網(wǎng)絡(luò)環(huán)境與網(wǎng)絡(luò)安全

實驗一、網(wǎng)絡(luò)環(huán)境與網(wǎng)絡(luò)安全 一、實驗?zāi)康模豪斫饩W(wǎng)絡(luò)環(huán)境，了解網(wǎng)絡(luò)安全領(lǐng)域。 二、實驗要求：對 TCP/IP 協(xié)議族進(jìn)行分析和實驗，研究其弱點并加 以利用。 三、實驗內(nèi)容： 1 ?網(wǎng)絡(luò)環(huán)境定義： 網(wǎng)絡(luò)環(huán)境是指將分布在不同地點的多個多媒體計算機物 理上互聯(lián)，依據(jù)某種協(xié)議互相通信，實現(xiàn)軟、硬件及其網(wǎng)絡(luò)文 化共享的系統(tǒng)。 2. 網(wǎng)絡(luò)環(huán)境分類： ① 網(wǎng)絡(luò)環(huán)境一：辦公環(huán)境 專為你辦公時使用，安裝office、msn、skype等常用辦公 軟件。 ② 網(wǎng)絡(luò)環(huán)境二：娛樂環(huán)境 專為你娛樂時使用，玩游戲、聽音樂、下載電影等。多個網(wǎng) 絡(luò)環(huán)境同時進(jìn)行，如同你擁有了多臺電腦。當(dāng)然，這只是舉 例，你可以按照自己的喜好去定義這些環(huán)境里的內(nèi)容、設(shè)置、 桌布等等。 3. 網(wǎng)絡(luò)安全領(lǐng)域： 信息安全與風(fēng)險管理 訪問控制 安全體系結(jié)構(gòu)和設(shè)計 物理和環(huán)境安全 遠(yuǎn)程通信和網(wǎng)絡(luò)安全 密碼學(xué) 業(yè)務(wù)連貫性和災(zāi)難恢復(fù) 法律法規(guī)合格性和調(diào)查 應(yīng)用程序安全 操作安全 4．TCP/IP 協(xié)議族簡介： TCP/IP(Transmission Control Protocol/Internet Pro to col，傳輸控制協(xié)議/網(wǎng)際協(xié)議)是用于計算機通信的一個 協(xié)議族。它是美國國防部高級研究項目局在20 世紀(jì)70 年代提 出的一項基金研究項目的研究成果。該項目的目的是尋求一種 能使用各種介質(zhì)來傳輸數(shù)據(jù)的方法，包括串行線路。 TCP/IP協(xié)議族包括諸如Internet協(xié)議(IP)、地址解析協(xié)議 (ARP)、互聯(lián)網(wǎng)控制信息協(xié)議(ICMP)、用戶數(shù)據(jù)報協(xié)議(UDP)、 傳輸控制協(xié)議(TCP)、路由信息協(xié)議(RIP)、Telnet、簡單郵件 傳輸協(xié)議(SMTP)、域名系統(tǒng)(DNS)等協(xié)議。 5．TCP/IP 協(xié)議族的層次結(jié)構(gòu)： 從協(xié)議分層模型方面來講， TCP/IP 由四個層次組成：網(wǎng)絡(luò)接 口層、網(wǎng)際層、傳輸層、應(yīng)用層 IP 應(yīng)用層 各種應(yīng)用層協(xié)議 (HTTP, FTP, SMTP 等) 網(wǎng)絡(luò)接口層 與各種網(wǎng)絡(luò)接口 物理硬件 運輸層 TCP. UDP ICMP IGMP 兩絡(luò)層 (網(wǎng)際層) |RARp|rA (1) 應(yīng)用層 應(yīng)用層包含一切與應(yīng)用相關(guān)的功能，相當(dāng)于 OSI 的上面三層。 我們經(jīng)常使用的 HTTP、FTP、Telnet、SMTP 等協(xié)議都在這一 層實現(xiàn)。 (2) 傳輸層 傳輸層負(fù)責(zé)提供可靠的傳輸服務(wù)。該層相當(dāng)于 OSI 模型中的第 4 層。在該層中，典型的協(xié)議是 TCP(Transmission Control Protocol)和 UDP(User Datagram Protocol)。其中，TCP 提供 可靠、有序的，面向連接的通信服務(wù)；而 UDP 則提供無連接的、 不可靠用戶數(shù)據(jù)報服務(wù)。 (3) 網(wǎng)際層 網(wǎng)際層負(fù)責(zé)網(wǎng)絡(luò)間的尋址和數(shù)據(jù)傳輸，其功能大致相當(dāng)于0SI 模型中的第 3 層。在該層中，典型的協(xié)議是 IP(Internet Protocol）。 （4） 網(wǎng)絡(luò)接口層 最下面一層是網(wǎng)絡(luò)接口層，負(fù)責(zé)數(shù)據(jù)的實際傳輸，相當(dāng)于OSI 模型中的第 1、第 2 層。在 TCP/IP 協(xié)議族中，對該層很少具 體定義。大多數(shù)情況下，它依賴現(xiàn)有的協(xié)議傳輸數(shù)據(jù)。 6．TCP/IP 協(xié)議族實驗： 添加/安裝TCP/IP協(xié)議； 分配 IP 地址（靜態(tài)和動態(tài)地址）； 劃分局域網(wǎng)（實現(xiàn)共享、子網(wǎng)劃分、網(wǎng)絡(luò)接入、遠(yuǎn)程訪問……） 7?分析TCP/IP協(xié)議族的弱點并加以利用： TCP/IP 協(xié)議族不安全。由于局域網(wǎng)內(nèi)部是一個相對開放 的環(huán)境和 TCP/IP 協(xié)議內(nèi)在的開放特征，內(nèi)部網(wǎng)絡(luò)上傳輸?shù)臄?shù) 據(jù)很容易被截獲并被分析或跟蹤。如果你發(fā)一個請求，所有局 域網(wǎng)內(nèi)的電腦都能收到，只是會判斷信息中的地址是不是自己 的地址，接就接收，不接收就丟棄。所以，水平高的黑客可以 通過任何一臺機器來竊取局域網(wǎng)內(nèi)想要的東西，包括密碼。 8．路由算法： （1）路由算法簡介： 路由算法，可以根據(jù)多個特性來加以區(qū)分，算法設(shè)計 者的特定目標(biāo)影響了該路由協(xié)議的操作；具體來說存在著 多種路由算法，每種算法對網(wǎng)絡(luò)和路由器資源的影響都不 同；由于路由算法使用多種met ric，從而影響到最佳路徑 的計算。 路由算法是提咼路由協(xié)議功能，盡量減少路由時所帶 來開銷的算法。當(dāng)實現(xiàn)路由算法的軟件必須運行在物理資 源有限的計算機上時高效尤其重要。路由算法必須健壯， 即在出現(xiàn)不正?；虿豢深A(yù)見事件的情況下必須仍能正常處 理，例如硬件故障、高負(fù)載和不正確的實現(xiàn)。因為路由器 位于網(wǎng)絡(luò)的連接點，當(dāng)它們失效時會產(chǎn)生重大的問題。最 好的路由算法通常是那些經(jīng)過了時間考驗，證實在各種網(wǎng) 絡(luò)條件下都很穩(wěn)定的算法。 此外路由算法必須能快速聚合，聚合是所有路由器對 最佳路徑達(dá)成一致的過程。當(dāng)某網(wǎng)絡(luò)事件使路徑斷掉或不 可用時，路由器通過網(wǎng)絡(luò)分發(fā)路由更新信息，促使最佳路 徑的重新計算，最終使所有路由器達(dá)成一致。聚合很慢的 路由算法可能會產(chǎn)生路由環(huán)或網(wǎng)路中斷。 如下為路由算法原理圖: Packet ■ Liciura Mds;i PC 向：Da&c糾創(chuàng)Im Host l^ratecol 日!Mrees) Rdulsr l Iphyisic銜敘JiJng追| Wfluter1 PELGkM ro. DestinaikHn h«l ^Protocol &ldre£$| 2 (Pliysioal JDtkarK^'i DflEinaiipn Hoet (PrulwaJ adt>95S) Des6nmliofl fiosl (Ph卿cal agrees； Tb- 3 D聒 1i醫(yī)iIiqh host FC 2)路由算法的漏洞：路徑和序列號欺騙，不穩(wěn)定性和共振 效應(yīng) 路由器在每個網(wǎng)絡(luò)中起到關(guān)鍵的作用，如果一路由器 被破壞或者一路由被成功的欺騙，網(wǎng)絡(luò)的完整性將受到嚴(yán) 重的破壞，如果使用路由的主機沒有使用加密通信那就更 為嚴(yán)重，因為這樣的主機被控制的話，將存在著中間人 (man-in- the-middle)攻擊，拒絕服務(wù)攻擊，數(shù)據(jù)丟失，網(wǎng) 絡(luò)整體性破壞，和信息被嗅探等攻擊。 多種路由器存在各種眾所周知的安全問題， 大部分是 由于錯誤配置， IP 信息包錯誤處理， SNMP 存在默認(rèn)的 communit name st ring,薄弱密碼或者加密算法不夠強壯而 造成。上面的一些攻擊一般一個標(biāo)準(zhǔn)的NIDS都能夠探測出 來。這些類型的攻擊對網(wǎng)絡(luò)底層有一定的削弱性并可以組 合一些高極別的協(xié)議進(jìn)行攻擊。 