第三章

網(wǎng)絡(luò)層協(xié)議安全3.1

IP網(wǎng)絡(luò)層協(xié)議概述3.2IP協(xié)議安全3.3

ARP協(xié)議安全3.4ICMP協(xié)議安全3.5IPsec協(xié)議第三章

網(wǎng)絡(luò)層協(xié)議安全I(xiàn)P網(wǎng)絡(luò)層協(xié)議概述3.1PARTONE網(wǎng)絡(luò)層位于OSI/RM模型的第三層，它負(fù)責(zé)將源主機(jī)發(fā)出的分組經(jīng)由各種網(wǎng)絡(luò)路徑送達(dá)目的主機(jī)，進(jìn)而使得不同網(wǎng)絡(luò)間可以相互通信。為了實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)的互連，網(wǎng)絡(luò)層的功能及其實(shí)現(xiàn)機(jī)制由網(wǎng)絡(luò)層協(xié)議來(lái)描述，并且集中體現(xiàn)在網(wǎng)絡(luò)層協(xié)議數(shù)據(jù)單元分組中。IP協(xié)議是TCP/IP協(xié)議中最核心的協(xié)議，為網(wǎng)絡(luò)數(shù)據(jù)傳輸和網(wǎng)絡(luò)互連提供最基本的服務(wù)，故網(wǎng)絡(luò)層也稱IP層。3.1網(wǎng)絡(luò)層協(xié)議概述3.1網(wǎng)絡(luò)層協(xié)議概述通常IP協(xié)議不是單獨(dú)工作，該協(xié)議與地址解析協(xié)議ARP、逆向地址解析協(xié)議RARP、因特網(wǎng)控制報(bào)文協(xié)議ICMP、因特網(wǎng)組管理協(xié)議IGMP這四個(gè)協(xié)議相互作用，共同工作。網(wǎng)絡(luò)層的主要功能：邏輯地址的分配和識(shí)別數(shù)據(jù)包的分組和重新組裝數(shù)據(jù)包的路由選擇數(shù)據(jù)包的傳輸控制錯(cuò)誤檢測(cè)和處理3.1網(wǎng)絡(luò)層協(xié)議概述IP協(xié)議安全3.2PARTTWOIP協(xié)議的工作原理是基于無(wú)連接的“盡力而為”的數(shù)據(jù)包傳輸。IPv4是當(dāng)前廣泛使用的版本，它采用32位的地址長(zhǎng)度，提供約43億個(gè)獨(dú)立的IP地址，該地址數(shù)量已經(jīng)接近耗盡，目前正在逐步向IPv6過(guò)渡。IP協(xié)議的主要功能：1.數(shù)據(jù)報(bào)格式定義2.數(shù)據(jù)報(bào)路由3.分片和重組4.尋址和轉(zhuǎn)發(fā)5.最佳路徑選擇6.錯(cuò)誤處理3.2IP協(xié)議安全3.2.2IP數(shù)據(jù)報(bào)格式IP數(shù)據(jù)報(bào)由首部和數(shù)據(jù)兩部分組成。首部由固定部分和可變部分構(gòu)成。其中，首部的固定部分占20字節(jié)，是IP數(shù)據(jù)報(bào)必須具有的；首部的可變部分是可選字段，其長(zhǎng)度可變。

IP協(xié)議數(shù)據(jù)報(bào)首部3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（1）版本（Version）：占4位，指IP協(xié)議的版本。目前使用的版本號(hào)是4（即IPv4，二進(jìn)制0100）。（2）首部長(zhǎng)度（HeaderLength，HL）：占4位，以4字節(jié)為單位表示首部的全部長(zhǎng)度首部長(zhǎng)度最大值是15個(gè)單位（一個(gè)單位為4字節(jié)），因此IP數(shù)據(jù)報(bào)首部長(zhǎng)度最大值是60字節(jié)。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（3）區(qū)分服務(wù)（DiffService）：占8位，提供所需服務(wù)質(zhì)量的參數(shù)集，包括優(yōu)先級(jí)和服務(wù)類(lèi)型兩個(gè)部分。優(yōu)先級(jí)在前3位中定義，服務(wù)類(lèi)型在接著的后4位中定義，最后1位是預(yù)留位，值為0。在一般的情況下都不使用這個(gè)字段。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（4）總長(zhǎng)度（TotalLength）：占16位，指首部和數(shù)據(jù)部分之和的長(zhǎng)度，單位是字節(jié)。因此數(shù)據(jù)報(bào)的最大長(zhǎng)度為65535字節(jié)。當(dāng)IP數(shù)據(jù)報(bào)交付到以太網(wǎng)中傳輸時(shí)，應(yīng)該要注意IP數(shù)據(jù)報(bào)總長(zhǎng)度必須不超過(guò)最大傳輸單元MTU。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（5）標(biāo)識(shí)（Identifcation）：占16位，IP軟件在存儲(chǔ)器中維持一個(gè)計(jì)數(shù)器，用于為數(shù)據(jù)分片的數(shù)據(jù)單元提供唯一標(biāo)識(shí)。當(dāng)IP數(shù)據(jù)報(bào)由于長(zhǎng)度超過(guò)MTU而需要進(jìn)行分片時(shí)，給標(biāo)識(shí)字段的值就被復(fù)制到所有的數(shù)據(jù)報(bào)片的標(biāo)識(shí)字段中，用于確保分片后的各數(shù)據(jù)報(bào)片的正確重組。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（6）標(biāo)志（Flags）：占3位，表示IP數(shù)據(jù)報(bào)是否允許分片，以及是否是最后的一片。其中，第1位保留設(shè)為0；第2位DF表示是否分片，只有當(dāng)DF=0時(shí)，才允許分片；第3位MF表示后面是否還有分片，MF=0表示最后一個(gè)分片，MF=1表示后面還有分片。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（7）片偏移（FragmentationOfset）：占13位，表示較長(zhǎng)的數(shù)據(jù)報(bào)在分片后，某片在原數(shù)據(jù)報(bào)中的相對(duì)位置。片偏移以8字節(jié)為偏移單位。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（8）生存時(shí)間（TimetoLive，TTL）：占8位，指明數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中的生存時(shí)間。數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中通過(guò)的路由器數(shù)的最大值為255。數(shù)據(jù)報(bào)每經(jīng)過(guò)一個(gè)路由器，TTL值減1。為了防止數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中無(wú)限循環(huán)，當(dāng)TTL值遞減為零時(shí)，數(shù)據(jù)報(bào)被丟棄。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（9）協(xié)議（Protocol）：占8位，指出該數(shù)據(jù)報(bào)攜帶的數(shù)據(jù)使用何種協(xié)議，以便目的主機(jī)的IP層知道將數(shù)據(jù)部分上交給對(duì)應(yīng)的協(xié)議進(jìn)行處理。協(xié)議號(hào)已經(jīng)形成了標(biāo)準(zhǔn)，例如，TCP的協(xié)議號(hào)取值為6，UDP的協(xié)議號(hào)取值為17，ICMP的協(xié)議號(hào)取值為1。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（10）首部檢驗(yàn)和（HeaderChecksum）：占16位。采用16位二進(jìn)制反碼求和算法，檢驗(yàn)IP數(shù)據(jù)報(bào)的首部（不檢驗(yàn)數(shù)據(jù)部分）。若結(jié)果為0，保留數(shù)據(jù)報(bào)；否則丟棄。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（12）目的地址（DestinationAddress）：占32位，指目的主機(jī)的IP地址。這個(gè)字段能夠包括單播、多播或廣播地址。（11）源地址（SourceAddress）：占32位，指源主機(jī)的IP地址。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（14）填充：通過(guò)填充，確保IP首部是32位的整數(shù)倍。

