《網(wǎng)絡(luò)信息安全技術(shù)》課件第10章_第1頁
《網(wǎng)絡(luò)信息安全技術(shù)》課件第10章_第2頁
《網(wǎng)絡(luò)信息安全技術(shù)》課件第10章_第3頁
《網(wǎng)絡(luò)信息安全技術(shù)》課件第10章_第4頁
《網(wǎng)絡(luò)信息安全技術(shù)》課件第10章_第5頁
已閱讀5頁,還剩59頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

第10章包過濾技術(shù)原理及應(yīng)用10.1高層IP網(wǎng)絡(luò)的概念10.2包過濾的工作原理10.3包過濾路由器的配置10.4包的基本構(gòu)造10.5包過濾處理內(nèi)核10.6包過濾規(guī)則10.7依據(jù)地址進(jìn)行過濾

10.8依據(jù)服務(wù)進(jìn)行過濾10.1高層IP(因特網(wǎng)協(xié)議)網(wǎng)絡(luò)的概念

一個文件要穿過網(wǎng)絡(luò),必須將文件分成小塊,每小塊文件單獨傳輸。把文件分成小塊的做法主要是為了讓多個系統(tǒng)共享網(wǎng)絡(luò),每個系統(tǒng)可以依次發(fā)送文件塊。在IP網(wǎng)絡(luò)中,這些小塊被稱為包。所有的信息傳輸都是以包的方式來實施的。

將多個IP網(wǎng)絡(luò)互連的基本設(shè)備是路由器。路由器可以是一臺專門的硬件設(shè)備,也可以是一個工作在通用系統(tǒng)(如UNIX、MS-DOS、Windows和Macintosh)下的軟件包。軟件包在網(wǎng)絡(luò)群中穿越就是從一臺路由器到另一臺路由器,最后抵達(dá)目的地。因特網(wǎng)本身就是一個巨大的網(wǎng)絡(luò)群,也可叫做網(wǎng)中網(wǎng)。

路由器針對每一個接收到的包做出路由決定如何將包送達(dá)目的地。在一般情況下,包本身不包含任何有助確定路由的信息。包只告訴路由器要將它發(fā)往何地,至于如何將它送達(dá),包本身則不提供任何幫助。路由器之間通過諸如RIP和OSPF的路由協(xié)議相互通信,并在內(nèi)存中建立路由表。當(dāng)路由器對包進(jìn)行路由時,它將包的目的地址與路由表中的入口地址相比較,并依據(jù)該表來發(fā)送這個包。在一般情況下,一個目的地的路由不可能是固定的。同時,路由器還經(jīng)常使用“默認(rèn)路由”,即把包發(fā)往一個更加智能的或更上一級的路由器。包過濾路由器是具有包過濾特性的一種路由器。在對包做出路由決定時,普通路由器只依據(jù)包的目的地址引導(dǎo)包,而包過濾路由器就必須依據(jù)路由器中的包過濾規(guī)則做出是否引導(dǎo)該包的決定。10.2包過濾的工作原理10.2.1包過濾技術(shù)傳遞的判據(jù)

包過濾技術(shù)可以允許或不允許某些包在網(wǎng)絡(luò)上傳遞,它依據(jù)以下的判據(jù):(1)將包的目的地址作為判據(jù);(2)將包的源地址作為判據(jù);(3)將包的傳送協(xié)議作為判據(jù)。10.2.2包過濾技術(shù)傳遞操作大多數(shù)包過濾系統(tǒng)判決是否傳送包時都不關(guān)心包的具體內(nèi)容。

1.包過濾系統(tǒng)允許的操作(1)不讓任何用戶從外部網(wǎng)用Telnet登錄;(2)允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件;(3)只允許某臺機器通過NNTP往內(nèi)部網(wǎng)發(fā)新聞。

