|
第4章 網(wǎng)絡(luò)通信安全 第4章 網(wǎng)絡(luò)通信安全 4.1 網(wǎng)絡(luò)通信中的安全威脅 4.2 遠程訪問的安全 4.3 IP安全 4.4 端口掃描 4.5 小結(jié) 習(xí)題與思考題 第4章 網(wǎng)絡(luò)通信安全 本章學(xué)習(xí)目標(biāo) 1. 了解網(wǎng)絡(luò)通信安全的內(nèi)容,。 2. 了解網(wǎng)絡(luò)通信傳輸中存在的安全威脅。 3. 掌握遠程訪問的安全配置方法,。 4. 掌握端口掃描的概念和方法,。 5. 掌握IP的基礎(chǔ)知識,以及IP安全的相關(guān)內(nèi)容,。 第4章 網(wǎng)絡(luò)通信安全 4.1 網(wǎng)絡(luò)通信中的安全威脅 4.1.1 網(wǎng)絡(luò)通信的安全性 4.1.2 網(wǎng)絡(luò)通信存在的安全威脅 4.1.3 TCP/IP協(xié)議的脆弱性 第4章 網(wǎng)絡(luò)通信安全 4.1.1 網(wǎng)絡(luò)通信的安全性 網(wǎng)絡(luò)通信安全是指通過各種計算機,、網(wǎng)絡(luò),、密碼 技術(shù)和信息安全技術(shù),確保在通信網(wǎng)絡(luò)中傳輸,、交換 和存儲的信息完整,、真實和保密,并對信息的傳播及 內(nèi)容具有控制能力,。 網(wǎng)絡(luò)通信安全性粗略地分為四個相互交織的部分: 保密,、鑒別、反拒認(rèn)以及完整性控制,。所有這些問題 也發(fā)生在傳統(tǒng)的系統(tǒng)中,。網(wǎng)絡(luò)通信安全的內(nèi)容可以概 括為以下幾個方面: 第4章 網(wǎng)絡(luò)通信安全 1. 保密性:指防止靜態(tài)信息被非授權(quán)訪問和防止動態(tài) 信息被截取解密。 2. 完整性:要求在存儲或傳輸時信息的內(nèi)容和順序都 不被偽造,、亂序,、重置、插入和修改,。 3. 可靠性:指信息的可信度,,包括信息的完整性、準(zhǔn) 確性和發(fā)送人的身份認(rèn)證等方面,。 4. 實用性:即信息的加密密鑰不可丟失,。 第4章 網(wǎng)絡(luò)通信安全 5. 可用性:指主機存放靜態(tài)信息的可用性和可操作 性。 6. 占有性:若存儲信息的主機,、磁盤等信息載體被 盜用,則將導(dǎo)致對信息占有權(quán)的喪失,。保護信息 占有性的方法有使用版權(quán),、專利、商業(yè)秘密,、使 用物理和邏輯的訪問限制,,以及維護和檢查有關(guān) 盜竊文件的審計記錄和使用標(biāo)簽等。 第4章 網(wǎng)絡(luò)通信安全 4.1.2 網(wǎng)絡(luò)通信存在的安全威脅 計算機網(wǎng)絡(luò)通信安全即數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸過程 的安全,,是指如何保證信息在網(wǎng)絡(luò)傳輸過程中不被泄 露與不被攻擊,。當(dāng)網(wǎng)絡(luò)中的計算機通信雙方的發(fā)送方 給接收方發(fā)送信息時,在傳輸?shù)倪^程中可能會遭到攻 擊,,攻擊類型主要有以下四種: 第4章 網(wǎng)絡(luò)通信安全 1. 截獲:信息被非法用戶截獲,,這時接收方?jīng)]有接收到 應(yīng)該接收的信息,從而使信息中途丟失,,失去了信息 的可靠性,。 2. 竊聽:信息雖然沒有丟失,接收方也接收到了信息,, 但該信息已被不該看的人看到,,失去了信息的保密性,。 3. 篡改:信息表面上雖然沒有丟失,接收方也收到了應(yīng) 該接收的信息,,但該信息在傳輸過程中已被截獲并被 修改,,或插入了欺騙性的信息,實際上接收方所接收 到的信息是錯誤的,,失去了信息的完整性,。 4. 偽造:發(fā)送方并沒有發(fā)送信息給接收方,而接收方收 到的信息是第三方偽造的,,如果接收方不能通過有效 辦法發(fā)現(xiàn)這一情況,,那就有可能造成嚴(yán)重的后果。 第4章 網(wǎng)絡(luò)通信安全 4.1.3 TCP/IP協(xié)議的脆弱性 TCP/IP協(xié)議是進行一切互聯(lián)網(wǎng)上活動的基礎(chǔ),,沒有它,, 信息就不可能在不同操作系統(tǒng)、在不同通信協(xié)議中來去自 由,。因為當(dāng)時網(wǎng)絡(luò)軟,、硬件設(shè)備的局限性,當(dāng)初設(shè)計該協(xié) 議時只著重考慮了網(wǎng)絡(luò)的速度,,而對網(wǎng)絡(luò)的安全性沒作太 多的考慮,,甚至根本沒作考慮,所以說TCP/IP本身在安全 設(shè)計上就先天不足,。 第4章 網(wǎng)絡(luò)通信安全 1. 網(wǎng)上信息易被竊取 大多數(shù)互聯(lián)網(wǎng)上的信息是沒有經(jīng)過加密的,,如電 子郵件、網(wǎng)頁中輸入口令或填寫個人資料,、文件傳輸 等這一切都很容易被一些別有用心的人監(jiān)聽和劫持,, 其實這就是TCP/IP通信協(xié)議在安全性方面的一個漏洞。 第4章 網(wǎng)絡(luò)通信安全 2. IP的缺陷導(dǎo)致易被欺騙 ① IP包中的源地址可以偽造,; ② IP包中的“生成時間”可以偽造,; ③ 薄弱的認(rèn)證環(huán)節(jié)。 圖4-1說明了如何使用這個選項把攻擊者的系統(tǒng)假 扮成某一特定服務(wù)器的可信任的客戶,。 第4章 網(wǎng)絡(luò)通信安全 服務(wù)器 被信任的客戶 攻擊者 圖4-1 IP地址欺騙 第4章 網(wǎng)絡(luò)通信安全 ① 攻擊者要使用那個被信任的客戶的地址取代自己的地 址,。 ② 攻擊者構(gòu)成一條要攻擊的服務(wù)器和其主機間的直接路 徑,把被信任的客戶作為通向服務(wù)器的路徑的最后節(jié) 點,。 ③ 攻擊者用這條路徑向服務(wù)器發(fā)出客戶申請,。 ④ 服務(wù)器接收客戶申請,就好像是從可信任客戶直接發(fā) 出的一樣,,然后給可信任客戶返回響應(yīng),。 ⑤ 可信任客戶使用這條路徑將包向前傳送給攻擊者的主 機。 第4章 網(wǎng)絡(luò)通信安全 3. ?ICMP的缺陷 網(wǎng)絡(luò)中經(jīng)常會使用到ICMP協(xié)議,,只不過一般覺察不到 而已。比如經(jīng)常使用的用于檢查網(wǎng)絡(luò)通不通的“Ping”命令, 這個“Ping”的過程實際上就是ICMP協(xié)議工作的過程,。