TCP/IP网络协议栈常见攻击技术与防范

本文介绍TCP／IP协议栈中网络层与传输层协议所存在的安全问题及黑客常用的攻击技术,包括网络层的IP源地址欺骗,ARP欺骗,ICMP路由重定向攻击,以及传输层TCP会话劫持,SYNFlood和UDPFlood攻击,并给出防范IP欺骗防范的最佳实践措施。     

OSPF路由协议安全性分析及其攻击检测

路由协议安全是网络安全的重要组成部分。本文深入分析了OSPF的安全特性．讨论了OSPF当前版本提供的安全机制中存在的安全漏洞及可能遭受的攻击．介绍了目前针对这些漏洞所提出的防范策略．文章的最后提出了基于报文分析的OSPF路由协议攻击检测系统。     

OSPF路由协议的攻击分析与安全防范

路由协议安全是网络安全的一个重要组成部分.由于路由协议自身设计的问题,加上路由器IOS的漏洞,使得RIP、BGP、OSPF等协议运行存在会被黑客利用的安全隐患.分析了OSPF路由协议当前版本中存在的漏洞和脆弱性,以及可能遭受的攻击,介绍了目前针对这些漏洞所提出的防范策略,对加强OSPF路由协议的安全性提出了一些建议和典型配置.     

OSPF路由协议脆弱性研究及分析

互联网的高速发展带来了网络规模的持续增长以及拓扑结构的愈加复杂,同时给网络安全提出了巨大的挑战,OSPF (Open Shortest Path First)已经成为网络部署中使用最为广泛的路由协议,OSPF等路由协议的安全是网络安全的重要组成部分,没有正确的路由信息,也就没有了网络的安全与稳定。本文论述了OSPF路由协议内在的交互机制,挖掘了自身机制存在的漏洞,深入研究了基于OSPF协议脆弱性的攻击技术,通过分析协议的设计缺陷,突破协议自带的保护机制,扰乱正常协议交互达到攻击目的。本文详细描述了几种典型的攻击原理,在仿真软件中搭建网络环境证实了漏洞的存在。本文对OSPF安全隐患与常见漏洞做了详细的量化评估与分析,基于OSPF漏洞特点对CVSS3.0评分系统进行扩展,创新地增加攻击范围的修正系数,提高了OSPF协议漏洞评价的合理性,量化评估结果能为漏洞防御的研究工作提供指导,对其他路由协议的脆弱性研究分析有积极的示范作用。最后针对本文描述的漏洞提出了相应的安全防范措施,提出一个路由威胁监测预防系统用于路由协议攻击的监测和预防。总之,保护OSPF等路由协议的安全需要建立一个整体的安全观,从多个层面来保障网络安全。     

基于拟态防御的VPN流量劫持防御技术

VPN技术能够有效保障通信流量的保密性和完整性,但是近年来出现的名为blind in/on-path的流量劫持攻击利用VPN协议规则,通过将伪造报文注入加密隧道的方式来实施攻击,严重威胁了VPN技术的安全性。针对此类威胁,提出了基于拟态防御的VPN流量劫持防御技术,并设计了拟态VPN架构(Mimic VPN,M-VPN)。该架构由选调器和包含多个异构的VPN加解密节点的节点池组成。首先选调器根据节点的可信度动态地选取若干加解密节点,来并行处理加密流量;然后对各加解密节点的处理结果进行综合裁决;最后将裁决结果作为响应报文以及更新可信度的依据。通过对来自不同节点的同一响应进行裁决,有效阻止了攻击者注入伪造报文。实验仿真结果表明,相比传统的VPN架构,M-VPN可以降低blind in/on-path攻击成功率约12个数量级。     

ISIS与OSPF混合网络中双缺省路由优选研究

随着城域网规模的不断增大,原有很多只采用ospf作为IGP路由协议的网络性能大大降低,一大批采用ISIS路由协议作为核心层,OSPF路由协议作为汇聚层的网络大量产生;主要研究对比ISIS和OSPF两个协议的特点,并分析在单协议构建的网络当中产生缺省路由的背景,然后研究在这两种协议共存的网络当中,当边界路由器上同时出现ISIS和OSPF产生的两条缺省路由时,由于设备单纯的路由优选机制导致网络部分无法连通的问题;通过实验给出lSlS与OSPF混合网络中通过ISIS的路由泄漏功能解决部分网络无连通的方法.     

