网络通信安全(精品).ppt

第第4 4章章 网络通信安全网络通信安全第4章网络通信安全4.1 网络通信网络通信中的安全威胁中的安全威胁4.2 远程访问的安全远程访问的安全4.3 IP安全安全4.4 端口扫描端口扫描4.5 小结小结习题与思考题习题与思考题 第第4 4章章 网络通信安全网络通信安全本章学习目标本章学习目标1.了解网络通信安全的内容。2.了解网络通信传输中存在的安全威胁。3.掌握远程访问的安全配置方法。4.掌握端口扫描的概念和方法。5.掌握IP的基础知识，以及IP安全的相关内容。第第4 4章章 网络通信安全网络通信安全4.1 网络通信中的安全威胁网络通信中的安全威胁4.1.1网络通信的安全性4.1.2网络通信存在的安全威胁4.1.3TCP/IP协议的脆弱性第第4 4章章 网络通信安全网络通信安全4.1.1 网络通信的安全性网络通信的安全性网络通信安全是指通过各种计算机、网络、密码技术和信息安全技术，确保在通信网络中传输、交换和存储的信息完整、真实和保密，并对信息的传播及内容具有控制能力。网络通信安全性粗略地分为四个相互交织的部分：保密、鉴别、反拒认以及完整性控制。所有这些问题也发生在传统的系统中。网络通信安全的内容可以概括为以下几个方面：第第4 4章章 网络通信安全网络通信安全1.保密性：指防止静态信息被非授权访问和防止动态信息被截取解密。2.完整性：要求在存储或传输时信息的内容和顺序都不被伪造、乱序、重置、插入和修改。3.可靠性：指信息的可信度，包括信息的完整性、准确性和发送人的身份认证等方面。4.实用性：即信息的加密密钥不可丢失。第第4 4章章 网络通信安全网络通信安全5.可用性：指主机存放静态信息的可用性和可操作性。6.占有性：若存储信息的主机、磁盘等信息载体被盗用，则将导致对信息占有权的丧失。保护信息占有性的方法有使用版权、专利、商业秘密、使用物理和逻辑的访问限制，以及维护和检查有关盗窃文件的审计记录和使用标签等。第第4 4章章 网络通信安全网络通信安全4.1.2 网络通信存在的安全威胁网络通信存在的安全威胁 计算机网络通信安全即数据在网络中的传输过程的安全，是指如何保证信息在网络传输过程中不被泄露与不被攻击。当网络中的计算机通信双方的发送方给接收方发送信息时，在传输的过程中可能会遭到攻击，攻击类型主要有以下四种：第第4 4章章 网络通信安全网络通信安全1.截获截获：信息被非法用户截获，这时接收方没有接收到应该接收的信息，从而使信息中途丢失，失去了信息的可靠性。2.窃听窃听：信息虽然没有丢失，接收方也接收到了信息，但该信息已被不该看的人看到，失去了信息的保密性。3.篡改篡改：信息表面上虽然没有丢失，接收方也收到了应该接收的信息，但该信息在传输过程中已被截获并被修改，或插入了欺骗性的信息，实际上接收方所接收到的信息是错误的，失去了信息的完整性。4.伪造伪造：发送方并没有发送信息给接收方，而接收方收到的信息是第三方伪造的，如果接收方不能通过有效办法发现这一情况，那就有可能造成严重的后果。第第4 4章章 网络通信安全网络通信安全4.1.3 TCP/IP协议的脆弱性协议的脆弱性 TCP/IP协议是进行一切互联网上活动的基础，没有它，信息就不可能在不同操作系统、在不同通信协议中来去自由。因为当时网络软、硬件设备的局限性，当初设计该协议时只着重考虑了网络的速度，而对网络的安全性没作太多的考虑，甚至根本没作考虑，所以说TCP/IP本身在安全设计上就先天不足。第第4 4章章 网络通信安全网络通信安全1.网上信息易被窃取网上信息易被窃取大多数互联网上的信息是没有经过加密的，如电子邮件、网页中输入口令或填写个人资料、文件传输等这一切都很容易被一些别有用心的人监听和劫持，其实这就是TCP/IP通信协议在安全性方面的一个漏洞。第第4 4章章 网络通信安全网络通信安全2.IP的缺陷导致易被欺骗的缺陷导致易被欺骗IP包中的源地址可以伪造；IP包中的“生成时间”可以伪造；薄弱的认证环节。图4-1说明了如何使用这个选项把攻击者的系统假扮成某一特定服务器的可信任的客户。第第4 4章章 网络通信安全网络通信安全图图4-1 IP地址欺骗地址欺骗第第4 4章章 网络通信安全网络通信安全攻击者要使用那个被信任的客户的地址取代自己的地址。攻击者构成一条要攻击的服务器和其主机间的直接路径，把被信任的客户作为通向服务器的路径的最后节点。攻击者用这条路径向服务器发出客户申请。服务器接收客户申请，就好像是从可信任客户直接发出的一样，然后给可信任客户返回响应。