全書共分3篇15章。第1篇為網(wǎng)絡(luò)安全基礎(chǔ),共3章,主要討論網(wǎng)絡(luò)安全的基礎(chǔ)知識;第2篇為密碼學(xué)基礎(chǔ),共5章,詳細(xì)討論各種密碼算法和技術(shù),特別深入地介紹我國已公布的標(biāo)準(zhǔn)密碼算法;第3篇為網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,共7章,深入介紹網(wǎng)絡(luò)實(shí)踐中常用的一些網(wǎng)絡(luò)安全技術(shù)及產(chǎn)品。本書內(nèi)容豐富,概念清楚,語言精練。在網(wǎng)絡(luò)安全基本知識和密碼學(xué)理論的闡述上,力求深入淺出,通俗易懂;在網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品的講解上,力求理論聯(lián)系實(shí)際,面向具體應(yīng)用。本書在每章的后面提供了思考題和練習(xí)題,以便于讀者鞏固所學(xué)的知識點(diǎn);在書末也提供了大量的參考文獻(xiàn),便于有興趣的讀者繼續(xù)深入學(xué)習(xí)有關(guān)內(nèi)容。本書可作為信息安全、信息對抗技術(shù)、密碼學(xué)等專業(yè)的本科生教材,也可以用作網(wǎng)絡(luò)空間安全一級學(xué)科的研究生教材。對于廣大網(wǎng)絡(luò)安全工程師、網(wǎng)絡(luò)管理員和IT從業(yè)人員來說,本書也是很好的參考書和培訓(xùn)教材。
本書由教育部高等學(xué)校信息安全專業(yè)教學(xué)指導(dǎo)委員會、中國計算機(jī)學(xué)會教育專業(yè)委員會共同指導(dǎo),為普通高等教育“十一五”規(guī)劃教材并獲得教育部普通高等教育精品教材獎、中央網(wǎng)信辦和教育部評選的國家網(wǎng)絡(luò)安全教材獎,符合《高等學(xué)校信息安全專業(yè)指導(dǎo)性專業(yè)規(guī)范》。本書而深入地闡述了密碼學(xué)理論及信息安全相關(guān)技術(shù),將密碼學(xué)理論與信息安全實(shí)踐有機(jī)結(jié)合,是國內(nèi)近年來出版的同類教材中的教材和經(jīng)典教材。全書整體結(jié)構(gòu)合理,層次清晰,內(nèi)容,深入淺出,不但收入了近年來國內(nèi)外密碼學(xué)理論和信息安全實(shí)踐中的技術(shù)和研究成果,而且還特別注重理論聯(lián)系實(shí)踐,并符合教育部高等學(xué)校信息安全專業(yè)教學(xué)指導(dǎo)委員會編制的《高等學(xué)校信息安全專業(yè)指導(dǎo)性專業(yè)規(guī)范》,特別適合作為高等院校信息安全、信息對抗、計算機(jī)工程和通信工程等專業(yè)的本科生和研究生教材。本書的配套教材《網(wǎng)絡(luò)安全實(shí)驗(yàn)教程(第2版)》(ISBN:978-7-302-28321-8)為普通高等教育“十一五”規(guī)劃教材,并被評為北京市精品教材。本書自出版以來,已經(jīng)多次再版和重印,累計發(fā)行逾2萬冊,深受廣大師生和讀者歡迎,100多所高校選用本書作為專業(yè)課教材,普遍反映該教材特色突出,教學(xué)效果很好。
劉建偉,博士,北京航空航天大學(xué)教授,博士生導(dǎo)師,榮獲國家網(wǎng)絡(luò)安全教師獎、北京市教學(xué)名師獎、北航教學(xué)名師獎。長期從事網(wǎng)絡(luò)安全、信息安全和密碼學(xué)的教學(xué)和科研工作。任中國密碼學(xué)會理事,教育部高等學(xué)校信息安全專業(yè)教學(xué)指導(dǎo)委員會委員,武漢大學(xué)、中國海洋大學(xué)、福州大學(xué)、北京郵電大學(xué)兼職教授。出版教材5部、譯著1部,其中4部教材分別榮獲得全國普通高校教材一等獎、教育部普通高等教育精品教材、國家網(wǎng)絡(luò)安全教材獎及北京市精品教材,1部譯著榮獲第四屆中國科普作家協(xié)會科普作品獎(圖書類)金獎。發(fā)表學(xué)術(shù)論文100余篇,已授權(quán)發(fā)明專利近30項。獲國家技術(shù)發(fā)明一等獎、國防技術(shù)發(fā)明一等獎、山東省計算機(jī)應(yīng)用新成果二等獎、山東省科技進(jìn)步三等獎各1項。王育民,西安電子科技大學(xué)教授,博士生導(dǎo)師,中山大學(xué)兼職教授,享受政府特殊津貼。長期從事通信、信息論、編碼、密碼和信息安全的教學(xué)和科研工作。曾任全國高等學(xué)校通信和信息工程專業(yè)教學(xué)指導(dǎo)委員會主任,陜西電子學(xué)會副理事長、學(xué)術(shù)委員會主任等職。現(xiàn)為中國電子學(xué)會和中國通信學(xué)會會士,中國電子學(xué)會信息論學(xué)會委員,中國自然基金研究會會員,IEEE高級會員。在差錯控制、多用戶編碼、TCM、密碼學(xué)和語音加密等方面有深入研究,主持的科研項目多次獲電子部科技成果獎。在國內(nèi)外學(xué)術(shù)刊物和會議上200余篇,出版著作多部,合寫著作曾獲教育部全國普通高校教材一等獎等獎項。
第1篇 網(wǎng)絡(luò)安全基礎(chǔ)
第1章 引言 3
1.1 對網(wǎng)絡(luò)安全的需求 5
1.1.1 網(wǎng)絡(luò)安全發(fā)展態(tài)勢 5
1.1.2 敏感信息對安全的需求 6
1.1.3 網(wǎng)絡(luò)應(yīng)用對安全的需求 7
1.2 安全威脅與防護(hù)措施 7
1.2.1 基本概念 7
1.2.2 安全威脅的來源 8
1.2.3 安全防護(hù)措施 10
1.3 網(wǎng)絡(luò)安全策略 11
1.3.1 授權(quán) 12
1.3.2 訪問控制策略 12
1.3.3 責(zé)任 13
1.4 安全攻擊的分類 13
1.4.1 被動攻擊 13
1.4.2 主動攻擊 14
1.5 網(wǎng)絡(luò)攻擊的常見形式 15
1.5.1 口令竊取 16
