网络中的安全问题.pptxVIP

第10章网络中的安全问题10.1网络安全概述10.2IP欺骗10.3端口扫描10.4网络监听10.5拒绝服务攻击10.6特洛伊木马实训项目

TCP/IP是目前Internet使用的协议。TCP/IP存在着一系列的安全缺陷。有的缺陷是由于源地址的认证问题造成的，有的缺陷则来自网络控制机制和路由协议等。这些缺陷，是所有使用TCP/IP的系统所共有的.10.1网络安全概述

1.1TCP序列号预计01TCP序列号预计由莫里斯首先提出，是网络安全领域中最有名的缺陷之一。这种攻击的实质，是在不能接到目的主机应答确认时，通过预计序列号建立连接。这样，入侵者可以伪装成信任主机与目的主机通话。02

2源路由选项的使用3伪造ARP包11.2路由协议缺陷5OSPF的攻击4RIP的攻击

在IP包头中的源路由选项用于该IP包的路由选择，这样，一个IP包可以按照预告指定的路由到达目的主机。对于Cisco路由器，禁止源路由包可通过命令：noipsource-route实现。源路由选项的使用1伪造ARP包伪造ARP包是一种很复杂的技术，涉及到TCP/IP及以太网特性的很多方面。伪造ARP包的主要过程是，以目的主机的IP地址和以太网地址为源地址发一ARP包，这样即可造成另一种IPspoof。2

如果入侵者宣布经过自己的一条通向目的主机的路由，将导致所有往目的的主机数据包发往入侵者。这样，入侵者就可以冒充是目的主机，也可以监听所有目的主机的数据包，甚至在数据流中插入任意的包。解决上述问题的方法是：注意路由的改变信息。一个聪明的网关可以有效地摈弃任何明显错误的路由信息。RIP的认证、加密也是一种较好的方法。0102RIP的攻击

OSPF的攻击OSPF（OpenShortestPathFirst）协议是用于自治域内部的另一种路由协议。OSPF协议使用的路由算法是链路状态（Link-State）算法。在该算法中，每个路由器给相邻路由器宣布的信息是一个完整的路由状态，包括可到达的路由器，连接类型和其他相关信息。和RIP相比，虽然OSPF协议中实施了认证过程，但是该协议还存在着一些安全的问题。

1.3网络监听如果有一个网络设备专门收集广播而决不应答，那么，它就可以看到本网的任何计算机在网上传输的数据。如果数据没有经过加密，那么它就可以看到所有的内容。Sniffer就是一个在以太网上进行监听的专用软件。监听这个现象对网络的安全威胁是相当大的，因为它可以做到以下几点:抓到正在传输的密码。抓到别人的秘密（信用卡号）或不想共享的东西。暴露网络信息。

信任关系1Rlogin2TCP序列号预测3序列编号、确认和其他标志信息4IP欺骗5IP欺骗的防止610.2IP欺骗2IP欺骗原理

信任关系是基于IP地址的。信任关系Rlogin允许用户从一台主机登录到另一台主机上，并且，如果目标主机信任它，Rlogin将允许在不应答口令的情况下使用目标主机上的资源。安全验证完全是基于源主机的IP地址。Rlogin

TCP序列号预测可以对IP堆栈进行修改，在源地址和目的地址中放入任意满足要求的IP地址，也就是说，提供虚假的IP地址。序列编号、确认和其他标志信息TCP序列号预测最早是由Morris对这一安全漏洞进行阐述的。它使用TCP序列号预测，即使没有从服务器得到任何响应也能产生一个TCP包序列，这使得它能欺骗在本地网络上的主机。

IP欺骗IP欺骗由若干步骤组成：使被信任主机丧失工作能力一旦发现被信任的主机，为了伪装成它，往往使其丧失工作能力。由于攻击者将要代替真正的被信任主机，攻击者必须确保真正被信任的主机不能接收到任何有效的网络数据，否则将会被揭穿。有许多方法可以做到这些。

要对目标主机进行攻击，必须知道目标主机使用的数据包序列号。01一个和这种TCP序列号攻击相似的方法是使用NETSTAT服务。在这个攻击中，入侵者模拟一个主机关机。如果目标主机上有NETSTAT，它能提供在另一端口上必须的序列号。这取消了所有要猜测的必要。02序列号取样和猜测

IP欺骗的防止6、IP欺骗的防止（1）抛弃基于地址的信任策略 阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r*类远程调用命令的使用；删除.rhosts文件；清空/etc/hosts.equiv文件。这将迫使所有用户使用其他远程通信手段，如telnet、ssh、skey等等。（2）进行包过滤 如果网络是通过路由接入Internet的，那么可以利用路由器来进行包过滤。确信只有您的内部LAN可以使用信任关系，而内部LAN上的主机对于LAN以外的主机要慎重处理。您的路由器可以帮助您过滤掉所有来自于外部而希望与内部建立连接的请求。

使用加密方法使用随机化的初始序列号阻止IP欺骗的另