5511.HTTP风险nURL（UniformResourceLocation的缩写，译为“统一资源定位符）网页的地址，组成：scheme:/host:port/pathnInternet资源类型（scheme）：指出WWW客户程序用来操作的工具。如“:/”表示WWW服务器，“ftp:/”表示FTP服务器n服务器地址（host）：指出WWW页所在的服务器域名。n端口（port）：有时（并非总是这样），对某些资源的访问来说，需给出相应的服务器供应端口号n路径（path）：指明服务器上某资源的位置n例如:/wwwd.org/pub/HXWZ就是一个典型的URL地址。客户程序首先看到（超文本传送协议），便知道处理的是HTML链接。接下来的wwwd.org是站点地址，最终是书目pub/HXWZ。n而ftp:/ftpd.org/pub/HXWZ/cm9612a.GB，WWW客户程序须要用FTP去进行文件传送，站点是ftpd.org，然后去书目pub/HXWZ下，下载文件cm9612a.GB。5611.HTTP风险n1.URL漏洞nURL为用户供应了便利识别网络资源的方法，URL可识别服务、服务器以及资源参数，攻击者可以策划一个敌意的URL并把被害者指向另一个位置，导致被破坏n1）主机名破解攻击nURL通常包含主机名，运用户简洁记住不同的文本字符串，而无须用不易记忆的网络地址。这很简洁让攻击者获得主机名等信息n诸如相像的主机名和自动完成的风险比干脆DNS破坏更简洁5711.HTTP风险n1.URL漏洞n2）主机伪装n整数伪装：URL中的可以用多种表示方式，包括域名和IP地址，而IP地址的表示可以是点分十进制表示法，可以是点分八进制、点分十六进制表示法，也可以干脆是一个十六进制数字或者十进制数字等n一般用字母表示，但也可以表示为16进制编码。如spaces.msn编码为：%73%70%61%63%65%73%2E%6D%73%6E%2E%63%6F%6D,n主机名域伪装：在URL中加上一个具有欺瞒性的域名：:/microsoft65.54.153.254/members/zjr72/，设置可以干脆在电子邮件中给一个欺瞒性的连接:/microsoft/,其实真实地址是：:/sohu5811.HTTP风险n1.URL漏洞n4）剪切和拼接n剪切只需简洁去掉URL的一部分，虽然平安服务器返回404错误，但很多服务器仍旧能被阅读，甚至一些私人的Web页面也能被看到n拼接时附件一些信息至URL。例如大部分ApacheWeb服务器有images和icons书目，在原来URL后拼接上icons后即使不能打开书目，但返回码的类型能确定icon是不是存在，缓解方法有：n去掉一些不须要的默认书目n开放的书目应关掉n访问允许差错和文件没找到差错的默认回答相同，攻击者不能识别服务器上的私人资源n私人的和临时的文件不放在公共服务器上n内容保密的书目和文件应从公共服务器上去除5911.HTTP风险n1.URL漏洞n5）SQL插入nSQL是结构化查询语言，用来访问数据库信息。SQL插入攻击时通过修改SQL吩咐，使提交到URL的参数和选项干脆送到数据库查询6011.HTTP风险n1.URL漏洞n6）跨站脚本n跨站脚本XSS攻击是通过在网页中加入恶意代码，当访问者阅读网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员阅读，从而获得管理员权限，限制整个网站。攻击者利用跨站恳求伪造能够轻松地强迫用户的阅读器发出非有意的HTTP恳求，如诈骗性的电汇恳求、修改口令和下载非法的内容等恳求6111.HTTP风险n2.常见的HTTP风险n1）无身份鉴别的客户n2）无身份鉴别的服务器n客户端依据主机名或网络地址访问服务器。主机名识别易受DNS攻击的损害，网络地址易受网络拦截破坏n3）客户端隐私nCookies和身份鉴别系统可跟踪用户，但只是限制在特定的服务器，然而HTTP报头供应交叉服务器跟踪，Web阅读器供应参考报头并指示链接的URL来自何处n4）信息泄露nHTTP恳求报头通常泄露Web阅读器的类型，包括版本和操作系统。HTTP回答报头包含服务器类型、版本以及支持的插入（plug-in）nHTTP回答的消息包括一个时间戳，通常是一个文件最近的修改时间，而CGI应用通常返回当前的时间。通过视察时间戳，攻击者能识别数据是静态的（来自文件）还是动态的（来自应用程序），攻击者可依据时间戳泄露的信息来策划攻击6211.HTTP风险n2.常见的HTTP风险n6）访问操作系统nOSI应用层干脆和主机操作系统接口。通过访问文件或应用程序（经CGI程序）HTTP服务器供应干脆访问来处理HTTP吩咐，通过修改URL通路和选项，针对操作系统的漏洞可被远程访问n7）担忧全的应用程序n8）低层协议nDNS攻击、TCP拦截和更低层的攻击也能阻挡HTTP、拦截信息或拦截连接