网络协议安全分析
网络安全层次结构
-
物理层
在通信线路上保障不被搭线,不被偷听,尽可能检测出来。 -
数据链路层
a.点对点的链路上可以采用通信保密机进行加解密。
b.由第层硬件完成,对上层透明。
c.缺陷:无法适应多个路由器的网络,尤其Internet. -
网络层
使用防火墙技术处理信息在内外网的流动,允许或禁止某些目的主机或信息。 -
传输层
a.端到端加密。
b.不能单独解决身份认证、访问控制问题。 -
应用层
a.身份认证并建立安全通信通道。
b.有web安全、email安全等方案。
c.缺陷:没有一种统一的安全方案,通过安全服务GSS-API,将服务抽象,为安全方案提供通用接口。 -
OSI安全体系结构
五大安全服务
1.验证
2.访问控制
3.数据保密性服务
4.数据完整性服务
5.不可否认性服务
八大安全机制
1.密码
2.数字签名
3.访问控制
4.数据完整性
5.验证交换
6.流量填充
7.路由控制
8.仲裁机制
TCP/IP模型体系
TCP/IP是一组协议。如图所示为TCP/IP协议族。
-
TCP/IP协议栈
a.链路层,通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡。
数据链路层、网络接口层
b.网络层,将信息从一台主机发送到另一台主机,包括ip层的数据结构和路由的实现。
IP ARP RARP ICMP IGMP
c.传输层,为两个应用程序提供端到端通信。
TCP UDP
d.应用层,处理特定的程序细节。
DNS HTTP SMTP POP FTP TELNET -
MAC地址
a.标识计算机有三种方法:1)域名地址(应用层)、IP地址(网络层)、MAC地址(物理层),MAC地址与硬件一致,便于具体标识。
b.MAC地址写在网卡的BIOS里面,与所处的网络无关,而在交换机内部通过“表”的方式将IP地址与MAC地址一一对应,解决ip盗用。 -
TCP/IP协议优点
使异构网络互联成为可能、平台无关性、高效的错误处理机制、良好的破坏恢复机制、可以无连接数据传输开销小 -
OSI vs TCP/IP
OSI为制定协议标准提供了一个理论模型,TCP/IP基于OSI参考模型,是一个实际应用。
链路层安全
-
CAM表格淹没
a.交换机中的CAM 表格包含了诸如在指定交换机的物 理端口所提供的MAC 地址和相关的VLAN(虚拟局域网)参数之类的信息。
b.一个典型的网络侵入者会向该交换机提供大量的无 效MAC 源地址,直到CAM 表格被添满 。
c.CAM 表格淹没会导致交换机在本地VLAN 范围内到 处发送信息,侵入者(无须监听)能够看到自己所 连接到的本地VLAN 中的所有信息。 -
MAC欺骗
a.MAC欺骗攻击:主机的MAC地址被冒充,目标交换即会向攻击者转发以该MAC地址为目的地址的所有数据帧。
b.具体实现:通过发送带有该主机以太网源地址的单 个数据帧的办法,网络攻击者改写了CAM表格中的条目,使得交换机将以该主机为目的地址的数据包 转发给该网络攻击者。除非该主机向外发送信息, 否则它不会收到任何信息,CAM表中的条目也不会被改写恢复。 -
ARP欺骗
a.ARP(Address Resolution Protocol) : 用于从IP地址到物理地址的映射
RARP(Reverse Address Resolution Protocol), :用于从物理地址到IP地址的 映射
b.ARP请求:在以太网中,当主机要确定某个IP地址的MAC 地址时,它会先检查自己的ARP缓冲表;如果目标地址不包含在该缓冲表中,主机就会发送一个ARP请求(广播形式),网段上的任何主机都可以接收到该广播,但是只有目标主机才会 响应此ARP请求。 由于目标主机在收到ARP请求时可以学习到发送方的IP地址到MAC地址的映射,因此它采用一个 单播消息来回应请求。
c.ARP响应:主机B、主机D收到主机A发来的ARP请求时,它 们发现这个请求不是发给自己的,因此它们忽略这个请求,但是它们还是将主机A的IP地址到 MAC地址的映射记录到自己的ARP表中。当主机C收到主机A发来的ARP请求时,它发现这个ARP请求是发给自己的,于是它用单播消息回应ARP请求,同时记录下其IP地址到MAC地址的映射。
d.ARP缺陷:设备不知道自己的ip地址,无法产生ARP请求,解决办法就是RARP.RARP协议使无盘机或没有IP地址的 主机能从服务器上获得自己的IP地址。 RARP运作需要服务器上有个很大的物理地址- IP地址映射数据库,并能够响应客户端的请求。 当一个RARP server收到一个客户端的请求,它会在自己的硬件地址-IP地址映射数据库中查找, 如果找到了,就向客户端发出响应,响应中包含有客户端的IP地址;找不到,请求就被摒弃了.
