第10章網(wǎng)絡(luò)安全

1、10.1 概述概述10.2 常見(jiàn)的攻擊技術(shù)常見(jiàn)的攻擊技術(shù)10.3 數(shù)據(jù)加密數(shù)據(jù)加密10.4 防火墻技術(shù)防火墻技術(shù)10.5 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)黑客攻擊黑客攻擊TCP/IPTCP/IP協(xié)議協(xié)議操作系統(tǒng)操作系統(tǒng)計(jì)算機(jī)病毒計(jì)算機(jī)病毒準(zhǔn)備工作準(zhǔn)備工作實(shí)施攻擊實(shí)施攻擊開(kāi)辟后門(mén)開(kāi)辟后門(mén)清除痕跡清除痕跡 網(wǎng)絡(luò)掃描技術(shù)是一種基于網(wǎng)絡(luò)掃描技術(shù)是一種基于InternetInternet遠(yuǎn)程檢測(cè)遠(yuǎn)程檢測(cè)目標(biāo)網(wǎng)絡(luò)或本地主機(jī)安全性脆弱點(diǎn)的技術(shù)。目標(biāo)網(wǎng)絡(luò)或本地主機(jī)安全性脆弱點(diǎn)的技術(shù)。 掃描技術(shù)是一把雙刃劍掃描技術(shù)是一把雙刃劍 。 典型的掃描技術(shù)包括：典型的掃描技術(shù)包括：PINGPING掃描、操作系統(tǒng)掃描、操作系統(tǒng)探測(cè)

2、、穿透防火墻探測(cè)、端口掃描、漏洞掃描探測(cè)、穿透防火墻探測(cè)、端口掃描、漏洞掃描等。等。 1.端口掃描端口掃描 端口掃描，顧名思義，就是逐個(gè)對(duì)一段端端口掃描，顧名思義，就是逐個(gè)對(duì)一段端口或指定的端口進(jìn)行掃描?？诨蛑付ǖ亩丝谶M(jìn)行掃描。 端口掃描的原理：手動(dòng)或用程序自動(dòng)的向端口掃描的原理：手動(dòng)或用程序自動(dòng)的向目標(biāo)主機(jī)的各個(gè)端口發(fā)送不同的探測(cè)數(shù)據(jù)包，目標(biāo)主機(jī)的各個(gè)端口發(fā)送不同的探測(cè)數(shù)據(jù)包，目標(biāo)主機(jī)的端口狀態(tài)不同，對(duì)這些探測(cè)包的回目標(biāo)主機(jī)的端口狀態(tài)不同，對(duì)這些探測(cè)包的回應(yīng)包就有所不同，分析這些回應(yīng)包，就可得出應(yīng)包就有所不同，分析這些回應(yīng)包，就可得出遠(yuǎn)程主機(jī)的端口開(kāi)放情況。遠(yuǎn)程主機(jī)的端口開(kāi)放情況。 1.端口

3、掃描端口掃描 （1）全連接掃描）全連接掃描 全連接掃描指在掃描主機(jī)同目標(biāo)主機(jī)的目全連接掃描指在掃描主機(jī)同目標(biāo)主機(jī)的目標(biāo)端口之間，經(jīng)過(guò)三次握手，建立起一個(gè)完整標(biāo)端口之間，經(jīng)過(guò)三次握手，建立起一個(gè)完整的的TCP連接來(lái)判斷目標(biāo)端口是否開(kāi)放的方法。連接來(lái)判斷目標(biāo)端口是否開(kāi)放的方法。常見(jiàn)的全連接掃描方法有常見(jiàn)的全連接掃描方法有TCP Connect()掃描、掃描、TCP反向反向ident掃描等。掃描等。 1.端口掃描端口掃描 （2）半連接掃描）半連接掃描 半連接掃描指端口掃描并沒(méi)有完成一個(gè)完半連接掃描指端口掃描并沒(méi)有完成一個(gè)完整的整的TCP連接，而是在掃描主機(jī)和目標(biāo)主機(jī)建連接，而是在掃描主機(jī)和目標(biāo)主機(jī)建

