（应用数学专业论文）ip层安全体系结构研究与实践.pdf

四川大学博士学位论文 l p 层安全体系结构研究与实践 应用数学专业 研究生谭兴烈指导教师沈昌祥 t c p i p 协议在基于i p 的信息社会中得到了广泛的应用，但t c p i p 协 议由于其开放性，存在着不少安全问题。本文的目的在于提出i p 层安全体 系结构模型，并用此模型去指导i p 层安全的实践。 作者首先深入分析了针对t c p i p 协议的典型攻击，总结归纳了i p 层 的脆弱性及安全威胁，这是后面几章研究的基础。 作者回顾了i p 层安全体系结构研究的历史，简要介绍了i p s o 、s w i p e 及i p v 6 ，之后作者重点对i p 层安全的事实标准i p s e c 进行了分析和评价， 指出了它的优点及存在的问题和不足，作者提出了在对e s p 隧道模式增加 压缩并适当改变认证的内容之后，可以去掉其它三种模式而只保留此种模 式的观点。 在i p 层安全体系结构模型研究中，针对i p s e c 在与组播、n a t 协同工 作等方面存在的问题以及i p s e c 不能很好解决q o s 等方面的问题，作者结 合国家8 6 3 高技术项目的研究提出了解决方案：在n a t 协同工作方面作者 提出了采用u d p 封装、配合使用d h c p 配置i p s e c 隧道并用e s pn u l l 封装代替a h 的方案：在与组播协同工作方面作者提出了基于e s p v 3 和 a h v 2 的i p s e c 组播安全处理以及基于完全二叉树的组播密钥管理的方案： 在解决q o s 问题方面作者提出了采用分类器1 和分类器2 的两级分类以及 具有加密调度器和转发调度器的两级调度的技术方案；同时作者提出了 i p s e c 与p k i 技术紧密结合，能使i p s e c 安全通信更加灵活和方便实用。 在前述研究的基础上，作者对i p 层的安全风险进行了分析，结合o s i 安全体系结构模型提出了t c p f l p 安全体系结构，给出了作者对在i p 层可 以实施的安全服务及安全机制的建议，提出了i p 层安全体系结构模型，利 用该模型作者回答了哪些安全处理应该在i p 层实施这一具有重要现实意 义的问题。 作者结合“十五”国家密码发展基金项目的研究，给出了i p 层安全体 四川大学博士学位论文 系结构的实践，设计了高速i p v p n 设备，提出了多系统流式并行处理结 构m s s p p s 以解决系统总线瓶颈的方案，理论分析和实践证明是正确的； 在i p - v p n 设备安全规则设置方面，作者提出了无重叠规则表的概念，进 而提出了基于稀疏矩阵的访问控制表搜索技术，并对访问控制表的搜索算 法进行了讨论。 关键词：脆弱性安全威胁组播i p s e c 虚拟专用网入侵检测i n t e m e t 密钥交换协议网络地址转换病毒防火墙服务质量多系统流式并行处 理结构 四川大学博士学位论文 a b s t r a c t t c p i p p r o t o c o l i s w i d e l y u s e di ni p b a s e di n f o r m a t i o ns o c i e t y , b u t t c p i ph a sal o to fs e c u r i t yp r o b l e m sb e c a u s eo fi t so p e n n e s s ，t h ea u t h o r f o c u s e so np r e s e n t i n gt h es e c u r i t ya r c h i t e c t u r em o d e lo f i p l a y e ra n dp r a c t i c i n g u n d e rt h i sm o d e li nt h i sp a p e r f i r s t ，t h ea u t h o rh a sa n a l y z e dt y p i c a l a t t a c k so nt c p i p , a n dt h e nt h e a u t h o rh a ss u m m a r i z e dt h ev u l n e r a b i l i t i e sa n dt h r e a t so f i pl a y e r , w h i c ha r et h e b a s e so f t h ef o l l o w i n gc h a p t e r s a f t e rr e v i e w i n gt h e h i s t o r yo ft h es e c u r i t ya r c h i t e c t u r e o fi pl a y e rb y i n t r o d u c i n gi p s o ，s w i p ea n di p v 6 ，t h e a u t h o rh a si n t r o d u c e da n da n a l y z e d i p s e c ( t h ed ef a c t os t a n d