OSI七层存在安全漏洞吗?一般大家对的了解可能停留在概念的层面上,而对于了解相对较少。今天就跟大家聊聊
①物理层
物理层上的安全保护的措施不多。如果一个潜在的可以访问物理介质,如搭线窃
听和探测,就可以复制所有传送信息。唯一有效的保护方法是使用加密和流量填充等技术。
这些技术可以有效地防止利用探测器来获得信息。
网络拓扑结构反映了网络的构成。安全管理人员应对其进行保护。最常用的
和到网络中的一种方法是在该企业内部的主机上安装一个包探测器。它能记住物理介
质上传输数据的电子信号。
②网络层
经常利用一种叫做IP欺骗的技术,把源IP地址替换成一个错误的IP地址。接收
主机不能判断源IP地址是不正确的,因此上层协议必须执行一些检查来防止这种欺骗。
使用IP欺骗的一种很有名的是蓝精灵。这种是向大量的远程主机发送一
系列的萍请求命令之后,把源IP地址替换成想要的目标主机的IP地址。所有
的远程计算机都响应这些萍请求,而对目标地址进行回复却不是回复给者的IP地
址,而是目标主机的IP地址,目标主机将被大量的ICMP包淹没而不能有效地工作.Smurf
是一种拒绝服务。
ICMP在IP层用于检查错误和查询。例如,萍一台主机以确定其是否运行时,就产
生了一条ICMP消息。远程主机将用其ICMP消息对萍请求做出回应。这种通信过程在
多数网络中是正常的。然而,则用ICMP消息*远程网络或主机。如利用ICMP来
消耗带宽从而有效地摧毁站点。至今,微软的站点对ping不作响应,因为微软已经过滤了
所有的ICMP请求。有些公司现在也在他们的防火墙上过滤了ICMP流量。
③传输层
传输层控制主机之间数据流的传输。传输层存在两个协议,即传输控制协议(TCP)
和用户数据报协议(UDP)。
(1) TCP
TCP是一个面向连接的协议,保证数据的可靠传输.TCP协议用于多数的互联网服务,
如HTTP、FTP及SMTP。最常见的传输层安全技术为安全套接字层协议SSL。其由网景
通信公司设计,结构分为两层,如图2所示。
SSL协商层:双方通过协议层约定有关加密的算法,进行身份认证等。
SSL记录层:将上层的数据进行分段,压缩后加密,由TCP传送出去。
对于SSL交换过程的管理,协商层通过三个协议给予支持。其SSL的协议栈如图2 - 2
所示。
SSL采用公钥方式进行身份认证,用对称密钥方式进行大量数据传输。通过双方协商
SSL可以支持多种身份认证,加密和检验算法。两个层次对应的协议功能如下:
SSL记录协议:其对应用程序提供的信息进行分段,压缩,数据认证和加密.SSL中
的握手协议用于协商数据认证和数据加密的过程.SSLv3支持用MD5和SHA进行数据认证以及用DES对数据加密。
④应用层
应用层大约有1800000个应用程序可以用之于TCP/IP上。保护网络上的每一个应用程
序是不太可能的,只允许一些特殊的应用程序通过网络进行通信是一个有效的方法。
1。简单邮件传输协议(SMTP)
通过SMTP协议将破坏邮件服务器。通常对SMTP服务器采用不同方式的
。比如经常向SMTP服务器发送大量的电子邮件信息使得服务器不能处理合法用户
的邮件流量,导致SMTP服务器不可用,从而对合法的邮件用户造成拒绝服务。
目前很多病毒是通过邮件或其附件进行传播的,因此,SMTP服务器应能扫描所有邮
件信息。
2。文件传输协议(FTP)
FTP用来建立TCP/IP连接后发送和接收文件.FTP由服务器和客户端组成,几乎每一
个TCP/IP主机都有内置的FTP客户端,并且大多数的服务器都有一个FTP服务器程序。
FTP用两个端口通信。利用TCP21端口来控制连接的建立,控制连接端口在整个FTP会
话中保持开放,用来在客户端和服务器之间发送控制信息和客户端命令。数据连接建立使
用一个短暂的临时端口。在客户端和服务器之间传输一个文件时每次都建立一个数据连接。
FTP服务器有的不需要对客户端进行认证;当需要认证时,所有的用户名和密码都是
以明文传输。破坏之一就是寻找允许匿名连接并且有写权限的FTP服务器,然后上传
不正确的信息以塞满整个硬盘空间,从而导致操作系统不能正常运行。还可以使日志文件
没有空间再记录其他事件,这样企图进入操作系统或其他服务而不被日志文件所检查
到
3。超文本传输协议(HTTP)
HTTP是互联网上应用最广泛的协议.北京使用80端口来控制连接和一个临时端口
