第四章 网络安全协议.ppt

1、2010-09计算机科学学院，第4章网络安全协议，第4章网络安全协议，互联网和TCP/IP安全协议SSL协议SET协议IPSec协议，2010-09计算机科学学院，互联网和TCP/IP安全-1。TCP/IP协议栈，TCP/IP是一组通信协议的缩写，ISO/OSI模型及其与TCP/IP的关系，2010-09计算机科学学院，互联网与TCP/IP安全-2。互联网地址，互联网上的每个接口都必须有一个唯一的互联网地址，长度为32位。32位的层次结构被写成四个十进制数，点分十进制表示法是2010-00互联网和TCP/IP安全-3。协议封装，当应用程序使用TCP/IP传输数据时，数据被发送到协议栈，通过每一

2、层，直到它作为一串比特流被发送到网络。2010-09计算机科学学院，互联网和TCP/IP安全-4。IP协议，1。IP协议2的作用。IP数据包包含源地址和目的地址3。不可靠协议，它不做任何事情来确认数据包是否正常，但更高一级通常假设源地址在接收服务时是有效的。4.IP协议有许多安全问题。2010-09计算机科学学院，互联网和TCP/IP安全-4。IP协议，平的死亡攻击平的工作原理。当网络出现问题时，最常用的测试工具是“ping”命令。假设主机A的IP地址是192.168.1.1，主机B的IP地址是Ping192.168.1.2，两者都在同一个子网中。2010-09计算机科学学院，平的死亡攻击平的

3、工作原理。首先，ping命令将建立一个具有固定格式的ICMP请求数据包，然后ICMP协议将此数据包与地址“192.168.1.2”一起交给IP层协议，后者将地址“192.168.1.2”作为目的地址。使用本地IP地址作为源地址，添加一些其他控制信息，构建一个IP数据包，在映射表中找出对应于IP地址192.168.1.2的物理地址，并将其移交给数据链路层。后者构造一个数据帧，目的地址是IP层传输的物理地址，源地址是本机的物理地址，并附加一些控制信息，根据以太网的媒体访问规则进行传输。2010-09计算机科学学院，平死亡攻击的工作原理。收到该数据帧后，主机B首先检查其目的地址，并将其与物理地址进行

4、比较。如果它匹配，它将接收它；否则，丢弃。接收后，检查数据帧，从帧中提取IP数据包，并将其移交给本机的IP层协议。类似地，在IP层检查之后，它提取有用的信息并将其交给ICMP协议。后者处理后，立即构造一个ICMP响应包并发送给主机A。这个过程与主机A向主机B发送ICMP请求包的过程完全相同。从Ping的工作过程中，我们可以知道主机A收到了主机B的回复包，表明两台主机之间的往返路径正常。也就是说，无论是从主机a到主机b还是从主机b到主机a，都是正常的。2010-09计算机科学学院，死亡之路平攻击。因为单个数据包的长度超过了IP协议规范中指定的数据包长度，所以以太网帧的长度是有限的，并且IP必须分

5、段传输。接收器必须接收所有片段。用于重组的IP协议(数据包重组代码)规定了IP的最大大小，大多数数据包处理器假定数据包重组代码分配的存储区域不超过该区域。一旦超大数据包出现，数据包中的额外数据将被写入其他正常内存区域，这将使系统进入不稳定状态(缓冲区溢出)。死亡ping攻击会向被攻击的主机发送大量的碎片数据包，这些碎片组合在一起形成一个超过最大限制的ping请求数据包，从而导致被攻击主机的缓冲区溢出。计算机科学学院，2010-09，“死亡ping”攻击的解决方案可以过滤掉防火墙上的ICMP消息，或者禁止服务器上的ping，并且仅在必要时打开Ping服务。修补操作系统，内核将不再重组超长数据包。

