网络安全技术02课件.ppt

1、第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-201 1第第2 2章章 网络安全协议基础网络安全协议基础TCP/IPTCP/IP协议安全分析协议安全分析第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-202 22.1 TCP/IP2.1 TCP/IP模型模型TCP/IP协议族与协议族与OSI参考模型对应关系参考模型对应关系第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-203 3解剖解剖TCP/IPTCP/IP模型模型TCP/IPTCP/IP协议簇包括四个功能层：应用层、传输层、网络层协议簇包括四

2、个功能层：应用层、传输层、网络层及网络接口层。及网络接口层。1 1、网络接口层、网络接口层网络接口层包括用于物理连接、传输的所有功能。网络接口层包括用于物理连接、传输的所有功能。OSIOSI模型把这一层功能分为两层：物理层和数据链路层，模型把这一层功能分为两层：物理层和数据链路层，TCP/IPTCP/IP参考模型把两层合在一起。参考模型把两层合在一起。2 2、网络层（、网络层（InternetInternet层）层）网络层由在两个主机之间通信所必须的协议和过程组网络层由在两个主机之间通信所必须的协议和过程组成。这意味着数据报文必须是可路由的。成。这意味着数据报文必须是可路由的。第第2 2章章

3、网络安全协议基础网络安全协议基础2023-8-202023-8-204 4解剖解剖TCP/IPTCP/IP模型模型3 3、传输层、传输层这一层支持的功能包括：为了在网络中传输对应用数这一层支持的功能包括：为了在网络中传输对应用数据进行分段，执行数学检查来保证所收数据的完整性，据进行分段，执行数学检查来保证所收数据的完整性，为多个应用同时传输数据多路复用数据流为多个应用同时传输数据多路复用数据流(传输和接传输和接收收)。这意味着该层能识别特殊应用，对乱序收到的数。这意味着该层能识别特殊应用，对乱序收到的数据进行重新排序。据进行重新排序。4 4、应用层、应用层应用层协议提供远程访问和资源共享。应用

4、包括应用层协议提供远程访问和资源共享。应用包括TelnetTelnet服务、服务、FTPFTP服务、服务、SMTPSMTP服务和服务和HTTPHTTP服务等，很多服务等，很多其他应用程序驻留并运行在此层，并且依赖于底层的其他应用程序驻留并运行在此层，并且依赖于底层的功能。该层是最难保护的一层。功能。该层是最难保护的一层。第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-205 52.2 2.2 TCPTCP协议安全协议安全1.TCP协议的头结构协议的头结构2.TCP协议工作原理协议工作原理首先将字节分成段，然后对段进行编号和排序以便传输。在两个首先将字节分成段，然

5、后对段进行编号和排序以便传输。在两个TCP主机之间交换数据之前，必须先相互建立会话。主机之间交换数据之前，必须先相互建立会话。TCP会话通会话通过三次握手的完成初始化。这个过程使序号同步，并提供在两个过三次握手的完成初始化。这个过程使序号同步，并提供在两个主机之间建立虚拟连接所需的控制信息。主机之间建立虚拟连接所需的控制信息。TCP在建立连接的时候需要三次确认，俗称在建立连接的时候需要三次确认，俗称“三次握手三次握手”，在断，在断开连接的时候需要四次确认，俗称开连接的时候需要四次确认，俗称“四次挥手四次挥手”。来源端口（来源端口（2字节）字节）目的端口（目的端口（2字节）字节）序号（序号（4字

6、节）字节）确认序号（确认序号（4字节）字节）头长度（头长度（4位）位）保留（保留（6位）位）URGACKPSHRSTSYNFIN窗口大小（窗口大小（2字节）字节）校验和（校验和（16位）位）紧急指针（紧急指针（16位）位）选项（可选）选项（可选）数据数据第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-206 62.2 2.2 TCPTCP协议安全协议安全TCP协议的三次协议的三次“握手握手”第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-207 7TCPTCP协议的三次协议的三次“握手握手”这个过程在这个过程在FTP的会话过程中明

7、显的显示出来的会话过程中明显的显示出来:第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-208 8第一次第一次“握手握手”首先分析建立首先分析建立“握手握手”第一个过程包的结构第一个过程包的结构:第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-209 9第二次第二次“握手握手”SYN为为1，开始建立请求连接，需要对方计算机确认，对方计算机确认返回的数，开始建立请求连接，需要对方计算机确认，对方计算机确认返回的数据包。据包。第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-201010第三次第三次“握手

