您当前的位置:首页 > 电脑百科 > 安全防护 > 漏洞

关于TCP/IP协议漏洞的安全措施

时间:2022-07-15 14:49:10  来源:网易号  作者:埃文科技
摘要:上篇TCP/IP协议常见漏洞类型我们介绍了TCP/IP协议中常见的漏洞类型包括ARP病毒攻击、基于RIP的攻击、DNS欺骗、TCP连接欺骗。面对TCP/IP协议中存在的漏洞我们要采取什么样的安全措施去预防和解决呢?

 

首先从架构角度来说:IPSec与TLS最常用的两种安全架构,可以利IPSec、TLS安全架构在不同的协议层来保护数据传输的安全性。

一、IPSec

IPSec 是一组用来在网络层提高数据包传输安全的协议族统称,它通过在原有的IP报文中加入一些特定的检测头来达到安全确认的目的。

IPSec有两种工作模式,分别是传输模式和隧道模式,前者适用于端到端(End to End),即两台主机之间的 IPSec 通信,后者适用于站点到站点(Site to Site),即两个网关之间的 IPSec 通信,IPSec 由 AH 协议、ESP协议和一些复杂的安全验证算法组成,这些基本的算法为IPSec中的协议服务。我们主要介绍AH和ESP两个协议:

(1)AH协议提供的安全服务

AH 的工作模式是在每一个数据包中的 IP 报头后添加一个 AH 头,这个 AH 头有自己独特的字段用于提供安全服务,AH 可以保证数据的完整性不被篡改,但不能防止数据被盗窃。AH 使用的 IP 协议号是 51,当IP报文的协议号部分为51 时,代表IP头后面是一个 AH 报头。


 

AH提供的安全服务主要有数据源认证,加入一个双方协商好的密文,来对对方身份以及数据的有效性进行验证;第二个是数据完整性校验,因为AH协议需要防止数据被非法篡改,因此该协议会通过引入一个单向Hash函数来创建一个散列值或者摘要信息,将该散列值与文本结合向接收方传输,同时接受方用同样的单向Hash函数对接受内容进行解密,验证结果是否一致,以此来保护数据的完整性。

第三个是防报文重放攻击,所谓重放攻击就是攻击者虽然不知道加密过的数据包里面到底是什么,但是可以通过截取这个数据包再发给接受方从而使接收方无法判别哪个才是正确的发送者,而AH协议会校验序列号字段中的数值是否重复过,若重复,则直接丢弃。


 

(2)ESP 协议提供的安全服务

ESP与 AH不同的是 ESP会先把数据段加密,然后再存放到IP报文中,从而达到防止窃听的目的。ESP 除了在 IP 报头的后面会加上一个 ESP报头以外,还会在报文最后加上一个 ESP 报尾,该报尾用来提供加密服务。这样攻击者即使获取了该数据包,在没解开 ESP 加密的情况下也无法获知其中的信息。


 

ESP 提供的安全服务和 AH 有所重合,ESP使用序列号字段来防止重放攻击,ESP 通常使用Hmac-MD5 或 HMAC-SHA-1算法对加密后的载荷进行 Hash 计算来完成认证和保证数据完整性的功能。但因为ESP会把数据加密之后再传输,因此会提供保密性服务,在传输机密性数据的时候 ESP 有很大优势。


 

此外,在 NAT 模式下,由于AH会对IP地址也做Hash运算,因此在地址转换之后 AH 的 Hash 值会被破坏,而ESP的IP协议号是50,在进行NAT转换时没有相应的 TCP或UDP端口号的概念。为了使 ESP 能够满足 NAT环境下的地址转换,这时就需要引进一个新的方法,即在ESP报文和 IP 报头之间加入一个新的UDP报头。

二、TLS协议

TLS 协议工作在传输层,由于TCP和UDP都有可被利用的漏洞,因此它是为了解决传输层链路安全问题而出现的。

TLS 分为两种协议,分别是 TLS 记录协议和 TLS 握手协议。TLS 记录协议根据 TLS 握手协议协商的参数,对上层所交付的数据进行各种操作,从而使数据通过密文的形式传输,而接收方则通过解密的方式来接受数据。

通过这种方式就可以大大加强数据传输的安全性。另一种协议是 TLS 握手协议,他让客户端和服务端进行协商,确定一组用于数据传输加密的密钥串,相互认证对方,这样当攻击者没有通过密钥认证时,就无法与另一端进行数据通信。

