教学课件-网络信息安全

网络信息安全2014-2015学年第一学期网络信息安全重要吗？2014年国内十大网络信息安全事件

1.中国互联网出现大面积DNS解析故障2.中央网信小组成立网络信息安全上升为国家战略3.携程信息“安全门”事件敲响网络消费安全警钟4.小米800万用户数据泄露5.网络信息安全提升至国家高度国产软件受重视网络信息安全重要吗？2014年国内十大网络信息安全事件

6.快递公司官网遭入侵泄露1400万用户快递数据7.130万考研用户信息被泄露8.智联招聘86万条求职简历数据遭泄露9.阿里云称遭互联网史上最大规模DDoS攻击10.12306网站超13万用户数据遭泄露网络信息安全重要吗？2014年国外十大网络信息安全事件

1.Heartbleed漏洞2.斯诺登曝光美国工业间谍活动3.2000万韩国人信用卡信息被盗4.英国央行雇佣黑客进行内部攻防测试起示范作用5.微软正式停止对XP系统技术支持网络信息安全重要吗？2014年国外十大网络信息安全事件

6.iCloud曝安全漏洞苹果陷入“艳照门”事件7.摩根大通银行被黑8300万客户信息泄露8.全球手机运营商现安全漏洞数十亿人的通信或受影响9.全球互联网域名管理机构ICANN遭黑客攻击10.索尼影业被黑、朝鲜网络瘫痪事件持续发酵如何学习网络信息安全知识？教材使用方法结合计算机软考网络工程师考试与本课程的学习，学习好本课程的同时考取网络工程师或者网络安全工程师等证书，增加自身含金量和就业竞争力。参考书：信息安全基础；计算机网络安全基础参考网站：中国互联网络信息中心/gjymaqzx/怎样考试、考勤？

70%期末+30%平时课堂测验（准备笔、纸）第1章

网络体系结构网络的层次结构：网络是如何实现的，以及网络提供的功能

协议概述：协议的作用层次网络模型：OSI参考模型和TCP/IP参考模型各层的功能和层次对应关系网络是如何实现的？什么是协议？网络协议确保设备通信成功.协议规范消息的格式和结构网络设备共享有关于其他网络之间通信的信息时设备之间传送错误消息和系统消息的方式与时间数据传送会话的建立和终止.协议与行业标准的区别标准是指已经受到网络行业认可，经过标准化组织批准的流程或协议TCPIPISO9001。。。两个必须掌握的层次结构模型OSI七层模型：国际标准TCP／IP四层模型过程的消息本章小结本次课需要对层次网络模型熟练掌握，以便后续课程中基于层次模型的学习。平时关注网络信息安全方面的信息，并思考存在的问题及解决问题的方案。课后作业

1、教材P12课后作业2、复习第1章，下次课测验，准备空白纸一张。第2章

网络协议什么是协议？什么是标准协议是为解决某个特定问题或者描述一个需求而设计的标准描述协议是如何动作的或和其他层是如何交互的开放协议与专利协议的区别开放协议开放健壮性好，缺陷最小易发现安全缺陷专利协议不开放，属于一个提供商不易发现安全缺陷协议规范存在的问题之最？表示规范的方法，文本RFC（RequestForComment）请求评议

（Demo）IETF:因特网工程任务组

（InternetEngineeringTaskForce）其他标准化组织ANSIIEEEISOITU协议的关键点之一：寻址方法邮递实例网络中的地址（DEMO）

硬件地址IP地址端口号网址域名地址如何分配静态地址动态地址数据包头部头部定义为协议规范的一部分固定数据包型固定部分可选部分无限制型头部常用于应用层数据串本章小结本次课需要对层次网络协议相关定义熟练掌握，以便后续课程中基于协议模型的学习。平时关注网络信息安全方面的信息，并思考存在的问题及解决问题的方案。课后作业

1、教材P23课后作业2、复习第2章，下次课测验，准备空白纸一张。第3章

互联网如何利用不同地址传输数据？P27图3.3端口号IP地址物理地址什么是地址欺骗？目的地址：接收者，数据到哪里去，用于送达信件源地址：发送者，数据从哪里来，无法识别真实性地址欺骗：采用虚假的源地址的行为P29图3.4IP地址与子网掩码？IPv432bit主机名全域名