8、握手”对方计算机返回的数据包中对方计算机返回的数据包中ACK为为1并且并且SYN为为1，说明同意连接。，说明同意连接。这个时候需要源计算机的确认就可以建立连接了。确认数据包的结构这个时候需要源计算机的确认就可以建立连接了。确认数据包的结构:第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2011112.2 2.2 TCPTCP协议安全协议安全TCP协议的四次协议的四次“挥手挥手”第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2012122.2 2.2 TCPTCP协议安全协议安全3.TCP协议安全分析协议安全分析4.通过通过TC

9、P序列号猜测，窃取序列号猜测，窃取TCP连接攻击。连接攻击。5.在在Unix实现的协议族中，有一个漏洞能使窃实现的协议族中，有一个漏洞能使窃TCP连接成为可能。连接成为可能。6.原理原理：当：当TCP连接正在建立时，服务器用一连接正在建立时，服务器用一个含有初始序列号的回答包来确认用户请求。个含有初始序列号的回答包来确认用户请求。客户端收到回答后，再对其确认一次，连接就客户端收到回答后，再对其确认一次，连接就建立了。建立了。第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2013132.2 2.2 TCPTCP协议安全协议安全【案例【案例】假设一个攻击者谷窃取客

10、户机假设一个攻击者谷窃取客户机C的端口的端口X与服务器与服务器S的端口的端口Y之间的之间的TCP连接。连接。攻击步骤：攻击步骤：向向C的端口的端口X发送大量的连接请求，以至于没有别的包可以到达发送大量的连接请求，以至于没有别的包可以到达C的的TCP协议。协议。创建一个到创建一个到S的的TCP连接，并记录从连接，并记录从S返回的包的初始序列号返回的包的初始序列号N。然后构造拥有合法然后构造拥有合法TCP SYN头的头的IP包。包的源地址是包。包的源地址是C，源端口，源端口是是X。攻击者再将此包传送到攻击者再将此包传送到S，S对对C发回一确认包。发回一确认包。若若C收到确认，会给收到确认，会给S发

11、一个包放弃这个连接。但大量的包阻塞在发一个包放弃这个连接。但大量的包阻塞在C的端口的端口X，使，使S的回答确认不能通过。这时攻击者伪造一个来自的回答确认不能通过。这时攻击者伪造一个来自C的对的对S的回答确认，这个确认包含的回答确认，这个确认包含S发出的初始序列号。发出的初始序列号。第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2014142.2 2.2 TCPTCP协议安全协议安全攻击成功的原因：攻击成功的原因：攻击者能够得到服务器对请求回答包的初始攻击者能够得到服务器对请求回答包的初始序列号；序列号；攻击者发出大量包阻塞客户机的端口。攻击者发出大量包阻塞客户

12、机的端口。解决方法：解决方法：使初始序列号的产生具有随机性。使初始序列号的产生具有随机性。第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2015152.3 2.3 UDPUDP协议安全协议安全UDP的结构的结构第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2016162.3 2.3 UDPUDP协议安全协议安全侵袭者通过冒充内部用户的网络地址，侵袭者通过冒充内部用户的网络地址，然后再利用适当然后再利用适当 的应用软件很容易伪造的应用软件很容易伪造UDP包分组。包分组。第第2 2章章 网络安全协议基础网络安全协议基础2023-8

13、-202023-8-2017172.4 2.4 ARPARP协议安全协议安全ARP欺骗欺骗ARP欺骗攻击的原理是因为计算机中维欺骗攻击的原理是因为计算机中维护着一个护着一个ARP高速缓存，并且这个高速缓存，并且这个ARP高速缓高速缓存是随着计算机不断地发出存是随着计算机不断地发出ARP请求和收到请求和收到ARP响应而不断地更新的。响应而不断地更新的。ARP协议如何找出新加入本地网络的主机的协议如何找出新加入本地网络的主机的物理地址？物理地址？第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2018182.4 2.4 ARPARP协议安全协议安全【案例【案例】假设

