网络安全基础教学.ppt

《网络安全基础教学.ppt》由会员分享，可在线阅读，更多相关《网络安全基础教学.ppt（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ISBN 9787113121358 2010年11月本书配套网站 http:/第五章第五章 网络安全基础网络安全基础http:/目录v5.1 网络安全体系模型网络安全体系模型v5.2 网络安全的常见威胁网络安全的常见威胁v5.3 计算机病毒及其防治计算机病毒及其防治http:/网络安全的脆弱性 vInternet是以是以TCP/IP协议为基础构建的，然而在协议为基础构建的，然而在创建之初，主要考虑的是连通和数据传输的方便创建之初，主要考虑的是连通和数据传输的方便快捷，并没有适当地考虑安全的需要快捷，并没有适当地考虑安全的需要 很容易被窃听和欺骗很容易被窃听和欺骗 脆弱的脆弱的TCP/IP服务

2、服务Internet安全的脆弱性安全的脆弱性 配置的错误和疏忽配置的错误和疏忽http:/回顾：OSI模型与TCP/IP协议组 应用层表示层会话层传输层网络层数据链路层物理层HTTPFTP传输层TCPUDP网络层ICMPIPIGMP链路层ARPRARP硬件接口SMTP、应用应用程序层http:/网络层地址和传输层地址的关系 v一台计算机可以提供多种服务，如一台计算机可以提供多种服务，如FTP、Telnet、Email等。为了使各种服务协调运行，等。为了使各种服务协调运行，TCP/IP协协议为每种服务设定了一个端口，称为议为每种服务设定了一个端口，称为TCP协议端协议端口。每个端口都拥有一个口。

3、每个端口都拥有一个16比特的端口号比特的端口号vTCP/IP的服务一般是通过的服务一般是通过IP地址加一个端口号地址加一个端口号（Port）来决定的。一台主机上可以同时运行许）来决定的。一台主机上可以同时运行许多个应用程序，通过多个应用程序，通过IP地址地址+端口号端口号才能确定数才能确定数据包是传给哪台主机上的哪个应用程序的据包是传给哪台主机上的哪个应用程序的 http:/IP地址和端口号的作用 主机主机A主机主机BQQ迅雷迅雷IEIP地址地址QQ迅雷迅雷IEIP地址地址+端口号端口号IP地址地址+端口号端口号IP地址地址+端口号端口号http:/IP地址和端口号的作用 v对于一些常见的程序

4、，它们使用的端口号一般是对于一些常见的程序，它们使用的端口号一般是固定的（有些程序需要占用几个端口，当然也可固定的（有些程序需要占用几个端口，当然也可以更改这些程序默认的端口号）。常见应用程序以更改这些程序默认的端口号）。常见应用程序的端口号如表所示。的端口号如表所示。v通过端口号还能辨别目标主机上正在运行哪些程通过端口号还能辨别目标主机上正在运行哪些程序。使用序。使用“netstat-an”命令可以查看本机上活命令可以查看本机上活动的连接和开放的端口动的连接和开放的端口http:/常用的网络服务端口号端口协议或程序端口协议或程序端口协议或程序TCP/UDP 21FTPTCP/UDP 25SM

5、TPTCP/UDP 53DNSTCP 80HTTPTCP 443HTTPSTCP 3389远程桌面TCP/UDP 23TelnetUDP 4004QQTCP 22SSHhttp:/网络各层的安全缺陷v3.IP层的安全缺陷层的安全缺陷vIP通信不需要进行身份认证，无法保证数据源通信不需要进行身份认证，无法保证数据源的真实性；的真实性；vIP数据包在传输时没有加密，无法保证数据传数据包在传输时没有加密，无法保证数据传输过程中的保密性、完整性；输过程中的保密性、完整性；vIP的分组和重组机制不完善，无法保证数据源的分组和重组机制不完善，无法保证数据源的正确性；的正确性；vIP地址的表示不需要真实及确

