系统安全谈之IP自身存在的不安全性

  被窃盗的信用卡号、遭受打击的盘算机系统以及其他一些著名的在线打击曾经引起了许多用户的鉴戒，使宁静管理人员将注意力放在了初级入侵检测系统、防火墙和其他高程度防备上。但是，许多人忘了，无论他们如何努力地增强站点的宁静，Internet结构中存在的软弱性仍使他们处于危险之中。
  像请求在两台盘算机之间创建毗连这种简单功能就会形成毛病，而每年报告的打击中有15%是由这种毛病形成的，这是由于自TCP/IP被接受为Arpanet传输协议之日起，它就不停没有什么变化，而IP最后是在一个外部非常信任的具有内聚力的社区中编写的，因此缺省值是IP应用认为它们该当信任人。
  利用TCP/IP功能的回绝办事打击和数据欺诈打击可以利用多数办事器操作系统中能够被翻开的宁静功能、路由器或新版IP(IPv6)内置的过滤器来防范。但是，这些宁静步伐每每被轻忽。
  近期有公司遭到了“重新发明”的TCP打击，这是一种利用TCP存在的老问题的新途径：要是黑客可以猜出两台盘算机用来启动发送数据包序列的随机初始序列号(ISN)的话，这位黑客就可以劫持一次会话。一旦打击者猜出ISN，他就可以转变数据包的传送方向或向数据流中注入任何工具。人们认为软件厂商曾经利用随机包序列产生器解决了这一问题。但结果是这种随机序列并不随机，它现实包罗使ISN很容易猜到的模式。
  另一种古老本领IP地点诱骗今天也很常见。像IP诱骗和利用缓冲区溢出的回绝打击这类古典的TCP/IP打击仍在利用。以漫衍式回绝打击为例，将特洛伊木马植入到未受怀疑的办事器中。然后，这些办事器利用大量的包罗虚伪源IP地点的办事请求吞没了许多电子商务站点。打击形成这些商务站点上的许多办事器瓦解。
  非IP打击一般寻找办事器软件或像地点簿和主动邮件程序这类功能中软弱的端口和办事。
  常见的针对TCP/IP的打击
  在八十年代中，有几十种针对TCP/IP的打击打击过Arpanet。此中的一些打击今天仍然存在。最常见的包罗：
  1. Smurf打击：一种由有趣的卡通人物而得名的回绝办事打击。Smurf打击利用多数办事器中具有的同时向许多盘算机广播请求的功能。打击者伪造一个正当的IP地点，然后由网络上全部的办事器广播要求向受益者地点做出答复的请求。由于这些数据包表面上看是来自已知地点的正当请求，因此网络中的全部系统向这个地点做出答复，答复吞没了这台正当的机器，形成回绝办事。
  2. SYN大水：一种回绝办事打击，在这种打击中，打击者利用伪造的IP地点向目标发出多个毗连(SYN)请求。目标系统然后发送确认信息，并等候答复。由于伪造的IP地点不属于任何现实的机器，因此，不会有答复，从而使毗连保持开放并阻塞了正当的数据流。
  3. 源路由窜改：一种回绝办事和数据劫持打击，在这种打击中，打击者窜改路由表表项(通常在边缘路由器上)，使发送到某一站点的数据流改向传送到另一个站点上(在这个站点上信息可以被截获)或者什么地方都不发送。
  阻挡与过滤
  关闭边缘路由器上的“广播”功能可以阻挡Smurf打击。以三秒或更短的间隔中止不完整的SYN请求通常可以防备SYN大水。IP路由包过滤功能可以捕捉劫持计划。究竟上，过滤功能正是TCP/IP掩护所做的事。
  例如，近来漫衍式回绝办事打击的许多受益者现在都在自己ISP的位置对数据流进行过滤，而不是等候“大水”打击自己的盘算机。一些受益者还对自己的操作系统进行了配置，使其可以更快地中断SYN请求，并转变遭到回绝办事打击的办事器的IP地点制止再遭到打击。
  除了防火墙和入侵检测外，用户还可利用下列过滤技能以防备TCP/IP打击：
  ·在边缘路由器上设置过滤阻挡假地点或SYN打击。
  ·阻挡毗连请求、防备高容量打击的速率限制过滤器。
  ·检测切合打击特性的进入毗连或跟踪打击起源地供告状之用的数据流分析。
  ·通过过滤已知打击类型，防备回绝办事打击的基于主机的防火墙。
  由于这类宁静特性不属于缺省配置，所以IT人员大概不知道这些特性，因此并没有开启这些特性，或者他们害怕过滤功能会降低他们的速度。但是现实上这些特性不会给功能形成太大的影响。
  例如，Cisco公司的路由器包罗一种叫做单播逆向途径转发检查的特性，这种逆向IP查找功能自三年前Cisco发布IOS第10版起就是该操作系统的一部分。这种功能可以通过检查下游路由表查看数据包能否来自它们自称的IP地点来检测伪造的数据流。只管这类技能险些无处不在，但是用户照旧很少利用它们。
  对功能问题的担忧也是形成新的ISN猜测要挟的缘故原由。1996年中，厂商有时机接纳一种更强键的随机序列产生器，但多数厂商不肯意接纳它，因为从CPU利用的角度看，它费用更高。
  并且，IPSec也被大多数人所轻忽，IPSec是IPv6的一个子集，它的设计目标是利用公共密钥在盘算机进行毗连前对盘算机进行认证。这两种同是在1998年颁布的宁静特性可以帮助解决许多TCP/IP宁静问题。
  现在厂商产品真正支持IPSec的还不多。这是因为企业没有看到接纳IPSec或IPv6的令人佩服的来由，特别是VPN隧道技能具有与IPSec险些相同的功能。
  此外，晋级到IPv6需要肯定的工夫，大家将来需要同时晋级到IPv6。否则，由于兼容性问题，那些先晋级的人将不能接入到Internet的许多部分中。随着无线Internet设备的呈现，对地点空间的需求不久将会呈爆炸式增长。同时，对更强过滤功能和IP宁静的需求也会呈现爆炸。否则，总有一天，任何Internet毗连的设备，甚至包罗电冰箱，都市黑天下一把。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：