OSI七層的潛在安全漏洞

①物理層
物理層上的安全保護(hù)的措施不多。如果一個潛在的可以訪問物理介質(zhì)，如搭線竊
聽和探測，就可以復(fù)制所有傳送信息。唯一有效的保護(hù)方法是使用加密和流量填充等技術(shù)。
這些技術(shù)可以有效地防止利用探測器來獲得信息。
網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)反映了網(wǎng)絡(luò)的構(gòu)成。安全管理人員應(yīng)對其進(jìn)行保護(hù)。最常用的
和到網(wǎng)絡(luò)中的一種方法是在該企業(yè)內(nèi)部的主機(jī)上安裝一個包探測器。它能記住物理介
質(zhì)上傳輸數(shù)據(jù)的電子信號。
②網(wǎng)絡(luò)層
經(jīng)常利用一種叫做 IP 欺騙的技術(shù)，把源 IP 地址替換成一個錯誤的 IP 地址。接收
主機(jī)不能判斷源 IP 地址是不正確的，因此上層協(xié)議必須執(zhí)行一些檢查來防止這種欺騙。
使用 IP 欺騙的一種很有名的是 Smurf 。這種是向大量的遠(yuǎn)程主機(jī)發(fā)送一
系列的 ping 請求命令之后，把源 IP 地址替換成想要的目標(biāo)主機(jī)的 IP 地址。所有
的遠(yuǎn)程計(jì)算機(jī)都響應(yīng)這些 ping 請求，而對目標(biāo)地址進(jìn)行回復(fù)卻不是回復(fù)給者的 IP 地
址，而是目標(biāo)主機(jī)的 IP 地址，目標(biāo)主機(jī)將被大量的 ICMP 包淹沒而不能有效地工作。Smurf
是一種拒絕服務(wù)。
ICMP 在 IP 層用于檢查錯誤和查詢。例如，ping 一臺主機(jī)以確定其是否運(yùn)行時，就產(chǎn)
生了一條 ICMP 消息。遠(yuǎn)程主機(jī)將用其 ICMP 消息對 ping 請求做出回應(yīng)。這種通信過程在
多數(shù)網(wǎng)絡(luò)中是正常的。然而，則用 ICMP 消息*遠(yuǎn)程網(wǎng)絡(luò)或主機(jī)。如利用 ICMP 來
消耗帶寬從而有效地摧毀站點(diǎn)。至今，微軟的站點(diǎn)對 ping 不作響應(yīng)，因?yàn)槲④浺呀?jīng)過濾了
所有的 ICMP 請求。有些公司現(xiàn)在也在他們的防火墻上過濾了 ICMP 流量。
③傳輸層**
傳輸層控制主機(jī)之間數(shù)據(jù)流的傳輸。傳輸層存在兩個協(xié)議，即傳輸控制協(xié)議（TCP）
和用戶數(shù)據(jù)報(bào)協(xié)議（UDP）。
（1）TCP
TCP 是一個面向連接的協(xié)議，保證數(shù)據(jù)的可靠傳輸。TCP 協(xié)議用于多數(shù)的互聯(lián)網(wǎng)服務(wù)，
如 HTTP、FTP 及 SMTP。最常見的傳輸層安全技術(shù)為安全套接字層協(xié)議 SSL。其由 Netscape
通信公司設(shè)計(jì)，結(jié)構(gòu)分為兩層，如圖 2-1 所示。
SSL 協(xié)商層：雙方通過協(xié)議層約定有關(guān)加密的算法、進(jìn)行身份認(rèn)證等。
SSL 記錄層：將上層的數(shù)據(jù)進(jìn)行分段、壓縮后加密，由 TCP 傳送出去。
對于 SSL 交換過程的管理，協(xié)商層通過三個協(xié)議給予支持。其 SSL 的協(xié)議棧如圖 2-2
所示。
SSL 采用公鑰方式進(jìn)行身份認(rèn)證，用對稱密鑰方式進(jìn)行大量數(shù)據(jù)傳輸。通過雙方協(xié)商
SSL 可以支持多種身份認(rèn)證、加密和檢驗(yàn)算法。兩個層次對應(yīng)的協(xié)議功能如下：
SSL 記錄協(xié)議：其對應(yīng)用程序提供的信息進(jìn)行分段、壓縮、數(shù)據(jù)認(rèn)證和加密。SSL 中
的握手協(xié)議用于協(xié)商數(shù)據(jù)認(rèn)證和數(shù)據(jù)加密的過程。SSLv3 支持用 MD5 和 SHA 進(jìn)行數(shù)據(jù)認(rèn)證以及用 DES 對數(shù)據(jù)加密。

創(chuàng)新互聯(lián)公司堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：網(wǎng)站制作、做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時代的土默特右旗網(wǎng)站設(shè)計(jì)、移動媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