14、网络中存在假设网络中存在A、B、C、D四台主机，利用交换四台主机，利用交换机连接。现在恶意主机机连接。现在恶意主机C试图获得试图获得A与与B之间的通信，之间的通信，如何进行如何进行ARP欺骗攻击？欺骗攻击？第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2019192.5 IP2.5 IP协议安全协议安全IP头的结构头的结构版本（4位）头长度（4位）服务类型（8位）封包总长度（16位）封包标识（16位）标志（3位）片断偏移地址（13位）存活时间（8位）协议（8位）校验和（16位）来源IP地址（32位）目的IP地址（32位）选项（可选）填充（可选）填充（可选）数据

15、第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2020202.5 IP2.5 IP协议安全协议安全IP地址欺骗地址欺骗u 直接更改本机的直接更改本机的IP地址为别的主机的地址为别的主机的IP地址地址;u用假的用假的IP地址构造地址构造IP数据包发送出去。数据包发送出去。伪造伪造IPIP地址攻击地址攻击第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-202121IP分组、重组算法安全分组、重组算法安全利用典型过滤器的行为和利用典型过滤器的行为和IP分组、重组算法，分组、重组算法，通过制造一些特定的包分组来使得不合法的通过制造一些特

16、定的包分组来使得不合法的IP 数据报通过防火墙。数据报通过防火墙。1.极小碎片攻击极小碎片攻击2.IP碎片攻击碎片攻击2.5 IP2.5 IP协议安全协议安全第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2022222.62.6 ICMP ICMP协议安全协议安全ICMP数据报格式数据报格式第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2023232.62.6 ICMP ICMP协议安全协议安全Ping命令的数据报：命令的数据报：第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2024241.P

17、ing隐蔽传送通道隐蔽传送通道2.ECHO类型的类型的ICMP允许提供数据选项，允许提供数据选项，没有设备检查填充域的内容，被攻击者利用以隐蔽方式传递没有设备检查填充域的内容，被攻击者利用以隐蔽方式传递数据。数据。2.滥用滥用ICMP“目的地不可达目的地不可达”数据包数据包侵袭者不断发出侵袭者不断发出“需要分段和需要分段和DF设置设置”包扰乱网络。包扰乱网络。3.滥用滥用ICMP“源抑制源抑制”包包发送过量伪造的发送过量伪造的“源抑制源抑制”包会引起严重的数据流通问题。包会引起严重的数据流通问题。4.滥滥ICMP“更改地址更改地址”包包5.侵袭者利用侵袭者利用IP地址欺骗和正确的地址欺骗和正确

18、的ICMP“更更改地址改地址”包侵入网络和路由器来改变他们所用的路径。包侵入网络和路由器来改变他们所用的路径。2.62.6 ICMP ICMP协议安全协议安全第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2025252.62.6 ICMP ICMP协议安全协议安全5.ECHO拒绝服务攻击拒绝服务攻击第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2026262.7 2.7 DNSDNS安全安全 1 DNS的功能及组成的功能及组成DNS协议的最基本的功能是对主机名与对应的协议的最基本的功能是对主机名与对应的IP地址之间建立映射关系

19、。地址之间建立映射关系。使用主机名（域名）比直接使用使用主机名（域名）比直接使用IP地址具有以下地址具有以下两点好处：两点好处：机名便于记忆；机名便于记忆；数字形式的数字形式的IP地址可能会由于各种原因而改地址可能会由于各种原因而改变，而主机名可以保持不变。变，而主机名可以保持不变。第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-202727 Internet的域名结构的域名结构 第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2028282.7 2.7 DNSDNS安全安全2 DNS的解析过程的解析过程 假设客户端假设客户端We

20、b浏览器要访问网站浏览器要访问网站，整个，整个访问过程访问过程:对对的访问过程的访问过程 第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2029291缓存中毒缓存中毒 DNS缓存中毒利用了缓存中毒利用了DNS缓存机制，在缓存机制，在DNS服务器的服务器的缓存中存入大量错误的数据记录主动供用户查询。由于缓缓存中存入大量错误的数据记录主动供用户查询。由于缓存中大量错误的记录是攻击者伪造的，而伪造者可能会根存中大量错误的记录是攻击者伪造的，而伪造者可能会根据不同的意图伪造不同的记录，例如将查询指向某一个特据不同的意图伪造不同的记录，例如将查询指向某一个特定的服务器，