1.5.2 欺騙攻擊 16
1.5.3 缺陷和后門攻擊 17
1.5.4 認(rèn)證失效 18
1.5.5 協(xié)議缺陷 19
1.5.6 信息泄漏 19
1.5.7 指數(shù)攻擊——病毒和蠕蟲 20
1.5.8 拒絕服務(wù)攻擊 21
1.6 開放系統(tǒng)互連安全體系結(jié)構(gòu) 22
1.6.1 安全服務(wù) 23
1.6.2 安全機(jī)制 25
1.6.3 安全服務(wù)與安全機(jī)制的關(guān)系 26
1.6.4 在OSI層中的服務(wù)配置 27
1.7 網(wǎng)絡(luò)安全模型 27
習(xí)題 28
第2章 計算機(jī)網(wǎng)絡(luò)基礎(chǔ) 30
2.1 計算機(jī)網(wǎng)絡(luò)的定義 30
2.2 計算機(jī)網(wǎng)絡(luò)體系的結(jié)構(gòu) 30
2.2.1 網(wǎng)絡(luò)體系結(jié)構(gòu)的定義 30
2.2.2 兩種典型的網(wǎng)絡(luò)體系結(jié)構(gòu) 32
2.2.3 網(wǎng)絡(luò)協(xié)議及協(xié)議封裝 34
2.3 分組交換技術(shù) 35
2.3.1 分組交換技術(shù)的概念 35
2.3.2 分組交換的特點(diǎn) 35
2.4 Internet的基本知識 36
2.4.1 Internet的構(gòu)成 36
2.4.2 服務(wù)類別 37
2.4.3 IPv4地址 37
2.4.4 端口的概念 40
習(xí)題 41
第3章 Internet協(xié)議的安全性 43
3.1 Internet協(xié)議概述 43
3.2 網(wǎng)際層協(xié)議 43
3.2.1 IP協(xié)議 43
3.2.2 ARP協(xié)議 45
3.2.3 ICMP協(xié)議 46
3.2.4 IGMP協(xié)議 47
3.2.5 OSPF協(xié)議 48
3.2.6 BGP協(xié)議 49
3.3 傳輸層協(xié)議 50
3.3.1 TCP協(xié)議 51
3.3.2 UDP協(xié)議 52
3.4 應(yīng)用層協(xié)議 53
3.4.1 RIP協(xié)議 53
3.4.2 HTTP協(xié)議 54
3.4.3 TELNET協(xié)議 55
3.4.4 SSH協(xié)議 56
3.4.5 DNS協(xié)議 57
3.4.6 SMTP協(xié)議 58
3.4.7 MIME協(xié)議 60
3.4.8 POP3協(xié)議 60
3.4.9 IMAP4協(xié)議 61
3.4.10 PGP協(xié)議 63
3.4.11 FTP協(xié)議 64
3.4.12 TFTP協(xié)議 65
3.4.13 NFS協(xié)議 65
3.4.14 SNMP協(xié)議 66
3.4.15 DHCP協(xié)議 67
3.4.16 H.323協(xié)議 68
3.4.17 SIP協(xié)議 69
3.4.18 NTP協(xié)議 70
3.4.19 FINGER協(xié)議 71
3.4.20 Whois協(xié)議 72
3.4.21 LDAP協(xié)議 73
3.4.22 NNTP協(xié)議 74
習(xí)題 75
第2篇 密碼學(xué)基礎(chǔ)
第4章 單(私)鑰密碼體制 79
4.1 密碼體制的定義 79
4.2 古典密碼 80
4.2.1 代換密碼 81
4.2.2 換位密碼 83
4.2.3 古典密碼的安全性 84
4.3 流密碼的基本概念 85
4.3.1 流密碼框圖和分類 86
4.3.2 密鑰流生成器的結(jié)構(gòu)和分類 87
4.3.3 密鑰流的局部統(tǒng)計檢驗(yàn) 88
4.4 快速軟、硬件實(shí)現(xiàn)的流密碼算法 89
4.4.1 A5 89
4.4.2 加法流密碼生成器 90
4.4.3 RC4 91
4.4.4 祖沖之密碼 92
4.5 分組密碼概述 98
4.6 數(shù)據(jù)加密標(biāo)準(zhǔn) 101
4.6.1 DES介紹 101
4.6.2 DES的核心作用:消息的隨機(jī)非線性分布 103
4.6.3 DES的安全性 103
4.7 高級加密標(biāo)準(zhǔn) 104
4.7.1 Rijndael密碼概述 105
4.7.2 Rijndael密碼的內(nèi)部函數(shù) 106
4.7.3 AES密碼算法 109
4.7.4 AES的密鑰擴(kuò)展 111
4.7.5 AES對應(yīng)用密碼學(xué)的積極影響 112
4.8 中國商用分組密碼算法SM4 113
4.8.1 SM4密碼算法 113
4.8.2 SM4密鑰擴(kuò)展算法 116
4.8.3 SM4的安全性 117
4.9 分組密碼的工作模式 117
4.9.1 電碼本模式 118
4.9.2 密碼分組鏈接模式 118
4.9.3 密碼反饋模式 119
4.9.4 輸出反饋模式 120
4.9.5 計數(shù)器模式 122
習(xí)題 122
第5章 雙(公)鑰密碼體制 124
5.1 雙鑰密碼體制的基本概念 125
5.1.1 單向函數(shù) 125
5.1.2 陷門單向函數(shù) 126
5.1.3 公鑰系統(tǒng) 126
5.1.4 用于構(gòu)造雙鑰密碼的單向函數(shù) 126
5.2 RSA密碼體制 128
5.2.1 RSA密碼體制 129
5.2.2 RSA的安全性 130
5.2.3 RSA的參數(shù)選擇 133
5.2.4 RSA體制應(yīng)用中的其他問題 135
5.2.5 RSA的實(shí)現(xiàn) 135
5.3 ElGamal密碼體制 136
5.3.1 密鑰生成 136
5.3.2 加解密 136
5.3.3 安全性 136
5.4 橢圓曲線密碼體制 137
5.4.1 實(shí)數(shù)域上的橢圓曲線 137
5.4.2 有限域Zp上的橢圓曲線 138
5.4.3 GF(2m)上的橢圓曲線 140
5.4.4 橢圓曲線密碼 141
