HC110310001-HCNA-Security-CBSN-第一章-网络安全概述V2.0

修订记录课程编码适用产品产品版本课程版本ISSUEHC110310001华为防火墙V300R001V2.0开发/优化者时间审核人开发类型（新开发/优化）陈灵光2011.7余雷第一版余雷2013.5第二版优化本页不打印第一章

网络平安概述目标学完本课程后，您将能够:了解OSI模型理解TCP/IP协议原理了解TCP/IP协议存在的平安隐患理解针对TCP/IP各层常见攻击的技术原理书目TCP/IP协议基础TCP/IP协议平安常见网络攻击方式OSI模型的提出OSI模型提出的目的OSI模型设计原则OSI模型的优点OSI模型七层

应用层表示层会话层传输层网络层数据链路层物理层1234567供应应用程序间通信处理数据格式、数据加密等建立、维护和管理睬话建立主机端到端连接寻址和路由选择供应介质访问、链路管理等比特流传输APDUPPDUSPDUSegmentPacketFrameBit上三层下四层对等层通讯每一层利用下一层供应的服务与对等层通信HostAHostBAPDUPPDUSPDUSegmentPacketFrameBit应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层网络数据流处理流程网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层表示层会话层传输层应用层ABCDERouterARouterBRouterC网络层数据链路层物理层表示层会话层传输层应用层TCP/IP和OSI的对应关系TCP/IP协议栈具有简洁的分层设计，与OSI参考模型有清晰的对应关系

OSITCP/IP物理层数据链路层网络层传输层会话层表示层应用层数据链路层网络层传输层应用层TCP/IP协议栈封装解封装过程数据链路层网络层传输层应用层用户数据APPTCPIPEth1010101101010100101010001110数据链路层网络层传输层应用层封装过程解封装过程发送方接收方用户数据APPTCP用户数据APPIPTCP用户数据APPTCP/IP协议栈各层作用供应应用程序网络接口建立端到端连接寻址和路由选择物理介质访问HTTP,Telnet,FTP,TFTP,DNS数据链路层网络层传输层应用层Ethernet,802.3,PPP,HDLC,FRTCP/UDPIPICMP,IGMPARP,RARPTCP/IP协议栈各层作用供应应用程序网络接口建立端到端连接寻址和路由选择物理介质访问HTTP,Telnet,FTP,TFTP,DNS数据链路层网络层传输层应用层Ethernet,802.3,PPP,HDLC,FRTCP/UDPIPICMP,IGMPARP,RARP套接字HTTPFTPTelnetSMTPDNSTFTPSNMPTCPUDPIP数据包套接字8020/2123255369161源套接字：源IP地址＋协议＋源端口目的套接字：目的IP地址＋协议＋目的端口以太网协议封装类型信息类型，0x0800：代表IP类型，0x0806：代表ARP类型，0x8035：代表RARP数据链路层协议目的地址源地址类型数据CRC46-1500字节6字节6字节2字节4字节网络层协议版本报文长度服务类型总长度标识符标记片偏移生存时间TTL协议报头校验和源IP地址目的IP地址IP选项481619310填充项网络层协议版本报文长度服务类型总长度标识符标记片偏移生存时间TTL协议报头校验和源IP地址目的IP地址IP选项481619310填充项传输层协议源端口目的端口序列号确认号URGACKPSHRSTSYNFIN首部长度保留(6位)窗口大小TCP校验和紧急指针选项数据08162431源端口目的端口UDP校验和（可选）数据UDP报文格式TCP报文格式UDP长度传输层协议源端口目的端口序列号确认号URGACKPSHRSTSYNFIN首部长度保留(6位)窗口大小TCP校验和紧急指针选项数据08162431源端口目的端口UDP校验和（可选）数据UDP报文格式TCP报文格式UDP长度建立TCP连接三次握手SYN(seq=a)SYNACK(seq=b,ack=a+1)ACK(seq=a+1,ack=b+1)ClientServer断开TCP连接四次握手FIN(seq=a)ACK(seq=a+1)FIN(seq=b,ack=a+1)ACK(seq=b+1)主动关闭方被动关闭方书目TCP/IP协议基础TCP/IP协议平安常见网络攻击方式TCP/IP协议栈-IPV4平安隐患1缺乏数据源验证机制缺乏机密性保障机制缺乏完整性验证机制

