2010局域网安全.ppt

课程内容 本课程将介绍网络安全的基本概念、算法、协议和技术。内容包括： 第一讲　网络安全导论 第二讲　对称密钥加密体制 第三讲 非对称密钥加密体制 第四讲　公钥基础设施—PKI 第五讲 TCP/IP网络安全一 第六讲　TCP/IP网络安全二 第七讲 局域网安全 第八讲 网络与信息安全研究现状综述 第七讲 局域网安全 7.1 局域网环境简介 7.2 局域网的安全威胁 7.3 局域网监听与防范 7.4 局域网ARP攻击与防范 7.5 局域网病毒入侵与防范 协议欺骗攻击常见种类 主要欺骗攻击种类： IP欺骗攻击 路由欺骗攻击 DNS欺骗攻击 ARP欺骗攻击 （1）IP欺骗攻击 攻击者C选定目标主机A作为攻击对象，并且找到了一个被A信任的主机B。 A授予B某些特权，C 希望获得与B相同的特权，攻击： 首先，使B失去工作能力。C利用TCP协议三次握手中的漏洞，向B发送大量的假源IP地址的请求，使B通讯队列充满，无法再接受新的通讯，而忙于与这个虚假的IP进行连接。这样短时间内B无法再与别的主机通讯，为C留出了攻击时间。 接着， C发送自己制作的IP数据包，检测/估算出被攻击者的数据序列号。该过程可在短时内完成。 最后， C伪装成B的IP地址，这时B仍处于停顿状态，制作相应的TCP/IP包，来获得A的信任（如数据序列号猜测正确，A则认为收到的ACK是来自信任主机B），建立起连接。 此时，X即获得主机B在主机A上所享有的特权，开始对A实施攻击 防止IP地址欺骗 放弃以地址为基础的验证 使用加密方法 对进行数据进行加密。它将保证数据的完整性、真实性和保密性。 进行包过滤 可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且，当包的IP地址不在本网内时，路由器不应该把本网主机的包发送出去。 包过滤技术只能拒绝外部主机伪装成内部主机IP，而无法拒绝伪装成其它可信任外部主机IP的外部主机。 （2）路由欺骗攻击 网络上的两台主机通讯时，发送的数据包要经过防火墙和层层路由器转发的，这种工作原理节省资源，有利于传输，但带来了安全性的问题。 路由欺骗攻击该原理，通过改变某主机或路由器上的路由表，破坏正常的路由寻址，以达到攻击目的。主要方法包括： 源路由攻击：通过指定路由，以假冒身份与其他主机进行合法通信或发送假报文。攻击者事先确定一条攻击路由，通过设置IP源路由选项，使目标主机的ICMP或TCP数据包按照源路由（指定路由）返回。 路由信息协议攻击：路由信息协议（RIP）在局域网中用来广播路由信息。接收到该协议数据包的主机不做任何检测。攻击者可以向到达目标主机的所有网关发送伪路由信息，以便进行源地址假冒时，能收到目标机的回应信息；攻击者也可以将其主机声明为到某主机或网络的路由器，以截获所有目的地址的数据包，并继续发动更进一步的攻击 （3）DNS欺骗攻击 DNS欺骗即域名信息欺骗是最常见的DNS安全问题。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个电子邮件到一个未经授权的邮件服务器。 缓存感染 DNS信息劫持 DNS重定向 防范DNS欺骗攻击可采取如下措施 直接用IP访问重要的服务，这样至少可以避开DNS欺骗攻击。但这要记住要访问的IP地址。 加密所有对外的数据流。这也不容易做到。 7.4 局域网ARP攻击与防范 ARP协议 地址解析协议ARP(Address Resolution Protocol)，将网络层（IP层）地址解析为数据连接层（MAC层）的MAC地址。 IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。必须把IP目的地址转换成以太网地址（网卡地址， MAC地址）。 在这两种地址之间存在着某种静态的或动态算法的映射，常常需要查看一张表(ARP表)。地址解析协议就是用来确定这些映射的协议。 7.4 局域网ARP攻击与防范ARP的工作流程 首先，每台主机都会在自己的ARP缓冲区 (ARP Cache)中建立一个ARP列表，以表示IP=MAC(IP地址和MAC地址的对应关系) 。 当源主机要将一个数据包发送到目的主机时，先检查自己ARP列表中是否存在该IP=MAC，如有就将数据包发送到这个MAC地址；如没有就向本地网段发一个ARP请求的广播包，查询此目的主机对应的MAC地址。 网络中所有主机收到该ARP请求后，会检查数据包中的目的IP是否和自己的IP一致。如不同就忽略此数据包；如相同，该主机首先将发送端的IP=MAC添加到自己的ARP列表中，如ARP表中已存在该IP的信息，则覆盖；然后给源主机发一个ARP响应数据包（填上自己的48位mac地址） 源主机收到