网络层安全服务与攻击技巧分析

核心提示： IPsec对相应的攻击提出了相应的对策，但它并不是通过抵挡服务否认攻击来进行主动防御，网络层安全服务与攻击技巧分析(3)，只是增大了发送这种垃圾包的代价及复杂度，来进行一种被动防御，要先知先觉，这样才会未雨绸缪，但是攻击者仍然可以利用IKE协议的漏洞从而使服务中断，以下是基于签名的IKE阶

IPsec对相应的攻击提出了相应的对策。但它并不是通过抵挡服务否认攻击来进行主动防御，只是增大了发送这种垃圾包的代价及复杂度，来进行一种被动防御。
　　
　　但是攻击者仍然可以利用IKE协议的漏洞从而使服务中断。
　　
　　以下是基于签名的IKE阶段1主模式的认证失败(如图4所示)。
　　
　　(Malice 对I使用他的真实身份信息，而对R则冒充I)
　　
　　1. I到Malice：HDRI,SAI;
　　
　　1’Malice(“I”)到R：HDRI，SAI；
　　
　　2’R到Malice(“I”):HDRR,SAR；
　　
　　2.Malice到I：HDRR，SAR；
　　
　　3.I到Malice：HDRI，gx，NI；
　　
　　3’Malice(“I”)到R：HDRI,gx,NI；
　　
　　4’R到Malice(“I”)：HDRR，gy，NR；
　　
　　4.Malice到I：HDRR，gy，NR；
　　
　　5.I到Malice：HDRI，{IDI,CertI,SigI}gxy?；
　　
　　5’Malice(“I”)到R：HDRI，{IDI,CertI,SigI}gxy；
　　
　　6’R到Malice(“I”)：HDRR，{IDR,CertR,SigR}gxy；
　　
　　6. Dropped。
　　
　　这样，R认为刚才和他对话并和他共享会话密钥的是I，而I却认为刚才是和Malice进行了一次不成功的通信。R根本不会被通知存在任何异常，并且也许会拒绝来自I的服务；实际上R进入了这样一种状态，只接受来自I的服务请求(也许直到“超时”后，R才会脱离这样的状态。)
　　
　　面对越来越多的网络安全问题，唯有各种安全协议有效地结合起来使用才会降低攻击的可能性。由于IPsec是IPv6下强制使用的，加上网络层加密的特殊优点，把工作于IP层的IPsec和其他的安全协议(SSL等)结合起来可以将网络安全的质量提高到更高的一个水平。但是同时道高一尺，魔高一丈，新的安全问题会接踵而至，对于协议的漏洞，要先知先觉，这样才会未雨绸缪，防患于未然。