-测试试题300个网络不安全因素及解决方法案例库.doc

300个网络不安全因素及解决方法案例库 1、IP 欺骗 侵入者向一台主机发送带有某IP地址的消息（并非自己的 IP 地址），表明该消息来自于一台受信任主机，以便获得对该主机或其它主机的非授权访问。要进行 IP 欺骗攻击时，黑客首先必须作用各种技术找到一个受信任主机的IP地址，然后修改数据包的信息头，使得该数据包好象来自于那台主机。 解决：1抛弃基于地址的信任策略2阻止仿冒IP地址3使用反向路径转发RPF即IP验证4使用加密方法5随机初始序列 2、路由选择信息协议（RIP）攻击 路由选择信息协议（RIP）用于在网络中发布路由选择信息，如最短路径，并从本地网络向外广播路径。RIP 没有内置的验证机制，RIP 数据包中所提供的信息通常未经检验就已经被使用。攻击者可以伪造 RIP 数据包，宣称其主机“X”拥有最快的连接网络外部的路径。然后，所有需要从那个网络发出的数据包都会经 X 转发，而在 X 中，这些数据包既可以被检查，也可以被修改。攻击者也可以使用 RIP 来有效地模仿任何主机，使得所有应该发送到那台主机的通信都被发送到攻击者的计算机中。 解决：尽量使用具有MD5安全机制的RIPv2，或者使用MD5认证的OSPF来提高安全性。 3、ICMP 攻击 ICMP 被 IP 层用于向一台主机发送单向的告知性消息。在 ICMP 中没有验证机制，这就导致了使用 ICMP 可以造成服务拒绝的攻击，或者可以支持攻击者截取数据包。服务拒绝攻击主要使用 ICMP “时间超出”或“目标地址无法连接”的消息。这两种 ICMP 消息都会导致一台主机迅速放弃连接。攻击只需伪造这些 ICMP 消息中的一条，并发送给通信中的两台主机或其中的一台，就可以利用这种攻击了。接着通信连接就会被切断。当一台主机错误地认为信息的目标地址不在本地网络中的时候，网关通常会使用 ICMP“转向”消息。如果攻击者伪造出一条“转向”消息，它就可以导致另外一台主机经过攻击者主机向特定连接发送数据包。 解决：1在Windows Server中设置ICMP过滤。2使用防火墙设置ICMP过滤。 4、PING 淹没（ICMP 淹没） PING 是 ICMP 最普通的应用，它向某主机发出一条 ICMP “响应请求”，并等待该主机回复一条 ICMP“响应回复”的消息。攻击者只需向受害计算机中发送若干多条 ICMP “响应请求”的消息，就会导致受害计算机的系统瘫痪或速度减慢。这是一种简单的攻击方式，因为许多 PING 应用程序都支持这处操作，而且黑客也不需要掌握很多知识。 解决：升级或设置防火墙有关ICMP的设置。 5、死 Ping 攻击 攻击者向受害计算机发送一条比最大 IP 数据包容量还要大许多的 ICMP 响应请求数据包。既然所接收到的 ICMP 响应请求数据包的容量远远高于正常的 IP 数据包，受害计算机不能够将这些数据包重新组合起来。这样导致的结果是，操作系统要么瘫痪，要么重启。 解决：1禁止ping 右击ip安全策略-管理ip筛选器表和筛选器操作-ip筛选器列表-添加：名称：ping;描述：ping;(勾选“使用添加向导”),添加-下一步：指定源/目的ip ,协议类型(icmp),下一步直至完成，关闭此对话框。2 管理ip筛选器表和筛选器操作3防火墙禁止ping操作。 6、Teardrop 攻击 攻击者通过更改数据包偏移量和 Teardrop 程序发送不可重新正确组合起来的 IP 信息碎片，并最终导致受害系统进行重新启动或异常终止。Teardrop 存在着许多变体，如 targa、SYNdrop、Boink、Nestea Bonk、TearDrop2 和 NewTear。 解决：如果遭受了这种攻击之后，最好的解决方法就是重新启动计算机。 7、MAC洪泛攻击 MAC洪泛是针对二层交换机发起的攻击，但主要目的是实现在交换网络环境下的嗅探(Sniffing)。当MAC帧通过交换机时，交换机会检查帧中的源MAC地址，并建立该MAC地址和端口的映射表，这张映射表存储于交换机的CAM(内容可寻址存储器)中。当进行帧转发时，交换机会查看该映射表，把MAC地址已知的帧转发到相应端口，只有MAC地址未知的帧才洪泛到所有端口。通过这样的转发行为，交换机有效地避免了在HUB环境下产生的嗅探攻击。 MAC洪泛中，攻击者发送源地址不断变化的MAC帧(携带虚假MAC地址)，导致CAM溢出，这样交换机便不能再学习新的MAC地址。同时攻击者配合使用TCN BPDU(STP协议中宣布生成树拓扑变化的BPDU)，加速已有真实MAC地址条目的老化，最终使CAM中完全充斥着虚假的MAC地址条目。经过交换机的数据帧因查不到相应的MAC条目，被洪泛到所有的端口。通过MAC洪泛，攻击者把难以进行嗅探的交换环境演变成为可以进行嗅