1、常見tcp/ip體系協(xié)議安全隱患和應(yīng)對方法(arp,dhcp,dns)一、arp安全由于arp協(xié)議在設(shè)計中存在的主動發(fā)送arp報文的漏使得主機(jī) 可以發(fā)送虛假的arp請求或響應(yīng)報文,報文中的源ip地址和源mac 地址均可以進(jìn)行偽造。在局域網(wǎng)中，即可以偽造成某一臺主機(jī)(如服 務(wù)器)的ip地址和mac地址的組合，也可以偽造成網(wǎng)關(guān)的ip地址 和mac地址的自合等。這種組合可以根據(jù)攻擊者的意圖進(jìn)行搭配， 而現(xiàn)有的局域網(wǎng)卻沒有相應(yīng)的機(jī)制和協(xié)議來防止這種為造型為。1、針對主機(jī)的arp欺騙：arp協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)的 所有主機(jī)，這樣就容易實(shí)現(xiàn)局域網(wǎng)內(nèi)的arp欺騙。如果現(xiàn)在主機(jī)d 要對主機(jī)a進(jìn)行arp欺

2、騙，冒充自己是主機(jī)c。具體實(shí)施中，當(dāng)主 機(jī)a要與主機(jī)c進(jìn)行通信時，主機(jī)d主動告訴主機(jī)a自己的ip地 址和 mac 地址的組合是 +44-44-44-44-44-44,9,這樣當(dāng) 主機(jī)a要發(fā)送給主機(jī)c數(shù)據(jù)時，會將主機(jī)d的mac地址44-44-44-44-44-44添加到數(shù)據(jù)幀的目的mac地址中，從而將本來要發(fā)給主機(jī)c的數(shù)據(jù)發(fā)給了主機(jī)d,實(shí)現(xiàn)了 arp欺騙。在整個arp欺騙過程中，主機(jī)d稱為"中間人” (man in the middle),對這一中間 人的存在主機(jī)a根本沒有意識到。通過以上的arp欺騙，使主機(jī)a 與主機(jī)c之間斷開了聯(lián)系。防范措施：具體操作步驟如下：

3、(1) 進(jìn)入“命令提示符”窗口，在確保網(wǎng)絡(luò)連接正常的情況下， 使用ping命令ping網(wǎng)關(guān)的ip地址,如“ping 172.1621"。（2）在保證ping網(wǎng)關(guān)ip地址正常的情況下，輸入“arp-屮命令, 可以獲得網(wǎng)關(guān)ip地址對應(yīng)的mac地址。這時該計算機(jī)上網(wǎng)關(guān)對應(yīng) 的arp記錄類型（type）是動態(tài)（dynamic）的。（3）利用fp -s網(wǎng)關(guān)ip地址 網(wǎng)關(guān)mac地址”將本機(jī)中arp 緩存表中網(wǎng)關(guān)的記錄類型設(shè)置為靜態(tài)（static）o（4）如果再次輸入"arp 命令，就會發(fā)現(xiàn)arp緩存表中網(wǎng)關(guān) 的記錄已被設(shè)置為靜態(tài)類型?？梢跃帉懸粋€批處理文件（女narp.bat）,然后將

4、該批處理文件添加 到windows操作系統(tǒng)的“啟動”欄中，這樣每次開機(jī)后系統(tǒng)便會進(jìn) 行自動綁定。2、針對交換機(jī)的arp欺騙：在進(jìn)行arp欺騙時，arp欺騙者 利用工具產(chǎn)生欺騙mac,并快速填滿cam表。交換機(jī)的cam表被 填滿后，交換機(jī)便以廣播方式處理通過交換機(jī)的數(shù)據(jù)幀，這時arp 欺騙者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。cam表被填滿后，流 量便以洪泛（flood）方式發(fā)送到所端口，其中交換機(jī)上連端口（trunk 端口）上的流量也會發(fā)送給所有端口和鄰接交換機(jī)。這時的交換機(jī)其 實(shí)已成為一臺集線器。與集線器不同，市于交換機(jī)上有cpu和內(nèi)存, 大量的arp欺騙流量會給交換機(jī)產(chǎn)生流量過載，其結(jié)果是下

