【導(dǎo)讀】活中不可或缺的一部分。Inter安全問題也越來越受人們關(guān)注，TCP/IP作為一個事實上。廣泛采用的互聯(lián)網(wǎng)協(xié)議。然而,這樣重要的一個協(xié)議族在其制訂之初，沒有考慮安全因素，因此他本身無安全可言。網(wǎng)絡(luò)安全問題越來越受到國家和社會的關(guān)注，網(wǎng)絡(luò)安全已經(jīng)成為。計算機通信領(lǐng)域的重要研究方向之一。協(xié)議的脆弱性問題進行了比較深入的討論。在前面分析的基礎(chǔ)上畫出TCP/IP安全圖。

　　

【正文】 息、網(wǎng)絡(luò)監(jiān)控 數(shù)據(jù)等的交換。這些類型的交換不需要流控、應(yīng)答、重排序或任何 TCP 提供的功能。 網(wǎng)絡(luò)層協(xié)議 1).安全協(xié)議 （ 1） AH 認證頭協(xié)議 （ 2） ESP 安全封裝有效載荷協(xié)議 2).路由協(xié)議 石家莊經(jīng)濟學(xué)院本科生畢業(yè)論文 18 （ 1） EGP 外部網(wǎng)關(guān)協(xié)議 （ 2） NHRP 下一條解析協(xié)議 （ 3） GGP 網(wǎng)關(guān)到網(wǎng)關(guān)協(xié)議 （ 4） RSVP 資源預(yù)留協(xié)議 （ 5） RIP2 路由信息第二版 路由信息協(xié)議，通常稱為 RIP(Routing Information Protocol)，是使用最久的協(xié)議之一。 RIP 是一類基于距離 向量路由算法的協(xié)議，這種算法在 ARPANET出現(xiàn)之前即存在。在 1957～ 1962 年之間人們對這種算法進行了理論上的研究。在整個 60 年代，這些算法被不同的公司廣泛實現(xiàn)并標(biāo)以不同的名字。最終造成的結(jié)果是這些產(chǎn)品之間緊密相關(guān)，但同時由于被各公司進行功能強化而使它們不能提供完全的互操作能力。 （ 6） OSPF 開放最短路徑優(yōu)先協(xié)議 OSPF 是專門設(shè)計用于自治系統(tǒng)之內(nèi)的 IP 路由協(xié)議。如果用戶的網(wǎng)絡(luò)必須適用多種可路由協(xié)議，就要考慮使用別的路由協(xié)議而不是 OSPF。 OSPF 基于 IP 數(shù)據(jù)報頭中的目的 IP 地址來計算路由，并不提供對非 IP 目的地的路由計算。 而且，各種 OSPF 信息直接封裝在 IP 中：無需其他協(xié)議 (TCP、 UDP 等 )來傳輸。 OSPF 也被設(shè)計用于快速地檢測自治系統(tǒng)內(nèi)的拓撲變化，并且在發(fā)現(xiàn)變化之后收斂到新的拓撲。路由決定以自治系統(tǒng)內(nèi)互聯(lián)的路由器之間的鏈路狀態(tài)為基礎(chǔ)。這些路由器各自都維護一個相同的數(shù)據(jù)庫，其中記錄了網(wǎng)絡(luò)的鏈路狀態(tài)。這個數(shù)據(jù)庫中包含的是路由器狀態(tài)，其中有可用的接口、可以到達的相鄰路由器及鏈路、狀態(tài)信息。 （ 7） IEIRGP 增強內(nèi)部網(wǎng)關(guān)選擇協(xié)議 （ 8） VRRP 虛擬路由器冗余協(xié)議 （ 9） PIMDM 密集模式獨立組播協(xié)議 （ 10） PIMSM 系數(shù)模式獨立組播協(xié)議 （ 11） IGRP 內(nèi)部網(wǎng)關(guān)路由協(xié)議 （ 12） RIPng FOR IPv6IPv6 路由信息協(xié)議 （ 13） PGM 實際通用組播協(xié)議 （ 14） DVMRP 距離矢量組播路由協(xié)議 （ 15） MOSPF 組播開放量短路徑優(yōu)先協(xié)議 3).其他協(xié)議 （ 1） IP/IPv6 互聯(lián)網(wǎng)協(xié)議 /互聯(lián)網(wǎng)協(xié)議第 6 版 IP 一直在演進，這要歸功于 IETF 的不懈努力。