《计算机网络CH11网络安全课件》由会员分享,可在线阅读,更多相关《计算机网络CH11网络安全课件(89页珍藏版)》请在金锄头文库上搜索。
1、影响网络安全的因素影响网络安全的因素n网络操作系统的脆弱性网络操作系统的脆弱性nTCP/IP协议的安全性缺陷协议的安全性缺陷n数据库系统的安全缺陷数据库系统的安全缺陷n网络资源共享带来的风险网络资源共享带来的风险n数据通信风险数据通信风险n电脑病毒电脑病毒n安全管理漏洞安全管理漏洞1计算机网络CH11网络安全一、一、 信息加密信息加密n加密原理加密原理n传统密码体制传统密码体制nDES数据加密标准数据加密标准n公开密钥算法公开密钥算法n数字签名数字签名n报文鉴别报文鉴别2计算机网络CH11网络安全加密模型加密模型E E加密算法加密算法D D解密算法解密算法密钥源密钥源明文明文P P明文明文P
2、P密文密文C=EC=Ek k(P)(P)解密密钥解密密钥K K另一安全通道另一安全通道另一安全通道另一安全通道入侵者入侵者被动入侵者被动入侵者只能监听只能监听主动入侵者主动入侵者可以修改可以修改1. 1. 传统的数据加密模型传统的数据加密模型 3计算机网络CH11网络安全传统的数据加密模型说明传统的数据加密模型说明明文明文明文明文P P用加密算法用加密算法用加密算法用加密算法E E和加密密钥和加密密钥和加密密钥和加密密钥KK加密,得到密文加密,得到密文加密,得到密文加密,得到密文C=EC=EKK (P) (P)在传送过程中可能出现密文截取者在传送过程中可能出现密文截取者在传送过程中可能出现密文
3、截取者在传送过程中可能出现密文截取者到了接收端,利用解密算法到了接收端,利用解密算法到了接收端,利用解密算法到了接收端,利用解密算法D D和解密密钥和解密密钥和解密密钥和解密密钥KK,解出明文,解出明文,解出明文,解出明文为为为为D DKK(C) = D(C) = DKK(E(EKK(P) = P(P) = P截取者又称为攻击者,或入侵者截取者又称为攻击者,或入侵者截取者又称为攻击者,或入侵者截取者又称为攻击者,或入侵者在这里我们假定加密密钥和解密密钥都是一样的。但在这里我们假定加密密钥和解密密钥都是一样的。但在这里我们假定加密密钥和解密密钥都是一样的。但在这里我们假定加密密钥和解密密钥都是一
4、样的。但实际上它们可以是不一样的(即使不一样,这两个密实际上它们可以是不一样的(即使不一样,这两个密实际上它们可以是不一样的(即使不一样,这两个密实际上它们可以是不一样的(即使不一样,这两个密钥也必然有某种相关性)钥也必然有某种相关性)钥也必然有某种相关性)钥也必然有某种相关性)密钥通常是由一个密钥源提供。当密钥需要向远地传密钥通常是由一个密钥源提供。当密钥需要向远地传密钥通常是由一个密钥源提供。当密钥需要向远地传密钥通常是由一个密钥源提供。当密钥需要向远地传送时,一定要通过另一个安全信道送时,一定要通过另一个安全信道送时,一定要通过另一个安全信道送时,一定要通过另一个安全信道 4计算机网络C
5、H11网络安全1 1) 替换密码替换密码 凯撒密码凯撒密码a-D、b-E、 c-F、d-G、e-H s-V 、z-C 例如:例如: 明明 文:文:access control 可变为:可变为: DFFHVV FRQWURO 密钥为:移密钥为:移4位位 改进方案:允许移位改进方案:允许移位k位,位,k为密钥。解密要尝试为密钥。解密要尝试25种可种可能能 5计算机网络CH11网络安全 替换密码的再改进替换密码的再改进密码对照表密码对照表 a a b bc c d d e ef fg g h hi ij jk kl l mm n n o o p p q qr rs st tu u v v w w x
6、 xy yz zQ Q WW E E R R T T Y Y U U I I O O P P A A S S D D F F G G H H J JK K L L Z Z X X C C V V B B N N MM对照表中第二行的26个字母次序即为密钥。 解密要尝试26!种情况,假设1s试一种情况则需1013年 。但解密方法可用“分布式计算”或“用字频法”。 6计算机网络CH11网络安全2 2) 变位密码变位密码 每个码不变,但位置改变,最常用的是列变位加每个码不变,但位置改变,最常用的是列变位加密密例:例: 密钥为密钥为MEGABUCK 明文为:明文为:pleasetransferonem
7、illiondollarstomyswissbankaccountsixtwotwo密文为:密文为:AFLLSKSOSELAWAIATOOSSCTCLNMOMANTESILYNTWRNNTSOWDPAEDOBUOERIRICXB MME EG GA AB BU UC CK K7 74 45 51 12 28 83 36 6P Pl le ea as se et tr ra an ns sf fe er ro on ne emmi il ll li io on nd do ol ll la ar rs st to ommy ys sw wi is ss sb ba an nk ka ac cc
8、co ou un nt ts si ix xt tw wo ot tw wo oa ab bc cd d7计算机网络CH11网络安全 变换盒变换盒 P P盒:实现变位盒:实现变位乘积密码的基本元素方式:用电路改变输入线的方式:用电路改变输入线的输出排列。图中列出输出排列。图中列出8根线的根线的变位,如这变位,如这8位从上到下指定位从上到下指定为为01234567 则该则该P盒的输出为盒的输出为36071245 3 3) 乘法密码乘法密码 (a) P盒8计算机网络CH11网络安全 S S盒:实现替换盒:实现替换 乘积密码的基本元素(b) S盒按图中的替换,如果8个八进制数01234567一个接一
9、个地输入,那么输出序列将变为24506713。即2替换0,4替换1。注意n个比特的输入需要2n条交换线 解码解码3 8编码编码8 301100001234567012345673 88 301100001234567012345679计算机网络CH11网络安全 乘积密码乘积密码 将一串盒子连接起来,组成乘积密码将一串盒子连接起来,组成乘积密码 (c) 乘积P1S1S2S3S4P2S5S6S7S8P3S9S10S11S12P4乘积密码乘积密码P1S1S2S3S4P2S5S6S7S8P3S9S10S11S12P410计算机网络CH11网络安全2. DES2. DES数据加密数据加密 DES DES
