《综合案例分析_6383.doc》由会员分享,可在线阅读,更多相关《综合案例分析_6383.doc(6页珍藏版)》请在金锄头文库上搜索。
1、综合案例分析1 在TCP/IP体系中,电子邮件服务的典型协议之一是SMTP协议,当前,网络安全威胁日益严重,传统的电子邮件服务安全受到挑战。(1)简述SMTP协议的工作原理。SMTP协议用于邮件服务器之间传送邮件。每个SMTP会话涉及两个邮件传送代理MTA之间的一次对话。在这两个MTA中,一个作为客户机,另一个作为服务器。SMTP定义了客户机和服务器之间交互的命令和格式。邮件传送分为三个阶段,分别是SMTP连接建立、邮件传送和SMTP连接终止。(2)从保密性、完整性和可鉴别性三个方面分析SMTP协议在安全上的设计缺陷。从保密性而言,SMTP是基于ASCII的协议,命令的交互和邮件的传送是明文方
2、式,无保密性;从完整性而言,SMTP对邮件头部和正文不提供任何完整性检验手段;从可鉴别性而言,SMTP客户机只要能与服务器的25号端口建立TCP连接,就认为是合法用户,不对通信双方的合法性和身份进行鉴别。(3)根据前一小题分析得出的保密性、完整性和可鉴别性安全需求,运用对称加密算法和非对称加密算法,设计一种相对安全的电子邮件传输协议。所设计的一种相对安全的电子邮件传输协议如下图所示:其中:M:明文;H:哈希函数;EP:公钥加密;EC:对称加密;Z:压缩;KRa:用户a的私钥;Ks:会话密钥;|:连接2 某网站遭受拒绝服务攻击,表现为目标网络可用带宽急剧下降,根据进一步对网络数据的监测发现,目标
3、网络充斥着大量源地址作假,且带有广播地址的ICMP请求-响应包,引起网站系统的拒绝服务。(1)该攻击是何种类型的拒绝服务攻击?简述其攻击原理;该攻击是拒绝服务攻击中的Smurf攻击。Smurf攻击行为的完成涉及三个元素:攻击者、中间脆弱网络和目标受害者。攻击者伪造一个ICMP Echo请求包,其源地址为目标受害者地址,目的地址为中间脆弱网络的广播地址,并将该Echo请求包发送到中间脆弱网络。中间脆弱网络中的主机收到该ICMP Echo请求包时,会以Echo响应包作为应答,而这些包最终被发送到目标受害主机。这样,大量同时返回的Echo响应包将造成目标网络严重拥塞、丢包,甚至完全不可用。(2)简述
4、如何对抗该拒绝服务攻击;可以从三个方面入手: 针对中间网络。在路由器的每个端口关闭IP广播包的转发设置;可能的情况下,在网络边界处使用访问控制列表,过滤所有目标地址为本网络广播地址的包;对于不提供穿透服务的网络,可以在出口路由器上过滤所有源地址不是本网地址的数据包;配置主机的操作系统,使其不响应带有广播地址的ICMP包。 针对目标受害者。当攻击发生时,应尽快重新配置其所在网络的路由器,阻塞ICMP响应包,也可以通知中间网络的管理者协同解决攻击事件。 针对发起攻击的主机和网络。Smurf攻击通常会使用源地址为假的Echo请求,因此可以在路由器上配置过滤规则,丢弃那些即将发送到外部网络而源地址不具
5、有内部网络地址的包。(3)根据攻击方式的不同,简述拒绝服务攻击的几种类型;根据攻击方式的不同,拒绝服务攻击可以分为以下几种类型: 破坏物理设备类; 破坏配置文件类; 利用网络协议或系统设计弱点和实现漏洞类; 消耗系统资源类。(4)根据对拒绝服务攻击类型的划分,分别给出安全解决措施。针对破坏物理设备类攻击,可以采取的措施有:例行检查物理实体的安全;使用容错和冗余网络硬件的方法,必要时迅速实现物理设备切换。针对破坏配置文件类攻击,可以采取的措施有:正确设置系统及其相关软件的配置信息,并将这些敏感信息备份到安全介质上;利用完整性检查工具及时发现配置文件的变化,并快速恢复这些配置信息。针对利用网络协议
