第10章網絡安全

1、10.1 概述概述10.2 常見的攻擊技術常見的攻擊技術10.3 數據加密數據加密10.4 防火墻技術防火墻技術10.5 入侵檢測系統(tǒng)入侵檢測系統(tǒng)黑客攻擊黑客攻擊TCP/IPTCP/IP協(xié)議協(xié)議操作系統(tǒng)操作系統(tǒng)計算機病毒計算機病毒準備工作準備工作實施攻擊實施攻擊開辟后門開辟后門清除痕跡清除痕跡 網絡掃描技術是一種基于網絡掃描技術是一種基于InternetInternet遠程檢測遠程檢測目標網絡或本地主機安全性脆弱點的技術。目標網絡或本地主機安全性脆弱點的技術。 掃描技術是一把雙刃劍掃描技術是一把雙刃劍 。 典型的掃描技術包括：典型的掃描技術包括：PINGPING掃描、操作系統(tǒng)掃描、操作系統(tǒng)探測

2、、穿透防火墻探測、端口掃描、漏洞掃描探測、穿透防火墻探測、端口掃描、漏洞掃描等。等。 1.端口掃描端口掃描 端口掃描，顧名思義，就是逐個對一段端端口掃描，顧名思義，就是逐個對一段端口或指定的端口進行掃描?？诨蛑付ǖ亩丝谶M行掃描。 端口掃描的原理：手動或用程序自動的向端口掃描的原理：手動或用程序自動的向目標主機的各個端口發(fā)送不同的探測數據包，目標主機的各個端口發(fā)送不同的探測數據包，目標主機的端口狀態(tài)不同，對這些探測包的回目標主機的端口狀態(tài)不同，對這些探測包的回應包就有所不同，分析這些回應包，就可得出應包就有所不同，分析這些回應包，就可得出遠程主機的端口開放情況。遠程主機的端口開放情況。 1.端口

3、掃描端口掃描 （1）全連接掃描）全連接掃描 全連接掃描指在掃描主機同目標主機的目全連接掃描指在掃描主機同目標主機的目標端口之間，經過三次握手，建立起一個完整標端口之間，經過三次握手，建立起一個完整的的TCP連接來判斷目標端口是否開放的方法。連接來判斷目標端口是否開放的方法。常見的全連接掃描方法有常見的全連接掃描方法有TCP Connect()掃描、掃描、TCP反向反向ident掃描等。掃描等。 1.端口掃描端口掃描 （2）半連接掃描）半連接掃描 半連接掃描指端口掃描并沒有完成一個完半連接掃描指端口掃描并沒有完成一個完整的整的TCP連接，而是在掃描主機和目標主機建連接，而是在掃描主機和目標主機建

4、立此連接時，只完成三次握手的前兩次握手便立此連接時，只完成三次握手的前兩次握手便中斷連接。例：中斷連接。例：TCP SYN掃描。掃描。 1.端口掃描端口掃描 （3）秘密掃描）秘密掃描 秘密掃描是一種審計工具所檢測不到的掃秘密掃描是一種審計工具所檢測不到的掃描技術。常見的秘密掃描有：描技術。常見的秘密掃描有：TCP FIN掃描、掃描、TCP ACK掃描、掃描、NULL掃描、掃描、XMAS掃描、掃描、TCP分段掃描等。分段掃描等。 2.漏洞掃描漏洞掃描 系統(tǒng)安全漏洞也叫系統(tǒng)脆弱性，簡稱漏洞，系統(tǒng)安全漏洞也叫系統(tǒng)脆弱性，簡稱漏洞，是計算機系統(tǒng)在硬件、軟件、協(xié)議的設計和實是計算機系統(tǒng)在硬件、軟件、協(xié)議

5、的設計和實現過程中或系統(tǒng)安全策略上存在的缺陷和不足?，F過程中或系統(tǒng)安全策略上存在的缺陷和不足。 2.漏洞掃描漏洞掃描 （1）基于漏洞庫的掃描：在端口掃描后得知）基于漏洞庫的掃描：在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務，目標主機開啟的端口以及端口上的網絡服務，將這些相關信息與漏洞掃描系統(tǒng)提供的漏洞庫將這些相關信息與漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存進行匹配，查看是否有滿足匹配條件的漏洞存在。在。2.漏洞掃描漏洞掃描 （2）基于模擬攻擊的掃描：通過模擬黑客的）基于模擬攻擊的掃描：通過模擬黑客的攻擊手法，對目標主機系統(tǒng)進行攻擊性的安全攻擊手法，對目標主機

6、系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。功，則表明目標主機系統(tǒng)存在安全漏洞。 網絡監(jiān)聽也叫網絡嗅探，其英文名是網絡監(jiān)聽也叫網絡嗅探，其英文名是Sniffing，即是一種捕獲網絡上傳輸的數據包并，即是一種捕獲網絡上傳輸的數據包并進行分析的行為。進行分析的行為。 一般而言，網絡監(jiān)聽都是在局域網進行的。一般而言，網絡監(jiān)聽都是在局域網進行的。按照信息交換方式的不同，局域網可分為共享按照信息交換方式的不同，局域網可分為共享式局域網和交換式局域網。式局域網和交換式局域網。http:/ http:/ http:/

