《网络中的安全问题》由会员分享,可在线阅读,更多相关《网络中的安全问题(66页珍藏版)》请在金锄头文库上搜索。
1、第10章 网络中的安全问题,10.1网络安全概述 10.2 IP欺骗 10.3端口扫描 10.4网络监听 10.5拒绝服务攻击 10.6 特洛伊木马 实训项目,10.1网络安全概述,TCP/IP是目前Internet使用的协议。 TCP/IP存在着一系列的安全缺陷。有的缺陷是由于源地址的认证问题造成的,有的缺陷则来自网络控制机制和路由协议等。这些缺陷,是所有使用TCP/IP的系统所共有的 .,10.1.1 TCP序列号预计 TCP序列号预计由莫里斯首先提出,是网络安全领域中最有名的缺陷之一。这种攻击的实质,是在不能接到目的主机应答确认时,通过预计序列号建立连接。这样,入侵者可以伪装成信任主机与
2、目的主机通话 。,10.1.2 路由协议缺陷 (1)源路由选项的使用 (2)伪造ARP包 (3)RIP的攻击 (4)OSPF的攻击,(1)源路由选项的使用 在IP包头中的源路由选项用于该IP包的路由选择,这样,一个IP包可以按照预告指定的路由到达目的主机。 对于Cisco路由器,禁止源路由包可通过命令:no ip source-route实现。 (2)伪造ARP包 伪造ARP包是一种很复杂的技术,涉及到TCP/IP及以太网特性的很多方面。伪造ARP包的主要过程是,以目的主机的IP地址和以太网地址为源地址发一ARP包,这样即可造成另一种IP spoof。,(3)RIP的攻击 如果入侵者宣布经过自
3、己的一条通向目的主机的路由,将导致所有往目的的主机数据包发往入侵者。这样,入侵者就可以冒充是目的主机,也可以监听所有目的主机的数据包,甚至在数据流中插入任意的包。 解决上述问题的方法是:注意路由的改变信息。一个聪明的网关可以有效地摈弃任何明显错误的路由信息。RIP的认证、加密也是一种较好的方法。,(4)OSPF的攻击 OSPF(Open Shortest Path First)协议是用于自治域内部的另一种路由协议。OSPF协议使用的路由算法是链路状态(Link-State)算法。在该算法中,每个路由器给相邻路由器宣布的信息是一个完整的路由状态,包括可到达的路由器,连接类型和其他相关信息。和RI
4、P相比,虽然OSPF协议中实施了认证过程,但是该协议还存在着一些安全的问题。,10.1.3 网络监听 如果有一个网络设备专门收集广播而决不应答,那么,它就可以看到本网的任何计算机在网上传输的数据。如果数据没有经过加密,那么它就可以看到所有的内容。Sniffer就是一个在以太网上进行监听的专用软件。监听这个现象对网络的安全威胁是相当大的,因为它可以做到以下几点: (1)抓到正在传输的密码。 (2)抓到别人的秘密(信用卡号)或不想共享的东西。 (3)暴露网络信息。,10.2 IP欺骗,10.2 IP欺骗原理 1、信任关系 2、Rlogin 3、TCP序列号预测 4、序列编号、确认和其他标志信息 5
5、、IP欺骗 6、IP欺骗的防止,1、信任关系 信任关系是基于IP地址的。 2、Rlogin Rlogin允许用户从一台主机登录到另一台主机上,并且,如果目标主机信任它,Rlogin将允许在不应答口令的情况下使用目标主机上的资源。安全验证完全是基于源主机的IP地址。,3、TCP序列号预测 可以对IP堆栈进行修改,在源地址和目的地址中放入任意满足要求的IP地址,也就是说,提供虚假的IP地址。 4、序列编号、确认和其他标志信息 TCP序列号预测最早是由Morris对这一安全漏洞进行阐述的。它使用TCP序列号预测,即使没有从服务器得到任何响应也能产生一个TCP包序列,这使得它能欺骗在本地网络上的主机。
6、,5、IP欺骗 IP欺骗由若干步骤组成: (1)使被信任主机丧失工作能力 一旦发现被信任的主机,为了伪装成它,往往使其丧失工作能力。由于攻击者将要代替真正的被信任主机,攻击者必须确保真正被信任的主机不能接收到任何有效的网络数据,否则将会被揭穿。有许多方法可以做到这些。,(2)序列号取样和猜测 要对目标主机进行攻击,必须知道目标主机使用的数据包序列号。 一个和这种TCP序列号攻击相似的方法是使用NETSTAT服务。在这个攻击中,入侵者模拟一个主机关机。如果目标主机上有NETSTAT,它能提供在另一端口上必须的序列号。这取消了所有要猜测的必要。,6、IP欺骗的防止 (1)抛弃基于地址的信任策略 阻
