1、2022-1-22电子科技大学电子科技大学 计算机科学与工程学院计算机科学与工程学院 计算系统与网络安全计算系统与网络安全Computer System and Network SecurityComputer System and Network Security2022-1-22第第6章章 网络安全技术网络安全技术2022-1-22第第6章章 网络安全技术网络安全技术2022-1-22Key Points in NetSecl网络安全特性网络安全特性l互连安全互连安全l入侵与攻击入侵与攻击l网络端口与漏洞网络端口与漏洞安全协议安全协议阻断与过滤阻断与过滤检测与防御检测与防御安全基础安全基础
2、l协议与地址协议与地址lIPV4/IPv6/IPv9lIPSeclGII,NGN & IPvxlFirewalll位置与功能位置与功能l绕过绕过FirewalllFirewall的命运的命运l网络扫描技术网络扫描技术l入侵检测技术入侵检测技术IDSl入侵防御技术入侵防御技术IPSl新兴技术新兴技术+2022-1-22网络安全的至理名言网络安全的至理名言l“金项链从最薄弱点断裂金项链从最薄弱点断裂”(不设防点)(不设防点)l“堡垒最容易从内部攻破堡垒最容易从内部攻破”(木马)(木马)l“不要把鸡蛋都放在一个篮子里不要把鸡蛋都放在一个篮子里”(数据)(数据)l“条条大道通罗马条条大道通罗马”(网络
3、通道)(网络通道)l“只要能去的地方,就有危险只要能去的地方,就有危险”(访问)(访问)l“外面的世界很精彩外面的世界很精彩”(网络陷阱)(网络陷阱)l“没有不透风的墙没有不透风的墙”(阻断与过滤)(阻断与过滤)l“蝼蚁之穴,溃千里之堤蝼蚁之穴,溃千里之堤”(漏洞)(漏洞)l“损人之心不可有,防人之心不可无损人之心不可有,防人之心不可无”(策略)(策略)l“盲人瞎马盲人瞎马”(目标)(目标)2022-1-22一、网络安全的特性一、网络安全的特性l1. 网络安全的共享性网络安全的共享性l观念:观念:l“网络就是计算机网络就是计算机”l“网络计算网络计算”l“网格计算网格计算”l共享是网络主要目的
4、,也是其脆弱性共享是网络主要目的,也是其脆弱性l分布的广域性增大了受攻击的可能性分布的广域性增大了受攻击的可能性l单机系统的安全已不足以保证全局安全单机系统的安全已不足以保证全局安全2022-1-222. 网络系统的复杂性网络系统的复杂性l 系统互连、控制分散、异构结点系统互连、控制分散、异构结点l 任何一个结点的安全漏洞都可能是致命的任何一个结点的安全漏洞都可能是致命的l 信息爆炸信息爆炸使网络存储和传输不堪重负使网络存储和传输不堪重负l 使使安全链安全链更加脆弱更加脆弱l 恶意攻击源恶意攻击源更加广泛,更加广泛,l 攻击入口攻击入口增多、破坏面增大增多、破坏面增大l 攻击检测攻击检测困难且
5、开销很大困难且开销很大l 攻击源跟踪攻击源跟踪更加困难更加困难2022-1-223. 网络安全的不确定性网络安全的不确定性l网络具有可扩展性,其边界不确定网络具有可扩展性,其边界不确定l网络分支广,不安全路径存在不确定性网络分支广,不安全路径存在不确定性l故障定位的不确定性故障定位的不确定性l技术与非技术安全交错,性质的不确定技术与非技术安全交错,性质的不确定l滥用与攻击的不确定滥用与攻击的不确定l新的互连方式的进入新的互连方式的进入2022-1-224. 网络信息的特殊性网络信息的特殊性l信息的真实性提上日程信息的真实性提上日程l网络通信只保证了无差错传输网络通信只保证了无差错传输l网络通信
6、无法保证信息的真实性网络通信无法保证信息的真实性l收发双方无法控制和监视传输信息收发双方无法控制和监视传输信息l信息过滤成本与代价太高信息过滤成本与代价太高l搜索引擎的智能性未能很好体现搜索引擎的智能性未能很好体现2022-1-225. 网络安全的长期性网络安全的长期性l矛盾贯穿始终,长期对抗矛盾贯穿始终,长期对抗l不可能存在一劳永逸、绝对安全的系统不可能存在一劳永逸、绝对安全的系统l破坏可能是隐蔽和持久的破坏可能是隐蔽和持久的l安全策略和安全机制是有条件的安全策略和安全机制是有条件的l安全的目标是在一定条件(环境与技术)下的安全的目标是在一定条件(环境与技术)下的合理性。合理性。2022-1
