網(wǎng)絡(luò)與通信安全資料

網(wǎng)絡(luò)與通信平安——綠盟科技議題網(wǎng)絡(luò)基礎(chǔ)概述網(wǎng)絡(luò)體系結(jié)構(gòu)網(wǎng)絡(luò)協(xié)議平安分析網(wǎng)絡(luò)中面臨的威逼針對網(wǎng)絡(luò)設(shè)備的攻擊拒絕服務(wù)（DoS）攻擊欺瞞攻擊網(wǎng)絡(luò)嗅探網(wǎng)絡(luò)設(shè)備平安網(wǎng)絡(luò)服務(wù)的平安拒絕服務(wù)攻擊（DoS）的防衛(wèi)策略O(shè)SI參考模型ISO／OSI網(wǎng)絡(luò)體系結(jié)構(gòu)

網(wǎng)絡(luò)體系結(jié)構(gòu)分層的目的

OSI參考模型的層次劃分

應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層TCP/IP協(xié)議層次模型TCP/IP協(xié)議分層并不完全對應(yīng)OSI模型應(yīng)用層

TelnetFTPDNSSMTP傳輸層TCPUDP網(wǎng)絡(luò)層IPICMPARPRARP網(wǎng)絡(luò)接口層X.25ARPanet常見黑客攻擊方式應(yīng)用層：應(yīng)用程序和操作系統(tǒng)的攻擊與破壞網(wǎng)絡(luò)層：拒絕服務(wù)攻擊和數(shù)據(jù)竊聽風(fēng)險傳輸層：拒絕服務(wù)攻擊硬件設(shè)備與數(shù)據(jù)鏈路：物理竊聽與破壞TelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無線網(wǎng)絡(luò)SATNETARPNETTCP/IP模型與潛在風(fēng)險應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽和竊取硬件設(shè)備破壞Internet的平安問題的產(chǎn)生Internet起于探討項目,平安不是主要的考慮少量的用戶，多是探討人員,可信的用戶群體牢靠性(可用性)、計費、性能、配置、平安網(wǎng)絡(luò)協(xié)議的開放性與系統(tǒng)的通用性目標(biāo)可訪問性，行為可知性攻擊工具易用性Internet沒有集中的管理權(quán)威和統(tǒng)一的政策平安政策、計費政策、路由政策網(wǎng)絡(luò)平安的語義范圍

保密性(Confidentiality)

完整性(Integrity)可用性(Availability)局域網(wǎng)的特性局域網(wǎng)典型特性高數(shù)據(jù)傳輸率短距離低誤碼率常用的局域網(wǎng)介質(zhì)訪問限制技術(shù)載波監(jiān)聽多路訪問/沖突檢測(CSMA/CD)技術(shù)令牌限制技術(shù)令牌總線限制技術(shù)光纖分布數(shù)據(jù)接口(FDDI)技術(shù)局域網(wǎng)平安管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃對網(wǎng)絡(luò)設(shè)備進(jìn)行基本平安配置合理的劃分VLAN分別數(shù)據(jù)廣播域綁定IP地址與Mac地址配置防火墻和IDS設(shè)備運用內(nèi)容監(jiān)控與病毒過濾良好的網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)平安規(guī)劃原則合理的安排地址合理的網(wǎng)絡(luò)邏輯結(jié)構(gòu)通過VLAN分隔邏輯網(wǎng)絡(luò)通過域或工作組確定用戶權(quán)限建立良好的網(wǎng)絡(luò)平安制度網(wǎng)絡(luò)設(shè)備平安配置關(guān)閉不必要的設(shè)備服務(wù)運用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問的認(rèn)證與授權(quán)升級設(shè)備固件或OS運用訪問限制列表限制訪問運用訪問限制表限制數(shù)據(jù)包類型廣域網(wǎng)的概念和特性廣域網(wǎng)是覆蓋地理范圍相對較廣的數(shù)據(jù)通信網(wǎng)絡(luò)。網(wǎng)絡(luò)的規(guī)模和分類：局域網(wǎng)(LAN，localareanetwork)可覆蓋一個建筑物或一所學(xué)校;城域網(wǎng)(MAN，metropolitanareanetwork)可覆蓋一座城市;(WAN，wideareanetwork)可覆蓋多座城市、多個國家或洲。廣域網(wǎng)的構(gòu)成和種類廣域網(wǎng)的參考模型廣域網(wǎng)的構(gòu)成廣域網(wǎng)的種類X.25幀中繼ATM廣域網(wǎng)平安管理良好的網(wǎng)絡(luò)拓?fù)湟?guī)劃對網(wǎng)絡(luò)設(shè)備進(jìn)行基本平安配置確保路由協(xié)議平安運用ACL進(jìn)行數(shù)據(jù)過濾運用AAA加強(qiáng)訪問限制和認(rèn)證概念：網(wǎng)絡(luò)協(xié)議按結(jié)構(gòu)化層次方式組織，每層完成確定的功能，每層都建在其下層之上，并通過層間接口向上層供應(yīng)服務(wù)，將服務(wù)實現(xiàn)的細(xì)微環(huán)節(jié)對上層隱藏。