网络安全·第一天·IP协议安全分析

本篇博客讲述的是网络安全中一些协议缺陷以及相应的理论知识，本博主尽可能讲明白其中的一些原理以及对应的防卫措施。

学习考研408的同学也能进来看看，或许对考研有些许帮助（按照考研现在的趋势，年年都有新题目，本文当作课外拓展也是可以的）。

提及黑客，很多人的第一想法或许是一位戴着邪恶面具，躲在逼仄的房间里几天没有洗澡的油腻男，他们窃取许多无辜百姓们的信息，并且利用这些信息对目标受众进行欺骗。也有的人会觉得黑客是很酷的一个职业，他们捍卫国家的机密，并且对敌国的信息进行窃听，是人见人爱的大英雄。

事实上，以上两种说法都有道理，就好像我们写语文或者英语作文时总是把某个东西比作成“双刃剑”，有好的一面自然也会有坏的一面。在这里要借用《大明王朝1566》中不粘锅赵贞吉的一句话“功过总是结伴而行，我不求有功，无过便是功。”

可以不用黑客技术去黑掉敌对势力的网络与主机，更重要的是“无过”二字，不要用技术去犯下过错，酿成灾难，这是所有技术人员应该遵循的底线。

端正好思想后，就跟随博主，一起来了解部分网络协议的具体作用以及相应的漏洞吧！

一、网络层与IP协议作用

要想搞清楚IP协议的作用，首先要了解清楚网络层的定位。
网络层是负责地址管理和路由选择。

IP协议：网络层的一个协议，通过IP地址来标识一台主机，并通过路由表的方式规划出两台主机之间的数据传输的路由线路。

IP地址的核心作用就是用于定位主机IP具有将一个数据数据从A主机跨网络送到B主机的能力（主机到主机）

二、IP数据报格式

版本号（version）：4位，指定IP协议的版本，对于IPv4来说，就是4，而IPv6则该字段为6
首部长度（header length）：4位，表示IP报头的长度，以4字节为单位（口诀：1位总司令与4位首长要抓8个骗子：总长度乘1倍，首部长度乘4倍，片偏移乘8倍）
服务类型（Type Of Service）：8位，分为3位优先权字段（已经弃用），4位TOS字段，和1位保留字段（必须置为0）。
总长度（total length）：16位，IP报文（IP报头+有效载荷）的总长度，用于将各个IP报文进行分离。
标识（id）：16位，唯一的标识主机发送的报文，如果数据在IP层进行了分片，那么每一个分片对应的id都是相同的
标志字段：3位，第一位保留，暂时无用。第二位表示禁止分片DF（Don't Fragment)，表示如果报文长度超过MTU，IP协议就会丢弃该报文。第三位表示更多分片MF（More Fragment)，如果报文没有进行分片，则该字段设置为0，如果报文进行了分片，则除了最后一个分片报文设置为0以外，其余分片报文均设置为1
片偏移（framegament offset）：13位，分片相对于原始数据开始处的偏移，表示当前分片在原数据中的偏移位置，实际偏移的字节数是这个值乘8得到的。因此除了最后一个报文之外，其他报文的长度必须是8的整数倍。（由此也可以推出，算片偏移时是不带报头的，例如第一片报文为24B，报头是20B，要是带上报头计算的话，44不能被8整除）
生存时间（Time To Live，TTL）：8位，数据报到达目的地的最大报文跳数，一般是64，每经过一个路由，TTL 减 1，一直减到0还没到达，那么就丢弃了，这个字段主要是用来防止出现路由循环
8位协议：表示上层协议的类型
首部检验和：16位，使用CRC进行校验，只检验数据报的首部是否损坏，不检验数据部分
源IP地址（Source IP Address）：32位，指示发送该数据报的源主机的IP地址。
目标IP地址（Destination IP Address）：32位，指示接收该数据报的目标主机的IP地址
选项字段：不定长，最多40字节

三、IP协议漏洞

1、数据报格式类漏洞

①.“源IP地址”

IP协议缺乏对地址真实性的认证机制，不能保证数据就是从数据包中给定的源地址发出的。

②.“目标IP地址”

不能确保就一定能把数据发给了数据包报头中目的地址的主机。

③.“首部校验和”

由于IP层没有采用任何机制保证数据净荷的正确性，只检验首部的正确性，导致攻击者可能截取数据报，修改数据报中的内容，将修改结果发送给接收方。

④“标志”