7、-226. 网络安全的可信性网络安全的可信性l 网络安全的可信性随网络扩展而下降网络安全的可信性随网络扩展而下降l 不可信结点、恶意结点的严重威胁不可信结点、恶意结点的严重威胁l 四种连接四种连接: 不可信结点连在不可信网络上不可信结点连在不可信网络上 不可信结点连在可信网络上不可信结点连在可信网络上 可信结点连在不可信网络上可信结点连在不可信网络上 可信结点连在可信网络上可信结点连在可信网络上2022-1-22二、网络安全性范围二、网络安全性范围l1)网络类型)网络类型 电信网络、电视网络、计算机网络电信网络、电视网络、计算机网络 三网合一?三网融合?三网合一?三网融合? 无线网络、移动网络
8、无线网络、移动网络 空间网络架构?空间网络架构?l2)网络组成)网络组成 计算机系统、通信系统、布线系统计算机系统、通信系统、布线系统 网络互连设备网络互连设备 运行平台、网络管理软件运行平台、网络管理软件2022-1-223)网络系统安全问题)网络系统安全问题 网络系统配置和资源分配,资源冲突网络系统配置和资源分配,资源冲突 网络系统管理,用户管理,安全管理网络系统管理,用户管理,安全管理 网络隔离与连通的冲突网络隔离与连通的冲突 防火墙:隔离还是过滤?防火墙:隔离还是过滤? 网络安全布局网络安全布局 网络事故处理(取证,存储,日志)网络事故处理(取证,存储,日志)网络安全性范围(续)网络安
9、全性范围(续)2022-1-22一、网络互连设备一、网络互连设备传输层:传输层:网关网关gateway,防火墙,防火墙firewall网络层:路由器网络层:路由器router,路桥器路桥器roudger 交换机交换机switcher数链层:网桥数链层:网桥bridge,桥路器桥路器brouter物理层:物理层:中继器中继器repeater,集线器,集线器hub 适配器适配器Adapter,调制,调制Moderm软件软件软件软件软件软件IDS软件软件2022-1-22网络互连设备(续)网络互连设备(续)WorkstationServer漏洞漏洞安全通道安全通道HubSwitchl网络从最弱点攻破
10、网络从最弱点攻破FirewallHubWorkstation2022-1-22 用户提出的问题用户提出的问题 什么样的网络才是安全的什么样的网络才是安全的? 怎样才能建立一个安全网络怎样才能建立一个安全网络?二、网络安全体系的讨论二、网络安全体系的讨论网络实体安全网络实体安全操作系统安全操作系统安全用户安全用户安全数据安全数据安全 常规安全机制常规安全机制应用程序安全应用程序安全2022-1-221.1.互连层次:针对网络群体互连层次:针对网络群体 网络是否安全网络是否安全? ? 完整性。网络监控,通信,隔离连完整性。网络监控,通信,隔离连通通2.2.系统层次:针对系统群体系统层次:针对系统群
11、体 操作系统是否安全操作系统是否安全? ? 病毒病毒, ,黑客黑客, ,风险风险, ,审计分析审计分析3.3.管理层次:针对用户群体管理层次:针对用户群体 用户是否安全?配置用户是否安全?配置, ,用户用户/ /组管理组管理, ,用户鉴别用户鉴别 4.4.应用层次:针对应用群体应用层次:针对应用群体 应用程序是否安全应用程序是否安全? ? 访问控制访问控制, ,授权,软件保护授权,软件保护5.5.数据层次:针对应用保密数据层次:针对应用保密 数据是否安全数据是否安全? ? 加密、存储、传输加密、存储、传输1. 网络整体安全问题网络整体安全问题2022-1-221)网络互连层次)网络互连层次l网
12、络能否得到监控?网络能否得到监控?l是否任何一个是否任何一个IP地址都能进入网络?地址都能进入网络?l隔离和连通的程度如何?隔离和连通的程度如何?l采用何种互连设备和技术?采用何种互连设备和技术?l网络设备能否监视和控制?网络设备能否监视和控制?l新加入的网段是否能自动监测?新加入的网段是否能自动监测?l无线与移动在接入上的问题无线与移动在接入上的问题l不清楚就无法管不清楚就无法管2022-1-222)系统平台层次)系统平台层次l谁来监视超级用户和管理员谁来监视超级用户和管理员l恶意程序(病毒)对网络的威胁恶意程序(病毒)对网络的威胁l黑客攻击与入侵黑客攻击与入侵l网络整体与局部站点自身安全网
13、络整体与局部站点自身安全l操作系统、数据库安全问题操作系统、数据库安全问题l入侵检测、防御入侵检测、防御l安全风险评估、安全审计分析安全风险评估、安全审计分析2022-1-223)用户群体层次)用户群体层次l是否只允许授权用户使用系统资源和数据?是否只允许授权用户使用系统资源和数据?l谁能够进入系统和网络谁能够进入系统和网络l谁能够得到和修改安全配置?谁能够得到和修改安全配置?l用户组管理、系统登录控制用户组管理、系统登录控制l用户身份认证用户身份认证l用户间的彼此信任用户间的彼此信任2022-1-224)应用程序层次)应用程序层次l是否只有合法用户才能对特定数据进行合法的操作?是否只有合法用