（13）可選字段（Options）：長(zhǎng)度可變，提供排錯(cuò)、測(cè)量及安全等功能。3.2.4

IP欺騙原理IP欺騙是一種網(wǎng)絡(luò)攻擊技術(shù)，攻擊者通過(guò)偽造數(shù)據(jù)包的源IP地址，使其看起來(lái)像是來(lái)自另一個(gè)合法用戶的地址，從而迷惑目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備。攻擊者構(gòu)造并發(fā)送帶有偽造源IP地址的數(shù)據(jù)包，這些數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸并到達(dá)目標(biāo)設(shè)備，目標(biāo)設(shè)備基于信任關(guān)系或正常流程處理這些偽造數(shù)據(jù)包，并可能向偽造的IP地址發(fā)送響應(yīng)。IP欺騙示意圖如圖所示。黑客通過(guò)偽造源IP地址發(fā)送請(qǐng)求，使其看起來(lái)像是來(lái)自目標(biāo)信任主機(jī)的請(qǐng)求。目標(biāo)服務(wù)器接收到這些偽造的請(qǐng)求后，會(huì)將響應(yīng)數(shù)據(jù)發(fā)送到被偽造的IP地址（即目標(biāo)信任主機(jī)），而目標(biāo)信任主機(jī)則收到意外的響應(yīng)數(shù)據(jù)，從而完成欺騙攻擊。

IP欺騙示意圖3.2.4

IP欺騙原理IP源路由欺騙：通常情況下，信息包從起點(diǎn)到終點(diǎn)所走的路由是由位于這兩點(diǎn)間的路由器決定的，數(shù)據(jù)包本身只知道去往何處，而不知道該如何去。IP報(bào)文首部可選項(xiàng)中的源路由選項(xiàng)，可使信息包的發(fā)送者將此數(shù)據(jù)包要經(jīng)過(guò)的路徑寫(xiě)在數(shù)據(jù)包里，使數(shù)據(jù)包循著一個(gè)對(duì)方不可預(yù)料的路徑到達(dá)目的主機(jī)。某些路由器對(duì)源路由包的反應(yīng)是使用其指定的路由，并使用其反向路由來(lái)傳送應(yīng)答數(shù)據(jù),這就導(dǎo)致了源路由IP欺騙的可能性。源路由欺騙示意拓?fù)?.2.4

IP欺騙原理分布式拒絕服務(wù)攻擊：拒絕服務(wù)攻擊（DenialofService,DoS）是一種旨在使目標(biāo)系統(tǒng)（如服務(wù)器、網(wǎng)絡(luò)設(shè)備或服務(wù)）無(wú)法正常提供服務(wù)的攻擊方式。攻擊者通過(guò)向目標(biāo)發(fā)送大量無(wú)效請(qǐng)求、消耗目標(biāo)系統(tǒng)資源（如帶寬、CPU、內(nèi)存等），或利用漏洞觸發(fā)系統(tǒng)故障，導(dǎo)致合法用戶無(wú)法訪問(wèn)或使用目標(biāo)服務(wù)。分布式拒絕服務(wù)攻擊（DistributionDenialofService，DDoS）則利用多個(gè)受控的僵尸網(wǎng)絡(luò)設(shè)備同時(shí)發(fā)起攻擊，增強(qiáng)攻擊效果和隱蔽性，如圖所示，由一個(gè)主控機(jī)操控若干不同的僵尸網(wǎng)絡(luò)設(shè)備，向目標(biāo)發(fā)送攻擊請(qǐng)求。分布式拒絕服務(wù)攻擊示意圖3.2.5

IP源地址欺騙攻擊的保護(hù)措施針對(duì)IP協(xié)議本身缺陷引發(fā)的IP源地址欺騙攻擊，常用的有效防護(hù)手段如下所示：訪問(wèn)控制列表和防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)路由過(guò)濾流量監(jiān)控和日志分析基于速率的限制ARP協(xié)議安全3.3PARTTHREE

3.3ARP協(xié)議介紹由于在TCP/IP網(wǎng)絡(luò)環(huán)境下，每個(gè)聯(lián)網(wǎng)的主機(jī)都會(huì)被分配一個(gè)32位的IP地址，該地址是在網(wǎng)際范圍標(biāo)識(shí)主機(jī)的一種邏輯地址。為了使報(bào)文在物理網(wǎng)絡(luò)上傳輸，還必須知道對(duì)方目的主機(jī)的物理地址（MAC地址）。故存在把IP地址變換成物理地址的地址轉(zhuǎn)換問(wèn)題。ARP協(xié)議就是用于解決該問(wèn)題的。該協(xié)議主要負(fù)責(zé)將IP地址轉(zhuǎn)換為物理地址（MAC地址）。ARP協(xié)議網(wǎng)絡(luò)層功能如圖所示。ARP協(xié)議在網(wǎng)絡(luò)層中的功能示意圖3.3.1ARP協(xié)議的幀格式為了實(shí)現(xiàn)將網(wǎng)絡(luò)層的IP地址解析為數(shù)據(jù)鏈路層對(duì)應(yīng)的硬件地址的功能，ARP協(xié)議包含的各字段如圖所示。ARP請(qǐng)求或應(yīng)答分組格式3.3.1ARP協(xié)議的幀格式為了實(shí)現(xiàn)將網(wǎng)絡(luò)層的IP地址解析為數(shù)據(jù)鏈路層對(duì)應(yīng)的硬件地址的功能，ARP協(xié)議包含的各字段如圖所示。（1）目的地址（源地址）：占6個(gè)字節(jié)。表示以太網(wǎng)的目的地址（源地址）。目的地址為全1的特殊地址是廣播地址，使得電纜上的所有以太網(wǎng)接口都要接收廣播的數(shù)據(jù)幀。（2）幀類(lèi)型：占2個(gè)字節(jié)。以太網(wǎng)幀類(lèi)型表示后面數(shù)據(jù)的類(lèi)型。對(duì)于ARP請(qǐng)求或應(yīng)答來(lái)說(shuō)，該字段的值為0x0806。（3）硬件類(lèi)型：占2個(gè)字節(jié)。該字段用于指定使用的網(wǎng)絡(luò)接口類(lèi)型，例如以太網(wǎng)是1。ARP請(qǐng)求或應(yīng)答分組格式3.3.1ARP協(xié)議的幀格式為了實(shí)現(xiàn)將網(wǎng)絡(luò)層的IP地址解析為數(shù)據(jù)鏈路層對(duì)應(yīng)的硬件地址的功能，ARP協(xié)議包含的各字段如圖所示。（5）協(xié)議地址長(zhǎng)度：占1個(gè)字節(jié)，用于指出協(xié)議地址（IP地址）的字節(jié)數(shù)。例如，對(duì)于IPv4，該字段值為4。（6）操作碼：占2個(gè)字節(jié)。該字段指出四種操作類(lèi)型，分別是ARP請(qǐng)求（值為1）、ARP應(yīng)答（值為2）、RARP請(qǐng)求（值為3）和RARP應(yīng)答（值為4）（4）硬件地址長(zhǎng)度：占1個(gè)字節(jié)。表示硬件地址（MAC地址）的字節(jié)數(shù)，對(duì)于以太網(wǎng)是6。ARP請(qǐng)求或應(yīng)答分組格式3.3.1ARP協(xié)議的幀格式需要說(shuō)明的是，標(biāo)準(zhǔn)的ARP數(shù)據(jù)包總長(zhǎng)度為28字節(jié)（不包括任何以太網(wǎng)幀頭部或尾部的額外字節(jié)）。這個(gè)長(zhǎng)度是根據(jù)以太網(wǎng)的6字節(jié)MAC地址和IPv4的4字節(jié)IP地址計(jì)算得出的。如果使用其他類(lèi)型的網(wǎng)絡(luò)接口或協(xié)議地址，這些長(zhǎng)度可能會(huì)有所不同。3.3.2ARP協(xié)議工作流程ARP協(xié)議的流程圖如圖所示。當(dāng)主機(jī)A要解析的IP地址與主機(jī)A在同一子網(wǎng)內(nèi)時(shí)就先在其ARP高速緩存中查看有無(wú)主機(jī)B的IP地址。如果有，就可查出其對(duì)應(yīng)的硬件地址，再將此硬件地址寫(xiě)入MAC幀，然后通過(guò)局域網(wǎng)將該MAC幀發(fā)往此硬件地址；否則，ARP進(jìn)程在本局域網(wǎng)上廣播發(fā)送一個(gè)ARP請(qǐng)求分組。收到ARP響應(yīng)分組后，將得到的IP地址到硬件地址的映射寫(xiě)入ARP高速緩存。ARP協(xié)議工作流程3.3.3