包過濾不允許的操作(1)允許某個用戶從外部網(wǎng)用Telnet登錄而不允許其他用戶進(jìn)行這種操作;(2)允許用戶傳送一些文件而不允許用戶傳送其他文件。圖10.1源地址偽裝10.2.3包過濾方式的優(yōu)缺點

1.包過濾方式的優(yōu)點

包過濾方式有許多優(yōu)點,而其主要優(yōu)點之一是僅用一個放置在重要位置上的包過濾路由器就可保護(hù)整個網(wǎng)絡(luò)。如果我們的站點與因特網(wǎng)間只有一臺路由器,那么不管站點規(guī)模有多大,只要在這臺路由器上設(shè)置合適的包過濾,我們的站點就可獲得很好的網(wǎng)絡(luò)安全保護(hù)。

包過濾不需要用戶軟件的支持,也不需要對客戶機作特別的設(shè)置,也沒有必要對用戶作任何培訓(xùn)。當(dāng)包過濾路由器允許包通過時,它表現(xiàn)得和普通路由器沒有任何區(qū)別。在這時,用戶甚至感覺不到包過濾的存在,只有在某些包被禁入或禁出時,用戶才認(rèn)識到它與普通路由器的不同。包過濾工作對用戶來講是透明的。這種透明就是不要求用戶作任何操作的前提下完成包過濾工作。

2.包過濾系統(tǒng)缺點及局限性(1)在機器中配置包過濾規(guī)則比較困難;(2)對系統(tǒng)中的包過濾規(guī)則的配置進(jìn)行測試也較麻煩;(3)許多產(chǎn)品的包過濾功能有這樣或那樣的局限性,要找一個比較完整的包過濾產(chǎn)品比較困難。包過濾系統(tǒng)本身就可能存在缺陷,這些缺陷對系統(tǒng)安全性的影響要大大超過代理服務(wù)系統(tǒng)對系統(tǒng)安全性的影響。因為代理服務(wù)的缺陷僅會使數(shù)據(jù)無法傳遞,而包過濾的缺陷會使得一些平常該拒絕的包也能進(jìn)出網(wǎng)絡(luò)。

即使在系統(tǒng)中安裝了比較完善的包過濾系統(tǒng),我們也會發(fā)現(xiàn)對有些協(xié)議使用包過濾方式不太合適。比如,對Berkeley的“r”命令(rcp、rsh、rlogin)和類似于NFS和NIS/YS協(xié)議的RPC,用包過濾系統(tǒng)就不太合適。有些安全規(guī)則是難以用包過濾系統(tǒng)來實施的,比如,在包中只有來自于某臺主機的信息而無來自于某個用戶的信息,此時用戶就不能用包過濾。10.3包過濾路由器的配置10.3.1協(xié)議的雙向性協(xié)議總是雙向的,協(xié)議包括一方發(fā)送一個請求而另一方返回一個應(yīng)答。在制訂包過濾規(guī)則時,要注意包是從兩個方向來到路由器的,比如,只允許往外的Telnet包將我們鍵入的信息送達(dá)遠(yuǎn)程主機,而不允許返回的顯示信息包通過相同的連接,這種規(guī)則是不正確的,同時,拒絕半個連接往往也是不起作用的。在許多攻擊中,入侵者向內(nèi)部網(wǎng)發(fā)送包,他們甚至不用返回信息就可完成對內(nèi)部網(wǎng)的攻擊,因為他們能對返回信息加以推測。10.3.2“往內(nèi)”與“往外”在我們制訂包過濾規(guī)則時,必須準(zhǔn)確理解“往內(nèi)”與“往外”的包和“往內(nèi)”與“往外”的服務(wù)這幾個詞的語義。一個往外的服務(wù)(如上面提到的Telnet)同時包含往外的包(鍵入信息)和往內(nèi)的包(返回的屏幕顯示信息)。雖然大多數(shù)人習(xí)慣于用“服務(wù)”來定義規(guī)定,但在制訂包過濾規(guī)則時,我們一定要具體到每一種類型的包。我們在使用包過濾時也一定要弄清“往內(nèi)”與“往外”的包和“往內(nèi)”與“往外”的服務(wù)這幾個詞之間的區(qū)別。10.3.3“默認(rèn)允許”與“默認(rèn)拒絕”

