本文關(guān)鍵詞：VPN中間人攻擊與防護關(guān)鍵技術(shù)研究　出處：《浙江理工大學》2017年碩士論文　論文類型：學位論文

  更多相關(guān)文章： PPTP VPN 降級攻擊 安全防護

【摘要】：隨著Internet的快速發(fā)展,人們對網(wǎng)絡安全的要求越來越高。虛擬專用網(wǎng)(VPN)技術(shù)作為一種低成本、易部署、易維護的通信技術(shù),得到許多公司的青睞。目前市場上的VPN技術(shù)主要有三類:PPTP、L2TP和IPSec。此外,各個通信設(shè)備廠商又在公共協(xié)議的基礎(chǔ)上定義了自己私有的VPN協(xié)議。但是無論哪種VPN協(xié)議,本質(zhì)原理都是利用公共網(wǎng)絡的基礎(chǔ)設(shè)施,創(chuàng)建一個安全隧道來實現(xiàn)虛擬點對點鏈接。事實證明:沒有哪一種VPN協(xié)議是絕對安全的,尤其是在當今計算能力飛速增長、計算機性能過剩的時代背景下,整個網(wǎng)絡中任何一個薄弱的環(huán)節(jié)都可能成為信息安全的致命要害。存在協(xié)議漏洞,或者代碼設(shè)計不良的VPN軟件所提供的信息加密能力并不比普通公網(wǎng)傳輸數(shù)據(jù)更強。因此對于保密要求較高的企業(yè),在部署VPN網(wǎng)絡時,必須從所有可能的方面測試這個網(wǎng)絡是否足夠安全。因此研究VPN網(wǎng)絡的安全性有著非�，F(xiàn)實的意義。本文詳細分析了PPTP VPN的原理。通過抓包詳細討論了PPTP VPN鏈接的過程,介紹了PPTP鏈接中所使用到的一系列協(xié)議,研究了Linux平臺上PPTP VPN降級攻擊的可能性及協(xié)議中存在的漏洞,發(fā)現(xiàn)在PPTP鏈接的LCP協(xié)商階段,存在一個非加密的選項協(xié)商過程,這個過程作為一個攻擊窗口可以很容易的被黑客利用,來對整個PPTP鏈接進行降級攻擊。然后根據(jù)這個思路詳細討論了Linux的網(wǎng)絡協(xié)議棧,并分析了實施中間人攻擊的基本手段和原理,討論了降級攻擊程序設(shè)計時需要注意的若干問題,然后介紹了基于Tilera多核設(shè)備進行數(shù)據(jù)攔截、數(shù)據(jù)轉(zhuǎn)發(fā)和降級攻擊的方案,并在Linux平臺使用Python設(shè)計原型程序進行了攻擊實驗驗證。針對上述降級攻擊的漏洞,本文詳細探討了PPTP VPN降級攻擊的根本原因,并給出了三種防護策略:通過對客戶端LCP報文配置選項進行監(jiān)測,來發(fā)現(xiàn)強制重協(xié)商行為,進而可以避免PPTP VPN在用戶不知道的情況下使用低級別認證協(xié)議;通過為LCP協(xié)商過程引入確認機制,保證LCP協(xié)商過程的報文不能被中間人篡改,可以從根本上防止降級攻擊的成功;第三種是通過IPSec技術(shù)對LCP協(xié)商過程進行加密來保護協(xié)商過程的報文,可以從根本上避免對PPTP VPN的降級攻擊。此外,通過分析CHAP認證過程,提出了基于互認證的防護策略,來進一步提高VPN的安全性。
[Abstract]:With the rapid development of Internet, the demand for network security is becoming more and more high. Virtual private network (VPN) technology, as a low-cost, easy to deploy, easy to maintain communication technology, has been favored by many companies. At present, there are three main types of VPN technologies in the market: PPTP, L2TP and IPSec. In addition, each communication device vendor defines its own private VPN protocol on the basis of a public protocol. However, no matter which VPN protocol is, the essential principle is to use the infrastructure of the public network to create a secure tunnel to link the virtual point to point. Facts have proved that no VPN protocol is absolutely safe, especially in today's era of rapid growth of computing power and computer performance. Any weak link in the whole network may become a fatal threat to information security. A protocol vulnerability, or a poorly designed VPN software, is not more capable of encrypting information than ordinary public networks. Therefore, for enterprises with higher security requirements, it is necessary to test the security of the network from all possible aspects when deploying the VPN network. Therefore, it is of great practical significance to study the security of VPN network. In this paper, the principle of PPTP VPN is analyzed in detail. Through the capture discussed the PPTP VPN link, introduced a series of protocols used by PPTP in the link, research the possibility and protocol on the Linux platform PPTP VPN downgrade attack vulnerabilities in LCP PPTP link found in the negotiation stage, there is a non encryption option negotiation process, as the process an attack window can easily be used by hackers to attack the PPTP link to downgrade. According to the ideas discussed in detail the Linux network protocol stack, and analyzes the basic principle and means of implementation of the man in the middle attack, discusses some problems needing attention when designing the downgrade attack program, then introduces Tilera nuclear equipment for data interception, data forwarding and downgrade attack scheme based on Python design and use the prototype program in the Linux platform to carry out the attack experiment. The downgrade attack vulnerability, this paper discusses the main reason for the PPTP VPN downgrade attack, and gives three kinds of protection strategy: by monitoring the LCP message client configuration options, to find the mandatory re negotiation behavior, which can avoid the PPTP VPN using low-level authentication protocol in the user does not know the circumstances; for by the introduction of LCP negotiation process confirmation mechanism to ensure the negotiation process of LCP message cannot be tampered with the middle, can fundamentally prevent relegation attack success; the third is through the IPSec technology on the LCP negotiation process to encrypt messages to protect the negotiation process, can fundamentally avoid the attack on PPTP VPN. In addition, through the analysis of the CHAP authentication process, a mutual authentication based protection strategy is proposed to further improve the security of VPN.
【學位授予單位】：浙江理工大學
【學位級別】：碩士
【學位授予年份】：2017
【分類號】：TP393.08

