网络通信安全.优秀PPT.ppt

《网络通信安全.优秀PPT.ppt》由会员分享，可在线阅读，更多相关《网络通信安全.优秀PPT.ppt（96页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第4 4章章 网络通信安全网络通信安全第4章网络通信平安4.1 网网络络通信中的平安威逼通信中的平安威逼4.2 远远程程访问访问的平安的平安4.3 IP平安平安4.4 端口端口扫扫描描4.5 小小结结习题习题与思索与思索题题 第第4 4章章 网络通信安全网络通信安全本章学习目标本章学习目标1.了解网络通信平安的内容。2.了解网络通信传输中存在的平安威逼。3.驾驭远程访问的平安配置方法。4.驾驭端口扫描的概念和方法。5.驾驭IP的基础学问，以及IP平安的相关内容。第第4 4章章 网络通信安全网络通信安全4.1 网网络络通信中的平安威逼通信中的平安威逼4.1.1网络通信的平安性4.1.2网络通信

2、存在的平安威逼4.1.3TCP/IP协议的脆弱性第第4 4章章 网络通信安全网络通信安全4.1.1 网络通信的平安性网络通信的平安性网络通信平安是指通过各种计算机、网络、密码技术和信息平安技术，确保在通信网络中传输、交换和存储的信息完整、真实和保密，并对信息的传播及内容具有限制实力。网络通信平安性粗略地分为四个相互交织的部分：保密、鉴别、反拒认以及完整性限制。全部这些问题也发生在传统的系统中。网络通信平安的内容可以概括为以下几个方面：第第4 4章章 网络通信安全网络通信安全1.保密性：指防止静态信息被非授权访问和防止动态信息被截取解密。2.完整性：要求在存储或传输时信息的内容和依次都不被伪造、

3、乱序、重置、插入和修改。3.牢靠性：指信息的可信度，包括信息的完整性、精确性和发送人的身份认证等方面。4.好用性：即信息的加密密钥不行丢失。第第4 4章章 网络通信安全网络通信安全3.可用性：指主机存放静态信息的可用性和可操作性。4.占有性：若存储信息的主机、磁盘等信息载体被盗用，则将导致对信息占有权的丢失。爱护信息占有性的方法有运用版权、专利、商业隐私、运用物理和逻辑的访问限制，以及维护和检查有关盗窃文件的审计记录和运用标签等。第第4 4章章 网络通信安全网络通信安全4.1.2 网络通信存在的平安威逼网络通信存在的平安威逼 计算机网络通信平安即数据在网络中的传输过程的平安，是指如何保证信息在

4、网络传输过程中不被泄露与不被攻击。当网络中的计算机通信双方的发送方给接收方发送信息时，在传输的过程中可能会遭到攻击，攻击类型主要有以下四种：第第4 4章章 网络通信安全网络通信安全1.截获：信息被非法用户截获，这时接收方没有接收到截获：信息被非法用户截获，这时接收方没有接收到应当接收的信息，从而使信息中途丢失，失去了信息应当接收的信息，从而使信息中途丢失，失去了信息的牢靠性。的牢靠性。2.窃听：信息虽然没有丢失，接收方也接收到了信息，窃听：信息虽然没有丢失，接收方也接收到了信息，但该信息已被不该看的人看到，失去了信息的保密性。但该信息已被不该看的人看到，失去了信息的保密性。3.篡改：信息表面上

5、虽然没有丢失，接收方也收到了应篡改：信息表面上虽然没有丢失，接收方也收到了应当接收的信息，但该信息在传输过程中已被截获并被当接收的信息，但该信息在传输过程中已被截获并被修改，或插入了欺瞒性的信息，事实上接收方所接收修改，或插入了欺瞒性的信息，事实上接收方所接收到的信息是错误的，失去了信息的完整性。到的信息是错误的，失去了信息的完整性。4.伪造：发送方并没有发送信息给接收方，而接收方收伪造：发送方并没有发送信息给接收方，而接收方收到的信息是第三方伪造的，假如接收方不能通过有效到的信息是第三方伪造的，假如接收方不能通过有效方法发觉这一状况，那就有可能造成严峻的后果。方法发觉这一状况，那就有可能造成

6、严峻的后果。第第4 4章章 网络通信安全网络通信安全4.1.3 TCP/IP协议的脆弱性协议的脆弱性 TCP/IP协议是进行一切互联网上活动的基础，没有它，信息就不行能在不同操作系统、在不同通信协议中来去自由。因为当时网络软、硬件设备的局限性，当时设计该协议时只着重考虑了网络的速度，而对网络的平安性没作太多的考虑，甚至根本没作考虑，所以说TCP/IP本身在平安设计上就先天不足。第第4 4章章 网络通信安全网络通信安全1.网上信息易被窃取网上信息易被窃取2.大大多多数数互互联联网网上上的的信信息息是是没没有有经经过过加加密密的的，如如电电子子邮邮件件、网网页页中中输输入入口口令令或或填填写写个个

