第10章网络中地安全问习题.ppt

第10章 网络中的安全问题 10.1网络安全概述 10.2 IP欺骗 10.3端口扫描 10.4网络监听 10.5拒绝服务攻击 10.6 特洛伊木马 　实训项目　　 10.1网络安全概述 TCP/IP是目前Internet使用的协议。 TCP/IP存在着一系列的安全缺陷。有的缺陷是由于源地址的认证问题造成的，有的缺陷则来自网络控制机制和路由协议等。这些缺陷，是所有使用TCP/IP的系统所共有的 . 10.1.1 TCP序列号预计 TCP序列号预计由莫里斯首先提出，是网络安全领域中最有名的缺陷之一。这种攻击的实质，是在不能接到目的主机应答确认时，通过预计序列号建立连接。这样，入侵者可以伪装成信任主机与目的主机通话 10.1.2 路由协议缺陷 (1)源路由选项的使用 (2)伪造ARP包 (3)RIP的攻击 (4)OSPF的攻击 (1)源路由选项的使用 在IP包头中的源路由选项用于该IP包的路由选择，这样，一个IP包可以按照预告指定的路由到达目的主机。 对于Cisco路由器，禁止源路由包可通过命令：no ip source-route实现。 (2)伪造ARP包 伪造ARP包是一种很复杂的技术，涉及到TCP/IP及以太网特性的很多方面。伪造ARP包的主要过程是，以目的主机的IP地址和以太网地址为源地址发一ARP包，这样即可造成另一种IP spoof。 (3)RIP的攻击 如果入侵者宣布经过自己的一条通向目的主机的路由，将导致所有往目的的主机数据包发往入侵者。这样，入侵者就可以冒充是目的主机，也可以监听所有目的主机的数据包，甚至在数据流中插入任意的包。 解决上述问题的方法是：注意路由的改变信息。一个聪明的网关可以有效地摈弃任何明显错误的路由信息。RIP的认证、加密也是一种较好的方法。 (4)OSPF的攻击 OSPF（Open Shortest Path First）协议是用于自治域内部的另一种路由协议。OSPF协议使用的路由算法是链路状态（Link-State）算法。在该算法中，每个路由器给相邻路由器宣布的信息是一个完整 的路由状态，包括可到达的路由器，连接类型和其他相关信息。和RIP相比，虽然OSPF协议中实施了认证过程，但是该协议还存在着一些安全的问题。 10.1.3 网络监听 如果有一个网络设备专门收集广播而决不应答，那么，它就可以看到本网的任何计算机在网上传输的数据。如果数据没有经过加密，那么它就可以看到所有的内容。Sniffer就是一个在以太网上进行监听的专用软件。监听这个现象对网络的安全威胁是相当大的，因为它可以做到以下几点: （1）抓到正在传输的密码。 （2）抓到别人的秘密（信用卡号）或不想共享的东西。 （3）暴露网络信息。 10.2 IP欺骗 10.2 IP欺骗原理 1、信任关系 2、Rlogin 3、TCP序列号预测 4、序列编号、确认和其他标志信息 5、IP欺骗 6、IP欺骗的防止 1、信任关系 信任关系是基于IP地址的。 2、Rlogin Rlogin允许用户从一台主机登录到另一台主机上，并且，如果目标主机信任它，Rlogin将允许在不应答口令的情况下使用目标主机上的资源。安全验证完全是基于源主机的IP地址。 3、TCP序列号预测 可以对IP堆栈进行修改，在源地址和目的地址中放入任意满足要求的IP地址，也就是说，提供虚假的IP地址。 4、序列编号、确认和其他标志信息 TCP序列号预测最早是由Morris对这一安全漏洞进行阐述的。它使用TCP序列号预测，即使没有从服务器得到任何响应也能产生一个TCP包序列，这使得它能欺骗在本地网络上的主机。 5、IP欺骗 IP欺骗由若干步骤组成： （1）使被信任主机丧失工作能力 一旦发现被信任的主机，为了伪装成它，往往使其丧失工作能力。由于攻击者将要代替真正的被信任主机，攻击者必须确保真正被信任的主机不能接收到任何有效的网络数据，否则将会被揭穿。有许多方法可以做到这些。 （2）序列号取样和猜测 要对目标主机进行攻击，必须知道目标主机使用的数据包序列号。 一个和这种TCP序列号攻击相似的方法是使用NETSTAT服务。在这个攻击中，入侵者模拟一个主机关机。如果目标主机上有NETSTAT，它能提供在另一端口上必须的序列号。这取消了所有要猜测的必要。 6、IP欺骗的防止 （1）抛弃基于地址的信任策略 阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许 r*类远程调用命令的使用；删除 .rhosts 文件；清空/ etc / hosts .equiv 文件。这将迫使所有用户使用其他远程通信手段，如telnet、ssh、skey等等。 （2