14、户才能对特定数据进行合法的操作?l用户对资源、数据获取和使用的权限用户对资源、数据获取和使用的权限l超级用户的权限不能太大超级用户的权限不能太大l合法用户不能拥有一切权利合法用户不能拥有一切权利l必须考虑权限的控制和授权。必须考虑权限的控制和授权。l两个问题:两个问题:l1)应用程序对数据的合法权限)应用程序对数据的合法权限l2)应用程序对用户的合法权限)应用程序对用户的合法权限2022-1-225)数据安全层次)数据安全层次l机密数据是否处于机密状态?机密数据是否处于机密状态?l主要解决数据的机密性主要解决数据的机密性l数据加、解密、编码和解码的可信度数据加、解密、编码和解码的可信度l数据校
15、验和容错数据校验和容错l数据备份数据备份l系统与数据恢复系统与数据恢复l数据内容安全数据内容安全2022-1-22网络安全技术基础网络安全技术基础l几个重要的技术概念几个重要的技术概念网络漏洞网络漏洞网络端口网络端口入侵与攻击入侵与攻击2022-1-22一、入侵与攻击:一、入侵与攻击:1. 概念概念l1)入侵()入侵(Intrude)l 非法者以非法途径进入系统的活动非法者以非法途径进入系统的活动l 采用各种方法寻找系统漏洞采用各种方法寻找系统漏洞l 非法进入计算机和网络系统非法进入计算机和网络系统l 越权访问系统资源越权访问系统资源l 最终控制目标系统最终控制目标系统2022-1-22入侵与
16、攻击(续)入侵与攻击(续)l2)攻击()攻击(Attack)l 恶意者以有意目的针对目标的活动恶意者以有意目的针对目标的活动l 利用系统漏洞,进入系统利用系统漏洞,进入系统l 有意破坏系统资源有意破坏系统资源l 最终毁坏目标系统最终毁坏目标系统2022-1-22入侵与攻击(续)入侵与攻击(续)l3)黑客)黑客(Hacker)l 贬意与褒意贬意与褒意? l 否定与肯定否定与肯定?l 计算机迷,迷惑计算机迷,迷惑? 迷糊迷糊? 迷昏迷昏?l 原意原意: 泛指对任何计算机系统、操作系统、网络系统的泛指对任何计算机系统、操作系统、网络系统的奥秘都具有强烈兴趣的人。奥秘都具有强烈兴趣的人。2022-1-
17、22入侵与攻击(续)入侵与攻击(续)lHacker的特点:的特点: l 具有高级知识、技术与技能具有高级知识、技术与技能l 了解并善于发现系统漏洞及其原因了解并善于发现系统漏洞及其原因l 不断追求新的、更深的知识和技术不断追求新的、更深的知识和技术l 公开并分享黑客技术公开并分享黑客技术l 宣称自己决不、也从来不破坏系统宣称自己决不、也从来不破坏系统l 宣称自己是媒体的受害者宣称自己是媒体的受害者2022-1-22入侵与攻击(续)入侵与攻击(续)l4)骇客)骇客(Cracker):l 恶意恶意“黑客黑客”l Hacker with evil intent.l 网络上的匿名攻击者网络上的匿名攻击
18、者l 专门进行网络入侵攻击,发布干扰信息,传输网络垃圾等,专门进行网络入侵攻击,发布干扰信息,传输网络垃圾等,并以此为乐并以此为乐2022-1-22入侵与攻击(续)入侵与攻击(续)l5)窃客)窃客(Phreaker):l “电信黑客电信黑客”或或“电信窃客电信窃客”l入侵并攻击电信入侵并攻击电信/电话系统与网络电话系统与网络l拦截传输信号、操纵软件、并机盗打拦截传输信号、操纵软件、并机盗打l非法进入电信系统免费拨打区域非法进入电信系统免费拨打区域l和长途电话等。和长途电话等。l篡改电信网管软件,从中谋利篡改电信网管软件,从中谋利l攻击电信网站、传输通信,攻击电信网站、传输通信,l获取所需敏感信
19、息获取所需敏感信息2022-1-222. 网络攻击框架网络攻击框架l从过程的角度来看,任何一次信息攻击都是连接攻从过程的角度来看,任何一次信息攻击都是连接攻击者和最终目的的操作序列,攻击者选用合适的工击者和最终目的的操作序列,攻击者选用合适的工具,侵入目标系统实施攻击,得到一定的结果,最具,侵入目标系统实施攻击,得到一定的结果,最终达到目的,因此,形成网络攻击的五个组成部分终达到目的,因此,形成网络攻击的五个组成部分2022-1-22网络攻击框架(续)网络攻击框架(续) 访访 问问攻击者攻击者黑客黑客间谍间谍恐怖主义者恐怖主义者公司公司职业罪犯职业罪犯故意破坏故意破坏 工工 具具用户命令用户命