7、人人资资料料、文文件件传传输输等等这这一一切切都都很很简简洁洁被被一一些些别别有有专专心心的的人人监监听听和和劫劫持持，其其实实这这就就是是TCP/IP通通信信协协议议在在平平安安性方面的一个漏洞。性方面的一个漏洞。第第4 4章章 网络通信安全网络通信安全2.IP的缺陷导致易被欺瞒的缺陷导致易被欺瞒IP包中的源地址可以伪造；包中的源地址可以伪造；IP包中的包中的“生成时间生成时间”可以伪造；可以伪造；薄弱的认证环节。薄弱的认证环节。图图4-1说说明明白白如如何何运运用用这这个个选选项项把把攻攻击击者者的的系系统假扮成某一特定服务器的可信任的客户。统假扮成某一特定服务器的可信任的客户。第第4 4

8、章章 网络通信安全网络通信安全图图4-1 IP地址欺瞒地址欺瞒第第4 4章章 网络通信安全网络通信安全攻击者要运用那个被信任的客户的地址取代自己的地址。攻击者构成一条要攻击的服务器和其主机间的干脆路径，把被信任的客户作为通向服务器的路径的最终节点。攻击者用这条路径向服务器发出客户申请。服务器接收客户申请，就似乎是从可信任客户干脆发出的一样，然后给可信任客户返回响应。可信任客户运用这条路径将包向前传送给攻击者的主机。第第4 4章章 网络通信安全网络通信安全3.ICMP的缺陷的缺陷网网络络中中常常常常会会运运用用到到ICMP协协议议，只只不不过过一一般般觉觉察察不不到到而而已已。比比如如常常常常运

9、运用用的的用用于于检检查查网网络络通通不不通通的的“Ping”吩吩咐咐，这这个个“Ping”的的过过程程事事实实上上就就是是ICMP协协议议工工作作的的过过程程。还还有有其其他他的的网网络络吩吩咐咐如如跟跟踪踪路路由由的的“Tracert”吩吩咐咐也是基于也是基于ICMP协议的。协议的。第第4 4章章 网络通信安全网络通信安全ICMP中的“Redirect”消息可以用来欺瞒主机和路由器，并运用假路径。这些假路径可以干脆通向攻击者的计算机系统，而不能真正连接到一个合法的可信任的计算机用户，这会使攻击者获得系统的访问权。对于系统来说，缺乏反映信源到信宿真实路径的跟踪信息。通过TCP/IP发出一个数

10、据包犹如把一封信丢入信箱，发出者知道正在走向信宿，但发出者不知道通过什么路途或何时到达。这种不确定性也是平安漏洞。第第4 4章章 网络通信安全网络通信安全4.TCP/IP协议明码传送信息导致易被监视协议明码传送信息导致易被监视 网网络络中中最最常常见见的的窃窃听听是是发发生生在在共共享享介介质质的的网网络络中中(如如以以太太网网)，这这是是由由于于TCP/IP网网络络中中众众多多的的网网络络服服务务均均是是明明码码传传送送。黑黑客客运运用用Sniffer、Tcpdump或或Snoop等等探探测测工工具具，就就可可以以清清晰晰地地看看到到某某个个用用户户从从一一台台机机器器登登录录到到另另一台机

11、器的全过程。一台机器的全过程。大大多多数数用用户户不不加加密密邮邮件件，而而且且很很多多人人认认为为电电子子邮邮件件是是平平安安的的，所所以以用用它它来来传传送送敏敏感感的的内内容容。因因此此，电电子子邮邮件件或或者者Telnet和和FTP的的内内容容，可可以以被被监监视视从从而而了了解解一一个个站点的状况。站点的状况。第第4 4章章 网络通信安全网络通信安全5.供应担忧全的服务供应担忧全的服务基基于于TCP/IP协协议议的的服服务务很很多多，有有WWW服服务务、FTP服服务务和和电电子子邮邮件件服服务务，TFTP服服务务、NFS服服务务等等。这这些些服服务务都都存存在在不不同同程程度度上上的

12、的平平安安缺缺陷陷，当当用用户户要要爱爱护护站站点点时时，就就须须要要考考虑虑，该该供供应应哪哪些些服服务务，要要禁禁止止哪哪些些服服务务，假假如如有防火墙，应把不对外的服务限制在内网中。有防火墙，应把不对外的服务限制在内网中。第第4 4章章 网络通信安全网络通信安全4.2 远远程程访问访问的平安的平安管理平安的远程访问是一项艰难的任务。因为远程系统可能干脆连接到互联网而不是通过公司的防火墙，所以远程系统将给网络环境带来更大的风险。病毒和间谍软件防卫以及一般的VPN网络策略还不足以爱护这些系统的平安以及它们连接的网络的平安。远程访问平安的内容包括拨号调制解调器访问平安、虚拟专用网的平安以及无线