ARP欺騙原理ARP欺騙是一種網(wǎng)絡(luò)攻擊，攻擊者通過(guò)發(fā)送偽造的ARP消息，將其MAC地址與目標(biāo)IP地址關(guān)聯(lián)，使網(wǎng)絡(luò)中的其他設(shè)備錯(cuò)誤地將目標(biāo)IP地址映射到攻擊者的MAC地址。攻擊者會(huì)偽造ARP回復(fù)消息，這些消息告訴網(wǎng)絡(luò)中的設(shè)備“某IP地址對(duì)應(yīng)的MAC地址是攻擊者的MAC地址”。由于ARP協(xié)議沒(méi)有驗(yàn)證消息真實(shí)性的機(jī)制，這些偽造的消息會(huì)被網(wǎng)絡(luò)設(shè)備接收并更新其ARP緩存，從而將目標(biāo)IP地址錯(cuò)誤地映射到攻擊者的MAC地址。3.3.3

ARP欺騙原理一旦攻擊者成功污染ARP緩存，所有發(fā)送給該IP地址的數(shù)據(jù)包都會(huì)被轉(zhuǎn)發(fā)到攻擊者的設(shè)備上。這樣，攻擊者可以攔截、查看甚至篡改這些數(shù)據(jù)包內(nèi)容，從而實(shí)施數(shù)據(jù)竊取、數(shù)據(jù)篡改或中間人攻擊。此外，攻擊者還可以選擇不轉(zhuǎn)發(fā)數(shù)據(jù)包，導(dǎo)致網(wǎng)絡(luò)通信中斷，進(jìn)而造成拒絕服務(wù)（DoS）攻擊。ARP欺騙攻擊可大致細(xì)分為冒充網(wǎng)關(guān)、欺騙網(wǎng)關(guān)、欺騙主機(jī)和中間人欺騙攻擊。3.3.3

ARP欺騙原理如圖所示，在一個(gè)局域網(wǎng)中，有三臺(tái)主機(jī)：A、B和C。它們的IP地址分別是1.1.1.1、1.1.1.2和1.1.1.3，對(duì)應(yīng)的MAC地址分別是AA-AA-AA-AA-AA-AA、BB-BB-BB-BB-BB-BB和CC-CC-CC-CC-CC-CC。當(dāng)主機(jī)A要與主機(jī)B通信時(shí)，由于不知道B的MAC地址，它會(huì)向整個(gè)網(wǎng)段廣播一個(gè)ARP請(qǐng)求。主機(jī)B接收到這個(gè)請(qǐng)求后，發(fā)現(xiàn)是主機(jī)A在尋找它，于是回復(fù)一個(gè)ARP響應(yīng)包，告知A它的MAC地址是BB-BB-BB-BB-BB-BB。ARP欺騙示意圖3.3.3

ARP欺騙原理主機(jī)C想對(duì)主機(jī)A進(jìn)行ARP欺騙攻擊。它發(fā)送偽造的ARP響應(yīng)包，聲稱“主機(jī)B的MAC地址是CC-CC-CC-CC-CC-CC”，并不斷重復(fù)發(fā)送這些假響應(yīng)包。主機(jī)A最初接收到B的ARP響應(yīng)后，會(huì)將B的MAC地址BB-BB-BB-BB-BB-BB存入ARP緩存表，但由于隨后接收到大量來(lái)自主機(jī)C的假響應(yīng)包，它會(huì)更新ARP緩存表，將B的MAC地址改為CC-CC-CC-CC-CC-CC。最終，主機(jī)A將使用錯(cuò)誤的MAC地址CC-CC-CC-CC-CC-CC與主機(jī)B通信，這樣主機(jī)C就成功欺騙了主機(jī)A。ARP欺騙示意圖3.3.3

ARP欺騙原理冒充網(wǎng)關(guān)：攻擊者通過(guò)發(fā)送偽造的ARP消息，使網(wǎng)絡(luò)設(shè)備將攻擊者的MAC地址錯(cuò)誤地與網(wǎng)關(guān)的IP地址關(guān)聯(lián)。其步驟如下所示：發(fā)送偽造的ARP回復(fù)：攻擊者首先向局域網(wǎng)中的所有設(shè)備發(fā)送偽造的ARP回復(fù)消息，這些消息聲明“網(wǎng)關(guān)的IP地址對(duì)應(yīng)的MAC地址是攻擊者的MAC地址”。ARP緩存污染：局域網(wǎng)中的設(shè)備接收到偽造的ARP回復(fù)后，會(huì)將ARP緩存表中的網(wǎng)關(guān)IP地址與攻擊者的MAC地址關(guān)聯(lián)。中間人攻擊：攻擊者現(xiàn)在充當(dāng)中間人，攔截所有發(fā)送給網(wǎng)關(guān)的數(shù)據(jù)包。攻擊者可以選擇直接查看這些數(shù)據(jù)包內(nèi)容，獲取敏感信息；或者篡改數(shù)據(jù)包內(nèi)容后再轉(zhuǎn)發(fā)給真實(shí)的網(wǎng)關(guān)；或者直接阻斷數(shù)據(jù)包，導(dǎo)致網(wǎng)絡(luò)通信中斷。3.3.3

ARP欺騙原理欺騙網(wǎng)關(guān)：攻擊者利用ARP協(xié)議的漏洞，發(fā)送偽造的ARP回復(fù)消息給網(wǎng)關(guān)。網(wǎng)關(guān)收到這些偽造的ARP消息后，會(huì)錯(cuò)誤地更新其ARP緩存表，將該內(nèi)網(wǎng)主機(jī)的IP地址映射到攻擊者的MAC地址上。其步驟如下所示：發(fā)送偽造的ARP回復(fù)：攻擊者向網(wǎng)關(guān)發(fā)送偽造的ARP回復(fù)消息，聲明某個(gè)內(nèi)網(wǎng)主機(jī)的IP地址對(duì)應(yīng)的MAC地址是攻擊者的MAC地址。ARP緩存污染：網(wǎng)關(guān)接收到攻擊者發(fā)送的偽造ARP回復(fù)后，會(huì)更新其ARP緩存表，將被攻擊主機(jī)的IP地址與攻擊者的MAC地址關(guān)聯(lián)起來(lái)。數(shù)據(jù)包重定向：所有發(fā)送給被攻擊主機(jī)的數(shù)據(jù)包都會(huì)被網(wǎng)關(guān)發(fā)送到攻擊者的設(shè)備，因?yàn)榫W(wǎng)關(guān)錯(cuò)誤地將該內(nèi)網(wǎng)主機(jī)的IP地址與攻擊者的MAC地址關(guān)聯(lián)。這導(dǎo)致被攻擊主機(jī)無(wú)法正常收到來(lái)自外網(wǎng)的數(shù)據(jù)包，從而影響其網(wǎng)絡(luò)通信。3.3.3