a r do f i ps e c u r i t ya tp r e s e n t ) t h o r o u g h l y ，a n dt h e nt h e a u t h o rh a sl i s t e dt h ep r o b l e m sa n df l a w se x i s t e di ni p s e c t h ea u t h o rh a s p o i n t e d o u tt h a ta f t e ra d d i n gc o m p r e s s i o np r o c e s sa n dc h a n g i n gt h ec o n t e n t so f a u t h e n t i c a t i o n ，w e c a l lu s ee s p t u n n e lm o d eo n l yw i t h o u tt h eo t h e rt h r e e m o d e s t ot h ei s s u e st h a ti p s e cc a n tw o r kw i t hn a ta n dm u l t i c a s tv e r ys m o o t h l y a n di p s e cc o u l d n ta l s os o l v e q o sp r o b l e m ，c o m b i n e d w i t ht h en a t i o n a l h i g h t e c hp r o j e c to f8 6 3 ，t h ea u t h o r h a sp u tf o r w a r dt h ef o l l o w i n gv i e w p o i n t si n t h er e s e a r c ho ft h e s e c u r i t y a r c h i t e c t u r em o d e lo fi pl a y e r ：a st oi p s e c s w o r k i n g w i t h n a t , t h ea u t h o r h a s p r o p o s e d as c h e m eo f u s i n g u d p e n c a p s u l a t i o na l o n gw i t hc o n f i g u r i n gi p s e ct u n n e lb yd h c p a n ds u b s t i t u t i n g a hw i t he s pn u l l e n c a p s u l a t i o n ；a st oi p s e c sw o r k i n gw i t ht h em u l t i c a s t ， t h ea u t h o rh a sp r o p o s e dt h a tc o m b i n e dw i t hk e ym a n a g e m e n t u s i n gc o m p l e t e b i n a r yt r e e ，i p s e cs e c u r i t yp r o c e s su s i n ge s p y 3a n da h v 2c a nc o o p e r a t ew i t h m u l t i c a s ts m o o t h l yi nm u l t i c a s te n v i r o n m e n t s ；a st os o l v i n gq o s ，t h ea u t h o rh a s p r o p o s e d as c h e m e o f u s i n gt w o l e v e lc l a s s i f y i n ga n dt w o l e v e ls c h e d u l i n gw i t h e n c r y p t i o ns c h e d u l e ra n df o r w a r d i n gs c h e d u l e r t h ea u t h o rh a sp o i n t e do u tt h a t c o m b i n i n g i p s e cw i t hp k ic a nm a k ei p s e cm o r ef l e x i b l ea n dm o r e p r a c t i c a l b a s e do nt h ep r e v i o u sr e s e a r c h e s ，t h ea u t h o rh a sm a d ea na n a l y s i so f s e c u r i t yr i s k so f i pl a y e r r e f e r r i n gt oo s i s e c u r i t ya r c h i t e c t u r e ，t h ea u t h o rh a s g i v e nt h es e c u r i t ya r c h i t e c t u r