6、认，无法通过地址的表示不需要真实及确认，无法通过IP验证对方的身份等验证对方的身份等 http:/网络各层的安全缺陷v4.传输层的安全缺陷传输层的安全缺陷v传输层包括传输层包括TCP协议和协议和UDP协议，对协议，对TCP协议协议的攻击，主要利用的攻击，主要利用TCP建立连接时三次握手机制建立连接时三次握手机制的缺陷，像的缺陷，像SYN Flooding等拒绝服务攻击等都等拒绝服务攻击等都是针对该缺陷的。对是针对该缺陷的。对UDP协议的攻击，主要是协议的攻击，主要是进行流量攻击，强化进行流量攻击，强化UDP通信的不可靠性，以通信的不可靠性，以达到拒绝服务的目的达到拒绝服务的目的 http:/网

7、络各层的安全缺陷v5.应用层的安全缺陷应用层的安全缺陷v对应用层的攻击包括的面非常广，如对应用协议对应用层的攻击包括的面非常广，如对应用协议漏洞的攻击，对应用数据的攻击，对应用操作系漏洞的攻击，对应用数据的攻击，对应用操作系统平台的攻击等。统平台的攻击等。v对应用层攻击包括：未经审查的对应用层攻击包括：未经审查的Web方式的信方式的信息录入、应用权限的访问控制被攻破、身份认证息录入、应用权限的访问控制被攻破、身份认证和会话管理被攻破、跨站点的执行代码漏洞、缓和会话管理被攻破、跨站点的执行代码漏洞、缓存溢出漏洞等。存溢出漏洞等。http:/ISO/OSI安全体系结构 v1988年，为了在开放系统

8、互联参考模型年，为了在开放系统互联参考模型（OSI/RM）环境下实现信息安全，）环境下实现信息安全，ISO/TC97技技术委员会制定了术委员会制定了ISO 7498-2国际标准国际标准“信息处信息处理系统理系统开放系统互连开放系统互连基本参考模型基本参考模型第第2部部分：安全体系结构分：安全体系结构”v（1）对象认证安全服务。）对象认证安全服务。v（2）访问控制服务。）访问控制服务。v（3）数据保密服务。）数据保密服务。v（4）数据完整性服务。）数据完整性服务。v（5）抗抵赖服务）抗抵赖服务 http:/OSI安全机制与安全服务的关系 安全服安全服务务安全机制安全机制对对等等实实体体鉴别鉴别访

9、问访问控控制制数据保数据保密密数据完整性数据完整性 抗抵抗抵赖赖加密加密数字数字签签名名访问访问控制控制数据完整性数据完整性认证认证交交换换业务业务流填充流填充路由控制路由控制公公证证机制机制http:/安全技术与电子商务系统的安全需求的关系 安全技术安全要求加密 口令数字签名数字证书访问控制防火墙防病毒认证 安全监控完整性保密性真实性不可抵赖性抵抗攻击系统可用性http:/TCP/IP协议的安全服务与安全机制安全服务安全机制对等实体鉴别服务由基于加密技术的TCP三次握手交换鉴别机制支持数据源鉴别服务由加密机制和数据完整性机制支持面向连接的数据机密性服务由TCP保密连接机制和加密机制支持面向连

10、接可恢复的数据完整性服务由加密机制、数据完整性机制、TCP报文确认重发机制和保密连接交换鉴别机制支持访问控制由TCP保密连接机制和访问控制机制支持数据源和目的的不可否认服务由加密机制和数字签名机制支持http:/在不同层实现安全性的特点v为了实现为了实现Internet的安全性，从原理上说可以在的安全性，从原理上说可以在TCP/IP协议的任何一层实现。但在不同层级实协议的任何一层实现。但在不同层级实现安全性有着不同的特点现安全性有着不同的特点 v1）应用层安全必须在终端主机上实施）应用层安全必须在终端主机上实施 v2）在传输层实现安全机制，应用程序仍需要修）在传输层实现安全机制，应用程序仍需要

