教學課件-網(wǎng)絡(luò)信息安全

網(wǎng)絡(luò)信息安全2014-2015學年第一學期網(wǎng)絡(luò)信息安全重要嗎？2014年國內(nèi)十大網(wǎng)絡(luò)信息安全事件

1.中國互聯(lián)網(wǎng)出現(xiàn)大面積DNS解析故障2.中央網(wǎng)信小組成立網(wǎng)絡(luò)信息安全上升為國家戰(zhàn)略3.攜程信息“安全門”事件敲響網(wǎng)絡(luò)消費安全警鐘4.小米800萬用戶數(shù)據(jù)泄露5.網(wǎng)絡(luò)信息安全提升至國家高度國產(chǎn)軟件受重視網(wǎng)絡(luò)信息安全重要嗎？2014年國內(nèi)十大網(wǎng)絡(luò)信息安全事件

6.快遞公司官網(wǎng)遭入侵泄露1400萬用戶快遞數(shù)據(jù)7.130萬考研用戶信息被泄露8.智聯(lián)招聘86萬條求職簡歷數(shù)據(jù)遭泄露9.阿里云稱遭互聯(lián)網(wǎng)史上最大規(guī)模DDoS攻擊10.12306網(wǎng)站超13萬用戶數(shù)據(jù)遭泄露網(wǎng)絡(luò)信息安全重要嗎？2014年國外十大網(wǎng)絡(luò)信息安全事件

1.Heartbleed漏洞2.斯諾登曝光美國工業(yè)間諜活動3.2000萬韓國人信用卡信息被盜4.英國央行雇傭黑客進行內(nèi)部攻防測試起示范作用5.微軟正式停止對XP系統(tǒng)技術(shù)支持網(wǎng)絡(luò)信息安全重要嗎？2014年國外十大網(wǎng)絡(luò)信息安全事件

6.iCloud曝安全漏洞蘋果陷入“艷照門”事件7.摩根大通銀行被黑8300萬客戶信息泄露8.全球手機運營商現(xiàn)安全漏洞數(shù)十億人的通信或受影響9.全球互聯(lián)網(wǎng)域名管理機構(gòu)ICANN遭黑客攻擊10.索尼影業(yè)被黑、朝鮮網(wǎng)絡(luò)癱瘓事件持續(xù)發(fā)酵如何學習網(wǎng)絡(luò)信息安全知識？教材使用方法結(jié)合計算機軟考網(wǎng)絡(luò)工程師考試與本課程的學習，學習好本課程的同時考取網(wǎng)絡(luò)工程師或者網(wǎng)絡(luò)安全工程師等證書，增加自身含金量和就業(yè)競爭力。參考書：信息安全基礎(chǔ)；計算機網(wǎng)絡(luò)安全基礎(chǔ)參考網(wǎng)站：中國互聯(lián)網(wǎng)絡(luò)信息中心/gjymaqzx/怎樣考試、考勤？

70%期末+30%平時課堂測驗（準備筆、紙）第1章

網(wǎng)絡(luò)體系結(jié)構(gòu)網(wǎng)絡(luò)的層次結(jié)構(gòu)：網(wǎng)絡(luò)是如何實現(xiàn)的，以及網(wǎng)絡(luò)提供的功能

協(xié)議概述：協(xié)議的作用層次網(wǎng)絡(luò)模型：OSI參考模型和TCP/IP參考模型各層的功能和層次對應(yīng)關(guān)系網(wǎng)絡(luò)是如何實現(xiàn)的？什么是協(xié)議？網(wǎng)絡(luò)協(xié)議確保設(shè)備通信成功.協(xié)議規(guī)范消息的格式和結(jié)構(gòu)網(wǎng)絡(luò)設(shè)備共享有關(guān)于其他網(wǎng)絡(luò)之間通信的信息時設(shè)備之間傳送錯誤消息和系統(tǒng)消息的方式與時間數(shù)據(jù)傳送會話的建立和終止.協(xié)議與行業(yè)標準的區(qū)別標準是指已經(jīng)受到網(wǎng)絡(luò)行業(yè)認可，經(jīng)過標準化組織批準的流程或協(xié)議TCPIPISO9001。。。兩個必須掌握的層次結(jié)構(gòu)模型OSI七層模型：國際標準TCP／IP四層模型過程的消息本章小結(jié)本次課需要對層次網(wǎng)絡(luò)模型熟練掌握，以便后續(xù)課程中基于層次模型的學習。平時關(guān)注網(wǎng)絡(luò)信息安全方面的信息，并思考存在的問題及解決問題的方案。課后作業(yè)