優(yōu)點：削減困難性，維護(hù)、修改相對簡潔、不同節(jié)點之間的對等層可以通過共享數(shù)據(jù)格式來進(jìn)行通信.網(wǎng)絡(luò)分層連同其相應(yīng)協(xié)議叫網(wǎng)絡(luò)體系架構(gòu),如TCP/IP，OSI等分層模型國際標(biāo)準(zhǔn)組織ISO(InternationalOrganizationforStandardization)提出了開放式系統(tǒng)互聯(lián)網(wǎng)絡(luò)體結(jié)架構(gòu)(OpenSystemInterconnection/ReferenceModel)OSI定義了異種機(jī)互連的標(biāo)準(zhǔn)框架，為連接分散的“開放”系統(tǒng)供應(yīng)了基礎(chǔ)——任何兩個遵守OSI標(biāo)準(zhǔn)的系統(tǒng)均可實施互連。七層網(wǎng)絡(luò)體系架構(gòu)：網(wǎng)絡(luò)自底向上分別是：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層，各層完成確定的功能，每層為其上層網(wǎng)絡(luò)供應(yīng)支持，這種支持表現(xiàn)為數(shù)據(jù)(信息)的封裝：SegmentPacketFrameOSI模型(1)OSI模型(2)A：為應(yīng)用進(jìn)程訪問OSI環(huán)境供應(yīng)手段，并為應(yīng)用進(jìn)程供應(yīng)服務(wù)，關(guān)切數(shù)據(jù)的語義，如WWWP：供應(yīng)數(shù)據(jù)的句法，處理通信雙方之間的數(shù)據(jù)表示問題，如ASCIIS：供應(yīng)一種經(jīng)過組織的方法在用戶之間交換數(shù)據(jù),如SQLT：資源子網(wǎng)與通信子網(wǎng)的界面和橋梁，端到端的通信N：通信子網(wǎng)與網(wǎng)絡(luò)高層的界面，用戶進(jìn)人網(wǎng)絡(luò)、以及網(wǎng)絡(luò)之間互連的接口，主機(jī)到主機(jī)的通信，即尋址D：進(jìn)行鏈路上的數(shù)據(jù)傳輸，物理尋址P：物理設(shè)備間的接口，電平信號或光信號OSI模型各層功能簡述TCP/IP由美國DODResearchProjectsAgency—DARPA）70年頭開發(fā)。包括了一組協(xié)議，接受了網(wǎng)絡(luò)分層的概念,一般稱為DOD體系結(jié)構(gòu)。其分為4層，自底向上分別是：網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)互聯(lián)層、傳輸層、應(yīng)用層。TCP/IP體系架構(gòu)應(yīng)用層：向用戶供應(yīng)一組常用的應(yīng)用程序，如FTP，HTTP，TELNET等，用戶亦可在TCP/UDP基礎(chǔ)上定義專有應(yīng)用。傳輸層：供應(yīng)應(yīng)用程序間（即端到端）的通信，格式化信息流、供應(yīng)牢靠傳輸及解決不同應(yīng)用程序的識別問題網(wǎng)絡(luò)互連層：負(fù)責(zé)相鄰計算機(jī)之間的通信網(wǎng)絡(luò)接口層：負(fù)責(zé)收發(fā)數(shù)據(jù)包并通過網(wǎng)絡(luò)傳輸TCP/IP各層功能簡述OSI模型與DOD體系比照TCP/IP協(xié)議棧物理層平安網(wǎng)絡(luò)層平安傳輸層平安應(yīng)用層平安TCP/IP協(xié)議平安分析力求簡潔高效的設(shè)計初衷使TCP/IP協(xié)議集的很多平安因素未得以完善平安缺陷的一些表現(xiàn):TCP/IP協(xié)議數(shù)據(jù)流接受明文傳輸TCP/IP協(xié)議以IP地址作為網(wǎng)絡(luò)節(jié)點的唯一標(biāo)識，此舉并不能對節(jié)點上的用戶進(jìn)行有效的身份認(rèn)證協(xié)議本身的特點被利用實施網(wǎng)絡(luò)攻擊 ………TCP/IP網(wǎng)絡(luò)的平安來由物理層介紹物理層的平安風(fēng)險分析物理層的平安防護(hù)物理層的平安威逼第一層稱為物理層(PhysicalLayer)，這一層負(fù)責(zé)傳送比特流。它供應(yīng)建立、維護(hù)和拆除物理鏈路所需的機(jī)械、電氣、功能和規(guī)程特性。通過傳輸介質(zhì)進(jìn)行數(shù)據(jù)流的物理傳輸，故障檢測和物理層管理。物理層介紹物理平安風(fēng)險主要指：網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不行用，而造成網(wǎng)絡(luò)系統(tǒng)的不行用。