网络安全第2讲低层协议的安全性新.pptVIP

域名系统——DNS 域名系统是一个分布式数据库系统，用来实现“域名—IP地址”，或“IP地址—域名”的影射。 DNS的安全性 前向命名与后向命名的分离，会导致安全问题。黑客如果能够掌控部分反向影射树，他就能实施欺骗。反向记录中可能含有你所信赖的那台机器的虚假名称，攻击者会用rlogin远程登录到你的机器上。 攻击者在发起呼叫之前， 扰乱目标机器中DNS的高速 缓存。当目标机器进行交叉 检验时，似乎取得了成功， 但此时黑客已取得了访问权。 还有一种变种攻击是采用呼叫 响应来淹没目标的DNS服务器， 使其陷入混乱。 消除欺骗性DNS记录的有效办法是对这些记录进行数字签名。采用DNSsec的机制，可以有效地防止这种欺骗。但目前此协议还存在很多问题，这些问题延缓了DNSsec的推广。 不要把秘密的信息放在主机名中。攻击者可以从主机名中找出有用的信息。 强烈建议那些暴露的主机不要采用基于名称的认证。基于地址的认证虽然脆弱，但要优于前者。 对DNS的防护措施 第2章 低层协议的安全性 网络地址和域名管理 二 三 四 一 IPv6 网络地址转换 基本协议 一 版本 IHL 业务类别 总长度 标识 标记 段偏移 生存时间 协议 报头校验 32bit源地址 32bit目的地址 选项和填充 IPv6简介 0 4 8 16 24 32 0 4 8 16 24 32 IPv4头部介绍 IPv6头部介绍 版本号 业务流类别 流标签 净荷长度 下一头部 跳数限制 128bit源地址 128bit目的地址 IPv6与IPv4一样，它通过IPSec协议来保证IP层的安全，但是两者之间有差别：IPSec是IPv6的一个组成部分，而对IPv4来说是可选的。因此，本质上IPv6并不能比IPv4更安全。要保证IPv6网络的安全性，仍然需要传统的安全设备，如防火墙、IDS等。 目前，IPv6在全球还没有得到广泛应用，所以人们开发了许多协议，以实现从IPv4到IPv6的过渡。如果想让IPv6数据通过防火墙，防火墙就必须支持IPv6。若防火墙不支持IPv6，就要开通IPv6隧道，这些隧道终止于防火墙的外部。 过滤IPv6——IPv6协议的安全性 6to4协议 采用41号端口。在各种BSD操作系统中都有6to4协议的代码。 6over4协议 与6to4协议类似，在IPv4数据包中封装了IPv6的数据流。 Teredo协议 该协议使用3544号UDP端口，并且允许隧道穿过NAT盒。 基于 电路 中继 在发送路由器上，基于路由器的中继代理将每个IPv6的TCP连接映射到IPv4的TCP连接上；在接收路由器上，这个过程恰恰相反，即接收器会将IPv4的TCP连接映射到IPv6的TCP连接上。 目前，许多防火墙不能实现对IPv6的过滤。 过滤IPv6——开凿IPv6隧道的方法 第2章 低层协议的安全性 网络地址和域名管理 二 三 四 一 IPv6 网络地址转换 基本协议 一 网络地址转换 NAT的主要作用是解决当前IPv4地址空间缺乏的问题。 从概念上讲，NAT非常简单：它们监听使用了所谓专用地址空间的内部接口，并对外出的数据包重写其源地址和端口号。外出数据包的源地址使用了ISP为外部接口分配的Internet静态IP地址。对于返回的数据包，它们执行相反的操作。 NAT存在的价值在于IPv4的短缺。协议的复杂性使NAT变得很不可靠。在这种情况下，我们在网络中必须使用真正意义的防火墙，并希望IPv6的应用尽快得到普及。 NAT的安全性 NAT盒可以把数据路由到特定的静态主机和端口，但它们并不能处理任意的应用协议。商用的NAT产品确实能处理一些常用的高层协议，但是NAT盒并不支持一些不常见的应用程序或新的协议。此时，就会产生问题。 有人把NAT盒看作是某种形式的防火墙。在某种意义上，它是一种非常低级的防火墙。最多我们把它看成是某种形式的包过滤器，但它缺少专业防火墙所具有的应用级过滤。 谢谢！ 标题一，做动画 标题一，做动画 * * * * 标题一，做动画 * * * * 标题一，做动画 标题一，做动画 * * 第2章 低层协议的安全性 网络地址和域名管理 二 三 四 一 IPv6 网络地址转换 基本协议 一 第2章 低层协议的安全性 网络地址和域名管理 二 三 四 一 IPv6 网络地址转换 基本协议 一 OSI模型与TC/IP模型 TCP／IP的协议栈 网际协议—IP TCP/IP “传输控制协议/网际协议”的简称。 Internet上的计算机使用的是TCP/IP协议。 每个IP数据包包含有源地址和目的地址； 包含一些比特位选项、头检验和数据净荷； 典型的IP数据包长度有几百个字节，最长可达160,00