【正文】 一個名稱叫公鑰加密。驗證簽名解密 運算DA BA的私鑰 PKB A? 數(shù)據(jù)通信不安全的主要因素lTCP/IP協(xié)議存在安全隱患。Inter網(wǎng)絡(luò)實際是網(wǎng)間網(wǎng)，就是將各個大大小小的局域網(wǎng)、廣域網(wǎng)通過路由器連接起來，組成的網(wǎng)絡(luò)。VLAN技術(shù)將連接局域網(wǎng)的交換機的端口設(shè)置成不同的虛擬子網(wǎng)（ VLAN），各 VLAN間的數(shù)據(jù)（幀）并不廣播。 TCP/IP協(xié)議的核心協(xié)議是 IP（ Inter IPSEC協(xié)議定義了在 IP數(shù)據(jù)包中增加字段來保證 IP包的完整性，私有性和真實性，及如何加密數(shù)據(jù)包。 當(dāng)然這種簡單的網(wǎng)絡(luò)欺騙較易識別和防范。? DNS是 Inter上大多數(shù)服務(wù)的基礎(chǔ)。? 任何 DNS服務(wù)器都不可能存儲整個 Inter的域名－ IP地址對應(yīng)關(guān)系。 66第 16講 信息安全IP地址欺騙? 所謂 IP地址欺騙，就是偽造身份與他人聯(lián)系。 C可以通過大量發(fā)包給 B，使 B不能接收到 A傳來的包，也可以通過改變 A與 B間的路由器中的路由，使 A發(fā)向 B的 IP包直接傳給 C。67第 16講 而我們的 TCP、 UDP或ICMP等上層協(xié)議卻使用 IP地址。但也正是因為 ARP表的動態(tài)變化造成了 ARP的安全漏洞。Message這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。 host(源主機）router2router1圖４ .5黑客72第 16講 信息安全基于 ICMP的重定向? 重定向稍微復(fù)雜一點，我們先看什么是 ICMP重定向。? 對于 ICMP的攻擊簡單的辦法是禁止 ICMP重定向報文，如果我們的系統(tǒng)是 WINDOWS，則只需要通過修改注冊表禁止 “響應(yīng) ICMP的重定向報文 ”，就可使網(wǎng)絡(luò)更為安全 。73第 16講 信息安全（ 3） IP協(xié)議的安全性? IP協(xié)議是 TCP/IP協(xié)議的核心， IP協(xié)議是一種不可靠的無連接的傳輸方式。74第 16講 信息安全IP包離開源后，就靠其目標(biāo) IP地址，在網(wǎng)絡(luò)中的路由器間轉(zhuǎn)發(fā)，直到到達目標(biāo)地址。包括網(wǎng)絡(luò)認(rèn)證協(xié)議 Payload（ ESP）、密鑰管理協(xié)議 Inter IPSec支持傳輸模式和隧道模式。? IPSec策略的實施有兩種基本方法，一是在本地計算機上指定策略，二是使用 Windows 2023 組策略 對象，由其來實施策略。handshake）建立兩臺主機間的連接 服務(wù)器發(fā)回包含服務(wù)器的初始序號的 SYN報文段（報文段 2）作為應(yīng)答。– 發(fā)送第一個 SYN的一端將執(zhí)行主動打開（ active77第 16講 信息安全TCP協(xié)議的三次握手機制圖78第 16講 信息安全TCP協(xié)議的三次握手機制? 當(dāng)一端為建立連接而發(fā)送它的 SYN時，它為連接選擇一個初始序號。79第 16講 信息安全從以上過程可以看出，兩臺主機在利用 TCP建立連接時，實際上是使用了 32位的序列號建立和確立聯(lián)系。80第 16講 信息安全TCP的其它安全問題? TCP協(xié)議是傳輸層協(xié)議，現(xiàn)在使用的安全套接層（ Security81第 16講 信息安全（ 5） tel的安全性? Tel服務(wù)雖然也屬于客戶機 /服務(wù)器模型的服務(wù)，但它更大的意義在于實現(xiàn)了基于Tel協(xié)議的遠(yuǎn)程登錄（遠(yuǎn)程交互式計算）， 那么什么是遠(yuǎn)程登陸呢？– 在分時系統(tǒng)中允許多個用戶同時使用一臺計算機， 為了保證系統(tǒng)的安全和記帳方便，系統(tǒng)要求每個用戶有單獨的帳號作為登錄標(biāo)識，系統(tǒng)還為每個用戶指定了一個口令。它只負(fù)責(zé)把用戶輸入的每個字符每條命令傳遞給主機，再將主機輸出的每個信息回顯在屏幕上。– 只是驗證連接者的帳戶和密碼。? 黑客利用 tel可以得到許多有用的信息，通過攻擊下面所列端口中的任意一個都可以識別操作系統(tǒng)的類型：? 