本文關(guān)鍵詞：VPN中間人攻擊與防護(hù)關(guān)鍵技術(shù)研究　出處：《浙江理工大學(xué)》2017年碩士論文　論文類型：學(xué)位論文

  更多相關(guān)文章： PPTP VPN 降級(jí)攻擊 安全防護(hù)

【摘要】：隨著Internet的快速發(fā)展,人們對(duì)網(wǎng)絡(luò)安全的要求越來(lái)越高。虛擬專用網(wǎng)(VPN)技術(shù)作為一種低成本、易部署、易維護(hù)的通信技術(shù),得到許多公司的青睞。目前市場(chǎng)上的VPN技術(shù)主要有三類:PPTP、L2TP和IPSec。此外,各個(gè)通信設(shè)備廠商又在公共協(xié)議的基礎(chǔ)上定義了自己私有的VPN協(xié)議。但是無(wú)論哪種VPN協(xié)議,本質(zhì)原理都是利用公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,創(chuàng)建一個(gè)安全隧道來(lái)實(shí)現(xiàn)虛擬點(diǎn)對(duì)點(diǎn)鏈接。事實(shí)證明:沒有哪一種VPN協(xié)議是絕對(duì)安全的,尤其是在當(dāng)今計(jì)算能力飛速增長(zhǎng)、計(jì)算機(jī)性能過(guò)剩的時(shí)代背景下,整個(gè)網(wǎng)絡(luò)中任何一個(gè)薄弱的環(huán)節(jié)都可能成為信息安全的致命要害。存在協(xié)議漏洞,或者代碼設(shè)計(jì)不良的VPN軟件所提供的信息加密能力并不比普通公網(wǎng)傳輸數(shù)據(jù)更強(qiáng)。因此對(duì)于保密要求較高的企業(yè),在部署VPN網(wǎng)絡(luò)時(shí),必須從所有可能的方面測(cè)試這個(gè)網(wǎng)絡(luò)是否足夠安全。因此研究VPN網(wǎng)絡(luò)的安全性有著非常現(xiàn)實(shí)的意義。本文詳細(xì)分析了PPTP VPN的原理。通過(guò)抓包詳細(xì)討論了PPTP VPN鏈接的過(guò)程,介紹了PPTP鏈接中所使用到的一系列協(xié)議,研究了Linux平臺(tái)上PPTP VPN降級(jí)攻擊的可能性及協(xié)議中存在的漏洞,發(fā)現(xiàn)在PPTP鏈接的LCP協(xié)商階段,存在一個(gè)非加密的選項(xiàng)協(xié)商過(guò)程,這個(gè)過(guò)程作為一個(gè)攻擊窗口可以很容易的被黑客利用,來(lái)對(duì)整個(gè)PPTP鏈接進(jìn)行降級(jí)攻擊。然后根據(jù)這個(gè)思路詳細(xì)討論了Linux的網(wǎng)絡(luò)協(xié)議棧,并分析了實(shí)施中間人攻擊的基本手段和原理,討論了降級(jí)攻擊程序設(shè)計(jì)時(shí)需要注意的若干問題,然后介紹了基于Tilera多核設(shè)備進(jìn)行數(shù)據(jù)攔截、數(shù)據(jù)轉(zhuǎn)發(fā)和降級(jí)攻擊的方案,并在Linux平臺(tái)使用Python設(shè)計(jì)原型程序進(jìn)行了攻擊實(shí)驗(yàn)驗(yàn)證。針對(duì)上述降級(jí)攻擊的漏洞,本文詳細(xì)探討了PPTP VPN降級(jí)攻擊的根本原因,并給出了三種防護(hù)策略:通過(guò)對(duì)客戶端LCP報(bào)文配置選項(xiàng)進(jìn)行監(jiān)測(cè),來(lái)發(fā)現(xiàn)強(qiáng)制重協(xié)商行為,進(jìn)而可以避免PPTP VPN在用戶不知道的情況下使用低級(jí)別認(rèn)證協(xié)議;通過(guò)為L(zhǎng)CP協(xié)商過(guò)程引入確認(rèn)機(jī)制,保證LCP協(xié)商過(guò)程的報(bào)文不能被中間人篡改,可以從根本上防止降級(jí)攻擊的成功;第三種是通過(guò)IPSec技術(shù)對(duì)LCP協(xié)商過(guò)程進(jìn)行加密來(lái)保護(hù)協(xié)商過(guò)程的報(bào)文,可以從根本上避免對(duì)PPTP VPN的降級(jí)攻擊。此外,通過(guò)分析CHAP認(rèn)證過(guò)程,提出了基于互認(rèn)證的防護(hù)策略,來(lái)進(jìn)一步提高VPN的安全性。
[Abstract]:With the rapid development of Internet, the demand for network security is becoming more and more high. Virtual private network (VPN) technology, as a low-cost, easy to deploy, easy to maintain communication technology, has been favored by many companies. At present, there are three main types of VPN technologies in the market: PPTP, L2TP and IPSec. In addition, each communication device vendor defines its own private VPN protocol on the basis of a public protocol. However, no matter which VPN protocol is, the essential principle is to use the infrastructure of the public network to create a secure tunnel to link the virtual point to point. Facts have proved that no VPN protocol is absolutely safe, especially in today's era of rapid growth of computing power and computer performance. Any weak link in the whole network may become a fatal threat to information security. A protocol vulnerability, or a poorly designed VPN software, is not more capable of encrypting information than ordinary public networks. Therefore, for enterprises with higher security requirements, it is necessary to test the security of the network from all possible aspects when deploying the VPN network. Therefore, it is of great practical significance to study the security of VPN network. In this paper, the principle of PPTP VPN is analyzed in detail. Through the capture discussed the PPTP VPN link, introduced a series of protocols used by PPTP in the link, research the possibility and protocol on the Linux platform PPTP VPN downgrade attack vulnerabilities in LCP PPTP link found in the negotiation stage, there is a non encryption option negotiation process, as the process an attack window can easily be used by hackers to attack the PPTP link to downgrade. According to the ideas discussed in detail the Linux network protocol stack, and analyzes the basic principle and means of implementation of the man in the middle attack, discusses some problems needing attention when designing the downgrade attack program, then introduces Tilera nuclear equipment for data interception, data forwarding and downgrade attack scheme based on Python design and use the prototype program in the Linux platform to carry out the attack experiment. The downgrade attack vulnerability, this paper discusses the main reason for the PPTP VPN downgrade attack, and gives three kinds of protection strategy: by monitoring the LCP message client configuration options, to find the mandatory re negotiation behavior, which can avoid the PPTP VPN using low-level authentication protocol in the user does not know the circumstances; for by the introduction of LCP negotiation process confirmation mechanism to ensure the negotiation process of LCP message cannot be tampered with the middle, can fundamentally prevent relegation attack success; the third is through the IPSec technology on the LCP negotiation process to encrypt messages to protect the negotiation process, can fundamentally avoid the attack on PPTP VPN. In addition, through the analysis of the CHAP authentication process, a mutual authentication based protection strategy is proposed to further improve the security of VPN.
【學(xué)位授予單位】：浙江理工大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2017
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 尹中旭;吳灝;朱俊虎;;優(yōu)化認(rèn)證消息流防止中間人攻擊[J];計(jì)算機(jī)工程與設(shè)計(jì);2008年04期

