欢迎来到天天文库
浏览记录
ID:52275119
大小:792.51 KB
页数:43页
时间:2020-04-03
《《因特网安全和》PPT课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第11章因特网安全和VPN第11章因特网安全和VPN因特网在最初建立时的指导思想就是资源共享,为了实现资源共享而把系统做成开放式的。在建立协议模型以及协议实现时,更多地考虑到易用性,而在安全性方面的考虑存在严重不足,这就给攻击者造成了可乘之机。11.1TCP/IP协议簇11.1.1TCP/IP协议簇模型链路层(也称为网络接口层)似乎与OSI的数据链路层和物理层相对应,但实际上TCP/IP本身并没有真正描述这一部分,只是指出主机必须使用某种协议与网络连接,以便能在其上传递IP分组。网络层(也称为互联网络层)是整个体系结构的关键部分,它的功能是使主机可以把分组发往任何网
2、络,并使分组独立地传向目的地(可能经由不同的物理网络)。传输层(又称运输层)在TCP/IP模型中位于网络层之上,它的功能是使源端和目的端主机上的对等实体可以进行会话(和OSI的传输层一样)。传输层的上面是应用层。它包含所有的高层协议。最早引入的是远程登录协议(Telnet)和文件传输协议(FTP)。后来又增加了不少协议,例如域名服务DNS(domainnameservice)用于把主机名映射到网络地址;HTTP协议,用于在万维网(WWW)上获取主页等。NetworkandInformationSecurity11.1.2IP协议的安全问题1.IP协议分组格式2.IP
3、协议的安全问题(1)死亡之ping(pingofdeath)这种攻击主要是由于单个包的长度超过了IP协议规范所规定的包长度。因为以太网帧长度有限,IP包必须被分片。当一个IP包的长度超过以太网帧的最大尺寸时,包就会被分片,作为多个帧来发送。接收端的机器提取各个分片,并重组为一个完整的IP包。超大的包一旦出现,包当中的额外数据就会被写入其它正常内存区域。这很容易导致系统进入非稳定状态,是一种典型的缓冲区溢出(BufferOverflow)攻击。(2)泪滴(Teardrop)攻击Teardrop攻击同死亡之ping有些类似,在这儿,一个大IP包的各个分片包并非首尾相连,
4、而是存在重叠(Overlap)现象。例如,分片1的偏移等于0,长度等于15,分片2的偏移为5,这意味着分片2是从分片1的中间位置开始的,即存在10字节的重叠。系统内核将试图消除这种重叠,但是如果重叠问题严重,内核将无法进行正常处理。(3)源路由(SourceRouting)欺骗IP协议包含一个选项,叫作IP源路由选项(SourceRouting),可以用来指定一条源地址和目的地址之间的直接路径。对于一些TCP和UDP的服务来说,使用了该选项的IP包好象是从路径上的最后一个系统传递过来的,而不是来自于它的真实地点。利用该选项可以欺骗系统,使之放行那些通常是被禁止的网络
5、连接。因此,许多依靠IP源地址进行身份认证的服务将会产生安全问题以至被非法入侵。源路由选项允许黑客伪装成其它的可信任机器,这使得黑客攻击变得难于跟踪。(4)IP地址欺骗入侵者使用假IP地址发送包,基于IP地址认证的应用程序将认为入侵者是合法用户。11.1.3TCP协议1.TCP协议头部格式2.TCP连接的建立TCP协议使用三次握手来建立一个TCP连接,3.TCP协议的安全问题(1)SYN洪水(SYNflood)攻击SYN洪水攻击利用的是大多数主机在实现三次握手协议所存在的漏洞。当主机A接收到来自主机X的SYN请求时,它就必须在侦听队列中对此连接请求保持75秒的跟踪。
6、由于大多数系统资源有限,能够打开的连接数有限,因而攻击者X可以同时向主机A发送多个SYN请求,而且对A返回的SYN+ACK包不进行应答。这样,侦听队列将很快被阻塞,从而拒绝接受其它新的连接请求,直到部分打开的连接完成或者超时。这种拒绝服务攻击就可以作为实施上述IP地址欺骗攻击的辅助手段,使主机A无法对来自主机B的包进行应答。(2)序列号猜测现在,主机A已经无法对主机B发来的包进行应答了。攻击者X现在需要解决的是初始序列号的猜测。在实际系统的初始序列号产生方法中,并非完全随机,而且很多操作系统TCP实现中初始序列号的产生方法是公开的。这就方便了黑客攻击。因此关键在于要
7、使初始序列号的选取近可能地随机。(3)LAND攻击这是最简单的一种TCP攻击方法:将TCP包的源地址和目的地址,源端口和目的端口都设置成相同即可。其中,地址字段都设置为目标机器的IP地址。需要注意的是,对应的端口必须有服务程序在监听。LAND攻击可以非常有效地使目标机器重新启动或者死机。要抵御LAND攻击,只需在编程实现时注意到这种特殊的包,将其丢弃即可。(4)TCP会话劫持下面让我们深入探讨TCP问题的另一个严重问题。我们注意到,在TCP连接建立的过程中和利用这个连接传输数据的过程中没有任何的认证机制。TCP假定只要接收到的数据包包含正确的序列号就认为数据是可
此文档下载收益归作者所有