第7#網絡要小就卷

1.1網絡安全面臨的威脅

1.2網絡安全體系結構

1.3PDRR網絡安全模型

1.4網絡安全基本原則

Ll_網絡安全面臨的威脅

物理安全威脅、操作系統的安全缺陷、網

絡協議的安全缺陷、應用軟件的實現缺陷、用

戶使用的缺陷和惡意程序等6個方面的安全威

脅。

1.1.1物理安全威脅

1.物理安全問題的重要性

信息安全首先要保障信息的物理安全。物理安

全是指在物理介質層次上對存儲和傳輸的信息的安

全保護。物理安全是信息安全的最基本保障，是不

可缺少和忽視的組成部分。

2.主要的物理安全威脅

物理安全威脅，即直接威脅網絡設備。目前

王要的物理安全威脅包括以下3大類。

?自然災害、物理損壞和設備故障。特點是

突發性、自然因素性、非針對性。這種安全威脅

只破壞信息的完整性和可用性，無損信息的秘密

性。

?電磁輻射、乘虛而入和痕跡泄露。這種安

全威脅只破壞信息的秘密性，無損信息的完整性

和可用性。

?操作失誤和意外疏忽（例如，系統掉電、

操作系統死機等系統崩潰）。特點是人為實施的

無意性和非針對性。這種安全威脅只破壞信息的

完整性和可用性，無損信息的秘密性。

(1)外部終端的物理安全

(2)通信線路的物理安全

1.T.2操作系統的安全缺陷

操作系統是用戶和硬件設備的中間層，是

任何計算機在使用前都必須安裝的。

目前，人們使用的操作系統分為兩大類：

UNIX/Linux系列和Windows系列。下面分別

舉例說明這兩大類操作系統中存在的安全缺

陷。

2006年1月9日國際報道，2005年，美國CERT（

因特網官方急救小組，ComputerEmergency

ReadinessTeam）在Linux和Unix操作系統中發現

的缺陷數量要多于Windows,據美國CERT稱，

Linux和基于Unix的操作系統中包含的安全缺陷

數量是Windows中的二倍還多。

CERT在名為《電腦安全公告2005》的報告中表

示，在報告的5198個安全缺陷中，屬于Windows

的有812個，屬于Unix/Linux的有2328個,2058個

缺陷是多種操作系統共同存在的。

據安全專家稱，Windows的普及性意味著它受

到攻擊的可能性要遠大于Linux。

1.公共缺陷檢索(CommonVulnerabilities

andExposures，CVE)

