二网络安全威胁介绍.ppt

二的原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机（例如上面的86）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。 三的原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。 * DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。 * * 通信网的运行机制基于通信协议。不同节点之间的信息交换按照事先约定的固定机制，通过协议数据单元来完成。对每个节点来说，所谓通信只是对接收到的一系列协议数据单元产生响应，而对从网上来到的信息真实性或从节点发给网中其他节点的真实性均无法提供保证。高速信息网在技术上以传统电信网为基础，通过改革传输协议发展而来的，因此，各种传输协议之间的不一致性，也会大大影响信息的安全质量。 协议设计缺陷、实现缺陷；脆弱的认证机制、易受欺骗等 ICT是信息、通信和技术三个英文单词的词头组合(Information Communication Technology，简称ICT) 。它是信息技术与通信技术相融合而形成的一个新的概念和新的技术领域 在网络构建中由于物理距离过长，虽然可以使用电缆来保证物理距离上的网络的连接，但是电缆在长距离传输数据时容易出现延迟时间过长、丢失数据的现象。这时可以使用网桥对网络进行分段，通过这种方式来保证数据传输的稳定性和准确性。可靠性问题：在一个单独的局域网中，一个有缺陷的节点不断地输出无用的信息流会严重地破坏局域网的运行。网桥可以设置在局域网的关键部位，就像水管中的节流阀一样，防止因单个节点漏水而破坏整个系统的流量。 但网桥互连带来了不少问题。 广播风暴，网桥不阻挡网络中广播消息，当网络的规模较大时（几个网桥，多个以太网段），有可能引起广播风暴（Broadcasting Storm），导致整个网络全被广播信息充满，直至完全瘫痪。 当与外部网络互连时，网桥会把内部和外部网络合二为一，成为一个网。内外网双方都能够自动向对方完全开放自己的网络资源。这种互连方式在与外部网络互连时带来了很大的安全隐患。 网桥有助于安全保密。大多数LAN接口都有一种混杂工作方式（Promiscuous Mode），在这种方式下，计算机接收所有的帧，包括那些并不是编址发送给它的帧。如果网中多处设置网桥并谨慎地拦截无须转发的重要信息，那么就可以把网络分隔以防信息被窃。 路由器互连与网络的协议有关。在TCP/IP网络中，路由器工作在OSI参考模型中的第3层，即网络层。路由器利用网络层定义的网络地址（即IP地址）来区别不同的网络，实现网络的互连和隔离，这样的联网方式能够保持各个网络之间的独立性。路由器不转发广播消息，而把广播消息限制在各自的网络内部。所有发送到其他网络的数据先被送到路由器，被路由器检查通过后再由路由器转发出去。路由器不转发广播消息，而把广播消息限制在各自的网络内部。所有发送到其他网络的数据先被送到路由器，被路由器检查通过后再由路由器转发出去。 IP路由器只转发IP分组，把其余的部分挡在网内（包括广播），从而保证各个网络具有相对的独立性，这样可以组成有许多网络（子网）互连的大型网络。由于是在网络层上互连的，路由器可方便地连接不同类型的网络，只要网络层运行的是IP协议，通过路由器就可互连起来。 路由器安全隐患：黑客攻击ＷｉＦｉ篡改网络设置，在用户访问网银等官网时劫持到虚假的钓鱼网站，借机盗取账户密码。利用漏洞，攻击者能完全控制路由器，并引导路由器自动从攻击者控制的TFTP服务器下载恶意程序、并以root权限执行。众所周之root相当于路由器系统的最高权限。黑客入侵后可以操控路由器来安装插件、病毒或者直接记录用户在网上的一举一动，然后通过后台进行监控偷窥，QQ密码、网银信息都将暴露无遗。 2 目标攻击。攻击者收集到足够的信息后, 实施攻击,进入系统。攻击者进入系统后, 如权限不够, 需要再次提升权限, 直到获取超级用户权限。权限提升主要有两种方式, 一种是口令破解或截取, 另一种方式是缓冲区溢出攻击。 目前, 大多数的特洛伊木马都可用作后门代理程序。 利用型攻击：控制机器的攻击 * * * 本地主机发送一个带ACK标志的TCP/IP包到目的主机的80端口（分析捕到的TCP包可看到），目标主机接收到数据包后回应一个带rst标志（重置链路）数据包，若能接收到数据包，就说明主机存活，也就达到发现目标主机的目的。 注意：TCP遵循的原则：当一个RST包到达一个监