內容備注《網絡攻防原理與技術》課程教案講課題目：第三講網絡脆弱性分析目的要求：了解影響網絡安全的因素；掌握因特網易被攻擊者利用的特性；掌握典型網絡協議存在的安全問題。重點難點：因特網易被攻擊者利用的特性；典型網絡協議的安全問題。方法步驟：理論講授。器材保障：電腦、投影儀。主要教學內容:一、影響網絡安全的因素我們將所有影響網絡正常運行的因素稱之為網絡安全威脅，從這個角度講，影響網絡安全的既包括環境和災害因素，也包括人為因素和系統自身的因素。多數網絡安全事件是由于人員的疏忽、黑客的主動攻擊造成的，此即為人為因素，包括：（1）有意：人為主動的惡意攻擊、違紀、違法和犯罪等。（2）無意：工作疏忽造成失誤（配置不當等），對網絡系統造成不良影響。系統自身因素是指網絡中的計算機系統或網絡設備因為自身的原因引發的網絡安全風險，主要包括：（1）計算機系統硬件系統的故障。（2）各類計算機軟件故障或安全缺陷，包括系統軟件（如操作系統）、支撐軟件（各種中間件、數據庫管理系統等）和應用軟件的故障或缺陷。（3）網絡和通信協議自身的缺陷。二、計算機網絡概述（一）網絡結構和組成計算機網絡由若干結點(node)和連接這些結點的鏈路(link)組成。網絡中的結點主要包括兩類：端系統和中間結點。端系統(endsystem)通常是指網絡邊緣的結點，它不再僅僅是功能強大的計算機，還包括其他非傳統計算機的數字設備，如智能手機、電視、汽車、家用電器、攝像機、傳感設備等。可以將這些連接在網絡上的計算機和非計算機設備統稱為主機(host)。中間結點，主要包括集線器、交換機、路由器、自治系統、虛擬結點和代理等網絡設備或組織。鏈路則可以分為源主機到目的主機間的端到端路徑(path)和兩個結點之間的跳(hop)。網絡和網絡通過互聯設備（路由器,router）互連起來，可以構成一個覆蓋范圍更大的網絡，即互聯網(internet或internetwork)，或稱為網絡的網絡(networkofnetworks)，泛指由多個計算機網絡互連而成的網絡，這些網絡之間的通信協議可以是任意的。因特網(Internet)是全球最大的、開放的互聯網，它采用TCP/IP協議族作為通信的規則，且其前身是美國的ARPANET。網絡體系結構計算機網絡之所以能夠做到有條不紊地交換數據，是因為網絡中的各方都遵守一些事先約定好的規則。這些規則明確規定了所交換的數據的格式以及有關的同步問題。這些為進行網絡中的數據交換而建立的規則、標準或約定即稱為網絡協議。在計算機網絡中，將計算機網絡的各層及其協議的集合，稱為網絡的體系結構(architecture)。比較著名的網絡體系結構有：國際標準化組織(ISO)制定的開放系統互連參考模型(OSI/RM,OpenSystemInterconnection/ReferenceModel)，采用7層結構，IETF的TCP/IP體系結構等。以TCP/IP體系結構為基礎的計算機網絡得到廣泛應用，成為事實上的網絡標準。盡管OSI/RM從整體上來講未被采用，但其制定的很多網絡標準仍在今天的因特網得到了廣泛應用。在體系結構的框架下，網絡協議可定義為：為網絡中互相通信的對等實體間進行數據交換而建立的規則、標準或約定。實體(entity)是指任何可以發送或接收信息的硬件或軟件進程。在許多情況下，實體就是一個特定的軟件模塊。位于不同子系統的同一層次內交互的實體，就構成了對等實體(peerentity)。網絡協議是計算機網絡不可缺少的組成部分，它保證實體在計算機網絡中有條不紊地交換數據。網絡體系結構的脆弱性因特網的設計初衷是在各科研機構間共享資源，因此盡可能地開放以方便計算機間的互聯和資源共享，對安全性考慮較少。導致其存在一些固有的安全缺陷，即具有一些容易被攻擊者利用的特性。一般認為，因特網的以下幾個特性易被攻擊者利用，特別是在基于IPv4的因特網中。(1)分組交換。因特網是基于分組交換的，這使得它比采用電路交換的電信網更容易受攻擊。所有用戶共享所有資源，給予一個用戶的服務會受到其他用戶的影響。(2)認證與可追蹤性。