10、(Data Encryption StandardData Encryption Standard)数据加密标准)数据加密标准 加密算法固定,根据不同的密钥产生不同的结加密算法固定,根据不同的密钥产生不同的结果果 明文按64比特块加密,生成64 bit的密文。此算法有一个56 bit的密钥作为参数(另加8 bit的奇偶位) 11计算机网络CH11网络安全3. IDEA 3. IDEA DES DES可采用穷举法解密。目前已设计出可在可采用穷举法解密。目前已设计出可在4 4小时内破译小时内破译DESDES的机器(的机器(7*10167*1016种密钥),因此种密钥),因此仍是不安全的仍是不安全的
11、 IDEA IDEA采用采用128128位密钥,对每位密钥,对每64bit64bit进行加密。加进行加密。加密过程是通过密过程是通过8 8次迭代。次迭代。12计算机网络CH11网络安全4. 4. 公开密钥算法公开密钥算法 uu密钥是成对产生的密钥是成对产生的 uu加密密钥不能用来解密加密密钥不能用来解密 uu D DSKSK ( E ( EPKPK ( P ) ) = P ( P ) ) = P 但但D DPKPK ( E ( EPKPK ( P ) ) ( P ) ) P P uu加密密钥和算法是公开的,解密密钥是保密的加密密钥和算法是公开的,解密密钥是保密的 uu从从PK(PK(加密密钥加
12、密密钥) )导出导出SK(SK(解密密钥解密密钥) )极其困难极其困难 13计算机网络CH11网络安全1 1) 公开密钥算法模型公开密钥算法模型uu公开密钥算法中公开密钥算法中RSARSA算法最有代表性算法最有代表性 uuRSARSA算法:基于数论算法:基于数论 E加密算法D解密算法密钥对产生源明文X明文X密文Y=EPk(X)解密密钥SK加密密钥PK发送者接收者E加密算法D解密算法密钥对产生源明文X明文X密文Y=EPk(X)解密密钥SK加密密钥PK发送者接收者14计算机网络CH11网络安全2 2) 密钥的选取密钥的选取 uu选择两个大质数,选择两个大质数,p p和和q q(典型地应大于(典型地
13、应大于1010100100) uu计算计算n = p * qn = p * q和和z =z =(p - 1p - 1)* *(q - 1q - 1) uu选择一个与选择一个与z z互质的数互质的数d , (d, n)d , (d, n)为解密密钥为解密密钥 uu找出找出e, e, 使使e * de * d(mod zmod z)= 1 (e,n)= 1 (e,n)为加密密钥为加密密钥 公开密钥为(e、n),私有密钥为(d、n)n为可编码的最大数 15计算机网络CH11网络安全5. 5. 数字签名数字签名 uu接收方能够验证发送方所宣称的身份 uu发送方以后不能否认报文是他发的 uu接收方不能伪
14、造该报文 数字签名的目的 16计算机网络CH11网络安全1 1) 采用秘密密钥的数字签名采用秘密密钥的数字签名 uu一个公认的信任机构一个公认的信任机构BBBB,负责给每个人分配密码,负责给每个人分配密码 uu传输时,也必须通过该信任机构。如传输时,也必须通过该信任机构。如A A发一消息给发一消息给B B,他必须先用自己的密钥加密后发给信任机构他必须先用自己的密钥加密后发给信任机构BBBB,信任,信任机构机构BBBB解密,然后重新用解密,然后重新用B B的密钥加密后发给的密钥加密后发给B B A,KA(B,RA,t,P)KB(A,RA,t,P,KBB(A,t,P)AliceBBBob明文信息时
15、间戳随机数RABob的名字Alice的密钥A,KA(B,RA,t,P)KB(A,RA,t,P,KBB(A,t,P)AliceBB时间戳R的名字Alice的密钥17计算机网络CH11网络安全2 2) 采用公开密钥的数字签名采用公开密钥的数字签名 uu秘密密钥加密的问题:需要有公认的信任机构。但秘密密钥加密的问题:需要有公认的信任机构。但事实上很难找到这样的机构事实上很难找到这样的机构 PAlice的私钥DABob的公钥EBPAlice的公钥EABob的私钥DBAlice的计算机Bob的计算机通信线路DA(P)DA(P)EB(DA(P)PAlice的私钥DABob的公钥EBPAlice的公钥EAB
16、ob的私钥DBAliceBob的计算机通信线路DA(P)DA(P)EB(DA(P)18计算机网络CH11网络安全6. 6. 加密技术应用加密技术应用u数据链路层加密u节点加密u端到端加密, 如:IPsec/SSL19计算机网络CH11网络安全1. 1. 计算机病毒的特性计算机病毒的特性uu计算机病毒的传染性计算机病毒的传染性uu计算机病毒的隐蔽性计算机病毒的隐蔽性 uu计算机病毒的潜伏性计算机病毒的潜伏性 uu计算机病毒的破坏性计算机病毒的破坏性 uu计算机病毒的针对性计算机病毒的针对性uu计算机病毒的衍生性(变种)计算机病毒的衍生性(变种) uu计算机病毒的寄生性计算机病毒的寄生性uu计算机
17、病毒的不可预见性计算机病毒的不可预见性二、二、 防范病毒防范病毒20计算机网络CH11网络安全2. 2. 病毒的征兆病毒的征兆uu键盘、打印、显示有异常现象键盘、打印、显示有异常现象uu运行速度突然减慢运行速度突然减慢uu计算机系统出现异常死机或死机频繁计算机系统出现异常死机或死机频繁uu文件的长度内容、属性、日期无故改变文件的长度内容、属性、日期无故改变uu丢失文件、丢失数据丢失文件、丢失数据uu系统引导过程变慢系统引导过程变慢uu系统有不明进程常驻系统有不明进程常驻uu无缘无故的网络连接、访问需求无缘无故的网络连接、访问需求21计算机网络CH11网络安全3. 3. 病毒的传播途径病毒的传播
18、途径/ /入侵渠道入侵渠道uu软盘启动、自动运行软盘启动、自动运行uu使用软盘、移动存储设备使用软盘、移动存储设备 uu电子邮件电子邮件uu网络连线网络连线 uu数据共享、文件传输数据共享、文件传输uu使用使用CD-ROMCD-ROMuu访问不良网站访问不良网站22计算机网络CH11网络安全4. 4. 传统电脑病毒种类传统电脑病毒种类uu开机感染型开机感染型硬盘分割区式:硬盘分割区式:STONE, STONE, 米开朗基罗,米开朗基罗,FISHFISH启动软盘式:启动软盘式:C-BRAINC-BRAIN,DISK-KILLERDISK-KILLERuu 文档感染型文档感染型 非常驻型非常驻型:
19、 VIENNA (: VIENNA (维也纳维也纳) ) 常驻型常驻型: : 黑色星期五黑色星期五/ /红色九月红色九月/ /石头病毒石头病毒uu 复合型病毒复合型病毒: Natas, MacGyver: Natas, MacGyver23计算机网络CH11网络安全5. 5. 新型病毒新型病毒uu 隐秘型病毒隐秘型病毒使用复杂编码加密技巧使用复杂编码加密技巧, ,每一代的代码都不同,无特每一代的代码都不同,无特征样本可循征样本可循 以拦截功能及显示假象资料以蒙蔽用户以拦截功能及显示假象资料以蒙蔽用户 不影响功能的情况下不影响功能的情况下, ,随机更换指令顺序随机更换指令顺序uu 电脑蠕虫电脑蠕
