办公自动化计算机网络安全.pptVIP

IP 欺骗的防范 （1）改变间隔。 IP 欺骗的关键在于现有系统中初始序列号变量的产生方法相对粗糙，不能借助一次合法连接推算出当前的序号，也就不能顺利实施攻击。 （2）禁止基于IP 地址的验证 IP 欺骗的原理是冒充被信任的主机，而这种信任是建立在基于IP 地址的验证上。 （3）使用包过滤 （4）使用加密方法 （5）使用随机化的初始序列号 第六十三页，共一百零九页。 端 口 扫 描 所谓端口扫描，就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。 第六十四页，共一百零九页。 端口就是一个潜在的通信通道，也可能成为一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息（如该服务是否已经启动？），从而发现系统的安全漏洞。 进行扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行。 在扫描目标主机的服务端口之前，首先得搞清楚该主机是否已经在运行。如果发现该主机是活的（alive），那么，下面可以对该主机提供的各种服务端口进行扫描，从而找出活着的服务。 第六十五页，共一百零九页。 扫描手段 Ping Tracert 扫描器通过选用远程TCP/IP 不同的端口的服务，并记录目标给予的回答来实现，采用这种方法，可以搜集到很多关于目标主机的各种有用的信息，如： （1）是否能用匿名（anonymous）登录？ （2）是否有可写的FTP 目录？ （3）是否能用Telnet？ （4）HTTPD 是用ROOT 还是nobody 在运行？ 扫描器一般具有三项功能： （1）发现一个主机或网络； （2）一旦发现一台主机，能够发现该主机正在运行何种服务； （3）通过测试这些服务，发现内在的漏洞 第六十六页，共一百零九页。 1）TCP connect()扫描 这是最基本的TCP 扫描。connect()用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态，那么connect()就能成功，否则，这个端口不能使用，即没有提供服务。 （2）TCP SYN 扫描 TCP connect()扫描需要建立一个完整的TCP 连接，很容易被目的方发现。而TCP SYN 技术通常认为是“半开放”扫描，这是因为扫描程序不必打开一个完全的TCP 连接。 （3）TCP FIN 扫描 通常情况下，一些防火墙和包过滤器会对一些指定的端口进行监视，并能检测和过滤掉TCP SYN 扫描。 （4）IP 段扫描 它并不直接发送TCP 探测数据包，而是将数据包分成两个较小的IP 段。 第六十七页，共一百零九页。 第六十八页，共一百零九页。 网 络 监 听 当信息以明文的形式在网络上传输时，便可以使用网络监听的方式进行攻击。将网络接口设置在监听模式便可以源源不断地截获网上信息。网络监听可以在网上的任何一个位置实施。 网络监听主要用于局域网络，在广域网里也可以监听和截获到一些用户信息，但更多信息的截获要依赖于配备专用接口的专用工具。 一个比较好的检测工具是Antisniff，它运行在本地以太网的一个网段上，用以检测本地以太网是否有机器处于混杂模式。 第六十九页，共一百零九页。 Sniffer 通常运行在路由器，或有路由器功能的主机上。这样就能对大量的数据进行监控。 Sniffer 属第二层次（数据链路层）的攻击。通常是攻击者已经进入了目标系统，留下了后门，安装Sniffer 工具，然后运行Sniffer，以便得到更多的信息。 Sniffer 除了能得到口令或用户名外，还能得到更多的其他信息，比如登录用户的银行卡号、公司账号、网上传送的金融信息等等。Sniffer 几乎能得到以太网上传送的任何数据包。 第七十页，共一百零九页。 加密是对付Sniffer 比较安全的方法，要求在传送前加密数据，对方收到后解密。 使用安全拓扑结构。使用安全拓扑结构一般需要遵循下列规 则：一个网络段必须有足够的理由才能相信另一网络段。网络段应该在考虑数据之间的信任关系上来设计，而不是硬件需要。 第七十一页，共一百零九页。 拒绝服务式攻击 拒绝服务方式攻击的英文意思是Denial of Service，简称DoS。这种攻击行动使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。拒绝服务攻击也是电子政务系统中非常常见的一种攻击手段。 第七十二页，共一百零九页。 第七十三页，共一百零九页。 拒绝服务式攻击的防范措施 从目前来看，没有绝对有效的方法来对付拒绝服务攻击。因此，在系统中也只能有采取一些防范措施，主要是避免成为被利用的工具或者成为被攻击的对象。 第七十四页，共一百零九页。 无线网络安全 对