7、 http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/www.xunchi- http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ / http:/ http:/ http:/ http:/ http:/ http:/ 共享式局域網是指網絡中的所有節(jié)點共享共享式局域網是指網絡中的所有節(jié)點共享網絡帶寬，最典型的是用集線器

8、（網絡帶寬，最典型的是用集線器（HUB）連接）連接的局域網。的局域網。 交換式局域網，指采用了交換技術的網絡，交換式局域網，指采用了交換技術的網絡，最典型的是用交換機連接的局域網。最典型的是用交換機連接的局域網。 （1）MAC Flooding 由于交換機工作時依據內存中的端口映射由于交換機工作時依據內存中的端口映射表轉發(fā)數據包，而交換機本身的內存容量是有表轉發(fā)數據包，而交換機本身的內存容量是有限的，當內存耗盡時，一些交換機便會將數據限的，當內存耗盡時，一些交換機便會將數據包以廣播形式發(fā)送出去。所以，通過在局域網包以廣播形式發(fā)送出去。所以，通過在局域網上發(fā)送大量虛假的上發(fā)送大量虛假的MAC地址

9、，以造成交換機的地址，以造成交換機的內存耗盡，此時可以和監(jiān)聽共享式網絡一樣進內存耗盡，此時可以和監(jiān)聽共享式網絡一樣進行網絡監(jiān)聽。行網絡監(jiān)聽。（2）ARP欺騙欺騙 ARP協(xié)議的作用是將協(xié)議的作用是將IP地址映射到地址映射到MAC地地址，攻擊者通過向目標主機發(fā)送偽造的址，攻擊者通過向目標主機發(fā)送偽造的ARP應應答包，騙取目標系統(tǒng)更新答包，騙取目標系統(tǒng)更新ARP表，將目標系統(tǒng)表，將目標系統(tǒng)的網關的的網關的MAC地址修改為發(fā)起攻擊的主機地址修改為發(fā)起攻擊的主機MAC地址，使發(fā)給目標主機的數據包都經由攻擊者地址，使發(fā)給目標主機的數據包都經由攻擊者的主機。這樣，就可以在交換式網絡下監(jiān)聽特的主機。這樣，就可

10、以在交換式網絡下監(jiān)聽特定的目標主機。定的目標主機。1.1.拒絕服務攻擊的原理拒絕服務攻擊的原理 網絡安全中，拒絕服務（網絡安全中，拒絕服務（Denial of Service，簡稱簡稱DoS）攻擊以其危害巨大，難以防御等特點）攻擊以其危害巨大，難以防御等特點成為黑客經常采用的攻擊手段。成為黑客經常采用的攻擊手段。DoS指系統(tǒng)崩潰指系統(tǒng)崩潰或其帶寬耗盡或其存儲空間已滿，導致其不能或其帶寬耗盡或其存儲空間已滿，導致其不能提供正常服務的狀態(tài)。提供正常服務的狀態(tài)。 1.1.拒絕服務攻擊的原理拒絕服務攻擊的原理 DoS攻擊的基本過程為：首先攻擊者向目攻擊的基本過程為：首先攻擊者向目標服務器發(fā)送眾多的帶有

11、虛假地址的請求，服標服務器發(fā)送眾多的帶有虛假地址的請求，服務器發(fā)送回復信息后等待回傳信息，由于地址務器發(fā)送回復信息后等待回傳信息，由于地址是偽造的，所以服務器一直等不到回傳的消息，是偽造的，所以服務器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間后，連接會因超時而被服務器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這切斷，攻擊者會再度傳送新的一批請求，在這種反復發(fā)送偽地址請求的情況下，服務器資源種反復發(fā)送偽地址請求的情況下，服務器資源最終會被耗盡。最終會被耗盡。1.1.拒絕服務攻擊的原理拒絕

12、服務攻擊的原理 分布式拒絕服務（分布式拒絕服務（Distributed Denial of Service，簡稱，簡稱DDoS）攻擊，是一種）攻擊，是一種DoS攻擊的攻擊的特殊形式，是一種分布、協(xié)作的大規(guī)模攻擊方特殊形式，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，象商業(yè)公司，搜式，主要瞄準比較大的站點，象商業(yè)公司，搜索引擎和政府部門的站點。索引擎和政府部門的站點。 1.1.拒絕服務攻擊的原理拒絕服務攻擊的原理 分布式拒絕服務（分布式拒絕服務（Distributed Denial of Service，簡稱，簡稱DDoS）攻擊，是一種）攻擊，是一種DoS攻擊的攻擊的特殊形式，是一種

13、分布、協(xié)作的大規(guī)模攻擊方特殊形式，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，象商業(yè)公司，搜式，主要瞄準比較大的站點，象商業(yè)公司，搜索引擎和政府部門的站點。索引擎和政府部門的站點。 http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/www.xunchi- http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ htt

