計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)教案

《計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)》課程教案

2017-2018學(xué)年第二學(xué)期

主要內(nèi)容：

第一部分計(jì)算機(jī)網(wǎng)絡(luò)安全綜述（第1章）

第二部分黑客常用的攻擊方法（第2章）

第三部分計(jì)算機(jī)病毒（第3章）

第四部分?jǐn)?shù)據(jù)加密技術(shù)（第4章）

第五部分防火墻技術(shù)（第5章）

第六部分Windowsserver安全（第6章）

第七部分Web安全（第7章）

課程安排：

共18周，每周2次課，4學(xué)時(shí)

所用教材：

《計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)》XXXXX主編XXXXXXXX出版社

講授內(nèi)容：

理論部分：

第一周

教學(xué)要點(diǎn)：

1.網(wǎng)絡(luò)安全的基本概念

2.網(wǎng)絡(luò)安全的目標(biāo)

3.網(wǎng)絡(luò)安全與協(xié)議層次的關(guān)系

教學(xué)要求：

1掌握網(wǎng)絡(luò)安全的目標(biāo)及措施

2能夠舉出網(wǎng)絡(luò)安全的實(shí)例并簡(jiǎn)要說(shuō)明

3掌握不同協(xié)議層次上的網(wǎng)絡(luò)安全問(wèn)題

講授內(nèi)容：

1.1基本概念

例子保護(hù)私人住所

掛窗簾->防上外人偷窺;

加鎖9防小偷；

養(yǎng)狼狗1拒絕不受歡迎之客；

安裝警報(bào)系統(tǒng)，攝像頭T檢測(cè)不速之客；

電圍墻，籬笆，門衛(wèi)今審查；

安全應(yīng)考慮的問(wèn)題的兩方面（矛盾與統(tǒng)一）：安全威脅、被保護(hù)物品的價(jià)值

安全措施的目標(biāo)：AccessControl,Authentication,Integrity,

Accountability,Privacy；

職業(yè)前景：網(wǎng)絡(luò)安全管理；網(wǎng)絡(luò)安全軟件設(shè)計(jì)開(kāi)發(fā)；網(wǎng)絡(luò)律師；網(wǎng)上監(jiān)管專家；

與網(wǎng)絡(luò)安全有關(guān)的著名公司:Symantec（賽門鐵克）、Microsoft、Kaspersky>

Redhat、McAfeeVersign...；

國(guó)外著名公司漏洞統(tǒng)計(jì)數(shù)據(jù)；漏洞實(shí)例分析；

區(qū)分：遠(yuǎn)程管理（控制）軟件vs黑客軟件，木馬；

常見(jiàn)網(wǎng)絡(luò)安全用語(yǔ)，俗語(yǔ)說(shuō)明：木馬（trojan）,特洛伊、肉雞

隱私、言論自由、版權(quán)；

1.2網(wǎng)絡(luò)拓?fù)渑c安全

什么是拓?fù)?/p>

網(wǎng)絡(luò)按照基本拓?fù)涞姆诸悾盒切汀⒖偩€型、環(huán)型

其他：網(wǎng)狀，不規(guī)則型

拓?fù)渑c網(wǎng)絡(luò)安全的關(guān)系

星型網(wǎng)的優(yōu)勢(shì)：所有兩個(gè)節(jié)點(diǎn)間通信只定義了一條路徑

網(wǎng)絡(luò)（特指中間節(jié)點(diǎn)）處于固定的物理位置，易確保物理安全

TCP/IP協(xié)議進(jìn)行通信；因特網(wǎng)上的安全隱患

按照TCP/IP的協(xié)議層次，安全隱患問(wèn)題分以下來(lái)討論：網(wǎng)際層、傳輸層、

應(yīng)用層：

1.網(wǎng)際層：偽造（假冒）IP地址偽造（假冒）ARP偽造（假冒）路徑控

制信息

惡意使用（假冒）源路由

利用IP/ICMP數(shù)據(jù)包的DoS攻擊（非授權(quán)使用）

2.傳輸層：預(yù)測(cè)（假冒）TCP初始序號(hào)

利用TCP/UDP數(shù)據(jù)包的DoS攻擊（非授權(quán)使用）

3.應(yīng)用層：掃描/搜索（非授權(quán)使用）

DNS（DonainNameService:域名服務(wù)）欺騙（假冒）

竊聽(tīng)用戶認(rèn)證信息（竊聽(tīng)）

攻擊程序缺陷（非授權(quán)使用）

代理服務(wù)器的非法使用（非授權(quán)使用）

利用電子郵件進(jìn)行的DoS攻擊（非授權(quán)使用）

病毒與木馬

1.3網(wǎng)絡(luò)安全的層次結(jié)構(gòu)（HierarchyofNetworkSecurity）

物理安全安全控制安全服務(wù)

1.4網(wǎng)絡(luò)安全威脅

1.4.1網(wǎng)絡(luò)威脅的類型

竊聽(tīng)、假冒、重放、流量分析、破壞完整性

1.4.2威脅的動(dòng)機(jī)（Motives）

工業(yè)間諜、財(cái)政利益、報(bào)復(fù)或引人注意、惡作劇、無(wú)知

第二周

教學(xué)要點(diǎn)：

1網(wǎng)絡(luò)攻擊及其分類

2客戶服務(wù)器的工作模式及其特點(diǎn)

