清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 1.物理网络结构易被窃听 计算机网络按通信信道类型分为广播式网络和点对 点网络,这两种网络都存在不安全问题。 (1)广播式网络的安全问题 当今大多数局域网采用以太网方式,以太网上的所 有设备都连在以太网总线上,它们共享同一个通信 通道。以太网采用的是广播方式的通信,广播式通 信网络的特点是在该种通信子网中只有一个公共通 信信道,为所有节点共享使用,任一时刻只允许 个节点使用公用信道。当一个节点利用公共通信信 道发送数据时,必须携带目的地址,网络上所有的 设备都能接收到每一个信息包,网络上的设备通常 将接收到的所有包都传给主机界面,在这儿选择
1. 物理网络结构易被窃听 • 计算机网络按通信信道类型分为广播式网络和点对 点网络,这两种网络都存在不安全问题。 (1) 广播式网络的安全问题 • 当今大多数局域网采用以太网方式,以太网上的所 有设备都连在以太网总线上,它们共享同一个通信 通道。以太网采用的是广播方式的通信,广播式通 信网络的特点是在该种通信子网中只有一个公共通 信信道,为所有节点共享使用,任一时刻只允许一 个节点使用公用信道。当一个节点利用公共通信信 道发送数据时,必须携带目的地址,网络上所有的 设备都能接收到每一个信息包,网络上的设备通常 将接收到的所有包都传给主机界面,在这儿选择
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 计算机要接收的信息(比如选择只有地址符合本站 点的信息包才接收,并将其他的过滤掉。以太网 最有效传递的、最有意思的是目标主机硬件并不给 发送者提供有关信息已收到的信息,比如即使目标 计算机碰巧关机了,送给它的包自然就丢失,但发 送者并不会知道这一点。 很多网络包括 Internet其实就是把无数的局域网相 连起来形成大的网,然后再把大的网连成更大的网, 虽然网络上的传输是点对点的,但一般网络上的主 机会处于一个局域网中。例如,清华开放实验室是 个局域网,它连到了校园网,又连到了中国教育 科研网( CERNET),中国教育科研网又连接到国外。 局域网,如以太网、令牌网,都是广播型网络,也
计算机要接收的信息(比如选择只有地址符合本站 点的信息包才接收),并将其他的过滤掉。以太网 最有效传递的、最有意思的是目标主机硬件并不给 发送者提供有关信息已收到的信息,比如即使目标 计算机碰巧关机了,送给它的包自然就丢失,但发 送者并不会知道这一点。 • 很多网络包括Internet其实就是把无数的局域网相 连起来形成大的网,然后再把大的网连成更大的网, 虽然网络上的传输是点对点的,但一般网络上的主 机会处于一个局域网中。例如,清华开放实验室是 一个局域网,它连到了校园网,又连到了中国教育 科研网(CERNET),中国教育科研网又连接到国外。 局域网,如以太网、令牌网,都是广播型网络,也
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 就是说一台主机发布消息,网上任何一台机器都可以 收到这个消息。在一般情况下,以太网卡在收到发往 别人的消息时会自动丢弃消息,而不向上层传递消息。 但以太网卡的接收模式可以设置成混合型 ( promiscuous),这样网卡就会捕捉所有的数据包中, 并把这些数据包向上传递,这就是为什么以太网可以 被窃听,其实FDⅠ、令牌网也存在这样的问题。现在 人们经常谈论的ATM网络技术是点对点的,它不会像 以太网的广播式样容易被窃听 (2)点对点网络的安全问题 Interne和大部分广域网采用点对点方式通信,在该种 类型网中,任何一段物理链路都惟一连接一对节点, 如果不在同一段物理链路的一对节点要通信,必须通 过其他节点进行分组转发。进行分组转发的节点就可 以窃听
