标签：分析 word 导图 网络协议 认证 攻击 IPv6 路由 路由器

网络协议安全性分析

IP分析

IPv4协议分析
没有认证机制
没有加密机制
无带宽控制
解决方案：IPsec标准（但主要为IPv6设计的）
IPv6协议分析
IPv4 到 IPv6的过渡
• 双协议栈
• 隧道
• 将IPv6的数据包封装在IPv4的数据中
• 网络地址转换（NAT）
安全隐患
• IPv4 到 IPv6 过渡技术的安全隐患
• 无状态地址自动配置的安全风险
• IPv6中PKI管理系统的安全风险
• IPv6编址机制的隐患
• 安全机制给网络安全体系带来的安全风险
• 对传统防火墙和入侵检测系统的不友好

ICMP分析

IPv4版本和IPv6版本
威胁
利用目的不可达报文发起拒绝服务攻击
利用改变路由报文破坏路由表
木马利用ICMP报文进行隐秘通信
利用回送请求或回答报文进行网络扫描或拒绝服务攻击

ARP分析

网络嗅探
伪造arp响应发送给主机，修改arp缓存，从而重定向 IP数据流到攻击者主机
阻止目标的数据包通过网关
实际上原理也是修改被攻击主机的arp缓存

RIP分析

处理策略
仅与相邻路由器交换信息
交换信息是自己的路由表
按固定时间间隔交换信息
安全分析
RIPv1不支持认证并且使用不可靠的UDP作为传输协议，安全性极差
• 导致攻击者可以轻易伪造RIP路由更新信息，向邻居路由发送
RIPv2支持明文认证和MD5认证，认证以单向为主，但明文认证的安全性依然比较弱
RIPng为IPv6环境下运行的RIP，利用IPsec提供的安全机制保证了交换路由信息的安全性

OSPF分析

处理策略
向本系统所有路由器发送消息（泛洪法）
发送的是与本路由器相邻的所有路由器的状态
只有当链路状态发生改变时才发送消息
安全分析
OSPF的三种认证方式
• 默认认证方式是不认证
• 简单口令认证（明文传输）
• MD5加密身份认证（使用非递减的加密序列一定程度防止重放攻击，但序列号从最大值回滚回初值或路由器重启后仍能进行重放攻击）
• 容易遭受重放或伪造攻击
常见攻击手段
• 最大年龄攻击
• 序列号加 1 攻击
• 最大序列号攻击
• 重放攻击
• 篡改攻击

BGP分析

https://zhuanlan.zhihu.com/p/25433049 （BGP分析）
安全分析
缺乏一个安全可信的路由认证机制（一个自治系统对外通告不属于自己的地址快前缀）
面临因使用TCP而产生的安全问题
管理员密码泄露导致路由表更改
数字大炮，利用路由表更新机制造成主干网络路由器瘫痪

TCP安全分析

拒绝服务攻击（例如SYN Flood攻击，TCP链接耗尽攻击）
序号预测，TCP会话劫持
网络扫描

DNS安全分析

域名欺骗
事务ID欺骗：通过网络监听或序列号预测发送相同数据包id的响应报文给目标主机，并是在正确的报文返回前就要发送给目标主机
缓存投毒：将污染的记录插入到DNS服务器的缓存记录中。
网络通信攻击
分布式拒绝服务攻击（DDos）
恶意网址重定向
中间人攻击（MITM）
IGP（Interior Gateway Protocol）：内部网关协议，在一个AS内部所使用的一种路由协议。一个AS内部也可以有多个路由器管理多个网络。各个路由器之间需要路由信息以知道子网络的可达信息。IGP就是用来管理这些路由。代表的实现有RIP和OSPF。EGP（Exterior Gateway Protocol）：外部网关协议，在多个AS之间使用的一种路由协议，现在已经淘汰，被BGP取而代之。
都是IGP

– 若图片不清晰可私聊要原文件

标签：分析,word,导图,网络协议,认证,攻击,IPv6,路由,路由器
来源： https://blog.csdn.net/qq_56438857/article/details/123114630

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。