OSI七層存在安全漏洞嗎?

OSI七層存在安全漏洞嗎?一般大家對(duì)OSI七層的了解可能停留在概念的層面上,而對(duì)于OSI七層的安全漏洞了解相對(duì)較少。今天就跟大家聊聊OSI七層潛在的安全漏洞。

創(chuàng)新互聯(lián)建站專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù),包含不限于成都網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)、臺(tái)江網(wǎng)絡(luò)推廣、微信小程序開發(fā)、臺(tái)江網(wǎng)絡(luò)營(yíng)銷、臺(tái)江企業(yè)策劃、臺(tái)江品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營(yíng)等,從售前售中售后,我們都將竭誠(chéng)為您服務(wù),您的肯定,是我們最大的嘉獎(jiǎng);創(chuàng)新互聯(lián)建站為所有大學(xué)生創(chuàng)業(yè)者提供臺(tái)江建站搭建服務(wù),24小時(shí)服務(wù)熱線:18980820575,官方網(wǎng)址:muchs.cn

①物理層
物理層上的安全保護(hù)的措施不多。如果一個(gè)潛在的可以訪問物理介質(zhì),如搭線竊
聽和探測(cè),就可以復(fù)制所有傳送信息。唯一有效的保護(hù)方法是使用加密和流量填充等技術(shù)。
這些技術(shù)可以有效地防止利用探測(cè)器來(lái)獲得信息。
網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)反映了網(wǎng)絡(luò)的構(gòu)成。安全管理人員應(yīng)對(duì)其進(jìn)行保護(hù)。最常用的
和到網(wǎng)絡(luò)中的一種方法是在該企業(yè)內(nèi)部的主機(jī)上安裝一個(gè)包探測(cè)器。它能記住物理介
質(zhì)上傳輸數(shù)據(jù)的電子信號(hào)。
②網(wǎng)絡(luò)層
經(jīng)常利用一種叫做 IP 欺騙的技術(shù),把源 IP 地址替換成一個(gè)錯(cuò)誤的 IP 地址。接收
主機(jī)不能判斷源 IP 地址是不正確的,因此上層協(xié)議必須執(zhí)行一些檢查來(lái)防止這種欺騙。
使用 IP 欺騙的一種很有名的是 Smurf 。這種是向大量的遠(yuǎn)程主機(jī)發(fā)送一
系列的 ping 請(qǐng)求命令之后,把源 IP 地址替換成想要的目標(biāo)主機(jī)的 IP 地址。所有
的遠(yuǎn)程計(jì)算機(jī)都響應(yīng)這些 ping 請(qǐng)求,而對(duì)目標(biāo)地址進(jìn)行回復(fù)卻不是回復(fù)給者的 IP 地
址,而是目標(biāo)主機(jī)的 IP 地址,目標(biāo)主機(jī)將被大量的 ICMP 包淹沒而不能有效地工作。Smurf
是一種拒絕服務(wù)。
ICMP 在 IP 層用于檢查錯(cuò)誤和查詢。例如,ping 一臺(tái)主機(jī)以確定其是否運(yùn)行時(shí),就產(chǎn)
生了一條 ICMP 消息。遠(yuǎn)程主機(jī)將用其 ICMP 消息對(duì) ping 請(qǐng)求做出回應(yīng)。這種通信過程在
多數(shù)網(wǎng)絡(luò)中是正常的。然而,則用 ICMP 消息*遠(yuǎn)程網(wǎng)絡(luò)或主機(jī)。如利用 ICMP 來(lái)
消耗帶寬從而有效地摧毀站點(diǎn)。至今,微軟的站點(diǎn)對(duì) ping 不作響應(yīng),因?yàn)槲④浺呀?jīng)過濾了
所有的 ICMP 請(qǐng)求。有些公司現(xiàn)在也在他們的防火墻上過濾了 ICMP 流量。
③傳輸層
傳輸層控制主機(jī)之間數(shù)據(jù)流的傳輸。傳輸層存在兩個(gè)協(xié)議,即傳輸控制協(xié)議(TCP)
和用戶數(shù)據(jù)報(bào)協(xié)議(UDP)。
(1)TCP
TCP 是一個(gè)面向連接的協(xié)議,保證數(shù)據(jù)的可靠傳輸。TCP 協(xié)議用于多數(shù)的互聯(lián)網(wǎng)服務(wù),
如 HTTP、FTP 及 SMTP。最常見的傳輸層安全技術(shù)為安全套接字層協(xié)議 SSL。其由 Netscape
通信公司設(shè)計(jì),結(jié)構(gòu)分為兩層,如圖 2-1 所示。
SSL 協(xié)商層:雙方通過協(xié)議層約定有關(guān)加密的算法、進(jìn)行身份認(rèn)證等。
SSL 記錄層:將上層的數(shù)據(jù)進(jìn)行分段、壓縮后加密,由 TCP 傳送出去。
對(duì)于 SSL 交換過程的管理,協(xié)商層通過三個(gè)協(xié)議給予支持。其 SSL 的協(xié)議棧如圖 2-2
所示。
SSL 采用公鑰方式進(jìn)行身份認(rèn)證,用對(duì)稱密鑰方式進(jìn)行大量數(shù)據(jù)傳輸。通過雙方協(xié)商
SSL 可以支持多種身份認(rèn)證、加密和檢驗(yàn)算法。兩個(gè)層次對(duì)應(yīng)的協(xié)議功能如下:
SSL 記錄協(xié)議:其對(duì)應(yīng)用程序提供的信息進(jìn)行分段、壓縮、數(shù)據(jù)認(rèn)證和加密。SSL 中
的握手協(xié)議用于協(xié)商數(shù)據(jù)認(rèn)證和數(shù)據(jù)加密的過程。SSLv3 支持用 MD5 和 SHA 進(jìn)行數(shù)據(jù)認(rèn)證以及用 DES 對(duì)數(shù)據(jù)加密。