11、修改，才能要求传输层提供安全服务。传输层的安改，才能要求传输层提供安全服务。传输层的安全协议有全协议有SSL/TLS v3）网络层安全的优点是密钥协商的开销被大大）网络层安全的优点是密钥协商的开销被大大削减了削减了 http:/网络安全的加密方式 v1.链路链路链路加密链路加密v 加密对用户是透明的，通过链路发送的任何加密对用户是透明的，通过链路发送的任何信息在发送前都先被加密；信息在发送前都先被加密；v 每个链路两端节点需要一个共用密钥；每个链路两端节点需要一个共用密钥；v 攻击者无法获得链路上的任何报文结构的信攻击者无法获得链路上的任何报文结构的信息，因此可称之为提供了信号流安全；息，因此

12、可称之为提供了信号流安全；v 缺点是数据在中间节点以明文形式出现，维缺点是数据在中间节点以明文形式出现，维护节点安全性的代价较高。护节点安全性的代价较高。http:/网络安全的加密方式v2.节点加密节点加密v为了解决采用链接加密方式时，在中间节点上的为了解决采用链接加密方式时，在中间节点上的数据报文是以明文形式出现的缺点。节点加密在数据报文是以明文形式出现的缺点。节点加密在每个中间节点里装上一个用于加、解密的安全模每个中间节点里装上一个用于加、解密的安全模块，由它对信息先进行解密，然后进行加密，从块，由它对信息先进行解密，然后进行加密，从而完成一个密钥向另一个密钥的转换。这样，节而完成一个密钥

13、向另一个密钥的转换。这样，节点中的数据不会出现明文。点中的数据不会出现明文。http:/网络安全的加密方式v3.端端加密端端加密v端端端加密方法将网络看成是一种介质，数据能端加密方法将网络看成是一种介质，数据能安全地从源端到达目的端。这种加密在安全地从源端到达目的端。这种加密在OSI模型模型的高三层进行，在源端进行数据加密，在目的端的高三层进行，在源端进行数据加密，在目的端进行数据解密，而在中间节点及其线路上一直以进行数据解密，而在中间节点及其线路上一直以密文形式出现。密文形式出现。端端端加密是未来网络加密的发展方向端加密是未来网络加密的发展方向 http:/目录v5.1 网络安全体系模型网络

14、安全体系模型v5.2 网络安全的常见威胁网络安全的常见威胁v5.3 计算机病毒及其防治计算机病毒及其防治http:/端口扫描 v1.端口扫描程序端口扫描程序v如如X-scan v2.常用的网络扫描命令常用的网络扫描命令v1）Ping命令命令 v2）tracert命令命令 v3）net命令命令 v4）netstat命令命令 v5）ipconfig命令命令 http:/拒绝服务攻击 v当一个授权者不能获得对网络资源的访问或者当当一个授权者不能获得对网络资源的访问或者当服务器不能正常提供服务时，就发生了拒绝服务服务器不能正常提供服务时，就发生了拒绝服务DoS（Denial of Service），拒

15、绝服务是针对），拒绝服务是针对可用性可用性进行的攻击进行的攻击 v正常的正常的TCP建立连接的三次握手协议建立连接的三次握手协议客户机服务器SYN(SEQS=M)SYN(SEQS=N)，ACK(SEQA=M+1)ACK(SEQA=N+1)http:/SYN Flood拒绝服务攻击原理攻击者服务器SYN(序列号=M)SYN(序列号=N)，ACK(序号=M+1)SYN(序列号=M)SYN(序列号=M)SYN(序列号=M)SYN(序列号=M)队列满，忽略正常的SYN请求http:/欺骗 vTCP建立连接是一个建立连接是一个3次握手的过程。由于在某次握手的过程。由于在某些系统中序列号些系统中序列号SE

