[精选]Internet协议安全性分析.pptx
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《[精选]Internet协议安全性分析.pptx》由会员分享,可在线阅读,更多相关《[精选]Internet协议安全性分析.pptx(120页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、InternetInternet协议平安性分析协议平安性分析 信息平安信息平安6/1/20231 2.1 Internet 2.1 Internet 的平安性需求的平安性需求 2.2 2.2 平安套接层与传输层的平安平安套接层与传输层的平安 2.3 2.3 KerberosKerberos认证系统认证系统 2.4 2.4 PGPPGP电子邮件加密电子邮件加密 2.5 2.5 平安电子交易平安电子交易 本章主要内容本章主要内容6/1/202322.1.1 Internet存在的威协存在的威协 1缺乏对用户身份的认证缺乏对用户身份的认证2缺乏对路由协议的认证缺乏对路由协议的认证 3TCPUDP的缺
2、陷的缺陷 4对对Web平安平安性威胁威胁WebWeb效劳器、效劳器、效劳器、效劳器、WebWeb浏览器、浏览器、浏览器、浏览器、WebWeb传输过程传输过程传输过程传输过程2.1 Internet 的平安性需求的平安性需求6/1/202332.1.1 Internet存在的威协存在的威协 缺乏对用户身份的认证缺乏对用户身份的认证在网络中传送的在网络中传送的在网络中传送的在网络中传送的IPIP包,对包,对包,对包,对IPIP地址不进行认证。地址不进行认证。地址不进行认证。地址不进行认证。存在几种欺骗攻击方式:存在几种欺骗攻击方式:存在几种欺骗攻击方式:存在几种欺骗攻击方式:MACMAC欺骗欺骗欺
3、骗欺骗ARPARP欺骗欺骗欺骗欺骗IPIP欺骗欺骗欺骗欺骗DNSDNS欺骗欺骗欺骗欺骗6/1/202341.MAC攻击攻击MAC攻击之一:攻击之一:MAC地址欺骗地址欺骗 将合法的将合法的MAC 地地址修改成不存在的址修改成不存在的MAC 地址或其它计地址或其它计算机的算机的MAC 地址,地址,从而隐藏自己真实从而隐藏自己真实的的MAC,来到达一,来到达一些不可告人的目的,些不可告人的目的,这就是这就是MAC 地址欺地址欺骗。骗。6/1/20235MAC攻击攻击MAC攻击之二:攻击之二:MAC地址洪泛攻击地址洪泛攻击交换机内部的交换机内部的MAC地址表空间是有限的,地址表空间是有限的,MAC攻
4、击会很快占满交换机内部攻击会很快占满交换机内部MAC地址表,使得单地址表,使得单播包在交换机内部也变成播送包向同一个播包在交换机内部也变成播送包向同一个VLAN中所有端口转发,每个连在端口上的客户端都可中所有端口转发,每个连在端口上的客户端都可以收到该报文,交换机变成了一个以收到该报文,交换机变成了一个Hub,用户的,用户的信息传输也没有平安保障了。信息传输也没有平安保障了。6/1/20236MAC攻击攻击交换机交换机攻击者攻击者MAC APC BMAC BPC CMAC C MAC Port H 1 X 2 Y 3 交换机内部的交换机内部的MAC地址表空间很快被地址表空间很快被不存在的源不存
5、在的源MAC地地址占满。没有空间址占满。没有空间学习合法的学习合法的MAC B,MAC C流量流量 CB流量流量 CB流量流量CB单播流量在交换机内部以单播流量在交换机内部以广播包方式在所有端口转广播包方式在所有端口转发,非法者也能接受到这发,非法者也能接受到这些报文些报文MAC攻击:每秒发攻击:每秒发送成千上万个随机送成千上万个随机源源MAC的报文的报文6/1/20237MAC攻击攻击交换机交换机攻击者攻击者 FTP 效劳器效劳器PC C用户名、密码用户名、密码用户名、密码用户名、密码用户名、密码用户名、密码用户名:用户名:unit密码:密码:qy7ttvj7vgSniffer截取数据包截取
6、数据包利用利用MAC地址洪泛地址洪泛攻击截获客户信息攻击截获客户信息6/1/20238MAC攻击攻击6/1/20239MAC攻击攻击防范:防范:1、MAC静态地址锁静态地址锁 2、802.1x自动绑定自动绑定MAC地址地址 3、限定交换机某个端口上可以学习的、限定交换机某个端口上可以学习的MAC数量数量6/1/202310MAC攻击攻击 交换机交换机攻击者攻击者 当端口学习的源当端口学习的源MAC地地址数量大于一定的数量址数量大于一定的数量这个值可以自己设定或这个值可以自己设定或源源MAC地址和端口绑定地址和端口绑定的不一样,受到的数据帧的不一样,受到的数据帧丢弃丢弃/发送警告信息通知发送警告