20、虫 是一个独立的程序是一个独立的程序, ,不会攻击其它程序,不附着其它不会攻击其它程序,不附着其它程序程序, ,不需要寄主不需要寄主 在系统中大量繁殖在系统中大量繁殖 部分种类蠕虫会在存储介质上游走部分种类蠕虫会在存储介质上游走, ,避免被其它程序避免被其它程序覆盖覆盖 典型案例:典型案例:Explorer.Zip.WormExplorer.Zip.Worm, Melissa Melissa24计算机网络CH11网络安全基于视窗的计算机病毒越来越多新计算机病毒种类不断涌现,数量急剧增加传播途径更多,传播速度更快计算机病毒造成的破坏日益严重电子邮件成为计算机传播的主要途径6. 病毒的新特点、新趋
21、势蠕虫病毒越来越多,宏病毒退而居其次蠕虫病毒越来越多,宏病毒退而居其次黑客程序与病毒的结合黑客程序与病毒的结合主动传播,基于网络的病毒越来越多主动传播,基于网络的病毒越来越多25计算机网络CH11网络安全7. 7. 常见病毒防治方法常见病毒防治方法1 1) 病毒代码过滤(特征代码法、指令特征法)病毒代码过滤(特征代码法、指令特征法) 根据病毒特征代码进行比对根据病毒特征代码进行比对 静态的分析方法静态的分析方法 可以准确指出病毒种类可以准确指出病毒种类 无法防御未知病毒无法防御未知病毒 需要在提取已知病毒代码时非常准确需要在提取已知病毒代码时非常准确26计算机网络CH11网络安全2 2) 功能
22、特征检测功能特征检测 动态的检测模式动态的检测模式 检查某一类别的非法操作检查某一类别的非法操作 不是检测某个特定病毒不是检测某个特定病毒, ,而是具有同种功能的而是具有同种功能的病毒病毒广谱识别:如果某些软件采用同种功能广谱识别:如果某些软件采用同种功能, ,会误报会误报27计算机网络CH11网络安全利用编码技术利用编码技术, ,将可执行段作特殊运算将可执行段作特殊运算, ,产生识产生识别码或检测值别码或检测值. .如果可执行段发生改变如果可执行段发生改变, ,只要计只要计算出的识别码与与记录值不同算出的识别码与与记录值不同, ,表示有中毒的表示有中毒的可能。可能。 不需要特征代码,不需要更
23、新版本或代码库,不需要特征代码,不需要更新版本或代码库,但清除病毒的唯一方法就是用备份文件覆盖原但清除病毒的唯一方法就是用备份文件覆盖原文件,源程序有任何改动需要更新记录,即重文件,源程序有任何改动需要更新记录,即重新生成识别码。新生成识别码。3) 加值总和法28计算机网络CH11网络安全利用编码技术利用编码技术, ,在可执行程序前添加一段自我检在可执行程序前添加一段自我检查程序,如果发现中毒,则主动修复。查程序,如果发现中毒,则主动修复。特点:不认病毒,无需经常更新,不用备份特点:不认病毒,无需经常更新,不用备份缺点:移植(加载)检查段前,必须确定无毒;缺点:移植(加载)检查段前,必须确定无
24、毒;增加可执行文件长度,减少可用空间,加长运行增加可执行文件长度,减少可用空间,加长运行时间时间4) 移植检查法29计算机网络CH11网络安全 将正常可执行段加以修改,植入病毒标志,使将正常可执行段加以修改,植入病毒标志,使病毒感染时误认为已经感染而放弃。早期防毒软病毒感染时误认为已经感染而放弃。早期防毒软件采用这种方法。件采用这种方法。 但目前病毒数目越来越多,且现代病毒根本但目前病毒数目越来越多,且现代病毒根本不检查感染标志不检查感染标志5) 疫苗程序30计算机网络CH11网络安全8. 网络防范病毒策略 网关、服务器级保护 客户端保护 全网防护31计算机网络CH11网络安全9. 9. 网络
25、防毒系统的要求网络防毒系统的要求管理方便管理方便安装方式多样安装方式多样真正基于网络(真正基于网络(Internet/IntranetInternet/Intranet)客户端操作简便、透明客户端操作简便、透明免维护免维护控制病毒源控制病毒源条件限制要少条件限制要少32计算机网络CH11网络安全10. 影响防毒效果的不良习惯 随意开放共享并且设置喂最大权限 系统补丁不及时更新 使用盗版软件 随意安装系统和软件 浏览一些不良的恶意网站 OICQ聊天 网络安全意识薄弱,不遵守安全规则33计算机网络CH11网络安全1. 1. 入侵检测系统的概念入侵检测系统的概念 入侵检测系统入侵检测系统IDSIDS
26、(Intrusion Detection SystemIntrusion Detection System)指)指的是一种硬件或者软件系统,该系统对系统资源的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。的非授权使用能够做出及时的判断、记录和报警。 三、 入侵检测34计算机网络CH11网络安全1 1)入侵检测系统的类型和性能比较)入侵检测系统的类型和性能比较 根据入侵检测的信息来源不同,可以将入侵检测系统根据入侵检测的信息来源不同,可以将入侵检测系统分为两类:基于主机的入侵检测系统和基于网络的入分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。侵检
27、测系统。pp 基于主机的入侵检测系统:主要用于保护运行基于主机的入侵检测系统:主要用于保护运行关键应用的服务器。它通过监视与分析土机的关键应用的服务器。它通过监视与分析土机的审计记录和日志文件:来检测入侵。日志中包审计记录和日志文件:来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据,含发生在系统上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响入侵或入侵企图,并很快地启动相应的应急响应程序。应程序。pp
28、基于网络的入侵检测系统:主要用于实时监控基于网络的入侵检测系统:主要用于实时监控网络关键路径的信息,它监听网络上的所有分网络关键路径的信息,它监听网络上的所有分组来采集数据,分析可疑现象。组来采集数据,分析可疑现象。35计算机网络CH11网络安全2 2)入侵检测的方法)入侵检测的方法 目前入侵检测方法有三种分类依据:目前入侵检测方法有三种分类依据:p1 1、根据物理位置进行分类。、根据物理位置进行分类。p2 2、根据建模方法进行分类。、根据建模方法进行分类。p3 3、根据时间分析进行分类。、根据时间分析进行分类。常用的方法有三种:常用的方法有三种:p静态配置分析静态配置分析p异常性检测方法异常
29、性检测方法p基于行为的检测方法。基于行为的检测方法。36计算机网络CH11网络安全(a a)静态配置分析)静态配置分析 静态配置分析通过检查系统的配置,诸如系静态配置分析通过检查系统的配置,诸如系统文件的内容,来检查系统是否已经或者可能统文件的内容,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征会遭到破坏。静态是指检查系统的静态特征(比如,系统配置信息)。(比如,系统配置信息)。 采用静态分析方法主要有以下几方面的原因:采用静态分析方法主要有以下几方面的原因:入侵者对系统攻击时可能会留下痕迹,可通过入侵者对系统攻击时可能会留下痕迹,可通过检查系统的状态检测出来。检查系统的状态
