收藏
下载资源

网络安全技术02

上传人:今*** 文档编号:113484543 上传时间:2019-11-08 格式:PPT 页数:41 大小:4MB
返回 下载 相关 举报
网络安全技术02_第1页
第1页 / 共41页
网络安全技术02_第2页
第2页 / 共41页
网络安全技术02_第3页
第3页 / 共41页
网络安全技术02_第4页
第4页 / 共41页
网络安全技术02_第5页
第5页 / 共41页
点击查看更多>>
资源描述

《网络安全技术02》由会员分享,可在线阅读,更多相关《网络安全技术02(41页珍藏版)》请在金锄头文库上搜索。

1、2019/11/9,1,第2章 网络安全协议基础,TCP/IP协议安全分析,2019/11/9,2,2.1 TCP/IP模型,TCP/IP协议族与OSI参考模型对应关系,2019/11/9,3,解剖TCP/IP模型,TCP/IP协议簇包括四个功能层:应用层、传输层、网络层及网络接口层。 1、网络接口层 网络接口层包括用于物理连接、传输的所有功能。OSI模型把这一层功能分为两层:物理层和数据链路层,TCP/IP参考模型把两层合在一起。 2、网络层(Internet层) 网络层由在两个主机之间通信所必须的协议和过程组成。这意味着数据报文必须是可路由的。,2019/11/9,4,解剖TCP/IP模型

2、,3、传输层 这一层支持的功能包括:为了在网络中传输对应用数据进行分段,执行数学检查来保证所收数据的完整性,为多个应用同时传输数据多路复用数据流(传输和接收)。这意味着该层能识别特殊应用,对乱序收到的数据进行重新排序。 4、应用层 应用层协议提供远程访问和资源共享。应用包括Telnet服务、FTP服务、SMTP服务和HTTP服务等,很多其他应用程序驻留并运行在此层,并且依赖于底层的功能。该层是最难保护的一层。,2019/11/9,5,2.2 TCP协议安全,TCP协议的头结构 TCP协议工作原理 首先将字节分成段,然后对段进行编号和排序以便传输。在两个TCP主机之间交换数据之前,必须先相互建立

3、会话。TCP会话通过三次握手的完成初始化。这个过程使序号同步,并提供在两个主机之间建立虚拟连接所需的控制信息。 TCP在建立连接的时候需要三次确认,俗称“三次握手”,在断开连接的时候需要四次确认,俗称“四次挥手”。,2019/11/9,6,2.2 TCP协议安全,TCP协议的三次“握手”,2019/11/9,7,TCP协议的三次“握手”,这个过程在FTP的会话过程中明显的显示出来:,2019/11/9,8,第一次“握手”,首先分析建立“握手”第一个过程包的结构:,2019/11/9,9,第二次“握手”,SYN为1,开始建立请求连接,需要对方计算机确认,对方计算机确认返回的数据包。,2019/1

4、1/9,10,第三次“握手”,对方计算机返回的数据包中ACK为1并且SYN为1,说明同意连接。 这个时候需要源计算机的确认就可以建立连接了。确认数据包的结构:,2019/11/9,11,2.2 TCP协议安全,TCP协议的四次“挥手”,2019/11/9,12,2.2 TCP协议安全,TCP协议安全分析 通过TCP序列号猜测,窃取TCP连接攻击。 在Unix实现的协议族中,有一个漏洞能使窃TCP连接成为可能。 原理:当TCP连接正在建立时,服务器用一个含有初始序列号的回答包来确认用户请求。客户端收到回答后,再对其确认一次,连接就建立了。,2019/11/9,13,2.2 TCP协议安全,【案例

5、】假设一个攻击者谷窃取客户机C的端口X与服务器S的端口Y之间的TCP连接。 攻击步骤: 向C的端口X发送大量的连接请求,以至于没有别的包可以到达C的TCP协议。 创建一个到S的TCP连接,并记录从S返回的包的初始序列号N。 然后构造拥有合法TCP SYN头的IP包。包的源地址是C,源端口是X。 攻击者再将此包传送到S,S对C发回一确认包。 若C收到确认,会给S发一个包放弃这个连接。但大量的包阻塞在C的端口X,使S的回答确认不能通过。这时攻击者伪造一个来自C的对S的回答确认,这个确认包含S发出的初始序列号。,2019/11/9,14,2.2 TCP协议安全,攻击成功的原因: 攻击者能够得到服务器

