數(shù)據(jù)通信與計算機網(wǎng)絡（第二版）課件：網(wǎng)絡安全

網(wǎng)絡安全11.1概述11.2常見的攻擊技術(shù)11.3數(shù)據(jù)加密11.4防火墻技術(shù)11.5入侵檢測系統(tǒng)11.1.1Internet安全隱患的主要體現(xiàn)黑客攻擊TCP/IP協(xié)議操作系統(tǒng)計算機病毒11.1.2網(wǎng)絡攻擊的一般步驟準備工作實施攻擊開辟后門清除痕跡11.2.1掃描技術(shù)

網(wǎng)絡掃描技術(shù)是一種基于Internet遠程檢測目標網(wǎng)絡或本地主機安全性脆弱點的技術(shù)。掃描技術(shù)是一把雙刃劍。典型的掃描技術(shù)包括：PING掃描、操作系統(tǒng)探測、穿透防火墻探測、端口掃描、漏洞掃描等。11.2.1掃描技術(shù)1.端口掃描端口掃描，顧名思義，就是逐個對一段端口或指定的端口進行掃描。端口掃描的原理：手動或用程序自動的向目標主機的各個端口發(fā)送不同的探測數(shù)據(jù)包，目標主機的端口狀態(tài)不同，對這些探測包的回應包就有所不同，分析這些回應包，就可得出遠程主機的端口開放情況。11.2.1掃描技術(shù)1.端口掃描（1）全連接掃描全連接掃描指在掃描主機同目標主機的目標端口之間，經(jīng)過三次握手，建立起一個完整的TCP連接來判斷目標端口是否開放的方法。常見的全連接掃描方法有TCPConnect()掃描、TCP反向ident掃描等。11.2.1掃描技術(shù)1.端口掃描（2）半連接掃描半連接掃描指端口掃描并沒有完成一個完整的TCP連接，而是在掃描主機和目標主機建立此連接時，只完成三次握手的前兩次握手便中斷連接。例：TCPSYN掃描。11.2.1掃描技術(shù)1.端口掃描（3）秘密掃描秘密掃描是一種審計工具所檢測不到的掃描技術(shù)。常見的秘密掃描有：TCPFIN掃描、TCPACK掃描、NULL掃描、XMAS掃描、TCP分段掃描等。

11.2.1掃描技術(shù)2.漏洞掃描系統(tǒng)安全漏洞也叫系統(tǒng)脆弱性，簡稱漏洞，是計算機系統(tǒng)在硬件、軟件、協(xié)議的設計和實現(xiàn)過程中或系統(tǒng)安全策略上存在的缺陷和不足。

11.2.1掃描技術(shù)2.漏洞掃描（1）基于漏洞庫的掃描：在端口掃描后得知目標主機開啟的端口以及端口上的網(wǎng)絡服務，將這些相關(guān)信息與漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在。11.2.1掃描技術(shù)2.漏洞掃描（2）基于模擬攻擊的掃描：通過模擬黑客的攻擊手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。11.2.2網(wǎng)絡監(jiān)聽網(wǎng)絡監(jiān)聽也叫網(wǎng)絡嗅探，其英文名是Sniffing，即是一種捕獲網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包并進行分析的行為。11.2.2網(wǎng)絡監(jiān)聽一般而言，網(wǎng)絡監(jiān)聽都是在局域網(wǎng)進行的。按照信息交換方式的不同，局域網(wǎng)可分為共享式局域網(wǎng)和交換式局域網(wǎng)。11.2.2網(wǎng)絡監(jiān)聽共享式局域網(wǎng)是指網(wǎng)絡中的所有節(jié)點共享網(wǎng)絡帶寬，最典型的是用集線器（HUB）連接的局域網(wǎng)。11.2.2網(wǎng)絡監(jiān)聽交換式局域網(wǎng)，指采用了交換技術(shù)的網(wǎng)絡，最典型的是用交換機連接的局域網(wǎng)。11.2.2網(wǎng)絡監(jiān)聽（1）MACFlooding

由于交換機工作時依據(jù)內(nèi)存中的端口映射表轉(zhuǎn)發(fā)數(shù)據(jù)包，而交換機本身的內(nèi)存容量是有限的，當內(nèi)存耗盡時，一些交換機便會將數(shù)據(jù)包以廣播形式發(fā)送出去。所以，通過在局域網(wǎng)上發(fā)送大量虛假的MAC地址，以造成交換機的內(nèi)存耗盡，此時可以和監(jiān)聽共享式網(wǎng)絡一樣進行網(wǎng)絡監(jiān)聽。11.2.2網(wǎng)絡監(jiān)聽（2）ARP欺騙