1、教材P12課后作業(yè)2、復(fù)習第1章，下次課測驗，準備空白紙一張。第2章

網(wǎng)絡(luò)協(xié)議什么是協(xié)議？什么是標準協(xié)議是為解決某個特定問題或者描述一個需求而設(shè)計的標準描述協(xié)議是如何動作的或和其他層是如何交互的開放協(xié)議與專利協(xié)議的區(qū)別開放協(xié)議開放健壯性好，缺陷最小易發(fā)現(xiàn)安全缺陷專利協(xié)議不開放，屬于一個提供商不易發(fā)現(xiàn)安全缺陷協(xié)議規(guī)范存在的問題之最？表示規(guī)范的方法，文本RFC（RequestForComment）請求評議

（Demo）IETF:因特網(wǎng)工程任務(wù)組

（InternetEngineeringTaskForce）其他標準化組織ANSIIEEEISOITU協(xié)議的關(guān)鍵點之一：尋址方法郵遞實例網(wǎng)絡(luò)中的地址（DEMO）

硬件地址IP地址端口號網(wǎng)址域名地址如何分配靜態(tài)地址動態(tài)地址數(shù)據(jù)包頭部頭部定義為協(xié)議規(guī)范的一部分固定數(shù)據(jù)包型固定部分可選部分無限制型頭部常用于應(yīng)用層數(shù)據(jù)串本章小結(jié)本次課需要對層次網(wǎng)絡(luò)協(xié)議相關(guān)定義熟練掌握，以便后續(xù)課程中基于協(xié)議模型的學習。平時關(guān)注網(wǎng)絡(luò)信息安全方面的信息，并思考存在的問題及解決問題的方案。課后作業(yè)

1、教材P23課后作業(yè)2、復(fù)習第2章，下次課測驗，準備空白紙一張。第3章

互聯(lián)網(wǎng)如何利用不同地址傳輸數(shù)據(jù)？P27圖3.3端口號IP地址物理地址什么是地址欺騙？目的地址：接收者，數(shù)據(jù)到哪里去，用于送達信件源地址：發(fā)送者，數(shù)據(jù)從哪里來，無法識別真實性地址欺騙：采用虛假的源地址的行為P29圖3.4IP地址與子網(wǎng)掩碼？IPv432bit主機名全域名

DNS本地DNS根DNS遞歸解析迭代解析IP地址與域名客戶－服務(wù)器模式C/S模式Client／ServerP2P模式套接字（IP，Port）路由路由表靜態(tài)路由動態(tài)路由本章小結(jié)本次課需要熟練掌握層次網(wǎng)絡(luò)傳輸過程中的各類地址；了解客戶－服務(wù)器模式和路由方法。課后作業(yè)

1、教材P37課后作業(yè)2、復(fù)習第3章，下次課測驗，準備空白紙一張。第4章

網(wǎng)絡(luò)漏洞的分類兩臺計算機進行通信時可能的攻擊點？應(yīng)用層A1TCPIP-C1物理網(wǎng)絡(luò)N1應(yīng)用層A1TCPIP-D1物理網(wǎng)絡(luò)N4IP-R1物理網(wǎng)絡(luò)N2IP-R2物理網(wǎng)絡(luò)N3用戶A用戶B互聯(lián)網(wǎng)計算機A1計算機B1攻擊點1攻擊點2攻擊點3攻擊點4協(xié)議的哪些環(huán)節(jié)可能會存在漏洞？設(shè)計環(huán)節(jié)協(xié)議制定和書寫上的漏洞原因：對協(xié)議內(nèi)在的安全問題關(guān)注不夠?qū)崿F(xiàn)環(huán)節(jié)代碼錯誤、規(guī)范的解釋錯誤、被攻擊者發(fā)現(xiàn)的未預(yù)見的攻擊方法原因：規(guī)范本身有沖突或漏洞配置環(huán)節(jié)用戶不正確地配置系統(tǒng)或者使用系統(tǒng)默認值原因：系統(tǒng)默認密碼可以輕易獲取利用漏洞的步驟？發(fā)現(xiàn)漏洞試探漏洞攻擊代碼實施攻擊腳本小子零日試探如何對現(xiàn)有網(wǎng)絡(luò)信息系統(tǒng)進行風險評估？威脅漏洞影響針對網(wǎng)絡(luò)安全將漏洞和攻擊分為四類基于頭部的漏洞和攻擊基于協(xié)議的漏洞和攻擊基于驗證的漏洞和攻擊基于流量的漏洞和攻擊基于頭部的漏洞和攻擊協(xié)議頭部的域值與標準發(fā)生了沖突