e.ARP欺骗:由于ARP协议在设计中存在的主动发送ARP报文 的漏洞,使得主机可以发送虚假的ARP请求报文或响应报文,报文中的源IP地址和源MAC地址均 可以进行伪造。 在局域网中,即可以伪造成某一台主机(如服务器)的IP地址和MAC地址的组合,也可以伪造成网关的IP地址和MAC地址的组合,等等。
f.ARP欺骗的防范:端口安全功能,控制端口上最大可通过的MAC地址数量,端口上只能使用指定的MAC地址。
网络层安全
-
IP地址欺骗
a. IP欺骗就是攻击者假冒他人IP地址,发送数 据包。因为IP协议不对数据包中的IP地址进 行认证,因此任何人不经授权就可伪造IP包 的源地址。
b.IP欺骗只是想隐藏自身的IP地址,或伪造源IP和目的IP相同的不正常包,不关心能否收到目的主机的应答。
c.原因:缺乏认证机制——主机不能保证数 据包的真实来源,构成了IP欺骗的基础。
d.防范:使用防火墙决定是否允许外部的IP数据包进入局域网,对来自外部的IP数据包进行检验。比如过滤器看到来自外部的数据包声称有内部的地址,它一定是欺骗包,反之亦然。如果数据包的IP不是防火墙内的任何子网,它就不能离开防火墙。 -
IP包碎片
a.链路层具有最大传输单元MTU特性,它限制了数据帧的最大长度,不同的网络类型都有一个上限值。 如果IP层有数据包要传送,而且数据包的长度超过了MTU,那么IP层就要对数据包进行分片 (fragmentation)操作,使每一片的长度都 小于或等于MTU。
b.泪滴攻击:攻击者可以通过发送两段(或 者更多)数据包来实现TearDrop攻击:第一个包的偏移量为0,长度为N;第二个包的偏移量小于N,而且算上第二片IP 包的数据部分,也未超过第一片的尾部。这样就出现了重叠现象(overlap)。
c.防范:需要升级系统或给系统打补丁。 现在的入侵检测系统和防火墙系统都有IP碎片重组的功能,可以及时发现异常的IP碎片包。
- IGMPNuke攻击
a.IGMP(互联网组管理协议)是一种无连接协议,所以在向服务器连接时不需要指定连接的端口,只需要指定IP地址即可。
b.一些目标主机的系统(例如没有打补丁的win95、 win98等)不能很好的处理过大的IGMP数据包,很容易出现系统崩溃的情况。例如最简单的win98蓝 屏炸弹,就可以使用Socket的原始套接字编程向目 标主机发送多个超过65536字节的IGMP包。由于部分操作系统接收到长度大于65535字节的数 据包时,就会造成内存溢出、系统崩溃、重启、内核失败等后果,从而达到攻击的目的。
c.IGMPNuke攻击也是利用系统实现TCP/IP 协议栈时对异常情况考虑不周全留下的漏洞, 是Win9X下最常见的IP炸弹,对方只要知道你的IP在运行IGMPNUKE(IPhacker)之后填入即可。
d.防范:要阻止此类攻击需要升级系统或给系统打补丁。安装防火墙,监控非法数据并及时切断连接。 - ICMP攻击
a. ICMP可以用来通知主机到达目的地的最佳路由,报告路由故障,或者因网络故障中断某个连接;是一种差错和控制报文协议,不仅用于传输差错报文,还传输控制报文 .