④應(yīng)用層

應(yīng)用層大約有 1800000 個(gè)應(yīng)用程序可以用于 TCP/IP 之上。保護(hù)網(wǎng)絡(luò)上的每一個(gè)應(yīng)用程
序是不太可能的,只允許一些特殊的應(yīng)用程序通過網(wǎng)絡(luò)進(jìn)行通信是一個(gè)有效的方法。
1.簡(jiǎn)單郵件傳輸協(xié)議(SMTP)
通過 SMTP 協(xié)議將破壞 Email 服務(wù)器。通常對(duì) SMTP 服務(wù)器采用不同方式的
。比如經(jīng)常向 SMTP 服務(wù)器發(fā)送大量的 Email 信息使得服務(wù)器不能處理合法用戶
的 Email 流量,導(dǎo)致 SMTP 服務(wù)器不可用,從而對(duì)合法的 Email 用戶造成拒絕服務(wù)。
目前很多病毒是通過郵件或其附件進(jìn)行傳播的。因此,SMTP 服務(wù)器應(yīng)能掃描所有郵
件信息。
2.文件傳輸協(xié)議(FTP)
FTP 用來(lái)建立 TCP/IP 連接后發(fā)送和接收文件。FTP 由服務(wù)器和客戶端組成,幾乎每一
個(gè) TCP/IP 主機(jī)都有內(nèi)置的 FTP 客戶端,并且大多數(shù)的服務(wù)器都有一個(gè) FTP 服務(wù)器程序。
FTP 用兩個(gè)端口通信。利用 TCP21 端口來(lái)控制連接的建立,控制連接端口在整個(gè) FTP 會(huì)
話中保持開放,用來(lái)在客戶端和服務(wù)器之間發(fā)送控制信息和客戶端命令。數(shù)據(jù)連接建立使
用一個(gè)短暫的臨時(shí)端口。在客戶端和服務(wù)器之間傳輸一個(gè)文件時(shí)每次都建立一個(gè)數(shù)據(jù)連接。
FTP 服務(wù)器有的不需要對(duì)客戶端進(jìn)行認(rèn)證;當(dāng)需要認(rèn)證時(shí),所有的用戶名和密碼都是
以明文傳輸。破壞之一就是尋找允許匿名連接并且有寫權(quán)限的 FTP 服務(wù)器,然后上傳
不正確的信息以塞滿整個(gè)硬盤空間,從而導(dǎo)致操作系統(tǒng)不能正常運(yùn)行。還可以使日志文件
沒有空間再記錄其他事件,這樣企圖進(jìn)入操作系統(tǒng)或其他服務(wù)而不被日志文件所檢查
到。
3.超文本傳輸協(xié)議(HTTP)
HTTP 是互聯(lián)網(wǎng)上應(yīng)用最廣泛的協(xié)議。HTTP 使用 80 端口來(lái)控制連接和一個(gè)臨時(shí)端口
傳輸數(shù)據(jù),HTTP 有兩個(gè)明顯的安全問題,即客戶端瀏覽應(yīng)用程序和 HTTP 服務(wù)器外部應(yīng)
用程序。HTTP 客戶端使用瀏覽器訪問和接收從服務(wù)器端返回的 Web 頁(yè)面。若下載了有破壞性的 Active X 控件或 Java Applets。這些程序在用戶的計(jì)算機(jī)上執(zhí)行并含有某種類型的代碼,可能是病毒或特洛伊。對(duì)于這種破壞的最佳保護(hù)方法是警告用戶不要下載未被檢驗(yàn)過的應(yīng)用程序。
為了擴(kuò)大和擴(kuò)展 Web 服務(wù)器的功能,一些擴(kuò)展的應(yīng)用程序加入到 HTTP 服務(wù)器中。如