死亡之Ping（PingofDeath）ping-l65500目標ip-t（65500表示數(shù)據(jù)長度上限，-t表示不停地ping目標地址）基于IP的攻擊緩存溢出攻擊Windows／Unix預(yù)防死亡之ping的最好方法是對操作系統(tǒng)打補丁，使內(nèi)核將不再對超過規(guī)定長度的包進行重組基于協(xié)議的漏洞和攻擊數(shù)據(jù)包與協(xié)議的執(zhí)行過程有沖突不按序發(fā)送數(shù)據(jù)包發(fā)送數(shù)據(jù)包太快或者太慢丟失數(shù)據(jù)包SYN攻擊2000年YAHOO網(wǎng)站限制單一計算機和服務(wù)器試圖連接次數(shù)基于驗證的漏洞和攻擊用戶到用戶的驗證：密鑰和證書，常用于E－mail或安全性文檔用戶到主機的驗證：用戶名和密碼，常用于請求資源時主機到主機：為了執(zhí)行某個功能，層與層之間，借助主機地址或應(yīng)用程序地址，脆弱主機到用戶：允許用戶證明所連接主機的身份，用于某個用戶與某安全網(wǎng)站連接時基于流量的漏洞和攻擊情況1：大量數(shù)據(jù)被送往某層，該層不能及時處理，引起丟包或不處理情況2:數(shù)據(jù)包嗅探

例如sniffer等本章小結(jié)本次課需要熟練掌握漏洞的分類；了解典型的攻擊類型。課后作業(yè)

1、教材P50課后作業(yè)2、復(fù)習第4章，下次課測驗，準備空白紙一張。第5章

物理網(wǎng)絡(luò)層概述針對物理網(wǎng)絡(luò)層常見的攻擊方法硬件地址欺騙網(wǎng)絡(luò)嗅探物理攻擊以太網(wǎng)CSMA／CD載波偵聽多路訪問／沖突檢測先聽后說，邊說邊聽改善：以太網(wǎng)交換機，端口表Q：接收方如何知道幀的長度？針對有線網(wǎng)絡(luò)協(xié)議的攻擊？基于頭部的攻擊（有限）源地址與目標地址設(shè)成相同過短或過長數(shù)據(jù)包（>1500B,<46B）依靠設(shè)備自身安全基于協(xié)議的攻擊（無）網(wǎng)絡(luò)控制器故障基于驗證的攻擊（較難）ARP攻擊填滿交換機地址表源地址與其中一臺設(shè)備相同對策：網(wǎng)絡(luò)訪問控制NAC驗證連接ISP的設(shè)備基于流量的攻擊（容易）流量嗅探用大類的流量造成網(wǎng)絡(luò)崩潰對策：加密，VLAN無線以太網(wǎng)協(xié)議？802.11（a－z）Wifi802.11a或802.11b11Mbps~54Mbps100m網(wǎng)絡(luò)嗅探AP(AccessPoint)訪問接入點產(chǎn)生網(wǎng)絡(luò)提供對有線網(wǎng)絡(luò)的訪問SSID：ServiceSetID發(fā)現(xiàn)AP－－接入網(wǎng)絡(luò)－－發(fā)送流量CSMA／CA介質(zhì)空閑，等待隨機時間片無線以太網(wǎng)VS有線以太網(wǎng)協(xié)議更復(fù)雜幀格式更復(fù)雜漏洞更多攻擊更常見基于頭部的攻擊無線以太網(wǎng)幀頭部大多數(shù)域由硬件控制器控制基于頭部的攻擊有限導(dǎo)致攻擊設(shè)備不能正常通信基于協(xié)議的攻擊協(xié)議主要由硬件實現(xiàn)，實施攻擊較復(fù)雜攻擊：將數(shù)據(jù)包嵌入介質(zhì)中探測／釣魚發(fā)送大量信號引起阻塞減少探測的方法：加密NAC（NetworkAccessControl）避免使用人名、公司名、家庭地址作為SSID基于驗證的攻擊設(shè)備驗證：無線設(shè)備與AP互相驗證AP配置驗證：訪問配置菜單，試圖修改AP的網(wǎng)絡(luò)安全特性惡意接入點：合法用戶擅自安裝AP并隱瞞AP有安全隱患，為攻擊者埋下伏筆允許用戶繞過內(nèi)部安全網(wǎng)絡(luò)，降低整體安全性對策：NAC，防止未授權(quán)用戶訪問有線網(wǎng)絡(luò)；掃描發(fā)現(xiàn)惡意AP非法接入點：攻擊者將自己的AP偽裝成有效AP不加密AP獲取AP訪問控制權(quán)對策：修改AP默認密碼，加密基于流量的攻擊無線網(wǎng)絡(luò)流量嗅探對策：加密WEP：WiredEquivalentPrivacy有線等效保密。對在兩臺設(shè)備之間無線傳輸?shù)臄?shù)據(jù)進行加密，防止竊聽或入侵WPA：Wi-FiProtectAccess,Wi-Fi訪問保護協(xié)議，同時使用驗證和加密，為家庭或企業(yè)設(shè)計驗證密鑰會話密鑰對抗流量嗅探常用對策——VLAN虛擬局域網(wǎng)VLAN靜態(tài)VLAN基于固定端口對抗ARP攻擊防止端口映射表攻擊動態(tài)VLAN基于設(shè)備的硬件地址根據(jù)硬件地址驗證設(shè)備常用對策——NAC網(wǎng)絡(luò)訪問控制NAC驗證每一臺設(shè)備使用動態(tài)VLAN強制通過基于策略分割的設(shè)備執(zhí)行策略如果為授權(quán)則不允許訪問網(wǎng)絡(luò)或隔離為一個獨立的網(wǎng)絡(luò)本章小結(jié)本次課需要熟練掌握物理網(wǎng)絡(luò)層存在的漏洞與攻擊，了解對策及相關(guān)技術(shù)。課后作業(yè)1、教材P82課后作業(yè)11-142、預(yù)習附錄A密碼學3、復(fù)習第5章，下次課測驗，準備空白紙一張。第6章