30、检测出来。37计算机网络CH11网络安全(b b)异常性检测方法)异常性检测方法 异常性检测技术是一种在不需要操作系统及其异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下,就可以检测入安全性缺陷的专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法。但是。在许多环境中,为用户侵者的有效方法。但是。在许多环境中,为用户建立正常行为模式的特征轮廓以及对用户活动的建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的异常性进行报警的门限值的确定都是比较困难的事。因为并不是所有
31、入侵者的行为都能够产生明事。因为并不是所有入侵者的行为都能够产生明显的异常性,所以在入侵检测系统中,仅使用异显的异常性,所以在入侵检测系统中,仅使用异常性检测技术不可能检测出所有的入侵行为。而常性检测技术不可能检测出所有的入侵行为。而且,有经验的入侵者还可以通过缓慢地改变他的且,有经验的入侵者还可以通过缓慢地改变他的行为,来改变入侵检测系统中的用户正常行为模行为,来改变入侵检测系统中的用户正常行为模式,使其入侵行为逐步变为合法,这样就可以避式,使其入侵行为逐步变为合法,这样就可以避开使用异常性检测技术的入侵检测系统的检测。开使用异常性检测技术的入侵检测系统的检测。38计算机网络CH11网络安全
32、(c c)基于行为的检测方法)基于行为的检测方法 基于行为的检测方法通过检测用户行为中的那基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则利用系统中缺陷或者是间接地违背系统安全规则的行为,来检测系统中的入侵活动。的行为,来检测系统中的入侵活动。基于入侵行为的入侵检测技术的优势:如果检基于入侵行为的入侵检测技术的优势:如果检测器的入侵特征模式库中包含一个已知入侵行为测器的入侵特征模式库中包含一个已知入侵行为的特征模式,就可以保证系统在受到这种入侵行的特征模式,就可以保证系统在受到
33、这种入侵行为攻击时能够把它检测出来。但是,目前主要是为攻击时能够把它检测出来。但是,目前主要是从已知的入侵行为以及已知的系统缺陷来提取入从已知的入侵行为以及已知的系统缺陷来提取入侵行为的特征模式,加入到检测器入侵行为特征侵行为的特征模式,加入到检测器入侵行为特征模式库中,来避免系统以后再遭受同样的入侵攻模式库中,来避免系统以后再遭受同样的入侵攻击。击。39计算机网络CH11网络安全3 3)入侵检测的步骤)入侵检测的步骤 入侵检测系统的作用是实时地监控计算机系统的入侵检测系统的作用是实时地监控计算机系统的活动,发现可疑的攻击行为,以避免攻击的发生,活动,发现可疑的攻击行为,以避免攻击的发生,或减
34、少攻击造成的危害。由此也划分了入侵检测或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤:的三个基本步骤:信息收集信息收集数据分析数据分析响应。响应。40计算机网络CH11网络安全(a a)信息收集)信息收集 入侵检测的第一步就是信息收集,收集的内容入侵检测的第一步就是信息收集,收集的内容包括整个计算机网络中系统、网络、数据及用户包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。活动的状态和行为。入侵检测在很大程度上依赖于收集信息的可靠入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。要确保采集、报告这些信性、正确性和完备性。要确保采集、报告这些信息的软件工具的可靠性
35、,这些软件本身应具有相息的软件工具的可靠性,这些软件本身应具有相当强的坚固性,能够防止被篡改而收集到错误的当强的坚固性,能够防止被篡改而收集到错误的信息。否则,黑客对系统的修改可能使入侵检测信息。否则,黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样。系统功能失常但看起来却跟正常的系统一样。41计算机网络CH11网络安全(b b)数据分析)数据分析 数据分析(数据分析(Analysis SchemesAnalysis Schemes)是入侵检测系)是入侵检测系统的核心,它的效率高低直接决定了整个入侵统的核心,它的效率高低直接决定了整个入侵检测系统的性能。根据数据分析的不同方
36、式可检测系统的性能。根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与误用入侵将入侵检测系统分为异常入侵检测与误用入侵检测两类。检测两类。42计算机网络CH11网络安全(c c)响应)响应 数据分析发现入侵迹象后,入侵检测系统的下一步数据分析发现入侵迹象后,入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应:目前的入侵检测系统一般采取下列响应: 将分析结果记录在日志文件中,并产生相应的将分析结果记录在日志文件中,并产生相应的报告。报告。 触发警报:如在系统管理员的桌面上产生一个触发警报:如在系
37、统管理员的桌面上产生一个告警标志位,向系统管理员发送传呼或电子邮件等告警标志位,向系统管理员发送传呼或电子邮件等等。等。 修改入侵检测系统或目标系统,如终止进程、修改入侵检测系统或目标系统,如终止进程、切断攻击者的网络连接,或更改防火墙配置等。切断攻击者的网络连接,或更改防火墙配置等。43计算机网络CH11网络安全2. 2. 黑客概述黑客概述 u 什么是黑客?什么是黑客?(Hacker(Hacker的音译的音译) )源于动词源于动词HackHack,其引申意义是指,其引申意义是指“ “干了干了一件非常漂亮的事一件非常漂亮的事” ”。就是指那些精通网络、系统、外设以及软就是指那些精通网络、系统、
38、外设以及软硬件技术的人。硬件技术的人。u 什么是骇客?什么是骇客? (CrackerCracker,破坏者),破坏者)就是运用自己的知识去做出有损他人权益就是运用自己的知识去做出有损他人权益的事情。的事情。44计算机网络CH11网络安全u目前将黑客的分成三类:目前将黑客的分成三类:第一类:破坏者;第一类:破坏者;第二类:红客;第二类:红客;第三类:间谍第三类:间谍45计算机网络CH11网络安全3. 3. 黑客的行为发展趋势黑客的行为发展趋势u手段高明化:黑客已经逐步形成了一个团体,手段高明化:黑客已经逐步形成了一个团体,利用网络进行交流和团体攻击,互相交流经验和利用网络进行交流和团体攻击,互相