網(wǎng)絡(luò)的安全策略中有兩種方法:默認(rèn)拒絕(沒有明確地被允許就應(yīng)被拒絕)與默認(rèn)允許(沒有明確地被拒絕就應(yīng)被允許)。從安全角度來看,用默認(rèn)拒絕應(yīng)該更合適。就如我們前面討論的,我們首先應(yīng)從拒絕任何傳輸來開始設(shè)置包過濾規(guī)則,然后再對某些應(yīng)被允許傳輸?shù)膮f(xié)議設(shè)置允許標(biāo)志。這樣做我們會感到系統(tǒng)的安全性更好一些。10.4包的基本構(gòu)造

為了更好的理解包過濾,我們首先必須正確理解包的構(gòu)造和它在TCP/IP協(xié)議各層上的操作,這些層是:應(yīng)用層(如HTTP、FTP和Telnet)、傳輸層(如TCP、UDP)、因特網(wǎng)絡(luò)層(IP)和網(wǎng)絡(luò)接口層(FDDI、ATM和以太網(wǎng))。包的構(gòu)造有點像洋蔥一樣,它是由各層連接的協(xié)議組成的。在每一層-包都由包頭與包體兩部分組成。在包頭中存放與這一層相關(guān)的協(xié)議信息,在包體中存放包在這一層的數(shù)據(jù)信息。這些數(shù)據(jù)信息也包含了上層的全部信息。在每一層上對包的處理是將從上層獲取的全部信息作為包體,然后依本層的協(xié)議加上包頭。這種對包的層次性操作(每一層均加裝一個包頭)一般稱為封裝。

在應(yīng)用層,包頭含有需被傳送的數(shù)據(jù)(如需被傳送的文件內(nèi)容)。當(dāng)構(gòu)成下一層(傳輸層)的包時,傳輸控制協(xié)議(TCP)或用戶數(shù)據(jù)報協(xié)議(UDP)從應(yīng)用層將數(shù)據(jù)全部取來,然后再加裝上本層的包頭。當(dāng)構(gòu)筑再下一層(因特網(wǎng)絡(luò)層)的包時,IP協(xié)議將上層的包頭與包體全部當(dāng)作本層的包體,然后再加裝上本層的包頭。在構(gòu)筑最后一層(網(wǎng)絡(luò)接口層)的包時,以太網(wǎng)或其他網(wǎng)絡(luò)協(xié)議將IP層的整個包作為包體,再加上本層的包頭。圖9.2顯示了這種操作過程。圖10.2數(shù)據(jù)包的封裝10.5包過濾處理內(nèi)核10.5.1包過濾和網(wǎng)絡(luò)策略

包過濾還可以用來實現(xiàn)大范圍內(nèi)的網(wǎng)絡(luò)安全策略。網(wǎng)絡(luò)安全策略必須清楚地說明被保護(hù)的網(wǎng)絡(luò)和服務(wù)的類型、它們的重要程度和這些服務(wù)要保護(hù)的對象。一般來說,網(wǎng)絡(luò)安全策略主要集中在阻截入侵者,而不是試圖警戒內(nèi)部用戶。它的工作重點是阻止外來用戶的突然侵入和故意暴露敏感性數(shù)據(jù),而不是阻止內(nèi)部用戶使用外部網(wǎng)絡(luò)服務(wù)。這種類型的網(wǎng)絡(luò)安全策略決定了過濾路由器應(yīng)該放在哪里和怎樣通過編程來執(zhí)行包過濾。一個好的網(wǎng)絡(luò)安全策略還應(yīng)該做到,使內(nèi)部用戶也難以危害網(wǎng)絡(luò)的安全。

