信息安全汇总资料

1、1绪论 网络安全的含义：1网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常运行，网络服务不中断2运行系统安全3网络上系统信息的安全4网络上信息传播的安全5网络上信息内容的安全2信息安全的六个方面：1保密性：信息不泄漏给非授权的用户、实体或者过程的特性。2完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。3可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。4真实性：内容的真实性。5可核查性（可控性）：对信息的传播及内容具有控制能力，访问控制即属于可控性

2、。6可靠性：系统可靠性。3网络安全的关键技术：主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术 4网络安全隐患：硬件设备安全、隐患操作系统安全、隐患网络协议安全、隐患计算机病毒威胁 5 网络攻击 拒绝服务攻击：利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行的攻击行为漏洞攻击：利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞，对信息系统实施的攻击网络扫描窃听：利用网络扫描或窃听软件，获取信息系统网络配置、端口、服务、存在的脆弱性等特征信息的行为干扰：通过技术手段对网络进行干扰，或

3、对广播电视有线或无线传输网络进行插播，对卫星广播电视信号非法攻击等 .信息破坏 信息篡改：未经授权将信息系统中的信息更换为攻击者所提供的信息，例如网页篡改信息假冒：假冒他人信息系统收发信息信息泄漏：因误操作、软硬件缺陷或电磁泄漏等因素导致信息系统中的保密、敏感、个人隐私等信息暴露于未经授权者信息窃取：未经授权用户利用可能的技术手段恶意主动获取信息系统中信息信息丢失：因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的信息丢失 设备设施故障 软硬件自身故障：信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等外围保障设施故障：保障信息系统正常运行所必须的外部设施出现故障，例如

4、电力故障、外围网络故障等人为破坏事故：人为蓄意的对保障信息系统正常运行的硬件、软件等实施窃取、破坏等；或由于人为的遗失、误操作以及其他无意行为造成信息系统硬件、软件等遭到破坏，影响信息系统正常运行的第一章 4计算机网络是指将地理位置不同并且具有独立功能的多个计算机系统及数据设备，通过通信设备和通信线路连接起来，在功能完善的网络软件的支持下实现彼此之间的数据通信和资源共享的系统。网络：独立计算机互连共享互联网在范畴上属于广域网，但它并不是一种具体的物理网络技术，它是将不同的物理网络技术按某种协议统一起来的一种高层技术。多个网络相互连接构成的集合称为互联网。应用层与用户应用进程的接口表示层数据格式

5、的转换会话层会话的管理与数据传输的同步传输层从端对端经网络透明地传送报文网络层分组传送、路由选择和流量的控制链路层在链路上无差错的传送数据帧物理层将比特流送到物理媒体 VDSL与ADSL比较VDSL系统与ADSL一样，可利用普通电话铜缆在不影响窄带话音业务（POTS、ISDN）的情况下，传送高速数据业务。系统结构很相似。区别在于：VDSL使用的频谱较宽，最高可达12MHz。ADSL使用的频谱最高只能到1.1MHz。因而获取更高的传输速率，最高可达26 Mb/s(视传输距离而定)。VDSL传输距离一般比ADSL短。VDSL技术最适合在用户相对密集、铜缆距离较短的地区，提供高速数据接入业务，因此在

6、东亚国家（如韩国、日本）的应用不断推广，在我国也得到了设备制造商和运营商的关注，正在大力推广阶段。在TCP/IP协议族中，链路层主要有三个目的：为IP模块发送和接收IP数据报；为ARP模块发送ARP请求和接收ARP应答；为RARP发送RARP请求和接收RARP应答。TCP/IP支持多种不同的链路层协议，这取决于网络所使用的硬件，如以太网、令牌环网、FDDI（光纤分布式数据接口）、RS232串行线路等。网络层是OSI参考模型的第三层，是通信子网的最高层，网络层关系到通信子网的运行控制，体现了网络环境中资源子网访问通信子网的方式。Internet是覆盖全球的互联网，Internet使用TCP/IP

7、体系结构，TCP/IP的宗旨是实现网络互联，网络层承担了实现网络互联的基础和核心任务，网络层主要协议：IP协议、ICMP协议和路由选择协议。端口是一种抽象的软件结构，包括一些数据结构和输入输出缓存队列，应用程序与端口绑定后，操作系统就创建了I/O缓存队列，用于容纳传输层和应用进程之间所交换的数据。为了标示不同的端口，每个端口都拥有一个叫做端口号的整数标识符。为了唯一标识传输层的一个通信端点，不论TCP和UDP，应该包括主机IP地址和进程端口号，即二元组：（主机IP地址，端口号）。TCP/IP设计了一套有效的端口分配和管理方法，将端口分为两大类，保留端口和自由端口。保留端口以全局方式进行统一分配

8、并公布，well-known port。保留端口分配给服务器进程使用，每一个标准服务器都分配有一个保留端口号。01023为保留端口。TCP数据格式：源端口号和目的端口号：标识接收端和发送端的应用进程。这两个值加上IP首部中的源IP地址和目的IP地址唯一地确定一个TCP连接。各占2个字节。序号：所发送的数据的第一字节的序号，用以标识从TCP发端向TCP收端发送的数据字节流。4个字节。确认序号：期望收到的下一个消息第一字节的序号。为确认的一端所期望接收的下一个序号。用于接收方对发送方发出的数据的累计确认，4字节。首部长度：4bit，指示TCP报文段首部的长度。以32比特为计算单位的TCP段首部的长

