《网络安全复习》由会员分享,可在线阅读,更多相关《网络安全复习(147页珍藏版)》请在金锄头文库上搜索。
1、信息保障的核心思想信息保障的核心思想是对系统或者数据的信息保障的核心思想是对系统或者数据的4个方面的要求:个方面的要求:PDRR保障体系保障体系 保护(保护(Protect)检测(检测(Detect)反应(反应(React)恢复(恢复(Restore)1PDRR保障体系n保护(保护(Protect) 指采用可能采取的手段保障信息的保密性、完整性、指采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。可用性、可控性和不可否认性。 密码技术、数字签名、报文摘要、安全协议、操作系密码技术、数字签名、报文摘要、安全协议、操作系统安全、数据库系统安全、访问控制等技术统安全、数据库系统
2、安全、访问控制等技术n检测(检测(Detect) 指提供工具检查系统可能存在的黑客攻击、白领犯罪指提供工具检查系统可能存在的黑客攻击、白领犯罪和病毒泛滥等脆弱性。和病毒泛滥等脆弱性。 病毒检测、漏洞扫描、入侵检测、身份鉴别等技术病毒检测、漏洞扫描、入侵检测、身份鉴别等技术2PDRR保障体系n反应(反应(React)指对危及安全的事件、行为、过程及时做出响应处理,指对危及安全的事件、行为、过程及时做出响应处理,杜绝危害的进一步蔓延扩大,力求系统尚能提供正常杜绝危害的进一步蔓延扩大,力求系统尚能提供正常服务。服务。 监视、关闭、切换、跟踪、报警、修改配置、联动阻监视、关闭、切换、跟踪、报警、修改配
3、置、联动阻断等技术断等技术n恢复(恢复(Restore)指一旦系统遭到破坏,尽快恢复系统功能,尽早提供指一旦系统遭到破坏,尽快恢复系统功能,尽早提供正常的服务。正常的服务。 备份、恢复。备份、恢复。3攻击技术o攻击技术主要包括五个方面:攻击技术主要包括五个方面:1、网络监听网络监听:不主动去攻击别人,在计算机上设置一个程序去监听不主动去攻击别人,在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。目标计算机与其他计算机通信的数据。2、网络扫描网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。现漏洞,为入
4、侵该计算机做准备。3、网络入侵网络入侵:当探测发现对方存在漏洞以后,入侵到目标计算机获当探测发现对方存在漏洞以后,入侵到目标计算机获取信息。取信息。4、网络后门网络后门:成功入侵目标计算机后,为了对成功入侵目标计算机后,为了对“战利品战利品”的长期控的长期控制,在目标计算机中种植木马等后门。制,在目标计算机中种植木马等后门。5、网络隐身网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。从而防止被对方管理员发现。如果不知道如何攻击,如果不知道如何攻击,如果不知道如何攻击,如果不知道如何攻击,再好的防守也是经不住考验
5、的。再好的防守也是经不住考验的。再好的防守也是经不住考验的。再好的防守也是经不住考验的。4防御技术o防御技术包括:防御技术包括:1.加密技术加密技术:为了防止被监听和盗取数据,将所有的数:为了防止被监听和盗取数据,将所有的数据进行加密。据进行加密。2.防火墙技术防火墙技术:利用防火墙,对传输的数据进行限制,:利用防火墙,对传输的数据进行限制,从而防止被入侵。从而防止被入侵。3.入侵检测入侵检测:如果网络防线最终被攻破了,需要及时发:如果网络防线最终被攻破了,需要及时发出被入侵的警报。出被入侵的警报。4.操作系统的安全配置操作系统的安全配置:操作系统的安全是整个网络安:操作系统的安全是整个网络安
6、全的关键。全的关键。5我国立法情况o目前网络安全方面的法规已经写入中华人民共和目前网络安全方面的法规已经写入中华人民共和国宪法。国宪法。n于于1982年年8月月23日写入中华人民共和国商标法日写入中华人民共和国商标法n于于1984年年3月月12日写入中华人民共和国专利法日写入中华人民共和国专利法n于于1988年年9月日写入中华人民共和国保守国家秘密月日写入中华人民共和国保守国家秘密法法n于于1993年年9月月2日写入中华人民共和国反不正当竞争法。日写入中华人民共和国反不正当竞争法。 6安全级别 类类别别级别级别名称名称主要特征主要特征DD低低级级保保护护没有安全保没有安全保护护CC1自主安全自
7、主安全保保护护自主存自主存储储控制控制C2受控存受控存储储控制控制单单独的可独的可查查性,安性,安全全标识标识BB1标识标识的安的安全保全保护护强强制存取控制,安制存取控制,安全全标识标识B2结结构化保构化保护护面向安全的体系面向安全的体系结结构,构,较较好的抗好的抗渗透能力渗透能力B3安全区域安全区域存取存取监监控、高抗渗控、高抗渗透能力透能力AA验证设计验证设计形式化的最高形式化的最高级级描描述和述和验证验证72.1 信息收集概述信息收集概述n信息收集的内容信息收集的内容n域名和域名和IP地址地址n操作系统类型操作系统类型n开放的端口与服务开放的端口与服务n应用程序类型应用程序类型n防火墙
8、、入侵检测等安全防范措施防火墙、入侵检测等安全防范措施n内部网络结构、域组织内部网络结构、域组织82.3.1 主机扫描主机扫描n利用利用ICMP进行主机扫描进行主机扫描nPingnPing使用使用ICMP协议进行工作协议进行工作92.3.2 端口扫描端口扫描n端口扫描端口扫描n原理原理n向目标主机的各个端口发送连接请求,根据返回的向目标主机的各个端口发送连接请求,根据返回的响应判断是否开放。响应判断是否开放。n端口是入侵的通道端口是入侵的通道n端口分为端口分为TCP端口与端口与UDP端口,端口扫描可分端口,端口扫描可分类为类为nTCP扫描扫描nUDP扫描扫描10基本扫描n用Socket开发TC
9、P应用服务器端客户端112.3.2 端口扫描端口扫描n基本的扫描方法即基本的扫描方法即TCP ConnectTCP Connect扫描扫描n优点优点n实现简单实现简单n可以用普通用户权限执行可以用普通用户权限执行n缺点缺点n容易被防火墙检测,也会目标应用所记录容易被防火墙检测,也会目标应用所记录122.1.1 可以利用的缺陷与漏洞可以利用的缺陷与漏洞n管理漏洞管理漏洞n目标系统信息的泄露目标系统信息的泄露n错误的配置信息错误的配置信息n未采用必要的防护系统未采用必要的防护系统n弱口令弱口令n系统漏洞系统漏洞n未更新补丁未更新补丁n设计缺陷设计缺陷n协议漏洞协议漏洞n身份验证协议以及网络传输协议
10、身份验证协议以及网络传输协议132.5 操作系统类型探测操作系统类型探测n识别目标操作系统的意义识别目标操作系统的意义n识别操作系统类型的方法识别操作系统类型的方法n针对专门的操作系统的漏洞针对专门的操作系统的漏洞n为社会工程法提供进一步的信息为社会工程法提供进一步的信息142.5.1 传统的操作系统探测方法传统的操作系统探测方法 n端口扫描结果分析端口扫描结果分析n操作系统往往提供一些自身特有的功能,而这操作系统往往提供一些自身特有的功能,而这些功能又很可能打开一些特定的端口些功能又很可能打开一些特定的端口nWINDOWS9X:137、139nWINDOWS2000/XP:135、139、4
11、45135LocationService137NetBIOSNameService(UDP)139NetBIOSPrintSharingn各种各种UNIX:512-514、2049152.5.1 传统的操作系统探测方法传统的操作系统探测方法n应用程序应用程序BANNERnBANNERn服务程序接收到客户端的正常连接后所给出的服务程序接收到客户端的正常连接后所给出的欢迎信息欢迎信息162.5.1 传统的操作系统探测方法传统的操作系统探测方法nMS FTPnServ-U for Windows172.5.2 TCP/IP协议栈指纹协议栈指纹nTCP/IP协议栈指纹协议栈指纹n不同的操作系统在实现不
12、同的操作系统在实现TCP/IP协议栈时都或多协议栈时都或多或少地存在着差异。而这些差异,我们就称之或少地存在着差异。而这些差异,我们就称之为为TCP/IPTCP/IP协议栈指纹协议栈指纹n不同的操作系统在实现不同的操作系统在实现TCP/IP协议栈的时候,并协议栈的时候,并不是完全按照不是完全按照RFC所定义的标准来实现的所定义的标准来实现的n在在RFC中也没有对所有的问题给予精确的定义中也没有对所有的问题给予精确的定义182.5.2 TCP/IP协议栈指纹协议栈指纹nFIN扫描扫描n对对FIN报文的回复报文的回复nTCP标准标准关闭的端口关闭的端口返回返回RST报文报文打开的端口打开的端口忽略
13、忽略nBSD操作系统操作系统与与TCP标准一致标准一致n其他操作系统其他操作系统均返回均返回RST报文报文192.5.2 TCP/IP协议栈指纹协议栈指纹nTCP/IP协议栈指纹协议栈指纹nTCP包头信息相关包头信息相关nFIN标志探测标志探测nBOGUS(伪造)标记位探测(伪造)标记位探测nTCPISN取样取样nTCP初始化初始化“窗口窗口”测试测试nACK标志测试标志测试TCP选项测试选项测试nIP/ICMP包信息相关包信息相关nICMP错误信息查询错误信息查询nICMP信息引用信息引用nICMP错误信息回显完整性错误信息回显完整性n服务类型(服务类型(TOS)和)和TTLn片段(碎片)处
14、理片段(碎片)处理20内容提要n本章将介绍目前常见的网络入侵手段:本章将介绍目前常见的网络入侵手段:n口令攻击口令攻击nARP欺骗欺骗nUnicode漏洞攻击漏洞攻击n缓冲区溢出缓冲区溢出n拒绝服务攻击拒绝服务攻击n假消息攻击假消息攻击n介绍流行的攻击工具的使用。介绍流行的攻击工具的使用。21相关概念n服务服务:系统提供的,用户所需要的功能。:系统提供的,用户所需要的功能。n拒绝服务拒绝服务:任何对服务的干涉,如果使其可用性降低:任何对服务的干涉,如果使其可用性降低或者失去可用性均称为拒绝服务。或者失去可用性均称为拒绝服务。n拒绝服务攻击拒绝服务攻击:是指攻击者通过某种手段,有意地造:是指攻击
15、者通过某种手段,有意地造成计算机或网络不能正常运转,从而不能向合法用户成计算机或网络不能正常运转,从而不能向合法用户提供所需要的服务或者使得服务质量降低。提供所需要的服务或者使得服务质量降低。22攻击运行原理攻击运行原理n个比较完善的个比较完善的DDoS攻击体系分成四大部分,攻击体系分成四大部分,黑客黑客控制傀儡机控制傀儡机攻击傀儡机攻击傀儡机受害者受害者n对受害者来说,对受害者来说,DDoS的实际攻击包是从攻击傀儡机上发出的,的实际攻击包是从攻击傀儡机上发出的,控制机只发布命令而不参与实际的攻击。控制机只发布命令而不参与实际的攻击。n对第对第2和第和第3部分计算机,黑客有控制权或者是部分的控
16、制权,并部分计算机,黑客有控制权或者是部分的控制权,并把相应的把相应的DDoS程序上传到这些平台上,这些程序与正常的程序程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。自己不被别人发现。n在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。起攻击了。23攻击运行原理攻击运行原理 DDoS攻击体
17、系结构攻击体系结构24攻击运行原理攻击运行原理25n按照攻击机制将拒绝服务攻击分为按照攻击机制将拒绝服务攻击分为3类类n第一类是第一类是风暴型(风暴型(FloodType)攻击)攻击,攻击者通过大量,攻击者通过大量的无用数据包(非正常用户的正常请求,这些数据包是的无用数据包(非正常用户的正常请求,这些数据包是旨在攻击受害者,由攻击者发出的或者由攻击主机响应旨在攻击受害者,由攻击者发出的或者由攻击主机响应攻击者的指令而发出的,因此有时也称之为攻击性数据攻击者的指令而发出的,因此有时也称之为攻击性数据包)包)占用过多的资源以达到拒绝服务的目的占用过多的资源以达到拒绝服务的目的。n这种攻击有时也称为