網(wǎng)絡(luò)安全策略的一個目標(biāo)就是要提供一個透明機制,以便這些策略不會對用戶產(chǎn)生障礙。因為包過濾工作在OSI模型的網(wǎng)絡(luò)層和傳輸層,而不是在應(yīng)用層,這種方法一般來說比防火墻方法更具透明性。因此,要記住防火墻是工作在OSI模型的應(yīng)用層的,這一層的安全措施不應(yīng)成為透明的。10.5.2一個簡單的包過濾模型包過濾器通常置于一個或多個網(wǎng)段之間。網(wǎng)絡(luò)段區(qū)分為外部網(wǎng)段或內(nèi)部網(wǎng)段。外部網(wǎng)段是通過網(wǎng)絡(luò)將用戶的計算機連接到外面的網(wǎng)絡(luò)上,內(nèi)部網(wǎng)段用來連接公司的主機和其他網(wǎng)絡(luò)資源。包過濾器設(shè)備的每一個端口都可用來完成網(wǎng)絡(luò)安全策略,該策略描述了通過此端口可訪問的網(wǎng)絡(luò)服務(wù)類型。如果連在包過濾設(shè)備上的網(wǎng)絡(luò)段的數(shù)目很大,那么包過濾所要完成的服務(wù)就會變得很復(fù)雜。一般來說,應(yīng)當(dāng)避免對網(wǎng)絡(luò)安全問題采取過于復(fù)雜的解決方案,理由如下:(1)它們難以維護(hù);(2)配置包過濾時容易出錯;(3)它們對所實施的設(shè)備的功能有副作用。大多數(shù)情況下包過濾設(shè)備只連兩個網(wǎng)段,即外部網(wǎng)段和內(nèi)部網(wǎng)段。包過濾用來限制那些它拒絕服務(wù)的網(wǎng)絡(luò)流量。因為網(wǎng)絡(luò)策略是應(yīng)用于那些與外部主機有聯(lián)系的內(nèi)部用戶的,所以過濾路由器端口兩面的過濾器必須以不同的方式工作。10.5.3包過濾器操作幾乎所有的包過濾設(shè)備(過濾路由器或包過濾網(wǎng)關(guān))都按照如下方式工作:(1)包過濾標(biāo)準(zhǔn)必須由包過濾設(shè)備端口存儲起來,這些包過濾標(biāo)準(zhǔn)叫做包過濾規(guī)則;(2)當(dāng)包到達(dá)端口時,對包的報頭進(jìn)行語法分析,大多數(shù)包過濾設(shè)備只檢查IP、TCP或UDP報頭中的字段,不檢查包體的內(nèi)容;(3)包過濾器規(guī)則以特殊的方式存儲;(4)如果一條規(guī)則阻止包傳輸或接收,此包便不被通過;(5)如果一條規(guī)則允許包傳輸或接收,該包可以繼續(xù)處理;(6)如果一個包不滿足任何一條規(guī)則,該包便被阻塞。圖10.3包過濾操作流程圖10.5.4包過濾設(shè)計圖10.4有包過濾路由器的網(wǎng)絡(luò)

假設(shè)網(wǎng)絡(luò)策略安全規(guī)則確定:從外部主機發(fā)來的因特網(wǎng)郵件在某一特定網(wǎng)關(guān)被接收,并且想拒絕從不信任的名為Cree-Phost的主機發(fā)來的數(shù)據(jù)流(拒絕的原因可能是該主機發(fā)送郵件系統(tǒng)不能處理大量的報文,也可能是懷疑這臺主機會給網(wǎng)絡(luò)安全帶來極大的威脅)。在這個例子中,SMTP使用的網(wǎng)絡(luò)安全策略必須翻譯成包過濾規(guī)則。我們可以把網(wǎng)絡(luò)安全規(guī)則翻譯成下列中文規(guī)則:

