【正文】 ? 習(xí)題四 ? 計(jì)算機(jī)網(wǎng)絡(luò)有哪些數(shù)據(jù)及其各自安全性解決方式。– 在 WINDOWS操作系統(tǒng)中預(yù)防 ICMP協(xié)議的兩個(gè)安全漏洞。實(shí)訓(xùn)? SHTTP時(shí)，敏感的數(shù)據(jù)信息不會(huì)在網(wǎng)絡(luò)上明文傳輸。 SHTTP是通過(guò)在 SHTTP所交換包的特殊頭標(biāo)志來(lái)建立安全通訊的。91第 16講 信息安全SHTTPRC2DES和 選項(xiàng)協(xié)商用來(lái)確定客戶機(jī)和服務(wù)器在安全事務(wù)處理模式、加密算法（如用于簽名的非對(duì)稱算法 SHTTP SHTTP協(xié)議處于應(yīng)用層，它是 HTTP協(xié)議的擴(kuò)展，它僅適用于 HTTP聯(lián)結(jié)上， HTTP85第 16講 信息安全（ 6） HTTP協(xié)議 (Hypertext　 Transfer　Protocol，超文本傳輸協(xié)議 )86第 16講 信息安全HTTP協(xié)議87第 16講 信息安全88第 16講 信息安全HTTP協(xié)議的安全性89第 16講 信息安全一個(gè)保密的 TCP通道，而 HTTP即可使用該安全通道。黑客就可利用這一點(diǎn)進(jìn)行強(qiáng)力攻擊，有兩種表現(xiàn)：建立一個(gè) TCP連接進(jìn)行強(qiáng)力攻擊，建立多個(gè) TCP連接進(jìn)行強(qiáng)力攻擊。 由于是命令第三方去連接服務(wù)，而不是直接連接，這樣不僅使追蹤攻擊者變得困難，還能避開(kāi)基于網(wǎng)絡(luò)地址的訪問(wèn)限制。? 客戶發(fā)送一個(gè)包含被攻擊的機(jī)器和服務(wù)的網(wǎng)絡(luò)地址和端口號(hào)的FTP“PORT”命令。同時(shí) FTP規(guī)范中對(duì)使用 TCP的端口號(hào)沒(méi)有任何限制，而從0－ 1023的 TCP端口號(hào)保留用于眾所周知的網(wǎng)絡(luò)服務(wù)。早期 FTP并沒(méi)有涉及安全問(wèn)題。 可以幫助入侵者確切地出判斷他該去入侵哪一臺(tái)機(jī)器。? 黑客利用 tel可以得到許多有用的信息，通過(guò)攻擊下面所列端口中的任意一個(gè)都可以識(shí)別操作系統(tǒng)的類型：? 端口 21； FTP傳送的數(shù)據(jù)沒(méi)有辦法知道是否完整的，而不是被篡改過(guò)的數(shù)據(jù)。– 只是驗(yàn)證連接者的帳戶和密碼。83第 16講 信息安全Tel的缺陷? Tel本身沒(méi)有很好的保護(hù)機(jī)制，所以要借助其他外部的保護(hù)。它只負(fù)責(zé)把用戶輸入的每個(gè)字符每條命令傳遞給主機(jī)，再將主機(jī)輸出的每個(gè)信息回顯在屏幕上。遠(yuǎn)程登陸是指用戶使用 tel的客戶端程序，使自己的計(jì)算機(jī)暫時(shí)成為遠(yuǎn)程主機(jī)的一個(gè)仿真終端的過(guò)程（當(dāng)然遠(yuǎn)程主機(jī)一定已提供了 tel的服務(wù)程序）。81第 16講 信息安全（ 5） tel的安全性? Tel服務(wù)雖然也屬于客戶機(jī) /服務(wù)器模型的服務(wù)，但它更大的意義在于實(shí)現(xiàn)了基于Tel協(xié)議的遠(yuǎn)程登錄（遠(yuǎn)程交互式計(jì)算）， 那么什么是遠(yuǎn)程登陸呢？