6、或系统设计弱点和实现漏洞类攻击,可以采用的措施:重新设计协议层,加入更多的安全控制机制。也可采取半透明网关或主动监视技术。针对消耗系统资源类攻击,随着攻击技术的发展,目前暂无直接有效的解决方法,可以参考DDos对抗方法。3 ARP木马大范围流行时,计算机网络连接正常却无法打开网页。由于ARP木马发出大量欺骗数据包,导致网络用户上网不稳定,甚至网络短时瘫痪。根据上述描述,可得出如下结论。(1) ARP木马利用ARP协议设计之初没有任何验证功能这一漏洞而实施破坏。(2)在以太网中,源主机以广播方式向网络发送含有目的主机IP地址的ARP请求包;目的主机或另一个代表该主机的系统,以单播方式返回一个含有
7、目的主机IP地址及其MAC地址对的应答包。源主机将这个地址对缓存起来,以节约不必要的ARP通信开销。ARP协议没有规定必须在接收到ARP请求后才可以发送应答包。(3)ARP木马利用感染主机向网络发送大量虚假ARP报文,主机没有感染ARP木马时也有可能导致网络访问不稳定。例如:向被攻击主机发送的虚假ARP报文中,目的IP地址为网关IP。目的MAC地址为感染木马的主机MAC地址。这样会将同网段内其他主机发往网关的数据引向发送虚假ARP报文的机器,并抓包截取用户口令信息。(4)网络正常时,运行如下命令,可以查看主机ARP缓存中的IP地址及其对应的MAC地址:C: arp a。4 某院校下辖六个学院,
8、每个学院下辖若干系所,将构建一个物理隔离的园区级信息网络系统,拟通过PKI为各种网络应用系统提供加密和数字签名等服务所需的公钥基础设施。包括认证机构CA、注册机构RA、证书发布系统等。(1)简述拟建的认证机构CA最有可能的架构模型;根据该院校的行政结构,拟建的认证机构CA最有可能采用的架构模型是阶层式架构模型在校级、学院级和系所级分别配置认证机构,每个认证机构从属于上层的认证机构。(2)简述拟建的PKI公钥基础设施中认证机构CA的基本功能及验证流程;认证机构的基本功能包括证书发放、证书更新、证书撤销和证书验证。其流程为:l 接收验证最终用户数字证书的申请;l 确定是否接受最终用户数字证书的申请
9、,即证书的审批;l 向申请者颁发或拒绝颁发数字证书,即证书的发放;l 接收、处理最终用户的数字证书更新请求,即证书的更新;l 接收最终用户数字证书的查询、撤销;l 产生和发布证书作废表;l 数字证书、密钥和历史数据的归档。(3)简述证书中必需的内容;证书必要内容包括:版本、证书序列号、签名算法类型、证书颁发者标识、有效期、属主标识、属主的公钥数据。(4)描述证书的申请和颁发过程;证书的申请过程如下:l 用户申请;l 注册机构同意申请;l 认证机构发行证书;l 注册机构转发证书;l 用户获取数字证书。(5)证书的撤销过程。证书的撤销过程如下:l 由用户提出撤销申请;l 注册机构统一证书撤销;l
10、认证机构撤销证书;l 注册机构转发证书作废表;l 其他用户得到证书作废表。5 防火墙技术是网络安全的重要防御技术,可对安全网络和不安全网络之间的数据流进行控制。(1)防火墙系统有哪些安全策略;防火墙系统安全策略包括包过滤机制、地址转换机制、地址映射机制、端口映射机制等。(2)简述包过滤防火墙系统的工作原理;包过滤防火墙系统主要通过对流经防火墙的数据包的源IP地址、源端口、目的IP地址、目的端口进行检查,并与过滤规则比较,如果允许通过则让数据包通过,否则将数据包丢弃,从而实现数据包的过滤。(3)若一个网站须对外网提供Web服务和FTP服务,分别由两台服务器实现,内网还运行秘密业务的服务器。为了提高网络系统的安全性,请问防火墙对外的访问应采用什么安全策略;为了让外部网络访问Web服务和FTP服务,同时还要保护内部业务系统的安全,可以对外的访问请求采用地址映射的安全机制,即将外部对Web服务和FTP服务的访问请求映射到一个内部的IP地址上,使外部网络不能直接连接内部服务器,从而到达隐藏内部服务的目的。(4)确定Web服务器和FTP服务器的安放位置;为了提高内部网络的安全性,可将需要对外提供服务的Web服务器和FTP服务器安放在防火墙的DMZ区域。(5)画出网络拓扑图。
