计算机系统安全原理与技术第5章-网络安全5课件_第1页
计算机系统安全原理与技术第5章-网络安全5课件_第2页
计算机系统安全原理与技术第5章-网络安全5课件_第3页
计算机系统安全原理与技术第5章-网络安全5课件_第4页
计算机系统安全原理与技术第5章-网络安全5课件_第5页
已阅读5页,还剩83页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

2023/10/4计算机系统安全原理与技术(第3版)1第5章网络安全2023/8/3计算机系统安全原理与技术(第3版)1第5章2023/10/4计算机系统安全原理与技术(第3版)2本章主要内容网络安全问题网络攻击防护防火墙入侵检测网络隔离公钥基础设施和权限基础设施网络安全协议IPv6新一代网络的安全机制2023/8/3计算机系统安全原理与技术(第3版)2本章主要2023/10/4计算机系统安全原理与技术(第3版)35.1网络安全问题

5.1.1黑客与网络攻击黑客(Hacker),源于英语动词hack,意为“劈,砍”,也就意味着“辟出,开辟”,进一步引申为“干了一件非常漂亮的工作”。多数黑客对计算机非常着迷,认为自己有比他人更高的才能,因此只要他们愿意,就非法闯入某些禁区,或开玩笑或恶作剧,甚至干出违法的事情。现在“黑客”一词普遍的含意是指计算机系统的非法侵入者。2023/8/3计算机系统安全原理与技术(第3版)35.12023/10/4计算机系统安全原理与技术(第3版)45.1网络安全问题

5.1.1黑客与网络攻击目前黑客已成为一个广泛的社会群体。在西方有完全合法的黑客组织、黑客学会,这些黑客经常召开黑客技术交流会。在因特网上,黑客组织有公开网站,提供免费的黑客工具软件,介绍黑客手法,出版网上黑客杂志和书籍。现在“行黑”已变得比较容易,普通人很容易学到网络攻击的方法。2023/8/3计算机系统安全原理与技术(第3版)45.12023/10/4计算机系统安全原理与技术(第3版)55.1网络安全问题

5.1.1黑客与网络攻击网络攻击步骤1)隐藏攻击源利用被侵入的主机(俗称“肉鸡”)作为跳板进行攻击,这样即使被发现了,也是“肉鸡”的IP地址。使用多级代理,这样在被入侵主机上留下的是代理计算机的IP地址。伪造IP地址。假冒用户账号。2023/8/3计算机系统安全原理与技术(第3版)55.12023/10/4计算机系统安全原理与技术(第3版)65.1网络安全问题

5.1.1黑客与网络攻击网络攻击步骤2)信息搜集确定攻击目标。踩点,就是通过各种途径收集目标系统的相关信息,包括机构的注册资料、公司的性质、网络拓扑结构、邮件地址、网络管理员的个人爱好等。扫描,利用扫描工具在攻击目标的IP地址或地址段的主机上,扫描目标系统的软硬件平台类型,并进一步寻找漏洞如目标主机提供的服务与应用及其安全性的强弱等等。2023/8/3计算机系统安全原理与技术(第3版)65.12023/10/4计算机系统安全原理与技术(第3版)75.1网络安全问题

5.1.1黑客与网络攻击网络攻击步骤2)信息搜集嗅探,利用嗅探工具获取敏感信息,如用户口令等。攻击者将搜集来的信息进行综合、整理和分析后,能够初步了解一个机构的安全态势,并能够据此拟定出一个攻击方案。2023/8/3计算机系统安全原理与技术(第3版)75.12023/10/4计算机系统安全原理与技术(第3版)85.1网络安全问题

5.1.1黑客与网络攻击网络攻击步骤3)掌握系统控制权一般账户对目标系统只有有限的访问权限,要达到某些攻击目的,攻击者只有得到系统或管理员权限,才能控制目标主机实施进一步的攻击。获取系统管理权限的方法通常有:扫描系统漏洞、系统口令猜测、种植木马、会话劫持等。2023/8/3计算机系统安全原理与技术(第3版)85.12023/10/4计算机系统安全原理与技术(第3版)95.1网络安全问题

5.1.1黑客与网络攻击网络攻击步骤4)实施攻击不同的攻击者有不同的攻击目的,无外乎是破坏机密性、完整性和可用性等。一般说来,可归结为以下几种。下载敏感信息。攻击其它被信任的主机和网络。瘫痪网络。修改或删除重要数据。其它非法活动。2023/8/3计算机系统安全原理与技术(第3版)95.12023/10/4计算机系统安全原理与技术(第3版)105.1网络安全问题

5.1.1黑客与网络攻击网络攻击步骤5)安装后门放宽文件许可权。重新开放不安全的服务。修改系统的配置,如系统启动文件、网络服务配置文件等。替换系统本身的共享库文件。安装各种特洛伊木马,修改系统的源代码。2023/8/3计算机系统安全原理与技术(第3版)105.12023/10/4计算机系统安全原理与技术(第3版)115.1网络安全问题