b.攻击:主机对ICMP数据报不作认证,这使攻击者可以伪造ICMP包使源主机产生错误的动作从而达到特定的攻击效果。
c.防范:
1、禁止不必要的ICMP
2、严格限制ICMP报文的作用范围;
3、禁止未经请求就主动提供的ICMP回应应答数据包;
4、严格限制ICMP重定向报文的应用范围。 5、主机与其他路由器的全局路由表不能以重定向报文为依据修改 - 路由欺骗
a. TCP/IP网络中,IP包的传输路径完全由路 由表决定。若攻击者通过各种手段可以改变路由表,使目标主机发送的IP包到达攻击者能控制的主机或路由器,就可以完成侦听、篡改等攻击方式。
b.RIP路由欺骗:RIP协议,用于自治域内传播路 由信息。 路由器在收到RIP数据包时一般不作检查,即不对RIP数据包发送者进行认证。 攻击者可以声称他所控制的路由器A可以最快地到达某一站点B,从而诱使发往B的数据包由 A中转。由于A受攻击者控制,攻击者可侦听、 篡改数据。
对RIP路由欺骗的防范:1、路由器在接受新路由前应先验证其是否可达,这可以大大降低受此类攻击的概 率。 2、对RIP包进行身份认证,杜绝假冒路由器。
c.IP源路由欺骗:IP报文首部的可选项中有“源站选路”,可以指定到达目的站点的路由。正常情况下, 目的主机如果有应答或其他信息返回源站,就可以 直接将该路由反向运用作为应答的回复路径。
防范IP源路由欺骗的方法:配置好路由器,使它抛弃那些由外部网进来的 却声称是内部主机的报文;关闭主机和路由器上的源路由功能。
传输层安全
TCP三次握手
- 端口扫描
a.端口是TCP/IP体系中运输层的服务访问点,传输层到某端口的数据都被相应绑定到该端口的进程所接收。 保留端口是TCP/IP分配端口的一种方法,它们都 对应了相应的应用程序和服务。
b.攻击者可以试图和目标主机的一系列端口(一般是保留端口和常用端口)建立连接或请求通信,若目标主机有回应,则它打开了相应的应用程序或服务, 攻击者可以使用应用层的一些攻击手段。
TCP connect()扫描
这是最基本的TCP扫描。操作系统提供 的connect()系统调用,用来与每一个感兴趣的目标主机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。
TCP SYN扫描
这种技术通常认为是“半开放”扫描,这是因为 扫描程序不必要打开一个完全的TCP连接。扫描程序发送的是一个SYN数据包,好象准备打开一 个实际的连接并等待反应一样(参考TCP的三次 握手建立一个TCP连接的过程)。一个SYN|ACK的返回信息表示端口处于侦听状态。 一个RST返回,表示端口没有处于侦听态。如果收到一个SYN|ACK,则扫描程序必须再发送一 个RST信号,来关闭这个连接过程。
TCP FIN扫描
有的时候可能SYN扫描都不够秘密。一些防火 墙和包过滤器会对一些指定的端口进行监视, 有的程序能检测到这些扫描。相反,FIN数据包 可能会没有任何麻烦的通过。这种扫描方法的思想是关闭的端口会用适当的RST来回复FIN数据包。这种方法和系统的实现有一定的关系。 有的系统不管端口是否打开,都回复RST,这样,这种扫描方法就不适用了。并且这种方法在区分Unix和NT时,是十分有用的。
IP包分段扫描
它并不是直接发送TCP探测数 据包,是将数据包分成几个较小的IP 段。这样就将一个TCP头分成好几个数据包,从而过滤器就很难探测到。
*UDPICMP端口不能到达扫描 *
这种方法与上面几种方法的不同之处在于使用的 是UDP协议。由于这个协议很简单,所以扫描变得相对比较困难。这是由于打开的端口对扫描探测并不发送一个确认,关闭的端口也并不需要发送一个错误数据包。幸运的是,许多主机在你向一个未打开的UDP端口发送一个数据包时, 会返回一个ICMP_PORT_UNREACH错误。这样你就能发现哪个端口是关闭的。
慢速扫描
由于一般扫描检测器的实现是通过监视某个时间段里一台特定主机被连接的数目来决定是否在被扫描,这样攻击者可以通过使用扫描速度慢一些的扫描软件进行扫描,这样检测软件就不会判别出他在进行扫描了。
乱序扫描–不断更改IP进行扫描。
c.对于端口扫描的防范需要进行统计分析,即在单位时间内统计,当发现接收到超过上限数目的以扫描端口为目的的数据包请求时,可以判断为发现了端口扫描攻击。 对于慢扫描,可以在一段较长时间内对此类请求 数据包进行联合分析,若发现某特定时间段内主机较为均匀地接受到此类数据包请求,则判断为慢速扫描。
