《网络安全与维护 复习资料课件》由会员分享,可在线阅读,更多相关《网络安全与维护 复习资料课件(246页珍藏版)》请在金锄头文库上搜索。
1、复习课,2020/7/20,The Information Science and Technology college,2,关于考试与复习,内容:教材 +幻灯片 形式:选择题、填空题、问答与应用题,2020/7/20,The Information Science and Technology college,3,教学内容,1、网络安全基础 2、网络安全威胁 3、身份认证 4、防火墙、IDS、VPN 5、网络通信安全-密码学,第1讲,绪论-信息安全概述,2020/7/20,The Information Science and Technology college,5,网络安全的六个方面:
2、机密性:信息不泄漏给非授权的用户、实体或者过程的特性 完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性 可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息 可认证性:对等实体认证和数据源点认证。 可核查性:对信息的传播及内容具有控制能力,访问控制即属于可控性 可靠性:系统可靠性,网络安全特性,2020/7/20,The Information Science and Technology college,6,基本威胁: 1、信息泄露 2、完整性破坏 3、拒绝服务 4、非法使用,2020/7/20,The Informati
3、on Science and Technology college,7,主要可实现的威胁: 1、渗入威胁:假冒、旁路控制、授权侵犯 2、植入类型威胁:Trojan horse、陷阱门,2020/7/20,The Information Science and Technology college,8,假冒:非授权实体假冒合法实体 旁路控制:利用系统常见特征发现推理系统的缺陷绕过安全防线。 授权侵犯:合法用户的越权访问。 Trojan: Trap door:,2020/7/20,The Information Science and Technology college,9,潜在的威胁,窃听 流
4、量分析 操作不慎 存储媒体导致信息泄露,2020/7/20,The Information Science and Technology college,10,2020/7/20,The Information Science and Technology college,11,攻击的分类,X.800以及RFC2828都对安全性攻击进行了分类: 1、被动攻击 2、主动攻击,2020/7/20,The Information Science and Technology college,12,被动攻击的特性在于对媒体中传输的信息进行窃听和监测,但不会对资源进行破坏。 信息泄露 流量分析,2020
5、/7/20,The Information Science and Technology college,13,主动攻击:对数据进行篡改或伪造数据流。 1、伪装攻击 2、重放攻击 3、消息篡改 4、拒绝服务,2020/7/20,The Information Science and Technology college,14,开放系统互联安全体系结构,开放系统互联安全体系结构模型-ISO7498-2(X.800) ISO7498-2安全框架提供了一种安全组织方法。 其定义了安全服务、安全机制及两者的关系以及相应的OSI各层的服务配置。,2020/7/20,The Information Sci
6、ence and Technology college,15,2020/7/20,The Information Science and Technology college,16,2020/7/20,The Information Science and Technology college,17,2020/7/20,The Information Science and Technology college,18,计算机网络基础-协议的安全性,2020/7/20,The Information Science and Technology college,20,主要内容,本讲在OSI体系结
7、构的基础上讨论不同层次的协议的安全性。 低层协议的安全 高层协议的安全,2020/7/20,The Information Science and Technology college,21,协议安全,协议的功能在于通信,其本身并有安全机制。,2020/7/20,The Information Science and Technology college,22,基本协议,各种应用层协议,网络接口层,(TELNET, FTP, SMTP 等),物理硬件,运输层,TCP, UDP,应用层,ICMP,IP,RARP,ARP,与各种网络接口,网际层,IGMP,2020/7/20,The Informa
8、tion Science and Technology college,23,IP包碎片攻击-为什么存在IP碎片,链路层具有最大传输单元MTU这个特性,它限制了数据帧的最大长度,不同的网络类型都有一个上限值 ,如果数据包的长度超过了MTU,那么IP层就要对数据包进行分片(fragmentation)操作,使每一片的长度都小于或等于MTU 。,2020/7/20,The Information Science and Technology college,24,IP包碎片攻击,1、TearDrop 攻击 工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及
