第10章网络中的安全问题.ppt

第10章网络中的安全问题
网络监听
如果有一个网络设备专门收集广播而决不应答，那么，它就可以看到本网的任何计算机在网上传输的数据。如果数据没有经过加密，那么它就可以看到所有的内容。Sniffer就是一个在以太网上开的端口往往忽略这些请求。这是一个TCP实现上的错误，也不是所有的系统都存在这类错误，因此，并不是100％有效。
4、Fragmentation 扫描
Fragmentation扫描并不是仅仅发送探测的数据包，而是将要发送的数据包分成一组更小的IP包。通过将TCP包头分成几段，放入不同的IP包中，使得包过滤程序难以过滤。
recfrom()和write()扫描
没有root 权限的用户不能直接得到端口不可访问的错误，但是Linux可以间接地通知用户。
6、ICMP扫描
ICMP扫描并不是一个真正的端口扫描，因为ICMP并没得到端口的信息。然而，用PING这个命令，通常可以得到网上目标主机是否正在运行的信息。

1、NSS
NSS，即网络安全扫描器，是一个非常隐蔽的扫描器。如果用流行的搜索程序搜索它，所能发现的入口不超过20个。这并非意味着NSS使用不广泛，而是意味着多数有该扫描器的FTP的站点处在暗处，或无法通过WWW搜索器找到它们。

SATAN的英文全称为Security Administrator Tool for Analyzing Networks，即安全管理员的网络分析工具。SATAN是一个分析网络的安全管理、测试与报告工具。它用来收集网络上主机的信息，可以识别并且自动报告与网络相关的安全问题。
3. Strobe
Strobe是一个超级优化TCP端口检测程序，能快速地识别指定机器上正运行什么服务，用于扫描网络漏洞。它可以记录指定机器的所有开放端口。Strobe运行速度很快，它的主要特点是能快速识别指定机器上正在运行什么服务


网络监听工具是提供给管理员的一类管理工具。这种工具本来是用来管理网络，监视网络的状态、数据流动情况以及网络上传输的信息的。但是，由于它能有效地截获网上的数据，因此也成了网上黑客使用最多的方法 。
1、监听的可能性
网络监听是黑客们常用的一种方法。当黑客成功地登录到一台网络上的主机，并取得这台主机超级用户的权限之后，往往要扩大战果，尝试登录或者夺取网络中其他主机的控制权。而网络监听则是一种最简单而且最有效的方法，它常常能轻易地获得用其他方法很难获得的信息。
在网络上，监听效果最好的地方是网关、路由器和防火墙。监听最方便的地方是以太网中任何一台上网的主机，这是大多数黑客的做法。
2、以太网中可以监听的原因
以太网协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包含着应该接收数据包的主机的正确地址。因此，只有与数据包中目标地址一致的那台主机才能接收数据包。但是，当主机工作在监听模式下，那么，无论数据包中的目标物理地址是什么，主机都将接收。

1、简单的检测方法
网络监听是很难被发现的。运行网络监听的主机只是被动地接收在局域网上传输的信息，并没有主动的行动，既不会与其他主机交换信息，也不会修改在网上传输的信息包。这一切决定了网络监听的检测是非常困难的。
(1)方法一
对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处于监听状态的机器能接收，如果他的IP stack不再次反向检查，就会响应。这种方法依赖于系统的IP stack，对一些系统可能行不通
(2)方法二
往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，会导致性能下降。通过比较前后该机器性能（icmp echo delay等方法）加以判断。这种方法难度比较大。
一个比较可行的检查监听程序的办法是搜索所有主机上运行的进程。当然，这几乎是不可能的。但是至少管理员可以确定是否有一个进程被从管理员机器上启动。在不同平台上执行这个操作的命令是不同的。那些使用Dos、Windows for workgroup或者 Windows95的机器很难做到这一点。而使用UNIX和Windows NT/2000的机器可以很容易地得到当前进程的清单。
2、对付一个监听
击败一个监听程序的攻击并不十分困难。用户有多种选择，而最终采用哪一种取决于用户真正想做什么，剩下的就取决于运行时的开销了。
3、其他防范监听的办法
一般能够接受的击败网络监听的方法是使用安全的拓扑结构。这种技术通常被称为分段技术。将网络分成一些小的网络，每一网段的