【正文】 ? 習(xí)題四 ? 計(jì)算機(jī)網(wǎng)絡(luò)有哪些數(shù)據(jù)及其各自安全性解決方式。– 在 WINDOWS操作系統(tǒng)中預(yù)防 ICMP協(xié)議的兩個安全漏洞。實(shí)訓(xùn)? SHTTP時，敏感的數(shù)據(jù)信息不會在網(wǎng)絡(luò)上明文傳輸。 SHTTP是通過在 SHTTP所交換包的特殊頭標(biāo)志來建立安全通訊的。91第 16講 信息安全SHTTPRC2DES和 選項(xiàng)協(xié)商用來確定客戶機(jī)和服務(wù)器在安全事務(wù)處理模式、加密算法（如用于簽名的非對稱算法 SHTTP SHTTP協(xié)議處于應(yīng)用層，它是 HTTP協(xié)議的擴(kuò)展，它僅適用于 HTTP聯(lián)結(jié)上， HTTP85第 16講 信息安全（ 6） HTTP協(xié)議 (Hypertext　 Transfer　Protocol，超文本傳輸協(xié)議 )86第 16講 信息安全HTTP協(xié)議87第 16講 信息安全88第 16講 信息安全HTTP協(xié)議的安全性89第 16講 信息安全一個保密的 TCP通道，而 HTTP即可使用該安全通道。黑客就可利用這一點(diǎn)進(jìn)行強(qiáng)力攻擊，有兩種表現(xiàn)：建立一個 TCP連接進(jìn)行強(qiáng)力攻擊，建立多個 TCP連接進(jìn)行強(qiáng)力攻擊。 由于是命令第三方去連接服務(wù)，而不是直接連接，這樣不僅使追蹤攻擊者變得困難，還能避開基于網(wǎng)絡(luò)地址的訪問限制。? 客戶發(fā)送一個包含被攻擊的機(jī)器和服務(wù)的網(wǎng)絡(luò)地址和端口號的FTP“PORT”命令。同時 FTP規(guī)范中對使用 TCP的端口號沒有任何限制，而從0－ 1023的 TCP端口號保留用于眾所周知的網(wǎng)絡(luò)服務(wù)。早期 FTP并沒有涉及安全問題。 可以幫助入侵者確切地出判斷他該去入侵哪一臺機(jī)器。? 黑客利用 tel可以得到許多有用的信息，通過攻擊下面所列端口中的任意一個都可以識別操作系統(tǒng)的類型：? 端口 21； FTP傳送的數(shù)據(jù)沒有辦法知道是否完整的，而不是被篡改過的數(shù)據(jù)。– 只是驗(yàn)證連接者的帳戶和密碼。83第 16講 信息安全Tel的缺陷? Tel本身沒有很好的保護(hù)機(jī)制，所以要借助其他外部的保護(hù)。它只負(fù)責(zé)把用戶輸入的每個字符每條命令傳遞給主機(jī)，再將主機(jī)輸出的每個信息回顯在屏幕上。遠(yuǎn)程登陸是指用戶使用 tel的客戶端程序，使自己的計(jì)算機(jī)暫時成為遠(yuǎn)程主機(jī)的一個仿真終端的過程（當(dāng)然遠(yuǎn)程主機(jī)一定已提供了 tel的服務(wù)程序）。81第 16講 信息安全（ 5） tel的安全性? Tel服務(wù)雖然也屬于客戶機(jī) /服務(wù)器模型的服務(wù)，但它更大的意義在于實(shí)現(xiàn)了基于Tel協(xié)議的遠(yuǎn)程登錄（遠(yuǎn)程交互式計(jì)算）， 那么什么是遠(yuǎn)程登陸呢？– 在分時系統(tǒng)中允許多個用戶同時使用一臺計(jì)算機(jī)， 為了保證系統(tǒng)的安全和記帳方便，系統(tǒng)要求每個用戶有單獨(dú)的帳號作為登錄標(biāo)識，系統(tǒng)還為每個用戶指定了一個口令。Layer， SSL）協(xié)議就是工作在傳輸層之上，保護(hù)傳輸層安全的。80第 16講 信息安全TCP的其它安全問題? TCP協(xié)議是傳輸層協(xié)議，現(xiàn)在使用的安全套接層（ Security所以我們只要將 IP層的數(shù)據(jù)包偽裝成合法的包就可以與服務(wù)器建立連接了。79第 16講 信息安全從以上過程可以看出，兩臺主機(jī)在利用 TCP建立連接時，實(shí)際上是使用了 32位的序列號建立和確立聯(lián)系。ISN可看作是一個 32比特的計(jì)數(shù)器，每 4ms加 1。77第 16講 信息安全TCP協(xié)議的三次握手機(jī)制圖78第 16講 信息安全TCP協(xié)議的三次握手機(jī)制? 當(dāng)一端為建立連接而發(fā)送它的 SYN時，它為連接選擇一個初始序號。接收這個 SYN并發(fā)回下一個 SYN的另一端執(zhí)行被動打開（ passive– 發(fā)送第一個 SYN的一端將執(zhí)行主動打開（ active一個 SYN將占用一個序號。服務(wù)器發(fā)回包含服務(wù)器的初始序號的 SYN報(bào)文段（報(bào)文段 2）作為應(yīng)答。這個 SYN段為報(bào)文段 1。handshake）建立兩臺主機(jī)間的連接 76第 16講 信息安全（ 4） TCP協(xié)議的安全性? 