首先,客户端向服务端发送 ClientHello 消息,其中含有一个客户端生成的随机数,我们假设为R1和可供选择的版本号清单等信息。

第二步,根据客户端发来的Client Hello,服务端回复 Server Hello 消息,其中会根据客户端发来的清单数据确定两端通信将会使用的版本号,密码套件,压缩方式等等协议需要的重要信息,并产生一个服务端随机数 R2,当服务器认证时,服务器会发给客户端自己的证书。

第三步,当要求客户端认证时,客户端会先发送自己的证书,同时根据之前客户端和服务器端产生的随机数公用一种算法计算出密钥。最后相互发送了 Finished 消息后就代表握手结束,可以开始传输数据。


 

同时也可以根据每种漏洞不同的特点进行有针对性的防御,但是一些防御方法并不全面。

一、ARP病毒攻击的常见防御方法

目前有很多针对ARP病毒攻击的防御方法,我们来看一下常见的防御方法。

(1)提高系统安全性

定期更新操作系统补丁,及时升级杀毒软件病毒库,并开启杀毒软件的实时监控功能,防止系统被非法入侵或感染ARP病毒,但是这种防御方法只能防止本机感染ARP病毒,并不能有效防御ARP欺骗。

(2)部署ARP防火墙

ARP防火墙在一定程度上可以用来帮助缓解ARP攻击,协助保护局域网内主机安全。ARP防火墙除了下文即将介绍的绑定MAC地址功能外,最主要的防御方法就是主动防御。

主动防御是指ARP防火墙按照一定频率强制对外发送正确的ARP数据包,这ARP防火墙在一定程度上可以用来帮助缓解ARP攻击,协助保护局域网内主机安全。ARP防火墙除了绑定MAC地址功能外,最主要的防御方法就是主动防御。

主动防御是指ARP防火墙按照一定频率强制对外发送正确的ARP数据包,这显然会对网络造成额外的负担。如果发送频率过高时,会在局域网内造成ARP风暴。而且攻击者只要提高攻击速度,使其大于ARP防火墙的主动防御速度,主动防御就会失效。

(3)在交换机或主机端绑定MAC地址

在交换机端绑定每台主机的IP/MAC对应关系,为每台主机添加一条静态ARP缓存条目。当交换机收到来自主机的数据包时,将数据包的IP地址和MAC地址与ARP缓存条目进行比对,如果相同则放行数据包,否则该数据包将被丢弃。同理,在主机端也可以绑定网关的IP/MAC对应关系,为网关添加一条静态ARP缓存条目。这种防御方法虽然可以抵御一定程度的ARP攻击,但会牺牲 Inte.NET的移动性和自动配置性,增加了网络管理员的负担,不适用于主机变动颊繁的局域网。

二、基于RIP的攻击的常见预防方法

(1) 将路由器的某些接口配置为被动接口。配置为被动接后,该接口停止向该接口所在的网络广播路由更新消息。但是,允许继续在该接口接收路由更新广播消息。

(2) 配置ACL访问控制列表。只允许相应源IP地址的路由更新报文进入。

(3) 在RIPV2中使用验证机制。RIPV1天生就有不安全因素。因为它没有使用认证机制并使用不可靠的UDP协议进行传输。

RIPv2的分组格式中包含了一个选项可以设置16个字符的明文密码字符串(表示可很容的被嗅探到)或者MD5签字。虽然RIP信息包可以很容易的伪造,但在RIPv2中你使用了MD5签字将会使欺骗的操作难度大大提高。

(4)采用路由器之间数据链路层PPP的验证。采用PPP的PAP验证或Chap验证实现数据链路层的安全线路连接。

三、DNS欺骗常见预防方法

(1)进行IP地址和MAC地址的绑定

① 预防ARP欺骗攻击。因为DNS攻击的欺骗行为要以ARP欺骗作为开端,所以如果能有效防范或避免ARP欺骗,也就使得DNS欺骗攻击无从下手。例如可以通过将GatewayRouter的IpAddress和MACAddress静态绑定在一起,就可以防范ARP攻击欺骗。

②DNS信息绑定。DNS欺骗攻击是利用变更或者伪装DNS Server的IP Address,因此也可以使用MACAddress和IP Address静态绑定来防御DNS欺骗的发生。