5.4.5 橢圓曲線的安全性 142
5.4.6 ECC的實(shí)現(xiàn) 143
5.4.7 當(dāng)前ECC的標(biāo)準(zhǔn)化工作 143
5.4.8 橢圓曲線上的RSA密碼體制 144
5.4.9 用圓錐曲線構(gòu)造雙鑰密碼體制 144
5.5 基于身份的密碼體制 145
5.5.1 引言 145
5.5.2 雙線性映射和雙線性D-H假設(shè) 146
5.5.3 IBE方案 147
5.5.4 IBE方案的安全性 148
5.6 中國商用密碼SM2算法 151
5.6.1 SM2橢圓曲線推薦參數(shù) 151
5.6.2 輔助函數(shù) 151
5.6.3 密鑰生成 152
5.6.4 加密 152
5.6.5 解密 153
5.6.6 實(shí)例與應(yīng)用 155
5.7 公鑰密碼體制的安全性分析 155
習(xí)題 157
第6章 消息認(rèn)證與雜湊函數(shù) 159
6.1 認(rèn)證函數(shù) 159
6.1.1 消息加密 159
6.1.2 消息認(rèn)證碼 163
6.1.3 雜湊函數(shù) 165
6.2 消息認(rèn)證碼 166
6.2.1 對MAC的要求 167
6.2.2 基于雜湊函數(shù)的MAC 168
6.2.3 基于分組加密算法的MAC 169
6.3 雜湊函數(shù) 169
6.3.1 單向雜湊函數(shù) 169
6.3.2 雜湊函數(shù)在密碼學(xué)中的應(yīng)用 170
6.3.3 分組迭代單向雜湊算法的層次結(jié)構(gòu) 170
6.3.4 迭代雜湊函數(shù)的構(gòu)造方法 171
6.3.5 應(yīng)用雜湊函數(shù)的基本方式 172
6.4 常用雜湊函數(shù) 174
6.4.1 MD系列雜湊函數(shù) 174
6.4.2 SHA系列雜湊函數(shù) 178
6.4.3 中國商
第3章Internet協(xié)議的安全性TCP/IP協(xié)議族在誕生之初,網(wǎng)絡(luò)中的用戶彼此之間被認(rèn)為是互相信任的,沒有提供任何安全措施。現(xiàn)今,已不能認(rèn)為網(wǎng)絡(luò)中的用戶是互相信任的,不能認(rèn)為網(wǎng)絡(luò)是安全的。Internet協(xié)議概述Internet協(xié)議的主要協(xié)議及其層次關(guān)系如圖3-1所示。
圖3-1 TCP/IP協(xié)議族不同層次劃分示意圖網(wǎng)際層協(xié)議3.2.1 IP協(xié)議1.概述網(wǎng)際協(xié)議(Internet Protocol,IP)是TCP/IP協(xié)議族的核心,也是網(wǎng)際層中最重要的協(xié)議。IP數(shù)據(jù)報構(gòu)成了TCP/IP協(xié)議族的基礎(chǔ)。典型的IP數(shù)據(jù)報有幾百個字節(jié),其中首部占20~60字節(jié),其余為數(shù)據(jù)凈荷部分。IP層接收由更低層(例如網(wǎng)絡(luò)接口層)發(fā)來的數(shù)據(jù)包,對數(shù)據(jù)包進(jìn)行處理后交付到更高層(TCP或UDP協(xié)議);相反,IP層也把從TCP或UDP協(xié)議來的數(shù)據(jù)包傳送到更低層。IP采用盡較大努力交付的服務(wù),是一種不的無連接數(shù)據(jù)報協(xié)議。每個IP數(shù)據(jù)報獨(dú)立路由,各個數(shù)據(jù)報可能沿不同路徑由發(fā)送方傳送到接收方,因此,IP無法確認(rèn)數(shù)據(jù)報是否丟失、失序或延遲到達(dá)。另外,雖然IP首部中存在校驗(yàn)位,但此校驗(yàn)位只用于檢測IP數(shù)據(jù)報首部的正確性,并沒有使用任何機(jī)制保障數(shù)據(jù)凈荷傳輸?shù)恼_性,因此,無法確認(rèn)IP數(shù)據(jù)報是否損壞。較高層的協(xié)議(如TCP)負(fù)責(zé)處理這些問題,以便為應(yīng)用程序提供一條的網(wǎng)絡(luò)通信鏈路。2.IP協(xié)議的安全問題及防護(hù)措施IP協(xié)議存在一系列典型的安全問題。(1)IP數(shù)據(jù)報在傳遞過程中易被攻擊者監(jiān)聽、竊取。此種攻擊是一種被動的攻擊方式,攻擊者并不改變IP數(shù)據(jù)報的內(nèi)容,但可截取IP數(shù)據(jù)報,解析數(shù)據(jù)凈荷,從而獲得數(shù)據(jù)內(nèi)容。這種類型的攻擊很難被檢測,因?yàn)楣暨^程并不影響IP數(shù)據(jù)報的正確傳遞。針對這種攻擊的方法是對IP數(shù)據(jù)報進(jìn)行加密。(2)由于IP層并沒有采用任何機(jī)制保障數(shù)據(jù)凈荷傳輸?shù)恼_性,攻擊者可截取IP數(shù)據(jù)報,修改數(shù)據(jù)報中的內(nèi)容后,將修改結(jié)果發(fā)送給接收方。針對這種攻擊的方法是對IP數(shù)據(jù)報凈荷部分實(shí)行完整性檢測機(jī)制。接收方在收到IP數(shù)據(jù)報時,可先應(yīng)用完整性檢測機(jī)制檢測數(shù)據(jù)報的完整性,從而保障收到的IP數(shù)據(jù)報在傳輸過程中未被惡意篡改。(3)高層的TCP和UDP服務(wù)在接收IP數(shù)據(jù)報時,通常假設(shè)數(shù)據(jù)報中的源地址是有效的。事實(shí)上,IP層不能保障IP數(shù)據(jù)報一定是從源地址發(fā)送的。任意一臺主機(jī)都可以發(fā)送具有任意源地址的IP數(shù)據(jù)報。攻擊者可偽裝成另一個網(wǎng)絡(luò)主機(jī),發(fā)送含有偽造源地址的數(shù)據(jù)包以欺騙接收者。此種攻擊稱為IP欺騙攻擊。針對此種攻擊可以通過源地址鑒別機(jī)制加以防御。一般來說,認(rèn)證需要采用高層協(xié)議中的安全機(jī)制來實(shí)現(xiàn)。(4)IP數(shù)據(jù)報在傳遞過程中,如果數(shù)據(jù)報太大,該數(shù)據(jù)報就會被分段。