6、在2010-09年，当计算机学院的IP包，互联网和TCP/IP安全-4。IP协议和泪滴攻击都是在网络上传输的，数据包可以分成更小的片段。攻击者可以通过发送两个(或更多)数据包来实现泪滴攻击。第一个数据包的偏移量为0，长度为n。让数据包中第二个数据包的偏移量小于第一个数据包结尾的偏移量，第二个数据包的数据不超过第一个数据包的尾部，这就是重叠现象。计算机科学学院，2010-09。为了合并这些数据段，TCP/IP堆栈会分配异常大的资源，导致系统资源不足，甚至重启机器。在视窗系统上，会出现死亡蓝屏，并显示停止错误0x000000a。及时修补操作系统，但是泪滴攻击仍然会消耗处理器资源和主机带宽。2010

7、-09计算机科学学院，互联网和TCP/IP安全-4。该攻击向子网的广播地址发送一个带有特定请求(如ICMP回应请求)的数据包，并将源地址伪装成要攻击的主机地址。子网中的所有主机都响应广播数据包请求，并向被攻击的主机发送数据包，这使得主机受到攻击。2010-09计算机科学学院，pingflood:此攻击在短时间内向目标主机发送大量Ping数据包，导致网络拥塞或主机资源耗尽。2010-09计算机科学学院，通过IP协议的源路由的附加选项IP源路由选项允许发送方指定数据包的源地址和目的地址的路由。A-c-d-b使用此选项的IP数据包似乎是从路径上的最后一个系统传递过来的。黑客被允许冒充其他可信机器(d

8、)幸运的是，大多数主要服务不使用源路由选项，我们可以使用防火墙过滤掉任何源路由选项数据包。2010-09计算机学院，互联网和TCP/IP安全-5。TCP协议，1功能2可靠的面向连接的3格式，2010-09计算机学院，4每个TCP包含源和目的地的端口号，以及源和目的地的IP地址的IP报头可以唯一地确定一个TCP连接与5 6标志位，2010-09计算机学院，互联网和TCP/IP安全-5。传输控制协议，传输控制协议安全缺陷传输控制协议连接可靠性初始化连接：三次握手，确保双方准备好传输和统一序列号。主机B，确认，确认，主机A，连接请求，2010-09计算机学院，互联网和TCP/IP安全-5。传输控制协

9、议，传输控制协议安全缺陷传输控制协议连接可靠性，2010-09计算机学院，传输控制协议安全缺陷传输控制协议连接可靠性回答每个收到的数据包：如果在指定时间内没有收到回复，数据包将被重新传输。陆地攻击：攻击者将一个数据包的源地址和目的地址、源端口和目的端口设置为目标主机的地址。此数据包会导致受攻击的主机陷入无限循环，因为它试图与其自身建立连接，从而大大降低系统性能。2010-09计算机科学学院，因为TCP是一个具有高优先级的内核级进程，它将中断其他正常的系统操作，并获得更多的资源来处理传入的数据。2010-09计算机科学学院，“TCP安全缺陷”在没有任何认证机制的情况下，TCP假定只要接收到的数据

10、包包含正确的序列号，该数据就被认为是可接受的。一旦建立了连接，服务器就无法确定传入的数据包是否来自真实的机器。2010-09，计算机科学学院，TCP安全缺陷，没有任何认证机制的TCP会话劫持(1)拦截客户端和服务器之间的数据流(2)采用被动攻击(3)攻击者可以看到序列号并伪造数据包放入TCP流，这将允许攻击者以被欺骗的客户端的权限访问服务器。(4)攻击者不需要知道密码，只需等待用户登录服务器并劫持会话数据流。2010年09月计算机科学学院，知识产权欺骗攻击者伪造一个带有可信地址的数据包，使一台机器验证另一台机器。复杂的技术攻击是在应用程序之间使用基于IP地址的认证机制，攻击者通过IP地址欺骗获

