【正文】 ++++++++++++++++++++++++++++ | 源地址 | +++++++++++++++++++++++++++++++++ | 目的地址 | +++++++++++++++++++++++++++++++++ | 選項(xiàng) | 填空 | +++++++++++++++++++++++++++++++++ 128 網(wǎng)絡(luò)層的安全威脅 IP 欺騙 Inter 控制信息協(xié)議 (ICMP) 129 IP 欺騙（一） 黑客經(jīng)常利用一種叫做 IP 欺騙的技術(shù)，把源 IP 地址替換成 —個(gè)錯(cuò)誤的 IP 地址。接收主機(jī)不能判斷源 IP 地址是不正確的 使用 IP 欺騙的一種攻擊很有名的一種是 Smurf攻擊 Smurf 攻擊是 —種拒絕服務(wù)攻擊 130 IP 欺騙（二） 一個(gè) Smurf 攻擊向大量的遠(yuǎn)程主機(jī)發(fā)送一系列的 ping 請(qǐng)求命令 。 黑客把源 IP 地址換成想要攻擊目標(biāo)主機(jī)的 IP 地址 。 所有的遠(yuǎn)程計(jì)算機(jī)都響應(yīng)這些 ping 請(qǐng)求 ， 然后對(duì)目標(biāo)地址進(jìn)行回復(fù)而不是回復(fù)給攻擊者的 IP 地址用 。 目標(biāo) IP 地址將被大量的 ICMP 包淹沒(méi)而不能有效的工作 防御：為了防止黑客利用你的網(wǎng)絡(luò)攻擊他人 ， 關(guān)閉外部路由器或防火墻的廣播地址特性 。 為防止被攻擊 ，在防火墻上設(shè)置規(guī)則 ， 丟棄掉 ICMP包 。 iptables –a INPUT –p icmp –j DROP 131 Inter 控制信息協(xié)議 (ICMP) 當(dāng)用戶 ping 一臺(tái)主機(jī)想看它是否運(yùn)行時(shí)，用戶端就正在產(chǎn)生了一條 ICMP 信息。遠(yuǎn)程主機(jī)將用它自己的 ICMP 信息對(duì) ping 請(qǐng)求作出回應(yīng)。這種過(guò)程在多數(shù)網(wǎng)絡(luò)中不成問(wèn)題。然而， ICMP 信息能夠被用于攻擊遠(yuǎn)程網(wǎng)絡(luò)或主機(jī) 132 網(wǎng)絡(luò)層的安全協(xié)議 網(wǎng)絡(luò)層安全協(xié)議的共同點(diǎn)： 使用 IP 封裝技術(shù)，即將純文本的包加密 ,封在外層的 IP 報(bào)頭里，用來(lái)對(duì)加密的包進(jìn)行INTERNET上的路由選擇。到達(dá)另一端，外層的 IP報(bào)頭被拆開(kāi)，報(bào)文被解密，然后送到收?qǐng)?bào)地點(diǎn) 。 Ipsec的主要目的是使需要安全措施的用戶能夠使用相應(yīng)的加密安全體制 133 IPSEC IP AH 提供 IP包的真實(shí)性和完整性 認(rèn)證頭指一段消息認(rèn)證代碼 MAC (Message Authentication Code) 加解密算法 SHA1， 取代 MD5 IP ESP 封裝安全有效負(fù)荷 根據(jù)不同的應(yīng)用級(jí)別，對(duì)整個(gè) IP包進(jìn)行封裝加密，或者只對(duì) ESP上層協(xié)議的數(shù)據(jù) (傳輸層 )進(jìn)行封裝加密。 加解密算法采用 DES3， 取代 DES 加解密涉及到相應(yīng)的加解密密鑰管理 IKMP， IPSEC采用 OAKLEY作為 ISAKMP的主要密鑰管理協(xié)議。 134 網(wǎng)絡(luò)層的安全性 主要優(yōu)點(diǎn)：透明性，也就是說(shuō)，安全服務(wù)的提供不需要應(yīng)用程序、其他通信層次和網(wǎng)絡(luò)部件做任何改動(dòng) 主要缺點(diǎn)：網(wǎng)絡(luò)層一般對(duì)屬于不同進(jìn)程和相應(yīng)條例的包不作區(qū)別。對(duì)所有去往同一地址的包，它將按照同樣的加密密鑰和訪問(wèn)控制策略來(lái)處理。