[過濾器規(guī)則1]我們不相信從Cree-Phost來的連接;

[過濾器規(guī)則2]我們允許與我們的郵件網(wǎng)關(guān)的連接;這些規(guī)則可以編輯成如表9.1所示的規(guī)則表,其中星號(*)表明它可以匹配該列的任何值。表10.1一個包過濾規(guī)則的編碼例子

對于過濾器規(guī)則1(表9.1),有一外部主機列,而其他列有星號(*)標(biāo)記。其“動作”是阻塞連接。這一規(guī)則可以翻譯為:阻塞任何以(*)Cree-Phost端口來的到我們?nèi)我?*)主機的任意(*)端口的連接。對于過濾規(guī)則2,有我們的主機和主機端口列,其他的列都為(*)號,其“動作”是允許連接,這可翻譯為:

·

允許任意(*)外部主機從其任意(*)端口到我們的Mail-GW主機端口的連接。

·使用端口號25是因為這個TCP端口是保留給SMTP的。

這些規(guī)則應(yīng)用的順序與它們在表中的順序相同。如果一個包不與任何規(guī)則匹配,它就會遭到拒絕。在表9.1中規(guī)定的過濾規(guī)則方式的一個問題是:它允許任何外部機器從端口25產(chǎn)生一個請求。端口25應(yīng)該保留SMTP,但一個外部主機可能用這個端口做其他用途。過濾規(guī)則3表示了一個內(nèi)部主機如何發(fā)送SMTP郵件到外部主機端口25,以使內(nèi)部主機完成發(fā)送郵件到外部站點的任務(wù)。如果外部站點對SMTP不使用端口號25,那么SMTP發(fā)送者便發(fā)送郵件。TCP是全雙工連接的,信息流是雙向的。表9.1中的包過濾規(guī)則不能明確地區(qū)分包中的信息流向,即是從我們的主機到外部站點,還是從外部站點到我們的主機。當(dāng)TCP包從任一方向發(fā)送出去時,接收者必須通過設(shè)置確認(rèn)(ACK,Acknowledgement)標(biāo)志來發(fā)送確認(rèn)。ACK標(biāo)志是用在正常的TCP傳輸中的,首包的ACK=0,而后續(xù)包的ACK=1,如圖10.5所示。圖10.5在TCP數(shù)據(jù)傳輸中使用確認(rèn)

在圖10.5中,發(fā)送者發(fā)送一個段(TCP發(fā)送的數(shù)據(jù)叫做段),其開始的比特數(shù)是1001(SEQ#),長度是100;接收者發(fā)送回去一個確認(rèn)包,其中ACK標(biāo)志置為1,且確認(rèn)數(shù)(ACK#)設(shè)置為1001+100=1101;發(fā)送者再發(fā)送1個TCP段數(shù),每段為200bit。這些是通過一個單一確認(rèn)包來確認(rèn),其中ACK設(shè)置為1,確認(rèn)數(shù)表明下一個TCP數(shù)據(jù)段開始的比特數(shù)是(1101+200)=1301。從圖10.5我們可以看到,所有的TCP連接都要發(fā)送ACK包。當(dāng)ACK包被發(fā)送出去時,其發(fā)送方向相反,且包過濾規(guī)則應(yīng)考慮那些確認(rèn)控制包或數(shù)據(jù)包的ACK包。表10.2SMTP的包過濾規(guī)則

對于表10.2中的過濾規(guī)則1,源主機或網(wǎng)絡(luò)列有一項為,目的主機端口列有一項為25,所有其他的列都是“*”號。過濾規(guī)則1的動作是允許連接。這可翻譯為:允許任何從網(wǎng)絡(luò)的任一端口(*)產(chǎn)生的到具有任何TCP標(biāo)志或IP選項設(shè)置(包括源路由選擇)的、任一目的主機(*)的端口25的連接。注意,由于是一個C類IP地址(也叫netid),主機號(也叫hostid)字段中的0指的是在網(wǎng)絡(luò)199.245.180中的任何主機。