11、得对远程系统的非法授权访问。，2010年9月，计算机科学研究所，知识产权欺骗过程描述：1。X-B: SYN(序列号M)，IP=A 2，B-A: SYN(序列号N)，ACK(响应序列号M 1)，此时，A没有发起与B的连接，当A收到B的数据包时，它将向B发送RST设置数据包。X-B: ACK(响应序列号n 1) IP=a。攻击者猜到了发送给A的序列号B。如果猜测成功，X将获得主机B给A的权利，2011-11 IP欺骗辅助技术1:如何防止A响应B的数据包SYN泛洪，2011-11，计算机科学研究所，IP欺骗辅助技术2:序列号预测攻击者应提前进行连接测试：(1)与目标主机连接，(2)目标主机响应，(3

12、)记录响应数据包中包含的序列号，并继续步骤1测试和分析序列号生成模式。 在2011-11计算机科学研究所，在攻击检测过程中，攻击者必须按照一定的顺序完成网络入侵，这往往是攻击的先兆。你可以安装一个网络嗅探器。(1)首先，将检测到从主机发送到a的登录端口的大量TCP SYN。(2)主机X将通过网络向主机B发送大量的传输控制协议同步确认包，主机B将向主机X发送相应的同步确认包，然后主机X将回复RST。在2011年至2011年，计算机学院采取了其他措施来配置路由器和网关，以便它们拒绝网络外部和网络内部具有相同IP地址的连接请求。当数据包的源IP地址不在本地子网中时，路由器和网关不应从本地主机发送数据

13、包，以防止内部用户破坏他人的网络。在数据包被发送到网络之前，它们被加密。在2011-11计算机科学学院，UDP和TCP在同一层，为应用程序提供不可靠和无连接的数据包传输服务。可能会出现丢失、重复、延迟和混乱。Fraggle的拒绝服务攻击单播广播多播，互联网和TCP/IP安全-6。UDP协议，2011-11计算机学院，2011-11计算机学院，互联网和TCP/IP安全-7。地址解析协议是网络设备如何将媒体访问控制地址与IP地址相关联，以便本地网络上的设备可以找到彼此。ARP是一种非常简单的协议，仅由四种基本的消息类型组成。电脑甲问网络，谁有这个IP地址？一个ARP回复。电脑乙告诉电脑甲，我有那个

14、知识产权。我的媒体访问控制地址不管是什么。反向ARP请求。与ARP请求的概念相同，但是计算机甲问，谁有这个媒体访问控制地址？回复。电脑乙告诉电脑甲，我有那个苹果电脑。我的IP地址是什么，2011-11计算机科学学院，2010-09计算机科学学院，2011-11计算机科学学院，解析ARP中毒攻击ARP缓存中毒人在中间，计算机科学学院，2011年11月，ARP缓存中毒黑客可以很容易地将一个重要的操作IP地址与一个虚假的MAC地址联系起来。例如，黑客可以发送一个ARP回复，将您的网络路由器的IP地址与一个不存在的MAC地址关联起来。计算机科学学院，2011年11月，计算机科学学院，2011年11月，

15、中间人黑客可以利用ARP缓存中毒来拦截您网络中两台设备之间的网络流量。计算机科学学院，现在你的路由器认为黑客的电脑就是你的电脑。向您的路由器发送恶意ARP回复”，2011-11计算机科学学院，下一步，向您的计算机发送恶意ARP回复，2011-11计算机科学学院，2011-11计算机科学学院，分析：1 ARP攻击只能用于模拟本地网络，这意味着攻击者必须能够访问网络中的一台机器(该机器已被IP欺骗)；2 ARP请求永远不会发送到路由器之外，因此模拟的机器必须与被攻击者攻击的机器位于同一网段，也就是说，它可以通过集线器连接。解决方案：1使用交换机而不是集线器，可以将许多交换机配置为连接到具有硬件地址的特定端口。2入侵监控系统可以识别局域网中的IP攻击，2011-11计算机学院，互联网和TCP/IP安全SSL协议设置协议IPSec协议，2011-11计算机学院，SSL协议1概述，安全套接字层(SSL)是一种基于网络应用的安全协议，由网景公司于1994年提出。本文主要介绍了SSLv3 SSL主要采用公钥系统和x.509数字证书技术，其目标是保证两个应用之间通信的保密性、完整性和可靠性，服务器端和客户端都可