9、度。标识位：有6bit，说明报文段各种性质，规定如下：紧急位（URG）：置1使16bit的紧急指针（urgent pointer）字 段有效，发送方通知接收方，数据流中有紧急数据。 确认位（ACK）：用于TCP确认，为1表示确认序号字段有意义。急迫位（PSH）：通知接收方TCP立即将数据交给应用程序，不要等待后续数据。重建位（RST）： 表示出现严重差错，必须释放连接，然后重建同步位（SYN）： SYN=1，ACK=0 表示连接请求消息SYN=1，ACK=1 表示同意建立连接消息终止位（FIN）： 表示数据已发送完，要求释放连接 窗口大小：滑动窗口协议中的窗口大小，2字节校验和：对整个TCP首

10、部和TCP数据部分的校验，2字节 建立TCP连接（1）TCP连接的特点：两端点之间点对点的连接；全双工连接，支持双向传输；TCP连接采用C/S模式，主动发起连接请求的进程为客户，被动等待连接请求的进程是服务器。TCP连接的端点是用IP地址和端口号二元组来标识，而一个连接则由本地和远程的一对端点，即一个四元组（本地IP地址，本地端口号；远程IP地址，远程端口号）来标识，它是唯一的。2）TCP建立连接的方式：TCP使用三次握手的方式（three-way handshake）的方式建立连接。（3）三次握手过程中TCP可以完成的工作？使每一方都确知对方已准备就绪；双方确定了初始传输序号；双方协商一些通

11、信参数，如窗口大小等；三次握手时，前两次报文段不携带数据，而第三次主机A也可以在对B进行确认（ACK=1，ackseq=y+1）的同时，把数据（seq=x+1）封装在报文段中一起发送出去。描述：主机A的端口1和主机B的端口2建立连接，共交换了3次报文段。1)主机A发起握手，目的端点：主机B的端口2生成一个随机数作为它的初始发送序号x；发出一个同步报文段，SYN=1，发送序号seq=x，ACK=0.。 2)主机B监听到端口2上有连接请求，主机B响应，并继续同步过程。生成一个随机数作为它的初始发送序号seq=y;发出同步报文段并对主机A端口1的连接请求进行确认，SYN=1，发送序号seq=y，AC

12、K=1，确认序号ackseq=x+1。3)主机A确认B的同步报文段，建立连接过程结束。发出对B端口2的确认，ACK=1，确认序号ackseq=y+1。这样双方就建立了连接，数据就可以双向传输了。是否可以用两次握手建立连接？在两次握手的情况下，如果发生异常情况， 例如有连接请求报文段突然传送到主机上，就可能发生错误。TCP采用的滑动窗口协议是一种介于上述两者的折衷方案，即可充分利用连接所提供的网络能力，又能保证可靠性。滑动窗口内含一组顺序排列的报文序号。在发送端，窗口内的报文序号对应的报文是可以连续发送的。各报文按序发送出去，但确认不一定按序返回。一旦窗口前面部分报文得到确认，则窗口向前滑动相应

13、位置，落入窗口的后续报文又可连续发送。TCP协议保证数据的有效性的重要措施是确认与重传机制。 滑动窗口协议的一个重要用途是流量控制，网关和接收端可以通过某种方式（比如ICMP）通知发方改变其窗口大小，以限制发方报文注入网络的速度，达到流量控制的目的。 HTTP是超文本传输协议，是客户端浏览器或其他程序与Web服务器之间的应用层通信协议。在Internet上的Web服务器上存放的都是超文本信息，客户机需要通过HTTP协议传输所要访问的超文本信息。当浏览一个网站时，只要在浏览器的地址栏上输入网站的地址就可以了。 FTP用于把文件传输到运行FTP服务器的主机上，或相反方向的传输，它与这两台计算机所处

14、的位置、联接的方式、甚至是是否使用相同的操作系统无关。FTP是基于客户/服务器模型而设计的，客户和服务器之间利用TCP建立连接。 TCP/IP协议中，FTP标准命令TCP端口号为21。假设两台计算机通过FTP协议对话，并且能访问Internet， 你可以用FTP命令来传输文件。每种操作系统使用上有某一些细微差别，但是每种协议基本的命令结构是相同的。 FTP工作原理：与其他客户/服务器模型不同的是，FTP客户与服务器之间要建立双重连接，一个是控制连接，一个是数据连接。 在Internet网络上为便于记忆大量使用主机名而不是IP地址，它们之间的转换需要使用DNS域名服务。 TCP/IP对于主机名采

15、用的是一种层次型命名机制，它能够适应大量而且迅速变化的对象。层次命名是将名字空间分为若干部分，每一部分授权给某个机构管理，授权管理机构可将其管辖的名字空间进一步划分，再授权给若干子机构管理。 在TCP/IP网间网中所实现的层次型名字管理机制叫作域名系统域名系统的命名机制叫作域名，例如。要标识到某一具体的主机就需要全域名，全域名是域主机名+域名，例如,其中bgpt是域主机名，是域名。在TCP/IP域名系统中，包含一个有效的、可靠的、通用的、分布式名字地址映射系统。TCP/IP名字地址映射由一组既独立又协作的名字服务器完成，这组名字服务器是解析系统的核心。名字服务器其实是一个服务软件，通常将运行名