教學(xué)要求：

1掌握主動(dòng)攻擊與被動(dòng)攻擊的區(qū)別并能舉例說(shuō)明

2能夠針對(duì)客戶和服務(wù)器進(jìn)行區(qū)分并能編程

講授內(nèi)容：

1.5網(wǎng)絡(luò)攻擊

“攻擊”的定義

任何非授權(quán)行為

法律定義：入侵行為完全完成且入侵者己經(jīng)在目標(biāo)網(wǎng)絡(luò)內(nèi)部。

本課程：可能使一個(gè)網(wǎng)絡(luò)受到破壞的所有行為都被認(rèn)為是攻擊。

網(wǎng)絡(luò)攻擊的兩大分類

被動(dòng)攻擊(PassiveAttacks)：攻擊者監(jiān)視所有信息流以獲得某些秘密

形式：竊聽(tīng)、流量分析最難被檢測(cè)到

主動(dòng)攻擊(ActiveAttacks)：攻擊者試圖突破你的安全防線

形式：假冒、重放、欺騙、消息篡改、軍絕服務(wù)等

對(duì)網(wǎng)絡(luò)的被動(dòng)攻擊和主動(dòng)攻擊

1.6基本安全技術(shù)

防火墻(Firewall),加密(Encryption),身份認(rèn)證(Authentication),數(shù)字

簽名(DigitalSignature),內(nèi)容檢查(ContentInspection)

網(wǎng)絡(luò)攻擊

“攻擊”的定義：任何非授權(quán)行為

法律定義：入侵行為完全完成且入侵者已經(jīng)在目標(biāo)網(wǎng)絡(luò)內(nèi)部。

本課程：可能使一個(gè)網(wǎng)絡(luò)受到破壞的所有行為都被認(rèn)為是攻擊。

有關(guān)對(duì)網(wǎng)絡(luò)的被動(dòng)攻擊和主動(dòng)攻擊的詞匯：

NormalFlow；Interception；Interruption；Modification；Fabrication；

ModelforNetworkSecurity；NetworkAccessSecurityModel；

應(yīng)用層的客戶-服務(wù)器方式

在TCP/IP的應(yīng)用層協(xié)議使用的是：客戶-服務(wù)器方式

計(jì)算機(jī)的進(jìn)程(process)就是運(yùn)行著的計(jì)算機(jī)程序。

為解決具體應(yīng)用問(wèn)題而彼此通信的進(jìn)程稱為“應(yīng)用進(jìn)程”。

應(yīng)用層的具體內(nèi)容就是規(guī)定應(yīng)用進(jìn)程在通信時(shí)所遵循的協(xié)議。

客戶和服務(wù)器的區(qū)分：

客戶(client)和服務(wù)器(server)都是指通信中所涉及的兩個(gè)應(yīng)用進(jìn)程。

客戶-服務(wù)器方式所描述的是進(jìn)程之間服務(wù)和被服務(wù)的關(guān)系。

客戶是服務(wù)請(qǐng)求方，服務(wù)器是服務(wù)提供方。

客戶軟件的特點(diǎn)：在進(jìn)行通信時(shí)臨時(shí)成為客戶，但它也可在本地進(jìn)行其他的

計(jì)算。

被用戶調(diào)用并在用戶計(jì)算機(jī)上運(yùn)行，在打算通信時(shí)主動(dòng)向遠(yuǎn)地服務(wù)器發(fā)

起通信。

可與多個(gè)服務(wù)器進(jìn)行通信。

不需要特殊的硬件和很復(fù)雜的操作系統(tǒng)。

服務(wù)器軟件的特點(diǎn)：專門用來(lái)提供某種服務(wù)的程序，可同時(shí)處理多個(gè)遠(yuǎn)地

或木地客戶的請(qǐng)求。

在共享計(jì)算機(jī)上運(yùn)行。當(dāng)系統(tǒng)啟動(dòng)時(shí)即自動(dòng)調(diào)用并一直不斷地運(yùn)行著。

被動(dòng)等待并接受來(lái)自多個(gè)客戶的通信請(qǐng)求。

一般需要強(qiáng)大的硬件和高級(jí)的操作系統(tǒng)支持。

客戶進(jìn)程和服務(wù)器進(jìn)程使用TCP/IP協(xié)議進(jìn)行通信

功能較強(qiáng)的計(jì)算機(jī)可同時(shí)運(yùn)行多個(gè)服務(wù)器進(jìn)程

1.7網(wǎng)絡(luò)安全模型

考慮信息系統(tǒng)的四方模型：

Sender（發(fā)信者）、Receiver（收信者）、Enemy（敵人）、Boss（監(jiān)

控管理方）

1.8安全漏洞

信息系統(tǒng)的安全漏洞主要有三個(gè)方面：

1）OSI操作系統(tǒng)

2）Network-＞計(jì)算機(jī)網(wǎng)絡(luò)

3）DBMS玲數(shù)據(jù)庫(kù)管理系統(tǒng)

補(bǔ)充內(nèi)容：

星號(hào)（*）密碼的破解；一個(gè)電影網(wǎng)站的破解錄像；網(wǎng)絡(luò)嗅探器sniffer；

Java編程初步

第三周

教學(xué)要點(diǎn)：

1對(duì)稱密碼系統(tǒng)的特點(diǎn)和代表算法

2古典密碼的例子：凱撒密碼

3DES算法描述

教學(xué)要求：

1區(qū)分對(duì)稱密碼系統(tǒng)和非對(duì)稱密碼系統(tǒng)