對于過濾規(guī)則2,源主機端口列有一項為25,目的主機或網(wǎng)絡(luò)列有一項是,TCP標(biāo)志或IP選項列為ACK,所有其他的列都是“*”號。過濾規(guī)則2的動作是允許連接。這可翻譯為:允許任何來自任一(*)端口的連接被繼續(xù)設(shè)置。表10.2的過濾規(guī)則1和2的組合效應(yīng)就是允許TCP包在網(wǎng)絡(luò)和任一外部主機的SMTP端口之間傳輸,即過濾規(guī)則3。

因為包過濾只檢驗OSI模型的第二和第三層,所以無法絕對保證返回的TCP確認(rèn)包是同一個連接的部分。在實際應(yīng)用中,因為TCP連接維持兩方的狀態(tài)信息,它們知道什么樣的序列號和確認(rèn)是所期望的。另外,上一層的應(yīng)用服務(wù),如Telnet和SMTP只能接受那些遵守應(yīng)用協(xié)議規(guī)則的包。偽造一個含有正確ACK包的確認(rèn)是很困難的(盡管理論上是可能的)。對于更高層的安全,我們可以使用應(yīng)用層的網(wǎng)關(guān),如防火墻等。10.6包過濾規(guī)則10.6.1制訂包過濾規(guī)則時應(yīng)注意的事項

(1)聯(lián)機編輯過濾規(guī)則。一般的文件編輯器都比較小,我們在編輯包過濾規(guī)則時有時還不太清楚新規(guī)則與原有的老規(guī)則是否會有沖突。我們發(fā)覺將過濾規(guī)則以文本文件方式保存在其他的PC機上,第一個好處是很方便。因為這樣我們可以找到比較熟悉的工具對它進(jìn)行加工,然后再將它裝入到包過濾系統(tǒng)。第二個好處是可將每條過濾規(guī)則的注釋部分也保存下來。大多數(shù)包過濾系統(tǒng)會自動將過濾程序中的注釋部分消除,因此,當(dāng)過濾規(guī)則裝入過濾系統(tǒng)后,我們會發(fā)現(xiàn)注釋部分已不再存在。(2)要用IP地址值,而不用主機名

在包過濾規(guī)則中,要用具體的IP地址值來指定某臺主機或某個網(wǎng)絡(luò)而不要用主機名字。這樣可以防止有人有意或無意破壞名字——通過地址翻譯器后帶來的麻煩。(3)從scratch中將新的過濾規(guī)則裝入

規(guī)則文件生成后先要將老的規(guī)則文件消除,然后再從scratch中將新的規(guī)則文件裝入。這樣做可以使你不用再為新的規(guī)則集是否與老規(guī)則集產(chǎn)生沖突而擔(dān)憂。10.6.2設(shè)定包過濾規(guī)則的簡單實例我們讓內(nèi)部網(wǎng)(C類地址為)只與某一臺外部主機(0)之間進(jìn)行數(shù)據(jù)交換,在這種情況下,采用如表10.3所示規(guī)則。表10.3包過濾規(guī)則例10.1

當(dāng)用screend時,我們可以這樣來寫命令betweenhost0andnetaccept;betweenhostanyandhostanyreject;

例10.2當(dāng)用TelehitMctbiazer時,我們還必須設(shè)定此規(guī)則用于哪個接口和該規(guī)則是否對進(jìn)出流量均有效,如對一個名為“Syno”的外接口,我們的規(guī)則可用以下的命令來寫:permit0/32/24synoindeny/0/0synoinpermit/240/32synooutdeny/0/0synoout