5.1.1黑客与网络攻击网络攻击步骤6)隐藏攻击痕迹清除或篡改日志文件。改变系统时间造成日志文件数据紊乱以迷惑系统管理员。利用前面介绍的代理跳板隐藏真实的攻击者和攻击路径。2023/8/3计算机系统安全原理与技术(第3版)115.15.1网络安全问题

5.1.1黑客与网络攻击黑客攻击的常用手段1)伪装攻击。通过指定路由或伪造假地址,以假冒身份与其它主机进行合法通信、或发送假数据包,使受攻击主机出现错误动作。如IP欺骗。2)探测攻击。通过扫描允许连接的服务和开放的端口,能够迅速发现目标主机端口的分配情况、提供的各项服务和服务程序的版本号,以及系统漏洞情况。黑客找到有机可乘的服务、端口或漏洞后进行攻击。常见的探测攻击程序有:Nmap、Nessus、Metasploit、ShadowSecurityScanner、X-Scan等。2023/10/4计算机系统安全原理与技术(第3版)125.1网络安全问题

5.1.1黑客与网络攻击黑客攻击的常5.1网络安全问题

5.1.1黑客与网络攻击黑客攻击的常用手段3)嗅探攻击。将网卡设置为混杂模式,对以太网上流通的所有数据包进行嗅探,以获取敏感信息。常见的网络嗅探工具有:SnifferPro、Tcpdump、Wireshark等。4)解码类攻击。用口令猜测程序破解系统用户帐号和密码。常见工具有:L0phtCrack、JohntheRipper、Cain&Abel、Saminside、WinlogonHack等。还可以破解重要支撑软件的弱口令,例如使用ApacheTomcatCrack破解Tomcat口令。2023/10/4计算机系统安全原理与技术(第3版)135.1网络安全问题

5.1.1黑客与网络攻击黑客攻击的常5.1网络安全问题

5.1.1黑客与网络攻击黑客攻击的常用手段5)缓冲区溢出攻击。通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它的指令。缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能,使攻击者获得程序的控制权。6)欺骗攻击。利用TCP/IP协议本身的一些缺陷对TCP/IP网络进行攻击,主要方式有:ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗等。2023/10/4计算机系统安全原理与技术(第3版)145.1网络安全问题

5.1.1黑客与网络攻击黑客攻击的常5.1网络安全问题

5.1.1黑客与网络攻击黑客攻击的常用手段7)拒绝服务和分布式拒绝服务攻击。这种攻击行为通过发送一定数量一定序列的数据包,使网络服务器中充斥了大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪、停止正常的网络服务。常见的拒绝服务(DenialofService,DoS)攻击有:同步洪流(SYNFlooding)、Smurf等。2023/10/4计算机系统安全原理与技术(第3版)155.1网络安全问题

5.1.1黑客与网络攻击黑客攻击的常5.1网络安全问题

5.1.1黑客与网络攻击黑客攻击的常用手段7)拒绝服务和分布式拒绝服务攻击。近年,DoS攻击有了新的发展,攻击者通过入侵大量有安全漏洞的主机并获取控制权,在多台被入侵的主机上安装攻击程序,然后利用所控制的这些大量攻击源,同时向目标机发起拒绝服务攻击,我们称之为分布式拒绝服务(DistributeDenialofService,DDoS)攻击。常见的DDoS攻击工具有:Trinoo、TFN等。2023/10/4计算机系统安全原理与技术(第3版)165.1网络安全问题

5.1.1黑客与网络攻击黑客攻击的常5.1网络安全问题

5.1.1黑客与网络攻击黑客攻击的常用手段8)Web脚本入侵。由于使用不同的Web网站服务器、不同的开放语言,使网站存在的漏洞也不相同,所以使用Web脚本攻击的方式也很多。如黑客可以从网站的文章系统下载系统留言板等部分进行攻击;也可以针对网站后台数据库进行攻击,还可以在网页中写入具有攻击性的代码;甚至可以通过图片进行攻击。Web脚本攻击常见方式有:注入攻击、上传漏洞攻击、跨站攻击、数据库入侵等。2023/10/4计算机系统安全原理与技术(第3版)175.1网络安全问题

5.1.1黑客与网络攻击黑客攻击的常5.1网络安全问题

5.1.1黑客与网络攻击黑客攻击的常用手段9)0day攻击。0day通常是指还没有补丁的漏洞,而0day攻击则是指利用这种漏洞进行的攻击。提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。0day漏洞的利用程序对网络安全具有巨大威胁,因此0day不但是黑客的最爱,掌握多少0day也成为评价黑客技术水平的一个重要参数。2023/10/4计算机系统安全原理与技术(第3版)185.1网络安全问题