18、这种攻击有时也称为带宽攻击带宽攻击(BandwidthAttack),),原因是其常常占用大量的带宽,即使有时攻击的最终目原因是其常常占用大量的带宽,即使有时攻击的最终目的是占用系统资源,但在客观上也会占用大量带宽。的是占用系统资源,但在客观上也会占用大量带宽。攻击类型攻击类型26攻击类型攻击类型n在这类攻击中,攻击数据包可以是各种类型的(在这类攻击中,攻击数据包可以是各种类型的(TCP,IP,UDP,ICMP等),数据包中的数据也可以是多种多样等),数据包中的数据也可以是多种多样的,的,这些数据包与正常服务的数据包是难以区分这些数据包与正常服务的数据包是难以区分的。的。n风暴攻击的效果完全风
19、暴攻击的效果完全依赖于数据包的数量依赖于数据包的数量,仅当大量的,仅当大量的数据包传到目标系统(受害者)时,攻击方才有效。数据包传到目标系统(受害者)时,攻击方才有效。n分布式拒绝服务攻击表明,即使是拥有大量资源的网络分布式拒绝服务攻击表明,即使是拥有大量资源的网络在风暴型攻击下也难以幸免。在风暴型攻击下也难以幸免。27攻击类型攻击类型n第二类是第二类是毒包(毒包(KillerPacket)型攻击)型攻击,它主要是利用,它主要是利用协议本身或者其软件实现中的漏洞,通过一些非正常的协议本身或者其软件实现中的漏洞,通过一些非正常的(畸形的)数据包使得受害者系统在处理时出现异常,(畸形的)数据包使得
20、受害者系统在处理时出现异常,导致受害者系统崩溃。导致受害者系统崩溃。n由于这类攻击主要是利用协议或软件漏洞来达到攻击效由于这类攻击主要是利用协议或软件漏洞来达到攻击效果的,因此,有的也称这类攻击为果的,因此,有的也称这类攻击为漏洞攻击漏洞攻击,也有称之,也有称之为为协议攻击协议攻击的。的。28攻击类型攻击类型n由于这类攻击对攻击者的运算能力或带宽没有要求,由于这类攻击对攻击者的运算能力或带宽没有要求,一个通过一个通过Modem连接的低档的连接的低档的PC机就可以攻破一机就可以攻破一个具有高带宽的大型系统。因此,这类攻击也是一个具有高带宽的大型系统。因此,这类攻击也是一种种非对称非对称DoS攻击
21、攻击。n此类攻击一般可以通过打补丁或者在防火墙处过滤此类攻击一般可以通过打补丁或者在防火墙处过滤特定的畸形数据包达到对受害者的保护目的。特定的畸形数据包达到对受害者的保护目的。29攻击类型攻击类型n第三类攻击称为第三类攻击称为重定向攻击重定向攻击,它既不是利用剧毒包,它既不是利用剧毒包,也不是利用风暴来攻击受害者。它是通过也不是利用风暴来攻击受害者。它是通过修改网络中修改网络中的一些参数的一些参数如如ARP表、表、DNS缓存,使得从受害者发出缓存,使得从受害者发出的或者发向受害者的数据包被重定向到了其他的地方。的或者发向受害者的数据包被重定向到了其他的地方。n很多人不把它当成拒绝服务攻击。但如
22、果数据包被重很多人不把它当成拒绝服务攻击。但如果数据包被重定向到不存在的主机或者存在但不将数据包转发到其定向到不存在的主机或者存在但不将数据包转发到其真正目的地的主机,则构成实际的拒绝服务。真正目的地的主机,则构成实际的拒绝服务。30SYN Flood原理原理 nTCP连接的三次握手连接的三次握手 31SYN Flood原理原理nSynFlood攻击者不会完成三次握手攻击者不会完成三次握手 32SYN Flood原理原理n假设一个客户向服务器发送了假设一个客户向服务器发送了SYN报文段后突然掉线,那么服务报文段后突然掉线,那么服务器在发出器在发出SYN+ACK应答报文后是无法收到客户端的应答报
23、文后是无法收到客户端的ACK报文的报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度称为的连接,这段时间的长度称为SYNTimeout,一般来说这个时间,一般来说这个时间大约为大约为30秒秒-2分钟;分钟;n同时,对于每个连接,双方都要为这个连接分配必要的同时,对于每个连接,双方都要为这个连接分配必要的内存资源内存资源,用来存放所使用的协议,地址、端口、时钟以及初始序号等信息,用来存放所使用的协议,地
24、址、端口、时钟以及初始序号等信息,这些内存资源大约占用这些内存资源大约占用280字节。字节。33SYN Flood原理原理n当一个服务器收到大量连续的当一个服务器收到大量连续的SYN包时,就会为这些包时,就会为这些连接分配必要的内存资源,这些半连接将耗尽系统的连接分配必要的内存资源,这些半连接将耗尽系统的内存资源和内存资源和CPU时间,从而拒绝为合法的用户提供服时间,从而拒绝为合法的用户提供服务。务。n此时从正常客户的角度看来,服务器失去响应,这种此时从正常客户的角度看来,服务器失去响应,这种情况我们称做:服务器端受到了情况我们称做:服务器端受到了SYNFlood攻击攻击(SYN洪水攻击)。洪
25、水攻击)。34SYN Flood防护策略防护策略n优化系统配置优化系统配置n缩短超时时间缩短超时时间,使无效的半连接尽快释放,也可能导致某些,使无效的半连接尽快释放,也可能导致某些合法连接失败;合法连接失败;n增加半连接队列长度增加半连接队列长度,使系统能够处理更多的半连接;,使系统能够处理更多的半连接;n关闭不必要或不重要的服务关闭不必要或不重要的服务,减少被攻击的机会。,减少被攻击的机会。n优化路由器配置优化路由器配置n丢弃那些来自内网而源地址具有外网丢弃那些来自内网而源地址具有外网IP地址的包。地址的包。n加强监测加强监测n在网络的关键点上安装监测软件,持续监视在网络的关键点上安装监测软
26、件,持续监视TCP/IP流量,分流量,分析通信状态,辨别攻击行为。析通信状态,辨别攻击行为。35SYN Flood防护策略防护策略n防火墙防火墙n有些防火墙具有有些防火墙具有SYNProxy功能,这种方法设置每秒通过指定功能,这种方法设置每秒通过指定对象(目标地址和端口、仅目标地址或仅源地址)的对象(目标地址和端口、仅目标地址或仅源地址)的SYN片段片段数的数的阈值阈值,当来自相同源地址或发往相同目标地址的,当来自相同源地址或发往相同目标地址的SYN片段片段数达到这些阈值之一时,防火墙就开始截取连接请求和代理回数达到这些阈值之一时,防火墙就开始截取连接请求和代理回复复SYN/ACK片段,并将不
27、完全的连接请求存储到连接队列中直片段,并将不完全的连接请求存储到连接队列中直到连接完成或请求超时。到连接完成或请求超时。n当防火墙中代理连接的当防火墙中代理连接的队列被填满时,防火墙拒绝来自相同区队列被填满时,防火墙拒绝来自相同区域中所有地址的新域中所有地址的新SYN片段,片段,避免网络主机遭受不完整的三次避免网络主机遭受不完整的三次握手的攻击。握手的攻击。n这种方法在攻击流量较大的时候,连接出现较大的延迟,网络这种方法在攻击流量较大的时候,连接出现较大的延迟,网络的负载较高,很多情况下反而成为整个网络的瓶颈。的负载较高,很多情况下反而成为整个网络的瓶颈。36SYN Flood防护策略防护策略
28、n防护算法防护算法nSYNproxy算法:这种算法对所有的算法:这种算法对所有的SYN包均包均主动回应主动回应,探测发起探测发起SYN包的源包的源IP地址是否真实存在地址是否真实存在;如果该;如果该IP地地址真实存在,则该址真实存在,则该IP会回应防护设备的探测包,从而建会回应防护设备的探测包,从而建立立TCP连接;大多数的国内外抗拒绝服务产品采用此类连接;大多数的国内外抗拒绝服务产品采用此类算法。算法。nSafeReset算法:此算法对所有的算法:此算法对所有的SYN包均主动回应,包均主动回应,探测包特意构造错误的字段,真实存在的探测包特意构造错误的字段,真实存在的IP地址会发送地址会发送r
29、st包给防护设备,然后发起第包给防护设备,然后发起第2次连接,从而建立次连接,从而建立TCP连接;部分国外产品采用了这样的防护算法。连接;部分国外产品采用了这样的防护算法。37SYN Flood防护策略防护策略nSYN重传算法:该算法利用了重传算法:该算法利用了TCP/IP协议的重传特性,来协议的重传特性,来自某个源自某个源IP的第一个的第一个syn包到达时被直接丢弃并记录状态,包到达时被直接丢弃并记录状态,在该源在该源IP的第的第2个个syn包到达时进行验证,然后放行。包到达时进行验证,然后放行。n综合防护算法:结合了以上算法的优点,并引入了综合防护算法:结合了以上算法的优点,并引入了IP信
30、誉信誉机制。当来自某个源机制。当来自某个源IP的第一个的第一个syn包到达时,如果该包到达时,如果该IP的的信誉值较高,则采用信誉值较高,则采用synproxy算法;而对于信誉值较低算法;而对于信誉值较低的源的源IP,则基于协议栈行为模式,如果,则基于协议栈行为模式,如果syn包得到验证,则包得到验证,则对该连接进入对该连接进入synproxy校验,一旦该校验,一旦该IP的连接得到验证的连接得到验证则提高其信誉值。有些设备还采用了表结构来存放协议栈则提高其信誉值。有些设备还采用了表结构来存放协议栈行为模式特征值,大大减少了存储量。行为模式特征值,大大减少了存储量。38SYN Flood防护策略
31、防护策略n无论哪种防护策略都只针对一种特定的攻击,不能针无论哪种防护策略都只针对一种特定的攻击,不能针对各类攻击。对各类攻击。n无论哪种防护策略单独使用收效都不会理想,必须无论哪种防护策略单独使用收效都不会理想,必须配配合使用合使用。n无论哪种防护策略都必须根据攻击的不断变化而无论哪种防护策略都必须根据攻击的不断变化而不断不断发展发展,才能起效。,才能起效。n上述三点对其他类型的攻击同样适用。上述三点对其他类型的攻击同样适用。39攻击实例攻击实例3- Smurf攻击攻击n这种攻击方法结合使用了这种攻击方法结合使用了IP欺骗和欺骗和ICMP回复方法使大回复方法使大量网络传输充斥目标系统,引起目标
32、系统拒绝为正常量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。系统进行服务。nSmurf攻击通过使用将回复地址设置成受害网络的广攻击通过使用将回复地址设置成受害网络的广播地址的播地址的ICMP应答请求应答请求(ping)数据包,来淹没受害主数据包,来淹没受害主机,最终导致该网络的所有主机都对此机,最终导致该网络的所有主机都对此ICMP应答请求应答请求做出答复,导致网络阻塞。做出答复,导致网络阻塞。n更加复杂的更加复杂的Smurf将源地址改为第三方的受害者,最将源地址改为第三方的受害者,最终导致第三方崩溃。终导致第三方崩溃。40Smurf攻击攻击攻击通常分为以下五步:攻击通常分为以下
33、五步:n黑客锁定一个被攻击的主机(通常是一些黑客锁定一个被攻击的主机(通常是一些Web服务器);服务器);n黑客寻找中间代理(路由器),用来对攻击实施放大;黑客寻找中间代理(路由器),用来对攻击实施放大;n黑客给中间代理站点的广播地址发送大量的黑客给中间代理站点的广播地址发送大量的ICMP包(主要是包(主要是指指Ping命令的命令的ECHO包)。这些数据包全都包)。这些数据包全都以被攻击的主机以被攻击的主机的的IP地址做为地址做为IP包的源地址包的源地址;n中间代理向其所在的子网上的所有主机发送源中间代理向其所在的子网上的所有主机发送源IP地址欺骗的地址欺骗的数据包;数据包;n中间代理子网主机
34、对被攻击的网络进行响应。中间代理子网主机对被攻击的网络进行响应。41攻击实例攻击实例- Smurf攻击攻击42分析和对抗n首先,防止让你的网络里的人发起这样的攻击。首先,防止让你的网络里的人发起这样的攻击。n在在Smurf攻击中,大量源欺骗的攻击中,大量源欺骗的IP数据包离开了第一个网络。数据包离开了第一个网络。n通过在通过在路由器上使用输出过滤路由器上使用输出过滤,滤掉这样的包,从而阻止从,滤掉这样的包,从而阻止从你的网络中发起的你的网络中发起的Smurf攻击攻击。n其次,防止你的网络做为中间代理。其次,防止你的网络做为中间代理。n如果没有必须要发送广播数据包的情况,就可以在路由器的如果没有