13、网络接入的平安等。第第4 4章章 网络通信安全网络通信安全4.2 远远程程访问访问的平安的平安4.2.1拨号调制解调器访问平安4.2.2虚拟专用网的平安4.2.3无线网络接入的平安4.2.4远程溢出攻击与后门第第4 4章章 网络通信安全网络通信安全4.2.1 拨号调制解调器访问平安拨号调制解调器访问平安 通过传输媒介公用电话网（PublicSwitchedTelephoneNetworkPSTN），利用Modem模拟拨号技术来实现远程连接，是目前最为一般、便利的远程访问方式。虽然调制解调器给上网带来了极大的便利，但同时也带来了危急。不少人建立连接时，通常实行的措施并担忧全，从起先到完成，只是依

14、据默认的提示进行。第第4 4章章 网络通信安全网络通信安全调制解调器的危急在于它供应了进入用户网络的另一个入口点，也就是端口，一般来说，打开网络端口点越多，被入侵的可能性就越大。一般一个标准的Intranet结构会包括内、外网段。内网段和外段网之间有防火墙，在内外网段都可能供应拨号服务器，外网段拨号服务器供一般用户运用，内网段拨号服务器供公司的高级职员运用，这两种拨号服务爱护方式是不同的。第第4 4章章 网络通信安全网络通信安全外网段拨号服务器被置于防火墙外部，它的平安是通过防火墙和身份验证服务器来保证的。对于内网段的内部网来说，这种服务应当是保密的，而且要严格限制，并应有强大的身份验证系统来

15、保证平安。假如一个黑客通过拨号服务器登录到用户的网络中，那么他就像在用户的公司里运用一台机器一样，他会窃听到用户的内部网络通信。如何才能提高拨号网络的平安性呢？第第4 4章章 网络通信安全网络通信安全提高拨号调制解调器平安的方法很多，至少可以通过以下五种方法来实现。号码不要广泛流传。运用用户名和口令来爱护拨号服务器。口令可以是静态，但最好是一次性口令。运用平安性好的调制调解器。回拨调制解调器、安静调制解调器是比较好的选择。第第4 4章章 网络通信安全网络通信安全回拨调制解调器是在连接时要求用户输入用户名和口令，它不会立刻连接，它会先断开连接，查找该用户的合法电话号码，然后，回拨调制解调器会回拨

16、到合法电话号码，并建立起连接。最终，用户就可以输入用户名和口令而进入该系统。这样做可以杜绝一个账号可以在不同电话机上运用的危急。安静调制解调器在登录完成之前不会发出特殊的“Connectionestablished”信号，这样可以防止有人按依次搜寻计算机拨号系统的电话号码。第第4 4章章 网络通信安全网络通信安全在网络上加一个用于核好用户身份的服务器。防范通过调制调解器对WindowsNT的RAS访问带来的平安隐患。WindowsNT、2000、2003的远程访问服务(RemoteAccessServerRAS)给用户供应了一种远程用调制解调器访问远程网络的功能，当用户通过远程访问服务连接到远

17、程网络中时，电话线就变得透亮了，用户可以访问全部资源，就像他们坐在办公室进而访问这些资源一样，RAS调制解调器起着像网卡一样的作用。第第4 4章章 网络通信安全网络通信安全但这种RAS在实施过程中存在很多重大的平安隐患。因为RAS服务器和网络操作系统服务器运用相同的用户数据库。用户用在办公室中运用的同一个用户进行登录，这样可以保证用户具有相同的访问权限，但这给网络平安的管理带来了新的难题。为了进行连接，用户必需有一个有效的系统用户账户和RAS拨入许可，这在用户尝试登录到系统之前，必需被验证。但假如用户不在公司，其身份的真实性就很难验证，假如某个系统管理员的账号被一些别有专心的人知道后进行RAS

18、访问，那后果将会特别严峻。第第4 4章章 网络通信安全网络通信安全加强公司员工账号管理。为了防止非法用户通过RAS访问网络就必需加强公司员工账号管理，特殊是管理员账号。管理员账号最好不是运用“Administrator”。应对其进行改名，或增加一个同样权限的系统管理员组成员，用户账号也要求常常更改。定期更改密码。有些公司就要求所要用户密码至少一个月改一次，而且最近的两次密码不能一样，公司的进、销、存管理软件用户密码至少要求一个星期改一次，这在某种程度上预防了非法用户通过RAS进行非法登录。第第4 4章章 网络通信安全网络通信安全4.2.2 虚拟专用网的平安虚拟专用网的平安虚拟专用网(Virtu