2針對(duì)古典密碼編程實(shí)現(xiàn)

3了解DES算法的特點(diǎn)及使用方法

講授內(nèi)容：

2.1前言

傳統(tǒng)的密鑰加密解密系統(tǒng)都是對(duì)稱密鑰密碼系統(tǒng)。

加密和解密使用同一把密鑰。

從最早的凱撒密碼到使用最多的DES,以及下一代密碼算法Rijndael

1976年，Diffie和Hellman發(fā)表論文“NewDirectioninCryptographyw,

從而出現(xiàn)了非對(duì)稱密鑰密碼系統(tǒng)

密鑰加密系統(tǒng)的幾個(gè)部分：

M(Message)玲消息空間，C(Cipertext)T密文空間

K(Key)->密鑰空間，E(EncryptionAlgorithm)->加密算法

D(DecryptionAlorithm)T解密算法

它們滿足EKI；M)=CDK2(C)=MDK2(EK1(M))=M

兩種密鑰算法體制

對(duì)稱密鑰算法：KIK2也叫秘密密鑰算法，單一密鑰算法

非對(duì)稱密鑰算法KIS/TK2也叫公開(kāi)密鑰算法

2.2古典密碼

替換密碼例：凱撒密碼

置換密碼例：縱行置換密碼

凱撒密碼----簡(jiǎn)介

凱撒密碼是羅馬擴(kuò)張時(shí)期由JuliusCaesar創(chuàng)造的，用于加密通過(guò)信使傳

遞的作戰(zhàn)指令。它把字母表中的字母移動(dòng)一定位置而實(shí)現(xiàn)加密。

如向右移動(dòng)2位，則A變成C,B變成D…X變成ZY變成Z變成？

凱撒密碼一--分析

字母表總共有26個(gè)字母

用凱撒密碼加密，如果明文字符串是“Hello”，移動(dòng)2位則變?yōu)槊芪?/p>

如何解密？只要將字母向相反方向移動(dòng)同樣位數(shù)即可

這里移動(dòng)的位數(shù)“2”是加密和解密共用的密鑰

凱撒密碼--編程思路

Stcpl:讀取要加密的字符串、密鑰

Step2:取出字符串中的每個(gè)字符

Step3:對(duì)每個(gè)字符進(jìn)行移位

這里采用Java編程實(shí)例說(shuō)明：SteplStep2Step3編譯并運(yùn)行程序

加密：JavaCaesar明文密鑰

解密：JavaCaesar明文-密鑰

這里明文指“要加密的字符串”；密鑰指“移動(dòng)的位數(shù)”

DES(數(shù)據(jù)加密標(biāo)準(zhǔn))：最通用的對(duì)稱密碼體制算法：DES—DataEncryption

Standard

密鑰長(zhǎng)度為56位，分組長(zhǎng)度64位，需要進(jìn)行16輪加密迭代的對(duì)稱密鑰加密分

組算法。

對(duì)稱密碼算法的兩種類型：

分組密碼：一次處理一塊輸入，每個(gè)輸入塊聲稱一個(gè)輸出塊，典型例子：DES

算法

流密碼：對(duì)輸入元素連續(xù)處理，同時(shí)產(chǎn)生連續(xù)單個(gè)輸出元素。典型例子：A5

算法

2.3DES的工作模式

ECB(ElectronicCodebook)電子密碼本CBC(CipherBlockChaining)

密碼分組鏈接

CFB(CipherFeedback)密文反饋OFB(OutputFeedback)輸出

反饋

有關(guān)DES的破解

早期官方的得出了十分樂(lè)觀的結(jié)論;Diffie,Ecllman等修改了他們的估計(jì)；

計(jì)算機(jī)科學(xué)家Tanenbaum指出，即使沒(méi)有這種專用機(jī)，也可以用窮舉法破譯

DESo

A5算法序列密碼簡(jiǎn)介

2.4其它對(duì)稱密碼算法

2.4.1IDEA

IDEA即國(guó)際數(shù)據(jù)加密算法，它的原型是PES,對(duì)PES改進(jìn)后的新算法稱為

IPES,并于1992年改名為IDEA(InternationalDataEncryption

Algorithm)。

補(bǔ)充內(nèi)容

Word密碼的破解；網(wǎng)絡(luò)嗅探器sniffer；Java編程初步

第四周

教學(xué)要點(diǎn)：

1單向散列函數(shù)原理與應(yīng)用

2單向散列函數(shù)安全性分析

教學(xué)要求：

1理解和掌握單向散列函數(shù)的原理和常用算法

2了解密碼破解的原理和防范與應(yīng)用

講授內(nèi)容：

單向散列函數(shù)的原理和應(yīng)用場(chǎng)合

單向散列函數(shù)：

散列值是由單向散列函數(shù)產(chǎn)生的。所謂的單向散列函數(shù)(HashFunction,又

稱哈希函數(shù)、雜湊函數(shù))，是將任意長(zhǎng)度的消息M映射成一個(gè)固定長(zhǎng)度數(shù)列

值h的函數(shù):h=H(M)