- SYN Flooding
a.当前最流行也是最有效的DoS(拒绝服务攻击)方式之一。
b.在正常条件下,希望通过TCP交换数据的主机必须使用三次握手建立会话连接。
c.SYN flooding攻击就是阻止三次握手过程的完成, 特别是阻止服务器方接收客户方的TCP确认标志 ACK,使服务器相应端口处于半开放状态。
d.由于每个TCP端口支持的半开放的连接数目是有限的, 一旦超过了这个限制,服务器方将拒绝以后到来的连接请求,直到半开放连接超时关闭 。
e.防范:
1.缩短SYN Timeout (连接等待超时)时间。
2.根据源IP记录SYN连接。
3.防火墙技术。 - UDP Flooding
a.UDP(User Datagram Protocol)数据传输过程中,没有纠错和重传机制,也没有检测丢包、复制或重新排序的机制,甚至误码检 测也是可选项。 当UDP用于大量的数据传输时,协议自身缺少流控制特征,所以它能堵塞主机或路由器,并丢失大量的数据包。 UDP没有电路的概念,忽略了源地址和端口号。在使用这些 UDP数据包的源地址时,要特别小心。 由于UDP没有握手建立过程或序列号,所以它比TCP更加容易遭受欺骗攻击。
b.UNIX系统通常开放一些用来测试的端口,如 echo(UDP端口7)、chargen(UDP端口19) 等。 Echo服务简单地把客户端送去的每个字符回送给客户端,并且在遇到回车符后把整行回送。于是客户端发送的每行输入会产生两行输出。 原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符。如果把这两个服务对接,chargen向echo发送一个填满ASCII字符的UDP数据包,若数据包中无回车符, echo服务将原样奉还,若数据包有回车符,echo双倍返回。数据包将越来越多,最终目标主机将被淹没。
c.若目标主机同时打开了echo和chargen两个端口, 攻击者可以构造UDP数据包:源IP地址和目的IP地址都为目标主机IP,源端口为chargen,目的端口为 echo。目标主机收到这个UDP包后将触发攻击。 若目标主机只打开了两个端口中的一个,则需要找到开放了另一个端口的另一台主机,同样可以伪造数据包触发此攻击。
d.防范UDPflooding的最好方法是关闭不需要的端口,防火墙和入侵检测系统也能监视特殊端口的通信。
其他协议安全
- DHCP安全
a.动态主机配置协议----DHCP协议,分配IP地址。此协议能够提供:域名服务器地址、默认的路由地址、默认的域名及客户机的IP地址;以及网络时间服务器的地址等。DHCP对IP地址提供集中化的管理,简化了管理任 务,可以很容易地为便携计算机分配IP地址。
b.安全性:
1.只在本地网络使用,客户机向本地网络广播查询信息。因为远程攻击者无法做到直接访问本地网络,所有不能发动远程攻击。
2.DHCP查询没有认证,所以易受中间人攻击和DOS攻击。
3.如果攻击者已经接入到本地网络,那么它就可能对DHCP服务器发动ARP欺骗攻击。
4.假冒的DHCP服务器能够压制合法的服务器,对查询提供响应,并允许各种类型的攻击。
隐患:当一台运行有DHCP客户端程序的计算机连接到网络中时,即使是一个没有权限使用网络的非法用户也能很容易地从DHCP服务器获得一个IP地址及网关、DNS等信息,成为网络的合法使用者。 由于DHCP客户端在获得DHCP服务器的IP地址等信息时,系统没有提供对合法DHCP服务器的认证,所以DHCP客户端从首先得到DHCP响应的DHCP服务器处获得IP地址等信息。
c.防范:
1.使用DHCP Snooping信任端口
2.在DHCP服务器上进行IP和MAC地址的绑定
- DNS安全
a.为了解决主机IP地址与主机名之间的对应关系, InterNIC(Internet Network Information Center,Internet网络信息中心)制定了一套称为域名系统(Domain Name System,DNS) 的分层名字解析方案,当DNS用户提出IP地址查询请求时,就可以由DNS服务器中的数据库提供 所需的数据。
b.DNS攻击
1.缓存中毒:中毒的缓存就像是“使人们走 错方向的假冒路牌”。
2.拒绝服务攻击:大量骚扰,粗暴的破坏。
3.域名劫持
c.对DNS的防护措施
1.不要采用基于名称的认证
2.不要把秘密的信息放在主机名中
3.数字签名 - DNS安全扩展