20、令脚本和程序脚本和程序自主式代理自主式代理工具包工具包分布式工具分布式工具数据窃听数据窃听 结结 果果破坏信息破坏信息泄露信息泄露信息窃取服务窃取服务剥夺服务剥夺服务 目目 标标挑战状态挑战状态政治收益政治收益金融收益金融收益损伤损伤 网络攻击网络攻击设计设计实施实施配置配置访问访问使用使用文件文件传输的数据传输的数据特定型特定型 网络攻击总体框架网络攻击总体框架所利用的弱点类型所利用的弱点类型入侵级别入侵级别过程过程访问的主体访问的主体2022-1-22二、二、Loophole(漏洞)(漏洞)l1. 概念概念l漏洞是什么漏洞是什么?l系统的漏洞在哪里系统的漏洞在哪里? l它们怎样影响网络的安
21、全性它们怎样影响网络的安全性? l我们怎样来堵住这些漏洞我们怎样来堵住这些漏洞? l网络端口是什么?网络端口是什么?l网络端口与入侵网络端口与入侵2022-1-22Concepts of Loopholel任意允许非法用户未经授权就获得访问或提高访问任意允许非法用户未经授权就获得访问或提高访问层次的层次的硬件或者软件特征硬件或者软件特征。l漏洞就是某种形式的脆弱性。漏洞就是某种形式的脆弱性。广义特征广义特征: 漏洞可以是漏洞可以是任何东西。任何东西。l没有绝对安全的事物,无论硬、软件平台都存在漏没有绝对安全的事物,无论硬、软件平台都存在漏洞。洞。l漏洞可能由系统管理员引起。漏洞可能由系统管理员
22、引起。2022-1-22Concepts of Loopholel系统平台安全漏洞的等级:系统平台安全漏洞的等级:lA. 允许恶意入侵访问,可能会破坏整个系统允许恶意入侵访问,可能会破坏整个系统lB. 允许获取和提高访问权限,从而获得对系统的控制允许获取和提高访问权限,从而获得对系统的控制lC. 允许任何用户中断、降低或妨碍系统操作允许任何用户中断、降低或妨碍系统操作2022-1-222. Gaps in OS and Netl网络层,网络功能外壳网络层,网络功能外壳l网络功能调用、命令网络功能调用、命令l异种操作系统(平台)兼容性异种操作系统(平台)兼容性l系统不同安全机制之间的冲突系统不同
23、安全机制之间的冲突l系统网络层及功能配置不正常系统网络层及功能配置不正常l网络应用软件不兼容,配置不合理网络应用软件不兼容,配置不合理l单机计算机病毒破坏,驻留木马单机计算机病毒破坏,驻留木马 2022-1-223. Loophole in Net Managementl网络管理系统:也称网管软件,目前一般为分三个网络管理系统:也称网管软件,目前一般为分三个层次,即整体网络管理、网络单元管理和网络设备层次,即整体网络管理、网络单元管理和网络设备管理。管理。l 整体网络管理整体网络管理l 网络单元管理网络单元管理l 网络设备管理网络设备管理2022-1-224. 易损性漏洞易损性漏洞l系统易损性
24、是一类设计错误系统易损性是一类设计错误l 程序的错误程序的错误l 设计的错误设计的错误l 配置的错误配置的错误l 操作的错误操作的错误l某些易损性往往很难修正,有时为修正一个弱点可某些易损性往往很难修正,有时为修正一个弱点可能产生出更多的问题。因此,漏洞可能引发其他漏能产生出更多的问题。因此,漏洞可能引发其他漏洞,漏洞可能隐蔽漏洞。洞,漏洞可能隐蔽漏洞。2022-1-22易损性漏洞(续)易损性漏洞(续)l1)实现的易损性)实现的易损性(Implementation Vulnerability)l软件软件Bug,设计上并没有问题,但在软件或硬件的实现上,设计上并没有问题,但在软件或硬件的实现上出
25、现了错误。出现了错误。le.g. UNIX系统中一些系统中一些Internet基础软件、基础软件、SendMail程序等,程序等,常常是非授权访问的突破口。常常是非授权访问的突破口。2022-1-22易损性漏洞(续)易损性漏洞(续)l2)设计的易损性)设计的易损性(Design Vulnerability)l来自设计本身的缺陷(来自设计本身的缺陷(fault),通常更为严重且不易),通常更为严重且不易修改。一个完美的实现往往也无法弥补这个缺陷。修改。一个完美的实现往往也无法弥补这个缺陷。 le.g. SendMail程序产生的电子邮件可以用来以非授权程序产生的电子邮件可以用来以非授权的方式攻击