9、在数据包中的位置等信息),某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。(利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部,这就是重叠现象。)的漏洞对系统主机发动拒绝服务攻击,最终导致主机菪掉;对于Windows系统会导致蓝屏死机,并显示STOP 0 x0000000A错误。),2020/7/20,The Information Science and Technology college,25,Jolt2,原理:发送大量相同的碎片化IP分组 分片标志位MF被置为0 偏移量为65
10、520 IP分组大小为29字节 IPID为1109(IDS检测特征 ) 防御: Windows系统必须安装最新的补丁 在网络边界上禁止碎片包通过,或者限制其包速率 必须确保防火墙重组碎片的算法没有问题 Win2K系统中,自定义IP安全策略,设置“碎片检查”。,计算总长度: 20+65520+9 = 65549 65535,2020/7/20,The Information Science and Technology college,26,jolt2,Jolt2通过发送大量相同的碎片化的IP数据包对目标机进行拒绝服务攻击。这种攻击使用相同的IP包碎片,当目标机试图处理这些非法的数据包时,系统就
11、会死锁,直到攻击者停止发送非法数据包,目标机才恢复正常。 观察Jolt2发送的数据包,可以发现分片标志位MF被置为0,说明是最后一个分片,偏移量为65520,IP分组大小为29字节,包括20字节的IP头和9个字节的净荷。按照这些数据可以计算整个数据包的长度应该为:20+65520+9= 65549 65535,就是说已经超出了IP数据包的最大长度。Jolt2发送的IP包的ID为1109,可以作为IDS检测的一个特征。,2020/7/20,The Information Science and Technology college,27,jolt2,Jolt2的影响相当大,通过不停的发送这个偏移
12、量很大的数据包,不仅死锁未打补丁的Windows系统(9x、NT4、2K和XP),同时也大大增加了网络流量。曾经有人利用jolt2模拟网络流量,测试IDS在高负载流量下的攻击检测效率,就是利用这个特性 防御:Windows系统必须安装最新的补丁,目前的Linux内核已经不受影响。 如果可能,在网络边界上禁止碎片包通过,或者限制每秒通过碎片包的数目。如果防火墙有重组碎片的功能,必须确保自身的算法没有问题,否则被DoS就会影响整个网络。 Win2K系统中,自定义IP安全策略,设置“碎片检查”。,2020/7/20,The Information Science and Technology col
13、lege,28,IP包碎片攻击,2、Jolt2 攻击,2020/7/20,The Information Science and Technology college,29,IP包碎片攻击,2、Jolt2 攻击 。,2020/7/20,The Information Science and Technology college,30,ARP协议,ARP发送一份称作ARP请求的以太网数据帧给以太网上的每个主机,这个过程称作广播。ARP请求数据帧中包含目的主机的IP地址,其意思是“如果你是这个IP地址的拥有者,请回答你的硬件地址。” 目的主机的ARP层收到这份广播后,识别出这是发送端在寻问它的IP
14、地址,于是发送一个ARP应答。这个ARP应答包含I P地址及对应的硬件地址。 收到ARP应答后,使ARP进行请求应答交换的IP数据包现在就可以传送了。 发送IP数据报到目的主机,2020/7/20,The Information Science and Technology college,31,ARP欺骗,2020/7/20,The Information Science and Technology college,32,ARP欺骗的危害,(1)攻击者可在2台正在通信的主机A,B之间充当中间人(man-in-the-middle),假冒主机B的IP地址,而MAC地址为攻击者的MAC地址来欺
15、骗主机A将数据发往攻击者的机器,并且攻击者可开启IP路由功能,将数据包再转发至主机B。同样,对主机B可实施类似的欺骗,因此,主机A,B之间的所有通信内容都被攻击者窃听。 (2)对主机A发送伪造的ARP应答报文,假冒主机B的IP地址,但MAC地址设为不存在的一个硬件地址,主机A接收此报文后错误地刷新ARP高速缓存中主机B的IP地址与MAC地址的映射关系,导致主机A与主机B的网络通信中断。这种方法属于拒绝服务(Denial of Service, DoS)攻击,,2020/7/20,The Information Science and Technology college,33,局域网ARP欺骗
16、的应对,如果用户发现以上疑似情况,可以通过如下操作进行诊断: 点击“开始”按钮-选择“运行”-输入“arp d”-点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。注:arp-d命令用于清除并重建本机arp表。arpd命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。 进一步使用杀毒软件查毒。,2020/7/20,The Information Science and Technology college,34,34,攻击防范,1。三层交换机上使用静态ARP表。 2。设置静态的mac-ip对应表,不要让主机刷新你设定好的转换表。 3。在本机上绑定ARP s IP Mac防止攻击。 4。在win2000下可以通过防火墙和IP策略拒绝接收ICMP报文。 5。可以使网卡驱动程序停止使用ARP,使用代理网关发送外出的通讯。,2020/7/20,The Information Science and Technology college,35,ICMP,为了提高 IP 数据报交付成功的机会,