DNS本地DNS根DNS递归解析迭代解析IP地址与域名客户－服务器模式C/S模式Client／ServerP2P模式套接字（IP，Port）路由路由表静态路由动态路由本章小结本次课需要熟练掌握层次网络传输过程中的各类地址；了解客户－服务器模式和路由方法。课后作业

1、教材P37课后作业2、复习第3章，下次课测验，准备空白纸一张。第4章

网络漏洞的分类两台计算机进行通信时可能的攻击点？应用层A1TCPIP-C1物理网络N1应用层A1TCPIP-D1物理网络N4IP-R1物理网络N2IP-R2物理网络N3用户A用户B互联网计算机A1计算机B1攻击点1攻击点2攻击点3攻击点4协议的哪些环节可能会存在漏洞？设计环节协议制定和书写上的漏洞原因：对协议内在的安全问题关注不够实现环节代码错误、规范的解释错误、被攻击者发现的未预见的攻击方法原因：规范本身有冲突或漏洞配置环节用户不正确地配置系统或者使用系统默认值原因：系统默认密码可以轻易获取利用漏洞的步骤？发现漏洞试探漏洞攻击代码实施攻击脚本小子零日试探如何对现有网络信息系统进行风险评估？威胁漏洞影响针对网络安全将漏洞和攻击分为四类基于头部的漏洞和攻击基于协议的漏洞和攻击基于验证的漏洞和攻击基于流量的漏洞和攻击基于头部的漏洞和攻击协议头部的域值与标准发生了冲突

死亡之Ping（PingofDeath）ping-l65500目标ip-t（65500表示数据长度上限，-t表示不停地ping目标地址）基于IP的攻击缓存溢出攻击Windows／Unix预防死亡之ping的最好方法是对操作系统打补丁，使内核将不再对超过规定长度的包进行重组基于协议的漏洞和攻击数据包与协议的执行过程有冲突不按序发送数据包发送数据包太快或者太慢丢失数据包SYN攻击2000年YAHOO网站限制单一计算机和服务器试图连接次数基于验证的漏洞和攻击用户到用户的验证：密钥和证书，常用于E－mail或安全性文档用户到主机的验证：用户名和密码，常用于请求资源时主机到主机：为了执行某个功能，层与层之间，借助主机地址或应用程序地址，脆弱主机到用户：允许用户证明所连接主机的身份，用于某个用户与某安全网站连接时基于流量的漏洞和攻击情况1：大量数据被送往某层，该层不能及时处理，引起丢包或不处理情况2:数据包嗅探

例如sniffer等本章小结本次课需要熟练掌握漏洞的分类；了解典型的攻击类型。课后作业

1、教材P50课后作业2、复习第4章，下次课测验，准备空白纸一张。第5章

物理网络层概述针对物理网络层常见的攻击方法硬件地址欺骗网络嗅探物理攻击以太网CSMA／CD载波侦听多路访问／冲突检测先听后说，边说边听改善：以太网交换机，端口表Q：接收方如何知道帧的长度？针对有线网络协议的攻击？基于头部的攻击（有限）源地址与目标地址设成相同过短或过长数据包（>1500B,<46B）依靠设备自身安全基于协议的攻击（无）网络控制器故障基于验证的攻击（较难）ARP攻击填满交换机地址表源地址与其中一台设备相同对策：网络访问控制NAC验证连接ISP的设备基于流量的攻击（容易）流量嗅探用大类的流量造成网络崩溃对策：加密，VLAN无线以太网协议？802.11（a－z）Wifi802.11a或802.11b11Mbps~54Mbps100m网络嗅探AP(AccessPoint)访问接入点产生网络提供对有线网络的访问SSID：ServiceSetID发现AP－－接入网络－－发送流量CSMA／CA介质空闲，等待随机时间片无线以太网VS有线以太网协议更复杂帧格式更复杂漏洞更多攻击更常见基于头部的攻击无线以太网帧头部大多数域由硬件控制器控制基于头部的攻击有限导致攻击设备不能正常通信基于协议的攻击协议主要由硬件实现，实施攻击较复杂攻击：将数据包嵌入介质中探测／钓鱼发送大量信号引起阻塞减少探测的方法：加密NAC（NetworkAccessControl）避免使用人名、公司名、家庭地址作为SSID基于验证的攻击设备验证：无线设备与AP互相验证AP配置验证：访问配置菜单，试图修改AP的网络安全特性恶意接入点：合法用户擅自安装AP并隐瞒AP有安全隐患，为攻击者埋下伏笔允许用户绕过内部安全网络，降低整体安全性对策：NAC，防止未授权用户访问有线网络；扫描发现恶意AP非法接入点：攻击者将自己的AP伪装成有效AP不加密AP获取AP访问控制权对策：修改AP默认密码，加密基于流量的攻击无线网络流量嗅探对策：加密WEP：WiredEquivalentPrivacy有线等效保密。对在两台设备之间无线传输的数据进行加密，防止窃听或入侵WPA：Wi-FiProtectAccess,Wi-Fi访问保护协议，同时使用验证和加密，为家庭或企业设计验证密钥会话密钥对抗流量嗅探常用对策——VLAN虚拟局域网VLAN静态VLAN基于固定端口对抗ARP攻击防止端口映射表攻击动态VLAN基于设备的硬件地址根据硬件地址验证设备常用对策——NAC网络访问控制NAC验证每一台设备使用动态VLAN强制通过基于策略分割的设备执行策略如果为授权则不允许访问网络或隔离为一个独立的网络本章小结本次课需要熟练掌握物理网络层存在的漏洞与攻击，了解对策及相关技术。课后作业1、教材P82课后作业11-142、预习附录A密码学3、复习第5章，下次课测验，准备空白纸一张。第6章