因特網沒有認證機制，任何一個終端接入即可訪問全網，這導致一個嚴重的問題就是IP欺騙：攻擊者可以偽造數據包中的任何區域的內容然后發送數據包到Internet中。通過IP欺騙隱藏來源，攻擊者就可以發起攻擊而無須擔心對由此造成的損失負責。(3)盡力而為(best-effort)的服務策略。因特網采取的是盡力而為策略，即只要是交給網絡的數據，不管其是正常用戶發送的正常數據，還是攻擊者發送的攻擊流量，網絡都會盡可能地將其送到目的地。(4)匿名與隱私。網絡上的身份是虛擬的，普通用戶無法知道對方的真實身份，也無法拒絕來路不明的信息。(5)無尺度網絡。因特網是一種無尺度網絡。無尺度網絡的典型特征是網絡中的大部分結點只和很少結點連接，而有極少數結點與非常多的結點連接。無尺度網絡對意外故障有強大的承受能力，但面對針對樞紐結點的協同性攻擊時則顯得脆弱。(6)互聯網的級聯特性。互聯網是一個由路由器將眾多小的網絡級聯而成的大網絡。一個路由器消息可以逐級影響到網絡中的其他路由器，形成“蝴蝶效應”。中間盒子。“中間盒子”是指部署在源與目的主機之間的數據傳輸路徑上的、實現各種非IP轉發功能的任何中介設備，例如：用于改善性能的DNS緩存（Cache）、HTTP代理／緩存、CDN等，用于協議轉換的NAT(NetworkAddressTranslation)、IPv4-IPv6轉換器等，用于安全防護的防火墻、入侵檢測系統／入侵防御系統（IDS/IPS）等不同類型的中間盒子大量被插入互聯網之中。中間盒子的出現，背離了傳統互聯網“核心網絡功能盡量簡單、無狀態”的設計宗旨，從源端到目的端的數據分組的完整性無法被保證，互聯網透明性逐漸喪失。典型網絡協議的脆弱性（一）IP協議安全性分析IPv4協議是無狀態、無認證、無加密協議，其自身有很多特性易被攻擊者利用，主要包括：（1）IPv4協議沒有認證機制IPv4沒有對報文源進行認證，無法確保接收到的IP包是IP包頭中源地址所標識的源端實體發出的。IPv4也沒有對報文內容進行認證，無法確保報文在傳輸過程中的完整性沒有受到破壞。（2）IPv4協議沒有加密機制由于IPv4報文沒有使用加密機制，攻擊者很容易竊聽到IP數據包并提取出其中的應用數據。（3）無帶寬控制攻擊者還可以利用IPv4協議沒有帶寬控制的缺陷，進行數據包風暴攻擊來消耗網絡帶寬、系統資源，從而導致拒絕服務攻擊。為了解決IPv4存在的安全問題，IETF設計了一套端到端的確保IP通信安全的機制，稱為IPsec（IPSecurity）。IPsec最開始是為IPv6制定的標準，考慮到IPv4的應用仍然很廣泛，所以在IPsec標準制定過程中也增加了對IPv4的支持。與IPv4相比，IPv6通過IPsec協議來保證IP層的傳輸安全，提高了網絡傳輸的保密性、完整性、可控性和抗否認性。盡管如此，IPv6也不可能徹底解決所有的網絡安全問題，同時新增機制還會產生新的安全問題。（二）ICMP協議安全性分析為了提高IP數據報交付成功的機會，在網際層使用了ICMP協議。ICMP允許主機或路由器報告差錯情況、提供有關異常情況的報告。ICMP報文作為IP層數據報的數據，加上數據報的首部后組成數據報發送出去。ICMPv4報文的前4個字節是統一的格式，共有三個字段：即類型、代碼、檢驗和。接著的4個字節的內容與ICMPv4的類型有關。再后面是數據字段，其長度和格式取決于ICMPv4的類型。常用的差錯報文有：目的站不可達（類型3）、時間超過（類型11）、改路由（或路由重定向，類5）。常用的詢問報文有：回送(Echo)請求或回答（類型8或0）、時間戳(Timestamp)請求或回答（類型13或14）等。不管ICMPv4還是ICMPv6，ICMP協議本身的特點決定了它非常容易被用于攻擊網絡上的路由器和主機，因而被廣泛應用。（1）利用“目的不可達”報文對攻擊目標發起拒絕服務攻擊。（2）利用“改變路由”報文破壞路由表，導致網絡癱瘓。（3）木馬利用ICMP協議報文進行隱蔽通信。（4）利用“回送(Echo)請求或回答”報文進行網絡掃描或拒絕服務攻擊。