35、必须要发送广播数据包的情况,就可以在路由器的每个接口上设置每个接口上设置禁止直接广播禁止直接广播;n配置主机的操作系统,使其不响应配置主机的操作系统,使其不响应ICMP广播包。广播包。43攻击实例攻击实例6 - UDP DNS Query Flood攻击攻击 nUDPDNSQueryFlood攻击实质上是攻击实质上是UDPFlood的一种,但是的一种,但是由于由于DNS服务器的不可替代的关键作用,一旦服务器瘫痪,影响服务器的不可替代的关键作用,一旦服务器瘫痪,影响一般都很大。一般都很大。n攻击采用的方法攻击采用的方法:向被攻击的服务器发送大量的域名解析请求,:向被攻击的服务器发送大量的域名解析
36、请求,通常请求解析的域名是通常请求解析的域名是随机生成随机生成或者是网络世界上或者是网络世界上根本不存在根本不存在的的域名;域名;n被攻击的被攻击的DNS服务器在接收到域名解析请求的时候首先会在服务服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析的时候,由服务器解析的时候,DNS服务器会向其上层服务器会向其上层DNS服务器递归查服务器递归查询域名信息。询域名信息。44UDP DNS Query Flood攻击攻击n域名解析的过程给服务器带来了很大的负载,每秒钟域名解析的过程给
37、服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成域名解析请求超过一定的数量就会造成DNS服务器解服务器解析域名超时。析域名超时。n根据微软的统计数据,一台根据微软的统计数据,一台DNS服务器所能承受的动服务器所能承受的动态域名查询的上限是态域名查询的上限是每秒钟每秒钟9000个请求个请求。而在一台普。而在一台普通的通的PC机上可以轻易地构造出每秒钟几万个域名解析机上可以轻易地构造出每秒钟几万个域名解析请求,足以使一台硬件配置极高的请求,足以使一台硬件配置极高的DNS服务器瘫痪,服务器瘫痪,由此可见由此可见DNS服务器的脆弱性。服务器的脆弱性。45UDP DNS Query Fl
38、ood防护n在在UDPFlood的基础上对的基础上对UDPDNSQueryFlood攻击进行防护;攻击进行防护;n根据域名根据域名IP自学习结果主动回应,减轻服务器负载自学习结果主动回应,减轻服务器负载(使用(使用DNSCache););n对突然发起大量频度较低的域名解析请求的源对突然发起大量频度较低的域名解析请求的源IP地地址进行带宽限制,在攻击发生时降低很少发起域名解址进行带宽限制,在攻击发生时降低很少发起域名解析请求的源析请求的源IP地址的优先级;地址的优先级;n限制每个源限制每个源IP地址每秒的域名解析请求次数。地址每秒的域名解析请求次数。46毒包型攻击毒包型攻击1.Teardrop攻
39、击攻击2.小片段攻击小片段攻击3.重叠分片攻击重叠分片攻击4.重组攻击重组攻击5.Land攻击攻击47攻击实例攻击实例- Teardrop攻击攻击nTeardrop本是一段用于拒绝服务攻击的程序名,本是一段用于拒绝服务攻击的程序名,该程序利用该程序利用Windows和低版本和低版本Linux中处理中处理IP分片的漏洞,向受害者发送偏移地址重叠的分片的漏洞,向受害者发送偏移地址重叠的UDP数据包分片,使得目标机器在将分片重组数据包分片,使得目标机器在将分片重组时出现异常错误,导致目标系统崩溃或重启。时出现异常错误,导致目标系统崩溃或重启。48攻击实例攻击实例7 - Teardrop攻击攻击nTe
40、ardrop攻击原理攻击原理n当数据在不同的网络介质之间传输时,由于不同的当数据在不同的网络介质之间传输时,由于不同的网络介质和协议允许传输的数据包的最大长度网络介质和协议允许传输的数据包的最大长度即最大传输单元(即最大传输单元(MTU)可能是不同的,为了确保)可能是不同的,为了确保数据包顺利到达目的地,分片功能是必需的。数据包顺利到达目的地,分片功能是必需的。n当一个数据包传输到了一个网络环境中,如果该网当一个数据包传输到了一个网络环境中,如果该网络环境的络环境的MTU小于数据包的长度,则该数据包需要小于数据包的长度,则该数据包需要分片才能通过该网络。分片才能通过该网络。49Teardrop
41、攻击攻击n为了使得同一数据包的分片能够在其目的端顺为了使得同一数据包的分片能够在其目的端顺利重组,每个分片必须遵从如下规则:利重组,每个分片必须遵从如下规则:n同一数据包的所有片段的标识号必须相同。同一数据包的所有片段的标识号必须相同。n每个片段必须指明其在原未分段的数据包中的位置每个片段必须指明其在原未分段的数据包中的位置(也称偏移)。(也称偏移)。n每个片段必须指明其数据的长度。每个片段必须指明其数据的长度。n每个片段必须说明其是否是最后一个片段,即其后每个片段必须说明其是否是最后一个片段,即其后是否还有其他的片段。是否还有其他的片段。50Teardrop攻击攻击n假设原始假设原始IP包有
42、包有150字节数据(不含字节数据(不含IP头),该数据包可以被分成头),该数据包可以被分成两块,前一块有两块,前一块有120字节,偏移为字节,偏移为0;后一块有;后一块有30字节,偏移应该字节,偏移应该为为120。n当接收方收到数据长为当接收方收到数据长为120的第一个分片数据包以后,如果收到的第一个分片数据包以后,如果收到第二个数据长度为第二个数据长度为30、偏移为、偏移为120的分片时,其将第二个数据包的分片时,其将第二个数据包的数据长度和偏移加起来,作为第一、二两个分片的总长度(这的数据长度和偏移加起来,作为第一、二两个分片的总长度(这里是里是150)。)。n由于已经拷贝了第一个分片的由
43、于已经拷贝了第一个分片的120字节,因此,系统从第二个分字节,因此,系统从第二个分片中拷贝片中拷贝150-120=30字节数据到为重组开设的缓冲区中。这样,字节数据到为重组开设的缓冲区中。这样,一切正常,没有错误发生。一切正常,没有错误发生。51Teardrop攻击攻击n如果攻击者刻意修改第二个分片数据包,使得数据长度为如果攻击者刻意修改第二个分片数据包,使得数据长度为30、偏移、偏移却为却为80,则结果就不一样了。,则结果就不一样了。n在收到第一个分片后,如果接收者收到第二个偏移在收到第一个分片后,如果接收者收到第二个偏移80、数据长度、数据长度30的分片时,系统计算的分片时,系统计算80+
44、30=110作为两个分片的总长度,为了确定作为两个分片的总长度,为了确定应该从第二个分片中拷贝多少字节,系统需要用总长度应该从第二个分片中拷贝多少字节,系统需要用总长度110减去第减去第一个分片中已拷贝的一个分片中已拷贝的120字节,结果得到字节,结果得到-10字节。字节。n由于系统采用的是无符号整数,则由于系统采用的是无符号整数,则-10相当于一个很大的整数,这相当于一个很大的整数,这时候系统处理出现异常。根据系统不同,出现的异常情况也不一样,时候系统处理出现异常。根据系统不同,出现的异常情况也不一样,但通常会导致堆栈损坏、但通常会导致堆栈损坏、IP模块不可用和系统挂起(不能响应)等。模块不
45、可用和系统挂起(不能响应)等。WinNT/95在接收到在接收到10至至50个个Teardrop分片时也会崩溃。分片时也会崩溃。52Teardrop攻击攻击53攻击实例攻击实例8-小片段攻击小片段攻击n这种攻击用于穿透防火墙。这种攻击用于穿透防火墙。n通过很小的片段使得防火墙需要检测的信息进入到下一个片段通过很小的片段使得防火墙需要检测的信息进入到下一个片段中。中。n例如,对于例如,对于TCP包,攻击者可以把包,攻击者可以把TCP头信息分到下一个片段头信息分到下一个片段之中,或者把之中,或者把TCP头分到两个片段中,使头分到两个片段中,使TCP的标志(的标志(TCPFlag)进入到下一个片段中,
46、从而使得一些通过检查这些标志)进入到下一个片段中,从而使得一些通过检查这些标志位进行过滤的防火墙因找不到标志位而放行。位进行过滤的防火墙因找不到标志位而放行。n这种攻击寄希望于防火墙只检查数据包的第一个片段。这种攻击寄希望于防火墙只检查数据包的第一个片段。54小片段攻击n这种攻击也可以用于逃避入侵检测系统(这种攻击也可以用于逃避入侵检测系统(IDS)的追踪,因为从)的追踪,因为从对策的角度,对策的角度,IDS却无法像防火墙一样限制分片数据包长度的下却无法像防火墙一样限制分片数据包长度的下限,限,IDS只有对数据包重组后才能判断是否有攻击者利用这种小只有对数据包重组后才能判断是否有攻击者利用这种
47、小片段逃避检测,同样地,这也为攻击者针对片段逃避检测,同样地,这也为攻击者针对IDS进行拒绝服务攻进行拒绝服务攻击创造了条件。击创造了条件。n对付这种攻击,可以采用的一个策略是在防火墙处设置分片数据对付这种攻击,可以采用的一个策略是在防火墙处设置分片数据包长度的下限,确保第一个分片中包含了所有必需的头信息;包长度的下限,确保第一个分片中包含了所有必需的头信息;n或者,防火墙在检测时进行数据包的重组,仅当重组后的数据包或者,防火墙在检测时进行数据包的重组,仅当重组后的数据包符合放行规则时,数据包片段才得以放行,只不过这又为攻击者符合放行规则时,数据包片段才得以放行,只不过这又为攻击者攻击防火墙创
48、造了条件。攻击防火墙创造了条件。55攻击实例攻击实例11 - Land攻击 nLand原是一段原是一段C程序,其向受害者发送程序,其向受害者发送TCPSYN包,包,而这些包的而这些包的源源IP地址和目的地址和目的IP地址被伪造成相同的地址被伪造成相同的,即受害者的即受害者的IP地址,地址,源端口和目的端口也是相同的源端口和目的端口也是相同的;n此将导致接受服务器向它自己的地址发送此将导致接受服务器向它自己的地址发送SYN-ACK消消息,结果这个地址又发回息,结果这个地址又发回ACK消息并创建一个空连接。消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留,直被攻击的服务器每接收一个
49、这样的连接都将保留,直到超时。到超时。 n目标系统在收到这样的包以后可能会崩溃或者重启。目标系统在收到这样的包以后可能会崩溃或者重启。56Land攻击n防御防御n有针对性地更改协议算法,打最新的相关的安全补丁;有针对性地更改协议算法,打最新的相关的安全补丁;n在防火墙上进行配置,将那些在外部接口上进入的含有在防火墙上进行配置,将那些在外部接口上进入的含有内部源地址的包过滤掉,包括内部源地址的包过滤掉,包括10域,域,127域,域,192.168域,域,172.16到到172.31域。域。n对毒包进行识别。如:由于对毒包进行识别。如:由于Land攻击主要是构造攻击主要是构造IP包,包,使源使源I
50、P和目标和目标IP相同,源端口和目的端口相同,可以对相同,源端口和目的端口相同,可以对此类包进行单独辨别、处理。此类包进行单独辨别、处理。575.2 Unicode漏洞nUnicode Unicode 统一的字符编码标准统一的字符编码标准nUnicodeUnicode是目前用来解决是目前用来解决 ASCII ASCII 码码 256 256 个字符限制问题的一种通个字符限制问题的一种通用解决方案。用解决方案。nUnicode Unicode 通过用双字节来表示一个字符,从而在更大范围内将数通过用双字节来表示一个字符,从而在更大范围内将数字代码映射到多种语言的字符集。字代码映射到多种语言的字符集
51、。nUnicodeUnicode给每个字符提供了一个唯一的数字,与平台或编程语言无给每个字符提供了一个唯一的数字,与平台或编程语言无关。关。nWindows 2000/XPWindows 2000/XP以及微软以及微软Office2000Office2000及其后的产品都是及其后的产品都是UnicodeUnicode内核,因此,无论何种文字,都可以在上面正常显示,而且是同内核,因此,无论何种文字,都可以在上面正常显示,而且是同屏显示。屏显示。 58Unicode漏洞nUnicodeUnicode漏洞是最容易让入侵者得手的一个漏洞之一漏洞是最容易让入侵者得手的一个漏洞之一 , ,可以可以轻易将主
