计算机网络安全基础课件 第6章 网络安全技术

THEBASISOFCOMPUTERNETWORKSECURITY第6章网络安全技术计算机网络安全基础1第6章网络安全技术按照网络安全技术的理论可分为：攻击技术和防御技术。攻击技术包括网络监听、网络扫描、网络入侵、网络后门等；防御技术包括加密技术、防火墙技术、入侵检测技术等。本章主要介绍网络安全协议、网络攻击方法及对策、网络加密技术、防火墙技术、入侵检测技术、虚拟专用网技术、网络证技术和网络安全态势感知技术。2第6章网络安全技术●网络安全协议及传输技术●网络加密技术●防火墙技术●网络攻击类型及对策●入侵检测技术●虚拟专用网技术●计算机网络取证技术●网络安全态势感知技术3（第6章）6.1网络安全协议及传输技术46.1网络安全协议及传输技术5在信息网络中，可以在OSI七层协议中的任何一层采取安全措施。图中给出了每一层可以利用的安全机制。大部分安全措施都采用特定的协议来实现，如在网络层加密和认证采用IPSec（IPSecurity）协议、在传输层加密和认证采用SSL协议等。安全协议本质上是关于某种应用的一系列规定，包括功能、参数、格式和模式等，连通的各方只有共同遵守协议，才能相互操作。应用层安全协议6（1）安全Shell（SSH）协议。是一种建立在应用层基础上的安全协议，通过对密码进行加密传输验证，可以在不安全的网络中对网络服务提供安全地传输环境，实现SSH客户端和SSH服务器的连接，所以SSH是基于客户端-服务器模式。（2）安全电子交易（SET）协议。是基于信用卡在线支付的电子商务安全协议，它定义了交易数据在卡用户、商家、发卡行和收单行之间的流通过程，以及支持这些交易的各种安全功能（数字签名、Hash算法和加密等）。SET协议提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性。应用层安全协议7（3）S-HTTP协议。是一种面向安全信息通信的协议，S-HTTP协议工作在应用层，同时对HTML进行了扩展，服务器方可以在需要进行安全保护的文档中加入加密选项，控制对该文档的访问以及协商加密、解密和签名算法等。（4）PGP协议。PGP协议主要用于安全电子邮件，它可以对通过网络进行传输的数据创建和检验数字签名、加密、解密以及压缩。（5）S/MIME协议。S/MIME是一种互联网标准，它在安全方面对MIME协议进行了扩展，可以将MIME实体（比如数字签名和加密信息等）封装成安全对象，为电子邮件应用增添了消息真实性、完整性和保密性服务。传输层安全协议8（1）SSL协议。安全套接层SSL协议是Netscape开发的安全协议，它工作在传输层，独立于上层应用，为应用提供一个安全的点—点通信隧道。SSL机制由协商过程和通信过程组成，协商过程用于确定加密机制、加密算法、交换会话密钥服务器认证以及可选的客户端认证，通信过程秘密传送上层数据。（2）PCT协议。私密通信技术协议PCT是Microsoft开发的传输层安全协议，它与SSL协议有很多相似之处。现在PCT协议已经同SSL协议合并为TLS（传输层安全）协议，只是习惯上仍然把TLS协议称为SSL协议。网络层安全协议9网络层安全协议通常是对网络层协议的安全性增强，即在网络层协议的基础上增加了数据加密和认证等安全机制。IPSec协议是在IP协议的基础上提供了数据保密性、数据完整性、以及抗重播等安全机制和服务，保证IP协议及上层协议能够安全地交换数据。IPSec提供了三种不同的形式来保护通过公有或私有IP网络传送的私有数据。①认证②数据完整性验证③保密链路层安全协议10PPTP（点对点隧道协议）是在PPP协议的基础上发展起来的一种新的增强型安全协议。它支持多协议虚拟专用网（VPN），可以使用密码认证协议（PAP）、可扩展认证协议（EAP）等方式。L2TP（二层隧道协议）是一种国际标准的隧道协议。它结合了PPTP协议和二层转发L2F协议的优点。它可以通过各种网络协议对PPP数据包进行隧道传输，包括ATM、SONET和帧中继。但是L2TP没有任何加密措施，多与IPSec协议配合使用，提供隧道认证。网络安全传输技术11网络安全传输通道应该提供以下功能和特性。①机密性。通过对信息加密保证只有预期的接收者才能读出数据。②完整性。保护信息在传输过程中免遭未经授权的修改，从而保证接收到的信息与发送的信息完全相同。③对数据源的身份验证。通过保证每个计算机的真实身份来检查信息的来源以及完整性。④反重发攻击。通过保证每个数据包的唯一性来确保攻击者捕获的数据包不能重发或重用。网络层安全协议IPSec12IPSec是一个工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec有两个基本目标：保护IP数据包安全；为抵御网络攻击提供防护措施。IPSec是基于一种端对端的安全模式。这种模式有一个基本前提假设，就是假定数据通信的传输媒介是不安全的，因此通信数据必须经过加密，而掌握加、解密方法的只有数据流的发送端和接收端，两者各自负责相应的数据加、解密处理，而网络中其他只负责转发数据的路由器或主机无需支持IPSec。网络层安全协议IPSec13IPSec提供了以下3种不同的形式来保护通过公有或私有IP网络传送的私有数据。①认证。通过认证可以确定所接受的数据与所发送的数据是否一致，同时可以确定申请发送者在实际上是真实的，还是伪装的发送者。②数据完整验证。通过验证，保证数据在从原发地到目的地的传送过程中没有发生任何无法检测的丢失与改变。③保密。使相应的接收者能获取发送的真正内容，而无关的接收者无法获知数据的真正内容。IPSec通过使用两种通信安全协议：认证头（AuthenticationHeader，AH）协议、封装安全载荷（EncryptionServicePayload，ESP）协议，并使用像Internet密钥交换（InternetKeyExchange，IKE）协议之类的协议来共同实现安全性。认证头（AH）协议14设计认证头（AH）协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据源认证和防重放保护服务。AH协议不提供任何保密性服务，它不加密所保护的数据包。AH协议的作用是为IP数据流提供高强度的密码认证，以确保被修改过的数据包可以被检查出来。AH协议的工作步骤如下。①IP报头和数据负载用来生成MAC。②MAC被用来建立一个新的AH报头，并添加到原始的数据包上。③新的数据包被传送到IPSec对端路由器上。④对端路由器对IP报头和数据负载生成MAC，并从AH报头中提取出发送过来的MAC信息，且对两个信息进行比较。封装安全载荷（ESP）协议15封装安全载荷（ESP）协议可以被用来提供保密性、数据来源认证（鉴别）、无连接完整性、防重放服务，以及通过防止数据流分析来提供有限的数据流加密保护。ESP协议同时支持验证和加密功能。ESP协议在每一个数据包的标准IP报头后方添加一个ESP报文头，并在数据包后方追加一个ESP尾。与AH协议不同的是，ESP协议是将数据中的有效载荷进行加密后再封装到数据包中，以此保证数据的机密性，但ESP没有对IP头的内容进行保护，除非IP头被封装在ESP内部。Internet密钥交换（IKE）协议16IKE主要完成如下3各方面的任务：（1）对建立IPSec的双方进行认证（需要预先协商认证方式）；（2）通过密钥交换，产生用于加密和HMAC的随机密钥；（3）协商协议参数（加密协议、散列函数、封装协议、封装模式和密钥有效期）。IKE协议是一种混合协议，它为IPSec提供实用服务（IPSec双方的鉴别、IKE协议和IPSec安全关联的协商），以及为IPSec所用的加密算法建立密钥。它使用了3个不同协议的相关部分：（1）SKEME。决定IKE的密钥交换方式，IKE主要使用DH来实现密钥交换。（2）Oakley。决定IPSec的框架设计，让IPSec能够支持更多的协议。（3）ISAKMP。IKE的本质协议，它决定了IKE协商包的封装格式，交换过程和模式的切换。

