网安笔记11 Securities of Upper-layer Protocol

Securities of Upper layer Protocol

电子邮件

SMTP 简单邮件传输协议

缺陷：root用户权限工作，违背了“最小信任”原则

邮局协议 POP3

离线：允许用户从服务器把有限存到本地主机，并删除服务器上的邮件

简单，perl脚本可以实现，不安全

多用途网间邮件扩充协议 MIME

对MIME存在分段攻击
邮件存在危险文件，蠕虫病毒

Internet消息访问协议 IMAP4

支持认证

1. 邮件内的多个附件可以下载部分的
2. 支持认证 （挑战响应
3. 多个认证选项提高IMAP遭受版本反转攻击 version-rollback attack

internet电话

电话呼叫，电话会议，

H.323

ITU互联网电话协议

会话启动协议SIP session Initiation Protocol

消息传输

TFTP trivial file transfer protocol

UDP传输协议，没有认真
限制1/2目录文件传输，多为user/local/boot

路由器可用TFTP装在可执行镜像 or 配置文件

FTP

S到C之间，用FTP打开数据通道

安全性

1. ATTACKER将Java程序嵌入Web页面中，有人再站点上运行这个程序则打开通往Web网站的FTP连接，发送PORT指令，采用23端口telnet到目标主机上，防火线顺从打开端口

• FTP会写路文件
• 访问依赖口令，可悲探测
• ftpd后台开始时以root用户权限运行。但不能在登陆后掩盖特权用户身份
• 匿名FTP服务，会产生盗版数据

NFS

网络文件系统 NFS

TCP/IP，提供文件共享服务

2049端口号，端口号无特权，改端口多分配给普通进程。 —— 配置UDP会话包过滤器组织进入2049端口的访问

安全性

NFS对客户机有风险。访问服务器的特权，伪造返回数据包，创建程序，等待客户机取消打开 —— 影响客户机运行代码

NFS浏览文件的时候，要在C端上种植恶意程序非常容易

服务器消息快协议 SMB

开放文件共享协议

SMB和CIFS可以给没有身份验证的用户提供信息

远程登陆

Telnet

简单终端到主机的访问，处理终端设置规定：自然模式，字符回送等。

调用login程序认证、引起会话。user提供用户名称，口令

• 本地Telnet可能会泄露秘密信息 —— 用户名，口令，记录会话
• ISP主机发现有口令嗅探器sniffer存在，捕获大部分业务流，记录telnet ftp rlogin前12字符
• telnet对花花加密，可以使用 stel，SSLtelnet，stelnet，ssh

SSH

• 身份认证
• 数据加密，所有数据进行加密处理
• 传输数据压缩处理
• 代替Telnet作为安全的全程登陆方式
  • 为FTP POP提供安全隧道

SSH含两个代替程序ssh和scp，有相同的用户接口，使用了加密协议

简单网络管理

SNTP

Internet路由器管理问题 —— 控制router，网桥，其他网络单元。
与协议无关

网络时间

NTP network time protocol

调节系统时钟和外部时间源同步。NTP本身成为各种攻击目标。试图改变目标正确时间概念 —— 始终设为先前的某个值，重发认证字符串实行重发攻击

信息服务

用户查询

finger协议，查询用户细节。

• 信息可被黑客调查，发现潜在攻击目标。
• 可被黑客实行口令猜测攻击
• 最近和哪个实体相连
• 不能再防火墙上运行

数据库查询

whois
域名所有者身份和其他信息

LDAP

目录访问协议

• 相对小的信息
• 基于属性
• 读写比：合适读
• 搜寻能力：自身包含的信息
• 标准访问：目录提供标准访问信息

WWW

URL开头的名称处理internet服务，HTTP服务/FTP服务

host连接server，发送给服务器一个查询信息or信息指针，接受服务器想用。可以是一个文件，也可以是指针

• MIME编码用于返回信息，文档包含格式标签处理文档程序（危险
• server盲目接受URL
• 返回指针端口为电子邮件端口，会话是短脚本。脚本只想垃圾邮件——安全问题
• server与FTP共享目录树会有危险
• 风险愿意查询 —— 脚本文件

NNTP

会话类似SMTP，是为mail

缺点

• 消息耗费资源
• 程序安全漏洞
• if NNTP存在漏洞，消息会危险
• 防火墙结构设计假设网关遭受攻击

有点

1. 知道邻居是谁，拒绝不友好的连接请求

隧道策略，但仍有风险

多播

多播是广播和单薄挂归一化。
多播数据包发送目标地址的一个子集（0台到全部主机

多播路由器之间封装完整的、正常目的地址的数据包，使用 距离矢量多博路由协议

音频视频服务

封装隐藏最终目的，防火墙保护站点出现问题。对大于3456任何一个端口发送单个UDP包就可攻击任何服务