2 ;好消息[J];中國(guó)教育網(wǎng)絡(luò);2008年10期

3 李星偉;沈磊;曾磐;;基于數(shù)據(jù)包的中間人攻擊分析[J];福建電腦;2013年02期

4 肖道舉,郭杰,陳曉蘇;一種對(duì)中間人攻擊的防范策略的研究[J];計(jì)算機(jī)工程與科學(xué);2004年09期

5 徐恒;陳恭亮;楊福祥;;密鑰交換中中間人攻擊的防范[J];信息安全與通信保密;2009年02期

6 王天明;;論Man-in-the-Middle Attack對(duì)“云”資源威脅[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2012年02期

7 李漢廣;;高校ARP問題現(xiàn)狀分析[J];電腦知識(shí)與技術(shù);2013年20期

8 劉耀東,戴冠中;移動(dòng)IPv6協(xié)議及其安全機(jī)制分析[J];計(jì)算機(jī)應(yīng)用研究;2005年09期

9 王其東;楊波;;基于特征的可信度認(rèn)證模型研究[J];軟件導(dǎo)刊;2010年05期

10 徐國(guó)天;;ARP欺騙的深入研究[J];信息網(wǎng)絡(luò)安全;2010年12期

相關(guān)會(huì)議論文 前6條

1 刁俊峰;溫巧燕;;遠(yuǎn)程桌面協(xié)議中間人攻擊實(shí)現(xiàn)[A];第一屆中國(guó)高校通信類院系學(xué)術(shù)研討會(huì)論文集[C];2007年