7、信息通知网管员网管员/端口可关闭端口可关闭MAC攻击防范攻击防范6/1/202311欺骗攻击欺骗攻击1.MAC2.ARP3.IP4.DNS6/1/2023122.ARP欺骗欺骗ARP攻击就是通过伪造攻击就是通过伪造IP地址和地址和MAC地址地址实现实现ARP欺骗,能够在欺骗,能够在网络网络中产生大量的中产生大量的ARP通信通信量使网络阻塞,攻击者只要持续量使网络阻塞,攻击者只要持续不断的发出伪造的不断的发出伪造的ARP响应包就能更改目响应包就能更改目标主机标主机ARP缓存中的缓存中的IP-MAC条目,造成网条目,造成网络中断或中间人攻击。络中断或中间人攻击。ARP攻击主要是存攻击主要是存在于局
8、域网网络中,局域网中假设有一台在于局域网网络中,局域网中假设有一台计算机计算机感染感染ARP木马,则感染该木马,则感染该ARP 木马木马的系统将会试图通过的系统将会试图通过“ARP欺骗手段截获欺骗手段截获所在网络内其它计算机的通信信息,并因所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。此造成网内其它计算机的通信故障。6/1/202313ARP攻击攻击 ARP协议原理:协议原理:局域网中两台局域网中两台PC通讯,一台通讯,一台PC B要和另一台要和另一台PC A通讯,通讯,首先需要知道首先需要知道PC A的的MAC地址。地址。PC B先查找机器缓存中存贮的先查找机器缓存中存
9、贮的ARP表。如果没有,必表。如果没有,必须先发出一个须先发出一个ARP请求的播送报文。请求的播送报文。局域网里的局域网里的PC都会收到都会收到ARP请求报文,并查看自己的请求报文,并查看自己的IP是否是是否是PC A,如果是则响应。,如果是则响应。PC APC BPC CPC DARP请求:请求:IP A?ARP响应:响应:IP AMAC A6/1/202314ARP攻击攻击 按照按照RFC的规定,的规定,PC在发在发ARP响应时,不需要一定要先收响应时,不需要一定要先收到到ARP请求报文,局域网中任何一台请求报文,局域网中任何一台PC都可以向网络内其它都可以向网络内其它PC通告:自己就是通
10、告:自己就是PC A和和MAC A的对应关系,这就给攻击的对应关系,这就给攻击者带来可乘人之危的漏洞者带来可乘人之危的漏洞!ARP协议的缺陷协议的缺陷PC APC BPC CPC D非法非法ARP响应:响应:IP AMAC C6/1/202315ARP攻击攻击ARP攻击之一:攻击之一:ARP欺骗欺骗ARP欺骗:利用上页讲到的欺骗:利用上页讲到的ARP漏洞,发送虚假漏洞,发送虚假的的ARP请求报文和响应报文,报文中的源请求报文和响应报文,报文中的源IP和源和源MAC均为虚假的,扰乱局域网中被攻击均为虚假的,扰乱局域网中被攻击PC中保中保存的存的ARP表,使得网络中被攻击表,使得网络中被攻击PC的
11、流量都可流的流量都可流入到攻击者手中。入到攻击者手中。6/1/202316ARP攻击攻击PC B攻击者:攻击者:发送发送ARP欺欺骗骗192.168.10.1MAC A192.168.10.3MAC C192.168.10.2MAC B发送发送ARP响应,告诉:响应,告诉:192.168.10.1对应的对应的MAC是是MAC CARP表刷新,表刷新,192.168.10.1对应的是对应的是MAC C发送到发送到PC A的的流量均到攻击流量均到攻击者手中者手中MAC C发送发送ARP响应,告响应,告诉:诉:192.168.10.2对对应的应的MAC是是MAC CARP表刷新,表刷新,192.16
12、8.10.2对对应的是应的是MAC CPC A6/1/202317ARP攻击攻击ARP攻击之二:攻击之二:ARP恶作剧恶作剧ARP恶作剧:和恶作剧:和ARP欺骗的原理一样,报文中的欺骗的原理一样,报文中的源源IP和源和源MAC均为虚假的,或错误的网关均为虚假的,或错误的网关IP和网和网关关MAC对应关系。它的主要目的不是窃取报文,对应关系。它的主要目的不是窃取报文,而是扰乱局域网中合法而是扰乱局域网中合法PC中保存的中保存的ARP表,使得表,使得网络中的合法网络中的合法PC无法正常上网、通讯中断。无法正常上网、通讯中断。6/1/202318ARP攻击攻击PC B攻击者:攻击者:发送发送ARP欺
