CISP-2-网络与通信安全

信息安全技术

网络安全——坚韧不拔、追求卓越议题网络基础概述网络体系结构网络协议安全分析网络中面临的威胁针对网络设备的攻击拒绝服务（DoS）攻击欺骗攻击网络嗅探网络设备安全网络服务的安全拒绝服务攻击（DoS）的防御策略INTERNET的美妙之处在于你和每个人都能互相连接INTERNET的可怕之处在于每个人都能和你互相连接OSI参考模型ISO／OSI网络体系结构

网络体系结构分层的目的

OSI参考模型的层次划分

应用层表示层

会话层

传输层网络层

数据链路层物理层

TCP/IP协议层次模型TCP/IP协议分层并不完全对应OSI模型应用层TelnetFTPDNSSMTP传输层TCPUDP网络层IPICMPARPRARP网络接口层X.25ARPnetTelnetSMTPDNSFTPUDPTCPIP以太网无线网络SATNETARPNETTCP/IP模型与潜在风险应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏常见黑客攻击方式应用层：应用程序和操作系统的攻击与破坏网络层：拒绝服务攻击和数据窃听风险传输层：拒绝服务攻击硬件设备与数据链路：物理窃听与破坏Internet的安全问题的产生Internet起于研究项目,安全不是主要的考虑少量的用户，多是研究人员,可信的用户群体可靠性(可用性)、计费、性能、配置、安全网络协议的开放性与系统的通用性目标可访问性，行为可知性攻击工具易用性Internet没有集中的管理权威和统一的政策安全政策、计费政策、路由政策网络安全的语义范围

保密性(Confidentiality)

完整性(Integrity)可用性(Availability)局域网的特性

局域网典型特性高数据传输率短距离低误码率常用的局域网介质访问控制技术载波监听多路访问/冲突检测(CSMA/CD)技术令牌控制技术令牌总线控制技术光纤分布数据接口(FDDI)技术局域网安全管理良好的网络拓扑规划对网络设备进行基本安全配置合理的划分VLAN分离数据广播域绑定IP地址与Mac地址配置防火墙和IDS设备使用内容监控与病毒过滤良好的网络规划网络安全规划原则合理的分配地址合理的网络逻辑结构通过VLAN分隔逻辑网络通过域或工作组确定用户权限建立良好的网络安全制度网络设备安全配置关闭不必要的设备服务使用强口令或密码加强设备访问的认证与授权升级设备固件或OS使用访问控制列表限制访问使用访问控制表限制数据包类型广域网的概念和特性广域网是覆盖地理范围相对较广的数据通信网络。网络的规模和分类：局域网(LAN，localareanetwork)可覆盖一个建筑物或一所学校;城域网(MAN，metropolitanareanetwork)可覆盖一座城市;(WAN，wideareanetwork)可覆盖多座城市、多个国家或洲。广域网的构成和种类广域网的参考模型广域网的构成广域网的种类X.25帧中继ATM广域网安全管理良好的网络拓扑规划对网络设备进行基本安全配置确保路由协议安全使用ACL进行数据过滤使用AAA加强访问控制和认证分层模型网络分层的概念：网络协议按结构化层次方式组织，每层完成一定的功能，每层都建在其下层之上，并通过层间接口向上层提供服务，将服务实现的细节对上层隐蔽。

优点：减少复杂性，维护、修改相对容易、不同节点之间的对等层可以通过共享数据格式来进行通信

网络的分层连同其相应协议叫网络体系架构。TCP/IP，OSI，SNA，DNA等OSI模型(1)国际标准组织ISO(InternationalOrganizationforStandardization)提出了开放式系统互联网络体结架构(OpenSystemInterconnection/ReferenceModel)OSI定义了异种机互连的标准框架，为连接分散的“开放”系统提供了基础——任何两个遵守OSI标准的系统均可实施互连。

七层网络体系架构，这七层网络自底向上分别是：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层，各层完成一定的功能，每层为其上层网络提供支持，这种支持表现为数据(信息)的封装：SegmentPacketFrameOSI模型(2)OSI模型各层功能简述A：为应用进程访问OSI环境提供手段，并为应用进程提供服务，关心数据的语义，如WWWP：提供数据的句法，处理通信双方之间的数据表示问题，如ASCIIS:提供一种经过组织的方法在用户之间交换数据,如SQLT：资源子网与通信子网的界面和桥梁，端到端的通信N：通信子网与网络高层的界面，用户进人网络、以及网络之间互连的接口，主机到主机的通信，即寻址D：进行链路上的数据传输，物理寻址P：物理设备间的接口，电平信号或光信号TCP/IP体系架构TCP/IP由美国DODResearchProjectsAgency—DARPA）70年代开发。包括了一组协议。

采用了网络分层的概念,一般称为DOD体系结构。分为4层：自底向上分别是：网络接口层、网络互联层、传输层、应用层。

TCP/IP各层功能简述应用层：向用户提供一组常用的应用程序，如FTP，HTTP，TELNET等，用户亦可在TCP/UDP基础上定义专有应用。传输层：提供应用程序间（即端到端）的通信，格式化信息流、提供可靠传输及解决不同应用程序的识别问题

网络互连层：负责相邻计算机之间的通信

网络接口层：负责收发数据包并通过网络传输

OSI模型与DOD体系对照TCP/IP协议栈物理层安全网络层安全传输层安全应用层安全TCP/IP协议安全分析TCP/IP协议集TCP/IP（传输控制协议/网间协议）是一组网络通信协议，它规范了网络上的所有通信设备，尤其是一个主机与另一个主机之间的数据往来格式以及传送方式TCP/IP协议集与分层模型TCP/IP网络的安全来由力求简单高效的设计初衷使TCP/IP协议集的许多安全因素未得以完善安全缺陷的一些表现: TCP/IP协议数据流采用明文传输

