网络安全技术 第4章 网络攻击原理.pptVIP

　　最近出现了两个扫描器：QueSO和NMAP，在指纹扫描中引入了新技术。QueSO首先实现了使用分离的数据库于指纹。NMAP包含了很多操作系统探测技术，定义了一个模板数据结构来描述指纹。由于新的指纹可以很容易地以模板的形式加入，因此NMAP指纹数据库是不断增长的，它能识别的操作系统也越来越多。 　　这种使用扫描器判断远程操作系统的技术称为(TCP/IP)栈指纹技术。 　　另外有一种技术称为活动探测。活动探测把TCP的实现看做是一个黑盒子。通过研究TCP对探测的回应，就可以发现TCP实现的特点。TCP/IP栈指纹技术是活动探测的一个变种，它适用于整个TCP/IP协议的实现和操作系统。栈指纹使用好几种技术来探测TCP/IP协议栈和操作系统的细微区别。用这些信息来创建一个指纹，然后跟已知的指纹进行比较，就可以判断出当前被扫描的操作系统。 栈指纹扫描包含了相当多的技术。下面是一个不太完整的清单： (1) FIN探测； (2) BOGUS标记探测； (3) TCP ISN取样； (4) TCP初始窗口； (5) ACK值； (6) ICMP错误信息； (7) ICMP信息； (8) 服务类型； (9) TCP选项。 　　嗅探器可能造成的危害有： 　　(1) 能够捕获口令； 　　(2) 能够捕获专用的或者机密的信息； 　　(3) 可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限； 　　(4) 分析网络结构，进行网络渗透。 4.2.3 嗅探器的安全防范 　　1．检测嗅探器 　　检测嗅探器可以采用检测混杂模式网卡的工具。嗅探器需要将网络中入侵的网卡设置为混杂模式才能工作，AntiSniff就是一个能够检测混杂模式网卡的工具。 　　证明网络有嗅探器通常有两条经验。 　　(1) 网络通信丢包率非常高。通过一些网管软件，可以看到信息包的传送情况，最简单的是Ping命令。它会告诉用户掉了百分之多少的包。如果用户的网络结构正常，而又有20%～30%数据包丢失以致数据包无法顺畅地流到目的地，则证明可能有人在监听，这是由于嗅探器拦截数据包导致的。 　　(2) 网络带宽出现反常。通过某些带宽控制器时，可以实时看到目前网络带宽的分布情况，如果某台机器长时间地占用较大的带宽，则这台机器就有可能被监听。用户应该可以察觉出网络通信速度的变化。 　　如果确信有人接了嗅探器到自己的网络上，则可以找一些工具进行验证，这种工具称为时域反射计量器(Time Domaio Reflectometer，TDR)。TDR用来对电磁波的传播和变化进行测量。将一个TDR连接到网络上，就能够检测到未授权的获取网络数据的设备。不过，很多中小公司没有这种价格昂贵的工具。 　 　　2．隐藏数据 　　1) 安全的拓扑结构 　　嗅探器只能在当前网络段上进行数据捕获。这就意味着，将网络分段工作进行得越细，嗅探器能够收集到的信息就越少。但是，除非你的公司是一个ISP或者资源相对不受限制，否则这样的解决方案需要付出很大的代价。网络分段需要昂贵的硬件设备。有三种网络设备是嗅探器不可能跨过的，这三种设备分别为交换机、路由器和网桥。我们可以通过灵活地运用这些设备来进行网络分段。大多数早期建立的内部网络都使用HUB集线器来连接多台工作站，这就为网络中数据的泛播(数据向所有工作站流通)，让嗅探器能顺利工作提供了便利。普通的嗅探器程序只是简单地进行数据的捕获，因此需要杜绝网络数据的泛播。 　　随着交换机价格的下降，网络改造变得可行且很必要了。不使用HUB而用交换机来连接网络，能有效地避免数据的泛播，即避免让一个工作站接收任何与之不相关的数据。对网络进行分段，比如在交换机上设置VLAN，可使得网络隔离不必要的数据传送。一般可以采用20个工作站为一组，这是一个比较合理的数字。然后，每月人为地对每段进行检测(也可以每月采用MD5随机地对某段进行检测)。网络分段只适应于中小型网络。如果一个具有500个工作站的网络，分布在50个以上的部门中，那么完全地分段其成本是很高的。 　　2) 会话加密 　　会话加密提供了另外一种解决方案。这种方法不用特别担心数据被嗅探，而是要想办法使得嗅探器不认识嗅探到的数据。这种方法的优点是明显的：即使攻击者嗅探到了数据，这些数据对他也是没有用的。S/Key和其他一次性口令技术一样，使窃听账号信息失去了意义。S/Key的原理是：远程主机已得到一个口令(这个口令不会在不安全的网络中传输)，当用户连接时会获得一个“挑战”(challenge)信息，用户将这个信息和口令经过某种算法运算，产生正确的“响应”(response)信息(如果通信双方口令正确的话)。这种验证方式无需在网络中传输口令，而且相同的“挑战/响应”也不会出现两次。S/Key可从以下网址得到