網(wǎng)絡(luò)層協(xié)議網(wǎng)絡(luò)層有哪些協(xié)議？IP協(xié)議：IP地址，IP尋址IPv4IPv6ARP協(xié)議：IP地址MAC地址

RARP協(xié)議：MAC地址IP地址ICMP協(xié)議：詢問IP設(shè)備，報告錯誤，例如PingBOOTP：支持無盤工作站和網(wǎng)絡(luò)打印機DHCP：支持IP地址動態(tài)分配IPv4vsIPv6基于頭部的攻擊針對IP協(xié)議：死亡之Ping針對ARP協(xié)議：無效ARP數(shù)據(jù)包被拋棄針對ICMP協(xié)議的攻擊很少基于協(xié)議的攻擊針對IP協(xié)議本身的攻擊很少路由跟蹤程序ICMP錯誤消息引起DoSARP協(xié)議：攻擊者用無效的ARP應(yīng)答回應(yīng)ARP請求基于認證的攻擊網(wǎng)絡(luò)層通過IP地址認證設(shè)備IP地址欺騙對策：路由器檢查直連網(wǎng)絡(luò)上發(fā)送數(shù)據(jù)包的IP地址，可以阻止發(fā)往外部的IP地址與對應(yīng)網(wǎng)絡(luò)不匹配的數(shù)據(jù)包。局限性：無法阻止攻擊者使用同一網(wǎng)絡(luò)的其他計算機的IP地址欺騙性ICMP錯誤消息ARP攻擊局限于攻擊者所在網(wǎng)絡(luò)基于流量的攻擊嗅探對策：IP載荷加密使用IP廣播地址實施雪崩攻擊對策：在路由器上禁止直接廣播進入網(wǎng)絡(luò)ARP廣播雪崩

對策：在路由器上禁止ICMP回應(yīng)請求數(shù)據(jù)包的進入常用網(wǎng)絡(luò)層對策——IP過濾基于IP報頭的域值進行過濾由路由器完成基于IP地址過濾缺點：增加數(shù)據(jù)包處理時間常用網(wǎng)絡(luò)層對策——NATNAT：NetworkaddressTranslation網(wǎng)絡(luò)地址轉(zhuǎn)換目標：允許大量設(shè)備共享少量公共IP地址動態(tài)NAT靜態(tài)NAT阻止所有未在映射表中列出地址的數(shù)據(jù)包攻擊者無法向私有網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包常用網(wǎng)絡(luò)層對策——VPNVitualPrivateNetwork：虛擬專用網(wǎng)用于加密和驗證通信信道配置1:兩個網(wǎng)絡(luò)共用一個VPN配置2:遠程網(wǎng)絡(luò)成為主網(wǎng)絡(luò)的一個擴展常用網(wǎng)絡(luò)層對策——IPSECInternetProtocolSecurity：Internet協(xié)議安全性用做VPN協(xié)議一個頭部支持驗證另一個頭部支持加密和驗證未指定加密算法IPSECVPN本章小結(jié)本次課需要熟練掌握常用IP層安全技術(shù)課后作業(yè)