例如：設(shè)備被盜、被毀壞；設(shè)備老化、意外故障；計算機(jī)系統(tǒng)通過無線電輻射泄露隱私信息等。由于局域網(wǎng)中接受廣播方式，因此，若在某個廣播域中可以偵聽到全部的信息包，黑客就可以對信息包進(jìn)行分析，那么本廣播域的信息傳遞都會暴露在黑客面前。物理層的平安風(fēng)險分析網(wǎng)絡(luò)分段網(wǎng)絡(luò)拓?fù)湮锢韺拥钠桨卜雷o(hù)網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層（ISO/OSI模型中的第一層和其次層）上分為若干網(wǎng)段，各網(wǎng)段相互之間無法進(jìn)行干脆通訊。目前，很多交換機(jī)都有確定的訪問限制實力，可實現(xiàn)對網(wǎng)絡(luò)的物理分段網(wǎng)絡(luò)分段網(wǎng)絡(luò)層協(xié)議及平安威逼網(wǎng)絡(luò)層的平安防護(hù)與平安協(xié)議網(wǎng)絡(luò)層的平安威逼網(wǎng)絡(luò)層主要用于尋址和路由。它并不供應(yīng)任何錯誤訂正和流限制的方法。網(wǎng)絡(luò)層運用較高效的服務(wù)來傳送數(shù)據(jù)報文網(wǎng)絡(luò)層介紹IP網(wǎng)間協(xié)議(InternetProtocol)。負(fù)責(zé)主機(jī)間數(shù)據(jù)的路由和網(wǎng)絡(luò)上數(shù)據(jù)的存儲。同時為ICMP、TCP、UDP提供分組發(fā)送服務(wù)。用戶進(jìn)程通常不需要涉及這一層。ARP地址解析協(xié)議(AddressResolutionProtocol)。此協(xié)議將網(wǎng)絡(luò)地址映射到硬件地址。RARP反向地址解析協(xié)議(ReverseAddressResolutionProtocol)。此協(xié)議將硬件地址映射到網(wǎng)絡(luò)地址。ICMP網(wǎng)間報文控制協(xié)議(InternetControlMessageProtocol)。此協(xié)議處理信關(guān)和主機(jī)間的差錯和傳送控制。ICMP報文使用IP數(shù)據(jù)報進(jìn)行傳送，這些報文通常由TCP/IP網(wǎng)絡(luò)軟件本身來保證正確性。網(wǎng)絡(luò)層協(xié)議IP協(xié)議平安(spoofing等)Internet限制信息協(xié)議(ICMP)ARP欺瞞和ARP洪水,DoSIGMP攻擊網(wǎng)絡(luò)層的平安威逼ARP:將IP地址轉(zhuǎn)化成MAC地址的一種協(xié)議,ARP在IP層之下,一般認(rèn)為其屬網(wǎng)絡(luò)層,但它利用數(shù)據(jù)鏈路層工作---分層并不嚴(yán)格。以太網(wǎng)的傳輸靠mac地址確定,即主機(jī)響應(yīng)ip包依靠ip包中所包含的mac地址來識別:主機(jī)在發(fā)送一個ip包之前，它要到該轉(zhuǎn)換表中找尋和ip包對應(yīng)的mac地址。假如沒有找到，該主機(jī)就發(fā)送一個ARP廣播包，看起來象這樣子：

"我是主機(jī)X.X.X.X1,mac是X-X-X-X1,ip為X.X.X.X2的主機(jī)請告之你的mac來"

ip為X.X.X.X2的主機(jī)響應(yīng)這個廣播，應(yīng)答ARP廣播為："我是X.X.X.X2,我的mac為X-X-X-X2"*ARP的查詢包為廣播包，而ARP的應(yīng)答包為單播包ARP協(xié)議針對ARP的攻擊主要有兩種，一種是DOS,一種是SpoofDOS:大量的arp懇求報文的攻擊假冒ARP應(yīng)答---DOS:冒充B向A應(yīng)答,使得A與B的通信不成功點對點的假冒查詢:顯充A向B發(fā)包更新B的ARP表,使B與A的通信不成功自動定時ARP欺瞞:對網(wǎng)關(guān)的干擾推想ARP解析時間ARP協(xié)議平安問題網(wǎng)絡(luò)平安信任關(guān)系不要單純建立在ip或mac基礎(chǔ)上設(shè)置靜態(tài)的mac-->ip對應(yīng)表，不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表運用ARP服務(wù)器:確保該機(jī)平安,通過該機(jī)查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機(jī)器的ARP廣播運用"proxy"代理ip的傳輸運用硬件屏蔽主機(jī),交換機(jī)和網(wǎng)橋無法阻擋ARP欺瞞定期用響應(yīng)的ip包中獲得一個rarp懇求，然后檢查ARP響應(yīng)的真實性運用防火墻/IDS連續(xù)監(jiān)控網(wǎng)絡(luò)解決ARP協(xié)議平安網(wǎng)際協(xié)議，TCP/IP協(xié)議族中的主要網(wǎng)絡(luò)層協(xié)議，與TCP協(xié)議結(jié)合組成整個因特網(wǎng)協(xié)議的核心協(xié)議。