网络安全 第二章 网络安全一.ppt

第3讲 网络安全（一） 分析TCPIP的安全威胁 一、网络安全威胁 1、网络缺陷概述 2、网络拓扑安全 3、网络软件漏洞 4、网络人为威胁 1、网络缺陷概述 开放性 复杂性：规模庞大、集成度高、高度封装 管理方面 技术落后 2、网络拓扑安全 总线型拓扑结构（集线器） 故障诊断困难 故障隔离困难 中继器配置 终端必须是智能的 星型拓扑结构（交换机） 电缆的长度和安装 扩展困难 对中央节点的依赖性太大 容易出现“瓶颈”现象 环形拓扑结构： 节点的故障将会引起全网的故障 诊断故障困难 不易重新配置网络 环型拓扑结构影响访问协议 树形拓扑结构： 对根节点的依赖性太大 3、网络软件漏洞 设计缺陷，版本、兼容性问题 后门 缓冲区溢出 4、网络人为威胁 无意威胁（操作失误） 恶意攻击 特征：智能性、严重性、隐蔽性、多样性 行为：窃听、流量分析、破坏完整性、重发、假冒、拒绝服务、资源的非授权使用、干扰、病毒、诽谤…… 二、链路层安全 1、以太网安全分析 2、电磁信息泄漏 3、ARP欺骗 电磁信息泄漏 电子线路 电子设备 屏幕 无线设备 ARP欺骗 （1） 考虑交换式环境 攻击者首先会试探交换机是否存在失败保护模式（fail-safe mode）。当交换机维护IP地址和MAC地址的映射关系时会花费一定处理能力，当网络通信时出现大量虚假MAC地址时，某些类型的交换机会出现过载情况，从而转换到失败保护模式。有一类工具叫“macof”可以完成此项攻击功能。当交换机进入失败保护模式后，其工作方式和集线器相同。 ARP欺骗 （2） ARP欺骗 （3） 在上图环境中，攻击者主机需要两块网卡，IP地址分别为192.168.0.5和192.168.0.6，插入交换机的两个端口，准备截获和侦听目标主机192.168.0.3和网关192.168.0.1之间的所有通信。另外攻击者主机还需要有IP数据包的转发能力 ARP欺骗 (4) 我们先以192.168.0.4的网络通信为例讲述正常的ARP转换过程： 步骤一，主机A（192.168.0.4）想要与网关（192.168.0.1）通信，从而接入Internet。 步骤二，主机A以广播的方式发送ARP请求，希望得到网关的MAC地址。 步骤三，交换机收到ARP请求，并把此请求发送给连接到交换机的各个主机。同时，交换机将更新它的MAC地址和端口之间的映射表，即将192.168.0.4绑定它所连接的端口。 步骤四，网关收到A的ARP请求后，发出带有自身MAC地址的ARP响应。 ARP欺骗 （5） 步骤五，网关更新ARP缓存表，绑定A的IP地址和MAC地址。 步骤六，交换机收到了网关对A的ARP响应后，查找它的MAC地址和端口之间的映射表，把此ARP响应数据包发送到相应端口。同时，交换机更新它的MAC地址和端口之间的映射表，即将192.168.0.1绑定它所连接的端口。 步骤七，主机A收到ARP响应数据包，更新ARP缓存表，绑定网关的IP地址和MAC地址。 步骤八，主机A使用更新后的MAC地址信息把数据发送给网关，通信通道就此建立 ARP欺骗 （6） ARP欺骗需要攻击者迅速地诱使目标主机（192.163.0.3）和网关（192.168.0.1）都和它建立通信，从而使自己成为中间人MiM（Man in Middle）。要达到同时欺骗目标主机和网关的目的，攻击者应打开两个命令界面，执行两次ARP欺骗：一次诱使目标主机认为攻击者的主机有网关的MAC地址，这可以利用IP地址欺骗技术，伪造网关的IP地址从攻击者主机的一块网卡上发送给目标主机ARP请求包，则错误的MAC地址和IP地址的映射将更新到目标主机；另一次使网关相信攻击者的主机具有目标主机的MAC地址，方法和前面相似。 ARP欺骗 （7） 对于ARP欺骗的防范：要阻止此类攻击可参考2.2.1.1MAC地址欺骗的防范；另外有一些工具可以很容易的检测此类攻击，例如ARPWatch，此类工具监视局域网内所有MAC地址和IP地址的映射对，一旦有改变将产生告警或日志。 三、网络层安全 1、IP地址欺骗（1） IP欺骗就是攻击者假冒他人IP地址，发送数据包。因为IP协议不对数据包中的IP地址进行认证，因此任何人不经授权就可伪造IP包的源地址。 1、IP地址欺骗（2） IP包一旦从网络中发送出去，源IP地址就几乎不用，仅在中间路由器因某种原因丢弃它或到达目标端后，才被使用。这使得一个主机可以使用别的主机的IP地址发送IP包，只要它能把这类IP包放到网络上就可以。因而如果攻击者把自己的主机伪装成被目标主机信任的友好主机，即把发送的IP包中的源IP地址改成被信任的友好主机的IP地址，利用主机间的信任关系和这种信任关系的实际认证中存在的脆弱性（只通过IP确认），就可以