（三）ARP協議安全性分析ARP用于將計算機的網絡地址（32位IP地址）轉化為物理地址（48位MAC地址）。在以太網中的數據幀從一個主機到達網內的另一臺主機是根據48位的以太網地址（硬件地址）來確定網絡接口的，而不是根據32位的IP地址。每臺主機均有一個ARP高速緩存（ARPCache）。通常情況下，一臺主機的網絡驅動程序要發送上層交來的數據時，會查看其ARP緩存中的IP地址和MAC地址的映射表。如果表中已有目的IP地址對應的MAC地址，則獲取MAC地址，構建網絡包發送，否則就發送ARP請求，等待擁有該IP的主機給出響應。發出請求的主機在收到響應后，更新其ARP緩存。ARP協議對收到的ARP響應不作任何驗證就更新其ARP緩存，即允許未經請求的ARP廣播或單播對緩存中的IP-MAC對應表表項進行刪除、添加或修改。這一嚴重的安全缺陷，經常被攻擊者用來進行各種網絡攻擊，例如：（1）網絡監聽。攻擊者可以偽造ARP響應，從本地或遠程發送給主機，修改ARP緩存，從而重定向IP數據流到攻擊者主機，達到竊聽、假冒或拒絕服務的目的。（2）阻止目標的數據包通過網關。攻擊者可以利用ARP欺騙，導致計算機向外發送的數據包將總被發送到錯誤的網關MAC地址上，計算機不能夠與外網通信。（四）RIP協議安全性分析RIP協議要求網絡中的每一個路由器都要維護從它自己到其他每一個目的網絡的距離記錄（因此，這是一組距離，即“距離向量”）。RIP協議將“距離”定義如下：從一個路由器到直接連接的網絡的距離定義為1。從一個路由器到非直接連接的網絡的距離定義為所經過的路由器數加1。“加1”是因為到達目的網絡后就直接交付，而到直接連接的網絡的距離已經定義為1。RIP協議的“距離”也稱為“跳數”(hopcount)，因為每經過一個路由器，跳數就加1。RIP認為一個好的路由就是它通過的路由器的數目少，即“距離短”。RIP允許一條路徑最多只能包含15個路由器。因此“距離”的最大值為16時即相當于不可達。RIP只適用于小型網絡。如果在沒有認證保護的情況下，攻擊者可以輕易偽造RIP路由更新信息，并向鄰居路由器發送，偽造內容為目的網絡地址、子網掩碼地址與下一條地址，經過若干輪的路由更新，網絡通信將面臨癱瘓的風險。此外，攻擊者可以利用一些網絡嗅探工具來獲得遠程網絡的RIP路由表，通過欺騙工具偽造RIPv1或RIPv2報文，再利用重定向工具截取、修改和重寫向外發送的報文，例如某臺受攻擊者控制的路由器發布通告稱有到其他路由器的路由且費用最低，則發向該路由的網絡報文都將被重定向到受控的路由器上。（五）OSPF協議安全性分析OSPF使用分布式鏈路狀態協議(linkstateprotocol)，路由器間信息交換的策略如下：1）向本自治系統中所有路由器發送信息。這里使用的方法是洪泛法(flooding)，這就是路由器通過所有輸出端口向它所有相鄰的路由器發送信息。應注意，RIP協議是僅僅向自己相鄰的幾個路由器發送信息。2）發送的信息就是與本路由器相鄰的所有路由器的鏈路狀態，但這只是路由器所知道的部分信息。所謂“鏈路狀態”就是說明本路由器都和哪些路由器相鄰，以及該鏈路的“度量”(metric)。OSPF將這個“度量”用來表示費用、距離、時延、帶寬等等。對于RIP協議，發送的信息是：“到所有網絡的距離和下一跳路由器”。3）只有當鏈路狀態發生變化時，路由器才用洪泛法向所有路由器發送信息。而不像RIP那樣，不管網絡拓撲有無發生變化，路由器之間都要定期交換路由表的信息。常見的OSPF協議攻擊手段包括：1）最大年齡（MaxAgeattack）攻擊LSA的最大年齡（MaxAge）為1小時，攻擊者發送帶有最大MaxAge設置的LSA信息報文，這樣，最開始的路由器通過產生刷新信息來發送這個LSA，而后就引起在age項中的突然改變值的競爭。如果攻擊者持續的突然插入這類報文給整個路由器群，將會導致網絡混亂和拒絕服務攻擊。2）序列號加1（Sequence++）攻擊當攻擊者持續插入比較大的LSASequence號報文時，最開始的路由器就會產生發送自己更新的LSA序列號來超過攻擊者序列號的競爭，這樣就導致了網絡不穩定和拒絕服務攻擊。