TCP/IP协议以IP地址作为网络节点的唯一标识，此举并不能对节点上的用户进行有效的身份认证 协议本身的特点被利用实施网络攻击

………物理层的安全威胁

物理层介绍物理层的安全风险分析

物理层的安全防护物理层介绍第一层称为物理层(PhysicalLayer)，这一层负责传送比特流

提供建立、维护和拆除物理链路所需的机械、电气、功能和规程特性通过传输介质进行数据流的物理传输，故障检测和物理层管理物理层的安全风险分析网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用，而造成网络系统的不可用。 例如：设备被盗、被毁坏；设备老化、意外故障；计算机系统通过无线电辐射泄露秘密信息等。由于局域网中采用广播方式，因此，若在某个广播域中可以侦听到所有的信息包，黑客就可以对信息包进行分析，那么本广播域的信息传递都会暴露在黑客面前。

物理层的安全防护网络分段网络拓扑网络分段网络分段可分为物理分段和逻辑分段两种方式，物理分段通常是指将网络从物理层和数据链路层（ISO/OSI模型中的第一层和第二层）上分为若干网段，各网段相互之间无法进行直接通讯目前，许多交换机都有一定的访问控制能力，可实现对网络的物理分段网络拓扑安全管理员必须了解他们保护的网络的所有布局。黑客最常用的攻击和渗透到网络中的—种方法是在公司内部主机上安装一个packetsniffer。记住物理定义了介质上的电子信号。局域网使用基带传输，任何线缆上传输的数据将可被任何可以物理连接的人得到。理解你的网络布局可以帮助阻止未知的sniffer

发生。最普通的网络拓扑结构是星型，总线型，环型，和复合型网络层的安全威胁

网络层协议及安全威胁网络层的安全防护与安全协议网络层介绍网络层主要用于寻址和路由。它并不提供任何错误纠正和流控制的方法。网络层使用较高效的服务来传送数据报文

网络层协议IP网间协议(InternetProtocol)。负责主机间数据的路由和网络上数据的存储。同时为ICMP、TCP、UDP提供分组发送服务。用户进程通常不需要涉及这一层。ARP地址解析协议(AddressResolutionProtocol)。此协议将网络地址映射到硬件地址。RARP反向地址解析协议(ReverseAddressResolutionProtocol)。此协议将硬件地址映射到网络地址。ICMP网间报文控制协议(InternetControlMessageProtocol)。此协议处理信关和主机间的差错和传送控制。ICMP报文使用IP数据报进行传送，这些报文通常由TCP/IP网络软件本身来保证正确性。网络层的安全威胁IP协议安全(spoofing等)Internet控制信息协议(ICMP)ARP欺骗和ARP洪水,DoSIGMP攻击ARP协议ARP:将IP地址转化成MAC地址的一种协议,ARP在IP层之下,一般认为其属网络层,但它利用数据链路层工作---分层并不严格以太网的传输靠mac地址决定,即主机响应ip包依靠ip包中所包含的mac地址来识别:主机在发送一个ip包之前，它要到该转换表中寻找和ip包对应的mac地址。如果没有找到，该主机就发送一个ARP广播包，看起来象这样子：

"我是主机xxx.xxx.xxx.xxx,mac是xxxxxxxxxxx,ip为xxx.xxx.xxx.xx1的主机请告之你的mac来"

ip为xxx.xxx.xxx.xx1的主机响应这个广播，应答ARP广播为：

"我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2"

*ARP的查询包为广播包，而ARP的应答包为单播包ARP协议安全问题针对ARP的攻击主要有两种，一种是DOS,一种是SpoofDOS:大量的arp

请求报文的攻击假冒ARP应答---DOS:冒充B向A应答,使得A与B的通信不成功点对点的假冒查询:显充A向B发包更新B的ARP表,使B与A的通信不成功

自动定时ARP欺骗:对网关的干扰推测ARP解析时间解决ARP协议安全网络安全信任关系不要单纯建立在ip或mac基础上设置静态的mac-->ip对应表，不要让主机刷新你设定好的转换表使用ARP服务器:确保该机安全,通过该机查找自己的ARP转换表来响应其他机器的ARP广播使用"proxy"代理ip的传输使用硬件屏蔽主机,交换机和网桥无法阻止ARP欺骗定期用响应的ip包中获得一个rarp请求，然后检查ARP响应的真实性使用防火墙/IDS连续监控网络IP协议网际协议，

TCP/IP协议族中的主要网络层协议，与TCP协议结合组成整个因特网协议的核心协议。包含寻址信息和控制信息，可使数据包在网络中路由。IP适用于LAN和WAN通信。除了ARP和RARP，其它所有TCP/IP族中的协议都是使用

IP传送主机与主机间的通信两个基本任务：提供无连接的和最有效的数据包传送；提供数据包的分割及重组以支持不同最大传输单元大小的数据连接。IP协议只用于发送包，TCP协议负责将其按正确顺序排列IP协议结构HeaderlengthTypeofserviceTotallengthinbytesIdentification3bitflags13bitfragmentoffsetTimetoliveProtocolIDHeaderchecksumSourceIPaddressDestinationIPaddressVersion0Bit16Bit32BitdataTCP/UDPheaderIPheaderIP协议结构Version–4位字段，指出当前使用的IP版本。IPHeaderLength（IHL）―指数据报协议头长度，具有32位字长。指向数据起点。正确协议头最小值为5。Type-of-Service―指出上层协议对处理当前数据报所期望的服务质量，并对数据报按照重要性级别进行分配。这些8位字段用于分配优先级、延迟、吞吐量以及可靠性。TotalLength―指定整个IP数据包的字节长度，包括数据和协议头。其最大值为65,535字节。典型的主机可以接收576字节的数据报。Identification―包含一个整数，用于识别当前数据报。该字段由发送端分配帮助接收端集中数据报分片。Flags―由3位字段构成，其中低两位（最不重要）控制分片。低位指出数据包是否可进行分片。中间位指出在一系列分片数据包中数据包是否是最后的分片。第三位即最高位不使用。FragmentOffset―13位字段，指出与源数据报的起始端相关的分片数据位置，支持目标IP适当重建源数据报。Time-to-Live―是一种计数器，在丢弃数据报的每个点值依次减1直至减少为0。这样确保数据包无止境的环路过程。Protocol―指出在IP处理过程完成之后，有哪种上层协议接收导入数据包。HeaderChecksum―帮助确保