4、立此連接時(shí)，只完成三次握手的前兩次握手便立此連接時(shí)，只完成三次握手的前兩次握手便中斷連接。例：中斷連接。例：TCP SYN掃描。掃描。 1.端口掃描端口掃描 （3）秘密掃描）秘密掃描 秘密掃描是一種審計(jì)工具所檢測(cè)不到的掃秘密掃描是一種審計(jì)工具所檢測(cè)不到的掃描技術(shù)。常見(jiàn)的秘密掃描有：描技術(shù)。常見(jiàn)的秘密掃描有：TCP FIN掃描、掃描、TCP ACK掃描、掃描、NULL掃描、掃描、XMAS掃描、掃描、TCP分段掃描等。分段掃描等。 2.漏洞掃描漏洞掃描 系統(tǒng)安全漏洞也叫系統(tǒng)脆弱性，簡(jiǎn)稱(chēng)漏洞，系統(tǒng)安全漏洞也叫系統(tǒng)脆弱性，簡(jiǎn)稱(chēng)漏洞，是計(jì)算機(jī)系統(tǒng)在硬件、軟件、協(xié)議的設(shè)計(jì)和實(shí)是計(jì)算機(jī)系統(tǒng)在硬件、軟件、協(xié)議

5、的設(shè)計(jì)和實(shí)現(xiàn)過(guò)程中或系統(tǒng)安全策略上存在的缺陷和不足?，F(xiàn)過(guò)程中或系統(tǒng)安全策略上存在的缺陷和不足。 2.漏洞掃描漏洞掃描 （1）基于漏洞庫(kù)的掃描：在端口掃描后得知）基于漏洞庫(kù)的掃描：在端口掃描后得知目標(biāo)主機(jī)開(kāi)啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，目標(biāo)主機(jī)開(kāi)啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與漏洞掃描系統(tǒng)提供的漏洞庫(kù)將這些相關(guān)信息與漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿(mǎn)足匹配條件的漏洞存進(jìn)行匹配，查看是否有滿(mǎn)足匹配條件的漏洞存在。在。2.漏洞掃描漏洞掃描 （2）基于模擬攻擊的掃描：通過(guò)模擬黑客的）基于模擬攻擊的掃描：通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全攻擊手法，對(duì)目標(biāo)主機(jī)

6、系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等。若模擬攻擊成漏洞掃描，如測(cè)試弱勢(shì)口令等。若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。 網(wǎng)絡(luò)監(jiān)聽(tīng)也叫網(wǎng)絡(luò)嗅探，其英文名是網(wǎng)絡(luò)監(jiān)聽(tīng)也叫網(wǎng)絡(luò)嗅探，其英文名是Sniffing，即是一種捕獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包并，即是一種捕獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包并進(jìn)行分析的行為。進(jìn)行分析的行為。 一般而言，網(wǎng)絡(luò)監(jiān)聽(tīng)都是在局域網(wǎng)進(jìn)行的。一般而言，網(wǎng)絡(luò)監(jiān)聽(tīng)都是在局域網(wǎng)進(jìn)行的。按照信息交換方式的不同，局域網(wǎng)可分為共享按照信息交換方式的不同，局域網(wǎng)可分為共享式局域網(wǎng)和交換式局域網(wǎng)。式局域網(wǎng)和交換式局域網(wǎng)。http:/ http:/ http:/

7、 http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/www.xunchi- http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ / http:/ http:/ http:/ http:/ http:/ http:/ 共享式局域網(wǎng)是指網(wǎng)絡(luò)中的所有節(jié)點(diǎn)共享共享式局域網(wǎng)是指網(wǎng)絡(luò)中的所有節(jié)點(diǎn)共享網(wǎng)絡(luò)帶寬，最典型的是用集線(xiàn)器

8、（網(wǎng)絡(luò)帶寬，最典型的是用集線(xiàn)器（HUB）連接）連接的局域網(wǎng)。的局域網(wǎng)。 交換式局域網(wǎng)，指采用了交換技術(shù)的網(wǎng)絡(luò)，交換式局域網(wǎng)，指采用了交換技術(shù)的網(wǎng)絡(luò)，最典型的是用交換機(jī)連接的局域網(wǎng)。最典型的是用交換機(jī)連接的局域網(wǎng)。 （1）MAC Flooding 由于交換機(jī)工作時(shí)依據(jù)內(nèi)存中的端口映射由于交換機(jī)工作時(shí)依據(jù)內(nèi)存中的端口映射表轉(zhuǎn)發(fā)數(shù)據(jù)包，而交換機(jī)本身的內(nèi)存容量是有表轉(zhuǎn)發(fā)數(shù)據(jù)包，而交換機(jī)本身的內(nèi)存容量是有限的，當(dāng)內(nèi)存耗盡時(shí)，一些交換機(jī)便會(huì)將數(shù)據(jù)限的，當(dāng)內(nèi)存耗盡時(shí)，一些交換機(jī)便會(huì)將數(shù)據(jù)包以廣播形式發(fā)送出去。所以，通過(guò)在局域網(wǎng)包以廣播形式發(fā)送出去。所以，通過(guò)在局域網(wǎng)上發(fā)送大量虛假的上發(fā)送大量虛假的MAC地址

