【正文】 一個(gè)名稱叫公鑰加密。驗(yàn)證簽名解密 運(yùn)算DA BA的私鑰 PKB A? 數(shù)據(jù)通信不安全的主要因素lTCP/IP協(xié)議存在安全隱患。Inter網(wǎng)絡(luò)實(shí)際是網(wǎng)間網(wǎng)，就是將各個(gè)大大小小的局域網(wǎng)、廣域網(wǎng)通過路由器連接起來，組成的網(wǎng)絡(luò)。VLAN技術(shù)將連接局域網(wǎng)的交換機(jī)的端口設(shè)置成不同的虛擬子網(wǎng)（ VLAN），各 VLAN間的數(shù)據(jù)（幀）并不廣播。 TCP/IP協(xié)議的核心協(xié)議是 IP（ Inter IPSEC協(xié)議定義了在 IP數(shù)據(jù)包中增加字段來保證 IP包的完整性，私有性和真實(shí)性，及如何加密數(shù)據(jù)包。 當(dāng)然這種簡(jiǎn)單的網(wǎng)絡(luò)欺騙較易識(shí)別和防范。? DNS是 Inter上大多數(shù)服務(wù)的基礎(chǔ)。? 任何 DNS服務(wù)器都不可能存儲(chǔ)整個(gè) Inter的域名－ IP地址對(duì)應(yīng)關(guān)系。 66第 16講 信息安全I(xiàn)P地址欺騙? 所謂 IP地址欺騙，就是偽造身份與他人聯(lián)系。 C可以通過大量發(fā)包給 B，使 B不能接收到 A傳來的包，也可以通過改變 A與 B間的路由器中的路由，使 A發(fā)向 B的 IP包直接傳給 C。67第 16講 而我們的 TCP、 UDP或ICMP等上層協(xié)議卻使用 IP地址。但也正是因?yàn)?ARP表的動(dòng)態(tài)變化造成了 ARP的安全漏洞。Message這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。 host(源主機(jī)）router2router1圖４ .5黑客72第 16講 信息安全基于 ICMP的重定向? 重定向稍微復(fù)雜一點(diǎn)，我們先看什么是 ICMP重定向。? 對(duì)于 ICMP的攻擊簡(jiǎn)單的辦法是禁止 ICMP重定向報(bào)文，如果我們的系統(tǒng)是 WINDOWS，則只需要通過修改注冊(cè)表禁止 “響應(yīng) ICMP的重定向報(bào)文 ”，就可使網(wǎng)絡(luò)更為安全 。73第 16講 信息安全（ 3） IP協(xié)議的安全性? IP協(xié)議是 TCP/IP協(xié)議的核心， IP協(xié)議是一種不可靠的無連接的傳輸方式。74第 16講 信息安全I(xiàn)P包離開源后，就靠其目標(biāo) IP地址，在網(wǎng)絡(luò)中的路由器間轉(zhuǎn)發(fā)，直到到達(dá)目標(biāo)地址。包括網(wǎng)絡(luò)認(rèn)證協(xié)議 Payload（ ESP）、密鑰管理協(xié)議 Inter IPSec支持傳輸模式和隧道模式。? IPSec策略的實(shí)施有兩種基本方法，一是在本地計(jì)算機(jī)上指定策略，二是使用 Windows 2023 組策略 對(duì)象，由其來實(shí)施策略。handshake）建立兩臺(tái)主機(jī)間的連接 服務(wù)器發(fā)回包含服務(wù)器的初始序號(hào)的 SYN報(bào)文段（報(bào)文段 2）作為應(yīng)答。– 發(fā)送第一個(gè) SYN的一端將執(zhí)行主動(dòng)打開（ active77第 16講 信息安全TCP協(xié)議的三次握手機(jī)制圖78第 16講 信息安全TCP協(xié)議的三次握手機(jī)制? 當(dāng)一端為建立連接而發(fā)送它的 SYN時(shí)，它為連接選擇一個(gè)初始序號(hào)。79第 16講 信息安全從以上過程可以看出，兩臺(tái)主機(jī)在利用 TCP建立連接時(shí)，實(shí)際上是使用了 32位的序列號(hào)建立和確立聯(lián)系。80第 16講 信息安全TCP的其它安全問題? TCP協(xié)議是傳輸層協(xié)議，現(xiàn)在使用的安全套接層（ Security81第 16講 信息安全（ 5） tel的安全性? Tel服務(wù)雖然也屬于客戶機(jī) /服務(wù)器模型的服務(wù)，但它更大的意義在于實(shí)現(xiàn)了基于Tel協(xié)議的遠(yuǎn)程登錄（遠(yuǎn)程交互式計(jì)算）， 那么什么是遠(yuǎn)程登陸呢？– 在分時(shí)系統(tǒng)中允許多個(gè)用戶同時(shí)使用一臺(tái)計(jì)算機(jī)， 為了保證系統(tǒng)的安全和記帳方便，系統(tǒng)要求每個(gè)用戶有單獨(dú)的帳號(hào)作為登錄標(biāo)識(shí)，系統(tǒng)還為每個(gè)用戶指定了一個(gè)口令。它只負(fù)責(zé)把用戶輸入的每個(gè)字符每條命令傳遞給主機(jī)，再將主機(jī)輸出的每個(gè)信息回顯在屏幕上。– 只是驗(yàn)證連接者的帳戶和密碼。? 黑客利用 tel可以得到許多有用的信息，通過攻擊下面所列端口中的任意一個(gè)都可以識(shí)別操作系統(tǒng)的類型：? 端口 21； FTP 同時(shí) FTP規(guī)范中對(duì)使用 TCP的端口號(hào)沒有任何限制，而從0－ 1023的 TCP端口號(hào)保留用于眾所周知的網(wǎng)絡(luò)服務(wù)。 