铃木达央 lucky dog:网络协议漏洞分析的意义

网络是搭起信息系统的桥梁，网络的安全性是整个信息系统安全的主要环节，只有网络系统安全可靠，才能保证信息系统的安全可靠。网络系统也是非法入侵者主要攻击的目标。开放分布或互连网络存在的不安全因素主要体现在：
一是协议的开放性。TCP/IP协议不提供安全保证，网络协议的开放性方便了网络互连，同时也为非法入侵者提供了方便。非法入侵者可以冒充合法用户进行破坏，篡改信息，窃取报文内容。
二是因特网主机上有不安全业务，如远程访问。许多数据信息是明文传输，明文传输既提供了方便，也为入侵者提供了窃取条件。入侵者可以利用网络分析工具实时窃取到网络上的各种信息，甚至可以获得主机系统网络设备的超级用户口令，从而轻易地进入系统。
三是因特网连接基于主机上社团的彼此信任，只要侵入一个社团，其他就可能受到攻击。具体地讲，网络系统存在以下三个方面的滑洞，这是网络安全的最大隐患。
l·通信层漏洞。在TCP/IP、路由器、集线器等环节都有滑洞存在。在TCP/IP上发现了l00多种安全弱点或漏洞。如IP地址欺骗、TCP序号袭击、ICMP袭击、IP碎片袭击和UDP欺骗等，MODEM也很容易被攻破。在几乎所有的UNIX实现的协议族中，存在一个久为人知的漏洞，这个漏洞使得窃取TCP连接成为可能。当TCP连接正在建立时，服务器用一个含有初始序列号的回答报文来确认用户请求。这个序列号无特殊要求，只要是唯一的就可以了。客户端收到回答后，再对其确认一次，连接便建立了。TCP协议规范要求每秒更换序列号25万次。但大多数的UNIX的实现更换频率远小于此，而且下一个更换的数字往往是预知的。正是这种可预知服务器初始序列号的能力使得攻击可以完成，最安全的解决方法是用加密法产生初始序列号。
2·操作系统的漏洞。UNIX系统可执行文件目录如/bin/who，可由所有的用户进行读访问，这就违背了"最少特权"的原则。有些用户可以从可执行文件中得到其版本号，从而知道了它会具有什么样的漏洞。如通过Telnet就可知道SENDMAIL版本号。还有一些弱点是由配置文件、访问控制文件和缺省初始化文件产生的。如用
来安装SUN OS Version4的软件，它创建了一个/Rhosts文件，这个文件允许因特网上的任何人，从任何地方取得该主机的超级用户特权。
在windows NT中，安全账户管理(SAM)数据库可以被以下用户所复制：Administrator账户，Administrator组中的所有成员，备份操作员，服务器操作员，以及所有具有备份特权的人员。SAM数据库的一个备份拷贝能够被某些工具所利用来破解口令。NT在对用户进行身份验证时，只能达到加密RSA的水平。在这种情况下，甚至没有必要使用工具来猜测那些明文口令。能解码SAM数据库并能破解口令的工具有：PWDUMP 和NTCrack。实际上，pwdump的作者还有另一个软件包，pwaudit,它可以跟踪由pwdump获取到任何东西的内容。
3·应用层漏洞。各种应用软件、防火墙软件、WebServer应用软件、路由器软件等都隐含了很多漏洞，使黑客容易进入。如，NT和WIndows95机上的所有浏览器，都有一个相似的弱点，对于一个HTML 页上的超级链接，浏览器都首先假设该链接是指向本地机器上的一个文件。如果这台机器是一个SMB（指服务器消息块)服务器，它将随意发送用户的名字和口令。这种对身份验证的自动反应和发送对用户来说，是完全透明的，用户根本不知道什么事情发生。
由于网络系统存在上述漏洞，网络经常遭到攻击。攻击者对网络信息系统攻击方式和手段大体是:信息收集，对系统的安全弱点探测，然后实施攻击。攻击方法主要有:
1、嗅探攻击(Sniffer）。包嗅探器既可以是软件，也可以是硬件，它通过使网络接口处于广播状态，从而可以截获网络上传输的内容。嗅探攻击意味着很高