IPSec安全传输技术17IPsec既可以用来直接加密主机之间的网络通信（也就是传输模式)；也可以用来在两个子网之间建造“虚拟隧道”用于两个网络之间的安全通信(也就是隧道模式)。后一种更多的被称为是虚拟专用网(VPN)。IPSec提供三种形式来保护传送的数据：①认证。可以确定所接受的数据与所发送的数据是一致的，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的。②数据完整。保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。③机密性。使相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容安全协议18安全协议包括认证头协议（AH）和安全负载封装（ESP）。它们既可用来保护一个完整的IP载荷，也可用来保护某个IP载荷的上层协议。这两方面的保护分别是由IPSec两种不同的实现模式来提供的。安全协议19封装安全载荷（EncapsulatingSecurityPayload，ESP）：属于IPSec的一种安全协议，它可确保IP数据报的机密性、数据的完整性以及对数据源的身份验证。此外，它也能负责对重放攻击的抵抗。

验证头（AuthenticationHeader，AH）：与ESP类似，AH也提供了数据完整性、数据源验证以及抗重放攻击的能力。密钥管理20密钥管理包括密钥确定和密钥分发两个方面，最多需要4个密钥：AH和ESP各两个发送和接收密钥。密钥本身是一个二进制字符串，通常用十六进制表示。密钥管理包括手工和自动两种方式。人工手动管理方式是指管理员使用自己的密钥及其他系统的密钥手工设置每个系统，这种方法在小型网络环境中使用比较实际。自动管理系统能满足其他所有的应用要求，使用自动管理系统，可以动态地确定和分发密钥，自动管理系统具有一个中央控制点，集中的密钥管理者可以令自己更加安全，最大限度地发挥IPSec的效用。IPSec的实现方式21●传输模式通常在ESP一台主机（客户机或服务器）上实现时使用，传输模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。●隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用，隧道模式处理整个IP数据包：包括全部TCP/IP或UDP/IP头和数据，它用自己的地址作为源地址加入新的IP头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。隧道模式被用在两端或是一端是安全网关的架构中，例如装有IPSec的路由器或防火墙。传输层安全协议22安全套接层（SecureSocketsLayer，SSL）协议是由Netscape公司开发的一套Internet数据安全协议，目前已广泛用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP与各种应用层协议之间，为数据通信提供安全支持。1．SSL协议体系结构SSLVPN通过SSL协议，利用PKI的证书体系，在传输过程中使用DES、3DES、AES、RSA、MD5、SHA1等多种密码算法保证数据的机密性、完整性、不可否认性而完成秘密传输，实现在Internet上安全地进行信息交换。安全套接层SSL协议23SSL协议使用TCP来提供一种可靠的端到端的安全服务。SSL协议分为两层，其中SSL握手协议、修改密文协议和告警协议位于上层，SSL记录协议为不同的更高层协议提供了基本的安全服务，可以看到HTTP可以在SSL协议上运行。①SSL连接。SSL连接是点对点的关系，每一个连接与一个会话相联系。②SSL会话。SSL会话是客户和服务器之间的关联，会话通过握手协议来创建。会话定义了加密安全参数的一个集合，该集合可以被多个连接所共享。安全套接层SSL协议24（1）SSL记录协议。为SSL连接提供以下两种服务。机密性。握手协议定义了共享的、可以用于对SSL协议有效载荷进行常规加密的密钥。报文完整性。握手协议定义了共享的、可以用来形成报文的MAC码和密钥。（2）SSL修改密文规约协议。由单个报文构成，该报文由值为1的单个字节组成。这个报文的唯一目的就是使挂起状态被复制到当前状态，从而改变这个连接将要使用的密文簇。（3）SSL告警协议。告警协议用来将SSL协议有关的警告传送给对方实体。它由两个字节组成，第一个字节的值用来表明警告的严重级别，第二个字节表示特定告警的代码。安全套接层SSL协议25（4）SSL握手协议。使得服务器和客户能相互鉴别对方的身份、协商加密和MAC算法以及用来保护在SSL记录中发送数据的加密密钥。在传输任何应用数据前，都必须使用握手协议。阶段1：建立安全能力，包括协议版本、会话ID、密文簇、压缩方法和初始随机数。这个阶段将开始逻辑连接并且建立和这个连接相关联的安全能力。阶段2：服务器鉴别和密钥交换。这个阶段服务器可以发送证书、密钥交换和证书请求。服务器发出结束hello报文阶段的信号。阶段3：客户鉴别和密钥交换。如果请求的话，客户发送证书和密钥交换，客户可以发送证书验证报文。阶段4：结束，这个阶段完成安全连接的建立、修改密文簇并结束握手协议。SSL安全传输技术26首先我们构建一个认证中心CA，这个认证中心专门存放每一位使用者之公钥及私钥，并且每一位使用者必须自行建置资料于认证中心。当A用户端要传送信息给B用户端，并且希望传送的过程之间必须加以保密，则A用户端和B用户端都必须向认证中心申请一对加解密专用键值（Key），之后A用户端再传送信息给B用户端时先向认证中心索取B用户端的公钥及私钥，然后利用加密算法将信息与B用户端的私钥作重新组合。当信息一旦送到B用户端时，B用户端也会以同样的方式到认证中心取得B用户端自己的键值（Key），然后利用解密算法将收到的资料与自己的私钥作重新组合，则最后产生的就是A用户端传送过来给B用户端的原始资料。SSLVPN特点27SSLVPN控制功能强大，能方便公司实现更多远程用户在不同地点远程接入，实现更多网络资源访问，且对客户端设备要求低，因而降低了配置和运行支撑成本。SSLVPN提供安全、可代理连接，只有经认证的用户才能对资源进行访问，这就安全多了。SSLVPN能对加密隧道进行细分，从而使得终端用户能够同时接入Internet和访问内部企业网资源，也就是说它具备可控功能。SSLVPN通信基于标准TCP/UDP协议传输，因而能遍历所有NAT设备、基于代理的防火墙和状态检测防火墙。这使得用户能够从任何地方接入，无论是处于其他公司网络中基于代理的防火墙之后，或是宽带连接中。随着远程接入需求的不断增长，SSLVPN是实现任意位置的远程安全接入的理想选择。