就是说一台主机发布消息,网上任何一台机器都可以 收到这个消息。在一般情况下,以太网卡在收到发往 别人的消息时会自动丢弃消息,而不向上层传递消息。 但以太网卡的接收模式可以设置成混合型 (promiscuous),这样网卡就会捕捉所有的数据包中, 并把这些数据包向上传递,这就是为什么以太网可以 被窃听,其实FDDI、令牌网也存在这样的问题。现在 人们经常谈论的ATM网络技术是点对点的,它不会像 以太网的广播式样容易被窃听。 (2) 点对点网络的安全问题 • Internet和大部分广域网采用点对点方式通信,在该种 类型网中,任何一段物理链路都惟一连接一对节点, 如果不在同一段物理链路的一对节点要通信,必须通 过其他节点进行分组转发。进行分组转发的节点就可 以窃听
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 在 Internet上的信息,容易被窃听和劫获的另一个 原因是,当某人用一台主机和国外的主机进行通信 时,他们之间互相发送的数据包是经过很多机器 (如路由器)重重转发的。例如,用户在清华开放实 验室的一台主机上访问Homa主机,用户的数据 包要经过开放实验室的路由器、清华校园网的路由 器、中国教育科研网上的路由器,然后从中国教育 科研网的总出口出国,再经过很多网络和路由器才 能到达 Hotmail主机。具体要经过多少主机、多少 路由器和多少网络,用户可以用一个网络调试工具 得到,这个工具就是 Traceroute命令,在各种操作 系统中都有,如 Windows95、 Windows nt和 UNIX,名字上可能会有所差异,但功能和实现上 是一样的。 Internet的这种工作原理不仅节约了资
• 在Internet上的信息,容易被窃听和劫获的另一个 原因是,当某人用一台主机和国外的主机进行通信 时,他们之间互相发送的数据包是经过很多机器 (如路由器)重重转发的。例如,用户在清华开放实 验室的一台主机上访问Hotmail主机,用户的数据 包要经过开放实验室的路由器、清华校园网的路由 器、中国教育科研网上的路由器,然后从中国教育 科研网的总出口出国,再经过很多网络和路由器才 能到达Hotmail主机。具体要经过多少主机、多少 路由器和多少网络,用户可以用一个网络调试工具 得到,这个工具就是Traceroute命令,在各种操作 系统中都有,如Windows 95、Windows NT 和 UNIX,名字上可能会有所差异,但功能和实现上 是一样的。Internet的这种工作原理不仅节约了资
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 源,而且简化了传输过程的实现,符合TCPP简 单高效的宗旨,但这也给安全上带来了问题。当然 用户不可能力求安全而放弃这种方法,因为这样做 是不实际的,也是不必要的。用户所能做的应是意 识到这种问题,并以其他办法来提高安全性,如采 用加密的方法。再回到安全这个主题上来,当黑客 使用一台处于用户的数据包传输路径上的主机时, 他就可以窃听或劫持用户的数据包。例如,处于中 国教育科研网出口的一台机器可以监听所有从这个 网络出国的数据包。谈到安全问题,举一个简单的 例子,就像有人用单位的总机窃听别人电话的事 样。在配有电话交换机的单位,单位里所有的电话 都要经过单位的总机,如果总机并不是程控的,而
源,而且简化了传输过程的实现,符合TCP/IP简 单高效的宗旨,但这也给安全上带来了问题。当然 用户不可能力求安全而放弃这种方法,因为这样做 是不实际的,也是不必要的。用户所能做的应是意 识到这种问题,并以其他办法来提高安全性,如采 用加密的方法。再回到安全这个主题上来,当黑客 使用一台处于用户的数据包传输路径上的主机时, 他就可以窃听或劫持用户的数据包。例如,处于中 国教育科研网出口的一台机器可以监听所有从这个 网络出国的数据包。谈到安全问题,举一个简单的 例子,就像有人用单位的总机窃听别人电话的事一 样。在配有电话交换机的单位,单位里所有的电话 都要经过单位的总机,如果总机并不是程控的,而