第6章Internet安全体系结构之一.docVIP

第2篇Internet安全体系结构 第6章Internet安全体系结构之一 6.1物理网络风险及安全 6.1.1物理网络风险 1. 窃听（eavesdropping） 2. 回答（重放） 3. 插入 4. 拒绝服务（DoS） 6.1.2物理层安全 图6-1一个简单的网络身份鉴别栈 6.2局域网LAN的安全 6.2.1攻击类型 1. 破坏（disruption） 2. 干扰（interference） 3. 故意攻击（intentional attacks） 6.2.2防御方法 1. 防火墙 2. 特权区（privileged zones） 图6-2DMZ、洋葱头、大蒜头网络配置 3. LAN连接 6.3无线网络安全 6.3.1无线网风险 1. 分组嗅测（packet sniffing） 2. 服务集标识SSID（the service set identifier）信息 3. 假冒（inpersonation） 4. 寄生者（parasites） 5. 直接安全漏洞（direct security breaches） 6.3.2风险缓解的方法 1. SSID打标签 2. 广播SSID 3. 天线放置 4. MAC过滤 5. WEP 6. 其他密码系统 7. 网络体系结构 6.4数据链路层风险及安全 6.4.1数据链路层风险 1. 随意模式 2. 负载攻击 3. 地址攻击 4. 帧外数据 5. 转换通道 6. 物理风险 6.4.2数据链路层风险缓解方法 1. 硬编码 2. 数据链路身份鉴别 3. 高层身份鉴别 4. 分析器和工具 6.5PPP和SLIP的风险 1. 身份鉴别 图6-3CHAP处理 2. 双向通信 3. 用户教育 6.6MAC和ARP的风险 6.6.1MAC的风险 1. 硬件框架（profiling）攻击 2. 伪装攻击 3. 负载攻击 6.6.2ARP和RARP的风险 1. ARP损坏（Poisoning） 2. ARP受损的影响 图6-4作为MitM 攻击的ARP受损 3. 缓解ARP的受损 4. 交换机攻击 6.7网络层风险及安全 6.7.1路由风险 1. 直接路由器攻击 2. 路由表中毒 3. 路由表淹没 4. 路由度量攻击 5. 路由器环路攻击 6.7.2地址机制的风险 1. 假地址 2. 地址拦截 3. 假释放攻击 4. 假的动态分配 6.7.3分段的风险 1. 丢失分段攻击 2. 最大的不分段大小 3. 分段重组 6.7.4质量服务 6.7.5网络层安全 1. 安全协议 2. 网络不兼容能力 3. 体系结构 4. 安全过滤 5. 防火墙和出口过滤 6.8IP风险 1. 地址冲突 2. IP拦截 3. 回答攻击 4. 分组风暴 5. 分段攻击 6. 转换通道 6.9IP安全可选方案 6.9.1禁用ICMP 6.9.2非路由地址 6.9.3网络地址转换NAT 6.9.4反向NAT 6.9.5IP过滤 6.9.6出口过滤 6.9.7IPSec 6.9.8IPv6 6.10匿名 6.10.1匿名的属性 6.10.2网络匿名 6.10.3网络匿名的局限性 6.11本章小结 习题 1. 列出物理网风险的4种类型。 2. 什么是身份鉴别栈？ 3. 列出对有线物理网攻击的5种类型。 4. 有哪几种动态LAN链接的身份鉴别方法？ 5. 列出无线网的各种风险。 6. WEP是一种高强度安全方法吗？为什么？ 7. 什么是数据链路的随意模式？ 8. 列出各种缓解数据链路层风险的方法。 9. 试述CHAP的功能、特点和局限性。 10. ARP为什么会受损？ARP受损后有何影响？如何能缓解ARP受损？ 11. 基于路由器的攻击有哪几种？路由表淹没后有哪几种结果？ 12. OSI网络层是否定义地址的身份鉴别和验证?基于数字和名字的地址机制容易受到何种地址攻击? 13. 什么是分段机制的主要危险?假如分段组装超时值设置过低会有什么后果? 14. 网络层提供哪些QoS功能?QoS攻击有哪些? 15. 网络层有哪些安全风险?网络层安全风险缓解方法有哪些?它们有哪些局限性? 16. 什么是IP的安全风险? 17. 比较各种IP安全可选方案的优缺点。IPSec和的IPv6的异同是什么？ 18. 网络匿名的方案有哪些？有何局限性？ 1 数据结构(C++版) 8 网络安全(第2版)