ARP欺騙原理欺騙主機(jī)：攻擊者利用ARP協(xié)議的不安全性，向特定主機(jī)發(fā)送偽造的ARP響應(yīng)，聲稱網(wǎng)關(guān)的IP地址對(duì)應(yīng)的MAC地址是攻擊者的MAC地址。受害主機(jī)接收到這些偽造的ARP響應(yīng)后，將錯(cuò)誤地更新其ARP緩存表，導(dǎo)致所有發(fā)送給網(wǎng)關(guān)的數(shù)據(jù)包被發(fā)送到攻擊者的設(shè)備。步驟如下：發(fā)送偽造的ARP響應(yīng)：攻擊者向特定內(nèi)網(wǎng)主機(jī)發(fā)送偽造的ARP響應(yīng)消息，聲稱網(wǎng)關(guān)的IP地址對(duì)應(yīng)的MAC地址是攻擊者的MAC地址。ARP緩存更新：受害主機(jī)接收到攻擊者發(fā)送的偽造ARP響應(yīng)后，會(huì)錯(cuò)誤地更新其ARP緩存表，將網(wǎng)關(guān)的IP地址與攻擊者的MAC地址關(guān)聯(lián)起來(lái)。數(shù)據(jù)包重定向：受害主機(jī)發(fā)送給網(wǎng)關(guān)的所有數(shù)據(jù)包實(shí)際上會(huì)被發(fā)送到攻擊者的設(shè)備，因?yàn)槭芎χ鳈C(jī)錯(cuò)誤地認(rèn)為攻擊者的MAC地址是網(wǎng)關(guān)的MAC地址。這導(dǎo)致受害主機(jī)無(wú)法正常與外部網(wǎng)絡(luò)通信，因?yàn)樗袛?shù)據(jù)包都被發(fā)送到了攻擊者的設(shè)備上。3.3.3