16、字服务软件的机器称为名字服务器。对应于域名结构，Internet名字服务器也构成一定的层次结构，是一种树状结构。 域名解析采用自顶向下的算法，从根服务器开始直到叶服务器，在其间的某个节点上一定能找到所需的名字地址映射。由于父子节点的上下管辖关系，名字解析的过程只需走过一条从树中某节点开始到另一节点的自顶向下的单向路径，不需要遍历整棵树。域名解析的方式有两种。第一种叫递归解析,要求名字服务器系统一次性完成全部名字地址变换。第二种叫反复解析，每次请求一个服务器，不行就再请求别的服务器。二者区别在于前者将复杂性和负担缴纳给服务器软件，后者交给解析器软件。显然递归解析方式在名字请求频繁时性能不好，而反

17、复解析方式在名字请求不多时性能不好。 逆向域名解析(inverse resolution)又叫逆向映射(inverse mapping)，即根据IP地址解析相应的域名。电子邮件是我们最熟悉的网络应用之一，用户通过电子邮件可以进行信息交互，与现实中的邮件相似，但为方便快捷。TCP/IP电子邮件系统使用了缓冲技术。网络缺陷概述：开放性、复杂性：规模庞大、集成度高、高度封装、管理方面、技术落后 网络拓扑安全（1）总线型拓扑结构（集线器）优点：连接简单，增加和删除节点灵活 缺点：故障诊断困难、故障隔离困难、中继器配置、终端必须是智能的 （2）星型拓扑结构（交换机）缺点：电缆的长度和安装 、扩展困难 、

18、对中央节点的依赖性太大 、容易出现“瓶颈”现象 （3）环形拓扑结构：优点：实时性好，传输机制简单，结点数有限缺点：节点的故障将会引起全网的故障 、诊断故障困难 、不易重新配置网络 、环型拓扑结构影响访问协议 （4）树形拓扑结构：优点：布局灵活缺点：对根节点的依赖性太大 网络软件漏洞 陷门、网络操作系统漏洞、数据库安全、网络应用缺陷、设计缺陷，版本、兼容性问题、缓冲区溢出 MAC欺骗：原理：交换机转发过程：交换机一个端口收到一个数据帧时，首先检查该数据帧的目的MAC地址在MAC地址表对应的端口，如果目的和源端口不为同一个端口，则把帧从目的端口转发出去，同时更新MAC地址表中源端口和源MAC地址的

19、对应关系；如果目的端口与源端口相同，则丢弃帧。正常过程：一个4口交换机，端口分别为portA,portB,portC,portD对应主机A,B,C,D，其中D为网关，当主机A向B发送数据时，A主机安装OSI向下封装数据帧，过程中，会根据IP地址查找B主机的MAC地址，填充到数据帧中的目的MAC地址。发送前网卡判断：若目的MAC相同于本网卡的MAC，不发送；若不同则发送。攻击过程：4口交换机，A主机劫持B主机数据，da是目的MAC，sa是源MAC。1）使porta对应b.mac2）恢复MAC地址表特点：隐蔽性强；时间分段特性，对方流量越大，劫持频率越低，网络越稳定。MAC欺骗防范：高级交换机采用

20、IP/MAC/port绑定，控制MAC地址表自动学习。 IP地址欺骗：IP欺骗就是攻击者假冒他人IP地址，发送数据包。因为IP协议不对数据包中的IP地址进行认证，因此任何人不经授权就可伪造IP包的源地址。 IP包一旦从网络中发送出去，源IP地址就几乎不用，仅在中间路由器因某种原因丢弃它或到达目标端后，才被使用。这使得一个主机可以使用别的主机的IP地址发送IP包，只要它能把这类IP包放到网络上就可以。实现IP欺骗有两个难点：首先，因为远程主机只向伪造的IP地址发送应答信号，攻击者不可能收到远程主机发出的信息，即用C主机假冒B主机IP，连接远程主机A，A主机只向B主机发送应答信号，C主机无法收到。

21、 第二，要在攻击者和被攻击者之间建立连接，攻击者需要使用正确的TCP序列号。使用IP欺骗的目的有两种：一种是只想隐藏自身的IP地址或伪造源IP和目的IP相同的不正常包而并不关心是否能收到目标主机的应答，例如IP包碎片、Land攻击等；另一种是伪装成被目标主机信任的友好主机得到非授权的服务，一般需要使用正确的TCP序列号。防止ip欺骗理想防范方法：使用防火墙决定是否允许外部的IP数据包进入局域网，对来自外部的IP数据包进行检验。 假如过滤器看到来自外部的数据包声称有内部的地址，它一定是欺骗包，反之亦然。如果数据包的IP不是防火墙内的任何子网，它就不能离开防火墙。在某种意义上，过滤器分割能将Int

22、ernet分成小区域，除子网内部外，子网之间不能欺骗。IP包碎片 链路层具有最大传输单元MTU这个特性，它限制了数据帧的最大长度，不同的网络类型都有一个上限值。以太网的MTU是1500。如果IP层有数据包要传送，而且数据包的长度超过了MTU，那么IP层就要对数据包进行分片（fragmentation）操作，使每一片的长度都小于或等于MTU。 IP分段含有指示该分段所包含的是原数据包的哪一段的信息，某些系统的TCP/IP协议栈在收到含有重叠偏移的伪造分段时将崩溃。 泪滴：IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段（或者更多）数据包来实现TearDrop攻击：第一个包