（第6章）6.2网络加密技术286.2网络加密技术29在计算机网络中加密分为端—端加密方式和数据链路层加密方式。●端—端加密。由软件或专门硬件在表示层或应用层实现变换。这种方法给用户提供了一定的灵活性，但增加了主机负担，更不太适合于一般终端。●数据链路层加密。数据和报头都被加密，采用硬件加密方式时不影响现有的软件。目前数据加密方式有：链路加密、端—端加密、节点加密。链路加密30链路加密是目前最常用的一种加密方法，通常用硬件在网络层以下的物理层和数据链路层中实现，它用于保护通信节点间传输的数据。这种加密方式比较简单，实现起来也比较容易，只要把一对密码设备安装在两个节点间的线路上，即把密码设备安装在节点和调制解调器之间，使用相同的密钥即可。异步通信加密31链路加密分为异步通信加密和同步通信加密两种，而同步通信根据字节同步和位同步，又可分为两种。1．异步通信加密异步通信时，发送字符中的各位都是按发送方数据加密设备DEE（DataEncryptingEquipment）的时钟所确定的不同时间间隔来发送的。接收方的数据终端设备DTE（DataTerminalEquipment）产生一个频率与发送方时钟脉冲相同，且具有一定相位关系的同步脉冲，并以此同步脉冲为时间基准接收发送过来的字符，从而实现收发双方的通信同步。对异步通信的加密，一般起始位不加密，数据位和奇偶校验位加密，终止位不加密。同步通信加密32字节同步通信利用专用同步字符SYN建立最初的同步。传输开始后，接收方从接收到的信息序列中提取同步信息。为了区别不同性质的报文以及标志报文的开始、结束等格式，各种基于字节同步的通信协议均提供一组控制字符，并规定了报文的格式。信息报文由SOH，STX，ETX和BCC4个传输控制字符构成。控制字符SOH表示信息报文的报头开始；STX表示报头结束和正文开始；ETX表示正文结束；BCC表示检验字符。对字节同步通信信息报文的加密，一般只加密报头、报文正文和检验字符，而对控制字符不加密。同步通信加密33基于位同步通信协议有HDLC。HDLC以帧作为信息传输的基本单位，无论是信息报文还是监控报文，都按帧的格式进行传输。

其中F为标志，表示每帧的头和尾；A为站地址；C为控制命令和响应类别；I为数据；FCS为帧校验序列。HDLC采用循环冗余校验。对位同步通信进行加密时，除标志F以外全部加密。链路加密方式有两个缺点：一是全部报文都以明文形式通过各节点的计算机中央处理机，在这些节点上数据容易受到非法存取的危害；二是由于每条链路都要有一对加密/解密设备和一个独立的密钥，维护节点的安全性费用较高，因此成本也较高。节点加密34节点加密是链路加密的改进，其目的是克服链路加密在节点处易遭非法存取的缺点。在协议运输层上进行加密，是对源点和目标节点之间传输的数据进行加密保护。它与链路加密类似，只是加密算法要组合在依附于节点的加密模件中。端—端加密35网络层以上的加密，通常称为端—端加密。端—端加密是面向网络高层主体进行的加密，即在协议表示层上对传输的数据进行加密，而不对下层协议信息加密。协议信息以明文形式传输，用户数据在中间节点不需要加密。端—端加密往往以软件的形式实现，并在应用层或表示层上完成。这种加密方式，数据在通过各节点传输时一直对数据进行保护，数据只是在终点才进行解密。在数据传输的整个过程中，以一个不确定的密钥和算法进行加密。在中间节点和有关安全模块内永远不会出现明文。端—端加密或节点加密时，只加密报文，不加密报头。端—端加密优点：成本低、比链路加密更安全、加密方式比较灵活。（第6章）6.3防火墙技术366.3防火墙技术37防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。防火墙遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。6.3防火墙技术38防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。防火墙是由软件和硬件组成的，具有以下的功能。①所有进出网络的通信流都应该通过防火墙。②所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。③理论上说，防火墙是穿不透的。6.3防火墙技术39内部网需要防范的三种攻击有：●

间谍。试图偷走敏感信息的黑客、入侵者和闯入者。●盗窃。盗窃对象包括数据、Web表格、磁盘空间和CPU资源等。●破坏系统。通过路由器或主机／服务器蓄意破坏文件系统或阻止授权用户访问内部网（外部网）和服务器。这里，防火墙的作用是保护Web站点和公司的内部网，使之免遭因特网上各种危险的侵犯。6.3防火墙技术40典型的防火墙建立在一个服务器或主机的机器上，亦称“堡垒主机”，它是一个多边协议路由器。这个堡垒主机连接两个网络：一边与内部网相连，另一边与互联网相连。它的主要作用除了防止未经授权的来自或对互联网的访问外，还包括为安全管理提供详细的系统活动的记录。在有的配置中，这个堡垒主机经常作为一个公共Web服务器或一个FTP或E-mail服务器使用。防火墙的基本目的之一就是防止黑客侵扰站点。站点暴露于无数威胁之中，而防火墙可以帮助防止外部连接。因此，还应小心局域网内的非法的连接，特别是当Web服务器在受保护的区域内时。防火墙在互联网与内部网中的位置41通常防火墙是一组硬件设备，即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合。所有来自互联网的传输信息或从内部网络发出的信息都必须穿过防火墙。因此，防火墙能够确保各系统间信息交换的安全。从逻辑上讲，防火墙是分离器、限制器和分析器。从物理角度看，各站点防火墙物理实现的方式有所不同。防火墙的基本功能42（1）防火墙能够强化安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件配置在防火墙上。防火墙执行站点的安全策略，仅仅容许“认可的”和符合规则的请求通过。（2）防火墙能有效地记录互联网上的活动。所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息。（3）防火墙限制暴露用户点。防火墙能够用来隔开网络中的一个网段与另一个网段。这样，就能够有效控制影响一个网段的问题通过整个网络传播。（4）防火墙是一个安全策略的检查站。所有进出网络的信息都必须通过防火墙，防火墙便成为一个安全检查点，使可疑的访问被拒绝于门外。防火墙的不足之处43（1）不能防范恶意的知情者。防火墙可以禁止系统用户经过网络连接发送专有的信息，但不能防止内部用户偷窃数据，破坏硬件和软件。（2）防火墙不能防范不通过它的连接。（3）防火墙不能防备全部的威胁。目前没有一个防火墙能自动防御所有的新威胁。（4）防火墙不能防范病毒。防火墙不能消除网络上的病毒。虽然许多防火墙扫描所有通过的信息，以决定是否允许它通过内部网络，但扫描是针对源、目标地址和端口号的，而不扫描数据的确切内容。即使是先进的数据包过滤，在病毒防范上也是不实用的。包过滤路由器44包（又称为分组）是网络上信息流动的单位。传输文件时，在发送端该文件被划分成若干个数据包，这些数据包经过网上的中间站点，最终到达目的地，接收端又将这些数据包重新组合成原来的文件。每个包有两个部分：数据部分和包头。包头中含有源地址和目标地址等信息。