IP协议头的完整性。由于某些协议头字段的改变，如生存期（TimetoLive），这就需要对每个点重新计算和检验。Internet协议头需要进行处理。SourceAddress―指定发送代码。DestinationAddress―指定接收代码。Options―允许IP支持各种选项，如安全性。Data―包括上层信息。IP协议安全问题IP协议存在的主要缺陷包括IP通信不需用进行身份认证，IP数据传输没有加密，IP的分组和重组机制不完善，IP地址的表示不需要真实并确认真假等。IP碎片攻击，源路由攻击，IP欺骗，IP伪造，PingFlooding和PingofDeath等大量的攻击，都是利用IP协议的缺陷对IP协议进行攻击的。且很多上层的安全隐患源于

IP欺骗，如DNS欺骗等实例:Smurf攻击

,向大量的远程主机发送一系列的ping请求命令。黑客把源IP地址换成想要攻击目标主机的IP地址。所有的远程计算机都响应这些ping请求，然后对目标地址进行回复而不是回复给攻击者的IP地址用。目标IP地址将被大量的ICMP包淹没而不能有效的工作。IP协议安全解决办法网络分段VLAN防火墙IPSecICMP协议ICMP是“InternetControlMessageProtocol”（Internet控制消息协议）的缩写控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。控制消息并不传输用户数据，但是对于用户数据的传递起着重要的作用。如PingICMP在IP层之上,利用IP层收、发数据包ICMP协议结构ICMP协议结构Type―错误消息或信息消息。错误消息可能是不可获得目标文件，数据包太大，超时，参数问题等。可能的信息消息有：EchoRequest、EchoReply、GroupMembershipQuery、GroupMembershipReport、GroupMembershipReduction。Code―每种消息类型具有多种不同代码。不可获得目标文件正是这样一个例子，即其中可能的消息是：目标文件没有路由，禁止与目标文件的通信，非邻居，不可获得地址，不可获得端口。具体细节请参照相关标准。Checksum―计算校验和时，Checksum字段设置为0。Identifier―帮助匹配Requests/Replies的标识符，值可能为0。SequenceNumber―帮助匹配

Requests/Replies的序列号，值可能为0。AddressMask―32位掩码地址。

ICMP安全问题lotsofnastythingscanbedonewithICMPmessageswhenscanningnetworksortryingtogainacovertchannelICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机,此外也被用于攻击前期扫描工作的系统指纹识别*基于ICMP路由欺骗的技术都是停留在理论上占整个攻击总数的90%以上如:1.可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“PingofDeath”（死亡之Ping）攻击2.向目标主机长时间、连续、大量地发送ICMP数据包，也会最终使系统瘫痪。ICMP协议安全解决办法在路由器上对ICMP数据包进行带宽限制，将ICMP占用的带宽控制在一定的范围内在主机上设置ICMP数据包的处理规则，最好是设定拒绝所有的ICMP数据包--包过滤/防火墙IGMP协议IGMP（InternetGroupManagementProtocol）是IP主机用作向相邻多目路由器报告多目组成员。多目路由器是支持组播的路由器，向本地网络发送IGMP查询。主机通过发送IGMP报告来应答查询。组播路由器负责将组播包转发到所有网络中组播成员。Internet组管理协议（IGMP）是因特网协议家族中的一个组播协议，用于IP主机向任一个直接相邻的路由器报告他们的组成员情况。IGMP信息封装在

IP报文中，其

IP的协议号为2IGMP由IETF（）定义在

RFC1112、RFC2236和RFC3376中IGMP协议结构Type―0x11信息类型（会员查询）MaxResponseTime―只用于会员查询信息。规定每1/10秒中发送响应报告之前的最大允许时间。在所有其它信息中，发送方设置该值为0，而接收方忽略不计。Checksum―信息差错的校验和。GroupAddress―当发送一个通用查询时，GroupAddress设为0。当发送一个特定组查询或组及特定源查询时，它被设置为正在查询的GroupAddress。在离开组信息的会员报告中，该字段用于保存将要报告或离开的组的IP组播组地址。RSV―预留。传输过程中设置为0，接收方忽略不计。QQIC―查询者的查询间隔代码。NumberofSource（N）―信息中源地址的数目。SourceAddress―IP单播地址向量。IGMP协议结构IGMP协议安全问题可以发送畸形的igmp包来导致系统tcp-ip栈崩溃.win95最常用的igmp攻击就是伪造一个目的地址是单个ip,但ip上层协议指定为IGMP,系统会为你打造一个igmp报头,因为组播使用D类地址,所以系统不知如何处理,造成崩溃.IGMP攻击如：向有WINDOWS9x操作系统的机器发送长度和数量都较大的IGMP数据包。典型的攻击工具有DOOM。IGMP安全解决办法直接阻塞外来的IGMP数据包网络层的安全防护网络分段网络安全扫描技术入侵检测技术VPN技术加密技术、数字签名和认证技术防火墙服务VLAN的实现网络层的安全防护网络层的安全防护逻辑网络分段:网络分成若干IP子网，各子网际必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备（含软件、硬件）的安全机制来控制各子网际的访问。VLAN的实施:按照系统的安全性来划分VLAN防火墙服务:在网络入口点检查网络通讯，根据设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。加密技术:通过对网络数据的加密来保障网络的安全可靠性,有面向网络或面向应用服务2种形式数字签名和认证技术:解决网络通讯过程中通讯双方的身份认可VPN技术:在不可信任的公共网络上安全的通信