39、交流经验和自己写的工具。自己写的工具。u活动频繁化:已经不再需要掌握大量的计算机活动频繁化:已经不再需要掌握大量的计算机和网路知识,学会使用几个黑客工具,就可以再和网路知识,学会使用几个黑客工具,就可以再互联网上进行攻击活动,黑客工具的大众化是黑互联网上进行攻击活动,黑客工具的大众化是黑客活动频繁的主要原因。客活动频繁的主要原因。u动机复杂化:黑客的动机目前已经不再局限于动机复杂化:黑客的动机目前已经不再局限于为了国家、金钱和刺激。为了国家、金钱和刺激。46计算机网络CH11网络安全4. 4. 黑客攻击五部曲黑客攻击五部曲1 1)隐藏)隐藏IPIP2 2)踩点扫描)踩点扫描3 3)获得系统或管
40、理员权限)获得系统或管理员权限4 4)种植后门)种植后门5 5)在网络中隐身)在网络中隐身47计算机网络CH11网络安全1 1)隐藏)隐藏IPIPu 通常有两种方法实现自己通常有两种方法实现自己IPIP的隐藏:的隐藏: 第一种方法是首先入侵互联网上的一台电脑第一种方法是首先入侵互联网上的一台电脑(俗称(俗称“ “肉鸡肉鸡” ”),利用这台电脑进行攻击,),利用这台电脑进行攻击,这样即使被发现了,也是这样即使被发现了,也是“ “肉鸡肉鸡” ”的的IPIP地址。地址。 第二种方式是做多极跳板第二种方式是做多极跳板“Sock“Sock代理代理” ”,这,这样在入侵的电脑上留下的是代理计算机的样在入侵
41、的电脑上留下的是代理计算机的IPIP地址。地址。 比如攻击A国的站点,一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”,这样跨国度的攻击,一般很难被侦破。48计算机网络CH11网络安全2 2)踩点扫描)踩点扫描u踩点就是通过各种途径对所要攻击的目标进行踩点就是通过各种途径对所要攻击的目标进行多方面的了解(包括任何可得到的蛛丝马迹,但多方面的了解(包括任何可得到的蛛丝马迹,但要确保信息的准确),确定攻击的时间和地点。要确保信息的准确),确定攻击的时间和地点。u扫描的目的是利用各种工具在攻击目标的扫描的目的是利用各种工具在攻击目标的IPIP地地址或地址段的主机上寻找漏洞。扫描分成两种策址或地
42、址段的主机上寻找漏洞。扫描分成两种策略:被动式策略和主动式策略。略:被动式策略和主动式策略。49计算机网络CH11网络安全u 常见的踩点方法包括:常见的踩点方法包括:在域名及其注册机构的查询在域名及其注册机构的查询公司性质的了解公司性质的了解对主页进行分析对主页进行分析邮件地址的搜集邮件地址的搜集目标目标IPIP地址范围查询。地址范围查询。u 踩点扫描中的扫描一般分成两种策略踩点扫描中的扫描一般分成两种策略: :一种是主动式策略一种是主动式策略另一种是被动式策略。另一种是被动式策略。50计算机网络CH11网络安全u 被动式策略就是基于主机之上,对系统中不被动式策略就是基于主机之上,对系统中不合
43、适的设置,脆弱的口令以及其他同安全规则抵合适的设置,脆弱的口令以及其他同安全规则抵触的对象进行检查。触的对象进行检查。u 主动式策略是基于网络的,它通过执行一些主动式策略是基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。的反应,从而发现其中的漏洞。扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查,目标可以是工作站、服务器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。51计算机网络CH11网络安全u扫描方式可以分为慢速扫描和乱序扫描。扫描方式可以分为慢速扫
44、描和乱序扫描。 慢速扫描:对非连续端口进行扫描,并且慢速扫描:对非连续端口进行扫描,并且源地址不一致、时间间隔长没有规律的扫描。源地址不一致、时间间隔长没有规律的扫描。 乱序扫描:对连续的端口进行扫描,源地乱序扫描:对连续的端口进行扫描,源地址一致,时间间隔短的扫描。址一致,时间间隔短的扫描。u 被动式策略是基于主机之上,对系统中不合适被动式策略是基于主机之上,对系统中不合适的设置,脆弱的口令以及其他同安全规则抵触的的设置,脆弱的口令以及其他同安全规则抵触的对象进行检查。对象进行检查。u 被动式扫描不会对系统造成破坏,而主动式扫被动式扫描不会对系统造成破坏,而主动式扫描对系统进行模拟攻击,可能
45、会对系统造成破坏。描对系统进行模拟攻击,可能会对系统造成破坏。 52计算机网络CH11网络安全u主动式扫描一般可以分成:主动式扫描一般可以分成:活动主机探测活动主机探测ICMPICMP查询查询网络网络PINGPING扫描扫描端口扫描端口扫描标识标识UDPUDP和和TCPTCP服务服务指定漏洞扫描指定漏洞扫描综合扫描综合扫描53计算机网络CH11网络安全u网络监听网络监听 网络监听的目的是截获通信的内容,监听的网络监听的目的是截获通信的内容,监听的手段是对协议进行分析。手段是对协议进行分析。 除了非常著名的监听软件除了非常著名的监听软件Sniffer ProSniffer Pro以外,还以外,还
46、有一些常用的监听软件:有一些常用的监听软件:l 嗅探经典嗅探经典IrisIrisl 密码监听工具密码监听工具Win SnifferWin Snifferl 密码监听工具密码监听工具pswmonitorpswmonitor和非交换环和非交换环境局域网的境局域网的fssnifferfssniffer等等u防止监听的手段是:使用交换网络、使用加密技术和使用一次性口令技术。54计算机网络CH11网络安全3 3)获得系统或管理员权限)获得系统或管理员权限u通过系统漏洞获得系统权限通过系统漏洞获得系统权限u通过管理漏洞获得管理员权限通过管理漏洞获得管理员权限u通过软件漏洞得到系统权限通过软件漏洞得到系统权
47、限u通过监听获得敏感信息进一步获得相应权限通过监听获得敏感信息进一步获得相应权限u通过弱口令获得远程管理员的用户密码通过弱口令获得远程管理员的用户密码u通过穷举法获得远程管理员的用户密码通过穷举法获得远程管理员的用户密码u通过攻破与目标机有信任关系另一台机器进而通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权得到目标机的控制权u通过欺骗获得权限以及其他有效的方法。通过欺骗获得权限以及其他有效的方法。55计算机网络CH11网络安全4 4)种植后门)种植后门 u为了保持长期对自己胜利果实的访问权为了保持长期对自己胜利果实的访问权, ,在已在已经攻破的计算机上种植一些供自己访问的后门。经攻
