internet安全与应用课程.pptVIP

第10章 Internet安全与应用;本章有五小节： 10. 1 电子邮件安全 10. 2 Internet电子欺骗与防范 10. 3 Internet连接防火墙与 Windows防火墙应用 10. 4 VPN安全 10. 5 Internet Explorer安全应用实例;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10．1 电子邮件安全;10.2 Internet电子欺骗与防范;10.2.1 ARP电子欺骗 2．ARP欺骗攻击原理　　 ARP请求是以广播方式进行的，主机在没有接到请求的情况下也可以随意发送ARP响应数据包，且任何ARP响应都是合法的，无需认证，自动更新ARP缓存，这些都为ARP欺骗提供了条件。 ;10.2.1 ARP电子欺骗 2．ARP欺骗攻击原理　　 当LAN中的某台主机B向主机A发送一个自己伪造的ARP应答，如果这个应答是B冒充C伪造的，即IP地址为C的IP地址，而MAC地址是B的。当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，建立新的IP地址和MAC地址的映射关系，从而，B取得了A的信任。这样，以后A要发送给C的数据包就会直接发送到B的手里。;10.2.1 ARP电子欺骗 2．ARP欺骗攻击原理　　 例子：一个入侵者想非法进入某台主机，他知道这台主机的防火墙只对192.0.0.3开放23号端口(Telnet)，而他必须要使用Telnet来进入这台主机，所以他要进行如下操作：;10.2.1 ARP电子欺骗 2．ARP欺骗攻击原理　　 (1) 研究192.0.0.3主机，发现如果他发送一个洪泛(Flood)包给192.0.0.3的139端口，该机器就会应包而死。 (2) 主机发到192.0.0.3的IP包将无法被机器应答，系统开始更新自己的ARP对应表，将192.0.0.3的项目删去。 (3) 入侵者把自己的IP改成192.0.0.3，再发一个ping命令给主机，要求主机更新ARP转换表。;10.2.1 ARP电子欺骗 2．ARP欺骗攻击原理　　 (4) 主机找到该IP，然后在APR表中加入新的IP地址与MAC地址的映射关系。 (5) 这样，防火墙就失效了，入侵者的MAC地址变为合法，可以使用Telnet进入主机了。 现在，假如该主机不只提供Telnet，还提供r命令(如rsh、rcopy、rlogin)，那么，所有的安全约定都将无效，入侵者可放心地使用该主机的资源而不用担心被记录什么。;10.2.1 ARP电子欺骗 3．ARP欺骗攻击的防御　　 采用如下措施可有效的防御ARP攻击： (1) 不要把网络的安全信任关系仅建立在IP地址或MAC地址的基础上，而是应该建立在IP+MAC基础上(即将IP和MAC两个地址绑定在一起)。 (2) 设置静态的MAC地址到IP地址的对应表，不要让主机刷新设定好的转换表。 (3) 除非很有必要，否则停止使用ARP，将ARP作为永久条目保存在对应表中。 (4) 使用ARP服务器，通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播，确保这台ARP服务器不被攻击;10.2.1 ARP电子欺骗 3．ARP欺骗攻击的防御　　 (5) 定期清除计算机中的ARP缓存信息，达到防范ARP欺骗攻击的目的。 (6) 使用ARP监控服务器。当进行数据传输时，客户端把ARP数据包捕获发送给服务器端，由服务器端进行处理。 (7) 划分多个范围较小的VLAN，一个 VLAN内发生的ARP欺骗不会影响到其他VLAN内的主机通信，缩小了ARP欺骗攻击影响的范围。 (8) 使用交换机的端口绑定功能。 (9) 使用防火墙连续监控网络。;10.2.2 DNS电子欺骗 1．DNS欺骗　 DNS欺骗是攻击者冒充域名服务器的一种欺骗行为。DNS欺骗攻击是危害性较大，攻击难度较小的一种攻击技术。当攻击者危害DNS服务器并明确地更改主机名与IP地址映射表时，DNS欺骗就会发生。 ;10.2.2 DNS电子欺骗 2．DNS欺骗攻击原理 DNS欺骗是攻击者冒充域名服务器的一种欺骗行为。DNS欺骗攻击