包过滤器又称为包过滤路由器，它通过将包头信息和管理员设定的规则表比较，如果有一条规则不允许发送某个包，路由器将它丢弃。包过滤一直是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。包过滤路由器的优缺点45优点：仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。如果站点与因特网间只有一台路由器，那么不管站点规模有多大，只要在这台路由器上设置合适的包过滤，站点就可获得很好的网络安全保护。包过滤不需要用户软件的支持，也不要求对客户机作特别的设置，也没有必要对用户作任何培训。缺点：在机器中配置包过滤规则比较困难；对系统中的包过滤规则的配置进行测试也较麻烦；许多产品的包过滤功都有这样或那样的局限性，要找一个比较完整的包过滤产品比较困难。包过滤路由器的配置46①协议的双向性。协议总是双向的，协议包括一方发送一个请求而另一方返回一个应答。在制订包过滤规则时，要注意包是从两个方向来到路由器的。②“往内”与“往外”的含义。一个往外的服务（如Telnet）同时包含往外的包（发送的信息）和往内的包（返回的信息）。虽然大多数人习惯于用“服务”来定义规定，但在制订包过滤规则时，一定要具体到每一种类型的包。③“默认允许”与“默认拒绝”。默认拒绝指没有明确地被允许就应被拒绝，默认允许指没有明确地被拒绝就应被允许。从安全角度来看，用默认拒绝应该更合适。首先应从拒绝任何传输来开始设置包过滤规则，然后对某些应被允许传输的协议设置允许标志。这样做会使系统的安全性更好一些。包过滤设计47假设网络策略安全规则确定：从外部主机发来的互联网邮件在某一特定网关被接收，并且想拒绝从不信任的名为THEHOST的主机发来的数据流（一个可能的原因是该主机发送邮件系统不能处理的大量的报文，另一个可能的原因是怀疑这台主机会给网络安全带来极大的威胁）。在这个例子中，SMTP使用的网络安全策略必须翻译成包过滤规则。在此可以把网络安全规则翻译成下列中文规则。过滤器规则1：我们不相信从THEHOST来的连接。过滤器规则2：我们允许与我们的邮件网关的连接。过滤规则号动作内部主机内部主机端口外部主机外部路由器的端口说明1阻塞**THEHOST*阻塞来自THEHOST流量2允许Mail-GW25**允许我们的邮件网关的连接3允许***25允许输出SMTP至远程邮件网关包过滤设计48对于过滤器规则1：可以翻译为：阻塞任何从（*）THEHOST端口来的到我们任意（*）主机的任意（*）端口的连接。对于过滤器规则2：可以翻译为：允许任意（*）外部主机从其任意（*）端口到我们的Mail-GW主机端口的连接。使用端口25是因为这个TCP端口是保留给SMTP的。这些规则应用的顺序与它们在表中的顺序相同。如果一个包不与任何规则匹配，它就会遭到拒绝。过滤规则规定：允许任何外部机器从端口25产生一个请求。端口25应该保留SMTP，但一个外部主机可能用这个端口做其他用途。第三个规则表示了一个内部主机如何发送SMTP邮件到外部主机端口25，以使内部主机完成发送邮件到外部站点的任务。如果外部站点对SMTP不使用端口25，那么SMTP发送者便不能发送邮件。包过滤设计49TCP是全双工连接，信息流是双向的。所有的TCP连接都要发送ACK包。当ACK包被发送出去时，其发送方向相反，且包过滤规则应考虑那些确认控制包或ACK包。过滤

规则号动作源主机或网络源主机

端口目的主机或网络目的

主机端口TCP标志或IP选项说明1允许**25*包从网络至目的主机端口252允许Mail-GW25*ACK允许返回确认过滤规则1：允许任何从网络的任一端口（*）产生的到具有任何TCP标志或IP选项设置的、任一目的主机（*）的端口25的连接。过滤规则2：允许任何来自任一网络的发自于端口25的、具有TCPACK标志设置的、到网（）的任一（*）端口的连接被继续设置。堡垒主机50堡垒主机是一种被强化的可以防御进攻的计算机，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而达到省时省力，不用考虑其它主机的安全的目的。堡垒主机是网络中最容易受到侵害的主机，所以堡垒主机也必须是自身保护最完善的主机。一个堡垒主机使用两块网卡，每个网卡连接不同的网络。一块网卡连接内部网络用来管理、控制和保护，而另一块连接外部网络，通常是互联网。堡垒主机在防火墙的建立过程中起着至关重要的作用。建立堡垒主机的原则51设计和建立堡垒主机的基本原则有两条：最简化原则和预防原则。（1）最简化原则。堡垒主机越简单，对它进行保护就越方便。堡垒主机提供的任何网络服务都有可能在软件上存在缺陷或在配置上存在错误，而这些差错就可能使堡垒主机的安全保障出问题。（2）预防原则。尽管已对堡垒主机严加保护，但还有可能被入侵者破坏。对此应有所准备，只有充分地对最坏的情况加以准备，并设计好对策，才可有备无患。一旦堡垒主机被破坏，我们还必须让内部网络处于安全保障中。要做到这一点，必须让内部网络只有在堡垒主机正常工作时才信任堡垒主机。堡垒主机的分类52堡垒主机目前一般有3种类型：无路由双宿主主机、牺牲品主机和内部堡垒主机。无路由双重宿主主机有多个网络接口，但这些接口间没有信息流，这种主机本身就可以作为一个防火墙，也可以作为一个更复杂的防火墙的一部分。牺牲品主机是一种上面没有任何需要保护信息的主机，同时它又不与任何入侵者想要利用的主机相连。用户只有在使用某种特殊服务时才需要用到它。内部堡垒主机是标准的单堡垒或多堡垒主机存在于内部网络中，它们一般用作应用级网关接收所有从外部堡垒主机进来的流量。内部堡垒主机可与某些内部主机进行交互。堡垒主机提供的服务53①无风险服务，仅仅通过包过滤便可实施的服务。②低风险服务，在有些情况下这些服务运行时有安全隐患，但加一些安全控制措施便可消除安全问题，这类服务只能由堡垒主机提供。③高风险服务，在使用这些服务时无法彻底消除安全隐患；这类服务一般应被禁用，特别需要时也只能放置在主机上使用。④禁用服务，应被彻底禁止使用的服务。代理服务54代理服务是网络服务，它通过中介将客户端与互联网服务器连接，具有缓存、保护隐私、过滤控制流量和加速网络的功能。代理服务位于内部用户（在内部的网络上）和外部服务（在互联网上）之间。代理在幕后处理所有用户和互联网服务之间的通信以代替相互间的直接交谈。代理服务是运行在防火墙主机上的一些特定的应用程序。防火墙主机可以是有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是一些可以访问互联网并可被内部主机访问的堡垒主机。这些程序接受用户对互联网服务的请求（诸如文件传输FTP和远程登录Telnet等），并按照安全策略转发它们到实际的服务。代理的作用就是一个提供替代连接并且充当服务的网关，代理也被称为应用级网关。代理的实现过程55①客户端向代理服务器发出请求。②代理服务器接收到请求后，检查是否有缓存副本。如果有，代理服务器将缓存副本返回给客户端。如果没有，代理服务器继续执行下一步。③代理服务器向目标服务器发出请求。这个请求与客户端的请求相似，但是目标服务器会认为这个请求是从代理服务器来的。④目标服务器收到请求后，将响应发送给代理服务器。目标服务器的响应也会认为是发送给代理服务器的。⑤代理服务器将响应发送给客户端。客户端认为响应是从代理服务器返回的，而不是目标服务器返回的。