1、教材P132課后作業(yè)1-4、7、8、112、復(fù)習第6章，下次課測驗，準備空白紙一張。第7章

傳輸層協(xié)議傳輸層有哪些協(xié)議？TCP：TransmissionControlProtocol傳輸控制協(xié)議UDP：UserDatagramProtocol用戶數(shù)據(jù)報協(xié)議傳輸層地址——端口號Socket套接字：IP＋PortUDP物理網(wǎng)絡(luò)層TCP協(xié)議建立連接連接維護終止連接可靠的數(shù)據(jù)傳輸：面向字節(jié)流多路復(fù)用流量控制TCP數(shù)據(jù)包格式基于TCP頭部的攻擊（難以消除）攻擊者發(fā)送無效的頭部信息，擾亂TCP運行標志位全1：圣誕樹攻擊在打開的連接中發(fā)送無效序列號攻擊者使用回應(yīng)發(fā)送無效頭部（探測攻擊）發(fā)送無效標志組合來確認操作系統(tǒng)如何回應(yīng)，例如標志位全0如果端口是關(guān)閉的會使接收方應(yīng)答一個RST|ACK消息Linux和UNIX機器不會應(yīng)答Windows機器將回答RST|ACK消息基于TCP協(xié)議的攻擊SYNFlood耗盡服務(wù)器緩沖區(qū)空間消除方法：限制來自同一IP地址的半連接數(shù)量分布式SYN雪崩攻擊難以分辨攻擊者將數(shù)據(jù)包插入到協(xié)議流量中用RST切斷連接會話劫持消除方法：TCP加密攻擊者發(fā)送減小窗口尺寸的ACK數(shù)據(jù)包基于驗證的攻擊不支持驗證惡意用戶在保留端口（0～1023）上運行應(yīng)用程序基于流量的攻擊嗅探雪崩攻擊消除方法：使用流量整形器UDP協(xié)議無連接針對UDP協(xié)議的攻擊無基于頭部和協(xié)議的攻擊基于驗證的攻擊：53端口號UDP流量基于流量的攻擊：嗅探VS加密；UDPFloodDNS？DNS協(xié)議FQDN完整域名PQDN非完整域名遞歸模式迭代模式基于DNS頭部的攻擊不正確的頭部值，通常無效經(jīng)過防火墻泄露數(shù)據(jù)，緩慢基于DNS協(xié)議的攻擊惡意軟件使用DNS端口號（53）建立點到點軟件惡意通信基于驗證的攻擊驗證服務(wù)器IP地址用惡意條目替換DNS服務(wù)器中的條目獲取對服務(wù)器對訪問，修改條目DNS緩沖區(qū)中毒向一個查詢發(fā)送自身的回應(yīng)，欺騙客戶端基于流量的攻擊嗅探FLood流量減少DNS攻擊的方法是對關(guān)鍵DNS服務(wù)器實行冗余設(shè)置傳輸層安全TLS／SSL為Web流量提供安全為消除攻擊者偽裝成另外一個設(shè)備時的嗅探攻擊和針對主機的驗證攻擊TLS（TransportLayerSecurity）本章小結(jié)本次課需了解傳輸層協(xié)議的漏洞和攻擊方式，并掌握相應(yīng)的消除方法。課后作業(yè)

1、教材P158課后作業(yè)：1、8、10第8章

應(yīng)用層概述應(yīng)用層與其他各層的關(guān)系？應(yīng)用層有哪些常用協(xié)議？套接字應(yīng)用層常見協(xié)議端口號基于頭部的攻擊（常發(fā)生）緩沖區(qū)溢出緩沖區(qū)溢出攻擊防范基于協(xié)議的攻擊試探用戶名、密碼獲得訪問權(quán)限用于規(guī)避應(yīng)用程序采用的驗證機制基于驗證的攻擊直接攻擊：攻擊者回應(yīng)對用戶名、密碼的請求簡介攻擊：通過其他類型攻擊規(guī)避驗證基于流量的攻擊降低程序的性能或拒絕服務(wù)DoSDNS？DNS協(xié)議FQDN完整域名PQDN非完整域名遞歸模式迭代模式基于DNS頭部的攻擊不正確的頭部值，通常無效經(jīng)過防火墻泄露數(shù)據(jù)，緩慢基于DNS協(xié)議的攻擊惡意軟件使用DNS端口號（53）建立點到點軟件惡意通信基于驗證的攻擊驗證服務(wù)器IP地址用惡意條目替換DNS服務(wù)器中的條目獲取對服務(wù)器對訪問，修改條目DNS緩沖區(qū)中毒向一個查詢發(fā)送自身的回應(yīng)，欺騙客戶端基于流量的攻擊嗅探FLood流量減少DNS攻擊的方法是對關(guān)鍵DNS服務(wù)器實行冗余設(shè)置本章小結(jié)本次課需了解應(yīng)用層協(xié)議的漏洞和攻擊方式。課后作業(yè)