大多數(shù)的應(yīng)用程序都以 TCP作為它們的傳輸層協(xié)議， TCP的安全性問題會給網(wǎng)絡(luò)帶來嚴(yán)重的后果。? IPSec策略的實(shí)施有兩種基本方法，一是在本地計(jì)算機(jī)上指定策略，二是使用 Windows 2023 組策略 對象，由其來實(shí)施策略。? 隧道模式提供對所有 IP包的保護(hù)，即將整個 IP包（含包頭和數(shù)據(jù)）封裝，作為新的 IP包的載荷進(jìn)行傳送。 IPSec支持傳輸模式和隧道模式。ExchangePayload（ ESP）、密鑰管理協(xié)議 InterHeader（AH）、封裝安全載荷協(xié)議 Encapsulating包括網(wǎng)絡(luò)認(rèn)證協(xié)議 這可以說是 TCP/IP協(xié)議的最大安全問題。74第 16講 信息安全I(xiàn)P包離開源后，就靠其目標(biāo) IP地址，在網(wǎng)絡(luò)中的路由器間轉(zhuǎn)發(fā)，直到到達(dá)目標(biāo)地址。 IP包中有源 IP地址，目標(biāo) IP地址，類型和數(shù)據(jù)，數(shù)據(jù)中實(shí)際上是其上層數(shù)據(jù)報(bào)文 ，如 TCP報(bào)文、 UDP報(bào)文、 ICMP報(bào)文。73第 16講 信息安全（ 3） IP協(xié)議的安全性? IP協(xié)議是 TCP/IP協(xié)議的核心， IP協(xié)議是一種不可靠的無連接的傳輸方式。– 在右側(cè)窗口中將子鍵 “EnableICMPRedirect”(REG_DWORD型 )的值修改為 0（ 0為禁止 ICMP的重定向報(bào)文）。? 對于 ICMP的攻擊簡單的辦法是禁止 ICMP重定向報(bào)文，如果我們的系統(tǒng)是 WINDOWS，則只需要通過修改注冊表禁止 “響應(yīng) ICMP的重定向報(bào)文 ”，就可使網(wǎng)絡(luò)更為安全 。 host(源主機(jī)）router2router1圖４ .5黑客72第 16講 信息安全基于 ICMP的重定向? 重定向稍微復(fù)雜一點(diǎn)，我們先看什么是 ICMP重定向。ICMP常見的安全問題有兩種，一種是拒絕服務(wù)攻擊，一種是重定向。 類似的還有路由跟蹤命令 “Tracert”命令。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。它 是 TCP/IP協(xié)議簇的一個子協(xié)議，用于 IP主機(jī)、路由器之間傳遞控制消息。Message69第 16講 信息安全（ 2） ICMP協(xié)議的安全性? ICMP是 “Inter但也正是因?yàn)?ARP表的動態(tài)變化造成了 ARP的安全漏洞。 ARP表是動態(tài)的表，為什么要設(shè)置成動態(tài)的呢，因?yàn)橐蕴W(wǎng)本身在不斷地變化，如一臺主機(jī)可能變換了 IP地址，或更換了網(wǎng)卡。而我們的 TCP、 UDP或ICMP等上層協(xié)議卻使用 IP地址。67第 16講 另外在內(nèi)外網(wǎng)間設(shè)置防火墻，并正確配置策略，如，對從外進(jìn)入的源地址卻為內(nèi)部地址的包應(yīng)全部過濾。 C可以通過大量發(fā)包給 B，使 B不能接收到 A傳來的包，也可以通過改變 A與 B間的路由器中的路由，使 A發(fā)向 B的 IP包直接傳給 C。 C是黑客， C可以輕易將自己發(fā)給 A的 IP包的源地址改為 B的 IP地址，這樣 A就會將 C誤認(rèn)為是 B。 66第 16講 信息安全I(xiàn)P地址欺騙? 所謂 IP地址欺騙，就是偽造身份與他人聯(lián)系。 ? 對付 DNS欺騙最根本的解決辦法是加密所有對外的數(shù)據(jù)流，對服務(wù)器來說就是盡量使用 SSH之類的有加密支持的協(xié)議。? 任何 DNS服務(wù)器都不可能存儲整個 Inter的域名－ IP地址對應(yīng)關(guān)系。 DNS本身也是一種服務(wù)器，它所提供的服務(wù)就是將域名轉(zhuǎn)換為 IP地址。? DNS是 Inter上大多數(shù)服務(wù)的基礎(chǔ)。 當(dāng)然這種簡單的網(wǎng)絡(luò)欺騙較易識別和防范。網(wǎng)絡(luò)欺騙的方式多種多樣。 IPSEC協(xié)議定義了在 IP數(shù)據(jù)包中增加字段來保證 IP包的完整性，私有性和真實(shí)性，及如何加密數(shù)據(jù)包。 TCP/IP協(xié)議的核心協(xié)議是 IP（ Inter這就大大降低了被竊聽的可能性。VLAN技術(shù)將連接局域網(wǎng)的交換機(jī)的端口設(shè)置成不同的虛擬子網(wǎng)（ VLAN），各 VLAN間的數(shù)據(jù)（幀）并不廣播。– 解決局域網(wǎng)的竊聽問題。Inter網(wǎng)絡(luò)實(shí)際是網(wǎng)間網(wǎng)，就是將各個大大小小的局域網(wǎng)