還 有其他的網(wǎng)絡(luò)命令如跟蹤路由的“Tracert”命令也是基于 ICMP協(xié)議的,。 第4章 網(wǎng)絡(luò)通信安全 ICMP中的“Redirect”消息可以用來欺騙主機和路由 器,并使用假路徑。這些假路徑可以直接通向攻擊者的 計算機系統(tǒng),而不能真正連接到一個合法的可信賴的計 算機用戶,這會使攻擊者獲得系統(tǒng)的訪問權(quán),。 對于系統(tǒng)來說,缺乏反映信源到信宿真實路徑的跟 蹤信息,。通過TCP/IP發(fā)出一個數(shù)據(jù)包如同把一封信丟入 信箱,,發(fā)出者知道正在走向信宿,但發(fā)出者不知道通過 什么路線或何時到達,。這種不確定性也是安全漏洞,。 第4章 網(wǎng)絡(luò)通信安全 4. ?TCP/IP協(xié)議明碼傳送信息導(dǎo)致易被監(jiān)視 網(wǎng)絡(luò)中最常見的竊聽是發(fā)生在共享介質(zhì)的網(wǎng)絡(luò)中(如 以太網(wǎng)),這是由于TCP/IP網(wǎng)絡(luò)中眾多的網(wǎng)絡(luò)服務(wù)均是明 碼傳送,。黑客使用Sniffer,、Tcpdump或Snoop等探測工具, 就可以清楚地看到某個用戶從一臺機器登錄到另一臺機 器的全過程,。 大多數(shù)用戶不加密郵件,,而且許多人認(rèn)為電子郵件 是安全的,所以用它來傳送敏感的內(nèi)容,。因此,,電子郵 件或者Telnet和FTP的內(nèi)容,可以被監(jiān)視從而了解一個站 點的情況,。 第4章 網(wǎng)絡(luò)通信安全 5. 提供不安全的服務(wù) 基于TCP/IP協(xié)議的服務(wù)很多,,有WWW服務(wù)、FTP服 務(wù)和電子郵件服務(wù),,TFTP服務(wù)、NFS服務(wù)等,。這些服務(wù) 都存在不同程度上的安全缺陷,,當(dāng)用戶要保護站點時, 就需要考慮,,該提供哪些服務(wù),,要禁止哪些服務(wù),如果 有防火墻,,應(yīng)把不對外的服務(wù)限制在內(nèi)網(wǎng)中,。 第4章 網(wǎng)絡(luò)通信安全 4.2 遠程訪問的安全 管理安全的遠程訪問是一項艱巨的任務(wù)。因為遠程系 統(tǒng)可能直接連接到互聯(lián)網(wǎng)而不是通過公司的防火墻,,所以 遠程系統(tǒng)將給網(wǎng)絡(luò)環(huán)境帶來更大的風(fēng)險,。病毒和間諜軟件 防御以及一般的VPN網(wǎng)絡(luò)策略還不足以保護這些系統(tǒng)的安 全以及它們連接的網(wǎng)絡(luò)的安全,。 遠程訪問安全的內(nèi)容包括撥號調(diào)制解調(diào)器訪問安全、 虛擬專用網(wǎng)的安全以及無線網(wǎng)絡(luò)接入的安全等,。 第4章 網(wǎng)絡(luò)通信安全 4.2 遠程訪問的安全 4.2.1 撥號調(diào)制解調(diào)器訪問安全 4.2.2 虛擬專用網(wǎng)的安全 4.2.3 無線網(wǎng)絡(luò)接入的安全 4.2.4 遠程溢出攻擊與后門 第4章 網(wǎng)絡(luò)通信安全 4.2.1 撥號調(diào)制解調(diào)器訪問安全 通過傳輸媒介——公用電話網(wǎng)(Public Switched Telephone Network—PSTN),,利用Modem模擬撥號技 術(shù)來實現(xiàn)遠程連接,是目前最為普通,、方便的遠程訪 問方式,。 雖然調(diào)制解調(diào)器給上網(wǎng)帶來了極大的方便,但同 時也帶來了危險,。不少人建立連接時,,通常采取的措 施并不安全,從開始到完成,,只是根據(jù)默認(rèn)的提示進 行,。 第4章 網(wǎng)絡(luò)通信安全 調(diào)制解調(diào)器的危險在于它提供了進入用戶網(wǎng)絡(luò)的另一 個入口點,也就是端口,,一般來說,,打開網(wǎng)絡(luò)端口點越多, 被入侵的可能性就越大,。 一般一個標(biāo)準(zhǔn)的Intranet結(jié)構(gòu)會包括內(nèi),、外網(wǎng)段。內(nèi)網(wǎng) 段和外段網(wǎng)之間有防火墻,,在內(nèi)外網(wǎng)段都可能提供撥號服務(wù) 器,,外網(wǎng)段撥號服務(wù)器供普通用戶使用,內(nèi)網(wǎng)段撥號服務(wù)器 供公司的高級職員使用,,這兩種撥號服務(wù)保護方式是不同的,。 第4章 網(wǎng)絡(luò)通信安全 外網(wǎng)段撥號服務(wù)器被置于防火墻外部,它的安全是通 過防火墻和身份驗證服務(wù)器來保證的,。對于內(nèi)網(wǎng)段的內(nèi)部 網(wǎng)來說,,這種服務(wù)應(yīng)該是保密的,而且要嚴(yán)格控制,,并應(yīng) 有強大的身份驗證系統(tǒng)來保證安全,。如果一個黑客通過撥 號服務(wù)器登錄到用戶的網(wǎng)絡(luò)中,那么他就像在用戶的公司 里使用一臺機器一樣,,他會竊聽到用戶的內(nèi)部網(wǎng)絡(luò)通信,。 如何才能提高撥號網(wǎng)絡(luò)的安全性呢? 第4章 網(wǎng)絡(luò)通信安全 提高撥號調(diào)制解調(diào)器安全的方法很多,,至少可以通過 以下五種方法來實現(xiàn),。 ① 號碼不要廣泛流傳。 ② 使用用戶名和口令來保護撥號服務(wù)器??诹羁梢允庆o 態(tài),,但最好是一次性口令。 ③ 使用安全性好的調(diào)制調(diào)解器,?;?fù)苷{(diào)制解調(diào)器、安靜 調(diào)制解調(diào)器是比較好的選擇,。 第4章 網(wǎng)絡(luò)通信安全 回?fù)苷{(diào)制解調(diào)器是在連接時要求用戶輸入用戶名和口 令,,它不會馬上連接,它會先斷開連接,,查找該用戶的合 法電話號碼,,然后,回?fù)苷{(diào)制解調(diào)器會回?fù)艿胶戏娫捥?碼,,并建立起連接,。最后,用戶就可以輸入用戶名和口令 而進入該系統(tǒng),。這樣做可以杜絕一個賬號可以在不同電話 機上使用的危險,。 安靜調(diào)制解調(diào)器在登錄完成之前不會發(fā)出特殊的 “Connection established”信號,這樣可以防止有人按順序 搜索計算機撥號系統(tǒng)的電話號碼,。 