—TCP/IP协议栈互联网设计最初的使用目的是军事和科学研究,其基本假设是节点诚信
做爱; 由于计算机网络的广泛使用,这一假设在今天不再成立,并可能引起各种攻击。
网络安全协议的概述有问题。 原始协议几乎没有安全考虑。 存在窃听、篡改、伪造、冒充等各种攻击手段。
解决方案:现有的TCP/IP协议仍在使用,完全交换是不现实的,也是不可能的。 只能通过添加新的安全协议的方法解决。 今后开发的互联网协议应该把安全问题作为重要因素来考虑。
安全机制在TCP/IP协议栈中的相对位置:网络层、传输层和APP应用层。
互联网安全协议(1)将安全机制放置在网络层(如IPsec协议)的好处是对最终用户和APP应用程序透明。
internet安全协议概述(2)可以提供基于进程对进程的安全服务,如SSL协议(将安全机制放在运输层)。
互联网安全协议概述(3)在APP应用层部署安全机制。 好处是,与APP应用程序相关的安全服务可以合并到特定的APP应用程序中,并根据需要定制安全服务。
网络接口层的安全性
物理层安全物理层提供对物理链路的访问,以及对通过物理介质发送的数据进行编码和解码。 物理层没有直接提供安全服务的通用物理层协议。 认证、授权、认证等由高层通信协议管理。
物理层安全威胁主要是指由于网络环境、网络设备和线路的物理特性导致的不可用导致的网络系统不可用。 例如设备被盗、意外故障、设备老化等。 所以,对于物理
网络攻击集中在物理网络部件上,常见的攻击手段主要有道岔窃听、电磁泄漏窃听等。
数据链路层安全风险数据链路层提供了到物理层的接口,以确保数据在两个节点之间的数据链路上安全传输。 通过分析几种网络攻击现象,可以发现数据链路层存在认证、MAC地址篡改、网络嗅探器等安全威胁。 ARP-地址解析协议
ARP协议特性漏洞的根本原因是ARP协议未连接,ARP协议基于受信任LAN中的所有节点。
无状态协议不检查自己是否发送了请求数据包。 即使没有ARP的请求,ARP也可以回复。 最致命的是当操作系统收到此请求时更新ARP缓存!
ARP欺骗ARP欺骗问题的原因:
ARP协议设计之初没有考虑安全问题,任何计算机都可以发送虚假的ARP数据包。
ARP协议的无状态性。 响应包和请求包之间没有任何关系。 即使主机收到ARP响应,也无法知道是否实际发送了相应的ARP请求。
ARP缓存需要定时更新,给攻击者可用的机会
ARP网关欺骗是ARP攻击中,网关欺骗是一种比较常见的攻击方法。 通过在伪装的ARP请求中请求消息或Reply回复消息,实现修改PC网关的MAC-IP对照表的目的。 PC无法访问网关,原本应该发送到网关的分组被发送到变更后的对方的MAC地址。
ARP主机欺骗ARP主机欺骗的最终目标是修改PC或交换机设备上的MAC表项。 将原始正确的表项修改为错误的MAC地址。 最终,PC将无法访问网络。
MAC地址伪装预防采用绑定方式,静态ARP对照表不受门诊影响
通过设置固定的ARP对照表,达到预防效果