1、教材P168課后作業(yè)：2第9章

電子郵件電子郵件協(xié)議有哪些？SMTP（SimpleMailTransferProtocol）簡單郵件傳輸協(xié)議POP（PostOfficeProtocol）郵局協(xié)議IMAP（InternetMessageAccessProtocol）網(wǎng)際消息訪問協(xié)議MIME（MultipurposeInternetMailExtention）多用途網(wǎng)際郵件擴充一個電子郵件消息由哪幾部分組成？消息頭部消息主題SMTP協(xié)議端口號25頭部非限制性，標準ASCII格式指令－回應(yīng)協(xié)議3位數(shù)代碼SMTP基本參數(shù)設(shè)置基于SMTP頭部的攻擊（不常見）早期易受緩沖區(qū)溢出攻擊現(xiàn)代電子郵件系統(tǒng)可接受任意長度的輸入信息命令行緩沖區(qū)溢出攻擊基于SMTP協(xié)議的攻擊（不常見）消息按時許和順序發(fā)送，任何沖突會被忽略基于SMTP驗證的攻擊（最常見）電子郵件欺騙缺少對電子郵件發(fā)送者的驗證用于欺騙接收方如果接受地址無效，電子郵件會按照發(fā)送地址返回用于垃圾郵件、惡意郵件用戶名探測（容易實施，但費時）RCPTTO：命令返回一個錯誤，用于驗證用戶名基于流量的攻擊偽冒式雪崩攻擊：偽冒返回地址事故性雪崩攻擊：用戶用中繼方式給一批用戶發(fā)郵件嗅探STARTTLS：UA到MTA的驗證加密AUTH：驗證POP（PostOfficeProtocol，郵局協(xié)議）POP：端口110指令－回應(yīng)協(xié)議服務(wù)器到客戶端的電子郵件消息傳輸，不支持向多個不同的計算機的傳輸IMAP（InternetMessageAccessProtocol）IMAP特點頭部式非限制性的自由文本格式指令－回應(yīng)協(xié)議支持多個遠程用戶代理端口號143IMAP與POP的區(qū)別支持服務(wù)器管理電子郵件消息在客戶端和服務(wù)器文件夾之間移動，搜索服務(wù)器文件夾和管理服務(wù)器文件夾針對POP和IMAP的漏洞攻擊頭部和協(xié)議漏洞少基于驗證的攻擊用戶名和密碼對策：限制用戶驗證IP，VPN，不允許遠程訪問POP和IMAP基于流量的攻擊（有限）嗅探對策：加密MIME：多用途網(wǎng)際電子郵件擴展協(xié)議將電子郵件從一個服務(wù)器傳輸?shù)搅硪粋€服務(wù)器用于傳輸任何類型的數(shù)據(jù)用于向電子郵件消息中插入圖片和Web鏈接以甄別垃圾郵件和盜竊一個自由的頭部格式，3個規(guī)定的頭部和3個可選頭部基于MIME頭部的攻擊無效頭部攻擊：由UA處理，不顯示電子郵件消息使用頭部隱藏消息的實際內(nèi)容：附件為可執(zhí)行代碼使用基于HTML的電子郵件隱藏消息的實際內(nèi)容，誘惑用戶點擊Web頁面鏈接基于MIME協(xié)議的攻擊使用MIME協(xié)議攜帶惡意文件有些UA直接顯示附件，安全隱患，尼姆達蠕蟲病毒對策：不直接瀏覽附件內(nèi)容，過濾惡意附件基于主機掃描和限制惡意病毒傳播的防火墻（前提：UA干凈正常）基于驗證的攻擊MIME不直接支持用戶驗證攻擊一：欺騙驗證，攻擊者通過MIME產(chǎn)生來自某機構(gòu)的電子郵件攻擊二：利用電子郵件補丁追蹤電子郵件在何處何時打開（插入1*1圖片）對策：UA在顯示圖片前提示用戶基于流量的攻擊沒有關(guān)于流量的漏洞攻擊一：產(chǎn)生大的電子郵件消息對策：設(shè)置MTA可接受電子郵件的大小攻擊二：嗅探對策：加密驗證一般電子郵件對策加密和驗證：PGP電子郵件過濾：黑名單、白名單、灰名單內(nèi)容過濾處理：內(nèi)容過濾器（理解MIME協(xié)議）電子郵件病毒掃描，過濾攻擊性消息防止私密數(shù)據(jù)離開網(wǎng)絡(luò)不能處理機密的電子郵件電子郵件取證：追溯電子郵件電子郵件使用貼士將郵件的附件另存為一個文件到硬盤，用最新版本的殺毒軟件來查殺。不要隱藏系統(tǒng)中已知文件類型的擴展名，防止利用文件的擴展名做文章的病毒將系統(tǒng)的網(wǎng)絡(luò)連接的安全級別設(shè)置至少為“中等”防病毒軟件及時更新病毒庫本章小結(jié)本次課需了解電子郵件的漏洞和攻擊方式。課后作業(yè)