5.1.1黑客与网络攻击黑客攻击的常5.1网络安全问题

5.1.1黑客与网络攻击网络攻击的发展APT(AdvancedPersistentThreat,高级持续性威胁)攻击,或者称之为“针对特定目标的攻击”。“高级”体现在利用了多种攻击手段,包括各种最先进的手段和社会工程学方法,一步一步地获取进入组织内部的权限。攻击者会针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。“持续性”,甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段,以及在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报。主要针对国家重要的基础设施和单位进行,包括能源、电力、金融、国防等关系到国计民生,或者是国家核心利益的网络基础设施。2023/10/4计算机系统安全原理与技术(第3版)195.1网络安全问题

5.1.1黑客与网络攻击网络攻击的发2023/10/4计算机系统安全原理与技术(第3版)205.1网络安全问题

5.1.2IPv4版本TCP/IP的安全问题TCP/IP参考模型如图所示。TCP/IP协议族包括4个功能层:应用层、传输层、网络层和网络接口层。这4层概括了相对于OSI参考模型中的7层。2023/8/3计算机系统安全原理与技术(第3版)205.12023/10/4计算机系统安全原理与技术(第3版)215.1网络安全问题

5.1.2IPv4版本TCP/IP的安全问题(1)网络接口层。网络接口层有时又称数据链路层,一般负责处理通信介质的细节问题,如设备驱动程序、以太网(Ethernet)、令牌环网(TokenRing)。ARP和RARP协议负责IP地址和网络接口物理地址的转换工作。(2)网络层。该层负责处理网络上的主机间路由及存储转发网络数据包。IP是网络层的主要协议,提供无连接、不可靠的服务。IP还给出了因特网地址分配方案,要求网络接口必须分配独一无二的IP地址。同时,IP为ICMP、IGMP以及TCP和UDP等协议提供服务。2023/8/3计算机系统安全原理与技术(第3版)215.12023/10/4计算机系统安全原理与技术(第3版)225.1网络安全问题

5.1.2IPv4版本TCP/IP的安全问题(3)传输层。该层负责提供源主机、目的主机的应用程序间的数据流通信服务。TCP/IP协议在此层定义了TCP和UDP协议。TCP提供可靠的数据流通信服务。TCP的可靠性由定时器、计数器、确认和重传来实现。与TCP处理不同的是,UDP不提供可靠的服务,其主要的用处在于应用程序间发送数据。UDP数据包有可能丢失、复制和乱序。2023/8/3计算机系统安全原理与技术(第3版)225.12023/10/4计算机系统安全原理与技术(第3版)235.1网络安全问题

5.1.2IPv4版本TCP/IP的安全问题(4)应用层。该层包含多种高层协议。几乎每一个TCP/IP的实现都提供许多公开的应用。HTTP:超文本传递协议,提供浏览器和WWW服务间有关HTML文件传递服务。FTP:文件传输协议,提供主机间数据传递服务。Telnet:虚拟终端协议,提供远程登录服务。SMTP:简单的电子邮件传送服务协议,提供发送电子邮件服务。DNS:域名系统完成域名的解析。此外,还有POP3、OSPF、NFS等其他的许多应用协议。2023/8/3计算机系统安全原理与技术(第3版)235.12023/10/4计算机系统安全原理与技术(第3版)245.1网络安全问题

5.1.2IPv4版本TCP/IP的安全问题1.ARP协议的安全问题2.IP层的安全问题3.传输层的安全问题4.应用层的安全问题2023/8/3计算机系统安全原理与技术(第3版)245.12023/10/4计算机系统安全原理与技术(第3版)255.1网络安全问题

5.1.2IPv4版本TCP/IP的安全问题1.ARP协议的安全问题网络接口层的概念ARP地址解析协议ARP协议弱点ARP欺骗攻击2.IP层的安全问题3.传输层的安全问题4.应用层的安全问题2023/8/3计算机系统安全原理与技术(第3版)255.12023/10/4计算机系统安全原理与技术(第3版)265.1网络安全问题

5.1.2IPv4版本TCP/IP的安全问题1.ARP协议的安全问题网络接口层(链路层)的概念链路(link)是一条无源的点到点的物理线路段,中间没有任何其他的交换结点。一条链路只是一条通路的一个组成部分。数据链路(datalink)除了物理线路外,还必须有通信协议来控制这些数据的传输。若把实现这些协议的硬件和软件加到链路上,就构成了数据链路。现在最常用的方法是使用适配器(即以太网卡或802.11无线)来实现这些协议的硬件和软件。一般的适配器都包括了数据链路层和物理层这两层的功能。2023/8/3计算机系统安全原理与技术(第3版)265.12023/10/4计算机系统安全原理与技术(第3版)275.1网络安全问题