16、QS=N的产生规律相对简单，的产生规律相对简单，为以后的安全问题留下了隐患。为以后的安全问题留下了隐患。TCP序列号欺骗序列号欺骗是通过是通过TCP的的3次握手过程，推测服务器的响应次握手过程，推测服务器的响应序列号实现的。这种欺骗即使在没有得到服务器序列号实现的。这种欺骗即使在没有得到服务器响应的情况下，也可以产生响应的情况下，也可以产生TCP数据包与服务器数据包与服务器进行通信。进行通信。http:/针对TCP协议的欺骗攻击v Eve首先向首先向X发送一系列的发送一系列的SYN请求（拒绝服务攻击），使请求（拒绝服务攻击），使其几乎瘫痪；其几乎瘫痪；v 然后然后Eve向服务器向服务器Y发一个

17、发一个SYN请求，并把数据包的源请求，并把数据包的源IP地地址指定为址指定为X的地址，即伪造源地址；的地址，即伪造源地址；v 服务器服务器Y收到建立收到建立TCP连接的请求后，响应一个连接的请求后，响应一个SYN ACK的应答，这个的应答，这个SYN ACK的应答数据包将发送给的应答数据包将发送给X，因为第，因为第步步SYN请求中使用了这个源地址；请求中使用了这个源地址；v X在第在第步受到拒绝服务攻击已经瘫痪，无法看到步受到拒绝服务攻击已经瘫痪，无法看到Y的应答；的应答；v Eve猜出猜出Y在在SYN ACK响应中使用的序号（经过几次试验），响应中使用的序号（经过几次试验），用其确认用其确认

18、SYN ACK消息，发送到消息，发送到Y。即。即Eve响应响应Y的的SYN ACK消息，发送了许多个确认（用不同的序号）。消息，发送了许多个确认（用不同的序号）。v 每种情况下，每种情况下，Eve立即向立即向Y发送一个命令，用于修改发送一个命令，用于修改Y维护维护的信任文件，使的信任文件，使Y信任自己，这样以后信任自己，这样以后Eve就能控制服务器就能控制服务器Y了了 http:/伪装 v 把一个指向假冒网站的链接放到一个流行的把一个指向假冒网站的链接放到一个流行的Web页面上；页面上；v 将假冒网站的链接通过电子邮件或将假冒网站的链接通过电子邮件或QQ信息发信息发送给用户；送给用户；v 使使

19、Web搜索引擎指向假的网站；搜索引擎指向假的网站；v 修改用户修改用户Windows系统中的系统中的hosts文件文件 http:/嗅探 v嗅探（嗅探（Sniffer）就是指窃听攻击，是一种被动）就是指窃听攻击，是一种被动攻击攻击 v用集线器（用集线器（Hub）组建的局域网是基于广播原理）组建的局域网是基于广播原理的，局域网内所有的计算机都将接收到相同的数的，局域网内所有的计算机都将接收到相同的数据包，无论这个数据包是发给本机的还是发给其据包，无论这个数据包是发给本机的还是发给其他机器的，每个数据包都将被广播给所有的机器。他机器的，每个数据包都将被广播给所有的机器。因此在同一局域网中的机器可以

20、很容易地嗅探发因此在同一局域网中的机器可以很容易地嗅探发往其他主机的数据包往其他主机的数据包 http:/嗅探攻击示意图 普通用户普通用户服务器服务器攻击者服 务器Username:hermaPassword:hiHKK局域网(Hub或交换机)http:/嗅探的实施v如果要进行嗅探，首先必须使用如果要进行嗅探，首先必须使用Sniffer软件将网卡设置软件将网卡设置为混杂（为混杂（promiscuous）模式，在混杂模式中，网卡对）模式，在混杂模式中，网卡对数据包的目的数据包的目的MAC地址不加任何检查全部接收，局域网地址不加任何检查全部接收，局域网内传输的所有数据包都将被嗅探者接收内传输的所有