26、一个系统,邮件淹没技术导致系统无法服的方式攻击一个系统,邮件淹没技术导致系统无法服务。务。2022-1-22易损性漏洞(续)易损性漏洞(续)l3) 配置的易损性配置的易损性(Configuration Vulnerability)l由系统配置错误引起。由系统配置错误引起。l销售商以信任的方式销售软件,这给攻击者提供了很大的销售商以信任的方式销售软件,这给攻击者提供了很大的便利。便利。le.g. 系统帐户使用的默认口令、初始口令,默认访问权限系统帐户使用的默认口令、初始口令,默认访问权限等是攻击的入口。等是攻击的入口。2022-1-224. 示例示例1: ping命令问题命令问题l网际控制报文协
27、议网际控制报文协议=ICMP echo / Echo Reply = pinglping 正常地址,证明两点之间是否相通正常地址,证明两点之间是否相通lping 全全1全全0地址,产生广播报文地址,产生广播报文lping xxx.0.0.1,自环测试,自环测试lping 本机本机IP,跨网测试,跨网测试lping t 无限循环无限循环2022-1-22ping命令问题(续)命令问题(续)l用法:用法:lping -t -a -n count -l size -f-i TTL -v TOS -r count -s count-j host-list | -k host-list-w timeou
28、t -R -S srcaddr-4 -6 target_name2022-1-22ping命令问题(续)命令问题(续)l选项:选项:-t 循环发包直至停止循环发包直至停止 -a 决定主机地址决定主机地址-f 无碎片标志无碎片标志 (IPv4) -R 跟踪路径跟踪路径 (IPv6)-4 强制采用强制采用IPv4 -6 强制采用强制采用IPv6-n count 应答数应答数 -l size 发送缓存大小发送缓存大小-i TTL 活动时间活动时间 -S srcaddr 源地址记录源地址记录(IPv6)-v TOS 服务类型服务类型(IPv4) -w timeout 超时数超时数-r count 记录
29、跳的路径记录跳的路径(IPv4)-s count 计算跳的时间戳计算跳的时间戳(IPv4)-j host-list 主机表松散路径主机表松散路径 (IPv4)-k host-list 主机表严格路径主机表严格路径 (IPv4) 2022-1-22示例示例2:Net 命令集问题命令集问题lNet 命令集:强有力的功能命令集:强有力的功能NET ACCOUNTS NET COMPUTER NET CONFIGNET CONFIG SERVER NET CONFIG WORKSTATIONNET CONTINUE NET FILE NET GROUPNET HELP NET HELPMSGNET L
30、OCALGROUP NET NAME NET PAUSENET PRINT NET SEND NET SESSIONNET SHARE NET START NET STATISTICS NET STOP NET TIMENET USE NET USER NET VIEW2022-1-22Net 命令集问题命令集问题le.g. Net startl 进入进入Windows的运行模式的运行模式l 输入输入cmd进入命令行模式进入命令行模式l 输入输入net start IP 地址地址 “消息消息”l 则消息可直接传至该地址主机屏幕则消息可直接传至该地址主机屏幕l如:如:lnet start 211
31、.201.11.12 “test”2022-1-22三、三、Network Port(端口)(端口)l网络通信经端口实现网络通信经端口实现l不同端口作用不同不同端口作用不同l端口的分类标准端口的分类标准l端口扫描与监视端口扫描与监视 2022-1-221. 端口的概念端口的概念l端口(端口(port):):计算机与外界通讯交流的出口计算机与外界通讯交流的出口l硬件端口硬件端口:接口:接口l如:如:USB、串并端口等。、串并端口等。l端口包括数据、状态和控制寄存器(组)端口包括数据、状态和控制寄存器(组)l可以编程访问和控制可以编程访问和控制l软件端口软件端口:通信协议端口:通信协议端口l网络面