19、alPrivateNetworkVPN)是专用网络在公共网络(如Internet)上的扩展。VPN通过私有隧道技术在公共网络上仿真一条点到点的专线，通信数据在平安隧道中进行加密传输，从而达到平安传输数据的目的。由于VPN具有高度敏捷性、高带宽、高平安性、应用费用相对低廉等优点，已经成为特别志向的企业网远程访问解决方案。VPN的应用可以分为三个基本类型：AccessVPN、IntranetVPN和ExtranetVPN。第第4 4章章 网络通信安全网络通信安全1.VPN的一般组网方案可以利用企业现有的网络设备，如路由器、服务器与防火墙来建置VPN。有些企业网络以路由器为中心，把VPN服务加在路由

20、器上。有些企业把防火墙看成是Internet平安通信的核心，选择防火墙式的VPN建置方案。1)路由器式VPN运用具有VPN功能的路由器，公司总部便可与分公司间经由Internet或ISP网络来传送企业内部资料。拨号连接用户也可在ISP网络中建立隧道(Tunneling)，以存取企业网络。第第4 4章章 网络通信安全网络通信安全相对来说，路由器式VPN部署较简洁，只要在路由器上添加VPN服务，通常只需将软件升级即可，而新型路由器通常已在软件或操作系统中内建了VPN服务。基本上，路由器上的VPN软件升级，一般都会包括防火墙、加密以及隧道等功能。有些厂商则会将用户身份辨识与既有的身份辨识服务，如远程

21、身份辨识拨号连接用户服务(RemoteAuthenticationDial-InUserServiceRADIUS)连结在一起。第第4 4章章 网络通信安全网络通信安全2)软件式VPN由生产厂商和协作厂商供应的VPN应用程序可执行加密、隧道建立与身份辨识，让用户通过VPN与企业内部网络相连。这种技术可使现有设备接着沿用，即将软件安装在现有的服务器上，不需变动网络组态。另外，程序可与现有的网络操作系统的身份辨识服务相连，可大幅简化VPN的管理工作。第第4 4章章 网络通信安全网络通信安全3)防火墙式VPN很多企业以防火墙为Internet平安措施的核心，用来防范黑客的攻击。很多防火墙厂商已在它们

22、的产品中支持VPN服务，爱护用户的内部网络免于被未授权的用户侵入。一个良好的防火墙可以依据用户、应用程序和传输源辨识通信流。这种作法的好处是现有网络架构保持不变，就可以管理VPN服务所用的接口，而且与原来管理防火墙时运用的接口相同。因为加密与建立隧道等VPN服务都是由软件来处理的，从而进一步提高了效能。第第4 4章章 网络通信安全网络通信安全2.VPN的平安管理的平安管理同同任任何何的的网网络络资资源源一一样样，VPN也也必必需需得得到到有有效效的的管管理理，须须要要关关注注VPN的的平平安安问问题题。目目前前全全部部的的VPN设设备备都都应应用用了了相相关关的的核核心心技技术术，这这些些技技

23、术术包包括括隧隧道道协协议议(Tunneling)、资资料料加加密密(Encryption)、认认证证(Authentication)及存取限制及存取限制(Access Control)等。等。第第4 4章章 网络通信安全网络通信安全(1)隧道技术隧道技术就是将原始报文在A地进行封装，到达B地后去掉封装，还原成原始报文，这样就形成了一条由A到B的通信隧道。隧道协议技术分为两种不同的类型。端对端(End-to-End)隧道技术。从用户的PC延长到用户所连接的服务器上。点对点(Node-to-Node)隧道技术。主要是连接不同地区的局域网络。在局域网络内部传送的资料并不需做任何的变动。第第4 4章

24、章 网络通信安全网络通信安全(2)加密技术大部分VPN设备厂商都支持市场上主要的几种加密技术，像RSASecurity公司的RivestCipher技术、DES及Triple-DES(三重DES)等。密钥长度的选择取决于很多因素，较明显的因素包括确保资料机密的重要性程度以及资料所流经的网络平安性等。在VPN中，加密应只运用于特殊敏感的交通，当有须要时才运用，或加装硬件加密模块，因为加密特别占用处理器资源，而且会影响速度性能。第第4 4章章 网络通信安全网络通信安全一旦VPN接受加密技术后，系统也必需供应用户一套取得密钥的方法。最常见的几种密钥管理技术为PPP(Point-to-PointPro