可信任客户使用这条路径将包向前传送给攻击者的主机。第第4 4章章 网络通信安全网络通信安全3.ICMP的缺陷的缺陷网络中经常会使用到ICMP协议，只不过一般觉察不到而已。比如经常使用的用于检查网络通不通的“Ping”命令，这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的“Tracert”命令也是基于ICMP协议的。第第4 4章章 网络通信安全网络通信安全ICMP中的“Redirect”消息可以用来欺骗主机和路由器，并使用假路径。这些假路径可以直接通向攻击者的计算机系统，而不能真正连接到一个合法的可信赖的计算机用户，这会使攻击者获得系统的访问权。对于系统来说，缺乏反映信源到信宿真实路径的跟踪信息。通过TCP/IP发出一个数据包如同把一封信丢入信箱，发出者知道正在走向信宿，但发出者不知道通过什么路线或何时到达。这种不确定性也是安全漏洞。第第4 4章章 网络通信安全网络通信安全4.TCP/IP协议明码传送信息导致易被监视协议明码传送信息导致易被监视网络中最常见的窃听是发生在共享介质的网络中(如以太网)，这是由于TCP/IP网络中众多的网络服务均是明码传送。黑客使用Sniffer、Tcpdump或Snoop等探测工具，就可以清楚地看到某个用户从一台机器登录到另一台机器的全过程。大多数用户不加密邮件，而且许多人认为电子邮件是安全的，所以用它来传送敏感的内容。因此，电子邮件或者Telnet和FTP的内容，可以被监视从而了解一个站点的情况。第第4 4章章 网络通信安全网络通信安全5.提供不安全的服务提供不安全的服务基于TCP/IP协议的服务很多，有WWW服务、FTP服务和电子邮件服务，TFTP服务、NFS服务等。这些服务都存在不同程度上的安全缺陷，当用户要保护站点时，就需要考虑，该提供哪些服务，要禁止哪些服务，如果有防火墙，应把不对外的服务限制在内网中。第第4 4章章 网络通信安全网络通信安全4.2 远程访问的安全远程访问的安全管理安全的远程访问是一项艰巨的任务。因为远程系统可能直接连接到互联网而不是通过公司的防火墙，所以远程系统将给网络环境带来更大的风险。病毒和间谍软件防御以及一般的VPN网络策略还不足以保护这些系统的安全以及它们连接的网络的安全。远程访问安全的内容包括拨号调制解调器访问安全、虚拟专用网的安全以及无线网络接入的安全等。第第4 4章章 网络通信安全网络通信安全4.2 远程访问的安全远程访问的安全4.2.1拨号调制解调器访问安全4.2.2虚拟专用网的安全4.2.3无线网络接入的安全4.2.4远程溢出攻击与后门第第4 4章章 网络通信安全网络通信安全4.2.1 拨号调制解调器访问安全拨号调制解调器访问安全 通过传输媒介公用电话网（PublicSwitchedTelephoneNetworkPSTN），利用Modem模拟拨号技术来实现远程连接，是目前最为普通、方便的远程访问方式。虽然调制解调器给上网带来了极大的方便，但同时也带来了危险。不少人建立连接时，通常采取的措施并不安全，从开始到完成，只是根据默认的提示进行。第第4 4章章 网络通信安全网络通信安全调制解调器的危险在于它提供了进入用户网络的另一个入口点，也就是端口，一般来说，打开网络端口点越多，被入侵的可能性就越大。一般一个标准的Intranet结构会包括内、外网段。内网段和外段网之间有防火墙，在内外网段都可能提供拨号服务器，外网段拨号服务器供普通用户使用，内网段拨号服务器供公司的高级职员使用，这两种拨号服务保护方式是不同的。第第4 4章章 网络通信安全网络通信安全外网段拨号服务器被置于防火墙外部，它的安全是通过防火墙和身份验证服务器来保证的。对于内网段的内部网来说，这种服务应该是保密的，而且要严格控制，并应有强大的身份验证系统来保证安全。如果一个黑客通过拨号服务器登录到用户的网络中，那么他就像在用户的公司里使用一台机器一样，他会窃听到用户的内部网络通信。如何才能提高拨号网络的安全性呢？第第4 4章章 网络通信安全网络通信安全提高拨号调制解调器安全的方法很多，至少可以通过以下五种方法来实现。号码不要广泛流传。使用用户名和口令来保护拨号服务器。口令可以是静态，但最好是一次性口令。使用安全性好的调制调解器。回拨调制解调器、安静调制解调器是比较好的选择。第第4 4章章 网络通信安全网络通信安全回拨调制解调器是在连接时要求用户输入用户名和口令，它不会马上连接，它会先断开连接，查找该用户的合法电话号码，然后，回拨调制解调器会回拨到合法电话号码，并建立起连接。