文档介绍:第十章网络攻防和入侵检测第十章网络攻防和入侵检测网络层安全分析只是发送数据并保证数据的完整性,不保持任何连接状态的信息,每个数据报文被发送出去,不关心前后数据报文的情况,所以可以修改堆栈,在源地址和目的地址中放入任何满足要求的地址,即提供虚假的地址。突破防火墙系统最常用的方法是就地址欺骗,它同时也是其他一系列攻击方法的基础。黑客或入侵者利用伪造的发送地址产生虚假的数据分组,乔装成来自内部站的分组过滤器,这种类型的攻击是非常危险的。关于涉及到的分组真正是内部的还是外部的分组被包装得看起来象内部的种种迹象都已丧失殆尽。只要系统发现发送地址在其自己的范围之内,则它就把该分组按内部通信对待并让其通过。地址欺骗网络层安全分析地址欺骗假定入侵者知道主机和已经建立了信任关系,入侵者打算欺骗的是主机。入侵者要对实施欺骗,他必须假扮,所有就必须让的主机无法响应任何请求。进行一次欺骗需要经过以下步骤:确定攻击目标使得计划要冒充的主机无法响应目标主机的会话猜出来自目标主机的正确序列号冒充连接到目标主机根据猜出的正确序列号向目标主机发送回应包进行系列会话第十章网络攻防和入侵检测网络层安全分析()抛弃基于地址的信任策略()进行包过滤()使用加密方法()使用随机化的初始序列号地址欺骗的防止措施第十章网络攻防和入侵检测网络层安全分析泪滴()攻击(碎片攻击)链路层具有最大传输单元这个特性,它限制了数据帧的最大长度,不同的网络类型都有一个上限值。以太网的是。如果层有数据包要传,而且数据包的长度超过了,那么层就要对数据包进行分片()操作,使每一片的长度都小于或等于。每一分片都各自路由,到达目的主机后在层重组,首部中的数据能够正确完成分片的重组。若在分组中指定一个非法的片偏移值,将可能造成某些协议软件出现缓冲区覆盖,导致系统崩溃。第十章网络攻防和入侵检测国际互联网络服务器服务器防火墙其它网络广域网电话网企业网内域网网络层安全分析地址扫描第十章网络攻防和入侵检测国际互联网服务器服务器防火墙其它网络广域网电话网企业网内域网网络层安全分析防火墙扫描第十章网络攻防和入侵检测服务器服务器防火墙其它网络电话网广域网国际互联网络内域网企业网网络层安全分析服务器扫描第十章网络攻防和入侵检测服务器服务器防火墙企业网其它网络电话网广域网国际互联网络内域网网络层安全分析扫描第十章网络攻防和入侵检测网络层安全分析洪水()攻击 正常情况下,为了对网络进行诊断,一些诊断程序,比如等,会发出响应请求报文(),接收计算机接收到后,会回应一个报文。而这个过程是需要处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。这样如果攻击者向目标计算机发送大量的报文(产生洪水),则目标计算机会忙于处理这些报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击()。第十章网络攻防和入侵检测