5.1.2IPv4版本TCP/IP的安全问题1.ARP协议的安全问题地址解析协议ARP不管网络层使用的是什么协议,在实际网络的链路上传送数据帧时,最终还是必须使用硬件地址。每一个主机都设有一个ARP高速缓存(ARPcache),里面有所在的局域网上的各主机和路由器的IP地址到硬件地址的映射表。当主机A欲向本局域网上的某个主机B发送IP数据报时,就先在其ARP高速缓存中查看有无主机B的IP地址。如有,就可查出其对应的硬件地址,再将此硬件地址写入MAC帧,然后通过局域网将该MAC帧发往此硬件地址。

2023/8/3计算机系统安全原理与技术(第3版)275.12023/10/4计算机系统安全原理与技术(第3版)28在命令提示符下输入arp-a,可以看到类似下面这样的输出:

Interface:8---0x2InternetAddressPhysicalAddressType7300-05-dc-e3-57-bcdynamic7800-02-55-73-6b-addynamic2023/8/3计算机系统安全原理与技术(第3版)28在命令ARP响应AYXBZ主机B向A发送ARP响应分组主机A广播发送ARP请求分组ARP请求ARP请求ARP请求ARP请求00-00-C0-15-AD-1808-00-2B-00-EE-0A我是,硬件地址是00-00-C0-15-AD-18我想知道主机

的硬件地址我是硬件地址是08-00-2B-00-EE-0AAYXBZ00-00-C0-15-AD-18ARP响应AYXBZ主机B向A发送主机A广播发2023/10/4计算机系统安全原理与技术(第3版)305.1网络安全问题

5.1.2IPv4版本TCP/IP的安全问题1.ARP协议的安全问题ARP协议弱点ARP作为一个局域网协议,是建立在各个主机之间相互信任的基础上的,因此存在安全问题。主机地址映射表是基于高速缓存的,动态更新的。由于正常的主机间的MAC地址刷新都是有时限的,这样恶意用户如果在下次交换前成功地修改了被欺骗机器上的地址缓存,就可进行假冒或拒绝服务攻击。可以随意发送ARP应答分组。由于ARP协议是无状态的,任何主机即使在没有请求的时候也可以做出应答,因此任何时候都可以发送ARP应答。只要应答分组是有效的,接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机的高速缓存。2023/8/3计算机系统安全原理与技术(第3版)305.12023/10/4计算机系统安全原理与技术(第3版)315.1网络安全问题

5.1.2IPv4版本TCP/IP的安全问题1.ARP协议的安全问题ARP协议弱点(续)ARP应答无须认证。由于局域网内的主机间通信基本上是相互信任的,因此,只要是收到来自局域网内的ARP应答分组,就会将其中的MAC/IP地址对刷新到本机的高速缓存中,而不进行任何认证。2023/8/3计算机系统安全原理与技术(第3版)315.12023/10/4计算机系统安全原理与技术(第3版)325.1网络安全问题

5.1.2IPv4版本TCP/IP的安全问题1.ARP协议的安全问题ARP欺骗攻击原理ARP缓存表的作用本是提高网络效率、减少数据延迟。然而缓存表存在易信任性,不对发来的ARP数据包内容的正确做审查。主机接收到被刻意编制的,将IP地址指向错误的MAC地址的ARP数据包时,会不加审查地将其中的记录加入ARP缓存表中。这样,当主机访问该IP时,就会根据此虚假的记录,将数据包发送到记录所对应的错误的MAC地址,而真正使用这个IP的目标主机则收不到数据。这就是ARP欺骗。2023/8/3计算机系统安全原理与技术(第3版)325.12023/10/4计算机系统安全原理与技术(第3版)335.1网络安全问题

5.1.2IPv4版本TCP/IP的安全问题1.ARP协议的安全问题ARP欺骗有以下几种实现方式:1)发送未被请求的ARP应答报文。对于大多数操作系统,主机收到ARP应答报文后立即更新ARP缓存,因此直接发送伪造ARP应答报文就可以实现ARP欺骗。2)发送ARP请求报文。主机可以根据局域网中其他主机发送的ARP请求来更新自己的ARP缓存。因此,攻击者可以发送一个修改了源IP-MAC映射的ARP请求来实现ARP欺骗。3)响应一个请求报文。2023/8/3计算机系统安全原理与技术(第3版)335.1C向A发送一个自己伪造的ARP应答,ARPreply:1is-atAAAA.BBBB.1234C向B发送一个自己伪造的ARP应答,