网络层安全协议IPSEC:于1995年在互联网标准草案中颁布可以保证局域网、专用或公用的广域网及Internet上信息传输的安全主要特征是可以对所有IP级的通信进行加密和认证提供三种形式来保护通过IP网络传送的私有数据数据认证--可以确定所接受的数据与所发送的数据在数据完整性方面是一致的，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的完整--保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变机密性--使相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容从VPN实例看网络层数据安全防护基于PPTP,使用windows2000提供的远程访问和路由服务构造VPN链接:使用挑战握手协议chapv2/v1加密认证使用明文密码协议pap进行认证internetWin2kServerRASWinPro/XP/ServerVPN构造实例服务端（远程访问和路由服务）客户端(VPNClient)

网络连接使用PAP认证服务端控制策略的身份验证配置客户端安全设置使用PAP认证PAP认证使用了明文传输的密码使用CHAP认证客户端安全配置服务端远程访问控制策略网络层的安全性特点主要优点：透明性，也就是说，安全服务的提供不需要应用程序、其他通信层次和网络部件做任何改动主要缺点：网络层一般对属于不同进程和相应条例的包不作区别。对所有去往同一地址的包，它将按照同样的加密密钥和访问控制策略来处理。这可能导致提供不了所需的功能，也会导致性能下降

传输层的安全威胁

传输层介绍传输层协议及其安全分析

传输层介绍传输层控制主机间传输的数据流。TCP传输控制协议（TransmissionControlProtocol)。这是一种提供给用户进程的可靠的全双工字节流面向连接的协议。它要为用户进程提供虚电路服务，并为数据可靠传输建立检查。大多数网络用户程序使用TCP。UDP用户数据报协议(UserDatagramProtocol)。这是提供给用户进程的无连接协议，用于传送数据而不执行正确性检查。

TCP协议通过序列确认以及包重发机制，提供可靠的数据流发送和到应用程序的虚拟连接服务。与IP协议相结合，TCP组成了因特网协议的核心。网络

IP地址和端口号结合成为唯一的标识,我们称之为“套接字”或“端点”。TCP在端点间建立连接或虚拟电路进行可靠通信。提供数据流传输、可靠性、有效流控制、全双工操作和多路复用技术等。TCP协议数据流传输

,TCP交付一个由序列号定义的无结构的字节流。这个服务对应用程序有利，因为在送出到TCP之前应用程序不需要将数据划分成块，

TCP可以将字节整合成字段，然后传给IP进行发送。可靠性。TCP在字节上加上一个递进的确认序列号来告诉接收者发送者期望收到的下一个字节。如果在规定时间内，没有收到关于这个包的确认响应，重新发送此包。TCP的可靠机制允许设备处理丢失、延时、重复及读错的包。超时机制允许设备监测丢失包并请求重发。有效流控制。当向发送者返回确认响应时，接收TCP进程就会说明它能接收并保证缓存不会发生溢出的最高序列号。全双工操作：TCP进程能够同时发送和接收包。多路技术：大量同时发生的上层会话能在单个连接上时进行多路复用。TCP协议结构SourcePort–识别上层源处理器接收

TCP服务的点。DestinationPort–识别上层目标处理器接收

TCP服务的点。SequenceNumber–通常指定分配到当前信息中的数据首字节的序号。在连接建立阶段，该字段用于设别传输中的初始序列号。AcknowledgmentNumber–包含数据包发送端期望接收的数据下一字节的序列号。一旦连接成功，该值会一直被发送。DataOffset–4位。TCP协议头中的32位字序号表示数据开始位置。Reserved–6位。预留以备用，必须设置为0。ControlBits（Flags）–6位。传送各种控制信息。Window–16位。指定发送端接收窗口的大小，也就是说，数据可用的八位缓存区大小。Checksum–16位。指出协议头在传输中是否遭到破坏。UrgentPointer–16位。指向数据包中的第一个重要数据字节。Option+Padding–指定各种

TCP选项。可选项有两种可能形式：单个八位可选类型和八位可选类型，八位可选长度和实际可选数据八位位组。Data–包含上层信息TCP协议结构建立一个TCP连接SYN（SEQs=ISNc）SYN（SEQs=ISNc），ACK(SEQA=ISNc+1)ACK（SEQA=ISNs+1）服务器S客户机C结束一个TCP连接TCP协议的安全问题

TCP协议被攻击，主要是利用TCP的三次握手机制,如有:TCP序列号欺骗

TCP序列号轰炸攻击

SYNFlooding攻击，ACKFlooding攻击等;此外，Tcp

扫描攻击包括SYNscan、FINscan、XmasTreescan和Nullscan也是TCP安全问题之一,再如会话劫持、RST攻击等传输层协议，为无确认的数据报服务，只是简单的接收和传输数据UDP比TCP传输数据快UDP头标UDP数据区IP头标IP数据区UDPUDP无连接的传输层协议，提供面向事务的简单不可靠信息传送服务与TCP不同，UDP并不提供对IP协议的可靠机制、流控制以及错误恢复功能等。UDP比较简单，UDP头包含很少的字节，比TCP负载消耗少。UDP适用于不需要

TCP可靠机制的情形,如网络文件系统（NFS）、简单网络管理协议（SNMP）、域名系统（DNS）以及简单文件传输系统（TFTP）均基于UDPUDP协议结构SourcePort—16位。源端口是可选字段。当使用时，它表示发送程序的端口，同时它还被认为是没有其它信息的情况下需要被寻址的答复端口。如果不使用，设置值为0。DestinationPort—16位。目标端口在特殊因特网目标地址的情况下具有意义。Length—16位。该用户数据报的八位长度，包括协议头和数据。长度最小值为8。Checksum—16位。IP协议头、UDP协议头和数据位，最后用0填补的信息假协议头总和。如果必要的话，可以由两个八位复合而成。Data—包含上层数据信息。UDP协议结构UDP协议安全问题对UDP协议的攻击，主要利用UDP协议本身特性，进行流量攻击，强化UDP通信的不可靠性，以达到拒绝服务的目的。此外,某些Unix的服务器默认一些可被恶意利用的UDP服务，如echo和chargen，它会显示接收到的每一个数据包，而原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符，如果恶意攻击者将这2个UDP服务互指，则网络可用带宽将很快耗尽。