第4章 網(wǎng)絡(luò)通信安全 ④ 在網(wǎng)絡(luò)上加一個用于核實用戶身份的服務(wù)器,。 ⑤ 防范通過調(diào)制調(diào)解器對Windows NT的RAS訪問帶 來的安全隱患。 Windows NT ,、 2000 ,、 2003 的 遠 程 訪 問 服 務(wù) (Remote Access Server—RAS)給用戶提供了一種遠程 用調(diào)制解調(diào)器訪問遠程網(wǎng)絡(luò)的功能,當(dāng)用戶通過遠程 訪問服務(wù)連接到遠程網(wǎng)絡(luò)中時,,電話線就變得透明了,, 用戶可以訪問所有資源,就像他們坐在辦公室進而訪 問這些資源一樣,,RAS調(diào)制解調(diào)器起著像網(wǎng)卡一樣的 作用,。 第4章 網(wǎng)絡(luò)通信安全 但這種RAS在實施過程中存在許多重大的安全隱患。 因為RAS服務(wù)器和網(wǎng)絡(luò)操作系統(tǒng)服務(wù)器使用相同的用戶數(shù) 據(jù)庫,。用戶用在辦公室中使用的同一個用戶進行登錄,,這 樣可以保證用戶具有相同的訪問權(quán)限,但這給網(wǎng)絡(luò)安全的 管理帶來了新的難題,。 為了進行連接,用戶必須有一個有效的系統(tǒng)用戶賬戶 和RAS撥入許可,,這在用戶嘗試登錄到系統(tǒng)之前,,必須被 驗證。但如果用戶不在公司,其身份的真實性就很難驗證,, 如果某個系統(tǒng)管理員的賬號被一些別有用心的人知道后進 行RAS訪問,,那后果將會非常嚴(yán)重。 第4章 網(wǎng)絡(luò)通信安全 ① 加強公司員工賬號管理,。為了防止非法用戶通過RAS訪 問網(wǎng)絡(luò)就必須加強公司員工賬號管理,,特別是管理員賬 號。 ② 管理員賬號最好不是使用“Administrator” ,。應(yīng)對其進行 改名,,或增加一個同樣權(quán)限的系統(tǒng)管理員組成員,用戶 賬號也要求經(jīng)常更改,。 ③ 定期更改密碼,。有些公司就要求所要用戶密碼至少一個 月改一次,而且最近的兩次密碼不能一樣,,公司的進,、 銷、存管理軟件用戶密碼至少要求一個星期改一次,,這 在某種程度上預(yù)防了非法用戶通過RAS進行非法登錄,。 第4章 網(wǎng)絡(luò)通信安全 4.2.2 虛擬專用網(wǎng)的安全 虛擬專用網(wǎng)(Virtual Private Network—VPN)是專用 網(wǎng)絡(luò)在公共網(wǎng)絡(luò)(如Internet)上的擴展。VPN通過私有隧 道技術(shù)在公共網(wǎng)絡(luò)上仿真一條點到點的專線,,通信數(shù)據(jù) 在安全隧道中進行加密傳輸,,從而達到安全傳輸數(shù)據(jù)的 目的。由于VPN具有高度靈活性,、高帶寬,、高安全性、 應(yīng)用費用相對低廉等優(yōu)點,,已經(jīng)成為非常理想的企業(yè)網(wǎng) 遠程訪問解決方案,。 VPN 的應(yīng)用可以分為三個基本類型:Access VPN、 Intranet VPN和Extranet VPN,。 第4章 網(wǎng)絡(luò)通信安全 1. ?VPN的一般組網(wǎng)方案 可以利用企業(yè)現(xiàn)有的網(wǎng)絡(luò)設(shè)備,,如路由器、服務(wù)器與 防火墻來建置VPN,。有些企業(yè)網(wǎng)絡(luò)以路由器為中心,,把 VPN 服 務(wù) 加 在 路 由 器 上 。 有 些 企 業(yè) 把 防 火 墻 看 成 是 Internet安全通信的核心,,選擇防火墻式的VPN建置方案,。 1) 路由器式VPN 使用具有VPN功能的路由器,公司總部便可與分公司 間經(jīng)由Internet或ISP網(wǎng)絡(luò)來傳送企業(yè)內(nèi)部資料,。撥號連接 用戶也可在ISP網(wǎng)絡(luò)中建立隧道(Tunneling),,以存取企業(yè) 網(wǎng)絡(luò),。 第4章 網(wǎng)絡(luò)通信安全 相對來說,路由器式VPN部署較容易,,只要在路 由器上添加VPN服務(wù),,通常只需將軟件升級即可,而 新型路由器通常已在軟件或操作系統(tǒng)中內(nèi)建了VPN服 務(wù),?;旧希酚善魃系腣PN軟件升級,,一般都會包 括防火墻,、加密以及隧道等功能。有些廠商則會將用 戶身份辨識與既有的身份辨識服務(wù),,如遠程身份辨識 撥號連接用戶服務(wù)(Remote Authentication Dial-In User Service—RADIUS)連結(jié)在一起,。 第4章 網(wǎng)絡(luò)通信安全 2) 軟件式VPN 由生產(chǎn)廠商和協(xié)作廠商提供的VPN應(yīng)用程序可執(zhí)行加 密、隧道建立與身份辨識,,讓用戶通過VPN與企業(yè)內(nèi)部網(wǎng) 絡(luò)相連,。這種技術(shù)可使現(xiàn)有設(shè)備繼續(xù)沿用,即將軟件安裝 在現(xiàn)有的服務(wù)器上,,不需變動網(wǎng)絡(luò)組態(tài),。另外,程序可與 現(xiàn)有的網(wǎng)絡(luò)操作系統(tǒng)的身份辨識服務(wù)相連,,可大幅簡化 VPN的管理工作,。 第4章 網(wǎng)絡(luò)通信安全 3) 防火墻式VPN 許多企業(yè)以防火墻為Internet安全措施的核心,用來 防范黑客的攻擊,。許多防火墻廠商已在它們的產(chǎn)品中支 持VPN服務(wù),,保護用戶的內(nèi)部網(wǎng)絡(luò)免于被未授權(quán)的用戶 侵入。一個良好的防火墻可以根據(jù)用戶,、應(yīng)用程序和傳 輸源辨識通信流,。 這種作法的好處是現(xiàn)有網(wǎng)絡(luò)架構(gòu)保持不變,就可以 管理VPN服務(wù)所用的接口,,而且與原來管理防火墻時使 用的接口相同,。因為加密與建立隧道等VPN服務(wù)都是由 軟件來處理的,從而進一步提高了效能,。 第4章 網(wǎng)絡(luò)通信安全 2. ?VPN的安全管理 同任何的網(wǎng)絡(luò)資源一樣,,VPN也必須得到有效的 管理,需要關(guān)注VPN的安全問題,。