防火墙体系结构56防火墙的体系结构一般有3种：双重宿主主机体系结构、主机过滤体系结构和子网过滤体系结构。1．双重宿主主机体系结构双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口，这样的主机可以充当与这些接口相连的网络之间的路由器，并能够从一个网络向另一个网络发送IP数据包。防火墙内部的网络系统能与双重宿主主机通信，同时防火墙外部的网络系统（在互联网上）也能与双重宿主主机通信。通过双重宿主主机，防火墙内外的计算机便可进行通信了。防火墙体系结构572．主机过滤体系结构主机过滤体系结构中提供安全保护的主机仅仅与内部网络相连。另外，主机过滤体系结构还有一台单独的路由器（过滤路由器）。在这种体系结构中，主要的安全由数据包过滤提供，任何外部的访问都必须连接到这台堡垒主机上。数据包过滤配置可以按下列方法执行：①允许其他的内部主机为了某些服务与互联网上的主机连接。②不允许来自内部主机的所有连接。防火墙体系结构583．子网过滤体系结构子网过滤体系结构添加了额外的安全层到主机过滤体系结构中，即通过添加参数网络，更进一步地把内部网络与互联网隔离开。子网过滤体系结构的最简单的形式为两个过滤路由器，每一个都连接到参数网，一个位于参数网与内部网络之间，另一个位于参数网与外部网络之间。在这种结构里所采用的组件：参数网络、堡垒主机、内部路由器、外部路由器。（第6章）6.4网络攻击类型及对策596.4网络攻击类型及对策60网络攻击通常可分为4大类型：拒绝服务型攻击、利用型攻击、信息收集型攻击和虚假信息型攻击。1．拒绝服务型攻击拒绝服务（DenialofService，DoS）攻击是目前最常见的一种攻击类型。首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息。由于地址是伪造的，所以服务器一直等不到回传的消息，然而服务器中分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。死亡之ping（PingofDeath）攻击61ICMP协议在互联网上主要用于传递控制信息和错误的处理。它的功能之一是与主机联系，通过发送一个“回送请求”（EchoRequest）信息包看看主机目标是否“存在”。最普通的ping程序就是这个功能。而在TCP/IP协议中对包的最大尺寸都有严格限制规定，许多操作系统的TCP/IP协议栈都规定ICMP包大小为64KB，且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区。PingofDeath就是故意产生畸形的测试Ping（PacketInternetGroper）包，声称自己的尺寸超过ICMP上限，也就是加载的尺寸超过64KB上限，使未采取保护措施的网络系统出现内存分配错误，导致TCP/IP协议栈崩溃，最终使接收方死机。泪滴（Teardrop）攻击62泪滴攻击是拒绝服务攻击的一种。泪滴是一个特殊构造的应用程序，通过发送伪造的相互重叠的IP分组数据包，使其难以被接收主机重新组合。他们通常会导致目标主机内核失措。泪滴攻击利用IP分组数据包重叠造成TCP/IP分片重组代码不能恰当处理IP包。泪滴攻击不被认为是一个严重的DoS攻击，不会对主机系统造成重大损失。在大多数情况下，一次简单的重新启动是最好的解决办法，但重新启动操作系统可能导致正在运行的应用程序中未保存的数据丢失。UDP洪水（UDPflood）攻击63用户数据报协议（UDP）在互联网上的应用比较广泛，很多提供WWW和Mail等服务设备通常是使用Unix的服务器，它们默认打开一些被黑客恶意利用的UDP服务。如Echo服务会显示接收到的每一个数据包，而原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符。UDPflood假冒攻击就是利用这两个简单的TCP/IP服务的漏洞进行恶意攻击，通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，通过将Chargen和Echo服务互指，来回传送毫无用处且占满带宽的垃圾数据，在两台主机之间生成足够多的无用数据流，这一拒绝服务攻击飞快地导致网络可用带宽耗尽。SYN洪水（SYNflood）攻击64当用户进行一次标准的TCP连接时，会有一个3次握手过程。首先是请求服务方发送一个SYN消息，服务方收到SYN后，会向请求方回送一个SYN-ACK表示确认，当请求方收到SYN-ACK后，再次向服务方发送一个ACK消息，这样一次TCP连接建立成功。SYNFlooding则专门针对TCP协议栈在两台主机间初始化连接握手的过程进行DoS攻击，其在实现过程中只进行前两个步骤：当服务方收到请求方的SYN-ACK确认消息后，请求方由于采用源地址欺骗等手段使得服务方收不到ACK回应，于是服务方会在一定时间处于等待接收请求方ACK消息的状态。对于服务器来说，使用有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，服务器将无法向用户提供正常的合法服务。Land（LandAttack）攻击65在Land攻击中，黑客利用一个特别打造的SYN包（它的原地址和目标地址都被设置成某一个服务器地址）进行攻击。这样将导致目标主机向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，这个空连接会一直持续，直到超时。当目标机被这样大量欺骗，建立大量空连接，消耗大量的系统资源，导致系统运行缓慢，甚至崩溃。IP欺骗DoS攻击66这种攻击利用TCP协议栈的RST位来实现，使用IP欺骗，伪装真实IP地址，迫使服务器把合法用户的连接复位，影响合法用户的连接。假设现在有一个合法用户（9）已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为9，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从9发送的连接有错误，就会清空缓冲区中已建立好的连接。这时，合法用户9再发送合法数据，服务器就已经没有这样的连接了，该用户就被拒绝服务而只能重新开始建立新的连接。电子邮件炸弹攻击67电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断地大量地向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。这种攻击不仅会干扰用户的电子邮件系统的正常使用，甚至它还能影响到邮件系统所在的服务器系统的安全，造成整个网络系统全部瘫痪。有些电子邮件炸弹甚至会在文本附件中添加病毒，或者通过HTML代码等将附件上传至被攻击者的FTP服务器上，进而扩大攻击范围。攻击者可以使用各种手段来隐藏自己的身份，使其更难以被追踪定位。DDoS攻击68分布式拒绝服务攻击（DistributedDenialofService，DDoS）是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对攻击目标同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。一个完整的DDoS攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。