網(wǎng)絡(luò)環(huán)境與網(wǎng)絡(luò)安全

《網(wǎng)絡(luò)環(huán)境與網(wǎng)絡(luò)安全》由會員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)環(huán)境與網(wǎng)絡(luò)安全（10頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、實驗一、網(wǎng)絡(luò)環(huán)境與網(wǎng)絡(luò)安全 一、實驗?zāi)康模豪斫饩W(wǎng)絡(luò)環(huán)境，了解網(wǎng)絡(luò)安全領(lǐng)域。 二、實驗要求：對 TCP/IP 協(xié)議族進行分析和實驗，研究其弱點并加 以利用。 三、實驗內(nèi)容： 1 ?網(wǎng)絡(luò)環(huán)境定義： 網(wǎng)絡(luò)環(huán)境是指將分布在不同地點的多個多媒體計算機物 理上互聯(lián)，依據(jù)某種協(xié)議互相通信，實現(xiàn)軟、硬件及其網(wǎng)絡(luò)文 化共享的系統(tǒng)。 2. 網(wǎng)絡(luò)環(huán)境分類： ① 網(wǎng)絡(luò)環(huán)境一：辦公環(huán)境 專為你辦公時使用，安裝office、msn、skype等常用辦公 軟件。 ② 網(wǎng)絡(luò)環(huán)境二：娛樂環(huán)境 專為你娛樂時使用，玩游戲、聽音樂、下載電影等。多個網(wǎng) 絡(luò)環(huán)境同時進行，如同你擁有了多臺電腦。當(dāng)然，這只是舉 例，你可

2、以按照自己的喜好去定義這些環(huán)境里的內(nèi)容、設(shè)置、 桌布等等。 3. 網(wǎng)絡(luò)安全領(lǐng)域： 信息安全與風(fēng)險管理 訪問控制 安全體系結(jié)構(gòu)和設(shè)計 物理和環(huán)境安全 遠(yuǎn)程通信和網(wǎng)絡(luò)安全 密碼學(xué) 業(yè)務(wù)連貫性和災(zāi)難恢復(fù) 法律法規(guī)合格性和調(diào)查 應(yīng)用程序安全 操作安全 4．TCP/IP 協(xié)議族簡介： TCP/IP(Transmission Control Protocol/Internet Pro to col，傳輸控制協(xié)議/網(wǎng)際協(xié)議)是用于計算機通信的一個 協(xié)議族。它是美國國防部高級研究項目局在20 世紀(jì)70 年代提 出的一項基金研究項目的研究成果。該項目的目的是尋求一種 能使用各種介質(zhì)來

3、傳輸數(shù)據(jù)的方法，包括串行線路。 TCP/IP協(xié)議族包括諸如Internet協(xié)議(IP)、地址解析協(xié)議 (ARP)、互聯(lián)網(wǎng)控制信息協(xié)議(ICMP)、用戶數(shù)據(jù)報協(xié)議(UDP)、 傳輸控制協(xié)議(TCP)、路由信息協(xié)議(RIP)、Telnet、簡單郵件 傳輸協(xié)議(SMTP)、域名系統(tǒng)(DNS)等協(xié)議。 5．TCP/IP 協(xié)議族的層次結(jié)構(gòu)： 從協(xié)議分層模型方面來講， TCP/IP 由四個層次組成：網(wǎng)絡(luò)接 口層、網(wǎng)際層、傳輸層、應(yīng)用層 IP 應(yīng)用層 各種應(yīng)用層協(xié)議 (HTTP, FTP, SMTP 等) 網(wǎng)絡(luò)接口層 與各種網(wǎng)絡(luò)接口 物理硬件 運輸層 TCP. UDP ICMP

4、 IGMP 兩絡(luò)層 (網(wǎng)際層) |RARp|rA (1) 應(yīng)用層 應(yīng)用層包含一切與應(yīng)用相關(guān)的功能，相當(dāng)于 OSI 的上面三層。 我們經(jīng)常使用的 HTTP、FTP、Telnet、SMTP 等協(xié)議都在這一 層實現(xiàn)。 (2) 傳輸層 傳輸層負(fù)責(zé)提供可靠的傳輸服務(wù)。該層相當(dāng)于 OSI 模型中的第 4 層。在該層中，典型的協(xié)議是 TCP(Transmission Control Protocol)和 UDP(User Datagram Protocol)。其中，TCP 提供 可靠、有序的，面向連接的通信服務(wù)；而 UDP 則提供無連接的、 不可靠用戶數(shù)據(jù)報服務(wù)。 (3) 網(wǎng)際層 網(wǎng)際

