关于TCP/IP协议漏洞的安全措施

摘要： 上篇 我们介绍了TCP/IP协议中常见的漏洞类型,包括ARP病毒攻击、RIP攻击、DNS欺骗和TCP连接欺骗。 我们应该采取哪些安全措施来防止和解决TCP/IP协议中的漏洞?

首先,从架构的角度来看:两个最常用的安全架构,IPsec和TLS,可以从IPsec和TLS在不同的协议层的安全架构中获益,以保护数据传输的安全。

一、IPSec

IPSec 是一组用来在网络层提高数据包传输安全的协议族统称，它通过在原有的IP报文中加入一些特定的检测头来达到安全确认的目的。

IPSec有两个工作模式,运输模式和隧道模式分别,前者适用于端到端（End to End），即两台主机之间的 IPSec 通信,后者适用于站点到站点（Site to Site），即两个开关之间的 IPSec 通信,IPSec由AH协议、ESP协议和一些复杂的安全验证算法组成,这些基本算法是IPsec协议服务。我们主要介绍了两项合约 AH 和 ESP :

(一)合约提供的安全服务

AH工作模式是在每个包中添加一个AH头之后的IP头,这个AH头具有提供安全服务的独特领域,AH可以确保数据的完整性不会改变,但它不能阻止数据被盗。AH使用的IP协议号码是51,当IP消息的协议数为51时,IP头衔之后是AH头衔。

AH主要提供数据源认证的保安服务,参加双方商定的信件,核实对方的身份和数据的有效性;第二项是数据完整性检查,因为AH协议需要防止数据被非法伪造,因此,该协议通过引入一个单向哈希函数来创建散布值或总结信息,配列值与文本结合并发送给接收机,同时接收器用相同的单向哈希函数解密接收器内容,验证结果是否一致，这保护了数据的完整性。

第三,防止报告被反复攻击,所谓的重载攻击是一个不了解加密数据包里面的攻击者,但通过截获数据包并将其送回接收机,接收机无法确定谁是正确的发送者,AH协议检查序列数值字段中的数值是否重复,若重复，则直接丢弃。

(二)ESP协议提供的保安服务

ESP与AH不同,ESP首先加密数据,然后把它存储在IP消息中,因此, 目的是防止盗窃.ESP除了在IP头部后面添加一个ESP头条之外,并在报告末尾添加一个ESP信息,消息的末端用于提供加密服务。因此即使攻击者得到数据包,未经解码,无法从ESP加密中获取任何信息。

ESP提供的保安服务与AH相结合,ESP使用序列代码字段来防止重复攻击,ESP 通常使用HMAC-MD5 或 HMAC-SHA-1算法对加密后的载荷进行 Hash 计算来完成认证和保证数据完整性的功能。但由于ESP将经过加密后传输数据,因此,将提供保密服务,ESP在传输机密数据方面具有巨大的优势。

此外，在NAT模式下,由于AH会对 IP地址 还有 Hash 操作,因此,AH的哈希值将在地址转换后被摧毁,ESP的IP协议号码是50,没有相应的TCP或UDP端口编号用于NAT转换。为了使ESP能够满足NAT环境中的地址转换,现在我们需要引入一种新的方法,ESP消息和IP消息之间添加了新的UDP头条。

二、TLS协议

TLS协议在传输层中运行,由于TCP和UDP具有可用的漏洞,它旨在解决传输层链的安全问题。

TLS分为两个协议,它们是TLS记录协议和TLS手握协议。TLS记录协议基于TLS手握协议谈判参数,对上层数据进行各种操作,因此,数据以加密的形式传输,接收器通过解密接收数据.

