- 1、本文档共95页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第10章网络中地安全问习题
第10章 网络中的安全问题 10.1网络安全概述 10.2 IP欺骗 10.3端口扫描 10.4网络监听 10.5拒绝服务攻击 10.6 特洛伊木马 实训项目 10.1网络安全概述 TCP/IP是目前Internet使用的协议。 TCP/IP存在着一系列的安全缺陷。有的缺陷是由于源地址的认证问题造成的,有的缺陷则来自网络控制机制和路由协议等。这些缺陷,是所有使用TCP/IP的系统所共有的 . 10.1.1 TCP序列号预计 TCP序列号预计由莫里斯首先提出,是网络安全领域中最有名的缺陷之一。这种攻击的实质,是在不能接到目的主机应答确认时,通过预计序列号建立连接。这样,入侵者可以伪装成信任主机与目的主机通话 10.1.2 路由协议缺陷 (1)源路由选项的使用 (2)伪造ARP包 (3)RIP的攻击 (4)OSPF的攻击 (1)源路由选项的使用 在IP包头中的源路由选项用于该IP包的路由选择,这样,一个IP包可以按照预告指定的路由到达目的主机。 对于Cisco路由器,禁止源路由包可通过命令:no ip source-route实现。 (2)伪造ARP包 伪造ARP包是一种很复杂的技术,涉及到TCP/IP及以太网特性的很多方面。伪造ARP包的主要过程是,以目的主机的IP地址和以太网地址为源地址发一ARP包,这样即可造成另一种IP spoof。 (3)RIP的攻击 如果入侵者宣布经过自己的一条通向目的主机的路由,将导致所有往目的的主机数据包发往入侵者。这样,入侵者就可以冒充是目的主机,也可以监听所有目的主机的数据包,甚至在数据流中插入任意的包。 解决上述问题的方法是:注意路由的改变信息。一个聪明的网关可以有效地摈弃任何明显错误的路由信息。RIP的认证、加密也是一种较好的方法。 (4)OSPF的攻击 OSPF(Open Shortest Path First)协议是用于自治域内部的另一种路由协议。OSPF协议使用的路由算法是链路状态(Link-State)算法。在该算法中,每个路由器给相邻路由器宣布的信息是一个完整 的路由状态,包括可到达的路由器,连接类型和其他相关信息。和RIP相比,虽然OSPF协议中实施了认证过程,但是该协议还存在着一些安全的问题。 10.1.3 网络监听 如果有一个网络设备专门收集广播而决不应答,那么,它就可以看到本网的任何计算机在网上传输的数据。如果数据没有经过加密,那么它就可以看到所有的内容。Sniffer就是一个在以太网上进行监听的专用软件。监听这个现象对网络的安全威胁是相当大的,因为它可以做到以下几点: (1)抓到正在传输的密码。 (2)抓到别人的秘密(信用卡号)或不想共享的东西。 (3)暴露网络信息。 10.2 IP欺骗 10.2 IP欺骗原理 1、信任关系 2、Rlogin 3、TCP序列号预测 4、序列编号、确认和其他标志信息 5、IP欺骗 6、IP欺骗的防止 1、信任关系 信任关系是基于IP地址的。 2、Rlogin Rlogin允许用户从一台主机登录到另一台主机上,并且,如果目标主机信任它,Rlogin将允许在不应答口令的情况下使用目标主机上的资源。安全验证完全是基于源主机的IP地址。 3、TCP序列号预测 可以对IP堆栈进行修改,在源地址和目的地址中放入任意满足要求的IP地址,也就是说,提供虚假的IP地址。 4、序列编号、确认和其他标志信息 TCP序列号预测最早是由Morris对这一安全漏洞进行阐述的。它使用TCP序列号预测,即使没有从服务器得到任何响应也能产生一个TCP包序列,这使得它能欺骗在本地网络上的主机。 5、IP欺骗 IP欺骗由若干步骤组成: (1)使被信任主机丧失工作能力 一旦发现被信任的主机,为了伪装成它,往往使其丧失工作能力。由于攻击者将要代替真正的被信任主机,攻击者必须确保真正被信任的主机不能接收到任何有效的网络数据,否则将会被揭穿。有许多方法可以做到这些。 (2)序列号取样和猜测 要对目标主机进行攻击,必须知道目标主机使用的数据包序列号。 一个和这种TCP序列号攻击相似的方法是使用NETSTAT服务。在这个攻击中,入侵者模拟一个主机关机。如果目标主机上有NETSTAT,它能提供在另一端口上必须的序列号。这取消了所有要猜测的必要。 6、IP欺骗的防止 (1)抛弃基于地址的信任策略 阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许 r*类远程调用命令的使用;删除 .rhosts 文件;清空/ etc / hosts .equiv 文件。这将迫使所有用户使用其他远程通信手段,如telnet、ssh、skey等等。 (2
文档评论(0)