ARPreply:0is-atAAAA.BBBB.1234

C向A发送一个自己伪造的ARP应答,2023/10/4计算机系统安全原理与技术(第3版)355.1网络安全问题

5.1.2IPv4版本TCP/IP的安全问题1.ARP协议的安全问题ARP欺骗攻击的常见形式1)中间人攻击2)拒绝服务攻击2023/8/3计算机系统安全原理与技术(第3版)355.12023/10/4计算机系统安全原理与技术(第3版)36思考:在如图所示的局域网环境中会发生什么样的ARP欺骗攻击?2023/8/3计算机系统安全原理与技术(第3版)36思考:2023/10/4计算机系统安全原理与技术(第3版)372023/8/3计算机系统安全原理与技术(第3版)372023/10/4计算机系统安全原理与技术(第3版)38实验ARP攻击及其防范实验内容1:ARP攻击原理验证利用Ethereal嗅探局域网内使用网络执法官的主机。举例:实验中运行网络执法官的是本机上运行的虚拟机,该虚拟机获得的IP为25。实验中运行Ethereal的是本机,IP地址为12。局域网的网关IP为,对应的MAC地址为00-11-5D-8B-B0-00。2023/8/3计算机系统安全原理与技术(第3版)38实验2023/10/4计算机系统安全原理与技术(第3版)39实验ARP攻击及其防范在虚拟机中运行网络执法官,同时在主机中利用Ethereal抓包,过滤条件为ARP,然后用网络执法官对IP为、2、1三台机器进行权限限制。过一段时间停止抓包。

2023/8/3计算机系统安全原理与技术(第3版)39实验2023/10/4计算机系统安全原理与技术(第3版)40实验ARP攻击及其防范2023/8/3计算机系统安全原理与技术(第3版)40实验2023/10/4计算机系统安全原理与技术(第3版)41第43条,IP为25的机器向IP为1的机器发送了一条ARP包,即通知1这台机器(网关IP)的MAC地址为06-06-fC-6E-F7-5A(无效的MAC)。2023/8/3计算机系统安全原理与技术(第3版)41第432023/10/4计算机系统安全原理与技术(第3版)42第819条,IP为25的机器向IP为2的机器发送了一条ARP包,即通知2这台机器(网关IP)的MAC地址为06-06-fC-6E-F7-5A(无效的MAC)。2023/8/3计算机系统安全原理与技术(第3版)42第812023/10/4计算机系统安全原理与技术(第3版)43实验ARP攻击及其防范实验内容2:ARP攻击的发现、定位用户端可以通过输入命令arp–a

即可显示与该电脑直连设备的MAC,就会发现电脑网关所对应的MAC地址被是否修改,如果被修改就可判定该电脑受到了ARP攻击。2023/8/3计算机系统安全原理与技术(第3版)43实验2023/10/4计算机系统安全原理与技术(第3版)44实验ARP攻击及其防范实验内容2:ARP攻击的发现、定位查看三层交换机网段里面的ARP信息(如cisco6509中可以输入showRP|include网段相同部分),如果发现里面存在有不同IP对应相同MAC列表的情况,就可以肯定该网段内有ARP欺骗,这个MAC地址就是受到ARP攻击的电脑的MAC。2023/8/3计算机系统安全原理与技术(第3版)44实验2023/10/4计算机系统安全原理与技术(第3版)45实验ARP攻击及其防范实验内容2:ARP攻击的发现、定位安装网络监测软件的用户,如果网段中有ARP攻击,检测软件会有报警,如antiARP软件会自动弹出攻击者的MAC地址;网络指法官则会显示一个与MAC地址对应的两个IP地址,其中一个IP必然为网关,那该MAC对应电脑就是攻击者了。2023/8/3计算机系统安全原理与技术(第3版)45实验2023/10/4计算机系统安全原理与技术(第3版)46实验ARP攻击及其防范实验内容2:ARP攻击的发现、定位使用nbtscanDOS软件,可以得到该段内所在用户的IP对应的MAC,通过MAC查询,就可以得到攻击机的IP。利用网络执法官软件保存该网段内所有IP所对应的MAC,当发现攻击机的MAC时就可找到该IP,从而定位到攻击机。2023/8/3计算机系统安全原理与技术(第3版)46实验2023/10/4计算机系统安全原理与技术(第3版)47实验ARP攻击及其防范实验内容2:ARP攻击的发现、定位对于采用DHCP服务器进行IP地址分配的网络,由于每台没有固定IP,很难通过IP直接定位。那需要我们利用IP冲突查找,只要将网内某台电脑IP修改为受到ARP攻击的电脑IP,该电脑上面就会出IP冲突的提示,只要有用户打电话反映IP有冲突,那台电脑就是攻击者。2023/8/3计算机系统安全原理与技术(第3版)47实验2023/10/4计算机系统安全原理与技术(第3版)48实验ARP攻击及其防范实验内容3:ARP攻击的防范方法1:做好IP-MAC地址的绑定工作(即将IP地址与硬件识别地址绑定),在交换机和客户端都要绑定,这是可以使局域网免疫ARP病毒侵扰的好办法。同时,在网络正常时保存好全网的IP-MAC地址对照表,这样在查找ARP中毒电脑时可方便对照。