52、页改掉,或者删除硬盘上的数据,甚至轻易将主页改掉,或者删除硬盘上的数据,甚至获取获取administratoradministrator权限权限。nUnicode漏洞是漏洞是2000-10-17发布的,受影响的版本:发布的,受影响的版本:nMicrosoftIIS5.0+MicrosoftWindows2000系列版本系列版本nMicrosoftIIS4.0+MicrosoftWindowsNT4.059Unicode漏洞的原理n在在Windows的目录结构中,可以使用的目录结构中,可以使用“./”来访问上来访问上一级目录;一级目录;在浏览器中利用在浏览器中利用“scripts/././”可以
53、访问到系统盘可以访问到系统盘根目录根目录;访问访问“scripts/././winnt/system32”就访问到系统就访问到系统的系统目录的系统目录;在在system32目录下包含许多重要的系统文件,比如目录下包含许多重要的系统文件,比如cmd.exe文件,可以利用该文件新建用户,删除文件等文件,可以利用该文件新建用户,删除文件等操作。操作。60Unicode漏洞的原理nscripts目录一般位于系统盘根目录下的目录一般位于系统盘根目录下的Inetpub目录下,如图所示。目录下,如图所示。61Unicode漏洞的原理n浏览器地址栏中禁用符号浏览器地址栏中禁用符号“./.”,但是可以使用,但是
54、可以使用符号符号“/”的的Unicode的编码的编码“%c0%2f”就是就是“/”的的Unicode编码。比如语句编码。比如语句/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir是执行是执行dir命令列出目录结构。命令列出目录结构。62Unicode漏洞的原理63利用利用Unicode漏洞攻击漏洞攻击1:读取系统盘目录:读取系统盘目录n利用语句得到对方计算机上装了几个操作系统以及操作系统的类利用语句得到对方计算机上装了几个操作系统以及操作系统的类型,只要读取型,只要读取C盘下的盘下的boot.ini文件就可以了。文件就可以了。ncmd.exe?/c+
55、type+c:boot.ini64利用利用Unicode漏洞攻击漏洞攻击2:删除主页:删除主页n利用利用Unicode可以方便的更改对方的主页,比如已经知道对方网可以方便的更改对方的主页,比如已经知道对方网站的根路径在站的根路径在“C:Initpub”(系统默认)下,可以删除该路径(系统默认)下,可以删除该路径下的文件下的文件“default.asp”来删除主页,这里的来删除主页,这里的“default.asp”文件是文件是IIS的默认启动页面。的默认启动页面。n使用的语句是:使用的语句是:n:inetpubdefault.asp65利用利用Unicode漏洞攻击漏洞攻击3:拷贝文件:拷贝文件
56、n为了使用方便,利用语句将为了使用方便,利用语句将cmd.exe文件拷贝到文件拷贝到scripts目录,并目录,并改名为改名为c.exe,使用的语句是:,使用的语句是:n:winntsystem32cmd.exe+c.exe663、ARP欺骗欺骗n在实现在实现TCP/IP协议的网络环境下,一个协议的网络环境下,一个ip包走到哪里,包走到哪里,要怎么走是靠路由表定义,但是,当要怎么走是靠路由表定义,但是,当ip包到达该网络包到达该网络后,哪台机器响应这个后,哪台机器响应这个ip包却是靠该包却是靠该ip包中所包含的硬包中所包含的硬件件mac地址来识别。地址来识别。n只有机器的硬件只有机器的硬件ma
57、c地址和该地址和该ip包中的硬件包中的硬件mac地址地址相同的机器才会应答这个相同的机器才会应答这个ip包,因为在网络中,每一包,因为在网络中,每一台主机都会有发送台主机都会有发送ip包的时候。包的时候。n在每台主机的内存中,在每台主机的内存中,arp-硬件硬件mac的转换表。会的转换表。会被主机在一定的时间间隔后刷新。这个时间间隔就是被主机在一定的时间间隔后刷新。这个时间间隔就是ARP高速缓存的超时时间。高速缓存的超时时间。67ARP欺骗欺骗 nA:ip地址地址192.168.0.1硬件地址硬件地址AA:AA:AA:AA:AA:AAnB:ip地址地址192.168.0.2硬件地址硬件地址BB
58、:BB:BB:BB:BB:BBnC:ip地址地址192.168.0.3硬件地址硬件地址CC:CC:CC:CC:CC:CC68ARP欺骗欺骗n一个位于主机一个位于主机B的入侵者想非法进入主机的入侵者想非法进入主机A,可,可是这台主机上安装有防火墙。通过收集资料他知是这台主机上安装有防火墙。通过收集资料他知道这台主机道这台主机A的防火墙只对主机的防火墙只对主机C有信任关系。有信任关系。n入侵者必须让主机入侵者必须让主机A相信主机相信主机B就是主机就是主机C,如,如果主机果主机A和主机和主机C之间的信任关系是建立在之间的信任关系是建立在ip地地址之上的。如果单单把主机址之上的。如果单单把主机B的的i
59、p地址改的和主地址改的和主机机C的一样,那是不能工作的,至少不能可靠地的一样,那是不能工作的,至少不能可靠地工作。工作。69ARP欺骗欺骗n如果告诉以太网卡设备驱动程序,如果告诉以太网卡设备驱动程序,自己自己IP是是192.168.0.3,那么这只是一种纯粹的竞争关系,并不,那么这只是一种纯粹的竞争关系,并不能达到目标。能达到目标。n于是可以先研究于是可以先研究C这台机器如果我们能让这台机器暂时这台机器如果我们能让这台机器暂时当掉,竞争关系就可以解除当掉,竞争关系就可以解除,这个是有可能实现的。这个是有可能实现的。n在机器在机器C当掉的同时,将机器当掉的同时,将机器B的的ip地址改为地址改为1
60、92.168.0.3,这样就可以成功的通过这样就可以成功的通过23端口端口telnet到机到机器器A上面,而成功的绕过防火墙的限制。上面,而成功的绕过防火墙的限制。70ARP欺骗欺骗n如果主机如果主机A和主机和主机C之间的信任关系是建立在硬件地址的基础上。之间的信任关系是建立在硬件地址的基础上。这个时候还需要用这个时候还需要用ARP欺骗的手段让主机欺骗的手段让主机A把自己的把自己的ARP缓存中缓存中的关于的关于192.168.0.3映射的硬件地址改为主机映射的硬件地址改为主机B的硬件地址。的硬件地址。n于是可以人为的制造一个于是可以人为的制造一个arp_reply的响应包的响应包,发送给想要欺
61、骗的发送给想要欺骗的主机主机,这是可以实现的这是可以实现的,因为协议并没有规定必须在接收到因为协议并没有规定必须在接收到arp_echo后才可以发送响应包后才可以发送响应包.这样的工具很多这样的工具很多,我们也可以直接我们也可以直接用用snifferpro抓一个抓一个arp响应包响应包,然后进行修改。然后进行修改。n指定指定ARP包中的源包中的源IP、目标、目标IP、源、源MAC地址、目标地址、目标MAC地址。这地址。这样你就可以通过虚假的样你就可以通过虚假的ARP响应包来修改主机响应包来修改主机A上的动态上的动态ARP缓缓存达到欺骗的目的。存达到欺骗的目的。 71具体的步骤:具体的步骤:1.
62、1.先研究先研究192.168.0.3192.168.0.3这台主机,发现这台主机的漏洞。这台主机,发现这台主机的漏洞。2.2.根据发现的漏洞使主机根据发现的漏洞使主机C C当掉,暂时停止工作。当掉,暂时停止工作。3.3.这段时间里,入侵者把自己的这段时间里,入侵者把自己的IPIP改成改成192.168.0.3192.168.0.34.4.用工具发一个源用工具发一个源IPIP地址为地址为192.168.0.3,192.168.0.3,源源MACMAC地址为地址为BB:BB:BB:BB:BB:BBBB:BB:BB:BB:BB:BB的包给主机的包给主机A A,要求主机,要求主机A A更新自己更新自
63、己的的ARPARP转换表。转换表。5.5.主机更新了主机更新了ARPARP表中关于主机表中关于主机C C的的IP-MACIP-MAC对应关系。对应关系。6.6.防火墙失效了,入侵的防火墙失效了,入侵的IPIP变成合法的变成合法的MACMAC地址,地址,okok。 72ARP欺骗的检测与控制办法欺骗的检测与控制办法n目前比较有效的检测目前比较有效的检测ARP欺骗攻击的方法主要欺骗攻击的方法主要有两种:有两种:n一种是在局域网内部使用抓包软件进行抓包分一种是在局域网内部使用抓包软件进行抓包分析;析;n另一种是直接到到三层交换机上查询另一种是直接到到三层交换机上查询ARP表,表,这两种方法各有优缺点
64、,这两种方法各有优缺点,73抓包分析抓包分析方法n使用抓包软件(如使用抓包软件(如snifferpro)在局域网内抓)在局域网内抓ARP的的reply包,包,如果最后的如果最后的mac不是网关的真实不是网关的真实mac的话,的话,那就说明有那就说明有ARP欺骗存在欺骗存在,而这个,而这个mac就是那台进行就是那台进行ARP欺骗主机的欺骗主机的mac。n优点优点简单易行,无需特别权限设置,所有用户都简单易行,无需特别权限设置,所有用户都可以做,误判率较小。可以做,误判率较小。n缺点缺点必须在局域网内部(广播域内部)听包才有必须在局域网内部(广播域内部)听包才有效。效。74三层交换机上查询三层交换
65、机上查询ARP缓存表缓存表方法n登陆局域网的三层交换机,并查看交换机的登陆局域网的三层交换机,并查看交换机的ARP缓存缓存表,表,如果在如果在ARP表中存在一个表中存在一个MAC对应多个对应多个IP(的情(的情况,那么就表明存在况,那么就表明存在ARP欺骗攻击,而这个欺骗攻击,而这个MAC就是就是欺骗主机的欺骗主机的MAC。n优点优点可以远程操作,无需到局域网内部,可以通可以远程操作,无需到局域网内部,可以通过脚本来自动分析。过脚本来自动分析。n缺点缺点需要特殊权限,普通用户无法进行操作。需要特殊权限,普通用户无法进行操作。75ARP欺骗的控制方法欺骗的控制方法n1、主机静态绑定网关、主机静态
66、绑定网关MAC方法方法n使用使用arp命令静态绑定网关命令静态绑定网关MAC,格式如下:,格式如下:arps网关网关IP网关网关MACn优点优点简单易行,普通用户都能操作简单易行,普通用户都能操作n缺点缺点只能单向绑定。需要跟网关绑定只能单向绑定。需要跟网关绑定MAC结合使用。结合使用。76ARP欺骗的控制方法欺骗的控制方法2、网关使用、网关使用IP+MAC绑定模式方法绑定模式方法n交换机启用静态交换机启用静态ARP绑定功能,将用户的绑定功能,将用户的IP与与MAC进行静态绑定,防止进行静态绑定,防止ARP欺骗发生。欺骗发生。n优点优点效果明显效果明显n缺点缺点操作复杂,工作量巨大。无法保证主
67、操作复杂,工作量巨大。无法保证主机端不被欺骗,需要与主机端绑定网关机端不被欺骗,需要与主机端绑定网关MAC结结合使用。合使用。77ARP欺骗的控制方法欺骗的控制方法3、使用防、使用防ARP攻击的软件方法攻击的软件方法n下载和使用防下载和使用防ARP攻击的软件,如攻击的软件,如ARPFix或者或者是是AntiARP等。等。n优点优点简单易行简单易行n缺点缺点需要用户端都安装,无法保证网关不需要用户端都安装,无法保证网关不被欺骗。被欺骗。78总结n因为因为ARP欺骗利用的是欺骗利用的是ARP协议本身的缺陷,所以到协议本身的缺陷,所以到目前为止,依然没有一个十分有效的方法去控制这种目前为止,依然没有
68、一个十分有效的方法去控制这种攻击。攻击。n目前难点主要集中在网关上,还没有找到一个很有效目前难点主要集中在网关上,还没有找到一个很有效的方法来防范网关上的的方法来防范网关上的ARP列表不被欺骗修改。列表不被欺骗修改。n当前最理想的办法还是迅速阻断这种攻击的来源。这当前最理想的办法还是迅速阻断这种攻击的来源。这就要求能够快速检测到攻击并定位出攻击主机位置后就要求能够快速检测到攻击并定位出攻击主机位置后加以处理。加以处理。79IP欺骗欺骗 nIP 欺骗是一种中间人攻击。nIP 欺骗不是进攻的结果,而是进攻的手段。进攻实际上是信任关系的破坏。nIP 欺骗是多种网络攻击的必要步骤。80IP欺骗原理欺骗
