VPN中間人攻擊與防護關鍵技術研究.pdf

1、隨著Internet的快速發(fā)展，人們對網(wǎng)絡安全的要求越來越高。虛擬專用網(wǎng)(VPN)技術作為一種低成本、易部署、易維護的通信技術，得到許多公司的青睞。目前市場上的VPN技術主要有三類:PPTP、L2TP和IPSec。此外，各個通信設備廠商又在公共協(xié)議的基礎上定義了自己私有的VPN協(xié)議。但是無論哪種VPN協(xié)議，本質(zhì)原理都是利用公共網(wǎng)絡的基礎設施，創(chuàng)建一個安全隧道來實現(xiàn)虛擬點對點鏈接。
　　事實證明:沒有哪一種VPN協(xié)議是絕對安全的，尤

2、其是在當今計算能力飛速增長、計算機性能過剩的時代背景下，整個網(wǎng)絡中任何一個薄弱的環(huán)節(jié)都可能成為信息安全的致命要害。存在協(xié)議漏洞，或者代碼設計不良的VPN軟件所提供的信息加密能力并不比普通公網(wǎng)傳輸數(shù)據(jù)更強。因此對于保密要求較高的企業(yè)，在部署VPN網(wǎng)絡時，必須從所有可能的方面測試這個網(wǎng)絡是否足夠安全。因此研究VPN網(wǎng)絡的安全性有著非常現(xiàn)實的意義。
　　本文詳細分析了PPTPVPN的原理。通過抓包詳細討論了PPTPVPN鏈接的過程，介紹

3、了PPTP鏈接中所使用到的一系列協(xié)議，研究了Linux平臺上PPTP VPN降級攻擊的可能性及協(xié)議中存在的漏洞，發(fā)現(xiàn)在PPTP鏈接的LCP協(xié)商階段，存在一個非加密的選項協(xié)商過程，這個過程作為一個攻擊窗口可以很容易的被黑客利用，來對整個PPTP鏈接進行降級攻擊。然后根據(jù)這個思路詳細討論了Linux的網(wǎng)絡協(xié)議棧，并分析了實施中間人攻擊的基本手段和原理，討論了降級攻擊程序設計時需要注意的若干問題，然后介紹了基于Tilera多核設備進行數(shù)據(jù)攔截

4、、數(shù)據(jù)轉(zhuǎn)發(fā)和降級攻擊的方案，并在Linux平臺使用Python設計原型程序進行了攻擊實驗驗證。
　　針對上述降級攻擊的漏洞，本文詳細探討了PPTP VPN降級攻擊的根本原因，并給出了三種防護策略:通過對客戶端LCP報文配置選項進行監(jiān)測，來發(fā)現(xiàn)強制重協(xié)商行為，進而可以避免PPTP VPN在用戶不知道的情況下使用低級別認證協(xié)議;通過為LCP協(xié)商過程引入確認機制，保證LCP協(xié)商過程的報文不能被中間人篡改，可以從根本上防止降級攻擊的成功;