6、对请求回答包的初始序列号; 攻击者发出大量包阻塞客户机的端口。 解决方法: 使初始序列号的产生具有随机性。,2019/11/9,15,2.3 UDP协议安全,UDP的结构,2019/11/9,16,2.3 UDP协议安全,侵袭者通过冒充内部用户的网络地址,然后再利用适当 的应用软件很容易伪造UDP包分组。,2019/11/9,17,2.4 ARP协议安全,ARP欺骗 ARP欺骗攻击的原理是因为计算机中维护着一个ARP高速缓存,并且这个ARP高速缓存是随着计算机不断地发出ARP请求和收到ARP响应而不断地更新的。 ARP协议如何找出新加入本地网络的主机的物理地址?,2019/11/9,18,2.

7、4 ARP协议安全,【案例】 假设网络中存在A、B、C、D四台主机,利用交换机连接。现在恶意主机C试图获得A与B之间的通信,如何进行ARP欺骗攻击?,2019/11/9,19,2.5 IP协议安全,IP头的结构,2019/11/9,20,2.5 IP协议安全,IP地址欺骗 直接更改本机的IP地址为别的主机的IP地址; 用假的IP地址构造IP数据包发送出去。,伪造IP地址攻击,2019/11/9,21,IP分组、重组算法安全 利用典型过滤器的行为和IP分组、重组算法,通过制造一些特定的包分组来使得不合法的IP 数据报通过防火墙。 极小碎片攻击 IP碎片攻击,2.5 IP协议安全,2019/11/

8、9,22,2.6 ICMP协议安全,ICMP数据报格式,2019/11/9,23,2.6 ICMP协议安全,Ping命令的数据报:,2019/11/9,24,Ping隐蔽传送通道 ECHO类型的ICMP允许提供数据选项,没有设备检查填充域的内容,被攻击者利用以隐蔽方式传递数据。 滥用ICMP“目的地不可达”数据包 侵袭者不断发出“需要分段和DF设置”包扰乱网络。 滥用ICMP“源抑制”包 发送过量伪造的“源抑制”包会引起严重的数据流通问题。 滥ICMP“更改地址”包 侵袭者利用IP地址欺骗和正确的ICMP“更改地址”包侵入网络和路由器来改变他们所用的路径。,2.6 ICMP协议安全,2019/

9、11/9,25,2.6 ICMP协议安全,ECHO拒绝服务攻击,2019/11/9,26,2.7 DNS安全,1 DNS的功能及组成 DNS协议的最基本的功能是对主机名与对应的IP地址之间建立映射关系。 使用主机名(域名)比直接使用IP地址具有以下两点好处: 机名便于记忆; 数字形式的IP地址可能会由于各种原因而改变,而主机名可以保持不变。,2019/11/9,27,Internet的域名结构,2019/11/9,28,2.7 DNS安全,2 DNS的解析过程 假设客户端Web浏览器要访问网站,整个访问过程:,对的访问过程,2019/11/9,29,1缓存中毒 DNS缓存中毒利用了DNS缓存机

10、制,在DNS服务器的缓存中存入大量错误的数据记录主动供用户查询。由于缓存中大量错误的记录是攻击者伪造的,而伪造者可能会根据不同的意图伪造不同的记录,例如将查询指向某一个特定的服务器,使所有通过该DNS查询的用户都访问某一个网站的主页;或将所有的邮件指向某一台邮件服务器,拦截利用该DNS进行解析的邮件,等等。 由于DNS服务器之间会进行记录的同步复制,所以在TTL内,缓存中毒的DNS服务器有可能将错误的记录发送给其他的DNS服务器,导致更多的DNS服务器中毒。,DNS的安全问题,2019/11/9,30,2.7 DNS安全,2 拒绝服务攻击 DNS服务器在互联网中的关键作用使它很容易成为攻击者进

