OSI七層存在安全漏洞嗎？

OSI七層存在安全漏洞嗎？一般大家對OSI七層的了解可能停留在概念的層面上，而對于OSI七層的安全漏洞了解相對較少。今天就跟大家聊聊OSI七層潛在的安全漏洞。

①物理層
物理層上的安全保護的措施不多。如果一個潛在的可以訪問物理介質(zhì)，如搭線竊
聽和探測，就可以復(fù)制所有傳送信息。唯一有效的保護方法是使用加密和流量填充等技術(shù)。
這些技術(shù)可以有效地防止利用探測器來獲得信息。
網(wǎng)絡(luò)拓撲結(jié)構(gòu)反映了網(wǎng)絡(luò)的構(gòu)成。安全管理人員應(yīng)對其進行保護。最常用的
和到網(wǎng)絡(luò)中的一種方法是在該企業(yè)內(nèi)部的主機上安裝一個包探測器。它能記住物理介
質(zhì)上傳輸數(shù)據(jù)的電子信號。
②網(wǎng)絡(luò)層
經(jīng)常利用一種叫做 IP 欺騙的技術(shù)，把源 IP 地址替換成一個錯誤的 IP 地址。接收
主機不能判斷源 IP 地址是不正確的，因此上層協(xié)議必須執(zhí)行一些檢查來防止這種欺騙。
使用 IP 欺騙的一種很有名的是 Smurf 。這種是向大量的遠程主機發(fā)送一
系列的 ping 請求命令之后，把源 IP 地址替換成想要的目標(biāo)主機的 IP 地址。所有
的遠程計算機都響應(yīng)這些 ping 請求，而對目標(biāo)地址進行回復(fù)卻不是回復(fù)給者的 IP 地
址，而是目標(biāo)主機的 IP 地址，目標(biāo)主機將被大量的 ICMP 包淹沒而不能有效地工作。Smurf
是一種拒絕服務(wù)。
ICMP 在 IP 層用于檢查錯誤和查詢。例如，ping 一臺主機以確定其是否運行時，就產(chǎn)
生了一條 ICMP 消息。遠程主機將用其 ICMP 消息對 ping 請求做出回應(yīng)。這種通信過程在
多數(shù)網(wǎng)絡(luò)中是正常的。然而，則用 ICMP 消息*遠程網(wǎng)絡(luò)或主機。如利用 ICMP 來
消耗帶寬從而有效地摧毀站點。至今，微軟的站點對 ping 不作響應(yīng)，因為微軟已經(jīng)過濾了
所有的 ICMP 請求。有些公司現(xiàn)在也在他們的防火墻上過濾了 ICMP 流量。
③傳輸層
傳輸層控制主機之間數(shù)據(jù)流的傳輸。傳輸層存在兩個協(xié)議，即傳輸控制協(xié)議（TCP）
和用戶數(shù)據(jù)報協(xié)議（UDP）。
（1）TCP
TCP 是一個面向連接的協(xié)議，保證數(shù)據(jù)的可靠傳輸。TCP 協(xié)議用于多數(shù)的互聯(lián)網(wǎng)服務(wù)，
如 HTTP、FTP 及 SMTP。最常見的傳輸層安全技術(shù)為安全套接字層協(xié)議 SSL。其由 Netscape
通信公司設(shè)計，結(jié)構(gòu)分為兩層，如圖 2-1 所示。
SSL 協(xié)商層：雙方通過協(xié)議層約定有關(guān)加密的算法、進行身份認證等。
SSL 記錄層：將上層的數(shù)據(jù)進行分段、壓縮后加密，由 TCP 傳送出去。
對于 SSL 交換過程的管理，協(xié)商層通過三個協(xié)議給予支持。其 SSL 的協(xié)議棧如圖 2-2
所示。
SSL 采用公鑰方式進行身份認證，用對稱密鑰方式進行大量數(shù)據(jù)傳輸。通過雙方協(xié)商
SSL 可以支持多種身份認證、加密和檢驗算法。兩個層次對應(yīng)的協(xié)議功能如下：
SSL 記錄協(xié)議：其對應(yīng)用程序提供的信息進行分段、壓縮、數(shù)據(jù)認證和加密。SSL 中
的握手協(xié)議用于協(xié)商數(shù)據(jù)認證和數(shù)據(jù)加密的過程。SSLv3 支持用 MD5 和 SHA 進行數(shù)據(jù)認證以及用 DES 對數(shù)據(jù)加密。