9、，以造成交換機(jī)的地址，以造成交換機(jī)的內(nèi)存耗盡，此時(shí)可以和監(jiān)聽(tīng)共享式網(wǎng)絡(luò)一樣進(jìn)內(nèi)存耗盡，此時(shí)可以和監(jiān)聽(tīng)共享式網(wǎng)絡(luò)一樣進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)。行網(wǎng)絡(luò)監(jiān)聽(tīng)。（2）ARP欺騙欺騙 ARP協(xié)議的作用是將協(xié)議的作用是將IP地址映射到地址映射到MAC地地址，攻擊者通過(guò)向目標(biāo)主機(jī)發(fā)送偽造的址，攻擊者通過(guò)向目標(biāo)主機(jī)發(fā)送偽造的ARP應(yīng)應(yīng)答包，騙取目標(biāo)系統(tǒng)更新答包，騙取目標(biāo)系統(tǒng)更新ARP表，將目標(biāo)系統(tǒng)表，將目標(biāo)系統(tǒng)的網(wǎng)關(guān)的的網(wǎng)關(guān)的MAC地址修改為發(fā)起攻擊的主機(jī)地址修改為發(fā)起攻擊的主機(jī)MAC地址，使發(fā)給目標(biāo)主機(jī)的數(shù)據(jù)包都經(jīng)由攻擊者地址，使發(fā)給目標(biāo)主機(jī)的數(shù)據(jù)包都經(jīng)由攻擊者的主機(jī)。這樣，就可以在交換式網(wǎng)絡(luò)下監(jiān)聽(tīng)特的主機(jī)。這樣，就可

10、以在交換式網(wǎng)絡(luò)下監(jiān)聽(tīng)特定的目標(biāo)主機(jī)。定的目標(biāo)主機(jī)。1.1.拒絕服務(wù)攻擊的原理拒絕服務(wù)攻擊的原理 網(wǎng)絡(luò)安全中，拒絕服務(wù)（網(wǎng)絡(luò)安全中，拒絕服務(wù)（Denial of Service，簡(jiǎn)稱(chēng)簡(jiǎn)稱(chēng)DoS）攻擊以其危害巨大，難以防御等特點(diǎn)）攻擊以其危害巨大，難以防御等特點(diǎn)成為黑客經(jīng)常采用的攻擊手段。成為黑客經(jīng)常采用的攻擊手段。DoS指系統(tǒng)崩潰指系統(tǒng)崩潰或其帶寬耗盡或其存儲(chǔ)空間已滿(mǎn)，導(dǎo)致其不能或其帶寬耗盡或其存儲(chǔ)空間已滿(mǎn)，導(dǎo)致其不能提供正常服務(wù)的狀態(tài)。提供正常服務(wù)的狀態(tài)。 1.1.拒絕服務(wù)攻擊的原理拒絕服務(wù)攻擊的原理 DoS攻擊的基本過(guò)程為：首先攻擊者向目攻擊的基本過(guò)程為：首先攻擊者向目標(biāo)服務(wù)器發(fā)送眾多的帶有

11、虛假地址的請(qǐng)求，服標(biāo)服務(wù)器發(fā)送眾多的帶有虛假地址的請(qǐng)求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，是偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請(qǐng)求的資源就始終沒(méi)有被釋放。當(dāng)分配給這次請(qǐng)求的資源就始終沒(méi)有被釋放。當(dāng)服務(wù)器等待一定的時(shí)間后，連接會(huì)因超時(shí)而被服務(wù)器等待一定的時(shí)間后，連接會(huì)因超時(shí)而被切斷，攻擊者會(huì)再度傳送新的一批請(qǐng)求，在這切斷，攻擊者會(huì)再度傳送新的一批請(qǐng)求，在這種反復(fù)發(fā)送偽地址請(qǐng)求的情況下，服務(wù)器資源種反復(fù)發(fā)送偽地址請(qǐng)求的情況下，服務(wù)器資源最終會(huì)被耗盡。最終會(huì)被耗盡。1.1.拒絕服務(wù)攻擊的原理拒絕

