OSI七层的潜在安全漏洞-创新互联
①物理层
物理层上的安全保护的措施不多。如果一个潜在的可以访问物理介质,如搭线窃
听和探测,就可以复制所有传送信息。唯一有效的保护方法是使用加密和流量填充等技术。
这些技术可以有效地防止利用探测器来获得信息。
网络拓扑结构反映了网络的构成。安全管理人员应对其进行保护。最常用的
和到网络中的一种方法是在该企业内部的主机上安装一个包探测器。它能记住物理介
质上传输数据的电子信号。
②网络层
经常利用一种叫做 IP 欺骗的技术,把源 IP 地址替换成一个错误的 IP 地址。接收
主机不能判断源 IP 地址是不正确的,因此上层协议必须执行一些检查来防止这种欺骗。
使用 IP 欺骗的一种很有名的是 Smurf 。这种是向大量的远程主机发送一
系列的 ping 请求命令之后,把源 IP 地址替换成想要的目标主机的 IP 地址。所有
的远程计算机都响应这些 ping 请求,而对目标地址进行回复却不是回复给者的 IP 地
址,而是目标主机的 IP 地址,目标主机将被大量的 ICMP 包淹没而不能有效地工作。Smurf
是一种拒绝服务。
ICMP 在 IP 层用于检查错误和查询。例如,ping 一台主机以确定其是否运行时,就产
生了一条 ICMP 消息。远程主机将用其 ICMP 消息对 ping 请求做出回应。这种通信过程在
多数网络中是正常的。然而,则用 ICMP 消息*远程网络或主机。如利用 ICMP 来
消耗带宽从而有效地摧毁站点。至今,微软的站点对 ping 不作响应,因为微软已经过滤了
所有的 ICMP 请求。有些公司现在也在他们的防火墙上过滤了 ICMP 流量。
③传输层**
传输层控制主机之间数据流的传输。传输层存在两个协议,即传输控制协议(TCP)
和用户数据报协议(UDP)。
(1)TCP
TCP 是一个面向连接的协议,保证数据的可靠传输。TCP 协议用于多数的互联网服务,
如 HTTP、FTP 及 SMTP。最常见的传输层安全技术为安全套接字层协议 SSL。其由 Netscape
通信公司设计,结构分为两层,如图 2-1 所示。
SSL 协商层:双方通过协议层约定有关加密的算法、进行身份认证等。
SSL 记录层:将上层的数据进行分段、压缩后加密,由 TCP 传送出去。
对于 SSL 交换过程的管理,协商层通过三个协议给予支持。其 SSL 的协议栈如图 2-2
所示。
SSL 采用公钥方式进行身份认证,用对称密钥方式进行大量数据传输。通过双方协商
SSL 可以支持多种身份认证、加密和检验算法。两个层次对应的协议功能如下:
SSL 记录协议:其对应用程序提供的信息进行分段、压缩、数据认证和加密。SSL 中
的握手协议用于协商数据认证和数据加密的过程。SSLv3 支持用 MD5 和 SHA 进行数据认证以及用 DES 对数据加密。
④应用层
应用层大约有 1800000 个应用程序可以用于 TCP/IP 之上。保护网络上的每一个应用程
序是不太可能的,只允许一些特殊的应用程序通过网络进行通信是一个有效的方法。
1.简单邮件传输协议(SMTP)
通过 SMTP 协议将破坏 Email 服务器。通常对 SMTP 服务器采用不同方式的
。比如经常向 SMTP 服务器发送大量的 Email 信息使得服务器不能处理合法用户
的 Email 流量,导致 SMTP 服务器不可用,从而对合法的 Email 用户造成拒绝服务。
目前很多病毒是通过邮件或其附件进行传播的。因此,SMTP 服务器应能扫描所有邮
件信息。
2.文件传输协议(FTP)
FTP 用来建立 TCP/IP 连接后发送和接收文件。FTP 由服务器和客户端组成,几乎每一
个 TCP/IP 主机都有内置的 FTP 客户端,并且大多数的服务器都有一个 FTP 服务器程序。
FTP 用两个端口通信。利用 TCP21 端口来控制连接的建立,控制连接端口在整个 FTP 会
话中保持开放,用来在客户端和服务器之间发送控制信息和客户端命令。数据连接建立使
用一个短暂的临时端口。在客户端和服务器之间传输一个文件时每次都建立一个数据连接。
FTP 服务器有的不需要对客户端进行认证;当需要认证时,所有的用户名和密码都是
以明文传输。破坏之一就是寻找允许匿名连接并且有写权限的 FTP 服务器,然后上传
不正确的信息以塞满整个硬盘空间,从而导致操作系统不能正常运行。还可以使日志文件
没有空间再记录其他事件,这样企图进入操作系统或其他服务而不被日志文件所检查
到。
3.超文本传输协议(HTTP)
HTTP 是互联网上应用最广泛的协议。HTTP 使用 80 端口来控制连接和一个临时端口
传输数据,HTTP 有两个明显的安全问题,即客户端浏览应用程序和 HTTP 服务器外部应
用程序。HTTP 客户端使用浏览器访问和接收从服务器端返回的 Web 页面。若下载了有破坏性的 Active X 控件或 Java Applets。这些程序在用户的计算机上执行并含有某种类型的代码,可能是病毒或特洛伊。对于这种破坏的最佳保护方法是警告用户不要下载未被检验过的应用程序。
为了扩大和扩展 Web 服务器的功能,一些扩展的应用程序加入到 HTTP 服务器中。如
Java、CGI、AST 等等。这些程序都有一些安全漏洞,一旦 Web 服务器开始执行代码可能遭到破坏。
4.远程登录协议(Telnet)
Telnet 是用于远程终端访问的并可用来管理 UNIX 机器。首先考虑 Telnet 安全问题的
因素是它允许远程用户登录。其次 Telnet 是以明文的方式发送所有的用户名和密码。有经
验的可以劫持一个 Telnet 会话。
5.简单网络管理协议(SNMP)
SNMP 允许管理员检查状态并且有时修改 SNMP 代理的配置。管理者收集所有由
SNMP 代理发送的 trap,并且直接从这些代理查询信息。SNMP 通过 UDP 的 161 和 162 端口传递所有的信息。
SNMP 所提供的有效认证是团体名。若管理者和代理有相同的团体名并处于权限允许
的 IP 地址段内将允许所有 SNMP 查寻。如果一个得到了团体名,他将能够查询和修
改网络上所有使用 SNMP 的节点。另一个安全问题是所有的信息都是以明文传输的。一个
用 SNMP 管理器连接到网络中的任何位置上都可以得到这些信息。目前 SNMP v3 版
本的应用将能解决上述问题。
6.域名系统(DNS)
DNS 在解析域名请求时使用 UDP 的 53 端口。但是,在进行区域传输时使用 TCP 的
53 端口。区域传输是指以下两种情况:
(1)客户端利用 nslookup 命令向 DNS 服务器请求进行区域传输;
(2)从属域名服务器向主服务器请求得到一个区域文件。
可以一个 DNS 服务器并得到它的区域文件。其结果是***可以知道这个区
域中所有系统的 IP 地址和计算机名字。
保护 DNS 服务器是要把服务器放到防火墙后面,然后配置防火墙阻止所有的区域传
输,还可配置系统只接受特定主机的区域传输。
网站栏目:OSI七层的潜在安全漏洞-创新互联
网页链接:http://scjbc.cn/article/dgppog.html