包含尋址信息和限制信息，可使數(shù)據(jù)包在網(wǎng)絡(luò)中路由。IP適用于LAN和WAN通信。除了ARP和RARP,其它全部TCP/IP族中的協(xié)議都是運用IP傳送主機(jī)與主機(jī)間的通信。兩個基本任務(wù)：供應(yīng)無連接的和最有效的數(shù)據(jù)包傳送。供應(yīng)數(shù)據(jù)包的分割及重組以支持不同最大傳輸單元大小的數(shù)據(jù)連接。IP協(xié)議只用于發(fā)送包，TCP協(xié)議負(fù)責(zé)將其按正確依次排列。IP協(xié)議HeaderlengthTypeofserviceTotallengthinbytesIdentification3bitflags13bitfragmentoffsetTimetoliveProtocolIDHeaderchecksumSourceIPaddressDestinationIPaddressVersion0Bit16Bit32BitdataTCP/UDPheaderIPheaderIP協(xié)議結(jié)構(gòu)IP協(xié)議存在的主要缺陷包括：IP通信不需用進(jìn)行身份認(rèn)證，IP數(shù)據(jù)傳輸沒有加密，IP的分組和重組機(jī)制不完善，IP地址的表示不須要真實并確細(xì)致假等。IP碎片攻擊，源路由攻擊，IP欺瞞，IP偽造，PingFlooding和PingofDeath等大量的攻擊，都是利用IP協(xié)議的缺陷對IP協(xié)議進(jìn)行攻擊的。且很多上層的平安隱患源于IP欺瞞，如DNS欺瞞等實例:Smurf攻擊,向大量的遠(yuǎn)程主機(jī)發(fā)送一系列的ping懇求吩咐。黑客把源IP地址換成想要攻擊目標(biāo)主機(jī)的IP地址。全部的遠(yuǎn)程計算機(jī)都響應(yīng)這些ping懇求，然后對目標(biāo)地址進(jìn)行回復(fù)而不是回復(fù)給攻擊者的IP地址用。目標(biāo)IP地址將被大量的ICMP包沉沒而不能有效的工作。IP協(xié)議平安問題網(wǎng)絡(luò)分段VLAN防火墻IPSecIP協(xié)議平安解決方法ICMP是“InternetControlMessageProtocol”（Internet限制消息協(xié)議）的縮寫限制消息是指：網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。限制消息并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。如PingICMP在IP層之上，利用IP層收、發(fā)數(shù)據(jù)包ICMP協(xié)議ICMP協(xié)議結(jié)構(gòu)Type―錯誤消息或信息消息。錯誤消息可能是不行獲得目標(biāo)文件，數(shù)據(jù)包太大，超時，參數(shù)問題等?？赡艿男畔⑾⒂校篍choRequest、EchoReply、GroupMembershipQuery、GroupMembershipReport、GroupMembershipReduction。Code―每種消息類型具有多種不同代碼。不行獲得目標(biāo)文件正是這樣一個例子，即其中可能的消息是：目標(biāo)文件沒有路由，禁止與目標(biāo)文件的通信，非鄰居，不行獲得地址，不行獲得端口。具體細(xì)微環(huán)節(jié)請參照相關(guān)標(biāo)準(zhǔn)。Checksum―計算校驗和時，Checksum字段設(shè)置為0。Identifier―幫助匹配Requests/Replies的標(biāo)識符，值可能為0。SequenceNumber―幫助匹配Requests/Replies的序列號，值可能為0。AddressMask―32位掩碼地址。ICMP協(xié)議結(jié)構(gòu)lotsofnastythingscanbedonewithICMPmessageswhenscanningnetworksortryingtogainacovertchannelICMP協(xié)議本身的特點確定了它特別簡潔被用于攻擊網(wǎng)絡(luò)上的路由器和主機(jī),此外也被用于攻擊前期掃描工作的系統(tǒng)指紋識別?；贗CMP路由欺瞞的技術(shù)都是停留在理論上占整個攻擊總數(shù)的90%以上。如:1.可以利用操作系統(tǒng)規(guī)定的ICMP數(shù)據(jù)包最大尺寸不超過64KB這一規(guī)定，向主機(jī)發(fā)起“PingofDeath”（死亡之Ping）攻擊2.向目標(biāo)主機(jī)長時間、連續(xù)、大量地發(fā)送ICMP數(shù)據(jù)包，也會最終使系統(tǒng)癱瘓。ICMP平安問題在路由器上對ICMP數(shù)據(jù)包進(jìn)行帶寬限制，將ICMP占用的帶寬限制在確定的范圍內(nèi)在主機(jī)上設(shè)置ICMP數(shù)據(jù)包的處理規(guī)則，最好是設(shè)定拒絕全部的ICMP數(shù)據(jù)包--包過濾/防火墻ICMP協(xié)議平安解決方法IGMP（InternetGroupManagementProtocol）是IP主機(jī)用作向相鄰多目路由器報告多目組成員。