也就是說,大的IP數(shù)據(jù)報會被分成兩個或多個小數(shù)據(jù)報,每個小數(shù)據(jù)報都有自己的首部,但其數(shù)據(jù)凈荷僅是大數(shù)據(jù)報凈荷的一部分。每個小數(shù)據(jù)報可以經(jīng)由不同的路徑到達(dá)目的地。在傳輸過程中,每個小數(shù)據(jù)報可能會被繼續(xù)分段。當(dāng)這些小數(shù)據(jù)報到達(dá)接收方時,它們會被重組到一起。按照協(xié)議規(guī)則,中間節(jié)點(diǎn)不能對小數(shù)據(jù)報進(jìn)行拼裝組合。一般來說,包過濾器完成IP數(shù)據(jù)報的分段和重組過程。然而,正是由于IP數(shù)據(jù)報在傳輸過程中要經(jīng)歷被分段和重組的過程,攻擊者可在包過濾器中注入大量病態(tài)的小數(shù)據(jù)報,來破壞包過濾器的正常工作。當(dāng)重要的信息被分成兩個IP數(shù)據(jù)報時,過濾器可能會錯誤地處理數(shù)據(jù)報,或者僅傳輸?shù)?個IP數(shù)據(jù)報。更糟的是,當(dāng)兩個重疊的IP數(shù)據(jù)報含有不同的內(nèi)容時,重組規(guī)則并不提示如何處理這兩個IP數(shù)據(jù)報。許多防火墻能夠重組分段的IP數(shù)據(jù)報,以檢查其內(nèi)容。(5)使用特殊的目的地址發(fā)送IP數(shù)據(jù)報也會引入安全問題。如發(fā)送目的地址是直接廣播地址的IP數(shù)據(jù)報,發(fā)送這樣的數(shù)據(jù)包是非常危險的,因?yàn)樗鼈兛梢院苋菀椎乇挥脕砉粼S多不同類型的主機(jī)。許多攻擊者已將定向廣播作為一種網(wǎng)絡(luò)攻擊手段。其實(shí)許多路由器具有阻止發(fā)送這類數(shù)據(jù)包的能力,因此,強(qiáng)烈建議網(wǎng)絡(luò)管理員在配置路由器時,一定要啟用路由器的這個功能。3.2.2 ARP協(xié)議1.概述在通常情況下,當(dāng)我們訪問一臺機(jī)器的時候一定可以知道它的邏輯地址,而物理地址就不一定知道。如果不知道物理地址則不能把網(wǎng)絡(luò)層的數(shù)據(jù)包封裝成MAC幀,完不成通信。ARP協(xié)議正是為了解決這個問題而設(shè)置的。在每臺主機(jī)上都設(shè)置有一個所在網(wǎng)段上的各主機(jī)和路由器的 IP 地址到硬件地址的映射表,也稱為ARP高速緩存。在數(shù)據(jù)發(fā)送方,當(dāng)網(wǎng)絡(luò)層的數(shù)據(jù)報要封裝成MAC幀時,首先在高速緩存中查看有無該數(shù)據(jù)報首部的目的地址所對應(yīng)的硬件地址,若有,則將該硬件地址寫入MAC幀的目的地址中,完成數(shù)據(jù)報的封裝。若無,ARP協(xié)議則在本局域網(wǎng)上廣播發(fā)出一個ARP請求分組。在ARP請求分組中,發(fā)送方的IP地址和發(fā)送方硬件地址,以及目標(biāo)IP地址都是應(yīng)該寫入已知的數(shù)據(jù),要尋找的目標(biāo)硬件地址寫入全0。當(dāng)該請求分組到達(dá)每一個機(jī)器上時,每一臺機(jī)器都要拿自己的IP地址和請求分組中的目標(biāo)IP地址進(jìn)行比較,如果不同則不做任何動作;若相同則發(fā)送一個ARP相應(yīng)分組給請求方(這里不再使用廣播,而是單播)。在相應(yīng)分組中發(fā)送方寫明了自己的硬件地址。當(dāng)這一通信過程完成時,通信雙方都要對自己的ARP高速緩存進(jìn)行修改,添加上一條記錄。2.ARP協(xié)議的安全問題及防護(hù)措施通過上述ARP協(xié)議的工作原理可知,一名黑客只要能把他的主機(jī)成功插入某個網(wǎng)段,這臺主機(jī)就能夠接收到所在網(wǎng)段的ARP請求分組,從而獲知該網(wǎng)段上主機(jī)IP和MAC地址的對應(yīng)關(guān)系。從這里也可以看出,ARP攻擊僅僅在內(nèi)網(wǎng)進(jìn)行,它無法對外網(wǎng)(互聯(lián)網(wǎng)、非本區(qū)域內(nèi)的局域網(wǎng))進(jìn)行攻擊。局域網(wǎng)中有一臺主機(jī)C,其MAC地址為00-aa-00-F2-c8-04,現(xiàn)在假設(shè)它感染了ARP木馬。 那么主機(jī)C將會向某主機(jī)A發(fā)送一個偽造的ARP響應(yīng),告知主機(jī)A:主機(jī)B的IP地址192.168.10.8對應(yīng)的MAC地址是00-aa-00-F2-c8-04(其實(shí)是主機(jī)C的MAC地址),于是,主機(jī)A將這個對應(yīng)關(guān)系寫入自己的ARP緩存表中。以后當(dāng)主機(jī)A向主機(jī)B發(fā)送數(shù)據(jù)時,都會將本應(yīng)發(fā)往主機(jī)B的數(shù)據(jù)發(fā)送給攻擊者(主機(jī)C)。同樣地,如果攻擊者向主機(jī)B也發(fā)送一個偽造的ARP響應(yīng),告訴主機(jī)B:主機(jī)A的IP地址192.168.0.1對應(yīng)的MAC地址是00-aa-00-F2-c8-04,主機(jī)B也會將數(shù)據(jù)發(fā)送給攻擊者。至此攻擊者就控制了主機(jī)A和主機(jī)B之間的流量,他可以選擇被動地監(jiān)測流量,獲取密碼和其他涉密信息,也可以偽造數(shù)據(jù),改變主機(jī)A和主機(jī)B之間的通信內(nèi)容。這種攻擊稱為ARP欺騙。為了解決ARP攻擊問題,可以在網(wǎng)絡(luò)中的交換機(jī)上配置802.1x協(xié)議。IEEE 802.1x是基于端口的訪問控制協(xié)議,它對連接到交換機(jī)的用戶進(jìn)行認(rèn)證和授權(quán)。在交換機(jī)上配置802.1x協(xié)議后,攻擊者在連接交換機(jī)時需要進(jìn)行身份認(rèn)證(結(jié)合MAC、端口、賬戶、VLAN和密碼等),只有通過認(rèn)證后才能向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)。