例10.3

針對一個Cisco路由器,我們也必須將規(guī)則變成設(shè)置,并將該設(shè)置用于相應(yīng)的端口與數(shù)據(jù)流方向。假定端口為“serial1”,我們的規(guī)則應(yīng)寫成下面的樣子:access-list101permitip055access-list101denyip5555interfaceserial0access-group101inaccess-list101permitip550access-list102denyip5555interfaceSerial0access-group102out10.7依據(jù)地址進(jìn)行過濾

在包過濾系統(tǒng)中,簡單的方法是依據(jù)地址進(jìn)行過濾。用地址進(jìn)行過濾可以不管使用什么協(xié)議,僅根據(jù)源地址/目的地址對流動的包進(jìn)行過濾。我們可用這種方法只讓某些被指定的外部主機與某些被指定的內(nèi)部主機進(jìn)行交互。還可以防止黑客用偽包裝成來自某臺主機,而其實并非來自于那臺主機的包對網(wǎng)絡(luò)進(jìn)行的侵?jǐn)_。

例如,為了防止偽包流入內(nèi)部網(wǎng),我們可以這樣來制訂規(guī)則:RuleDirectionSourceAddressDestinationAddressActionAInboundInternalAnyDeny

請注意,方向是往內(nèi)的。在外部網(wǎng)與內(nèi)部網(wǎng)間的路由器上,我們可以將往內(nèi)的規(guī)則用于路由器的外部網(wǎng)接口,以控制流入的包;也可以將規(guī)則用于路由器的內(nèi)部網(wǎng)接口,用來控制流出的包。這兩種方法對內(nèi)部網(wǎng)的保護(hù)效果是一樣的,但對路由器而言,第二種方法顯然沒有對它(路由器)提供保護(hù)。

有時,依據(jù)源地址過濾有一定的風(fēng)險,因為包的源地址易于被偽造,故依靠源地址來過濾就不太可靠。除非我們再使用一些其他的技術(shù)如加密、認(rèn)證,否則我們不能完全確認(rèn)我們正在與之交互的機器就是我們想要與之交互的機器,而不是什么其他機器偽裝的。上面討論的規(guī)則能防止外部主機偽裝成內(nèi)部主機,而該規(guī)則對外部主機冒充另一臺外部主機則束手無策。依靠偽裝發(fā)動攻擊的技術(shù)有兩種:源地址偽裝和途中人的攻擊。

在一個基本的源地址偽裝攻擊中,入侵者用一個用戶認(rèn)為信賴的源地址向用戶發(fā)送一個包,他希望用戶基于對源地址的信任而對該包進(jìn)行正常的操作。他并不希望用戶給他什么響應(yīng),即回送他的包。因此,他沒有必要等待返回信息,他可以呆在任何地方。而用戶對該包的響應(yīng)則會送到被偽裝的那臺機器。其實,大多數(shù)協(xié)議對一個有經(jīng)驗的入侵者來講,其響應(yīng)都是可預(yù)測的。有些入侵者是不用獲得響應(yīng)就可實施的。

例:假定一個入侵者在用戶的系統(tǒng)注冊了一個命令,該命令讓系統(tǒng)將口令文件以E-mail方式發(fā)送給他。對于這種入侵,他就只要等待系統(tǒng)發(fā)出的口令文件即可,而不用再觀察系統(tǒng)對該命令的執(zhí)行過程了。在許多情形下,特別是在涉及TCP的連接中,真正的主機(入侵者就是冒充它)對收到莫名其妙的包后的反應(yīng)一般是將這種有問題的連接清除掉。當(dāng)然,入侵者不希望看到這種情況發(fā)生。他們要保證在真正的主機連到我們的包前就要完成攻擊,或者在我們接收到真正的主機要求清除連接前完成入侵。入侵者有一系列的手段可做到這一點,如:

(1)在真正主機關(guān)閉的情形下,入侵者冒充它來攻擊內(nèi)部網(wǎng);(2)先破壞真正主機以保證偽裝入侵成功;(3)在實施入侵時用大流量數(shù)據(jù)塞死真正主機;(4)將真正主機與攻擊目標(biāo)間的路由搞亂;(5)使用不要求兩次響應(yīng)的攻擊技術(shù)。采用以上技術(shù)實施攻擊,在以前被認(rèn)為是一種理論上的可能性,而非實際可能性,而目前這些技術(shù)已成為潛在的威脅。

途中人偽裝攻擊是依靠偽裝成某臺主機與內(nèi)部網(wǎng)完成交互的能力,要做到這點,入侵者既要偽裝成某臺主機向被攻擊者發(fā)送包,而且還要中途攔截返回的包,要做到這樣,入侵者可用如下兩種操作。

(1)入侵者必須使自己處于被攻擊對象與被偽裝機器的路徑當(dāng)中。要達(dá)到這樣的要求,最簡單的方法是入侵者將自己安排在路徑的兩端,而最難的方法是將自己設(shè)置在路徑中間,因為現(xiàn)代的IP網(wǎng)絡(luò),兩點之間的路徑是可變的。(2)將被偽裝主機和被攻擊主機的路徑更改成必須通過攻擊者的機器。這樣做可能非常容易,也可能非常困難,主要取決于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)的路由系統(tǒng)。雖然這種技術(shù)被稱為“途中人”技術(shù),但這種攻擊卻很少由處于路徑中間的機器發(fā)起,因為處在網(wǎng)絡(luò)路徑中間的大都是網(wǎng)絡(luò)(或網(wǎng)絡(luò)服務(wù))供應(yīng)商。10.8依據(jù)服務(wù)進(jìn)行過濾10.8.1往外的Telnet服務(wù)圖10.6往外的Telnet服務(wù)

在這種Telnet服務(wù)器中,往外的包中包含了用戶擊鍵的信息,并具有如下特征:(1)該包的IP源地址是本地主機的IP地址;(2)該包的IP目的地址是遠(yuǎn)程主機的IP地址;(3)Telnet是基于TCP的服務(wù),所以該IP包是滿足TCP協(xié)議的;(4)TCP的目標(biāo)端口號是23;(5)TCP的源端口號在本例中(下面用‘Y’表示)應(yīng)該是一個大于1023的隨機數(shù);(6)為建立連接的第一個外向包的ACK位的信息是ACK=0,其余外向包均為ACK=1。

這種服務(wù)中往內(nèi)的包中含有用戶的屏幕顯示信息(如login提示符),并具有以下特征:(1)該包的IP源地址是遠(yuǎn)程主機的IP地址;(2)該包的IP目的地址是本地主機的IP地址;(3)該包是TCP類型的;(4)該包的源端口號是23;(5)該包的目標(biāo)端口號為‘Y’;(6)所有往內(nèi)的包的ACK=1。

我們注意到往內(nèi)與往外的包頭信息中,使用了相同的地址與端口號,只是將目標(biāo)與源互換而已。另外,至于為何往外的包的源端口號肯定大于1023?這最初是由BSDUNIX規(guī)定的,而后面的大多數(shù)UNIX都繼承了這一慣例。BSDUNIX將0~1023號端口保留給root使用。這些端口號只有服務(wù)器可用(而BSD的“r”命令如rcp和rlogin是例外)。甚至有些沒有特權(quán)用戶概念的操作系統(tǒng)如MS-DOS、Mashintosh也繼承了這一慣例。當(dāng)客戶程序要用到端口號時,只能被分配到1023號以上的端口號。10.8.2往內(nèi)的Telnet服務(wù)下面,我們再看一下往內(nèi)的Telnet服務(wù)的情形。在這種服務(wù)中,一個遠(yuǎn)程用戶與一個本地主機通信。同樣,我們要同時觀察往內(nèi)與往外的包,往內(nèi)的包中含有用戶的擊鍵信息,并具有如下特征:(1)該包的IP源地址是遠(yuǎn)程主機的地址

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論