32、向连接服务和无连接服务的协议端口网络面向连接服务和无连接服务的协议端口l一种抽象的软件结构一种抽象的软件结构l包括数据结构和包括数据结构和I/O缓冲区缓冲区l可以编程访问和控制。可以编程访问和控制。2022-1-22端口的概念(续)端口的概念(续)l面向连接的协议与服务面向连接的协议与服务(Connection)lCO特点:三个阶段:特点:三个阶段: 1)建立连接,)建立连接,2)传输数据,)传输数据,3)释放连接。)释放连接。l可确保数据传送的次序和传输的可靠性可确保数据传送的次序和传输的可靠性l无连接的协议与服务(无连接的协议与服务(Connectionless)lCL特点:无连接服务只有
33、传输数据阶段。特点:无连接服务只有传输数据阶段。 开销小,只要发送实体活跃,无须接收实体也活跃开销小,只要发送实体活跃,无须接收实体也活跃 灵活、方便、迅速,适合零星报文灵活、方便、迅速,适合零星报文l不能防止报文丢失、重复或失序不能防止报文丢失、重复或失序lTCP/IP协议在网络层是无连接的协议在网络层是无连接的2022-1-22端口的概念(续)端口的概念(续)l网络中可以被命名和寻址的通信端口,操作系统的一网络中可以被命名和寻址的通信端口,操作系统的一种可分配资源。种可分配资源。l端口属于传输层内容,传输层提供进程通信能力,是端口属于传输层内容,传输层提供进程通信能力,是面向连接的。面向连
34、接的。l网络通信的最终地址不仅包括主机地址,还包括可描网络通信的最终地址不仅包括主机地址,还包括可描述进程的某种标识。述进程的某种标识。l应用程序(调入内存后称进程)通过系统调用与某端应用程序(调入内存后称进程)通过系统调用与某端口建立连接(口建立连接(binding绑定)。绑定)。2022-1-22端口的概念(续)端口的概念(续)lTCP/IP的协议端口,可认为是网络通信进程的一种的协议端口,可认为是网络通信进程的一种标识符。标识符。 l端口操作类似于端口操作类似于I/O操作,进程获取一个端口,相当操作,进程获取一个端口,相当于获取本地唯一的于获取本地唯一的I/O文件,可用一般的读写方式访文
35、件,可用一般的读写方式访问问.l每个端口都有一个叫端口号的整数描述符,用来区每个端口都有一个叫端口号的整数描述符,用来区别不同的端口。别不同的端口。lTCP和和UDP是两个完全独立的软件协议模块,各自是两个完全独立的软件协议模块,各自端口号相互独立,两者并不冲突。如端口号相互独立,两者并不冲突。如TCP和和UDP可可以各有一个以各有一个255号端口。号端口。2022-1-222. 端口的分配端口的分配l1)两种基本分配方式:)两种基本分配方式:l全局分配:全局分配:集中分配集中分配方式。由一个公认权威的中央机构根方式。由一个公认权威的中央机构根据用户需要进行统一分配,并将结果公布于众。据用户需
36、要进行统一分配,并将结果公布于众。l本地分配,也称本地分配,也称动态连接动态连接。当进程需要访问传输层服务时,。当进程需要访问传输层服务时,向本地操作系统提出申请,操作系统返回本地唯一的端口向本地操作系统提出申请,操作系统返回本地唯一的端口号,进程再通过合适的系统调用,将自己和该端口连接号,进程再通过合适的系统调用,将自己和该端口连接(绑定)起来。(绑定)起来。2022-1-22端口的分配(续)端口的分配(续)l2)TCP/IP端口号的分配端口号的分配l综合两种方式,将端口号分为两部分综合两种方式,将端口号分为两部分l全局方式:保留端口(周知口),不同机器上端口号也相同。全局方式:保留端口(周
37、知口),不同机器上端口号也相同。l本地方式:自由端口,访问时进行分配。也分为注册口和动本地方式:自由端口,访问时进行分配。也分为注册口和动态口。态口。l低于低于1024的端口在协议里都有确切的定义,对应于常的端口在协议里都有确切的定义,对应于常见网络服务。见网络服务。l划分两类服务:划分两类服务:lTCP端口(面向连接服务,如打电话)端口(面向连接服务,如打电话)lUDP端口(无连接服务,如写信)端口(无连接服务,如写信)2022-1-223. 端口分类情况端口分类情况l1)按端口号分布划分)按端口号分布划分l知名端口(周知口,知名端口(周知口,Well-Known Ports )l众所周知的
38、低端端口号,范围从众所周知的低端端口号,范围从0到到1023,固定分配,固定分配lFTP=21,SMTP=25,HTTP=80,RPC=135l注册端口(注册端口(Registered Ports)l从从1024到到49151,松散绑定于一些服务。,松散绑定于一些服务。l公用服务端口。运行程序提出访问网络申请,系统从这些端公用服务端口。运行程序提出访问网络申请,系统从这些端口号中分配一个供该程序使用,进程结束时释放所占用的端口号中分配一个供该程序使用,进程结束时释放所占用的端口号。口号。l1024是分配给第一个向系统发出申请的程序,许多系统处理是分配给第一个向系统发出申请的程序,许多系统处理从