21、数据包都将被嗅探者接收 v嗅探一般使用嗅探一般使用Sniffer Pro、CuteSniffer等抓包软件实现。等抓包软件实现。抓包之前，必须先设置抓取数据包的类型，如抓包之前，必须先设置抓取数据包的类型，如Telnet协协议的数据包。然后再设置要抓取数据包的源议的数据包。然后再设置要抓取数据包的源IP和目的和目的IP，这些都是在菜单，这些都是在菜单“CaptureDefine Filter”中设置的。中设置的。这样就可以抓取某个应用程序在任何两台机器之间传输这样就可以抓取某个应用程序在任何两台机器之间传输的所有数据包了。抓包完成后，可以点击解码的所有数据包了。抓包完成后，可以点击解码“Dec

22、ode”分析解码后的原始信息内容分析解码后的原始信息内容 http:/防御网络嗅探的三种途径 v采取安全的拓扑结构，将网络分成多个采取安全的拓扑结构，将网络分成多个VLAN（Virtual Lan，虚拟局域网），则，虚拟局域网），则VLAN和和VLAN之间处于不同的广播域，将不会广播数之间处于不同的广播域，将不会广播数据包，嗅探器能收集的信息就越少。据包，嗅探器能收集的信息就越少。v通信会话加密，可采用某些协议把所有传输的通信会话加密，可采用某些协议把所有传输的数据加密。数据加密。v采用静态的采用静态的ARP或绑定或绑定IPMAC地址对应表，地址对应表，防止嗅探利用防止嗅探利用ARP欺骗欺骗

23、http:/目录v5.1 网络安全体系模型网络安全体系模型v5.2 网络安全的常见威胁网络安全的常见威胁v5.3 计算机病毒及其防治计算机病毒及其防治http:/计算机病毒的定义v计算机病毒，是指编制或者在计算机程序中插入计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者用，并能自我复制的一组计算机指令或者程序代程序代码码 v计算机病毒就是能够通过某种途径潜伏在计算机计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被存储介质（或程序）里，当达到某种条

24、件时即被激活的具有对计算机资源进行破坏作用的一组程激活的具有对计算机资源进行破坏作用的一组程序或指令的集合。序或指令的集合。http:/计算机病毒的特点v计算机病毒是一段可执行的程序计算机病毒是一段可执行的程序 v传染性传染性 v潜伏性潜伏性 v可触发性可触发性 v破坏性破坏性 v隐蔽性隐蔽性 http:/计算机病毒的分类 v按照计算机病毒存在的介质分类按照计算机病毒存在的介质分类 v根据计算机病毒的破坏情况分类根据计算机病毒的破坏情况分类 良性病毒良性病毒恶性病毒恶性病毒v根据计算机病毒的链接方式分类根据计算机病毒的链接方式分类 源码型病毒源码型病毒 外壳型病毒外壳型病毒 入侵型病毒入侵型病

25、毒 操作系统型病毒操作系统型病毒 http:/两种特殊的病毒 v（1）特洛伊木马（）特洛伊木马（Trojan）：木马程序是一种）：木马程序是一种潜伏在受害者系统中执行非授权功能的技术。木潜伏在受害者系统中执行非授权功能的技术。木马通常都有客户端和服务器端两个执行程序，其马通常都有客户端和服务器端两个执行程序，其中客户端用于攻击者远程控制植入木马的机器，中客户端用于攻击者远程控制植入木马的机器，服务器端即是木马程序。服务器端即是木马程序。v（2）蠕虫（）蠕虫（Worm）：蠕虫是一种通过网络媒）：蠕虫是一种通过网络媒介，如电子邮件、介，如电子邮件、TCP/IP协议的漏洞使自身从协议的漏洞使自身从一

