· 网络安全全国
ARP地址解析协议:将局域网中的32bitIP地址→48bit物理地址(网卡的MAC地址)
ARP欺骗:计算机发出假冒的ARP查询或应答信息,然后将所有流向它的数据流转移,以此伪装成某台机器或修改数据流向。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。
ICMP控制消息协议:介于网络层和传输层,传输网络诊断信息(error)或咨询信息(information),既传输差错报文,又传输控制报文。是监控工具Ping和Traceroute的重要组成部分。
安全威胁:①滥用ICMP来中断某些连接②利用ICMP对消息重定向(redirect)③死亡之ping。
TCP传输控制协议:由于IP数据包易丢失、被复制或乱序传递,TCP可以将数据包排序并进行错误检查,重传重组,同时实现虚电路间的连接。
安全威胁:①unix系统规定超级用户才可创建1024以下端口(特权端口);
②三次握手进行连接时TCP协议处于半开放状态下,SYNFlood攻击会使服务器保持半开放连接状态进而无法完成三步握手协议,无法响应其他客户机的连接请求。
③序号攻击:若攻击者能预测目标主机选择的起始序号就可欺骗目标主机。如Morris。
UDP用户数据报协议:与TCP位于同一层,但是没有连接建立的过程(TCP具有连接建立、撤销和状态维护的过程),没有纠错和重传机制,也没有数据包检测机制,进行大流量数据传输时易造成堵塞主机或路由器并导致数据包丢失,没有交换握手信息和序号的过程导致使用UDP实施欺骗比使用TCP简单;用于交换消息的开销比TCP小,适用于挑战/响应类型的应用,如NFS,NTP,DNS(DNS也使用TCP)。
2.2网络地址和域名管理
路由协议:一种在Internet上动态寻找恰当路径的机制,是支撑TCP/IP、IPX/SPX、AppleTalk等协议工作的基础,目的是实现网络互联。
非对称路由(返回通道与发送通道不一致):
优点:起到负载均衡作用;
缺点:有多个防火墙时会引发安全问题。
宽松路由(loose source route):指定数据包必须经过的确切路由地址,根据RFC1122,目标主机必须使用逆通道作为返回路由,使得攻击者可以假冒目标主机信任的任一主机。(最容易的攻击方式)。
