网络信息安全技术知识(第二版)第8章Internet基础设施的安全性.ppt

第8章 Internet的基础设施安全 ;8.1 Internet安全概述 ; 网络面临的安全威胁可分为两种：一是对网络数据的威胁； 二是对网络设备的威胁。这些威胁可能来源于各种各样的因素： 可能是有意的， 也可能是无意的； 可能是来源于企业外部的， 也有可能是内部人员造成的；可能是人为的， 也可能是自然力造成的。  总结起来， 大致有下面几种主要威胁：  (1) 非人为、自然力造成的数据丢失、设备失效、线路阻断； (2) 人为但属于操作人员无意的失误造成的数据丢失；  (3) 来自外部和内部人员的恶意攻击和入侵。 ;图8.1 已经实现的各种网络安全机制 ;8.2 DNS的安全性 ; (3) 利用被控制的DNS服务器入侵整个网络， 破坏整个网络的安全完整性。 当一个入侵者控制了DNS服务器后， 他就可以随意篡改DNS的记录信息，甚至使用这些被篡改的记录信息来达到进一步入侵整个网络的目的。例如，将现有的DNS记录中的主机信息修改成被攻击者自己控制的主机，这样所有到达原来目的地的数据包将被重定位到入侵者手中。在国外，这种攻击方法有一个很形象的名称，被称为DNS毒药，因为DNS带来的威胁会使得整个网络系统中毒，破坏完整性。 ; (4) 利用被控制的DNS服务器，绕过防火墙等其它安全设备的控制。现在一般的网站都设置有防火墙，但是由于DNS服务的特殊性，在UNIX机器上，DNS需要的端口是UDP 53和TCP 53， 它们都是需要使用root执行权限的。这样防火墙很难控制对这些端口的访问，入侵者可以利用DNS的诸多漏洞获取到DNS服务器的管理员权限。  如果内部网络的设置不合理，例如DNS服务器上的管理员密码和内部主机管理员密码一致，那么，DNS服务器和内部其它主机就处于同一个网段， DNS服务器也就处于防火墙的可信任区域内， 这就相当于给入侵者提供了一个打开系统大门的捷径。 ;8.2.2 Windows下DNS欺骗 局域网内的网络安全是一个值得大家关注的问题，往往容易发起各种欺骗攻击， 这是局域网自身的属性所决定的——网络共享。 这里所说的DNS欺骗是基于ARP欺骗之上的网络攻击，如果在广域网上，则比较麻烦。  1. DNS欺骗的原理 ??我们换个思路，如果客户机在进行DNS查询时，能够允许它给出我们的应答信息，结果会怎样呢？这就是著名的DNS ID欺骗（DNS Spoofing）。 ; 在DNS数据报头部的ID（标识）是用来匹配响应和请求数据报的。现在，让我们来看看域名解析的整个过程。客户端首先以特定的标识向DNS服务器发送域名查询数据报，在DNS服务器查询之后以相同的ID号给客户端发送域名响应数据报。这时客户端会将收到的DNS响应数据报的ID和自己发送的查询数据报ID相比较，如果匹配则表明接收到的正是自己等待的数据报，如果不匹配则丢弃之。 ; 假如我们能够伪装DNS服务器提前向客户端发送响应数据报， 那么客户端的DNS缓存里域名所对应的IP就是我们自定义的IP了， 同时客户端也就被带到了我们希望的网站。条件只有一个， 那就是我们发送的ID匹配的DNS响应数据报在DNS服务器发送的响应数据报之前到达客户端。欺骗原理见图8.2所示。 ;图 8.2 DNS欺骗原理; 2. DNS欺骗的实现 现在我们知道了DNS ID欺骗的实质了， 那么如何才能实现呢？这要分两种情况。 (1) 本地主机与DNS服务器，本地主机与客户端主机均不在同一个局域网内，方法有以下几种： 向客户端主机随机发送大量DNS响应数据报，命中率很低；向DNS服务器发起拒绝服务攻击， 太粗鲁； BIND漏洞， 使用范围比较窄。 ; (2) 本地主机至少与DNS服务器或客户端主机中的某一台处在同一个局域网内。我们可以通过ARP欺骗来实现可靠而稳定的DNS ID欺骗，下面我们将详细讨论这种情况。  首先我们进行DNS ID欺骗的基础是ARP欺骗，也就是在局域网内同时欺骗网关和客户端主机（也可能是欺骗网关和DNS服务器， 或欺骗DNS服务器和客户端主机）。我们以客户端的名义向网关发送ARP响应数据报，不过其中将源MAC地址改为我们自己主机的MAC地址；同时以网关的名义向客户端主机发送ARP响应数据报，同样将源MAC地址改为我们自己主机的MAC地址。这样一来，网关看到的客户端的MAC地址就是我们主机的MAC地址；客户端也认为网关的MAC地址是我们主机的MAC地址。由于在局域网内数据报的传送是建立在MAC