这样可以大大提高数据传输的安全。另一个协议是TLS手握协议。他与客户和服务提供商进行谈判,确定数据传输加密的关键字符串,相互认证对方，所以当攻击者不通过密钥认证时,你不能与数据的另一端进行通信。

首先，客户端向服务端发送 ClientHello 消息，其中含有一个客户端生成的随机数，我们假设为R1和可供选择的版本号清单等信息。

第二步，根据客户端发来的Client Hello，服务器响应服务器“你好”消息,它根据客户端发送的清单数据,确定双向通信所使用的版本号码,密码套件，压缩方法和其他协议需要重要的信息,并生成服务端随机数R2,当服务器认证时，服务器将向客户端发出自己的证书。

第三步，当要求客户端认证时，客户端会先发送自己的证书，同时根据之前客户端和服务器端产生的随机数公用一种算法计算出密钥。最后相互发送了 Finished 消息后就代表握手结束，可以开始传输数据。

也可以根据每个弱点的不同特性进行目标防御,但一些防御方法并不全面。

1.ARP病毒攻击的常见防御方法

目前有很多针对ARP病毒攻击的防御方法，我们来看一下常见的防御方法。

(一)改善系统安全

定期更新操作系统补丁，及时升级杀毒软件病毒库，并开启杀毒软件的实时监控功能，防止系统被非法入侵或感染ARP病毒，但是这种防御方法只能防止本机感染ARP病毒，并不能有效防御ARP欺骗。

(二)部署RP防火墙

ARP防火墙在某种程度上可以帮助缓解ARP攻击和保护本地网络主机的安全。 除了在下面介绍的绑定MAC地址功能之外,最重要的防御方法是主动防御。

主动防御是指ARP防火墙以强制输出正确的ARP数据包,根据一定频率,这个ARP防火墙可以在一定程度上帮助缓解ARP攻击,协助在本地区域网络中保护主机的安全.ARP防火墙除了绑定MAC地址功能外,最重要的防御方法是主动防御.

主动防御是指ARP防火墙以强制输出正确的ARP数据包,根据一定频率,这 显然 会 对 网络 造成 额外 负担 。如果频率太高,它会引起本地网络中的ARP风暴.只要攻击者增加攻击速度,使它比ARP防火墙的主动防御速度大,主动防御就会失效。

(三)在交换或主机端绑定MAC地址

在开关端口上绑定每个主机的IP/MAC相关性,每个主机都会添加一个静态ARP缓存项。当交换机从自动机接收数据包时,与ARP缓存项比较IP地址和MAC地址,如果同样的情况发生,则这些包被丢弃,否则,该包将被丢弃。同理，门户的IP/MAC通信也可以在主机端绑定,一个静态ARP缓存项目被添加到门户.尽管这种防御方法能够抵御某些程度的ARP攻击,但以互联网的流动性和自动化为代价,增加网络管理员的负担,不适用于主机变动颊繁的局域网。

2.基于RIP的攻击的共同预防方法

(1)将路由器的某些接口配置为被动接口。 当该接口被配置为被动后,该接口停止更新该接口所在的网络广播路由,但允许通过接收路由继续更新该接口的广播消息。

(2)配置ACL访问控制列表,仅允许输入相应的源IP地址输入路由更新消息。

(3)在RIPV2中使用验证机制,RIPV1本身是不安全的,它不使用认证机制,并且使用不可靠的UDP协议进行传输。

RIPv2子集格式包含了一个设置16个字符的明文密码字符串(表示可以被抽出)或MD5签名的选项。虽然RIP包很容易伪造,但是在RIPv2中,您使用MD5签名使得欺骗更加困难。

(4)采用路由器间数据链路层PP的验证,利用PP的 PAP验证或 Chap验证实现数据链路层的安全线连接。

3.防止DNS欺诈的常见方法

(1)进行 IP地址 和MAC地址的绑定

1防止ARP欺诈攻击。因为DNS攻击的欺骗是从ARP欺骗开始的,所以如果你能有效地防止或避免ARP欺诈,这使得DNS易受欺诈攻击。例如,可以实现 GatewayRouter IPAddress和 MACAddress的静态绑定,你可以防止ARP攻击欺诈.