7、止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许 r*类远程调用命令的使用;删除 .rhosts 文件;清空/ etc / hosts .equiv 文件。这将迫使所有用户使用其他远程通信手段,如telnet、ssh、skey等等。 (2)进行包过滤 如果网络是通过路由接入Internet的,那么可以利用路由器来进行包过滤。确信只有您的内部LAN可以使用信任关系,而内部LAN上的主机对于LAN以外的主机要慎重处理。您的路由器可以帮助您过滤掉所有来自于外部而希望与内部建立连接的请求。,(3)使用加密方法 阻止IP欺骗的另一种明显的方法是在通信时要求加密传输和验证。当有多种手段并存
8、时,可能加密方法最为适用。 (4)使用随机化的初始序列号 黑客攻击得以成功实现的一个很重要的因素,就是序列号不是随机选择的或者随机增加的。,10.3 端口扫描,10.3.1 端口扫描简介 扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用它,能够扫描TCP端口,并记录反馈信息,可以不留痕迹地发现远程服务器中各种TCP端口的分配、提供的服务和它们的软件版本。这就能直观地或间接地了解远程主机存在的安全问题。,10.3.2端口扫描的原理 最简单的端口扫描程序仅仅是检查一下目标主机在哪些端口可以建立TCP连接,如果可以建立连接,则说明该主机在那个端口监听。当然,这种端口扫描程序不能进一步确定
9、端口提供什么样的服务,也不能确定该服务是否有众所周知的那些缺陷。,下面介绍入侵者们如何利用上述这些信息,来隐藏自己的端口扫描 : 1 、 TCP connect ()扫描 2 、 TCP SYN扫描 3 、 TCP FIN扫描 4 、 Fragmentation 扫描 5 、 UDP recfrom()和write()扫描 6 、 ICMP扫描,1、TCP connect ()扫描 TCP connect ()是最基本的一种扫描方式。使用系统提供的connect ()系统调用建立与目标主机端口的连接。如果端口正在监听,connect ()就成功返回;否则,说明该端口不可访问。 2、TCP SY
10、N扫描 一个RST响应表明该端口没有被监听。如果收到一个SYN/ACK,则通过立即发送一个RST来关闭连接。这样做的好处是极少有主机来记录这种连接请求。不利之处在于,必须有超级用户权限才能建立这种可配置的SYN数据包。,3.TCP FIN扫描 基本思想是关闭的端口将会用正确的RST来应答发送的FIN数据包;相反,打开的端口往往忽略这些请求。这是一个TCP实现上的错误,也不是所有的系统都存在这类错误,因此,并不是100有效。 4、Fragmentation 扫描 Fragmentation扫描并不是仅仅发送探测的数据包,而是将要发送的数据包分成一组更小的IP包。通过将TCP包头分成几段,放入不同
11、的IP包中,使得包过滤程序难以过滤。,5.UDP recfrom()和write()扫描 没有root 权限的用户不能直接得到端口不可访问的错误,但是Linux可以间接地通知用户。 6、ICMP扫描 ICMP扫描并不是一个真正的端口扫描,因为ICMP并没得到端口的信息。然而,用PING这个命令,通常可以得到网上目标主机是否正在运行的信息。,10.3.3端口扫描的工具 1、NSS NSS,即网络安全扫描器,是一个非常隐蔽的扫描器。如果用流行的搜索程序搜索它,所能发现的入口不超过20个。这并非意味着NSS使用不广泛,而是意味着多数有该扫描器的FTP的站点处在暗处,或无法通过WWW搜索器找到它们。,
