收藏
下载资源

网络安全基础培训=资料

上传人:第*** 文档编号:59410588 上传时间:2018-11-07 格式:PPT 页数:146 大小:2.31MB
返回 下载 相关 举报
网络安全基础培训=资料_第1页
第1页 / 共146页
网络安全基础培训=资料_第2页
第2页 / 共146页
网络安全基础培训=资料_第3页
第3页 / 共146页
网络安全基础培训=资料_第4页
第4页 / 共146页
网络安全基础培训=资料_第5页
第5页 / 共146页
点击查看更多>>
资源描述

《网络安全基础培训=资料》由会员分享,可在线阅读,更多相关《网络安全基础培训=资料(146页珍藏版)》请在金锄头文库上搜索。

1、网络安全基础,招聘选拔与人员体系,目 录,网络基础概念 网络基础 TCP/IP协议族脆弱性分析 常见网络设备及安全技术 路由器 交换机 防火墙 入侵检测 日志审计 AAAA认证 VLAN技术,招聘选拔与人员体系,什么是网络,网络就是一群通过一定形式连接起来的计算机。,互联网就是由多个局域网和广域网组成的网络。,网络的组成,计算机网络也是由硬件和软件构成的。 硬件系统包括 网络服务器 网络工作站 网络适配器 传输介质 其他网络硬件设备(交换机、路由器、防火墙、入侵检测系统等。) 软件系统包括 网络操作系统软件(windows、unix等系统) 网络通信协议(TCP/IP、IPX等) 网络工具软件

2、(网络浏览器、网络下载工具等) 网络应用软件(酒店管理系统、订单管理系统等),招聘选拔与人员体系,OSI七层模型,OSI七层模型,物理层(Physical Layer) 为上层协议提供了一个传输数据的物理媒体 数据的单位称为比特(bit) 典型代表:EIA/TIA RS-232、V.35、RJ-45等 数据链路层(Data Link Layer) 在不可靠的物理介质上提供可靠的传输。该层的作用包括:物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。 数据的单位称为帧(frame) 典型代表:SDLC、HDLC、PPP、STP、帧中继等 网络层(Network Layer) 负责对子网间的

3、数据包进行路由选择。此外,网络层还可以实现拥塞控制、网际互连等 数据的单位称为数据包(packet) 典型代表:IP、IPX、RIP、OSPF等,OSI七层模型,传输层(Transport Layer) 负责将上层数据分段并提供端到端的、可靠的或不可靠的传输,此外,传输层还要处理端到端的差错控制和流量控制问题 数据的单位称为数据段(segment) 典型代表:TCP、UDP等 会话层(Session Layer) 管理主机之间的会话进程,即负责建立、管理、终止进程之间的会话 典型代表:NETBIOS、ZIP(appletalk区域信息协议)等 表示层 对上层数据或信息进行变换以保证一个主机应用

4、层信息可以被另一个主机的应用程序理解 典型代表:ASCII、JPEG、MPEG等 应用层(Application Layer) 为操作系统或网络应用程序提供访问网络服务的接口 代表包括:telnet、ftp、http、snmp等,招聘选拔与人员体系,TCP/IP协议简介,TCP协议和IP协议指两个用在Internet上的网络协议(或数据传输的方法)。它们分别是传输控制协议和互连网协议。这两个协议属于众多的TCP/IP 协议组中的一部分。 TCP/IP协议组中的协议保证Internet上数据的传输,提供了几乎现在上网所用到的所有服务。这些服务包括:电子邮件的传输 文件传输 新闻组的发布 访问万维

5、网。 TCP/IP协议准确的说是一个协议组(协议集合),其中包含了TCP协议和IP协议及其他的一些协议。,目 录,网络基础概念 TCP/IP协议介绍 TCP/IP协议族脆弱性分析 常见网络设备及安全技术 路由器 交换机 防火墙 入侵检测 日志审计 AAAA认证 VLAN技术,招聘选拔与人员体系,TCP/IP脆弱性分析,1、协议族模型与格式 2、IP地址滥用与攻击 3、数据报分片与组装 4、基于ICMP的 欺骗 5、UDP协议脆弱分析 6、TCP协议脆弱分析,TCP/IP协议族模型,TCP/IP模型与OSI模型 七层 VS 四层 TCP/IP四层模型 网络接口层;(PPP、ARP) 互联层;(I

