网络安全——传输层安全

传输层安全

传输层概述

传输层主要负责提供端到端的数据传输,传输层在终端用户之间提供透明的数据传输,向上层提供可靠的数据传输服务。传输层在给定的链路上通过流量控制、分段/重组和差错控制来保证数据传输的可靠性。传输层的一些协议(如TCP)是面向连接的,这就意味着传输层能保持对分段的跟踪,并且重传那些失败的分段。

传输核心功能

  • 协议与端口:传输层可以为不同的应用提供不同的传输服务,每种服务使用的端口号也不相同
  • 套接字:每一个端口都与套接字相关
  • 排序:传输层会对比较大的数据进行分组,接收端需要进行排序
  • 序列拦截:TCP为了快速滑窗协议/错误重传/避免重复接收,使用了序列号,刚开始随机,后来则有规律

传输层的威胁

  1. 拦截
    网络安全——传输层安全_第1张图片

  2. 开放端口的折中:暴露服务器的多个端口会加大风险隐患,但是开放端口越少,提供的服务就越有限

  3. 端口扫描:
    采集服务信息,以便确定攻击的方式

  4. 信息泄露
    传输层传输的数据大多数情况下不会进行加密处理,这使得数据有被窃听的风险

TCP侦察

使用TCP协议进行信息的获取
1.初始窗口大小
2.TCP选项
3.序列号
4.客户端口号
5.重试
端口扫描

利用TCP建立连接的方式判断服务器开放了那些端口,一个简单的程序可以看文章
TCP扫描程序

TCP拦截

任何干扰TCP服务的攻击都属于TCP拦截
全会话拦截:攻击者有直接数据链路访问。一般会观察网络地址、端口以及连接的序号。需要比正常用户更快的响应才能拦截
如:伪装成免费上网的WIFI热点

ICMP和TCP拦截:ICMP能够报告不成功的连接或重定向网络服务。恶意ICMP能将TCP重定向到不同端口和不同的主机,攻击者需要知道TCP连接的序号。

TCP DOS攻击

针对TCP服务的拒绝服务攻击DOS很容易执行,任何对端口或序号的干扰都会使连接断开。
SYN攻击:服务器收到SYN包会分配内存,大量SYN会消耗可用内存;或在连接超时前耗
尽连接数,让服务不能再响应
RST和FIN攻击:攻击者在能看到网络通信数据的情况下,可以发RST(FIN)数据包来结束已建立的连接

缓解TCP攻击的方法

改变系统框架:优化系统的一些默认参数,让它能抵御一定能力的攻击;变更服务端口
阻断攻击指向:利用防火墙来允许可能的连接,阻断其他流量
识别网络设备:根据不同设备的已知漏洞,采取预防措施
状态分组检测:利用状态防火墙来拦截非正常的数据包
入侵检测系统IDS:利用IDS对网络进行监控,识别攻击、非正常的流量和访问行为,作出提醒
入侵防御系统IPS:扩展了IDS功能,提供保护应对行为。例如拦截已知攻击流量,或将试探攻击行为牵引到蜜罐系统中

UDP安全威胁

非法的进入源

UDP不需要握手协议,任何主机都能直接连接过来,无需鉴别,能淹没慢的UDP服务

UDP拦截

无需身份鉴别,任何人都能发送数据给UDP服务,这些数据必须UDP服务的上层应用协议才能处理。容易拦截和替换。

UDP保持存活攻击

UDP不能指示连接是关闭还是打开,防火墙在UDP端口空闲一段时间后才会关闭 。持续攻击让防火墙保持多个UDP端口打开,耗尽防火墙允许的连接数

UDP Smurf攻击

类似于ICMP Smurf攻击,攻击者假冒某主机(受害者)发送多组UDP数据给足够多的UDP服务,利用返回的UDP数据包将受害者主机淹没

UDP侦察

可以进行UDP端口扫描,如果某UDP端口没有打开,则会返回ICMP协议中的“目的不可达”数据包。可以利用UDP扫描来确认目标系统开启的服务,也可以耗尽目标系统的CPU资源

DNS风险及缓解方法

DNS(Domain Name System)的主要作用是将枯燥难记的IP地址转换为便于人们记忆的主机名称,大大方便了互联网许多应用
DNS不需身份验证,基于不可靠的UDP服务,存在安全风险。
需要针对的提出缓解方法

网络安全——传输层安全_第2张图片
网络安全——传输层安全_第3张图片
网络安全——传输层安全_第4张图片
网络安全——传输层安全_第5张图片

SSL协议(Sercure Scoket Layer)

  • 真实性:客户机和服务机在进行握手时交换数字证书,通过验证证书来验证身份的真实性
  • 机密性:加密客户机和服务之间传输的数据,保证了信息的机密性
  • 完整性:通过加密算法和HASH算法保证传输数据的完整性

组成:

​ 层1:握手协议:记录连接,协商密钥
网络安全——传输层安全_第6张图片

​ 层2:记录协议:定于数据的传输格式,SSL记录协议建立在传输层协议(如TCP)之上,为高层协议(如HTTP、FTP等)提供数据封装、压缩、加密等基本功能的支持。

你可能感兴趣的:(网络和系统安全,密码学,安全,web安全,网络)