2 盧紅英;谷利澤;羅群;;利用SSLStrip工具實(shí)現(xiàn)中間人攻擊及防御措施[A];2010年全國(guó)通信安全學(xué)術(shù)會(huì)議論文集[C];2010年

3 張程亮;呂宇鵬;;IPv6 NDP協(xié)議的中間人攻擊研究[A];2010年全國(guó)通信安全學(xué)術(shù)會(huì)議論文集[C];2010年

4 楊鳳杰;王晉偉;;基于藍(lán)牙技術(shù)的配對(duì)過(guò)程的研究[A];第一屆中國(guó)高校通信類院系學(xué)術(shù)研討會(huì)論文集[C];2007年

5 艾斯卡爾·亞庫(kù)甫;;在使用代理時(shí)因?yàn)g覽器缺陷引起的幾種攻擊的研究[A];少數(shù)民族青年自然語(yǔ)言處理技術(shù)研究與進(jìn)展——第三屆全國(guó)少數(shù)民族青年自然語(yǔ)言信息處理、第二屆全國(guó)多語(yǔ)言知識(shí)庫(kù)建設(shè)聯(lián)合學(xué)術(shù)研討會(huì)論文集[C];2010年

6 傅曉彤;肖國(guó)鎮(zhèn);;一種新的信息隱匿方案研究[A];開創(chuàng)新世紀(jì)的通信技術(shù)——第七屆全國(guó)青年通信學(xué)術(shù)會(huì)議論文集[C];2001年

相關(guān)重要報(bào)紙文章 前5條

1 《網(wǎng)絡(luò)世界》記者 鹿寧寧;“心臟出血”風(fēng)波再起 如何應(yīng)對(duì)中間人攻擊[N];網(wǎng)絡(luò)世界;2014年

2 實(shí)習(xí)生 程鳳;新技術(shù)可保障無(wú)線網(wǎng)絡(luò)安全[N];科技日?qǐng)?bào);2011年

3 ;DNSSEC改變互聯(lián)網(wǎng)未來(lái)[N];網(wǎng)絡(luò)世界;2010年

4 牛澤亞　彭婷;新興領(lǐng)域威脅多[N];人民郵電;2014年

5 實(shí)習(xí)記者 陳倩凌;黑客盯上提款機(jī)[N];計(jì)算機(jī)世界;2010年

相關(guān)博士學(xué)位論文 前2條

1 李海濤;AKA協(xié)議分析建模與防御策略研究[D];北京郵電大學(xué);2010年

2 刁俊峰;軟件安全中的若干關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2007年

相關(guān)碩士學(xué)位論文 前10條

1 左朝順;面向SSL Error-Handling漏洞的自動(dòng)發(fā)現(xiàn)方法研究[D];山東大學(xué);2016年

2 楊健;SSL中間人攻擊檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];東南大學(xué);2016年

3 雷陽(yáng);基于無(wú)線入侵防御系統(tǒng)的中間人攻擊檢測(cè)功能的設(shè)計(jì)與實(shí)現(xiàn)[D];華中科技大學(xué);2014年

4 張旭;VPN中間人攻擊與防護(hù)關(guān)鍵技術(shù)研究[D];浙江理工大學(xué);2017年

5 趙森棟;安全套接層中間人攻擊與防護(hù)研究[D];哈爾濱工程大學(xué);2013年

6 于波;針對(duì)無(wú)線網(wǎng)絡(luò)中間人攻擊的檢測(cè)與防御[D];北京郵電大學(xué);2015年

7 王士坤;P2PSIP系統(tǒng)中中間人攻擊的研究與防范[D];華中科技大學(xué);2008年

8 劉刃;SSL協(xié)議中間人攻擊實(shí)現(xiàn)與防范[D];北京郵電大學(xué);2008年

9 喬艷飛;SSL安全分析以及中間人攻擊和防范研究[D];北京郵電大學(xué);2013年

10 郭杰;安全套接層環(huán)境下中間人攻擊的防范策略研究[D];華中科技大學(xué);2004年

，

本文編號(hào)：1343332