④應(yīng)用層

應(yīng)用層大約有 1800000 個應(yīng)用程序可以用于 TCP/IP 之上。保護網(wǎng)絡(luò)上的每一個應(yīng)用程
序是不太可能的，只允許一些特殊的應(yīng)用程序通過網(wǎng)絡(luò)進行通信是一個有效的方法。
1．簡單郵件傳輸協(xié)議（SMTP）
通過 SMTP 協(xié)議將破壞 Email 服務(wù)器。通常對 SMTP 服務(wù)器采用不同方式的
。比如經(jīng)常向 SMTP 服務(wù)器發(fā)送大量的 Email 信息使得服務(wù)器不能處理合法用戶
的 Email 流量，導(dǎo)致 SMTP 服務(wù)器不可用，從而對合法的 Email 用戶造成拒絕服務(wù)。
目前很多病毒是通過郵件或其附件進行傳播的。因此，SMTP 服務(wù)器應(yīng)能掃描所有郵
件信息。
2．文件傳輸協(xié)議（FTP）
FTP 用來建立 TCP/IP 連接后發(fā)送和接收文件。FTP 由服務(wù)器和客戶端組成，幾乎每一
個 TCP/IP 主機都有內(nèi)置的 FTP 客戶端，并且大多數(shù)的服務(wù)器都有一個 FTP 服務(wù)器程序。
FTP 用兩個端口通信。利用 TCP21 端口來控制連接的建立，控制連接端口在整個 FTP 會
話中保持開放，用來在客戶端和服務(wù)器之間發(fā)送控制信息和客戶端命令。數(shù)據(jù)連接建立使
用一個短暫的臨時端口。在客戶端和服務(wù)器之間傳輸一個文件時每次都建立一個數(shù)據(jù)連接。
FTP 服務(wù)器有的不需要對客戶端進行認證；當(dāng)需要認證時，所有的用戶名和密碼都是
以明文傳輸。破壞之一就是尋找允許匿名連接并且有寫權(quán)限的 FTP 服務(wù)器，然后上傳
不正確的信息以塞滿整個硬盤空間，從而導(dǎo)致操作系統(tǒng)不能正常運行。還可以使日志文件
沒有空間再記錄其他事件，這樣企圖進入操作系統(tǒng)或其他服務(wù)而不被日志文件所檢查
到。
3．超文本傳輸協(xié)議（HTTP）
HTTP 是互聯(lián)網(wǎng)上應(yīng)用最廣泛的協(xié)議。HTTP 使用 80 端口來控制連接和一個臨時端口
傳輸數(shù)據(jù)，HTTP 有兩個明顯的安全問題，即客戶端瀏覽應(yīng)用程序和 HTTP 服務(wù)器外部應(yīng)
用程序。HTTP 客戶端使用瀏覽器訪問和接收從服務(wù)器端返回的 Web 頁面。若下載了有破壞性的 Active X 控件或 Java Applets。這些程序在用戶的計算機上執(zhí)行并含有某種類型的代碼，可能是病毒或特洛伊。對于這種破壞的最佳保護方法是警告用戶不要下載未被檢驗過的應(yīng)用程序。
為了擴大和擴展 Web 服務(wù)器的功能，一些擴展的應(yīng)用程序加入到 HTTP 服務(wù)器中。如
Java、CGI、AST 等等。這些程序都有一些安全漏洞，一旦 Web 服務(wù)器開始執(zhí)行代碼可能遭到破壞。
4．遠程登錄協(xié)議（Telnet）
Telnet 是用于遠程終端訪問的并可用來管理 UNIX 機器。首先考慮 Telnet 安全問題的
因素是它允許遠程用戶登錄。其次 Telnet 是以明文的方式發(fā)送所有的用戶名和密碼。有經(jīng)
驗的可以劫持一個 Telnet 會話。
5．簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）
SNMP 允許管理員檢查狀態(tài)并且有時修改 SNMP 代理的配置。管理者收集所有由
SNMP 代理發(fā)送的 trap，并且直接從這些代理查詢信息。SNMP 通過 UDP 的 161 和 162 端口傳遞所有的信息。
SNMP 所提供的有效認證是團體名。若管理者和代理有相同的團體名并處于權(quán)限允許
的 IP 地址段內(nèi)將允許所有 SNMP 查尋。如果一個得到了團體名，他將能夠查詢和修
改網(wǎng)絡(luò)上所有使用 SNMP 的節(jié)點。另一個安全問題是所有的信息都是以明文傳輸?shù)摹Ｒ粋€
用 SNMP 管理器連接到網(wǎng)絡(luò)中的任何位置上都可以得到這些信息。目前 SNMP v3 版
本的應(yīng)用將能解決上述問題。
6．域名系統(tǒng)（DNS）
DNS 在解析域名請求時使用 UDP 的 53 端口。但是，在進行區(qū)域傳輸時使用 TCP 的
53 端口。區(qū)域傳輸是指以下兩種情況：
（1）客戶端利用 nslookup 命令向 DNS 服務(wù)器請求進行區(qū)域傳輸；
（2）從屬域名服務(wù)器向主服務(wù)器請求得到一個區(qū)域文件。
可以一個 DNS 服務(wù)器并得到它的區(qū)域文件。其結(jié)果是***可以知道這個區(qū)
域中所有系統(tǒng)的 IP 地址和計算機名字。
保護 DNS 服務(wù)器是要把服務(wù)器放到防火墻后面，然后配置防火墻阻止所有的區(qū)域傳
輸，還可配置系統(tǒng)只接受特定主機的區(qū)域傳輸。

看完上述內(nèi)容，你們對OSI七層潛在的安全漏洞有進一步的了解嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！