多目路由器是支持組播的路由器，向本地網(wǎng)絡(luò)發(fā)送IGMP查詢。主機(jī)通過發(fā)送IGMP報告來應(yīng)答查詢。組播路由器負(fù)責(zé)將組播包轉(zhuǎn)發(fā)到全部網(wǎng)絡(luò)中組播成員。Internet組管理協(xié)議（IGMP）是因特網(wǎng)協(xié)議家族中的一個組播協(xié)議，用于IP主機(jī)向任一個干脆相鄰的路由器報告他們的組成員狀況。IGMP信息封裝在IP報文中，其IP的協(xié)議號為2。IGMP由IETF（）定義在RFC-1112、RFC-2236和RFC376中。IGMP協(xié)議IGMP協(xié)議結(jié)構(gòu)問題：可以發(fā)送畸形的igmp包來導(dǎo)致系統(tǒng)tcp-ip棧崩潰。最常用的igmp攻擊就是偽造一個目的地址是單個ip,但ip上層協(xié)議指定為IGMP,系統(tǒng)會為你打造一個igmp報頭,因為組播運用D類地址,所以系統(tǒng)不知如何處理,造成崩潰。IGMP攻擊如：向有WINDOWS9x操作系統(tǒng)的機(jī)器發(fā)送長度和數(shù)量都較大的IGMP數(shù)據(jù)包。典型的攻擊工具有DOOM。IGMP平安問題網(wǎng)絡(luò)分段網(wǎng)絡(luò)安全掃描技術(shù)入侵檢測技術(shù)VPN技術(shù)加密技術(shù)、數(shù)字簽名和認(rèn)證技術(shù)防火墻服務(wù)VLAN的實現(xiàn)網(wǎng)絡(luò)層的安全防護(hù)網(wǎng)絡(luò)層的平安防護(hù)邏輯網(wǎng)絡(luò)分段:網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)際必需通過路由器、路由交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接，利用這些中間設(shè)備（含軟件、硬件）的平安機(jī)制來限制各子網(wǎng)際的訪問。VLAN的實施:依據(jù)系統(tǒng)的平安性來劃分VLAN。防火墻服務(wù):在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊，依據(jù)設(shè)定的平安規(guī)則，在愛護(hù)內(nèi)部網(wǎng)絡(luò)平安的前提下，供應(yīng)內(nèi)外網(wǎng)絡(luò)通訊。加密技術(shù):通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的平安牢靠性,有面對網(wǎng)絡(luò)或面對應(yīng)用服務(wù)2種形式。數(shù)字簽名和認(rèn)證技術(shù):解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認(rèn)可。VPN技術(shù):在不行信任的公共網(wǎng)絡(luò)上平安的通信。網(wǎng)絡(luò)層的平安防護(hù)IPSEC：于1995年在互聯(lián)網(wǎng)標(biāo)準(zhǔn)草案中頒布，可以保證局域網(wǎng)、專用或公用的廣域網(wǎng)及Internet上信息傳輸?shù)钠桨?。主要特征：可對全部IP級的通信進(jìn)行加密和認(rèn)證。其供應(yīng)三種形式來愛護(hù)通過IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù)。數(shù)據(jù)認(rèn)證--可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)在數(shù)據(jù)完整性方面是一樣的，同時可以確定申請發(fā)送者在事實上是真實發(fā)送者，而不是偽裝的完整性--保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不行檢測的數(shù)據(jù)丟失與變更機(jī)密性--使相應(yīng)的接收者能獲得發(fā)送的真正內(nèi)容，而無意獲得數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容網(wǎng)絡(luò)層平安協(xié)議主要優(yōu)點：透亮性，也就是說，平安服務(wù)的供應(yīng)不須要應(yīng)用程序、其他通信層次和網(wǎng)絡(luò)部件做任何改動主要缺點：網(wǎng)絡(luò)層一般對屬于不同進(jìn)程和相應(yīng)條例的包不作區(qū)分。對全部去往同一地址的包，它將依據(jù)同樣的加密密鑰和訪問限制策略來處理。這可能導(dǎo)致供應(yīng)不了所需的功能，也會導(dǎo)致性能下降網(wǎng)絡(luò)層的平安性特點傳輸層介紹傳輸層協(xié)議及其平安分析傳輸層的平安威逼傳輸層限制主機(jī)間傳輸?shù)臄?shù)據(jù)流。TCP傳輸控制協(xié)議（TransmissionControlProtocol)。這是一種提供給用戶進(jìn)程的可靠的全雙工字節(jié)流面向連接的協(xié)議。它要為用戶進(jìn)程提供虛電路服務(wù)，并為數(shù)據(jù)可靠傳輸建立檢查。大多數(shù)網(wǎng)絡(luò)用戶程序使用TCP。UDP用戶數(shù)據(jù)報協(xié)議(UserDatagramProtocol)。這是提供給用戶進(jìn)程的無連接協(xié)議，用于傳送數(shù)據(jù)而不執(zhí)行正確性檢查。