6、P、ICMP) 传输层;(TCP、UDP) 应用层;(HTTP,SNMP,FTP,SMTP,DNS,Telnet ),招聘选拔与人员体系,IP 数据报格式,数据封装与传送,所有 TCP, UDP, ICMP 数据通过IP数据包封装进行传输。 IP数据报的传输是不可靠的。 IP 网络是面向无连接的。,招聘选拔与人员体系,TCP/IP脆弱性分析,1、协议族模型与格式 2、IP地址滥用与攻击 3、数据报分片与组装 4、基于ICMP的 欺骗 5、UDP协议脆弱分析 6、TCP协议脆弱分析,IP地址划分,招聘选拔与人员体系,IP地址滥用,在同一个网段里,用户可以随意改变自己的IP地址;黑客可以利用工具构

7、建特殊的IP报,并指定IP地址。 IP伪装能做什么? DoS(主机、路由器) 伪装成信任主机 切断并接管连接 绕过防火墙 IP伪装给黑客带来的好处 获得访问权。 不留下踪迹。(synflooding工具),TCP/IP脆弱性分析,1、协议族模型与格式 2、IP地址滥用与攻击 3、数据报分片与组装 4、基于ICMP的 欺骗 5、UDP协议脆弱分析 6、TCP协议脆弱分析,数据报的分片与组装,数据报到达目的地时才会进行组装 需要组装在一起的数据分片具有同样的标志号 通过分片位移位标志数据分片在的数据报组装过程中的序列位置 除了最后的数据片,其他的数据片均会置“MF”位,receiving comp

8、uters fragment reassembly buffer,招聘选拔与人员体系,Ping o Death 攻击,攻击者,构建分片,目标,接收分片,重组分片,Internet,last frag is too large causing 16-bit variables to overflow,second frag: 4 bytes,当前包的段偏移在前一包数据内 计算出来的len竟变成了一个 负数,于是memcpy()最终将会把 大量的数据拷贝到内核中,offset,end,new offset,len = end - newoffset 0,memcpy( *dest, *src, l

9、en),unsigned int or unsigned long,TearDrop攻击,招聘选拔与人员体系,TCP/IP脆弱性分析,1、协议族模型与格式 2、IP地址滥用与攻击 3、数据报分片与组装 4、基于ICMP的 欺骗 5、UDP协议脆弱分析 6、TCP协议脆弱分析,ICMP 消息格式,example specific format: echo request/reply,ICMP(Internet Control Message Protocol),招聘选拔与人员体系,基于ICMP的欺骗,ICMP sweeps 原理:Ping命令在测试下一台主机时,先等待当前系统给出响应或超时;IC

10、MP Sweep技术在发送ICMP echo request时不等待。 工具: fping,gping,nmap, Pinger (Rhino 9);Ping Sweep(SolarWinds);WS_Ping ProPack(IPSwitch) 实例:(FakePing工具),基于ICMP的欺骗,Broadcast ICMP Smurf攻击,向网络的广播地址发送echo requset请求,将得到网络中所有主机的echo reply响应。 对策: 根据具体需要,可将边界路由器配置deny进入内网的ICMP echo request; 配置关键的UNIX系统不响应ICMP echo reque

11、st; 配置路由器不响应directed-broadcast;,招聘选拔与人员体系,Smurf 攻击,发送一个echo request 的广播包 源地址伪造成目标主机的地址,因为中间网络的众多机器都响应广播包, 目标主机会接收到大量的 echo replies,TCP/IP脆弱性分析,1、协议族模型与格式 2、IP地址滥用与攻击 3、数据报分片与组装 4、基于ICMP的 欺骗 5、UDP协议脆弱分析 6、TCP协议脆弱分析,招聘选拔与人员体系,UDP 协议,UDP 是不可靠的: 是指UDP协议不保证每个数据报都能到达希望的目的 端口号区分发送进程与接收进程 DNS、QQ、TFTP、SNMP,c

