网络层安全服务与攻击技巧分析

核心提示： 针对泄漏密钥攻击的分析IPv6下IPsec工作的两种模式(传输模式和隧道模式)都需要密钥交换这样的过程，因此对密钥的攻击仍然具有威胁，网络层安全服务与攻击技巧分析(2)，尽管对于攻击者来说确定密钥是一件艰难而消耗资源的过程，但是这种可能性实实在在存在，其中全部填充伪造的返回地址，这样乙被动

针对泄漏密钥攻击的分析
　　
　　IPv6下IPsec工作的两种模式(传输模式和隧道模式)都需要密钥交换这样的过程，因此对密钥的攻击仍然具有威胁。尽管对于攻击者来说确定密钥是一件艰难而消耗资源的过程，但是这种可能性实实在在存在。当攻击者确定密钥之后，攻击者使用泄露密钥便可获取对于安全通信的访问权，而发送者或接收者却全然没有察觉攻击，后面所进行的数据传输等等遭到没有抵抗的攻击。进而，攻击者使用泄露密钥即可解密或修改其他需要的数据。同样攻击者还会试图使用泄露密钥计算其它密钥，从而使其获取对其它安全通信的访问权。

针对应用层服务攻击
　　
　　应用程序层攻击的目标是应用程序服务器，即导致服务器的操作系统或应用程序出错。这会使攻击者有能力绕过正常访问控制。攻击者利用这一点便可控制应用程序、系统或网络，并可进行下列任意操作：读取、添加、删除或修改数据或操作系统 ；引入病毒，即使用计算机与软件应用程序将病毒复制到整个网络；引入窃探器来分析网络与获取信息，并最终使用这些信息导致网络停止响应或崩溃；异常关闭数据应用程序或操作系统；禁用其它安全控制以备日后攻击。
　　
　　由于IPsec在网络层进行数据包加密，在网络传输过程中防火墙无法有效地将加密的带有病毒的数据包进行有效的监测，这样就对接收端的主机或路由器构成了威胁。

可能发生的拒绝服务攻击
　　
　　密钥管理分为手工密钥管理和自动密钥管理。Internet密钥管理协议被定位在应用程序的层次，IETF规定了Internet安全协议和密钥管理协议ISAKMP(Internet Security Association and Key Management Protocol) 来实现IPSec的密钥管理需求, 为身份验证的SA 设置以及密钥交换技术定义了一个通用的结构, 可以使用不同的密钥交换技术；IETF还设计了OA KL EY密钥确定协议(Key Determination Protocol) 来实施ISAKMP的具体功能, 其主要目的是使需要保密通信的双方能够通过这个协议证明自己的身份、认证对方的身份、确定采用的加密算法和通信密钥, 从而建立起安全的通信连接。
　　
　　对IPsec最主要的难应用性在于它们所强化的系统的复杂性和缺乏清晰性。IPsec中包含太多的选项和太多的灵活性。对于相同的或者类似的情况常常有多种做法。
　　
　　IKE的协议容易受到拒绝服务攻击。攻击者可以在因特网初始化许多连接请求就可以做到，这时服务器将会维护这些恶意的“小甜饼”。
　　
　　加密是有代价的。进行模数乘幂运算，或计算两个非常大的质数的乘积，甚至对单个数据包进行解密和完整性查验，都会占用cpu的时间。发起攻击的代价远远小于被攻击对象响应这种攻击所付出的代价。例如，甲想进行一次Diffie-Hellman密钥交换，但mallory向她发送了几千个虚假的Diffie-Hellman公共值，其中全部填充伪造的返回地址。这样乙被动地进入这种虚假的交换。显然会造成cpu的大量浪费。