攻擊者未通過認(rèn)證就不能向網(wǎng)絡(luò)發(fā)送偽造的ARP報文。另外,建立靜態(tài)ARP表,也是一種有效地抵抗ARP攻擊的方法,而且對系統(tǒng)影響不大。缺點(diǎn)是破壞了動態(tài)ARP協(xié)議。3.2.3 ICMP協(xié)議1.概述Internet控制報文協(xié)議(Internet Control Message Protocol,ICMP)是一個重要的錯誤處理和信息處理協(xié)議,運(yùn)行在網(wǎng)際層。它可以用來通知主機(jī)到達(dá)目的地的路由,報告路由故障,或者因網(wǎng)絡(luò)故障中斷某個連接。ICMP的主要功能之一是向IP節(jié)點(diǎn)發(fā)送一個簡單消息,并將消息回顯到發(fā)送主機(jī)。因而,它可以提供目的節(jié)點(diǎn)的可達(dá)性和到達(dá)目的節(jié)點(diǎn)所采用的傳輸路徑等信息,在網(wǎng)絡(luò)監(jiān)控和故障診斷方面具有重要作用,是網(wǎng)絡(luò)管理員常用的兩個監(jiān)控工具——Ping和Traceroute的重要組成部分。ICMP提供了IP路由和交付問題的關(guān)鍵反饋信息,以及重要的IP診斷和控制能力,可用于網(wǎng)絡(luò)的可達(dá)性分析、擁塞控制、路由優(yōu)化和超時錯誤報告等方面[Jeffrey等 2014]。ICMP最典型的用途是差錯報告。例如,當(dāng)某個網(wǎng)關(guān)發(fā)現(xiàn)傳輸錯誤時,該協(xié)議會立即向信源主機(jī)發(fā)送ICMP報文,報告出錯信息,讓信源主機(jī)采取相應(yīng)處理措施。在運(yùn)行Telnet、FTP或HTTP會話時,通常會遇到如“目的網(wǎng)絡(luò)不可達(dá)”之類的錯誤報文,這些報文就是在ICMP中產(chǎn)生的。IPv6有新版本的ICMP。ICMPv6與ICMPv4的很多消息是相似的,如Echo請求與應(yīng)答消息、路由請求和公告等,但I(xiàn)CMPv6也新增了一些消息,如路由器重編號等。2.ICMP協(xié)議的安全問題及防護(hù)措施ICMP能夠提供有關(guān)網(wǎng)絡(luò)配置和連接狀態(tài)等信息,為網(wǎng)絡(luò)監(jiān)控和故障診斷提供了重要依據(jù)。然而,黑客也能夠利用ICMP提供的這些信息,進(jìn)行各種網(wǎng)絡(luò)攻擊和信息偵察。例如,一些黑客會濫用ICMP來中斷某些連接,網(wǎng)上流行的nuke.c黑客程序就采用了這類攻擊方式。此外,ICMP還存在一些典型的安全問題。(1)ICMP重定向攻擊。ICMP可以用來對主機(jī)之間的消息進(jìn)行重定向,同樣,黑客也能夠用ICMP對消息進(jìn)行重定向,進(jìn)而使得目標(biāo)機(jī)器遭受連接劫持和拒絕服務(wù)等攻擊。一般來說,重定向消息應(yīng)該僅由主機(jī)執(zhí)行,而不是由路由器來執(zhí)行。僅當(dāng)消息直接來自路由器時,才由路由器執(zhí)行重定向。然而,網(wǎng)絡(luò)管理員有時可能會使用ICMP創(chuàng)建通往目的地的新路由。這種非常不謹(jǐn)慎的行為最終會導(dǎo)致非常嚴(yán)重的網(wǎng)絡(luò)安全問題。(2)ICMP路由器發(fā)現(xiàn)攻擊[James等 2014]。在進(jìn)行路由發(fā)現(xiàn)時,ICMP并不對應(yīng)答方進(jìn)行認(rèn)證,這使得它可能遭受嚴(yán)重的中間人攻擊。例如,在正常的路由器響應(yīng)ICMP詢問之前,攻擊者可能會假冒正常的路由器,使用偽造的響應(yīng)信息應(yīng)答ICMP詢問。由于在路由發(fā)現(xiàn)的過程中,ICMP并不對應(yīng)答方進(jìn)行認(rèn)證,因此接收方將無法知道這個響應(yīng)是偽造的。(3)防火墻穿越攻擊。通過防火墻穿越攻擊技術(shù)(Firewalking),攻擊者能夠穿越某個防火墻的訪問控制列表和規(guī)則集,進(jìn)而確定該防火墻過濾的內(nèi)容和具體的過濾方式。盡管防火墻面臨著啟用ICMP所帶來的風(fēng)險,但在防火墻上封堵所有的ICMP消息并不妥當(dāng)。這是因?yàn)橹鳈C(jī)常采用一種稱為Path MTU的機(jī)制,來測試究竟多大的數(shù)據(jù)包可以不用分段發(fā)送,而這種測試需要依賴于地址不可達(dá)的ICMP數(shù)據(jù)包穿過防火墻。3.2.4 IGMP協(xié)議1.概述IGMP(Internet Group Management Protocol)作為因特網(wǎng)組播管理協(xié)議,是TCP/IP協(xié)議族中的重要協(xié)議之一,所有IP組播系統(tǒng)(包括主機(jī)和路由器)都需要支持IGMP。IGMP運(yùn)行于主機(jī)和組播路由器之間,用來在IP主機(jī)和與其直接相鄰的組播路由器之間建立、維護(hù)組播組成員關(guān)系。到目前為止,IGMP共有三個版本,即IGMP v1、v2和v3。IGMP實(shí)現(xiàn)的主要功能包括:主機(jī)通過IGMP通知路由器希望接收或離開某個特定組播組的信息;路由器通過IGMP周期性地查詢局域網(wǎng)內(nèi)的組播組成員是否處于活動狀態(tài),實(shí)現(xiàn)所連網(wǎng)段組成員關(guān)系的收集與維護(hù)。2.IGMP協(xié)議的安全問題及防護(hù)措施IGMP組播報文在IP數(shù)據(jù)包的基礎(chǔ)上封裝了組播地址等信息,鑒于組播報文基于UDP進(jìn)行傳輸并缺少用戶認(rèn)證措施,網(wǎng)絡(luò)中任何主機(jī)都可以向組播路由器發(fā)送IGMP包,請求加入或離開,導(dǎo)致非法用戶很容易加入組播組,竊聽組播數(shù)據(jù)或者發(fā)動其他針對計算機(jī)網(wǎng)絡(luò)系統(tǒng)的攻擊。