23TCP/IP协议栈常见平安风险漏洞、缓冲区溢出攻击WEB应用的攻击、病毒及木马、……TCP欺瞒、TCP拒绝服务、UDP拒绝服务端口扫描、……IP欺瞒、Smurf攻击、ICMP攻击地址扫描、……MAC欺瞒、MAC泛洪、ARP欺瞒……设备破坏、线路侦听应用层传输层网络层链路层物理层设备破坏物理设备破坏指攻击者干脆破坏网络的各种物理设施，比如服务器设施，或者网络的传输通信设施等设备破坏攻击的目的主要是为了中断网络服务设备破坏攻击防范主要靠非技术方面的因素，比如建立坚实的机房，指定严格的平安管理制度，对于须要铺设在外部环境中的通信电缆等，接受各种加强疼惜措施及平安管理措施线路侦听物理层网络设备集线器中继器无线网络对线路侦听的防范对于网络中运用集线器，中继器之类的，有条件的话置换设备为交换机等对于无线网络，运用强的认证及加密机制，这样窃听者即使能获得到传输信号，也很难把原始信息还原出来侦听者MAC欺瞒MAC欺瞒是一种特殊直观的攻击，攻击者将自己的MAC地址更改为受信任系统的地址。对于MAC攻击的防范措施在交换机上配置静态条目，将特定的MAC地址始终与特定的端口绑定F0-DE-F1-33-7F-DA我也是:F0-DE-F1-33-7F-DAE0E1仿冒者MAC泛洪MAC泛洪攻击利用了：交换机的MAC学习机制MAC表项的数目限制交换机的转发机制MAC泛洪攻击的预防配置静态MAC转发表配置端口的MAC学习数目限制攻击者ARP欺瞒当A与B须要通讯时：A发送ARPRequest询问B的MAC地址B发送ARPReply告知A自己的MAC地址ABHackerIP欺瞒攻击（IPSpoofing）节点间的信任关系有时会依据IP地址来建立攻击者运用相同的IP地址可以仿照网络上合法主机，访问关键信息B:A:Snifferrequestsniffered攻瘫Smurf攻击Victim:AttackercontrolsthishostICMPEchorequest,src=

dest=55ICMPEchorepliesICMP重定向和不行达攻击ManyICMPRedirect受害主机AttackercontrolsthishostManyICMPdestunreachablefloodto192.168.1.x,src=网关收到不到数据包Attackercontrolsthishost为什么收不到数据包？IP地址扫描攻击攻击者运用ICMP报文探测目标地址，或者运用TCP/UDP报文对确定地址发起连接，通过推断是否有应答报文，以确定哪些目标系统的确存活着并且连接在目标网络上。攻击者TCP欺瞒主机

A主机

BSYNseqack1110000spoofedpacketfromCtoASYNseqacCK1ACKseqack11100154003spoofedpacketfromBtoA拒绝服务攻击fromCtoBA信任

B攻击主机C非授权连接TCP拒绝服务——SYNFlood攻击SYN报文是TCP连接的第一个报文，攻击者通过大量发送SYN报文，造成大量未完全建立的TCP连接，占用被攻击者的资源。攻击者ServerSynUDP拒绝服务——UDPFlood攻击攻击者通过向服务器发送大量的UDP报文，占用服务器的链路带宽，导致服务器负担过重而不能正常向外供应服务。UDP攻击者ServerPortScan攻击通常运用一些软件，向大范围的主机的一系列TCP/UDP端口发起连接，依据应答报文推断主机是否运用这些端口供应服务。端口扫描攻击防范攻击者PortScan缓冲区溢出攻击攻击软件系统的行为中，最常见的一种方法可以从本地实施，也可以从远端实施利用软件系统（操作系统，网络服务，程序库）实现中对内存操作的缺陷，以高操作权限运行攻击代码漏洞与操作系统和体系结构相关，须要攻击者有较高的学问/技巧StackDataCode针对WEB应用的攻击常见的攻击对客户端的含有恶意代码的网页，利用阅读器的漏洞，威逼本地系统对Web服务器的利用Apache/IIS…的漏洞利用CGI实现语言(PHP/ASP/Perl...)和实现流程的漏洞通过Web服务器，入侵数据库书目TCP/IP协议基础TCP/IP协议平安常见网络攻击方式被动攻击主机

B主机AInternet我要获得机密信息侦听主动攻击Internet主机A企业业务资源