网络知识必备关于TCP/IP 安全问题转载
2012-08-27 11:40
549 查看
TCP/IP 安全问题: TCP/IP协议本身有不少的缺陷,允许***者利用隐藏通道的方式在看上
[align=left]去正常的数据包中秘密地传输数据。下面对这些缺陷进行进一步说明:[/align]
[align=left]隐藏通道指任何被进程用来进行可能对系统安全策略造成威胁的数据传输的通道。 TCP/IP[/align]
[align=left]的设计本身并不想有什么隐藏通道,但是设计上的缺陷导致了用来非法传输信息的隐藏通道的[/align]
[align=left]存在。[/align]
[align=left]在TCP/IP环境下,有若干方法可以用来建立隐藏通道,在主机之间实现非法通信。例如:[/align]
[align=left]1) 旁路包过滤器,网络探测器( sniffer)和“不洁词”(dirty word)搜索引擎。[/align]
[align=left]2) 在正常的信息包中封装经过加密的或未经加密的信息的方式,通过网络秘密传输信息。[/align]
[align=left]3) 通过将封装有非法信息的伪装包在 Internet上的某一个站点上“中转”来隐藏被传输的数[/align]
[align=left]据的源发送位置。[/align]
[align=left]众所周知, TCP是面向连接的可靠的协议。简单的说, TCP协议采取一定的措施保证到达远[/align]
[align=left]端机器的数据没有被篡改。实现这个特性依赖于 TCP的三次握手机制:[/align]
[align=left]1. 发送一个带有序列号( Initial Sequence Number,ISN)的同步数据包 -SYN[/align]
[align=left]主机 A希望同主机 B建立连接。主机 A发送一个数据包,该数据包的 SYN位被置位,表示希[/align]
[align=left]望建立一个新的连接,并且该数据包带有一个 ISN号,来识别主机之间发送的不同的数据包。[/align]
[align=left]Host A ------ SYN(ISN) ------> Host B[/align]
[align=left]2. 远程机器响应一个确认包 ACK[/align]
[align=left]主机B通过发送一个 SYN位和ACK位被置位的数据包来响应该主机 A的连接请求。这个响应[/align]
[align=left]包中不但包含了主机 B的ISN,而且包含了主机 A的ISN+1,表示刚才的连接请求数据包被正确的[/align]
[align=left]接收,等待接收 ISN为ISN+1的数据包。 Host A <------ SYN(ISN+1)/ACK ------ Host B[/align]
3. 主机A通过再发送一个确认包 ACK给主机B来完成连接的建立
本文出自 “红帽技术” 博客,请务必保留此出处http://redhat2007.blog.51cto.com/5482006/974126
[align=left]去正常的数据包中秘密地传输数据。下面对这些缺陷进行进一步说明:[/align]
[align=left]隐藏通道指任何被进程用来进行可能对系统安全策略造成威胁的数据传输的通道。 TCP/IP[/align]
[align=left]的设计本身并不想有什么隐藏通道,但是设计上的缺陷导致了用来非法传输信息的隐藏通道的[/align]
[align=left]存在。[/align]
[align=left]在TCP/IP环境下,有若干方法可以用来建立隐藏通道,在主机之间实现非法通信。例如:[/align]
[align=left]1) 旁路包过滤器,网络探测器( sniffer)和“不洁词”(dirty word)搜索引擎。[/align]
[align=left]2) 在正常的信息包中封装经过加密的或未经加密的信息的方式,通过网络秘密传输信息。[/align]
[align=left]3) 通过将封装有非法信息的伪装包在 Internet上的某一个站点上“中转”来隐藏被传输的数[/align]
[align=left]据的源发送位置。[/align]
[align=left]众所周知, TCP是面向连接的可靠的协议。简单的说, TCP协议采取一定的措施保证到达远[/align]
[align=left]端机器的数据没有被篡改。实现这个特性依赖于 TCP的三次握手机制:[/align]
[align=left]1. 发送一个带有序列号( Initial Sequence Number,ISN)的同步数据包 -SYN[/align]
[align=left]主机 A希望同主机 B建立连接。主机 A发送一个数据包,该数据包的 SYN位被置位,表示希[/align]
[align=left]望建立一个新的连接,并且该数据包带有一个 ISN号,来识别主机之间发送的不同的数据包。[/align]
[align=left]Host A ------ SYN(ISN) ------> Host B[/align]
[align=left]2. 远程机器响应一个确认包 ACK[/align]
[align=left]主机B通过发送一个 SYN位和ACK位被置位的数据包来响应该主机 A的连接请求。这个响应[/align]
[align=left]包中不但包含了主机 B的ISN,而且包含了主机 A的ISN+1,表示刚才的连接请求数据包被正确的[/align]
[align=left]接收,等待接收 ISN为ISN+1的数据包。 Host A <------ SYN(ISN+1)/ACK ------ Host B[/align]
3. 主机A通过再发送一个确认包 ACK给主机B来完成连接的建立
本文出自 “红帽技术” 博客,请务必保留此出处http://redhat2007.blog.51cto.com/5482006/974126
相关文章推荐
- 关于安全方面的网络知识
- 网络编程知识(12)--ISO/OSI七层模型和TCP/IP四层网络模型
- TCP/IP相关知识复习与总结(https/网络程序性能分析)
- TCP/IP笔记(一)网络基础知识
- 如何快速入门网络基础知识(TCP/IP 和 HTTP)
- http,socket,tcp/ip 网络传输与通讯知识总结
- [转载]解决TCP网络传输“粘包”问题
- 论基于TCP/IP的制造自动化网络平安新问题探究
- 关于Filezilla 以及TCP/IP网络串口助手的学习笔记
- Linux网络管理员手册(2) 第二章 TCP/IP网络的问题 IP地址 子网(Subnetworks) 域名服务器 解析
- 关于linux下网络编程socket 转换IP问题 inet_ntoa()
- 初识Java TCP/IP Socket-UDP网络编程知识
- Visual C#.Net网络程序开发之TCP/IP (转载)
- 关于TCP/IP基础知识的梳理
- 关于TCP/IP基础知识的梳理
- 关于TCP/IP,必知必会的十个问题
- 网络知识===关于MAC地址和IP不能互相替代,缺一不可的原因
- 请教问题:关于网络--关于一根网线有两个静态IP
- 来谈谈网络安全,关于Session冒名顶替和cookie防篡改的问题