26、台计算机复制到另一台计算机的程序。蠕虫和一台计算机复制到另一台计算机的程序。蠕虫和普通病毒的区别是：病毒是在同一台计算机的文普通病毒的区别是：病毒是在同一台计算机的文件之间进行传播，而蠕虫是从一台计算机传播到件之间进行传播，而蠕虫是从一台计算机传播到另一台计算机另一台计算机 http:/计算机病毒的防治v计算机病毒的防治技术可以分为四个方面，即计算机病毒的防治技术可以分为四个方面，即v预防预防预防计算机病毒的侵入是最主要的，因为一旦病预防计算机病毒的侵入是最主要的，因为一旦病毒已经侵入系统，再清除是比较麻烦的。预防病毒已经侵入系统，再清除是比较麻烦的。预防病毒侵入的方法可以分为管理上的和技术上

27、的毒侵入的方法可以分为管理上的和技术上的 v检测检测v清除清除v免疫免疫 http:/计算机病毒的防治v总之，对于计算机病毒的防治，需要理解三点：总之，对于计算机病毒的防治，需要理解三点：v 不存在这样一种反病毒软硬件，能够防治未不存在这样一种反病毒软硬件，能够防治未来产生的所有病毒；来产生的所有病毒；v 目前的反病毒软件和硬件以及安全产品是易目前的反病毒软件和硬件以及安全产品是易耗品，必须经常进行更新、升级；耗品，必须经常进行更新、升级；v 病毒产生在前，反病毒手段滞后将是长期的病毒产生在前，反病毒手段滞后将是长期的过程过程 http:/计算机病毒存在的必然性v软件开发过程的复杂性使软件必然

28、存在软件开发过程的复杂性使软件必然存在bug和漏和漏洞洞v随着代码的增长，程序中的分支循环结构相互嵌随着代码的增长，程序中的分支循环结构相互嵌套，产生无穷多种可能的情况，再心思缜密的程套，产生无穷多种可能的情况，再心思缜密的程序员也不可能对每种情况都有所预见，软件测试序员也不可能对每种情况都有所预见，软件测试人员也不可能对所有的情况进行测试人员也不可能对所有的情况进行测试v一个超过一千行代码的程序一定会存在有一个超过一千行代码的程序一定会存在有bugv软件的漏洞为病毒的设计提供了条件软件的漏洞为病毒的设计提供了条件http:/计算机病毒的发展趋势 v1）病毒流行面更加广泛。）病毒流行面更加广泛

29、。v2）病毒综合具有多种特征）病毒综合具有多种特征v3）多态病毒是指采用特殊加密技术编制的病毒）多态病毒是指采用特殊加密技术编制的病毒 v病毒对抗防病毒软件的水平不断提高病毒对抗防病毒软件的水平不断提高 http:/习题v1.网网页篡页篡改是改是针对针对_进进行的攻行的攻击击。（。（）vA传输层传输层 B应应用用层层C网网络层络层 D 表示表示层层v2.对对宿宿主主程程序序进进行行修修改改，使使自自己己成成为为合合法法程程序序的的一一部部分分并并与与目目标标程程序成序成为为一体的病毒是（一体的病毒是（）vA 源源码码型病毒型病毒B 操作系操作系统统型病毒型病毒vC 外壳型病毒外壳型病毒D 入侵型病毒入侵型病毒v3.下面关于病毒的叙述正确的是下面关于病毒的叙述正确的是（）vA病毒可以是一个程序病毒可以是一个程序 B病毒可以是一段可病毒可以是一段可执执行代行代码码vC病毒能病毒能够够自我复制自我复制 D ABC都正确都正确v4.DDoS攻攻击击破坏了破坏了_。（）vA可用性可用性 B保密性保密性 C完整性完整性 D真真实实性性v5.解解释释互互联联网安全体系网安全体系结结构中定构中定义义的安全服的安全服务务。v6.在在TCP/IP的不同的不同层层次次实现实现安全分安全分别别有什么特点？有什么特点？