數(shù)據(jù)通信與計(jì)算機(jī)網(wǎng)絡(luò)（第二版）課件：網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全11.1概述11.2常見(jiàn)的攻擊技術(shù)11.3數(shù)據(jù)加密11.4防火墻技術(shù)11.5入侵檢測(cè)系統(tǒng)11.1.1Internet安全隱患的主要體現(xiàn)黑客攻擊TCP/IP協(xié)議操作系統(tǒng)計(jì)算機(jī)病毒11.1.2網(wǎng)絡(luò)攻擊的一般步驟準(zhǔn)備工作實(shí)施攻擊開辟后門清除痕跡11.2.1掃描技術(shù)

網(wǎng)絡(luò)掃描技術(shù)是一種基于Internet遠(yuǎn)程檢測(cè)目標(biāo)網(wǎng)絡(luò)或本地主機(jī)安全性脆弱點(diǎn)的技術(shù)。掃描技術(shù)是一把雙刃劍。典型的掃描技術(shù)包括：PING掃描、操作系統(tǒng)探測(cè)、穿透防火墻探測(cè)、端口掃描、漏洞掃描等。11.2.1掃描技術(shù)1.端口掃描端口掃描，顧名思義，就是逐個(gè)對(duì)一段端口或指定的端口進(jìn)行掃描。端口掃描的原理：手動(dòng)或用程序自動(dòng)的向目標(biāo)主機(jī)的各個(gè)端口發(fā)送不同的探測(cè)數(shù)據(jù)包，目標(biāo)主機(jī)的端口狀態(tài)不同，對(duì)這些探測(cè)包的回應(yīng)包就有所不同，分析這些回應(yīng)包，就可得出遠(yuǎn)程主機(jī)的端口開放情況。11.2.1掃描技術(shù)1.端口掃描（1）全連接掃描全連接掃描指在掃描主機(jī)同目標(biāo)主機(jī)的目標(biāo)端口之間，經(jīng)過(guò)三次握手，建立起一個(gè)完整的TCP連接來(lái)判斷目標(biāo)端口是否開放的方法。常見(jiàn)的全連接掃描方法有TCPConnect()掃描、TCP反向ident掃描等。11.2.1掃描技術(shù)1.端口掃描（2）半連接掃描半連接掃描指端口掃描并沒(méi)有完成一個(gè)完整的TCP連接，而是在掃描主機(jī)和目標(biāo)主機(jī)建立此連接時(shí)，只完成三次握手的前兩次握手便中斷連接。例：TCPSYN掃描。11.2.1掃描技術(shù)1.端口掃描（3）秘密掃描秘密掃描是一種審計(jì)工具所檢測(cè)不到的掃描技術(shù)。常見(jiàn)的秘密掃描有：TCPFIN掃描、TCPACK掃描、NULL掃描、XMAS掃描、TCP分段掃描等。

11.2.1掃描技術(shù)2.漏洞掃描系統(tǒng)安全漏洞也叫系統(tǒng)脆弱性，簡(jiǎn)稱漏洞，是計(jì)算機(jī)系統(tǒng)在硬件、軟件、協(xié)議的設(shè)計(jì)和實(shí)現(xiàn)過(guò)程中或系統(tǒng)安全策略上存在的缺陷和不足。

11.2.1掃描技術(shù)2.漏洞掃描（1）基于漏洞庫(kù)的掃描：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在。11.2.1掃描技術(shù)2.漏洞掃描（2）基于模擬攻擊的掃描：通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等。若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。11.2.2網(wǎng)絡(luò)監(jiān)聽(tīng)網(wǎng)絡(luò)監(jiān)聽(tīng)也叫網(wǎng)絡(luò)嗅探，其英文名是Sniffing，即是一種捕獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包并進(jìn)行分析的行為。11.2.2網(wǎng)絡(luò)監(jiān)聽(tīng)一般而言，網(wǎng)絡(luò)監(jiān)聽(tīng)都是在局域網(wǎng)進(jìn)行的。按照信息交換方式的不同，局域網(wǎng)可分為共享式局域網(wǎng)和交換式局域網(wǎng)。11.2.2網(wǎng)絡(luò)監(jiān)聽(tīng)共享式局域網(wǎng)是指網(wǎng)絡(luò)中的所有節(jié)點(diǎn)共享網(wǎng)絡(luò)帶寬，最典型的是用集線器（HUB）連接的局域網(wǎng)。11.2.2網(wǎng)絡(luò)監(jiān)聽(tīng)交換式局域網(wǎng)，指采用了交換技術(shù)的網(wǎng)絡(luò)，最典型的是用交換機(jī)連接的局域網(wǎng)。11.2.2網(wǎng)絡(luò)監(jiān)聽(tīng)（1）MACFlooding