12、2.SATAN SATAN的英文全称为Security Administrator Tool for Analyzing Networks,即安全管理员的网络分析工具。SATAN是一个分析网络的安全管理、测试与报告工具。它用来收集网络上主机的信息,可以识别并且自动报告与网络相关的安全问题。,3. Strobe Strobe是一个超级优化TCP端口检测程序,能快速地识别指定机器上正运行什么服务,用于扫描网络漏洞。它可以记录指定机器的所有开放端口。Strobe运行速度很快,它的主要特点是能快速识别指定机器上正在运行什么服务,10.4网络监听,10.4.1网络监听的原理 网络监听工具是提供给管理员的
13、一类管理工具。这种工具本来是用来管理网络,监视网络的状态、数据流动情况以及网络上传输的信息的。但是,由于它能有效地截获网上的数据,因此也成了网上黑客使用最多的方法 。,1、监听的可能性 网络监听是黑客们常用的一种方法。当黑客成功地登录到一台网络上的主机,并取得这台主机超级用户的权限之后,往往要扩大战果,尝试登录或者夺取网络中其他主机的控制权。而网络监听则是一种最简单而且最有效的方法,它常常能轻易地获得用其他方法很难获得的信息。 在网络上,监听效果最好的地方是网关、路由器和防火墙。监听最方便的地方是以太网中任何一台上网的主机,这是大多数黑客的做法。,2、以太网中可以监听的原因 以太网协议的工作方
14、式是将要发送的数据包发往连接在一起的所有主机。在包头中包含着应该接收数据包的主机的正确地址。因此,只有与数据包中目标地址一致的那台主机才能接收数据包。但是,当主机工作在监听模式下,那么,无论数据包中的目标物理地址是什么,主机都将接收。,10.4.2网络监听的检测 1、简单的检测方法 网络监听是很难被发现的。运行网络监听的主机只是被动地接收在局域网上传输的信息,并没有主动的行动,既不会与其他主机交换信息,也不会修改在网上传输的信息包。这一切决定了网络监听的检测是非常困难的。,(1)方法一 对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址去ping,运行监听程序的机器会有响应。这是因为
15、正常的机器不接收错误的物理地址,处于监听状态的机器能接收,如果他的IP stack不再次反向检查,就会响应。这种方法依赖于系统的IP stack,对一些系统可能行不通,(2)方法二 往网上发大量不存在的物理地址的包,由于监听程序将处理这些包,会导致性能下降。通过比较前后该机器性能(icmp echo delay等方法)加以判断。这种方法难度比较大。,一个比较可行的检查监听程序的办法是搜索所有主机上运行的进程。当然,这几乎是不可能的。但是至少管理员可以确定是否有一个进程被从管理员机器上启动。在不同平台上执行这个操作的命令是不同的。那些使用Dos、Windows for workgroup或者 W
16、indows95的机器很难做到这一点。而使用UNIX和Windows NT/2000的机器可以很容易地得到当前进程的清单。,2、对付一个监听 击败一个监听程序的攻击并不十分困难。用户有多种选择,而最终采用哪一种取决于用户真正想做什么,剩下的就取决于运行时的开销了。,3、其他防范监听的办法 一般能够接受的击败网络监听的方法是使用安全的拓扑结构。这种技术通常被称为分段技术。将网络分成一些小的网络,每一网段的集线器连接到一个交换机上(Switch),因为网段是硬件连接的,因而包只能在该子网的网段之内被监听工具截获。这样,网络中剩余的部分(不在同一网段的部分)就被保护了。,4、ifstatus工具 Ifstatus的开发者是Dave Curry。 Ifstatus运行的UNIX操作系统中,它可以识别出系统的网络接口是否正处于调试状态或者说监听状态下。当网络接口运行在这种模式下,很可能是一个入侵者侵入了系统,正在运行一个监听程序,用来截获在网络上传送的口令和其他明文形式的信息。,网络监听是网络管理很重要的一个环节,同时也是黑客们常用的一种方法。事实上,网络监听的原理和方法是广义的,例如路由器也