ARP欺騙原理中間人欺騙攻擊：攻擊者首先發(fā)送偽造的ARP響應(yīng)消息，將客戶端的IP地址與攻擊者的MAC地址關(guān)聯(lián)，同時(shí)將服務(wù)器的IP地址與攻擊者的MAC地址關(guān)聯(lián)。其攻擊步驟如下所示：發(fā)送偽造的ARP響應(yīng)：攻擊者向客戶端發(fā)送偽造的ARP響應(yīng)消息，聲稱服務(wù)器的IP地址對(duì)應(yīng)的MAC地址是攻擊者的MAC地址。同時(shí)，攻擊者也向服務(wù)器發(fā)送偽造的ARP響應(yīng)消息，聲稱客戶端的IP地址對(duì)應(yīng)的MAC地址是攻擊者的MAC地址。ARP緩存更新：客戶端和服務(wù)器分別接收到攻擊者發(fā)送的偽造ARP響應(yīng)后，會(huì)更新其ARP緩存表，將對(duì)方的IP地址與攻擊者的MAC地址關(guān)聯(lián)起來(lái)。數(shù)據(jù)中轉(zhuǎn)和篡改：客戶端發(fā)送給服務(wù)器的所有數(shù)據(jù)包都會(huì)被發(fā)送到攻擊者的設(shè)備上，攻擊者可以攔截這些數(shù)據(jù)包并查看其內(nèi)容。攻擊者還可以選擇篡改這些數(shù)據(jù)包的內(nèi)容后再轉(zhuǎn)發(fā)給真正的服務(wù)器，或者完全阻止數(shù)據(jù)包的傳輸，實(shí)現(xiàn)拒絕服務(wù)攻擊。3.3.4ARP欺騙攻擊的檢測(cè)針對(duì)ARP攻擊，常用的檢測(cè)方法包括以下幾種：（1）ARP請(qǐng)求與響應(yīng)一致性檢查：正常情況下，每個(gè)設(shè)備只會(huì)對(duì)自己IP地址發(fā)送的ARP請(qǐng)求做出響應(yīng)。因此，監(jiān)控網(wǎng)絡(luò)中ARP請(qǐng)求和響應(yīng)的一致性可以幫助發(fā)現(xiàn)潛在的ARP欺騙攻擊。監(jiān)控ARP請(qǐng)求：記錄每個(gè)設(shè)備發(fā)出的ARP請(qǐng)求，并分析這些請(qǐng)求的頻率和來(lái)源。異常情況包括某個(gè)設(shè)備頻繁地發(fā)送ARP請(qǐng)求或者從未發(fā)送ARP請(qǐng)求；分析ARP響應(yīng)：對(duì)每個(gè)ARP請(qǐng)求的響應(yīng)進(jìn)行監(jiān)控，確保每個(gè)請(qǐng)求只有一個(gè)合理的響應(yīng)者。如果一個(gè)IP地址收到多個(gè)不同MAC地址的響應(yīng)，可能表明存在ARP欺騙攻擊。3.3.4ARP欺騙攻擊的檢測(cè)針對(duì)ARP攻擊，常用的檢測(cè)方法包括以下幾種：（2）網(wǎng)絡(luò)流量分析：利用網(wǎng)絡(luò)流量分析工具可以幫助檢測(cè)異常的ARP活動(dòng)，特別是在大規(guī)模網(wǎng)絡(luò)中。ARP流量模式分析：分析和比較正常情況下的ARP流量模式，包括ARP請(qǐng)求和響應(yīng)的時(shí)間間隔、數(shù)量分布、源和目標(biāo)地址等。異常的流量模式可能表明存在ARP欺騙攻擊；檢測(cè)大量ARP響應(yīng)：特別關(guān)注是否有來(lái)自同一MAC地址的大量ARP響應(yīng)，或者響應(yīng)來(lái)自未知設(shè)備或不相關(guān)設(shè)備的情況。3.3.4ARP欺騙攻擊的檢測(cè)針對(duì)ARP攻擊，常用的檢測(cè)方法包括以下幾種：（3）ARP緩存表變化監(jiān)控：ARP欺騙攻擊會(huì)導(dǎo)致ARP緩存表中的異常條目，因此監(jiān)控和分析ARP緩存表的變化可以幫助發(fā)現(xiàn)這類(lèi)攻擊。定期掃描和比對(duì)：定期檢查和記錄所有設(shè)備的ARP緩存表，并與預(yù)期的網(wǎng)絡(luò)設(shè)備清單進(jìn)行比對(duì)。任何與預(yù)期清單不符的ARP條目都可能是攻擊的跡象；異常條目檢測(cè)：自動(dòng)化工具可以幫助檢測(cè)到不正常的ARP條目，如同一IP地址對(duì)應(yīng)多個(gè)MAC地址或一個(gè)MAC地址對(duì)應(yīng)多個(gè)IP地址。3.3.4ARP欺騙攻擊的檢測(cè)針對(duì)ARP攻擊，常用的檢測(cè)方法包括以下幾種：（4）使用安全工具：有多種專門(mén)設(shè)計(jì)用于檢測(cè)和防范ARP欺騙攻擊的安全工具，這些工具結(jié)合了上述方法，并提供實(shí)時(shí)監(jiān)控和報(bào)警功能。ARPWatch：監(jiān)控網(wǎng)絡(luò)中ARP條目的變化，并提供警報(bào)和通知，幫助管理員及時(shí)應(yīng)對(duì)異常情況；XArp：跨平臺(tái)的ARP監(jiān)控和防護(hù)工具，能夠檢測(cè)和防范ARP欺騙攻擊；ArpON：基于主機(jī)的ARP防護(hù)工具，能夠?qū)崟r(shí)監(jiān)測(cè)ARP活動(dòng)并采取必要的防御措施。3.3.5ARP欺騙攻擊的防御針對(duì)ARP欺騙攻擊，采用下列措施，可以有效減少ARP欺騙攻擊的風(fēng)險(xiǎn)。靜態(tài)ARP表格。在關(guān)鍵網(wǎng)絡(luò)設(shè)備上手動(dòng)配置靜態(tài)ARP表格，將每個(gè)IP地址與其對(duì)應(yīng)的MAC地址進(jìn)行綁定。這種方法可以有效防止攻擊者通過(guò)發(fā)送偽造的ARP響應(yīng)來(lái)篡改ARP表格。網(wǎng)絡(luò)管理員應(yīng)定期檢查和更新靜態(tài)ARP條目，以確保其與實(shí)際網(wǎng)絡(luò)設(shè)備的MAC地址保持一致。3.3.5ARP欺騙攻擊的防御針對(duì)ARP欺騙攻擊，采用下列措施，可以有效地減少ARP欺騙攻擊的風(fēng)險(xiǎn)。ARP檢測(cè)和過(guò)濾。啟用ARP檢測(cè)：現(xiàn)代網(wǎng)絡(luò)設(shè)備通常提供ARP檢測(cè)功能，如ARP防火墻或ARP檢測(cè)程序。這些功能能夠監(jiān)視網(wǎng)絡(luò)中的ARP活動(dòng)，并及時(shí)檢測(cè)到異常的ARP請(qǐng)求或響應(yīng)。當(dāng)檢測(cè)到異?；顒?dòng)時(shí)，設(shè)備可以發(fā)出警報(bào)或自動(dòng)阻止這些活動(dòng)，從而防止ARP欺騙攻擊的發(fā)生；過(guò)濾不明ARP響應(yīng)：設(shè)備可以配置為僅允許來(lái)自已知網(wǎng)關(guān)或認(rèn)證的設(shè)備的ARP響應(yīng)。這種設(shè)置可以防止未經(jīng)授權(quán)的設(shè)備發(fā)送的ARP響應(yīng)干擾正常的ARP表格。3.3.5ARP欺騙攻擊的防御針對(duì)ARP欺騙攻擊，采用下列措施，可以有效地減少ARP欺騙攻擊的風(fēng)險(xiǎn)。安全ARP協(xié)議：SecureARP是一種增強(qiáng)版的ARP協(xié)議，通過(guò)加密ARP消息和引入身份驗(yàn)證機(jī)制來(lái)保護(hù)ARP通信的安全性。使用SecureARP可以防止攻擊者通過(guò)竊聽(tīng)或偽造ARP消息來(lái)執(zhí)行ARP欺騙攻擊；DAI（DynamicARPInspection，DAI）是一種在交換機(jī)上實(shí)施的技術(shù)，用于驗(yàn)證和過(guò)濾ARP消息。它通過(guò)檢查和驗(yàn)證交換機(jī)上的ARP消息，防止未經(jīng)授權(quán)的ARP活動(dòng)影響網(wǎng)絡(luò)設(shè)備的ARP表格。配置DAI可以有效防范ARP欺騙攻擊，并增強(qiáng)網(wǎng)絡(luò)的安全性。ICMP協(xié)議安全3.4PARTFOUR3.4.1ICMP報(bào)文ICMP報(bào)文由首部和數(shù)據(jù)部分組成，如圖所示。其中，ICMP首部的前4個(gè)字節(jié)是統(tǒng)一的格式，由類(lèi)型、代碼和校驗(yàn)和三個(gè)字段構(gòu)成；接著的4個(gè)字節(jié)的內(nèi)容與ICMP的類(lèi)型有關(guān)。最后面的數(shù)據(jù)字段的長(zhǎng)度取決于ICMP的類(lèi)型。ICMP報(bào)文首部3.4.1ICMP報(bào)文ICMP報(bào)文首部類(lèi)型字段：占1字節(jié)，用于指示ICMP報(bào)文的類(lèi)型3.4.1ICMP報(bào)文ICMP報(bào)文首部類(lèi)型字段：占1字節(jié)，用于指示ICMP報(bào)文的類(lèi)型代碼字段：占1字節(jié)，提供關(guān)于報(bào)文類(lèi)型的進(jìn)一步信息。例如，類(lèi)型字段為3表示目的地不可達(dá)，代碼字段為0表示產(chǎn)生目的地不可達(dá)報(bào)文的原因是網(wǎng)絡(luò)不可達(dá)。