网络层协议网络层有哪些协议？IP协议：IP地址，IP寻址IPv4IPv6ARP协议：IP地址MAC地址

RARP协议：MAC地址IP地址ICMP协议：询问IP设备，报告错误，例如PingBOOTP：支持无盘工作站和网络打印机DHCP：支持IP地址动态分配IPv4vsIPv6基于头部的攻击针对IP协议：死亡之Ping针对ARP协议：无效ARP数据包被抛弃针对ICMP协议的攻击很少基于协议的攻击针对IP协议本身的攻击很少路由跟踪程序ICMP错误消息引起DoSARP协议：攻击者用无效的ARP应答回应ARP请求基于认证的攻击网络层通过IP地址认证设备IP地址欺骗对策：路由器检查直连网络上发送数据包的IP地址，可以阻止发往外部的IP地址与对应网络不匹配的数据包。局限性：无法阻止攻击者使用同一网络的其他计算机的IP地址欺骗性ICMP错误消息ARP攻击局限于攻击者所在网络基于流量的攻击嗅探对策：IP载荷加密使用IP广播地址实施雪崩攻击对策：在路由器上禁止直接广播进入网络ARP广播雪崩

对策：在路由器上禁止ICMP回应请求数据包的进入常用网络层对策——IP过滤基于IP报头的域值进行过滤由路由器完成基于IP地址过滤缺点：增加数据包处理时间常用网络层对策——NATNAT：NetworkaddressTranslation网络地址转换目标：允许大量设备共享少量公共IP地址动态NAT静态NAT阻止所有未在映射表中列出地址的数据包攻击者无法向私有网络发送数据包常用网络层对策——VPNVitualPrivateNetwork：虚拟专用网用于加密和验证通信信道配置1:两个网络共用一个VPN配置2:远程网络成为主网络的一个扩展常用网络层对策——IPSECInternetProtocolSecurity：Internet协议安全性用做VPN协议一个头部支持验证另一个头部支持加密和验证未指定加密算法IPSECVPN本章小结本次课需要熟练掌握常用IP层安全技术课后作业