25、tocol，点对点协议)中的加密技术。ECP协议(EncryptionControlProtocol，加密限制协议)MPPE(MicrosoftPoint-to-PointEncryption，Microsoft点对点加密技术)ISAKMP/IKE(Internet Society Association Key ManagementProtocol/InternetKeyExchange，网络平安关联密钥管理协议/网络密钥交换)第第4 4章章 网络通信安全网络通信安全(3)认证VPN接受了很多现存的用户认证技术。举例来说，很多 厂 商 所 推 出 的 VPN设 备 中，都 具 备 了 PPP

26、的 PAP(PasswordAuthenticationProtocol，密码认证协议)技术、CHAP(ChallengeHandshakeAuthenticationProtocol，挑战性握手验证协议)。第第4 4章章 网络通信安全网络通信安全VPN连接包括两种认证形式：用户身份认证在VPN连接建立之前，VPN服务器对恳求建立连接的VPN客户机进行身份验证，核查其是否为合法的授权用户。假如运用双向验证，还需进行VPN客户机对VPN服务器的身份验证。数据完整性和合法性认证检查链路上传输的数据是否出自源端以及在传输过程中是否经过篡改。VPN链路中传输的数据包含密码检查，密钥只由发送者和接收者双

27、方共享。第第4 4章章 网络通信安全网络通信安全(4)存取限制在确认用户身份之后，进一步所须要的功能就是针对不同的用户授予不同的存取权限。这部分的功能也是认证服务器拥有的另一功能。第第4 4章章 网络通信安全网络通信安全很多VPN的产品都伴随有适用该产品的认证服务器。用户必需接受身份和授权程序的验证，让网络知道他们是谁以及让用户知道他们可以做些什么。一个良好的系统也会执行账户稽核，以追踪支出源和确保平安性。验证(Authentication)、授权(Authorization)和账户稽核(Accounting)，统称为AAA服务。第第4 4章章 网络通信安全网络通信安全(5)QoS技术通过隧道

28、技术和加密技术，已经能够建立起一个具有平安性、互操作性的VPN。但是该VPN性能上不稳定，管理上不能满足用户的要求，这就要加入服务质量(QualityofServiceQoS)。实行QoS应当在主机网络中，即VPN所建立的隧道这一段，建立一条性能符合用户要求的隧道。第第4 4章章 网络通信安全网络通信安全4.2.3 无线网络接入的平安无线网络接入的平安随着无线网络技术的成熟，无线网络和数据采集设备及监控设备的有效结合，同样可以很便利地进行远程连接。目前实现无线网络的技术有：蓝牙无线接入技术IEEE802.11连接技术HomeRF(HomeRadioFrequency)技术。第第4 4章章 网络

29、通信安全网络通信安全无线网络最基本的平安措施是有线等效保密WEP(WiredEquivalentPrivacy)协议。WEP运用RC4加密算法，这种算法运用同一组密钥来打乱以及重新组合网络封包。假如用户的密钥管理系统以一种可预料的方式循环运用一组不同的密钥，那么决心要破解密码的黑客便可以从正常用户的局域网络流量中收集资料，并且通过密钥的相关分析来帮助破解加密机制。他们的攻击技巧对于40位或者128位的RC4加密机制都同样有效。第第4 4章章 网络通信安全网络通信安全基于以上缘由，最新的标准整合了两项与认证和加密有关的关键组件。在认证功能方面，将来可能会接受802.1x标准。接受这项标准能够让用

30、户每次登入网络都运用不同的加密密钥，而且该标准自身供应了密钥管理机制。第第4 4章章 网络通信安全网络通信安全在新的标准没有出来之前，假如要确保无线接入的平安性最好，应当实行以下措施：1.运用动态秘钥管理动态平安链路会自动生成一个新的128位加密秘钥，它对每个网络用户和每次网络会话来说都是唯一的。这一技术能够比静态共享秘钥策略供应更高的网络平安性，帮助用户从手工的输入工作中解脱出来。第第4 4章章 网络通信安全网络通信安全2.定期稽核定期稽核强强化化无无线线接接入入平平安安性性的的一一个个必必要要步步骤骤便便是是通通过过网网络络稽稽核核，找找出出全全部部未未受受管管制制的的无无线线局局域域网网

31、络络联联接接器器，进进而而将将它它们们纳纳入入系系统统既既有有平平安安政政策策的的管管制制，或或者者干干脆脆完完全全停停止止运运用用这这些些联联接接器器。从从短短期期来来看看，各各企企业业应应当当运运用用具具备备无无线线局局域域网网络络流流量量侦侦测测功功能能的的产产品品，以以便便能能够够便便利利地地找找出出无无线线局局域域网网络联接器。络联接器。第第4 4章章 网络通信安全网络通信安全3.认证认证由由于于以以WEP为为基基础础的的标标准准规规范范存存在在平平安安缺缺陷陷，因因此此须须要要一一套套强强而而有有力力的的认认证证机机制制与与防防火火墙墙搭搭配配一一起起运运用用，即即将将无线局域网络

