常见TCPIP体系协议安全隐患和应对方法.doc

常见TCP/IP体系协议安全隐患和应对方法（ARP,DHCP,DNS） ARP安全 由于ARP协议在设计中存在的主动发送ARP报文的漏使得主机可以发送虚假的ARP请求或响应报文，报文中的源IP地址和源MAC地址均可以进行伪造。在局域网中，即可以伪造成某一台主机（如服务器）的IP地址和MAC地址的组合，也可以伪造成网关的IP地址和MAC地址的自合等。这种组合可以根据攻击者的意图进行搭配，而现有的局域网却没有相应的机制和协议来防止这种为造型为。 1、针对主机的ARP欺骗：ARP协议的基础就是信任局域网内的所有主机，这样就容易实现局域网内的ARP欺骗。如果现在主机D要对主机A进行ARP欺骗，冒充自己是主机C。具体实施中，当主机A要与主机C进行通信时，主机D主动告诉主机A自己的IP44-44-44-44”，这样当主机A要发送给主机C数 防范措施：具体操作步骤如下： （1）进入“命令提示符”窗口，在确保网络连接正常的情况下，使用Ping命令Ping网关的IP地址，如“Ping 172.16.2.1”。 –a”命令，可以获得网关IP地址对应的MAC地址 （3）利用“arp -s 网关IP地址 网关MAC地feature）。通过使用端口安全功能，可以进行 （1）端口上最大可以通过的MAC地址数量 （2）端口上只能使用指定的MAC地址 （1）Shutdown。即关闭端口。虽然这种方式是Protect。直接丢弃非法流量，但不报警。Restrict。丢弃非法流量，但产生报警。 由于DHCP客户端在获得DHCP服务器的IP地址DHCP Snooping能够过滤来自网络中非法DHCP服务器或其他设备的非信任DHCP响应报文。在交换机2、在DHCP服务器上进行IP与MAC地址的绑定 在通过DHCP服务器进行客户端IP地址等DNS缓存中毒利用了DNS缓存机制，在DNS服由于DNS服务器之间会进行记录的同步拒绝服务攻击 DNS服务器在互联网中的关键作用使它很容易 3． 域名劫持域名劫持通常是指通过采用非法手段获得某一个DNSSEC的基本原理 域名系统安全扩展（DNSSEC）是在原有的域 发送方：首先使用Hash函数对要发送的DNS信息进行计算，得到固定长度的“信息摘要”；然后对“信息摘要”用私钥进行加密，此过程实现了对“信息摘要”的数字签名；最后将要发送的DNS信息、该DNS信息的“信息摘要”以及该“信息摘要”的数字签名，一起发送出来。 接收方：首先采用公钥系统中的对应公钥对接收到的“信息摘要”的数字签名进行解密，得到解密后的“信息摘要”；接着用与发送方相同的Hash函数对接收到的DNS信息进行运算，得到运算后的“信息摘DNSSEC的工作机制 DNSSECDNSSEC的应用现状 DNSSEC作为对目前DNS的安全扩展，可有效DNS具有向下的兼容性，在实现上具有可行性。但 DNS系统的安全设置 1． 选择安全性较高的DNS服务器软件Internet上大量的DNS服务器软件使用的是基于UNIX/Linux的BIND软件，目前最新版本为BIND 9.x。最新版本的BIND软件支持许多安全 对于Windows NT服务器来说，建议使用2． 限制端口 DNS在工作时使用UDP 53和TCP 53端口53端口用于DNS区域之间的数据复制。