1、教材P132课后作业1-4、7、8、112、复习第6章，下次课测验，准备空白纸一张。第7章

传输层协议传输层有哪些协议？TCP：TransmissionControlProtocol传输控制协议UDP：UserDatagramProtocol用户数据报协议传输层地址——端口号Socket套接字：IP＋PortUDP物理网络层TCP协议建立连接连接维护终止连接可靠的数据传输：面向字节流多路复用流量控制TCP数据包格式基于TCP头部的攻击（难以消除）攻击者发送无效的头部信息，扰乱TCP运行标志位全1：圣诞树攻击在打开的连接中发送无效序列号攻击者使用回应发送无效头部（探测攻击）发送无效标志组合来确认操作系统如何回应，例如标志位全0如果端口是关闭的会使接收方应答一个RST|ACK消息Linux和UNIX机器不会应答Windows机器将回答RST|ACK消息基于TCP协议的攻击SYNFlood耗尽服务器缓冲区空间消除方法：限制来自同一IP地址的半连接数量分布式SYN雪崩攻击难以分辨攻击者将数据包插入到协议流量中用RST切断连接会话劫持消除方法：TCP加密攻击者发送减小窗口尺寸的ACK数据包基于验证的攻击不支持验证恶意用户在保留端口（0～1023）上运行应用程序基于流量的攻击嗅探雪崩攻击消除方法：使用流量整形器UDP协议无连接针对UDP协议的攻击无基于头部和协议的攻击基于验证的攻击：53端口号UDP流量基于流量的攻击：嗅探VS加密；UDPFloodDNS？DNS协议FQDN完整域名PQDN非完整域名递归模式迭代模式基于DNS头部的攻击不正确的头部值，通常无效经过防火墙泄露数据，缓慢基于DNS协议的攻击恶意软件使用DNS端口号（53）建立点到点软件恶意通信基于验证的攻击验证服务器IP地址用恶意条目替换DNS服务器中的条目获取对服务器对访问，修改条目DNS缓冲区中毒向一个查询发送自身的回应，欺骗客户端基于流量的攻击嗅探FLood流量减少DNS攻击的方法是对关键DNS服务器实行冗余设置传输层安全TLS／SSL为Web流量提供安全为消除攻击者伪装成另外一个设备时的嗅探攻击和针对主机的验证攻击TLS（TransportLayerSecurity）本章小结本次课需了解传输层协议的漏洞和攻击方式，并掌握相应的消除方法。课后作业

1、教材P158课后作业：1、8、10第8章

应用层概述应用层与其他各层的关系？应用层有哪些常用协议？套接字应用层常见协议端口号基于头部的攻击（常发生）缓冲区溢出缓冲区溢出攻击防范基于协议的攻击试探用户名、密码获得访问权限用于规避应用程序采用的验证机制基于验证的攻击直接攻击：攻击者回应对用户名、密码的请求简介攻击：通过其他类型攻击规避验证基于流量的攻击降低程序的性能或拒绝服务DoSDNS？DNS协议FQDN完整域名PQDN非完整域名递归模式迭代模式基于DNS头部的攻击不正确的头部值，通常无效经过防火墙泄露数据，缓慢基于DNS协议的攻击恶意软件使用DNS端口号（53）建立点到点软件恶意通信基于验证的攻击验证服务器IP地址用恶意条目替换DNS服务器中的条目获取对服务器对访问，修改条目DNS缓冲区中毒向一个查询发送自身的回应，欺骗客户端基于流量的攻击嗅探FLood流量减少DNS攻击的方法是对关键DNS服务器实行冗余设置本章小结本次课需了解应用层协议的漏洞和攻击方式。课后作业