大多數信息安全工具都包含一個信息安全

缺陷的數據庫，但是，這些數據庫對信息安全

缺陷的描述格式各不相同。

CVE是信息安全確認的一個列表或者詞

典。它對不同信息安全缺陷的數據庫之間提供

一種公共的索引，是信息共享的關鍵。有了

CVE檢索之后，一個缺陷就有了一個公共的名

字，從而可以通過CVE的條款檢索到包含該缺

陷的所有數據庫。

CVE有如下幾個特點：

種缺陷都有惟一的命名；

②每一種缺陷都有惟一的標準描述；

③CVE不是一個數據庫而是一種檢索詞典；

④CVE為多個不同的數據庫提供一種交流的共同

語言；

⑤CVE是評價信息安全數據庫的一個基礎；

⑥CVE可以通過因特網閱讀和下載；

⑦CVE的會員可以給CVE提供自己數據庫的索引

信息及其修改信息。

2.UNIX操作系統的安全缺陷

(1)遠程過程調用(RemoteProcedureCalls,

RPC)~

遠程過程調用允許一臺機器上的程序執行另

一臺機器上的程序。它們被廣泛地用于提供網絡服

務，如NFS文件共享和NIS。很多UNIX操作系統的

RPC軟件包中包含具有緩沖區溢出缺陷的程序。以

下的程序具有緩沖區溢出的缺陷。

①rpc.yppasswdd：

②rpc.espd：

③rpc.cmsd：

④rpc.ttdbserver：

⑤rpc.bind：

如果系統運行上述程序之一，那么系統就很可

能受到RPC服務緩沖區溢出的攻擊。值得注意的是,

UNIX的絕大部分版本都具有這個缺陷。解決這個

問題的最好方案是全部刪除這些服務。在必須運行

該服務的地方，安裝最新的補丁。

什么是緩沖區溢出

緩沖區是用戶為程序運行時在計算機中申請得的一

段連續附內存，它保存了給定類型的數據。是一種

系統攻擊的手段，通過往程序的緩沖區寫超出其長

度的內容，造成緩沖區的溢出，從而破壞程序的堆

棧，使程序轉而執行其它指令，以達到攻擊的目的。

緩沖區溢出的原理

一個程序在內存中通常分為程序段，數據段和堆棧

三部分。程序段里放著程序的機器碼和只讀數據。

數據段放的是程序中的靜態數據。動態數據則通過

堆棧來存放。在內存中，它們的位置是：

內存低端

程序段

數據段

堆棧

內存高端

將一個超過緩沖區長度的字符串置入緩沖區就會造

成緩沖區溢出，這是由于程序設計語言的一些漏洞,

如C/C++語言中，不對緩沖區、數組及指針進行邊

界檢查，在程序員也忽略對邊界進行檢查而向一個

有限空間的緩沖區中置入過長的字符串可能會帶來

兩種結果：一是過長的字符串覆蓋了相鄰的存儲單

元，引起程序運行失敗，嚴重的可導致系統崩潰；

另一種后果是利用這種漏洞可以執行任意指令，甚

至可以取得系統特權，由此而引發多種攻擊方法。

緩沖區溢出對系統的安全性帶來很大的威脅，比如

向程序的有限空間的緩沖區中置入過長的字符串，

造成緩沖區溢出，從而破壞程序的堆棧，使程序轉

去執行其他的指令，如果這些指令是放在有Root權

限的內存里，那么一旦這些指令得到了運行，入侵

者就以Root的權限控制了系統，這也是我們所說的

U2R(UsertoRootAttacks)攻擊。可以取得系統

超級用戶權限，在Unix取得超級用戶權限就意味著

黑客可以隨意控制系統。為了避免這種利用程序設

計語言漏洞而對系統的惡意攻擊，我們必須要仔細

分析緩沖區溢出攻擊的產生及類型，從而做出相應

的防范策略。

舉例：CERT安全公告CA-2002-26(Linux,補丁)

