網(wǎng)絡(luò)環(huán)境與網(wǎng)絡(luò)安全

實(shí)驗(yàn)一、網(wǎng)絡(luò)環(huán)境與網(wǎng)絡(luò)安全一、實(shí)驗(yàn)?zāi)康模豪斫饩W(wǎng)絡(luò)環(huán)境，了解網(wǎng)絡(luò)安全領(lǐng)域二、實(shí)驗(yàn)要求：對(duì) TCP/IP 協(xié)議族進(jìn)行分析和實(shí)驗(yàn)，研究其弱點(diǎn)并加 以利用三、實(shí)驗(yàn)內(nèi)容：1 ?網(wǎng)絡(luò)環(huán)境定義：網(wǎng)絡(luò)環(huán)境是指將分布在不同地點(diǎn)的多個(gè)多媒體計(jì)算機(jī)物 理上互聯(lián)，依據(jù)某種協(xié)議互相通信，實(shí)現(xiàn)軟、硬件及其網(wǎng)絡(luò)文 化共享的系統(tǒng)2. 網(wǎng)絡(luò)環(huán)境分類：① 網(wǎng)絡(luò)環(huán)境一：辦公環(huán)境專為你辦公時(shí)使用，安裝office、msn、skype等常用辦公 軟件② 網(wǎng)絡(luò)環(huán)境二：娛樂環(huán)境專為你娛樂時(shí)使用，玩游戲、聽音樂、下載電影等多個(gè)網(wǎng) 絡(luò)環(huán)境同時(shí)進(jìn)行，如同你擁有了多臺(tái)電腦當(dāng)然，這只是舉 例，你可以按照自己的喜好去定義這些環(huán)境里的內(nèi)容、設(shè)置、 桌布等等3. 網(wǎng)絡(luò)安全領(lǐng)域：信息安全與風(fēng)險(xiǎn)管理訪問控制安全體系結(jié)構(gòu)和設(shè)計(jì)物理和環(huán)境安全遠(yuǎn)程通信和網(wǎng)絡(luò)安全密碼學(xué)業(yè)務(wù)連貫性和災(zāi)難恢復(fù)法律法規(guī)合格性和調(diào)查應(yīng)用程序安全操作安全4．TCP/IP 協(xié)議族簡介：TCP/IP(Transmission Control Protocol/InternetPro to col，傳輸控制協(xié)議/網(wǎng)際協(xié)議)是用于計(jì)算機(jī)通信的一個(gè) 協(xié)議族它是美國國防部高級(jí)研究項(xiàng)目局在20 世紀(jì)70 年代提 出的一項(xiàng)基金研究項(xiàng)目的研究成果。

該項(xiàng)目的目的是尋求一種 能使用各種介質(zhì)來傳輸數(shù)據(jù)的方法，包括串行線路TCP/IP協(xié)議族包括諸如Internet協(xié)議(IP)、地址解析協(xié)議 (ARP)、互聯(lián)網(wǎng)控制信息協(xié)議(ICMP)、用戶數(shù)據(jù)報(bào)協(xié)議(UDP)、 傳輸控制協(xié)議(TCP)、路由信息協(xié)議(RIP)、Telnet、簡單郵件 傳輸協(xié)議(SMTP)、域名系統(tǒng)(DNS)等協(xié)議5．TCP/IP 協(xié)議族的層次結(jié)構(gòu)：從協(xié)議分層模型方面來講， TCP/IP 由四個(gè)層次組成：網(wǎng)絡(luò)接 口層、網(wǎng)際層、傳輸層、應(yīng)用層IP應(yīng)用層各種應(yīng)用層協(xié)議 (HTTP, FTP, SMTP 等)網(wǎng)絡(luò)接口層與各種網(wǎng)絡(luò)接口物理硬件運(yùn)輸層TCP. UDPICMPIGMP兩絡(luò)層 (網(wǎng)際層)|RARp|rA(1) 應(yīng)用層應(yīng)用層包含一切與應(yīng)用相關(guān)的功能，相當(dāng)于 OSI 的上面三層 我們經(jīng)常使用的 HTTP、FTP、Telnet、SMTP 等協(xié)議都在這一 層實(shí)現(xiàn)2) 傳輸層傳輸層負(fù)責(zé)提供可靠的傳輸服務(wù)該層相當(dāng)于 OSI 模型中的第 4 層在該層中，典型的協(xié)議是 TCP(Transmission ControlProtocol)和 UDP(User Datagram Protocol)。

