【導(dǎo)讀】活中不可或缺的一部分。Inter安全問題也越來越受人們關(guān)注，TCP/IP作為一個事實(shí)上。廣泛采用的互聯(lián)網(wǎng)協(xié)議。然而,這樣重要的一個協(xié)議族在其制訂之初，沒有考慮安全因素，因此他本身無安全可言。網(wǎng)絡(luò)安全問題越來越受到國家和社會的關(guān)注，網(wǎng)絡(luò)安全已經(jīng)成為。計(jì)算機(jī)通信領(lǐng)域的重要研究方向之一。協(xié)議的脆弱性問題進(jìn)行了比較深入的討論。在前面分析的基礎(chǔ)上畫出TCP/IP安全圖。

　　

【正文】 息、網(wǎng)絡(luò)監(jiān)控 數(shù)據(jù)等的交換。這些類型的交換不需要流控、應(yīng)答、重排序或任何 TCP 提供的功能。 網(wǎng)絡(luò)層協(xié)議 1).安全協(xié)議 （ 1） AH 認(rèn)證頭協(xié)議 （ 2） ESP 安全封裝有效載荷協(xié)議 2).路由協(xié)議 石家莊經(jīng)濟(jì)學(xué)院本科生畢業(yè)論文 18 （ 1） EGP 外部網(wǎng)關(guān)協(xié)議 （ 2） NHRP 下一條解析協(xié)議 （ 3） GGP 網(wǎng)關(guān)到網(wǎng)關(guān)協(xié)議 （ 4） RSVP 資源預(yù)留協(xié)議 （ 5） RIP2 路由信息第二版 路由信息協(xié)議，通常稱為 RIP(Routing Information Protocol)，是使用最久的協(xié)議之一。 RIP 是一類基于距離 向量路由算法的協(xié)議，這種算法在 ARPANET出現(xiàn)之前即存在。在 1957～ 1962 年之間人們對這種算法進(jìn)行了理論上的研究。在整個 60 年代，這些算法被不同的公司廣泛實(shí)現(xiàn)并標(biāo)以不同的名字。最終造成的結(jié)果是這些產(chǎn)品之間緊密相關(guān)，但同時由于被各公司進(jìn)行功能強(qiáng)化而使它們不能提供完全的互操作能力。 （ 6） OSPF 開放最短路徑優(yōu)先協(xié)議 OSPF 是專門設(shè)計(jì)用于自治系統(tǒng)之內(nèi)的 IP 路由協(xié)議。如果用戶的網(wǎng)絡(luò)必須適用多種可路由協(xié)議，就要考慮使用別的路由協(xié)議而不是 OSPF。 OSPF 基于 IP 數(shù)據(jù)報(bào)頭中的目的 IP 地址來計(jì)算路由，并不提供對非 IP 目的地的路由計(jì)算。 而且，各種 OSPF 信息直接封裝在 IP 中：無需其他協(xié)議 (TCP、 UDP 等 )來傳輸。 OSPF 也被設(shè)計(jì)用于快速地檢測自治系統(tǒng)內(nèi)的拓?fù)渥兓⑶以诎l(fā)現(xiàn)變化之后收斂到新的拓?fù)?。路由決定以自治系統(tǒng)內(nèi)互聯(lián)的路由器之間的鏈路狀態(tài)為基礎(chǔ)。這些路由器各自都維護(hù)一個相同的數(shù)據(jù)庫，其中記錄了網(wǎng)絡(luò)的鏈路狀態(tài)。這個數(shù)據(jù)庫中包含的是路由器狀態(tài)，其中有可用的接口、可以到達(dá)的相鄰路由器及鏈路、狀態(tài)信息。 （ 7） IEIRGP 增強(qiáng)內(nèi)部網(wǎng)關(guān)選擇協(xié)議 （ 8） VRRP 虛擬路由器冗余協(xié)議 （ 9） PIMDM 密集模式獨(dú)立組播協(xié)議 （ 10） PIMSM 系數(shù)模式獨(dú)立組播協(xié)議 （ 11） IGRP 內(nèi)部網(wǎng)關(guān)路由協(xié)議 （ 12） RIPng FOR IPv6IPv6 路由信息協(xié)議 （ 13） PGM 實(shí)際通用組播協(xié)議 （ 14） DVMRP 距離矢量組播路由協(xié)議 （ 15） MOSPF 組播開放量短路徑優(yōu)先協(xié)議 3).其他協(xié)議 （ 1） IP/IPv6 互聯(lián)網(wǎng)協(xié)議 /互聯(lián)網(wǎng)協(xié)議第 6 版 IP 一直在演進(jìn)，這要?dú)w功于 IETF 的不懈努力。許多新的特性和功能在后 續(xù) RFC 文檔中得到擴(kuò)充，然而所有這些都建造在 RFC791 基礎(chǔ)之上。