UDP协议安全问题Trinoo就是基于UDPflood的攻击软件，它向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃以及钓鱼岛事件中用于攻击日本的阿拉丁UDP攻击软件传输层安全性 传输层处于通信子网和资源子网之间，起着承上启下的作用,支持多种安全服务：对等实体认证服务；访问控制服务；数据保密服务；数据完整性服务；数据源点认证服务。

传输层安全措施采用安全协议：SSL和PCTtls应用传输层安全协议要对传输层IPC界面和应用程序两端都进行修改

基于UDP的通信很难在传输层建立起安全机制

优点：提供基于进程对进程的(而不是主机对主机的)安全服务

使用防火墙/包过滤针对TCP和UDP攻击的防火墙安全策略目的:阻止传输层协议特点被利用带来的系统与数据安全威胁应用层的安全威胁

应用层介绍应用层常见协议安全性应用层的安全实现

应用层介绍标准协议:简单邮件传输协议（SMTP）文件传输协议(FTP)超文本传输协议(HTTP)远程连接服务标准协议（Telnet）简单网络管理协议(SNMP)域名系统(DNS)定制应用：复杂DNSSNMPTelnetHTTPFTPSMTPFTP协议文件传输协议（FTP）使得主机间可以共享文件FTP使用

TCP生成一个虚拟连接用于控制信息，然后再生成一个单独的TCP连接用于数据传输。控制连接使用类似

TELNET协议在主机间交换命令和消息。主要功能:提供文件的共享（计算机程序/数据）；支持间接使用远程计算机；使用户不因各类主机文件存储器系统的差异而受影响；可靠且有效的传输数据。

FTP协议结构FTP安全问题上载弱点 上载就是允许客户将文件传送到服务器，此弱点对连接在互联网上的服务器来言，大量的数据涌入服务器，致使服务器的磁盘空间被填满，导致系统不能正常工作；参数溢出参数溢出主要是在PASV方式下，由于执行不完善的命令，导致系统CoreDump而使系统崩溃；远程执行漏洞远程执行功能如果允许执行诸如cat，cp等能浏览和拷贝文件的命令，则系统存在很大的危险性，入侵者可以利用此功能获取系统中的敏感文件，或改变系统中的配置文件；获取超级用户权限获取超级用户权限主要是有些FTP服务进程支持CD~root命令，此命令可使普通用户获得超级用户权限。Telnet协议TELNET是TCP/IP环境下的终端仿真协议，通过

TCP建立服务器与客户机之间的连接。Telnet协议结构Telnet安全问题Telnet本身的缺陷是没有口令保护没有强力认证过程没有完整性检查传送的数据都没有加密客户机/服务器模型

HTTP协议请求/响应式的应用层协议请求的格式是：统一资源标识符（URI）、协议版本号，后面是类似

MIME的信息，包括请求修饰符、客户机信息和可能的内容。响应信息，其格式是：一个状态行包括信息的协议版本号、一个成功或错误的代码，后面也是类似

MIME的信息，包括服务器信息、实体信息和可能的内容。也可用作普通协议，实现用户代理与连接其它Internet服务（如SMTP、NNTP、FTP、GOPHER及WAIS）的代理服务器或网关之间的通信，允许基本的超媒体访问各种应用提供的资源，同时简化了用户代理系统的实施HTTP协议结构HTTP协议安全问题HTTP协议明文传输数据。WEB用户可能下载有破坏性的ActiveX控件或JAVAapplets这些程序在用户的计算机上执行并含有某种类别的代码，包括病毒或特洛伊木马HTTP服务器也必须要小心保护，HTTP服务器在很多基础上类似FTP服务器HTTP明文被截获SMTP协议SMTP是建模在FTP文件传输服务上的一种邮件服务，主要用于传输系统之间的邮件信息并提供来信有关的通知。SMTP独立于特定的传输子系统，且只需要可靠有序的数据流信道支持。SMTP重要特性之一是其能跨越网络传输邮件，即“

SMTP邮件中继”。使用

SMTP，可实现相同网络上处理机之间的邮件传输，也可通过中继器或网关实现某处理机与其它网络之间的邮件传输。域名服务系统（DNS）的邮件交换服务器可以用来识别出传输邮件的下一跳IP地址。SMTP协议结构SMTP安全问题大多数邮件系统使用SMTP实现 用TCP进行的邮件交换是由报文传送代理MTA(MessageTransferAgent)完成的。两个MTA之间用NVTASCII进行通信，客户向服务器发出命令，服务器用数字应答码和可选的字符串进行响应SMTP自身没有安全问题，但处理SMTP的服务器存在安全问题，如邮件中继代理open-relaySNMP协议用于在IP网络管理网络节点使网络管理员能够管理网络效能，发现并解决网络问题以及规划网络增长。通过