CERT安全公告多個廠商CDEToolTalk數據庫服務

器遠程溢出缺陷一

CommonDesktopEnvironment(CDE)ToolTalk遠

程過程調用數據庫服務器存在一個緩沖區溢出缺陷,

允許遠程攻擊者在系統上執行任意程序代碼和指令,

或進行拒絕服務攻擊。

CommonDesktopEnvironment(CDE)是一^個運

行在Unix以及Linux操作系統上的綜合圖形

用戶接口。CDEToolTalk是一個通訊代理系統,

用于不同主機和平臺上的應用程序通過遠程過程

調用(RPC)相互通訊。

在大部金的Unix環境下,CDEToolTalk都是被缺

省安裝的.ToolTalk遠程過程調用數據庫服務器用

來管理ToolTalk應用程序之間的通訊.不幸的是

CDEToolTalkdatabaseserver在傳遞參數給

procedure_TT_CREATE_FILE()時存在一個堆溢出

(heapbufferoverflow)缺陷。^^個可訪問

ToolTalkRPCdatabaseservice的攻擊者可利用

此缺陷，精心構建一個RPCmessage來進行攻擊。

利用在RPCmessage中包含的一個傳送給

_TT_CREATE_FILE()的特別設計的參數，遠程攻擊

若疔以在系統上執行任意指令或進行拒絕服務攻擊。

在大部分的系統上，ToolTalkdatabaseserver

通常是以root權限執行。部分操作系統所提供的

non-executablestack保護措施并不能防止在

heap內的程序被執行。

(2)Sendmail

Sendmail是在UNIX和Linux操作系統中用

得最多的發送、接收和轉發電子郵件的程序。

Sendmail在因特網上的廣泛應用使它成為攻擊

者的主要目標，過去的幾年里曾發現了若干個

缺陷。

攻擊者可以發送一個特別的郵件給運行

Sendmail的機器，Sendmail就把口令發送給攻

擊者。

Sendmail有很多易受攻擊的弱點，必須定

期地更新和打補丁。

3.Windows系列操作系統的安全缺陷

(1)Unicode

Unicode(統一碼)是一種在計算機上使用

的字符編碼。它為每種語言中的每個字符設定了

統一并且唯一的二進制編碼，以滿足跨語言、跨

平臺進行文本轉換、處理的要求。基本上，計算

機只是處理數字。它們指定一個數字，來儲存字

母或其他字符。在創造Unicode之前，有數百種

指定這些數字的編碼系統。

目前，WindowsNT/2000最主要的Unicode漏洞

一共有四種，分別針對不同語言的操作系統。分

別為：%cl%lc>%cO%cf>%cl%pc>

%c0%9vo例如第一個％cl%lc的問題。cl1c

,中文簡體里面沒有這個字，按照正常的情況,、

根據內碼轉換文件\wiimt\system32\c_936.nls會編

碼成“？”。但對簡體中文版IIS中cl1c解碼成

了此編碼發生在HS檢測處理路徑串中的

之后，所以可以突破IIS路徑訪問到上級目錄

O

這種攻擊稱為目錄轉換(Directory

Traversal)攻擊。

(2)ISAPI緩沖區溢出

--------MicrosoftIIS(InternetInformationServer

)是在大多數MicrosoftWindowsNT和Windows

2000服務器上使用的服務器軟件。在安裝IIS的時

候，多個ISAPI(InternetServicesApplication

ProgrammingInterface)被自動安裝。ISAPI允許

開發人員使用多種動態鏈接庫DLLs來擴展HS服務

器的性能。一些動態鏈接庫，例如idq.dll,有編程

錯誤，使得它們進行不正確的邊界檢查。特別是，

它們不阻塞超長字符串。攻擊者可以利用這一點向

DLL發送數據，造成緩沖區溢出，進而控制HS服

務器。

(3)Windows操作系統常見安全問題解決方法

a給系統安裝補丁程序

微軟會經常的發布一些已知漏洞的修補程序，這

些東西一般都可以通過WindowsUpdate來安裝。

你需要做的只是經常性的訪問WindowsUpdate網

站。或者直接點擊開始菜單中WindowsUpdate的

快捷方式。MWindowsXP和最新的Windows2000

更加進步了，可以自動檢查更新，在后臺下載，