傳輸層介紹通過序列確認(rèn)以及包重發(fā)機(jī)制，供應(yīng)牢靠的數(shù)據(jù)流發(fā)送和到應(yīng)用程序的虛擬連接服務(wù)。與IP協(xié)議相結(jié)合，TCP組成了因特網(wǎng)協(xié)議的核心。網(wǎng)絡(luò)IP地址和端口號結(jié)合成為唯一的標(biāo)識,我們稱之為“套接字”或“端點”。TCP在端點間建立連接或虛擬電路進(jìn)行牢靠通信。供應(yīng)數(shù)據(jù)流傳輸、牢靠性、有效流限制、全雙工操作和多路復(fù)用技術(shù)等。TCP協(xié)議數(shù)據(jù)流傳輸,TCP交付一個由序列號定義的無結(jié)構(gòu)的字節(jié)流。這個服務(wù)對應(yīng)用程序有利，因為在送出到TCP之前應(yīng)用程序不須要將數(shù)據(jù)劃分成塊，TCP可以將字節(jié)整合成字段，然后傳給IP進(jìn)行發(fā)送。牢靠性：TCP在字節(jié)上加上一個遞進(jìn)的確認(rèn)序列號來告知接收者發(fā)送者期望收到的下一個字節(jié)。假如在規(guī)定時間內(nèi)，沒有收到關(guān)于這個包的確認(rèn)響應(yīng)，重新發(fā)送此包。TCP的牢靠機(jī)制允許設(shè)備處理丟失、延時、重復(fù)及讀錯的包。超時機(jī)制允許設(shè)備監(jiān)測丟失包并懇求重發(fā)。有效流限制。當(dāng)向發(fā)送者返回確認(rèn)響應(yīng)時，接收TCP進(jìn)程就會說明它能接收并保證緩存不會發(fā)生溢出的最高序列號。全雙工操作：TCP進(jìn)程能夠同時發(fā)送和接收包。多路技術(shù)：大量同時發(fā)生的上層會話能在單個連接上時進(jìn)行多路復(fù)用。TCP協(xié)議TCP協(xié)議結(jié)構(gòu)SYN（SEQs=ISNc）SYN（SEQs=ISNc），ACK(SEQA=ISNc+1)ACK（SEQA=ISNs+1）服務(wù)器S客戶機(jī)C建立一個TCP連接結(jié)束一個TCP連接TCP協(xié)議被攻擊，主要是利用TCP的三次握手機(jī)制,如有:TCP序列號欺瞞TCP序列號轟炸攻擊SYNFlooding攻擊，ACKFlooding攻擊等;TCP協(xié)議的平安問題UDP協(xié)議傳輸層協(xié)議，為無確認(rèn)的數(shù)據(jù)報服務(wù)，只是簡潔的接收和傳輸數(shù)據(jù)UDP比TCP傳輸數(shù)據(jù)快UDP頭標(biāo)UDP數(shù)據(jù)區(qū)IP頭標(biāo)IP數(shù)據(jù)區(qū)UDP無連接的傳輸層協(xié)議，供應(yīng)面對事務(wù)的簡潔不行靠信息傳送服務(wù)。與TCP不同，UDP并不供應(yīng)對IP協(xié)議的牢靠機(jī)制、流限制以及錯誤復(fù)原功能等。UDP比較簡潔，UDP頭包含很少的字節(jié)，比TCP負(fù)載消耗少。UDP適用于不須要TCP牢靠機(jī)制的情形,如網(wǎng)絡(luò)文件系統(tǒng)（NFS）、簡潔網(wǎng)絡(luò)管理協(xié)議（SNMP）、域名系統(tǒng)（DNS）以及簡潔文件傳輸系統(tǒng)（TFTP）均基于UDPUDP協(xié)議UDP協(xié)議結(jié)構(gòu)對UDP協(xié)議的攻擊，主要利用UDP協(xié)議本身特性，進(jìn)行流量攻擊，強(qiáng)化UDP通信的不行靠性，以達(dá)到拒絕服務(wù)的目的。此外,某些Unix的服務(wù)器默認(rèn)一些可被惡意利用的UDP服務(wù)，如echo和chargen，它會顯示接收到的每一個數(shù)據(jù)包，而原本作為測試功能的chargen服務(wù)會在收到每一個數(shù)據(jù)包時隨機(jī)反饋一些字符，假如惡意攻擊者將這2個UDP服務(wù)互指，則網(wǎng)絡(luò)可用帶寬將很快耗盡。UDP協(xié)議平安問題傳輸層處于通信子網(wǎng)和資源子網(wǎng)之間，起著承上啟下的作用，支持多種平安服務(wù)：對等實體認(rèn)證服務(wù)；訪問限制服務(wù)；數(shù)據(jù)保密服務(wù)；數(shù)據(jù)完整性服務(wù)；數(shù)據(jù)源點認(rèn)證服務(wù)。