第五章网络安全基础.ppt

第五章 网络安全基础,目录,5.1 网络安全体系模型 5.2 网络安全的常见威胁 5.3 计算机病毒及其防治,网络安全的脆弱性,Internet是以TCP/IP协议为基础构建的，然而在创建之初，主要考虑的是连通和数据传输的方便快捷，并没有适当地考虑安全的需要,很容易被窃听和欺骗,脆弱的TCP/IP服务,Internet安全的脆弱性,配置的错误和疏忽,回顾：OSI模型与TCP/IP协议组,应用 应用程序 层,网络层地址和传输层地址的关系,一台计算机可以提供多种服务，如FTP、Telnet、Email等。为了使各种服务协调运行，TCP/IP协议为每种服务设定了一个端口，称为TCP协议端口。每个端口都拥有一个16比特的端口号 TCP/IP的服务一般是通过IP地址加一个端口号（Port）来决定的。一台主机上可以同时运行许多个应用程序，通过IP地址+端口号才能确定数据包是传给哪台主机上的哪个应用程序的,IP地址和端口号的作用,IP地址和端口号的作用,对于一些常见的程序，它们使用的端口号一般是固定的（有些程序需要占用几个端口，当然也可以更改这些程序默认的端口号）。常见应用程序的端口号如表所示。 通过端口号还能辨别目标主机上正在运行哪些程序。使用“netstat -an”命令可以查看本机上活动的连接和开放的端口,常用的网络服务端口号,网络各层的安全缺陷,3. IP层的安全缺陷 IP通信不需要进行身份认证，无法保证数据源的真实性； IP数据包在传输时没有加密，无法保证数据传输过程中的保密性、完整性； IP的分组和重组机制不完善，无法保证数据源的正确性； IP地址的表示不需要真实及确认，无法通过IP验证对方的身份等,网络各层的安全缺陷,4. 传输层的安全缺陷 传输层包括TCP协议和UDP协议，对TCP协议的攻击，主要利用TCP建立连接时三次握手机制的缺陷，像SYN Flooding等拒绝服务攻击等都是针对该缺陷的。对UDP协议的攻击，主要是进行流量攻击，强化UDP通信的不可靠性，以达到拒绝服务的目的,网络各层的安全缺陷,5. 应用层的安全缺陷 对应用层的攻击包括的面非常广，如对应用协议漏洞的攻击，对应用数据的攻击，对应用操作系统平台的攻击等。 对应用层攻击包括：未经审查的Web方式的信息录入、应用权限的访问控制被攻破、身份认证和会话管理被攻破、跨站点的执行代码漏洞、缓存溢出漏洞等。,ISO/OSI安全体系结构,1988年，为了在开放系统互联参考模型（OSI/RM）环境下实现信息安全，ISO/TC97技术委员会制定了ISO 7498-2国际标准“信息处理系统开放系统互连基本参考模型第2部分：安全体系结构” （1）对象认证安全服务。 （2）访问控制服务。 （3）数据保密服务。 （4）数据完整性服务。 （5）抗抵赖服务,OSI安全机制与安全服务的关系,安全技术与电子商务系统的安全需求的关系,TCP/IP协议的安全服务与安全机制,在不同层实现安全性的特点,为了实现Internet的安全性，从原理上说可以在TCP/IP协议的任何一层实现。但在不同层级实现安全性有着不同的特点 1）应用层安全必须在终端主机上实施 2）在传输层实现安全机制，应用程序仍需要修改，才能要求传输层提供安全服务。传输层的安全协议有SSL/TLS 3）网络层安全的优点是密钥协商的开销被大大削减了,网络安全的加密方式,1. 链路链路加密 加密对用户是透明的，通过链路发送的任何信息在发送前都先被加密； 每个链路两端节点需要一个共用密钥； 攻击者无法获得链路上的任何报文结构的信息，因此可称之为提供了信号流安全； 缺点是数据在中间节点以明文形式出现，维护节点安全性的代价较高。,网络安全的加密方式,2. 节点加密 为了解决采用链接加密方式时，在中间节点上的数据报文是以明文形式出现的缺点。节点加密在每个中间节点里装上一个用于加、解密的安全模块，由它对信息先进行解密，然后进行加密，从而完成一个密钥向另一个密钥的转换。这样，节点中的数据不会出现明文。,网络安全的加密方式,3. 端端加密 端端加密方法将网络看成是一种介质，数据能安全地从源端到达目的端。这种加密在OSI模型的高三层进行，在源端进行数据加密，在目的端进行数据解密，而在中间节点及其线路上一直以密文形式出现。,端端加密是未来网络加密的发展方向,目录,5.1 网络安全体系模型 5.2 网络安全的常见威胁 5.3 计算机病毒及其防治,端口扫描,1. 端口扫描程序 如X-scan 2. 常用的网络扫描命令 1）Ping命令 2）tracert命令 3）net命令 4）netstat命令 5）ipconfig命令,拒绝服务攻击,当一个授权者不能获得对网络资源的访问或者当服务器不能正常提供服务时，就发生了拒绝服务DoS（Denial of Service），拒绝服务是针对可用性进行的攻击 正常的TCP建立连接的三次握手协议,SYN Flood拒绝服务攻击原理,欺骗,TCP建立连接是一个3次握手的过程。由于在某些系统中序列号SEQS=N的产生规律相对简单，为以后的安全问题留下了隐患。TCP序列号欺骗是通过TCP的3次握手过程，推测服务器的响应序列号实现的。这种欺骗即使在没有得到服务器响应的情况下，也可以产生TCP数据包与服务器进行通信。