第13章管理TCP环境.pptVIP

第13章 管理TCP环境 管理TCP环境就是通过一些方法手段来保护TCP/IP环境的安全。TCP/IP最初设计的时代，联网技术还是非常罕见的技术，并且只有少数人使用它。支持这个环境的基础协议通常完全没有安全特性和功能。但是随着Internet的不断发展，网络安全逐渐成为网络中重点，是首要解决的问题。 * * 本章知识要点： 了解网络安全及其涉及的方面 网络安全性概述 了解常见的攻击方式 维护IP安全问题 保护IP安全的措施 * 13.1 网络安全概述 以Internet为代表的全球性信息化浪潮日益高涨，计算机以及信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的有政府部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及，网络安全日益成为影响网络效能的重要问题，而由于网络自身所具有的开放性和自由性等特点，在增加应用自由度的同时，对安全提出了更高的要求。如何使网络信息系统不受黑客和工业间谍的入侵，已成为企业信息化健康发展所要考虑的重要事情之一。 13.2 网络安全性 每一个基于IP的服务都可能和一个或多个众所周知的用以侦听服请求的端口地址有关，这些地址代表了TCP或UDP端口，为响应连接企图而开始真实请求的响应而设计。遗憾的是，处理有效请求的同一端口可能成为攻击点，即在你向用户提供服务的同时黑客也许通过该窗口进行某些破坏。 * 13.2.1 常见IP攻击方法 虽然根据具体不同而对IP协议和服务进行攻击的细节有所不同，但这些攻击大体可以分成4类。 （1）Dos攻击 （2）IP服务攻击 （3）IP服务实现漏洞 （4）保护IP协议和服务的安全 * 13.2.2 IP服务的漏洞问题 远程登录服务是一种易受攻击的IP服务，它包括已知的Telnet远程终端仿真服务，还有称为Berkeley的远程实用工具a.k.a.r-utils，这个工具内有各种命令，它们可用于执行远程命令（rexec），发送远程UNIX DOS内部命令（rsh），远程打印（rpr）命令等。在20世纪80年代的UNIX的Berkeley Software Distribution（BSD）版本中包括这些r_utils，就是要给定这些实用工具的名称，而且正是它们在网络的其他机器上执行远程命令或会话的能力使得这些命令成为潜在的安全威胁。 * 13.2.3 漏洞、后门和其他非法闯入点 漏洞、后门和其他非法闯入点既适用于操作系统、也适用于上面运行的IP服务，二者都可能成为攻击对象。 * 13.2.4 IP安全原理 考虑到很多潜在的漏洞和很多不道德行为者能利用这些与IP安全措施有关的未通知优势试着进行攻击的方法。所以建议对系统采用以下推荐措施： 避免不必要的暴露 锁定所有不同的端口 防止内部地址“电子欺骗” 过滤不想要的地址 排除默认访问 限制对“可妥协”主机的外来访问 在别人做之前自己先做 * 13.3 常见的攻击方式 根据其性能，TCP/IP是一个受人信任的协议堆栈。这些年来设计者、实现者和产品开发者试图保证这个协议的安全，并且尽可能地在实质上堵住已知的漏洞或薄弱点。 * 13.3.1 常见恶意程序 恶意程序是分裂操作或破坏数据的恶意代码。病毒、蠕虫（常引用为移动代码）和特洛伊木马就是这些恶意代码中最常见的三种。 * * 13.3.2 拒绝服务攻击 拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。 * 13.3.3 分布式服务拒绝攻击 分布式拒绝服务攻击（DDoS）是目前黑客经常采用而难以防范的攻击手段。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。 13.3.4 缓存溢出 缓存溢出是觉常见的攻击方式，但严格来讲，它们和TCP/IP无关。相反，它们发现了想要接收固定长度的输入信息的许多程序中的漏洞。通过发送比预期更多的数据攻击者可以“过度运行”程序的输入缓存。一些情况下，在计算机上使用同一特权作为程序可使用额外数据报告命令。 * 13.3.5 欺骗 欺骗是一个借用识别信息