其中，h的長(zhǎng)度為m。

單向散列函數(shù)算法MD5和SHA-1的算法描述

MD5的前景

在2004國(guó)際密碼學(xué)會(huì)議(Crypto,2004)上，王小云教授公布了破解MD5

算法的研究成果，引起了密碼學(xué)界轟動(dòng)。但這里MD5算法的破解對(duì)實(shí)際應(yīng)用

的沖擊要遠(yuǎn)遠(yuǎn)小于它的理論意義，不會(huì)造成PKI、數(shù)字簽名安全體系的崩潰。

MD5的安全性問(wèn)題

MD5的兩種常用的應(yīng)用場(chǎng)合為：?jiǎn)蜗蜃儞Q用戶口令；對(duì)信息進(jìn)行簽名

單向散列函數(shù)的強(qiáng)度體現(xiàn)在它能把任意的輸入隨機(jī)化到什么程度，并且能產(chǎn)

生輸出。

對(duì)MD5的普通直接攻擊(野蠻攻擊)窮舉可能的明文產(chǎn)生和H(m)相同的結(jié)

果

對(duì)MD5的生日攻擊：用概率來(lái)指導(dǎo)散列沖突的發(fā)現(xiàn)

其它對(duì)MD5的攻擊：微分攻擊被證明對(duì)MD5的一次循環(huán)有效，但對(duì)全部4

次循環(huán)無(wú)效。

有一種成功的MD5攻擊，不過(guò)是它對(duì)MD5代碼本身作了手腳，屬于crack

而不是hack

口令長(zhǎng)度和信息論：根據(jù)傳統(tǒng)信息論，英語(yǔ)每個(gè)8-bit字母的信息燧為

1.3bits(來(lái)源于英語(yǔ)語(yǔ)法的規(guī)律性這個(gè)事實(shí)，字母出現(xiàn)的概率不等造成了

熠的減小，如果26個(gè)字母出現(xiàn)的概率均等，信息嫡會(huì)增至4.7bits)。

密碼系統(tǒng)的選擇與密碼攻擊

對(duì)于一個(gè)密碼系統(tǒng)來(lái)說(shuō)，如果新的密碼系統(tǒng)的強(qiáng)度依賴于攻擊者不知道算法

的內(nèi)部機(jī)理，那這密碼注定會(huì)失敗。最好的算法是那些已經(jīng)公開(kāi)的，并經(jīng)過(guò)

世界上最好的密碼分析家們多年的攻擊，但還是不能破解的算法。

密碼攻擊

密碼分析攻擊分類(都假設(shè)密碼分析者知道所用的加密算法的全部知識(shí))

唯密文攻擊(ciphertextonly)已知明文攻擊(knownplaintext)

選擇明文攻擊(chosenplaintext)選擇密文攻擊(chosenciphertext)

自適應(yīng)選擇明文/密文攻擊(chosentext)選擇密鑰攻擊(chosenkey)

軟磨硬泡攻擊(Rubber-hose)

補(bǔ)充內(nèi)容

黑客字典介紹；Java編程初步；遠(yuǎn)程控制舉例；VMWare介紹

虛擬機(jī)軟件介紹:VMWare

虛擬機(jī)軟件可以在一臺(tái)電腦上模擬出來(lái)若干臺(tái)PC,每臺(tái)PC可以運(yùn)行單獨(dú)的

操作系統(tǒng)而互不干擾，實(shí)現(xiàn)一臺(tái)電腦“同時(shí).”運(yùn)行幾個(gè)操作系統(tǒng)，還可以將

這幾個(gè)操作系統(tǒng)連成網(wǎng)絡(luò)。

VMWare的使用：

GuestOS,模擬的硬件，可以使用ISO文件作為光盤，運(yùn)行模式

網(wǎng)絡(luò)設(shè)置方式：Bridged方式，NAT方式

第五周

教學(xué)要點(diǎn)：

1公鑰密碼體制的原理和代表算法RSA和Diffie-Hellman

2Diffie-Hellman算法的安全性分析

3數(shù)字簽名介紹

教學(xué)要求：

1理解和掌握RSA算法和Diffie-Hellman

2理解防范Diffie-Hellman攻擊的方法

3了解數(shù)字簽名的分類與應(yīng)用

講授內(nèi)容：

公鑰密碼體制的歷史和發(fā)展，參考文獻(xiàn)

公鑰密碼系統(tǒng)原理：基于陷門單向函數(shù)的概念。單向函數(shù)是易于計(jì)算但求逆困難

的函數(shù)，

公鑰密碼系統(tǒng)的應(yīng)用：通信保密、數(shù)字簽名、密鑰交換

密鑰交換

通信雙方交換會(huì)話密鑰，以加密通信雙方后續(xù)連接所傳輸?shù)男畔ⅰＲ话?，?/p>

次邏輯連接使用一把新的會(huì)話密鑰，用完就丟棄，例如：Diffie-Hellman密鑰

交換

公開(kāi)密鑰算法RSA的描述

選擇兩個(gè)不同的大素?cái)?shù)P和q(一般都為100位左右的十進(jìn)制數(shù)字)，計(jì)算乘

積：n=pq

和歐拉函數(shù)值：巾(n)=(p-l)(q-l)

隨機(jī)取一整數(shù)e,lVeV@(n),且e和6(n)互素。此時(shí)可求得d以滿足:

ed==lmod<1)(n)則d=c-1mod<l>(n)

這樣可以把e和n作為公開(kāi)密鑰，d作為私人密鑰。其中，p、q、6(2和€1

就是秘密的陷門(四項(xiàng)并不是相互獨(dú)立的),這些信息不可以泄露。

RSA加密消息m時(shí)(這里假設(shè)m是以十進(jìn)制表示的)，首先將消息分成大小合

適的數(shù)據(jù)分組，然后本分組分別進(jìn)行加密。每個(gè)分組的大小應(yīng)該比n小。

設(shè)ci為明文分組m加密后的密文，則加密公式為

ci=mie(modn)