12、服務(wù)攻擊的原理 分布式拒絕服務(wù)（分布式拒絕服務(wù)（Distributed Denial of Service，簡(jiǎn)稱(chēng)，簡(jiǎn)稱(chēng)DDoS）攻擊，是一種）攻擊，是一種DoS攻擊的攻擊的特殊形式，是一種分布、協(xié)作的大規(guī)模攻擊方特殊形式，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，象商業(yè)公司，搜式，主要瞄準(zhǔn)比較大的站點(diǎn)，象商業(yè)公司，搜索引擎和政府部門(mén)的站點(diǎn)。索引擎和政府部門(mén)的站點(diǎn)。 1.1.拒絕服務(wù)攻擊的原理拒絕服務(wù)攻擊的原理 分布式拒絕服務(wù)（分布式拒絕服務(wù)（Distributed Denial of Service，簡(jiǎn)稱(chēng)，簡(jiǎn)稱(chēng)DDoS）攻擊，是一種）攻擊，是一種DoS攻擊的攻擊的特殊形式，是一種

13、分布、協(xié)作的大規(guī)模攻擊方特殊形式，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，象商業(yè)公司，搜式，主要瞄準(zhǔn)比較大的站點(diǎn)，象商業(yè)公司，搜索引擎和政府部門(mén)的站點(diǎn)。索引擎和政府部門(mén)的站點(diǎn)。 http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/www.xunchi- http:/ http:/ http:/ http:/ http:/ http:/ http:/ http:/ htt

14、p:/ / http:/ http:/ http:/ http:/ http:/ http:/ 2.2.典型拒絕服務(wù)攻擊方法典型拒絕服務(wù)攻擊方法（1）LAND攻擊攻擊 （2）SYN洪水攻擊洪水攻擊 （3）UDP洪水攻擊洪水攻擊 （4）Fraggle攻擊攻擊 （5）Tear Drop（淚滴）攻擊（淚滴）攻擊 （6）Ping-of-death（7）Smurf This is a book!#$%&*()-This is a book!#$%&*()-加密解密1.1.秘密鑰匙加密秘密鑰匙加密This is a book! #$%&*()-

15、This is a book! #$%&*()-加 密解 密秘 密 鑰 匙2.2.公用鑰匙加密公用鑰匙加密This is a book! #$% & *()-This is a book! #$% & *()-加 密解 密私 有 鑰 匙公 用 鑰 匙 Hash Hash函數(shù)又名信息摘要（函數(shù)又名信息摘要（Message DigestMessage Digest）函數(shù)，可將一任意長(zhǎng)度的信息濃縮為較短的固定函數(shù)，可將一任意長(zhǎng)度的信息濃縮為較短的固定長(zhǎng)度的數(shù)據(jù)。其特點(diǎn)如下：長(zhǎng)度的數(shù)據(jù)。其特點(diǎn)如下： 濃縮結(jié)果與源信息密切相關(guān)，源信息每一微濃縮結(jié)果與源信息密切相關(guān)，源信息每一微小

16、變化，都會(huì)使?jié)饪s結(jié)果發(fā)生巨變。小變化，都會(huì)使?jié)饪s結(jié)果發(fā)生巨變。 Hash Hash函數(shù)所生成的映射關(guān)系是多對(duì)一關(guān)系，函數(shù)所生成的映射關(guān)系是多對(duì)一關(guān)系，因此無(wú)法由濃縮結(jié)果推算出源信息。因此無(wú)法由濃縮結(jié)果推算出源信息。 運(yùn)算效率較高。運(yùn)算效率較高。 完整性（完整性（IntegrityIntegrity）驗(yàn)證用于確認(rèn)數(shù)據(jù)）驗(yàn)證用于確認(rèn)數(shù)據(jù)經(jīng)長(zhǎng)途勞頓、長(zhǎng)期保存后是否仍然保持原樣，經(jīng)長(zhǎng)途勞頓、長(zhǎng)期保存后是否仍然保持原樣，不曾改變。不曾改變。 驗(yàn)證數(shù)據(jù)完整性的一般方法是用驗(yàn)證數(shù)據(jù)完整性的一般方法是用HashHash函數(shù)函數(shù)對(duì)原數(shù)據(jù)進(jìn)行處理，產(chǎn)生一組長(zhǎng)度固定（例如對(duì)原數(shù)據(jù)進(jìn)行處理，產(chǎn)生一組長(zhǎng)度固定（例如32