13、骗欺骗192.168.10.1 MAC A192.168.10.3MAC C192.168.10.2MAC B发送发送ARP响应,告诉:响应,告诉:192.168.10.1对应的对应的MAC是是MAC XARP表刷新,表刷新,192.168.10.1对应对应的是的是MAC X网关网关找不到正确的网关,找不到正确的网关,所有所有 的数据都无法的数据都无法得到回应得到回应6/1/202319ARP攻击攻击发包工具发包工具TouchStone6/1/202320ARP攻击攻击ARP攻击之三:攻击之三:ARP洪泛洪泛ARP洪泛:网络病毒利用洪泛:网络病毒利用ARP协议,在网络中大协议,在网络中大量发送
14、伪造量发送伪造ARP报文,扰乱网络中主机和设备的报文,扰乱网络中主机和设备的ARP缓存,导致无法正常访问网络的攻击行为。缓存,导致无法正常访问网络的攻击行为。相关病毒:相关病毒:TrojanDropper.Win32.Juntador.c Win32.Troj.Mir2 Win32.Troj.Zypsw.33952 6/1/202321ARP攻击攻击防范:防范:需要使用专用的交换机端口需要使用专用的交换机端口ARP Check功能功能 ARP-Check技术对流入的技术对流入的ARP报文内容进行合法性检查,报文内容进行合法性检查,丢弃非法报文,防止受控端口下联的主机对网关或其它丢弃非法报文,防
15、止受控端口下联的主机对网关或其它主机发起主机发起ARP欺骗攻击。欺骗攻击。ARP-Check通常需要结合通常需要结合SAM认证,用户通过认证后将认证,用户通过认证后将在在NAS上绑定用户的上绑定用户的IP和和MAC信息;信息;ARP-Check根据在根据在NAS上动态绑定用户的上动态绑定用户的IP和和MAC信息来检查信息来检查ARP报文内报文内容,转发合法报文,丢弃非法报文容,转发合法报文,丢弃非法报文。6/1/202322ARP攻击攻击PC B攻击者:攻击者:发送发送ARP欺骗欺骗192.168.10.3MAC C192.168.10.2MAC B发送发送ARP响应,响应,说:说:PC A对
16、应的对应的MAC是是MAC C发送发送ARP响应,说:响应,说:PC B对应的对应的MAC是是MAC CARP攻击防范攻击防范192.168.10.1MAC APC A6/1/2023234.4 欺骗攻击欺骗攻击1.MAC2.ARP3.IP4.DNS6/1/2023243、IP欺骗攻击欺骗攻击IP欺骗:盗用合法用户的欺骗:盗用合法用户的IP地址,隐藏自己的真正地址,隐藏自己的真正身份。身份。IP欺骗和欺骗和MAC欺骗相结合,伪装成其他人进行网欺骗相结合,伪装成其他人进行网络访问。络访问。不断修改不断修改IP,发送,发送TCP SYN连接,攻击连接,攻击Server,造成造成SYN Flood
17、攻击。攻击。6/1/202325IP欺骗攻击过程6/1/202326IP欺骗欺骗用网络配置工具改变机器的用网络配置工具改变机器的IP地址地址注意:注意:注意:注意:只能发送数据包只能发送数据包只能发送数据包只能发送数据包 收不到回包收不到回包收不到回包收不到回包 防火墙可能阻挡防火墙可能阻挡防火墙可能阻挡防火墙可能阻挡在在Linux平台上平台上用用用用ifconfigifconfig方式方式方式方式1 1:改变自己的地址:改变自己的地址:改变自己的地址:改变自己的地址6/1/202327IP欺骗欺骗发送发送IP包,包,IP包头填上假冒的源包头填上假冒的源IP地址地址在在在在Unix/Linux
18、Unix/Linux平台上,直接用平台上,直接用平台上,直接用平台上,直接用socketsocket就可以就可以就可以就可以发送,但是需要发送,但是需要发送,但是需要发送,但是需要rootroot权限权限权限权限在在在在WindowsWindows平台上,不能使用平台上,不能使用平台上,不能使用平台上,不能使用WinsockWinsock 可以使用可以使用可以使用可以使用winpcapwinpcap可以用可以用可以用可以用libnetlibnet构造构造构造构造IPIP包包包包方式方式方式方式2 2:用程序实现:用程序实现:用程序实现:用程序实现6/1/202328Libnet1在在在在Uni
19、xUnix系统平台上的网络平安工具开发中,目前系统平台上的网络平安工具开发中,目前系统平台上的网络平安工具开发中,目前系统平台上的网络平安工具开发中,目前最为流行的最为流行的最为流行的最为流行的C API libraryC API library有有有有libnetlibnet、libpcaplibpcap、libnidslibnids和和和和libicmplibicmp等。它们分别从不同层次和角度等。它们分别从不同层次和角度等。它们分别从不同层次和角度等。它们分别从不同层次和角度提供了不同的功能函数。使网络开发人员能够忽提供了不同的功能函数。使网络开发人员能够忽提供了不同的功能函数。使网络开