5、連主機(jī) 的網(wǎng)絡(luò)速度變慢，并造成數(shù)據(jù)包丟失，甚至產(chǎn)生網(wǎng)絡(luò)癱瘓。防范措施：目前，主流的交換機(jī)（如cisco> h3c、3c0m等）都提供了端口 安全功能(port security feature)。通過使用端口安全功能，可以進(jìn)行 如下的控制：(1) 端口上最大可以通過的mac地址數(shù)量(2) 端口上只能使用指定的mac地址對于不符合以上規(guī)定的mac地址，進(jìn)行相應(yīng)的違背規(guī)則的處理。 一般有三種方式(針對交換機(jī)類型和型號的不同，具體方式可能會有 所不同)：(1) shutdowno r卩關(guān)閉端口。雖然這種方式是最有效的一種保護(hù) 方式，但會給管理員帶來許多不便，因?yàn)楸魂P(guān)閉的端口一般需要通過 手工方

6、式進(jìn)行重啟。(2) protecto直接丟棄非法流量，但不報警。(3) restrict丟棄非法流量，但產(chǎn)生報警。二、dhcp安全在通過dhcp提供客戶端ip地址等信息分配的網(wǎng)絡(luò)中存在著一個 非常大的安全隱患：當(dāng)一臺運(yùn)行有dhcp客戶端程序的計算機(jī)連接 到網(wǎng)絡(luò)中時，即使是一個沒有權(quán)限使用網(wǎng)絡(luò)的非法用戶也能很容易地 從dhcp服務(wù)器獲得一個ip地址及網(wǎng)關(guān)、dns等信息，成為網(wǎng)絡(luò)的 合法使用者。由于dhcp客戶端在獲得dhcp服務(wù)器的ip地址等信息時，系 統(tǒng)沒有提供對合法dhcp服務(wù)器的認(rèn)證，所以dhcp客戶端從首先 得至lj dhcp u向應(yīng)(dhcpoffer)的dhcp服務(wù)器處獲得ip地址等

7、 信息。防范措施：1、使用dhcp snooping信任端口dhcp snooping能夠過濾來自網(wǎng)絡(luò)中非法dhcp服務(wù)器或其他設(shè) 備的非信任dhcp響應(yīng)報文。在交換機(jī)上，當(dāng)某一端口設(shè)置為非信 任端口時，可以限制客戶端特定的ip地址、mac地址或vlan id 等報文通過。一旦將交換機(jī)的某一端口設(shè)置為指向正確dhcp服務(wù) 器的接入端口，則交換機(jī)會自動丟失從其他端口上接收到的dhcp 響應(yīng)報文2、在dhcp服務(wù)器上進(jìn)行ip與mac地址的綁定在通過dhcp服務(wù)器進(jìn)行客戶端ip地址等參數(shù)分配的網(wǎng)絡(luò)中，對 于一些重要部門的用戶，可以通過在dhcp服務(wù)器上綁定ip與mac 地址，實(shí)現(xiàn)對指定計算機(jī)ip地址

8、的安全分配。三、dns安全1、緩存中毒dns緩存中毒利用了 dns緩存機(jī)制，在dns服務(wù)器的緩存中存 入大量錯誤的數(shù)據(jù)記錄主動供用戶查詢。由于緩存中大量錯誤的記錄 是攻擊者偽造的，而偽造者可能會根據(jù)不同的意圖偽造不同的記錄， 例如將查詢指向某一個特定的服務(wù)器，使所有通過該dns查詢的用 戶都訪問某一個網(wǎng)站的主頁；或?qū)⑺械泥]件指向某一臺郵件服務(wù) 器，攔截利用該dns進(jìn)行解析的郵件，等等。由于dns服務(wù)器之間會進(jìn)行記錄的同步復(fù)制，所以在ttl內(nèi)， 緩存中毒的dns服務(wù)器有可能將錯誤的記錄發(fā)送給其他的dns服務(wù) 器，導(dǎo)致更多的dns服務(wù)器中毒。正如dns的發(fā)明者paul mockapetris 所