②DNS信息绑定。DNS欺骗攻击是利用变更或者伪装DNS Server的IP Address,因此也可以使用MACAddress和IP Address静态绑定来防御DNS欺骗的发生。

由于每个Nctwork Card 的MAC Address具有唯一性质,所以可以把DNS Server的 MAC Address与其IPAddress绑定，该绑定信息将存储在客户端网络卡的 Eprom 中。当客户端每次向DNS服务器发送查询字符串时,它将检测 DNS Server 响应的响应包中的 MAC 地址是否与 Eprom 存储器的 MAC 地址相同,如果不是,则很有可能网络中的DNS服务器会被DNS欺骗。

这种方法有一定的不足,因为如果局域网内部的客户主机也保存了DNS Server 的 MAC Address,仍然可以用 MACAddress进行伪装欺骗攻击 。

(2)使用Digital Password 进行辨别

在不同子网的文件数据传输中,为预防窃取或篡改信息事件的发生,可以使用任务数字签名(TSIG)技术即在主从Donain Name Server中使用相同的Password和数学模型算法,在数据通信过程中进行辨别和确认。

因为有Password进行校验的机制,从而使主从 Server的身份地位极难伪装,加强了Domain Name信息传递的安全性。

在不同子网的文件数据传输中,为预防窃取或篡改信息事件的发生,可以使用任务数字签名(TSIG)技术即在主从Donain Name Server中使用相同的Password和数学模型算法,在数据通信过程中进行辨别和确认。因为有Password进行校验的机制,从而使主从 Server的身份地位极难伪装,加强了Domain Name信息传递的安全性。

安全性和可靠性更好的 Domain Name Service是使用域名系统的安全协议(Domain Name System Security,DNSSEC)),用Digital Signature的方式对搜索中的信息源进行分辨,对 DATA的完整性实施校验。

因为在设立 Domain时就会产生Password,同时要求上层的Domain Name也必须进行相关的Domain Password Signature,显然这种方法很复杂，因此,InterNIC域名管理尚未使用。然而就技术层次上讲,DNSSEC应该是现今最完善的Domain Name设立和解析的办法,对防范Domain Name欺骗攻击等安全事件是非常有效的。

(三)直接IP地址访问

需要非常严格的信息安全水平的网站不使用DNS进行分析。由于许多DNS欺诈攻击的目的是偷取客户的私人资料,而大多数用户访问的网站不涉及这些私人资料,当访问严格保密信息的网站时,可以直接使用IP地址而不需分析DNS,这防止了 DNS 欺诈攻击的任何可能的伤害。

此外,你应该做 DNS Server 安全配置项目和升级 DNS 软件,合理限制 DNS Server 响应的 IP 地址空间,关闭 DNS Server 递归查询项目等。

(4)监控DNS包

在DNS欺诈攻击中,客户端至少收到两个DNS数据响应包,一个用于实数据包,另一个用于攻击数据包。欺骗性攻击包在信息和数据结构方面比实际包简单,以便在实际响应包之前向客户端作出响应。只有响应域, 非授权域和额外域.

因此,可以监测 DNS 响应包,遵循相应的原理和模型算法来区分两个响应包,从而避免攻击假数据包。

4.TCP连接欺骗的常见防御方法

(1)使用网络拓扑结构

IP协议本身支持包过滤，当一个数据包从广域网进入局域网时，受害者可以查询源IP地址字段是否属于局域网内部地址段。如果是，则丢弃这个数据包。

这种防御方法的前提是受害者仪信任局域网内主机。如果受害者不仅信任局域网内主机，还通过其他协议授权。域网的主机对其进行访问，那么就无法利用该方法防御来自广域网的攻击者。

(二)限制协议只使用IP地址进行认证

例如,Unix系统的Rlogin协议,它只使用IP地址进行认证。只要主机的IP地址列入信任列表,Rlogin协议允许远程登录到另一个主机,而不需输入密码。这样，攻击者可以通过Rlogin协议轻松地登录受害者的主机。我们可以限制这些协议只使用IP地址进行认证,或某个IP地址的配置或验证,通过风险成像和IP代理检测来识别这些IP地址的风险。加强这些协定的安全。

(三)使用加密或认证算法

加密或验证协议可以使攻击者在TCP连接中修改或伪造数据。对于当前的加密技术或认证技术,双方需要共享一个钥匙或谈判一个私人钥匙的双对。这涉及双方必须使用相同的加密或认证手段,但是，加密算法或认证算法通常涉及复杂的数学计算,很消耗系统资源，这 将 使 通讯 效率 大大 减少 。

本文由 在线网速测试 整理编辑，转载请注明出处，原文链接：https://www.wangsu123.cn/news/29868.html。