第3章 网络通信协议安全.ppt.pptVIP

第3章 网络通信协议安全 0 3.1 网络通信的脆弱性 3.2 网络协议存在的安全问题 3.3 WWW的安全 3.4 WWW的欺骗攻击和防御 1 1.网络本身存在的安全缺陷 2.网络容易被窃听和欺骗 3.TCP/IP服务的脆弱性 4.缺乏安全策略 5.Internet上的威胁 3.1 网络通信的脆弱性 2 TCP/IP协议在实现上力求简单高效，缺乏安全因素的考虑 容易被窃听 脆弱的TCP/IP服务 TCP/IP协议缺乏安全策略 配置的复杂性 1.网络本身存在的安全缺陷 3 原因 广播型网络，数据包容易被捕捉到 以太网 很多协议进行数据明文传输 Telnet、FTP、Email 信息的传播需要经过很多中间节点的转发 路由、交换机等 2.网络容易被窃听和欺骗 4 窃听 5 6 网络窃听的对策 使用安全的连接方式 使用Secure Shell来取代Telnet HTTP的安全连接 SSL等 不允许用户使用最高权限帐户远程登录系统 UNIX系统下不能使用root帐户远程登录 登录后使用su命令切换用户 使用SSL加密连接可以直接root登录 对Sniffer等工具的防范 使用交换网络 升级系统，使用Kerberos认证 7 劫持 8 电子欺骗 针对HTTP,FTP,DNS等协议 DNS欺骗 9 IP地址欺骗 伪造他人的源IP地址，让一台机器来扮演另一台机器，借以达到蒙混过关的目的。 10 邮件欺骗 假冒他人的邮件地址发送信息 Web欺骗 模仿网银等正规网站，获取账户和密码 11 1.WWW服务 2.电子邮件服务 3.FTP服务和TFTP服务 4.Finger服务 5.其他安全性极差的服务 3.TCP/IP服务的脆弱性 12 1.WWW服务 基于不安全的超文本传输协议HTTP 动态的CGI程序存在安全漏洞 13 2.电子邮件服务 常用的电子邮件服务器Sendmail存在很多安全漏洞 电子邮件可附带病毒 3.FTP服务和TFTP服务 TFTP用于局域网无盘工作站传输系统文件，不带有任何安全认证，安全性极差 匿名的FTP服务存在安全问题 14 4.Finger 用于查询用户信息，存在泄漏账号的问题 5.其他安全性极差的服务 基于RPC的NFS服务 BSD UNIX系统中“r”开头的服务 rlogin、rsh和rexec等 15 制定一个完善和成功的网络安全策略并非易事 人为因素 系统和防火墙本身配置的复杂性 4.缺乏安全策略 16 商业信息盗窃 钓鱼网站 各类病毒、木马 5.Internet上的威胁 17 1. ARP协议 2. ICMP协议 3. IP协议与路由 4. TCP协议 5. Telnet协议 6. FTP协议 7. SMTP协议 8. HTTP协议 3.2 网络协议存在的安全问题 18 1.ARP协议 将IP地址映射成物理地址 19 ARP协议的缓存设计，网络或远程计算机的硬件地址就保存在缓存中，并为ARP请求做准备。 缓存引发安全问题，黑客可以伪造一个远程连接。 利用ARP欺骗，一个入侵者可以做到： 利用基于IP协议的安全性不足，冒用一个合法的IP地址来进入主机； 跳过基于IP协议的许多程序的安全检查，如NFS、r系列命令等，甚至还可以栽赃给别人。 20 防止ARP欺骗的措施 把信任关系建立在IP和MAC基础上； 设置静态MAC-IP对应表，禁止主机刷新设定好的转换表； 停止使用ARP，将ARP作为永久条目保存在对应表中； 使用ARP服务器； 使用Proxy代理IP的传输； 使用硬件屏蔽主机； 定期检查ARP的真实性； 系统管理员定期轮询，检查主机上的ARP缓存； 使用防火墙连续监控网络。 21 2.ICMP协议 在两台计算机之间传输信息时处理错误和控制消息。 最著名的ICMP网络工具是Ping 在进行ARP入侵的时候，配合ICMP欺骗，入侵者可以得到更多的信息。 22 3.IP协议与路由 IP协议定义了一种高效、不可靠和无连接的传输方式。 当一个主机或路由器要将IP数据包发送到不同的物理网络上的主机时，这台设备就先在路由表中查找路由，然后将数据包发往路由中指定的下一个路由器，知道将数据发到目的主机上。 23 IP协议的安全性：IP欺骗 IP欺骗的动机 隐藏自己的IP地址，防止被追踪 以IP为授权依据 穿越防火墙 IP欺骗的形式 单向IP欺骗 双向IP欺骗 IP欺骗成功的要诀 IP数据包路由原则：根据目标地址进行路由 24 单向IP欺骗 改变自己的IP地址 问题 只能发送数据包 无法收到回送的数据包 防火墙可能阻挡 实现手段 发送IP包，包头填写上虚假的源IP地址 在Unix平台上，直接用socket就可以 需要root权限 在Windows平台上，不能使用winsock 可以使用winpcap等工具 25 双向I