SNMP接收随机消息（及事件报告）网络管理系统获知网络出现问题。三个主要组成部分：管理的设备、代理和网络管理系统。一种应用程序协议，封装在

UDP/TCP中。SNMP安全问题SNMPv1跟踪消息处理系列缺陷:SNMP代理(SNMPagents)发送跟踪消息(SNMPtrapmessages)到管理器(SNMPmanager)，向管理器报告错误信息、警报和其它的有关宿主的状态信息。管理器必须解析和处理这些数据。OUSPG发现很多SNMP管理器在解析和处理过程中存在缺陷(ouluuniversitysecureprogramminggroup)SNMPv1请求信息处理系列缺陷:在数据处理过程中，代理和管理器都有出现拒绝服务错误、格式化字符串错误和缓冲溢出攻击的可能。SNMP的安全隐患团体名作为唯一的SNMP认证手段，也是薄弱环节之一SNMPv1消息的团体名在网上以明码传输SNMP主要采用UDP传输，很容易进行IP源地址假冒多数SNMP设备接收来自网络广播地址的SNMP消息SNMP安全问题攻击方法：如果获取支持SNMP协议设备的“communitystring”，攻击者将可以修改路由器配置、获取服务器最高控制权、重新启动设备不知道“communitystring”的前提下，则进行拒绝服务攻击。SNMP安全解决办法从厂商获得补丁程序并执行禁止SNMP服务

边界访问过滤

(tcp161/162,udp161/162)在内部网络中过滤不正常的SNMP访问

修改缺省的"communitystring"隔离SNMP包

分布式网络目录服务，用于域名与IP地址的相互转换，控制电子邮件发送，负载均衡等。多数因特网服务依赖于DNS而工作两个独立的方面：定义命名语法和规范，以利于通过名称委派域名权限。基本语法是：local.group.site；定义如何实现一个分布式计算机系统，以便有效地将域名转换成

IP地址。DNS协议结构DNS协议结构DNS协议结构ID–用于连接查询和答复的16bit。Q–识别查询和答复消息的1位字段。Query–描述消息类型的4位字段：0标准查询（由姓名到地址）；1逆向查询；2服务状态请求A–命令回答：1位字段。当设置为1时，识别由命令名字服务器作出的答复。T–切断。1位字段。当设置为1，表明消息已被切断。R–1位字段。由名字服务器设置为1请求递归服务。V–1位字段。由名字服务器设置表示递归服务的实用性。B–3位字段。备用，必须设置为0。Rcode–响应代码，由名字服务器设置的4位字段用以识别查询状态。Questioncount–16位字段用以定义问题部分的登陆号。Answercount–16位字段，用以定义回答部分的资源记录号。Authoritycount–16位字段，用以定义命令部分名字服务器的资源记录号。Additionalcount–16位字段，用以定义附加记录部分的资源记录号。DNS服务是Internet上其它服务的基础DNS服务存在的主要安全问题名字欺骗信息隐藏DNS协议安全问题NetBIOS对所有人完全共享对所有人完全共享，这是在WindowNT共享时的缺省配置，他对所有可访问该主机的用户提供完全的访问权限；对Guest用户完全共享对Guest用户完全共享，Guest帐号是WinNT的缺省帐号，它有缺省口令，如果系统提供对Guest用户的完全访问权限，入侵者可通过Guest帐号注册到服务器获取信息或修改数据；没有访问控制的共享没有访问控制的共享，是指没有合法认证的共享，在网络上的任何用户都可访问，此弱点在Win95上常见；对所有人可写对所有人可写是指对所有可访问该服务器的用户具有对共享目录的写权限，此弱点可能会使被共享目录中的文件被篡改或删除；对Guest用户可写对Guest用户可写是指通过Guest帐号注册就能获取共享资源的写权限；NetBios空会话NetBios空会话通过长度为零的用户名和口令注册获取对服务器的访问权。应用层协议安全小结应用层协议本身存在的主要问题是信息明文传输，包括如FTP、Telnet登录验证帐号和密码都是明文，攻击者可以通过网络嗅探获取有价值信息，以备下一步攻击之用,此外应用层协议的许多威胁来自于低层协议的安全性问题。应用层应用实现的安全缺陷(网络编程)应用层安全防护威胁：复杂多样

安全协议：SSH，S-HTTP,SET.PGP,S/MIME应用层的安全服务实际上是最灵活的处理单个文件安全性的手段，可以实施细粒度的安全控制

可能的方法：对每个应用(及应用协议)分别进行修改；实施强大的基于用户的身份认证；实施数据加密；访问控制；数据的备份和恢复措施；对资源的有效性进行控制。应用层安全的解决目前往往依赖于网络层、操作系统、数据库的安全

网络中面临的威胁交换机-针对CDP攻击说明Cisco专用协议，用来发现周边相邻的网络设备链路层帧，30s发送一次可以得到相邻设备名称，操作系统版本，接口数量和类型，接口IP地址等关键信息在所有接口上默认打开危害任何人可以轻松得到整个网络信息可以被利用发起DoS攻击：http://www.phenoelit.de/irpas/对策如不需要，禁止CDP禁止User-End端口的CDP交换机-针对STP攻击说明SpanningTreeProtocol防止交换网络产生回路RootBridgeBPDU--bridgeID,pathcost,interface攻击强制接管rootbridge，导致网络逻辑结构改变，在重新生成STP时，可以导致某些端口暂时失效，可以监听大部份网络流量。BPDUFlood：消耗带宽，拒绝服务对策对User-End端口，禁止发送BPDU路由器-发现路由通过tracertroute命令最后一个路由容易成为DoS攻击目标路由器-猜测路由器类型端口扫描操作系统堆栈指纹登陆旗标（banner）其它特征：如Cisco路由器1999端口的ack分组信息，会有cisco字样提示路由器-缺省帐号设备用户名密码级别bay路由器user空用户

Manager空管理员baysuperStackIIsecuritysecurity管理员3com交换机adminsynnet管理员

readsynnet用户

writesynnet管理员

debugsynnet管理员

techtech

monitormonitor用户

managermanager管理员

securitysecurity管理员cisco路由器(telnet)c(Cisco2600s)管理员

(telnet)cisco用户

enablecisco管理员

(telnet)ciscorouters

MotorolaCableRoutercablecomrouter管理员路由器-密码与TFTPCisco路由器的密码弱加密MD5加密Enablesecret5Cisco路由器TFTP攻击