– 在分時(shí)系統(tǒng)中允許多個(gè)用戶同時(shí)使用一臺(tái)計(jì)算機(jī)， 為了保證系統(tǒng)的安全和記帳方便，系統(tǒng)要求每個(gè)用戶有單獨(dú)的帳號(hào)作為登錄標(biāo)識(shí)，系統(tǒng)還為每個(gè)用戶指定了一個(gè)口令。Layer， SSL）協(xié)議就是工作在傳輸層之上，保護(hù)傳輸層安全的。80第 16講 信息安全TCP的其它安全問(wèn)題? TCP協(xié)議是傳輸層協(xié)議，現(xiàn)在使用的安全套接層（ Security所以我們只要將 IP層的數(shù)據(jù)包偽裝成合法的包就可以與服務(wù)器建立連接了。79第 16講 信息安全從以上過(guò)程可以看出，兩臺(tái)主機(jī)在利用 TCP建立連接時(shí)，實(shí)際上是使用了 32位的序列號(hào)建立和確立聯(lián)系。ISN可看作是一個(gè) 32比特的計(jì)數(shù)器，每 4ms加 1。77第 16講 信息安全TCP協(xié)議的三次握手機(jī)制圖78第 16講 信息安全TCP協(xié)議的三次握手機(jī)制? 當(dāng)一端為建立連接而發(fā)送它的 SYN時(shí)，它為連接選擇一個(gè)初始序號(hào)。接收這個(gè) SYN并發(fā)回下一個(gè) SYN的另一端執(zhí)行被動(dòng)打開(kāi)（ passive– 發(fā)送第一個(gè) SYN的一端將執(zhí)行主動(dòng)打開(kāi)（ active一個(gè) SYN將占用一個(gè)序號(hào)。服務(wù)器發(fā)回包含服務(wù)器的初始序號(hào)的 SYN報(bào)文段（報(bào)文段 2）作為應(yīng)答。這個(gè) SYN段為報(bào)文段 1。handshake）建立兩臺(tái)主機(jī)間的連接 76第 16講 信息安全（ 4） TCP協(xié)議的安全性? 大多數(shù)的應(yīng)用程序都以 TCP作為它們的傳輸層協(xié)議， TCP的安全性問(wèn)題會(huì)給網(wǎng)絡(luò)帶來(lái)嚴(yán)重的后果。? IPSec策略的實(shí)施有兩種基本方法，一是在本地計(jì)算機(jī)上指定策略，二是使用 Windows 2023 組策略 對(duì)象，由其來(lái)實(shí)施策略。? 隧道模式提供對(duì)所有 IP包的保護(hù)，即將整個(gè) IP包（含包頭和數(shù)據(jù)）封裝，作為新的 IP包的載荷進(jìn)行傳送。 IPSec支持傳輸模式和隧道模式。ExchangePayload（ ESP）、密鑰管理協(xié)議 InterHeader（AH）、封裝安全載荷協(xié)議 Encapsulating包括網(wǎng)絡(luò)認(rèn)證協(xié)議 這可以說(shuō)是 TCP/IP協(xié)議的最大安全問(wèn)題。74第 16講 信息安全I(xiàn)P包離開(kāi)源后，就靠其目標(biāo) IP地址，在網(wǎng)絡(luò)中的路由器間轉(zhuǎn)發(fā)，直到到達(dá)目標(biāo)地址。 IP包中有源 IP地址，目標(biāo) IP地址，類型和數(shù)據(jù)，數(shù)據(jù)中實(shí)際上是其上層數(shù)據(jù)報(bào)文 ，如 TCP報(bào)文、 UDP報(bào)文、 ICMP報(bào)文。73第 16講 信息安全（ 3） IP協(xié)議的安全性? IP協(xié)議是 TCP/IP協(xié)議的核心， IP協(xié)議是一種不可靠的無(wú)連接的傳輸方式。– 在右側(cè)窗口中將子鍵 “EnableICMPRedirect”(REG_DWORD型 )的值修改為 0（ 0為禁止 ICMP的重定向報(bào)文）。? 