許多新的特性和功能在后 續(xù) RFC 文檔中得到擴充，然而所有這些都建造在 RFC791 基礎(chǔ)之上。從結(jié)構(gòu)角度講，現(xiàn)在的 IP 版本是 4。新的版本 6 幾近完成。但只有 IPv4 是當(dāng)前的標(biāo)準(zhǔn)且被廣泛接受。 在 IPv4 (當(dāng)前版本 )開發(fā)之時， 32 位的 IP 地址似乎足夠 Inter 需要。但隨著 Inter 的 增長， 32 位的地址被證明有問題。正在開發(fā)之中的 IP 下一代，通常稱為 IP 版本 6 (IPv6)，就是為了克服這個不足而設(shè)計的。 IP 下一代必須提供什么？以下變化列表能簡單地告訴讀者 IPv6 的主要特石家莊經(jīng)濟學(xué)院本科生畢業(yè)論文 19 征： 位而不是 32 位的網(wǎng)絡(luò)地址。 頭中更有效的應(yīng)用和選項擴展。 。 。 。 。 （ 2） IVMPv6 互聯(lián)網(wǎng)控制信息協(xié)議第 6 版 （ 3） ICMP 互聯(lián)網(wǎng)控制協(xié)議 （ 4） IGMP 互聯(lián)網(wǎng)組管理協(xié)議 （ 5） SLIP 串行線路 IP 協(xié)議 網(wǎng)絡(luò)接口 層協(xié)議 1).隧道協(xié)議 （ 1） PPTP 點對點隧道協(xié)議 （ 2） L2TP 第二層隧道協(xié)議 （ 3） L2F 第二層轉(zhuǎn)發(fā)協(xié)議 （ 4） ATMP 介入隧道管理協(xié)議 2). CISCO 協(xié)議 (1)CDP 思科發(fā)現(xiàn)協(xié)議 (2)CGMP 思科組管理協(xié)議 3). 地址解析協(xié)議 (1)ARP 地址解析協(xié)議 (2)RARP 逆地址解析協(xié)議 4).其他協(xié)議 （ 1） MPLS 多協(xié)議標(biāo)簽交換協(xié)議 （ 2） XTP 壓縮傳輸協(xié)議 （ 3） DCAP 數(shù)據(jù)轉(zhuǎn)接客戶訪問協(xié)議 （ 4） SLE 串行連接封裝 （ 5） IPinIP IP 套 IP 封裝協(xié)議 （ 6） PPP 點對點傳輸協(xié)議 （ 7） （ 8） WLAN （ 9） DACSIC （ 10） ATM （ 11） Fram Rely 4 TCP/IP 協(xié)議脆弱性分析 TCP/IP 各層協(xié)議的脆弱性分析 應(yīng)用層協(xié)議脆弱性分析 — RADIUS 協(xié)議 該層次上面有許多不同的應(yīng)用協(xié)議，比如說： POP、 DNS， FTP， SMTP 等等，針對該層次的攻擊數(shù)不勝數(shù)，但是主要漏洞還是軟件的漏洞。 RADIUS 協(xié)議石家莊經(jīng)濟學(xué)院本科生畢業(yè)論文 20 作為該層一個重要的協(xié)議，對其進行脆弱性分析。 1). RADIUS 協(xié)議講解 RADIUS 是遠程撥號用戶認證協(xié)議，最初主要用于撥號接入用戶的身份認證、授權(quán)與計費，現(xiàn)在已發(fā)展成為一種通用的用戶身份認證與計費協(xié)議。 現(xiàn) 在任何運行 RADIUS 客戶端軟件的計算機或通信設(shè)備都可以成為RADIUS 的客戶端。 RADIUS 協(xié)議認證機制靈活，可以采用多種方式 登錄認證 。同時，它還是一種可擴展的協(xié)議，通過擴展屬性即可擴展交換信息內(nèi)容。它規(guī)定了 NAS作為認證客戶端 (RADIUS Client)和認證服務(wù)器 (RADIUS Server)以及認證服務(wù)器之間傳送身份認證信息和計費信息的消息格式和流程。 RADIUS 協(xié)議采用對稱密鑰加密技術(shù)，通信的雙方 RADIUS Client 和RADIUS Server 之間共享一個密鑰 K，利用 MD5 單向不可逆加密 算法，雙方在交換的信息后面附 MD5(信息 +K)作為確認對方身份的信息，這一安全機制可以防止假冒的 RADIUS Client 或 RADIUS Server 破壞認證系統(tǒng)。