最后，用户就可以输入用户名和口令而进入该系统。这样做可以杜绝一个账号可以在不同电话机上使用的危险。安静调制解调器在登录完成之前不会发出特殊的“Connectionestablished”信号，这样可以防止有人按顺序搜索计算机拨号系统的电话号码。第第4 4章章 网络通信安全网络通信安全在网络上加一个用于核实用户身份的服务器。防范通过调制调解器对WindowsNT的RAS访问带来的安全隐患。WindowsNT、2000、2003的 远 程 访 问 服 务(RemoteAccessServerRAS)给用户提供了一种远程用调制解调器访问远程网络的功能，当用户通过远程访问服务连接到远程网络中时，电话线就变得透明了，用户可以访问所有资源，就像他们坐在办公室进而访问这些资源一样，RAS调制解调器起着像网卡一样的作用。第第4 4章章 网络通信安全网络通信安全但这种RAS在实施过程中存在许多重大的安全隐患。因为RAS服务器和网络操作系统服务器使用相同的用户数据库。用户用在办公室中使用的同一个用户进行登录，这样可以保证用户具有相同的访问权限，但这给网络安全的管理带来了新的难题。为了进行连接，用户必须有一个有效的系统用户账户和RAS拨入许可，这在用户尝试登录到系统之前，必须被验证。但如果用户不在公司，其身份的真实性就很难验证，如果某个系统管理员的账号被一些别有用心的人知道后进行RAS访问，那后果将会非常严重。第第4 4章章 网络通信安全网络通信安全加强公司员工账号管理。为了防止非法用户通过RAS访问网络就必须加强公司员工账号管理，特别是管理员账号。管理员账号最好不是使用“Administrator”。应对其进行改名，或增加一个同样权限的系统管理员组成员，用户账号也要求经常更改。定期更改密码。有些公司就要求所要用户密码至少一个月改一次，而且最近的两次密码不能一样，公司的进、销、存管理软件用户密码至少要求一个星期改一次，这在某种程度上预防了非法用户通过RAS进行非法登录。第第4 4章章 网络通信安全网络通信安全4.2.2 虚拟专用网的安全虚拟专用网的安全虚拟专用网(VirtualPrivateNetworkVPN)是专用网络在公共网络(如Internet)上的扩展。VPN通过私有隧道技术在公共网络上仿真一条点到点的专线，通信数据在安全隧道中进行加密传输，从而达到安全传输数据的目的。由于VPN具有高度灵活性、高带宽、高安全性、应用费用相对低廉等优点，已经成为非常理想的企业网远程访问解决方案。VPN的应用可以分为三个基本类型：AccessVPN、IntranetVPN和ExtranetVPN。第第4 4章章 网络通信安全网络通信安全1.1.VPNVPN的一般组网方案的一般组网方案可以利用企业现有的网络设备，如路由器、服务器与防火墙来建置VPN。有些企业网络以路由器为中心，把VPN服务加在路由器上。有些企业把防火墙看成是Internet安全通信的核心，选择防火墙式的VPN建置方案。1)路由器式VPN使用具有VPN功能的路由器，公司总部便可与分公司间经由Internet或ISP网络来传送企业内部资料。拨号连接用户也可在ISP网络中建立隧道(Tunneling)，以存取企业网络。第第4 4章章 网络通信安全网络通信安全相对来说，路由器式VPN部署较容易，只要在路由器上添加VPN服务，通常只需将软件升级即可，而新型路由器通常已在软件或操作系统中内建了VPN服务。基本上，路由器上的VPN软件升级，一般都会包括防火墙、加密以及隧道等功能。有些厂商则会将用户身份辨识与既有的身份辨识服务，如远程身份辨识拨号连接用户服务(RemoteAuthenticationDial-InUserServiceRADIUS)连结在一起。第第4 4章章 网络通信安全网络通信安全2)软件式VPN由生产厂商和协作厂商提供的VPN应用程序可执行加密、隧道建立与身份辨识，让用户通过VPN与企业内部网络相连。这种技术可使现有设备继续沿用，即将软件安装在现有的服务器上，不需变动网络组态。另外，程序可与现有的网络操作系统的身份辨识服务相连，可大幅简化VPN的管理工作。第第4 4章章 网络通信安全网络通信安全3)防火墙式VPN许多企业以防火墙为Internet安全措施的核心，用来防范黑客的攻击。许多防火墙厂商已在它们的产品中支持VPN服务，保护用户的内部网络免于被未授权的用户侵入。一个良好的防火墙可以根据用户、应用程序和传输源辨识通信流。