首页 > 安全 > 关键词  > 网络安全最新资讯  > 正文

详解TCP/IP协议栈面临的五大网络安全问题

2014-12-25 15:10 · 稿源: 51CTO

在本文中,笔者重点解析了TCP/IP协议栈面临的五大网络安全问题,也介绍到企业网络安全管理人员在面临问题时所能采取的应对措施。

1. IP欺骗

IP Spoof即IP 电子欺骗,可以理解为一台主机设备冒充另外一台主机的IP地址与其他设备通信,从而达到某种目的技术。早在1985年,贝尔实验室的一名工程师Robbert Morris在他的一篇文章“A weakness in the 4.2bsd UNIX TCP/IP software”中提出了IP Spoof的概念,有兴趣的读者可参见原文:https://www.coast.net/~emv/tubed/archives/Morris_weakness_in_ TCPIP.txt 。

但要注意:单纯凭借IP Spoof技术不可能很好地完成一次完整的攻击,因为现有IP Spoof技术是属于一种“盲人”式的入侵手段。

一般来说,IP欺骗攻击有6个步骤:

(1)首先使被信任主机的网络暂时瘫痪,以免对攻击造成干扰;

(2)然后连接到目标机的某个端口来猜测ISN基值和增加规律;

(3)接下来把源地址伪装成被信任主机,发送带有SYN标志的数据段请求连接;

(4)然后等待目标机发送SYN+ACK包给已经瘫痪的主机;

(5)最后再次伪装成被信任主机向目标机发送的ACK,此时发送的数据段带有预测的目标机的ISN+1;

(6)连接建立,发送命令请求。

下面是它的两个关键步骤:

(1)使被信任主机失去工作能力

为了伪装成被信任主机而不露馅,需要使其完全失去工作能力。由于攻击者将要代替真正的被信任主机,他必须确保真正的被信任主机不能收到任何有效的网络数据,否则将会被揭穿。有许多方法可以达到这个目的(如SYN洪水攻击、Land等攻击)。

(2)序列号取样和猜测

对目标主机进行攻击,必须知道目标主机的数据包序列号。通常如何进行预测呢?往往先与被攻击主机的一个端口(如25端口)建立起正常连接。通常,这个过程被重复N次,并将目标主机最后所发送的ISN存储起来。然后还需要估计他的主机与被信任主机之间的往返时间,这个时间是通过多次统计平均计算出来的。如果往返连接增加64,000,则现就可以估计出ISN的大小是128,000乘以往返时间的一半,如果此时目标主机刚刚建立过一个连接,那么再加上64,00。一旦估计出ISN的大小,就开始着手进行攻击,当然你的虚假TCP数据包进入目标主机时,如果刚才估计的序列号是准确的,进入的数据将被放置在目标机的缓冲区中。

但是在实际攻击过程中往往没这么幸运,如果估计的序列号小于正确值,那么将被放弃。而如果估计的序列号大于正确值,并且在缓冲区的大小之内,那么该数据被认为是一个未来的数据,TCP模块将等待其他缺少的数据。如果估计序列号大于期待的数字且不在缓冲区之内,TCP将会放弃它并返回一个期望获得的数据序列号。伪装成被信任的主机IP后,此时该主机仍然处在瘫痪状态,然后向目标主机的被攻击端口(如25)发送连接请求。目标主机立刻对连接请求作出反应,发更新SYN+ACK确认包给被信任主机,因为此时被信任主机仍然处于瘫痪状态,它当然无法收到这个包,紧接着攻击者向目标主机发送ACK数据包,该数据包使用前面估计的序列号加1。如果攻击者估计正确的话,目标主机将会接收该ACK。连接就正式建立起了,可以开始数据传输了。

对于来自网络外部的欺骗,防范的方法很简单,只需要在局域网的对外路由器上加一个限制设置就可以实现了,在路由器的设置里面禁止运行声称来自于网络内部的信息包。

对于来自局域网外部的IP欺骗攻击的防范则可以使用防火墙进行防范,但是对于来自内部的攻击通过设置防火墙则起不到什么作用,这个时候应该注意内部网的路由器是否支持内部接口。如果路由器支持内部网络子网的两个接口,则必须提高警惕,因为它很容易受到IP欺骗。

通过对信息包的监控来检查IP欺骗攻击将是非常有效的方法,使用netlog等信息包检查工具对信息的源地址和目的地址进行验证,如果发现了信息包来自两个以上的不同地址,则说明系统有可能受到了IP欺骗攻击,防火墙外面正有黑客试图入侵系统。