32、区段作为公共网络一样看待。无线局域网络区段作为公共网络一样看待。其其次次层层虚虚拟拟局局域域网网络络(Layer 2 virtual LANs)可可以以将将无无线线局局域域网网络络流流量量区区隔隔在在单单一一防防火火墙墙之之外外，从从而而削削减减多多重重防防火墙设备的须要。火墙设备的须要。除除了了单单纯纯地地通通过过认认证证机机制制以以及及网网络络观观测测设设备备来来进进行行存存取取 限限 制制 之之 外外，用用 户户 也也 可可 以以 部部 署署 一一 套套 入入 侵侵 侦侦 测测 系系 统统(Intrusion Detection SystemIDS)，以以便便主主动动地地事事先先分分辨辨

33、出局域网络入侵迹象。出局域网络入侵迹象。第第4 4章章 网络通信安全网络通信安全4.2.4 远程溢出攻击与后门远程溢出攻击与后门1.1.远程溢出攻击远程溢出攻击 远程溢出攻击作为常见的漏洞利用方式，远程溢出攻击作为常见的漏洞利用方式，一旦攻击者找寻并发觉目标主机的某个守护进程或一旦攻击者找寻并发觉目标主机的某个守护进程或网络服务存在着远程溢出漏洞，那么他很可能在接网络服务存在着远程溢出漏洞，那么他很可能在接下来的时间内取得主机的额外访问权，就这样攻击下来的时间内取得主机的额外访问权，就这样攻击者在没有物理接触目标系统的状况下就获得了对目者在没有物理接触目标系统的状况下就获得了对目标主机的限制权

34、。标主机的限制权。第第4 4章章 网络通信安全网络通信安全远程溢出攻击者无须一个账号登录到本地干脆获得远程系统的管理员权限，通常通过攻击以root身份执行的有漏洞的系统守护进程或网络服务来完成，这些漏洞中的绝大部分来源于缓冲区溢出，少部分来自守护进程本身的逻辑缺陷。第第4 4章章 网络通信安全网络通信安全2.2.后门程序后门程序 后门又称为后门又称为Back DoorBack Door，其用途在于潜，其用途在于潜藏在电脑中，从事搜集信息或便于黑客进入的动作。藏在电脑中，从事搜集信息或便于黑客进入的动作。后门程序和电脑病毒的最大的区分，在于后门程序后门程序和电脑病毒的最大的区分，在于后门程序不确

35、定有自我复制的动作，也就是后门程序不确定不确定有自我复制的动作，也就是后门程序不确定会会“感染感染”其他电脑。它不仅绕过系统已有的平安其他电脑。它不仅绕过系统已有的平安设置，而且还能挫败系统上各种增加的平安设置。设置，而且还能挫败系统上各种增加的平安设置。第第4 4章章 网络通信安全网络通信安全简洁的后门可能只是建立一个新的账号，或者接管一个很少运用的账号；困难的后门（包括木马）可能会绕过系统的平安认证而对系统有平安存取权。后门产生的必要条件有以下三点：必需以某种方式与其他终端节点相连；目标机默认开放的可供外界访问的端口必需在一个以上；目标主机存在设计或人为疏忽，导致攻击者能以权限较高的身份执

36、行程序。第第4 4章章 网络通信安全网络通信安全4.3 IP平安平安随着Internet的快速发展，现有的IP版本不足以满足Internet的性能和功能要求。作为一种稀缺资源，IP地址的盗用就成为很常见的问题。IP地址盗用侵害了Internet网络的正常用户的权利，并且给网络计费、网络平安和网络运行带来了巨大的负面影响，因此解决IP地址盗用问题成为当前一个迫切的课题。第第4 4章章 网络通信安全网络通信安全4.3 IP平安平安4.3.1IP平安的防范技术4.3.2IP的鉴别和保密机制第第4 4章章 网络通信安全网络通信安全4.3.1 IP平安的防范技术平安的防范技术Internet的经营者已在

37、某些领域开发出专用的平安机制。但是用户对于协议层有一些平安要求。通过实现IP级的平安性，就可以确保一个组织平安组网。IP级的平安包含两个功能域：鉴别和保密。IPv6对这些特征的支持是强制性的，而IPv4是选择性的。在两种状况下，平安特征主要都在IP信元头后面的扩展信元头中实现。第第4 4章章 网络通信安全网络通信安全1.IP1.IP地址盗用方法分析地址盗用方法分析IP地址的盗用方法多种多样，其常用方法主要有以下几种：静态修改IP地址。成对修改IP-MAC地址。动态修改IP地址。第第4 4章章 网络通信安全网络通信安全2.2.防范技术探讨防范技术探讨 针对针对IPIP盗用问题，网络专家接受了各盗