目前,針對IGMP協(xié)議的攻擊主要有以下幾種:(1)利用查詢報文攻擊。利用具有較低數(shù)值的 IP 地址路由器發(fā)送偽造的查詢報文,由當(dāng)前的查詢方轉(zhuǎn)變?yōu)轫憫?yīng)查詢請求,并且不再發(fā)出查詢報文。攻擊產(chǎn)生的效果包括:組播路由器對子網(wǎng)內(nèi)各主機(jī)的加入請求不做任何響應(yīng),將屏蔽合法用戶;組播路由器對子網(wǎng)內(nèi)主機(jī)撤離報文不做響應(yīng),造成該子網(wǎng)內(nèi)不存在組播用戶,但是,組播數(shù)據(jù)又不斷向該子網(wǎng)組播路由器發(fā)送請求報文,浪費(fèi)有限的帶寬和資源。(2)利用離開報文進(jìn)行 DOS 攻擊。子網(wǎng)內(nèi)非法用戶通過截獲某個合法用戶信息來發(fā)送偽造的 IGMP 離開報文,組播路由器接收到報文后誤認(rèn)為該合法用戶已經(jīng)撤離該組播組,則不再向該用戶發(fā)送詢問請求,導(dǎo)致該合法用戶不能再接收到組播數(shù)據(jù)包,造成拒絕服務(wù)攻擊。(3)利用報告報文攻擊。非法用戶偽裝報告報文,或截獲合法用戶的報告報文向組播路由器發(fā)送偽造報文,使組播路由器誤以為有新用戶加入,于是將組播樹擴(kuò)展到非法用戶所在的子網(wǎng),此后非法用戶就可以接收到來自組播路由的組播報文,并分析該報文以展開新的攻擊。IGMP安全性的基本要求是只有注冊的合法主機(jī)才能夠向組播組發(fā)送數(shù)據(jù)和接收組播數(shù)據(jù)。但是,IP 組播很難保障這一點(diǎn)。首先,IP 組播使用UDP,網(wǎng)絡(luò)中任何主機(jī)都可以向某個組播地址發(fā)送UDP 包;其次,Internet缺少對于網(wǎng)絡(luò)層的訪問控制,組成員可以隨時加入和退出組播組;,采用明文傳輸?shù)腎GMP組播報文很容易被竊聽、冒充和篡改,使得組播安全性問題仍然是一個技術(shù)難點(diǎn)。針對以上安全問題,一種有效的安全增強(qiáng)措施是利用IGMP v3的擴(kuò)展性在組播報文中未使用的輔助字段部分增加認(rèn)證信息,即在每個首次加入組播的報文中添加關(guān)聯(lián)主機(jī)身份的認(rèn)證信息,組播路由器接收到認(rèn)證信息并通過公鑰密碼技術(shù)實(shí)現(xiàn)成員身份的認(rèn)證,隨后,在發(fā)送給組播成員的查詢信息中添加成功/失敗標(biāo)識的認(rèn)證信息。通過此認(rèn)證機(jī)制來保障IGMP的安全運(yùn)行。3.2.5 OSPF協(xié)議1.概述由于Internet規(guī)模太大,所以常把它劃分成許多較小的自治系統(tǒng)(Autonomous System,AS)。自治系統(tǒng)內(nèi)部的路由協(xié)議稱為內(nèi)部網(wǎng)關(guān)協(xié)議,自治系統(tǒng)之間的協(xié)議稱為外部網(wǎng)關(guān)協(xié)議。常見的內(nèi)部網(wǎng)關(guān)協(xié)議有RIP協(xié)議和OSPF協(xié)議;外部網(wǎng)關(guān)協(xié)議有BGP協(xié)議。OSPF協(xié)議和BGP協(xié)議都位于網(wǎng)絡(luò)層,但RIP協(xié)議位于應(yīng)用層。OSPF協(xié)議是分布式的鏈路狀態(tài)路由協(xié)議。鏈路在這里代表該路由器和哪些路由器是相鄰的,即通過一個網(wǎng)絡(luò)是可以連通的。鏈路狀態(tài)說明了該通路的連通狀態(tài)以及距離、時延、帶寬等參數(shù)。在該協(xié)議中,只有當(dāng)鏈路狀態(tài)發(fā)生變化時,路由器才用洪泛法向所有路由器發(fā)送路由信息。所發(fā)送的信息是與本路由器相鄰的所有路由器的鏈路狀態(tài)。為了保存這些鏈路狀態(tài)信息,每個路由器都建立有一個鏈路狀態(tài)數(shù)據(jù)庫,因?yàn)槁酚善鹘粨Q信息時使用的是洪泛法,所以每個路由器都存有全網(wǎng)的鏈路狀態(tài)信息,也就是說每個路由器都知道整個網(wǎng)絡(luò)的連通情況和拓?fù)浣Y(jié)構(gòu)。這樣每個路由器都可以根據(jù)鏈路狀態(tài)數(shù)據(jù)庫的信息來構(gòu)造自己的路由表。路由表內(nèi)包含有數(shù)據(jù)包去往目的地地址的下一跳路由信息。OSPF協(xié)議是TCP/IP工作的基礎(chǔ)。2.OSPF協(xié)議的安全問題及防護(hù)措施OSPF的報文中包含了認(rèn)證類型以及認(rèn)證數(shù)據(jù)字段,如圖3-2所示。其中主要有密碼認(rèn)證、空認(rèn)證以及明文認(rèn)證這3種認(rèn)證模式。明文認(rèn)證是將口令通過明文的方式來進(jìn)行傳輸,只要可以訪問到網(wǎng)絡(luò)的人都可以獲得這個口令,易遭受來自網(wǎng)絡(luò)內(nèi)部的攻擊。密碼認(rèn)證則能夠提供良好的安全性。為接入同一個網(wǎng)絡(luò)或者是子網(wǎng)的路由器配置一個共享密鑰,然后這些路由器所發(fā)送的每一個OSPF報文都會攜帶一個建立在這個共享密鑰基礎(chǔ)之上的消息認(rèn)證碼。當(dāng)路由器接收到報文之后,根據(jù)路由器上的共享密鑰以及接收到的報文通過MD5 Hash函數(shù)生成一個消息認(rèn)證碼,并將生成的消息認(rèn)證碼與接收到的消
