第10章网络中的安全问题PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
如果网络是通过路由接入Internet的, 那么可以利用路由器来进行包过滤。确信 只有您的内部LAN可以使用信任关系,而 内部LAN上的主机对于LAN以外的主机要 慎重处理。您的路由器可以帮助您过滤掉 所有来自于外部而希望与内部建立连接的 请求。
(3)使用加密方法
阻止IP欺骗的另一种明显的方法是在 通信时要求加密传输和验证。当有多种手 段并存时,可能加密方法最为适用。
的路由状态,包括可到达的路由器,连接 类型和其他相关信息。和RIP相比,虽然 OSPF协议中实施了认证过程,但是该协议 还存在着一些安全的问题。
10.1.3 网络监听
如果有一个网络设备专门收集广播而 决不应答,那么,它就可以看到本网的任 何计算机在网上传输的数据。如果数据没 有经过加密,那么它就可以看到所有的内 容。Sniffer就是一个在以太网上进行监听 的专用软件。监听这个现象对网络的安全 威胁是相当大的,因为它可以做到以下几 点:
(2)伪造ARP包
伪造ARP包是一种很复杂的技术,涉 及到TCP/IP及以太网特性的很多方面。伪 造ARP包的主要过程是,以目的主机的IP 地址和以太网地址为源地址发一ARP包, 这样即可造成另一种IP spoof。
(3)RIP的攻击
如果入侵者宣布经过自己的一条通向 目的主机的路由,将导致所有往目的的主 机数据包发往入侵者。这样,入侵者就可 以冒充是目的主机,也可以监听所有目的 主机的数据包,甚至在数据流中插入任意 的包。
10.3.2端口扫描的原理
最简单的端口扫描程序仅仅是检查一 下目标主机在哪些端口可以建立TCP连接, 如果可以建立连接,则说明该主机在那个 端口监听。当然,这种端口扫描程序不能 进一步确定端口提供什么样的服务,也不 能确定该服务是否有众所周知的那些缺陷。
第10章 网络中的安全问题
10.1网络安全概述 10.2 IP欺骗
10.3
整体概述
概况一
点击此处输入相关文本内容 点击此处输入相关文本内容
概况二
点击此处输入相关文本内容 点击此处输入相关文本内容
概况三
点击此处输入相关文本内容 点击此处输入相关文本内容
10.4网络监听 10.5拒绝服务攻击 10.6 特洛伊木马
4、序列编号、确认和其他标志信息
TCP序列号预测最早是由Morris对这 一安全漏洞进行阐述的。它使用TCP序列 号预测,即使没有从服务器得到任何响应 也能产生一个TCP包序列,这使得它能欺 骗在本地网络上的主机。
5、IP欺骗
IP欺骗由若干步骤组成:
(1)使被信任主机丧失工作能力
一旦发现被信任的主机,为了伪装成 它,往往使其丧失工作能力。由于攻击者 将要代替真正的被信任主机,攻击者必须 确保真正被信任的主机不能接收到任何有 效的网络数据,否则将会被揭穿。有许多 方法可以做到这些。
(1)抓到正在传输的密码。
(2)抓到别人的秘密(信用卡号) 或不想共享的东西。
(3)暴露网络信息。
10.2 IP欺骗
10.2 IP欺骗原理
1、信任关系 2、Rlogin 3、TCP序列号预测 4、序列编号、确认和其他标志信息 5、IP欺骗 6、IP欺骗的防止
1、信任关系
信任关系是基于IP地址的。
(4)使用随机化的初始序列号
黑客攻击得以成功实现的一个很重要 的因素,就是序列号不是随机选择的或者 随机增加的。
10.3端口扫描
10.3.1 端口扫描简介
扫描器是一种自动检测远程或本地主 机安全性弱点的程序,通过使用它,能够 扫描TCP端口,并记录反馈信息,可以不 留痕迹地发现远程服务器中各种TCP端口 的分配、提供的服务和它们的软件版本。 这就能直观地或间接地了解远程主机存在 的安全问题。
(1)抛弃基于地址的信任策略
阻止这类攻击的一种非常容易的办法 就是放弃以地址为基础的验证。不允许 r* 类远程调用命令的使用;删除 .rhosts 文件; 清空/ etc / hosts .equiv 文件。这将迫使所 有用户使用其他远程通信手段,如telnet、 ssh、skey等等。
(2)进行包过滤
实训项目
10.1网络安全概述
TCP/IP是目前Internet使用的协议。 TCP/IP存在着一系列的安全缺陷。有 的缺陷是由于源地址的认证问题造成的, 有的缺陷则来自网络控制机制和路由协 议等。这些缺陷,是所有使用TCP/IP的 系统所共有的 .