eo ft c p i pa n dh a sp u tf o r w a r dt h ep r o p o s a lo f 四川大学博士学位论文 w h a ts e c u r i t ys e r v i c e sa n dw h a ts e c u r i t ym e c h a n i s m ss h o u l db ee m p l o y e di ni p l a y e r a f t e rm a t t h ea u t h o r h a sp u tf o r w a r dt h es e c u r i t ya r c h i t e c t u r em o d e lo f i p l a y e r u s i n g t h i sm o d e l ，t h ea u t h o rh a s g i v e na na n s w e rt o w h a ts e c u f i t y p r o c e s s i n g ss h o u l db ea p p l i e di nl i pl a y e r , w h i c hi so fg r e a ti m p o r t a n c et ot h e s e c u r i t yp r a c t i c eo f i pl a y e r c o m b i n e dw i t ht h er e s e a r c hp r o j e c t su n d e rt h es p o n s o r s h i po ff u n d sf o r t h en a t i o n a l 1 0 t h - f i v e - y e a r - p l a nc r y p t o g r a p h yd e v e l o p m e n t ，t h e a u t h o rh a s a p p l i e do u ri ps e c u r i t ya r c h i t e c t u r em o d e l t od e s i g nh i g h - s p e e di p - - v p nd e v i c e ( 1 0 0 0 m ) t h e a u t h o rh a s c r e a t i v e l yp u t f o r w a r d m u l t i s y s t e m s t r e a m l i n e p a r a l l e lp r o c e s s i n gs t r u c t u r e ( m s s p p s ) i nt h ed e s i g ns c h e m eo f t h i s d e v i c e ， w h i c hi sp r o v e nt ob ee f f e c t i v ea n dc o r r e c tb o t hi nt h e o r ya n di np r a c t i c e i nt h i s p a p e r , t h ea u t h o rh a sg i v e nac o n c e p to fn o - o v e r l a p - r u l e t a b l ea n dt h e nt h e a u t h o rh a sp u tf o r w a r ds p a r s e b a s e da c ls e a r c h i n gm e t h o di n c o n f i g u r i n g s e c u r i t y r u l e si ni p v p nd e v i c e ，a n df i n a l l yt h ea u t h o rh a sd i s c u s s e dt h e s e a r c h i n ga l g o r i t h m so f a c l k e y w o r d s ：v u l n e r a b i l i t y , t h r e a t ，m u l t i e a s t ，i ps e c u r i t y ，v i r t u a l p r i v a t en e t w o r k ，i n t r u s i o n d e t e c t i o n ，i n t e r n e tk e ye x c h a n g e ，n e t w o r ka d d r e s s t r a n s l a t i o n ，v i r u s ，f i r e w a l l ，q u a l i t y o fs e r v i c e ，m u l t i s y s t e ms t r e a m l i n e p a r a l l e lp r o c e s ss t r u c t u r e 四川大学博士学位论文 第1 章导论 1 1t c p i p 协议的安全问题 随着i n t e r n e t 的发展，t c p i p 协议得到了广泛的应用，几乎所有的网 络均采用了t c p i p 协议。