3.4.1ICMP報(bào)文ICMP報(bào)文首部代碼字段：占1字節(jié)，提供關(guān)于報(bào)文類(lèi)型的進(jìn)一步信息。例如，類(lèi)型字段為3表示目的地不可達(dá)，代碼字段為0表示產(chǎn)生目的地不可達(dá)報(bào)文的原因是網(wǎng)絡(luò)不可達(dá)。3.4.1ICMP報(bào)文ICMP報(bào)文首部3.4.1ICMP報(bào)文ICMP報(bào)文首部校驗(yàn)和字段：占2字節(jié)，提供整個(gè)ICMP協(xié)議報(bào)文的校驗(yàn)。3.4.1ICMP報(bào)文ICMP報(bào)文首部校驗(yàn)和字段：占2字節(jié)，提供整個(gè)ICMP協(xié)議報(bào)文的校驗(yàn)。3.4.1ICMP報(bào)文ICMP報(bào)文首部報(bào)文類(lèi)型字段：ICMP報(bào)文總體可以分為差錯(cuò)報(bào)告、控制報(bào)文和請(qǐng)求應(yīng)答報(bào)文三大類(lèi)。3.4.1ICMP報(bào)文大類(lèi)類(lèi)型代碼說(shuō)明差錯(cuò)報(bào)告報(bào)文3目的地不可達(dá)(DestinationUnreachable)11超時(shí)(TimeExceeded)12參數(shù)問(wèn)題(ParameterProblem)控制報(bào)文4源抑制(SourceQuench)5重定向(Redirect)請(qǐng)求應(yīng)答報(bào)文8或0回送或回送應(yīng)答(EchoorEchoReply)13或14時(shí)間戳或時(shí)間戳應(yīng)答(TimestamporTimestampReply)17或18地址掩碼請(qǐng)求或地址掩碼應(yīng)答(AddressMaskRequestorAddressMaskReply)10或9路由器請(qǐng)求與路由器通告(ICMPRouterSolicitationorICMPRouterAdvertisement)差錯(cuò)報(bào)告報(bào)文負(fù)責(zé)向源主機(jī)報(bào)告路由器或目的主機(jī)在處理IP數(shù)據(jù)報(bào)時(shí)可能遇到的一些問(wèn)題；控制報(bào)文引發(fā)源主機(jī)進(jìn)行擁塞控制和路徑控制；請(qǐng)求應(yīng)答報(bào)文幫助主機(jī)或管理員從一臺(tái)路由器或主機(jī)得到特定的信息。ICMP報(bào)文類(lèi)型3.4.2ICMP重定向攻擊與防御定義：ICMP重定向攻擊是指攻擊者偽裝成路由器發(fā)送虛假的ICMP重定向報(bào)文，使得受害主機(jī)選擇攻擊者指定的路由路徑，從而進(jìn)行嗅探或假冒攻擊的一種技術(shù)。原理：ICMP重定向攻擊是一種利用ICMP消息來(lái)欺騙網(wǎng)絡(luò)設(shè)備，改變其路由決策的攻擊手法。它利用ICMP重定向消息，向目標(biāo)主機(jī)發(fā)送虛假的路由信息，迫使目標(biāo)主機(jī)改變其路由表中的默認(rèn)網(wǎng)關(guān)或特定主機(jī)的路由，從而使流量被重定向到攻擊者控制的設(shè)備或網(wǎng)絡(luò)節(jié)點(diǎn)上。3.4.2ICMP重定向攻擊與防御ICMP重定向攻擊的過(guò)程：偵查目標(biāo)網(wǎng)絡(luò)：攻擊者首先需要對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行偵查，獲取目標(biāo)主機(jī)、網(wǎng)關(guān)和其他關(guān)鍵設(shè)備的IP地址和路由信息。偽造ICMP重定向消息：攻擊者使用工具或手動(dòng)構(gòu)造偽造的ICMP重定向消息。ICMP重定向消息通常包括以下重要字段：類(lèi)型（Type）：指定消息類(lèi)型為重定向消息，通常為類(lèi)型5；代碼（Code）：具體指定重定向的類(lèi)型，如主機(jī)重定向或網(wǎng)絡(luò)重定向；目標(biāo)IP地址（DestinationIPAddress）：指定被重定向的目標(biāo)IP地址；新的網(wǎng)關(guān)IP地址（GatewayIPAddress）：指定攻擊者控制的設(shè)備或網(wǎng)關(guān)的IP地址，告知目標(biāo)主機(jī)更新路由表中特定IP地址的路由。3.4.2ICMP重定向攻擊與防御ICMP重定向攻擊的過(guò)程：發(fā)送偽造消息：攻擊者將偽造的ICMP重定向消息發(fā)送到目標(biāo)主機(jī)。這些消息通常通過(guò)欺騙、中間人攻擊或直接訪問(wèn)目標(biāo)網(wǎng)絡(luò)發(fā)送。攻擊者可以利用已經(jīng)控制的合法網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送，或通過(guò)偽裝IP地址和MAC地址來(lái)隱藏其真實(shí)身份。目標(biāo)主機(jī)處理ICMP消息：目標(biāo)主機(jī)收到偽造的ICMP重定向消息后，會(huì)根據(jù)消息中的指示更新其本地路由表。例如，如果消息指示某個(gè)IP地址的流量應(yīng)通過(guò)攻擊者指定的新網(wǎng)關(guān)發(fā)送，目標(biāo)主機(jī)將更新其路由表，將流量重定向到攻擊者控制的設(shè)備或網(wǎng)絡(luò)節(jié)點(diǎn)。3.4.2ICMP重定向攻擊與防御ICMP重定向攻擊的過(guò)程：攻擊者利用重定向流量：一旦攻擊成功，目標(biāo)主機(jī)將發(fā)往指定IP地址的流量發(fā)送到攻擊者控制的設(shè)備或網(wǎng)絡(luò)節(jié)點(diǎn)上。攻擊者可以捕獲、監(jiān)視、篡改或阻斷這些流量，從而實(shí)施進(jìn)一步的攻擊，例如中間人攻擊、拒絕服務(wù)攻擊等。3.4.2ICMP重定向攻擊與防御ICMP重定向攻擊防御：禁用或限制ICMP重定向：對(duì)于不需要使用ICMP重定向功能的網(wǎng)絡(luò)環(huán)境，可以在路由器或主機(jī)上禁用ICMP重定向功能；如果必須使用ICMP重定向功能，建議限制其使用范圍。例如，可以通過(guò)ACL（訪問(wèn)控制列表）或防火墻規(guī)則來(lái)限制允許發(fā)送或接收ICMP重定向消息的設(shè)備和IP地址。使用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）：部署NIDS，用于監(jiān)視和分析網(wǎng)絡(luò)流量，包括ICMP消息。通過(guò)在網(wǎng)絡(luò)中部署NIDS，可以實(shí)時(shí)檢測(cè)到異常的ICMP重定向消息，例如來(lái)自未授權(quán)設(shè)備或源IP地址的消息；在NIDS上配置特定的規(guī)則來(lái)檢測(cè)和報(bào)警異常的ICMP重定向消息。規(guī)則可以包括檢測(cè)不正常頻率、來(lái)源和目標(biāo)IP地址等參數(shù)的ICMP重定向消息。3.4.2ICMP重定向攻擊與防御ICMP重定向攻擊防御：過(guò)濾和驗(yàn)證網(wǎng)絡(luò)流量：在網(wǎng)絡(luò)邊界設(shè)備（如防火墻或路由器）上設(shè)置規(guī)則，過(guò)濾掉不必要的ICMP重定向消息。這些規(guī)則可以根據(jù)源IP地址、目標(biāo)IP地址和消息類(lèi)型等條件進(jìn)行配置；接收到ICMP重定向消息后，網(wǎng)絡(luò)設(shè)備應(yīng)該驗(yàn)證消息的合法性，例如檢查發(fā)送方是否是預(yù)期的網(wǎng)關(guān)設(shè)備，并確認(rèn)消息是否符合網(wǎng)絡(luò)策略。加密和身份驗(yàn)證：考慮使用加密通信協(xié)議來(lái)保護(hù)網(wǎng)絡(luò)通信中的ICMP消息。加密可以有效防止攻擊者竊聽(tīng)或篡改ICMP消息，提高通信的安全性；在涉及敏感操作或通信的環(huán)境中，可以實(shí)施身份驗(yàn)證機(jī)制來(lái)驗(yàn)證發(fā)送ICMP重定向消息的設(shè)備身份。這可以防止未授權(quán)的設(shè)備發(fā)送虛假的ICMP消息。3.4.2ICMP重定向攻擊與防御ICMP重定向攻擊防御：更新和維護(hù)網(wǎng)絡(luò)設(shè)備：及時(shí)更新網(wǎng)絡(luò)設(shè)備的固件和軟件版本，以修復(fù)已知的安全漏洞和弱點(diǎn)。更新可以幫助防止攻擊者利用已知漏洞進(jìn)行ICMP重定向攻擊或其他形式的網(wǎng)絡(luò)攻擊；定期檢查和維護(hù)網(wǎng)絡(luò)設(shè)備的安全配置，包括審核和更新設(shè)備的訪問(wèn)控制列表（ACL）、安全策略和配置文件等。這有助于確保設(shè)備在安全和可靠的狀態(tài)下運(yùn)行。3.4.3