由于是命令第三方去連接服務(wù)，而不是直接連接，這樣不僅使追蹤攻擊者變得困難，還能避開基于網(wǎng)絡(luò)地址的訪問限制。85第 16講 信息安全（ 6） HTTP協(xié)議 (Hypertext　 Transfer　Protocol，超文本傳輸協(xié)議 )86第 16講 信息安全HTTP協(xié)議87第 16講 信息安全88第 16講 信息安全HTTP協(xié)議的安全性89第 16講 信息安全一個(gè)保密的 TCP通道，而 HTTP即可使用該安全通道。 SHTTP協(xié)議處于應(yīng)用層，它是 HTTP協(xié)議的擴(kuò)展，它僅適用于 HTTP聯(lián)結(jié)上， 選項(xiàng)協(xié)商用來確定客戶機(jī)和服務(wù)器在安全事務(wù)處理模式、加密算法（如用于簽名的非對(duì)稱算法 DES91第 16講 信息安全SHTTPSHTTP時(shí)，敏感的數(shù)據(jù)信息不會(huì)在網(wǎng)絡(luò)上明文傳輸。– 在 WINDOWS操作系統(tǒng)中預(yù)防 ICMP協(xié)議的兩個(gè)安全漏洞。? 習(xí)題四 ? 計(jì)算機(jī)網(wǎng)絡(luò)有哪些數(shù)據(jù)及其各自安全性解決方式。實(shí)訓(xùn)? SHTTP是通過在 SHTTP所交換包的特殊頭標(biāo)志來建立安全通訊的。RC2和 SHTTPHTTP黑客就可利用這一點(diǎn)進(jìn)行強(qiáng)力攻擊，有兩種表現(xiàn)：建立一個(gè) TCP連接進(jìn)行強(qiáng)力攻擊，建立多個(gè) TCP連接進(jìn)行強(qiáng)力攻擊。? 客戶發(fā)送一個(gè)包含被攻擊的機(jī)器和服務(wù)的網(wǎng)絡(luò)地址和端口號(hào)的FTP“PORT”命令。早期 FTP并沒有涉及安全問題。可以幫助入侵者確切地出判斷他該去入侵哪一臺(tái)機(jī)器。傳送的數(shù)據(jù)沒有辦法知道是否完整的，而不是被篡改過的數(shù)據(jù)。83第 16講 信息安全Tel的缺陷? Tel本身沒有很好的保護(hù)機(jī)制，所以要借助其他外部的保護(hù)。遠(yuǎn)程登陸是指用戶使用 tel的客戶端程序，使自己的計(jì)算機(jī)暫時(shí)成為遠(yuǎn)程主機(jī)的一個(gè)仿真終端的過程（當(dāng)然遠(yuǎn)程主機(jī)一定已提供了 tel的服務(wù)程序）。Layer， SSL）協(xié)議就是工作在傳輸層之上，保護(hù)傳輸層安全的。所以我們只要將 IP層的數(shù)據(jù)包偽裝成合法的包就可以與服務(wù)器建立連接了。ISN可看作是一個(gè) 32比特的計(jì)數(shù)器，每 4ms加 1。接收這個(gè) SYN并發(fā)回下一個(gè) SYN的另一端執(zhí)行被動(dòng)打開（ passive一個(gè) SYN將占用一個(gè)序號(hào)。這個(gè) SYN段為報(bào)文段 1。76第 16講 信息安全（ 4） TCP協(xié)議的安全性? 大多數(shù)的應(yīng)用程序都以 TCP作為它們的傳輸層協(xié)議， TCP的安全性問題會(huì)給網(wǎng)絡(luò)帶來嚴(yán)重的后果。? 隧道模式提供對(duì)所有 IP包的保護(hù)，即將整個(gè) IP包（含包頭和數(shù)據(jù)）封裝，作為新的 IP包的載荷進(jìn)行傳送。ExchangeHeader（AH）、封裝安全載荷協(xié)議 Encapsulating這可以說是 TCP/IP協(xié)議的最大安全問題。 IP包中有源 IP地址，目標(biāo) IP地址，類型和數(shù)據(jù)，數(shù)據(jù)中實(shí)際上是其上層數(shù)據(jù)報(bào)文 ，如 TCP報(bào)文、 UDP報(bào)文、 ICMP報(bào)文。– 在右側(cè)窗口中將子鍵 “EnableICMPRedirect”(REG_DWORD型 )的值修改為 0（ 0為禁止 ICMP的重定向報(bào)文）。 ICMP常見的安全問題有兩種，一種是拒絕服務(wù)攻擊，一種是重定向。 類似的還有路由跟蹤命令 “Tracert”命令。它 是 TCP/IP協(xié)議簇的一個(gè)子協(xié)議，用于 IP主機(jī)、路由器之間傳遞控制消息。69第 16講 信息安全（ 2） ICMP協(xié)議的安全性? ICMP是 “Inter ARP表是動(dòng)態(tài)的表，為什么要設(shè)置成動(dòng)態(tài)的呢，因?yàn)橐蕴W(wǎng)本身在不斷地變化，如一臺(tái)主機(jī)可能變換了 IP地址，或更換了網(wǎng)卡。另外在內(nèi)外網(wǎng)間設(shè)置防火墻，并正確配置策略，如，對(duì)從外進(jìn)入的源地址卻為內(nèi)部地址的包應(yīng)全部過濾。 C是黑客， C可以輕易將自己發(fā)給 A的 IP包的源地址改為 B的 IP地址，這樣 A就會(huì)將 C誤認(rèn)為是 B。 ? 對(duì)付 DNS欺騙最根本的解決辦法是加密所有對(duì)外的數(shù)據(jù)流，對(duì)服務(wù)器來說就是盡量使用