由于t c p f l p 协议在最初设计时是基于一种可信 环境的，没有考虑安全性问题，因此它自身存在许多固有的安全缺陷，例 如对i p 协议，其口地址可以软件设置，造成了地址假冒和地址欺骗两类 安全隐患；i p 协议支持源路由方式，即源发方可以指定信息包传送到目的 节点的中间路由，这就提供了源路由攻击的条件。另外在t c p i p 协议的实 现中也存在着一些实现上的安全缺陷和漏洞，如序列号产生容易被猜测、 参数不检查而导致的缓冲区溢出等，再加上基于t c p f l p 协议的各种应用层 协议如t e l n e t 、f t p 、s m t p 等也缺乏认证和保密措施，这就为欺骗、否认、 拒绝、篡改、窃取等行为开了方便之门，使得基于这些缺陷和漏洞出现了 许多形式多样的攻击，如2 0 0 0 年2 月的c o o l i o 攻击，致使美国无数站点瘫 痪；又如2 0 0 2 年3 月底，黑客冒用e b a y 帐户事件( 这是一个d d o s ，许 多网络上个人用户毫无知觉地成为了攻击行为的“帮凶”) ，这些攻击的出 现引起了人们对应用广泛的t c p f l p 协议安全性的普遍注意和高度关注。 i p 协议位于i n t e m e t 的网络层，提供无连接的数据报服务。i p 包头中 包含地址、标志、偏移等字段( 有时也可能包括其它选项) ，i p 协议使用 头校验( i p 头数据的异或取反) 来防止信息出错，但i p 头所有的字段都是 明文传送：没有对关键的字段加以认证，因此在接收方收到婵数据包后， 只能默认该数据包的实际源发地址就是1 p 头中的源地址。 t c p f l p 协议集中，在i p 层之上是t c p 、u d p ，再上面就是各种应用 程序，因此i p 层处于t c p i p 模型的最低层( 不考虑网络接口) ，它提供了 数据在源和目的主机之间通过子网的路由功能，它同时也能提供网络与 t c p 协议或u d p 协议之间的数据多工传输，t c p 层利用i p 层提供的服务， 在t c p 自身提供的流量控制和重传机制下能保证用户数据可靠传到目的 地；u d p 也利用i p 层的服务来实现其面向数据报的数据传送，但它不保 证数据的可靠传送。与i p 协议一样，t c p 与u d p 协议报文也是明文传送， 而且也没有认证关键字段。 我们从t c p i p 协议的发展过程可以看出，它在设计时主要考虑的是互 连互通，在安全性方面考虑甚少，导致它有许多安全漏洞。尽管存在许多 四川大学博士学位论文 问题，但作者分析后认为i p 层最主要的缺陷只有两个，即： 缺乏有效的安全认证和保密机制； 在i p 层的网络控制和路由协议没有安全认证机制，缺乏对路由信 息的认证与保护，特别是基于广播方式的路由带来的安全威胁很 大。 依据o s i 系统模型，计算机网络可划分为通信子网( 1 3 层) 和资源子 网( 4 7 层) ，目前的技术发展趋势是i po v e re v e r y t h i n g 和e v e r y t h i n go v e r i p ，i p 层是连接通信子网与资源子网的核心环节。另外由于在i p 层提供安 全服务具有很多优势，如可以降低密钥协商的开销( 多种传输协议和应用 协议可以共享由i p 层提供的密钥管理架构) ；对上层的应用程序基本没有 影响；为传输协议提供“无缝”安全保护，因此人们对口层的安全十分关 注，特别是近年来出现了虚拟专用网v p n l l 】( v p n ：v i r t u a lp r i v a t en e t w o r k ) 的概念，人们关注的v p n 很多，从p p t p l 2 t p 1 1 】 95 1 、s o c k s 25 1 、m p l s 1 1 0 】 ( m u l t i p l ep r o t o c o ll a b e ls w i t c h ) v p n 到i p s e c 1 2 - 2 4 】v p n ，基于i p 的 v p n 又一次成为了研究的焦点。 为了解决i p 层安全，国际上提出了i p s e c 协议，i p s e c 把几种安全技 术结合在一起形成了一个较为完整的体系，受到了众多厂商的关注和支持。 i p s e c 协议能同时适应i p v 4 及i p v 6 i 它并不指定采用某种专用方式进行验 证和加密，而是兼容了许多系统和标准：它是目前唯一的一种能为任何形 式i n t e r a c t 通信提供安全保障的技术。事实上前面提到的l 2 t p 等协议也可 以与i p s e c 协议配合使用，参见作者的论文“l 2 t p 虚拟专用网”( 文献 9 5 ) 。 1 2 论文研究的问题 论文重点关注i p 层安全，目的是要提出一个高效实用的基于密码技术 的i p 层安全体系结构模型，回答在i p 层应该部署何种安全服务，采用何 种安全机制的问题。目前在信息安全业界有一种潮流就是不少人认为所有 安全服务都能在i p 层上做，都该在邛层上做，认为i p 层安全了则网络信 息系统就安全了，因此作者对i p 层安全模型的研究具有重要的理论意义和 现实意义。 