实验一、网络环境与网络安全一、实验目的:理解网络环境,了解网络安全领域二、实验要求:对TCP/IP协议族进行分析和实验,研究其弱点并加以利用 三、实验内容: 1.网络环境定义:网络环境是指将分布在不同地点的多个多媒体计算机物理上互联,依据某种协议互相通信,实现软、硬件及其网络文化共享的系统2. 网络环境分类:①网络环境一:办公环境专为你办公时使用,安装office、msn、skype等常用办公软件 ②网络环境二:娱乐环境专为你娱乐时使用,玩游戏、听音乐、下载电影等 多个网络环境同时进行,如同你拥有了多台电脑 当然,这只是举例,你可以按照自己的喜好去定义这些环境里的内容、设置、桌布等等 3. 网络安全领域: 信息安全与风险管理 访问控制 安全体系结构和设计 物理和环境安全 远程通信和网络安全 密码学 业务连贯性和灾难恢复 法律法规合格性和调查 应用程序安全 操作安全 4.TCP/IP协议族简介:TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议)是用于计算机通信的一个协议族。
它是美国国防部高级研究项目局在20世纪70年代提出的一项基金研究项目的研究成果该项目的目的是寻求一种能使用各种介质来传输数据的方法,包括串行线路TCP/IP协议族包括诸如Internet协议(IP)、地址解析协议(ARP)、互联网控制信息协议(ICMP)、用户数据报协议(UDP)、传输控制协议(TCP)、路由信息协议(RIP)、Telnet、简单邮件传输协议(SMTP)、域名系统(DNS)等协议 5.TCP/IP协议族的层次结构: 从协议分层模型方面来讲,TCP/IP由四个层次组成:网络接口层、网际层、传输层、应用层 (1)应用层 应用层包含一切与应用相关的功能,相当于OSI的上面三层我们经常使用的HTTP、FTP、Telnet、SMTP等协议都在这一层实现 (2)传输层 传输层负责提供可靠的传输服务该层相当于OSI模型中的第4层在该层中,典型的协议是TCP(Transmission Control Protocol)和UDP(User Datagram Protocol)其中,TCP提供可靠、有序的,面向连接的通信服务;而UDP则提供无连接的、不可靠用户数据报服务。
3)网际层 网际层负责网络间的寻址和数据传输,其功能大致相当于OSI模型中的第3层在该层中,典型的协议是IP(Internet Protocol) (4)网络接口层 最下面一层是网络接口层,负责数据的实际传输,相当于OSI模型中的第1、第2层在TCP/IP协议族中,对该层很少具体定义大多数情况下,它依赖现有的协议传输数据6.TCP/IP协议族实验: 添加/安装TCP/IP协议;分配IP地址(静态和动态地址);划分局域网(实现共享、子网划分、网络接入、远程访问……)7.分析TCP/IP协议族的弱点并加以利用: TCP/IP协议族不安全由于局域网内部是一个相对开放的环境和TCP/IP协议内在的开放特征,内部网络上传输的数据很容易被截获并被分析或跟踪如果你发一个请求,所有局域网内的电脑都能收到,只是会判断信息中的地址是不是自己的地址,接就接收,不接收就丢弃所以,水平高的黑客可以通过任何一台机器来窃取局域网内想要的东西,包括密码8.路由算法:(1)路由算法简介: 路由算法,可以根据多个特性来加以区分,算法设计者的特定目标影响了该路由协议的操作;具体来说存在着多种路由算法,每种算法对网络和路由器资源的影响都不同;由于路由算法使用多种metric,从而影响到最佳路径的计算。