电力通信网络中高效的OSPF流量负载均衡协议

针对基于开放式最短路径优先（OSPF）协议的电力通信网络中的流量负载不均衡问题,提出两级优化的OSPF（TSO-OSPF）算法,分别对OSPF区域内和区域间进行流量均衡。算法采用带宽利用率和时延作为链路权重,根据路由器的进出总流量,将流量过大的分支分解到多个路由器,实现最大流最小化,从而解决电力通信网区域内部和边界路由器的流量不均衡问题。仿真实验表明：与OSPF算法相比,TSO-OSPF算法有效均衡了网络的流量,并且降低了10%左右的丢包率。     

虚拟专用网的主要隧道协议的安全性剖析

隧道技术是构建VPN的核心技术,但这些隧道协议的实现本身也不是非常安全的。一旦网络攻击者利用隧道协议的安全弱点攻击VPN成功,所有互联网上利用VPN技术提供的安全数据传输将不再安全。探讨了两种主要的隧道协议——PPTP和IPSec实现中的安全漏洞。通过分析,最后的结论是IPSec协议是当前最好和最安全的IP安全协议。随着IPv6的使用,IPSec必将得到更广泛的使用。     

基于IPSec的VPN网关设计与实现

本文首先介绍了VPN网关及其重要性,然后对IPSec协议进行了详细的介绍,最后设计实现了基于IPSec的VPN网关.在设计VPN安全网关时采用IPSec协议,使用ESP对传输的数据进行严格的保护,使用AH进行用户与数据认证,能够较好地增强IP站点间安全性.基于IPSec协议的VPN安全网关设计对于实现Intemet网络安全具有重要意义.     

MPLS VPN安全性研究

在分析基于多协议标记虚拟专用网工作原理的基础上，从地址空间与路由分离、隐藏骨干网络结构、防标签欺骗和路由器邻居认证等四方面对多协议标记虚拟专用网的安全机制进行了研究，提出了在MPLS VPN基础上结合IPSec VPN进一步提高MPLS VPN安全性的方法。     

IPv6中的DoS/DDoS攻击流量突发检测算法

IPv6下的安全体系结构IPSec对IPv6网络的安全起到了一定的作用,但是它对某些特殊攻击的防范,例如泛洪DoS/DDoS攻击,却无能为力。该文通过对IPv6中泛洪DoS/DDoS攻击发生时的流量特征的分析,对基于网络流量突发变化的DoS/DDoS攻击检测算法在IPv6下的应用进行研究,分别用Matlab和NS-2对算法进行有效性和可行性验证。结果表明,突发流量检测算法在IPv6环境中运行良好。     

GRE-over-IPsec vPN工程设计及实现——基于合肥百大集团网络的VPN应用

人类社会已经进入21世纪,计算机信息网络已深入到世界的各个角落,地域、国家、政府、企业甚至家庭。计算机网络的飞速发展给人来带来了诸多便利,而然其潜在的网络信息安全威胁也弥漫在各个领域。探讨的VPN技术则是建立在GRE over IPSec技术之上,并通过合肥百大集团的网络拓扑对其进行设计与仿真。GREoverIPSecVPN技术是通过GRE与IPSec相结合,而形成的一种安全性更好VPN技术,其主要借用IPSec的安全加密和GRE支持多播的优点,从而使得VPN网络更加安全。该项技术的主要工作原理：将一个完整的组播、广播数据包或非IP数据包封装在一个单播数据包（IPSEC）里,以处理如OSPF的组播或RIP的广播数据流,以完成在IPSec隧道里通信实体之间的动态路由学习。     

基于D-H密钥交换协议的用户认证方案

分析指出Liaw等人的远程用户认证方案(Mathematical and Computer Modelling,2006,No.1/2)容易受到重放攻击和中间人攻击,并且密码修改阶段和注册阶段存在安全漏洞,在此基础上提出一个基于D-H密钥交换协议的远程用户认证方案.理论分析结果表明,该方案可以抵抗假冒攻击、重放攻击、中间人攻击,安全地实现相互认证及会话密钥生成.     