作者围绕i p 层安全体系结构以及i p 层安全实践，撰写了系列的论 2 四川大学博士学位论文 文，如：t c p i p 协议安全与i p 层加密技术( 信息安全与通信保密，文献 9 8 1 ) ； i s s e 在安全系统设计中的应用( 计算机科学，文献 9 3 1 ) ；构建一个安全的 操作系统平台( 计算机应用，文献 9 4 1 ) ；i p s e c 与n a t 协同工作技术研究 ( 计算机工程与应用，文献 9 0 ) ；i p s e c 与组播协同工作系统设计( 计算 机工程与应用，文献 9 1 ) ：p k i 技术在i p s e c 系列协议中的应用( 计算机 科学。文献【8 3 】) ；高速访问控制表搜索算法研究( 计算机应用研究。文献 7 0 】) ；基于稀疏矩阵的i p 层访问控制表算法研究( 电子科大学报，文献 9 2 ) ：l i n u x 操作系统中v l a n 的实现技术( 计算机工程与应用，文献 9 7 ) ； l 2 t p 虚拟专用网( 电子科大学报，文献 9 5 ) ；i p s e c 安全设备中基于两 级分类和调度的q o s 体系结构( 电子科大学报，文献1 9 6 1 ) 。在本论文中的 许多章节采纳了作者上述论文中的一些研究成果。 图1 1 论文研究内容及论文组织示意固 论文研究的问题及论文的组织参照图1 1 。从图1 1 中可以看出，为了 3 四川大学博士学位论文 研究i p 层安全问题，作者了分析i p 层的脆弱性和安全威胁；分析了已有 的安全解决方案，找出了其中的优势和不足；对其中不足的或与实际应用 有矛盾的一些问题进行了深入研究，提出了本文的解决方案；在前述工作 的基础上进行了i p 层的安全风险分析，提出了降低风险的控制措施，进而 形成了i p 层体系结构模型，并用它来指导我们在i p 层的安全实践高 速i p v p n 设备的设计，在该设备的研制中综合应用了作者在i p 层安全体 系结构研究中的许多成果，并重点解决了由于安全带来的性能瓶颈问题。 1 2 1i p 层脆弱性及安全威胁分析 t c p p 协议是目前应用十分广泛的协议，本文分析了i p 地址问题， 用实例说明了利用t c p i p 存在的问题可以实施有效的攻击；在深入分析的 基础上，对针对t c p i p 协议的攻击进行分类：并对i p 层存在的脆弱性和 安全威胁进行了归纳总结，这是i p 层安全解决方案及i p 层安全体系结构 研究的基础。 1 2 2i p 层安全体系结构研究现状分析 在本文中，作者结合对i p 层安全研究的历史，重点对国际上广泛使用 的i p 层安全协议i p s e c 协议进行了分析。作者指出i p s e c 是一个十分复杂 的协议，也是一个应用广泛的协议，目前号称支持i p s e c 的各种v p n 设备 比比皆是。作者指出了i p s e c 协议存在的一些问题，并给出了改进建议。 作者指出i p s e c 协议目前是解决1 p 层安全的最好的协议，但由于它很复杂， 不易于分析，因此实现基于它的可操作的安全系统是比较困难的。本文中 作者对i p s e c 协议( 含密钥管理协议) 进行了分析，指出了其中不明确、 自相矛盾、低效和存在缺陷的地方，作者还建议对e s p 隧道模式增加压缩 及改变认证的内容之后，可以只保留此种模式；在文中作者还指出了i p s e c 在实际工程中存在的一些问题，如它不能适应组播应用的需要、不能与n a t 很好的配合、需要解决q o s 问题、需要与p k i 进行紧密结合等等，这些问 题也是本文研究的重要内容之一。 就i p s e c 协议进行深入分析对于我们研究并完善i p 层安全体系结构， 对于指导i p 层安全设备的开发、解决实际安全需求具有十分重要的理论价 值和实践意义。 4 四川大学博士学位论文 1 2 3i p 层安全体系结构研究中的几个关键问题 在1 p 层安全体系结构研究现状一章中，作者指出目前i p s e c 不能与 n a t 很好的配合、不能适应组播应用的需要以及存在q o s 问题和与p k i 结合等问题，作者结合国家8 6 3 宽带v p n 项目( 课题名称：宽带虚拟专用 网v p n 技术；课题代号：8 6 3 1 0 4 0 3 0 1 ) 的研究，给出了相应的解决方案。 在电子政务等系统建设中大量使用保留i p 地址以及各种实时多媒体业务 不断开展的情况下，这些问题的研究具有重要的工程意义，同时这些问题 的解决也对研究i p 层安全体系结构，对于研究d 层安全解决方案更适用 于实际应用需求具有十分重要的意义。 1 2 4i p 层安全体系结构模型设计 基于对i p 协议的脆弱性和安全威胁的分析、基于对i p 层安全体系结 构已有研究成果特别是i p s e c 协议进行的分析和评价以及作者针对 i p s e c 提出的改进建议、基于对i p 层安全体系结构研究中的几个关键问题 的解决方案，并结合了对i p 层安全风险进行的分析，作者给出了在i p 层 应该部署的安全服务及应该采用的安全机制，进而提出了i p 层安全体系结 构模型。该模型重点回答了在i p 层应该部署何种安全服务，利用该模型作 者回答了在i p 层适宜于实施i p 包过滤防火墙、v p n 处理，而不适合于实 施i d s 及防病毒处理。