首页 > 其他分享 >安全见闻-通信协议安全

安全见闻-通信协议安全

时间:2024-10-21 23:46:00浏览次数:7  
标签:协议 导致 通讯 通信协议 问题 安全 攻击者 见闻

目录

通讯协议的安全问题

1.保密性问题

2.完整性问题

3.⾝份验证问题

4.可⽤性问题

5.协议实现问题

6.协议设计缺陷

7. 移动通讯协议安全问题

8. 物联⽹通讯协议安全问题

9. ⼯业控制系统通讯协议安全问题

结语:


泷羽sec:安全见闻(6)_哔哩哔哩_bilibili安全见闻(6)_哔哩哔哩_bilibili

通讯协议的安全问题

通信协议领域的安全问题涵盖多个层⾯,从基础的加密保密性到复杂的协议设计和实现漏洞。

通信协议潜在安全问题所涉及的领域无限电安全,协议分析,web渗透,逆向分析。

以下是各个⽅⾯的具体介绍:

1.保密性问题

保密性主要是指数据在传输过程中不会被未经授权的第三⽅窃取或读取。以下是主要的保密性

挑战:

主要是数据泄露风险、密钥管理不善。
- 加密不当:许多通讯协议设计之初没有充分考虑到数据加密,例如HTTP协议,攻击者可以通过网络监听获取传输中的敏感信息,如用户名、密码、信用卡号等,简称明文传输。
​
- 弱加密算法:加密算法设计不合理或使⽤不当导致保密性不足容易被破解,如使⽤已被破解的加密协议(如 RC4)或过时的加密算法(如 DES)密钥长度较短,容易受到暴力破解攻击。
​
- 密钥管理问题:加密通讯协议通常依赖于密钥来保证数据库的保密性,如果密钥管理不善如密钥泄露、密钥存储不安全,密钥分发过程被窃据等,都会导致数据被解密。

2.完整性问题

完整性问题是指在数据传输过程中,确保数据不会被篡改。常⻅的完整性威胁包括:

数据篡改风险,重放攻击。
- 数据篡改:攻击者可以拦截并篡改通信数据,在没有对数据的完整性进行严格的校验的时候,会导致数据被任意修改,如订单金额、商品数量。
​
- 重放攻击:攻击者可以记录通讯过程中的数据,并再稍后的时间重复发送这些数据,以达到欺骗系统的目的。例如短信轰炸,就是短时间内发送大量请求发送短信的数据包,造成被害者一直接收到骚扰短信。

3.⾝份验证问题

⾝份验证问题涉及确保通信双⽅的⾝份是可信的,防⽌假冒或未经授权的访问。常⻅问题包括:

假冒身份风险、身份验证漏洞。
- 弱认证机制:如使⽤静态⼝令、未加密的⾝份验证信息等,容易遭受暴力破解导致身份信息被伪造。
​
- 会话劫持:攻击者可以通过钓鱼、跨站请求攻击等方式窃取会话令牌来冒充合法⽤⼾。
​
- 身份验证漏洞:身份验证过程中的中间人攻击也是一个常见问题,窃取身份验证信息,然后冒充其中一方与另一方进行通讯。大名鼎鼎的就是arp欺骗,攻击者在终端和路由这两个通讯双方之间插入自己,让终端先把请求发给攻击者再由攻击者进行转发给路由,导致信息泄露。

4.可⽤性问题

可⽤性问题通常与拒绝服务攻击(DoS)或分布式拒绝服务攻击(DDoS)相关,这些攻击试图通过耗尽资源或过载⽹络系统来使服务不可⽤。常⻅的威胁有:

拒绝服务攻击、协议漏洞导致的可用性问题
- ⽹络拥堵:攻击者通过⼤量无意义的请求耗尽服务器资源,使通讯系统陷入瘫痪,无法为合法用户提供服务。
​
- 协议漏洞导致可用性问题:某些通讯协议的设计缺陷导致系统在特定情况下出现故障,影响可用性。例如,协议中的死锁问题,资源泄露问题等都可能导致系统无法正常运行。

5.协议实现问题

协议实现问题是指在协议实现过程中,代码或配置错误导致的安全漏洞。常⻅问题有:

编程错误,第三方库和组件的安全问题
- 编程错误:由于通讯协议在实现的过程中可能存在编程错误,导致安全漏洞,例如缓存溢出、内存泄露等问题都可以被攻击者利用,从而破坏系统的安全性。
​
- 依赖导致的安全问题:某些协议实现依赖于第三方库和组件,如果第三方库和组件存在安全漏洞就会导致通讯协议的安全性。

6.协议设计缺陷

协议设计本⾝可能存在根本性缺陷,导致安全问题。常⻅的设计缺陷包括:

缺乏安全考虑的设计、协议升级带来的安全风险
- 设计未考虑安全因素:协议设计之初未充分考虑安全因素,导致存在先天的安全漏洞,例如有一些协议未对数据长度、类型等做严格限制,使得攻击者利用这些漏洞进行缓冲区溢出攻击等。
​
- 设计过于复杂:协议设计过于复杂导致难以理解和正确的去实现,容易出现编程错误和漏洞。
​
- 协议升级:协议升级的时候可能会引入新的安全问题,新的功可能会带来新的攻击面,而不同版本的协议实现之间可能存在兼容性问题,导致安全隐患。

7. 移动通讯协议安全问题

移动通讯协议,如 GSM、LTE、5G 等,⾯临独特的安全挑战:

无线网络的特殊性、移动应用的安全风险。
- 无线网络的特殊性:无线通讯的特殊性导致通讯更容易受到窃听、干扰和攻击。无线网络的信号可以在一定范围内被接收,攻击者可以通过监听无线信号里面的广播获取通讯内容。
​
- 移动性:无线网络也增加了安全管理难度,例如设备可能会连接到不可信的无线网络,或者在不同的网络环境切换。
​
- 移动应用的安全风险:移动应用通常使用特性的通讯协议与服务器进行通信。如果应用开发过程中没有充分考虑安全因素,可能会导致这些通讯协议被滥用或攻击,可能会泄露用户信息或被恶意软件攻击
​
- 独特的安全挑战:如 GSM、LTE、5G 等,存在IMSI 捕获、早期GSM协议加密不⾜、基站欺骗、漫游协议漏洞等安全漏洞。

8. 物联⽹通讯协议安全问题

物联⽹(IoT)设备往往资源受限,协议安全设计存在独特问题:

大量设备的管理难度、异构性带来的安全问题。
- 物联数量庞大:物联⽹往往包含大量的设备,这些设备的管理和安全更新是更大的挑战,如果其中一个设备被攻击,可能影响整个物联网,例如打印机和摄像头通常没有人会专门去保护这些普遍的设备。
​
- 物联网设备的特殊性:许多物联网设备的计算能力和存储资源有限,难以实现复杂的安全机制,由于性能限制,就有可能会导致许多漏洞的产生而沦陷。
​
- 异构性:物联网中不同的设备可能来自不同厂商,使用的通讯协议和技术都是不一样的,这增加了安全管理的复杂性,不同的协议可能存在不同的安全漏洞,需要采取不同的安全措施。
​
- 版本和标准不统一:物联网的设备往往来自不同的厂商和不同时间购入安置的,这就导致了这些厂商的安全标准和实践可能不同这也会增加安全风险,而不同时间购入安置的设备过老的设备存在漏洞沦陷,可能会影响整个物联网,所以要统一更新。

9. ⼯业控制系统通讯协议安全问题

⼯业控制系统(ICS)使⽤的协议,如 Modbus、DNP3、BACnet 等,通常设计于安全性意识不强的年代,存在⼤量安全问题:

实时性要求与安全的冲突、传统IT系统的融合带来的风险。
- 实时性要求与安全的冲突:工业控制系统的实时响应要求很高,但安全措施的实施在一定程度上会产生通讯延迟,影响系统的实时性能,这就导致了安全机制和工业控制系统的实时响应要求冲突。
​
- 传统系统与IT系统融合带来的风险:从前工业控制系统可能只会存在局域网内,但是现代为了提高生产与自动化的实现,就需要和新时代的IT系统进行融合,工业控制系统与IT系统融合意味着就要面临来自IT的病毒、恶意软件的威胁,老旧的工业控制系统需要采取相应措施。

结语:

这些安全问题表明,通信协议的设计和实现需要兼顾保密性、完整性、⾝份验证以及系统的可⽤性,以防⽌潜在的攻击和漏洞利⽤。随着技术的发展,安全措施的不断改进变得尤为重要。

标签:协议,导致,通讯,通信协议,问题,安全,攻击者,见闻
From: https://blog.csdn.net/2201_75446043/article/details/143136409

相关文章

  • 这个大纲旨在为希望深入掌握 .vhdx 文件管理的顶尖用户提供全面的知识体系,涵盖了高级
    VHDX的英语全称是VirtualHardDiskExtendedVHDX(VirtualHardDiskExtended)在Windows虚拟化环境中的优势包括以下几个方面:1. 更大的存储容量最大容量:VHDX文件的最大容量可以达到 64TB,相比之下,传统的VHD(VirtualHardDisk)最大容量仅为 2TB。这使得VHDX更适合需要......
  • 买卖闲置物品前的打包视频一定安全有效吗?
    卖家发货前的打包视频在一定程度上是有作用的,但也并非完全绝对有效。一、打包视频的积极作用提供证据当出现争议时,打包视频可以作为卖家发货时商品状态的初步证据。如果买家声称收到的商品与购买时不符,打包视频可以显示发货时商品的数量、型号、外观等情况,有助于明确责任方。对于......
  • AI辅助安全测试案例某电商-供应链平台平台安全漏洞
    AI辅助安全测试案例某电商-供应链平台平台安全漏洞背景    无意发现国內某政企采购集团系统入口前端,我们今天初步评估Web安全如何。https://xxxxwww.cn/#/login我们使用AI工具大模型辅助指导渗透测试完整的反馈建议路径探索(PathTraversal)是一种常见的Web应用安全测试技术,主......
  • #护网面试#红蓝攻防#安全# 木马文件的学习
    声明:本博文,只是基于学习进行记录。冰蝎源码<?php@error_reporting(0);session_start();$key="密钥";//该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond$_SESSION['k']=$key;$post=file_get_contents("php://input");if(!extension_loaded('......
  • python+flask计算机毕业设计高校实验室安全应急管理系统(程序+开题+论文)
    本系统(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面。系统程序文件列表开题报告内容一、选题背景关于高校实验室安全应急管理系统的研究,现有研究多侧重于实验室安全管理的常规方面,如设备管理、人员管理等。专门针对高校实验室安全应......
  • 安全生产标准化综合管理平台是什么样的?如何做好安全生产标准化?
    我国安全生产标准化体系由国家一系列详尽而全面的规定构成,旨在全方位提升企业的安全生产管理水平,确保生产活动在安全的环境下进行。核心在于《企业安全生产标准化基本规范》(GB/T33000-2016),该规范明确了企业建立、保持与评定安全生产标准化管理体系的原则、一般要求以及八个......
  • 京准电钟:电力安全卫士——时空安全防护隔离装置
    京准电钟:电力安全卫士——时空安全防护隔离装置京准电钟:电力安全卫士——时空安全防护隔离装置京准电子科技官微——ahjzsz1、主要特点★信号加固功能:GPS/BDS单系统信号拒止情况下(包含受到GPSL1欺骗干扰、GPSL1压制干扰、BDSB1欺骗干扰、BDSB1压制干扰),能够继续保持安全信......
  • 中电金信重磅发布《金融数据安全治理白皮书》
    金融行业作为数据密集型行业,对数据的依赖日益加深,但数据价值的提升也带来了严峻的数据安全挑战。面对频繁的网络攻击、数据泄露事件以及日益严格的监管法规,金融机构在追求数据价值创造的同时,愈加重视数据安全问题,并积极加大在此领域的投入。金融数据安全治理不仅关乎客户隐私保护......
  • 花8000元去培训机构学习网络安全值得吗,学成后就业前景如何?
       我就是从培训机构学的网络安全,线下五六个月,当时学费不到一万,目前已成功入行。所以,只要你下决心要入这一行,过程中能好好学,那这8000就花得值~因为只要学得好,工作两个多月就能赚回学费,而且大部分培训班也会有就业支持,比如老师给推荐或者定期的招聘会…先说一下我自己,很喜......
  • 网络安全(黑客)自学
       一、什么是网络安全  网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。  无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技......