對(duì)于 ICMP的攻擊簡(jiǎn)單的辦法是禁止 ICMP重定向報(bào)文，如果我們的系統(tǒng)是 WINDOWS，則只需要通過(guò)修改注冊(cè)表禁止 “響應(yīng) ICMP的重定向報(bào)文 ”，就可使網(wǎng)絡(luò)更為安全 。 host(源主機(jī)）router2router1圖４ .5黑客72第 16講 信息安全基于 ICMP的重定向? 重定向稍微復(fù)雜一點(diǎn)，我們先看什么是 ICMP重定向。ICMP常見(jiàn)的安全問(wèn)題有兩種，一種是拒絕服務(wù)攻擊，一種是重定向。 類似的還有路由跟蹤命令 “Tracert”命令。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。它 是 TCP/IP協(xié)議簇的一個(gè)子協(xié)議，用于 IP主機(jī)、路由器之間傳遞控制消息。Message69第 16講 信息安全（ 2） ICMP協(xié)議的安全性? ICMP是 “Inter但也正是因?yàn)?ARP表的動(dòng)態(tài)變化造成了 ARP的安全漏洞。 ARP表是動(dòng)態(tài)的表，為什么要設(shè)置成動(dòng)態(tài)的呢，因?yàn)橐蕴W(wǎng)本身在不斷地變化，如一臺(tái)主機(jī)可能變換了 IP地址，或更換了網(wǎng)卡。而我們的 TCP、 UDP或ICMP等上層協(xié)議卻使用 IP地址。67第 16講 另外在內(nèi)外網(wǎng)間設(shè)置防火墻，并正確配置策略，如，對(duì)從外進(jìn)入的源地址卻為內(nèi)部地址的包應(yīng)全部過(guò)濾。 C可以通過(guò)大量發(fā)包給 B，使 B不能接收到 A傳來(lái)的包，也可以通過(guò)改變 A與 B間的路由器中的路由，使 A發(fā)向 B的 IP包直接傳給 C。 C是黑客， C可以輕易將自己發(fā)給 A的 IP包的源地址改為 B的 IP地址，這樣 A就會(huì)將 C誤認(rèn)為是 B。 66第 16講 信息安全I(xiàn)P地址欺騙? 所謂 IP地址欺騙，就是偽造身份與他人聯(lián)系。 ? 對(duì)付 DNS欺騙最根本的解決辦法是加密所有對(duì)外的數(shù)據(jù)流，對(duì)服務(wù)器來(lái)說(shuō)就是盡量使用 SSH之類的有加密支持的協(xié)議。? 任何 DNS服務(wù)器都不可能存儲(chǔ)整個(gè) Inter的域名－ IP地址對(duì)應(yīng)關(guān)系。 DNS本身也是一種服務(wù)器，它所提供的服務(wù)就是將域名轉(zhuǎn)換為 IP地址。? DNS是 Inter上大多數(shù)服務(wù)的基礎(chǔ)。 當(dāng)然這種簡(jiǎn)單的網(wǎng)絡(luò)欺騙較易識(shí)別和防范。網(wǎng)絡(luò)欺騙的方式多種多樣。 IPSEC協(xié)議定義了在 IP數(shù)據(jù)包中增加字段來(lái)保證 IP包的完整性，私有性和真實(shí)性，及如何加密數(shù)據(jù)包。 TCP/IP協(xié)議的核心協(xié)議是 IP（ Inter這就大大降低了被竊聽(tīng)的可能性。VLAN技術(shù)將連接局域網(wǎng)的交換機(jī)的端口設(shè)置成不同的虛擬子網(wǎng)（ VLAN），各 VLAN間的數(shù)據(jù)（幀）并不廣播。– 解決局域網(wǎng)的竊聽(tīng)問(wèn)題。Inter網(wǎng)絡(luò)實(shí)際是網(wǎng)間網(wǎng)，就是將各個(gè)大大小小的局域網(wǎng)