【相似文獻】

相關(guān)期刊論文 前10條

1 尹中旭;吳灝;朱俊虎;;優(yōu)化認證消息流防止中間人攻擊[J];計算機工程與設(shè)計;2008年04期

2 ;好消息[J];中國教育網(wǎng)絡;2008年10期

3 李星偉;沈磊;曾磐;;基于數(shù)據(jù)包的中間人攻擊分析[J];福建電腦;2013年02期

4 肖道舉,郭杰,陳曉蘇;一種對中間人攻擊的防范策略的研究[J];計算機工程與科學;2004年09期

5 徐恒;陳恭亮;楊福祥;;密鑰交換中中間人攻擊的防范[J];信息安全與通信保密;2009年02期

6 王天明;;論Man-in-the-Middle Attack對“云”資源威脅[J];網(wǎng)絡安全技術(shù)與應用;2012年02期

7 李漢廣;;高校ARP問題現(xiàn)狀分析[J];電腦知識與技術(shù);2013年20期

8 劉耀東,戴冠中;移動IPv6協(xié)議及其安全機制分析[J];計算機應用研究;2005年09期

9 王其東;楊波;;基于特征的可信度認證模型研究[J];軟件導刊;2010年05期

10 徐國天;;ARP欺騙的深入研究[J];信息網(wǎng)絡安全;2010年12期

相關(guān)會議論文 前6條

1 刁俊峰;溫巧燕;;遠程桌面協(xié)議中間人攻擊實現(xiàn)[A];第一屆中國高校通信類院系學術(shù)研討會論文集[C];2007年

2 盧紅英;谷利澤;羅群;;利用SSLStrip工具實現(xiàn)中間人攻擊及防御措施[A];2010年全國通信安全學術(shù)會議論文集[C];2010年

3 張程亮;呂宇鵬;;IPv6 NDP協(xié)議的中間人攻擊研究[A];2010年全國通信安全學術(shù)會議論文集[C];2010年

4 楊鳳杰;王晉偉;;基于藍牙技術(shù)的配對過程的研究[A];第一屆中國高校通信類院系學術(shù)研討會論文集[C];2007年

5 艾斯卡爾·亞庫甫;;在使用代理時因瀏覽器缺陷引起的幾種攻擊的研究[A];少數(shù)民族青年自然語言處理技術(shù)研究與進展——第三屆全國少數(shù)民族青年自然語言信息處理、第二屆全國多語言知識庫建設(shè)聯(lián)合學術(shù)研討會論文集[C];2010年

6 傅曉彤;肖國鎮(zhèn);;一種新的信息隱匿方案研究[A];開創(chuàng)新世紀的通信技術(shù)——第七屆全國青年通信學術(shù)會議論文集[C];2001年

相關(guān)重要報紙文章 前5條

1 《網(wǎng)絡世界》記者 鹿寧寧;“心臟出血”風波再起 如何應對中間人攻擊[N];網(wǎng)絡世界;2014年

2 實習生 程鳳;新技術(shù)可保障無線網(wǎng)絡安全[N];科技日報;2011年

3 ;DNSSEC改變互聯(lián)網(wǎng)未來[N];網(wǎng)絡世界;2010年

4 牛澤亞　彭婷;新興領(lǐng)域威脅多[N];人民郵電;2014年

5 實習記者 陳倩凌;黑客盯上提款機[N];計算機世界;2010年

相關(guān)博士學位論文 前2條

1 李海濤;AKA協(xié)議分析建模與防御策略研究[D];北京郵電大學;2010年

2 刁俊峰;軟件安全中的若干關(guān)鍵技術(shù)研究[D];北京郵電大學;2007年

相關(guān)碩士學位論文 前10條

1 左朝順;面向SSL Error-Handling漏洞的自動發(fā)現(xiàn)方法研究[D];山東大學;2016年

2 楊健;SSL中間人攻擊檢測系統(tǒng)的設(shè)計與實現(xiàn)[D];東南大學;2016年

3 雷陽;基于無線入侵防御系統(tǒng)的中間人攻擊檢測功能的設(shè)計與實現(xiàn)[D];華中科技大學;2014年

4 張旭;VPN中間人攻擊與防護關(guān)鍵技術(shù)研究[D];浙江理工大學;2017年

5 趙森棟;安全套接層中間人攻擊與防護研究[D];哈爾濱工程大學;2013年

6 于波;針對無線網(wǎng)絡中間人攻擊的檢測與防御[D];北京郵電大學;2015年

7 王士坤;P2PSIP系統(tǒng)中中間人攻擊的研究與防范[D];華中科技大學;2008年

8 劉刃;SSL協(xié)議中間人攻擊實現(xiàn)與防范[D];北京郵電大學;2008年

9 喬艷飛;SSL安全分析以及中間人攻擊和防范研究[D];北京郵電大學;2013年

10 郭杰;安全套接層環(huán)境下中間人攻擊的防范策略研究[D];華中科技大學;2004年

，

本文編號：1343332