由于交換機(jī)工作時(shí)依據(jù)內(nèi)存中的端口映射表轉(zhuǎn)發(fā)數(shù)據(jù)包，而交換機(jī)本身的內(nèi)存容量是有限的，當(dāng)內(nèi)存耗盡時(shí)，一些交換機(jī)便會(huì)將數(shù)據(jù)包以廣播形式發(fā)送出去。所以，通過(guò)在局域網(wǎng)上發(fā)送大量虛假的MAC地址，以造成交換機(jī)的內(nèi)存耗盡，此時(shí)可以和監(jiān)聽(tīng)共享式網(wǎng)絡(luò)一樣進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)。11.2.2網(wǎng)絡(luò)監(jiān)聽(tīng)（2）ARP欺騙

ARP協(xié)議的作用是將IP地址映射到MAC地址，攻擊者通過(guò)向目標(biāo)主機(jī)發(fā)送偽造的ARP應(yīng)答包，騙取目標(biāo)系統(tǒng)更新ARP表，將目標(biāo)系統(tǒng)的網(wǎng)關(guān)的MAC地址修改為發(fā)起攻擊的主機(jī)MAC地址，使發(fā)給目標(biāo)主機(jī)的數(shù)據(jù)包都經(jīng)由攻擊者的主機(jī)。這樣，就可以在交換式網(wǎng)絡(luò)下監(jiān)聽(tīng)特定的目標(biāo)主機(jī)。11.2.3拒絕服務(wù)攻擊1.拒絕服務(wù)攻擊的原理網(wǎng)絡(luò)安全中，拒絕服務(wù)（DenialofService，簡(jiǎn)稱DoS）攻擊以其危害巨大，難以防御等特點(diǎn)成為黑客經(jīng)常采用的攻擊手段。DoS指系統(tǒng)崩潰或其帶寬耗盡或其存儲(chǔ)空間已滿，導(dǎo)致其不能提供正常服務(wù)的狀態(tài)。11.2.3拒絕服務(wù)攻擊1.拒絕服務(wù)攻擊的原理

DoS攻擊的基本過(guò)程為：首先攻擊者向目標(biāo)服務(wù)器發(fā)送眾多的帶有虛假地址的請(qǐng)求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請(qǐng)求的資源就始終沒(méi)有被釋放。當(dāng)服務(wù)器等待一定的時(shí)間后，連接會(huì)因超時(shí)而被切斷，攻擊者會(huì)再度傳送新的一批請(qǐng)求，在這種反復(fù)發(fā)送偽地址請(qǐng)求的情況下，服務(wù)器資源最終會(huì)被耗盡。11.2.3拒絕服務(wù)攻擊1.拒絕服務(wù)攻擊的原理分布式拒絕服務(wù)（DistributedDenialofService，簡(jiǎn)稱DDoS）攻擊，是一種DoS攻擊的特殊形式，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，象商業(yè)公司，搜索引擎和政府部門的站點(diǎn)。11.2.3拒絕服務(wù)攻擊1.拒絕服務(wù)攻擊的原理分布式拒絕服務(wù)（DistributedDenialofService，簡(jiǎn)稱DDoS）攻擊，是一種DoS攻擊的特殊形式，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，象商業(yè)公司，搜索引擎和政府部門的站點(diǎn)。11.2.3拒絕服務(wù)攻擊1.拒絕服務(wù)攻擊的原理