1、教材P198課后作業(yè)：6、8、11第10章Web安全WWW？Web客戶端與Web服務(wù)器Web協(xié)議HTTP（HyperTextTransferProtocol）基于ASCII碼指令－回應(yīng)消息頭部（可選）：一行或多行文本HeaderName:<sp>HeaderValue基于HTTP頭部的攻擊（不常見）頭部簡單任何無效的指令或回應(yīng)被忽略緩沖區(qū)溢出攻擊（早期）使用HTTP獲取不屬于任何超鏈接文檔的文件，以獲取有效用戶名或密碼對策：避免配置錯誤，尤其Web密碼文件不要放在文檔目錄中基于HTTP協(xié)議的攻擊（幾乎沒有）基于HTTP驗證的攻擊（最常見）基于用戶名和密碼的目錄訪問驗證用戶名、密碼為明文發(fā)送密碼容易猜測電子欺騙偽裝網(wǎng)站基于流量的攻擊（常見）Web服務(wù)器所允許同時連接的數(shù)量是有限的無法阻止嗅探HTTPS（443），使用SSL基于HTML頭部的攻擊（不常見）頭部復(fù)雜、自由Image標簽Applet標簽Hyperlink標簽，用于將用戶轉(zhuǎn)向欺騙性的網(wǎng)站對策：用戶教育基于HTML協(xié)議的攻擊將信息嵌入到HTML中以注釋的形式或者以固定值傳遞到服務(wù)器端運行修改頁面信息然后上傳到服務(wù)器，例如修改價格對策：監(jiān)控基于HTML驗證的攻擊不直接支持驗證，無基于用戶驗證的漏洞電子欺騙主機到用戶基于證書的驗證（僅對于加密的網(wǎng)站）基于流量的攻擊（常見）嗅探HTTPS（443），使用SSL什么是CGICGI，CommonGatewayInterface：公共網(wǎng)關(guān)接口定義一個程序如何與Web服務(wù)器進行連接的標準輸出HTML代碼CGI程序使網(wǎng)頁具有交互功能HTTP服務(wù)器與其它客戶端的程序進行“交談”的一種工具CGI程序能夠用Python,PERL,Shell,CorC++等語言來實現(xiàn)CGI腳本簡例#include<iostream>usingnamespacestd;intmain()｛cout<<"Content-type:text/html\r\n\r\n";cout<<"<html>\n";cout<<"<head>\n";cout<<"<title>HelloWorld-FirstCGIProgram</title>\n";cout<<"</head>\n";cout<<"<body>\n";cout<<"<h2>HelloWorld!ThisismyfirstCGIprogram</h2>\n";cout<<"</body>\n";cout<<"</html>\n”;return0;}基于CGI頭部的攻擊緩沖區(qū)溢出CGI腳本中存在錯誤且沒有限制參數(shù)：攻擊者使用CGI腳本訪問沒有打算訪問的資源基于CGI驗證的攻擊漏洞一：蹩腳的CGI腳本將用戶驗證作為參數(shù)中URL中傳遞，易于使攻擊者猜測到密碼對策：設(shè)計良好的CGI腳本，正確使用應(yīng)用程序驗證漏洞二：客戶無法驗證Web服務(wù)器或獲知服務(wù)器端可執(zhí)行程序是否正被使用，CGI程序自動收集關(guān)于用戶的數(shù)據(jù)。對策：用戶教育客戶端安全－－插件插件：（Plug-in，又稱addin、add-in、addon或add-on，又譯外掛）遵循一定規(guī)范的應(yīng)用程序接口編寫出來的程序，使瀏覽器處理各種文檔類型的可執(zhí)行程序。可執(zhí)行插件：處理可執(zhí)行代碼，如Javaapplet文檔插件：處理PDF等其他文檔類型瀏覽器插件：處理圖像、音頻、視頻等文檔類型瀏覽器——cookieCookie是通過Web服務(wù)器存儲再瀏覽器所在的計算機上的小片數(shù)據(jù)信息，可由服務(wù)器讀回去Cookie用于保持用戶的會話狀態(tài)Cookie信息保存在客戶端，存在較大的安全隱患一般瀏覽器對Cookie的數(shù)目及數(shù)據(jù)大小有嚴格的限制Cooki課記錄用戶所做過的事情，跟蹤用戶基于客戶端驗證的攻擊大多數(shù)客戶端可執(zhí)行程序未被驗證：惡意代碼插件自動處理，用戶不知道插件已被激活：插件攻擊通過Web下載的可執(zhí)行文件：電子郵件對策：用戶教育、本地病毒掃描程序和個人防火墻基于流量的攻擊嗅探漏洞客戶端可執(zhí)行程序產(chǎn)生巨大流量時，如股市、天氣對策：用戶教育和公司政策常用Web對策URL過濾內(nèi)容過濾本章小結(jié)本次課需了解Web漏洞和攻擊方式。課后作業(yè)