從結(jié)構(gòu)角度講，現(xiàn)在的 IP 版本是 4。新的版本 6 幾近完成。但只有 IPv4 是當(dāng)前的標(biāo)準(zhǔn)且被廣泛接受。 在 IPv4 (當(dāng)前版本 )開發(fā)之時， 32 位的 IP 地址似乎足夠 Inter 需要。但隨著 Inter 的 增長， 32 位的地址被證明有問題。正在開發(fā)之中的 IP 下一代，通常稱為 IP 版本 6 (IPv6)，就是為了克服這個不足而設(shè)計(jì)的。 IP 下一代必須提供什么？以下變化列表能簡單地告訴讀者 IPv6 的主要特石家莊經(jīng)濟(jì)學(xué)院本科生畢業(yè)論文 19 征： 位而不是 32 位的網(wǎng)絡(luò)地址。 頭中更有效的應(yīng)用和選項(xiàng)擴(kuò)展。 。 。 。 。 （ 2） IVMPv6 互聯(lián)網(wǎng)控制信息協(xié)議第 6 版 （ 3） ICMP 互聯(lián)網(wǎng)控制協(xié)議 （ 4） IGMP 互聯(lián)網(wǎng)組管理協(xié)議 （ 5） SLIP 串行線路 IP 協(xié)議 網(wǎng)絡(luò)接口 層協(xié)議 1).隧道協(xié)議 （ 1） PPTP 點(diǎn)對點(diǎn)隧道協(xié)議 （ 2） L2TP 第二層隧道協(xié)議 （ 3） L2F 第二層轉(zhuǎn)發(fā)協(xié)議 （ 4） ATMP 介入隧道管理協(xié)議 2). CISCO 協(xié)議 (1)CDP 思科發(fā)現(xiàn)協(xié)議 (2)CGMP 思科組管理協(xié)議 3). 地址解析協(xié)議 (1)ARP 地址解析協(xié)議 (2)RARP 逆地址解析協(xié)議 4).其他協(xié)議 （ 1） MPLS 多協(xié)議標(biāo)簽交換協(xié)議 （ 2） XTP 壓縮傳輸協(xié)議 （ 3） DCAP 數(shù)據(jù)轉(zhuǎn)接客戶訪問協(xié)議 （ 4） SLE 串行連接封裝 （ 5） IPinIP IP 套 IP 封裝協(xié)議 （ 6） PPP 點(diǎn)對點(diǎn)傳輸協(xié)議 （ 7） （ 8） WLAN （ 9） DACSIC （ 10） ATM （ 11） Fram Rely 4 TCP/IP 協(xié)議脆弱性分析 TCP/IP 各層協(xié)議的脆弱性分析 應(yīng)用層協(xié)議脆弱性分析 — RADIUS 協(xié)議 該層次上面有許多不同的應(yīng)用協(xié)議，比如說： POP、 DNS， FTP， SMTP 等等，針對該層次的攻擊數(shù)不勝數(shù)，但是主要漏洞還是軟件的漏洞。 RADIUS 協(xié)議石家莊經(jīng)濟(jì)學(xué)院本科生畢業(yè)論文 20 作為該層一個重要的協(xié)議，對其進(jìn)行脆弱性分析。 1). RADIUS 協(xié)議講解 RADIUS 是遠(yuǎn)程撥號用戶認(rèn)證協(xié)議，最初主要用于撥號接入用戶的身份認(rèn)證、授權(quán)與計(jì)費(fèi)，現(xiàn)在已發(fā)展成為一種通用的用戶身份認(rèn)證與計(jì)費(fèi)協(xié)議。 現(xiàn) 在任何運(yùn)行 RADIUS 客戶端軟件的計(jì)算機(jī)或通信設(shè)備都可以成為RADIUS 的客戶端。 RADIUS 協(xié)議認(rèn)證機(jī)制靈活，可以采用多種方式 登錄認(rèn)證 。同時，它還是一種可擴(kuò)展的協(xié)議，通過擴(kuò)展屬性即可擴(kuò)展交換信息內(nèi)容。它規(guī)定了 NAS作為認(rèn)證客戶端 (RADIUS Client)和認(rèn)證服務(wù)器 (RADIUS Server)以及認(rèn)證服務(wù)器之間傳送身份認(rèn)證信息和計(jì)費(fèi)信息的消息格式和流程。 RADIUS 協(xié)議采用對稱密鑰加密技術(shù)，通信的雙方 RADIUS Client 和RADIUS Server 之間共享一個密鑰 K，利用 MD5 單向不可逆加密 算法，雙方在交換的信息后面附 MD5(信息 +K)作為確認(rèn)對方身份的信息，這一安全機(jī)制可以防止假冒的 RADIUS Client 或 RADIUS Server 破壞認(rèn)證系統(tǒng)。