完成后通知你下載完成并詢問是否開始安裝。

對于Windows2000/XP的用戶，微軟還提供了一個

檢查安全性的實用工具：基準安全分析器、、

(MicrosoftBaselineSecurityAnalyzer),這個程

序可以自動對你的系統進行安全性檢測，并且對

于出現的問題，都可以提供一個完整的解決方案。

安裝了所有的補丁程序后，調整設置。

b重命名和禁用默認的帳戶

安裝好Windows后，系統會自動建立兩個賬戶：

Administrator和Guest,其中Administrator擁有最

高的權限，Guest則只有基本的權限并且默認是禁

用的。而這種默認的帳戶在給你帶來方便的同時

也嚴重危害到了你的系統安全。如果有黑客入侵

或者其他什么問題，他將輕易的得知你的超級用

戶的名稱，剩下的就是尋找密碼了。因此，安全

的做法是把Administrator賬戶的名稱改掉，然后

再建立一個幾乎沒有任何權限的假Administrator

賬戶。

具體的方法是：

在運行中輸入secpoLmsc然后回車，打開“Local

SecuritySettings（本地安全設置）”對話框，依

次展開LocalPolicies（本地策略）-Security

Options（安全選項），在右側窗口有一個

Accounts：Renameadministrator（guest）

account（賬戶：重命名Administratoi7Gliest賬戶

）”的策略，雙擊打開后可以給Administrator重

新設置一個不是很引人注目的用戶名。然后還可

以再新建一個名稱為Administrator的受限制用戶

,以迷惑闖入者。

對于Windows2000/XP的用戶，微軟還提供了一個

檢查安全性的實用工具：基準安全分析器、、

(MicrosoftBaselineSecurityAnalyzer),這個程

序可以自動對你的系統進行安全性檢測，并且對

于出現的問題，都可以提供一個完整的解決方案。

對于Windows2000/XP的用戶，微軟還提供了一個

檢查安全性的實用工具：基準安全分析器、、

(MicrosoftBaselineSecurityAnalyzer),這個程

序可以自動對你的系統進行安全性檢測，并且對

于出現的問題，都可以提供一個完整的解決方案。

1.1.3網絡協議的安全缺陷

TCP/IP是目前Internet使用的協議。

TCP/IP也存在著一系列的安全缺陷。有的

缺陷是由于源地址的認證問題造成的，有的缺

陷則來自網絡控制機制和路由協議等。這些缺

陷，是所有使用TCP/IP的系統所共有的，以下

將討論這些安全隱患。

1.TCP/IP概述

(1)TCP/IP基本結構

TCP/IP是一組Internet協議，不但包括TCP和IP

兩個關鍵協議，還包括其他協議，如UDP、ARP、

ICMP、Telnet和FTP等。TCP/IP的設計目標是使不

同的網絡互相連接，即實現互聯網。

E

以太網

圖LITCP/IP基本邏輯結構

IPv4的地址是32bit,目前正在推出工Pv6,

其地址為128bit。以太網MAC地址是48bit。

TCP/IP層次結構有兩個重要原則：①在同一端

點，每一層只和鄰接層打交道，例如，應用程

序根本不關心網絡層是怎么轉發包以及數據在

哪些網絡上傳輸；②不同端點之間的同一層有

對等關系，對等層之間可以進行通信，如應用

程序之間的通信，TCP模塊之間的通信等。

(2)TCP/IP通信模型

通信模型是TCP/IP最基本的模型之一，它描

述了端和端之間怎樣傳輸數據。如在圖L1中，各

層模塊之間的連接表示數據流的路線。

TCP/IP提供兩個主要的傳輸協議：TCP和

UDPOTCP是一個面向連接的協議，它通過發送

和確認機制，保證數據無錯誤傳輸。UDP是無連

接的，它只管發送和接收所有的包，不保證數據

是否到達。

(3)TCP/IP網絡互連模型

TCP/IP的另一個主要功能是實現不同網絡之間

的互連。網絡互連功能在網絡層實現，即一個IP模

塊連接到兩個不同的物理鏈路層可以實現這兩個網

絡之間的互連，如圖L2所示。

以太網

圖1.2一個IP模塊連接兩個網絡

2.TCP攻擊

1)S￥N/ACKFlood攻擊：這種攻擊方法是經典最

有效的DDOS方法，可通殺各種系統的網絡服務,

主要是通過向受害主機發送大量偽造源IP和源端

