【正文】 名。 當(dāng)某個(gè)域名在本 DNS服務(wù)器上查不到的時(shí)候，它會(huì)按一定規(guī)則 聯(lián)系其他 DNS服務(wù)器查詢域名的 IP地址（稱為遞歸查詢），然后并不驗(yàn)證該結(jié)果是否正確，即傳回給用戶，并將該域名－ IP地址對(duì)應(yīng)關(guān)系存在自己的數(shù)據(jù)庫中。另外，對(duì)一般用戶還有個(gè)最簡(jiǎn)單的辦法，就是在登陸重要網(wǎng)站（如銀行網(wǎng)站）的時(shí)候，盡量直接使用 IP地址。? 例如， B可以合法地與 A建立聯(lián)系，但在 IP層 A是怎么判斷 B發(fā)來的包的合法性呢？只能通過包的源 IP地址判斷。當(dāng)然還有個(gè)問題， A發(fā)回的包的目標(biāo)地址仍然是 B，如果 B收到這樣的包就可能發(fā)現(xiàn)有人在冒充自己。? 解決這類攻擊的一種最容易的辦法就是，不要以源 IP地址為驗(yàn)證的條件，即不要使用以 IP源地址為驗(yàn)證條件的服務(wù)（如 rlogin、 rsh等）。 常用網(wǎng)絡(luò)協(xié)議的安全問題 lARP的安全問題lICMP協(xié)議的安全性lIP協(xié)議的安全性lTCP協(xié)議的安全性lFTP協(xié)議lHTTP協(xié)議68第 16講 信息安全（ 1） ARP的安全問題 在以太網(wǎng)中網(wǎng)卡只能識(shí)別 MAC地址（即網(wǎng)卡的物理地址）。 ARP的目的就在于將 IP地址轉(zhuǎn)化為 MAC地址。如果 ARP表不隨之變化將不能找到變化后的主機(jī)。 ControlProtocol”（ Inter控制消息協(xié)議）的縮寫?？刂葡⑹侵妇W(wǎng)絡(luò)通不通、主機(jī)是否可到達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。我們?cè)诰W(wǎng)絡(luò)中經(jīng)常會(huì)使用到的 Ping命令，其過程實(shí) 70第 16講 信息安全 際上就是 ICMP協(xié)議工作的過程。71第 16講 信息安全拒絕服務(wù)? 拒絕服務(wù)就是向被攻擊者發(fā)大量的 ICMP包，大量消耗被攻擊者的網(wǎng)絡(luò)帶寬和 CPU等資源，而致使被攻擊者不能響應(yīng)合法的數(shù)據(jù)包 。 ICMP報(bào)文有各種類型，其中有一種叫 ICMP重定向報(bào)文，其目的在于當(dāng)路由器發(fā)現(xiàn)進(jìn)入的 IP包不應(yīng)該從本路由器轉(zhuǎn)發(fā)時(shí)，告訴該 IP包的源。? 黑客可以冒充路由器，利用 ICMP將主機(jī) host的路由重定向到自己，截獲數(shù)據(jù)包后再轉(zhuǎn)發(fā)，這樣就可在 host不知的情況下竊聽 host發(fā)的所有數(shù)據(jù)包 。– “HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”。? 另外，響應(yīng) ICMP路由通告報(bào)文 “ICMP路由公告 ”功能也可以使他人的計(jì)算機(jī)的網(wǎng)絡(luò)連接異常、數(shù)據(jù)被竊聽、計(jì)算機(jī)被用于流量攻擊等，因此應(yīng)關(guān)閉 “響應(yīng) ICMP路由通告報(bào)文 ”。 IP協(xié)議規(guī)定數(shù)據(jù)包的傳輸是以 IP包的形式進(jìn)行的。? 為了解決 IP協(xié)議的安全問題，現(xiàn)在一般使用IPSEC協(xié)議。我們可以看到， IP包在網(wǎng)絡(luò)中是毫無安全可言的，它所經(jīng)過的任何機(jī)器（可能是路由器，也可能是別的主機(jī)， IP包本身無法辨別）都可以看到其所有內(nèi)容。75第 16講 信息安全I(xiàn)PSec協(xié)議? IPSec協(xié)議是由 IETF制定的一種基于 IP協(xié)議的安全標(biāo)準(zhǔn)，用于保證 IP數(shù)據(jù)包傳輸時(shí)的安全性。AuthenticationSecurityKey（ IKE）和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。? 傳輸模式是為 IP包的數(shù)據(jù)提供保護(hù)，因?yàn)?IP包的數(shù)據(jù)就是上層協(xié)議的報(bào)文（如 ICMP報(bào)文， TCP報(bào)文等），所以對(duì) IP包的數(shù)據(jù)進(jìn)行保護(hù)，就是對(duì)其上層協(xié)議提供保護(hù)。 IPSec策略 可適用于單機(jī)、域、路由器、網(wǎng)站或各種自定義組織單元等多種場(chǎng)合。? TCP協(xié)議通過三次握手機(jī)制（ threeway? 過程如下：– 請(qǐng)求端（通常稱為客戶 client）發(fā)送一個(gè) SYN段指明客戶打算連接的服務(wù)器（ SERVER）的端口，以及初始序號(hào) ISN（圖中的 seq）。– 同時(shí)，將確認(rèn)序號(hào)設(shè)置為客戶的 ISN加 1以對(duì)客戶的 SYN報(bào)文段進(jìn)行確認(rèn)。– 客戶必須將確認(rèn)序號(hào)設(shè)置為服務(wù)器的 ISN加 1以對(duì)服務(wù)器的 S Y N報(bào)文段進(jìn)行確認(rèn)（報(bào)文段 3） 。open）。open）。 ISN隨時(shí)間而變化，因此每個(gè)連接都將具有不同的 ISN。