第6章 Internet安全与管理.ppt

1、第1章第6章internet安全和管理10周，6.1网络安全和状态6.2常规网络攻击6.3信息安全的基本要求6.4 TCP/IP协议的安全缺陷6.5加密6.6网络防火墙结构和技术本章摘要，2，6.1网络安全和状态，网络安全确保网络系统的硬件、软件和数据持续稳定运行，不会被意外或恶意因素损坏、更改、泄漏网络作为信息通信手段是信息服务，因此网络安全内容关注信息自身的安全和信息通信手段网络系统的安全。不同的社会角色对网络安全的要求不同，网络安全的内容包括3、当前状态(1)、第一，网络安全仍然包括传统的计算机安全。但是，网络支持的计算机和操作系统种类很多，计算机安全的复杂性大大增加。其次，出现了大量网

2、络应用程序和协议，必须考虑这些应用程序和协议的安全问题。第三，随着国内外黑客和病毒领域的技术日新月异的发展，新的安全漏洞层出不穷，网络安全必须能够跟上新的黑客技术，保持网络安全。4、状态(2)、4、有些网络安全是相对的，有些网络安全产品的安全保证是提高网络安全水平的。并不是所有危及网络安全的事件都可以消除。第五，考虑到网络和系统经常动态变化，网络安全必须适应变化的环境。安全的焦点已经从传统的“点”安全(个人安全)转移到“点”安全(个人间通信安全)，发展到“面”安全(整个系统的安全)，最后发展到“三维”安全。也就是说，不仅考虑了保安的整体性，还考虑了保安系统本身的阶层。5，6.2典型网络攻击，典

3、型网络攻击：1包检测器包检测器是一种软件应用程序，使用混合模式工作以捕获在特定碰撞域中发送的所有网络包。某些网络应用程序将数据作为纯文本(如Telnet、FTP、SMTP、POP3)传输，因此包检测器可以捕获有意义的重要信息，如用户名和密码。6，典型网络攻击(继续1)，2IP电子欺骗IP电子欺骗攻击是由网络内外的黑客假装信任的计算机发起的攻击。这种攻击主要攻击在客户端和服务器应用程序之间传输的数据，或者将恶意数据和命令联接到点对点网络连接中传输的数据流，则路由器在传递消息时通常仅根据消息的目标地址检查路由表，而不考虑消息的源地址。这样，如果攻击者向目标计算机发布消息，并用第三方IP地址填充消息

4、的原始地址，则目标计算机可以在到达目标计算机时响应未知的第三方计算机。IP地址欺骗攻击、7、典型网络攻击(续2)、3拒绝服务(dos)dos是典型类型的攻击。这种攻击的目的是使网络无法正常使用。通常通过耗尽网络、操作系统或应用程序的有限资源来实现目的。4密码攻击密码攻击是获取用户帐户或密码的反复尝试。5中间人攻击(man-in-the-middle-attack)要求黑客能够访问通过网络传输的数据包，并能够访问在ISP网络和其他网络之间传输的所有网络数据包。如果能够中断成功登录用户的连接，并将IP地址伪造为连接到PIX的登录用户地址，则可以绕过防火墙身份验证成功建立会话连接。中间人攻击、8、常

5、见网络攻击(续3)、6应用程序层攻击(Application layer attack)可以利用应用程序的漏洞进行攻击。应用层攻击的基本问题是，防火墙的端口7网络侦察(Network connaissance)通常使用公共可用信息和应用程序收集尽可能多的信息以了解目标网络的信息。通常使用DNS祖怀、ping搜索和端口搜索。8“Trust Exploitation(信任部署)”是指利用网络上的某种信任关系开始攻击。即可从workspace页面中移除物件。如果防火墙外部的系统与防火墙内部的系统有信任关系，一旦外部系统被黑客侵入，黑客就可以利用信任关系从外部系统开始对内部网络的攻击。9、典型网络攻击