39、从1024端口左右开始。端口左右开始。2022-1-22端口分类情况(续端口分类情况(续)l动态动态/私有端口(私有端口(Dynamic /Private Ports)l范围范围49152-65535,不固定分配给某个服务,不固定分配给某个服务l动态端口可被病毒木马程序占用,如:冰河动态端口可被病毒木马程序占用,如:冰河=7626,WAY=8011,Netspy=7306等。等。l但也有例外但也有例外:SUN的的RPC端口从端口从32768开始。开始。2022-1-22端口分类情况(续)端口分类情况(续)l2)按协议类型划分)按协议类型划分如:如:TCP、UDP、IP和和ICMP等端口等端口l
40、(1)TCP端口端口l传输控制协议端口,在客户端和服务器之间建立连接传输控制协议端口,在客户端和服务器之间建立连接l如如FTP=21,Telnet=23,SMTP=25,HTTP=80l(2)UDP端口端口l即用户数据包协议端口,无需在客户端和服务器之间建立即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保障。连接,安全性得不到保障。l如如DNS=53,SNMP=161,QQ=8000/4000等。等。2022-1-224. 端口实例端口实例l80与与8080端口端口l80为为HTTP端口,是固定端口端口,是固定端口l8080与与80相同,但是动态端口相同,但是动态端口l8
41、080端口用于端口用于WWW代理服务,在使用代理服务器时代理服务,在使用代理服务器时附加附加“:8080”端口号,端口号,e.g. http:/:8080l8080端口可能被恶意程序利用,端口可能被恶意程序利用,e.g. lBrO、RCCbo、RingZero等木马都利用该端口实施攻击。等木马都利用该端口实施攻击。 2022-1-22端口实例端口实例l网上木马软件很多,要监视的端口也很多,常用入网上木马软件很多,要监视的端口也很多,常用入侵端口需要监视。如:侵端口需要监视。如:l7306netspyl7307newnetspy ProcSpy.exel7308newnetspy spy.exe
42、l12345 netbusl6680 8111 9910 新版新版netbusl31337 bol2022-1-225. 端口攻击端口攻击l 利用利用OS系统本身的漏洞入侵系统本身的漏洞入侵l 针对专门的网络端口针对专门的网络端口port发送封包发送封包l 使主机忙于应付碎片组合而使主机忙于应付碎片组合而down机机l Win系统出现系统出现“蓝屏蓝屏”现象,只能重启现象,只能重启l 补丁可使机器正常工作,但无法防御访补丁可使机器正常工作,但无法防御访tcp/ip类型的类型的网络网络2022-1-22网络协议问题网络协议问题l为什么产生这种协议?为什么产生这种协议?l这个协议针对什么系统或者问
43、题?这个协议针对什么系统或者问题?l这个协议的适用范围这个协议的适用范围l协议在什么情况和环境下实施?协议在什么情况和环境下实施?l协议解决了什么问题?协议解决了什么问题?l协议的安全性怎么样?协议的安全性怎么样?l协议的弱点在哪里?协议的弱点在哪里?l协议是否正在得到改进和发展?协议是否正在得到改进和发展?l协议相关性如何?协议相关性如何?2022-1-22一、网络协议与地址一、网络协议与地址l系统间交换和传输数据而统一约定的格式系统间交换和传输数据而统一约定的格式l规定双方一致同意的参数规定双方一致同意的参数l每一种协议都是为某种利益和用途设计的每一种协议都是为某种利益和用途设计的l协议产
44、生并没有定义完善的安全协议协议产生并没有定义完善的安全协议l在产品化进程中逐渐形成安全性在产品化进程中逐渐形成安全性l随市场产品的分化而扩展安全性随市场产品的分化而扩展安全性2022-1-221. 常用网络协议常用网络协议lAppleTalk: 连接连接Macintosh系统系统lATM: 异步传输模式(固定包)异步传输模式(固定包)lEthernet: 以太网标准以太网标准lFDDI: 光纤分布式数据接口光纤分布式数据接口lIP:网际协议(包交换):网际协议(包交换)lTCP/IP:传输控制传输控制/网际协议集网际协议集lUDP: 用户数据报协议用户数据报协议lICMP: 控制消息协议(控制