5、層負(fù)責(zé)網(wǎng)絡(luò)間的尋址和數(shù)據(jù)傳輸，其功能大致相當(dāng)于0SI 模型中的第 3 層。在該層中，典型的協(xié)議是 IP(Internet Protocol）。 （4） 網(wǎng)絡(luò)接口層 最下面一層是網(wǎng)絡(luò)接口層，負(fù)責(zé)數(shù)據(jù)的實際傳輸，相當(dāng)于OSI 模型中的第 1、第 2 層。在 TCP/IP 協(xié)議族中，對該層很少具 體定義。大多數(shù)情況下，它依賴現(xiàn)有的協(xié)議傳輸數(shù)據(jù)。 6．TCP/IP 協(xié)議族實驗： 添加/安裝TCP/IP協(xié)議； 分配 IP 地址（靜態(tài)和動態(tài)地址）； 劃分局域網(wǎng)（實現(xiàn)共享、子網(wǎng)劃分、網(wǎng)絡(luò)接入、遠(yuǎn)程訪問……） 7?分析TCP/IP協(xié)議族的弱點并加以利用： TCP/IP 協(xié)議族不安全。由于局

6、域網(wǎng)內(nèi)部是一個相對開放 的環(huán)境和 TCP/IP 協(xié)議內(nèi)在的開放特征，內(nèi)部網(wǎng)絡(luò)上傳輸?shù)臄?shù) 據(jù)很容易被截獲并被分析或跟蹤。如果你發(fā)一個請求，所有局 域網(wǎng)內(nèi)的電腦都能收到，只是會判斷信息中的地址是不是自己 的地址，接就接收，不接收就丟棄。所以，水平高的黑客可以 通過任何一臺機器來竊取局域網(wǎng)內(nèi)想要的東西，包括密碼。 8．路由算法： （1）路由算法簡介： 路由算法，可以根據(jù)多個特性來加以區(qū)分，算法設(shè)計 者的特定目標(biāo)影響了該路由協(xié)議的操作；具體來說存在著 多種路由算法，每種算法對網(wǎng)絡(luò)和路由器資源的影響都不 同；由于路由算法使用多種met ric，從而影響到最佳路徑 的計算。 路由算法是提咼路由協(xié)

7、議功能，盡量減少路由時所帶 來開銷的算法。當(dāng)實現(xiàn)路由算法的軟件必須運行在物理資 源有限的計算機上時高效尤其重要。路由算法必須健壯， 即在出現(xiàn)不正?；虿豢深A(yù)見事件的情況下必須仍能正常處 理，例如硬件故障、高負(fù)載和不正確的實現(xiàn)。因為路由器 位于網(wǎng)絡(luò)的連接點，當(dāng)它們失效時會產(chǎn)生重大的問題。最 好的路由算法通常是那些經(jīng)過了時間考驗，證實在各種網(wǎng) 絡(luò)條件下都很穩(wěn)定的算法。 此外路由算法必須能快速聚合，聚合是所有路由器對 最佳路徑達(dá)成一致的過程。當(dāng)某網(wǎng)絡(luò)事件使路徑斷掉或不 可用時，路由器通過網(wǎng)絡(luò)分發(fā)路由更新信息，促使最佳路 徑的重新計算，最終使所有路由器達(dá)成一致。聚合很慢的 路由算法可能會產(chǎn)生路由環(huán)或網(wǎng)

8、路中斷。 如下為路由算法原理圖: Packet ■ Liciura Mds;i PC 向：Da&c糾創(chuàng)Im Host l^ratecol 日!Mrees) Rdulsr l Iphyisic銜敘JiJng追| Wfluter1 PELGkM ro. DestinaikHn h?l ^Protocol &ldre￡$| 2 (Pliysioal JDtkarK^'i DflEinaiipn Hoet (PrulwaJ adt>95S) Des6nmliofl fiosl (Ph卿cal agrees； Tb- 3 D聒 1i醫(yī)iIiqh host FC

9、 2)路由算法的漏洞：路徑和序列號欺騙，不穩(wěn)定性和共振 效應(yīng) 路由器在每個網(wǎng)絡(luò)中起到關(guān)鍵的作用，如果一路由器 被破壞或者一路由被成功的欺騙，網(wǎng)絡(luò)的完整性將受到嚴(yán) 重的破壞，如果使用路由的主機沒有使用加密通信那就更 為嚴(yán)重，因為這樣的主機被控制的話，將存在著中間人 (man-in- the-middle)攻擊，拒絕服務(wù)攻擊，數(shù)據(jù)丟失，網(wǎng) 絡(luò)整體性破壞，和信息被嗅探等攻擊。 多種路由器存在各種眾所周知的安全問題， 大部分是 由于錯誤配置， IP 信息包錯誤處理， SNMP 存在默認(rèn)的 communit name st ring,薄弱密碼或者加密算法不夠強壯而 造成。上面的一些攻擊一般一個標(biāo)

