防止重放攻击原理.pptxVIP

防止重放攻击原理 基本介绍 AH和ESP协议均提供了一个抗重播服务。 它并非IPSec基本结构明确定义的一部分，但却是两种协议中非常重要的一环。 重播攻击又称为重放攻击、回放攻击，基本原理就是把以前窃听到的数据原封不动的重新发送给接收方，主要用于身份认证。 大多数情况下，窃听者都无法得知网络上传输数据的准确意义，但是如果知道这些数据的作用，就可以在不知道数据内容的情况下通过再次发送这些数据达到愚弄接收端的目的。 重播攻击在任何网络通信过程中都可能发生，是计算机世界黑客常用的攻击方式之一。 IPSec的防重播机制 防重播的机制有三种：时间戳、随机数和滑动窗。IPSec使用的是第三种方法，滑动窗口。 随机数：该方法优点是认证双方不需要时间同步，双方记住使用过的随机数，如发现报文中有以前使用过的随机数，就认为是重放攻击。缺点是需要额外保存使用过的随机数，若记录的时间段较长，则保存和查询的开销较大。 时间戳：该方法优点是不用额外保存其他信息。缺点是认证双方需要准确的时间同步，同步越好，受攻击的可能性就越小。但当系统很庞大，跨越的区域较广时，要做到精确的时间同步并不是很容易。 滑动窗：就是双方在报文中添加一个逐步递增的整数，只要接收到一个不连续的流水号报文(太大或太小)，就认定有重放威胁。该方法优点是不需要时间同步，保存的信息量比随机数方式小。缺点是一旦攻击者对报文解密成功，就可以获得流水号，从而每次将流水号递增欺骗认证端。 IPSec滑动窗口机制 在每个IPSec头内，都包含了一个独一无二、且单调递增的序列号，以及一个“滑动”的窗口。 当创建好一个SA后，序列号变回初始化为零，并在进行IPSec输出处理前，领这个值递增。 窗口最左端对应于窗口的起始位置的序列号，而最右端对应于将来的第“窗口长度”个数据包。 接收到的数据包必须是新的，且必须落在窗口内部，或靠在窗口右侧。否则便将其丢弃。 如通过了真实性检查，窗口便会向右移动，将接收到的那个包包起来。 除非造成窗口向前滑动的那个包通过了真实性检查，否则窗口是不会真的前进的。 否则的话，攻击者便可生成伪造的包，为其植入很大的序列号，令窗口错误移至有效序列号的范围之外，造成我们将有效的数据包错误地丢失。 IPSec滑动窗口机制 原理图如下： 知识点习题 简述重播攻击的三种类型。 简述IPSec滑动窗口原理。 请大家用几分钟的时间 思考并回答问题 知识点习题 简述重播攻击的三种类型。 防重播的机制有三种：时间戳、随机数和滑动窗。IPSec使用的是第三种方法，滑动窗口。 随机数：该方法优点是认证双方不需要时间同步，双方记住使用过的随机数，如发现报文中有以前使用过的随机数，就认为是重放攻击。缺点是需要额外保存使用过的随机数，若记录的时间段较长，则保存和查询的开销较大。 时间戳：该方法优点是不用额外保存其他信息。缺点是认证双方需要准确的时间同步，同步越好，受攻击的可能性就越小。但当系统很庞大，跨越的区域较广时，要做到精确的时间同步并不是很容易。 滑动窗：就是双方在报文中添加一个逐步递增的整数，只要接收到一个不连续的流水号报文(太大或太小)，就认定有重放威胁。该方法优点是不需要时间同步，保存的信息量比随机数方式小。缺点是一旦攻击者对报文解密成功，就可以获得流水号，从而每次将流水号递增欺骗认证端。 知识点习题 简述IPSec滑动窗口原理。 图中窗口最左端的序列号为N，最右端的序列号自然为N+15.编号为N、N+7、N+9、N+16、N+18以及之后的数据包尚未收到（以阴影表示）。 如果最近收到的数据包N+17通过了真实性检查，窗口便会向右滑动一个位置，使窗口左侧变成N+2，右侧变成N+17。 这样便会造成数据包N被丢弃，因为它现在编程靠在滑动接收窗口的左侧。 Thank You