端口 21； FTP 同時 FTP規(guī)范中對使用 TCP的端口號沒有任何限制，而從0－ 1023的 TCP端口號保留用于眾所周知的網(wǎng)絡(luò)服務(wù)。 由于是命令第三方去連接服務(wù)，而不是直接連接，這樣不僅使追蹤攻擊者變得困難，還能避開基于網(wǎng)絡(luò)地址的訪問限制。85第 16講 信息安全（ 6） HTTP協(xié)議 (Hypertext　 Transfer　Protocol，超文本傳輸協(xié)議 )86第 16講 信息安全HTTP協(xié)議87第 16講 信息安全88第 16講 信息安全HTTP協(xié)議的安全性89第 16講 信息安全一個保密的 TCP通道，而 HTTP即可使用該安全通道。 SHTTP協(xié)議處于應(yīng)用層，它是 HTTP協(xié)議的擴展，它僅適用于 HTTP聯(lián)結(jié)上， 選項協(xié)商用來確定客戶機和服務(wù)器在安全事務(wù)處理模式、加密算法（如用于簽名的非對稱算法 DES91第 16講 信息安全SHTTPSHTTP時，敏感的數(shù)據(jù)信息不會在網(wǎng)絡(luò)上明文傳輸。– 在 WINDOWS操作系統(tǒng)中預(yù)防 ICMP協(xié)議的兩個安全漏洞。? 習(xí)題四 ? 計算機網(wǎng)絡(luò)有哪些數(shù)據(jù)及其各自安全性解決方式。實訓(xùn)? SHTTP是通過在 SHTTP所交換包的特殊頭標(biāo)志來建立安全通訊的。RC2和 SHTTPHTTP黑客就可利用這一點進行強力攻擊，有兩種表現(xiàn)：建立一個 TCP連接進行強力攻擊，建立多個 TCP連接進行強力攻擊。? 客戶發(fā)送一個包含被攻擊的機器和服務(wù)的網(wǎng)絡(luò)地址和端口號的FTP“PORT”命令。早期 FTP并沒有涉及安全問題?？梢詭椭肭终叽_切地出判斷他該去入侵哪一臺機器。傳送的數(shù)據(jù)沒有辦法知道是否完整的，而不是被篡改過的數(shù)據(jù)。83第 16講 信息安全Tel的缺陷? Tel本身沒有很好的保護機制，所以要借助其他外部的保護。遠(yuǎn)程登陸是指用戶使用 tel的客戶端程序，使自己的計算機暫時成為遠(yuǎn)程主機的一個仿真終端的過程（當(dāng)然遠(yuǎn)程主機一定已提供了 tel的服務(wù)程序）。Layer， SSL）協(xié)議就是工作在傳輸層之上，保護傳輸層安全的。所以我們只要將 IP層的數(shù)據(jù)包偽裝成合法的包就可以與服務(wù)器建立連接了。ISN可看作是一個 32比特的計數(shù)器，每 4ms加 1。接收這個 SYN并發(fā)回下一個 SYN的另一端執(zhí)行被動打開（ passive一個 SYN將占用一個序號。這個 SYN段為報文段 1。76第 16講 信息安全（ 4） TCP協(xié)議的安全性? 大多數(shù)的應(yīng)用程序都以 TCP作為它們的傳輸層協(xié)議， TCP的安全性問題會給網(wǎng)絡(luò)帶來嚴(yán)重的后果。? 隧道模式提供對所有 IP包的保護，即將整個 IP包（含包頭和數(shù)據(jù)）封裝，作為新的 IP包的載荷進行傳送。ExchangeHeader（AH）、封裝安全載荷協(xié)議 Encapsulating這可以說是 TCP/IP協(xié)議的最大安全問題。 IP包中有源 IP地址，目標(biāo) IP地址，類型和數(shù)據(jù)，數(shù)據(jù)中實際上是其上層數(shù)據(jù)報文 ，如 TCP報文、 UDP報文、 ICMP報文。– 在右側(cè)窗口中將子鍵 “EnableICMPRedirect”(REG_DWORD型 )的值修改為 0（ 0為禁止 ICMP的重定向報文）。 ICMP常見的安全問題有兩種，一種是拒絕服務(wù)攻擊，一種是重定向。 類似的還有路由跟蹤命令 “Tracert”命令。它 是 TCP/IP協(xié)議簇的一個子協(xié)議，用于 IP主機、路由器之間傳遞控制消息。69第 16講 信息安全（ 2） ICMP協(xié)議的安全性? ICMP是 “Inter ARP表是動態(tài)的表，為什么要設(shè)置成動態(tài)的呢，因為以太網(wǎng)本身在不斷地變化，如一臺主機可能變換了 IP地址，或更換了網(wǎng)卡。另外在內(nèi)外網(wǎng)間設(shè)置防火墻，并正確配置策略，如，對從外進入的源地址卻為內(nèi)部地址的包應(yīng)全部過濾。 C是黑客， C可以輕易將自己發(fā)給 A的 IP包的源地址改為 B的 IP地址，這樣 A就會將 C誤認(rèn)為是 B。 ? 對付 DNS欺騙最根本的解決辦法是加密所有對外的數(shù)據(jù)流，對服務(wù)器來說就是盡量使用