该模型的提出对于指导i p 层信息安全设备的开发具 有十分重要的理论和工程意义。 1 2 5i p 层安全体系结构的实践 作者将上述对i p 层安全体系结构的研究成果应用到电子政务、电子商 务的工程实践中，结合“十五”国家密码发展基金项目的研究，开发了具 有1 0 0 0 m 处理能力的高速i p v p n 设备，该设备的研制是i p 层安全体系结 构模型的具体工程实践，除实现了i p s e ca h 及i p s e ce s p 处理以及支持 n a t 、支持组播、支持与p k i 的结合外，作者在该系统中重点解决性能问 题，创造性地提出了采用多系统流式并行处理结构m s s p p s ( m s s p p s ： m u l t i s y s t e ms t r e a m l i n ep a r a l l e lp r o c e s ss t r u c t u r e ) 解决性能瓶颈的方案，提 出了实现算法并行处理的方案，从理论上分析了该系统的性能。本文还研 究了i p v p n 设各规则设置的问题。实践表明，本文的理论分析与实际是 四川大学博士学位论文 符合的，1 0 0 0 m 高速i p v p n 设备的研制在国内高速密码设备研制方面是 一个重大突破，填补了国内高速i p 密码设备的空白，是i p 层安全体系结 构在高速宽带环境下的具体实践，高效地解决了由于安全带来的瓶颈问题， 解决了信息安全重大工程中的实际问题，具有极高的工程价值及现实意义。 1 3 论文的组织 在论文的第一章，作者简单分析了t c p i p 协议的安全问题，引出了本 文研究的主要问题，并在第二章到第六章中进行了研究。 在第二章中作者对t c p i p 协议特别是i p 协议进行了深入分析，分析 了针对t c p i p 协议的攻击，给出了口协议层存在的脆弱性和安全威胁。 在第三章中，首先简要回顾了i p 层安全研究的历史，之后重点对i p s e c 协议进行了分析。本文首先简要介绍了i p s e c 协议，对该协议存在的一些 问题进行了深入分析，作者指出了其中不明确、自相矛盾、低效和存在缺 陷的地方：同时作者建议对e s p 隧道模式增加压缩及改变认证的内容之后， 可以去掉其余三种模式而只保留此种模式：作者还指出了i p s e c 在工程实 践中存在的与组播、n a t 不能很好协同工作的问题以及i p s e c 也不能解决 q o s 的问题。 在第四章中作者对在第三章中指出的i p s e c 在与n a t 、组播协同工作 等方面存在的问题以及i p s e c 也不能很好解决q o s 的问题、i p s e c 与p k i 紧密结合等i p 层安全体系结构模型研究中的几个问题逐一进行了分析讨 论，给出了解决方案。在n a t 协同工作方面作者提出了采用u d p 封装、 配合使用d h c p 配置i p s e c 隧道及用e s pn u l l 封装代替a h 的方案；在 组播协同工作方面作者提出了基于e s p v 3 和a h v 2 的i p s e e 组播安全处理 以及基于完全二叉树的组播密钥管理方案来解决i p s e c 与组播的协同工作 问题；在解决q o s 问题方面作者提出了采用采用分类器1 和分类器2 的两 级分类以及具有加密调度器和转发调度器的两级调度的技术方案，作者还 提出了i p s e c 与p k i 结合的方法。 在第二、三、四章研究的基础上，作者在第五章中重点对i p 层安全风 险进行了分析，提出了在i p 层应该实施的安全服务及应采用的安全机制， 给出了i p 层协议安全体系结构模型，利用该模型作者回答了在口层适合 部署何种安全服务的问题。 6 四川大学博士学位论文 第六章是i p 层安全体系结构的实践，作者重点讨论了高速i p v p n 设 备( 1 0 0 0 m ) 的工程设计，在本文中设计了高速密码设备的解决方案，提 出了多系统流式并行处理结构m s s p p s ，理论分析和实践证明，采用该结 构可以解决系统的处理瓶颈。在本章作者还研究了i p v p n 设备规则设置 的问题。 在本文的结论部分，对全文的主要内容进行了总结，并对未来的工作 进行了展望。 四川大学博士学位论文 第2 章i p 层脆弱性及安全威胁分析 在i n t e r n e t 网络上出现了各种各样的攻击，基本上每个攻击均分为三 步：第一步是信息收集，它利用s n m p 、t r a c e r o u t e 、w h o i s 、d n s 、f i n g e r 、 p i n g 、p o r t s c a n 、p a c k e ts n i f f e r 等协议和程序；第二步是对系统的安全脆弱 性探测与分析，主要利用s a t a n p 4 j ( s a t a n ：s e c u r i t ya n a l y s i s t o o lf o r a u d i t i n gn e t w o r k ) 、i i s t ”j ( i i s ：i n t e m e ts e c u r i t ys c a n n e r ) 以及自编程序 等等；第三步是具体实施攻击，获得了对攻击的目标系统的访问权。 