上面三类漏洞都好理解，最恶心的是利用标志位的这类攻击，也就是说，这类攻击常常以分片的方式来恶心人。

主要分为大包分片攻击、极小碎片攻击以及分片重叠攻击这三大类。

大包分片攻击利用分片重组的特点，使受害主机在数据包重组之后的长度超过65535字节，使得事先分配的缓冲区溢出，造成系统崩溃。

极小碎片攻击稍微复杂一点，他是攻击者通过恶意操作，发送极小的分片来绕过包过滤系统或者入侵检测系统的一种攻击手段。

最典型的例子是，将TCP报头分布在2个分片中，标志字段包含在第二个分片中; 若包过滤设备或者入侵检测系统通过判断TCP SYN标志来采取禁止外部连接，则可能放行这些分片报文。

分片重叠攻击则是在分片报文重组时，使数据产生重叠，造成系统崩溃或绕过防火墙。

数据重叠造成系统崩溃的意思很明显，假设第一个分片报文长为80B，第二个分片却在报头偏移量的位置填了个5而不是10，在重组时有40B的内容就会被吞掉，造成系统崩溃。

而绕过防火墙则需要与标识位配合，假设防火墙运行目的端口40通过，而不允许目的端口50通过，则通过分片重叠，可以让目的端口仍为40但却可以绕过防火墙。

所以通过以上IP报文逻辑漏洞的分析，我们就能很清楚的找到对应策略，最极端的方式就是减少分片，能不分片就尽量不分片，同时也要丢弃过短的报文，避免极小碎片攻击，再者，为了避免上图中绕过防火墙的行为，可以先对报文重组，重组后再判断是否该重组后的报文需要被过滤掉。

2、IP定向广播攻击

①定向广播地址的定义

定向广播地址是每个子网的最后一个IP地址，用于向该子网内所有设备发送广播数据包。例如192.168.1.0/24的定向广播地址就是192.168.1.255。

当数据包发送到定向广播地址时，路由器会将其转发到目标子网，并由子网内所有主机接收。

②典型攻击：smurf攻击

例如，·攻击者A伪造源地址为受害主机B，并向定向广播地址发送大量的ICMP中的Ping请求，此时，该子网内的主机都会向受害者B回复一个ICMP Echo Reply。而受害者突然收到了这么多的回复导致服务中断，遭受DDos攻击。

这就好比，伍老师邪恶的课代表狐假虎威，代替老师给全班乱布置作业，让全班同学今天回去之后写篇八百字的作文。事实上，语文老师自己都不知道自己给全班同学布置了一篇作文，这就导致第二天要改全班三四十篇作文，累得要命，从而没有精力给班上上课了。

③防御措施

防范此类攻击，最简单的就是禁用定向广播转发功能，并且想办法找出并过滤掉伪造IP源地址的数据包，这都能从根源上抵御该类型攻击。

3、IP源路由欺骗

①IP source routing

什么是IP source routing呢？它是IP数据包中有一个选项，可以指定从源到目的的路由，则目的到源的应答包也会沿着这个路由传递。它分为两种类型：

严格源路由：简称SSR,Strict Source Routing，不是阴阳师抽卡里面的SSR。在该条件下，数据包必须严格按照指定路径转发，否则将会丢弃该数据包。

松散源路由：LSR，Loose Source Routing，数据包经过指定路径中的关键节点，其余路径由路由器决定。

这就好比大耳朵图图放学回家，有羊肠小道的小路也有布满监控的大路。但是走小道回家会有小混混收保护费，图图为了自己不被小混混盯上，安全回家，所以在此期间他老老实实的走大路回家，完全不经过巷子，这就是“严格源路由”。而经过扫黑除恶行动后，小混混没有以前那么猖獗了，图图也开始时不时走走小道，但是为了以防万一，他在回家的路上，肯定会经过警局，至于去警局走哪条路，从警局回家走哪条道，图图随缘决定，这就是“松散源路由”。

②攻击原理

攻击者可以利用“IP source routing”选项获取到应答数据包，并且通过伪装IP地址进行网络攻击。攻击者利用源路由选项，伪装成另一个IP地址，发送数据包到目标服务器，从而获取不属于自己的信息。

例如，受害者A向服务器B发送数据，攻击者C伪造一个源路由选项位A->C->B的数据包，则接收方B收到消息后，会自动沿着源路由选项的逆向路径回复，即B->C->A，后续双方的通信都被迫经过C，C就可以实现中间人MITM攻击，也可以监听A与B的全部信息从而获取关键信息（例如HTTP密码、cookie），甚至在双方的通信中加入恶意代码。