這可能導(dǎo)致提供不了所需的功能，也會(huì)導(dǎo)致性能下降 135 網(wǎng)絡(luò)層的安全威脅 網(wǎng)絡(luò)分段 網(wǎng)絡(luò)安全掃描技術(shù) 入侵檢測(cè)技術(shù) VPN技術(shù) 加密技術(shù) 、數(shù)字簽名和認(rèn)證技術(shù) 防火墻服務(wù) VLAN的實(shí)現(xiàn) 網(wǎng)絡(luò)層的安全防護(hù) 136 網(wǎng)絡(luò)層的安全防護(hù)： 網(wǎng)絡(luò)分段 VLAN的實(shí)施 節(jié)約路由器的開(kāi)支，保護(hù) VLAN內(nèi)的資源 防火墻 保護(hù)脆弱服務(wù) 控制對(duì)系統(tǒng)的訪問(wèn) 集中的安全管理及策略執(zhí)行 記錄和統(tǒng)計(jì) 加密技術(shù) 使系統(tǒng)的安全不依賴于數(shù)據(jù)路徑的安全性，而是數(shù)據(jù)本身的加密 加密技術(shù)兩個(gè)層次：基于網(wǎng)絡(luò)層或傳輸層；基于應(yīng)用層 網(wǎng)絡(luò)層的安全防護(hù) 137 認(rèn)證技術(shù) 認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊雙方的身份認(rèn)可 方式：明文密碼認(rèn)證，常用在登錄 摘要認(rèn)證 md5 基于 PKI(公共密鑰基礎(chǔ)設(shè)施 )的認(rèn)證 ,結(jié)合了摘要算法、 對(duì)稱加密、不對(duì)稱加密，數(shù)字簽名技術(shù)。 VPN技術(shù) 替代專線技術(shù) ，利用 INTERNET， 節(jié)約通訊成本 網(wǎng)絡(luò)層的安全防護(hù) 138 傳輸層的安全威脅 傳輸層介紹 傳輸層的安全性 139 傳輸層介紹 傳輸層控制主機(jī)間傳輸?shù)臄?shù)據(jù)流。傳輸層存在兩個(gè)協(xié)議，傳輸控制協(xié)議 (TCP)和用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 140 傳輸層 TCP 和 UDP TCP 是一個(gè)面向連接的協(xié)議 UDP是一個(gè)非面向連接的協(xié)議 141 傳輸控制協(xié)議 (TCP)（ 一） 傳輸層協(xié)議，由上層協(xié)議接收任意長(zhǎng)度的報(bào)文，并提供面向連接的傳輸服務(wù) TCP接收數(shù)據(jù)流，并分成段，然后將這些段送給 IP， 因 IP為無(wú)連接的，所以 TCP必須為每個(gè)段提供順序同步 142 傳輸控制協(xié)議 (TCP)（ 二） IP TCP 建立在 IP上太不可靠， TCP采用：確認(rèn)與超時(shí)重傳保證可靠性 143 TCP 握手 1 2 3 4 5 6 Win=3 144 用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 傳輸層協(xié)議，為無(wú)確認(rèn)的數(shù)據(jù)報(bào)服務(wù)，只是簡(jiǎn)單的接收和傳輸數(shù)據(jù) UDP比 TCP傳輸數(shù)據(jù)快 UDP頭標(biāo) UDP數(shù)據(jù)區(qū) IP頭標(biāo) IP數(shù)據(jù)區(qū) 145 端口 TCP UDP都使用端口的概念。利用端口，主機(jī)間的不同應(yīng)用程序?qū)崿F(xiàn)通訊。唯一地標(biāo)志出 INTERNET中的一個(gè)連接。 一個(gè)連接： ::80 146 傳輸層的安全性 傳輸層安全機(jī)制的缺點(diǎn) ? 要對(duì)傳輸層 IPC界面和應(yīng)用程序兩端都進(jìn)行修改 ? 基于 UDP的通信很難在傳輸層建立起安全機(jī)制來(lái) 傳輸層安全機(jī)制的主要優(yōu)點(diǎn)它提供基于進(jìn)程對(duì)進(jìn)程的 (而不是主機(jī)對(duì)主機(jī)的 )安全服務(wù) 147 SSL安全套接層協(xié)議 由 Netscape公司開(kāi)發(fā)的建立在可靠的傳輸服務(wù)基礎(chǔ)上的安全套接層協(xié)議 SSL。 其介于應(yīng)用層 ftp smtp等協(xié)議與 TCP之間的一個(gè)可選層 其包括兩個(gè)協(xié)議： SSL記錄協(xié)議 提供雙方可供選擇的密鑰算法，定義傳輸?shù)母袷? SSL握手協(xié)議 允許雙方相互驗(yàn)證，協(xié)商通訊過(guò)程中將使用的密鑰算法 實(shí)現(xiàn)過(guò)程： TCP連接后，向 server發(fā)送 client hello消息 ,提供可支持的密鑰算法信息 ，發(fā)送 server hello消息，協(xié)商確定算法 server證書(shū)及公鑰，驗(yàn)證 server ,生成一段秘密信息，用server公鑰加密，發(fā)送給 server ，用私鑰解密得到秘密信息。 