2. SYN Flooding

SYN Flooding是最为有效和流行的一种DoS攻击形式。它利用TCP三次握手协议的缺陷,向目标主机发送大量的伪造源地址的SYN连接请求,消耗目标主机的资源,从而不能够为正常用户提供服务。

在TCP会话初期,有所谓的“三次握手”过程:对每次发送的数据量是怎样跟踪进行协商使数据段的发送和接收同步,根据所接收到的数据量而确定的数据确认数及数据发送、接收完毕后何时撤消联系,并建立虚连接。为了提供可靠的传送,TCP在发送新的数据之前,以特定的顺序将数据包进行编号,并需要等待这些包传送给目标机之后的确认消息。TCP总是用来发送大批量的数据。当应用程序在收到数据后要做出确认时也要用到TCP。由于TCP要时刻跟踪,这需要额外开销,使得TCP的格式有些显得复杂。

TCP三次握手的步骤如下:

(1)设主机A要与主机B通信,要建立一个TCP连接。首先,主机B(在这儿是服务器),必须先运行一个服务器进程,发出一个“被动找开”命令给TCP。之后服务器进程便不断探测端口,看是否有客户进程有连接请求。并处于“听”状态。客户端主机A的应用进程,向其TCP发“主动打开”命令,指明要与某个IP地址的某个端口建立TCP连接。第一次主机A的TCP便向主机B的TCP发出连接请求报文。TCP报文中指明了要连接的IP地址(隐含TP数据报指明)和端口号,设置能够接受的TCP数据段最大值,以及一些用户数据,SYN=1,ACK=0。这称为“第一次握手”。

(2)主机A的连接请求到达主机B后,主机B的TCP查看是否有进程在侦听该端口,如没有,就发送一个RST=1的应答,拒绝连接,否则将到达TCP数据段留给“侦听”进程。“侦听”进程将发回一个应答TCP报文段,其中SYN=1,ACK=1,确认序号ACKSEQ=X+1,同时自己选一个发送序号SEQ=Y。这是“第二次握手”。

(3)主机A收到主机B的确认报文后,再向主机B发出一个确认TCP报文段,其中SYN=1,ACK=1,SEQ=X+1,ACKSEQ=Y+1,这就完成了“第三次握手”。

在SYN Flooding攻击中,黑客机器向受害主机发送大量伪造源地址的TCP SYN报文,受害主机分配必要的资源,然后向源地址返回SYN+ACK包,并等待源端返回ACK包,如图1所示。由于源地址是伪造的,所以源端永远都不会返回ACK报文,受害主机继续发送SYN+ACK包,并将半连接放入端口的积压队列中,虽然一般的主机都有超时机制和默认的重传次数,但是由于端口的半连接队列的长度是有限的,如果不断地向受害主机发送大量的TCP SYN报文,半连接队列就会很快填满,服务器拒绝新的连接,将导致该端口无法响应其他机器进行的连接请求,最终使受害主机的资源耗尽。

图1 SYN Flooding攻击示意图

  • 相关推荐
  • 大家在看
  • 破坏性网络攻击袭击巴基斯坦国家银行

    周五晚上,一场破坏性网络攻击使巴基斯坦国家银行运营陷入瘫痪。该事件影响了该银行的自动取款机、内部网络和移动应用程序。目前,该事件被定为抹除数据的恶意软件攻击,而不是勒索软件攻击。该事件发生在周五和周六之间的晚上,影响了银行后台系统,并影响了用于连接银行分支机构的服务器、控制银行ATM网络的后台基础设施以及银行的移动应用程序。据该银行和调查的人士称,虽然该攻击使其中一些系统瘫痪,但没有资金丢失。该银行?

  • 报告:医院处于网络攻击的高风险中,但患者没有意识到

    俄亥俄州朴茨茅斯的一家非营利性医院--南方俄亥俄医疗中心在当地时间周四遭到网络攻击后取消了今日(当地时间 1月12日)的预约并将救护车改道行驶。这是过去两年中对医疗机构一系列不断升级的攻击的一部分--这一趋势可能对病人护理产生严重后果。但根据网络安全公司Armis的一份新报告,虽然信息技术专家清楚地意识到损害病人数据和关闭计算机系统的网络攻击的风险正在上升,但病人似乎并不清楚。事实上,在新报告中接受调查的公众?