发送方:首先使用Hash函数对要发送的DNS信息进行计算,得到固定长度的“信息摘要”;然后对“信息摘要”用私钥进行加解密,此过程实现了对“信息摘要”的数字签名;最后将要发送的DNS信息、该DNS信息的“信息摘要”以及该 “信息摘要”的数字签名,一起发送出来。
接收方:首先采用公钥系统中的对应公钥对接收到的“信息 摘要”的数字签名进行加密,得到明文形式的“信息摘要”; 接着用与发送方相同的Hash函数对接收到的DNS信息进行运算,得到运算后的“信息摘要”;最后,对明文形式的“信息摘要”和运算后的“信息摘要”进行比较,如果两者的值相同,就可以确认接收到的DNS信息是完整的,即是由正确 的DNS服务器得到的响应。
DNSSEC只是提供了对DNS记录真实性的验证,只是有限的程度上为用户通信的安全提供了保证; DNSSEC在DNS请求和应答中添加了数字签名,一方面增加了通信的流量和复杂性,另一方面安全性主要依赖于公钥技术的安全性,所以对于DNSSEC系统来 说是否会存在新的安全问题也是一个未知数。
- 网络地址转换NAT
a.NAT的主要作用是解决当前IPv4地址空间缺乏的问题。
从概念上讲,NAT非常简单:它们监听使用了所谓专用地址空间的内部接口,并对外出的数据包重写其源地址和端口号。外出数据包的源地址使用了ISP为外部接口分配的Internet静态IP地址 。对于返回的数据包,它们执行相反的操作。
NAT存在的价值在于IPv4的短缺。
b.NAT盒并不支持一些不常见的应用程序或新的协议;NAT最严重的问题是它不能与加密协调工作 。第一,NAT不能对加密的数据流进行检查;第二,IPsec与NAT 会产生冲突。原因是:IPsec要保护传输层协议头,而NAT盒却要 重写的该协议头中的IP地址。
c.NAT盒可看成一种非常低级的防火墙。
高层协议
- 电子邮件协议
a.简单邮件传输协议----SMTP.
它可靠,及时地传递;FTP模型之上,明文ASCII
SMTP认证:SMTP认证账号与寄件者名称相符
b.邮局协议----POP3.
它是因特网电子邮件的第一个离线协议标准。POP3允许用户从服务器上把邮件存储到本地主机(即自己的计算机)上,同时删除保存在邮件服务器上的邮件。
该协议非常简单,服务器甚至可以采用Perl脚本程序非常容易地实现,所以也非常不安全。
c.多用途网间邮件扩充协议----MIME.
MIME在1992年应用于电子邮件系统,后来也应用于浏览器。 服务器通过MIME类型告诉浏览器哪些是MP3文件,哪些是Sho ckwave文件。
对MIME存在一种分段攻击。
其它MIME的危险包括邮递可执行的程序,或邮件自身含有危险的PostScript文件。是传播蠕虫和病毒的主要途径。
d.Internet消息访问协议----IMAP4
1.它提供了同 POP3一样方便的邮件下载服务 。
2.能够支持一些认证方法。
3.多个认证选项会提高IMAP遭受版本反转攻击 (versionrollback attack) 的可能性,该攻击迫使服务器使用较弱的认证或密码算法。
-
Internet电话协议
互联网电话目前主要采用的协议有两种,一种叫做会话启动协议SIP(Session Initiation Protocol),另一种叫做H.323协议 。这两种协议除了可以建立简单的电话呼叫之外,还可以建立电话会议(微软的NetMeeting可以支持这两种协议)。SIP还是某些互联网/电话网络交互和某些即时消息协议的基础。 H.323是ITU的互联网电话协议。该协议是ITU基于ISDN的信令协议Q.931设计的。但是,该协议增加了复杂度,并且与现有的ISDN协议栈有部分区别。
威胁:拒绝服务攻击,服务窃取(非法接入),信令流攻击,媒体流的监听。 -
消息传输协议
1.简单文件传输协议----TFTP.
TFTP(Trivial File Transfer Protocol)是一个简单的基于UDP的文件传输协议。该协议中没有使用认证。
一个伪装成FTP客户机的Java程序能够做一些危险的事情。例如,假设攻击者希望连接到防火墙后面的某台机器的telnet端口,他会将这个Java 程序嵌入到指定的Web页面文件中。当有人在该站点上运行此Java程序 时,它就会打开一条通往Web网站的FTP连接,并发出一条PORT指令, 指明采用23号端口telnet到目标主机上。防火墙就会顺从地打开该端口。
2.网络文件系统协议----NFS.