其中主控端只发布命令，代理端发出DDoS的实际攻击包。利用型攻击69利用型攻击是一类试图直接对用户的机器进行控制的攻击，最常见的有3种。①口令猜测攻击。一旦黑客识别了一台主机而且发现了可利用的用户账号，成功的口令猜测能提供对机器的控制。②特洛伊木马攻击。特洛伊木马是一种直接由黑客或通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。③缓冲区溢出攻击。缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。信息收集型攻击70信息收集型攻击并不对目标本身造成危害，这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服务等。扫描技术。一般分为网络扫描和主机扫描。通过漏洞扫描，扫描者能够发现远端网络或主机的配置信息、TCP/UDP端口的分配、提供的网络服务、服务器的具体信息等。体系结构刺探。使用已知响应类型的数据库的自动工具，对来自目标主机的、对坏数据包传送所做出的响应进行检查。由于每种操作系统都有其独特的响应方法，通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统。虚假消息攻击71虚假消息攻击是指利用网络协议设计中的安全缺陷，通过发送伪装的数据包达到欺骗目标、从中获利的目的。是一种内网渗透方法。虚假消息攻击主要包括DNS高速缓存污染和伪造电子邮件攻击。（1）DNS高速缓存污染。由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。防御的方法：可在防火墙上过滤入站的DNS更新，外部DNS服务器不能更改内部服务器对内部机器的识别等措施预防该攻击。（2）伪造电子邮件。由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对网络内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。防御的方法：使用PGP等安全工具并安装电子邮件证书。物理层的攻击及对策72物理层位于OSI参考模型的最底层，它直接面向实际承担数据传输的物理媒体（即通信通道），物理层的传输单位为比特（bit）。实际的比特传输必须依赖于传输设备和物理媒体。物理层最重要的攻击主要有直接攻击和间接攻击，直接攻击是直接对硬件进行攻击，间接攻击是对物理介质的攻击。物理层上的安全措施不多，如果黑客可以访问物理介质，如搭线窃听和Sniffer，将可以复制所有传送的信息。唯一有效的保护是使用加密、流量填充等。1．物理层安全风险73网络的物理安全风险主要指由于网络周边环境和物理特性引起的网络设备和线路的不可用，而造成网络系统的不可用。例如，设备被盗、设备老化、意外故障、无线电磁辐射泄密等。如果局域网采用广播方式，那么本广播域中的所有信息都可以被侦听。因此，最主要的安全威胁来自搭线窃听和电磁泄露窃听。最简单的安全漏洞可能导致最严重的网络故障。比如因为施工的不规范导致光缆被破坏，雷击事故，网络设备没有保护措施被损坏，甚至中心机房因为不小心导致外来人员蓄意或无心的破坏。2.物理攻击74物理攻击是来自能够接触到物理设备的用户的攻击。主要有两种攻击：获取管理员密码攻击、提升权限攻击。（1）获取管理员密码攻击。网站管理员账户密码是网站管理员的身份凭证，是网站安全的重要组成部分，因此必须保护好账户密码，避免被恶意入侵。发生入侵网站管理员账户密码的情况，主要是由于网站管理员账户密码不够安全，恶意攻击者可以利用暴力破解、社会工程学攻击等方式破解账户密码，从而获取网站管理员账户密码。（2）提升用户权限攻击。较低的权限将使攻击者访问活动受到很多的限制，攻击者往往会先进行权限提升攻击，在获取更高的访问权限后，在开展更具破坏性的其他攻击。物理层防范措施75（1）屏蔽。用金属网或金属板将信号源包围，阻止外部信号进入金属层内部。（2）物理隔离。物理隔离技术就是一种将内外网络从物理上断开，但保持逻辑连接的信息安全技术。（3）设备和线路冗余。主要有：网络设备部件冗余、网络设备整机冗余、网络线路冗余。（4）机房和账户安全管理。（5）网络分段。网络分段是将非法用户与网络资源互相隔离，从而达到限制用户非法访问的目的。数据链路层的攻击及对策76数据链路层的最基本的功能是向该层用户提供透明的和可靠的数据传送基本服务。透明性是指该层上传输的数据的内容、格式及编码没有限制，也没有必要解释信息结构的意义；可靠的传输使用户免去对丢失信息、干扰信息及顺序不正确等的担心。由于数据链路层的安全协议比较少，因此容易受到各种攻击，常见的攻击有：MAC地址欺骗、内容寻址存储器（CAM）表格淹没攻击、VLAN中继攻击、操纵生成树协议、地址解析协议（ARP）攻击等。（1）MAC地址欺骗。MAC地址欺骗攻击主要是利用了局域网内交换机的转发特性和MAC地址学习特性，一般情况下，交换机不会对接收到的数据包进行检查和验证，并且其MAC地址表的学习也容易被攻击者所利用。因此，攻击者往往发送含有其他人MAC地址的数据包，让交换机误认为自己是网络中的另一台机器，从而将本来属于该台机器的数据包转发给攻击者。数据链路层的攻击及对策77（2）内容寻址存储器（CAM）表格淹没攻击。交换机中的CAM表格包含了诸如在指定交换机的物理端口所提供的MAC地址和相关的VLAN参数之类的信息。网络攻击者会向该交换机提供大量的无效MAC源地址，直到CAM表格被填满。此时，交换机不能够从CAM表格中查找出特定的MAC地址的端口号，只能将传输进来的信息向所有的端口发送。（3）VLAN中继攻击。VLAN中继威胁攻击充分利用了动态中继协议（DynamicTrunkProtocol，DTP），攻击者利用DTP冒充是由网络交换机所发送的正常报文进而攻击此台计算机所连接的交换机。因此，如果网络交換机启动了中继功能，就会导致异常报文发送到被攻击的机器上，从而在不同的VLAN中进行网络攻击。数据链路层的攻击及对策78（4）操纵生成树协议。生成树协议可用于交换网络中，以防止在以太网拓扑结构中产生桥接循环。通过攻击生成树协议，网络攻击者希望将自己的系统伪装成该拓扑结构中的根网桥。要达到此目的，网络攻击者需要向外广播生成树协议配置/拓扑结构改变网桥协议数据单元（BPDU），企图迫使生成树进行重新计算。网络攻击者系统发出的BPDU声称发出攻击的网桥优先权较低。如果获得成功，该网络攻击者能够获得各种各样的数据帧。（5）地址解析协议（ARP）攻击。ARP协议的作用是在处于同一个子网中的主机所构成的局域网部分中将IP地址映射到MAC地址。当有人在未获得授权时就企图更改MAC和IP地址的ARP表格中的信息时，就发生了ARP攻击。通过这种方式，黑客们可以伪造MAC或IP地址，以便实施如下两种攻击：服务拒绝和中间人攻击。安全对策79使用端口安全命令可以防止MAC欺骗攻击。端口安全命令能够提供指定系统MAC地址连接到特定端口的功能。该命令在端口的安全遭到破坏时，还能够提供指定需要采取何种措施的能力。在交换机上配置端口安全选项可以防止CAM表淹没攻击。当无效的MAC地址在该端口被检测出来之后，该交换机要么可以阻止所提供的MAC地址，要么可以关闭该端口。对VLAN的设置要在所有中继端口上使用专门的VLANID。