48、破的计算机上种植一些供自己访问的后门。5 5)在网络中隐身)在网络中隐身u一次成功入侵之后,一般在对方的计算机上已一次成功入侵之后,一般在对方的计算机上已经存储了相关的登录日志,这样就容易被管理员经存储了相关的登录日志,这样就容易被管理员发现。发现。u在入侵完毕后需要清除登录日志以及其他相关在入侵完毕后需要清除登录日志以及其他相关的日志。的日志。56计算机网络CH11网络安全5. 5. 木马木马u木马是一种可以驻留在对方系统中的一种程序。木马是一种可以驻留在对方系统中的一种程序。u木马一般由两部分组成:服务器端和客户端。木马一般由两部分组成:服务器端和客户端。u驻留在对方服务器的称之为木马的服
49、务器端,驻留在对方服务器的称之为木马的服务器端,远程的可以连到木马服务器的程序称之为客户端。远程的可以连到木马服务器的程序称之为客户端。u木马的功能是通过客户端可以操纵服务器,进木马的功能是通过客户端可以操纵服务器,进而操纵对方的主机。而操纵对方的主机。u 常见的简单得木马有常见的简单得木马有NetBusNetBus远程控制、远程控制、“ “冰冰河河” ”木马、木马、PCAnyWherePCAnyWhere远程控制等等。远程控制等等。57计算机网络CH11网络安全6. 6. 拒绝服务攻击拒绝服务攻击 u 拒绝服务攻击的简称是:拒绝服务攻击的简称是:DoSDoS(Denial of Denial
50、 of ServiceService)攻击,凡是造成目标计算机拒绝提供服)攻击,凡是造成目标计算机拒绝提供服务的攻击都称为务的攻击都称为DoSDoS攻击,其目的是使目标计算攻击,其目的是使目标计算机或网络无法提供正常的服务。机或网络无法提供正常的服务。u 最常见的最常见的DoSDoS攻击是:计算机网络带宽攻击和攻击是:计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网连通性攻击。带宽攻击是以极大的通信量冲击网络,使网络所有可用的带宽都被消耗掉,最后导络,使网络所有可用的带宽都被消耗掉,最后导致合法用户的请求无法通过。连通性攻击指用大致合法用户的请求无法通过。连通性攻击指用大量的连接
51、请求冲击计算机,最终导致计算机无法量的连接请求冲击计算机,最终导致计算机无法再处理合法用户的请求。再处理合法用户的请求。58计算机网络CH11网络安全四、 IPSec协议族1. IPSec体系结构59计算机网络CH11网络安全2. IPSec2. IPSec的工作模式的工作模式 u 传输模式传输模式u 隧道模式隧道模式受IPSec保护的IP包的两种模式60计算机网络CH11网络安全Windows中的IPSec协议结构 61计算机网络CH11网络安全3. 3. 第二层隧道协议第二层隧道协议使用L2TP的VPN连接 62计算机网络CH11网络安全图14-9IPSec体系结构 1. L2TP1. L
52、2TP的组成的组成2. L2TP2. L2TP的安全性的安全性3. L2TP3. L2TP和和PPTPPPTP的比较的比较4. 4. 证书管理证书管理5. L2TP/IPSec5. L2TP/IPSec安全安全 63计算机网络CH11网络安全1. 1. 防火墙的定义防火墙的定义在互联网上,防火墙是一种非常有效的网络安全在互联网上,防火墙是一种非常有效的网络安全系统,通过它可以隔离风险区域(系统,通过它可以隔离风险区域(InternetInternet或有一或有一定风险的网络)与安全区域(局域网)的连接,定风险的网络)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问。同时不会妨碍
53、安全区域对风险区域的访问。互联网防火墙内部网络五、五、 防火墙防火墙64计算机网络CH11网络安全2. 2. 防火墙的功能防火墙的功能 n n根据不同的需要,防火墙的功能有比较大差异,但是根据不同的需要,防火墙的功能有比较大差异,但是一般都包含以下三种基本功能。一般都包含以下三种基本功能。可以限制未授权的用户进入内部网络,过滤掉不安可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户全的服务和非法用户防止入侵者接近网络防御设施防止入侵者接近网络防御设施限制内部用户访问特殊站点限制内部用户访问特殊站点n n由于防火墙假设了网络边界和服务,因此适合于相对由于防火墙假设了网络边界和服务,因
54、此适合于相对独立的网络,例如独立的网络,例如IntranetIntranet等种类相对集中的网络。等种类相对集中的网络。InternetInternet上的上的WebWeb网站中,超过三分之一的站点都是有网站中,超过三分之一的站点都是有某种防火墙保护的,任何关键性的服务器,都应该放某种防火墙保护的,任何关键性的服务器,都应该放在防火墙之后。在防火墙之后。65计算机网络CH11网络安全3. 3. 防火墙的分类防火墙的分类 n n常见的放火墙有三种类型:常见的放火墙有三种类型:1 1)包过滤()包过滤(Packet FilteringPacket Filtering):作用在协议组的网络层和):作
55、用在协议组的网络层和传输层,根据分组包头源地址、目的地址和端口号、协传输层,根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃。的数据包则从数据流中丢弃。2 2)应用代理()应用代理(Application ProxyApplication Proxy):也叫应用网关):也叫应用网关(Application GatewayApplication Gateway),它作用在应用层,其特点是),
56、它作用在应用层,其特点是完全完全“ “阻隔阻隔” ”网络通信流,通过对每种应用服务编制专网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。实际中的应用网关通常由专用工作站实现。3 3)状态检测()状态检测(Status DetectionStatus Detection):直接对分组里的数据进):直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。决定是否允许该数据包通过。66计算机网络
57、CH11网络安全1 1) 包过滤防火墙包过滤防火墙n n数据包过滤可以在网络层截获数据。使用一数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。些规则来确定是否转发或丢弃所各个数据包。n n通常情况下,如果规则中没有明确允许指定通常情况下,如果规则中没有明确允许指定数据包的出入,那么数据包将被丢弃数据包的出入,那么数据包将被丢弃 67计算机网络CH11网络安全n n一个可靠的分组过滤防火墙依赖于规则集,表一个可靠的分组过滤防火墙依赖于规则集,表9-19-1列出了几条典型的规则集。列出了几条典型的规则集。n n第一条规则:主机第一条规则:主机10.1.1.110.1.