用戶的口令在報文中以密文傳輸，這一安全機制可以防止用戶口令被非法偵聽竊取。 2). RADIUS 協(xié)議規(guī)定 RADIUS 系統(tǒng)利用 UDP 協(xié)議通信， RADIUS 報文被封裝在 UDP 包中傳送，其報文格式如下： 1 字節(jié) 1 字節(jié) 2 字節(jié) 16 字節(jié) N 字節(jié) Code Identifer Length Authenticator Attributes 圖 41 RADIUS 協(xié)議 數(shù)據(jù)報格式 各字段含義如下： Code：定義 RADIUS 報文類型，可以取值如下： (1)： Access Request(接入請求 )ClientServer (2)： Access Accept(接入同意 )ServerClient (3)： Access Reject(接入拒絕 )ServerClient (4)： Accounting Request(計費請求 )ClientServer (5)： Accounting Response(計費響應(yīng) )ServerClient Identifier：用于匹配請求報文和響應(yīng)報文，請求報文和響應(yīng)報文中的這一字段應(yīng)相同。 Length：報文長度。 Authenticator：通信雙方身份證實手段，用來確認雙方身份，保證通信安全。 在 Access Request 報文中， Authenticator 是一個 16 字節(jié)的隨機數(shù)。 在 Access Accept 和 Access Reject 報文中， Authenticator 是一個 16 字節(jié)的隨機數(shù)。 在 Access Accept 和 Access Reject 報文中， Authenticator=MD5(Code+Id+Length++Attributes+K)。 在 Accounting Response 報文中， Authenticator=MD5(Code+Id+Length++Attribute石家莊經(jīng)濟學(xué)院本科生畢業(yè)論文 21 s+K)。 Attributes ： RADIUS 協(xié) 議 定 義 了幾 十 種屬 性， 例如 UserName ，UserPassword， FramedIPAddress 等，表示通信雙方需要交換的信息。定義自己的屬性來擴展 RADIUS 協(xié)議。 UserPassword 屬性是以密文傳輸?shù)?。設(shè)口令明文為 X，口令密文為 Y，加密算法為： Y=MD5(K+AccessReqAuthenticator)XOR X。在接收方擁有密鑰 K，便可利用 X=MD5(K+)XOR Y 來獲得口令明文，與從用戶數(shù)據(jù)庫中取得的用戶口令比較，從而檢驗用戶輸入的口令是否正確。 3).RADIUS 認證流程 RADIUS 協(xié)議認證流程如圖所示。本地用戶的 RADIUS 認證流程如下： 圖 42 RADIUS 協(xié) 議 認證流程 (1)用戶接入 NAS，輸入帳號、口令 (即密碼 )。 (2)NAS 向 RADIUS Server 發(fā)送 AccessReqest 數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過 MD5 加密的。 (3)RADIUS Server 對用戶名和密碼的合法性進行驗證，如果合法，給 NAS返回 AccessAccept 數(shù)據(jù)包。 AccessAccept 數(shù)據(jù)包中包含為用戶提供的服務(wù)類型(如 PPP 或 Tel)，相應(yīng)的配置信息 (如 PPP 的 IP 地址信息，子網(wǎng)掩碼等 )。 NAS收到此信息后對本地環(huán)境進行配置， 并啟動對撥入用戶的相應(yīng)服務(wù) (如建立 PPP連接 )。