这种作法的好处是现有网络架构保持不变，就可以管理VPN服务所用的接口，而且与原来管理防火墙时使用的接口相同。因为加密与建立隧道等VPN服务都是由软件来处理的，从而进一步提高了效能。第第4 4章章 网络通信安全网络通信安全2.VPN的安全管理的安全管理同任何的网络资源一样，VPN也必须得到有效的管理，需要关注VPN的安全问题。目前所有的VPN设备都应用了相关的核心技术，这些技术包括隧道协议(Tunneling)、资 料 加 密(Encryption)、认 证(Authentication)及存取控制(AccessControl)等。第第4 4章章 网络通信安全网络通信安全(1)隧道技术隧道技术就是将原始报文在A地进行封装，到达B地后去掉封装，还原成原始报文，这样就形成了一条由A到B的通信隧道。隧道协议技术分为两种不同的类型。端对端端对端(End-to-End)隧道技术隧道技术。从用户的PC延伸到用户所连接的服务器上。点对点点对点(Node-to-Node)隧道技术隧道技术。主要是连接不同地区的局域网络。在局域网络内部传送的资料并不需做任何的变动。第第4 4章章 网络通信安全网络通信安全(2)加密技术大部分VPN设备厂商都支持市场上主要的几种加密技术，像RSA Security公司的Rivest Cipher技术、DES及Triple-DES(三重DES)等。密钥长度的选择取决于许多因素，较明显的因素包括确保资料机密的重要性程度以及资料所流经的网络安全性等。在VPN中，加密应只使用于特别敏感的交通，当有需要时才使用，或加装硬件加密模块，因为加密非常占用处理器资源，而且会影响速度性能。第第4 4章章 网络通信安全网络通信安全一旦VPN采用加密技术后，系统也必须提供用户一套取得密钥的方法。最常见的几种密钥管理技术为PPP(Point-to-PointProtocol，点对点协议)中的加密技术。ECP协议(EncryptionControlProtocol，加密控制协议)MPPE(Microsoft Point-to-Point Encryption，Microsoft点对点加密技术)ISAKMP/IKE(InternetSocietyAssociationKeyManagementProtocol/InternetKeyExchange，网络安全关联密钥管理协议/网络密钥交换)第第4 4章章 网络通信安全网络通信安全(3)认证VPN采用了许多现存的用户认证技术。举例来说，许多 厂 商 所 推 出 的 VPN设 备 中，都 具 备 了 PPP的 PAP(PasswordAuthenticationProtocol，密码认证协议)技术、CHAP(ChallengeHandshakeAuthenticationProtocol，挑战性握手验证协议)。第第4 4章章 网络通信安全网络通信安全VPN连接包括两种认证形式：用户身份认证在VPN连接建立之前，VPN服务器对请求建立连接的VPN客户机进行身份验证，核查其是否为合法的授权用户。如果使用双向验证，还需进行VPN客户机对VPN服务器的身份验证。数据完整性和合法性认证检查链路上传输的数据是否出自源端以及在传输过程中是否经过篡改。VPN链路中传输的数据包含密码检查，密钥只由发送者和接收者双方共享。第第4 4章章 网络通信安全网络通信安全(4)存取控制在确认用户身份之后，进一步所需要的功能就是针对不同的用户授予不同的存取权限。这部分的功能也是认证服务器拥有的另一功能。第第4 4章章 网络通信安全网络通信安全许多VPN的产品都伴随有适用该产品的认证服务器。用户必须接受身份和授权程序的验证，让网络知道他们是谁以及让用户知道他们可以做些什么。一个良好的系统也会执行账户稽核，以追踪支出源和确保安全性。验证(Authentication)、授权(Authorization)和账户稽核(Accounting)，统称为AAA服务。第第4 4章章 网络通信安全网络通信安全(5)QoS技术通过隧道技术和加密技术，已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定，管理上不能满足用户的要求，这就要加入服务质量(QualityofServiceQoS)。实行QoS应该在主机网络中，即VPN所建立的隧道这一段，建立一条性能符合用户要求的隧道。