很显然，攻击要得逞或要防止系统被攻击，我们必须深入分析系统的 脆弱性。本章作者重点研究i p 层的脆弱性以及安全威胁。本文首先分析了 引起t c p i p 协议不安全的一个根本问题，即i p 地址问题；之后结合实例 作者分析了针对t c p i p 协议的各种攻击，并对这些攻击进行了分类；归纳 总结出了i p 层的脆弱性和安全威胁，对i p 层脆弱性及安全威胁的分析对 于我们研究i p 层安全体系结构具有十分重要的基础作用，这也是各种i p 层安全协议提出的基础。 2 1 i p 地址问题 在前面我们谈到，尽管t c p i p 协议存在许多安全问题，但i p 层协议 的最大问题还是在于缺乏对i p 地址的保护，缺乏对i p 包中源i p 地址真实 性的认证机制与保密机制【7 6 11 7 9 1 ，它是引起整个t c p i p 协议不安全的根本 所在。 从前面的分析我们知道，t c p i p 协议的安全性问题许多都与冲地址 问题有关，即许多安全机制和应用服务的实现都过分依赖于基于i p 源地址 的认证。t c p i p 协议是用i p 地址来作为网络节点的唯一标识，许多t c p i p 服务，包括b e r k e l e y 的r 命令、n f s 及xw i n d o w 等都是基于i p 地址 来对用户进行认证和授权的，目前t c p f l p 网络的许多安全机制主要是基于 i p 地址的包过滤和认证技术，它们的正确有效性依赖于i p 包的源p 地址 的真实性。要得到上述的安全性是有困难得，因为i p 地址存在如下的诸多 问题：由于i p 地址是i n t e r n i c 分发的，就很容易找出一个包的发送者，且 i p 地址也隐含告诉了其所在的子网掩码，就可使攻击者能勾画出目标网络 的草图；i p 地址是很容易伪造和更改的，诤协议不能保证一个i p 包中的 源i p 地址就是此包的真正发送者的口地址，网上任一主机都可以产生一 r 四川大学博士学位论文 个带有任意源i p 地址的i p 包，以此来假冒另个主机。 2 2 针对t c p ，i p 协议的攻击 2 2 1t c p i p 协议的序列号问题及i p 地址欺骗 由于t c p u d p 是基于i p 协议之上的，t c p 和u d p 数据包是封装在 i p 包中传输的，它们也同样面临i p 层所遇到的安全威胁：有的攻击是针对 t c p u d p 协议设计和实现中的缺陷来实施的；另外还有针对t c p 连接建 立时的“三次握手”机制的攻击及针对t c p 连接初始序列号的攻击，未加 密的t c p 连接能被欺骗、被劫取、被操纵。 在图2 1 中，示例了客户端( c ) 与服务器( s ) 问通过三次握手的方 式建立了t c p 连接的过程，这种连接过程适合于所有t c p 连接，如w w w 、 f t p 、t e l n e t 、e m a i l 等。一个t c p 连接由一个客户向一服务器发起一 个s y n 请求开始( s t e p l ) ：正常情况下，服务器将向客户发回一个s y n a c k 确认( s t e p 2 ) ；然后客户将再向服务器发回对此的确认a c k 以完成“三次 握手”( s t e p 3 ) ，之后数据传输就可以开始了。问题就出现在s t e p 2 与s t e p 3 之间，a p f j 务器已向客户发出了对s y n 的确认s y n a c k 但还未收到客户 的a c k 时，如果客户的i p 地址是假的，是不可达的，那么t c p 就永远不 能完成这次“三次握手”，则此t c p 连接就不能完成，即所谓的“半开” 连接，攻击者就能利用这一点实施拒绝服务攻击，如t c ps y n f l o o d i n g 攻 击。 在图2 1 中我们还看到通过序列号和确认机制，t c p 实现了个可靠 的连接，一个合法的t c p 连接都有一个双方共享的唯一的序列号来作为标 识和认证。通常图2 1 中的序列号是由一个随机数发生器产生的随机数， 但如果入侵者能够预测出服务器应答消息中的连接初始序列号，那么他就 能伪造一个t c p 连接。t c p 分段中也包含了序列号，序列号可被接收t c p 软件用来检查丢失、重复或失序段。但是，如果一个入侵者能猜出下一个 分段的序列号，那么他就能伪造它并把它塞入个t c p 连接中。在现实生 活中就出现了这样一些问题，比如t c p i p 协议在u n i x 的一些实现中，序 列号不是真正随机的，常常是一个可预测的序列，能被猜出或简单的计算 出的，如b s d u n i x 系统的初始序列号产生规则为：每秒加1 2 8 0 0 0 ，每个 新连接加6 4 0 0 0 。这就使得对入侵者来说，使用可预测序列号并结合已掌 四川大学博士学位论文 握的目标i p 地址的知识，就可能对一目标实施i ps p o o f i n g 攻击，t c p 序 列号攻击和路由攻击结合起来时危害更大。对于u d p ，由于u d p 是无连 接的，更易受i p 源路由和拒绝服务攻击。 