网络安全——网络层安全协议

一.网络攻击与防御
1.常见的网络攻击
如果没有适当的安全措施和安全的访问控制方法，在网络上传输的数据很容易受到各式各样的攻击。

网络攻击既有被动型的，也有主动型的。

被动攻击通常指信息受到非法侦听。
主动攻击则往往意味着对数据甚至网络本身恶意的篡改和破坏。
以下列举几种常见的网络攻击类型。

（1）窃听
一般情况下，绝大多数网络通信都以一种不安全的“明文”形式进行，这就给攻击者很大的机会。只要获取数据通信路径，就可轻易“侦听”或者“解读”明文数据流。窃听型攻击者虽然不破坏数据，却可能造成通信信息外泄，甚至危及敏感数据安全。

对于多数普通企业来说，这类网络窃听行为已经构成网管员面临的最大的网络安全问题。

（2）数据簒改
网络攻击者非法读取数据后，下一步通常就想去篡改它，而且这种篡改一般可以做得让数据包的发送方和接收方无知无觉。

但作为网络通信用户，即使并非所有的通信数据都是高度机密的，也不想看到数据在传输过程中出现任何差错。比如在网上购物，一旦我们提交了购物订单，谁也不希望订单中的任何内容被人肆意篡改。

（3）身份欺骗（IP地址欺骗）
大多数网络操作系统使用IP地址来标识网络主机。然而，一些貌似合法的IP地址很有可能是经过伪装的，这就是所谓的IP地址欺骗，也就是身份欺骗。另外，网络攻击者还可以使用一些特殊的程序，对某个从合法地址传来的数据包做些手脚，借此合法地址来非法侵入某个目标网络。

（4）盗用口令攻击
基于口令的访问控制是一种最常见的安全措施。是对某台主机或网络资源的访问权限决定于谁，也就是说，这种访问权是基于用户名和账号密码的。攻击者可以通过多种途径获取用户合法账号，一旦拥有了合法账号，也就拥有了与合法用户同等的网络访问权限。

因此，假设账号被盗的用户具有网管权限，攻击者甚至可以借机给自己再创建一个合法账号，以备后用。有了合法账号进入目标网络后，攻击者也就可以随心所欲地盗取合法用户信息以及网络信息；修改服务器和网络配置，包括访问控制方式和路由表；篡改、重定向、删除数据等。

（5）拒绝服务攻击
与盗用口令攻击不同，拒绝服务攻击的目的不在于窃取信息，而是要使某个设备或网络无法正常运作。

在非法侵入目标网络后，这类攻击者惯用的攻击手法如下。

①首先设法转移网管员注意力，使之无法立刻察觉有人入侵，从而给自己争取时间。
②向某个应用系统或网络服务系统发送非法指令，致使系统出现异常行为或异常终止。
③向某台主机或整个网络发送大量数据洪流，导致网络因不堪过载而瘫痪。
④拦截数据流，使授权用户无法取得网络资源。

（6）中间人攻击
顾名思义，中间人攻击发生在用户与通信对象之间，即通信过程以及通信数据遭到第三方的监视、截取和控制，例如攻击者可以对数据交换进行重定向等。如果通信中使用网络底层协议，通信两端的主机是很难区分出不同对象的，因此也不大容易察觉这类攻击。中间人攻击有点类似于身份欺骗。

（7）盗取密钥攻击
一般来说，盗取密钥是很困难的，但并非不可能。通常把被攻击者盗取的密钥称为“已泄密的密钥”。攻击者可以利用这个已泄密的密钥，对数据进行解密和修改，甚至还能试图利用该密钥计算其他密钥，以获取更多加密信息。

2.防御方法及优点
（1）边界防御
众所周知，网络攻击常常可能导致系统崩溃及敏感数据的外泄，因此数据资源必须受到足够的保护，以防被侦听、篡改或非法访问。常规网络保护策略有使用防火墙、安全路由器(安全网关)以及对拨号用户进行身份认证等。这些措施通常被称为“边界保护”，往往只着重于抵御来自网络外部的攻击，但不能阻止网络内部的攻击行为。

例如，一台主机由多个用户共享，往往会发生人不在了，而机器却仍处于登录状态的情况，从而导致系统出现不安全因素。访问控制法最大的缺陷是一旦用户账号被窃，就根本无法阻止攻击者盗取网络资源。

还有一种比较少见的保护策略是物理级保护，就是保护实际的网络线路和网络访问结点，禁止任何未经授权的使用。采用这种保护方式，当数据需要从数据源通过网络传输到目的地时，无法做到保证数据的全程安全。

（2） 用IPSec抵御网络攻击
IPSec采用端到端加密模式，基本工作原理是发送方在数据传输前(即到达网线之前)对数据实施加密。在整个传输过程中，报文都是以密文方式传输，直到数据到达目的结点，才由接收端进行解密。

IPSec对数据的加密以数据包而不是整个数据流为单位，这不仅更灵活，也有助于进一步提高IP数据包的安全性。通过提供强有力的加密保护，IPSec可以有效防范网络攻击，保证专用数据在公共网络环境下的安全性。

（3）第三层保护的优点
通常，IPSec提供的保护需要对系统作一定修改，但是IPSec在IP传输层，即第三层的“策略执行”(Strategic lmplementation).几乎不需要什么额外开销就可以实现为绝大多数应用系统、服务和上层协议提供较高级别的保护；为现有的应用系统和操作系统配置，IPSec几乎无须作任何修改，安全策略可以在Active Directory里集中定义，也可以在某台主机上进行本地化管理。