目前所有的VPN設(shè) 備都應(yīng)用了相關(guān)的核心技術(shù),,這些技術(shù)包括隧道協(xié)議 (Tunneling) 、 資 料 加 密 (Encryption) ,、 認(rèn) 證 (Authentication)及存取控制 (Access Control)等,。 第4章 網(wǎng)絡(luò)通信安全 (1) 隧道技術(shù) 隧道技術(shù)就是將原始報文在A地進行封裝,,到達B地后 去掉封裝,還原成原始報文,,這樣就形成了一條由A到B的 通信隧道。隧道協(xié)議技術(shù)分為兩種不同的類型,。 ① 端對端(End-to-End)隧道技術(shù),。從用戶的PC延伸到用戶 所連接的服務(wù)器上。 ② 點對點(Node-to-Node)隧道技術(shù),。主要是連接不同地區(qū) 的局域網(wǎng)絡(luò),。在局域網(wǎng)絡(luò)內(nèi)部傳送的資料并不需做任何 的變動。 第4章 網(wǎng)絡(luò)通信安全 (2) 加密技術(shù) 大部分VPN設(shè)備廠商都支持市場上主要的幾種加密技 術(shù) ,, 像 RSA Security 公 司 的 Rivest Cipher 技 術(shù) ,、 DES 及 Triple-DES (三重DES)等。密鑰長度的選擇取決于許多因 素,,較明顯的因素包括確保資料機密的重要性程度以及資 料所流經(jīng)的網(wǎng)絡(luò)安全性等,。 在VPN中,加密應(yīng)只使用于特別敏感的交通,,當(dāng)有需 要時才使用,,或加裝硬件加密模塊,因為加密非常占用處 理器資源,,而且會影響速度性能,。 第4章 網(wǎng)絡(luò)通信安全 一旦VPN采用加密技術(shù)后,系統(tǒng)也必須提供用戶一套 取 得 密 鑰 的 方 法 ,。 最 常 見 的 幾 種 密 鑰 管 理 技 術(shù) 為 PPP (Point-to-Point Protocol,,點對點協(xié)議)中的加密技術(shù)。 ① ECP協(xié)議(Encryption Control Protocol,,加密控制協(xié)議) ② MPPE (Microsoft Point-to-Point Encryption,,Microsoft 點對點加密技術(shù)) ③ ISAKMP/IKE (Internet Society Association Key Management Protocol/Internet Key Exchange,網(wǎng)絡(luò)安全 關(guān)聯(lián)密鑰管理協(xié)議/網(wǎng)絡(luò)密鑰交換) 第4章 網(wǎng)絡(luò)通信安全 (3) 認(rèn)證 VPN采用了許多現(xiàn)存的用戶認(rèn)證技術(shù),。舉例來說,,許 多 廠 商 所 推 出 的 VPN 設(shè) 備 中 , 都 具 備 了 PPP 的 PAP (Password Authentication Protocol,,密碼認(rèn)證協(xié)議)技術(shù),、 CHAP (Challenge Handshake Authentication Protocol,挑戰(zhàn) 性握手驗證協(xié)議) ,。 第4章 網(wǎng)絡(luò)通信安全 VPN連接包括兩種認(rèn)證形式: ① 用戶身份認(rèn)證 在VPN連接建立之前,,VPN服務(wù)器對請求建立連接 的VPN客戶機進行身份驗證,核查其是否為合法的授權(quán) 用戶,。如果使用雙向驗證,,還需進行VPN客戶機對VPN 服務(wù)器的身份驗證,。 ② 數(shù)據(jù)完整性和合法性認(rèn)證 檢查鏈路上傳輸?shù)臄?shù)據(jù)是否出自源端以及在傳輸過 程中是否經(jīng)過篡改。VPN鏈路中傳輸?shù)臄?shù)據(jù)包含密碼檢 查,,密鑰只由發(fā)送者和接收者雙方共享,。 第4章 網(wǎng)絡(luò)通信安全 (4) 存取控制 在確認(rèn)用戶身份之后,進一步所需要的功能就是針 對不同的用戶授予不同的存取權(quán)限,。這部分的功能也是 認(rèn)證服務(wù)器擁有的另一功能,。 第4章 網(wǎng)絡(luò)通信安全 許多VPN的產(chǎn)品都伴隨有適用該產(chǎn)品的認(rèn)證服務(wù)器。 用戶必須接受身份和授權(quán)程序的驗證,,讓網(wǎng)絡(luò)知道他們 是誰以及讓用戶知道他們可以做些什么,。一個良好的系 統(tǒng)也會執(zhí)行賬戶稽核,以追蹤支出源和確保安全性,。 驗證(Authentication) ,、授權(quán)(Authorization)和賬戶稽 核(Accounting) ,統(tǒng)稱為AAA服務(wù),。 第4章 網(wǎng)絡(luò)通信安全 (5) QoS技術(shù) 通過隧道技術(shù)和加密技術(shù),,已經(jīng)能夠建立起一個 具有安全性、互操作性的VPN,。但是該VPN性能上不 穩(wěn)定,,管理上不能滿足用戶的要求,這就要加入服務(wù) 質(zhì)量(Quality of Service—QoS),。實行QoS應(yīng)該在主機網(wǎng) 絡(luò)中,,即VPN所建立的隧道這一段,建立一條性能符 合用戶要求的隧道,。 第4章 網(wǎng)絡(luò)通信安全 4.2.3 無線網(wǎng)絡(luò)接入的安全 隨著無線網(wǎng)絡(luò)技術(shù)的成熟,,無線網(wǎng)絡(luò)和數(shù)據(jù)采集設(shè)備 及監(jiān)控設(shè)備的有效結(jié)合,同樣可以很方便地進行遠程連 接,。目前實現(xiàn)無線網(wǎng)絡(luò)的技術(shù)有: ?藍牙無線接入技術(shù) ?IEEE 802.11連接技術(shù) ?HomeRF (Home Radio Frequency)技術(shù),。 第4章 網(wǎng)絡(luò)通信安全 無 線 網(wǎng) 絡(luò) 最 基 本 的 安 全 措 施 是 有 線 等 效 保 密 WEP (Wired Equivalent Privacy)協(xié)議。WEP使用RC4加密算法,, 這種算法使用同一組密鑰來打亂以及重新組合網(wǎng)絡(luò)封包,。 如果用戶的密鑰管理系統(tǒng)以一種可預(yù)測的方式循環(huán)使 用一組不同的密鑰,那么決心要破解密碼的黑客便可以從 正常用戶的局域網(wǎng)絡(luò)流量中收集資料,,并且通過密鑰的相 關(guān)分析來幫助破解加密機制,。