Cisco基于拒绝服务攻击HTTP的漏洞

Cisco路由启用(enable)远程WEB管理，很容易遭受DoS。这种DoS能导致路由器停止对网络请求的响应。这是功能是Cisco路由的内嵌功能。但启用这个特性，通过构造一个简单的Http请求就会造成DoS攻击：

http://<router-ip>/%%

这种请求导致路由停止响应，甚至引起路由器执行硬重置(hardreset)。

如果http起用，浏览：

http://route_ip_addr/anytest?/并且提供特权口令，则可以导致DoS攻击，导致路由停机或者重启。Cisco的WEB服务的越权访问漏洞：几乎所有的版本的Cisco设备IOS都有这个问题存在，攻击者只需要构造一个如下的URL:http://IP/level/xx/exec/......即可!这里的xx是一个从16-99之间的整数。对于不同的设备，这个数值可能是不同的，但是攻击者仅需要测试84次即可找到正确的数值。如果不能进入，尝试：0/level/20/exec/showconfig

试试这个连接地址，就会发现结果好象是不一样了，我们已经按照刚才的漏洞描述成功的绕过了Cisco的密码检查机制，现在拥有的是设备的管理员权限。Cisco路由器的安全配置使用加密的强密码servicepassword-encryptionenablesecretpa55w0rd使用分级密码策略enablesecret6pa55wordprivilegeexec6show使用用户密码策略usernamepasswordpassprivilegeexec6showCisco路由器安全配置控制网络线路访问access-list8permit0access-list8permit***.***.***.***access-list8denyanylinevty04access-class8in设置网络连接超时Exec-timeout50

Cisco路由器安全配置禁用交换机HTTP服务器noiphttpserver禁用CDP发掘协议nocdprun禁用交换机NTP服务器nontpenable禁用低端口简单服务noservice-udp-small-servicesnoservice-udp-small-services禁用Finger服务noservicefinger以上措施可以降低路由器遭受应用层攻击的风险Cisco路由器安全配置禁用简单网络管理协议nosnmp-serverenable使用SNMPv3加强安全特性snmp-serverenabletrapssnmpauthmd5使用强的SNMPv1通讯关键字snmp-servercommunityname以上三者不可同时使用，如果必要使用SNMP安全性1>>2>>3Cisco路由器安全配置禁用IPUnreachable报文禁用ICMPRedirect报文noipredirect禁用定向广播noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP验证Ipverifyunicastreverse-path禁用IP源路由选项noipsource-routeCisco路由器安全配置使用访问控制列表限制访问地址使用访问控制列表限定访问端口使用访问控制列表过滤特定类型数据包使用访问控制列表限定数据流量使用访问控制列表保护内部网络路由设备安全配置关闭不必要的设备服务使用强口令或密码加强设备访问的认证与授权升级设备固件或OS使用访问控制列表限制访问使用访问控制表限制数据包类型关于IOS的问题的几点安全建议

通过noiphttpserver取消http服务，消除Http带来的隐患；限制SNMP访问配置；及时升级Cisco的IOS程序或者修补程序；利用安全工具对路由进行安全检查。拒绝服务攻击定义

DoS

（DenialofService）

拒绝服务攻击是用来显著降低系统提供服务的质量或可用性的一种有目的行为。

DDoS

（DistributedDenialofservice）分布式拒绝服务攻击使用了分布式客户服务器功能，加密技术及其它类的功能，它能被用于控制任意数量的远程机器，以产生随机匿名的拒绝服务攻击和远程访问。DDoS攻击示意图分布式拒绝服务攻击示意图DoS攻击举例SynFloodIcmpSmurf（directedbroadcast）UdpFloodIcmpPingFloodTARGA3(堆栈突破)操作系统级别的拒绝服务（SMBDie）应用级别的拒绝服务（pcanywhere）DDoS攻击类型TrinooTFNTFN2KFunTimeApocalypseSynFloodSYNFlood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。SynFloodSYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方正常的三次握手建立通讯的过程SynFloodSYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接IcmpSmurf

Smurf攻击是以最初发动这种攻击的程序名Smurf来命名。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。攻击的过程是这样的：Attacker向一个具有大量主机和因特网连接的网络的广播地址发送一个欺骗性Ping分组（echo请求），这个目标网络被称为反弹站点，而欺骗性Ping分组的源地址就是攻击者希望攻击的系统。IcmpSmurf网段中的所有主机都会向欺骗性分组的IP地址发送echo响应信息。如果这是一个很大的以太网段，可以会有500个以上的主机对收到的echo请求进行回复。由于多数系统都会尽快地处理ICMP传输信息，Attacker把分组的源地址设置为目标系统，因些目标系统都很快就会被大量的echo信息吞没，这样轻而易举地就能够阻止该系统处理其它任何网络传输，从而引起拒绝为正常系统服务。这种攻击不仅影响目标系统，还影响目标系统的网络状况。IcmpSmurf阻塞Smurf攻击的源头