傳輸層平安性應(yīng)用層介紹應(yīng)用層常見協(xié)議平安性應(yīng)用層的平安實現(xiàn)應(yīng)用層的平安威逼標(biāo)準(zhǔn)協(xié)議:簡潔郵件傳輸協(xié)議（SMTP）文件傳輸協(xié)議(FTP)超文本傳輸協(xié)議(HTTP)遠(yuǎn)程連接服務(wù)標(biāo)準(zhǔn)協(xié)議（Telnet）簡潔網(wǎng)絡(luò)管理協(xié)議(SNMP)域名系統(tǒng)(DNS)定制應(yīng)用：困難DNSSNMPTelnetHTTPFTPSMTP應(yīng)用層介紹文件傳輸協(xié)議（FTP）使得主機(jī)間可以共享文件FTP運用TCP生成一個虛擬連接用于限制信息，然后再生成一個單獨的TCP連接用于數(shù)據(jù)傳輸。限制連接運用類似TELNET協(xié)議在主機(jī)間交換吩咐和消息。主要功能:供應(yīng)文件的共享（計算機(jī)程序/數(shù)據(jù)）；支持間接運用遠(yuǎn)程計算機(jī)；運用戶不因各類主機(jī)文件存儲器系統(tǒng)的差異而受影響；牢靠且有效的傳輸數(shù)據(jù)。FTP協(xié)議TELNET是TCP/IP環(huán)境下的終端仿真協(xié)議，通過TCP建立服務(wù)器與客戶機(jī)之間的連接。Telnet協(xié)議Telnet本身的缺陷：沒有口令愛護(hù)沒有強(qiáng)力認(rèn)證過程沒有完整性檢查傳送的數(shù)據(jù)都沒有加密客戶機(jī)/服務(wù)器模型Telnet平安問題懇求/響應(yīng)式的應(yīng)用層協(xié)議懇求的格式是：統(tǒng)一資源標(biāo)識符（URI）、協(xié)議版本號，后面是類似MIME的信息，包括懇求修飾符、客戶機(jī)信息和可能的內(nèi)容。響應(yīng)信息，其格式是：一個狀態(tài)行包括信息的協(xié)議版本號、一個成功或錯誤的代碼，后面也是類似MIME的信息，包括服務(wù)器信息、實體信息和可能的內(nèi)容。也可用作一般協(xié)議，實現(xiàn)用戶代理與連接其它Internet服務(wù)（如SMTP、NNTP、FTP、GOPHER及WAIS）的代理服務(wù)器或網(wǎng)關(guān)之間的通信，允許基本的超媒體訪問各種應(yīng)用供應(yīng)的資源，同時簡化了用戶代理系統(tǒng)的實施HTTP協(xié)議HTTP協(xié)議結(jié)構(gòu)HTTP協(xié)議明文傳輸數(shù)據(jù)。WEB用戶可能下載有破壞性的ActiveX控件或JAVAapplets這些程序在用戶的計算機(jī)上執(zhí)行并含有某種類別的代碼，包括病毒或特洛伊木馬HTTP服務(wù)器也必須要當(dāng)心愛護(hù)，HTTP服務(wù)器在存在較多平安性問題。HTTP協(xié)議平安問題用于在IP網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)效能，發(fā)覺并解決網(wǎng)絡(luò)問題以及規(guī)劃網(wǎng)絡(luò)增長。通過SNMP接收隨機(jī)消息（及事務(wù)報告）網(wǎng)絡(luò)管理系統(tǒng)獲知網(wǎng)絡(luò)出現(xiàn)問題。三個主要組成部分：管理的設(shè)備、代理、網(wǎng)絡(luò)管理系統(tǒng)。一種應(yīng)用程序協(xié)議，封裝在UDP/TCP中。SNMP協(xié)議SNMPv1跟蹤消息處理系列缺陷:SNMP代理(SNMPagents)發(fā)送跟蹤消息(SNMPtrapmessages)到管理器(SNMPmanager)，向管理器報告錯誤信息、警報和其它的有關(guān)宿主的狀態(tài)信息。管理器必需解析和處理這些數(shù)據(jù)。OUSPG發(fā)覺很多SNMP管理器在解析和處理過程中存在缺陷(ouluuniversitysecureprogramminggroup)SNMPv1懇求信息處理系列缺陷:在數(shù)據(jù)處理過程中，代理和管理器都有出現(xiàn)拒絕服務(wù)錯誤、格式化字符串錯誤和緩沖溢出攻擊的可能。SNMP平安隱患團(tuán)體名作為唯一的SNMP認(rèn)證手段，也是薄弱環(huán)節(jié)之一。SNMPv1消息的團(tuán)體名在網(wǎng)上以明碼傳輸。SNMP主要接受UDP傳輸，很簡潔進(jìn)行IP源地址假冒多數(shù)SNMP設(shè)備接收來自網(wǎng)絡(luò)廣播地址的SNMP消息。SNMP平安隱患攻擊方法：假如獲得支持SNMP協(xié)議設(shè)備的“communitystring”，攻擊者將可以修改路由器配置、獲得服務(wù)器最高限制權(quán)、重新啟動設(shè)備。不知道“communitystring”的前提下，則進(jìn)行拒絕服務(wù)攻擊。