3）最大序列號攻擊根據OSPF協議的規定，當發送最大序列號（0x7FFFFFFF）的網絡設備再次發送報文（此時為最小序列號）前，要求其他設備也將序列號重置，OSPF停15分鐘。如果攻擊者插入一個最大序列號的LSA報文，將觸發序列號初始化過程。在實踐中，在某些情況下，擁有最大序列號的LSA并沒有被清除而是在連接狀態數據庫中保持一小時的時間。如果攻擊者不斷地修改收到的LSA的序列號，就會造成網絡運行的不穩定。4）重放攻擊攻擊者重放一個與拓撲不符的LSA，并洪泛出去，而且該LSA必須被認為比當前的新。各路由器接收到后，會觸發相應的SPF計算（計算最小路徑樹的過程）。當源路由器收到重放的LSA時，將洪泛一個具有更高序列號的真實LSA時，各路由器收到后，更新LSA，勢必又會觸發SPF計算。SPF計算是一個很消耗資源的操作，頻繁的SPF計算會導致路由器性能的下降。5）篡改攻擊IP首部的源IP地址、目的IP地址字段分別標識OSPF分組由哪個路由器發出的、分組要發送到哪個路由器，協議號字段置為89時表明封裝是OSPF分組。所有這些字段如果被修改，都會導致OSPF路由陷入混亂。（六）BGP協議安全性分析BGP協議是一種應用于AS之間的邊界路由協議，而且運行邊界網關協議的路由器一般都是網絡上的骨干路由器。運行BGP協議的路由器相互之間需要建立TCP連接以交換路由信息，這種連接稱為BGP會話(Session)。每一個會話包含了兩個端點路由器，這兩個端點路由器稱為相鄰體(Neighbor)或是對等體(Peer)。BGP一般是在兩個自治系統的邊界路由器之間建立對等關系，也可以在同一個自治系統內的兩個邊界路由器之間建立對等關系。BGP協議最主要的安全問題在于缺乏一個安全可信的路由認證機制，即BGP無法對所傳播的路由信息的安全性進行驗證。每個自治系統向外通告自己所擁有的CIDR（ClasslessInter-DomainRouting）地址塊，并且協議無條件信任對等系統的路由通告，這將就導致一個自治系統向外通告不屬于自己的前綴時，也會被BGP用戶認為合法，從而接受和傳播，導致路由攻擊的發生。由于BGP協議使用TCP作為其傳輸協議，因此同樣會面臨很多因為使用TCP而導致的安全問題，如SYNFlood攻擊、序列號預測等。BGP沒有使用自身的序列號而依靠TCP的序列號，因此，如果設備采用了可預測序列號的方案，就面臨著這種類型的攻擊。“數字大炮”攻擊利用BGP路由器正常工作過程中路由表更新機制，通過在網絡上制造某些通信鏈路的時斷時續的震蕩效應，導致網絡中路由器頻繁地更新路由表，最終當網絡上震蕩路徑數量足夠多、震蕩的頻率足夠高時，網絡上所有路由器都處于癱瘓狀態。對于數字大炮，現有的BGP內置故障保護措施幾乎無能為力。一種解決辦法是通過一個獨立網絡來發送BGP更新，但這不太現實，因為這必然涉及建立一個影子互聯網。另一種方法是改變BGP系統，讓其假定連接永不斷開，但根據研究者的模型，此方法必須讓互聯網中至少10%的自治系統做出這種改變，并且要求網絡運營者尋找其他辦法監控連接的健康狀況，但是要說服足夠多的獨立運營商做出這一改變非常困難。（七）UDP協議安全性分析UDP協議提供的是不可靠數據傳輸服務，但由于其簡單高效，因此有很多應用層協議利用UDP作為傳輸協議，如域名解析協議（DNS）、簡單網絡管理協議（SNMP）、網絡文件系統（NFS）、動態主機配置協議（DHCP）和路由信息協議（RIP）。如果某一應用層協議需要可靠傳輸，則可根據需要在UDP基礎上加入一些可靠機制，如重傳、超時、序號等，或直接利用TCP協議。UDP協議可以用來發起風暴型拒絕服務攻擊，也可以進行網絡掃描。（八）TCP協議安全性分析TCP協議被攻擊者廣泛利用。1）由于一臺主機或服務器所允許建立的TCP連接數是有限的，因此，攻擊者常常用TCP全連接（完成三次握手過程）或半連接（只完成二次握手過程）來對目標發起拒絕服務攻擊。2）序號預測。