38、用问题，网络专家接受了各种防范技术，现在比较常用的防范技术主要是依种防范技术，现在比较常用的防范技术主要是依据据TCP/IPTCP/IP的层次结构，在不同的层次接受不同的的层次结构，在不同的层次接受不同的方法来防止方法来防止IPIP地址的盗用。地址的盗用。交换机限制交换机限制 解决解决IPIP地址的最彻底的方法是运用交地址的最彻底的方法是运用交换机进行限制，即在换机进行限制，即在TCP/IPTCP/IP其次层进行限制：运其次层进行限制：运用交换机供应的端口的单地址工作模式，即交换用交换机供应的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问机的每一个端口只允许一台主机通过

39、该端口访问网络，任何其它地址的主机的访问都将被拒绝。网络，任何其它地址的主机的访问都将被拒绝。第第4 4章章 网络通信安全网络通信安全路由器隔离接受路由器隔离的方法其主要依据是MAC地址作为以太网卡地址是全球唯一的，不能变更。实现方法为通过SNMP协议定期扫描校内网各路由器的ARP表，获得当前IP和MAC的比照关系，和事先合法的IP和MAC地址比较，如不一样，则为非法访问。第第4 4章章 网络通信安全网络通信安全防火墙与代理服务器运用防火墙与代理服务器相结合，也能较好地解决IP地址盗用问题。防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。运用这样的方法是将IP防盗放到应用

40、层来解决，变IP管理为用户身份和口令的管理。第第4 4章章 网络通信安全网络通信安全4.3.2 IP的鉴别和保密机制的鉴别和保密机制 1.1.IPSecIPSec协议协议2.2.IPSec IPSec全称为全称为Internet Protocol Internet Protocol SecuritySecurity，是由，是由Internet Engineering Task Internet Engineering Task Force(IETF)Force(IETF)定义的平安标准框架，定义的平安标准框架，是是InternetInternet的网络层平安协议，用以供应公用和专用网络的端的网

41、络层平安协议，用以供应公用和专用网络的端对端加密和验证服务。对端加密和验证服务。第第4 4章章 网络通信安全网络通信安全IPSec是应用于IP层上网络数据平安的一整套的协议体系结构。包括：网络认证协议AH（AuthenticationHeader，认证头）ESP（EncapsulatingSecurityPayload，封装平安载荷）IKE（InternetKeyExchange，因特网密钥交换）用于网络认证及加密的一些算法第第4 4章章 网络通信安全网络通信安全SecurityProtocolLayers第第4 4章章 网络通信安全网络通信安全abcdefghiabcdefghiabcTCP

42、defTCPghiTCPTCPIPabcTCPIPdefTCPIPghiTCPIPApplicationdataDatainTCP/IP第第4 4章章 网络通信安全网络通信安全abcdefghiabcdefghiabcTCPdefTCPghiTCPTCPApplicationdatauvwTCPIPIPSecxyzTCPIPIPSeclmnTCPIPIPSecIP/IPSecDatainTCP/IPSec/IP第第4 4章章 网络通信安全网络通信安全2.2.平安关联（平安关联（SA)SA)为使通信双方的认证为使通信双方的认证/加密算法及其参数、加密算法及其参数、密钥的一样，相互间建立的联系被称

43、为平安组合或平密钥的一样，相互间建立的联系被称为平安组合或平安关联（安关联（Security AssociationSecurity Association）。）。关联是发送方和接收方之间的单向关系，关联是发送方和接收方之间的单向关系，假如双向平安交换须要一个同级关系，那么就须要两假如双向平安交换须要一个同级关系，那么就须要两个平安关联。个平安关联。SA SA由一个三元组唯一地标识，该三元组为由一个三元组唯一地标识，该三元组为平安索引参数平安索引参数SPISPI、一个用于输出处理的目的、一个用于输出处理的目的IPIP地址地址（或用于输入处理的源（或用于输入处理的源IPIP地址）和协议（如地址）

44、和协议（如AHAH或或ESPESP）。）。第第4 4章章 网络通信安全网络通信安全SPI是为了唯一标识SA而生成的一个32位整数。包含在AH头标和ESP头标中。有了SPI，相同源、目的节点的数据流可以建立多个SA。第第4 4章章 网络通信安全网络通信安全3.3.认证头标认证头标AHAH 认证（鉴别）头标认证（鉴别）头标AHAH（Authentication HeaderAuthentication Header）供应无连接的完整）供应无连接的完整性、数据源认证和抗重放爱护服务。性、数据源认证和抗重放爱护服务。第第4 4章章 网络通信安全网络通信安全4.4.加密头标加密头标ESPESP ESP