④應(yīng)用層

應(yīng)用層大約有 1800000 個應(yīng)用程序可以用于 TCP/IP 之上。保護(hù)網(wǎng)絡(luò)上的每一個應(yīng)用程
序是不太可能的，只允許一些特殊的應(yīng)用程序通過網(wǎng)絡(luò)進(jìn)行通信是一個有效的方法。
1．簡單郵件傳輸協(xié)議（SMTP）
通過 SMTP 協(xié)議將破壞 Email 服務(wù)器。通常對 SMTP 服務(wù)器采用不同方式的
。比如經(jīng)常向 SMTP 服務(wù)器發(fā)送大量的 Email 信息使得服務(wù)器不能處理合法用戶
的 Email 流量，導(dǎo)致 SMTP 服務(wù)器不可用，從而對合法的 Email 用戶造成拒絕服務(wù)。
目前很多病毒是通過郵件或其附件進(jìn)行傳播的。因此，SMTP 服務(wù)器應(yīng)能掃描所有郵
件信息。
2．文件傳輸協(xié)議（FTP）
FTP 用來建立 TCP/IP 連接后發(fā)送和接收文件。FTP 由服務(wù)器和客戶端組成，幾乎每一
個 TCP/IP 主機(jī)都有內(nèi)置的 FTP 客戶端，并且大多數(shù)的服務(wù)器都有一個 FTP 服務(wù)器程序。
FTP 用兩個端口通信。利用 TCP21 端口來控制連接的建立，控制連接端口在整個 FTP 會
話中保持開放，用來在客戶端和服務(wù)器之間發(fā)送控制信息和客戶端命令。數(shù)據(jù)連接建立使
用一個短暫的臨時端口。在客戶端和服務(wù)器之間傳輸一個文件時每次都建立一個數(shù)據(jù)連接。
FTP 服務(wù)器有的不需要對客戶端進(jìn)行認(rèn)證；當(dāng)需要認(rèn)證時，所有的用戶名和密碼都是
以明文傳輸。破壞之一就是尋找允許匿名連接并且有寫權(quán)限的 FTP 服務(wù)器，然后上傳
不正確的信息以塞滿整個硬盤空間，從而導(dǎo)致操作系統(tǒng)不能正常運(yùn)行。還可以使日志文件
沒有空間再記錄其他事件，這樣企圖進(jìn)入操作系統(tǒng)或其他服務(wù)而不被日志文件所檢查
到。
3．超文本傳輸協(xié)議（HTTP）
HTTP 是互聯(lián)網(wǎng)上應(yīng)用最廣泛的協(xié)議。HTTP 使用 80 端口來控制連接和一個臨時端口
傳輸數(shù)據(jù)，HTTP 有兩個明顯的安全問題，即客戶端瀏覽應(yīng)用程序和 HTTP 服務(wù)器外部應(yīng)
用程序。HTTP 客戶端使用瀏覽器訪問和接收從服務(wù)器端返回的 Web 頁面。若下載了有破壞性的 Active X 控件或 Java Applets。這些程序在用戶的計(jì)算機(jī)上執(zhí)行并含有某種類型的代碼，可能是病毒或特洛伊。對于這種破壞的最佳保護(hù)方法是警告用戶不要下載未被檢驗(yàn)過的應(yīng)用程序。
為了擴(kuò)大和擴(kuò)展 Web 服務(wù)器的功能，一些擴(kuò)展的應(yīng)用程序加入到 HTTP 服務(wù)器中。如
Java、CGI、AST 等等。這些程序都有一些安全漏洞，一旦 Web 服務(wù)器開始執(zhí)行代碼可能遭到破壞。
4．遠(yuǎn)程登錄協(xié)議（Telnet）
Telnet 是用于遠(yuǎn)程終端訪問的并可用來管理 UNIX 機(jī)器。首先考慮 Telnet 安全問題的
因素是它允許遠(yuǎn)程用戶登錄。其次 Telnet 是以明文的方式發(fā)送所有的用戶名和密碼。有經(jīng)
驗(yàn)的可以劫持一個 Telnet 會話。
5．簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）
SNMP 允許管理員檢查狀態(tài)并且有時修改 SNMP 代理的配置。管理者收集所有由
SNMP 代理發(fā)送的 trap，并且直接從這些代理查詢信息。SNMP 通過 UDP 的 161 和 162 端口傳遞所有的信息。
SNMP 所提供的有效認(rèn)證是團(tuán)體名。若管理者和代理有相同的團(tuán)體名并處于權(quán)限允許
的 IP 地址段內(nèi)將允許所有 SNMP 查尋。如果一個得到了團(tuán)體名，他將能夠查詢和修
改網(wǎng)絡(luò)上所有使用 SNMP 的節(jié)點(diǎn)。另一個安全問題是所有的信息都是以明文傳輸?shù)?。一個
用 SNMP 管理器連接到網(wǎng)絡(luò)中的任何位置上都可以得到這些信息。目前 SNMP v3 版
本的應(yīng)用將能解決上述問題。
6．域名系統(tǒng)（DNS）
DNS 在解析域名請求時使用 UDP 的 53 端口。但是，在進(jìn)行區(qū)域傳輸時使用 TCP 的
53 端口。區(qū)域傳輸是指以下兩種情況：
（1）客戶端利用 nslookup 命令向 DNS 服務(wù)器請求進(jìn)行區(qū)域傳輸；
（2）從屬域名服務(wù)器向主服務(wù)器請求得到一個區(qū)域文件。
可以一個 DNS 服務(wù)器并得到它的區(qū)域文件。其結(jié)果是***可以知道這個區(qū)
域中所有系統(tǒng)的 IP 地址和計(jì)算機(jī)名字。
保護(hù) DNS 服務(wù)器是要把服務(wù)器放到防火墻后面，然后配置防火墻阻止所有的區(qū)域傳
輸，還可配置系統(tǒng)只接受特定主機(jī)的區(qū)域傳輸。

網(wǎng)頁名稱：OSI七層的潛在安全漏洞
轉(zhuǎn)載來于：http://bm7419.com/article44/jdijhe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站內(nèi)鏈、網(wǎng)站改版、用戶體驗(yàn)、網(wǎng)站導(dǎo)航、網(wǎng)站制作、虛擬主機(jī)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)