由于每个Nctwork Card 的MAC Address具有唯一性质,所以可以把DNS Server的 MAC Address与其IPAddress绑定,然后此绑定信息存储在客户机网卡的Eprom中。当客户机每次向DNS Server 发出查询串请后,就会检测DNS Server响应的应答数据包中的MACAddress是否与Eprom存储器的 MAC Address相同,要是不同,则很有可能该网络中的 DNS Server受到DNS欺骗攻击。

这种方法有一定的不足,因为如果局域网内部的客户主机也保存了DNS Server 的 MAC Address,仍然可以用 MACAddress进行伪装欺骗攻击 。

(2)使用Digital Password 进行辨别

在不同子网的文件数据传输中,为预防窃取或篡改信息事件的发生,可以使用任务数字签名(TSIG)技术即在主从DonAIn Name Server中使用相同的Password和数学模型算法,在数据通信过程中进行辨别和确认。

因为有Password进行校验的机制,从而使主从 Server的身份地位极难伪装,加强了Domain Name信息传递的安全性。

在不同子网的文件数据传输中,为预防窃取或篡改信息事件的发生,可以使用任务数字签名(TSIG)技术即在主从Donain Name Server中使用相同的Password和数学模型算法,在数据通信过程中进行辨别和确认。因为有Password进行校验的机制,从而使主从 Server的身份地位极难伪装,加强了Domain Name信息传递的安全性。

安全性和可靠性更好的 Domain Name Service是使用域名系统的安全协议(Domain Name System Security,DNSSEC)),用Digital Signature的方式对搜索中的信息源进行分辨,对 DATA的完整性实施校验。

因为在设立 Domain时就会产生Password,同时要求上层的Domain Name也必须进行相关的Domain Password Signature,显然这种方法很复杂,所以InterNIC域名管理截至目前尚未使用。然而就技术层次上讲,DNSSEC应该是现今最完善的Domain Name设立和解析的办法,对防范Domain Name欺骗攻击等安全事件是非常有效的。

(3)直接使用IP地址访问

对个别信息安全等级要求十分严格的WEB站点尽量不要使用DNS进行解析。由于DNS欺骗攻击中不少是针对窃取客户的私密数据面来的,而多数用户访问的站点并不涉及这些隐私信息,因此当访问具有严格保密信息的站点时,可以直接使用IP地址而无需通过DNS解析,这样所有的DNS欺骗攻击可能造成的危害就可以避免了。

除此,应该做好 DNS Server的安全配置项目和升级DNS软件,合理限定 DNS Server进行响应的IP地址区间,关闭DNS Server的递归查询项目等。

(4)对DNS数据包进行监测

在DNS欺骗攻击中, Client会接收到至少两个 DNS的数据响应包,一个是真实的数据包,另一个是攻击数据包。欺骗攻击数据包为了抢在真实应答包之前回复给Client,它的信息数据结构与真实的数据包相比十分简单,只有应答域,而不包括授权域和附加域。

因此,可以通过监测DNS响应包,遵循相应的原则和模型算法对这两种响应包进行分辨,从而避免虚假数据包的攻击。

四、TCP连接欺骗的常见防御方法

(1)利用网络拓扑结构

IP协议本身支持包过滤,当一个数据包从广域网进入局域网时,受害者可以查询源IP地址字段是否属于局域网内部地址段。如果是,则丢弃这个数据包。

这种防御方法的前提是受害者仪信任局域网内主机。如果受害者不仅信任局域网内主机,还通过其他协议授权。域网的主机对其进行访问,那么就无法利用该方法防御来自广域网的攻击者。

(2)限制仅利用IP地址进行认证的协议

比如Unix系统的Rlogin协议,它仅仅利用IP地址进行身份认证。只要主机的IP地址包含在信任列表中,Rlogin协议就允许远程登录到另一主机,而不需输入密码。这样,攻击者可以利用Rlogin协议轻松地登录到受害者主机。我们可以限制这些仅利用IP地址进行认证的协议,或对IP地址进行一定配置或验证,通过风险画像、IP代理检测验明这些IP地址是否存在风险,提高这些协议的安全性。

(3)使用加密算法或认证算法

对协议进行加密或认证可以组织攻击者篡改或伪造TCP连接中的数据。而就目前的加密技术或认证技术而言,双方需要共享一个密钥或者协商出一对射私密钥对。这就涉及到通信双方必须采用同种加密或认证手段,但是,加密算法或认证算法往往涉及到复杂的数学计算,很消耗系统资源,会使通信效率明显下降。