SNMP平安問題從廠商獲得補(bǔ)丁程序并執(zhí)行禁止SNMP服務(wù)邊界訪問過濾(tcp161/162,udp161/162)在內(nèi)部網(wǎng)絡(luò)中過濾不正常的SNMP訪問修改缺省的"communitystring"隔離SNMP包SNMP平安解決方法DNS服務(wù)是Internet上其它服務(wù)的基礎(chǔ)DNS服務(wù)存在的主要平安問題名字欺瞞信息隱藏DNS協(xié)議平安問題對全部人完全共享對全部人完全共享，這是在WindowNT共享時的缺省配置，他對全部可訪問該主機(jī)的用戶供應(yīng)完全的訪問權(quán)限；對Guest用戶完全共享對Guest用戶完全共享，Guest帳號是WinNT的缺省帳號，它有缺省口令，假如系統(tǒng)供應(yīng)對Guest用戶的完全訪問權(quán)限，入侵者可通過Guest帳號注冊到服務(wù)器獲得信息或修改數(shù)據(jù)；沒有訪問限制的共享沒有訪問限制的共享，是指沒有合法認(rèn)證的共享，在網(wǎng)絡(luò)上的任何用戶都可訪問，此弱點在Win95上常見；對全部人可寫對全部人可寫是指對全部可訪問該服務(wù)器的用戶具有對共享書目的寫權(quán)限，此弱點可能會使被共享書目中的文件被篡改或刪除；對Guest用戶可寫對Guest用戶可寫是指通過Guest帳號注冊就能獲得共享資源的寫權(quán)限；NetBios空會話NetBios空會話通過長度為零的用戶名和口令注冊獲得對服務(wù)器的訪問權(quán)。NetBIOS應(yīng)用層協(xié)議本身存在的主要問題是：信息明文傳輸，包括如FTP、Telnet登錄驗證帳號和密碼都是明文，攻擊者可以通過網(wǎng)絡(luò)嗅探獲得有價值信息，以備下一步攻擊之用,此外應(yīng)用層協(xié)議的很多威逼來自于低層協(xié)議的平安性問題。應(yīng)用層應(yīng)用實現(xiàn)的平安缺陷(網(wǎng)絡(luò)編程)應(yīng)用層協(xié)議平安小結(jié)平安威逼：困難多樣平安協(xié)議：SSH，S-HTTP等。應(yīng)用層的平安服務(wù)事實上是最敏捷的處理單個文件平安性的手段，可以實施細(xì)粒度的平安限制可能的方法：對每個應(yīng)用(及應(yīng)用協(xié)議)分別進(jìn)行修改；實施強(qiáng)大的基于用戶的身份認(rèn)證；實施數(shù)據(jù)加密；訪問限制；數(shù)據(jù)的備份和復(fù)原措施；對資源的有效性進(jìn)行限制。應(yīng)用層平安的解決目前往往依靠于網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫的平安應(yīng)用層平安防護(hù)網(wǎng)絡(luò)中面臨的威逼DoS攻擊概念DoSDenialofService的簡稱，拒絕服務(wù)。屬于攻擊早期形態(tài)，由于攻擊者帶寬、CPU等資源不足，較難形成威逼。假如是目標(biāo)有明顯漏洞，不須要僵尸網(wǎng)絡(luò)，攻擊成本較低。DDoS分布式拒絕服務(wù)(DistributedDenialofService)。當(dāng)前主流攻擊手段，帶寬消耗、主機(jī)消耗、打漏洞都可以。InternetDDoS攻擊的過程癱瘓最終服務(wù)器堵塞沿途帶寬DNS攻擊基礎(chǔ)網(wǎng)絡(luò)設(shè)施BOT命令吩咐限制合法使用者DoSBot(受感染機(jī)器)DoSBot(受感染機(jī)器)DoSBot(受感染機(jī)器)DoSBot(受感染機(jī)器)DDoS攻擊的動機(jī)技術(shù)炫耀、報復(fù)心理針對系統(tǒng)漏洞搗亂行為商業(yè)利益驅(qū)使不正值競爭間接獲利商業(yè)敲詐政治因素意識形態(tài)差別政治利益沖突上述現(xiàn)象的背后–原始的經(jīng)濟(jì)驅(qū)動力工具濫用者-“市場與銷售”？真正的攻擊者-“用戶與合作者”？最終價值工具編寫者-“研發(fā)人員”？DDOS攻擊地下產(chǎn)業(yè)化干脆發(fā)展收購肉雞制造、限制，培訓(xùn)、租售學(xué)習(xí)、賺錢僵尸網(wǎng)絡(luò)工具、病毒制作傳播銷售攻擊工具漏洞探討、目標(biāo)破解漏洞探討攻擊實施者廣告經(jīng)紀(jì)人需求方、服務(wù)獲得者、資金注入者培訓(xùn)地下黑客攻擊網(wǎng)絡(luò)發(fā)展與變更1）供應(yīng)規(guī)模持續(xù)增加 YankeeGroup調(diào)查顯示：發(fā)生在11月的一次為期一周的DDoS攻 擊，帶寬峰值高達(dá)45Gbps，每秒攻擊數(shù)量達(dá)到6900萬數(shù)據(jù)包。發(fā)展與變更2）攻擊的困難性不斷提高攻擊的手法漸漸從網(wǎng)絡(luò)層向應(yīng)用層轉(zhuǎn)變，并有向業(yè)務(wù)邏輯層發(fā)展的趨勢；應(yīng)用層攻擊的破壞力和防護(hù)難度要比網(wǎng)絡(luò)層的大很多各種變種的HTTP/GET攻擊工具：Anonymous的Loic、Hoic、Slowloris、DDoSIM等針對DNS的攻擊發(fā)展與變更3）發(fā)動攻擊的代價或難度越來越低“低軌道離子炮”（LOIC），并有安卓版