监听某个不常用端口,假冒登录界面获取帐号和口令等)。
3. 请解释下列各种“恶意攻击DoS”的方式:
Ping of Death、Teardrop、 SYN Flood、 Land Attack、 Smurf Attack、 DDoS攻击
1)Ping of Death
在早期操作系统TCP/IP协议栈实现中,对单个IP报文的处理过程中通常是设置有一定 大小的缓冲区(65535Byte),以应付IP分片的情况。接收数据包时,网络层协议要对IP分 片进行重组。但如果重组后的数据报文长度超过了IP报文缓冲区的上限时,就会出现溢出 现象,导致TCP/IP协议栈的崩溃。 2)泪滴(Teardrop)
协议栈在处理IP分片时,要对收到的相同ID的分片进行重组,这时免不了出现一些重 叠现象,分片重组程序要对此进行处理。对一个分片的标识,可以用offset表示其在整个包 中的开始偏移,用end表示其结束偏移。对于其他一些重叠情况,分片重组程序都能很好地 处理,但对于一种特殊情况,分片重组程序就会出现致命失误,即第二个分片的位置整个 包含在第一个分片之内。
分片重组程序中,当发现offset2小于end1时,会将offset2调整到和end1相同,然后更改 len2:len2=end2-offset2,在这里,分片重组程序想当然地认为分片2的末尾偏移肯定是大 于其起始偏移的,但在这种情况下,分片2的新长度len2变成了一个负值,这在随后的处理 过程中将会产生致命的操作失误。 3)SYN Flood
一个正常的TCP连接,需要经过三次握手过程才能真正建立。但是如果客户端不按常 规办事(假定源IP根本就是一个不会产生响应的虚假地址),并不向服务器最终返回三次 握手所必须的ACK包,这种情况下服务器对于未完成连接队列中的每个连接表项都设置一 个超时定时器,一旦超时时间到,则丢弃该表项。
但黑客并不会只发送一次这样的SYN包,如果他源源不断发送,每个SYN包的源IP都 是随机产生的一些虚假地址(导致受害者不可能再进行IP过滤或追查攻击源),受害者的 目标端口未完成队列就不断壮大,因为超时丢弃总没有新接收的速度快,所以直到该队列 满为止,正常的连接请求将不会得到响应。 4)Land Attack
如果向Windows 95的某开放端口(例如139端口)发送一个包含SYN标识的特殊的TCP 数据包,将导致目标系统立即崩溃。做法很简单,就是设置该SYN包的源IP为目标主机的 IP,源端口为目标主机受攻击的端口。 5)Smurf Attack
黑客以受害主机的名义向某个网络地址发送ICMP echo请求广播,收到该ICMPecho请求的网络中的所有主机都会向“无辜”的受害主机返回ICMP echo响应,使得受害主机应接不暇,导致其对正常的网络应用拒绝服务。 6)DDoS攻击
DDoS攻击是DoS攻击的一种延伸,它之所以威力巨大,是因为其协同攻击的能力。黑客使用DDoS工具,往往可以同时控制成百上千台攻攻击源,向某个单点目标发动攻击,它还可以将各种传统的DoS攻击手段结合使用。
4. 了解下列各种攻击方式:
5
UDP Flood、 Fraggle Attack、电子邮件炸弹、缓冲区溢出攻击、社交工程
1)UDP Flood
有些系统在安装后,没有对缺省配置进行必要的修改,使得一些容易遭受攻击的服务端口对外敞开着。
Echo服务(TCP7和UDP7)对接收到的每个字符进行回送;Chargen (TCP19和UDP19)对每个接收到的数据包都返回一些随机生成的字符(如果是与Chargen服务在TCP19端口建立了连接,它会不断返回乱字符直到连接中断)。 黑客一般会选择两个远程目标,生成伪造的UDP数据包,目的地是一台主机的Chargen服务端口,来源地假冒为另一台主机的Echo服务端口。这样,第一台主机上的Chargen服务返回的随机字符就发送给第二台主机的Echo服务了,第二台主机再回送收到的字符,如此反复,最终导致这两台主机应接不暇而拒绝服务,同时
造成网络带宽的损耗。
2)Fraggle Attack
它对Smurf Attack做了简单的修改,使用的是UDP应答消息而非ICMP。 3)电子邮件炸弹
黑客利用某个“无辜”的邮件服务器,持续不断地向攻击目标(邮件地址)发送垃圾邮件,很可能“撑破”用户的信箱,导致正常邮件的丢失。 4)缓冲区溢出攻击
十多年来应用非常广泛的一种攻击手段,近年来,许多著名的安全漏洞都与缓冲区溢出有关。
所谓缓冲区溢出,就是由于填充数据越界而导致程序原有流程的改变,黑客借此精心构造填充数据,让程序转而执行特殊的代码,最终获得系统的控制权。 5)社交工程(Social Engineering)
一种低技术含量破坏网络安全的有效方法,但它其实是高级黑客技术的一种,往往使得处在看似严密防护下的网络系统出现致命的突破口。这种技术是利用说服或欺骗的方式,让网络内部的人(安全意识薄弱的职员)来提供必要的信息,从而获得对信息系统的访问。
5. 课外查阅: TCP/IP中各个协议的安全问题
参见“信息安全”课程补充讲义第五部分内容
6. 请解释下列网络信息安全的要素:
保密性、完整性、可用性、可存活性
6
7
3 安全体系结构与模型
一、选择题
1. 网络安全是在分布网络环境中对(D)提供安全保护。 A. 信息载体 B. 信息的处理、传输 C. 信息的存储、访问 D. 上面3项都是
2. ISO 7498-2从体系结构观点描述了5种安全服务,以下不属于这5种安全服务的是(B)。 A. 身份鉴别 B. 数据报过滤 C. 授权控制 D. 数据完整性
3. ISO 7498-2描述了8种特定的安全机制,以下不属于这8种安全机制的是(A)。 A. 安全标记机制 B. 加密机制
C. 数字签名机制 D. 访问控制机制 4. 用于实现身份鉴别的安全机制是(A)。 A. 加密机制和数字签名机制 B. 加密机制和访问控制机制
C. 数字签名机制和路由控制机制 D. 访问控制机制和路由控制机制
5. 在ISO/OSI定义的安全体系结构中,没有规定(E)。 A. 对象认证服务 B.数据保密性安全服务 C. 访问控制安全服务 D. 数据完整性安全服务 E. 数据可用性安全服务
6. ISO定义的安全体系结构中包含(B)种安全服务。 A. 4 B. 5 C. 6 D. 7 7. (D)不属于ISO/OSI安全体系结构的安全机制。
A. 通信业务填充机制 B. 访问控制机制 C. 数字签名机制 D. 审计机制 E. 公证机制 8. ISO安全体系结构中的对象认证服务,使用(B)完成。 A. 加密机制 B. 数字签名机制 C. 访问控制机制 D. 数据完整性机制 9. CA属于ISO安全体系结构中定义的(D)。
A. 认证交换机制 B. 通信业务填充机制 C. 路由控制机制 D. 公证机制 10. 数据保密性安全服务的基础是(D)。
A. 数据完整性机制 B. 数字签名机制 C. 访问控制机制 D. 加密机制
11. 可以被数据完整性机制防止的攻击方式是(D)。 A. 假冒源地址或用户的地址欺骗攻击 B. 抵赖做过信息的递交行为 C. 数据中途被攻击者窃听获取
D. 数据在途中被攻击者篡改或破坏
二、填空题
8