第第4 4章章 网络通信安全网络通信安全4.2.3 无线网络接入的安全无线网络接入的安全随着无线网络技术的成熟，无线网络和数据采集设备及监控设备的有效结合，同样可以很方便地进行远程连接。目前实现无线网络的技术有：蓝牙无线接入技术IEEE802.11连接技术HomeRF(HomeRadioFrequency)技术。第第4 4章章 网络通信安全网络通信安全无线网络最基本的安全措施是有线等效保密WEP(WiredEquivalentPrivacy)协议。WEP使用RC4加密算法，这种算法使用同一组密钥来打乱以及重新组合网络封包。如果用户的密钥管理系统以一种可预测的方式循环使用一组不同的密钥，那么决心要破解密码的黑客便可以从正常用户的局域网络流量中收集资料，并且通过密钥的相关分析来帮助破解加密机制。他们的攻击技巧对于40位或者128位的RC4加密机制都同样有效。第第4 4章章 网络通信安全网络通信安全基于以上原因，最新的标准整合了两项与认证和加密有关的关键组件。在认证功能方面，未来可能会采用802.1x标准。采用这项标准能够让用户每次登入网络都使用不同的加密密钥，而且该标准自身提供了密钥管理机制。第第4 4章章 网络通信安全网络通信安全在新的标准没有出来之前，如果要确保无线接入的安全性最好，应该采取以下措施：1.使用动态秘钥管理使用动态秘钥管理动态安全链路会自动生成一个新的128位加密秘钥，它对每个网络用户和每次网络会话来说都是唯一的。这一技术能够比静态共享秘钥策略提供更高的网络安全性，帮助用户从手工的输入工作中解脱出来。第第4 4章章 网络通信安全网络通信安全2.定期稽核定期稽核强化无线接入安全性的一个必要步骤便是通过网络稽核，找出所有未受管制的无线局域网络联接器，进而将它们纳入系统既有安全政策的管制，或者干脆完全停止使用这些联接器。从短期来看，各企业应该使用具备无线局域网络流量侦测功能的产品，以便能够方便地找出无线局域网络联接器。第第4 4章章 网络通信安全网络通信安全3.认证认证由于以WEP为基础的标准规范存在安全缺陷，因此需要一套强而有力的认证机制与防火墙搭配一起使用，即将无线局域网络区段作为公共网络一样看待。第二层虚拟局域网络(Layer2virtualLANs)可以将无线局域网络流量区隔在单一防火墙之外，从而减少多重防火墙设备的需要。除了单纯地通过认证机制以及网络观测设备来进行存取 控 制 之 外，用 户 也 可 以 部 署 一 套 入 侵 侦 测 系 统(IntrusionDetectionSystemIDS)，以便主动地事先辨认出局域网络入侵迹象。第第4 4章章 网络通信安全网络通信安全4.2.4 远程溢出攻击与后门远程溢出攻击与后门1.1.远程溢出攻击远程溢出攻击远程溢出攻击作为常见的漏洞利用方式，一旦攻击者寻找并发现目标主机的某个守护进程或网络服务存在着远程溢出漏洞，那么他很可能在接下来的时间内取得主机的额外访问权，就这样攻击者在没有物理接触目标系统的情况下就获得了对目标主机的控制权。第第4 4章章 网络通信安全网络通信安全远程溢出攻击者无须一个账号登录到本地直接获得远程系统的管理员权限，通常通过攻击以root身份执行的有漏洞的系统守护进程或网络服务来完成，这些漏洞中的绝大部分来源于缓冲区溢出，少部分来自守护进程本身的逻辑缺陷。第第4 4章章 网络通信安全网络通信安全2.2.后门程序后门程序后门又称为BackDoor，其用途在于潜伏在电脑中，从事搜集信息或便于黑客进入的动作。后门程序和电脑病毒的最大的区别，在于后门程序不一定有自我复制的动作，也就是后门程序不一定会“感染”其他电脑。它不仅绕过系统已有的安全设置，而且还能挫败系统上各种增强的安全设置。第第4 4章章 网络通信安全网络通信安全简单的后门可能只是建立一个新的账号，或者接管一个很少使用的账号；复杂的后门（包括木马）可能会绕过系统的安全认证而对系统有安全存取权。后门产生的必要条件有以下三点：必须以某种方式与其他终端节点相连；目标机默认开放的可供外界访问的端口必须在一个以上；目标主机存在设计或人为疏忽，导致攻击者能以权限较高的身份执行程序。第第4 4章章 网络通信安全网络通信安全4.3 IP安全安全随着Internet的迅速发展，现有的IP版本不足以满足Internet的性能和功能要求。作为一种稀缺资源，IP地址的盗用就成为很常见的问题。IP地址盗用侵害了Internet网络的正常用户的权利，并且给网络计费、网络安全和网络运行带来了巨大的负面影响，因此解决IP地址盗用问题成为当前一个迫切的课题。