返回
网络与信息安全第8章因特网安全

网络与信息安全第8章因特网安全

ID:40400362

大小:263.51 KB

页数:53页

时间:2019-08-01

网络与信息安全第8章因特网安全_第1页
网络与信息安全第8章因特网安全_第2页
网络与信息安全第8章因特网安全_第3页
网络与信息安全第8章因特网安全_第4页
网络与信息安全第8章因特网安全_第5页
资源描述:

《网络与信息安全第8章因特网安全》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第三部分 系统安全机制 第8章 因特网安全,VPN和IPsec导读因特网在最初建立时的指导思想就是资源共享,为了实现资源共享而把系统做成开放式的。在建立协议模型以及协议实现时,更多地考虑到易用性,而在安全性方面的考虑存在严重不足,这就给攻击者造成了可乘之机。内容8.1TCP/IP协议簇8.2Ipv68.3黑客攻击的流程8.4黑客攻击技术概述8.5虚拟专用网VPN8.6IPSec8.7IPSec安全关联的建立8.1.1TCP/IP协议簇模型8.1.2IP协议IP协议的安全问题1.死亡之ping(pingofdeath)这种攻击主要是由于单个

2、包的长度超过了IP协议规范所规定的包长度。因为以太网帧长度有限,IP包必须被分片。当一个IP包的长度超过以太网帧的最大尺寸时,包就会被分片,作为多个帧来发送。接收端的机器提取各个分片,并重组为一个完整的IP包。超大的包一旦出现,包当中的额外数据就会被写入其它正常内存区域。这很容易导致系统进入非稳定状态,是一种典型的缓冲区溢出(BufferOverflow)攻击-lsize该参数定制发送数据包的大小,windows中最大为65500,命令格式:pingip-l65500默认发送的数据包大小为32bytesWindowsNT(servicepa

3、ck3之后),linux、Solaris、和MacOS都具有抵抗一般pingofdeath攻击的能力。对防火墙进行配置,阻断ICMP以及任何未知协议,都能防止此类攻击。2.泪滴(Teardrop)攻击Teardrop攻击同死亡之ping有些类似,在这儿,一个大IP包的各个分片包并非首尾相连,而是存在重叠(Overlap)现象。例如,分片1的偏移等于0,长度等于15,分片2的偏移为5,这意味着分片2是从分片1的中间位置开始的,即存在10字节的重叠。系统内核将试图消除这种重叠,但是如果重叠问题严重,内核将无法进行正常处理。泪滴攻击利用修改在TC

4、P/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。某些操作系统(如SP4以前的WindowsNT4.0)的TCP/IP在收到含有重叠偏移的伪造分段时将崩溃,不过新的操作系统已基本上能自己抵御这种攻击了。防御方法:尽可能采用最新的操作系统,或者在防火墙上设置分段重组功能,由防火墙先接收到同一原包中的所有拆分数据包,然后完成重组工作,而不是直接转发。因为防火墙上可以设置当出现重叠字段时所采取的规则。3.源路由(SourceRouting)IP协议包含一个选项,叫作IP源路由选项(SourceRouting),可以用来指定

5、一条源地址和目的地址之间的直接路径。对于一些TCP和UDP的服务来说,使用了该选项的IP包好象是从路径上的最后一个系统传递过来的,而不是来自于它的真实地点。利用该选项可以欺骗系统,使之放行那些通常是被禁止的网络连接。因此,许多依靠IP源地址进行身份认证的服务将会产生安全问题以至被非法入侵。源路由选项允许黑客伪装成其它的可信任机器,这使得黑客攻击变得难于跟踪。4.IP地址欺骗入侵者使用假IP地址发送包,基于IP地址认证的应用程序将认为入侵者是合法用户。如何阻止A向B发送信息?SYNfloodX如何得到与B建立TCP连接的初始序列号?防御方法:

6、每一个连接局域网的网关或路由器在决定是否允许外部的IP数据包进入局域网之前,先对来自外部的IP数据包进行检验。如果该IP包的IP源地址是其要进入的局域网内的IP地址,该IP包就被网关或路由器拒绝,不允许进入该局域网。8.1.3TCP协议TCP协议的安全问题1.SYN洪水(SYNflood)攻击SYN洪水攻击利用的是大多数主机在实现三次握手协议所存在的漏洞。当主机A接收到来自主机X的SYN请求时,它就必须在侦听队列中对此连接请求保持75秒的跟踪。由于大多数系统资源有限,能够打开的连接数有限,因而攻击者X可以同时向主机A发送多个SYN请求,而且

7、对A返回的SYN+ACK包不进行应答。这样,侦听队列将很快被阻塞,从而拒绝接受其它新的连接请求,直到部分打开的连接完成或者超时。这种拒绝服务攻击就可以作为实施上述IP地址欺骗攻击的辅助手段,使主机A无法对来自主机B的包进行应答。2.序列号猜测现在,主机A已经无法对主机B发来的包进行应答了。攻击者X现在需要解决的是初始序列号的猜测。在实际系统的初始序列号产生方法中,并非完全随机,而且很多操作系统TCP实现中初始序列号的产生方法是公开的。这就方便了黑客攻击。因此关键在于要使初始序列号的选取近可能地随机。3.LAND攻击这是最简单的一种TCP攻击

8、方法:将TCP包的源地址和目的地址,源端口和目的端口都设置成相同即可。其中,地址字段都设置为目标机器的IP地址。需要注意的是,对应的端口必须有服务程序在监听。LAND攻击可以非常

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。