這樣選擇序號(hào)的目的在于防止在網(wǎng)絡(luò)中被延遲的分組在以后又被傳送，而導(dǎo)致某個(gè)連接的一方對(duì)它作錯(cuò)誤的解釋 。而對(duì)該序列號(hào)根本沒有判斷其合法性。例如：服務(wù)器（ server）授予客戶機(jī)（ client）訪問權(quán)限，駭客機(jī)（ cracker）應(yīng)該無權(quán)訪問server，但利用 TCP的缺陷， cracker卻可以與 server建立連接。Socket? 實(shí)際上 SSL協(xié)議本身也是個(gè)分層的協(xié)議，它由 消息子層 以及承載消息的 記錄子層 組成。 用戶在使用該82第 16講 信息安全系統(tǒng)之前要輸入標(biāo)識(shí)和口令（這個(gè)過程稱為 “登錄 ”）。仿真終端在功能上相當(dāng)于與遠(yuǎn)程主機(jī)串口直接相連的終端。在 UNIX系統(tǒng)中 tel廣泛應(yīng)用（ WINDOWS中也提供此服務(wù)，只是一般該服務(wù)未啟用），另外網(wǎng)絡(luò)設(shè)備中的路由器、交換機(jī)等設(shè)備，也大都提供 tel的服務(wù)，以便讓管理人員遠(yuǎn)程配置修改網(wǎng)絡(luò)設(shè)備。Tel本身的缺陷是：– 沒有口令保護(hù)，遠(yuǎn)程用戶的登陸傳送的帳號(hào)和密碼都是明文，使用普通的 sniffer都可以被截獲沒有強(qiáng)力認(rèn)證過程。– 沒有完整性檢查。 – 傳送的數(shù)據(jù)都沒有加密。 23； Tel 端口 25； Mail ? 端口 70； Gopher 端口 80； Http? Tel還可用于迅速判斷目標(biāo)是真實(shí)域還是虛擬域。? SSH是一個(gè)很好的 tel安全保護(hù)系統(tǒng)，但是如果是要更嚴(yán)格的保護(hù)，你必須使用其他的 tel安全產(chǎn)品。 84第 16講 信息安全（ 5） FTP協(xié)議? 文件傳輸協(xié)議 (File Transfer Protocol， FTP) 其目的在于使我們能夠在網(wǎng)絡(luò)上方便地傳輸文件。? FTP支持客戶建立一個(gè) FTP控制連接和一個(gè)數(shù)據(jù)連接，然后在兩個(gè)服務(wù)間傳送文件。所以， 通過 “代理FTP”，客戶可以命令 FTP服務(wù)器攻擊任何一臺(tái)機(jī)器上的服務(wù) 。這時(shí)客戶要求 FTP服務(wù)器向被攻擊的服務(wù)發(fā)送一個(gè)文件，這個(gè)文件中應(yīng)包含與被攻擊的服務(wù)相關(guān)的命令（例如； SMTP、NNTP）。? FTP服務(wù)器允許無限次輸入口令。? 又如， FTP中的口令和數(shù)據(jù)及控制信息都以明文傳送等。安全超文本傳輸協(xié)議（ Secure HyperText Transfer Protocol， SHTTP） 是 EIT公司結(jié)合 而設(shè)計(jì)的一種消息安全通信協(xié)議。90第 16講 信息安全SHTTP? 可信賴的信息傳輸服務(wù)及數(shù)字簽名等。提供了完整且靈活的加密算法及相關(guān)參數(shù)。RSADSA等、用于對(duì)稱加解密的 和 等）及證書選擇等方面達(dá)成一致。支持端對(duì)端安全傳輸，客戶機(jī)可能“首先 ”啟動(dòng)安全傳輸（使用報(bào)頭的信息），它可以用來支持加密技術(shù)。當(dāng)使用 92第 16講 實(shí)訓(xùn)目的– 了解 TCP/IP協(xié)議有安全漏洞。93第 16講 信息安全討論、小結(jié)、布置作業(yè) 94第 16講 信息安全靜夜四無鄰，荒居舊業(yè)貧。February2023雨中黃葉樹，燈下白頭人。3:44:30 二月 2115:44:3015:44Feb2102Feb211故人江海別，幾度隔山川。February20231乍見翻疑夢(mèng)，相悲各問年。02, 0220233:44:30 。213:4402, 2023/2/2February 3:44:30下午 15:44:30二月 21沒有失敗，只有暫時(shí)停止成功！。February2023很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。3:44:30 二月 2115:44:3015:44Feb2102Feb211世間成事，不求其絕對(duì)圓滿，留一份不足，可得無限完美。February20231不知香積寺，數(shù)里入云峰。02, 0220233:44:30 。213:4402, 2023/2/2February 3:44:30下午 15:44:30二月 21楊柳散和風(fēng)，青山澹吾慮。February2023閱讀一切好書如同和過去最杰出的人談話。3:44:30 二月 2115:44:3015:44Feb2102Feb211越是無能的人，越喜歡挑剔別人的錯(cuò)兒。February20231知人者智，自知者明。 二月 21二月 2115:44:3015:44:30February20231意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。二月 下午 15:44:30二月 211最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。213:4402, 2023/2/2February 3:44:30下午 15:44:30二月 21MOMODA POWERPOINTLoremdoloramet,adipiscingFusceurnaeleifendac,purus.iaculisfeliscursus.