区域网络化制造系统安全体制研究

针对目前区域网络化制造系统的完全分布式运行模式对信息安全的需求,本文提出了一个基于离散对数的身份认证和密钥协商方案。该方案不依赖于在线用户证书管理中心, 因此能很好地适应区域网络化制造系统现有的完全分布式服务模式。通过将现有IPSec框架的内部功能模块进行改造,进而将该安全体制融入到虚拟私有网络（VPN）的服务模模块中。安全分析表明,该方案能有效地抵御消息重放攻击和中间人攻击。同时,性能测试表明,该安全体制方案有较高的通信效率,因而能较好地保障区域网络化制造系统的信息安全。     

IPSec中密钥交换协议IKE的安全性分析与改进

介绍了IKE协议,研究了IKE协议的安全性问题。对中间人攻击进行了分析并提出了一种改进cookie生成算法;针对拒绝服务攻击分析了系统安全性缺陷,并针对此类缺陷作出了算法改进;在前两种改进方案的基础上设计了一种新的口令认证密钥交换协议,经验证,新的口令认证密钥交换协议更安全有效。     

一种可扩展的分布式网络攻击测试系统

随着计算机网络攻击技术的日益成熟,新的攻击手段层出不穷,针对路由协议的攻击就是其中的一种。RIP/RIPng、OSPF和BGP协议是网络中较常用的动态路由协议。文章在分析它们特点的基础上,提出针对各种可能的攻击方式。文中设计出了一个分布式网络攻击测试系统,模块化的体系结构使该系统具有良好的可扩展性。初步试验结果表明,使用Tcl开发的攻击例,该系统成功完成了对基于上述路由协议的网络攻击的模拟和测试,为解除网络中可能存在的安全隐患提供了有力的帮助。     

移动式网络的动态家乡代理协议

为了减轻移动式网络中的三角路由问题,引入一个动态家乡代理为外地的移动式网络提供本地家乡代理的服务。设计了基于AAA机制的动态家乡代理模型,实现了基于数字签名原则和D-H密钥交换算法的移动式网络注册和密钥协商协议,描述了移动式网络节点的数据路由方式。安全性分析表明,动态家乡代理协议安全地实现了移动路由器与动态家乡代理之间的密钥交换,有效防止了中间人攻击和会话拦截攻击,能对实施泛洪攻击的移动节点进行跟踪。     

一种三方认证密钥协商协议的分析与改进

大多数三方认证密钥协商协议不能抵抗中间人攻击。为此,对Tan提出的三方认证密钥协商协议(Journal of Communications, 2010, No.5)进行分析,证明其不能抵抗发起者假冒攻击、响应者假冒攻击及中间人攻击,并利用单向哈希函数和椭圆曲线密码学技术对协议进行改进。理论分析与形式化证明结果表明,改进协议继承了原协议的安全性,并能抵抗假冒攻击及中间人攻击。     

配电网自动化DTU终端的103规约的安全性分析

IEC 60870-5-103规约是应用于继电保护设备的信息接口配套标准,传输的主要内容是与继电保护有关的信息.该报文进行的是明文传输,缺乏加密措施和数字签名机制,安全性较低.为了验证以太网传输的103规约存在安全隐患和风险,搭建了主站与配电网自动化DTU终端的通信实验环境.运用ARP欺骗手段对系统进行了中间人攻击测试,实验的结果表明以太网传输的103规约具有中间人攻击的风险.为了提高协议的安全性,提出了一种基于非对称密码算法的双向身份认证机制,并采用对称加密机制、数字签名技术确保传输报文的机密性和完整性,最后通过仿真测试验证该方法的有效性.