10.1.1 TCP序列号预计
TCP序列号预计由莫里斯首先提 出,是网络安全领域中最有名的缺陷 之一。这种攻击的实质,是在不能接 到目的主机应答确认时,通过预计序 列号建立连接。这样,入侵者可以伪 装成信任主机与目的主机通话
(2)序列号取样和猜测
要对目标主机进行攻击,必须知道目 标主机使用的数据包序列号。
一个和这种TCP序列号攻击相似的方 法是使用NETSTAT服务。在这个攻击中, 入侵者模拟一个主机关机。如果目标主机 上有NETSTAT,它能提供在另一端口上必 须的序列号。这取消了所有要猜测的必要。
6、IP欺骗的防止
解决上述问题的方法是:注意路由的 改变信息。一个聪明的网关可以有效地摈 弃任何明显错误的路由信息。RIP的认证、 加密也是一种较好的方法。
(4)OSPF的攻击
OSPF(Open Shortest Path First)协 议是用于自治域内部的另一种路由协议。 OSPF协议使用的路由算法是链路状态 (Link-State)算法。在该算法中,每个路 由器给相邻路由器宣布的信息是一个完整
2、Rlogin
Rlogin允许用户从一台主机登录到另 一台主机上,并且,如果目标主机信任它, Rlogin将允许在不应答口令的情况下使用 目标主机上的资源。安全验证完全是基于 源主机的IP地址。
3、TCP序列号预测
可以对IP堆栈进行修改,在源地址和 目的地址中放入任意满足要求的IP地址, 也就是说,提供虚假的IP地址。
10.1.2 路由协议缺陷
(1)源路由选项的使用 (2)伪造ARP包 (3)RIP的攻击 (4)OSPF的攻击
(1)源路由选项wk.baidu.com使用
在IP包头中的源路由选项用于该IP包 的路由选择,这样,一个IP包可以按照预 告指定的路由到达目的主机。
对于Cisco路由器,禁止源路由包可通过命 令:no ip source-route实现。
(3)使用加密方法
阻止IP欺骗的另一种明显的方法是在 通信时要求加密传输和验证。当有多种手 段并存时,可能加密方法最为适用。
的路由状态,包括可到达的路由器,连接 类型和其他相关信息。和RIP相比,虽然 OSPF协议中实施了认证过程,但是该协议 还存在着一些安全的问题。
10.1.3 网络监听
如果有一个网络设备专门收集广播而 决不应答,那么,它就可以看到本网的任 何计算机在网上传输的数据。如果数据没 有经过加密,那么它就可以看到所有的内 容。Sniffer就是一个在以太网上进行监听 的专用软件。监听这个现象对网络的安全 威胁是相当大的,因为它可以做到以下几 点:
(2)伪造ARP包
伪造ARP包是一种很复杂的技术,涉 及到TCP/IP及以太网特性的很多方面。伪 造ARP包的主要过程是,以目的主机的IP 地址和以太网地址为源地址发一ARP包, 这样即可造成另一种IP spoof。
(3)RIP的攻击
如果入侵者宣布经过自己的一条通向 目的主机的路由,将导致所有往目的的主 机数据包发往入侵者。这样,入侵者就可 以冒充是目的主机,也可以监听所有目的 主机的数据包,甚至在数据流中插入任意 的包。
10.3.2端口扫描的原理
最简单的端口扫描程序仅仅是检查一 下目标主机在哪些端口可以建立TCP连接, 如果可以建立连接,则说明该主机在那个 端口监听。当然,这种端口扫描程序不能 进一步确定端口提供什么样的服务,也不 能确定该服务是否有众所周知的那些缺陷。
第10章 网络中的安全问题
10.1网络安全概述 10.2 IP欺骗
10.3
整体概述
概况一
点击此处输入相关文本内容 点击此处输入相关文本内容
概况二
点击此处输入相关文本内容 点击此处输入相关文本内容
概况三
点击此处输入相关文本内容 点击此处输入相关文本内容
10.4网络监听 10.5拒绝服务攻击 10.6 特洛伊木马
4、序列编号、确认和其他标志信息
