通信网络安全05.ppt

11.HTTP风险 1.URL漏洞 6）跨站脚本 跨站脚本XSS攻击是发生在当用户把数据提交给服务器，又被送到另一用户。例如很多在线论坛和博客允许用户张贴内容和超级链接，张贴的东西可以被其他用户访问 钓鱼网站 Cookie盗用 用户执行恶意代码后将自己的cookie发给了攻击者，攻击者以此登录目标服务器 11.HTTP风险 2.常见的HTTP风险 1）无身份鉴别的客户 2）无身份鉴别的服务器 客户端依据主机名或网络地址访问服务器。主机名识别易受DNS攻击的损害，网络地址易受网络拦截破坏 3）客户端隐私 Cookies和身份鉴别系统可跟踪用户，但只是限制在特定的服务器，然而HTTP报头提供交叉服务器跟踪，Web浏览器提供参考报头并指示链接的URL来自何处 4）信息泄露 HTTP请求报头通常泄露Web浏览器的类型，包括版本和操作系统。HTTP回答报头包含服务器类型、版本以及支持的插入（plug-in） HTTP回答的消息包括一个时间戳，通常是一个文件最近的修改时间，而CGI应用通常返回当前的时间。通过观察时间戳，攻击者能识别数据是静态的（来自文件）还是动态的（来自应用程序），攻击者可根据时间戳泄露的信息来策划攻击 11.HTTP风险 2.常见的HTTP风险 6）访问操作系统 OSI应用层直接和主机操作系统接口。通过访问文件或应用程序（经CGI程序）HTTP服务器提供直接访问来处理HTTP命令，通过修改URL通路和选项，针对操作系统的漏洞可被远程访问 7）不安全的应用程序 8）低层协议 DNS攻击、TCP拦截和更低层的攻击也能阻挡HTTP、拦截信息或拦截连接 作业 1、无线网络风险及缓解办法 2、ARP风险及缓解办法 5.TCP DoS 3.ICMP攻击 类似RST攻击，ICMP可用来指定一个断开连接。盲目的ICMP攻击也能使TCP不能连接。不像TCP重置攻击，防火墙能阻断ICMP攻击，而RST攻击因为有效的端口和地址组合，能通过防火墙 4.LAND攻击 一个特别打造的SYN包中的源地址和目标地址都被设置成某一个服务器地址，导致服务器向它自己的地址发送SYN-ACK消息，这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。对Land攻击反应不同，许多UNIX系统将崩溃，而 Windows NT 会变的极其缓慢（大约持续五分钟）。 6.缓解对TCP攻击的方法 1.改变系统框架 TCP和网络服务攻击有两类，盲目攻击和定向攻击，前者没有假定的攻击目标，通过试探发现漏洞，大部分计算机病毒使用这种方法 定向攻击这对特定操作系统平台和网络服务。首先通过侦察识别可能的目标，然后攻击可行的目标，通过改变系统框架可缓解攻击者的识别。修改SYN超时、重试计数、重试间隔、初始窗口大小、可用的TCP选项以及初始序列值 很多TCP端口是标准化的，特定端口用于特定服务。虽然这些端口是标准的，但不是必需的，可以改变端口号以减少攻击的可能性。 6.缓解对TCP攻击的方法 2.阻断攻击指向 用防火墙阻断任何外部的SYN分组，对于DMZ区内提供的服务，可以设置路由器只开放相应的端口和地址。同时阻断ICMP通行能消除来自远程的ICMP淹没、拦截和重置攻击的风险 3.状态分组检测 很多防火墙支持状态分组检测（SPI），SPI跟踪TCP连接状态以及具有和已知状态不匹配的分组，如，一个RST分组送到关闭的端口，可以直接丢弃，而不是传递给主机，SPI能减少拦截攻击、重置攻击、远程系统框架等的影响 6.缓解对TCP攻击的方法 4.入侵检测系统（IDS） IDS对非标准的或非期望的分组进行监控。IDS能很快识别远程系统框架、TCP端口扫描、拦截企图以及DoS攻击 5.入侵防御系统 对于部署在数据转发路径上的IPS，可以根据预先设定的安全策略，对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等)，如果一旦发现隐藏于其中网络攻击，可以根据该攻击的威胁级别立即采取抵御措施，这些措施包括：向管理中心告警；丢弃该报文；切断此次应用会话；切断此次TCP连接。 6.缓解对TCP攻击的方法 7.高层协议 一般来说，假定高层协议将鉴别通信以及检测可能的攻击 7.UDP UDP是一个简单的传输协议，用于无连接服务。UDP的报头值包括源端口、目的端口、数据长度和校验和，共8个字节，UDP传输不产生回答的响应。UDP攻击常常基于无效的分组以及伪装 1.非法的进入源 UDP服务器不执行初始握手，任何主机都能连接到UDP服务器而无须身份鉴别。 服务器缓冲有限数的UDP分组。缓冲器空间满后收到的分组将被丢弃。UDP分组能很快淹没慢的UDP服务 2.UDP拦截 由于无身份鉴别，任何客户可以发任何分组到任何UDP服务器，管理会话和连接必须由