解密時(shí)，對(duì)每一個(gè)密文分組進(jìn)行如下運(yùn)算：

mi=cid(modn)

力口/解密方案的可行性證明可以參考參考資料。

RSA應(yīng)用舉例:選p=5,q=ll,則

n=pq=55,6(n)=(p-l)(q-l)=40

于是明文空間為在閉區(qū)間［1,54］內(nèi)且不能被5和11整除的數(shù)。選擇e=7,

則d=23o由加/解密公式可以得到加密表如表4-1所示。

4.2Diffie-Hellman密鑰交換

4.2.1算法概述

Diffie-Hellman算法的安全性在于在有限域上計(jì)算離散對(duì)數(shù)非常困難。

(l)Alice和Bob協(xié)商一個(gè)大素?cái)?shù)p及p的本原根a,a和p可以公開(kāi)；

(2)Alice秘密產(chǎn)生一個(gè)隨機(jī)數(shù)x,計(jì)算X=axmodp,然后把X發(fā)送給Bob；

(3)Bob秘密產(chǎn)生一個(gè)隨機(jī)數(shù)y,計(jì)算Y=aymodp,然后把Y發(fā)送給Alice；

(4)Alice計(jì)算k=Yxmodp；

(5)Bob計(jì)算k*=Xymodp0

k和k'是恒等的，因?yàn)閗=Yxmodp=(ay)xnodp=(ax)ymodp=Xymodp=

k'

則k和k'即為秘密密鑰。

4.2.2針對(duì)Diffie-Hellman算法的中間人攻擊

4.2.3認(rèn)證的Diffie-Hellman密鑰交換--針定中間人攻擊

4.2.4三方或多方Diffie-Hellman

4.3數(shù)字簽名

數(shù)字簽名的基本概念

數(shù)字簽名與傳統(tǒng)簽名的比較

數(shù)字簽名的分類

數(shù)字簽名的方式：直接數(shù)字簽名；仲裁數(shù)字簽名

安全性：無(wú)條件安全的數(shù)字簽名；計(jì)算上安全的數(shù)字簽名

可簽名次數(shù)：一次性的數(shù)字簽名；多次性的數(shù)字簽名

數(shù)字簽名算法：普通數(shù)字簽名算法EIGamalRSADSS/DSA

其他：不可否認(rèn)的數(shù)字簽名算法；群簽名算法；官簽名算法

補(bǔ)充內(nèi)容：Java實(shí)現(xiàn)的RSA加密和解密;Java實(shí)現(xiàn)的DiffieHellman密鑰分配

第六周-第九周

教學(xué)要點(diǎn)：

1TCP/IP相關(guān)網(wǎng)絡(luò)體系結(jié)構(gòu)及協(xié)議復(fù)習(xí)

2漏洞掃描與端口掃描

3各種協(xié)議漏洞及其防范方法介紹

教學(xué)要求：

1理解和掌握TCP/IP網(wǎng)絡(luò)基礎(chǔ)知識(shí)中有關(guān)網(wǎng)絡(luò)安全的內(nèi)容

2理解和掌握端口掃描的作用和應(yīng)用

3了解協(xié)議的漏洞分析方法，掌握防范方法及工具應(yīng)用

講授內(nèi)容：

TCP/IP協(xié)議棧

通常被認(rèn)為是一個(gè)四層協(xié)議系統(tǒng)。

UDP和TCP的對(duì)比

UDP：面向無(wú)連接，傳送數(shù)據(jù)前不需先建立連接，不可靠，只提供“盡最大努力

服務(wù)”，但實(shí)現(xiàn)簡(jiǎn)單，速度快，開(kāi)銷小。

TCP：面向連接，傳送數(shù)據(jù)前建立連接，傳送結(jié)束后釋放連接，復(fù)雜性和開(kāi)銷都

比UDP大。但能提供不靠的全雙工信道

有關(guān)運(yùn)輸層：端口的概念

端口就是運(yùn)輸層服務(wù)訪問(wèn)點(diǎn)TSAPO

端口是用來(lái)標(biāo)志應(yīng)用層的進(jìn)程。

端口號(hào)：端口使用16bit的端口號(hào)進(jìn)行標(biāo)志。端口號(hào)只具有本地意義，即端口

號(hào)只是為了標(biāo)志本計(jì)算機(jī)應(yīng)用層中的各進(jìn)程。在因特網(wǎng)中不同計(jì)算機(jī)的相同端口

號(hào)是沒(méi)有聯(lián)系的。分為兩類：

一類是所謂的熟知端口，數(shù)值為0^1023一＞常用熟知端口(well-knownport)