口的SYN或ACK包，導致主機的緩存資源被耗盡

或忙于發送回應包而造成拒絕服務，由于源都是

偽造的故追蹤起來比較困難，缺點是實施起來有

一定難度，需要高帶寬的僵尸主機支持。少量的

這種攻擊會導致主機服務器無法訪問，但卻可以

Ping的通，大量的這種攻擊會導致Ping失敗、

TCP/IP棧失效，并會出現系統凝固現象，即不響

應鍵盤和鼠標。普通防火墻大多無法抵御此種攻

擊。

2）TCP全連接攻擊：這種攻擊是為了繞過常規防火

周的檢查而設計的，對于正常的TCP連接是放過

的，很多網絡服務程序（如：IIS>Apache等Web

服務器）能接受的TCP連接數是有限的，一旦有

大量的TCP連接，即便是正常的，也會導致網站

訪問非常緩慢甚至無法訪問，TCP全連接攻擊就

是通過許多僵尸主機不斷地與受害服務器建立大

量的TCP連接，直到服務器的內存等資源被耗盡

而被拖跨，從而造成拒絕服務，這種攻擊的特點

是可繞過一般防火墻的防護而達到攻擊目的，缺

點是需要找很多僵尸主機，并且由于僵尸主機的

IP是暴露的，因此容易被追蹤。

3.路由協議缺陷

(1)源路由選項的使用

IP報頭中的選項字段中的源路由選項目的，是指導

中間設備(路由器)如何轉發該數據報文的，即明

確指明了報文的傳輸路徑。比如，讓一個IP報文明

確的經過三臺路由器RLR2,R3,則可以在源路

由選項中明確指明這三個路由器的接口地址，這樣

不論三臺路由器上的路由表如何，這個IP報文就會

依次經過RLR2,R3O而且這些帶源路由選項的

IP報文在傳輸的過程中，其源地址不斷改變，目標

地址也不斷改變，因此，通過合適的設置源路由選

項，攻擊者便可以偽造一些合法的IP地址，而蒙混

進入網絡。

(2)偽造ARP包

偽造ARP包的主要過程是，以目的主機的IP地

址和以太網地址為源地址發一ARP包，這樣即可造

成另一種IPspoofo

這種攻擊主要見于交換式以太網中，在交換式

以太網中，交換集線器在收到每一ARP包時更新

Cacheo不停發spoofARP包可使送往目的主機的包

均送到入侵者處，這樣，交換式以太網也可被監聽

IPspoof即IP電子欺騙，我們可以說是一臺主

機設備冒充另外一臺主機的IP地址，與其它設備

通信，從而達到某種目的技術。

1985年，貝爾實驗室的一名工程師RobbertMorris

在他的一篇文章Aweaknessinthe4.2bsd

unixTCP/IPsoftware中提出了IPspoof的概念

主機A廣播發送

ARP請求分組我是20,硬件地址是00?00-C0-15-AD?18

建建卸道主機209.006的硬件地址

仁ARP請求ARP請求=>ARP請求葉ARP請求=>

00-00-C0-15-AD-18

主機B向A發送

我是

ARP響應分組硬件地址是08-00-2B?00?EE?0A

仁ARP響應

***^|209,0.0.6

0

IXIYIZ

-I-A-IB-I

00-00-C0-15-AD-1808-00-2B-00-EE-0A

針對MAC地址表的攻擊

MAC地址表一般存在于以太網交換機上，以

太網通過分析接收到的數據M的目的MAC地址，

來查本地的MAC地址表，然后作出合適的轉發決

定。

這些MAC地址表一般是通過學習獲取的，交

換機在接收到一個數據M后，有一個學習的過程

,該過程是這樣的：

a）提取數據M的源MAC地址和接收到該數據

M的端口號；

b）查MAC地址表，看該MAC地址是否存在

,以及對應的端口是否符合；

c）如果該MAC地址在本地MAC地址表中不存

在，則創建一個MAC地址表項；

d）如果存在，但對應的出端口跟接收到該數

據M的端口不符，則更新該表；

e）如果存在，且端口符合，則進行下一步處

理。

分析這個過程可以看出，如果一個攻擊

者向一臺交換機發送大量源MAC地址不同的數據

M，則該交換機就可能把自己本地的MAC地址表

寫滿。一旦MAC地址表溢出，則交換機就不能繼

續學習正確的MAC表項，結果是可能產生大量的

網絡冗余數據，甚至可能使交換機崩潰。

針對ARP表的攻擊

ARP表是IP地址和MAC地址的映射關系表，任

何實現了IP協議棧的設備，一般情況下都通過該表

維護IP地址和MAC地址的對應關系，這是為了避免

ARP解析而造成的廣播數據報文對網絡造成沖擊。

ARP表的建立一般情況下是通過二個途徑：