45、消息协议(Ping)lSS7:PBX电信协议电信协议lSNA:IBM大机网络协议大机网络协议lX.25:包交换协议:包交换协议2022-1-221)Telnet协议协议lTelnet 终端仿真协议终端仿真协议l属于属于TCP/IP协议集协议集l允许用户远程登录并访问信息允许用户远程登录并访问信息l明文传输,不考虑安全性明文传输,不考虑安全性l经经TCP-23端口建立连接端口建立连接l远程访问的漏洞远程访问的漏洞l防火墙可阻断该协议连接防火墙可阻断该协议连接lOS也可阻断该协议连接也可阻断该协议连接2022-1-222)SSH安全安全Shell协议集协议集l支持远程安全登录、传输支持远程安全登录
46、、传输l自动加密数据,提供用户鉴别和数据压缩自动加密数据,提供用户鉴别和数据压缩l以以SSH监控程序保证安全传输监控程序保证安全传输l以以TCP-22端口建立连接端口建立连接l支持多种加密算法:支持多种加密算法:RSA, 3DES, IDEA, Blowfish, CAST128, AES256等等2022-1-223)PPP协议系列协议系列lPPP, PPTP & L2TPlPoint-to-point 点到点网络协议点到点网络协议l对对PPP协议的改进,产生协议的改进,产生PPTP(隧道)(隧道)l支持支持VPN,利用,利用OS进行远程进行远程IP安全连接安全连接lPPTP以以TCP-17
47、23端口建立连接端口建立连接lL2TP针对针对PPTP弱点,支持多种网络弱点,支持多种网络lL2TP以以UDP-1701端口建立连接端口建立连接2022-1-224)FTP协议协议lFile Transfer ProtocollTCP/IP 协议组中的协议之一协议组中的协议之一l提供文件共享,非直接使用远程计算机提供文件共享,非直接使用远程计算机l存储介质对用户透明,数据可靠高效传送存储介质对用户透明,数据可靠高效传送lTCP端口号为端口号为21,Port方式数据端口为方式数据端口为20l允许双向(允许双向(upload和和download)传输)传输l防火墙可阻断该协议连接(单向或双向)防火
48、墙可阻断该协议连接(单向或双向)l与双方计算机位置、联接方式、操作系统无关与双方计算机位置、联接方式、操作系统无关l匿名访问是安全漏洞之一匿名访问是安全漏洞之一2022-1-225)RPC协议协议lRemote Procedure Call 远程过程调用远程过程调用lWindows 操作系统使用的一个协议操作系统使用的一个协议l处理通过处理通过 TCP/IP 的消息交换的消息交换l存在远程访问权限漏洞存在远程访问权限漏洞l攻击者利用该漏洞能远程控制并以本地系统权限运攻击者利用该漏洞能远程控制并以本地系统权限运行代码,能执行任何操作,包括安装程序,查看、行代码,能执行任何操作,包括安装程序,查看
49、、更改或者删除数据,或者建立系统管理员权限的帐更改或者删除数据,或者建立系统管理员权限的帐户。户。l利用此漏洞的蠕虫病毒应运而生利用此漏洞的蠕虫病毒应运而生2022-1-22RPC协议结构协议结构lNetwork message2022-1-22二、二、IP级的级的安全性安全性lIP级的安全性要保证分组的识别、鉴权和私密特性,级的安全性要保证分组的识别、鉴权和私密特性,由主要由主要IP标记实现:标记实现:l AH(Authentication Header)鉴权包头鉴权包头l ESP(Encapsulating Security Payload)l互联网安全机制只建在应用程序级互联网安全机制只
50、建在应用程序级l 如:如:E-mail加密、加密、SNMPv2网络管理安全、接入网络管理安全、接入安全(安全(HTTP、SSL)等)等2022-1-221. IPv4的讨论的讨论lIPv4:地址:地址32位位lIPv4协议面临地址短缺协议面临地址短缺lIPv4安全性无法在安全性无法在IP层保证层保证l可以用可以用IPSec加强加强IPv4的安全性的安全性lIP地址的滥扩展造成新的问题地址的滥扩展造成新的问题l人们不愿放弃的财富人们不愿放弃的财富2022-1-22IPv4的讨论(续)的讨论(续)l互联网地址耗尽问题的技术解决方式:互联网地址耗尽问题的技术解决方式:lNAT(网络地址翻译)技术(网