其中，TCP 提供 可靠、有序的，面向連接的通信服務(wù)；而 UDP 則提供無連接的、 不可靠用戶數(shù)據(jù)報(bào)服務(wù)3) 網(wǎng)際層網(wǎng)際層負(fù)責(zé)網(wǎng)絡(luò)間的尋址和數(shù)據(jù)傳輸，其功能大致相當(dāng)于0SI 模型中的第 3 層在該層中，典型的協(xié)議是 IP(InternetProtocol）4） 網(wǎng)絡(luò)接口層最下面一層是網(wǎng)絡(luò)接口層，負(fù)責(zé)數(shù)據(jù)的實(shí)際傳輸，相當(dāng)于OSI模型中的第 1、第 2 層在 TCP/IP 協(xié)議族中，對(duì)該層很少具 體定義大多數(shù)情況下，它依賴現(xiàn)有的協(xié)議傳輸數(shù)據(jù)6．TCP/IP 協(xié)議族實(shí)驗(yàn)：添加/安裝TCP/IP協(xié)議；分配 IP 地址（靜態(tài)和動(dòng)態(tài)地址）；劃分局域網(wǎng)（實(shí)現(xiàn)共享、子網(wǎng)劃分、網(wǎng)絡(luò)接入、遠(yuǎn)程訪問……）7?分析TCP/IP協(xié)議族的弱點(diǎn)并加以利用：TCP/IP 協(xié)議族不安全由于局域網(wǎng)內(nèi)部是一個(gè)相對(duì)開放 的環(huán)境和 TCP/IP 協(xié)議內(nèi)在的開放特征，內(nèi)部網(wǎng)絡(luò)上傳輸?shù)臄?shù) 據(jù)很容易被截獲并被分析或跟蹤如果你發(fā)一個(gè)請(qǐng)求，所有局 域網(wǎng)內(nèi)的電腦都能收到，只是會(huì)判斷信息中的地址是不是自己 的地址，接就接收，不接收就丟棄所以，水平高的黑客可以 通過任何一臺(tái)機(jī)器來竊取局域網(wǎng)內(nèi)想要的東西，包括密碼8．路由算法：（1）路由算法簡介：路由算法，可以根據(jù)多個(gè)特性來加以區(qū)分，算法設(shè)計(jì) 者的特定目標(biāo)影響了該路由協(xié)議的操作；具體來說存在著 多種路由算法，每種算法對(duì)網(wǎng)絡(luò)和路由器資源的影響都不 同；由于路由算法使用多種met ric，從而影響到最佳路徑的計(jì)算。

路由算法是提咼路由協(xié)議功能，盡量減少路由時(shí)所帶 來開銷的算法當(dāng)實(shí)現(xiàn)路由算法的軟件必須運(yùn)行在物理資 源有限的計(jì)算機(jī)上時(shí)高效尤其重要路由算法必須健壯， 即在出現(xiàn)不正?；虿豢深A(yù)見事件的情況下必須仍能正常處 理，例如硬件故障、高負(fù)載和不正確的實(shí)現(xiàn)因?yàn)槁酚善?位于網(wǎng)絡(luò)的連接點(diǎn)，當(dāng)它們失效時(shí)會(huì)產(chǎn)生重大的問題最 好的路由算法通常是那些經(jīng)過了時(shí)間考驗(yàn)，證實(shí)在各種網(wǎng) 絡(luò)條件下都很穩(wěn)定的算法此外路由算法必須能快速聚合，聚合是所有路由器對(duì) 最佳路徑達(dá)成一致的過程當(dāng)某網(wǎng)絡(luò)事件使路徑斷掉或不 可用時(shí)，路由器通過網(wǎng)絡(luò)分發(fā)路由更新信息，促使最佳路 徑的重新計(jì)算，最終使所有路由器達(dá)成一致聚合很慢的 路由算法可能會(huì)產(chǎn)生路由環(huán)或網(wǎng)路中斷如下為路由算法原理圖:Packet■Liciura Mds;iPC向：Da&c糾創(chuàng)Im Host l^ratecol 日!Mrees) Rdulsr l Iphyisic銜敘JiJng追|Wfluter1PELGkMro. DestinaikHn h?l ^Protocol &ldre￡$|2 (Pliysioal JDtkarK^'iDflEinaiipn Hoet (PrulwaJ adt>95S)Des6nmliofl fiosl (Ph卿cal agrees；Tb-3D聒 1i醫(yī)iIiqh hostFC2)路由算法的漏洞：路徑和序列號(hào)欺騙，不穩(wěn)定性和共振效應(yīng)路由器在每個(gè)網(wǎng)絡(luò)中起到關(guān)鍵的作用，如果一路由器 被破壞或者一路由被成功的欺騙，網(wǎng)絡(luò)的完整性將受到嚴(yán) 重的破壞，如果使用路由的主機(jī)沒有使用加密通信那就更 為嚴(yán)重，因?yàn)檫@樣的主機(jī)被控制的話，將存在著中間人 (man-in- the-middle)攻擊，拒絕服務(wù)攻擊，數(shù)據(jù)丟失，網(wǎng) 絡(luò)整體性破壞，和信息被嗅探等攻擊。