圖3-2 OSPF報文結(jié)構(gòu)息認(rèn)證碼進(jìn)行對比,如果兩者一致就接收,反之則丟棄。OSPF協(xié)議規(guī)定了認(rèn)證域,但其作用非常有限。主要原因有:(1)即使OSPF提供了較強(qiáng)的認(rèn)證,但某些節(jié)點(diǎn)仍然使用簡單的口令認(rèn)證。那些能夠戲弄路由協(xié)議的人也就有能力收集到本地以太網(wǎng)上傳送的口令。(2)在路由對話中,如果有一個合法的用戶遭到破壞,那么它的消息就不再可信。(3)在許多路由協(xié)議中,每臺機(jī)器只對它鄰近的計算機(jī)對話,而這些鄰近的計算機(jī)將會重復(fù)舊的會話內(nèi)容。這樣,欺騙就會得到傳播擴(kuò)散。路由信息確定了兩條通道:一條是從主叫機(jī)器到目標(biāo)主機(jī),另一條是從目標(biāo)主機(jī)返回到主叫機(jī)器。第2條通道可以是第1條的逆通道,也可以不是。當(dāng)它們不是逆通道的時候,就叫非對稱路由。這種情況在Internet上非常普遍。當(dāng)網(wǎng)絡(luò)有多個防火墻時,就會產(chǎn)生問題。從安全的角度看,返回通道通常更加重要。當(dāng)目標(biāo)主機(jī)遭到攻擊的時候,反向流動的數(shù)據(jù)包是通過什么通道到達(dá)攻擊主機(jī)的呢?如果敵人能夠破壞路由機(jī)制,那么目標(biāo)主機(jī)就會被欺騙,使其相信敵人的機(jī)器是一臺真正可信賴的機(jī)器。如果這種情況發(fā)生,那么依賴于源地址驗(yàn)證的認(rèn)證機(jī)制將會失敗。3.2.6 BGP協(xié)議1.概述BGP(Border Gateway Protocol)是邊界網(wǎng)關(guān)協(xié)議,它將單一管理的網(wǎng)絡(luò)轉(zhuǎn)化為由多個自治系統(tǒng)分散互聯(lián)的網(wǎng)絡(luò)。它通常工作于ISP內(nèi)部或ISP之間,有時也工作于Intranet內(nèi)部。BGP使用TCP作為路由交換的底層傳輸協(xié)議,其以增量的更新實(shí)現(xiàn)路由信息交換。首個BGP協(xié)議版本在RFC1105中規(guī)定,目前實(shí)際運(yùn)行版本為BGP-4(RFC1771)。有關(guān)BGP的詳細(xì)描述可參閱相關(guān)文獻(xiàn)[Stewart 1999]。2.BGP協(xié)議的安全問題及防護(hù)措施BGP協(xié)議最主要的安全問題在于:每個自治系統(tǒng)向外通告自己所擁有的CIDR(Classless Inter-Domain Routing)地址塊,并且協(xié)議無條件信任對等系統(tǒng)的路由宣告,這就導(dǎo)致一個自治系統(tǒng)向外通告不屬于自己的前綴時,也會被BGP用戶認(rèn)為合法,從而接受和傳播。有研究人員[Li等2013]將問題歸結(jié)為BGP缺乏一個安全可信的路由認(rèn)證機(jī)制,即BGP無法對所傳播的路由信息的安全性進(jìn)行驗(yàn)證。為了抵抗針對BGP協(xié)議的攻擊,研究人員主要提出了兩類方案:路由認(rèn)證類方案和前綴劫持檢測類方案。路由認(rèn)證類方案利用數(shù)字證書、簽名和其他密碼學(xué)技術(shù)來保護(hù)路由信息的真實(shí)性和完整性。(1)首先出現(xiàn)的是針對劫持BGP TCP會話的MD5 BGP認(rèn)證技術(shù)[Heffernan 1998]。會話者通過驗(yàn)證TCP偽首部、首部、數(shù)據(jù)段和共享秘密的MD5雜湊值,來實(shí)現(xiàn)認(rèn)證。這種方法比較成熟,也具有很高的效率,但是其安全性隨著MD5算法的安全性減弱已經(jīng)逐漸降低。(2)S-BGP方案[Kent等2000a,2000b]利用PKI技術(shù)來增強(qiáng)BGP的安全性。該方案在BGP會話者接收到的整個路徑上提供數(shù)字簽名鏈。這種方案受到PKI技術(shù)的制約,存在計算開銷大等問題。同時,受制于各廠商和管理機(jī)構(gòu)的標(biāo)準(zhǔn)難于統(tǒng)一,該方案推廣與部署困難。(3)為了解決S-BGP方案不易部署等缺陷,出現(xiàn)了許多基于S-BGP的改進(jìn)方案。如Cisco公司的soBGP方案[White 2003]、IRV(Interdomain Routing Validation)方案[Goodell等 2003]以及IETF的SIDR工作組開發(fā)的RPKI(Resource Public Key infrastructure)& BGPsec方案[Lepinski 2012a,2012b]。前綴劫持檢測類方案利用異常檢測(Anomaly Detection)技術(shù)提取BGP協(xié)議運(yùn)行中的異常信息,對前綴劫持行為進(jìn)行檢測,從而提高BGP的安全性。(1)多源AS(Multiple Origin AS,MOAS)檢測技術(shù)[Zhao等 2001]通過獲取網(wǎng)絡(luò)中控制平面的信息,對比MOAS列表的一致性,來區(qū)分有效的MOAS和攻擊的MOAS。PHAS(Prefix Hijack Alert System)檢測技術(shù)通過審查BGP協(xié)議獲得的路由數(shù)據(jù),發(fā)現(xiàn)前綴劫持威脅,并向管理者通報路由異常[Lad等 2006]。(2)主動探測技術(shù)是利用數(shù)據(jù)平面反饋的信息來發(fā)現(xiàn)前綴劫持行為。根據(jù)觀測點(diǎn)(Vantage Point)與被測自治系統(tǒng)位置的對應(yīng)關(guān)系,可以分為由外及內(nèi)探測[Zheng等 2007]和由內(nèi)及外探測[Zhang等 2010]兩類主動探測技術(shù)。為了綜合利用以上兩類檢測技術(shù)的優(yōu)點(diǎn),研究人員也提出了將主動探測技術(shù)和MOAS檢測技術(shù)結(jié)合的前綴劫持混合檢測技術(shù)[Hu等 2007]。傳輸層協(xié)議本節(jié)主要討論傳輸層協(xié)議及其安全性分析。傳輸層的任務(wù)是在源主機(jī)和目的主機(jī)之間提供的、性價比合理的數(shù)據(jù)傳輸功能,向下利用網(wǎng)絡(luò)層提供給它的服務(wù),向上為其用戶(通常為應(yīng)用層中的進(jìn)程)提供高效、和性價比合理的服務(wù)。傳輸層的存在使得傳輸服務(wù)有可能比網(wǎng)絡(luò)服務(wù)更加,丟失的分組和損壞的數(shù)據(jù)可以在傳輸層上檢測出來,并進(jìn)行糾正。