NFS是一个流行的基于TCP/IP网络的文件共享协议,该协议提供了文件共享服务,可以简单的把它看成一个文件服务 器。
- 远程登录协议
1.远程登录协议----Telnet
Telnet提供了简单终端到某台主机的访问。该协议包括对处理各 种终端设置的规定,如自然模式、字符回送等。通常,telnet后台 服务程序调用login程序来进行认证和引发会话。主叫用户提供帐 户名称和口令来进行登录.
安全问题:本地的Telnet程序可能会泄露秘密信息;攻击者也可能在线路上做文章,可能会霸占Telnet会话;主要ISP的主机上发现有口令嗅探器Sniffer存在,捕获绝大部分的互联网业务流。
2.安全壳协议----SSH
该协议设计的初衷是用来取代rlogin, rdisk, rsh和rpc。
SSH 支持身份认证和数据加密,对所有传输的数据进行加密处理。 同时,可以对传输数据进行压缩处理,这样就可以加快数据传输的速度。它既可以代替Telnet作为安全的远程登录方式,又可以为 FTP、POP等服务提供一个安全的“隧道”。
SSH含有两个替代程序ssh和scp,这两个程序与rsh和rcp具有相同的用户接口,所不同的是使用了加密协议。SSH也含有打通X11隧道或任意TCP端口的机制. - 简单网络管理协议----SNMP
SNMP用来控制路由器、网桥及其它的网络单元. - 网络时间协议
网络时间协议(NTP—Network Time Protocol)主要用于调节系统时钟从而与外部时间源达到同步。外部时间源可以是原子钟、天文台、卫星,也可以从Internet上公开的时间服务器获取。如果无法与Internet连接,也可以指定内部的一些主机作为时间服务器。
NTP服务器自身可能成为各种攻击的目标。一般来说,这种攻击的目的是试图改变攻击目标的正确时间概念。例如,攻击者会考虑对基于时间的认证设备和协议发起攻击。如果黑客能够将机器的时钟重新设置成先前的某个值,他就能重发某个先前的认证字符串来实施重发攻击。 - 信息服务
1.用户查询服务
Finger功能可以帮助用户查询系统中某一个用户的细节,如其 全名、住址、电话号码、登陆细节等,查询得到的信息容易被攻击者获得。
Finger协议不可能在防火墙上运行,因此对于受防火墙保护 的网站来说,它不是主要考虑的问题。对于防火墙内部的用户 来说,可以使用其他方法获得大量同样的信息。但是,如果把 一台机器暴露在防火墙外部的话,那么关闭Finger后台程序, 或者对其施加某些限制才是明智之举。
2.数据库查询服务
Whois被用来查询域名所有者的身份及数据库中的其他信息。
3.LDAP
LDAP的全称是轻量级目录访问协议。
LDAP与Finger服务非常相似。由于两者提供相同种类的信 息,因此面临着相同类型的风险,如果决定采用LDAP,一定要选择一种恰当的认证机制。
4.WWW服务
WWW浏览器根据URL开头部分的名称来处理各种因特网服务。常用的是HTTP服务,其次是FTP服务;当主机连接某个服务器时,它会向服务器发送一个查询信息或信息指针,并接收服务器的响应。该响应可能是一个可以显示的文件,也可能是指向其他某个服务器的一个或多个指针。
安全性分析:
1)返回的文档中包含一些格式标签将指定处理该文档的程序。
2)服务器盲目接收各种URL
3)返回指针中的端口是电子邮件端口,登录会话是一个短脚本。该脚本指示向某个人发送垃圾邮件。
4)服务器所面临的大风险来自于查询。当运行由信息提供者编写的某一脚本文件时,就传承了该脚本的全部风险,并且攻击者可以由此定位语言编译器的位置。
所以要尽可能让WWW服务器运行在某个受限的环境中。
5.网络消息传输协议
网络消息通常通过网络消息传输协议NNTP进行传输,采用的会话与SMTP相类似,通常把它视为mail,接收和发送的消息条目通过网关来处理和转发。
网络消息比较耗费系统资源,运行的一些程序可能带来安全漏洞,若传递消息的NNTP存在漏洞,内部消息主机会很危险。但是这个协议可以了解邻居是谁,不拒绝不友好的连接请求。