I1、主動解析，如果一臺計算機想與另外一臺不

知道MAC地址的計算機通信，則該計算機主動發

ARP請求，通過ARP協議建立（前提是這兩臺計算

機位于同一個IP子網上）；

2、被動請求，如果一臺計算機接收到了一臺計

算機的ARP請求，則首先在本地建立請求計算機的

IP地址和MAC地址的對應表。

因此，如果一個攻擊者通過變換不同的IP地址

和MAG地址，向同一臺設備，比如三層交換機發送

大量的ARP請求，則被攻擊設備可能會因為ARP緩

存溢出而崩潰。

針對ARP表項，還有一個可能的攻擊就是誤導

計算機建立正確的ARP表。根據ARP協議，如果一

臺計算機接收到了一個ARP請求報文，在滿足下列

兩個條件的情況下，該計算機會用ARP請求報文中

的源IP地址和源MAC地址更新自己的ARP緩存：

如果發起該ARP請求的IP地址在自己本地的

ARP緩存中；

2、請求的目標IP地址不是自己的。

有三臺計算機A,B,C,其中B已經正確建立了

A和C計算機的ARP表項。假設A是攻擊者，此時，A

發出一個ARP請求報文，該請求報文這樣構造：

1、源IP地址是C的IP地址，源MAC地址是A的

MAC地址；

2、請求的目標IP地址是A的IP地址。

這樣計算機B在收到這個ARP請求報文后（ARP

請求是廣播報文，網絡上所有設備都能收到），發

現B的ARP表項已經在自己的緩存中，但MAC地址

與收到的請求的源MAC地址不符，于是根據ARP協

議，使用ARP請求的源MAC地址（即A的MAC地址

）更新自己的ARP表。

這樣B的ARP混存中就存在這樣的錯誤ARP表

項：C的IP地址跟A的MAC地址對應。這樣的結果

是，B發給C的數據都被計算機A接收到。

(3)RIP的攻擊

RIP(RoutingInformationProtocol)是

用于自治系統(AutonomousSystem,AS)內

部的一種內部路由協議(InternalGateway

Protocol,IGP)oRIP用于在自治系統內部的

路由器之間交換路由信息。RIP使用的路由算

法是距離向量算法。該算法的主要思想就是每

個路由器給相鄰路由器宣布可以通過它達到的

路由器及其距離。

一個入侵者有可能向目的主機以及沿途的各網

關發出偽造的路由信息。給目的主機甚至沿途

的各網關。這樣，如果入侵者宣布經過自己的

一條通向目的主機的路由，將導致所有發往目

的主機的數據包發往入侵者。這樣，入侵者可

以冒充是目的主機，也可以監聽所有目的主機

的數據包，甚至在數據流中插入任意的包。

內部網關協議RIP

____CRoutingInformationProtocol)

1.工作原理

?路由信息協議RIP是內部網關協議IGP

中最先得到廣泛使用的協議。

④RIP是一種分布式的基于距離向量的路

由選擇協議。

?RIP協議要求網絡中的每一個路由器都

要維護從它自己到其他每一個目的網絡

的距離記錄。

距離”的定義

④從一路由器到直接連接的網絡的距離定

義為lo

④從一個路由器到非直接連接的網絡的距

離定義為所經過的路由器數加lo

命RIP協議中的“距離”也稱為“跳

數”(hopcount),因為每經過一個路由

器，跳數就加lo

距離”的定義

4RIP認為一個好的路由就是它通過的路由器的

數目少，即“距離短”。

4RIP允許一條路徑最多只能包含15個路由器。

卷“距離”的最大值為16時即相當于不可達。

可見RIP只適用于小型互聯網。

卷RIP不能在兩個網絡之間同時使用多條路由。

RIP選擇一個具有最少路由器的路由（即最短

路由），哪怕還存在另一條高速（低時延）但路

由器較多的路由。

RIP協議的三個要點

多僅和相鄰路由器交換信息。

卷交換的信息是當前本路由器所知道的全

部信息，即自己的路由表。

④按固定的時間間隔交換路由信息，例如,

每隔30秒。

路由表的建立

令路由器在剛剛開始工作時，只知道到直接連

接的網絡的距離(此距離定義為1)。

④以后，每一個路由器也只和數目非常有限的

相鄰路由器交換并更新路由信息。

?經過若干次更新后，所有的路由器最終都會

知道到達本自治系統中任何一個網絡的最短

距離和下一跳路由器的地址。

卷RIP協議的收斂(convergence)過程較快，即

在自治系統中所有的結點都得到正確的路由

選擇信息的過程。

距離向量算法

收到相鄰路由器(其地址為X)的一個RIP報文:

(1)先修改此RIP報文中的所有項目：將“下一跳”字段中的地

址都改為X,并將所有的“距離”字段的值加1。

(2)對修改后的RIP報文中的每一個項目，重復以下步驟：

若項目中的目的網絡不在路由表中，則將該項目加到路由表中。

否則

若下一跳字段給出的路由器地址是同樣的，則將收到的項目

替換原路由表中的項目。

否則

若收到項目中的距離小于路由表中的距離，則進行更新，

否則，什么也不做。

⑶若3分鐘還沒有收到相鄰路由器的更新路由表，則將此相鄰路

由器記為不可達的路由器，即將距離置為16(距離為16表

示不可達)。

(4)返回。

路由器之間交換信息

卷RIP協議讓互聯網中的所有路由器都和

自己的相鄰路由器不斷交換路由信息，

并不斷更新其路由表，使得從每一個路

由器到每一個目的網絡的路由都是最短

的（即跳數最少）。

?雖然所有的路由器最終都擁有了整個自

治系統的全局路由信息，但由于每一個

路由器的位置不同，它們的路由表當然

也應當是不同的。

一開始，各路由表只有到相鄰路由器的信息

的路由表

11-

21-

31-

12A

22A

31-

1

4-

62c

路由器B收到相鄰路由器A和C的路由表

路由器B收到相鄰路由器A和C的路由表

路由器B收到相鄰路由器A和C的路由表

路由器B收到相鄰路由器A和C的路由表

RIP協議的位置

等RIP協議使用運輸層的用戶數據報UDP

進行傳送（使用UDP的端口520）o

④因此RIP協議的位置應當在應用層。但

轉發IP數據報的過程是在網絡層完成

的。

RIP協議的報文格式

4字節

地址族標識符路由標記

—4字節網絡地址

命令必為0子網掩碼

下一跳路由器地證

距離（1-16）

首部路由部分

路由信息

RIP報文（20字節/路由）

最多25個路由

IPUDP信息，500個字節

首部首部

——UDP用戶數據報

IP數據報----------

RIP的報文

由首部和路由部分組成。

4RIP2報文中的路由部分由若干個路由信息組

成。每個路由信息需要用20個字節。地址族

標識符（又稱為地址類別）字段用來標志所

使用的地址協議。

?路由標記填入自治系統的號碼，這是考慮使

RIP有可能收到本自治系統以外的路由選擇信

息。再后面指出某個網絡地址、該網絡的子

網掩碼、下一跳路由器地址以及到此網絡的

距離。

RIP協議的優缺點

卷RIP存在的一個問題是當網絡出現故障時，要

經過比較長的時間才能將此信息傳送到所有

的路由器。

?RIP協議最大的優點就是實現簡單，開銷較

小。

4RIP限制了網絡的規模，它能使用的最大距離

為15（16表示不可達）。

令路由器之間交換的路由信息是路由器中的完

整路由表，因而隨著網絡規模的擴大，開銷

也就增加。

表示“直接交付”

“1”表示“從本路由

器到網到“1”表示“距離是1”

R1說：“我到網1的距離是1,是直接交付。”

正

常

情

況

X

R”表示

“1”表示“從本路由

經過R

1

器到網1”

“2”表示"距離是2'

R2說：“我到網1的距離是2,是經過R〔。”

R1說：“我到網1的距離是16（表示無法到達），

是直接交付。”

但R2在收到R的更新報文之前，還發送原來的報文,

因為這時R2并不知道R1出了故障。

正

常

情

況

R1收到R2的更新報文后，誤認為可經過R2到達

網1,于是更新自己的路由表，說：“我到網1的

,5

距離是3,下一跳經過R然后將此更新信息發

O

2

送給RO

2

正

常

情

況

R2以后又更新自己的路由表為“1,4,RJ表明

“我到網1距離是4,下一跳經過R/。

（4）OSPF的攻擊

OSPF（OpenShortestPathFirst,開放最短路

徑優先）協議是用于自治域內部的另一種路由協議

oOSPF路由協議通過建立鄰接關系，來交換路由

器的本地鏈路信息，然后形成一個整網的鏈路狀態

數據庫，針對該數據庫，路由器就可以很容易的計

算出路由表。

如果一個攻擊者冒充一臺合法路由器與網絡中的一

臺路由器建立鄰接關系，并向攻擊路由器輸入大量

的鏈路狀態廣播（LSA,組成鏈路狀態數據庫的數

據單元），就會引導路由器形成錯誤的網絡拓撲結

構，從而導致整個網絡的路由表紊亂，導致整個網

絡癱瘓。

LSA(LinkStateAdvertisement)是OSPF協議中路

由器之間要交換的信息。一個LSA頭格式如圖1.3所示。

：/8序列號為32bit,用來指示該LSA的更新程度。LS

序列號是一個有符號整數，大小介于0x80000001(負值)