6、(继续4)、9端口重定向是一种信任利用攻击类型，它利用损坏的主机通过防火墙发送需要丢弃的数据包。例如，您有一个防火墙，它具有三个接口，每个接口连接了一个主机。外部接口中的主机可以访问位于公共服务网段(DMZ，demilitarized zone)中但不能访问内部接口的主机，而位于公共服务网段中的主机可以访问位于外部接口和内部接口中的主机。黑客侵入了公共服务网段的主机，在该主机上安装了应用程序，将数据流从外部接口的主机直接重定向到内部接口的主机。外部接口的主机可以访问内部接口的主机，而不违反防火墙的通过规则、10、常见网络攻击(续5)、10病毒和木马，以及蠕虫最终用户主机的主要安全弱点是病毒和木

7、马(Trojan Horse)和蠕虫(Worms)问题。病毒是在用户主机上执行某些不需要的操作的恶意程序。特洛伊木马和蠕虫不是严格的病毒，但它们不仅等同于病毒的危害性，而且通常病毒会一起对用户发起攻击。特洛伊程序通常由程序员编写，提供用户不想要的功能。这些附加功能往往会将计划的功能隐藏在公开的功能中，隐藏实际的尝试。蠕虫是可以从一台计算机传播到另一台计算机的程序或程序组。与病毒不同，不用修改宿主程序就可以传播。11，一般网络攻击(继续6)，11。Smurf攻击ICMP ECHO请求包用于在一台计算机收到此类消息时对ICMP ECHO REPLY响应消息的源地址。通常，计算机不会解析相应ECHO

8、请求的源地址，因此，如果恶意攻击者将ECHO的源地址设置为广播地址，则在计算机恢复REPLY时，必须以广播地址为目标处理本地网络中的所有计算机上的相应广播消息。攻击者发送足够的ECHO请求消息可能会将REPLY广播消息锁定到整个网络。这就是所谓的smurf攻击。12，典型网络攻击(继续7)，12。伪造电子邮件不验证邮件发件人的身份，因此黑客可以伪造客户知道和相信的人的电子邮件，还可以连接到可安装的木马程序或恶意站点。，13，黑客过程和阶段，Network IDS，Host IDS，14，6.3信息安全的基本要求，1。confidentiality机密性可以防止数据泄露，而流量分析2完整性可以防

9、止通信中的信息被修改、删除、重新排序、延迟和伪装3可控制性控制。换言之，信息资源的有效管理4可用性是不非法使用信息资源的。法律用户应易于使用，15(继续)，5不可拒绝性渡边杏发送、拒绝或接受信息的发送者、接收者或用户进行有效验证的消息。主要技术手段是数字签名。对于16，6.4 TCP/IP协议的安全缺陷，本节通过TCP/IP协议的安全缺陷6.4.1的TCP/IP协议数据流盗用明文传输，数据信息很容易在线窃听、篡改和伪造，特别是在使用FTP和telnet时，用户的帐号、密码以明文发送，这样攻击者就可以截获并攻击包含用户帐户和密码的数据包。6.4.2欺骗可以发生在物理层、数据链路层、IP层、传输层

10、和易于影响应用程序层的IP系统的任何层上。欺骗有17、欺骗(1)ARP欺骗等形式。地址解析协议(ARP)提供了在两种不同形式的地址网络层使用的32位IP地址与数据链路层使用的物理地址之间的映射关系。(2)IP地址欺骗(3)路由欺骗(4)路由信息协议(RIP)攻击(5)DNS欺骗(6)TCP序列号欺骗(7)TCP序列号欺骗(TCP)。SYN Flooding Attack)，简单地说，SYN攻击(8)欺骗可能性(Ease of spoofing)，18，6.4.3身份验证攻击，TCP/IP协议只能通过IP地址进行身份验证存储密码的文件可供最终用户读取，攻击者可以使用预攻击解密密码。19，6.5密