1、教材P168课后作业：2第9章

电子邮件电子邮件协议有哪些？SMTP（SimpleMailTransferProtocol）简单邮件传输协议POP（PostOfficeProtocol）邮局协议IMAP（InternetMessageAccessProtocol）网际消息访问协议MIME（MultipurposeInternetMailExtention）多用途网际邮件扩充一个电子邮件消息由哪几部分组成？消息头部消息主题SMTP协议端口号25头部非限制性，标准ASCII格式指令－回应协议3位数代码SMTP基本参数设置基于SMTP头部的攻击（不常见）早期易受缓冲区溢出攻击现代电子邮件系统可接受任意长度的输入信息命令行缓冲区溢出攻击基于SMTP协议的攻击（不常见）消息按时许和顺序发送，任何冲突会被忽略基于SMTP验证的攻击（最常见）电子邮件欺骗缺少对电子邮件发送者的验证用于欺骗接收方如果接受地址无效，电子邮件会按照发送地址返回用于垃圾邮件、恶意邮件用户名探测（容易实施，但费时）RCPTTO：命令返回一个错误，用于验证用户名基于流量的攻击伪冒式雪崩攻击：伪冒返回地址事故性雪崩攻击：用户用中继方式给一批用户发邮件嗅探STARTTLS：UA到MTA的验证加密AUTH：验证POP（PostOfficeProtocol，邮局协议）POP：端口110指令－回应协议服务器到客户端的电子邮件消息传输，不支持向多个不同的计算机的传输IMAP（InternetMessageAccessProtocol）IMAP特点头部式非限制性的自由文本格式指令－回应协议支持多个远程用户代理端口号143IMAP与POP的区别支持服务器管理电子邮件消息在客户端和服务器文件夹之间移动，搜索服务器文件夹和管理服务器文件夹针对POP和IMAP的漏洞攻击头部和协议漏洞少基于验证的攻击用户名和密码对策：限制用户验证IP，VPN，不允许远程访问POP和IMAP基于流量的攻击（有限）嗅探对策：加密MIME：多用途网际电子邮件扩展协议将电子邮件从一个服务器传输到另一个服务器用于传输任何类型的数据用于向电子邮件消息中插入图片和Web链接以甄别垃圾邮件和盗窃一个自由的头部格式，3个规定的头部和3个可选头部基于MIME头部的攻击无效头部攻击：由UA处理，不显示电子邮件消息使用头部隐藏消息的实际内容：附件为可执行代码使用基于HTML的电子邮件隐藏消息的实际内容，诱惑用户点击Web页面链接基于MIME协议的攻击使用MIME协议携带恶意文件有些UA直接显示附件，安全隐患，尼姆达蠕虫病毒对策：不直接浏览附件内容，过滤恶意附件基于主机扫描和限制恶意病毒传播的防火墙（前提：UA干净正常）基于验证的攻击MIME不直接支持用户验证攻击一：欺骗验证，攻击者通过MIME产生来自某机构的电子邮件攻击二：利用电子邮件补丁追踪电子邮件在何处何时打开（插入1*1图片）对策：UA在显示图片前提示用户基于流量的攻击没有关于流量的漏洞攻击一：产生大的电子邮件消息对策：设置MTA可接受电子邮件的大小攻击二：嗅探对策：加密验证一般电子邮件对策加密和验证：PGP电子邮件过滤：黑名单、白名单、灰名单内容过滤处理：内容过滤器（理解MIME协议）电子邮件病毒扫描，过滤攻击性消息防止私密数据离开网络不能处理机密的电子邮件电子邮件取证：追溯电子邮件电子邮件使用贴士将邮件的附件另存为一个文件到硬盘，用最新版本的杀毒软件来查杀。不要隐藏系统中已知文件类型的扩展名，防止利用文件的扩展名做文章的病毒将系统的网络连接的安全级别设置至少为“中等”防病毒软件及时更新病毒库本章小结本次课需了解电子邮件的漏洞和攻击方式。课后作业

1、教材P198课后作业：6、8、11第10章Web安全WWW？Web客户端与Web服务器Web协议HTTP（HyperTextTransferProtocol）基于ASCII码指令－回应消息头部（可选）：一行或多行文本HeaderName:<sp>HeaderValue基于HTTP头部的攻击（不常见）头部简单任何无效的指令或回应被忽略缓冲区溢出攻击（早期）使用HTTP获取不属于任何超链接文档的文件，以获取有效用户名或密码对策：避免配置错误，尤其Web密码文件不要放在文档目录中基于HTTP协议的攻击（几乎没有）基于HTTP验证的攻击（最常见）基于用户名和密码的目录访问验证用户名、密码为明文发送密码容易猜测电子欺骗伪装网站基于流量的攻击（常见）Web服务器所允许同时连接的数量是有限的无法阻止嗅探HTTPS（443），使用SSL基于HTML头部的攻击（不常见）头部复杂、自由Image标签Applet标签Hyperlink标签，用于将用户转向欺骗性的网站对策：用户教育基于HTML协议的攻击将信息嵌入到HTML中以注释的形式或者以固定值传递到服务器端运行修改页面信息然后上传到服务器，例如修改价格对策：监控基于HTML验证的攻击不直接支持验证，无基于用户验证的漏洞电子欺骗主机到用户基于证书的验证（仅对于加密的网站）基于流量的攻击（常见）嗅探HTTPS（443），使用SSL什么是CGICGI，CommonGatewayInterface：公共网关接口定义一个程序如何与Web服务器进行连接的标准输出HTML代码CGI程序使网页具有交互功能HTTP服务器与其它客户端的程序进行“交谈”的一种工具CGI程序能够用Python,PERL,Shell,CorC++等语言来实现CGI脚本简例#include<iostream>usingnamespacestd;intmain()｛cout<<"Content-type:text/html\r\n\r\n";cout<<"<html>\n";cout<<"<head>\n";cout<<"<title>HelloWorld-FirstCGIProgram</title>\n";cout<<"</head>\n";cout<<"<body>\n";cout<<"<h2>HelloWorld!ThisismyfirstCGIprogram</h2>\n";cout<<"</body>\n";cout<<"</html>\n”;return0;}基于CGI头部的攻击缓冲区溢出CGI脚本中存在错误且没有限制参数：攻击者使用CGI脚本访问没有打算访问的资源基于CGI验证的攻击漏洞一：蹩脚的CGI脚本将用户验证作为参数中URL中传递，易于使攻击者猜测到密码对策：设计良好的CGI脚本，正确使用应用程序验证漏洞二：客户无法验证Web服务器或获知服务器端可执行程序是否正被使用，CGI程序自动收集关于用户的数据。对策：用户教育客户端安全－－插件插件：（Plug-in，又称addin、add-in、addon或add-on，又译外挂）遵循一定规范的应用程序接口编写出来的程序，使浏览器处理各种文档类型的可执行程序。可执行插件：处理可执行代码，如Javaapplet文档插件：处理PDF等其他文档类型浏览器插件：处理图像、音频、视频等文档类型浏览器——cookieCookie是通过Web服务器存储再浏览器所在的计算机上的小片数据信息，可由服务器读回去Cookie用于保持用户的会话状态Cookie信息保存在客户端，存在较大的安全隐患一般浏览器对Cookie的数目及数据大小有严格的限制Cooki课记录用户所做过的事情，跟踪用户基于客户端验证的攻击大多数客户端可执行程序未被验证：恶意代码插件自动处理，用户不知道插件已被激活：插件攻击通过Web下载的可执行文件：电子邮件对策：用户教育、本地病毒扫描程序和个人防火墙基于流量的攻击嗅探漏洞客户端可执行程序产生巨大流量时，如股市、天气对策：用户教育和公司政策常用Web对策URL过滤内容过滤本章小结本次课需了解Web漏洞和攻击方式。课后作业