23、的偏移量为0，长度为N；第二个包的偏移量小于N，而且算上第二片IP包的数据部分，也未超过第一片的尾部。这样就出现了重叠现象。 Jolt2：原理是发送许多相同的分片包，且这些包的offset值与总长度之和超出了单个IP包的长度限制(65535 bytes)。 IP包碎片主要是利用系统实现TCP/IP协议栈时对异常情况考虑不周全留下的漏洞，要阻止IP包碎片的攻击需要升级系统或给系统打补丁。另外，现在的入侵检测系统和防火墙系统都有IP碎片重组的功能，可以及时发现异常的IP碎片包。 IGMPNuke攻击 IGMP是一种无连接协议,所以在向服务器连接时不需要指定连接的端口,只需要指定IP地址即可。一些目

24、标主机的系统（例如没有打补丁的win95、win98等）不能很好的处理过大的IGMP数据包,很容易出现系统崩溃的情况。例如最简单的win98蓝屏炸弹，就可以使用Socket的原始套接字编程向目标主机发送多个超过65536字节的IGMP包。 IGMPNuke攻击也是利用系统实现TCP/IP协议栈时对异常情况考虑不周全留下的漏洞，要阻止此类攻击需升级系统或打补丁。 TCP/IP体系的网络层功能复杂，需要各种控制机制，如差错控制、拥塞控制以及路径控制等。IP协议本身没有内在的机制获取差错信息并进行相应的控制。 ICMP协议为IP层的控制提供了信息报文，告诉源主机有关网络拥塞、IP数据报由于主机不可达

25、或TTL超时等原因不能传输等差错信息。但是，主机对ICMP数据报不作认证，这使攻击者可以伪造ICMP包使源主机产生错误的动作从而达到特定的攻击效果。 与ICMP有关的攻击有：IP地址扫描、ping of death、ping flooding、smurf、ICMP重定向报文、ICMP主机不可达和TTL超时报文等。 IP地址扫描：这种攻击经常出现在整个攻击过程的开始阶段，作为攻击者收集信息的手段。利用ICMP的回应请求与应答报文，运用ping这样的程序探测目标地址，对此作出响应的表示其存在。 ping of death：由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈

26、的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方死机。 ping flooding：这也是一种DOS（拒绝服务）攻击方法，在某一时刻多台主机对目标主机使用Ping程序，就有可能耗尽目标主机的网络带宽和处理能力。如果一个网站一秒钟收到数万个ICMP回应请求报文就可能使它过度繁忙而无法提供正常的服务。当然可以编制程序以最快的速度向目标主机发送ICMP回应请求报文，并且使用伪造的IP地址。

27、Smurf：一个简单的smurf攻击是攻击者伪造一个源地址为受害主机的地址、目标地址是反弹网络的广播地址的ICMP回应请求数据包，当反弹网络的所有主机返回ICMP回应应答数据包的时候将淹没受害主机。Smurf的原理和ping flooding类似，只不过利用了反弹网络发送ICMP回应应答数据包来耗尽目标主机资源，若反弹网络规模较大，此攻击威力巨大。 ICMP重定向报文：网间网的路径是由网关和主机上的寻径表决定的，其中网关寻径表起着主导作用，各主机寻径表的信息都来自主机的初始网关。主机的初始网关一般人为配置。 ICMP重定向报文的优点是保证主机拥有一个动态的既小且优的寻径表。然而，如前所述，TC

28、P/IP体系不提供认证功能，攻击者可以冒充初始网关向目标主机发送ICMP重定向报文，诱使目标主机更改寻径表，其结果是到达某一IP子网的报文全部丢失或都经过一个攻击者能控制的网关。ICMP主机不可达和TTL超时报文：此类报文一般由IP数据报传输路径中的路由器发现错误时发送给源主机的，主机接收到此类报文后会重新建立TCP连接。攻击者可以利用此类报文干扰正常的通信 防范ICMP攻击的策略：禁止不必要的ICMP, 严格限制ICMP报文的作用范围；禁止未经请求就主动提供的ICMP回应应答数据包；严格限制ICMP重定向报文的应用范围,它应与某个已存在的特定连接绑定使用，即如果主机目前没有数据要发送到相应站

29、点，就不按照收到的重定向报文改变自己的路由表；主机与其他路由器的全局路由表也不能以重定向报文为依据修改等。 路由欺骗：TCP/IP网络中，IP包的传输路径完全由路由表决定。若攻击者通过各种手段可以改变路由表，使目标主机发送的IP包到达攻击者能控制的主机或路由器，就可以完成侦听、篡改等攻击方式。 RIP路由欺骗：RIP协议，用于自治域内传播路由信息。路由器在收到RIP数据包时一般不作检查，即不对RIP数据包发送者进行认证。攻击者可以声称他所控制的路由器A可以最快地到达某一站点B，从而诱使发往B的数据包由A中转。由于A受攻击者控制，攻击者可侦听、篡改数据。 对于RIP路由欺骗的防范：1）路由器在接

30、受新路由前应先验证其是否可达,这可以大大降低受此类攻击的概率。2）但是RIP的有些实现并不进行验证,使一些假路由信息也能够广泛流传。由于路由信息在网上可见,随着假路由信息在网上的传播范围扩大,它被发现的可能性也在增大。对于系统管理员而言,经常检查日志文件会有助于发现此类问题。3）另一种方法则是对RIP包进行身份认证,杜绝假冒路由器。 IP源路由欺骗：IP报文首部的可选项中有“源站选路”,可以指定到达目的站点的路由。正常情况下,目的主机如果有应答或其他信息返回源站,就可以直接将该路由反向运用作为应答的回复路径。 防范IP源路由欺骗的方法：配置好路由器，使它抛弃那些由外部网进来的却声称是内部主机的