其他的端口都屬于一般端口，用來(lái)隨時(shí)分配給請(qǐng)求通信的客戶進(jìn)程。

互聯(lián)網(wǎng)地址

IP地址是在全世界范圍是惟一的32bit的標(biāo)識(shí)符。

每一類地址都由兩個(gè)固定長(zhǎng)度的字段組成，其中一個(gè)字段是網(wǎng)絡(luò)號(hào)

net-id,而另一個(gè)字段則是主機(jī)號(hào)host-id,它標(biāo)志該主機(jī)(或路由器)。

常用的三種類別的IP地址的使用范圍

協(xié)議封裝

TCP傳給IP的數(shù)據(jù)單元稱作TCP報(bào)文段或簡(jiǎn)稱為TCP段(TCPSegment)°

IP傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作IP分組QPDatagram)o

更準(zhǔn)確地說(shuō)，IP和網(wǎng)絡(luò)接口層之間傳送的數(shù)據(jù)單元應(yīng)該是包(Packet)。包既

可以是一個(gè)IP數(shù)據(jù)報(bào)，也可以是IP數(shù)據(jù)報(bào)的一個(gè)片(Fragment)。

通過(guò)以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。

以太網(wǎng)數(shù)據(jù)幀的物理特性是其長(zhǎng)度必須在46?1500字節(jié)之間

IP協(xié)議

網(wǎng)際協(xié)議IP是TCP/IP的核心，1P協(xié)議是不可靠的協(xié)議。

IP數(shù)據(jù)包中含有發(fā)送它的主機(jī)的IP地址(源地址)和接收它的主機(jī)的IP地

址(目的地址)。

TCP協(xié)議

TCP數(shù)據(jù)包中包含序列號(hào)和應(yīng)答號(hào)；排序；重傳。

用三次握手建立TCP連接

TCP連接釋放的過(guò)程

TCP的正常的連接建立和關(guān)閉

TCP的有限狀態(tài)機(jī)模型

補(bǔ)充：IP和地理位置的對(duì)應(yīng)關(guān)系；IP數(shù)據(jù)庫(kù)；VisualRoute等軟件介紹

漏洞掃描相關(guān)知識(shí)與端口掃描軟件PortScanner,SuperScan簡(jiǎn)介

掃描(scan)就是對(duì)計(jì)算機(jī)系統(tǒng)或者其他網(wǎng)絡(luò)設(shè)備進(jìn)行安全相關(guān)的檢測(cè)，以

找出安全隱患和可被黑客利用的漏洞。掃描軟件是一把雙刃劍.

掃描的種類分為三類：

第一類數(shù)據(jù)庫(kù)安全掃描器；

第二類操作系統(tǒng)安全掃描器；

第三類網(wǎng)絡(luò)安全掃描器(針對(duì)子網(wǎng)絡(luò)服務(wù)、應(yīng)用程序、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)協(xié)

議等)。

端口掃描(PortScan)

常用的端口掃描技術(shù)：

TCPconnectTCPSYN掃描；TCPFIN掃描；IP段掃描；TCP反向Ident

掃描

掃描器舉例：X-SCAN

TCP會(huì)話劫持(TCPHijack)

攻擊者截獲和重定向客戶與服務(wù)器之間的數(shù)據(jù)流，使之經(jīng)過(guò)攻擊者的機(jī)器。

對(duì)于客戶和服務(wù)器來(lái)說(shuō)，它們都認(rèn)為是在直接進(jìn)行通信。

TCP會(huì)話劫持涉及的具體手段：去同步(Desynchronization)

常用攻擊手段分析：

信任與認(rèn)證(常見(jiàn)于Unix/Linux)；偽造IP地址及其原理；

序列號(hào)猜測(cè)；利用TCP定時(shí)器漏洞實(shí)現(xiàn)的攻擊；

UDP協(xié)議

ARP/RA即協(xié)議

IP包是被封裝在以太網(wǎng)幀內(nèi)的。以太網(wǎng)有它自己的地址方案，它采用的是

48比特的惟一硬件(MAC)地址。以太網(wǎng)頭包含源和目的硬件地址。

地址解析協(xié)議ARP原理

ARP高速緩存的作用：緩存中毒；常見(jiàn)ARP攻擊原理與防范

ARP應(yīng)當(dāng)注意的問(wèn)題：攻擊一般局限于局域網(wǎng)內(nèi)部

DDoS/DoS拒絕服務(wù)攻擊原理：目前出現(xiàn)最多，也是最難防范的攻擊，

常見(jiàn)DDos攻擊工具Trinoo,TFN：UDPFlood攻擊，PingFlood,

Smurf攻擊，偽造源IP,特殊ICMP數(shù)據(jù)包通訊.

其他常見(jiàn)流行攻擊工具與攻擊手段分析：

結(jié)論：攻擊手段不斷變化，隱蔽性更強(qiáng)，應(yīng)不斷學(xué)習(xí)提高以跟上網(wǎng)絡(luò)安全技

術(shù)發(fā)展

第十周

教學(xué)要點(diǎn)：

1VPN的作用和應(yīng)用場(chǎng)合

2IPScc的作用和協(xié)議的規(guī)范

教學(xué)要求：

1了解VPN的應(yīng)用

2理解IPSec的內(nèi)容和配置

講授內(nèi)容：

VPN的安全考慮

實(shí)現(xiàn)VPN之前，我們不僅應(yīng)看到其帶來(lái)的好處，同時(shí)應(yīng)清楚其存在的潛在安

全威脅，

常見(jiàn)VPN應(yīng)用環(huán)境

VPN通常用于三種網(wǎng)絡(luò)環(huán)境。

遠(yuǎn)程接入

VPN安全策略

是網(wǎng)絡(luò)安全策略的一個(gè)子集，相對(duì)來(lái)說(shuō)它要更細(xì)節(jié)化(Granular)