第第4 4章章 网络通信安全网络通信安全4.3 IP安全安全4.3.1IP安全的防范技术4.3.2IP的鉴别和保密机制第第4 4章章 网络通信安全网络通信安全4.3.1 IP安全的防范技术安全的防范技术Internet的经营者已在某些领域开发出专用的安全机制。但是用户对于协议层有一些安全要求。通过实现IP级的安全性，就可以确保一个组织安全组网。IP级的安全包含两个功能域：鉴别和保密。IPv6对这些特征的支持是强制性的，而IPv4是选择性的。在两种情况下，安全特征主要都在IP信元头后面的扩展信元头中实现。第第4 4章章 网络通信安全网络通信安全1.IP1.IP地址盗用方法分析地址盗用方法分析IP地址的盗用方法多种多样，其常用方法主要有以下几种：静态修改IP地址。成对修改IP-MAC地址。动态修改IP地址。第第4 4章章 网络通信安全网络通信安全2.2.防范技术研究防范技术研究针对IP盗用问题，网络专家采用了各种防范技术，现在比较常用的防范技术主要是根据TCP/IP的层次结构，在不同的层次采用不同的方法来防止IP地址的盗用。交换机控制解决IP地址的最彻底的方法是使用交换机进行控制，即在TCP/IP第二层进行控制：使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问都将被拒绝。第第4 4章章 网络通信安全网络通信安全路由器隔离采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址是全球唯一的，不能改变。实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表，获得当前IP和MAC的对照关系，和事先合法的IP和MAC地址比较，如不一致，则为非法访问。第第4 4章章 网络通信安全网络通信安全防火墙与代理服务器使用防火墙与代理服务器相结合，也能较好地解决IP地址盗用问题。防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决，变IP管理为用户身份和口令的管理。第第4 4章章 网络通信安全网络通信安全4.3.2 IP的鉴别和保密机制的鉴别和保密机制 1.1.IPSecIPSec协议协议IPSec全称为InternetProtocolSecurity，是由InternetEngineeringTaskForce(IETF)定义的安全标准框架，是是Internet的网络层安全协议，用以提供公用和专用网络的端对端加密和验证服务。第第4 4章章 网络通信安全网络通信安全IPSec是应用于IP层上网络数据安全的一整套的协议体系结构。包括：l网络认证协议AH（AuthenticationHeader，认证头）lESP（EncapsulatingSecurityPayload，封装安全载荷）lIKE（InternetKeyExchange，因特网密钥交换）l用于网络认证及加密的一些算法第第4 4章章 网络通信安全网络通信安全SecurityProtocolLayers第第4 4章章 网络通信安全网络通信安全abcdefghiabcdefghiabcTCPdefTCPghiTCPTCPIPabcTCPIPdefTCPIPghiTCPIPApplicationdataDatainTCP/IP第第4 4章章 网络通信安全网络通信安全abcdefghiabcdefghiabcTCPdefTCPghiTCPTCPApplicationdatauvwTCPIPIPSecxyzTCPIPIPSeclmnTCPIPIPSecIP/IPSecDatainTCP/IPSec/IP第第4 4章章 网络通信安全网络通信安全2.2.安全关联（安全关联（SA)SA)为使通信双方的认证/加密算法及其参数、密钥的一致，相互间建立的联系被称为安全组合或安全关联（SecurityAssociation）。关联是发送方和接收方之间的单向关系，如果双向安全交换需要一个同级关系，那么就需要两个安全关联。SA由一个三元组唯一地标识，该三元组为安全索引参数SPI、一个用于输出处理的目的IP地址（或用于输入处理的源IP地址）和协议（如AH或ESP）。第第4 4章章 网络通信安全网络通信安全SPI是为了唯一标识SA而生成的一个32位整数。包含在AH头标和ESP头标中。有了SPI，相同源、目的节点的数据流可以建立多个SA。第第4 4章章 网络通信安全网络通信安全3.3.