31、报文；关闭主机和路由器上的源路由功能。 传输层安全 TCP初始序号预测：TCP协议采用确认重传机制保证数据流的可靠性，确认是以TCP的序号字段为基础的。TCP在使用三次握手机制建立连接时的初始序号有一定的随机性，但是依据其实现机制不同，可以对TCP初始序号进行预测。 3种常用的方法来产生初始序列号：64K规则：这是一种最简单的机制。每秒用一常量（12800）增加初始序列号，如果有某一个连接启动，则用另一个常量（64000）增加序列号计数器。与时间相关的产生规则：这是一种很流行的简单机制，允许序列号产生器产生与时间相关的值。这个产生器在计算机自举时产生初始值，依照每台计算机各自的时钟增加。由于各

32、计算机上的时钟并不完全相等，增大了序列号的随机性。伪随机数产生规则：较新的操作系统使用伪随机数产生器产生初始序列号。 TCP端口扫描：端口是TCP/IP体系中运输层的服务访问点，传输层到某端口的数据都被相应绑定到该端口的进程所接收。保留端口是TCP/IP分配端口的一种方法，它们都对应了相应的应用程序和服务。 TCP connect() 扫描 这是最基本的TCP扫描。操作系统提供的connect()系统调用，用来与每一个感兴趣的目标主机的端口进行连接。如果端口处于侦听状态，那么connect()就能成功。否则，这个端口是不能用的，即没有提供服务。 TCP SYN扫描 这种技术通常认为是“半开放”

33、扫描，这是因为扫描程序不必要打开一个完全的TCP连接。扫描程序发送的是一个SYN数据包，好象准备打开一个实际的连接并等待反应一样（参考TCP的三次握手建立一个TCP连接的过程）。一个SYN|ACK的返回信息表示端口处于侦听状态。一个RST返回，表示端口没有处于侦听态。如果收到一个SYN|ACK，则扫描程序必须再发送一个RST信号，来关闭这个连接过程。 TCP FIN 扫描 有的时候可能SYN扫描都不够秘密。一些防火墙和包过滤器会对一些指定的端口进行监视，有的程序能检测到这些扫描。相反，FIN数据包可能会没有任何麻烦的通过。这种扫描方法的思想是关闭的端口会用适当的RST来回复FIN数据包。这种方

34、法和系统的实现有一定的关系。有的系统不管端口是否打开，都回复RST，这样，这种扫描方法就不适用了。并且这种方法在区分Unix和NT时，是十分有用的。 IP包分段扫描 这种不能算是新方法，只是其它技术的变化。它并不是直接发送TCP探测数据包，是将数据包分成几个较小的IP段。这样就将一个TCP头分成好几个数据包，从而过滤器就很难探测到。 慢速扫描 UDP ICMP端口不能到达扫描 防范措施：需要进行统计分析，当发现接收到超过上限数目的、以扫描端口为目的的数据包请求时，可以判断为发现了端口扫描攻击，较长一段时间内发现某主机较为均匀接收请求数据包，为慢速扫描。 Land（Local Area Netw

35、ork Denial）攻击：在Land攻击中，向目标主机发送一个特别伪造的SYN包，它的IP源地址和目标地址都被设置目标主机，此举将导致目标主机向它自身发送SYN-ACK消息，而其自身又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时，这样的空连接多了，由于TCP/IP协议栈对连接有数量的限制，这就造成了拒绝服务攻击。不同系统对Land攻击反应不同，许多UNIX系统将崩溃，NT变的极其缓慢。对于Land攻击的防范：给系统打补丁或升级系统，一般较新的操作系统其TCP/IP协议栈的实现都可防止此攻击；过滤源地址和目标地址相同的IP数据包。 两种方法实现TCP欺骗攻击：（1）非盲攻击

36、：攻击者和被欺骗的目的主机在同一个网络上，攻击者可以简单地使用协议分析器（嗅探器）捕获TCP报文段，从而获得需要的序列号。攻击步骤：步骤一，攻击者X要确定目标主机A的被信任主机B不在工作状态，若其在工作状态，也可使用SYN flooding等攻击手段使其处于拒绝服务状态。步骤二，攻击者X伪造数据包：B - A : SYN(ISN C)，源IP地址使用B，初始序列号ISN为C，给目标主机发送TCP的SYN包请求建立连接。步骤三，目标主机回应数据包：A - B : SYN(ISN S) , ACK(ISN C)，初始序列号为S，确认序号为C。由于B处于拒绝服务状态，不会发出响应包。攻击者X使用嗅探

37、器捕获TCP报文段，得到初始序列号S。步骤四，攻击者X伪造数据包：B -A : ACK(ISN S)，完成三次握手建立TCP连接。步骤五，攻击者X一直使用B的IP地址与A进行通信。（2）盲攻击：由于攻击者和被欺骗的目标主机不在同一个网络上，攻击者无法使用嗅探器捕获TCP报文段。 其攻击步骤与非盲攻击几乎相同，只不过在步骤三无法使用嗅探器，可以使用TCP初始序列号预测技术得到初始序列号。 在步骤五，攻击者X可以发送第一个数据包，但收不到A的响应包，较难实现交互。 对TCP欺骗攻击的防范策略：使用伪随机数发生器产生TCP初始序号；路由器拒绝来自外网而源IP是内网的数据包；使用TCP段加密工具加密。