TCP報文段的初始序號（ISN）在TCP連接建立時產生，攻擊者向目標主機發送連接請求可得到上次的序號，再通過多次測量來回傳輸路徑得到進攻主機到目標主機間數據包傳送的來回時間（RTT）。已知上次連接的序號和RTT，就能預測下次連接的序號。若攻擊者推測出正確的序號就能偽造有害數據包并使目標主機接受，實TCP連接劫持攻擊。3）網絡掃描。攻擊者可以利用TCP連接請求來進行端口掃描，從而獲得目標主機上的網絡服務狀態，進一步發起有針對性的攻擊。（九）DNS協議安全性分析DNS協議缺乏必要的認證機制，客戶無法確認接收到的信息的真實性和權威性，基于名字的認證過程并不能起到真正的識別作用，而且接收到的應答報文中往往含有額外的附加信息，其正確性也無法判斷。此外，DNS的絕大部分通信使用UDP，數據報文容易丟失，也易于受到劫持和欺騙。DNS協議脆弱性面臨的威脅主要是域名欺騙和網絡通信攻擊。域名欺騙是指域名系統（包括DNS服務器和解析器）接收或使用來自未授權主機的不正確信息。攻擊者通常偽裝成客戶可信的DNS服務器，然后將偽造的惡意信息反饋給客戶。域名欺騙主要包括事務ID欺騙(transactionIDspoofing)和緩存投毒(cachepoisoning)。針對DNS的網絡通信攻擊主要是分布式拒絕服務攻擊（DistributedDenialofService,DDoS）攻擊、惡意網址重定向和中間人(Man-In-The-Middle,MITM)攻擊。同其他互聯網服務一樣，DNS系統容易遭受拒絕服務攻擊。針對DNS的拒絕服務攻擊通常有兩種方式：一種是攻擊DNS系統本身，包括對名字服務器和客戶端進行攻擊，另一種是利用DNS系統作為反射點攻擊其他目標。在針對DNS系統客戶端的拒絕服務攻擊中，主要通過發送否定回答顯示域名不存在，從而制造黑洞效應，對客戶端造成事實上的拒絕服務攻擊。對域名服務器的攻擊則是直接以域名服務器為攻擊目標。在反射式攻擊中，攻擊者利用域名服務器作為反射點，用DNS應答對目標進行洪泛攻擊。在惡意網址重定向和中間人攻擊過程中，攻擊者通常偽裝成客戶可信任的實體對通信過程進行分析和篡改，將客戶請求重定向到假冒的網站等與請求不符的目的地址，從而竊取客戶的賬戶和密碼等機密信息，進行金融欺詐和電子盜竊等網絡犯罪活動。（十）HTTP協議安全性分析在安全的HTTP協議（HTTPS）出現之前，Web瀏覽器和服務器之間通過HTTP協議進行通信。HTTP協議傳輸的數據都是未加密的，也就是明文，再通過不加密的TCP協議傳輸，因此使用HTTP協議傳輸的隱私信息非常不安全，同時還存在不能有效抵御假冒服務器的問題。將HTTP和SSL/TLS協議結合起來后，既能夠對網絡服務器的身份進行認證，又能保護交換數據的機密性和完整性。計算機系統安全分析計算機系統的安全風險主要包括：1）計算機系統硬件系統的故障。因設計不當、器件的質量及使用壽命的限制、外界因素等導致的計算機系統硬件出現故障，進而影響到整個系統的安全。2）各類計算機軟件故障或安全缺陷。由于某些特定程序缺陷存在，計算機程序在運行時刻會出現一些設計時非預期的行為，其非但不能完成預期的功能，反而會出現意料之外的執行狀況。這種預期之外的程序行為輕則損害程序的預期功能，重則會導致程序崩潰，使其不能正常運行。3）配置和管理不當等人為因素導致計算機存在安全風險。計算機系統自身的脆弱和不足是造成信息系統安全問題的內部根源，攻擊者正是利用系統的脆弱性使各種威脅變成現實危害。一般來說，不管是操作系統還是應用軟件，在其設計、開發過程中有很多因素會導致系統、軟件漏洞的出現，主要包括：1）系統基礎設計錯誤導致漏洞。2）編碼錯誤導致漏洞。3）安全策略實施錯誤導致漏洞。4）實施安全策略對象歧義導致漏洞，即實施安全策略時，處理的對象和最終操作處理的對象不一致。5）系統開發人員刻意留下的后門。這些后門一旦被攻擊者獲悉，將嚴重威脅系統的安全。除了上述設計實現過程中產生的系統安全漏洞外，不正確的安全配置也會導致安全事故，例如弱口令、開放Guest用戶、安全策略配置不當等。為了降低安全漏洞