多種路由器存在各種眾所周知的安全問題， 大部分是 由于錯(cuò)誤配置， IP 信息包錯(cuò)誤處理， SNMP 存在默認(rèn)的 communit name st ring,薄弱密碼或者加密算法不夠強(qiáng)壯而 造成上面的一些攻擊一般一個(gè)標(biāo)準(zhǔn)的NIDS都能夠探測(cè)出 來這些類型的攻擊對(duì)網(wǎng)絡(luò)底層有一定的削弱性并可以組 合一些高極別的協(xié)議進(jìn)行攻擊正確的配置管理可以處理不少普通的漏洞，如你必須處理一些標(biāo)準(zhǔn)的規(guī)程:不使用SNMP（或者選擇強(qiáng)壯的密碼）,保持補(bǔ)丁程序是最新的，正確處理訪問控制列表，出入過濾，防火墻,加密管理通道和密碼，路由過濾和使用 MD5 認(rèn) 證當(dāng)然在采用這些規(guī)程之前你必須知道這些安全規(guī)則的 相關(guān)的含義和所影響到的服務(wù)9．TCP / UDP 的漏洞（1） TCP 端口TCP 端口，即傳輸控制協(xié)議端口，需要在客戶端和服務(wù)器之 間建立連接，這樣可以提供可靠的數(shù)據(jù)傳輸常見的包括 FTP 服務(wù)的 21 端口， Telnet 服務(wù)的 23 端口， SMTP 服務(wù)的 25端口，以及HTTP服務(wù)的80端口等等2） UDP 端口UDP端口，即用戶數(shù)據(jù)包協(xié)議端口，無需在客戶端和服務(wù)器之間建立連接，安全性得不到保障常見的有 DNS 服務(wù)的53端口，SNMP （簡單網(wǎng)絡(luò)管理協(xié)議）服務(wù)的161端口，QQ使用的 8000 和 4000 端口等等。

10．ICMP 重定向的危險(xiǎn)：拒絕服務(wù)（1） 拒絕服務(wù)概念：DoS 的攻擊方式有很多種，最基本的 DoS 攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，從而使合法用戶無 法得到服務(wù) 或者說是利用合理的服務(wù)請(qǐng)求占有過多 的服 務(wù)資源，致使資源耗盡或是資源過載，造成服務(wù)器癱瘓，其 他用戶無法享用該服務(wù)資源2）拒絕服務(wù)特點(diǎn)：難確認(rèn)性隱蔽性資源有限性軟件復(fù)雜性（3）拒絕服務(wù)攻擊的基本模式：① 資源消耗型消耗網(wǎng)絡(luò)帶寬消耗磁盤空間消耗 CPU 和內(nèi)存資源② 配置修改型③ 基于系統(tǒng)缺陷型④ 物理實(shí)體破壞型4）拒絕服務(wù)攻擊的分類：①使系統(tǒng)或網(wǎng)絡(luò)癱瘓 發(fā)送少量蓄意構(gòu)造的數(shù)據(jù)包，使系統(tǒng)死機(jī)或重新啟動(dòng)主要利用系統(tǒng)軟件的Bug, 一旦Bug被修正，攻擊就不起作用系統(tǒng)恢復(fù)工作一般需要管理員的干預(yù)②使系統(tǒng)或網(wǎng)絡(luò)無法響應(yīng)正常的請(qǐng)求 發(fā)送大量的垃圾數(shù)據(jù)，使得系統(tǒng)無法處理正常的請(qǐng)求 比較難杜絕恢復(fù)系統(tǒng)不需要或只需要少量的人工干預(yù)11. ARP危害：幽靈的來源，ARP的爆炸和慢速鏈接APR 病毒，一種地址欺騙的病毒當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī) 運(yùn)行 ARP 欺騙的木馬程序時(shí)，會(huì)騙欺局域域網(wǎng)內(nèi)所有主機(jī)和 路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)。

其他用戶原 來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上網(wǎng)，切換的 時(shí)候用戶會(huì)斷一次線切換到病毒主機(jī)上網(wǎng)后，如果用戶已 經(jīng)登陸了游戲服務(wù)器，那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假 像，那么用戶就得重新登錄游戲服務(wù)器，這樣病毒主機(jī)就可 以盜號(hào)了⑵破碎的漏洞和解決方法：（ICMP溢出）互聯(lián)網(wǎng)控制消息協(xié)議（ICMP）是專門用作邏輯錯(cuò)誤和診斷 的信使RFC792對(duì)它作了詳細(xì)的闡述任何IP網(wǎng)絡(luò)設(shè)備都有 發(fā)送、接收或運(yùn)作 ICMP 消息的功能雖然 ICMP 的設(shè)計(jì)者沒有 考慮今天出現(xiàn)的安全性問題，但是他們已經(jīng)設(shè)計(jì)了一些能使 ICMP 更有效運(yùn)作的基本準(zhǔn)則1）為了確保ICMP消息不會(huì)淹沒IP網(wǎng)絡(luò)，ICMP沒有任何特別的優(yōu)先級(jí)，它總是一種常規(guī)流量2） ICMP 消息作為其他 ICMP 消息的響應(yīng)而發(fā)送這個(gè)設(shè)計(jì)機(jī)制是為了防止出現(xiàn)一個(gè)錯(cuò)誤消息不斷地重復(fù)制造出另一個(gè)錯(cuò)誤消息否則，它就真的是個(gè)大問題了3)ICMP 不能作為多播或廣播流量的響應(yīng)而發(fā)送。