1、教材P228課后作業(yè)：6、8、9第11章

遠程訪問安全基于終端的遠程訪問TELNETrloginX－WindowsTelnet：連接異種客戶端和服務(wù)器23號端口一個字符一個數(shù)據(jù)包服務(wù)器驗證用戶命令行rlogin513端口號允許可信UNIX機器與其他可信UNIX機器進行無需用戶驗證或很少用戶驗證的連接支持驗證：基于客戶端IP地址、客戶端用戶名、服務(wù)器用戶名命令行X－Windows(Linux)支持圖形應(yīng)用協(xié)議允許應(yīng)用軟件程序員產(chǎn)生與終端無關(guān)的圖形用戶界面GUI有限制性的主機驗證的明文協(xié)議基于頭部的攻擊Telnet與rlogin無頭部X－windows：緩沖區(qū)溢出基于驗證的攻擊Telnet協(xié)議不直接支持用戶驗證，不會遭到驗證攻擊，依賴遠程計算機的驗證機制。密碼猜測：用戶驗證嘗試失敗幾次后服務(wù)器關(guān)閉TCP連接雙因子驗證：用戶名密碼和智能卡rlogin（易受基于驗證的攻擊）攻擊者盜用信任主機訪問其他主機電子欺騙密碼猜測攻擊基于驗證的攻擊（續(xù)）X－Windows使用客戶端IP地址驗證入侵可信機器從而訪問服務(wù)器基于流量的攻擊telnet、rlogin、X－Windows均為明文嗅探攻擊對策：加密，SSH，提供加密連接文件傳輸FTP（FileTransferProtocol）文件傳輸協(xié)議TFTP（TrivialFileTransferProtocol）輕量級文件傳輸協(xié)議RCP（RemoteCopyProtocol）遠程復(fù)制協(xié)議FTP支持用戶驗證提供異種計算機之間有限的數(shù)據(jù)轉(zhuǎn)換通用命令結(jié)構(gòu)端口號：TCP20，21匿名FTP（Web瀏覽器）：服務(wù)器所有目錄設(shè)為“只讀”CuteFTP，CrossFTP，大眾FTPTFTP簡單文件傳輸協(xié)議／輕量級文件傳輸協(xié)議基于UDP端口號：69無需驗證用于無盤工作站和網(wǎng)絡(luò)設(shè)備服務(wù)器設(shè)置同匿名FTP，目錄設(shè)置為只讀RCP遠程復(fù)制協(xié)議rlogin協(xié)議集的一部分不支持驗證如果用戶不值得信賴，不發(fā)生復(fù)制基于頭部的攻擊無效頭部，協(xié)議產(chǎn)生錯誤緩沖區(qū)溢出漏洞已修補基于協(xié)議的攻擊TFTP與RCP簡單，漏洞少FTP漏洞多使用數(shù)據(jù)連接回避防火墻跳轉(zhuǎn)攻擊服務(wù)器最好不要打開數(shù)據(jù)鏈接到小于1024的TCP端口號跳轉(zhuǎn)攻擊一般需要攻擊者首先上載一個報文到FTP服務(wù)器然后再下載到準備攻擊的服務(wù)端口上。使用適當?shù)奈募Ｗo措施就可以阻止這種情況發(fā)生。禁止使用PORT命令，防止當攻擊者通過從遠程FTP服務(wù)器發(fā)送一些能破壞某些服務(wù)的數(shù)據(jù)來攻擊基于驗證的攻擊（最常見）FTP猜測密碼（費時低效）掃描發(fā)現(xiàn)匿名FTP服務(wù)器盜用其他用戶的用戶名和密碼TFTP和RCP無需驗證基于流量的攻擊FTP、TFTP、RCP均為明文協(xié)議嗅探攻擊：加密