1、教材P228课后作业：6、8、9第11章

远程访问安全基于终端的远程访问TELNETrloginX－WindowsTelnet：连接异种客户端和服务器23号端口一个字符一个数据包服务器验证用户命令行rlogin513端口号允许可信UNIX机器与其他可信UNIX机器进行无需用户验证或很少用户验证的连接支持验证：基于客户端IP地址、客户端用户名、服务器用户名命令行X－Windows(Linux)支持图形应用协议允许应用软件程序员产生与终端无关的图形用户界面GUI有限制性的主机验证的明文协议基于头部的攻击Telnet与rlogin无头部X－windows：缓冲区溢出基于验证的攻击Telnet协议不直接支持用户验证，不会遭到验证攻击，依赖远程计算机的验证机制。密码猜测：用户验证尝试失败几次后服务器关闭TCP连接双因子验证：用户名密码和智能卡rlogin（易受基于验证的攻击）攻击者盗用信任主机访问其他主机电子欺骗密码猜测攻击基于验证的攻击（续）X－Windows使用客户端IP地址验证入侵可信机器从而访问服务器基于流量的攻击telnet、rlogin、X－Windows均为明文嗅探攻击对策：加密，SSH，提供加密连接文件传输FTP（FileTransferProtocol）文件传输协议TFTP（TrivialFileTransferProtocol）轻量级文件传输协议RCP（RemoteCopyProtocol）远程复制协议FTP支持用户验证提供异种计算机之间有限的数据转换通用命令结构端口号：TCP20，21匿名FTP（Web浏览器）：服务器所有目录设为“只读”CuteFTP，CrossFTP，大众FTPTFTP简单文件传输协议／轻量级文件传输协议基于UDP端口号：69无需验证用于无盘工作站和网络设备服务器设置同匿名FTP，目录设置为只读RCP远程复制协议rlogin协议集的一部分不支持验证如果用户不值得信赖，不发生复制基于头部的攻击无效头部，协议产生错误缓冲区溢出漏洞已修补基于协议的攻击TFTP与RCP简单，漏洞少FTP漏洞多使用数据连接回避防火墙跳转攻击服务器最好不要打开数据链接到小于1024的TCP端口号跳转攻击一般需要攻击者首先上载一个报文到FTP服务器然后再下载到准备攻击的服务端口上。使用适当的文件保护措施就可以阻止这种情况发生。禁止使用PORT命令，防止当攻击者通过从远程FTP服务器发送一些能破坏某些服务的数据来攻击基于验证的攻击（最常见）FTP猜测密码（费时低效）扫描发现匿名FTP服务器盗用其他用户的用户名和密码TFTP和RCP无需验证基于流量的攻击FTP、TFTP、RCP均为明文协议嗅探攻击：加密