计算机网络安全(三).ppt

计算机网络安全(三) 内 容 欺骗 IP欺骗 邮件欺骗 Web欺骗 会话劫持 拒绝服务 复 习 DNS收集信息 DNS nslookup Ping traceroute 端口扫描 暴露网络上潜在的脆弱性 操作系统辨识 为系统相关的攻击打好基础 复习：关于端口扫描 有助于加强系统的安全性 常用技术 基本的TCP connect()扫描 TCP SYN扫描(半开连接扫描, half open) TCP Fin扫描(秘密扫描，stealth) TCP ftp proxy扫描(bounce attack) 用IP分片进行SYN/FIN扫描(躲开包过滤防火墙) UDP recvfrom扫描 UDP ICMP端口不可达扫描 Reverse-ident扫描 端口扫描对策 入侵检测系统(IDS) 防火墙 阻止对内部系统的扫描，禁止探测包进入 个人防火墙 复习：关于操作系统辨识 从操作系统或者应用系统的具体实现中发掘出来的攻击手段(或漏洞)都需要辨识系统 常用技术 一些端口服务的提示信息 DNS泄漏出OS系统 TCP/IP栈指纹 寻找不同操作系统之间在处理网络数据包上的差异，并且把足够多的差异组合起来，以便精确地识别出一个系统的OS版本 操作系统辨识对策 IDS 针对探测包的特征，可以检测到有人在扫描 防火墙 隐藏了内部的系统中IP协议栈的行为 个人防火墙 改变对网络数据包的处理方式 欺骗技术 IP欺骗 假冒他人的IP地址发送信息 邮件欺骗 假冒他人的email地址发送信息 Web欺骗 你能相信你所看到的信息吗？ 其他欺骗术 DNS欺骗 非技术性欺骗 IP欺骗 IP欺骗的动机 隐藏自己的IP地址，防止被跟踪 以IP地址作为授权依据 穿越防火墙 IP欺骗的形式 单向IP欺骗：不考虑回传的数据包 双向IP欺骗：要求看到回传的数据包 更高级的欺骗：TCP会话劫持 IP欺骗成功的要诀 IP数据包路由原则：根据目标地址进行路由 IP欺骗：改变自己的地址 用网络配置工具改变机器的IP地址 注意： 只能发送数据包 收不到回包 防火墙可能阻挡 在Linux平台上 用ifconfig 用程序实现IP欺骗 发送IP包，IP包头填上假冒的源IP地址 在Unix/Linux平台上，直接用socket就可以发送，但是需要root权限 在Windows平台上，不能使用Winsock 可以使用winpcap 可以用libnet构造IP包 代码示例 在Linux平台上，打开一个raw socket，自己填写IP头和传输层数据，然后发送出去 用程序实现IP欺骗代码示例 sockfd = socket(AF_INET, SOCK_RAW, 255); setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, on, sizeof(on)); struct ip *ip; struct tcphdr *tcp; struct pseudohdr pseudoheader; ip-ip_src.s_addr = xxx; // 填充IP和TCP头的其他字段，并计算校验和 pseudoheader.saddr.s_addr = ip-ip_src.s_addr; tcp-check = tcpchksum((u_short *)pseudoheader, 12+sizeof(struct tcphdr)); //计算校验和 sendto(sockfd, buf, len, 0, (const sockaddr *)addr,  sizeof(struct sockaddr_in)); IP欺骗：双向欺骗 欺骗的过程 如何避免IP欺骗 主机保护，两种考虑 保护自己的机器不被用来实施IP欺骗 物理防护、登录口令 权限控制，不允许修改配置信息 保护自己的机器不被成为假冒的对象 无能为力 网络防护 路由器上设置欺骗过滤器 入口过滤，外来的包带有内部IP地址 出口过滤，内部的包带有外部IP地址 保护免受源路由攻击 路由器上禁止这样的数据包 电子邮件欺骗 电子邮件欺骗的动机 隐藏发信人的身份，匿名信 挑拨离间，唯恐世界不乱 骗取敏感信息 …… 欺骗的形式 使用类似的电子邮件地址 修改邮件客户软件的账号配置 直接连到smtp服务器上发信 电子邮件欺骗成功的要诀 与邮局的运作模式比较 基本的电子邮件协议不包括签名机制 发信可以要求认证 电子邮件欺骗：使用类似的地址 发信人使用被假冒者的名字注册一个账号，然后给目标发送一封正常的信 修改邮件客户软件的帐户配置 邮件帐户配置 姓名(Name)属性，会出现在“From”和“Reply-To”字段中，然后显示在“发件人”信息中 电子邮件地址，会出现在“From”字段中 回复地址，会出现在“Reply-To