69、原理n信任关系信任关系n假如在主机假如在主机A和和B上各有一个帐户,则在主机上各有一个帐户,则在主机A上使用时上使用时需要输入在需要输入在A上的相应帐户,在主机上的相应帐户,在主机B上使用时必须输入上使用时必须输入在在B上的帐户,主机上的帐户,主机A和和B把你当作两个互不相关的用户,把你当作两个互不相关的用户,显然有些不便。为了减少这种不便,可以在主机显然有些不便。为了减少这种不便,可以在主机A和主和主机机B中建立起两个帐户的相互信任关系。则可以毫无阻中建立起两个帐户的相互信任关系。则可以毫无阻碍地使用远程登录而无口令验证的麻烦。碍地使用远程登录而无口令验证的麻烦。n这些命令将允许以地址为基础
70、的验证,或者允许或者拒这些命令将允许以地址为基础的验证,或者允许或者拒绝以绝以IP地址为基础的存取服务。地址为基础的存取服务。n这里的信任关系是基于这里的信任关系是基于IP地址的。地址的。81IP欺骗原理欺骗原理nIP只是发送数据包,并且保证它的完整性。如果不能只是发送数据包,并且保证它的完整性。如果不能收到完整的收到完整的IP数据包,数据包,IP会向源地址发送一个会向源地址发送一个ICMP错错误信息,希望重新处理。误信息,希望重新处理。n由于由于IP是是无连接无连接的,所以不保持任何连接状态的信息。的,所以不保持任何连接状态的信息。每个每个IP数据包被松散地发送出去,而不关心前一个和数据包被
71、松散地发送出去,而不关心前一个和后一个数据包的情况。后一个数据包的情况。n由此看出,可以由此看出,可以对对IP包包进行修改,在源地址和目的地进行修改,在源地址和目的地址中放入任意满足要求的址中放入任意满足要求的IP地址,也就是说,提供虚地址,也就是说,提供虚假的假的IP地址。地址。82IP欺骗原理欺骗原理nTCP提供可靠传输。可靠性是由数据包中的多个控制提供可靠传输。可靠性是由数据包中的多个控制字段来提供的,其中最重要的是数据序列和数据确认。字段来提供的,其中最重要的是数据序列和数据确认。nTCP向每一个数据字节分配一个向每一个数据字节分配一个序列号序列号,并且可以向,并且可以向已成功接收的、
72、源地址所发送的数据包表示确认已成功接收的、源地址所发送的数据包表示确认(目的目的地址地址ACK所确认的数据包序列是源地址的数据包序列,所确认的数据包序列是源地址的数据包序列,而不是自己发送的数据包序列而不是自己发送的数据包序列)。ACK在确认的同时,在确认的同时,还携带了下一个期望获得的数据序列号。还携带了下一个期望获得的数据序列号。n显然,显然,TCP提供的这种可靠性相对于提供的这种可靠性相对于IP来说更难于作来说更难于作假。假。83IP欺骗原理欺骗原理n接收端利用序列号确保数据的先后顺序,除去重复的接收端利用序列号确保数据的先后顺序,除去重复的数据包。数据包。nTCP序列编号可以看作是序列
73、编号可以看作是32位的计数器。它们从位的计数器。它们从0至至232-1排列。每一个排列。每一个TCP连接交换的数据都是顺序编号连接交换的数据都是顺序编号的。的。n在在TCP数据包中定义序列号数据包中定义序列号(SEQ)字段于数据段的前端。字段于数据段的前端。确认序号确认序号(ACK)对所接收的数据进行确认,并且指出下对所接收的数据进行确认,并且指出下一个期待接收的数据序列号。一个期待接收的数据序列号。84IP欺骗原理欺骗原理nTCP标志位:标志位:RST、PSH和和FIN。n如果如果RST被接收,被接收,TCP连接将立即断开。连接将立即断开。RST通常通常在接收端接收到一个与当前连接不相关的数
74、据包时在接收端接收到一个与当前连接不相关的数据包时被发送。被发送。n当当TCP模块需要立即传送数据而不能等整段都充满模块需要立即传送数据而不能等整段都充满时再传,一个高层的进程将会触发在时再传,一个高层的进程将会触发在TCP头部的头部的PSH标示,并且告诉标示,并且告诉TCP模块立即将所有排列好的模块立即将所有排列好的数据发给数据接收端。数据发给数据接收端。nFIN表示一个应用连接结束。当接收端接收到表示一个应用连接结束。当接收端接收到FIN时,时,确认它,认为将接收不到任何数据了。确认它,认为将接收不到任何数据了。85IP欺骗的步骤n假定:假定:n首先,目标主机已经选定。首先,目标主机已经选
75、定。n其次,信任模式已被发现,并找到了一个被目标主机信其次,信任模式已被发现,并找到了一个被目标主机信任的主机。任的主机。n步骤:步骤:n使得被信任的主机丧失工作能力;使得被信任的主机丧失工作能力;n采样目标主机发出的采样目标主机发出的TCP序列号;序列号;n猜测出它的数据序列号;猜测出它的数据序列号;n伪装成被信任的主机,同时建立起与目标主机基于地址伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接;验证的应用连接;n如果成功,黑客可以使用一种简单的命令放置一个系统如果成功,黑客可以使用一种简单的命令放置一个系统后门,以进行非授权操作。后门,以进行非授权操作。86IP欺骗的防止欺
76、骗的防止 n抛弃基于地址的信任策略抛弃基于地址的信任策略 阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。这将迫使所有用户使用其它远程通信手段,如telnet等。n进行包过滤进行包过滤 如果网络是通过路由器接入Internet 的,那么可以利用路由器来进行包过滤。确信只有内部LAN可以使用信任关系,而内部LAN上的主机对于LAN以外的主机要慎重处理。路由器可以过滤掉所有来自于外部而希望与内部建立连接的请求。87IP欺骗的防止欺骗的防止n使用随机化的初始序列号使用随机化的初始序列号n黑客攻击得以成功实现的一个很重要的因素就是,序列号不是随机选择的或者随机增加的。为弥补TCP不足的方法
77、,可以采用分割序列号空间。每一个连接将有自己独立的序列号空间。序列号将仍然按照以前的方式增加,但是在这些序列号空间中没有明显的关系。可以通过下列公式来说明:SEQ=M+F(localhost,localport ,remotehost ,remoteport )M:4微秒定时器F:加密HASH函数。F产生的序列号,对于外部来说是不应该能够被计算出或者被猜测出的。88内容提要内容提要n为了保持对已经入侵的主机长久的控制,需要在主机上为了保持对已经入侵的主机长久的控制,需要在主机上建立网络后门,以便直接通过后门入侵系统。建立网络后门,以便直接通过后门入侵系统。n网络后门的主要策略:网络后门的主要策
78、略:n建立远程服务建立远程服务n克隆管理员账号克隆管理员账号n种植木马种植木马n为了入侵的痕迹不被发现,需要隐藏或清除入侵的痕迹为了入侵的痕迹不被发现,需要隐藏或清除入侵的痕迹n实现隐身的主要方法:实现隐身的主要方法:n设置代理跳板设置代理跳板n清除系统日志清除系统日志89网络后门网络后门 n只要能不通过正常登录进入系统的途径都称之为网络后门,只要能不通过正常登录进入系统的途径都称之为网络后门,目的是保持对目标主机长久控制。目的是保持对目标主机长久控制。n后门的好坏取决于被管理员发现的概率。只要是不容易被后门的好坏取决于被管理员发现的概率。只要是不容易被发现的后门都是好后门。发现的后门都是好后
79、门。n留后门的原理和选间谍是一样的,让管理员看了感觉没有留后门的原理和选间谍是一样的,让管理员看了感觉没有任何特别的。任何特别的。n通过通过建立远程服务端口建立远程服务端口和和克隆管理员帐号克隆管理员帐号来实现。来实现。90木马简介木马简介木马木马n木马来自于木马来自于“特洛伊木马特洛伊木马”,英文名称为,英文名称为Trojan HorseTrojan Horse。由于特洛伊木马程序的功能和此类似,故而得名。由于特洛伊木马程序的功能和此类似,故而得名。n木马程序在表面上看上去没有任何的损害,实际上隐藏着木马程序在表面上看上去没有任何的损害,实际上隐藏着可以控制用户整个计算机系统、打开后门等危害
80、系统安全可以控制用户整个计算机系统、打开后门等危害系统安全的功能。的功能。n木马比普通后门功能强大,有远程控制功能。木马比普通后门功能强大,有远程控制功能。n木马是一种可以驻留在对方系统中的一种程序。木马是一种可以驻留在对方系统中的一种程序。91木马木马n木马一般由两部分组成:木马一般由两部分组成:服务器端和客户端服务器端和客户端。n驻留在对方服务器的称之为木马的服务器端,驻留在对方服务器的称之为木马的服务器端,远程的可以连到木马服务器的程序称之为客户远程的可以连到木马服务器的程序称之为客户端。端。n木马的功能是木马的功能是通过客户端可以操纵服务器通过客户端可以操纵服务器,进进而操纵对方的主机
81、而操纵对方的主机。n这里介绍一种最常见的木马程序:这里介绍一种最常见的木马程序:“冰河冰河”。92网络隐身(网络隐身(IPIP隐藏)隐藏) 网络代理跳板网络代理跳板 清除系统日志清除系统日志931.3 1.3 恶意代码长期存在的原因恶意代码长期存在的原因n1. 系统漏洞层出不穷系统漏洞层出不穷nAT&T 实验室的实验室的S. Bellovin 提供的安全报告进行过分析,分析提供的安全报告进行过分析,分析结果表明,大约结果表明,大约50%的计算机网络安全问题是由软件工程中产的计算机网络安全问题是由软件工程中产生的安全缺陷引起的,其中,很多问题的根源都来自于操作系统生的安全缺陷引起的,其中,很多问
82、题的根源都来自于操作系统的安全脆弱性。的安全脆弱性。n在信息系统的层次结构中,包括从底层的操作系统到上层的网络在信息系统的层次结构中,包括从底层的操作系统到上层的网络应用在内的各个层次都存在着许多不可避免的安全问题和安全脆应用在内的各个层次都存在着许多不可避免的安全问题和安全脆弱性。而这些安全脆弱性的不可避免,直接导致了恶意代码的必弱性。而这些安全脆弱性的不可避免,直接导致了恶意代码的必然存在。然存在。94n计算机技术发展的同时并未使系统的安全性得到增强。计算机技术发展的同时并未使系统的安全性得到增强。n技术进步带来的安全增强能力最多只能弥补由应用技术进步带来的安全增强能力最多只能弥补由应用环
83、境的复杂性带来的安全威胁的增长程度。环境的复杂性带来的安全威胁的增长程度。n此外,计算机新技术的出现还很有可能使计算机系此外,计算机新技术的出现还很有可能使计算机系统的安全变得比以往更加脆弱。(脆弱性与规模成统的安全变得比以往更加脆弱。(脆弱性与规模成正比)正比)n测试技术只能证明系统存在脆弱性,不能证明系统不测试技术只能证明系统存在脆弱性,不能证明系统不存在脆弱性。存在脆弱性。95n2. 利益驱使利益驱使n目前,网络购物、网络支付、网络银行和网上证券交易系统目前,网络购物、网络支付、网络银行和网上证券交易系统的已经普及,各种盗号木马甚至被挂在了金融、门户等网站的已经普及,各种盗号木马甚至被挂
84、在了金融、门户等网站上,给用户造成了严重的经济损失。上,给用户造成了严重的经济损失。 如果下载网银木马,该木马会监视如果下载网银木马,该木马会监视 IE 浏览器正在访问的网页,浏览器正在访问的网页,如果发现用户正在登录某银行的网上银行,就会弹出伪造的如果发现用户正在登录某银行的网上银行,就会弹出伪造的登录对话框,诱骗用户输入登录密码和支付密码,通过邮件登录对话框,诱骗用户输入登录密码和支付密码,通过邮件将窃取的信息发送出去,威胁用户网上银行帐号密码的安全。将窃取的信息发送出去,威胁用户网上银行帐号密码的安全。n骗取骗取 IP 流量,所谓的流量,所谓的IP 流量指的是访问某个网站的独立流量指的是