Smurf攻击依靠攻击者的力量使用欺骗性源地址发送echo请求。用户可以使用路由路的访问保证内部网络中发出的所有传输信息都具有合法的源地址，以防止这种攻击。这样可以使欺骗性分组无法找到反弹站点。阻塞Smurf的反弹站点 用户可以有两种选择以阻塞Smurf攻击的反弹站点。第一种方法可以简单地阻塞所有入站echo请求，这们可以防止这些分组到达自己的网络。如果不能阻塞所有入站echo请求，用户就需要将自己的路由器把网络广播地址映射成为LAN广播地址。制止了这个映射过程，自己的系统就不会再收到这些echo请求。UdpFloodUDP攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。首先使这两种UDP服务都产生输出，然后让这两种UDP服务之间互相通信，使一方的输出成为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主机会瘫痪一些被恶意利用的UDP服务，如echo和chargen服务，它会显示接收到的每一个数据包，而原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符，如果恶意攻击者将这2个UDP服务互指，则网络可用带宽将很快耗尽UdpFlood禁止相关服务与网络设备配合IcmpPingFloodPing是通过发送ICMP报文(类型8代码0)探寻网络主机是否存在的一个工具。部分操作系统（例如win95），不能很好处理过大的Ping包，导致出现了PingtoDeath的攻击方式（用大Ping包搞垮对方或者塞满网络），由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。如果对方的操作系统已经可以防御堆栈崩溃，也占去许多带宽。如TFN2K会产生大量的进程，每个进程都不停地发送PING包，从而导致被攻击目标的无法正常工作。IcmpPingFlood正常情况下，Ping的流程是这样的:主机A发送ICMP8,0报文给主机B主机B回送ICMp0,0报文给主机A因为ICMP基于无连结，假设现在主机A伪装成主机C发送ICMP8,0报文，结果会怎么样呢?显然，主机B会以为是主机C发送的报文而去回应主机C，结构如下：伪装为主机C错误的回复主机A--------------------->主机B------------------>主机C这种情况下，由于主机A只需要不断发送Ping报文而不需要处理返回的EchoReply，所以攻击力度成倍的增加，同时实际上主机B和主机C都是被进攻的目标，而且不会留下攻击者的痕迹。IcmpFlood禁止相关服务与网络设备配合TARGA3(堆栈突破)TARGA3攻击的基本原理是发送TCP/UDP/ICMP的碎片包，其大小、标记、包数据等都是随机的。一些有漏洞的系统内核由于不能正确处理这些极端不规范数据包，便会使其TCP/IP堆栈出现崩溃，从而导致无法继续响应网络请求（即拒绝服务）。典型代表是winnuke，jolt，teardrop等TARGA3(堆栈突破)升级操作系统与IDS等安全产品配合操作系统级别的拒绝服务Microsoft操作系统对畸形的SMB（ServerMessageBlock）请求存在漏洞应用级别的拒绝服务包含在操作系统或应用程序中与安全相关的系统缺陷而引起的拒绝服务问题，这些缺陷大多是由于错误的程序编制，粗心的源代码审核，无心的副效应或一些不适当的绑定所造成的。典型代表是pcanywhere的拒绝服务问题应用级别的拒绝服务PCAnywhere

存在因端口扫描导致的DoS

攻击发布日期:2000-4-27受影响的系统:SymantecPCAnywhere9.2SymantecPCAnywhere9.0SymantecpcAnywhere8.0.2描述:在遭受到nmap2.30BETA21的TCPSYN扫描之后,PcAnyWhere将停止响应，只有重新启动服务才能正常运行。应用级别的拒绝服务升级相关软件与安全产品配合Trinoo介绍影响平台:Linux,Solaris,Unix风险级别:高攻击类型:基于网络，基于主机的Trin00是一种分布式拒绝服务的工具。攻击者使用该工具可以控制多个主机，利用这些主机向其他主机发送UDPflood。Trin00控制者可以给Trin00主机守护程序制造多种请求。使用UDP包开始flood主机使用UDP包终止flood主机修改主机主流程序的UDPflood配置Trinoo介绍Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP地址不做假，采用的通讯端口是：

攻击者主机到主控端主机：27665/TCP

主控端主机到代理端主机：27444/UDP

代理端主机到主服务器主机：31335/UDPTFN介绍影响平台:Linux,Solaris,Unix风险级别:高攻击类型:基于网络，基于主机的TribeFloodNetwork,TFN,是一种分布式拒绝服务的工具，使用该工具可以使攻击者利用多个主机，一次flood一个目标。有四种不同类型的flood：ICMPEchofloodUDPFloodSYNFloodSmurf攻击TFN介绍TFN客户机和服务器使用ICMPecho互相发送响应包进行通讯。TFN由主控端程序和代理端程序两部分组成，具有伪造数据包的能力。TFN2K介绍影响平台:Linux,Solaris,Unix风险级别:高攻击类型:基于网络，基于主机的TribeFloodNetwork2000(TFN2k)是一种分布式拒绝服务的工具，可以实施多种类型的flood攻击一个主机。TFN2k由客户端和主机驻留程序组成。客户端控制一个或多个主机主流程序，主机主流程序对目标主机进行flood。客户端可以使用UDP、TCP或ICMP与主机主流程序进行通讯，并可以隐藏欺骗发包的源IP地址。TFN2K介绍TFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。攻击方法增加了Mix和Targa3。并且TFN2K可配置的代理端进程端口。DDoS攻击特性DDoS攻击将越来越多地采用IP欺骗的技术；DDoS攻击呈现由单一攻击源发起进攻，转变为由多个攻击源对单一目标进攻的趋势;DDoS攻击将会变得越来越智能化，试图躲过网络入侵检测系统的检测跟踪，并试图绕过防火墙防御体系;针对路由器的弱点的DDoS攻击将会增多;DDoS攻击利用路由器的多点传送功能可以将攻击效果扩大若干倍;采用半连接技术SYN攻击，和针对TCP/IP协议先天缺陷的的ACK攻击。采用ICMP攻击。采用smurf攻击采用UDP攻击。IP欺骗原理IP是网络层的一个非面向连接的协议，伪造IP地址相对容易。TCP三次握手DoS攻击序列号取样和猜测预防抛弃基于地址的信任策略进行包过滤加密使用随机化初始序列号ARP欺骗实现简易指定ARP包中的源IP、目标IP、源MAC、目标MACArp_send.c危害嗅探导致windows9x、NTIP冲突死机Flooding导致网络异常共享环境下的嗅探技术原理在以太网中是基于广播方式传送数据网卡置于混杂模式下可以接收所有经的数据工具Snifferpro、IRIS、netxraytcpdump、snoop、dsniff交换环境下的嗅探技术dsniff

、arpredirect、arpspoof，fragroute；拒绝服务攻击的防御策略第一种是缩短SYNTimeout时间，由于SYNFlood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度xSYNTimeout，所以通过缩短从接收到SYN报文到确定这个报文