他們的攻擊技巧對于40位或 者128位的RC4加密機制都同樣有效。 第4章 網(wǎng)絡(luò)通信安全 基于以上原因,,最新的標(biāo)準(zhǔn)整合了兩項與認(rèn)證和加密有 關(guān)的關(guān)鍵組件,。在認(rèn)證功能方面,未來可能會采用802.1x標(biāo) 準(zhǔn),。采用這項標(biāo)準(zhǔn)能夠讓用戶每次登入網(wǎng)絡(luò)都使用不同的加 密密鑰,,而且該標(biāo)準(zhǔn)自身提供了密鑰管理機制,。 第4章 網(wǎng)絡(luò)通信安全 在新的標(biāo)準(zhǔn)沒有出來之前,如果要確保無線接入的安 全性最好,,應(yīng)該采取以下措施: 1. 使用動態(tài)秘鑰管理 動態(tài)安全鏈路會自動生成一個新的128位加密秘鑰,, 它對每個網(wǎng)絡(luò)用戶和每次網(wǎng)絡(luò)會話來說都是唯一的。這一 技術(shù)能夠比靜態(tài)共享秘鑰策略提供更高的網(wǎng)絡(luò)安全性,,幫 助用戶從手工的輸入工作中解脫出來,。 第4章 網(wǎng)絡(luò)通信安全 2. 定期稽核 強化無線接入安全性的一個必要步驟便是通過網(wǎng)絡(luò) 稽核,找出所有未受管制的無線局域網(wǎng)絡(luò)聯(lián)接器,,進而 將它們納入系統(tǒng)既有安全政策的管制,或者干脆完全停 止使用這些聯(lián)接器,。從短期來看,,各企業(yè)應(yīng)該使用具備 無線局域網(wǎng)絡(luò)流量偵測功能的產(chǎn)品,以便能夠方便地找 出無線局域網(wǎng)絡(luò)聯(lián)接器,。 第4章 網(wǎng)絡(luò)通信安全 3. 認(rèn)證 由于以WEP為基礎(chǔ)的標(biāo)準(zhǔn)規(guī)范存在安全缺陷,,因此需 要一套強而有力的認(rèn)證機制與防火墻搭配一起使用,即將 無線局域網(wǎng)絡(luò)區(qū)段作為公共網(wǎng)絡(luò)一樣看待,。 第二層虛擬局域網(wǎng)絡(luò)(Layer 2 virtual LANs)可以將無線 局域網(wǎng)絡(luò)流量區(qū)隔在單一防火墻之外,,從而減少多重防火 墻設(shè)備的需要。 除了單純地通過認(rèn)證機制以及網(wǎng)絡(luò)觀測設(shè)備來進行存 取控制之外,,用戶也可以部署一套入侵偵測系統(tǒng)(Intrusion Detection System—IDS),,以便主動地事先辨認(rèn)出局域網(wǎng)絡(luò) 入侵跡象。 第4章 網(wǎng)絡(luò)通信安全 4.2.4 遠程溢出攻擊與后門 1. 遠程溢出攻擊 遠程溢出攻擊作為常見的漏洞利用方式,,一旦攻擊 者尋找并發(fā)現(xiàn)目標(biāo)主機的某個守護進程或網(wǎng)絡(luò)服務(wù)存在 著遠程溢出漏洞,,那么他很可能在接下來的時間內(nèi)取得 主機的額外訪問權(quán),就這樣攻擊者在沒有物理接觸目標(biāo) 系統(tǒng)的情況下就獲得了對目標(biāo)主機的控制權(quán),。 第4章 網(wǎng)絡(luò)通信安全 遠程溢出攻擊者無須一個賬號登錄到本地直接獲得 遠程系統(tǒng)的管理員權(quán)限,,通常通過攻擊以root身份執(zhí)行 的有漏洞的系統(tǒng)守護進程或網(wǎng)絡(luò)服務(wù)來完成,這些漏洞 中的絕大部分來源于緩沖區(qū)溢出,,少部分來自守護進程 本身的邏輯缺陷,。 第4章 網(wǎng)絡(luò)通信安全 2. 后門程序 后門又稱為Back Door,其用途在于潛伏在電腦中,, 從事搜集信息或便于黑客進入的動作,。后門程序和電 腦病毒的最大的區(qū)別,在于后門程序不一定有自我復(fù) 制的動作,,也就是后門程序不一定會“感染”其他電 腦,。它不僅繞過系統(tǒng)已有的安全設(shè)置,而且還能挫敗 系統(tǒng)上各種增強的安全設(shè)置,。 第4章 網(wǎng)絡(luò)通信安全 簡單的后門可能只是建立一個新的賬號,,或者接 管一個很少使用的賬號,;復(fù)雜的后門(包括木馬)可 能會繞過系統(tǒng)的安全認(rèn)證而對系統(tǒng)有安全存取權(quán)。 后門產(chǎn)生的必要條件有以下三點: ① 必須以某種方式與其他終端節(jié)點相連 ,; ② 目標(biāo)機默認(rèn)開放的可供外界訪問的端口必須在一 個以上 ,; ③ 目標(biāo)主機存在設(shè)計或人為疏忽,導(dǎo)致攻擊者能以 權(quán)限較高的身份執(zhí)行程序,。 第4章 網(wǎng)絡(luò)通信安全 4.3 IP安全 隨著Internet的迅速發(fā)展,,現(xiàn)有的IP版本不足以滿足 Internet的性能和功能要求。作為一種稀缺資源,,IP地址 的盜用就成為很常見的問題,。 IP地址盜用侵害了Internet網(wǎng)絡(luò)的正常用戶的權(quán)利, 并且給網(wǎng)絡(luò)計費,、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)運行帶來了巨大的負(fù) 面影響,,因此解決IP地址盜用問題成為當(dāng)前一個迫切的 課題。 第4章 網(wǎng)絡(luò)通信安全 4.3 IP安全 4.3.1 IP安全的防范技術(shù) 4.3.2 IP的鑒別和保密機制 第4章 網(wǎng)絡(luò)通信安全 4.3.1 IP安全的防范技術(shù) Internet的經(jīng)營者已在某些領(lǐng)域開發(fā)出專用的安全 機制,。但是用戶對于協(xié)議層有一些安全要求,。通過實 現(xiàn)IP級的安全性,就可以確保一個組織安全組網(wǎng),。 IP級的安全包含兩個功能域:鑒別和保密,。 IPv6對這些特征的支持是強制性的,而IPv4是選擇 性的,。在兩種情況下,,安全特征主要都在IP信元頭后 面的擴展信元頭中實現(xiàn)。 第4章 網(wǎng)絡(luò)通信安全 1. IP地址盜用方法分析 IP地址的盜用方法多種多樣,,其常用方法主要有 以下幾種: ① 靜態(tài)修改IP地址,。 ② 成對修改IP-MAC地址。 ③ 動態(tài)修改IP地址,。 第4章 網(wǎng)絡(luò)通信安全 2. 