第十章网络中的安全问题.pptVIP

第10章 网络中的安全问题 ;10.1网络安全概述;10.1.1 TCP序列号预计 TCP序列号预计由莫里斯首先提出，是网络安全领域中最有名的缺陷之一。这种攻击的实质，是在不能接到目的主机应答确认时，通过预计序列号建立连接。这样，入侵者可以伪装成信任主机与目的主机通话 。;10.1.2 路由协议缺陷 (1)源路由选项的使用 (2)伪造ARP包 (3)RIP的攻击 (4)OSPF的攻击;(1)源路由选项的使用 在IP包头中的源路由选项用于该IP包的路由选择，这样，一个IP包可以按照预告指定的路由到达目的主机。 对于Cisco路由器，禁止源路由包可通过命令：no ip source-route实现。 (2)伪造ARP包 伪造ARP包是一种很复杂的技术，涉及到TCP/IP及以太网特性的很多方面。伪造ARP包的主要过程是，以目的主机的IP地址和以太网地址为源地址发一ARP包，这样即可造成另一种IP spoof。;(3)RIP的攻击 如果入侵者宣布经过自己的一条通向目的主机的路由，将导致所有往目的的主机数据包发往入侵者。这样，入侵者就可以冒充是目的主机，也可以监听所有目的主机的数据包，甚至在数据流中插入任意的包。 解决上述问题的方法是：注意路由的改变信息。一个聪明的网关可以有效地摈弃任何明显错误的路由信息。RIP的认证、加密也是一种较好的方法。 ;(4)OSPF的攻击 OSPF（Open Shortest Path First）协议是用于自治域内部的另一种路由协议。OSPF协议使用的路由算法是链路状态（Link-State）算法。在该算法中，每个路由器给相邻路由器宣布的信息是一个完整的路由状态，包括可到达的路由器，连接类型和其他相关信息。和RIP相比，虽然OSPF协议中实施了认证过程，但是该协议还存在着一些安全的问题。;10.1.3 网络监听 如果有一个网络设备专门收集广播而决不应答，那么，它就可以看到本网的任何计算机在网上传输的数据。如果数据没有经过加密，那么它就可以看到所有的内容。Sniffer就是一个在以太网上进行监听的专用软件。监听这个现象对网络的安全威胁是相当大的，因为它可以做到以下几点: （1）抓到正在传输的密码。 （2）抓到别人的秘密（信用卡号）或不想共享的东西。 （3）暴露网络信息。;10.2 IP欺???;1、信任关系 信任关系是基于IP地址的。 2、Rlogin Rlogin允许用户从一台主机登录到另一台主机上，并且，如果目标主机信任它，Rlogin将允许在不应答口令的情况下使用目标主机上的资源。安全验证完全是基于源主机的IP地址。;3、TCP序列号预测 可以对IP堆栈进行修改，在源地址和目的地址中放入任意满足要求的IP地址，也就是说，提供虚假的IP地址。 4、序列编号、确认和其他标志信息 TCP序列号预测最早是由Morris对这一安全漏洞进行阐述的。它使用TCP序列号预测，即使没有从服务器得到任何响应也能产生一个TCP包序列，这使得它能欺骗在本地网络上的主机。 ;5、IP欺骗 IP欺骗由若干步骤组成： （1）使被信任主机丧失工作能力 一旦发现被信任的主机，为了伪装成它，往往使其丧失工作能力。由于攻击者将要代替真正的被信任主机，攻击者必须确保真正被信任的主机不能接收到任何有效的网络数据，否则将会被揭穿。有许多方法可以做到这些。;（2）序列号取样和猜测 要对目标主机进行攻击，必须知道目标主机使用的数据包序列号。 一个和这种TCP序列号攻击相似的方法是使用NETSTAT服务。在这个攻击中，入侵者模拟一个主机关机。如果目标主机上有NETSTAT，它能提供在另一端口上必须的序列号。这取消了所有要猜测的必要。 ;6、IP欺骗的防止 （1）抛弃基于地址的信任策略 阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许 r*类远程调用命令的使用；删除 .rhosts 文件；清空/ etc / hosts .equiv 文件。这将迫使所有用户使用其他远程通信手段，如telnet、ssh、skey等等。 （2）进行包过滤 如果网络是通过路由接入Internet的，那么可以利用路由器来进行包过滤。确信只有您的内部LAN可以使用信任关系，而内部LAN上的主机对于LAN以外的主机要慎重处理。您的路由器可以帮助您过滤掉所有来自于外部而希望与内部建立连接的请求。;（3）使用加密方法 阻止IP欺骗的另一种明显的方法是在通信时要求加密传输和验证。当有多种手段并存时，可能加密方法最为适用。 （4）使用随机化的初始序列号 黑客攻击得以成功实现的一个很重要的因素，就是序列号不是随机选择的或者随机增加的。;10.3 端口扫描;10.3.2端口扫描的原理