网络安全技术与实践第二次作业
1.在TCP了解建立的3步握手阶段,攻击者为什么可以成功实施SNY Flood攻击?在实际中,如何防范此类攻击?
答:①:攻击者不断向服务器的监听端口发送建立TCP连接的请求SYN数据包,但是收到服务器的SYN包后却不回复ACK确认信息,每次操作都会使服务器端保留一个半开放的连接,当这些半开放连接填满服务器的连接队列时,服务器便不再接受后续的任何连接请求,这种攻击属于拒绝服务攻击。
②:防御这类攻击的主要思路是在服务器前端部署相应的网络安全设备对SYN FLOOD攻击数据包进行过滤。
2.黑客为什么可以成功实施ARP欺骗攻击?在实际中如何防止ARP欺骗攻击?
答:1:ARP欺骗的基本原理就是欺骗者利用ARP协议的安全漏洞,通过向目标终端大量发送伪造的,ARP协议报文欺骗目标终端,使目标终端误以为是与期望主机通信,而实际上是与欺骗者进行通信。
2:预防ARP欺骗攻击的方法:
①局域网内可采用静态ARP Cache
②ARPCache设置超时
③主动查询
在某个正常的时刻,做-一个IP和MC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常。
同时定期检测交换机的流量列表,查看丢包率。
④使用ARP防护软件
⑥使用具有ARP防护功能的路由器
3.什么是ICMP重定向攻击?如何防止此类攻击?
答:1:ICMP重定向攻击。ICMP可以用来对主机之间的消息进行重新定向,同样,黑客也能够用ICMP对消息进行重新定向,进而使得目标机器遭受连接劫持和拒绝服务等攻击。一般来说,重定向消息应该由主机来执行,而不是由路由器来执行。仅当消息直接来自路由器时,才由路由器执行重定向。然而,网络管理员有时可能会使用ICMP创建通往目的地的新路由。这种非常不谨慎的行为最终会导致非常严重的网络安全问题。:
2:预防ICMP重定向攻击方法:
①用高级设置法预防Ping:默认情况下,所有Internet控制消息协议(ICMP)选项均被禁用。如果启用ICMP选项,您的网络将在 Internet 中是可视的,因而易于受到攻击。 如果要启用ICMP,必须以管理员或Administrators 组成员身份登录计算机,右击“网上邻居”,在弹出的快捷菜单中选择“属性”即打开了“网络连接”,选定已启用Internet连接防火墙的连接,打开其属性窗口,并切换到“高级”选项页,点击下方的“设置”,这样就出现了“高级设置”对话窗口,在“ICMP”选项卡上,勾选希望您的计算机响应的请求信息类型,旁边的复选框即表启用此类型请求,如要禁用请清除相应请求信息类型即可。
②用网络防火墙阻隔Ping:使用防火墙来阻隔Ping是最简单有效的方法,现在基本上所有的防火墙在默认情况下都启用了ICMP过滤的功能。
4.在邮件应用中,IMAP与POP相比较,最大的改进是什么?
答:与POP3不同的是,IMAP4能支持离线和在线两种模式来传输数据:①在离线方式中,客户端程序会不间断地连接服务器下载未阅读过的邮件到本地磁盘,当客户端需要接收或者发送邮件时才会与服务器建立连接,这就是离线访问模式,POP3典型地以离线方式工作。
②在线没事中,一直都是由客户端来操作服务器上的邮件,不需要像离线模式那样吧邮件下载到本地才能阅读。用户可以通过客户端程际成有Web在线浏览邮件。一些POP3服务器也提供了在线功能,但是,它们没有达到IMAPA的浏览功能的级别。
5.FTP服务存在哪些安全风险?应如何做才能消除或减少这些安全风险?
①使用PORT命令会引起系列安全问题。首先,主动模式是由服务器主动对客人进行连接。户机进行连楼。一且这个连接受到黑客的攻击,那么防火墙无法对其作出正确的处理。其次。使用PORT金令还可能引起FTP反弹攻击(FIP Boumee Atack)。由于客户机在PORT命令中发送了自己的IP和端口号,攻击者能够对该客户机的端口进行扫描。采用这种攻击方式,攻击者能够打开一条通往任意一台机器的通道。
②攻击者可以将Java程序伪装成FTP客户机从而发动攻击。例如,假设攻击者希望连接到防火墙后面某台机器的Telnet 端口,那么他会设法将这个Java 程序嵌入到目标Web页面文件中。当有人在该站点上运行此Java程序时,它就会打开一条通往Web页面的FTP连接。只要伪装的FTP客户机发出一条PORT命令,指明采用23号端口Telnet到目标主机上,此时防火墙就会打开该端口。
③访间FIP服务器要使用口令登录,但是该口令能够很容易地被探测或猜测到。在运行FTP协议时,客户机与服务器之间的消息(包括口令)是以明文的形式传输的,这就导致了泄露口令的风险。
④在fpd守护程序中,历史上存在很多缺陷,而这些缺陷可能导致严重的安全漏洞。例如,tpd守护程序开始时以ro用户权限运行,但它不能在登录后掩盖其特权用户身份。
对于以上安全问题,可以采取一些防护措施。为了避免使用PORT命令造成的安令问题,现在,Intemnet 上大多数的FTP服务器和主流浏览器都支持PASV命令。如果FTP使用PASV命令,那么在配置防火墙的安全措施时,就可以禁止所有进入的TCP连接。除此之外,为了防止泄露口令,可以使用密文来传输用户名和口令。
6.请比较Telnet和SSH协议的异同,并用Sniffer软件捕捉其数据包查看两者的数据包内容有何不同。
答:Telnet是Teletype network的缩写,现在已成为一个专有名词,表示远程登录协议和方式,分为Telnet客户端和Telnet服务器程序。Telnet可以让用户在本地Telnet客户端上远端登录到远程Telnet服务器上。在本地输入的命令可以在服务器上运行,服务器把结果返回到本地,如同直接在服务器控制台上操作. 这样就可以在本地远程操作和控制服务器。
Telnet服务虽然使用方便,但由于其安全性不高,因此目前通常使用SSH代替Telnet进行远程管理。SSH是一个在应用程序中提供安全通信的协议,通过SSH可以安全地访问服务器,因为SSH基于成熟的公钥加密体系,把所有传输的数据进行加密,保证数据在传输时不被恶意破坏、泄露和篡改。SSH还是用了多种加密和认证方式,解决了传输中数据加密和身份认证的问题,能有效防止网络嗅探和IP欺骗等攻击。
使用Telnet这个用来访问远程计算机的TCP/IP协议以控制你的网络设备相当于在离开某个建筑时大喊你的用户名和口令。很快会有人进行监听,并且他 们会利用你安全意识的缺乏。传统的网络服务程序如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心 的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the- middle)这种方式的攻击。所谓“中间人”的攻击方式,就是“中间人”冒充真正的服务器接收你的传给服务器的数据,然后再冒充你把数据传给真正的服务 器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。
SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。
在使用SSH的时候,一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接,并加密受保护的口令。SSH1使用RSA加密密 钥,SSH2使用数字签名算法(DSA)密钥保护连接和认证。加密算法包括Blowfish,数据加密标准(DES),以及三重DES(3DES)。 SSH保护并且有助于防止欺骗,“中间人”攻击,以及数据包监听。
通过使用SSH把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数 据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替telnet,又可以为ftp、pop、甚至ppp提供一个安全的“通道”。