85、访问某个网站的独立IP 数量。数量。IP 流量是评估一个网站的重要指标,因此一些商家就流量是评估一个网站的重要指标,因此一些商家就出售这些流量出售这些流量961.4 1.4 恶意代码的定义恶意代码的定义n早期恶意代码的主要形式是计算机病毒。早期恶意代码的主要形式是计算机病毒。n80年代,年代,Cohen 设计出一种在运行过程中可以复制自身设计出一种在运行过程中可以复制自身的破坏性程序,的破坏性程序,Adleman将它命名为计算机病毒,它是将它命名为计算机病毒,它是早期恶意代码。早期恶意代码。nAdleman将将计算机病毒计算机病毒定义为:定义为:一个具有破坏、传染或模仿特点的相同性质的程序集合
86、。一个具有破坏、传染或模仿特点的相同性质的程序集合。n这种定义有将病毒内涵扩大化的倾向,将任何具有破坏作这种定义有将病毒内涵扩大化的倾向,将任何具有破坏作用的程序都认为是病毒,掩盖了病毒潜伏、传染等其它重用的程序都认为是病毒,掩盖了病毒潜伏、传染等其它重要特征。要特征。97恶意代码的定义 nGrimes Grimes 将恶意代码定义为,将恶意代码定义为,经过存储介质和网络进行经过存储介质和网络进行传播,从一台计算机系统到另外一台计算机系统,未传播,从一台计算机系统到另外一台计算机系统,未经授权认证破坏计算机系统完整性的程序或代码经授权认证破坏计算机系统完整性的程序或代码。n包括计算机病毒包括计
87、算机病毒(Computer Virus)(Computer Virus)、蠕虫、蠕虫(Worms)(Worms)、特、特洛伊木马洛伊木马(Trojan Horse)(Trojan Horse)、逻辑炸弹、逻辑炸弹(Logic Bombs)(Logic Bombs)、病菌病菌(Bacteria)(Bacteria)、用户级、用户级RootKitRootKit、核心级、核心级RootKitRootKit等。等。n由此定义,恶意代码两个显著的特点是:由此定义,恶意代码两个显著的特点是:非授权性和非授权性和破坏性破坏性。 98恶意代码的相关定义 恶恶意代意代码类码类型型定定义义特点特点计计算机病毒算机
88、病毒指指编编制或者在制或者在计计算机程序中插入的算机程序中插入的破坏破坏计计算机功能或算机功能或者者毁毁坏数据,影响坏数据,影响计计算机使用算机使用,并能,并能自我复制自我复制的一的一组组计计算机指令或者程序代算机指令或者程序代码码。传传染,附着,染,附着,自我复制自我复制计计算机蠕虫算机蠕虫指指通通过计过计算机网算机网络络自我复制自我复制,消耗系,消耗系统资统资源和网源和网络资络资源的程序源的程序自我复制,自我复制,消耗消耗资资源源特洛伊木特洛伊木马马指一种指一种与与远远程程计计算机建立算机建立连连接接,使,使远远程程计计算机能算机能够够通通过过网网络络控制本地控制本地计计算机算机的程序。的
89、程序。欺欺骗骗、隐隐蔽和蔽和信息窃取信息窃取逻辑逻辑炸炸弹弹指一段嵌入指一段嵌入计计算机系算机系统统程序的,通程序的,通过过特殊的数据或特殊的数据或时时间间作作为为条件触条件触发发,试图试图完成一定破坏功能的程序。完成一定破坏功能的程序。潜伏,潜伏,条件条件破坏破坏病菌病菌指不依指不依赖赖于系于系统软统软件,能件,能够够自我复制和自我复制和传传播,以消耗播,以消耗系系统资统资源源为为目的的程序。目的的程序。传传染和拒染和拒绝绝服服务务用用户级户级RootKit指通指通过过替代或者修改被系替代或者修改被系统统管理管理员员或普通用或普通用户执户执行的行的程序程序进进入系入系统统,从而,从而实现隐实
90、现隐藏和藏和创创建后建后门门的程序。的程序。隐隐蔽,潜伏蔽,潜伏核心核心级级RootKit指嵌入指嵌入操作系操作系统统内核内核进进行行隐隐藏和藏和创创建后建后门门的程序的程序隐隐蔽,潜伏蔽,潜伏99防火墙简介n防火墙是设置在不同网络或者安全域之间的一系列部件的组合。防火墙是设置在不同网络或者安全域之间的一系列部件的组合。n充当可信区域与不可信区域之间信息唯一出入口,通过对出入数据充当可信区域与不可信区域之间信息唯一出入口,通过对出入数据的过滤、监管,防范网络入侵。的过滤、监管,防范网络入侵。n防火墙有硬件防火墙和软件防火墙两种。防火墙有硬件防火墙和软件防火墙两种。Internet防火墙防火墙1
91、00防火墙的功能防火墙的功能n根据不同的需要,防火墙的功能有比较大差异,但主要包根据不同的需要,防火墙的功能有比较大差异,但主要包含以下几种基本功能。含以下几种基本功能。过滤掉不安全的服务和数据包;过滤掉不安全的服务和数据包;限制内部用户访问特殊站点;限制内部用户访问特殊站点;隔离内部网络与外部不可信网络;隔离内部网络与外部不可信网络;提供逻辑地址的转换服务;提供逻辑地址的转换服务;对网络通信行为进行审计。对网络通信行为进行审计。n防火墙适合于相对独立的网络,防火墙适合于相对独立的网络,Internet上的上的Web网站中,网站中,超过三分之一的站点都是有某种防火墙保护的,任何关键超过三分之一
92、的站点都是有某种防火墙保护的,任何关键性的服务器,都应该放在防火墙之后。性的服务器,都应该放在防火墙之后。101防火墙的类型防火墙的类型n按照防火墙处理数据的方法,可分为按照防火墙处理数据的方法,可分为包过滤防火墙、包过滤防火墙、代理防火墙和状态检测防火墙三大体系代理防火墙和状态检测防火墙三大体系。具体包括:。具体包括:p包过滤防火墙包过滤防火墙p代理服务防火墙代理服务防火墙n应用级代理防火墙应用级代理防火墙n电路级代理防火墙电路级代理防火墙p状态检测防火墙状态检测防火墙102规则的制定n规则次序规则次序同样的规则,以不同的次序放置,可能会完全改变防火墙同样的规则,以不同的次序放置,可能会完全
93、改变防火墙的运转情况。的运转情况。防火墙以顺序方式检查信息包,当防火墙接收到一个信息防火墙以顺序方式检查信息包,当防火墙接收到一个信息包时,它先与第一条规则相比较,然后是第二条、第三条包时,它先与第一条规则相比较,然后是第二条、第三条当它发现一条匹配规则时,就停止检查并应用那条规当它发现一条匹配规则时,就停止检查并应用那条规则。如果信息包经过每一条规则而没有发现匹配,这个信则。如果信息包经过每一条规则而没有发现匹配,这个信息包便会被拒绝。息包便会被拒绝。通常的顺序是,较特殊的规则在前,较普通的规则在后,通常的顺序是,较特殊的规则在前,较普通的规则在后,防止在找到一个特殊规则之前一个普通规则便被
94、匹配,这防止在找到一个特殊规则之前一个普通规则便被匹配,这可以使你的防火墙避免配置错误。可以使你的防火墙避免配置错误。103n规则不能出现矛盾规则不能出现矛盾网络的头号敌人是网络的头号敌人是错误配置错误配置。n规则不宜太多规则不宜太多尽量保持规则集简洁和简短,尽量保持规则集简洁和简短,规则的正确性验证复杂度与规则数规则的正确性验证复杂度与规则数量直接相关。量直接相关。规则越多,就越可能犯错误,规则越少,理解和维护就越容易。规则越多,就越可能犯错误,规则越少,理解和维护就越容易。一个好的准则是最好不要超过一个好的准则是最好不要超过30条。一旦规则超过条。一旦规则超过50条,就会条,就会以失败而告
95、终。以失败而告终。规则越少,规则集就越简洁,错误配置的可能性就越小,系统就规则越少,规则集就越简洁,错误配置的可能性就越小,系统就越安全。越安全。 因为规则少意味着只分析少数的规则,防火墙的因为规则少意味着只分析少数的规则,防火墙的CPU周周期就短,防火墙效率就可以提高。期就短,防火墙效率就可以提高。n每条规则要有针对性,避免过宽或过严每条规则要有针对性,避免过宽或过严104数据包的处理数据包的处理n包过滤防火墙只在包过滤防火墙只在网络层和传输层网络层和传输层检查数据,与检查数据,与应用层应用层无关。无关。有过滤有过滤规则?规则?匹配?匹配?有更多有更多条目?条目?下一条目下一条目动作动作禁止
96、或丢弃禁止或丢弃丢弃,发送丢弃,发送ICMP消息消息允许允许转发转发数据包到达数据包到达NNNYYY数据包处理过程数据包处理过程105包过滤防火墙评价包过滤防火墙评价n特点:特点:只针对只针对IP地址及端口,不关心数据内容;地址及端口,不关心数据内容;n优点:优点:速度快,对用户透明,配置简单。速度快,对用户透明,配置简单。n缺点:缺点:1、无法对数据包内容进行检查;、无法对数据包内容进行检查;2、无法提供详细日志记录;、无法提供详细日志记录;3、内外网不隔离;、内外网不隔离;4、复杂配置下容易出错。、复杂配置下容易出错。106防火墙的体系结构防火墙的体系结构n双宿主主机体系结构双宿主主机体系
97、结构n主机屏蔽体系结构主机屏蔽体系结构n子网屏蔽体系结构子网屏蔽体系结构1072.主机屏蔽体系结构主机屏蔽体系结构n主机屏蔽防火墙比双宿主机防火墙更安主机屏蔽防火墙比双宿主机防火墙更安全。主机屏蔽防火墙体系结构是在全。主机屏蔽防火墙体系结构是在防火防火墙的前面增加了筛选路由器墙的前面增加了筛选路由器。n防火墙防火墙不直接连接外网不直接连接外网,这样的形式提,这样的形式提供一种非常有效的并且容易维护的防火供一种非常有效的并且容易维护的防火墙体系。墙体系。n因为路由器具有数据过滤功能,路由器因为路由器具有数据过滤功能,路由器通过适当配置后,可以实现一部分防火通过适当配置后,可以实现一部分防火墙的功
98、能,因此,有人把墙的功能,因此,有人把筛选筛选路由器也路由器也成为防火墙的一种。成为防火墙的一种。n实际上,筛选路由器作为保护网络的第实际上,筛选路由器作为保护网络的第一道防线,可以根据内网的安全策略,一道防线,可以根据内网的安全策略,过滤掉不允许通过的数据包。过滤掉不允许通过的数据包。1083.子网屏蔽体系结构子网屏蔽体系结构n屏蔽子网体系结构使用两个屏蔽屏蔽子网体系结构使用两个屏蔽路由器路由器,位,位于堡垒主机的两端,一端连接内网,一端连于堡垒主机的两端,一端连接内网,一端连接外网。接外网。n子网屏蔽防火墙体系结构添加子网屏蔽防火墙体系结构添加阻塞路由器阻塞路由器到到主机屏蔽体系结构,即通
99、过主机屏蔽体系结构,即通过添加周边网络添加周边网络更更进一步地把内部网络与外网隔离。进一步地把内部网络与外网隔离。n在主机屏蔽体系中,用户的在主机屏蔽体系中,用户的内部网络对堡垒内部网络对堡垒主机主机没有任何防御措施,通过在周边网络上没有任何防御措施,通过在周边网络上隔离堡垒主机,能减少在堡垒主机上入侵的隔离堡垒主机,能减少在堡垒主机上入侵的影响。影响。n入侵者必须穿透两个屏蔽路由器才能进入内入侵者必须穿透两个屏蔽路由器才能进入内网。即使入侵者控制了堡垒主机,他仍然需网。即使入侵者控制了堡垒主机,他仍然需要通过内网端的屏蔽路由器才能到达内网。要通过内网端的屏蔽路由器才能到达内网。阻塞阻塞路由器
100、路由器筛选筛选路由器路由器109防火墙的部署1.包过滤防火墙的部署包过滤防火墙的部署2.代理网关(双宿主主机)防火墙的部署代理网关(双宿主主机)防火墙的部署3.主机屏蔽防火墙的部署主机屏蔽防火墙的部署4.子网屏蔽防火墙的部署子网屏蔽防火墙的部署5.企业常见分布式防火墙的部署企业常见分布式防火墙的部署1101.包过滤防火墙的部署包过滤防火墙的部署1112.代理网关(双宿主主机)防火墙的部署代理网关(双宿主主机)防火墙的部署1123.主机屏蔽防火墙的部署主机屏蔽防火墙的部署1134.子网屏蔽防火墙的部署子网屏蔽防火墙的部署114防火墙的局限性防火墙的局限性n防火墙不能防火墙不能防范防范不经过防火墙
101、不经过防火墙的攻击。没有经过防火墙的数据,的攻击。没有经过防火墙的数据,防火墙无法检查。防火墙无法检查。n防火墙不能防止防火墙不能防止策略配置不当或错误配置策略配置不当或错误配置引起的安全威胁。防火引起的安全威胁。防火墙是一个被动的安全策略执行设备,就像门卫一样,要根据政策墙是一个被动的安全策略执行设备,就像门卫一样,要根据政策规定来执行安全。规定来执行安全。n防火墙对防火墙对来自内部网络来自内部网络的攻击和安全问题防范能力弱。防火墙可的攻击和安全问题防范能力弱。防火墙可以设计为既防外也防内,谁都不可信,但绝大多数单位因为不方以设计为既防外也防内,谁都不可信,但绝大多数单位因为不方便,不要求防