VPN數(shù)據(jù)安全性

VPN協(xié)議

VPN是基于隧道(Tunneling)的技術(shù)。

VPN隧道對(duì)要傳輸?shù)臄?shù)據(jù)用IP協(xié)議進(jìn)行封裝，這樣可以使數(shù)據(jù)穿越公網(wǎng)

(Internet)。

IPSec的引入：

補(bǔ)充：在網(wǎng)絡(luò)的不同層次上的保密及特點(diǎn)。針對(duì)網(wǎng)絡(luò)的分層結(jié)構(gòu)，保密層次

也分為：

應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層。

應(yīng)用層有PGP、Kerberos和SecureShell等

傳輸層有TLS,SSL等。

網(wǎng)絡(luò)層，即IP層主要有IPSEC等。

數(shù)據(jù)鏈路層，專有線路連接，是速度快，但實(shí)現(xiàn)難度大，如銀行的ATM提款

機(jī)。

IPV4數(shù)據(jù)報(bào)與IPv4的缺陷，IPv6

IPSec協(xié)議

IPSec是一套開(kāi)放的，基于標(biāo)準(zhǔn)的安全體系結(jié)構(gòu)提供了大量安全特性

IPSec的要點(diǎn)

兩個(gè)通信協(xié)議：AH,ESP

兩種操作模式：傳輸模式，隧道模式

一個(gè)密鑰交換管理協(xié)議：IKE

兩個(gè)數(shù)據(jù)庫(kù)：安全策略數(shù)據(jù)庫(kù)SPD,安全關(guān)聯(lián)數(shù)據(jù)庫(kù)SAD

IPSec的體系結(jié)構(gòu)

IPScc數(shù)據(jù)包信息格式，因特網(wǎng)密鑰管理協(xié)議

習(xí)題：

當(dāng)使用隧道方式時(shí)，構(gòu)造了新的外部IP首部。對(duì)于IPv4和IPv6,指出外部

分組中的每一個(gè)外部IP首部字段和擴(kuò)展首部與內(nèi)部分組的相應(yīng)字段或擴(kuò)展首

部的關(guān)系。即指出哪些外部值是從內(nèi)部值得來(lái)的，哪些值是獨(dú)立于內(nèi)部值構(gòu)

造出來(lái)的。

第十一周

教學(xué)要點(diǎn)：

1SSL的作用和原理

2配置和使用SSL/TLS

教學(xué)要求：

1熟悉SSL/TLS中的術(shù)語(yǔ)和概念

2能夠?yàn)閃eb服務(wù)器配置安全通信

講授內(nèi)容：

傳輸層安全SSL和TLS

SSL(SecureSocketsLayer)/TLS的歷史和發(fā)展，各版本與發(fā)展階段，對(duì)應(yīng)

關(guān)系

SSL協(xié)議體系結(jié)構(gòu)簡(jiǎn)述

SSL的組成

SSL協(xié)議包括兩個(gè)子協(xié)議：SSL記錄協(xié)議和SSL握手協(xié)議

SSL的三大功能

認(rèn)證服務(wù)器身份，認(rèn)證客戶端身份，使用公鑰加密技術(shù)產(chǎn)生共享秘密信息

建立加密的SSL連接

連接和會(huì)話的概念和區(qū)別

會(huì)話狀態(tài)包含的元素

連接狀態(tài)包含的元素

SSL記錄協(xié)議

SSL記錄協(xié)議的操作過(guò)程

改變密碼規(guī)范協(xié)議：最為簡(jiǎn)單的協(xié)議

告警協(xié)議：類似TCP/IP協(xié)議里ICMP協(xié)議的地位和作用

握手協(xié)議

SSL中最復(fù)雜的部分就是握手協(xié)議。

握手協(xié)議的組成

什么是密碼組（CipherSuite）

SSL握手協(xié)議的步驟

安全HTTP通信

SSL最為普遍的用法是實(shí)現(xiàn)瀏覽器和愀W服務(wù)器之間的安全WebHTTP通信。

HTTPS可以運(yùn)行在不同的服務(wù)器端口，缺省情況為443。

通過(guò)為HS配置安全通信理解SSL的應(yīng)用（在實(shí)驗(yàn)中體現(xiàn)）

第十二周-第十三周

教學(xué)要點(diǎn)：

1防火墻的原理、特點(diǎn)、分類和應(yīng)用

2包過(guò)濾技術(shù)和代理技術(shù)在防火墻中的應(yīng)用

教學(xué)要求：

1理解防火墻的原理以及網(wǎng)絡(luò)中的作用

2能夠?yàn)楹线m的網(wǎng)絡(luò)安全情況選擇合適的防火墻技術(shù)

講授內(nèi)容：

網(wǎng)絡(luò)安全整體框架（拓?fù)鋱D說(shuō)明）

防火墻的概念、原理

不可信網(wǎng)絡(luò)VS可信任網(wǎng)絡(luò)

防火墻的發(fā)展

防火墻的實(shí)現(xiàn)形式：軟件防火墻，硬件防護(hù)墻，個(gè)人防火墻

實(shí)例：CheckpointNatScrecn、NAI>ZoneAlarm,瑞星個(gè)人防火墻ICSICF

ipchainsiptablesLinux上的的移動(dòng)防火墻說(shuō)明其各屬于哪類防火墻

防火墻技術(shù)（層次）

包過(guò)渡型防火墻應(yīng)用網(wǎng)關(guān)型防火墻電路級(jí)網(wǎng)關(guān)防火墻

狀態(tài)檢測(cè)型防火墻自適應(yīng)代理型防火墻

防火墻體系結(jié)構(gòu)