148 應(yīng)用層的安全威脅 應(yīng)用層介紹 應(yīng)用層的安全性 應(yīng)用層的安全防護(hù) 149 應(yīng)用層介紹 簡(jiǎn)單郵件傳輸協(xié)議（ SMTP） 文件傳輸協(xié)議 (FTP) 超文本傳輸協(xié)議 (HTTP) 遠(yuǎn)程連接服務(wù)標(biāo)準(zhǔn)協(xié)議（ Tel） 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 (SNMP) 域名系統(tǒng) (DNS) DNS SNMP Tel HTTP FTP SMTP 150 SMTP 存在遭 DOS攻擊的風(fēng)險(xiǎn) 發(fā)送病毒和木馬 FTP 匿名用戶的風(fēng)險(xiǎn) HTTP HTTP服務(wù)器遭 DOS攻擊的風(fēng)險(xiǎn) HTTP客戶機(jī)感染木馬的風(fēng)險(xiǎn) 應(yīng)用層介紹 151 tel 非法用戶登陸系統(tǒng)，非授權(quán)訪問(wèn) 明文傳輸密碼 Snmp 認(rèn)證功能簡(jiǎn)單 明文傳輸 Dns 非法區(qū)域傳輸 應(yīng)用層介紹 152 應(yīng)用層的安全性 想要區(qū)分一個(gè)具體文件的不同的安全性要求，那就必須借助于應(yīng)用層的安全性 提供應(yīng)用層的安全服務(wù)實(shí)際上是最靈活的處理單個(gè)文件安全性的手段 應(yīng)用層提供安全服務(wù) ? 對(duì)每個(gè)應(yīng)用 (及應(yīng)用協(xié)議 )分別進(jìn)行修改 ? 如 PGP ,SHTTP， SSH 153 SSH(安全 shell) SSH用以代替 tel rlogin之類的程序，解決了明文密碼在網(wǎng)絡(luò)中傳輸?shù)膯?wèn)題。 基于公鑰機(jī)制，提供了數(shù)據(jù)保密和驗(yàn)證的功能 兩種驗(yàn)證級(jí)別： 基于口令的安全驗(yàn)證 使用服務(wù)器公鑰 基于密鑰的安全驗(yàn)證 用戶自己建立公私鑰 154 應(yīng)用層的安全防護(hù) 實(shí)施強(qiáng)大的基于用戶的身份認(rèn)證 實(shí)施數(shù)據(jù)加密，訪問(wèn)控制的理想位置 加強(qiáng)數(shù)據(jù)的備份和恢復(fù)措施 對(duì)資源的有效性進(jìn)行控制，資源包括各種數(shù)據(jù)和服務(wù) 155 IPSec協(xié)議 （一） IPSec細(xì)則首先于 1995年在互聯(lián)網(wǎng)標(biāo)準(zhǔn)草案中頒布 IPSec可以保證局域網(wǎng)、專用或公用的廣域網(wǎng)及 Inter上信息傳輸?shù)陌踩? IPSec的主要特征在于它可以對(duì)所有 IP級(jí)的通信進(jìn)行加密和認(rèn)證，可以確保包括遠(yuǎn)程登陸、客戶服務(wù)器、電子郵件、文件傳輸及 WEB訪問(wèn)在內(nèi)的多種程序的安全 156 IPSec協(xié)議（二） IPSec提供三種形式來(lái)保護(hù)通過(guò) IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù) ? 數(shù)據(jù)認(rèn)證 可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)在數(shù)據(jù)完整性方面是一致的，同時(shí)可以確定申請(qǐng)發(fā)送者在實(shí)際上是真實(shí)發(fā)送者，而不是偽裝的 ? 完整 保證數(shù)據(jù)從原發(fā)地到目的地的傳送過(guò)程中沒(méi)有任何不可檢測(cè)的數(shù)據(jù)丟失與改變 ? 機(jī)密性 使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無(wú)意獲取數(shù)據(jù)的接收者無(wú)法獲知數(shù)據(jù)的真正內(nèi)容 157 IPSEC實(shí)現(xiàn) 網(wǎng)絡(luò)安全協(xié)議對(duì)于應(yīng)用層應(yīng)用的透明性 兩種應(yīng)用模式：傳輸模式 隧道模式 傳輸模式 :只加密 ESP上層協(xié)議部分，即傳輸層部分，不加密 IP頭 此種模式只適用于兩臺(tái)主機(jī)間的通訊 隧道模式：加密整個(gè) IP數(shù)據(jù)包，包括 IP報(bào)頭。使用兩重封裝。 此種模式可適用于網(wǎng)絡(luò)間多臺(tái)主機(jī)間的通訊 IPSec協(xié)議（三） 158 謝謝大家 !