正確的配置管理可以處理不少普通的漏洞，如你必須 處理一些標(biāo)準(zhǔn)的規(guī)程:不使用SNMP（或者選擇強壯的密碼）, 保持補丁程序是最新的，正確處理訪問控制列表，出入過 濾，防火墻,加密管理通道和密碼，路由過濾和使用 MD5 認(rèn) 證。當(dāng)然在采用這些規(guī)程之前你必須知道這些安全規(guī)則的 相關(guān)的含義和所影響到的服務(wù)。 9．TCP / UDP 的漏洞 （1） TCP 端口 TCP 端口，即傳輸控制協(xié)議端口，需要在客戶端和服務(wù)器之 間建立連接，這樣可以提供可靠的數(shù)據(jù)傳輸。常見的包括 FTP 服務(wù)的 21 端口， Telnet 服務(wù)的 23 端口， SMTP 服務(wù)的 25端口，以及HTTP服務(wù)的80端口等等。 （2） UDP 端口 UDP端口，即用戶數(shù)據(jù)包協(xié)議端口，無需在客戶端和服務(wù)器 之間建立連接，安全性得不到保障。常見的有 DNS 服務(wù)的 53端口，SNMP （簡單網(wǎng)絡(luò)管理協(xié)議）服務(wù)的161端口，QQ 使用的 8000 和 4000 端口等等。 10．ICMP 重定向的危險：拒絕服務(wù) （1） 拒絕服務(wù)概念： DoS 的攻擊方式有很多種，最基本的 DoS 攻擊就是利用 合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無 法得到服務(wù)。 或者說是利用合理的服務(wù)請求占有過多 的服 務(wù)資源，致使資源耗盡或是資源過載，造成服務(wù)器癱瘓，其 他用戶無法享用該服務(wù)資源。 （2）拒絕服務(wù)特點： 難確認(rèn)性 隱蔽性 資源有限性 軟件復(fù)雜性 （3）拒絕服務(wù)攻擊的基本模式： ① 資源消耗型 消耗網(wǎng)絡(luò)帶寬 消耗磁盤空間 消耗 CPU 和內(nèi)存資源 ② 配置修改型 ③ 基于系統(tǒng)缺陷型 ④ 物理實體破壞型 4）拒絕服務(wù)攻擊的分類： ①使系統(tǒng)或網(wǎng)絡(luò)癱瘓 發(fā)送少量蓄意構(gòu)造的數(shù)據(jù)包，使系統(tǒng)死機或重新啟動。 主要利用系統(tǒng)軟件的Bug, 一旦Bug被修正，攻擊就不 起作用。 系統(tǒng)恢復(fù)工作一般需要管理員的干預(yù)。 ②使系統(tǒng)或網(wǎng)絡(luò)無法響應(yīng)正常的請求 發(fā)送大量的垃圾數(shù)據(jù)，使得系統(tǒng)無法處理正常的請求。 比較難杜絕。 恢復(fù)系統(tǒng)不需要或只需要少量的人工干預(yù)。 11. ARP危害：幽靈的來源，ARP的爆炸和慢速鏈接 APR 病毒，一種地址欺騙的病毒。當(dāng)局域網(wǎng)內(nèi)某臺主機 運行 ARP 欺騙的木馬程序時，會騙欺局域域網(wǎng)內(nèi)所有主機和 路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原 來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機上網(wǎng)，切換的 時候用戶會斷一次線。切換到病毒主機上網(wǎng)后，如果用戶已 經(jīng)登陸了游戲服務(wù)器，那么病毒主機就會經(jīng)常偽造斷線的假 像，那么用戶就得重新登錄游戲服務(wù)器，這樣病毒主機就可 以盜號了。 ⑵破碎的漏洞和解決方法：（ICMP溢出） 互聯(lián)網(wǎng)控制消息協(xié)議（ICMP）是專門用作邏輯錯誤和診斷 的信使。RFC792對它作了詳細(xì)的闡述。任何IP網(wǎng)絡(luò)設(shè)備都有 發(fā)送、接收或運作 ICMP 消息的功能。雖然 ICMP 的設(shè)計者沒有 考慮今天出現(xiàn)的安全性問題，但是他們已經(jīng)設(shè)計了一些能使 ICMP 更有效運作的基本準(zhǔn)則。 （1）為了確保ICMP消息不會淹沒IP網(wǎng)絡(luò)，ICMP沒有任何特 別的優(yōu)先級，它總是一種常規(guī)流量。 2） ICMP 消息作為其他 ICMP 消息的響應(yīng)而發(fā)送。這個設(shè)計 機制是為了防止出現(xiàn)一個錯誤消息不斷地重復(fù)制造出另一 個錯誤消息。否則，它就真的是個大問題了。 3)ICMP 不能作為多播或廣播流量的響應(yīng)而發(fā)送。