2023/8/3计算机系统安全原理与技术(第3版)48实验2023/10/4计算机系统安全原理与技术(第3版)49实验ARP攻击及其防范实验内容3:ARP攻击的防范方法2:网段划分要小。即网络管理员在维护服务器正常工作时,不要只搞两层交换,而尽量使用三层交换。划分网段要尽量细小,使ARP欺骗范围被缩小,影响被降低。而且当网段足够小时,服务器、客户端不在同一个网段上,即使网络遭到攻击,由于此时通信走IP路由,网络连接也不会受到影响。2023/8/3计算机系统安全原理与技术(第3版)49实验2023/10/4计算机系统安全原理与技术(第3版)505.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

1.ARP协议的安全问题2.IP层的安全问题3.传输层的安全问题4.应用层的安全问题2023/8/3计算机系统安全原理与技术(第3版)505.12023/10/4计算机系统安全原理与技术(第3版)511.ARP协议的安全问题2.IP层的安全问题由于TCP/IP协议使用IP地址作为网络节点的惟一标识,其数据包的源地址很容易被发现,且IP地址隐含所使用的子网掩码,攻击者据此可以画出目标网络的轮廓。因此,使用标准IP地址的网络拓扑对因特网来说是暴露的。IP地址也很容易被伪造和被更改,且TCP/IP协议没有对IP包中源地址真实性的鉴别机制和保密机制。因此,因特网上任一主机都可产生一个带有任意源IP地址的IP包,从而假冒另一个主机进行地址欺骗。5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

2023/8/3计算机系统安全原理与技术(第3版)511.A2023/10/4计算机系统安全原理与技术(第3版)522.IP层的安全问题(续)IP层本身不提供加密传输功能,用户口令和数据是以明文形式传输的,很容易在传输过程中被截获或修改。在IP层上同样缺乏对路由协议的安全认证机制,因此对路由信息缺乏鉴别与保护。路由欺骗有多种方法,都是通过伪造路由表欺骗。例如,基于RIP的欺骗。RIP是现代计算机网络使用的路由选择协议,实质上实现的是距离——向量算法:每个Active网络节点周期性的发送它的路由信息到邻居Passive节点,用这些路由信息,每个节点计算出到其他节点的最短路由,代替原有路由,由于这种信任使RIP欺骗成为可能,即通过使用RIP特权的主机广播非法路由信息就可以达到欺骗的目的。5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

2023/8/3计算机系统安全原理与技术(第3版)522.I2023/10/4计算机系统安全原理与技术(第3版)533.传输层的安全问题传输层协议概述从通信和信息处理的角度看,传输层向它上面的应用层提供通信服务,它属于面向通信部分的最高层,同时也是用户功能中的最低层。物理层网络层传输层应用层数据链路层面向信息处理面向通信用户功能网络功能5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

2023/8/3计算机系统安全原理与技术(第3版)533.传传输层为相互通信的应用进程提供了逻辑通信54321传输层提供应用进程间的逻辑通信主机A主机B应用进程应用进程路由器1路由器2AP1LAN2WANAP2AP3AP4IP层LAN1AP1AP2AP4端口端口54321IP协议的作用范围传输层协议TCP和UDP的作用范围AP3传输层为相互通信的应用进程提供了逻辑通信5传输层提供应用进2023/10/4计算机系统安全原理与技术(第3版)553.传输层的安全问题应用进程之间的通信两个主机进行通信实际上就是两个主机中的应用进程互相通信。应用进程之间的通信又称为端到端的通信。传输层的一个很重要的功能就是复用和分用。应用层不同进程的报文通过不同的端口向下交到运输层,再往下就共用网络层提供的服务。“传输层提供应用进程间的逻辑通信”。“逻辑通信”的意思是:传输层之间的通信好像是沿水平方向传送数据。但事实上这两个传输层之间并没有一条水平方向的物理连接。5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

2023/8/3计算机系统安全原理与技术(第3版)553.传2023/10/4计算机系统安全原理与技术(第3版)56传输层协议和网络层协议的主要区别

应用进程…

应用进程…

IP协议的作用范围(提供主机之间的逻辑通信)TCP和UDP协议的作用范围(提供进程之间的逻辑通信)因特网2023/8/3计算机系统安全原理与技术(第3版)56传输层5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

3.传输层的安全问题传输层的主要功能传输层为应用进程之间提供端到端的逻辑通信(但网络层是为主机之间提供逻辑通信)。传输层还要对收到的报文进行差错检测。传输层需要有两种不同的传输协议,即面向连接的TCP和无连接的UDP。2023/10/4计算机系统安全原理与技术(第3版)575.1网络安全威胁