认证头标认证头标AHAH认证（鉴别）头标AH（AuthenticationHeader）提供无连接的完整性、数据源认证和抗重放保护服务。第第4 4章章 网络通信安全网络通信安全4.4.加密头标加密头标ESPESPESP（EncapsulatingSecurityPayload）提供数据保密、无连接完整性服务。ESP一般采用对称密码体制加密数据。根据用户要求，该机制可以用来给传送层的段加密（如TCP、用户数据报协议UDP或ICMP），或者给整个IP分组加密。前者叫作传送模式ESP，后者叫作隧道模式ESP。第第4 4章章 网络通信安全网络通信安全图图4-2 传送模式下传送模式下IP报文加密报文加密第第4 4章章 网络通信安全网络通信安全图图4-3 隧道模式下隧道模式下IP报文加密报文加密第第4 4章章 网络通信安全网络通信安全5 5鉴别与保密的综合鉴别与保密的综合鉴别与保密这两种IP安全机制可以综合运用，以传输要求保密和鉴别的IP分组。有两种综合方案可供选择。先加密，后鉴别在这种情况下，要鉴别整个IP分组，包括加密的和未加密的部分。第第4 4章章 网络通信安全网络通信安全先加密后鉴别先加密后鉴别lIP-H：基于IP的信元头加上扩展信元头lESP-H：密封保密负载信元头lET：密封保密负载尾部字段lAH：鉴别信元头第第4 4章章 网络通信安全网络通信安全先鉴别，后加密该方案适用于隧道模式的ESP。在这种情况下，鉴别信元头被放在内部IP分组之中。这一内部分组既被鉴别，被加密。第第4 4章章 网络通信安全网络通信安全先鉴别后加密先鉴别后加密第第4 4章章 网络通信安全网络通信安全4.4 端口扫描端口扫描4.4.1基本概念4.4.2端口扫描4.4.3栈指纹4.4.4端口扫描方法第第4 4章章 网络通信安全网络通信安全4.4.1 基本概念基本概念1.TCP1.TCP协议协议 TCP（传输控制协议）是一种使用得最广泛的网络通信协议，很多服务都是建立在TCP协议之上，比如最流行的Email(SMTP,POP3)、HTTP、FTP等等。第第4 4章章 网络通信安全网络通信安全TCP建立连接的过程（三次握手）第第4 4章章 网络通信安全网络通信安全TCP断开连接的过程（四次握手）第第4 4章章 网络通信安全网络通信安全2.TCP2.TCP协议标志位协议标志位TCP报文格式包含6个标志位，分别为：SYN：标志位用来建立连接，让连接双方同步序列号。如果SYN=1而ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连接。ACK：为确认标志位。如果为1，表示包中的确认号是有效的。否则，包中的确认号无效。FIN：表示发送端已经没有数据要求传输了，希望释放连接。第第4 4章章 网络通信安全网络通信安全RST：用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到一个分段明显不属于该主机上的任何一个连接，则向远端发送一个复位包。URG：为紧急数据标志。如果为1，表示本数据包中包含紧急数据。此时紧急数据指针有效。PSH：如果置位，接收端应尽快把数据传送给应用层。第第4 4章章 网络通信安全网络通信安全3.TCP3.TCP会话准则会话准则大部分系统在实现TCP/IP时遵循以下原则：当一个SYN或者FIN数据包到达一个关闭的端口，TCP丢弃数据包同时发送一个RST数据包。当一个RST数据包到达一个监听端口，RST被丢弃；当一个RST数据包到达一个关闭的端口，RST被丢弃。当一个包含ACK的数据包到达一个监听端口时，数据包被丢弃，同时发送一个RST数据包。第第4 4章章 网络通信安全网络通信安全当一个SYN位关闭的数据包到达一个监听端口时，数据包被丢弃。当一个SYN数据包到达一个监听端口时，正常的三阶段握手继续，回答一个SYNACK数据包。当一个FIN数据包到达一个监听端口时，数据包被丢弃。“FIN行为”（关闭端口返回RST，监听端口丢弃包），在URG和PSH标志位置位时同样要发生。所有的URG，PSH和FIN，或者没有任何标记的TCP数据包都会引起“FIN行为”。第第4 4章章 网络通信安全网络通信安全4.4.端口端口在Internet上，各主机间通过TCP/IP协议发送和接收数据报，各个数据报根据其目的主机的IP地址来进行互联网络中的路由选择。但是，大多数操作系统支持多程序（进程）同时运行，因此本地操作系统会给那些有需求的进程分配端口（Port）。