  • 微软研究人员发现网络攻击者对长密码进行暴力穷举的手段失去兴趣

    根据微软蜜罐服务器网络收集的数据,大多数暴力攻击者主要试图猜测短密码,很少有攻击是针对长密码或包含复杂字符的凭证的。"我分析了超过2500万次针对SSH的暴力攻击所输入的凭证。这大约是微软安全传感网络中30天的数据,"微软的安全研究员罗斯·贝文顿说。"77%的尝试使用了1到7个字符的密码。超过10个字符的密码只出现在6%的情况下。"他在微软担任欺诈主管,他的任务是创建看起来合法的蜜罐系统,以研究攻击者的趋势。在他分析的

  • 网络安全是企业追逐星辰大海的底气

    #网络安全灾难?是危言耸听还是现实上演艳阳下,路人的尖叫打破了宁静。数分钟前,道路上还是一幅有序的景象,此刻忽然被打乱了:一辆辆汽车在无人驾驶的情况下,冲出了停车场、横冲直撞,行人尖叫着躲闪……时至今日,你还以为这是电影《黑客帝国》的桥段?实际上,在生活中接触到的交通工具几乎均装有电脑芯片。看似便利宁静的智慧生活,随时可能在突如其来的瞬间被某种“网络入侵”破坏。如果说这些距离生活有点遥远,你是否还?

  • 英国工党将党员数据泄露归咎于对第三方承包商的网络攻击

    英国工党已经证实,第三方公司的网络攻击导致了党员数据的泄露。在发给所有党员并发布在网站上的一封电子邮件中,工党说它在10月29日被告知一个不知名的第三方数据处理公司发生了"网络安全事件"。攻击细节仍然不明,但工党表示,该事件导致"大量的党内数据在其系统中无法访问"。一位回应该事件的人士表示,该事件是对工党第三方供应商的勒索软件攻击,但工党中央党部尚未证实这一点。漏洞的规模也不清楚,目前还不知道哪些数据被泄

  • 请查收!移动云网络安全成绩单出炉!

    2021 年中国工业互联网安全大赛近期在重庆落下帷幕,移动云网络安全攻防团队在此次比赛中获得一等奖。移动云网络安全攻防团队从去年至今,多次参加各项网络安全赛事,并取得了优异成绩: 2021 年中国工业互联网安全大赛一等奖、 2021 首届陇剑杯网络安全大赛二等奖、 2021 第二届工业互联网安全大赛二等奖、 2020 工业互联网安全技术技能大赛二等奖等。此次获奖是移动云网络安全攻防团队首次获得国家级赛事一等奖。参赛队员积极备?

  • 美国扣押600万美元赎金并就重大网络攻击起诉了一名乌克兰人

    美司法部(DOJ)于当地时间周一宣布,执法官员没收了约600万美元的赎金并就7月对一家美国公司的破坏性勒索软件攻击起诉了一名来自乌克兰的嫌疑人。据悉,这些是拜登政府在追捕网络犯罪分子方面的一个突破。Yaroslav Vasinskyi是一名乌克兰国民,于上月在波兰被捕,他被指控部署了名为REvil的勒索软件,该软件曾被用于使美国公司损失数百万美元的黑客攻击。根据周一公布的起诉书,Vasinskyi在7月4日周末对总部位于佛罗里达州的软件公?

  • 腾讯增资百漫文化,后者专注于网络动漫IP的孵化与整合运营

    近日,广州百漫文化传播有限公司发生工商变更,新增股东广西腾讯创业投资有限公司,此外该公司股东包含腾讯关联公司林芝利创信息技术有限公司、深圳市利通产业投资基金有限公司。

  • 外媒:网络安全公司McAfee或将卖身给Advent 价格超100亿美元

    【TechWeb】11月6日消息,据国外媒体报道,消息人士透露,美国知名网络安全公司McAfee将以超100亿美元价格卖身给私募股权公司Advent International。McAfee是全球最大的专业安全技术公司,McAfee杀毒软件是全球畅销的杀毒软件之一,今年6月创始人麦卡菲本人被发现死在西班牙监狱中。据悉,收购消息最快下周一宣布,不过谈判仍有可能破裂,尚不清楚其他细节。美国时间周五McAfee股价上涨20%,收于25.46美元。

  • 数字生态大会腾讯安专场召开,网络安全主题数字藏品艺术展举办

    11 月 4 日, 2021 腾讯数字生态大会进入第二天议程,由腾讯安全主办的云安全专场、数字化业务风控专场召开,与网络安全领域的行业领袖、专家学者等嘉宾围绕数字化进程下产业安全防护和安全体系建设,展开发展趋势洞察、产业创新成果的研讨与分享。由腾讯安全联合三大美院艺术家共同举办的国内首场网络安全主题数字藏品艺术展亮相于两个会场之中,吸引了大批观众驻足欣赏,现场热度不断,展会上发行的限量 6007 份数字藏品也在线下

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天