5.1.2IPv4版本TCP/IP5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

3.传输层的安全问题运输层中的两个协议TCP/IP的运输层有两个不同的协议:(1)用户数据报协议UDP(UserDatagramProtocol)(2)传输控制协议TCP(TransmissionControlProtocol)2023/10/4计算机系统安全原理与技术(第3版)58TCPUDPIP应用层与各种网络接口传输层5.1网络安全威胁

5.1.2IPv4版本TCP/IP5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

3.传输层的安全问题TCP与UDPUDP在传送数据之前不需要先建立连接。对方的运输层在收到UDP报文后,不需要给出任何确认。虽然UDP不提供可靠交付,但在某些情况下UDP是一种最有效的工作方式。TCP则提供面向连接的服务。TCP不提供广播或多播服务。由于TCP要提供可靠的、面向连接的运输服务,因此不可避免地增加了许多的开销。这不仅使协议数据单元的首部增大很多,还要占用许多的处理机资源。2023/10/4计算机系统安全原理与技术(第3版)595.1网络安全威胁

5.1.2IPv4版本TCP/IP5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

3.传输层的安全问题端口的概念端口的作用就是让应用层的各种应用进程都能将其数据通过端口向下交付给运输层,以及让运输层知道应当将其报文段中的数据向上通过端口交付给应用层相应的进程。从这个意义上讲,端口是用来标志应用层的进程。端口用一个16bit端口号进行标志。端口号只具有本地意义,即端口号只是为了标志本计算机应用层中的各进程。在因特网中不同计算机的相同端口号是没有联系的。2023/10/4计算机系统安全原理与技术(第3版)605.1网络安全威胁

5.1.2IPv4版本TCP/IP端口在进程之间的通信中所起的作用应用层传输层网络层TCP报文段UDP用户数据报应用进程TCP复用

IP复用UDP复用

TCP报文段UDP用户数据报

应用进程端口端口TCP分用UDP分用IP分用IP数据报IP数据报发送方接收方端口在进程之间的通信中所起的作用应传网TCP报文段UDP5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

3.传输层的安全问题端口的概念两类端口一类是熟知端口,其数值一般为0~1023。当一种新的应用程序出现时,必须为它指派一个熟知端口。另一类则是一般端口,用来随时分配给请求通信的客户进程。2023/10/4计算机系统安全原理与技术(第3版)625.1网络安全威胁

5.1.2IPv4版本TCP/IP2023/10/4计算机系统安全原理与技术(第3版)633.传输层的安全问题插口(socket)TCP使用“连接”(而不仅仅是“端口”)作为最基本的抽象,同时将TCP连接的端点称为插口(socket),或套接字、套接口。插口和端口、IP地址的关系是:IP地址3端口号15003,1500插口(socket)5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

2023/8/3计算机系统安全原理与技术(第3版)633.传5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

3.传输层的安全问题UDP概述UDP只在IP的数据报服务之上增加了很少一点的功能,即端口的功能和差错检测的功能。虽然UDP用户数据报只能提供不可靠的交付,但UDP在某些方面有其特殊的优点。发送数据之前不需要建立连接UDP的主机不需要维持复杂的连接状态表。UDP用户数据报只有8个字节的首部开销。网络出现的拥塞不会使源主机的发送速率降低。这对某些实时应用是很重要的。2023/10/4计算机系统安全原理与技术(第3版)645.1网络安全威胁

5.1.2IPv4版本TCP/IP2023/10/4计算机系统安全原理与技术(第3版)65UDP用户数据报的首部格式伪首部源端口目的端口长度检验和数据首部UDP长度源IP地址目的IP地址017IP数据报字节44112122222字节发送在前数据首部UDP用户数据报2023/8/3计算机系统安全原理与技术(第3版)65UDP伪首部源端口目的端口长度检验和数据首部UDP长度源IP地址目的IP地址017IP数据报字节44112122222字节发送在前数据首部UDP用户数据报用户数据报UDP有两个字段:数据字段和首部字段。首部字段有8个字节,由4个字段组成,每个字段都是两个字节。伪首部源端口目的端口长度检验和数据首伪首部源端口目的端口长度检验和数据首部UDP长度源IP地址目的IP地址017IP数据报字节44112122222字节发送在前数据首部UDP用户数据报在计算检验和时,临时把“伪首部”和UDP用户数据报连接在一起。伪首部仅仅是为了计算检验和。伪首部源端口目的端口长度检验和数据首5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

3.传输层的安全问题TCP概述2023/10/4计算机系统安全原理与技术(第3版)685.1网络安全威胁

5.1.2IPv4版本TCP/IP5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

3.传输层的安全问题TCP的数据编号与确认TCP协议是面向字节的。TCP将所要传送的报文看成是字节组成的数据流,并使每一个字节对应于一个序号。在连接建立时,双方要商定初始序号。TCP每次发送的报文段的首部中的序号字段数值表示该报文段中的数据部分的第一个字节的序号。