21、使所有通过该定的服务器，使所有通过该DNS查询的用户都访问某一个查询的用户都访问某一个网站的主页；或将所有的邮件指向某一台邮件服务器，拦网站的主页；或将所有的邮件指向某一台邮件服务器，拦截利用该截利用该DNS进行解析的邮件，等等。进行解析的邮件，等等。由于由于DNS服务器之间会进行记录的同步复制，所以在服务器之间会进行记录的同步复制，所以在TTL内，缓存中毒的内，缓存中毒的DNS服务器有可能将错误的记录发送服务器有可能将错误的记录发送给其他的给其他的DNS服务器，导致更多的服务器，导致更多的DNS服务器中毒。服务器中毒。DNSDNS的安全问题的安全问题第第2 2章章 网络安全协议基础网络安全协

22、议基础2023-8-202023-8-2030302.7 2.7 DNSDNS安全安全2 拒绝服务攻击拒绝服务攻击 DNS服务器在互联网中的关键作用使它很容易成为服务器在互联网中的关键作用使它很容易成为攻击者进行攻击的目标，加上攻击者进行攻击的目标，加上DNS服务器对大量的攻击服务器对大量的攻击没有相应的防御能力，所以攻击过程很容易实现，且造没有相应的防御能力，所以攻击过程很容易实现，且造成的后果非常严重。现在使用的成的后果非常严重。现在使用的DNS采用了树型结构，采用了树型结构，一旦一旦DNS服务器不能提供服务，其所辖的子域都将无法服务器不能提供服务，其所辖的子域都将无法解析客户端的域名查询

23、请求。解析客户端的域名查询请求。针对针对DNS服务器的拒绝服务攻击方式：服务器的拒绝服务攻击方式：直接攻击直接攻击DNS服务器；服务器；利用利用DNS服务器作为服务器作为“中间人中间人”去攻击网络中的其他主机。去攻击网络中的其他主机。第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2031312.7 2.7 DNSDNS安全安全3 域名劫持域名劫持 域名劫持通常是指通过采用非法手段获得某一个域名域名劫持通常是指通过采用非法手段获得某一个域名管理员的账户和密码，或者域名管理邮箱，然后将该域名管理员的账户和密码，或者域名管理邮箱，然后将该域名的的IP地址指向其他的主

24、机（该主机的地址指向其他的主机（该主机的IP地址有可能不存地址有可能不存在）。域名被劫持后，不仅有关该域名的记录会被改变，在）。域名被劫持后，不仅有关该域名的记录会被改变，甚至该域名的所有权可能会落到其他人的手里。甚至该域名的所有权可能会落到其他人的手里。【2001年年3月月25日，日，电子商务网站遭到域名劫持攻击电子商务网站遭到域名劫持攻击】第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-203232DNSDNS安全扩展（安全扩展（DNSSECDNSSEC）1 DNSSEC的基本原理的基本原理 域名系统安全扩展（域名系统安全扩展（DNSSEC）是在原有的域名）

25、是在原有的域名系统（系统（DNS）上通过公钥技术，对）上通过公钥技术，对DNS中的信息进行数中的信息进行数字签名，从而提供字签名，从而提供DNS的安全认证和信息完整性检验。的安全认证和信息完整性检验。具体原理为：具体原理为：发送方发送方：首先使用：首先使用Hash函数对要发送的函数对要发送的DNS信息进行信息进行计算，得到固定长度的计算，得到固定长度的“信息摘要信息摘要”；然后对；然后对“信息摘信息摘要要”用私钥进行加密，此过程实现了对用私钥进行加密，此过程实现了对“信息摘要信息摘要”的的数字签名；最后将要发送的数字签名；最后将要发送的DNS信息、该信息、该DNS信息的信息的“信息摘要信息摘要

26、”以及该以及该“信息摘要信息摘要”的数字签名，一起发的数字签名，一起发送出来。送出来。第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-203333DNSDNS安全扩展（安全扩展（DNSSECDNSSEC）接收方接收方：首先采用公钥系统中的对应公钥对接收到：首先采用公钥系统中的对应公钥对接收到的的“信息摘要信息摘要”的数字签名进行解密，得到解密后的数字签名进行解密，得到解密后的的“信息摘要信息摘要”；接着用与发送方相同的；接着用与发送方相同的Hash函函数对接收到的数对接收到的DNS信息进行运算，得到运算后的信息进行运算，得到运算后的“信息摘要信息摘要”；最后，对