58、1.1任何端口访问任何主任何端口访问任何主机的任何端口,基于机的任何端口,基于TCPTCP协议的数据包都允许协议的数据包都允许通过。第二条规则:任何主机的通过。第二条规则:任何主机的2020端口访问主端口访问主机机10.1.1.110.1.1.1的任何端口,基于的任何端口,基于TCPTCP协议的数据包协议的数据包允许通过。第三条规则:任何主机的允许通过。第三条规则:任何主机的2020端口访端口访问主机问主机10.1.1.110.1.1.1小于小于10241024的端口,如果基于的端口,如果基于TCPTCP协议的数据包都禁止通过。协议的数据包都禁止通过。序号序号动作动作源源IPIP目的目的IPI
59、P源端口源端口目的端口目的端口协议类型协议类型1 1允许允许10.1.1.110.1.1.1* * * *TCPTCP2 2允许允许* *10.1.1.110.1.1.12020* *TCPTCP3 3禁止禁止* *10.1.1.110.1.1.1202010241024TCPTCP68计算机网络CH11网络安全2 2) 应用代理防火墙应用代理防火墙 n n应用代理(应用代理(Application ProxyApplication Proxy)是运行在防火墙上的一)是运行在防火墙上的一种服务器程序,防火墙主机可以是一个具有两个网络种服务器程序,防火墙主机可以是一个具有两个网络接口的双重宿主主
60、机,也可以是一个堡垒主机。代理接口的双重宿主主机,也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间,用于服务器被放置在内部服务器和外部服务器之间,用于转接内外主机之间的通信,它可以根据安全策略来决转接内外主机之间的通信,它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用定是否为用户进行代理服务。代理服务器运行在应用层,因此又被称为层,因此又被称为“ “应用网关应用网关” ”。69计算机网络CH11网络安全4. 4. 常见防火墙系统模型常见防火墙系统模型 n n常见防火墙系统一般按照四种模型构建:常见防火墙系统一般按照四种模型构建:筛选路由器模型筛选路由器模型
61、单宿主堡垒主机(屏蔽主机防火墙)模型单宿主堡垒主机(屏蔽主机防火墙)模型双宿主堡垒主机模型(屏蔽防火墙系统模双宿主堡垒主机模型(屏蔽防火墙系统模型)型)屏蔽子网模型。屏蔽子网模型。70计算机网络CH11网络安全1 1) 筛选路由器模型筛选路由器模型 筛选路由器模型是网络的第一道防线,功能是实筛选路由器模型是网络的第一道防线,功能是实施包过滤。创建相应的过滤策略时对工作人员的施包过滤。创建相应的过滤策略时对工作人员的TCP/IPTCP/IP的知识有相当的要求,如果筛选路由器被的知识有相当的要求,如果筛选路由器被黑客攻破那么内部网络将变的十分的危险。该防黑客攻破那么内部网络将变的十分的危险。该防火
62、墙不能够隐藏你的内部网络的信息、不具备监火墙不能够隐藏你的内部网络的信息、不具备监视和日志记录功能。视和日志记录功能。典型的筛选路由器模型71计算机网络CH11网络安全2 2)单宿主堡垒主机模型)单宿主堡垒主机模型 单宿主堡垒主机(屏蔽主机防火墙)模型由包过滤路由器单宿主堡垒主机(屏蔽主机防火墙)模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高,因为它实现了网络层安全(包过滤)和防火墙系统要高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。所以入侵者在破坏内部网络的应用层安全(代理服务)。所以入侵者
63、在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统。安全性之前,必须首先渗透两种不同的安全系统。单宿主堡垒主机的模型72计算机网络CH11网络安全3 3)双宿主堡垒主机模型)双宿主堡垒主机模型 双宿主堡垒主机模型(屏蔽防火墙系统)可以构双宿主堡垒主机模型(屏蔽防火墙系统)可以构造更加安全的防火墙系统。双宿主堡垒主机有两造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。往内部网络的信息经过堡垒主机。双
64、宿主堡垒主机模型73计算机网络CH11网络安全4 4)屏蔽子网模型)屏蔽子网模型屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一,因为在定义了它是最安全的防火墙系统之一,因为在定义了“ “中立中立区区”(DMZ”(DMZ,Demilitarized Zone)Demilitarized Zone)网络后,它支持网络层网络后,它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服和应用层安全功能。网络管理员将堡垒主机、信息服务器、务器、ModemModem组,以及其它公用服务器放在组,以及其它公用服务器放在DMZDMZ
65、网络网络中。如果黑客想突破该防火墙那么必须攻破以上三个中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。单独的设备。74计算机网络CH11网络安全5. 5. 创建防火墙的步骤创建防火墙的步骤 成功的创建一个防火墙系统一般需要六步:成功的创建一个防火墙系统一般需要六步:n n第一步:制定安全策略第一步:制定安全策略n n第二步:搭建安全体系结构第二步:搭建安全体系结构n n第三步:制定规则次序第三步:制定规则次序n n第四步:落实规则集第四步:落实规则集n n第五步:注意更换控制第五步:注意更换控制n n第六步:做好审计工作。第六步:做好审计工作。75计算机网络CH11网络安全ACLAC
66、L配置实例:配置实例:允许来自网络允许来自网络172.16.0.0172.16.0.0的通信的通信n naccess-list 1 permit 172.16.0.0 0.0.255.255access-list 1 permit 172.16.0.0 0.0.255.255n ninterface ethernet 0interface ethernet 0n nip access-group 1 outip access-group 1 outn ninterface ethernet 1interface ethernet 1n nip access-group 1 outip acce