11、行攻击的目标,加上DNS服务器对大量的攻击没有相应的防御能力,所以攻击过程很容易实现,且造成的后果非常严重。现在使用的DNS采用了树型结构,一旦DNS服务器不能提供服务,其所辖的子域都将无法解析客户端的域名查询请求。 针对DNS服务器的拒绝服务攻击方式: 直接攻击DNS服务器; 利用DNS服务器作为“中间人”去攻击网络中的其他主机。,2019/11/9,31,2.7 DNS安全,3 域名劫持 域名劫持通常是指通过采用非法手段获得某一个域名管理员的账户和密码,或者域名管理邮箱,然后将该域名的IP地址指向其他的主机(该主机的IP地址有可能不存在)。域名被劫持后,不仅有关该域名的记录会被改变,甚至该

12、域名的所有权可能会落到其他人的手里。 【2001年3月25日,电子商务网站遭到域名劫持攻击】,2019/11/9,32,DNS安全扩展(DNSSEC),1 DNSSEC的基本原理 域名系统安全扩展(DNSSEC)是在原有的域名系统(DNS)上通过公钥技术,对DNS中的信息进行数字签名,从而提供DNS的安全认证和信息完整性检验。 具体原理为: 发送方:首先使用Hash函数对要发送的DNS信息进行计算,得到固定长度的“信息摘要”;然后对“信息摘要”用私钥进行加密,此过程实现了对“信息摘要”的数字签名;最后将要发送的DNS信息、该DNS信息的“信息摘要”以及该“信息摘要”的数字签名,一起发送出来。,

13、2019/11/9,33,DNS安全扩展(DNSSEC),接收方:首先采用公钥系统中的对应公钥对接收到的“信息摘要”的数字签名进行解密,得到解密后的“信息摘要”;接着用与发送方相同的Hash函数对接收到的DNS信息进行运算,得到运算后的“信息摘要”;最后,对解密后的 “信息摘要”和运算后的“信息摘要”进行比较,如果两者的值相同,就可以确认接收到的DNS信息是完整的,即是由正确的DNS服务器得到的响应。,2019/11/9,34,2 DNSSEC的工作机制,DNSSEC系统的查询 和应答过程,DNS安全扩展(DNSSEC),2019/11/9,35,3 DNSSEC的应用现状 DNSSEC作为对

14、目前DNS的安全扩展,可有效地防范DNS存在的各种攻击,保证客户端收到的DNS记录的真实性和完整性。此外,DNSSEC与原有的DNS具有向下的兼容性,在实现上具有可行性。但是,由于Internet的特殊性,就像从IPv4到IPv6的迁移一样,从DNS到DNSSEC的转换不可能在短期内完成,需要一个渐进的过程。可以先有针对性地建立一些安全区域,如cn、.net等,然后再向其他区域扩展。当整个Internet部署了DNSSEC后,所有的信任将集中到根域下。,DNS安全扩展(DNSSEC),2019/11/9,36,2.8 DHCP安全,DHCP的工作过程:,2019/11/9,37,DHCP的安全

15、问题,在通过DHCP提供客户端IP地址等信息分配的网络中存在着一个非常大的安全隐患: 当一台运行有DHCP客户端程序的计算机连接到网络中时,即使是一个没有权限使用网络的非法用户也能很容易地从DHCP服务器获得一个IP地址及网关、DNS等信息,成为网络的合法使用者。,2019/11/9,38,DHCP的安全问题,由于DHCP客户端在获得DHCP服务器的IP地址等信息时,系统没有提供对合法DHCP服务器的认证,所以DHCP客户端从首先得到DHCP响应(DHCPOFFER)的DHCP服务器处获得IP地址等信息。 非法DHCP服务器 客户机无法实现正常的网络连接; IP地址冲突; 整个网络处于混乱状态

16、 ,2019/11/9,39,非法DHCP服务器的工作原理,2019/11/9,40,非法DHCP服务器的防范,使用DHCP Snooping信任端口 DHCP Snooping能够过滤来自网络中非法DHCP服务器或其他设备的非信任DHCP响应报文。 将交换机的某一端口设置为指向正确DHCP服务器的接入端口。 在DHCP服务器上进行IP与MAC地址的绑定 在DHCP服务器上绑定客户端计算机IP地址与MAC地址。,2019/11/9,41,2.9 以太网协议安全,限制网络规模的大小 使用路由器,将一个大的网络分割成多个子网。 使用网络交换技术,在服务器与其他机器之间配置一个交换式的集线器。 使用加密技术 应用层加密 在IP层加密 设置好的物理安全措施,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号