102、火墙防内。便,不要求防火墙防内。n防火墙不能防止利用标准防火墙不能防止利用标准网络协议中的缺陷网络协议中的缺陷进行的攻击。一旦防进行的攻击。一旦防火墙准许某些标准网络协议,防火墙不能防止利用该协议中的缺火墙准许某些标准网络协议,防火墙不能防止利用该协议中的缺陷进行的攻击。陷进行的攻击。115n防火墙不能防止受防火墙不能防止受病毒感染病毒感染的文件的传输。防火墙本身并不具备查杀的文件的传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒的软件,也没有一种软件可病毒的功能,即使集成了第三方的防病毒的软件,也没有一种软件可以查杀所有的病毒。以查杀所有的病毒。n防火墙不能防止防火墙不能防止
103、数据加密式的攻击和利用隧道传输数据加密式的攻击和利用隧道传输的数据,防火墙没的数据,防火墙没有信息穿透能力。有信息穿透能力。n防火墙的防火墙的安全性与多功能安全性与多功能成反比。多功能与防火墙的安全原则是背道成反比。多功能与防火墙的安全原则是背道而驰的。因此,除非确信需要某些功能,否则,应该功能最小化。而驰的。因此,除非确信需要某些功能,否则,应该功能最小化。n防火墙的防火墙的安全性和速度安全性和速度成反比。防火墙的安全性是建立在对数据的检成反比。防火墙的安全性是建立在对数据的检查之上,检查越细越安全,但检查越细速度越慢。查之上,检查越细越安全,但检查越细速度越慢。n防火墙不能防止可接触的防火
104、墙不能防止可接触的人为或自然的破坏人为或自然的破坏。防火墙是一个安全设备,。防火墙是一个安全设备,但防火墙本身必须存在于一个安全的地方。但防火墙本身必须存在于一个安全的地方。116IDS概念概念n入侵检测:通过从计算机网络或计算机系统的关键点收集入侵检测:通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。策略的行为和被攻击的迹象。n入侵检测系统入侵检测系统(IDS):是硬件和软件的组合。是防火墙的:是硬件和软件的组合。是防火墙的合理补充,是防火墙之后的第二道安全闸门。合理补充,是
105、防火墙之后的第二道安全闸门。n入侵检测的内容:试图闯入、成功闯入、冒充其他用户、入侵检测的内容:试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户泄露、资源独占或恶意使用。违反安全策略、合法用户泄露、资源独占或恶意使用。117IDS分类分类n根据所检测的对象:根据所检测的对象:基于主机的入侵检测系统基于主机的入侵检测系统HIDS主要用于保护运行关键应用的服务器。它通过监视与分析主机的主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记审计记录和日志文件录和日志文件来检测入侵。日志中包含发生在系统上的不寻常和不期望来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据,这些
106、证据可以指出有人正在入侵或已成功入侵了系统。通活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。的应急响应程序。基于网络的入侵检测系统基于网络的入侵检测系统NIDS主要用于实时监控网络关键路径的信息,它监听网络上的所有数据包和主要用于实时监控网络关键路径的信息,它监听网络上的所有数据包和流量,分析可疑现象。流量,分析可疑现象。n根据工作方式:根据工作方式:离线监测系统离线监测系统在线监测系统在线监测系统118IDS工作原理工作原理n第一步:信息
107、收集。包括系统、网络、数据、以第一步:信息收集。包括系统、网络、数据、以及用户的状态和行为,需要在多个不同的关键点及用户的状态和行为,需要在多个不同的关键点(网段(网段/交换机或主机)收集信息。多来源的信息交换机或主机)收集信息。多来源的信息有利于综合判断。有利于综合判断。日志文件日志文件目录和文件的不期望的改变目录和文件的不期望的改变程序执行的不期望改变程序执行的不期望改变物理形式入侵物理形式入侵119IDS工作原理工作原理第二步:信息分析第二步:信息分析模式匹配:实时入侵检测模式匹配:实时入侵检测统计分析:实时入侵检测统计分析:实时入侵检测完整性分析:事后分析完整性分析:事后分析入侵检测系
108、统的核心,它的效率高低直接决定入侵检测系统的核心,它的效率高低直接决定了整个入侵检测系统的性能。了整个入侵检测系统的性能。根据数据分析的不同方式可将入侵检测系统分根据数据分析的不同方式可将入侵检测系统分为为异常入侵检测异常入侵检测与与误用入侵检测误用入侵检测两类两类.120IDS工作原理工作原理n第三步:响应,响应并不局限于对可疑的攻击者,第三步:响应,响应并不局限于对可疑的攻击者,目前的入侵检测系统一般采取下列响应。目前的入侵检测系统一般采取下列响应。1、将分析结果记录在日志文件中,并产生相应的报告。、将分析结果记录在日志文件中,并产生相应的报告。2、触发警报:如在系统管理员的桌面上产生一个
109、告警、触发警报:如在系统管理员的桌面上产生一个告警标志位,向系统管理员发送传呼或电子邮件等等。标志位,向系统管理员发送传呼或电子邮件等等。3、修改入侵检测系统或目标系统,如终止进程、切断、修改入侵检测系统或目标系统,如终止进程、切断攻击者的网络连接,或更改防火墙配置等。攻击者的网络连接,或更改防火墙配置等。121基于规则的检测(模式匹配)基于规则的检测(模式匹配)122基于异常检测基于异常检测n建立正常活动特征模式建立正常活动特征模式n制定偏离正常特征许可阈值制定偏离正常特征许可阈值n模式匹配模式匹配n难点在于匹配方式和阈值的确定难点在于匹配方式和阈值的确定n准确率相对较高准确率相对较高n对新
110、的入侵方法无能为力对新的入侵方法无能为力n难点在于如何设计模式既能表达入侵又不影响难点在于如何设计模式既能表达入侵又不影响正常。正常。123IP安全概述 n大型网络系统内运行多种网络协议(大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和和NETBEUA等),这些网络协议并非为安全通信设计。等),这些网络协议并非为安全通信设计。nIP协议维系着整个协议维系着整个TCP/IP协议的体系结构协议的体系结构,除了数据链路,除了数据链路层外,层外,TCP/IP的所有协议的数据都是以的所有协议的数据都是以IP数据报的形式传数据报的形式传输的。输的。nTCP/IP协议簇有两种协议簇有两种IP版
111、本:版本:IPv4和和IPv6;IPv6简化了简化了IP头,其数据报更加灵活,同时头,其数据报更加灵活,同时IPv6还增加了对安全性的还增加了对安全性的考虑。考虑。124 IP安全的必要性 n目前占统治地位的是目前占统治地位的是IPv4,IPv4在设计之初没有考虑安全在设计之初没有考虑安全性,性,IP包本身并不具备任何安全特性,导致在网络上传输包本身并不具备任何安全特性,导致在网络上传输的数据很容易受到各式各样的攻击:的数据很容易受到各式各样的攻击:比如伪造比如伪造IP包地址、包地址、修改其内容、重放以及在传输途中拦截并查看包的内容修改其内容、重放以及在传输途中拦截并查看包的内容等。等。因此,
112、通信双方不能保证收到因此,通信双方不能保证收到IP数据报的真实性。数据报的真实性。n为了加强因特网的安全性,制定了一套用于保护为了加强因特网的安全性,制定了一套用于保护IP通信的通信的IP安全协议(安全协议(IP Security,IPSec)。)。IPSec是是IPv6的一个的一个组成部分,是组成部分,是IPv4的一个可选扩展协议。的一个可选扩展协议。IPSec弥补了弥补了IPv4在协议设计时缺乏安全性考虑的不足在协议设计时缺乏安全性考虑的不足。125IPSec通过使用基于密码学的保护服务、安全协议和动态密通过使用基于密码学的保护服务、安全协议和动态密钥管理,实现以下目标:钥管理,实现以下目
113、标:n1、认证、认证IP报文的来源报文的来源基于基于IP地址的访问控制十分脆弱,因为攻击者可以很容易利用伪地址的访问控制十分脆弱,因为攻击者可以很容易利用伪装的装的IP地址来发送地址来发送IP报文。许多攻击者利用机器间基于报文。许多攻击者利用机器间基于IP地址的信任,地址的信任,来伪装来伪装IP地址。地址。IPSec允许设备使用比源允许设备使用比源IP地址更安全的方式来认证地址更安全的方式来认证IP数据报的来源。数据报的来源。IPSec的这一标准称为的这一标准称为原始认证原始认证。n2、保证、保证IP数据报的完整性数据报的完整性除了确认除了确认IP数据报的来源,还希望能确保报文在网络中传输时没
114、数据报的来源,还希望能确保报文在网络中传输时没有发生变化。使用有发生变化。使用IPSec,可以,可以确信在确信在IP报文上没有发生任何变化报文上没有发生任何变化。IPSec的这一特性称为的这一特性称为无连接完整性无连接完整性。126n3、确保、确保IP报文的内容在传输过程中不被破解报文的内容在传输过程中不被破解 除了认证与完整性之外,还期望当报文在网上传播时,未授权方除了认证与完整性之外,还期望当报文在网上传播时,未授权方不能读取报文的内容。这可以通过在传输前,将报文加密来实现。通不能读取报文的内容。这可以通过在传输前,将报文加密来实现。通过过加密加密报文,可以确保攻击者不能破解报文的内容,即
115、使他们可以用报文,可以确保攻击者不能破解报文的内容,即使他们可以用侦听程序截获报文。侦听程序截获报文。n4、确保认证报文没有重复、确保认证报文没有重复即使攻击者不能发送伪装的报文,不能改变报文,不能读取报文即使攻击者不能发送伪装的报文,不能改变报文,不能读取报文的内容,攻击者仍然可以通过重发截获的认证报文来干扰正常的通信,的内容,攻击者仍然可以通过重发截获的认证报文来干扰正常的通信,从而导致事务多次执行,或是使被复制报文的上层应用发生混乱。从而导致事务多次执行,或是使被复制报文的上层应用发生混乱。IPSec能能检测出重复报文并丢弃检测出重复报文并丢弃它们。这一特性称为它们。这一特性称为反重传反
116、重传。nIPSec并不是一个单一的协议或算法,它是一系列加密实现中使用的并不是一个单一的协议或算法,它是一系列加密实现中使用的加密标准定义的加密标准定义的集合集合。IPSec实现在实现在IP层的安全,因而它层的安全,因而它与任何上层与任何上层应用或传输层的协议无关应用或传输层的协议无关。上层不需要知道在上层不需要知道在IP层实现的安全层实现的安全,所以,所以在在IP层不需要做任何修改层不需要做任何修改。127IPSec协议簇nIPsec 在在IP层层提提供供安安全全服服务务,它它使使系系统统能能按按需需选选择择安安全全协协议议,决决定定服务所使用的算法及放置需求服务所需密钥到相应位置。服务所使
117、用的算法及放置需求服务所需密钥到相应位置。 nIPsec 用用来来保保护护一一条条或或多多条条主主机机与与主主机机间间、安安全全网网关关与与安安全全网网关关间间、安全网关与主机安全网关与主机间的路径。间的路径。 nIPsec 能提供的安全服务集包括访问控制、无连接的完整性、数据能提供的安全服务集包括访问控制、无连接的完整性、数据源认证、拒绝重发包(部分序列完整性形式)、保密性和有限传源认证、拒绝重发包(部分序列完整性形式)、保密性和有限传输流保密性。因为这些服务均在输流保密性。因为这些服务均在 IP 层提供,所以任何高层协议均层提供,所以任何高层协议均能使用它们,例如能使用它们,例如 TCP
118、、 UDP 、ICMP 、 BGP 等等。等等。128n这些目标是通过使用两大传输安全协议这些目标是通过使用两大传输安全协议:头部认证(头部认证(AH) 和和封装封装安全负载安全负载 (ESP),以及密钥管理程序和,以及密钥管理程序和密钥交换协议密钥交换协议(IKE) 来完来完成的。成的。n所需的所需的 IPsec 协议集内容及其使用的方式是由用户、应用程序、和协议集内容及其使用的方式是由用户、应用程序、和/或站点、组织对安全和系统的需求来决定。或站点、组织对安全和系统的需求来决定。n当正确的实现、使用这些机制时,它们不会对不使用这些安全机当正确的实现、使用这些机制时,它们不会对不使用这些安全