67、ss-group 1 out76计算机网络CH11网络安全 6. 6. 防火墙的局限性防火墙的局限性 n n没有万能的网络安全技术,防火墙也不例外。没有万能的网络安全技术,防火墙也不例外。防火墙有以下三方面的局限:防火墙有以下三方面的局限:n n防火墙不能防范网络内部的攻击。比如:防火防火墙不能防范网络内部的攻击。比如:防火墙无法禁止变节者或内部间谍将敏感数据拷贝墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。到软盘上。n n防火墙也不能防范那些伪装成超级用户或诈称防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开新雇员的黑客们劝说没有防范心理的用户公开其口令,
68、并授予其临时的网络访问权限。其口令,并授予其临时的网络访问权限。n n防火墙不能防止传送己感染病毒的软件或文件,防火墙不能防止传送己感染病毒的软件或文件,不能期望防火墙去对每一个文件进行扫描,查不能期望防火墙去对每一个文件进行扫描,查出潜在的病毒。出潜在的病毒。77计算机网络CH11网络安全1 1)攻击包过滤防火墙的常用手段)攻击包过滤防火墙的常用手段nIP 欺骗攻击主要是修改数据包的源,目的地址和端口,模仿一些合法的数据包来骗过防火墙的检测。nd.o.s拒绝服务攻击 简单的包过滤防火墙不能跟踪 tcp的状态,很容易受到拒绝服务攻击,一旦防火墙受到d.o.s攻击,可能会忙于处理,而忘记了自己的
69、过滤功能。 78计算机网络CH11网络安全n分片攻击 在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有TCP端口号的信息。当IP分片包通过包过滤防火墙时,防火墙只根据第一个分片包的TCP信息判断是否允许通过,而后续的分片不作检测直接通过。 攻击者就可以通过先发送第一个合法的IP分片,骗过防火墙的检测,接着封装了恶意数据的后续分片包就可以直接穿透防火墙,直接到达内部网络主机。 79计算机网络CH11网络安全n木马攻击 对包过滤防火墙最有效的攻击,一但在内部网络安装了木马,防火墙基本上是无能为力的。 原因是包过滤防火墙一般只过滤低端口(1-1024),而
70、高端口不可能过滤的(因为一些服务要用到高端口,因此防火墙不能关闭高端口的),所以很多的木马都在高端口打开等待机会。80计算机网络CH11网络安全2 2)攻击状态检测防火墙的常用手段)攻击状态检测防火墙的常用手段n 协议隧道攻击 此攻击思想类似于VPN的实现原理,攻击者将一些恶意的攻击数据包隐藏在一些协议分组的头部,从而穿透防火墙系统对内部网络进行攻击。 如:允许ICMP回应请求、ICMP回应应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。n 利用FTP-pasv绕过防火墙认证的攻击 FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段
71、,攻击者利用这个特性,可以设法连接受防火墙保护的服务器和服务。81计算机网络CH11网络安全n 反弹木马攻击 反弹木马是对付状态检测防火墙的最有效的方法。 内部网络的反弹木马定时地连接外部攻击者控制的主机,由于连接是从内部发起的,防火墙(任何的防火墙)都认为是一个合法的连接。 防火墙无法区分木马的连接和合法的连接82计算机网络CH11网络安全六、六、 网络数据分析工具网络数据分析工具SnifferSniffern n 网络监听的目的是截获通信的内容,监听的手段网络监听的目的是截获通信的内容,监听的手段是对协议进行分析。是对协议进行分析。n n 监听器监听器SnifferSniffer的原理:在
72、局域网中与其他计算机的原理:在局域网中与其他计算机进行数据交换的时候,发送的数据包发往所有的连进行数据交换的时候,发送的数据包发往所有的连在一起的主机,也就是广播,在报头中包含目标机在一起的主机,也就是广播,在报头中包含目标机的正确地址。因此只有与数据包中目标地址一致的的正确地址。因此只有与数据包中目标地址一致的那台主机才会接收数据包,其他的机器都会将包丢那台主机才会接收数据包,其他的机器都会将包丢弃。但是,当主机工作在监听模式下时,无论接收弃。但是,当主机工作在监听模式下时,无论接收到的数据包中目标地址是什么,主机都将其接收下到的数据包中目标地址是什么,主机都将其接收下来。然后对数据包进行分
73、析,就得到了局域网中通来。然后对数据包进行分析,就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数信的数据。一台计算机可以监听同一网段所有的数据包,不能监听不同网段的计算机传输的信息。据包,不能监听不同网段的计算机传输的信息。83计算机网络CH11网络安全1. 1. 定义数据包类型定义数据包类型 n n进入进入SnifferSniffer主界面,抓包之前必须首先设置要抓取主界面,抓包之前必须首先设置要抓取数据包的类型。选择主菜单数据包的类型。选择主菜单CaptureCapture下的下的Define FilterDefine Filter菜单菜单84计算机网络CH11网络安全2.
74、2. 选择站点选择站点n n在抓包过滤器窗口中,在抓包过滤器窗口中,选择选择AddressAddress选项卡。选项卡。n n窗口中需要修改两个地方:在窗口中需要修改两个地方:在AddressAddress下拉列表下拉列表中,选择抓包的类型是中,选择抓包的类型是IPIP,在,在Station1Station1下面输入下面输入主机的主机的IPIP地址,主机的地址,主机的IPIP地址是地址是172.18.25.110172.18.25.110;在与之对应的在与之对应的Station2Station2下面输入虚拟机的下面输入虚拟机的IPIP地址,地址,虚拟机的虚拟机的IPIP地址是地址是172.18
75、.25.109172.18.25.109。85计算机网络CH11网络安全3. 3. 选择协议选择协议n n设置完毕后,点击该窗口的设置完毕后,点击该窗口的AdvancedAdvanced选项卡,拖动选项卡,拖动滚动条找到滚动条找到IPIP项,将项,将IPIP和和ICMPICMP选中。选中。86计算机网络CH11网络安全4. 4. 模拟网络流量模拟网络流量n n Sniffer Sniffer的过滤器设置完毕后,选择菜单栏的过滤器设置完毕后,选择菜单栏CaptureCapture下下StartStart菜单项,启动抓包以后,在主机的菜单项,启动抓包以后,在主机的DOSDOS窗口中窗口中使用使用PingPing程序发送数据包。程序发送数据包。87计算机网络CH11网络安全5. 5. 停止捕获并分析停止捕获并分析n n等等PingPing指令执行完毕后,点击工具栏上的停止并指令执行完毕后,点击工具栏上的停止并分析按钮。分析按钮。88计算机网络CH11网络安全6. 6. 对数据包解码分析对数据包解码分析n n在出现的窗口选择在出现的窗口选择DecodeDecode选项卡,可以看到数选项卡,可以看到数据包在两台计算机间的传递过程。据包在两台计算机间的传递过程。89计算机网络CH11网络安全