11、码学，6.5.1密码学的基本概念密码学是研究加密和解密转换的科学。通常通过网络发送和未更改的信息称为明文，通过密钥转换参数的过程称为加密，转换的信息称为密文，将密文转换为明文的过程称为解密。完成这两种转换的算法包括密码系统、20、密码学基本概念(续)、纯文本(Plaintext)是m或p、密码句(Ciphertext)是c、加密(Encrypt)函数e是m获取密码句c解密(Decrypt)函数d代替E (M)=C，其中C先加密m: d (c)=m，然后用于解密消息，以下等式必须成立：D (E (M)=M基于密钥的算法通常是对称密钥算法和非对称密钥算法、21，6.5.2对称密钥加密算法和对称算法

12、。密码密钥可以从解密密钥推断，反之亦然。在大多数对称算法中，添加/解密密钥是相同的。这种算法也称为秘密密钥算法或单密钥算法，要求发送方和接收方在进行安全通信之前同意一个密钥。加密和解密算法是公开的，因此对称密钥算法的安全性依赖于密钥，泄露密钥意味着任何人都可以添加/解密消息。对称密钥算法的加密和解密表明：EK(M)=C和DK(C)=M，22，对称密钥加密算法(续)，对称密钥算法可分为两类，仅适用于纯文本内的单个位(在某些情况下为字节)，称为序列算法或序列密码。另一种算法是对普通文本的一组位进行运算，这种位组称为分组，该算法称为分组算法或分组密码。现代计算机密码算法的典型包长度为64位，大小足以

13、防止分析解密，但足够小。常用的对称加密算法包括des、IDEA和23，1美国数据加密标准(des)，数据加密标准(DES)是组加密。组加密是对一定大小的明文或密文进行加密或解密。64位(8 byte)组加密数据，具有8位奇偶校验，有效密钥长度为56位。64位组中的纯文本在算法的一端输入，64位密文在另一端输出。DES是使用相同算法的对称算法。DES的安全性取决于使用的密钥。在DES加密系统中，每个加密或解密的组大小为64位，24，DES算法(继续1)，DES使用的加密或解密密钥(Key)大小也为64位，但8位作为奇偶校验，因此在64位中实际运行的只有56位。DES通过初始位移将纯文本组分为左右

14、两半。然后进行16个相同的运算，称为函数f，在运算过程中组合数据和键。经过16个回合后，左、右半边组合通过最终位移(初始位移的反向位移)，因此算法完成。在每一轮中，密钥都位移位，然后在56位中选择48位。通过扩展重新定位，将数据的右半部分扩展到48位，通过xor操作与48位密钥结合，通过8个s盒(实际上是编码函数)将48位替换为新的32位数据，然后再次替换。此四步操作构成了函数f，25，DES算法(继续2)，然后通过其他xor操作将函数f输出与左半结合起来，结果是新的右半部分，原来的右半部分是新的左半部分。重复此操作16次，可以进行DES的16轮操作。假设Bi是第I次迭代的结果，Li和Ri是B

15、i的左半部分和右半部分，ki是I轮的48位密钥，f是实现替换、替换和密钥突变或运算的函数，则每个回合的Li=ri=Li-1 () f (ri-1，Ki)，26，两个密钥使用K1和K2加密，E-D-E解密，如图6-1所示(1)使用密钥K1进行DES加密(2)使用步骤(1)结果作为K2进行DES加密(3)使用密钥K1进行步骤(2)结果进行DES加密，IDEA方法包括8个倒圆角的迭代操作以及最后的输出转换操作。64位纯文本分组在每个回合中处理4份，每个16位作为一个单元处理。每个倒圆角都有六个不同的子关键点。最后一次输出操作使用其他四个子关键点。在IDEA加密过程中使用了52个密钥。所有这些子密钥都由128位加密密钥生成。IDEA的解密方法和加密方法具有相同的结构。使用密文作为输入，可以逐步恢复纯文本组解密过程。与加密过程不同，不同之处在于子密钥生成方法、29、对称密码系统的缺陷、(1)需要私钥交换、(2)密钥管理规模复杂、(3)未知成员之间的通信困难、(30)6 . 5 . 3不对称密钥密码系统