20、发人员能够忽提供了不同的功能函数。使网络开发人员能够忽略网络底层细节的实现,从而专注于程序本身具略网络底层细节的实现,从而专注于程序本身具略网络底层细节的实现,从而专注于程序本身具略网络底层细节的实现,从而专注于程序本身具体功能的设计与开发。其中,体功能的设计与开发。其中,体功能的设计与开发。其中,体功能的设计与开发。其中,libnetlibnet提供的接口函数主要实现和封装了数据包的构造提供的接口函数主要实现和封装了数据包的构造提供的接口函数主要实现和封装了数据包的构造提供的接口函数主要实现和封装了数据包的构造和发送过程。和发送过程。和发送过程。和发送过程。libpcaplibpcap提供的
21、接口函数主要实现和封装了与数据包截提供的接口函数主要实现和封装了与数据包截提供的接口函数主要实现和封装了与数据包截提供的接口函数主要实现和封装了与数据包截获有关的过程。获有关的过程。获有关的过程。获有关的过程。libnidslibnids提供的接口函数主要实现了开发网络入侵监测提供的接口函数主要实现了开发网络入侵监测提供的接口函数主要实现了开发网络入侵监测提供的接口函数主要实现了开发网络入侵监测系统所必须的一些结构框架。系统所必须的一些结构框架。系统所必须的一些结构框架。系统所必须的一些结构框架。libicmplibicmp相对较为简单,它封装的是相对较为简单,它封装的是相对较为简单,它封装的
22、是相对较为简单,它封装的是ICMPICMP数据包的主数据包的主数据包的主数据包的主要处理过程构造、发送、接收等。要处理过程构造、发送、接收等。要处理过程构造、发送、接收等。要处理过程构造、发送、接收等。6/1/202329Libnet2libnetlibnet库一共约库一共约库一共约库一共约76007600行行行行C C源代码,源代码,源代码,源代码,3333个源程序个源程序个源程序个源程序文件,文件,文件,文件,1212个个个个C C头文件,头文件,头文件,头文件,5050余个自定义函数,提余个自定义函数,提余个自定义函数,提余个自定义函数,提供的接口函数包含供的接口函数包含供的接口函数包含
23、供的接口函数包含1515种数据包生成器和两种种数据包生成器和两种种数据包生成器和两种种数据包生成器和两种数据包发送器数据包发送器数据包发送器数据包发送器IPIP层和数据链路层。目前层和数据链路层。目前层和数据链路层。目前层和数据链路层。目前只支持只支持只支持只支持IPv4IPv4,不支持,不支持,不支持,不支持IPv6IPv6。libnetlibnet提供的接口函数按其作用可分为四类:提供的接口函数按其作用可分为四类:提供的接口函数按其作用可分为四类:提供的接口函数按其作用可分为四类:内存管理分配和释放函数内存管理分配和释放函数内存管理分配和释放函数内存管理分配和释放函数 地址解析函数地址解析
24、函数地址解析函数地址解析函数 数据包构造函数数据包构造函数数据包构造函数数据包构造函数 数据包发送函数数据包发送函数数据包发送函数数据包发送函数6/1/202330WinPcap winpcapwinpcapwindows packet capturewindows packet capture是是是是Win32Win32平台下平台下平台下平台下一个免费的包截获与网络分析系统。开发一个免费的包截获与网络分析系统。开发一个免费的包截获与网络分析系统。开发一个免费的包截获与网络分析系统。开发winpcapwinpcap这这这这个工程的目的在于为个工程的目的在于为个工程的目的在于为个工程的目的在于为
25、win32win32应用程序提供访问网络底应用程序提供访问网络底应用程序提供访问网络底应用程序提供访问网络底层的能力。它提供了以下的各项功能:层的能力。它提供了以下的各项功能:层的能力。它提供了以下的各项功能:层的能力。它提供了以下的各项功能:捕获原始数据报,包括在共享网络上各主机发送捕获原始数据报,包括在共享网络上各主机发送捕获原始数据报,包括在共享网络上各主机发送捕获原始数据报,包括在共享网络上各主机发送/接收的以及相互之间交换的数据报;接收的以及相互之间交换的数据报;接收的以及相互之间交换的数据报;接收的以及相互之间交换的数据报;在数据报发往应用程序之前,按照自定义的规则在数据报发往应用
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 精选 Internet 协议 安全性 分析
![提示](https://www.deliwenku.com/images/bang_tan.gif)
限制150内