Tags:漏洞   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
Rust 标准库 1.77.2 发布,修复高危漏洞
IT之家 4 月 10 日消息,Rust 的优势之一就是安全,但这并不代表该编程语言就没有漏洞。安全专家近日发现了追踪编号为 CVE-2024-24576 的漏洞,攻击者利用 Rust 标准库中的一个安...【详细内容】
2024-04-10  Search: 漏洞  点击:(4)  评论:(0)  加入收藏
详解渗透测试和漏洞扫描的开源自动化解决方案
译者 | 刘涛审校 | 重楼目录 什么是渗透测试 规划和侦察 扫描 开发和获得访问权限 维持访问权 报告和控制 什么是漏洞扫描 渗透测试工具 渗透测试的自动化 渗透自动化工作流...【详细内容】
2024-02-27  Search: 漏洞  点击:(27)  评论:(0)  加入收藏
黑客利用iOS系统中的三个零日漏洞在iPhone上安装间谍软件
2月7日,据谷歌威胁分析小组(TAG)发布的报告,黑客成功利用存在于苹果iOS系统中的三个零日漏洞,在iPhone上安装了由Variston开发的间谍软件。Variston是一家位于巴塞罗那的网络公司...【详细内容】
2024-02-07  Search: 漏洞  点击:(58)  评论:(0)  加入收藏
苹果iOS 17.3正式版发布:修复诸多安全漏洞
北京时间2023年1月23日凌晨,苹果向iPhone用户推送了iOS 17.3更新(内部版本号为21D50),此次更新距离上次时隔34天。iOS 17.3的安装包大小为600MB左右。尽管更新包容量不大,但iOS 1...【详细内容】
2024-01-23  Search: 漏洞  点击:(44)  评论:(0)  加入收藏
 Opera 漏洞可能让黑客在 Mac 或 Windows 上运行任何文件
网络安全研究人员披露了 Microsoft Windows 和 Apple macOS Opera 网络浏览器中的一个现已修补的安全漏洞,该漏洞可被利用来执行底层操作系统上的任何文件。Guardio Labs研究...【详细内容】
2024-01-19  Search: 漏洞  点击:(76)  评论:(0)  加入收藏
渗透测试中最常见的漏洞有哪些?
什么是渗透测试?渗透测试是一项安全测试,旨在模拟黑客的攻击方式,评估系统、网络或应用程序的安全性,发现潜在的安全漏洞并提出建议来修复它们。渗透测试中最常见的漏洞包括:1....【详细内容】
2024-01-11  Search: 漏洞  点击:(105)  评论:(0)  加入收藏
iPhone被曝遭史上最复杂攻击 如何应对防范系统漏洞风险?
“iPhone遭遇史上最复杂攻击”近日登上热搜。消息称,一条“iMessage信息”就能使用户手机里的地理位置、录音、照片和其他重要内容被不法分子获取到。此次事件被网络安全公司...【详细内容】
2024-01-01  Search: 漏洞  点击:(101)  评论:(0)  加入收藏
卡巴斯基公布苹果 Triangulation 事件报告,黑客利用4项漏洞攻击
IT之家 12 月 28 日消息,卡巴斯基今年 6 月发现苹果 iOS 设备中存在 Triangulation 漏洞,该漏洞允许黑客向受害者发送特定 iMessage 文件进行远程代码攻击,不过当时卡巴斯基出...【详细内容】
2023-12-29  Search: 漏洞  点击:(113)  评论:(0)  加入收藏
俄黑客组织利用WinRAR漏洞攻击乌克兰
据Securityaffairs网站消息,具有俄罗斯背景的黑客组织UAC-0099正在利用WinRAR中的一个零日漏洞(已修复,编号CVE-2023-38831)对乌克兰传播LONEPAGE恶意软件。实际上,自2022年中旬...【详细内容】
2023-12-27  Search: 漏洞  点击:(149)  评论:(0)  加入收藏
Oracle这个公开漏洞正在被8220挖矿组利用
有的网络攻击组织喜欢极具攻击力的0-Day漏洞,但也有的组织更愿意在那些已经公开的漏洞上下功夫,针对那些未能打好补丁的目标,不断优化策略和技术来逃避安全检测,从而最终实现入...【详细内容】
2023-12-22  Search: 漏洞  点击:(107)  评论:(0)  加入收藏
▌简易百科推荐
 Opera 漏洞可能让黑客在 Mac 或 Windows 上运行任何文件