TCP的确认是对接收到的数据的最高序号表示确认。接收端返回的确认号是已收到的数据的最高序号加1。因此确认号表示接收端期望下次收到的数据中的第一个数据字节的序号。2023/10/4计算机系统安全原理与技术(第3版)695.1网络安全威胁

5.1.2IPv4版本TCP/IP5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

3.传输层的安全问题客户服务器方式TCP的连接和建立都是采用客户服务器方式。主动发起连接建立的应用进程叫做客户(client)。被动等待连接建立的应用进程叫做服务器(server)。2023/10/4计算机系统安全原理与技术(第3版)705.1网络安全威胁

5.1.2IPv4版本TCP/IP2023/10/4计算机系统安全原理与技术(第3版)71用三次握手建立TCP连接SYN,SEQ=x主机BSYN,ACK,SEQ=y,ACK=x

1ACK,SEQ=x+1,ACK=y

1被动打开主动打开确认确认主机A连接请求2023/8/3计算机系统安全原理与技术(第3版)71用三次2023/10/4计算机系统安全原理与技术(第3版)72DDoSStep1:寻找主机漏洞攻击者2023/8/3计算机系统安全原理与技术(第3版)72DDo2023/10/4计算机系统安全原理与技术(第3版)73DDoSStep2:在主机和代理机上安装软件攻击者被控主机攻击代理程序攻击代理程序被控主机2023/8/3计算机系统安全原理与技术(第3版)73DDo2023/10/4计算机系统安全原理与技术(第3版)74DDoSStep3:发动攻击受害者A开始攻击Alice!攻击者被控主机被控主机攻击代理程序攻击代理程序2023/8/3计算机系统安全原理与技术(第3版)74DDo2023/10/4计算机系统安全原理与技术(第3版)754.应用层的安全问题(1)Web服务的安全问题。Web服务器上的漏洞一般可以分为以下几类:1)操作系统本身的安全漏洞。比如由于操作系统本身的漏洞,使得未授权的用户可以获得Web服务器上的秘密文件、目录或重要数据。2)明文或弱口令漏洞。如果客户机和服务器间的通信是明文或弱口令加密方式,那么传输的信息中途可能会被网络攻击者非法拦截而暴露。3)Web服务器本身存在的一些漏洞,或者IIS(运行于Windows下)和Apache(运行于Linux下)本身的漏洞,使得攻击者能侵入到主机系统,破坏一些重要的数据,甚至造成系统瘫痪。4)脚本程序的漏洞,这些漏洞给网络攻击者创造了条件。5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

2023/8/3计算机系统安全原理与技术(第3版)754.应5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

4.应用层的安全问题(1)Web服务的安全问题。(续)除了针对漏洞进行的攻击以外,Web欺骗也是一个发生频繁的安全问题。Web欺骗允许攻击者将对一个正常Web的访问流量全部引入到攻击者的Web服务器,经过攻击者机器的过滤作用,允许攻击者监控受攻击者的任何活动,包括账户和口令。攻击者也能以受攻击者的名义将错误或者易于误解的数据发送到真正的Web服务器,以及以任何Web服务器的名义发送数据给受攻击者。2023/10/4计算机系统安全原理与技术(第3版)765.1网络安全威胁

5.1.2IPv4版本TCP/IP5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

4.应用层的安全问题(2)FTP和TFTP服务的安全问题。这两个服务都是用于传输文件的,但应用场合不同,安全程度也不同。TFTP服务用于局域网,在无盘工作站启动时用于传输系统文件,安全性极差,常被人用来窃取密码文件/etc/passwd,因为它不带有任何安全认证。2023/10/4计算机系统安全原理与技术(第3版)775.1网络安全威胁

5.1.2IPv4版本TCP/IP5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

4.应用层的安全问题(3)Telnet的安全问题。Telnet本身存在很多的安全问题,主要有:1)传输明文。Telnet登录时没有口令保护,远程用户的登录传送的用户名和密码都是明文,传送的数据都没有加密,网络攻击者使用任何一种简单的嗅探器就可以截获。2)没有强力认证过程。验证的只是连接者的用户名和密码。3)没有完整性检查。传送的数据无法知道是否是完整的,不能判断数据是否被篡改过。2023/10/4计算机系统安全原理与技术(第3版)785.1网络安全威胁

5.1.2IPv4版本TCP/IP5.1网络安全威胁

5.1.2IPv4版本TCP/IP的安全问题

4.应用层的安全问题(4)电子邮件的安全问题。电子邮件面临的安全问题有:1)邮件拒绝服务(邮件炸弹)2)邮件内容被截获。3)邮件软件漏洞非法利用。4)

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论