第五章TCPIP体系的协议安全-2试题.ppt

TCP安全 TCP概述-TCP协议涉及到TCP报文段的结构、TCP连接的建立与终止、TCP数据的传输、流量控制、差错控制、数据重传等内容。 连接建立-TCP是面向连接的。在面向连接的环境中，开始传输数据之前，在两个终端之间必须先建立一个连接。 建立连接的过程可以确保通信双方在发送用户数据之前已经准备好了传送和接收数据。 TCP-面向连接的、端到端的可靠传输服务 对于一个要建立的连接，通信双方必须用彼此的初始化序列号SEQ和来自对方成功传输确认的确认序号ACK来同步。（ACK号指明希望收到的下一个字节的编号）习惯上将同步信号写为SYN，应答信号写为ACK。 数据传输 在连接建立后，TCP将以全双工方式传送数据，在同一时间主机A与主机B之间可以同时进行TCP报文段的传输，并对接收到的TCP报文段进行确认。当 通过三次握手建立了主机A与主机B之间的TCP连接后，现在假设主机A要向主机B发送1800字节的数据，主机B要向主机A发送1500字节的数据。 连接终止 对于一个已经建立的连接，TCP使用改进的三次握手来释放连接（使用一个带有FIN附加标记的报文段，即在TCP报文段首部中将FIN字段的值置为1）。TCP关闭连接的步骤如图所示。 TCP的安全问题-Bad TCP 要实现可靠的数据传输，首先要通过三次握手方式建立主机之间的TCP连接，但在TCP连接过程中很容易出现一个严重的安全问题：TCP SYN泛洪攻击。-拒绝服务攻击DOS(Deny of Service) 三次握手-当源主机A要建立与目的主机B之间的TCP连接时，源主机A首先发送一个用于同步的SYN报文段（第一次握手）。当目的主机B接收到这个报文段时，在正常情况下目的主机会打开连接端口，并给源主机A返回一个SYN+ACK的报文段（第二次握手）。 在目的主机B的队列中存在大量的“半开放状态”的连接，最终将队列的存储空间填满，并因资源耗尽而瘫痪。 关于TCP SYN欺骗攻击 攻击者目的是使目标系统上的TCP连接请求表溢出。 从而不能对合法连接请求进行响应。 假设目标主机系统上的TCP连接请求表项为256项。 目标系统的每次超过时间为30S，运行超时次数为5次。 如果一个连接请求超时未有应答，而且超时次数大于5，那么这个请求将会 从TCP连接请求表中删除。 在没有相关的应对措施和攻击者已经占满了目标系统的TCP连接请求表的情况下，为了能够持续占满目标系统的TCP连接请求表，攻击者应以什么样的速率发送TCP连接请求？ 扫描-Scan一种信息收集型攻击、其他攻击的初步 Ping 扫射(Ping Sweep)-端口扫描(Port Scanning) Ping扫射：运用ping这样的程序探测目标地址，来发现那些目标在启动并运行。 防火墙通常阻止ICMP 因而可以采用端口扫描：向大范围的主机连接一系列的TCP端口或UDP端口，扫描软件报告它成功的建立了连接的主机所开的端口。 慢速扫描：由于一般扫描侦测器的实现是通过监视某个时间里一台特定主机发起的连接的数目（例如每秒10次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。 网络漏洞扫描器- 网络入侵者收集信息的重要手段 -由于系统管理员的疏忽或缺乏经验，导致旧有的漏洞依然存在 -许多人出于好奇或别有用心，不停的窥视网上资源 安全评估工具-系统管理员保障系统安全的有效工具 扫描器的主要功能 -扫描目标主机识别其工作状态（开/关机） -识别目标主机端口的状态（监听/关闭） -识别目标主机系统及服务程序的类型和版本 -根据已知漏洞信息，分析系统脆弱点 -生成扫描结果报告 扫描内容 -主机扫描 确定在目标网络上的主机是否可达。这是信息收 集的初级阶段，其效果直接影响到后续的扫描。 -端口扫描 当确定了目标主机可达后，就可以使用端口扫描技术，发现目标主机的开放端口，包括网络协议和各种应用监听的端口。 -栈指纹OS识别 根据各个OS在TCP/IP协议栈实现上的不同特点，采用黑盒测试方法，通过研究其对各种探测的响应形成识别指纹，进而识别目标主机运行的操作系统。 网络扫描的主要技术 主机扫描技术 端口扫描技术 栈指纹OS识别技术 主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段，其效果直接影响到后续的扫描。 常用的传统扫描手段有： ICMP Echo扫描 ICMP Sweep扫描 Broadcast ICMP扫描 Non-Echo ICMP扫描 ICMP echo扫描 实现原理：Ping的实现机制，在判断在一个网络上主机是否开机时非常有用。向目标主机发送ICMP Echo Request (type 8)数据包，等待回复的ICMP Echo Reply 包(type 0) 。如果能收