关闭掉所有用户端口上的DTP，可以将所有端口设置成非中继模式。防止操纵生成树协议的攻击，需要使用根目录保护和BPDU保护加强命令来保持网络中主网桥的位置不发生改变，同时也可以强化生成树协议的域边界。网络层的攻击及对策80网络层常见的攻击主要有：IP地址欺骗攻击和ICMP攻击。网络层的安全需要保证网络只给授权的客户提供授权的服务，保证网络路由正确，避免被拦截或监听。（1）IP地址欺骗攻击。IP地址欺骗主要有两种：一种是攻击者伪造的IP地址不可达或者根本不存在，这种形式的IP地址欺骗，主要用于迷惑目标主机上的入侵检测系统，或者是对目标主机进行DoS攻击；另一种则着眼于目标主机和其他主机之间的信任关系。攻击者通过在自己发出的IP包中填入被目标主机所信任的主机的IP地址来进行冒充。一旦攻击者和目标主机之间建立了一条TCP连接，攻击者就可以获得对目标主机的访问权，并可以进一步进行攻击。网络层的攻击及对策81（2）ICMP攻击。ICMP攻击是一种利用ICMP协议进行网络攻击的方式。主要包括以下几种类型：①ICMP洪水攻击。攻击者向目标主机发送大量的ICMP请求消息，使目标主机的网络资源（如带宽、CPU、内存等）耗尽，导致服务不可用。②ICMP回显请求攻击。攻击者发送大量的ICMP回显请求消息（也称为Ping请求），使目标主机不断回复这些请求，消耗目标主机的网络资源和处理能力。③ICMP分片攻击。攻击者发送经过特殊处理的ICMP分片消息，目的是使目标主机的IP堆栈产生异常行为，如崩溃或拒绝服务。④ICMP重定向攻击。攻击者发送伪造的ICMP重定向消息，使目标主机误导路由表，导致流量被重定向到攻击者控制的恶意主机。安全对策82（1）逻辑网络分段。将整个网络系统在网络层上进行分段。例如，对于TCP/IP网络，可以把网络分成若干IP子网，各子网必须通过中间设备进行连接，利用这些中间设备的安全机制来控制各子网之间的访问。（2）VLAN的实施。基于MAC的VLAN不能防止MAC欺骗攻击。因此，VLAN划分最好基于交换机端口。（3）防火墙服务。防火墙的主要作用是在网络入口点检查网络通信。从应用上分类：包过滤、代理服务器；从实现上分类：软件防火墙、硬件防火墙。安全对策83（4）加密技术。加密技术用于网络安全通常有两种形式，即面向网络或面向应用服务。前者通常工作在网络层或传输层，使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息，从而保证网络的连通性不受损坏。（5）数字签名和认证技术。认证技术主要解决网络通信过程中通信双方的身份认可，数字签名是身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。（6）VPN技术。通过一个公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。VPN采用了多种安全机制，如隧道技术、加解密技术、密钥管理技术、身份认证技术等，通过上述的各项网络安全技术，确保资料在公用网络中传输时不被窃取。传输层的攻击及对策84传输层存在两个协议：传输控制协议（TCP）和用户数据报协议（UDP）。传输层安全，主要指在客户端和服务端的通信信道中提供安全。这个层次的安全可以包含加密和认证。传输层也支持多种安全服务：对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务和数据源点认证服务。传输层常见的攻击方法有：TCP扫描攻击、UDP扫描攻击、SYNFlooding攻击。TCP扫描攻击85根据TCP协议规定：当连接一个没有打开的TCP端口时，服务器会返回RST包；连接打开的TCP端口时，服务器会返回SYN+ACK包。常见的TCP扫描攻击如下。①connect扫描：如果是打开的端口，攻击机调用connect函数完成3次握手后再主动断开。②SYN扫描：攻击机只发送SYN包，如果打开的端口服务器会返回SYN+ACK，攻击机可能会再发送RST断开；关闭的端口返回RST。③FIN扫描：攻击机发送FIN标志包，Windows系统不论端口是否打开都回复RST；但Unix系统端口关闭时会回复RST，打开时会忽略该包；可以用来区别Windows和Unix系统。④ACK扫描：攻击机发送ACK标志包，目标系统虽然都会返回RST包，但两种RST包有差异。UDP扫描攻击86当连接一个没有打开的UDP端口时，大部分类型的服务器可能会返回一个ICMP的端口不可达包，但也可能无任何回应，由系统具体实现决定；对于打开的端口，服务器可能会有包返回，如DNS，但也可能没有任何响应。UDP扫描是可以越过防火墙的状态检测的，由于UDP是非连接的，防火墙会把UDP扫描包作为连接的第一个包而允许通过，所以防火墙只能通过统计的方式来判断是否有UDP扫描。UDPflooding利用了UDP传输的无状态性，通过发送大量拥有伪装IP地址的UDP数据包，填满网络设备（主要是路由器或防火墙）的连接状态表，造成服务被拒绝。由于UDP是非连接协议，因此只能通过统计的方法来判断，很难通过状态检测来发现，只能通过流量限制和统计的方法缓解。SYNFlooding攻击87SYNFlooding是当前最流行的DoS与DDoS的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽的攻击方式。一个正常的TCP连接需要3次握手的过程来建立一个TCP连接。假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接。但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗大量的资源，最后的结果往往是堆栈溢出崩溃。安全对策88（1）安全设置防火墙。首先在防火墙上限制TCPSYN的突发上限，因为防火墙不能识别正常的SYN和恶意的SYN，一般把TCPSYN的突发量调整到内部主机可以承受的连接量，当超过这个预设的突发量的时候就自动清理或者阻止。（2）防御DoS攻击。首先，利用防火墙可以阻止外网的ICMP包；其次，利用工具时常检查一下网络内是否SYN_RECEIVED状态的半连接。（3）漏洞扫描技术。通过两种方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等，若模拟攻击成功，则表明目标主机系统存在安全漏洞。应用层的攻击及对策89常见应用层攻击模式主要有：带宽攻击、缺陷攻击和控制目标机。带宽攻击。是用大量数据包填满目标机的数据带宽，使任何机器都无法再访问该机。缺陷攻击。是根据目标机系统的缺陷，发送少量特殊包使其崩溃；也有的根据服务器的缺陷，发送特殊请求来达到破坏服务器数据的目的。控制目标机。是网络入侵的最高目标，也就是获取目标机的ROOT权限而不被目标机管理员发现。为实现此目标，需经过以下步骤：端口扫描，了解目标机开了哪些端口，使用是哪种服务器；检索服务器的漏洞；获取普通用户权限；以普通用户权限查找系统中是否有可能的漏洞程序，并用相应shellcode获取ROOT权限；建立自己的后门方便以后再来。应用层的攻击方法90（1）应用层协议攻击。漏洞主要是来自协议的具体实现，比如说同样的HTTP服务器，虽然都根据相同的RFC来实现，但Apache的漏洞和IIS的漏洞就是不同的。