17、bit32bit）的摘要值。需要驗(yàn)證時(shí)，便重新計(jì)算）的摘要值。需要驗(yàn)證時(shí)，便重新計(jì)算摘要值，再與原驗(yàn)證值進(jìn)行比對(duì)，以判別數(shù)據(jù)摘要值，再與原驗(yàn)證值進(jìn)行比對(duì)，以判別數(shù)據(jù)是否發(fā)生了變化。是否發(fā)生了變化。郵件內(nèi)容郵件內(nèi)容驗(yàn)證值密文乙（收）方驗(yàn)證值驗(yàn)證值密文郵件內(nèi)容驗(yàn)證值密文發(fā)件驗(yàn)證值收件驗(yàn)證值比對(duì)甲（發(fā)）方操作流程乙（收）方操作流程Hash處理Hash處理傳送私匙加密公匙解密+Intranet防火墻Internet防火墻的主要功能如下：防火墻的主要功能如下：（1）過(guò)濾不安全服務(wù)和非法用戶(hù)，禁止未授權(quán)）過(guò)濾不安全服務(wù)和非法用戶(hù)，禁止未授權(quán)的用戶(hù)訪(fǎng)問(wèn)受保護(hù)網(wǎng)絡(luò)。的用戶(hù)訪(fǎng)問(wèn)受保護(hù)網(wǎng)絡(luò)。（2）控制對(duì)特殊站點(diǎn)的

18、訪(fǎng)問(wèn)。）控制對(duì)特殊站點(diǎn)的訪(fǎng)問(wèn)。（3）提供監(jiān)視）提供監(jiān)視Internet安全和預(yù)警的端點(diǎn)。安全和預(yù)警的端點(diǎn)。1.1.網(wǎng)絡(luò)級(jí)防火墻網(wǎng)絡(luò)級(jí)防火墻 網(wǎng)絡(luò)級(jí)防火墻也稱(chēng)包過(guò)濾防火墻，通常由一網(wǎng)絡(luò)級(jí)防火墻也稱(chēng)包過(guò)濾防火墻，通常由一部路由器或一部充當(dāng)路由器的計(jì)算機(jī)組成。部路由器或一部充當(dāng)路由器的計(jì)算機(jī)組成。 2.2.應(yīng)用級(jí)防火墻應(yīng)用級(jí)防火墻 應(yīng)用級(jí)防火墻通常指運(yùn)行代理（應(yīng)用級(jí)防火墻通常指運(yùn)行代理（ProxyProxy）服）服務(wù)器軟件的一部計(jì)算機(jī)主機(jī)。務(wù)器軟件的一部計(jì)算機(jī)主機(jī)。 3.3.電路級(jí)防火墻電路級(jí)防火墻 電路級(jí)防火墻也稱(chēng)電路層網(wǎng)關(guān)，是一個(gè)具有電路級(jí)防火墻也稱(chēng)電路層網(wǎng)關(guān)，是一個(gè)具有特殊功能的防火墻，它可以

19、由應(yīng)用層網(wǎng)關(guān)來(lái)完特殊功能的防火墻，它可以由應(yīng)用層網(wǎng)關(guān)來(lái)完成。電路層網(wǎng)關(guān)只依賴(lài)于成。電路層網(wǎng)關(guān)只依賴(lài)于TCPTCP連接，并不進(jìn)行任連接，并不進(jìn)行任何附加的包處理或過(guò)濾。何附加的包處理或過(guò)濾。4.4.狀態(tài)監(jiān)測(cè)防火墻狀態(tài)監(jiān)測(cè)防火墻 與上述防火墻技術(shù)相比，狀態(tài)監(jiān)測(cè)防火墻是與上述防火墻技術(shù)相比，狀態(tài)監(jiān)測(cè)防火墻是新一代的技術(shù)。新一代的技術(shù)。 1.1.雙宿主機(jī)網(wǎng)關(guān)雙宿主機(jī)網(wǎng)關(guān)1 2 3 4 5 67 8 91 0 1 1 12AB12x6 x8x2x9x3x1 0 x4x11x5x7x1xE thern etA12x6 x8x2x9x3x1 0 x4 x11x5x7x1xCInternet內(nèi)網(wǎng)雙宿堡壘主機(jī)2.2.屏蔽主機(jī)網(wǎng)關(guān)屏蔽主機(jī)網(wǎng)關(guān) 1 2 3 4 5 67 8 91 0 1 1 12AB12x6 x8x2x9x3x1 0 x4x11x5x7x1xE thern etA12x6 x8x2x9x3x1 0 x4 x11x5x7x1xCInternet內(nèi)網(wǎng)單宿堡壘主機(jī)2.2.屏蔽主機(jī)網(wǎng)關(guān)屏蔽主機(jī)網(wǎng)關(guān) 1 2