45、ESP（Encapsulating Security Encapsulating Security PayloadPayload）供应数据保密、无连接完整性服务。）供应数据保密、无连接完整性服务。ESP ESP一般接受对称密码体制加密数据。一般接受对称密码体制加密数据。依据用户要求，该机制可以用来给传送依据用户要求，该机制可以用来给传送层的段加密（如层的段加密（如TCPTCP、用户数据报协议、用户数据报协议UDPUDP或或ICMPICMP），或者给整个），或者给整个IPIP分组加密。前者叫作传送模分组加密。前者叫作传送模式式ESPESP，后者叫作隧道模式，后者叫作隧道模式ESPESP。第第4

46、4章章 网络通信安全网络通信安全图图4-2 传送模式下传送模式下IP报文加密报文加密第第4 4章章 网络通信安全网络通信安全图图4-3 隧道模式下隧道模式下IP报文加密报文加密第第4 4章章 网络通信安全网络通信安全5 5鉴别与保密的综合鉴别与保密的综合 鉴别与保密这两种鉴别与保密这两种IPIP平安机制可以综平安机制可以综合运用，以传输要求保密和鉴别的合运用，以传输要求保密和鉴别的IPIP分组。有两分组。有两种综合方案可供选择。种综合方案可供选择。先加密，后鉴别先加密，后鉴别 在这种状况下，要鉴别整个在这种状况下，要鉴别整个IPIP分组，分组，包括加密的和未加密的部分。包括加密的和未加密的部分

47、。第第4 4章章 网络通信安全网络通信安全先加密后鉴别先加密后鉴别lIP-H：基于IP的信元头加上扩展信元头lESP-H：密封保密负载信元头lET：密封保密负载尾部字段lAH：鉴别信元头第第4 4章章 网络通信安全网络通信安全先鉴别，后加密该方案适用于隧道模式的ESP。在这种状况下，鉴别信元头被放在内部IP分组之中。这一内部分组既被鉴别，被加密。第第4 4章章 网络通信安全网络通信安全先鉴别后加密先鉴别后加密第第4 4章章 网络通信安全网络通信安全4.4 端口扫描端口扫描4.4.1基本概念4.4.2端口扫描4.4.3栈指纹4.4.4端口扫描方法第第4 4章章 网络通信安全网络通信安全4.4.1

48、 基本概念基本概念1.TCP1.TCP协议协议 TCP TCP（传输限制协议）是一种运用得最（传输限制协议）是一种运用得最广泛的网络通信协议，很多服务都是建立在广泛的网络通信协议，很多服务都是建立在TCPTCP协协议之上，比如最流行的议之上，比如最流行的Email(SMTP,POP3)Email(SMTP,POP3)、HTTPHTTP、FTPFTP等等。等等。第第4 4章章 网络通信安全网络通信安全TCP建立连接的过程（三次握手）第第4 4章章 网络通信安全网络通信安全TCP断开连接的过程（四次握手）第第4 4章章 网络通信安全网络通信安全2.TCP2.TCP协议标记位协议标记位 TCP TC

49、P报文格式包含报文格式包含6 6个标记位，分别为：个标记位，分别为：SYNSYN：标记位用来建立连接，让连接双方同步序列号。假：标记位用来建立连接，让连接双方同步序列号。假如如SYN=1SYN=1而而ACK=0ACK=0，则表示该数据包为连接恳求，假如，则表示该数据包为连接恳求，假如SYN=1SYN=1而而ACK=1ACK=1则表示接受连接。则表示接受连接。ACKACK：为确认标记位。假如为：为确认标记位。假如为1 1，表示包中的确认号是有，表示包中的确认号是有效的。否则，包中的确认号无效。效的。否则，包中的确认号无效。FINFIN：表示发送端已经没有数据要求传输了，希望释放连：表示发送端已经

50、没有数据要求传输了，希望释放连接。接。第第4 4章章 网络通信安全网络通信安全RST：用来复位一个连接。RST标记置位的数据包称为复位包。一般状况下，假如TCP收到一个分段明显不属于该主机上的任何一个连接，则向远端发送一个复位包。URG：为紧急数据标记。假如为1，表示本数据包中包含紧急数据。此时紧急数据指针有效。PSH：假如置位，接收端应尽快把数据传送给应用层。第第4 4章章 网络通信安全网络通信安全3.TCP3.TCP会话准则会话准则大部分系统在实现TCP/IP时遵循以下原则：当一个SYN或者FIN数据包到达一个关闭的端口，TCP丢弃数据包同时发送一个RST数据包。当一个RST数据包到达一个