ICMP隧道攻擊與防御隧道技術(shù)通過(guò)將一個(gè)網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包裝在另一個(gè)合法的網(wǎng)絡(luò)協(xié)議中傳輸，使得在不支持原始協(xié)議的網(wǎng)絡(luò)環(huán)境中，數(shù)據(jù)可以被正確解釋和傳遞。例如，將不支持的協(xié)議數(shù)據(jù)包封裝在支持的協(xié)議中，讓其在網(wǎng)絡(luò)中正常傳輸。TCP隧道是一種常見(jiàn)的隧道形式，利用TCP協(xié)議的穩(wěn)定性和廣泛支持來(lái)傳輸被封裝的數(shù)據(jù)。如圖所示為隧道示意圖。3.4.3

ICMP隧道攻擊與防御ICMP隧道攻擊利用ICMP協(xié)議的報(bào)文結(jié)構(gòu)特性，將數(shù)據(jù)封裝在ICMP消息中進(jìn)行傳輸。一般情況下，ICMP協(xié)議主要用于網(wǎng)絡(luò)控制和故障排除，例如Ping命令和網(wǎng)絡(luò)不可達(dá)消息。攻擊者利用ICMP隧道技術(shù)可以將惡意數(shù)據(jù)或指令傳輸?shù)侥繕?biāo)主機(jī)，同時(shí)可以繞過(guò)防火墻、入侵檢測(cè)系統(tǒng)（IDS）和其他網(wǎng)絡(luò)安全設(shè)備的檢測(cè)。攻擊者往往會(huì)將數(shù)據(jù)封裝在ICMP協(xié)議的數(shù)據(jù)包內(nèi)，ICMP數(shù)據(jù)包的數(shù)據(jù)部分其實(shí)是沒(méi)有意義的，僅用于測(cè)試，由系統(tǒng)默認(rèn)生成。而利用ICMP協(xié)議作為隧道，就是將這些數(shù)據(jù)部分更改為需要的數(shù)據(jù)，同時(shí)在“校驗(yàn)和”等字段作相應(yīng)的處理。3.4.3

ICMP隧道攻擊與防御ICMP隧道攻擊的防御方法：限制ICMP流量：僅允許必要的ICMP類(lèi)型和代碼，如ICMP回顯請(qǐng)求和回顯應(yīng)答（ping），并阻止其他類(lèi)型的ICMP流量；配置防火墻規(guī)則來(lái)限制ICMP流量：只允許來(lái)自可信來(lái)源的ICMP數(shù)據(jù)包；利用網(wǎng)絡(luò)監(jiān)控工具來(lái)檢測(cè)異常的ICMP流量模式，如不尋常的數(shù)據(jù)包大小或頻率；部署入侵檢測(cè)系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）：使用IDS/IPS來(lái)識(shí)別和阻止可疑的ICMP流量，特別是那些可能表明隧道活動(dòng)的流量；對(duì)于關(guān)鍵網(wǎng)絡(luò)資產(chǎn)，使用白名單機(jī)制，只允許已知安全的IP地址或通信模式。3.4.4

ICMPFlood攻擊與防御ICMPFlood攻擊利用ICMP協(xié)議的特性，特別是Echo請(qǐng)求和響應(yīng)消息（Ping），以及其他ICMP消息類(lèi)型（如DestinationUnreachable、TimeExceeded等），向目標(biāo)系統(tǒng)發(fā)送大量的偽造ICMP消息。這些消息在短時(shí)間內(nèi)不斷地發(fā)送到目標(biāo)主機(jī)或網(wǎng)絡(luò)設(shè)備，導(dǎo)致目標(biāo)系統(tǒng)的網(wǎng)絡(luò)帶寬、CPU資源或內(nèi)存資源耗盡，從而使其無(wú)法正常響應(yīng)合法的網(wǎng)絡(luò)請(qǐng)求。攻擊者通常利用程序或工具自動(dòng)化地生成和發(fā)送大量的ICMP消息，可能使用IP地址偽造技術(shù)來(lái)隱藏攻擊來(lái)源，增加攻擊的難以追溯性。3.4.4

ICMPFlood攻擊與防御有效的防御ICMPFlood攻擊的方法包括以下幾個(gè)方面：限制ICMP消息頻率：在路由器、防火墻等網(wǎng)絡(luò)設(shè)備上配置ICMP消息的速率限制，防止單個(gè)來(lái)源發(fā)送過(guò)多的ICMP消息。使用過(guò)濾器：在網(wǎng)絡(luò)邊界設(shè)備上配置過(guò)濾規(guī)則，限制來(lái)自外部網(wǎng)絡(luò)的ICMP流量，僅允許合法的ICMP消息通過(guò)。實(shí)時(shí)監(jiān)控流量：部署網(wǎng)絡(luò)監(jiān)控工具和入侵檢測(cè)系統(tǒng)（IDS/IPS），實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量，及時(shí)檢測(cè)異常的ICMP活動(dòng)和大規(guī)模的ICMP流量。關(guān)閉不必要的ICMP服務(wù)：對(duì)于不需要使用的ICMP服務(wù)或類(lèi)型，及時(shí)在網(wǎng)絡(luò)設(shè)備上禁用或限制其使用，減少攻擊面。IPSec體系結(jié)構(gòu)3.5PARTFIVEIPSec簡(jiǎn)介由于TCP/IP協(xié)議族在最初設(shè)計(jì)時(shí)，沒(méi)有考慮協(xié)議的安全，導(dǎo)致用戶業(yè)務(wù)數(shù)據(jù)在互聯(lián)網(wǎng)傳輸過(guò)程中，經(jīng)常面臨被偽造、篡改或竊取的風(fēng)險(xiǎn)。為了增強(qiáng)TCP/IP協(xié)議的安全性，1990年代初期，Internet工程任務(wù)組IETF建立了一個(gè)Internet安全協(xié)議工作組（簡(jiǎn)稱IETFIPSec工作組），該工作組于1998年制定了一組基于密碼學(xué)的安全的開(kāi)放網(wǎng)絡(luò)安全協(xié)議體系IPsec（InternetProtocolSecurity，IPsec），旨在為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)。IPSec簡(jiǎn)介IPsec工作在IP層，通過(guò)建立IPsec隧道，對(duì)數(shù)據(jù)進(jìn)行加密和認(rèn)證，從而保障數(shù)據(jù)在互聯(lián)網(wǎng)中的安全傳輸。IPsec最初是為了適應(yīng)IPv6的安全性需求而開(kāi)發(fā)的，但隨后也被擴(kuò)展到支持IPv4。IPSec協(xié)議以密碼學(xué)為基礎(chǔ)的消息交換協(xié)議，用于加密和認(rèn)證IP包，防止IP地址欺騙，為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽(tīng)和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性。3.5.1IPSec體系結(jié)構(gòu)IPSec是一套協(xié)議包，在IPSec協(xié)議族中由3個(gè)主要的協(xié)議：IP認(rèn)證包頭（IPauthenticationheader，AH），為IP包提供信息源的驗(yàn)證和完整性保證；IP封裝安全負(fù)載（IPEncapsulatingSecurityPayload，ESP），提供加密保證；Internet密鑰交換（InternetKeyExchange，IKE），提供雙方交流時(shí)的共享安全信息。IPSec的體系結(jié)構(gòu)如圖所示。IPSec體系結(jié)構(gòu)3.5.1IPSec體系結(jié)構(gòu)AH協(xié)議和ESP協(xié)議：它們是用于保護(hù)傳輸數(shù)據(jù)的安全的兩個(gè)主要協(xié)議。其中，AH協(xié)議為IP包提供信息源驗(yàn)證和完整性保證，ESP協(xié)議提供加密保證。ESP和AH協(xié)議都有相關(guān)的一系列支持文件，規(guī)定了加密和認(rèn)證的算法。AH和ESP都能用于訪問(wèn)控制、數(shù)據(jù)源認(rèn)證、無(wú)連接完整性保護(hù)和抗重放攻擊。IPSec體系結(jié)構(gòu)3.5.1IPSec體系結(jié)構(gòu)解釋域DOI（DomainOfInterpretation，DOI）：通過(guò)一系列命令、算法、屬性、參數(shù)來(lái)連接所有的IPSec組文件。為了使通信雙方能夠進(jìn)行交互，通信雙方應(yīng)該理解AH協(xié)議和ESP協(xié)議中各字段的取值，因此通信雙方必須擁有對(duì)通信消息相同的解釋規(guī)則，即保持相同的解釋域。IPSec體系結(jié)構(gòu)3.5.1IPSec體系結(jié)構(gòu)加密和驗(yàn)證算法：加密算法僅涉及ESP；各種不同的驗(yàn)證算法涉及AH和ESP。密鑰管理：包括密鑰管理的一組方案，其中IKE是默認(rèn)的密鑰自動(dòng)交換協(xié)議，密鑰協(xié)商的結(jié)果通過(guò)DOI轉(zhuǎn)換為IPSec的參數(shù)。策略：定義兩個(gè)實(shí)體之間能否進(jìn)行通信以及如何通信。IPSec體系結(jié)構(gòu)3.5.2IPSec模式IPSec提供了兩種工作模式：傳輸模式和隧道模式。其中，傳輸模式保護(hù)IP的有效負(fù)載，隧道模式保護(hù)整個(gè)IP分組。傳輸模式：在傳輸模式中，保護(hù)的是IP分組的有效負(fù)載或者說(shuō)保護(hù)的是上層協(xié)議（如TCP和UDP）。路由數(shù)據(jù)包的原IP分組的地址部分不變，而將IPSec協(xié)議頭插入到原IP頭部和傳輸層頭部之間，只對(duì)IP分組的有效負(fù)載進(jìn)行加密或認(rèn)證，如圖所示。其中IPSec是新增的保護(hù)頭，可以是AH頭也可以是ESP頭，或者是兩者的組合。當(dāng)使用AH和ESP組合模式時(shí)，應(yīng)先對(duì)IP分組的有效負(fù)載實(shí)施ESP，再實(shí)施AH。一般來(lái)說(shuō)傳輸模式只用于兩臺(tái)主機(jī)之間的安全通信。傳輸模式數(shù)據(jù)包3.5.2IPSec模式傳輸模式具有如下的優(yōu)點(diǎn)：1）即使位于同一子網(wǎng)的其他用戶，也不能非法修改通信雙方的數(shù)據(jù)內(nèi)容；2）通過(guò)給數(shù)據(jù)包增加了較少字節(jié)，允許公網(wǎng)設(shè)備看到數(shù)據(jù)包的源和目的IP地址，允許中間的網(wǎng)絡(luò)設(shè)備執(zhí)行服務(wù)質(zhì)量等特殊處理；3）由于傳輸層頭部被加密，這就限制了對(duì)數(shù)據(jù)包的進(jìn)一步分析。傳輸模式存在如下的缺點(diǎn)：1）由于IP分組的頭部是明文，攻擊者仍然可以進(jìn)行流量分析；2）每臺(tái)實(shí)施傳輸模式的主機(jī)都必須安裝并實(shí)現(xiàn)IPSec模塊，因此端用戶無(wú)法獲得透明的安全服務(wù)。傳輸模式數(shù)據(jù)包3.5.2IPSec模式隧道模式允許一個(gè)網(wǎng)絡(luò)設(shè)備例如路由器或防火墻擔(dān)當(dāng)IPSec網(wǎng)關(guān)，代表在其后面的主機(jī)執(zhí)行加密。源端路由器對(duì)數(shù)據(jù)包進(jìn)行加密并將它們沿著IPSec隧道轉(zhuǎn)發(fā)出去。目的路由器對(duì)數(shù)據(jù)包進(jìn)行解密，取出原來(lái)的IP分組并將其轉(zhuǎn)發(fā)給目標(biāo)主機(jī)。3.5.2IPSec模式隧道模式的優(yōu)點(diǎn)：1）子網(wǎng)內(nèi)部的各主機(jī)借助安全網(wǎng)關(guān)IPSec處理可獲得透明的安全服務(wù)；2）可以在子網(wǎng)內(nèi)部使用私有IP地址，無(wú)須占有公有地址資源；3）可以抵抗流量分析的攻擊。在隧道模式中，攻擊者只能監(jiān)聽(tīng)到隧道的終點(diǎn)，而不能發(fā)現(xiàn)隧道中數(shù)據(jù)包真實(shí)的源和目的地址。隧道模式的缺點(diǎn)：1）增加了安全網(wǎng)關(guān)的處理負(fù)載；2）無(wú)法控制來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊。3.5.3