路由算法是提高路由协议功能,尽量减少路由时所带来开销的算法当实现路由算法的软件必须运行在物理资源有限的计算机上时高效尤其重要路由算法必须健壮,即在出现不正常或不可预见事件的情况下必须仍能正常处理,例如硬件故障、高负载和不正确的实现因为路由器位于网络的连接点,当它们失效时会产生重大的问题最好的路由算法通常是那些经过了时间考验,证实在各种网络条件下都很稳定的算法 此外路由算法必须能快速聚合,聚合是所有路由器对最佳路径达成一致的过程当某网络事件使路径断掉或不可用时,路由器通过网络分发路由更新信息,促使最佳路径的重新计算,最终使所有路由器达成一致聚合很慢的路由算法可能会产生路由环或网路中断 如下为路由算法原理图: (2)路由算法的漏洞:路径和序列号欺骗,不稳定性和共振效应路由器在每个网络中起到关键的作用,如果一路由器被破坏或者一路由被成功的欺骗,网络的完整性将受到严重的破坏,如果使用路由的主机没有使用加密通信那就更为严重,因为这样的主机被控制的话,将存在着中间人(man-in-the-middle)攻击,拒绝服务攻击,数据丢失,网络整体性破坏,和信息被嗅探等攻击。
多种路由器存在各种众所周知的安全问题, 大部分是由于错误配置,IP信息包错误处理,SNMP存在默认的communit name string,薄弱密码或者加密算法不够强壮而造成上面的一些攻击一般一个标准的NIDS都能够探测出来这些类型的攻击对网络底层有一定的削弱性并可以组合一些高极别的协议进行攻击 正确的配置管理可以处理不少普通的漏洞,如你必须处理一些标准的规程:不使用SNMP(或者选择强壮的密码),保持补丁程序是最新的,正确处理访问控制列表,出入过滤,防火墙,加密管理通道和密码,路由过滤和使用MD5认证当然在采用这些规程之前你必须知道这些安全规则的相关的含义和所影响到的服务 9.TCP / UDP的漏洞(1)TCP端口TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以及HTTP服务的80端口等等2)UDP端口UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保障常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的8000和4000端口等等。
10.ICMP重定向的危险:拒绝服务 (1) 拒绝服务概念:DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务 或者说是利用合理的服务请求占有过多 的服务资源,致使资源耗尽或是资源过载,造成服务器瘫痪,其他用户无法享用该服务资源 (2)拒绝服务特点:难确认性隐蔽性资源有限性软件复杂性(3)拒绝服务攻击的基本模式:①资源消耗型消耗网络带宽消耗磁盘空间消耗CPU和内存资源②配置修改型③基于系统缺陷型④物理实体破坏型 (4)拒绝服务攻击的分类:①使系统或网络瘫痪发送少量蓄意构造的数据包,使系统死机或重新启动主要利用系统软件的Bug,一旦Bug被修正,攻击就不起作用系统恢复工作一般需要管理员的干预②使系统或网络无法响应正常的请求发送大量的垃圾数据,使得系统无法处理正常的请求比较难杜绝恢复系统不需要或只需要少量的人工干预11.ARP危害:幽灵的来源,ARP的爆炸和慢速链接 APR病毒,一种地址欺骗的病毒当局域网内某台主机运行ARP欺骗的木马程序时,会骗欺局域域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。
其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线切换到病毒主机上网后,如果用户已经登陆了游戏服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录游戏服务器,这样病毒主机就可以盗号了12.破碎的漏洞和解决方法:(ICMP溢出)互联网控制消息协议(ICMP)是专门用作逻辑错误和诊断的信使RFC792对它作了详细的阐述任何IP网络设备都有发送、接收或运作ICMP消息的功能虽然ICMP的设计者没有考虑今天出现的安全性问题,但是他们已经设计了一些能使ICMP更有效运作的基本准则1)为了确保ICMP消息不会淹没IP网络,ICMP没有任何特别的优先级,它总是一种常规流量2) ICMP消息作为其他ICMP消息的响应而发送这个设计机制是为了防止出现一个错误消息不断地重复制造出另一个错误消息否则,它就真的是个大问题了3)ICMP不能作为多播或广播流量的响应而发送。