网络协议安全性分析(思维导图word版本)
网络协议安全性分析
思维导图在最下方!!!
IP分析
IPv4协议分析
没有认证机制 没有加密机制 无带宽控制 解决方案:IPsec标准(但主要为IPv6设计的)
IPv6协议分析
IPv4 到 IPv6的过渡 • 双协议栈 • 隧道 • 将IPv6的数据包封装在IPv4的数据中 • 网络地址转换(NAT) 安全隐患 • IPv4 到 IPv6 过渡技术的安全隐患 • 无状态地址自动配置的安全风险 • IPv6中PKI管理系统的安全风险 • IPv6编址机制的隐患 • 安全机制给网络安全体系带来的安全风险 • 对传统防火墙和入侵检测系统的不友好
ICMP分析
IPv4版本和IPv6版本
威胁
利用目的不可达报文发起拒绝服务攻击 利用改变路由报文破坏路由表 木马利用ICMP报文进行隐秘通信 利用回送请求或回答报文进行网络扫描或拒绝服务攻击
ARP分析
网络嗅探
伪造arp响应发送给主机,修改arp缓存,从而重定向 IP数据流到攻击者主机
阻止目标的数据包通过网关
实际上原理也是修改被攻击主机的arp缓存
RIP分析
处理策略
仅与相邻路由器交换信息 交换信息是自己的路由表 按固定时间间隔交换信息
安全分析
RIPv1不支持认证并且使用不可靠的UDP作为传输协议,安全性极差 • 导致攻击者可以轻易伪造RIP路由更新信息,向邻居路由发送 RIPv2支持明文认证和MD5认证,认证以单向为主,但明文认证的安全性依然比较弱 RIPng为IPv6环境下运行的RIP,利用IPsec提供的安全机制保证了交换路由信息的安全性
OSPF分析
处理策略
向本系统所有路由器发送消息(泛洪法) 发送的是与本路由器相邻的所有路由器的状态 只有当链路状态发生改变时才发送消息
安全分析
OSPF的三种认证方式
• 默认认证方式是不认证 • 简单口令认证(明文传输) • MD5加密身份认证(使用非递减的加密序列一定程度防止重放攻击,但序列号从最大值回滚回初值或路由器重启后仍能进行重放攻击) • 容易遭受重放或伪造攻击
常见攻击手段
• 最大年龄攻击 • 序列号加 1 攻击 • 最大序列号攻击 • 重放攻击 • 篡改攻击
BGP分析
https://zhuanlan.zhihu.com/p/25433049 (BGP分析)
安全分析
缺乏一个安全可信的路由认证机制(一个自治系统对外通告不属于自己的地址快前缀) 面临因使用TCP而产生的安全问题 管理员密码泄露导致路由表更改 数字大炮,利用路由表更新机制造成主干网络路由器瘫痪
TCP安全分析
拒绝服务攻击(例如SYN Flood攻击,TCP链接耗尽攻击) 序号预测,TCP会话劫持 网络扫描
DNS安全分析
域名欺骗
事务ID欺骗:
通过网络监听或序列号预测发送相同数据包id的响应报文给目标主机,并是在正确的报文返回前就要发送给目标主机
缓存投毒:
将污染的记录插入到DNS服务器的缓存记录中。