,针对TCP协议的欺骗攻击, Eve首先向X发送一系列的SYN请求（拒绝服务攻击），使其几乎瘫痪； 然后Eve向服务器Y发一个SYN请求，并把数据包的源IP地址指定为X的地址，即伪造源地址； 服务器Y收到建立TCP连接的请求后，响应一个SYN ACK的应答，这个SYN ACK的应答数据包将发送给X，因为第步SYN请求中使用了这个源地址； X在第步受到拒绝服务攻击已经瘫痪，无法看到Y的应答； Eve猜出Y在SYN ACK响应中使用的序号（经过几次试验），用其确认SYN ACK消息，发送到Y。即Eve响应Y的SYN ACK消息，发送了许多个确认（用不同的序号）。 每种情况下，Eve立即向Y发送一个命令，用于修改Y维护的信任文件，使Y信任自己，这样以后Eve就能控制服务器Y了,伪装, 把一个指向假冒网站的链接放到一个流行的Web页面上； 将假冒网站的链接通过电子邮件或QQ信息发送给用户； 使Web搜索引擎指向假的网站； 修改用户Windows系统中的hosts文件,嗅探,嗅探（Sniffer）就是指窃听攻击，是一种被动攻击 用集线器（Hub）组建的局域网是基于广播原理的，局域网内所有的计算机都将接收到相同的数据包，无论这个数据包是发给本机的还是发给其他机器的，每个数据包都将被广播给所有的机器。因此在同一局域网中的机器可以很容易地嗅探发往其他主机的数据包,嗅探攻击示意图,嗅探的实施,如果要进行嗅探，首先必须使用Sniffer软件将网卡设置为混杂（promiscuous）模式，在混杂模式中，网卡对数据包的目的MAC地址不加任何检查全部接收，局域网内传输的所有数据包都将被嗅探者接收 嗅探一般使用Sniffer Pro、CuteSniffer等抓包软件实现。抓包之前，必须先设置抓取数据包的类型，如Telnet协议的数据包。然后再设置要抓取数据包的源IP和目的IP，这些都是在菜单“CaptureDefine Filter”中设置的。这样就可以抓取某个应用程序在任何两台机器之间传输的所有数据包了。抓包完成后，可以点击解码“Decode”分析解码后的原始信息内容,防御网络嗅探的三种途径,采取安全的拓扑结构，将网络分成多个VLAN（Virtual Lan，虚拟局域网），则VLAN和VLAN之间处于不同的广播域，将不会广播数据包，嗅探器能收集的信息就越少。 通信会话加密，可采用某些协议把所有传输的数据加密。 采用静态的ARP或绑定IPMAC地址对应表，防止嗅探利用ARP欺骗,目录,5.1 网络安全体系模型 5.2 网络安全的常见威胁 5.3 计算机病毒及其防治,计算机病毒的定义,计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码 计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令的集合。,计算机病毒的特点,计算机病毒是一段可执行的程序 传染性 潜伏性 可触发性 破坏性 隐蔽性,计算机病毒的分类,按照计算机病毒存在的介质分类 根据计算机病毒的破坏情况分类 良性病毒 恶性病毒 根据计算机病毒的链接方式分类 源码型病毒 外壳型病毒 入侵型病毒 操作系统型病毒,两种特殊的病毒,（1）特洛伊木马（Trojan）：木马程序是一种潜伏在受害者系统中执行非授权功能的技术。木马通常都有客户端和服务器端两个执行程序，其中客户端用于攻击者远程控制植入木马的机器，服务器端即是木马程序。 （2）蠕虫（Worm）：蠕虫是一种通过网络媒介，如电子邮件、TCP/IP协议的漏洞使自身从一台计算机复制到另一台计算机的程序。蠕虫和普通病毒的区别是：病毒是在同一台计算机的文件之间进行传播，而蠕虫是从一台计算机传播到另一台计算机,计算机病毒的防治,计算机病毒的防治技术可以分为四个方面，即 预防 预防计算机病毒的侵入是最主要的，因为一旦病毒已经侵入系统，再清除是比较麻烦的。预防病毒侵入的方法可以分为管理上的和技术上的 检测 清除 免疫,计算机病毒的防治,总之，对于计算机病毒的防治，需要理解三点： 不存在这样一种反病毒软硬件，能够防治未来产生的所有病毒； 目前的反病毒软件和硬件以及安全产品是易耗品，必须经常进行更新、升级； 病毒产生在前，反病毒手段滞后将是长期的过程,计算机病毒存在的必然性,软件开发过程的复杂性使软件必然存在bug和漏洞 随着代码的增长，程序中的分支循环结构相互嵌套，产生无穷多种可能的情况，再心思缜密的程序员也不可能对每种情况都有所预见，软件测试人员也不可能对所有的情况进行测试 一个超过一千行代码的程序一定会存在有bug 软件的漏洞为病毒的设计提供了条件,计算机病毒的发展趋势,1）病毒流行面更加广泛。 2）病毒综合具有多种特征 3）多态病毒是指采用特殊加密技术编制的病毒 病毒对抗防病毒软件的水平不断提高,习题,1. 网页篡改是针对_进行的攻击。（ ） A传输层 B应用层 C网络层 D 表示层 2. 对宿主程序进行修改，使自己成为合法程序的一部分并与目标程序成为一体的病毒是（ ） A 源码型病毒 B 操作系统型病毒 C 外壳型病毒 D 入侵型病毒 3. 下面关于病毒的叙述正确的是 （ ） A病毒可以是一个程序 B病毒可以是一段可执行代码 C病毒能够自我复制 D ABC都正确 4. DDoS攻击破坏了_。 （ ） A可用性 B保密性 C完整性 D真实性 5. 解释互联网安全体系结构中定义的安全服务。 6. 在TCP/IP的不同层次实现安全分别有什么特点？,