级别的危险，如果你的网络上被安装了一个包嗅探器，就意味你的网络被侵入了。
2、lP地址欺骗。这是伪造他人的源IP地址，其实质就是让一台机器来扮演另一台机器，以蒙混过关。几乎所有的电子欺骗都依赖于目标网络的信任关系，侵
袭者利用伪造的lP发送地址，制造一些虚假的数据分组来充当内部工作站发送的分组。如果所用的防火墙系统是信息包过滤器，仅在输出端口过滤发送的分组，那么这种地址欺骗式的袭击是极其危险的。在成功地实施lP地址欺骗后，可以开始一系列的袭击。
3、发送邮件攻击。通过发送邮件可以实现病毒和有害程序的传播。由于电子邮件是二进制文件，它可以是许多有害攻击的载体。邮件炸弹是一个简单有效的
侵扰工具，炸弹的攻击只是由反复传给目标接收者相同信息组成。它并不是很神秘的侵扰，而只是用信息垃圾充满个人的邮箱。从技术上讲，如果被攻击者缺少存储空间，邮箱会被充满，因此阻止了其它消息进入邮箱。
4、网结文件系统（NFS)攻击。NFS是SUM微系统开发的协议，目的在于可访问分布于网络中的任何文件。NFS应设置为文件仅面向本地主机模式。缺省配置时，NFS常允许任何主机至少可读文件。该方式能使任何节点访问整个文件系统，从而严重破坏了系统的安全。为杜绝高级用户读/写文件系统权力的泄露，NFS采用所谓的"文件处理器"来完成客户与服务器的认证。该文件处理器针对每个目录与文件由随机产生器生成字符串，如果客户欲通过NFS访问一个新目录，需检查其主机名称以确定他是否有权访间。若有权，客户便会收到文件处理器的正确确认，即能访问所需目录。对根目录的访问权限专门由根文件处理器管理。具有根文件处
理器就等于拥有对根目录访问的永久权。如果由标准RPC来管理NFS，文件处理器就有被窃取的危险。
5、网络信息服务(NIS）攻击。NIS用于将中央服务器的大量重要文件分散到各个客户，包括口令文件、主机地址表及安装RPC（远程过程调用)所用的密钥。除了偷窃者能掌握NIS发出的系统文件问题外，NIS客户也易遭到NIS服务器伪装者的破坏，因侵袭者伪装成NIS服务器可向NlS客户提供虚假的口令与主机地址文件。
在易遭袭击的系统中不能采用NIS，而且通常情况下只
要可能也应尽量避免使用NIS。
6、扫描器攻击。在因特网安全领域，扫描器是最出名的破解工具。扫描器是自动检测远程或本地主机安全性弱点的程序，真正的扫描器是TCP端口扫描器，这种程序可以选通TCP/IP端口和服务，并记录目标的回答。通过这种方法，可以搜集到关于目标主机的有用信息，它是"入侵者"和系统管理员发现网络安全滑洞的最常用的工具。
7、口令攻击。儿乎所有多用户系统和网络系统都使用口令来限制末授权的访问，因此，破解口令就成了"入侵者"优先考虑的手段。口令攻击者往往采用不同的方法来捕捉口令，如，猜测口令、利用"Passwd"文件系统捕捉口令、利用嗅探程序滤出口令、用"特洛伊木马"来监视登录名/口令。
8、特洛伊木马。特洛伊木马是这样一种程序，它提供了一些有用的，或仅是有意思的功能。但是通常要做一些用户不希望的事，诸如在你不了解的情况下拷贝文件或窃取你的密码。它是一种能巧妙地躲过因特网安全机制的方法，没有其他的办法能像它这样破坏系统，也没有其他办法比它更加难以发现。
9、病毒和破坏性程序。与单机环境相比，网络系统具有通信功能，因而病毒的传播速度会更快，危害会更大。这就给病毒的检测防治带来了很大的困难。病毒可以通过电子邮件的附件潜入网络，而当你的用户漫游网络世界时，会不经意地把破坏性的Java和ActiveX程序带入家门。

网上太多了，你以“ARP协议漏洞分析”一搜一大把啊：
http://www.baidu.com/s?wd=ARP%D0%AD%D2%E9%C2%A9%B6%B4%B7%D6%CE%F6&cl=3