38、 TCP会话劫持：这种攻击建立在IP欺骗和TCP序列号攻击的基础上，专门用来攻击基于TCP的应用，例如Telnet、rlogin、FTP等。攻击者只需要访问在被欺骗主机和目的主机之间发送的数据报，因为这样可获得正确的序列号。一旦攻击者获得了这个序列号，他就可以发送TCP报文段并有效地接管连接。被劫持主机发送的数据报文却由于序列号不正确而被忽略，并认为报文中途丢失并重新发送。 防范TCP会话劫持最有效的方法就是使用加密技术，可以在TCP层加密，也可以在应用层加密。攻击者由于没有加解密的密钥，将无法伪造数据。 SYN flooding是当前最流行也是最有效的DoS（拒绝服务攻击）方式之一。 它利用

39、建立TCP连接的三次握手机制进行攻击。在正常条件下，希望通过TCP交换数据的主机必须使用三次握手建立会话连接。SYN flooding攻击就是阻止三次握手过程的完成，特别是阻止服务器方接收客户方的TCP确认标志ACK。这个攻击阻止最后的ACK报文到达服务器方，使服务器相应端口处于半开放状态。由于每个TCP端口支持的半开放的连接数目是有限的，一旦超过了这个限制，服务器方将拒绝以后到来的连接请求，直到半开放连接超时关闭。 SYN flooding防范方法：1）缩短SYN Timeout（连接等待超时）时间：由于SYN flooding攻击的效果取决于服务器上保持的SYN半连接数，这个值等于SYN攻

40、击的频度乘以SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间（过低的SYN Timeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。2）根据源IP记录SYN连接：就是对每一个请求连接的IP地址都进行记录，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。3）负反馈策略4) 容忍策略5）利用DNS进行负载均衡6）利用防火墙技术 应用层安全 电子邮件攻击：电子邮件攻击主要是利用邮件地址是可以伪造的这一特点。 两种方式：(1)电子邮件炸弹。指的是用伪造的IP地址或电子邮件地址向同一信箱发送数

41、以千计的内容相同或者不同的垃圾邮件，致使受害人邮箱的容量无法承受这些邮件，严重的可能会导致电子邮件服务器操作系统瘫痪。(2)电子邮件欺骗，攻击者伪装为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串），或者伪造一个友好的发件人地址，在貌似正常的附件中加载病毒或其他木马程序（比如某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务，这为攻击者成功地利用该方法提供了可乘之机）。 电子邮件攻击检测防御方法：1电子邮件炸弹而言，保护可以做得很好的。因为它的复杂性不是很高，可以使用一些过滤邮件的软件就可以了；2对于各种利用电子邮件而传播的Email

42、蠕虫病毒和对未知的Email蠕虫病毒可以使用防电子邮件病毒软件来防护。另外，邮件系统管理员可以使用“黑名单”来过滤一些垃圾信件。对于不同的邮件系统，大都可以在网络上找到最新的黑名单程序或者列表。3立即向ISP求援 一旦你发现自己的信箱被轰炸了，但自己又没有好的办法来对付它，这时你应该做的就是拿起电话向你上网的ISP服务商求援，对他们一五一十地说出来，他们就会采取办法帮你清除Email Bomb；4对于伪造电子邮件地址防范方法是使用加密的签名技术，像PGP来验证邮件，通过验证可以保护到信息是从正确的地方发来的，而且在传送过程中不被修改。 DNS欺骗：在网上用户可以利用IE等浏览器进行各种各样的W

43、EB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。但是攻击者可以将用户想要浏览的网页的URL改写为指向攻击者自己的服务器，当用户浏览目标网页的时候，实际上是向攻击者服务器发出请求，那么攻击者就可以达到欺骗或攻击的目的了，例如可以利用webserver的网页给客户端机器传染病毒。这种攻击的效果是通过DNS欺骗技术来得到的 DNS协议不对转换或信息性的更新进行身份认证，这就使得攻击者可以将不正确的信息掺进来并把用户引向攻击者自己的主机。 防范方法是用DNS转换得到的IP地址或域名再次作反向转换进行验证。 拒绝服务（DoS, Denial of Service）攻击方式有多种，最基本

44、的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。 DoS基本原理：使被攻击服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷，以至于瘫痪而停止提供正常的网络服务。原理：任何导致服务器不能正常提供服务的攻击。要对服务器实施拒绝服务攻击，实质上有两种方式： 1）迫使服务器的缓冲区满，不接受新服务请求。 2）使用IP欺骗，迫使服务器把合法用户连接复位，影响合法用户的连接，这就是DoS攻击实施的基本思想。 防范策略： 1）优化路由和网络结构，调整路由表； 2）优化可能成为目标机的主机，禁止所有不必要的服务；3）发现DDoS攻击，且来自

45、公共网，与ISP联系；4）使用负载均衡技术。DOS攻击防范 优化路由和网络结构，调整路由表以将拒绝服务攻击的影响减到最小；应用路由器的带宽分配技术；优化可能成为攻击目标的主机，禁止所有不必要的服务；定期使用漏洞扫描软件全面检查网络中现有的和潜在的漏洞，及时安装补丁程序并注意定期升级系统软件，有效提高系统安全性；当检测到拒绝服务攻击时，若发现攻击数据包来自某些ISP时应尽快和他们取得联系；可以使用负载均衡技术和蜜罐（honeypot）技术抵御此类攻击。 补 充 网络安全模型：这个通用模型的基本任务：（1）设计用来执行与安全相关的转换算法，且不易被攻击者击破。2）生成用于该算法的秘密信息。3）设计