9、說：中毒的緩存就像是“使人們走錯方向的假冒路牌”。2、拒絕服務(wù)攻擊dns服務(wù)器在互聯(lián)網(wǎng)中的關(guān)鍵作用使它很容易成為攻擊者進(jìn)行攻 擊的目標(biāo)，加上dns服務(wù)器對大量的攻擊沒有相應(yīng)的防御能力，所 以攻擊過程很容易實(shí)現(xiàn)，且造成的后果非常嚴(yán)重?，F(xiàn)在使用的dns 采用了樹型結(jié)構(gòu)，一旦dns服務(wù)器不能提供服務(wù)，其所轄的子域都 將無法解析客戶端的域名查詢請求。3. 域名劫持域名劫持通常是指通過采用非法手段獲得某一個域名管理員的賬 戶和密碼，或者域名管理郵箱，然后將該域名的ip地址指向其他的 主機(jī)（該主機(jī)的ip地址有可能不存在）。域名被劫持后，不僅有關(guān)該 域名的記錄會被改變，甚至該域名的所有權(quán)可能會落到其他人的手

10、 里。防范措施：dns的安全擴(kuò)展1、dnssec的基本原理域名系統(tǒng)安全擴(kuò)展（dnssec）是在原有的域名系統(tǒng)（dns）上 通過公鑰技術(shù)，對dns中的信息進(jìn)行數(shù)字簽名，從而提供dns的安 全認(rèn)證和信息完整性檢驗(yàn)。具體原理為：發(fā)送方：首先使用hash函數(shù)對要發(fā)送的dns信息進(jìn)行計算，得 到固定長度的“信息摘要”；然后對“信息摘要”用私鑰進(jìn)行加密， 此過程實(shí)現(xiàn)了對“信息摘要”的數(shù)字簽名；最后將要發(fā)送的dns信 息、該dns信息的“信息摘要”以及該“信息摘要”的數(shù)字簽名， 一起發(fā)送出來。接收方：首先采用公鑰系統(tǒng)中的對應(yīng)公鑰對接收到的“信息摘要” 的數(shù)字簽名進(jìn)行解密，得到解密后的“信息摘要”；接著用與發(fā)

11、送方相 同的hash函數(shù)對接收到的dns信息進(jìn)行運(yùn)算，得到運(yùn)算后的“信息 摘要”；最后，對解密后的“信息摘要”和運(yùn)算后的“信息摘要”進(jìn) 行比較，如果兩者的值相同，就可以確認(rèn)接收到的dns信息是完整 的，即是由正確的dns服務(wù)器得到的響應(yīng)。2、dnssec的工作機(jī)制dnssec對dns區(qū)域中的幾率進(jìn)行簽名和驗(yàn)證建立在對該區(qū)域 信任的基礎(chǔ)上。為了實(shí)現(xiàn)對區(qū)域密鑰的信任，需要由父域?qū)ψ佑蜻M(jìn)行 驗(yàn)證。dns系統(tǒng)為一樹形結(jié)構(gòu)，dns客戶端通過遞歸方式進(jìn)行域名 的查詢，在一個完整的dns域名查詢中，第一個要查詢的域名服務(wù) 器為根域服務(wù)器。在dnssec系統(tǒng)中，dns客戶端的域名解析器首 先保證跟域是可信任的

12、，然后信任由跟域簽名的子域，并以此類推。3、dnssec的應(yīng)用現(xiàn)狀dnssec作為對目前dns的安全擴(kuò)展，可有效地防范dns存在 的各種攻擊，保證客戶端收到的dns記錄的真實(shí)性和完整性。此外, dnssec與原有的dns具有向下的兼容性，在實(shí)現(xiàn)上具有可行性。 但是，由于internet的特殊性，就像從ipv4到ipv6的遷移一樣，從 dns到dnssec的轉(zhuǎn)換不可能在短期內(nèi)完成，需要一個漸進(jìn)的過程。 可以先有針對性地建立一些安全區(qū)域，如cn、.net等，然后再向其他 區(qū)域擴(kuò)展。當(dāng)整個internet部署了 dnssec后，所有的信任將集中到 根域下。dns系統(tǒng)的安全設(shè)置1選擇安全性較高的dns服務(wù)器軟件internet上大量的dns服務(wù)器軟件使用的是基于unix/linux的 bind軟件，目前最新版本為bind 9.xo最新版本的bind軟件支持 許多安全特性，如支持dnssec,解決了早期版本中存在的一些