第3章_网络数据包结构与安全.ppt

地址00-0DH：DLC包头 地址0EH-21H：IP包头 地址22H-23H：2字节。源主机端口号，此例为53124（CF84H） 地址24H-25H：2字节。目标主机端口号，此例为53124（CF84H） 地址26H-27H：2字节。UDP部分数据长度，此例为835B（0343H） 地址28H-29H：2字节。校验和 地址2AH-结束：UDP数据段。此例为网络电视数据 3.4 数据的安全 3.4.1 安全隐患 3.4.2 提高网络安全性，防止网络嗅探的措施 3.4.1 安全隐患 信息泄漏 网络攻击 信息泄漏 网络攻击 协议欺骗攻击技术是针对网络协议的缺陷，采用欺骗的手段，截获信息或取得特权并进行攻击 主要的协议欺骗攻击方式有 IP欺骗 ARP欺骗 DNS欺骗 源路由欺骗等 IP欺骗攻击示例 IP欺骗技术就是通过伪造某台主机的IP地址骗取特权从而进行攻击的技术。通常应用程序认为如果数据包能够使其自身沿着路由到达目的地，而且应答包也可以回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的前提 假设同一网段内有两台主机A、B，另一网段内有主机X。B授予A某些特权。X为获得与A相同的特权，所做欺骗攻击如下：首先，X冒充A，向主机B发送一个带有随机序列号的SYN包。主机B响应，回送一个应答包给A，该应答号等于原序列号加1。然而，此时主机A已被主机X利用拒绝服务攻击“淹没”了，导致主机A服务失效。结果，主机A将B发来的包丢弃。为了完成三次握手，X还需要向B回送一个应答包，其应答号等于B向A发送数据包的序列号加1。此时主机X 并不能检测到主机B的数据包（因为不在同一网段），只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确，B则认为收到的ACK是来自内部主机A。此时，X即获得了主机A在主机B上所享有的特权，并开始对这些服务实施攻击 3.4.2 提高网络安全性，防止网络嗅探的措施 防止嗅探 使用安全拓扑结构阻止嗅探 采用加密技术对网络中传输的敏感数据进行加密 防止嗅探 网络嗅探是对网络安全的重大威胁，必需及早发现并阻止网络嗅探器 探测局域网中的Sniffer的方法 使用专用工具软件，如ARPKiller 使用安全拓扑结构阻止嗅探 把网络分段，从物理上将敏感主机与危险主机相隔绝，使敏感主机间传输的信息不被广播到可能装有sniffer系统的主机上，可以从根本上防止敏感信息被嗅探 如果网络环境不允许将主机从物理上相互隔绝，可以在敏感主机和风险主机之间安置防火墙设备，对进出的数据包进行检测，阻拦敏感数据对外泄漏 采用交换机替代集线器，可以抑制网络中信息的广播，对防止网络嗅探也可以起到一定的作用 采用加密技术对网络中传输的敏感数据进行加密 信息的发送方对传输的数据事先进行加密，网络中传输的是加密后的密文，密文到达目的主机后，目的主机使用正确的密钥对信息进行解密，将信息还原成正确的明文 实验题 实验3.1 网络嗅探环境的配置与数据包的捕获分析 习题 什么是分组交换和数据包？ 各层协议主要内容有什么？ 网卡都有哪些工作模式？ 如何实现网络信息的捕获？ 为什么要对sniffer Portable进行配置捕获过滤策略？ 附:常用的网络命令 Ping命令 通过发送ICMP(Internet控制消息协议)包来验证与网络中另外一台计算机的连接善状况. 不断地测试与对方计算机的连通性利用”-t”参数.如果需要解析出对方的计算机名,可以使用“-a”参数. 附:常用的网络命令 Ipconfig命令 显示TCP/IP网络配置信息/刷新动态主机配置协议DHCP和域名系统DNS设置. 带参数ipconfig （带/all） 可以显示所有适配器的IP地址、子网掩码和默认网关。 不带参数ipconfig 可以显示所有适配器的IP地址、子网掩码和默认网关。 不带参数ipconfig 带参数ipconfig /all 附:常用的网络命令 netstat命令 显示活动的连接、计算机监听的端口、以太网统计信息、IP路由表和Ipv4统计信息（IP、ICMP、TCP、UDP协议）等。 使用“netstat -an”命令可以看目前活动的连接和开放的端口，这是网络管理员查看自己的网络是否被人入侵的最简单的方法。 其中： 状态为“LISTENING”表示该端口正在监听，还没有和其他计算机建立连接； 状态为“ESTABLISHED”表示该商品正在和著述星云脸庞，并将通信计算机的IP地址和端口号显示出来。 Netstat –an 命令的使用 附:常用的网络命令 net命令