14、p:/ / http:/ http:/ http:/ http:/ http:/ http:/ 2.2.典型拒絕服務攻擊方法典型拒絕服務攻擊方法（1）LAND攻擊攻擊 （2）SYN洪水攻擊洪水攻擊 （3）UDP洪水攻擊洪水攻擊 （4）Fraggle攻擊攻擊 （5）Tear Drop（淚滴）攻擊（淚滴）攻擊 （6）Ping-of-death（7）Smurf This is a book!#$%&*()-This is a book!#$%&*()-加密解密1.1.秘密鑰匙加密秘密鑰匙加密This is a book! #$%&*()-

15、This is a book! #$%&*()-加 密解 密秘 密 鑰 匙2.2.公用鑰匙加密公用鑰匙加密This is a book! #$% & *()-This is a book! #$% & *()-加 密解 密私 有 鑰 匙公 用 鑰 匙 Hash Hash函數又名信息摘要（函數又名信息摘要（Message DigestMessage Digest）函數，可將一任意長度的信息濃縮為較短的固定函數，可將一任意長度的信息濃縮為較短的固定長度的數據。其特點如下：長度的數據。其特點如下： 濃縮結果與源信息密切相關，源信息每一微濃縮結果與源信息密切相關，源信息每一微小

16、變化，都會使?jié)饪s結果發(fā)生巨變。小變化，都會使?jié)饪s結果發(fā)生巨變。 Hash Hash函數所生成的映射關系是多對一關系，函數所生成的映射關系是多對一關系，因此無法由濃縮結果推算出源信息。因此無法由濃縮結果推算出源信息。 運算效率較高。運算效率較高。 完整性（完整性（IntegrityIntegrity）驗證用于確認數據）驗證用于確認數據經長途勞頓、長期保存后是否仍然保持原樣，經長途勞頓、長期保存后是否仍然保持原樣，不曾改變。不曾改變。 驗證數據完整性的一般方法是用驗證數據完整性的一般方法是用HashHash函數函數對原數據進行處理，產生一組長度固定（例如對原數據進行處理，產生一組長度固定（例如32

17、bit32bit）的摘要值。需要驗證時，便重新計算）的摘要值。需要驗證時，便重新計算摘要值，再與原驗證值進行比對，以判別數據摘要值，再與原驗證值進行比對，以判別數據是否發(fā)生了變化。是否發(fā)生了變化。郵件內容郵件內容驗證值密文乙（收）方驗證值驗證值密文郵件內容驗證值密文發(fā)件驗證值收件驗證值比對甲（發(fā)）方操作流程乙（收）方操作流程Hash處理Hash處理傳送私匙加密公匙解密+Intranet防火墻Internet防火墻的主要功能如下：防火墻的主要功能如下：（1）過濾不安全服務和非法用戶，禁止未授權）過濾不安全服務和非法用戶，禁止未授權的用戶訪問受保護網絡。的用戶訪問受保護網絡。（2）控制對特殊站點的

18、訪問。）控制對特殊站點的訪問。（3）提供監(jiān)視）提供監(jiān)視Internet安全和預警的端點。安全和預警的端點。1.1.網絡級防火墻網絡級防火墻 網絡級防火墻也稱包過濾防火墻，通常由一網絡級防火墻也稱包過濾防火墻，通常由一部路由器或一部充當路由器的計算機組成。部路由器或一部充當路由器的計算機組成。 2.2.應用級防火墻應用級防火墻 應用級防火墻通常指運行代理（應用級防火墻通常指運行代理（ProxyProxy）服）服務器軟件的一部計算機主機。務器軟件的一部計算機主機。 3.3.電路級防火墻電路級防火墻 電路級防火墻也稱電路層網關，是一個具有電路級防火墻也稱電路層網關，是一個具有特殊功能的防火墻，它可以

19、由應用層網關來完特殊功能的防火墻，它可以由應用層網關來完成。電路層網關只依賴于成。電路層網關只依賴于TCPTCP連接，并不進行任連接，并不進行任何附加的包處理或過濾。何附加的包處理或過濾。4.4.狀態(tài)監(jiān)測防火墻狀態(tài)監(jiān)測防火墻 與上述防火墻技術相比，狀態(tài)監(jiān)測防火墻是與上述防火墻技術相比，狀態(tài)監(jiān)測防火墻是新一代的技術。新一代的技術。 1.1.雙宿主機網關雙宿主機網關1 2 3 4 5 67 8 91 0 1 1 12AB12x6 x8x2x9x3x1 0 x4x11x5x7x1xE thern etA12x6 x8x2x9x3x1 0 x4 x11x5x7x1xCInternet內網雙宿堡壘主機2.2.屏蔽主機網關屏蔽主機網關 1 2 3 4 5 67 8 91 0 1 1 12AB12x6 x8x2x9x3x1 0 x4x11x5x7x1xE thern etA12x6 x8x2x9x3x1 0 x4 x11x5x7x1xCInternet內網單宿堡壘主機2.2.屏蔽主機網關屏蔽主機網關 1 2