ARP協(xié)議的作用是將IP地址映射到MAC地址，攻擊者通過向目標主機發(fā)送偽造的ARP應答包，騙取目標系統(tǒng)更新ARP表，將目標系統(tǒng)的網(wǎng)關(guān)的MAC地址修改為發(fā)起攻擊的主機MAC地址，使發(fā)給目標主機的數(shù)據(jù)包都經(jīng)由攻擊者的主機。這樣，就可以在交換式網(wǎng)絡下監(jiān)聽特定的目標主機。11.2.3拒絕服務攻擊1.拒絕服務攻擊的原理網(wǎng)絡安全中，拒絕服務（DenialofService，簡稱DoS）攻擊以其危害巨大，難以防御等特點成為黑客經(jīng)常采用的攻擊手段。DoS指系統(tǒng)崩潰或其帶寬耗盡或其存儲空間已滿，導致其不能提供正常服務的狀態(tài)。11.2.3拒絕服務攻擊1.拒絕服務攻擊的原理

DoS攻擊的基本過程為：首先攻擊者向目標服務器發(fā)送眾多的帶有虛假地址的請求，服務器發(fā)送回復信息后等待回傳信息，由于地址是偽造的，所以服務器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復發(fā)送偽地址請求的情況下，服務器資源最終會被耗盡。11.2.3拒絕服務攻擊1.拒絕服務攻擊的原理分布式拒絕服務（DistributedDenialofService，簡稱DDoS）攻擊，是一種DoS攻擊的特殊形式，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，象商業(yè)公司，搜索引擎和政府部門的站點。11.2.3拒絕服務攻擊1.拒絕服務攻擊的原理分布式拒絕服務（DistributedDenialofService，簡稱DDoS）攻擊，是一種DoS攻擊的特殊形式，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，象商業(yè)公司，搜索引擎和政府部門的站點。11.2.3拒絕服務攻擊1.拒絕服務攻擊的原理

11.2.3拒絕服務攻擊2.典型拒絕服務攻擊方法（1）LAND攻擊（2）SYN洪水攻擊（3）UDP洪水攻擊（4）Fraggle攻擊（5）TearDrop（淚滴）攻擊（6）Ping-of-death（7）Smurf

11.3.1加密與解密11.3.2算法類型1.秘密鑰匙加密11.3.2算法類型2.公用鑰匙加密11.3.3Hash函數(shù)Hash函數(shù)又名信息摘要（MessageDigest）函數(shù)，可將一任意長度的信息濃縮為較短的固定長度的數(shù)據(jù)。其特點如下：濃縮結(jié)果與源信息密切相關(guān)，源信息每一微小變化，都會使?jié)饪s結(jié)果發(fā)生巨變。Hash函數(shù)所生成的映射關(guān)系是多對一關(guān)系，因此無法由濃縮結(jié)果推算出源信息。運算效率較高。11.3.4數(shù)據(jù)完整性驗證

完整性（Integrity）驗證用于確認數(shù)據(jù)經(jīng)長途勞頓、長期保存后是否仍然保持原樣，不曾改變。驗證數(shù)據(jù)完整性的一般方法是用Hash函數(shù)對原數(shù)據(jù)進行處理，產(chǎn)生一組長度固定（例如32bit）的摘要值。需要驗證時，便重新計算摘要值，再與原驗證值進行比對，以判別數(shù)據(jù)是否發(fā)生了變化。11.3.4數(shù)字簽名11.4.1防火墻技術(shù)概述11.4.1防火墻技術(shù)概述防火墻的主要功能如下：（1）過濾不安全服務和非法用戶，禁止未授權(quán)的用戶訪問受保護網(wǎng)絡。（2）控制對特殊站點的訪問。（3）提供監(jiān)視Internet安全和預警的端點。11.4.2防火墻類型1.網(wǎng)絡級防火墻網(wǎng)絡級防火墻也稱包過濾防火墻，通常由一部路由器或一部充當路由器的計算機組成。

11.4.2防火墻類型2.應用級防火墻

應用級防火墻通常指運行代理（Proxy）服務器軟件的一部計算機主機。

11.4.2防火墻類型3.電路級防火墻

電路級防火墻也稱電路層網(wǎng)關(guān)，是一個具有特殊功能的防火墻，它可以由應用層網(wǎng)關(guān)來完成。電路層網(wǎng)關(guān)只依賴于TCP連接，并不進行任何附加的包處理或過濾。11.4.2防火墻類型4.狀態(tài)監(jiān)測防火墻

與上述防火墻技術(shù)相比，狀態(tài)監(jiān)測防火墻是新一代的技術(shù)。11.4.3防火墻的結(jié)構(gòu)1.雙宿主機網(wǎng)關(guān)11.4.3防火墻的結(jié)構(gòu)2.屏蔽主機網(wǎng)關(guān)

11.4.3防火墻的結(jié)構(gòu)2.屏蔽主機網(wǎng)關(guān)

11.4.3防火墻的結(jié)構(gòu)3.屏蔽子網(wǎng)

11.5.1概述入侵檢測系統(tǒng)是探測計算機網(wǎng)絡攻擊行為的軟件或硬件。它作為防火墻的合理補充，可以幫助