防范技術(shù)研究 針對IP盜用問題,,網(wǎng)絡(luò)專家采用了各種防范技術(shù), 現(xiàn)在比較常用的防范技術(shù)主要是根據(jù)TCP/IP的層次結(jié) 構(gòu),,在不同的層次采用不同的方法來防止IP地址的盜 用,。 ① 交換機控制 解決IP地址的最徹底的方法是使用交換機進行控 制,即在TCP/IP第二層進行控制:使用交換機提供的 端口的單地址工作模式,,即交換機的每一個端口只允 許一臺主機通過該端口訪問網(wǎng)絡(luò),,任何其它地址的主 機的訪問都將被拒絕。 第4章 網(wǎng)絡(luò)通信安全 ② 路由器隔離 采用路由器隔離的辦法其主要依據(jù)是MAC地址作 為以太網(wǎng)卡地址是全球唯一的,,不能改變,。實現(xiàn)方法 為通過SNMP協(xié)議定期掃描校園網(wǎng)各路由器的ARP表, 獲得當(dāng)前IP和MAC的對照關(guān)系,和事先合法的IP和 MAC地址比較,,如不一致,,則為非法訪問。 第4章 網(wǎng)絡(luò)通信安全 ③ 防火墻與代理服務(wù)器 使用防火墻與代理服務(wù)器相結(jié)合,,也能較好地解 決IP地址盜用問題,。防火墻用來隔離內(nèi)部網(wǎng)絡(luò)和外部 網(wǎng)絡(luò),用戶訪問外部網(wǎng)絡(luò)通過代理服務(wù)器進行,。使用 這樣的辦法是將IP防盜放到應(yīng)用層來解決,,變IP管理 為用戶身份和口令的管理。 第4章 網(wǎng)絡(luò)通信安全 4.3.2 IP的鑒別和保密機制 1. IPSec協(xié)議 IPSec全稱為Internet Protocol Security,,是由Internet Engineering Task Force (IETF) 定義的安全標(biāo)準(zhǔn)框架,, 是Internet的網(wǎng)絡(luò)層安全協(xié)議,用以提供公用和專用網(wǎng) 絡(luò)的端對端加密和驗證服務(wù),。 第4章 網(wǎng)絡(luò)通信安全 IPSec是應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套的協(xié)議 體系結(jié)構(gòu),。包括: ? 網(wǎng)絡(luò)認(rèn)證協(xié)議AH(Authentication Header,認(rèn)證頭) ? ESP(Encapsulating Security Payload,,封裝安全載荷) ? IKE(Internet Key Exchange,因特網(wǎng)密鑰交換) ? 用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法 第4章 網(wǎng)絡(luò)通信安全 Application Email - S/MIME Application Presentation Presentation Session SSL Session Transport Transport Network IPSec Network Datalink PPP - ECP Datalink Physical Physical Encrypting NIC PHYSICAL NETWORK Encrypting NIC Security Protocol Layers 第4章 網(wǎng)絡(luò)通信安全 Data in TCP/IP Application data abcdefghi abc def ghi TCP TCP abc TCP def TCP ghi IP IP TCP abc IP TCP def IP TCP ghi 第4章 網(wǎng)絡(luò)通信安全 Data in TCP/IPSec/IP Application data abc TCP TCP abcdefghi def TCP ghi TCP abc uvw def xyz ghi IP/IPSec IP IPSec TCP IP IPSec TCP IP IPSec TCP lmn 第4章 網(wǎng)絡(luò)通信安全 2. 安全關(guān)聯(lián)(SA) 為使通信雙方的認(rèn)證/加密算法及其參數(shù),、密鑰的一 致,,相互間建立的聯(lián)系被稱為安全組合或安全關(guān)聯(lián) (Security Association)。 關(guān)聯(lián)是發(fā)送方和接收方之間的單向關(guān)系,,如果雙向 安全交換需要一個同級關(guān)系,,那么就需要兩個安全關(guān)聯(lián)。 SA由一個三元組唯一地標(biāo)識,,該三元組為安全索引 參數(shù)SPI,、一個用于輸出處理的目的IP地址(或用于輸入 處理的源IP地址)和協(xié)議(如AH或ESP)。 第4章 網(wǎng)絡(luò)通信安全 SPI是為了唯一標(biāo)識SA而生成的一個32位整數(shù),。 包含在AH頭標(biāo)和ESP頭標(biāo)中,。有了SPI,相同源,、目的 節(jié)點的數(shù)據(jù)流可以建立多個SA,。 第4章 網(wǎng)絡(luò)通信安全 3. 認(rèn)證頭標(biāo)AH 認(rèn)證(鑒別)頭標(biāo)AH(Authentication Header)提 供無連接的完整性、數(shù)據(jù)源認(rèn)證和抗重放保護服務(wù),。 認(rèn)證范圍(IP頭標(biāo)中可變域除外) IP頭標(biāo) AH頭標(biāo) TCP/UDP頭標(biāo) 凈荷(用戶數(shù)據(jù)) (傳輸模式) 下一個頭標(biāo)(8) 凈荷長度(8) SPI[安全參數(shù)索引(32比特)] 序列號 認(rèn)證數(shù)據(jù)[長度可變(32比特的整數(shù)倍)] 保留(16) 第4章 網(wǎng)絡(luò)通信安全 4.加密頭標(biāo)ESP ESP(Encapsulating Security Payload)提供數(shù)據(jù)保 密,、無連接完整性服務(wù)。 ESP一般采用對稱密碼體制加 密數(shù)據(jù),。 根據(jù)用戶要求,,該機制可以用來給傳送層的段加密 (如TCP、用戶數(shù)據(jù)報協(xié)議——UDP或ICMP),,或者 給整個IP分組加密,。前者叫作傳送模式ESP,,后者叫作 隧道模式ESP。 