网络安全研究人员披露了 Microsoft Windows 和 Apple macOS Opera 网络浏览器中的一个现已修补的安全漏洞,该漏洞可被利用来执行底层操作系统上的任何文件。Guardio Labs研究...【详细内容】
2024-01-19  科技大人物    Tags:漏洞   点击:(76)  评论:(0)  加入收藏
俄黑客组织利用WinRAR漏洞攻击乌克兰
据Securityaffairs网站消息,具有俄罗斯背景的黑客组织UAC-0099正在利用WinRAR中的一个零日漏洞(已修复,编号CVE-2023-38831)对乌克兰传播LONEPAGE恶意软件。实际上,自2022年中旬...【详细内容】
2023-12-27  区块软件开发  今日头条  Tags:漏洞   点击:(149)  评论:(0)  加入收藏
一文带你了解数据库层的安全漏洞及其危害性
数据库层的安全漏洞是Web应用程序中最常见且最简单的漏洞之一。这种漏洞的主要原因是程序没有对用户输入的数据进行合法性判断和处理,从而导致攻击者能够在Web应用程序中注入...【详细内容】
2023-12-19  科技界脑洞    Tags:漏洞   点击:(151)  评论:(0)  加入收藏
七个优秀开源免费Web安全漏洞扫描工具
Web安全漏洞扫描技术是一种用于检测Web应用中潜在的漏洞或者安全风险的自动化测试技术。Web安全扫描工具可以模拟黑客行为,检测常见的漏洞,例如:Sql注入、XSS、文件上传、目录...【详细内容】
2023-11-17  andflow  微信公众号  Tags:安全漏洞   点击:(229)  评论:(0)  加入收藏
2023年TOP 5 Kubernetes漏洞
译者 | 晶颜审校 | 重楼Kubernetes是一个流行的开源平台,用于管理容器化的工作负载和服务。它是一个简化了大量部署、扩展和操作任务的系统,但它并非没有风险。就像任何其他软...【详细内容】
2023-11-15    51CTO  Tags:漏洞   点击:(313)  评论:(0)  加入收藏
SysAid IT 曝出零日漏洞,需尽快安装补丁
根据微软的最新发现,以传播 Clop 勒索软件而闻名的 Lace Tempest 黑客组织,近日利用 SysAid IT 支持软件的零日漏洞实施了攻击。该黑客组织曾经还利用 MOVEit Transfer 和 Pap...【详细内容】
2023-11-10  沐雨花飞蝶  微信公众号  Tags:SysAid   点击:(248)  评论:(0)  加入收藏
常见Windows远程漏洞信息整理
通过漏洞扫描,发现漏洞,更新补丁,增强内网安全防御能力。1.常见windows提权漏洞(1)MS08-067 Windows服务漏洞漏洞描述:该漏洞影响Windows Server 2000、Windows XP和Windows 2003...【详细内容】
2023-11-07  小兵搞安全  微信公众号  Tags:漏洞   点击:(276)  评论:(0)  加入收藏
报告称微软 Skype 移动应用存在严重漏洞,可轻易泄露用户 IP 地址
IT之家 8 月 29 日消息,据 404Media.co 报道,微软的 Skype 移动应用存在一个严重的漏洞,可能导致黑客通过发送一个链接就能检测到用户的 IP 地址。该漏洞只需利用 Skype 的文本...【详细内容】
2023-08-29    IT之家  Tags:漏洞   点击:(150)  评论:(0)  加入收藏
可绕过苹果三重防护机制,专家发现 macOS 新漏洞
IT之家 8 月 15 日消息,近期在拉斯维加斯举行的 Defcon 黑客大会上,安全研究员帕特里克・沃德尔(Patrick Wardle)展示了 macOS 新漏洞,可以绕过苹果设置的三重防护机制,窃取设备敏...【详细内容】
2023-08-15    IT之家  Tags:漏洞   点击:(211)  评论:(0)  加入收藏
两个新漏洞可能影响 40% 的 Ubuntu 云工作负载
云安全公司 Wiz 的研究人员在 Ubuntu 的 OverlayFS 模块中发现了两个易于利用的权限提升漏洞,影响了 40% 的 Ubuntu 云工作负载。OverlayFS 是一种联合文件系统,允许一个文件...【详细内容】
2023-07-28    云安全公司 Wiz 的研究人员在 Ubuntu 的 OverlayFS 模块中发现了两个易于利用的权限提升漏洞,影响了   Tags:漏洞   点击:(226)  评论:(0)  加入收藏
站内最新
站内热门
站内头条