端口其实就是队列，操作系统为各个进程分配了不同的队列，数据报按照目的端口被推入相应的队列中，等待被进程取用。第第4 4章章 网络通信安全网络通信安全5.ICMP5.ICMP协议协议 ICMP（Internet控制消息协议）协议用于在主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。ICMP报文分为查询报文和差错报文两类。第第4 4章章 网络通信安全网络通信安全常用常用ICMP报文分类报文分类报文类型查询报文差错报文回显请求/应答（ping）时间戳请求/应答地址掩码请求/应答超时端口不可达主机不可达网络不可达第第4 4章章 网络通信安全网络通信安全4.4.2 端口扫描端口扫描端口扫描是为了确定主机端口的开放情况。利用此技术，可以远程检测目标主机开放的服务。端口扫描前首先要枚举待扫描的端口，然后向目标主机的这些端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭。由此也可以得知目标主机提供的服务信息。第第4 4章章 网络通信安全网络通信安全到目前为止存在各类的端口扫描方法，主要有TCP全连接扫描、TCPSYN（半连接）扫描、TCPFIN扫描、UDPICMP端口不能到达扫描等。第第4 4章章 网络通信安全网络通信安全4.4.3 栈指纹栈指纹端口扫描只能提供被扫描主机所开放服务的信息，不会提供目标主机的操作系统的其它信息。为了更进一步的探测目标主机的操作系统信息，还需要使用栈指纹技术。协议栈指纹是指不同操作系统的网络协议栈存在的细微差别，这些差别可以用来区分不同的操作系统。第第4 4章章 网络通信安全网络通信安全常用的网络协议是标准的，因而从理论上讲各个操作系统的协议栈应该是相同的。但是，在实践中，各种操作系统的协议栈的实现存在细微的差异。这些差异称作网络协议栈的“指纹”。对TCP协议族来说，这些差异通常表现在数据包头的标志字段中。如windowsize、ACK序号、TTL等的不同取值。通过对这些差别进行归纳和总结，可以比较准确地识别出远程系统的操作系统类型。第第4 4章章 网络通信安全网络通信安全4.4.4 端口扫描方法端口扫描方法1.TCP connect()1.TCP connect()扫描扫描TCPconnect()扫描是最基本的TCP扫描方式。connect()是一种系统调用，由操作系统提供，用来打开一个连接。如果目标端口有程序监听，connect()就会成功返回，否则这个端口是不可达的。这项技术最大的优点是，不需要管理员权限，即可进行扫描。第第4 4章章 网络通信安全网络通信安全1.发出一个TCP连接请求数据包(SYN)，然后等待回应。2.如果对方返回应答包(ACK+SYN)，就表示目标端口正在监听；如果返回复位数据包(ACK+RST)，就表示目标端口没有监听程序。3.如果收到一个应答包(ACK+SYN)，则先发出一个应答数据包(ACK)来完成TCP三次握手过程，而后继续发出一个复位数据包(ACK+RST)来断开和目标主机的连接。步骤步骤第第4 4章章 网络通信安全网络通信安全2.TCP SYN2.TCP SYN扫描扫描TCP同步扫描(TCPSYN)：因为不必全部打开一个TCP连接，所以这项技术通常称为半开扫描(half-open)。第第4 4章章 网络通信安全网络通信安全1.发出一个TCP连接请求数据包(SYN)，然后等待回应。2.如果对方返回应答包(ACK+SYN)，就表示目标端口正在监听；如果返回复位数据包(ACK+RST)，就表示目标端口没有监听程序。3.如果收到一个应答包（ACK+SYN），则马上发出一个复位数据包（RST）来断开和目标主机的连接。步骤步骤第第4 4章章 网络通信安全网络通信安全3.3.主机扫描主机扫描通过向指定的网络内的每个IP地址发送ICMPecho请求数据包，可以实现主机探测，如果主机正在运行就会作出响应，否则无响应。通过扫描工具使用ARPPing扫描来发现局域网（ARP数据包不能跨越路由器）中正在运行的主机，是一种效率非常高的发现局域内活动主机的方法。第第4 4章章 网络通信安全网络通信安全 4.UDP4.UDP扫描扫描如果想知道某台主机上提供哪些UDP服务，可以使用这种扫描方法。首先向目标主机的每个端口发出一个0字节的UDP包，如果收到端口不可达的ICMP应答，则端口就是关闭的，否则就假设它是打开的。第第4 4章章 网络通信安全网络通信安全4.5 小结小结这一章介绍