第4章 網(wǎng)絡(luò)通信安全 加密范圍 數(shù)據(jù) 驗證范圍 IP報頭 ESP頭 ESP尾 ESP認(rèn)證 圖4-2 傳送模式下IP報文加密 第4章 網(wǎng)絡(luò)通信安全 加密范圍 外部IP報頭 ESP頭 數(shù)據(jù) IP報頭 ESP尾 ESP認(rèn)證 驗證范圍 圖4-3 隧道模式下IP報文加密 第4章 網(wǎng)絡(luò)通信安全 5.鑒別與保密的綜合 鑒別與保密這兩種IP安全機制可以綜合運用,,以 傳輸要求保密和鑒別的IP分組,。有兩種綜合方案可供 選擇。 ① 先加密,,后鑒別 在這種情況下,,要鑒別整個IP分組,包括加密的 和未加密的部分,。 第4章 網(wǎng)絡(luò)通信安全 先加密后鑒別 加密范圍 IP - H AH ESP - H 內(nèi)部IP分組包的傳送層字段 鑒別范圍 ET ? IP-H:基于IP的信元頭加上擴展信元頭 ? ESP-H:密封保密負(fù)載信元頭 ? ET:密封保密負(fù)載尾部字段 ? AH:鑒別信元頭 第4章 網(wǎng)絡(luò)通信安全 ② 先鑒別,,后加密 該方案適用于隧道模式的ESP。在這種情況下,,鑒 別信元頭被放在內(nèi)部IP分組之中,。這一內(nèi)部分組既被鑒 別,被加密,。 第4章 網(wǎng)絡(luò)通信安全 先鑒別后加密 加密范圍 外IP - H ESP - H 內(nèi)IP - H AH 傳送層字段 鑒別范圍 內(nèi)部IP分組包 ET 第4章 網(wǎng)絡(luò)通信安全 4.4 端口掃描 4.4.1 基本概念 4.4.2 端口掃描 4.4.3 棧指紋 4.4.4 端口掃描方法 第4章 網(wǎng)絡(luò)通信安全 4.4.1 基本概念 1. TCP協(xié)議 TCP(傳輸控制協(xié)議)是一種使用得最廣泛的網(wǎng) 絡(luò)通信協(xié)議,,很多服務(wù)都是建立在TCP協(xié)議之上,比 如最流行的Email (SMTP, POP3),、HTTP,、FTP等等。 第4章 網(wǎng)絡(luò)通信安全 TCP建立連接的過程( 三次握手) 第4章 網(wǎng)絡(luò)通信安全 TCP斷開連接的過程(四次握手) 第4章 網(wǎng)絡(luò)通信安全 2. TCP協(xié)議標(biāo)志位 TCP報文格式包含6個標(biāo)志位,,分別為: ① SYN:標(biāo)志位用來建立連接,,讓連接雙方同步序 列號。如果SYN=1而ACK=0,,則表示該數(shù)據(jù)包為 連接請求,,如果SYN=1而 ACK=1則表示接受連接。 ② ACK:為確認(rèn)標(biāo)志位,。如果為1,,表示包中的確認(rèn) 號是有效的。否則,,包中的確認(rèn)號無效,。 ③ FIN:表示發(fā)送端已經(jīng)沒有數(shù)據(jù)要求傳輸了,希望 釋放連接,。 第4章 網(wǎng)絡(luò)通信安全 ④ RST:用來復(fù)位一個連接,。RST標(biāo)志置位的數(shù)據(jù)包 稱為復(fù)位包。一般情況下,,如果TCP收到一個分段 明顯不屬于該主機上的任何一個連接,,則向遠端發(fā) 送一個復(fù)位包。 ⑤ URG:為緊急數(shù)據(jù)標(biāo)志。如果為1,,表示本數(shù)據(jù)包 中包含緊急數(shù)據(jù),。此時緊急數(shù)據(jù)指針有效。 ⑥ PSH:如果置位,,接收端應(yīng)盡快把數(shù)據(jù)傳送給應(yīng)用 層,。 第4章 網(wǎng)絡(luò)通信安全 3. TCP會話準(zhǔn)則 大部分系統(tǒng)在實現(xiàn)TCP/IP時遵循以下原則: ① 當(dāng)一個SYN或者FIN數(shù)據(jù)包到達一個關(guān)閉的端口, TCP丟棄數(shù)據(jù)包同時發(fā)送一個RST數(shù)據(jù)包,。 ② 當(dāng)一個RST數(shù)據(jù)包到達一個監(jiān)聽端口,,RST被丟棄; 當(dāng)一個RST數(shù)據(jù)包到達一個關(guān)閉的端口,,RST被丟 棄,。 ③ 當(dāng)一個包含ACK的數(shù)據(jù)包到達一個監(jiān)聽端口時, 數(shù)據(jù)包被丟棄,,同時發(fā)送一個RST數(shù)據(jù)包,。 第4章 網(wǎng)絡(luò)通信安全 ④ 當(dāng)一個SYN位關(guān)閉的數(shù)據(jù)包到達一個監(jiān)聽端口時, 數(shù)據(jù)包被丟棄,。 ⑤ 當(dāng)一個SYN數(shù)據(jù)包到達一個監(jiān)聽端口時,,正常的三 階段握手繼續(xù),回答一個SYN+ACK數(shù)據(jù)包,。 ⑥ 當(dāng)一個FIN數(shù)據(jù)包到達一個監(jiān)聽端口時,,數(shù)據(jù)包被 丟棄?!癋IN行為”(關(guān)閉端口返回RST,監(jiān)聽端 口丟棄包),,在URG和PSH標(biāo)志位置位時同樣要發(fā) 生,。所有的URG,PSH和FIN,,或者沒有任何標(biāo)記 的TCP數(shù)據(jù)包都會引起“FIN行為”,。 第4章 網(wǎng)絡(luò)通信安全 4.端口 在Internet上,各主機間通過TCP/IP協(xié)議發(fā)送和接 收數(shù)據(jù)報,,各個數(shù)據(jù)報根據(jù)其目的主機的IP地址來進 行互聯(lián)網(wǎng)絡(luò)中的路由選擇,。但是,大多數(shù)操作系統(tǒng)支 持多程序(進程)同時運行,,因此本地操作系統(tǒng)會給 那些有需求的進程分配端口(Port),。 端口其實就是隊列,操作系統(tǒng)為各個進程分配了 不同的隊列,,數(shù)據(jù)報按照目的端口被推入相應(yīng)的隊列 中,,等待被進程取用。 第4章 網(wǎng)絡(luò)通信安全 5.ICMP協(xié)議 ICMP(Internet控制消息協(xié)議)協(xié)議用于在主機、 路由器之間傳遞控制消息,??刂葡⑹侵妇W(wǎng)絡(luò)通不通、 主機是否可達,、路由是否可用等網(wǎng)絡(luò)本身的消息,。這 些控制消息雖然并不傳輸用戶數(shù)據(jù),但是對于用戶數(shù) 據(jù)的傳遞起著重要的作用,。 ICMP報文分為查詢報文和差錯報文兩類,。 