AH報(bào)文AH協(xié)議用于提供數(shù)據(jù)完整性和數(shù)據(jù)源認(rèn)證。AH不提供保密性，但確保數(shù)據(jù)在傳輸過(guò)程中未被篡改。AH報(bào)文首部包含的字段如圖所示，下面介紹各字段的含義：AH報(bào)頭首部3.5.3

AH報(bào)文AH報(bào)頭首部下一個(gè)包頭(NextHeader，8位)：標(biāo)識(shí)緊跟AH頭后面使用IP協(xié)議號(hào)的包頭；3.5.3

AH報(bào)文AH報(bào)頭首部載荷長(zhǎng)度(PayloadLen，8位)：AH包頭長(zhǎng)度，以4字節(jié)為單位；3.5.3

AH報(bào)文AH報(bào)頭首部保留（Reserved，16位）：為將來(lái)的應(yīng)用保留，（目前為0）；3.5.3

AH報(bào)文AH報(bào)頭首部安全參數(shù)索引(SPI，32位)：用于唯一標(biāo)識(shí)一個(gè)特定的安全關(guān)聯(lián)（SecurityAssociation,SA），以便接收方知道使用哪個(gè)密鑰和算法進(jìn)行驗(yàn)證。3.5.3

AH報(bào)文AH報(bào)頭首部序列號(hào)(SequenceNumberField，32位)：從1開(kāi)始的32位單增序列號(hào)，每發(fā)送一個(gè)AH數(shù)據(jù)包，序列號(hào)增加1。不允許重復(fù)，唯一地標(biāo)識(shí)每一個(gè)發(fā)送的數(shù)據(jù)包，為SA提供反重發(fā)保護(hù)。3.5.3

AH報(bào)文AH報(bào)頭首部認(rèn)證數(shù)據(jù)(AuthenticationData，長(zhǎng)度可變)：包含消息認(rèn)證碼（MessageAuthenticationCode,MAC），用于驗(yàn)證數(shù)據(jù)包的完整性和認(rèn)證。3.5.4

ESP報(bào)文ESP報(bào)文安全參數(shù)索引SPI(SecurityParametersIndex，32位)：用于標(biāo)識(shí)安全關(guān)聯(lián)（SA），幫助接收方確定用于解密和驗(yàn)證ESP報(bào)文的密鑰和算法；3.5.4

ESP報(bào)文ESP報(bào)文序列號(hào)(SequenceNumber，32位)：用于確保數(shù)據(jù)包的順序，防止重放攻擊，并允許接收方檢測(cè)到數(shù)據(jù)包的丟失；3.5.4

ESP報(bào)文ESP報(bào)文填充域(Padding，0-255個(gè)字節(jié))：用來(lái)保證加密數(shù)據(jù)部分滿足塊加密的長(zhǎng)度要求，若數(shù)據(jù)長(zhǎng)度不足，則填充；3.5.4

ESP報(bào)文ESP報(bào)文填充域長(zhǎng)度(PaddingLength，8位)：指示填充字段的長(zhǎng)度，即填充字節(jié)的數(shù)量。接收端根據(jù)該字段長(zhǎng)度去除數(shù)據(jù)中的填充位；3.5.4

ESP報(bào)文ESP報(bào)文認(rèn)證數(shù)據(jù)(AuthenticationData，變長(zhǎng))：