27、解密后的；最后，对解密后的“信息摘要信息摘要”和运算后的和运算后的“信息摘要信息摘要”进行比较，如果两者的值进行比较，如果两者的值相同，就可以确认接收到的相同，就可以确认接收到的DNS信息是完整的，即信息是完整的，即是由正确的是由正确的DNS服务器得到的响应。服务器得到的响应。第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2034342 DNSSEC的工作机制的工作机制 DNSSEC系统的查询系统的查询和应答过程和应答过程 DNSDNS安全扩展（安全扩展（DNSSECDNSSEC）第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-

28、2035353 DNSSEC的应用现状的应用现状 DNSSEC作为对目前作为对目前DNS的安全扩展，可有效地防范的安全扩展，可有效地防范DNS存在的各种攻击，保证客户端收到的存在的各种攻击，保证客户端收到的DNS记录的真记录的真实性和完整性。此外，实性和完整性。此外，DNSSEC与原有的与原有的DNS具有向下具有向下的兼容性，在实现上具有可行性。但是，由于的兼容性，在实现上具有可行性。但是，由于Internet的的特殊性，就像从特殊性，就像从IPv4到到IPv6的迁移一样，从的迁移一样，从DNS到到DNSSEC的转换不可能在短期内完成，需要一个渐进的的转换不可能在短期内完成，需要一个渐进的过程

29、。可以先有针对性地建立一些安全区域，如过程。可以先有针对性地建立一些安全区域，如cn、.net等，然后再向其他区域扩展。当整个等，然后再向其他区域扩展。当整个Internet部署了部署了DNSSEC后，所有的信任将集中到根域下。后，所有的信任将集中到根域下。DNSDNS安全扩展（安全扩展（DNSSECDNSSEC）第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2036362.8 DHCP2.8 DHCP安全安全 DHCP的工作过程：的工作过程：第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-203737DHCPDHCP的安全问题

30、的安全问题 在通过在通过DHCP提供客户端提供客户端IP地址等信息分配的网络地址等信息分配的网络中存在着一个非常大的安全隐患：中存在着一个非常大的安全隐患：当一台运行有当一台运行有DHCP客户端程序的计算机连接到客户端程序的计算机连接到网络中时，即使是一个没有权限使用网络的非法用户网络中时，即使是一个没有权限使用网络的非法用户也能很容易地从也能很容易地从DHCP服务器获得一个服务器获得一个IP地址及网关、地址及网关、DNS等信息，成为网络的合法使用者。等信息，成为网络的合法使用者。第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-203838DHCPDHCP的安全

31、问题的安全问题 由于由于DHCP客户端在获得客户端在获得DHCP服务器的服务器的IP地址等地址等信息时，系统没有提供对合法信息时，系统没有提供对合法DHCP服务器的认证，所服务器的认证，所以以DHCP客户端从首先得到客户端从首先得到DHCP响应（响应（DHCPOFFER）的的DHCP服务器处获得服务器处获得IP地址等信息地址等信息。非法非法DHCP服务器服务器p客户机无法实现正常的网络连接；客户机无法实现正常的网络连接；pIP地址冲突；地址冲突；p整个网络处于混乱状态整个网络处于混乱状态 第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-203939非法DHCP服

32、务器的工作原理 第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-204040非法非法DHCPDHCP服务器的防范服务器的防范 1.使用使用DHCP Snooping信任端口信任端口1.DHCP Snooping能够过滤来自网络中非法能够过滤来自网络中非法DHCP服务器或其他设备的非信任服务器或其他设备的非信任DHCP响应报文。响应报文。2.将交换机的某一端口设置为指向将交换机的某一端口设置为指向正确正确DHCP服务服务器器的接入端口。的接入端口。2.在在DHCP服务器上进行服务器上进行IP与与MAC地址的绑定地址的绑定在在DHCP服务器上绑定客户端计算机服务器上绑定客户端计算机IP地址与地址与MAC地址。地址。第第2 2章章 网络安全协议基础网络安全协议基础2023-8-202023-8-2041412.9 2.9 以太网协议安全以太网协议安全1.限制网络规模的大小限制网络规模的大小使用路由器，将一个大的网络分割成多个子网。使用路由器，将一个大的网络分割成多个子网。使用网络交换技术，在服务器与其他机器之间配使用网络交换技术，在服务器与其他机器之间配置一个交换式的集线器。置一个交换式的集线器。2.使用加密技术使用加密技术应用层加密应用层加密在在IP层加密层加密3.设置好的物理安全措施设置好的物理安全措施