TCP序列号预测最早是由Morris对这 一安全漏洞进行阐述的。它使用TCP序列 号预测,即使没有从服务器得到任何响应 也能产生一个TCP包序列,这使得它能欺 骗在本地网络上的主机。
5、IP欺骗
IP欺骗由若干步骤组成:
(1)使被信任主机丧失工作能力
一旦发现被信任的主机,为了伪装成 它,往往使其丧失工作能力。由于攻击者 将要代替真正的被信任主机,攻击者必须 确保真正被信任的主机不能接收到任何有 效的网络数据,否则将会被揭穿。有许多 方法可以做到这些。
(1)抓到正在传输的密码。
(2)抓到别人的秘密(信用卡号) 或不想共享的东西。
(3)暴露网络信息。
10.2 IP欺骗
10.2 IP欺骗原理
1、信任关系 2、Rlogin 3、TCP序列号预测 4、序列编号、确认和其他标志信息 5、IP欺骗 6、IP欺骗的防止
1、信任关系
信任关系是基于IP地址的。
(4)使用随机化的初始序列号
黑客攻击得以成功实现的一个很重要 的因素,就是序列号不是随机选择的或者 随机增加的。
10.3端口扫描
10.3.1 端口扫描简介
扫描器是一种自动检测远程或本地主 机安全性弱点的程序,通过使用它,能够 扫描TCP端口,并记录反馈信息,可以不 留痕迹地发现远程服务器中各种TCP端口 的分配、提供的服务和它们的软件版本。 这就能直观地或间接地了解远程主机存在 的安全问题。
(1)抛弃基于地址的信任策略
阻止这类攻击的一种非常容易的办法 就是放弃以地址为基础的验证。不允许 r* 类远程调用命令的使用;删除 .rhosts 文件; 清空/ etc / hosts .equiv 文件。这将迫使所 有用户使用其他远程通信手段,如telnet、 ssh、skey等等。
(2)进行包过滤
实训项目
10.1网络安全概述
TCP/IP是目前Internet使用的协议。 TCP/IP存在着一系列的安全缺陷。有 的缺陷是由于源地址的认证问题造成的, 有的缺陷则来自网络控制机制和路由协 议等。这些缺陷,是所有使用TCP/IP的 系统所共有的 .
10.1.1 TCP序列号预计
TCP序列号预计由莫里斯首先提 出,是网络安全领域中最有名的缺陷 之一。这种攻击的实质,是在不能接 到目的主机应答确认时,通过预计序 列号建立连接。这样,入侵者可以伪 装成信任主机与目的主机通话
(2)序列号取样和猜测
要对目标主机进行攻击,必须知道目 标主机使用的数据包序列号。
一个和这种TCP序列号攻击相似的方 法是使用NETSTAT服务。在这个攻击中, 入侵者模拟一个主机关机。如果目标主机 上有NETSTAT,它能提供在另一端口上必 须的序列号。这取消了所有要猜测的必要。
6、IP欺骗的防止
解决上述问题的方法是:注意路由的 改变信息。一个聪明的网关可以有效地摈 弃任何明显错误的路由信息。RIP的认证、 加密也是一种较好的方法。
(4)OSPF的攻击
OSPF(Open Shortest Path First)协 议是用于自治域内部的另一种路由协议。 OSPF协议使用的路由算法是链路状态 (Link-State)算法。在该算法中,每个路 由器给相邻路由器宣布的信息是一个完整
2、Rlogin
Rlogin允许用户从一台主机登录到另 一台主机上,并且,如果目标主机信任它, Rlogin将允许在不应答口令的情况下使用 目标主机上的资源。安全验证完全是基于 源主机的IP地址。
3、TCP序列号预测
可以对IP堆栈进行修改,在源地址和 目的地址中放入任意满足要求的IP地址, 也就是说,提供虚假的IP地址。
10.1.2 路由协议缺陷
(1)源路由选项的使用 (2)伪造ARP包 (3)RIP的攻击 (4)OSPF的攻击
(1)源路由选项wk.baidu.com使用
在IP包头中的源路由选项用于该IP包 的路由选择,这样,一个IP包可以按照预 告指定的路由到达目的主机。
对于Cisco路由器,禁止源路由包可通过命 令:no ip source-route实现。