应用层协议本身的漏洞包括：①明文密码，如FTP、SMTP、POP3、TELNET等，容易被sniffer监听到，但可以通过使用SSH、SSL等来进行协议包装。②多连接协议漏洞，由于子连接需要打开动态端口，就有可能被恶意利用，如FTP的PASV命令可能会使异常连接通过防火墙。③缺乏客户端有效认证，如SMTP，HTTP等，导致服务器资源能力被恶意使用。④服务器信息泄露，如HTTP、SMTP等都会在头部字段中说明服务器的类型和版本信息。⑤协议中一些字段非法参数的使用，如果具体实现时没注意这些字段的合法性可能会造成问题。应用层的攻击方法91（2）缓冲溢出攻击。缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。利用缓冲区溢出攻击，可以导致程序运行失败、系统关机、重新启动等后果。（3）口令猜测/破解。口令猜测往往也是很有效的攻击模式，或者根据加密口令文件进行破解。（4）后门、木马和病毒。这类病毒会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、复制、改密码等非法操作。应用层的攻击方法92（5）间谍软件。驻留在计算机的系统中，收集有关用户操作习惯的信息，并将这些信息通过互联网悄无声息地发送给软件的发布者。由于间谍软件主要通过80端口进入计算机，也通过80端口向外发起连接，因此传统的防火墙无法有效抵御，必须通过应用层内容的识别采取相关措施。（6）DNS欺骗。DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。DNS欺骗的基本原理是：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了。（7）网络钓鱼。攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。安全对策93（1）访问控制策略。访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。（2）信息加密策略。信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密。链路加密的目的是保护网络节点之间的链路信息安全；端—端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。（3）网络安全管理策略。制定安全管理体制，加强网络的安全管理。（4）网络防火墙技术。是一种用来加强网络之间的访问控制，防止外部网络用户以非法手段通过外部进入网络内部，保护内部网络操作环境的特殊互联设备。它对多个网络之间传输的数据包，按照一定的安全策略来实施检查，决定网络间通信是否被允许，并监视网络的运行状态。安全对策94（5）入侵检测技术。网络入侵检测技术通过硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库进行比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应。入侵检测系统（IntrusionDetectionSystem，IDS）是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。它通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统，包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法活动。入侵防御系统（IntrusionPreventionSystem，IPS）则是一种主动的、积极的入侵防范、阻止系统。IPS是基于IDS的、建立在IDS发展的基础上的新生网络安全技术，IPS的检测功能类似于IDS，防御功能类似于防火墙。黑客攻击的3个阶段95黑客是英文Hacker的音译，通常是指对计算机科学、编程和设计方面具高度理解的人。入侵者（攻击者）指怀着恶意企图，闯入远程计算机系统甚至破坏远程计算机系统完整性的人。（1）信息收集。信息收集的目的是为了进入所要攻击的目标网络的数据库。黑客会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息。（2）系统安全弱点的探测。在收集到攻击目标的一批网络信息之后，黑客会探测网络上的每台主机，以寻求该系统的安全漏洞或安全弱点，黑客可能使用下列方式自动扫描驻留在网络上的主机。（3）网络攻击。黑客使用上述方法，收集或探测到一些“有用”信息之后，就可能会对目标系统实施攻击。黑客攻击的3个阶段96黑客一旦获得了对攻击的目标系统的访问权后，又可能有下述多种选择。①该黑客可能试图毁掉攻击入侵的痕迹，并在受到损害的系统上建立另外的新的安全漏洞或后门，以便在先前的攻击点被发现之后，继续访问这个系统。②该黑客可能在目标系统中安装探测器软件，包括特洛伊木马程序，用来窥探所在系统的活动，收集黑客感兴趣的一切信息，如Telnet和FTP的账号名和口令等。③该黑客可能进一步发现受损系统在网络中的信任等级，这样黑客就可以通过该系统信任级展开对整个系统的攻击。对付黑客入侵971．发现黑客（1）进程异常。在windows任务管理器中出现一些异常现象，发现一些可疑的进程，我们应该及时将其结束。（2）可疑启动项。在入侵之后黑客一般会添加一个启动项随计算机启动而启动。（3）注册表异常。运行Regedit命令，查看相应的键和值是否正常，如果有异常，则可能是被黑客侵入。（4）开放可疑的窗口。在入侵后，黑客有可能留下后门程序以监听客户端的请求。用户可以通过命令查看计算机是否开启了可疑端口。（5）日志文件的异常。可以查看日志文件登录记录是否有黑客入侵。（6）存在陌生用户。在入侵用户电脑之后，黑客会创建有管理员权限的用户，以便使用该用户账户远程登录电脑或启动程序和服务。对付黑客入侵982．应急操作（1）估计形势。当遭到入侵时，采取的第一步行动是尽可能快地估计入侵造成的破坏程度。判断黑客是否已成功闯入站点、黑客是否还滞留在系统中、能控制当前形势最好的方法是什么、入侵是否有来自内部的威胁、是否了解入侵者身份？（2）切断连接。一旦了解形势之后，就应立即采取行动：首先应切断连接，并判断：能否关闭服务器、能否追踪黑客？（3）分析问题。当系统已被入侵时，应全面考虑新近发生的事情，当已识别安全漏洞并将进行修补时，要保证修补不会引起另一个安全漏洞。（4）采取行动。实施紧急反应计划并及时修复安全漏洞和恢复系统。对付黑客入侵993．抓住入侵者抓住入侵者是很困难的，特别是当他们故意隐藏行迹的时候。成功与否在于是否能准确把握黑客的攻击。尽管抓住黑客的可能性不高，但遵循如下原则会大有帮助。①注意经常定期检查登录文件。②注意不寻常的主机连接及连接次数通知用户，将使消除入侵变得更为容易。③注意那些原不经常使用却突然变得活跃的账户。应该禁止或干脆删去这些不用的账户。④预计黑客经常在周六、周日和节假日下午6点至上午8点之间光顾。但他们也可能随时光顾。在这些时段里，每隔10分钟运行一次shellscript文件，记录所有的过程及网络连接。（第6章）6.5入侵检测技术1006.5入侵检测技术101入侵定义为任何试图破坏信息系统的完整性、保密性或有效性的活动的集合。入侵检测就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的