网络协议的安全性幻灯片.pptVIP

（1）垃圾邮件 由于电子邮件系统的普及应用，也增加了邮件服务器受攻击的概率。常见的一类攻击就是垃圾邮件（Spam），即人们常说的邮件炸弹，它能在一定的时间内使服务器接收大量无用邮件，使之不堪重负而瘫痪。 （2）窃听 电子邮件通信协议是建立在可信基础之上的，因此，发送时使用的SMTP协议、接收时使用的POP3协议都是明文通信协议。电子邮件通信的过程，一般要经过多个服务器、路由器和交换机的中继以及转发才可以完成一次完整的传递，所以很容易被窃听。窃听在客户机和服务器之间的所有节点上都有可能发生。 3.5.3 电子邮件系统协议 第3章 网络协议的安全性 （3）劫持 SMTP不提供任何认证机制，所以伪造和篡改电子邮件是很容易的。伪造者只要给SMTP服务器提供恰当的信封信息(如发送者或接收者电子邮件地址)，并使用想要的数据产生有关的信件即可。 （4）低层协议对本层协议的影响 电子邮件协议的安全隐患大多来自于低层协议的影响，SMTP协议受低层协议的影响最大。诸如MAC地址、IP地址和TCP欺骗、劫持的影响，都能破坏正在传送的电子邮件。 3.5.3 电子邮件系统协议 第3章 网络协议的安全性 3.6 TCP/IP协议体系安全性能的改进 1. IPv4协议安全性的改进与提高 第3章 网络协议的安全性 1. IPv4协议安全性的改进与提高 IPv6在安全性能方面有了较大改进，主要是引入了IP安全协议(IPSec)。 IPSec在网络层提供加密和认证服务，它包含了三项安全措施：认证头(AH)提供无连接的完整性、数据源认证和抗重放保护服务；封装安全有效载荷(ESP)提供加密以及认证服务；密钥管理（IKE）协议用以对通信双方提供身份认证和密钥交换方法。 在IPv6中，AH和ESP都作为一个扩展头。 第3章 网络协议的安全性 * IPSec架构 密钥管理(IKE) ESP协议 AH协议 解释域（DOI） 加密算法 鉴别算法 IPSec协议文件框架图 ike定义了安全参数如何协商,以及共享密钥如何建立,但它没有定义的是协商内容.这方面的定义是由解释域(doi)文档来进行的 第3章 网络协议的安全性 2.路由技术的改进 为保障RIP和OSPF报文的安全，目前已提出采用Keyed MD5验证算法对发送路由报文的节点进行验证。这种方法能够抵御目前常见的大部分网络攻击 。 由于IPv6提供AH和ESP机制，与IPv6一起使用的内部网关协议就可依赖这些机制获得安全保护。 第3章 网络协议的安全性 3.6 TCP/IP协议体系安全性能的改进 3.传输层安全性能的提高 4.应用层安全性能的改善与加强 第3章 网络协议的安全性 * 思考与练习 1.简述网络协议分析的基本概念。 2.IPv4主要存在哪些安全隐患？ 3.简述ICMP可能被黑客利用的漏洞及其攻击形式。 4.TCP主要存在哪些安全隐患？ 5.假设客户机到服务器的TCP连接被劫持，将会引起什么后果？ 6.DNS协议是不安全的，它主要存在哪些安全隐患？ 7.HTTP客户机与Web服务器通信通常会泄露哪些信息？ 8.使用网络协议分析工具（如Wireshark、Sniffer Pro）进行数据包的捕获及数据包结构的分析，理解协议对数据的封装？ 第3章 网络协议的安全性 欢迎使用《网络安全技术》 刘化君 等编著 * 　1、利用ARP echo传送正确的ARP讯息：通过频繁地提醒正确的ARP对照表，来达到防制的效果。 　　2、利用绑定方式，固定ARP对照表不受外来影响：通过固定正确的ARP对照表，来达到防制的效果。 　　3、舍弃ARP协议，采用其它寻址协议：不采用ARP作为传送的机制，而另行使用其它协议例如PPPoE方式传送。 * 3.3.1 IPv4协议的安全风险 1. IP地址欺骗 所谓IP地址欺骗(IP Spoofing)是指攻击者向一台主机发送带有某一IP地址消息（该IP地址并非是攻击者自身的IP地址），表明该消息来自于受信主机或者具有某种特权者，以便获得对该主机或其它主机非授权访问的一种欺骗技术。 理论上一个IP数据报是否来自真正的源IP地址，IP协议并不作任何可靠保证。任何一台计算机都可以发出包含任意源IP地址的数据包，这意味着IP数据报中的源IP地址是不可信的。 第3章 网络协议的安全性 3.3.1 IPv4协议的安全风险 2．路由欺骗 路由欺骗是指由攻击者通过修改路由器或主机中的路由表, 来实现网络监听或者网络攻击的一种攻击方式。路由欺骗有多种方法，但多是采用伪造路由表，错误引导非本地的数据报来实现的。 (1)基于IP源路由的欺骗攻击 (2)基于RIP的攻击 (3)基于ICMP的路由欺骗攻击 第3章 网络协议的安全性 (1)基于IP源路由的欺骗攻击 IP源路由