欢迎来到天天文库
浏览记录
ID:36199948
大小:224.50 KB
页数:95页
时间:2019-05-07
《《网络中的安全问题》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第10章网络中的安全问题10.1网络安全概述10.2IP欺骗10.3端口扫描10.4网络监听10.5拒绝服务攻击10.6特洛伊木马实训项目10.1网络安全概述TCP/IP是目前Internet使用的协议。TCP/IP存在着一系列的安全缺陷。有的缺陷是由于源地址的认证问题造成的,有的缺陷则来自网络控制机制和路由协议等。这些缺陷,是所有使用TCP/IP的系统所共有的.10.1.1TCP序列号预计TCP序列号预计由莫里斯首先提出,是网络安全领域中最有名的缺陷之一。这种攻击的实质,是在不能接到目的主机应答确认时,通过预计序列号建立连接。这样,入侵者可以伪装成信任主机与目的主机通话10.1.2路由
2、协议缺陷(1)源路由选项的使用(2)伪造ARP包(3)RIP的攻击(4)OSPF的攻击(1)源路由选项的使用在IP包头中的源路由选项用于该IP包的路由选择,这样,一个IP包可以按照预告指定的路由到达目的主机。对于Cisco路由器,禁止源路由包可通过命令:noipsource-route实现。(2)伪造ARP包伪造ARP包是一种很复杂的技术,涉及到TCP/IP及以太网特性的很多方面。伪造ARP包的主要过程是,以目的主机的IP地址和以太网地址为源地址发一ARP包,这样即可造成另一种IPspoof。(3)RIP的攻击如果入侵者宣布经过自己的一条通向目的主机的路由,将导致所有往目的的主机数据包发
3、往入侵者。这样,入侵者就可以冒充是目的主机,也可以监听所有目的主机的数据包,甚至在数据流中插入任意的包。解决上述问题的方法是:注意路由的改变信息。一个聪明的网关可以有效地摈弃任何明显错误的路由信息。RIP的认证、加密也是一种较好的方法。(4)OSPF的攻击OSPF(OpenShortestPathFirst)协议是用于自治域内部的另一种路由协议。OSPF协议使用的路由算法是链路状态(Link-State)算法。在该算法中,每个路由器给相邻路由器宣布的信息是一个完整的路由状态,包括可到达的路由器,连接类型和其他相关信息。和RIP相比,虽然OSPF协议中实施了认证过程,但是该协议还存在着一些
4、安全的问题。10.1.3网络监听如果有一个网络设备专门收集广播而决不应答,那么,它就可以看到本网的任何计算机在网上传输的数据。如果数据没有经过加密,那么它就可以看到所有的内容。Sniffer就是一个在以太网上进行监听的专用软件。监听这个现象对网络的安全威胁是相当大的,因为它可以做到以下几点:(1)抓到正在传输的密码。(2)抓到别人的秘密(信用卡号)或不想共享的东西。(3)暴露网络信息。10.2IP欺骗10.2IP欺骗原理1、信任关系2、Rlogin3、TCP序列号预测4、序列编号、确认和其他标志信息5、IP欺骗6、IP欺骗的防止1、信任关系信任关系是基于IP地址的。2、RloginRlo
5、gin允许用户从一台主机登录到另一台主机上,并且,如果目标主机信任它,Rlogin将允许在不应答口令的情况下使用目标主机上的资源。安全验证完全是基于源主机的IP地址。3、TCP序列号预测可以对IP堆栈进行修改,在源地址和目的地址中放入任意满足要求的IP地址,也就是说,提供虚假的IP地址。4、序列编号、确认和其他标志信息TCP序列号预测最早是由Morris对这一安全漏洞进行阐述的。它使用TCP序列号预测,即使没有从服务器得到任何响应也能产生一个TCP包序列,这使得它能欺骗在本地网络上的主机。5、IP欺骗IP欺骗由若干步骤组成:(1)使被信任主机丧失工作能力一旦发现被信任的主机,为了伪装成它
6、,往往使其丧失工作能力。由于攻击者将要代替真正的被信任主机,攻击者必须确保真正被信任的主机不能接收到任何有效的网络数据,否则将会被揭穿。有许多方法可以做到这些。(2)序列号取样和猜测要对目标主机进行攻击,必须知道目标主机使用的数据包序列号。一个和这种TCP序列号攻击相似的方法是使用NETSTAT服务。在这个攻击中,入侵者模拟一个主机关机。如果目标主机上有NETSTAT,它能提供在另一端口上必须的序列号。这取消了所有要猜测的必要。6、IP欺骗的防止(1)抛弃基于地址的信任策略阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r*类远程调用命令的使用;删除.rhosts文件;
7、清空/etc/hosts.equiv文件。这将迫使所有用户使用其他远程通信手段,如telnet、ssh、skey等等。(2)进行包过滤如果网络是通过路由接入Internet的,那么可以利用路由器来进行包过滤。确信只有您的内部LAN可以使用信任关系,而内部LAN上的主机对于LAN以外的主机要慎重处理。您的路由器可以帮助您过滤掉所有来自于外部而希望与内部建立连接的请求。(3)使用加密方法阻止IP欺骗的另一种明显的方法是在通信时要求加密传
此文档下载收益归作者所有