否則返回 AccessReject 數(shù)據(jù)包，拒絕用戶訪問。 (4)如果允許訪問， NAS 向 RADIUS Server 發(fā)送開始計費請求 Accounting Request 數(shù)據(jù)包， RADIUS Server 返回 Accounting Response 數(shù)據(jù)包。 (5)用戶下網(wǎng)， NAS 向 RADIUS Server 發(fā)送結(jié)束計費請求 Accounting Request數(shù)據(jù)包， RADIUS Server 返回 Accounting Response 數(shù)據(jù)包。 石家莊經(jīng)濟學(xué)院本科生畢業(yè)論文 22 RADIUS 不但支持本地 認證，還支持漫游認證。所謂漫游認證，就是兩個RADIUS Server 之間可以轉(zhuǎn)發(fā) RADIUS 認證和計費數(shù)據(jù)包，相互認證。這樣可以讓用戶通過本來和其無關(guān)的 RADIUS Server 進行認證。圖 1 中， A 和 B 可以漫游認證， B 的用戶可以漫游到 A，通過 NAS、 RADIUSServer(A)、 RADIUS Server(B)進行漫游認證上網(wǎng)。漫游認證過程中， RADIUS Server(A)作為 Client，將 NAS發(fā)來的 Access Request、 Accounting Request 數(shù)據(jù)包轉(zhuǎn)發(fā)給 RA DIUS Server(B)，RADIUS Server(B)返回相應(yīng)的響應(yīng)包 RADIUS Server(A)再將響應(yīng)包返回給NAS。本地用戶和漫游用戶在認證過程中輸入用戶名不同，本地用戶輸入username 即可，漫游用戶需輸入 username@area，其中 are 是安全域標(biāo)識， RADIUS Server 將根據(jù) area 判斷該用戶所屬安全域，從而向?qū)?yīng)的 RADIUS Server 轉(zhuǎn)發(fā)認證包。 4). RADIUS 安全機制分析 分析 RADIUS 認證過程， NAS 與 RADIUS Server，以及 RADIUS Server 之間 數(shù)據(jù)包的傳送是在開放的 Inter 中的通信，存在以下幾個方面的安全問題： (1)雙方通信被非法偵聽，攻擊者竊取合法的用戶帳號及口令。如果用戶帳號及口令被竊取并使用，真正的用戶將蒙受損失。 (2)攻擊者假冒 RADIUS Server，給 NAS 響應(yīng)，破壞認證系統(tǒng)正常的認證及授權(quán)。 (3)攻擊者假冒 NAS，向 RADIUS Server 發(fā)請求，比如發(fā)計費請求，導(dǎo)致RADIUS Server 記錄錯誤計費信息。因此， RADIUS 協(xié)議的安全性是影響認證系統(tǒng)能否安全認證、安全授權(quán)、安全計費的關(guān)鍵問題。從 RADIUS 協(xié)議 內(nèi)容來看，安全機制主要有以下兩個方面： 。認證系統(tǒng)的每對實體之間都有一個共享密鑰 K，雙方在交互報文中附加 MD5(信息 +K)放在 Authenticator 字段，通過 Authenticator字段認證通信雙方身份。 MD5 采用哈希函數(shù)算法 [3]，是不可逆的，因此，假冒者不能從 MD5(信息 +K)中推導(dǎo)出 K；如果沒有 K，假冒者就不能算出正確的MD5(信息 +K)。接收者通過驗證 Authenticator 字段可以驗證發(fā)送方身份，有效防止假冒欺騙。因此，這一安全機制可以解決安全問題 (2)和 (3)。共 享密鑰 K 的安全十分重要，一旦 K 被假冒者獲得，該安全機制就會崩潰。 RADIUS 協(xié)議沒有提供通信雙方交換 K 的機制， K 不在網(wǎng)上傳輸 ,在實現(xiàn)中， K 以網(wǎng)外形式分配來保證 K 的安全。 。用戶口令以密文方式傳輸且是單向密文，加密算法為：口令密文