46、分发和共享秘密信息的方法。4）指定一种被两个主体使用的协议，这种协议使用安全算法和秘密信息以便得到安全服务。 明文：消息的初始形式，用M（Message）或P（Plaintext）表示，它可能是比特流、文本文件、位图、数字化的语音流或者数字化的视频图像等。密文：加密后的形式，用C（CipherText）表示，也是二进制数据，有时和M一样大，有时稍大。通过压缩和加密的结合，C有可能比P小些。记：明文记为P且P为字符序列，P=P1,P2,Pn 密文记为C, C=C1,C2,Cn 明文和密文之间的变换记为 C=E(P)及P=D(C) 其中C表示密文，E为加密算法；P为明文，D为解密算法 我们要求密码

47、系统满足：P=D(E(P) 用某种方法伪装消息以隐藏它的内容的过程称为加密，而把密文转变为明文的过程称为解密。 恺撒密码 算法描述： 将字母表中的每个字母用其后的第三个字母代替。CE（P） （P3）mod 26 P = D（C） =（C3）mod 26 当然，也可以将3 换为125间的任一个数K。 移位密码 加密与解密算法 C=E(p)=(p+k)mod(26) p=D(C)=(C-k)mod(26) 仿射变换 加密算法：C=Ea,b(P)=ap+b(mod 26) 解密算法：P=Da,b(C)=a-1(c-b)(mod 26) a,b是密钥，为满足0=a,bre=4 7*4+21（mod26

48、）=23, ex c=2 7*2+21（mod26）=9, cju=20 7*20+21（mod26）=5, ufr=17 7*17+21（mod26）=10, rki=8 7*8+21（mod26）=25, izt=19 7*19+21（mod26）=24, tyy=24 7*24+21（mod26）=7, yh所以security对应的密文是rxjfkzyhv=21, 7-1*(21-21)(mod26)=0, val=11, 7-1*(11-21)(mod26)=6, lgx=23, 7-1*(23-21)(mod26)=4, xei=8, 7-1*(8-21)(mod26)=13, i

49、nj=9, 7-1*(9-21)(mod26)=2, jch=7, 7-1*(7-21)(mod26)=24, hy所以，vlxijh对应的明文是agency. 分组密码体制1 美国制定数据加密标准简况目的：只有标准化，才能真正实现网络的安全，才能推广使用加密手段，以便于训练、生产和降低成本2DES算法分组长度为64 bits (8 bytes)密文分组长度也是64 bits。密钥长度为64 bits，有8 bits奇偶校验，有效密钥长度为56 bits。算法主要包括：初始置换IP、16轮迭代的乘积变换、逆初始置换IP-1以及16个子密钥产生器。34DES的安全性穷举攻击分析 穷举攻击就是对所

50、有可能的密钥逐个进行脱密测试，直到找到正确密钥为止的一种攻击方法。 穷举攻击判断正确密钥的方法： 将利用试验密钥解密得到的可能明文与已掌握的明文的信息相比较，并将最吻合的那个试验密钥作为算法输出的正确密钥。 5分组密码的运行模式，DES的4种运行模式：1 电码本（ECB）模式2 密码分组链接（CBC）模式加密时：输入是当前明文分组和前一次密文分组的异或解密时：每一个密文分组被解密后，再与前一个密文分组异或得明文解决ECB的安全缺陷：可以让重复的明文分组产生不同的密文分组3.密码反馈（CFB）模式4.输出反馈(OFB)模式6比较和选用ECB模式，简单、高速，但最易受重发攻击。CBC适用于文件加密

51、，但较ECB慢。OFB和CFB较CBC慢许多。每次迭代只有少数bit完成加密。OFB用于高速同步系统，传输过程中的比特错误不会被传播.CFB多用在字符为单元的流密码中,有错误扩展公钥密码体制7基本原理 公钥密码体制又称为双钥密码和非对称密码，是1976年由Diffie和Hellman采用了两个不同的密钥，这对在公开的网络上进行保密通信、密钥分配、数字签名和认证有着深远的影响。8 对称密码的不足密钥管理量的困难：两两分别用一个密钥时，则n个用户需要C(n,2)=n(n-1)/2个密钥，当用户量增大时，密钥空间急剧增大。如:n=100 时，共4,995个；n=5000时增加到12,497,500个

52、。1.密钥建立问题：对协商密钥的信道的安全性的要求比正常的传送消息的信道的安全性要高。2.数字签名的问题：传统加密算法无法实现抗抵赖的需求。9RSA体制的安全性基于数论中的Euler定理和计算复杂性理论中的下述论断：求两个大素数的乘积是很容易计算的，但要分解两个大素数的乘积，求出它们的素因子则是非常困难的。10讨论RSA算法的安全性：在算法中，e和n作为公开密钥，任何人都可以用来加密消息；而p、q、d和 是保密的，用来解密密文，只有私钥拥有者知道，也就是只有接收者知道。 由于n为两个大素数的乘积，又n=pq，那么可以得到(n)=(p-1)(q-1)。发信者并不知道n的两个素因子p和q，就无法计

53、算(n)。 又由于ed1 mod(n)，d是通过此式计算出来的，因此无法计算d，所以就无法进行解密。 这样，只有秘密钥拥有者才可以进行密文的解密，其他任何人都不能。11设p=43，q=59，取e=13。 求公钥和私钥分别是多少？解：p=43,q=59,n=pq=4359=2537 (n)=4258=2436, 取e=13,解方程de1(mod2436) 2436=13187+5,13=25+3,5=3+2,3=2+1 1=3-2,2=5-3,3=13-25,5=2436-13187 1=3-2=3-(5-3)=23-5=2(13-25)-5=213-55 =213-5(2436-13187)