Internet傳輸層有兩個主要協(xié)議,一個是面向連接的TCP協(xié)議,一個是無連接的UDP協(xié)議。3.3.1 TCP協(xié)議1.概述TCP是一個面向連接的傳輸協(xié)議,提供了一些用戶所期望的而IP協(xié)議又不能提供的功能。如IP層的數(shù)據(jù)包非常容易丟失、被復(fù)制或以錯誤的次序傳遞,無法保障數(shù)據(jù)包一定被正確遞交到目標(biāo)端。而TCP協(xié)議會對數(shù)據(jù)包進(jìn)行排序和校驗(yàn),未按照順序收到的數(shù)據(jù)包會被重排,而損壞的數(shù)據(jù)包也可以被重傳。TCP協(xié)議的原始正式定義位于RFC793中,此外在RFC1122中詳細(xì)闡述了一些錯誤的修補(bǔ)方案,在RFC1323中又進(jìn)一步作了擴(kuò)展。
2.TCP協(xié)議的安全問題及防護(hù)措施目前針對TCP協(xié)議的攻擊主要可以劃分為以下三類。及時類攻擊是針對TCP連接建立階段的三次握手過程。TCP是一個面向連接的協(xié)議,即在數(shù)據(jù)傳輸之前要首先建立連接,然后傳輸數(shù)據(jù),當(dāng)數(shù)據(jù)傳輸完畢后釋放所建立的連接。TCP使用三次握手來建立連接,這種方式大大增強(qiáng)了傳輸?shù)男裕绶乐挂咽У倪B接請求報文段到達(dá)被請求方,產(chǎn)生錯誤造成資源的浪費(fèi)。具體過程如圖3-3所示。但與此同時,三次握手機(jī)制卻給攻擊者提供了可以利用的漏洞,這類攻擊中最常見的就是SYN FLOOD攻擊,攻擊者不斷向服務(wù)器的監(jiān)聽端口發(fā)送建立TCP連接的請求SYN數(shù)據(jù)包,但收到服務(wù)器的SYN包后卻不回復(fù)ACK確認(rèn)信息,每次操作都會使服務(wù)器端保留一個半開放的連接,當(dāng)這些半開放連接填滿服務(wù)器的連接隊列時,服務(wù)器便不再接受后續(xù)的任何連接請求,這種攻擊屬于拒絕服務(wù)(DoS)攻擊。防御這類攻擊的主要思路是在服務(wù)器前端部署相應(yīng)的網(wǎng)絡(luò)安全設(shè)備(如防火墻設(shè)備)對SYN FLOOD攻擊數(shù)據(jù)包進(jìn)行過濾。第二類攻擊針對TCP協(xié)議不對數(shù)據(jù)包進(jìn)行加密和認(rèn)證的漏洞,進(jìn)行TCP會話劫持攻擊。TCP協(xié)議有一個關(guān)鍵特征,即TCP連接上的每一個字節(jié)都有它自己獨(dú)有的32位序列號,數(shù)據(jù)包的次序就靠每個數(shù)據(jù)包中的序列號來維持。在數(shù)據(jù)傳輸過程中所發(fā)送的每一個字節(jié),包括TCP連接的打開和關(guān)閉請求,都會獲得的標(biāo)號。TCP協(xié)議確認(rèn)數(shù)據(jù)包的真實(shí)性的主要根據(jù)就是判斷序列號是否正確,但這種機(jī)制的安全性并不夠,如果攻擊者能夠預(yù)測目標(biāo)主機(jī)選擇的起始序號,就可以欺騙該目標(biāo)主機(jī),使其相信自己正在與一臺可信主機(jī)進(jìn)行會話。攻擊者還可以偽造發(fā)送序列號在有效接收窗口內(nèi)的報文,也可以截獲報文并篡改內(nèi)容后再發(fā)送給接收方。防御此類攻擊的思路是在TCP連接建立時采用一個隨機(jī)數(shù)作為初始序列號,規(guī)避攻擊者對序列號的猜測。第三類攻擊是針對TCP的擁塞控制機(jī)制的特性,在TCP連接建立后的數(shù)據(jù)傳輸階段進(jìn)行攻擊,降低網(wǎng)絡(luò)的數(shù)據(jù)傳輸能力。擁塞控制是TCP的一項重要功能,所謂擁塞控
圖3-3 TCP三次握手連接建立過程制就是防止過多的數(shù)據(jù)注入網(wǎng)絡(luò),使網(wǎng)絡(luò)中的鏈路和交換結(jié)點(diǎn)(路由器)的負(fù)荷不致過載而發(fā)生擁塞,TCP的擁塞控制主要有以下4種方法:慢啟動、擁塞避免、快重傳和快恢復(fù)。發(fā)送端主機(jī)在確定發(fā)送報文段的速率時,既要考慮接收端的接收能力,又要考慮網(wǎng)絡(luò)的傳輸能力。因此,每一個 TCP 連接都需要維護(hù)接收窗口和擁塞窗口兩個狀態(tài)變量,接收窗口是接收端主機(jī)根據(jù)其目前的接收緩存大小所許諾的近期窗口值;擁塞窗口的大小表示了當(dāng)前網(wǎng)絡(luò)的傳輸能力,由發(fā)送端設(shè)置。發(fā)送窗口取這兩者中的較小值。攻擊者會利用發(fā)送端計算擁塞窗口的漏洞,通過降低擁塞窗口大小來降低發(fā)送窗口的大小。擁塞窗口的計算采用了所謂的慢啟動(slow start)算法,其具體特征就是擁塞窗口在傳輸正常時成指數(shù)增長,增長到一定閾值后按線性增長,一旦出現(xiàn)數(shù)據(jù)包傳輸超時,則擁塞窗口變?yōu)樽钚≈担撝底優(yōu)樵瓉硪话搿S薪?jīng)驗(yàn)的攻擊者可以利用這種特性,周期性地制造網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)的擁塞,不斷觸發(fā)擁塞窗口的慢啟動過程,最終達(dá)到降低正常數(shù)據(jù)傳輸能力的目的。因?yàn)榇祟惞舻木唧w手段比較靈活,防御此類攻擊的難度較大,需要網(wǎng)絡(luò)管理人員實(shí)時監(jiān)測網(wǎng)絡(luò)的異常流量,避免攻擊者制造網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)的擁塞。3.3.2 UDP協(xié)議1.概述相較于TCP提供的豐富功能,UDP協(xié)議只在IP的數(shù)據(jù)報服務(wù)之上增加了很少的一點(diǎn)功能,即端口的功能和差錯檢測的功能。雖然UDP用戶數(shù)據(jù)報只能提供不的交付,但UDP在某些方面有其特殊的優(yōu)點(diǎn):及時,發(fā)送數(shù)據(jù)之前不需要建立連接