10、準(zhǔn)的NIDS都能夠探測出 來。這些類型的攻擊對網(wǎng)絡(luò)底層有一定的削弱性并可以組 合一些高極別的協(xié)議進行攻擊。 正確的配置管理可以處理不少普通的漏洞，如你必須 處理一些標(biāo)準(zhǔn)的規(guī)程:不使用SNMP（或者選擇強壯的密碼）, 保持補丁程序是最新的，正確處理訪問控制列表，出入過 濾，防火墻,加密管理通道和密碼，路由過濾和使用 MD5 認(rèn) 證。當(dāng)然在采用這些規(guī)程之前你必須知道這些安全規(guī)則的 相關(guān)的含義和所影響到的服務(wù)。 9．TCP / UDP 的漏洞 （1） TCP 端口 TCP 端口，即傳輸控制協(xié)議端口，需要在客戶端和服務(wù)器之 間建立連接，這樣可以提供可靠的數(shù)據(jù)傳輸。常見的包括 FTP 服務(wù)

11、的 21 端口， Telnet 服務(wù)的 23 端口， SMTP 服務(wù)的 25端口，以及HTTP服務(wù)的80端口等等。 （2） UDP 端口 UDP端口，即用戶數(shù)據(jù)包協(xié)議端口，無需在客戶端和服務(wù)器 之間建立連接，安全性得不到保障。常見的有 DNS 服務(wù)的 53端口，SNMP （簡單網(wǎng)絡(luò)管理協(xié)議）服務(wù)的161端口，QQ 使用的 8000 和 4000 端口等等。 10．ICMP 重定向的危險：拒絕服務(wù) （1） 拒絕服務(wù)概念： DoS 的攻擊方式有很多種，最基本的 DoS 攻擊就是利用 合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無 法得到服務(wù)。 或者說是利用合理的服務(wù)請求占有

12、過多 的服 務(wù)資源，致使資源耗盡或是資源過載，造成服務(wù)器癱瘓，其 他用戶無法享用該服務(wù)資源。 （2）拒絕服務(wù)特點： 難確認(rèn)性 隱蔽性 資源有限性 軟件復(fù)雜性 （3）拒絕服務(wù)攻擊的基本模式： ① 資源消耗型 消耗網(wǎng)絡(luò)帶寬 消耗磁盤空間 消耗 CPU 和內(nèi)存資源 ② 配置修改型 ③ 基于系統(tǒng)缺陷型 ④ 物理實體破壞型 4）拒絕服務(wù)攻擊的分類： ①使系統(tǒng)或網(wǎng)絡(luò)癱瘓 發(fā)送少量蓄意構(gòu)造的數(shù)據(jù)包，使系統(tǒng)死機或重新啟動。 主要利用系統(tǒng)軟件的Bug, 一旦Bug被修正，攻擊就不 起作用。 系統(tǒng)恢復(fù)工作一般需要管理員的干預(yù)。 ②使系統(tǒng)或網(wǎng)絡(luò)無法響應(yīng)正常的請求 發(fā)送大量的垃圾

13、數(shù)據(jù)，使得系統(tǒng)無法處理正常的請求。 比較難杜絕。 恢復(fù)系統(tǒng)不需要或只需要少量的人工干預(yù)。 11. ARP危害：幽靈的來源，ARP的爆炸和慢速鏈接 APR 病毒，一種地址欺騙的病毒。當(dāng)局域網(wǎng)內(nèi)某臺主機 運行 ARP 欺騙的木馬程序時，會騙欺局域域網(wǎng)內(nèi)所有主機和 路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原 來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機上網(wǎng)，切換的 時候用戶會斷一次線。切換到病毒主機上網(wǎng)后，如果用戶已 經(jīng)登陸了游戲服務(wù)器，那么病毒主機就會經(jīng)常偽造斷線的假 像，那么用戶就得重新登錄游戲服務(wù)器，這樣病毒主機就可 以盜號了。 ⑵破碎的漏洞和解決方法：（ICMP溢出） 互聯(lián)網(wǎng)控制消息協(xié)議（ICMP）是專門用作邏輯錯誤和診斷 的信使。RFC792對它作了詳細(xì)的闡述。任何IP網(wǎng)絡(luò)設(shè)備都有 發(fā)送、接收或運作 ICMP 消息的功能。雖然 ICMP 的設(shè)計者沒有 考慮今天出現(xiàn)的安全性問題，但是他們已經(jīng)設(shè)計了一些能使 ICMP 更有效運作的基本準(zhǔn)則。 （1）為了確保ICMP消息不會淹沒IP網(wǎng)絡(luò)，ICMP沒有任何特 別的優(yōu)先級，它總是一種常規(guī)流量。 2） ICMP 消息作為其他 ICMP 消息的響應(yīng)而發(fā)送。這個設(shè)計 機制是為了防止出現(xiàn)一個錯誤消息不斷地重復(fù)制造出另一 個錯誤消息。否則，它就真的是個大問題了。 3)ICMP 不能作為多播或廣播流量的響應(yīng)而發(fā)送。