12、lient,server,port = 33987/udp,port = 53/udp,DNS,port = 7070/udp,port = 7070/udp,RealAudio,UDP 数据报格式,source port number,0,16,31,destination port number,UDP datagram length,UDP checksum,optional data,招聘选拔与人员体系,攻击者,目标,Network Congestion,UDP Flood攻击,(udpflooding工具),TCP/IP脆弱性分析,1、协议族模型与格式 2、IP地址滥用与攻击 3、数

13、据报分片与组装 4、基于ICMP的 欺骗 5、UDP协议脆弱分析 6、TCP协议脆弱分析,招聘选拔与人员体系,TCP 协议,TCP 提供一种可靠的、面向连接的服务: 在规定的时间内没有收到“收到确认”信息, TCP 将重发数据报。 每个TCP数据报都有唯一的 sequence number ,用于排序与重传。 与UDP一样,使用 port numbers 来区分收发进程 由标志位的组合指明TCP分组的功能,招聘选拔与人员体系,简单的TCP会话(三次握手),SYN,SYN - ACK,ACK,session proceeds,ACK set for remainder of session,客户

14、端与服务 器端都可以发 起关闭序列,正常用户登录,通过普通的网络连线,用户传送信息要求服务器予以确定, 服务器接收到客户请求后回复用户。 用户被确定后,就可登入服务器。,招聘选拔与人员体系,SYN 欺骗,用户传送众多要求确认的信息到服务器,使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址,(synflooding工具),SYN 欺骗,达到“拒绝服务”攻击的效果: 当服务器试图回传时,却无法找到用户。服务器于是暂时等候,有时超过一分钟,然后再切断连接。 服务器切断连接时,黑客再度传送新一批需要确认的信息,这个过程周而复始,最终导致服务器处于瘫痪状态。,招聘选拔与人员体系,SYN f

15、lood(洪水攻击),防御办法: 增加连接队列大小 缩短建立连接超时期限 应用厂家的相关软件补丁 应用网络IDS,目 录,网络基础概念 TCP/IP协议介绍 TCP/IP协议族脆弱性分析 常见网络设备及安全技术 路由器 交换机 防火墙 入侵检测 日志审计 AAAA认证 VLAN技术,招聘选拔与人员体系,路由器概要,路由器简介 路由器的优缺点 路由器分类 路由器的功能,路由器简介,路由器工作在OSI模型的第三层,即网络层 路由器利用网络层定义的“逻辑”上的网络地址(即IP地址)来区别不同的网络,实现网络的互连和隔离,保持各个网络的独立性 路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传

16、输路径,并将该数据有效地传送到目的站点,招聘选拔与人员体系,路由器的优点,优点: 适用于大规模的网络环境 适应复杂的网络拓扑结构 安全性高 子网隔离,抑制网络广播风暴,路由器的缺点,缺点: 不支持非路由协议 配置复杂 价格高,招聘选拔与人员体系,路由器的分类,按结构分类:模块化路由器和非模块化路由器 按功能分类:骨干级路由器、企业级路由器 接入级路由器 按网络位置分类:边界路由器和中间节点路由器,招聘选拔与人员体系,路由器设备,招聘选拔与人员体系,路由器的功能,网络互联 路由器支持各种局域网和广域网的接口,实现不同网络互相通信。 数据处理 提供包括分组过滤、分组转发、优先级、复用、加密、压缩和简单防火墙功能。 网络管理 路由器提供包括配置管理、性能管理、容错管理和流量控制等功能。,招聘选拔与人员体系,目 录,网络基础概念 TCP/IP协议介绍 TCP/IP协议族脆弱性分析 常见网络设备及安全技术 路由器 交换机 防火墙 入侵检测 日志审计 AAAA认证 VLA

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号