用戶的口令在報(bào)文中以密文傳輸，這一安全機(jī)制可以防止用戶口令被非法偵聽竊取。 2). RADIUS 協(xié)議規(guī)定 RADIUS 系統(tǒng)利用 UDP 協(xié)議通信， RADIUS 報(bào)文被封裝在 UDP 包中傳送，其報(bào)文格式如下： 1 字節(jié) 1 字節(jié) 2 字節(jié) 16 字節(jié) N 字節(jié) Code Identifer Length Authenticator Attributes 圖 41 RADIUS 協(xié)議 數(shù)據(jù)報(bào)格式 各字段含義如下： Code：定義 RADIUS 報(bào)文類型，可以取值如下： (1)： Access Request(接入請求 )ClientServer (2)： Access Accept(接入同意 )ServerClient (3)： Access Reject(接入拒絕 )ServerClient (4)： Accounting Request(計(jì)費(fèi)請求 )ClientServer (5)： Accounting Response(計(jì)費(fèi)響應(yīng) )ServerClient Identifier：用于匹配請求報(bào)文和響應(yīng)報(bào)文，請求報(bào)文和響應(yīng)報(bào)文中的這一字段應(yīng)相同。 Length：報(bào)文長度。 Authenticator：通信雙方身份證實(shí)手段，用來確認(rèn)雙方身份，保證通信安全。 在 Access Request 報(bào)文中， Authenticator 是一個 16 字節(jié)的隨機(jī)數(shù)。 在 Access Accept 和 Access Reject 報(bào)文中， Authenticator 是一個 16 字節(jié)的隨機(jī)數(shù)。 在 Access Accept 和 Access Reject 報(bào)文中， Authenticator=MD5(Code+Id+Length++Attributes+K)。 在 Accounting Response 報(bào)文中， Authenticator=MD5(Code+Id+Length++Attribute石家莊經(jīng)濟(jì)學(xué)院本科生畢業(yè)論文 21 s+K)。 Attributes ： RADIUS 協(xié) 議 定 義 了幾 十 種屬 性， 例如 UserName ，UserPassword， FramedIPAddress 等，表示通信雙方需要交換的信息。定義自己的屬性來擴(kuò)展 RADIUS 協(xié)議。 UserPassword 屬性是以密文傳輸?shù)?。設(shè)口令明文為 X，口令密文為 Y，加密算法為： Y=MD5(K+AccessReqAuthenticator)XOR X。在接收方擁有密鑰 K，便可利用 X=MD5(K+)XOR Y 來獲得口令明文，與從用戶數(shù)據(jù)庫中取得的用戶口令比較，從而檢驗(yàn)用戶輸入的口令是否正確。 3).RADIUS 認(rèn)證流程 RADIUS 協(xié)議認(rèn)證流程如圖所示。本地用戶的 RADIUS 認(rèn)證流程如下： 圖 42 RADIUS 協(xié) 議 認(rèn)證流程 (1)用戶接入 NAS，輸入帳號、口令 (即密碼 )。 (2)NAS 向 RADIUS Server 發(fā)送 AccessReqest 數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過 MD5 加密的。 (3)RADIUS Server 對用戶名和密碼的合法性進(jìn)行驗(yàn)證，如果合法，給 NAS返回 AccessAccept 數(shù)據(jù)包。 AccessAccept 數(shù)據(jù)包中包含為用戶提供的服務(wù)類型(如 PPP 或 Tel)，相應(yīng)的配置信息 (如 PPP 的 IP 地址信息，子網(wǎng)掩碼等 )。 NAS收到此信息后對本地環(huán)境進(jìn)行配置， 并啟動對撥入用戶的相應(yīng)服務(wù) (如建立 PPP連接 )。否則返回 AccessReject 數(shù)據(jù)包，拒絕用戶訪問。 (4)如果允許訪問， NAS 向 RADIUS Server 發(fā)送開始計(jì)費(fèi)請求 Accounting Request 數(shù)據(jù)包， RADIUS Server 返回 Accounting Response 數(shù)據(jù)包。 (5)用戶下網(wǎng)， NAS 向 RADIUS Server 發(fā)送結(jié)束計(jì)費(fèi)請求 Accounting Request數(shù)據(jù)包， RADIUS Server 返回 Accounting Response 數(shù)據(jù)包。 石家莊經(jīng)濟(jì)學(xué)院本科生畢業(yè)論文 22 RADIUS 不但支持本地 認(rèn)證，還支持漫游認(rèn)證。所謂漫游認(rèn)證，就是兩個RADIUS Server 之間可以轉(zhuǎn)發(fā) RADIUS 認(rèn)證和計(jì)費(fèi)數(shù)據(jù)包，相互認(rèn)證。這樣可以讓用戶通過本來和其無關(guān)的 RADIUS Server 進(jìn)行認(rèn)證。圖 1 中， A 和 B 可以漫游認(rèn)證， B 的用戶可以漫游到 A，通過 NAS、 RADIUSServer(A)、 RADIUS Server(B)進(jìn)行漫游認(rèn)證上網(wǎng)。漫游認(rèn)證過程中， RADIUS Server(A)作為 Client，將 NAS發(fā)來的 Access Request、 Accounting Request 數(shù)據(jù)包轉(zhuǎn)發(fā)給 RA DIUS Server(B)，RADIUS Server(B)返回相應(yīng)的響應(yīng)包 RADIUS Server(A)再將響應(yīng)包返回給NAS。本地用戶和漫游用戶在認(rèn)證過程中輸入用戶名不同，本地用戶輸入username 即可，漫游用戶需輸入 username@area，其中 are 是安全域標(biāo)識， RADIUS Server 將根據(jù) area 判斷該用戶所屬安全域，從而向?qū)?yīng)的 RADIUS Server 轉(zhuǎn)發(fā)認(rèn)證包。 4). RADIUS 安全機(jī)制分析 分析 RADIUS 認(rèn)證過程， NAS 與 RADIUS Server，以及 RADIUS Server 之間 數(shù)據(jù)包的傳送是在開放的 Inter 中的通信，存在以下幾個方面的安全問題： (1)雙方通信被非法偵聽，攻擊者竊取合法的用戶帳號及口令。如果用戶帳號及口令被竊取并使用，真正的用戶將蒙受損失。 (2)攻擊者假冒 RADIUS Server，給 NAS 響應(yīng)，破壞認(rèn)證系統(tǒng)正常的認(rèn)證及授權(quán)。 (3)攻擊者假冒 NAS，向 RADIUS Server 發(fā)請求，比如發(fā)計(jì)費(fèi)請求，導(dǎo)致RADIUS Server 記錄錯誤計(jì)費(fèi)信息。因此， RADIUS 協(xié)議的安全性是影響認(rèn)證系統(tǒng)能否安全認(rèn)證、安全授權(quán)、安全計(jì)費(fèi)的關(guān)鍵問題。從 RADIUS 協(xié)議 內(nèi)容來看，安全機(jī)制主要有以下兩個方面： 。認(rèn)證系統(tǒng)的每對實(shí)體之間都有一個共享密鑰 K，雙方在交互報(bào)文中附加 MD5(信息 +K)放在 Authenticator 字段，通過 Authenticator字段認(rèn)證通信雙方身份。 MD5 采用哈希函數(shù)算法 [3]，是不可逆的，因此，假冒者不能從 MD5(信息 +K)中推導(dǎo)出 K；如果沒有 K，假冒者就不能算出正確的MD5(信息 +K)。接收者通過驗(yàn)證 Authenticator 字段可以驗(yàn)證發(fā)送方身份，有效防止假冒欺騙。因此，這一安全機(jī)制可以解決安全問題 (2)和 (3)。共 享密鑰 K 的安全十分重要，一旦 K 被假冒者獲得，該安全機(jī)制就會崩潰。 RADIUS 協(xié)議沒有提供通信雙方交換 K 的機(jī)制， K 不在網(wǎng)上傳輸 ,在實(shí)現(xiàn)中， K 以網(wǎng)外形式分配來保證 K 的安全。 。用戶口令以密文方式傳輸且是單向密文，加密算法為：口令密文