119、机制保护传输的用户、主机和其他制保护传输的用户、主机和其他Internet部分产生负面的影响。部分产生负面的影响。n这些机制也被设计成算法独立的模块这些机制也被设计成算法独立的模块, 这种模块性允许选择不同的这种模块性允许选择不同的算法集而算法集而不影响其他部分不影响其他部分的实现。的实现。129nIPSec 结构包括众多协议和算法结构包括众多协议和算法:IKE头部认证头部认证封装安全负载封装安全负载密钥交换协议密钥交换协议130IPSec工作模式工作模式nIPSec在在IP报文中使用一个新的报文中使用一个新的IPSec报头来封装信息,这个过程类报头来封装信息,这个过程类似于用一个正常的似于用
120、一个正常的IP报文头封装上层的报文头封装上层的TCP或或UDP信息。信息。n可以配置可以配置IPSec封装完整的封装完整的IP数据报或只是上层信息。如果配置为数据报或只是上层信息。如果配置为封装整个封装整个IP数据报,那么它就工作在数据报,那么它就工作在隧道模式隧道模式(Tunnel Mode)。)。如果配置为只封装如果配置为只封装IP数据报中上层协议信息,那么它就工作在数据报中上层协议信息,那么它就工作在传传输模式输模式(Transportation Mode)。)。 n新的新的IPSec报文包含报文包含IP报文认证的信息,原始报文认证的信息,原始IP报文的内容,可以报文的内容,可以根据特定
121、应用的需求选择加密与否。根据特定应用的需求选择加密与否。131传输模式(传输模式(Transportation Mode)是在是在计算机计算机之间使用之间使用IPSec来实现安全;来实现安全;是一种是一种端对端端对端 end to end的保护;的保护;是是IPSec的缺省模式的缺省模式 IP首部首部 IPsec首部首部 原上层包(原上层包(TCP/UDP)132隧道模式隧道模式tunnelmode:n是在是在网络之间网络之间使用使用IPSec实现安全;实现安全;n是一种点到点是一种点到点pointtopoint的保护;的保护;n隧道是对数据包重新封装的过程,它将原始数据包封装在新的数隧道是对
122、数据包重新封装的过程,它将原始数据包封装在新的数据包内部,从而改变数据包的寻址路径;据包内部,从而改变数据包的寻址路径;n通过新增通过新增IP包头的方法,将目的地址改变为隧道终点,对和隧道包头的方法,将目的地址改变为隧道终点,对和隧道终点之间的传输设置加密等操作;终点之间的传输设置加密等操作;n通常,隧道终点即为安全性网关,也就是说此网关和目的主机之通常,隧道终点即为安全性网关,也就是说此网关和目的主机之间的通信是安全的其思想是先将数据包通过间的通信是安全的其思想是先将数据包通过IPSec策略传送到安策略传送到安全性网关,再由安全性网关正常传送到目的主机。全性网关,再由安全性网关正常传送到目的
123、主机。 IP首部首部 IPsec首部首部 原原IP包包133认证报头协议认证报头协议AHAHn认证报头(认证报头(AuthenticationHeader,AH)为整个数)为整个数据包(数据包中携带的据包(数据包中携带的IP报头和数据)提供报头和数据)提供身份验证、身份验证、完整性和防止重发完整性和防止重发。n因为不加密数据,所以因为不加密数据,所以不提供机密性不提供机密性。数据可以读取,。数据可以读取,但是禁止修改。但是禁止修改。n在使用鉴别首部在使用鉴别首部 AH 时,将时,将 AH 首部插在原数据报数首部插在原数据报数据部分的前面,同时将据部分的前面,同时将 IP 首部中的协议字段置为首
124、部中的协议字段置为 51.134n在传输过程中,中间的路由器都不查看在传输过程中,中间的路由器都不查看 AH 首部。当首部。当数据报到达目的站时,目的站主机才处理数据报到达目的站时,目的站主机才处理 AH 字段,字段,以鉴别源主机和检查数据报的完整性。以鉴别源主机和检查数据报的完整性。 IP 首部AH 首部TCP/UDP 报文段协议 = 51可鉴别的 IP 数据报原数据报的数据部分135AH 首部 136(1)下一个首部下一个首部(8bit)。标志紧接着本首部的下一个首部的类型。标志紧接着本首部的下一个首部的类型(如(如TCP或或UDP)。)。(2)有效载荷长度有效载荷长度(8bit),即鉴别
125、数据字段的长度,以,即鉴别数据字段的长度,以32bit字为字为单位。单位。(3)安全参数索引安全参数索引SPI(32bit)。标志。标志安全关联安全关联,身份验证和完整,身份验证和完整性检查。性检查。(4)序号序号(32bit)。单项递增计数器,提供抗重播功能。单项递增计数器,提供抗重播功能。(5)保留保留(16bit)。为今后用。为今后用。(6)验证数据验证数据(可变可变)。为。为32bit字的整数倍,它包含了经数字签字的整数倍,它包含了经数字签名的报文摘要,用来鉴别源主机和检查名的报文摘要,用来鉴别源主机和检查IP数据报的完整性。数据报的完整性。137ESP协议协议(Encapsulati
126、ng Security Payload)封装安全载荷封装安全载荷nESP为为IP报文提供数据完整性校验、身份验证以及重放攻击保护报文提供数据完整性校验、身份验证以及重放攻击保护等。除了等。除了AH提供的所有服务外,提供的所有服务外,还提供机密性服务还提供机密性服务。n在在ESP首部中有标识一个安全关联的安全参数索引首部中有标识一个安全关联的安全参数索引SPI(32bit),和序号,和序号(32bit)。n在在ESP尾部中有下一个首部(尾部中有下一个首部(8bit,作用和,作用和AH首部的一样)。首部的一样)。ESP尾部和原来数据报的数据部分一起进行加密,因此攻击者尾部和原来数据报的数据部分一起
127、进行加密,因此攻击者无法得知所使用的运输层协议无法得知所使用的运输层协议。nESP的鉴别数据和的鉴别数据和AH中的鉴别数据是一样的。因此,用中的鉴别数据是一样的。因此,用ESP封装的数据报既有鉴别源站和检查数据报完整性的功能,又能提封装的数据报既有鉴别源站和检查数据报完整性的功能,又能提供保密。供保密。138在 IP 数据报中的ESP 的各字段 IP 首部ESP 首部TCP/UDP 报文段协议 = 50可鉴别的保密的 IP 数据报原数据报的数据部分ESP 尾部 ESP 鉴别数据加密的部分鉴别的部分139nESP可在可在传输模式以及隧道模式传输模式以及隧道模式下使用。下使用。ESP头可以位于头可
128、以位于IP头与头与上层协议之间,或者用它封装整个上层协议之间,或者用它封装整个IP数据报。数据报。ESP协议字段置为协议字段置为 50,ESP头的格式:头的格式: 140n安全安全负载封装封装头的第一个双字字段指定了安全参数索引(的第一个双字字段指定了安全参数索引(SPI),),这个个“索引索引”指定了解安全指定了解安全负载封装数据包用到的封装数据包用到的“安全安全联盟盟”。n序序列列号号,被用来被用来预防重复攻防重复攻击。n初始向量初始向量,指定了加密程序使用的指定了加密程序使用的“初始向量初始向量”(IV:Initialization Vector)。不使用)。不使用“初始向量初始向量”对
129、称加密算法可能称加密算法可能被多次攻被多次攻击。“初始向量初始向量”可以确保两个相同的可以确保两个相同的负载被加密成不被加密成不同的同的负载。nIPsec使用使用密密码块来来进行加密行加密处理。因此,如果理。因此,如果负载的的长度不是度不是声的整倍声的整倍长时可能需要填可能需要填补。这时需要增加填需要增加填补长度。度。n下一个下一个头部部字段指定字段指定紧接着本首部的下一个首部的类型(如紧接着本首部的下一个首部的类型(如TCP或或UDP) 。141nAH协议和协议和ESP协议协议AH协议(协议(Authentication Header,验证头):可以证明数据的,验证头):可以证明数据的起源地
130、、保障数据的完整性以及防止相同数据包在因特网重播。起源地、保障数据的完整性以及防止相同数据包在因特网重播。ESP协议(协议(Encapsulating Security Payload,封装安全载荷):,封装安全载荷):具有所有具有所有AH的功能,还可以利用加密技术保障数据机密性。的功能,还可以利用加密技术保障数据机密性。n虽然虽然AH和和ESP都可以提供身份认证,但它们有都可以提供身份认证,但它们有2点区别:点区别:ESP要求使用高强度的加密算法,会受到许多限制。要求使用高强度的加密算法,会受到许多限制。多数情况下,使用多数情况下,使用AH的认证服务已能满足要求,相对来说,的认证服务已能满足
131、要求,相对来说,ESP开销较大。开销较大。n有两套不同的安全协议意味着可以对有两套不同的安全协议意味着可以对IPSec网络进行更细粒度的控制,网络进行更细粒度的控制,选择安全方案可以有更大的灵活度。选择安全方案可以有更大的灵活度。1421.1 VPN简介简介vVPN是企业网在因特网等公共网络上的延伸是企业网在因特网等公共网络上的延伸v VPN通过一个私有的通道来创建一个安全的私有连接,通过一个私有的通道来创建一个安全的私有连接,将远程用户、公司分支机构、公司的业务伙伴等跟企业网将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来,形成一个扩展的公司企业网连接起来,形成一个扩展的公司企业网
132、v 提供高性能、低价位的因特网接入提供高性能、低价位的因特网接入VPN概述概述VPN功能功能VPN工作原理工作原理VPN具体应用具体应用143远程访问远程访问Internet内部网内部网合作伙伴合作伙伴分支机构分支机构虚拟私有网虚拟私有网虚拟私有网虚拟私有网虚拟私有网虚拟私有网VPN是企业网在因特网上的延伸是企业网在因特网上的延伸VPN的典型应用的典型应用144v AH协议协议v ESP协议协议v ISAKMP/Oakley协议协议基于基于 IPSec 的的VPN解决方案需要用到如下的协议:解决方案需要用到如下的协议:详细情况在详细情况在IPSec 协议体系中讲解协议体系中讲解IPSec 框架
133、的构成框架的构成VPN概述概述VPN功能功能VPN工作原理工作原理VPN具体应用具体应用1451.3.2 基于第二层的基于第二层的VPN解决方案解决方案 公司内部网公司内部网拨号连接拨号连接InternetL2 T P 通道通道用于该层的协议主要有:用于该层的协议主要有:v L2TP:Lay 2 Tunneling Protocolv PPTP:Point-to-Point Tunneling Protocolv L2F:Lay 2 ForwardingL2TP的缺陷:的缺陷:1.不认证通道中流过的数据报文,无法抵抗插入攻击、地址欺骗攻击。不认证通道中流过的数据报文,无法抵抗插入攻击、地址欺骗
134、攻击。2.没有针对每个数据报文的完整性校验。没有针对每个数据报文的完整性校验。3.不支持密钥的自动产生和自动刷新,因而监听的攻击者就可能最终破解密钥,从而得不支持密钥的自动产生和自动刷新,因而监听的攻击者就可能最终破解密钥,从而得到所传输的数据。到所传输的数据。L2 T P 通道通道1461.3.3结论结论 1.网络层对所有的上层数据提供透明方式的保护,但无法为应网络层对所有的上层数据提供透明方式的保护,但无法为应用提供足够细的控制粒度用提供足够细的控制粒度2.数据到了目的主机,基于网络层的安全技术就无法继续提供数据到了目的主机,基于网络层的安全技术就无法继续提供保护,因此在目的主机的高层协议栈中很容易受到攻击保护,因此在目的主机的高层协议栈中很容易受到攻击3.应用层的安全技术可以保护堆栈高层的数据,但在传递过程应用层的安全技术可以保护堆栈高层的数据,但在传递过程中,无法抵抗常用的网络层攻击手段,如源地址、目的地址中,无法抵抗常用的网络层攻击手段,如源地址、目的地址欺骗欺骗4.应用层安全更加智能,但更复杂且效率低应用层安全更加智能,但更复杂且效率低5.因此可以在具体应用中采用多种安全技术,取长补短因此可以在具体应用中采用多种安全技术,取长补短VPN概述VPN功能VPN工作原理VPN具体应用147