54、=93713-52436 即：937131（mod2436） 取 e=13,d=937公钥e,n=13,2537,私钥d,n=937,2537 PKI认证12认证相关基本概念认证就是确认实体是它所声明的。认证是最重要的安全服务之一。认证服务提供了关于某个实体身份的保证。（所有其它的安全服务都依赖于该服务）认证可以对抗假冒攻击的危险13问题的提出-通信威胁1. 泄露:把消息内容发布给任何人或没有合法密钥的过程 被动攻击2. 流量分析:发现团体之间信息流的结构模式，在一个面向连接的应用中可以用来确定连接的频率和持续时间长度3. 伪造:从一个假冒信息源向网络中插入消息（真实性）4. 内容修改:消息内

55、容被插入,删除,变换,修改（完整性）5. 顺序修改:插入删除或重组消息序列（顺序性）6. 时间修改:消息延迟或重放（时间性）7. 否认:接收者否认收到消息,发送者否认发送过消息 主动攻击（不可否认性）14消息认证码：消息被一密钥控制的公开函数作用后产生的、用作认证符的、固定长度的数值15杂凑函数：是一公开函数，用于将任意长的消息M映射为较短的、固定长度的一个值H(M)，作为认证符，称函数值H(M)为杂凑值、杂凑码或消息摘要。杂凑值是消息中所有比特的函数，因此提供了一种错误检测能力，即改变消息中任何一个比特或几个比特都会使杂凑值发生改变。数字签名：对身份认证，保持数据完整性、不可否认性。数字签名

56、：用于对数字消息签名，以防消息的伪造或篡改，也可用于通信双方的身份鉴别。消息认证:可对身份认证，保持数据完整性，但不具有不可否认性。16数字签名应具有的特性：（1）签名是可信的：任何人可验证签名的有效性。（2）签名是不可伪造的：除合法签名者外，其他人伪造签名是困难的。（3）签名是不可复制的：一消息的签名不能复制为另一消息的签名。（4）签名的消息是不可改变的：经签名的消息不能被篡改。（5）签名是不可抵赖的：签名者事后不能否认自己的签名17身份认证Kerberos,PKI杂凑函数的应用（1）数字签名：(m，H(m)，sig(H(m)实现真实性，通常用公钥算法进行数字签名时，一般不是对m直接签名，而

57、是对杂凑值H(m)签名，这样可以减少计算量，提高效率。（2）完整性认证：(m，H(m)m的任何改变都将导致杂凑值H(m)的改变，需要完整性认证时，只需计算H(m)并与存储的H(m)相比较即可。18MD5杂凑算法迭代型杂凑函数的一般结构 目前使用的大多数杂凑函数其结构都是迭代型的。输入M被分为L个分组Y0,Y1,YL-1，每一个分组的长度为b比特，最后一个分组的长度不够的话，需对其做填充。重复使用一压缩函数f。MD5的特点：对任意长度的输入，产生128位的输出；且其安全性不依赖于任何假设，适合高速实现。MD5算法的一个主循环一次可处理512比特数据分组。执行主循环t（t等于填充后消息长度除以51

58、2）次，最后输出为128比特。19数字签名的产生方式(1)由加密算法产生数字签名 a)单钥加密 b)公钥加密 c)基于RSA的数字签名(2)由签名算法产生数字签名 EIGamal数字签名方案20基于RSA的数字签名 体制参数选两个保密的大素数p和q，计算n=pq，(n)=(p-1)(q-1)；选一整数e，满足1e(n)，且gcd(n),e)=1；计算d，满足de1 mod (n)；以e,n为公开钥,d,n为秘密钥。 签名过程设消息为M，对其签名为SMd mod n 验证过程接收方在收到消息M和签名S后， 验证MSe mod n是否成立，若成立，则发送方的签名有效。实际应用时，数字签名是对消息摘

59、要加密产生，而不是直接对消息加密产生。2122数字签名的执行方式(1)无仲裁的数字签名(2)有仲裁的数字签名23身份认证：验证主体的真实身份与其所声称的身份是否符合的过程。身份认证的方式单向认证（One-way Authentication）双向认证（Two-way Authentication）身份证明技术24交互证明和数学证明的区别： 数学证明的证明者可自己独立地完成证明，而交互证明是由P产生证明、V验证证明的有效性来实现，因此双方之间通过某种信道的通信是必需的。26交互证明系统须满足以下要求： 完备性：若P知道某一秘密，V将接受P的证明。 正确性：如果P能以一定的概率使V相信P的证明，则

60、P知道相应的秘密。27零知识证明在交互证明系统中，设P知道某一秘密，并向V证明自己掌握这一秘密，但又不向V泄露这一秘密，这就是最小泄露证明。进一步，如果V除了知道P能证明某一事实外，不能得到其他任何信息，则称P实现了零知识证明，相应的协议称为零知识证明协议。Kerberos认证系统28定义：（为网络通信提供可信第三方服务的面向开放系统的认证机制。）（或）一个分布式的认证服务，它允许一个进程（或客户）代表一个主体（或用户）向验证者证明他的身份，而不需要通过网络发送那些有可能会被攻击者用来假冒主体身份的数据。功能：认证（authentication）簿记(accounting)审计(audit)