11.2.3拒絕服務(wù)攻擊2.典型拒絕服務(wù)攻擊方法（1）LAND攻擊（2）SYN洪水攻擊（3）UDP洪水攻擊（4）Fraggle攻擊（5）TearDrop（淚滴）攻擊（6）Ping-of-death（7）Smurf

11.3.1加密與解密11.3.2算法類型1.秘密鑰匙加密11.3.2算法類型2.公用鑰匙加密11.3.3Hash函數(shù)Hash函數(shù)又名信息摘要（MessageDigest）函數(shù)，可將一任意長(zhǎng)度的信息濃縮為較短的固定長(zhǎng)度的數(shù)據(jù)。其特點(diǎn)如下：濃縮結(jié)果與源信息密切相關(guān)，源信息每一微小變化，都會(huì)使?jié)饪s結(jié)果發(fā)生巨變。Hash函數(shù)所生成的映射關(guān)系是多對(duì)一關(guān)系，因此無(wú)法由濃縮結(jié)果推算出源信息。運(yùn)算效率較高。11.3.4數(shù)據(jù)完整性驗(yàn)證

完整性（Integrity）驗(yàn)證用于確認(rèn)數(shù)據(jù)經(jīng)長(zhǎng)途勞頓、長(zhǎng)期保存后是否仍然保持原樣，不曾改變。驗(yàn)證數(shù)據(jù)完整性的一般方法是用Hash函數(shù)對(duì)原數(shù)據(jù)進(jìn)行處理，產(chǎn)生一組長(zhǎng)度固定（例如32bit）的摘要值。需要驗(yàn)證時(shí)，便重新計(jì)算摘要值，再與原驗(yàn)證值進(jìn)行比對(duì)，以判別數(shù)據(jù)是否發(fā)生了變化。11.3.4數(shù)字簽名11.4.1防火墻技術(shù)概述11.4.1防火墻技術(shù)概述防火墻的主要功能如下：（1）過(guò)濾不安全服務(wù)和非法用戶，禁止未授權(quán)的用戶訪問(wèn)受保護(hù)網(wǎng)絡(luò)。（2）控制對(duì)特殊站點(diǎn)的訪問(wèn)。（3）提供監(jiān)視Internet安全和預(yù)警的端點(diǎn)。11.4.2防火墻類型1.網(wǎng)絡(luò)級(jí)防火墻網(wǎng)絡(luò)級(jí)防火墻也稱包過(guò)濾防火墻，通常由一部路由器或一部充當(dāng)路由器的計(jì)算機(jī)組成。

11.4.2防火墻類型2.應(yīng)用級(jí)防火墻

應(yīng)用級(jí)防火墻通常指運(yùn)行代理（Proxy）服務(wù)器軟件的一部計(jì)算機(jī)主機(jī)。

11.4.2防火墻類型3.電路級(jí)防火墻

電路級(jí)防火墻也稱電路層網(wǎng)關(guān)，是一個(gè)具有特殊功能的防火墻，它可以由應(yīng)用層網(wǎng)關(guān)來(lái)完成。電路層網(wǎng)關(guān)只依賴于TCP連接，并不進(jìn)行任何附加的包處理或過(guò)濾。11.4.2防火墻類型4.狀態(tài)監(jiān)測(cè)防火墻

與上述防火墻技術(shù)相比，狀態(tài)監(jiān)測(cè)防火墻是新一代的技術(shù)。11.4.3防火墻的結(jié)構(gòu)1.雙宿主機(jī)網(wǎng)關(guān)11.4.3防火墻的結(jié)構(gòu)2.屏蔽主機(jī)網(wǎng)關(guān)

11.4.3防火墻的結(jié)構(gòu)2.屏蔽主機(jī)網(wǎng)關(guān)

11.4.3防火墻的結(jié)構(gòu)3.屏蔽子網(wǎng)

11.5.1概述入侵檢測(cè)系統(tǒng)是探測(cè)計(jì)算機(jī)網(wǎng)絡(luò)攻擊行為的軟件或硬件。它作為防火墻的合理補(bǔ)充，可以幫助