第4章 網(wǎng)絡(luò)通信安全 常用ICMP報文分類 報文類型 回顯請求/應(yīng)答 (ping) 時間戳請求/應(yīng)答 地址掩碼請求/應(yīng)答 查詢報文 √ √ 差錯報文 超時 端口不可達 主機不可達 網(wǎng)絡(luò)不可達 √ √ √ √ 第4章 網(wǎng)絡(luò)通信安全 4.4.2 端口掃描 端口掃描是為了確定主機端口的開放情況。利用 此技術(shù),,可以遠程檢測目標(biāo)主機開放的服務(wù),。 端口掃描前首先要枚舉待掃描的端口,然后向目 標(biāo)主機的這些端口發(fā)送探測數(shù)據(jù)包,,并記錄目標(biāo)主機 的響應(yīng),。通過分析響應(yīng)來判斷服務(wù)端口是打開還是關(guān) 閉。由此也可以得知目標(biāo)主機提供的服務(wù)信息,。 第4章 網(wǎng)絡(luò)通信安全 到目前為止存在各類的端口掃描方法,,主要有 TCP全連接掃描、TCP SYN(半連接)掃描,、TCP FIN 掃描,、UDP ICMP端口不能到達掃描等。 第4章 網(wǎng)絡(luò)通信安全 4.4.3 棧指紋 端口掃描只能提供被掃描主機所開放服務(wù)的信息,, 不會提供目標(biāo)主機的操作系統(tǒng)的其它信息,。為了更進一 步的探測目標(biāo)主機的操作系統(tǒng)信息,還需要使用棧指紋 技術(shù),。 協(xié)議棧指紋是指不同操作系統(tǒng)的網(wǎng)絡(luò)協(xié)議棧存在的 細(xì)微差別,,這些差別可以用來區(qū)分不同的操作系統(tǒng)。 第4章 網(wǎng)絡(luò)通信安全 常用的網(wǎng)絡(luò)協(xié)議是標(biāo)準(zhǔn)的,,因而從理論上講各個 操作系統(tǒng)的協(xié)議棧應(yīng)該是相同的,。但是,在實踐中,, 各種操作系統(tǒng)的協(xié)議棧的實現(xiàn)存在細(xì)微的差異,。這些 差異稱作網(wǎng)絡(luò)協(xié)議棧的“指紋”。 對TCP協(xié)議族來說,,這些差異通常表現(xiàn)在數(shù)據(jù)包 頭的標(biāo)志字段中,。如window size、ACK序號,、TTL等 的不同取值,。通過對這些差別進行歸納和總結(jié),,可以 比較準(zhǔn)確地識別出遠程系統(tǒng)的操作系統(tǒng)類型。 第4章 網(wǎng)絡(luò)通信安全 4.4.4 端口掃描方法 1. TCP connect()掃描 TCP connect()掃描是最基本的TCP掃描方式,。 connect()是一種系統(tǒng)調(diào)用,,由操作系統(tǒng)提供,用來打開 一個連接,。如果目標(biāo)端口有程序監(jiān)聽,,connect()就會成 功返回,否則這個端口是不可達的,。 這項技術(shù)最大的優(yōu)點是,,不需要管理員權(quán)限,即 可進行掃描,。 第4章 網(wǎng)絡(luò)通信安全 步驟 1. 發(fā)出一個TCP連接請求數(shù)據(jù)包(SYN),,然后等待回應(yīng)。 2. 如果對方返回應(yīng)答包(ACK+SYN),,就表示目標(biāo)端口 正在監(jiān)聽,;如果返回復(fù)位數(shù)據(jù)包(ACK+RST),就表 示目標(biāo)端口沒有監(jiān)聽程序,。 3. 如果收到一個應(yīng)答包(ACK+SYN),,則先發(fā)出一個應(yīng) 答數(shù)據(jù)包(ACK)來完成TCP三次握手過程,而后繼續(xù) 發(fā)出一個復(fù)位數(shù)據(jù)包(ACK+RST)來斷開和目標(biāo)主機 的連接,。 第4章 網(wǎng)絡(luò)通信安全 2. TCP SYN掃描 TCP同步掃描(TCP SYN):因為不必全部打開一個 TCP連接,,所以這項技術(shù)通常稱為半開掃描(half-open)。 第4章 網(wǎng)絡(luò)通信安全 步驟 1. 發(fā)出一個TCP連接請求數(shù)據(jù)包(SYN),,然后等待回應(yīng),。 2. 如果對方返回應(yīng)答包(ACK+SYN),就表示目標(biāo)端口 正在監(jiān)聽,;如果返回復(fù)位數(shù)據(jù)包(ACK+RST),,就表 示目標(biāo)端口沒有監(jiān)聽程序。 3. 如果收到一個應(yīng)答包(ACK+SYN),,則馬上發(fā)出一 個復(fù)位數(shù)據(jù)包(RST)來斷開和目標(biāo)主機的連接。 第4章 網(wǎng)絡(luò)通信安全 3.主機掃描 通過向指定的網(wǎng)絡(luò)內(nèi)的每個IP地址發(fā)送ICMP echo 請求數(shù)據(jù)包,,可以實現(xiàn)主機探測,,如果主機正在運行就 會作出響應(yīng),否則無響應(yīng),。 通過掃描工具使用ARP Ping掃描來發(fā)現(xiàn)局域網(wǎng) (ARP數(shù)據(jù)包不能跨越路由器)中正在運行的主機,,是 一種效率非常高的發(fā)現(xiàn)局域內(nèi)活動主機的方法。 第4章 網(wǎng)絡(luò)通信安全 4. UDP掃描 如果想知道某臺主機上提供哪些UDP服務(wù),,可以 使用這種掃描方法,。 首先向目標(biāo)主機的每個端口發(fā)出一個0字節(jié)的UDP 包,,如果收到端口不可達的ICMP應(yīng)答,則端口就是關(guān) 閉的,,否則就假設(shè)它是打開的,。 第4章 網(wǎng)絡(luò)通信安全 4.5 小結(jié) 這一章介紹了網(wǎng)絡(luò)通信安全的基本知識。首先是 網(wǎng)絡(luò)通信中存在的安全問題,,然后介紹了TCP/IP協(xié)議 下各個層次的安全性問題和TCP/IP協(xié)議組的安全缺陷,。 在遠程訪問安全中主要介紹了提高遠程訪問網(wǎng)絡(luò)安全 性的方法。最后介紹了端口掃描的相關(guān)概念和方法,。 第4章 網(wǎng)絡(luò)通信安全 習(xí)題與思考題 1. 試述哪些因素會影響網(wǎng)絡(luò)通信線路的安全,。 2. 網(wǎng)絡(luò)層的安全性體現(xiàn)在什么地方? 3. 傳輸層安全性不足表現(xiàn)在什么地方,? 4. 舉例說明IP的缺陷導(dǎo)致易被欺騙,。 5. 為什么說調(diào)制解調(diào)器給上網(wǎng)的用戶帶來不安全 因素? 6. 簡述幾種遠程訪問的安全問題,。 |
|
|
來自: 博采簡納 > 《it技術(shù)》