雙重宿主主機(jī)體系結(jié)構(gòu)；被屏蔽主機(jī)體系結(jié)構(gòu)；被屏蔽子網(wǎng)體系結(jié)構(gòu)C

防火墻領(lǐng)域的前沿技術(shù)

傳統(tǒng)防火墻的缺點(diǎn)

包過(guò)濾技術(shù)：最原始的防火墻。

判斷主要依據(jù)數(shù)據(jù)域①IP地址②協(xié)議類型③TCP/UDP頭信息④分片字段

創(chuàng)建包過(guò)濾器的規(guī)則的幾個(gè)原則

危險(xiǎn)的服務(wù)：Telnet,NetBIOS網(wǎng)絡(luò)文件系統(tǒng)(NFS)網(wǎng)絡(luò)信息服務(wù)(NIS)X

窗口

服務(wù)器TCP/UDP端口過(guò)濾，端口過(guò)濾規(guī)則創(chuàng)建，UDP端口過(guò)濾

FTP帶來(lái)的困難：FTP正常模式原理FTP被動(dòng)模式的原理：

無(wú)狀態(tài)操作和有狀態(tài)檢查

包過(guò)濾器的優(yōu)缺點(diǎn)

堡壘(Bastion)主機(jī)

堡壘主機(jī)的概念，堡壘主機(jī)的特點(diǎn)，堡壘主機(jī)可提供的服務(wù)

使用堡壘主機(jī)要俁證安全型應(yīng)該考慮的問(wèn)題

防火墻中的代理技術(shù)

比較：包過(guò)濾與代理服務(wù)器的區(qū)別

代理服務(wù)器的優(yōu)缺點(diǎn)，傳統(tǒng)代理與透明代理，代理的其他服務(wù)如NAT等

習(xí)題：

1如果說(shuō)防火墻相關(guān)的技術(shù)主要有三種，它們是？

2如果說(shuō)防火墻的體系結(jié)構(gòu)主要有三種，它們是？

3一臺(tái)在Internet上的計(jì)算機(jī)，為什么會(huì)出現(xiàn)無(wú)法訪問(wèn)內(nèi)網(wǎng)的WT用服務(wù)器？

(從防火墻設(shè)置考慮)

4簡(jiǎn)單的防火墻過(guò)濾規(guī)則設(shè)置為什么會(huì)無(wú)法使用FTP?

5下面哪種防火墻規(guī)則更安全和有效？為什么？

1)禁止所有服務(wù)，只開(kāi)啟有限服務(wù)2)開(kāi)啟所有服務(wù)，禁止不安全服務(wù)

第十四周

教學(xué)要點(diǎn)：

安全編程中的緩沖區(qū)溢出和格式化字符串

教學(xué)要求：

理解安全編程原理及防范，并在個(gè)人編程中避免此類問(wèn)題

講授內(nèi)容：

解決三個(gè)問(wèn)題：什么是安全編程？為什么要進(jìn)行安全編程？如何進(jìn)行安全編

程？

著重分析兩類安全編程問(wèn)題1)緩沖區(qū)溢出(BufferOverflow)2)格式化字

符串(FormatString)

緩沖區(qū)溢出

程序例子運(yùn)行結(jié)果

緩沖區(qū)溢出攻擊方式

編寫(xiě)正確的代碼建議

利用CPU技術(shù)防止緩沖區(qū)溢出

格式化字符串

攻擊方式與緩沖區(qū)溢出類似，也是通過(guò)覆蓋緩沖區(qū)來(lái)達(dá)到攻擊的目的的,

利用格式化函數(shù)，如printfO的格式化字符串淅來(lái)覆蓋緩沖區(qū)的。

導(dǎo)致格式化字符串漏洞的原因

利用格式化字符串漏洞可實(shí)現(xiàn)的攻擊方式

針對(duì)格式化字符串漏洞提出一些安全建議。

其他安全編程問(wèn)題：條件競(jìng)爭(zhēng)、臨時(shí)文件、動(dòng)態(tài)內(nèi)存分配和釋放

實(shí)驗(yàn)部分：

實(shí)驗(yàn)一遠(yuǎn)程控制原理與實(shí)踐(DameWare)

實(shí)驗(yàn)?zāi)康模?/p>

1.通過(guò)DameWare的使用理解遠(yuǎn)程控制的常用操作和模式

2.掌握遠(yuǎn)程控制類木馬的防治措施

實(shí)驗(yàn)內(nèi)容及步驟：

1.下載和安裝DameWareNTUtilities

2.使用DameWare截取遠(yuǎn)程桌面并控制（要求保存成功控制的截圖），注意，

請(qǐng)?jiān)谙嗯R的機(jī)器互相控制測(cè)試，不要對(duì)本機(jī)進(jìn)行測(cè)試。

3.設(shè)置DameWare使得遠(yuǎn)程主機(jī)不出現(xiàn)任何提示，體會(huì)網(wǎng)絡(luò)木馬攻擊的方式。

4.基于VC++的帶有遠(yuǎn)程控制功能的源代碼分析（課后，選做內(nèi)容）

5.將簡(jiǎn)單的具有C/S功能的Java程序加入簡(jiǎn)單遠(yuǎn)程控制功能，如遠(yuǎn)程運(yùn)行

命令（課后，選