Java、CGI、AST 等等。這些程序都有一些安全漏洞,一旦 Web 服務(wù)器開始執(zhí)行代碼可能遭到破壞。
4.遠(yuǎn)程登錄協(xié)議(Telnet)
Telnet 是用于遠(yuǎn)程終端訪問的并可用來(lái)管理 UNIX 機(jī)器。首先考慮 Telnet 安全問題的
因素是它允許遠(yuǎn)程用戶登錄。其次 Telnet 是以明文的方式發(fā)送所有的用戶名和密碼。有經(jīng)
驗(yàn)的可以劫持一個(gè) Telnet 會(huì)話。
5.簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)
SNMP 允許管理員檢查狀態(tài)并且有時(shí)修改 SNMP 代理的配置。管理者收集所有由
SNMP 代理發(fā)送的 trap,并且直接從這些代理查詢信息。SNMP 通過 UDP 的 161 和 162 端口傳遞所有的信息。
SNMP 所提供的有效認(rèn)證是團(tuán)體名。若管理者和代理有相同的團(tuán)體名并處于權(quán)限允許
的 IP 地址段內(nèi)將允許所有 SNMP 查尋。如果一個(gè)得到了團(tuán)體名,他將能夠查詢和修
改網(wǎng)絡(luò)上所有使用 SNMP 的節(jié)點(diǎn)。另一個(gè)安全問題是所有的信息都是以明文傳輸?shù)?。一個(gè)
用 SNMP 管理器連接到網(wǎng)絡(luò)中的任何位置上都可以得到這些信息。目前 SNMP v3 版
本的應(yīng)用將能解決上述問題。
6.域名系統(tǒng)(DNS)
DNS 在解析域名請(qǐng)求時(shí)使用 UDP 的 53 端口。但是,在進(jìn)行區(qū)域傳輸時(shí)使用 TCP 的
53 端口。區(qū)域傳輸是指以下兩種情況:
(1)客戶端利用 nslookup 命令向 DNS 服務(wù)器請(qǐng)求進(jìn)行區(qū)域傳輸;
(2)從屬域名服務(wù)器向主服務(wù)器請(qǐng)求得到一個(gè)區(qū)域文件。
可以一個(gè) DNS 服務(wù)器并得到它的區(qū)域文件。其結(jié)果是***可以知道這個(gè)區(qū)
域中所有系統(tǒng)的 IP 地址和計(jì)算機(jī)名字。
保護(hù) DNS 服務(wù)器是要把服務(wù)器放到防火墻后面,然后配置防火墻阻止所有的區(qū)域傳
輸,還可配置系統(tǒng)只接受特定主機(jī)的區(qū)域傳輸。

看完上述內(nèi)容,你們對(duì)OSI七層潛在的安全漏洞有進(jìn)一步的了解嗎?如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道,感謝各位的閱讀!

標(biāo)題名稱:OSI七層存在安全漏洞嗎?
文章鏈接:http://muchs.cn/article46/pjpoeg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供軟件開發(fā)、網(wǎng)站建設(shè)網(wǎng)站收錄、電子商務(wù)建站公司、搜索引擎優(yōu)化

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

成都定制網(wǎng)站建設(shè)