- 1、本文档共43页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第11章 因特网安全和VPN 第11章 因特网安全和VPN 因特网在最初建立时的指导思想就是资源共享,为了实现资源共享而把系统做成开放式的。在建立协议模型以及协议实现时,更多地考虑到易用性,而在安全性方面的考虑存在严重不足,这就给攻击者造成了可乘之机。 11.1 TCP/IP协议簇 11.1.1 TCP/IP协议簇模型 链路层(也称为网络接口层)似乎与OSI的数据链路层和物理层相对应,但实际上TCP/IP本身并没有真正描述这一部分,只是指出主机必须使用某种协议与网络连接,以便能在其上传递IP分组。 网络层(也称为互联网络层)是整个体系结构的关键部分,它的功能是使主机可以把分组发往任何网络,并使分组独立地传向目的地(可能经由不同的物理网络)。 传输层(又称运输层)在TCP/IP模型中位于网络层之上,它的功能是使源端和目的端主机上的对等实体可以进行会话(和OSI的传输层一样)。 传输层的上面是应用层。它包含所有的高层协议。最早引入的是远程登录协议(Telnet)和文件传输协议(FTP)。后来又增加了不少协议,例如域名服务DNS(domain name service)用于把主机名映射到网络地址;HTTP协议,用于在万维网(WWW)上获取主页等。 11.1.2 IP协议的安全问题 1.IP协议分组格式 2.IP协议的安全问题 (1)死亡之ping(ping of death) 这种攻击主要是由于单个包的长度超过了IP协议规范所规定的包长度。因为以太网帧长度有限,IP包必须被分片。当一个IP包的长度超过以太网帧的最大尺寸时,包就会被分片,作为多个帧来发送。接收端的机器提取各个分片,并重组为一个完整的IP包。超大的包一旦出现,包当中的额外数据就会被写入其它正常内存区域。这很容易导致系统进入非稳定状态,是一种典型的缓冲区溢出(Buffer Overflow)攻击。 (2)泪滴(Teardrop)攻击 Teardrop攻击同死亡之ping有些类似,在这儿,一个大IP包的各个分片包并非首尾相连,而是存在重叠(Overlap)现象。例如,分片1的偏移等于0,长度等于15,分片2的偏移为5,这意味着分片2是从分片1的中间位置开始的,即存在10字节的重叠。系统内核将试图消除这种重叠,但是如果重叠问题严重,内核将无法进行正常处理。 (3)源路由(Source Routing)欺骗 IP协议包含一个选项,叫作IP源路由选项(Source Routing),可以用来指定一条源地址和目的地址之间的直接路径。对于一些TCP和UDP的服务来说,使用了该选项的IP包好象是从路径上的最后一个系统传递过来的,而不是来自于它的真实地点。利用该选项可以欺骗系统,使之放行那些通常是被禁止的网络连接。因此,许多依靠IP源地址进行身份认证的服务将会产生安全问题以至被非法入侵。源路由选项允许黑客伪装成其它的可信任机器,这使得黑客攻击变得难于跟踪。 (4)IP地址欺骗 入侵者使用假IP地址发送包,基于IP地址认证的应用程序将认为入侵者是合法用户。 11.1.3 TCP协议 1.TCP协议头部格式 2.TCP连接的建立TCP协议使用三次握手来建立一个TCP连接, 3.TCP协议的安全问题 (1)SYN洪水(SYN flood)攻击 SYN洪水攻击利用的是大多数主机在实现三次握手协议所存在的漏洞。当主机A接收到来自主机X的SYN请求时,它就必须在侦听队列中对此连接请求保持75秒的跟踪。由于大多数系统资源有限,能够打开的连接数有限,因而攻击者X可以同时向主机A发送多个SYN请求,而且对A返回的SYN+ACK包不进行应答。这样,侦听队列将很快被阻塞,从而拒绝接受其它新的连接请求,直到部分打开的连接完成或者超时。这种拒绝服务攻击就可以作为实施上述IP地址欺骗攻击的辅助手段,使主机A无法对来自主机B的包进行应答。 (2)序列号猜测 现在,主机A已经无法对主机B发来的包进行应答了。攻击者X现在需要解决的是初始序列号的猜测。 在实际系统的初始序列号产生方法中,并非完全随机,而且很多操作系统TCP实现中初始序列号的产生方法是公开的。这就方便了黑客攻击。因此关键在于要使初始序列号的选取近可能地随机。 (3)LAND攻击 这是最简单的一种TCP攻击方法:将TCP包的源地址和目的地址,源端口和目的端口都设置成相同即可。其中,地址字段都设置为目标机器的IP地址。需要注意的是,对应的端口必须有服务程序在监听。LAND攻击可以非常有效地使目标机器重新启动或者死机。 要抵御LAND攻击,只需在编程实现时注意到这种特殊的包,将其丢弃即可。 (4)TCP会话劫持 下面让我们深入探讨TCP问题的另一个严重问题。我们注意到,在TCP连接建立的过程中和利用这个连接传输数据的过程中没有任何的认证
您可能关注的文档
最近下载
- 关于集团对子公司绩效考核工作的思考与建议.pptx
- 国土调查类项目支出标准.docx VIP
- 读后续写动作描写六大微技能课件++2023届高考英语作文备考.pptx
- 2023年中考语文综合性学习6结束语(全国通用)(解析版).pdf VIP
- 新时代中小学教师职业行为十项准则学习知识讲解25页PPT.ppt VIP
- 河南郑州热力集团有限公司招聘笔试题库2024.pdf
- DB44T 1503-2014 家用电器碳足迹评价导则.docx
- 苯甲苯90000吨精馏塔设计说明.pdf
- 2024年03月苏州市相城区教育局2024年面向全区公办学校遴选局机关科室工作人员和教研员笔试历年高频考点试题附黑钻版答案与详解.docx VIP
- 2024年普通高中英语课程标准测试题.doc
文档评论(0)