和之間。

01631

LSage選項XLS類型

LSID

宣布路由器ID

LS序列號

LS校驗和長度

圖1.3LSA頭格式

4.網絡監聽

以太網(Ethernet)是網絡結構中，鏈路層和

物理層的主要連網方式。由于以太網的工作方式，

網絡請求在網上一般以廣播的方式傳送，這個廣播

發非驗證的，也就是同網段的每個計算機都可以收

到，除了目標接受者會應答這個信息外，其他的接

受者會忽略這個廣播。如果有一個網絡設備專門收

集廣播而決不應答，那么，它就可以看到本網的任

何計算機在網上傳輸的數據。如果數據沒有經過加

密，那么它就可以看到所有的內容。Sniffer就是一

個在以太網上進行監聽的專用軟件。監聽這個現象

對網絡的安全威脅是相當大的，因為它可以做到以

下幾點。

匹配電阻（用來吸收總線上傳播的信號）匹配電阻

只有D接受

B發送的數據

ABCDE

不接受］B向D（不接受）|接受|「不接受

------發送數據-----------------------

匹配電阻（用來吸收總線上傳播的信號）匹配電阻

接受

B發送的數據

(1)抓到正在傳輸的密碼。

(2)抓到別人的秘密(信用卡號)或不想共享的

資料。

(3)暴露網絡信息。

1.1.4應用軟件的實現缺陷

軟件實現缺陷是由于程序員在編程的時候沒有

考慮闔全而造成的。軟件缺陷一般可以分為以下幾

種類型：

?輸入確認錯誤；

?訪問確認錯誤；

?特殊條件錯誤；

?設計錯誤；

?配置錯誤；

?競爭條件錯誤；

?其他。

俞人確認錯誤

在輸入確認錯誤的程序中，由用戶輸入的字

符串沒有經過適當的檢查，使得黑客可以通過輸

入一個特殊的字符串造成程序運行錯誤。

輸入確認錯誤的另一個子集就是邊界條件溢

出。邊界條件溢出指的是程序中的一個變量值超

過它自己邊界條件時的程序運行錯誤。

2.訪問確認錯誤

一訪問確認錯誤指的是系統的訪問控制機制出

現錯誤。錯誤并不在于用戶可控制的配置部分，

而在系統的控制機制本身。所以，這樣的缺陷有

可能使得系統運行不穩定，但是基本上不能被利

用去攻擊系統，因為它的運行錯誤不受用戶的控

制。

1.1.5用戶使用的缺陷

用戶使用的缺陷體現在以下幾個方面:

?密碼易于被破解;

?軟件使用的錯誤;

?系統備份不完整。

1.密碼易于被破解

(1)缺省密碼

(2)密碼與個人信息有關

(3)密碼為詞典中的詞語

(4)過短密碼

(5)永久密碼

2.軟件使用的錯誤

——除了軟件自身的缺陷以外，軟件的使用錯

誤還體現在以下幾個方面。

(1)大量打開端口

(2)危險缺省腳本

(3)軟件運行權限選擇不當

3.系統備份不完整

?系統是否有備份？

?備份間隔是可接受的嗎?

?系統是按規定進行備份的嗎？

?是否確認備份介質正確地保存了數據？

?備份介質是否在室內得到了正確的保護？

?是否在另一處還有操作系統和存儲設施的備份

（包括必要的licensekey）?

?存儲過程是否被測試及確認？

1.1.6惡意代碼

惡意代碼是這幾年比較新的概念。可以說，這

些代碼是攻擊、病毒和特洛伊木馬的結合。惡意代

碼不但破壞計算機系統（像計算機病毒），給黑客

留出后門（像特洛伊木馬），它還能夠主動去攻擊

并感染別的機器。

1.計算機病毒

計算機病毒是一種計算機程序，它可以寄生在

一定的載體上，具有隱蔽性、傳染性和破壞性。

計算機病毒的影響對象就是計算機，也就是這個

定義中提到的載體，隱蔽性、傳染性和破壞性都

是針對計算機而言。

木馬

網絡安全的另一種威脅是特洛伊木馬。與

計算機病毒一樣，特洛伊木馬并不是利用系統

本身留下的缺陷而是設計者故意創造出來的，

用來對系統進行攻擊的一種工具。特洛伊木馬

腎病毒的不同點在于，病毒的設計目標是破壞

系統，而特洛伊木馬的設計目標是遠程控制受

害系統。這樣，特洛伊木馬可以直接影響信息

的機密性、完整性和可用性。

3.惡意代碼

一代碼是一種計算機程序，它既有

利用系統缺陷的攻擊特性，又有計算機病

毒和特洛伊木馬的特性。

（1）攻擊特性

（2）計算機病毒特性

（3）特洛伊木馬特性

1.2網絡安全體系結構

1.2.1網絡安全總體框架

可以把信息安全看成一個由多個安全單元組成

的集合，其中每一個安全單元都是一個整體，包含

了多個特性。一般來說，人們都從3個主要特性去

理解一個安全單元，就是安全特性、結構層次和系

統單元。安全單元集合可以用一個三維的安全空間

去描述它，如圖1.6所小。

應用層|0S1參考模型

表示層

會話層

傳輸層

網絡層

鏈路層保完可認

物理層密整用證

安全特性

系統單元

圖1.6信息安全空間

OSI安全體系結構主要包括三部分內容,

即安全服務、安全機制和安全管理。

1.2.2安全控制

控制是指在微機操作系統和網絡通信設備

上對存儲和傳輸的信息的操作和進程進行控制和管

理，主要是在信息處理層次上對信息進行的初步的

安全保護，可以分為以下3個層次。

(1)微機操作系統的安全控制。如口令

(2)網絡接口模塊的安全控制。網絡環境下對來

自其他機器的網絡通信進程進行安全控制。包括身

份認證、客戶權限設置與判別和審計日志。

(3)網絡互連設備的安全控制。對整個子網內所

有主機的傳輸信息和運行狀態進行安全檢測和控制

O通過網管軟件或路由器配置來實現的。

123安全服務

一OSI安全體系結構定義了一組安全服務，

主要包括認證服務、訪問控制服務、數據保密

服務、數據完整性服務和抗抵賴服務。

1.認證服務

認