信息安全管理第3章3.3TCPIP安全.pptx

;主要内容;TCP/IP安全;一、网络层问题;二、传输层问题;三、应用层问题;概述;概述;概述;概述;涉及到的三方;1.1IP欺骗;1.1IP欺骗;简单的IP地址变化;简单的IP地址变化;源路由机制;源路由机制;源路由机制;源路由机制;IP源路由欺骗防范措施;1.2ARP欺骗;ARP基础知识;ARP基础知识;ARP基础知识;ARP工作原理;局域网内通信;局域网内通信—网络结构图;局域网内通信—网络结构图;局域网间通信;局域网间通信—通信结构图;局域网间通信—通信结构图;ARP欺骗攻击原理;ARP欺骗攻击原理;ARP欺骗攻击原理;ARP欺骗攻击原理—原理图;ARP欺骗攻击原理—欺骗过程;ARP欺骗攻击的危害;ARP欺骗攻击的检测与防御;如何检测局域网中存在ARP欺骗攻击;如何发现正在进行ARP攻击的主机;ARP欺骗攻击的防范;ARP欺骗攻击的防范;ARP欺骗攻击的防范;Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。 该攻击方式利用TCP/IP协议自身的缺陷,结合使用IP欺骗和ICMP回复方法,使网络因响应ICMP回复请求而产生大量的数据流量,导致网络严重的拥塞或资源消耗,引起目标系统拒绝为合法用户提供服务,从而对网络安全构成重大威胁。 ;ICMP是（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。;Smurf攻击原理：攻击者在远程机器上发送ICMP应答请求服务,其目标主机不是某一个主机的IP地址,而是某个网络的广播地址,其请求包的源IP不是发起攻击的IP地址,而是加以伪装的将要攻击的主机IP地址。大量主机收到ICMP应答请求服务包后,按源IP返回请求信息,从而导致受攻击主机的服务性能下降,甚至崩溃。 ;Smurf攻击示意图： ;如上例所示，入侵者的主机发送了一个数据包，而目标主机就收到了三个回复数据包。 如果目标网络是一个很大的以太网，有200台主机，那么在这种情况下，入侵者每发送一个ICMP数据包，目标主机就会收到200个数据包，因此目标主机很快就会被大量的回复信息吞没，无法处理其他的任何网络传输。 这种攻击不仅影响目标主机，还能影响目标主机的整个网络系统。 ;（1）配置路由器禁止IP广播包进网 （2）配置网络上所有计算机的操作系统，禁止对目标地址为广播地址的ICMP包响应。 （3）被攻击目标与ISP协商，让ISP暂时阻止这些流量。 （4）对于从本网络向外部网络发送的数据包，本网络应该将其源地址为其他网络的这部分数据包过滤掉。;这种攻击主要是由于单个包的长度超过了IP协议规范所规定的包长度。 ping是一个非常著名的程序，这个程序的目的是为了测试另一台主机是否可达。现在所有的操作系统上几乎都有这个程序，它已经成为系统的一部分。 ping程序的目的是为了查看网络上的主机是否处于活动状态。 ;ping之所以会造成伤害是源于早期操作系统在处理ICMP协议数据包存在漏洞。 ICMP协议的报文长度是固定的，大小为64KB，早期很多操作系统在接收ICMP数据报文的时候，只开辟64KB的缓存区用于存放接收到的数据包。 一旦发送过来的ICMP数据包的实际尺寸超过64KB(65536B)，操作系统将收到的数据报文向缓存区填写时，报文长度大于64KB，就会产生一个缓存溢出(Buffer Overflow) ，操作系统内存分配可能出现异常，结果将导致TCP/IP协议族的崩溃，造成主机的重启动或是死机，称之为“死亡之ping”。;预防死亡之ping的最好方法是对操作系统打补丁，这样，内核将不再对超过规定长度的包进行重组;“Teardrop（泪滴）”也被称为分片攻击，由于第一个实现这种攻击的程序名称为Teardrop ，所以这种攻击也被称为“Teardrop（泪滴）”。 ;两台计算机在进行通信时，如果传输的数据量较大，无法在一个数据报文中传输完成，就会将数据拆分成多个分片，传送到目的计算机后再到堆栈中进行重组。 一个大IP包的各个包分片并非首尾相连，而是存在重叠(Overlap)现象。 Teardrop工作原理是向被攻击者发送多个分片的IP包，某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。;预防Teardrop的方法：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。 ;Land攻击原理：向目标机发送大量的源地址和目标地址相同的包，操作系统接收到这类数据包时，不知道该如何处理堆栈中的这种情况，或者循环发送和接收该数据包，消耗大