下面我们举例说明i p 欺骗( i ps p o o f i n g ) 攻击，它主要使用了两种攻 击机制：i p 源地址欺骗( i ps o u r c ea d d r e s ss p o o f i n g ) 和t c p 序列号猜测 ( t c p s e q u e n c en u m b e rg u e s s i n g ) 。该攻击由几部分组成，实际上是一系列 攻击的集合运用，i ps p o o f i n g 只是其中的一步。此攻击主要有两个难点： 首先，攻击者需要知道并伪造一系统内部可信主机的i p 地址；其次，攻击 者是“瞎子”，他看不到目标主机发回的任何响应信息，然而还要能猜出响 应中的连接初始序列号并确认之。 发送s y n 请求包 接收a c k 包 发回最后的a c k 确认 置为连接状态 s t e p 2 ： s y n 竺一 i 孬磊。q 接收s l f n 请求包 发回s y n a c k 确认 接收a c k 确认 置为连接状态 图2 1t c p 连接建立过程的“三次握手”及序列号的产生 这种攻击的成功依赖于以下三个因素： 目标主机所在的网络是经由路由器连接到i n t e r a c t 上的，而此路由 器是允许来自外部i n t e m e t 却带有内部网络i p 地址的包进入，这 是个安全漏洞。 1 0 四川大学博士学位论文 目标主机所采用的产生t c p 序列号的方式是一种可预测的方式， 即序列号并不是真正随机的，而是一种可预测或简单计算出的序 列数字。如在b s du n i x 系统中u n i x 主机只是简单地按每秒增加 1 2 8 0 0 0 和每个新连接增加6 4 0 0 0 的规则产生下一个序列号，这是 t c p f l p 协议实现中的一个安全缺陷。 目标主机是一可信系统的一部分，它们相互之间有信任关系，可 以特权访问，如u n i x 机上普遍使用的“r ”( r s b ，r l o g i n 等) 命令，这 些也都是安全弱点所在。 我们将它的攻击过程描述如下： 我们约定：x ：( t h et a r g e th o s t ) ，要攻击的目标； t ：( t h et r u s t e dh o s t ) ，攻击者要冒充的对于x 来说是可信 的主机； a ：f t h e a t t a c k i n gh o s t ) ，攻击者。 s t e p l ：网络刺探( n e t w o r kp r o b e ) 。利用f i n g e r 、s h o w m o u n t 、r p c i n f o 进行网络刺探，寻找与目标主机x 有信任关系的可信主机t 以便冒充之。 s t e p 2 ：t c ps y n f l o o d i n g 。a 向t 的一个t c p 端口发送大量来自不可 达主机的t c ps y n 请求，以便迅猛填满t 的连接队列b a c k l o gq u e u e 。由 于这些s y n 消息的源i p 地址是伪造的不可达主机的，故t 将永远不会收 到最后的a c k 消息，则t 将一直处于s y n r c v d 状态，在这段时间内， t 对在该t c p 端口上任何新到来的连接消息都将被丢弃，其中也包括了当 i ps p o o f i n g 开始后来自目标主机x 的a c k 消息，这样就保证了t 永远不 能看到x 的a c k 消息，从而防止了t 否认他发送过此连接请求而向x 发 送r s t 来断开这次连接，因为若断开了连接就会导致攻击失败。 s t e p 3 ：t c p 序列号猜测( t c ps e q u e n c en u m b e rg u e s s i n g ) 。攻击者a 向目标主机x 发送一系列有效的t c ps y n 请求消息，这次用的是真正有 效的源i p 地址。因为a 想要收到x 发回的响应，以便根据这些响应中所 包含的初始连接序列号分析计算出目标主机x 的序列号产生规则( 如每秒 加1 2 8 0 0 0 ，每个新连接加6 4 0 0 0 ) ，因此攻击者现在就可以猜出了下一连接 的初始序列号( 即上面最后一次的序列号+ 6 4 0 0 0 ) 。 s t e p 4 ：i ps p o o f i n g 。现在攻击者a 就可假冒成t 向x 发送t c ps y n 消息。由于使用的是t 的i p 地址，故x 就向t 发回了一个包含一初始序 1 1 四川大学博士学位论文 列号的确认s y n a c k ，由于此时t 正处于被淹没的无能力状态，故它将 丢弃此确认消息。虽然a 看不到x 的确认消息，不知道此初始序列号的 值，但a 可以根据前面的预测猜出x 包中的初始序列号，则a 就可以据 此来冒充t 向x 发回对此消息的确认a c k 以完成“三次握手”。若猜测正 确，那么a 与x 之间的这条t c p 连接就建立起来了。然而它却是一个看 似来自可信主机t 而实际上是来自攻击者a 的假冒连接。 s t e p 5 ：可信关系的利用。利用可信主机的特权为以后攻击留下后门。 由于x 信任t ，因此攻击者a 就拥有了t 的权限，通常是r o o t 权。因此a 通常是简单地向x 发一条“e c h o + + r h o s t