【正文】 ? 由于IP地址可軟件配置以及基于源IP地址的鑒別機(jī)制，IP層存在：業(yè)務(wù)流被監(jiān)聽和捕獲、IP地址欺騙、信息泄露和數(shù)據(jù)項(xiàng)篡改等攻擊◇ IPSec提供的安全服務(wù)功能–　定義了兩個(gè)協(xié)議AH和ESP?　訪問控制?　無連接完整性?　數(shù)據(jù)源鑒別?　拒絕重放分組?　機(jī)密性?　有限通信量的機(jī)密性◇ 鑒別與機(jī)密性組合? 傳輸鄰接：同一分組應(yīng)用多種協(xié)議，不形成隧道? 循環(huán)嵌套：通過隧道實(shí)現(xiàn)多級(jí)安全協(xié)議的應(yīng)用◇ SSL協(xié)議目標(biāo)：SSL被設(shè)計(jì)用來使用TCP提供一個(gè)可靠的端到端安全服務(wù)，為兩個(gè)通訊個(gè)體之間提供保密性和完整性(身份鑒別)。? SSL記錄協(xié)議– 建立在可靠的傳輸協(xié)議(如TCP)之上– 它提供連接安全性，有兩個(gè)特點(diǎn)? 保密性，使用了對(duì)稱加密算法? 完整性，使用HMAC算法– 用來封裝高層的協(xié)議? SSL握手協(xié)議– 客戶和服務(wù)器之間相互鑒別– 協(xié)商加密算法和密鑰– 它提供連接安全性，有三個(gè)特點(diǎn)? 身份鑒別，至少對(duì)一方實(shí)現(xiàn)鑒別，也可以是雙向鑒別? 協(xié)商得到的共享密鑰是安全的，中間人不能夠知道? 協(xié)商過程是可靠的◇ S/MIME：簽名和加密，利用PKI(不要求)◇ PGP(Pretty Good Privacy)–PGP消息的處理：?數(shù)字簽名–DSS/SHA或RSA/SHA?完整性：–RSA、MD5?消息加密–CAST128或IDEA或3DES + DiffieHellman或RSA?數(shù)據(jù)壓縮–ZIP?郵件兼容–Radix 64?數(shù)據(jù)分段–PGP密鑰的管理，以個(gè)人為中心的信任模型：PGP使用四種類型的密鑰：一次性會(huì)話常規(guī)密鑰，公鑰，私鑰，基于口令短語(yǔ)的常規(guī)密鑰。需求：需要一種生成不可預(yù)知的會(huì)話密鑰的手段需要某種手段來標(biāo)識(shí)具體的密鑰。–一個(gè)用戶擁有多個(gè)公鑰/私鑰對(duì)。（更換，分組）每個(gè)PGP實(shí)體需要維護(hù)一個(gè)文件保存其公鑰私鑰對(duì)，和一個(gè)文件保存通信對(duì)方的公鑰?！?防火墻的基本概念與體系結(jié)構(gòu)? 雙宿/多宿主機(jī)模式(DualHomed /MultiHomed Host Firewall)它是一種擁有兩個(gè)或多個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻，通常用一臺(tái)裝有兩塊或多塊網(wǎng)卡的堡壘主機(jī)做防火墻，兩塊或多塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。? 屏蔽主機(jī)模式(Screened Host Firewall )屏蔽主機(jī)防火墻由包過濾路由器和堡壘主機(jī)組成。在這種方式的防火墻中，堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。屏蔽主機(jī)防火墻實(shí)現(xiàn)了網(wǎng)絡(luò)層和應(yīng)用層的安全，因而比單獨(dú)的包過濾或應(yīng)用網(wǎng)關(guān)代理更安全。在這一方式下，過濾路由器是否配置正確是這種防火墻安全與否的關(guān)鍵，如果路由表遭到破壞，堡壘主機(jī)就可能被越過，使內(nèi)部網(wǎng)完全暴露。? 屏蔽子網(wǎng)模式(Screened Subnet mode)采用了兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī)，在內(nèi)外網(wǎng)絡(luò)之間建立了一個(gè)被隔離的子網(wǎng)，定義為“非軍事區(qū)（demilitarized zone）”網(wǎng)絡(luò)，有時(shí)也稱作周邊網(wǎng)(perimeter network)? 網(wǎng)絡(luò)管理員將堡壘主機(jī)，WEB服務(wù)器、Mail服務(wù)器等公用服務(wù)器放在非軍事區(qū)網(wǎng)絡(luò)中。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信。在這一配置中，即使堡壘主機(jī)被入侵者控制，內(nèi)部網(wǎng)仍受到內(nèi)部包過濾路由器的保護(hù)。? 堡壘主機(jī)運(yùn)行各種代理服務(wù)◇ 防火墻相關(guān)技術(shù):包過濾? 根據(jù)流經(jīng)該設(shè)備的數(shù)據(jù)包地址信息，決定是否允許該數(shù)據(jù)包通過? 判斷依據(jù)有(只考慮IP包)：– 數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP、IGMP等– 源、目的IP地址– 源、目的端口：FTP、HTTP、DNS等– IP選項(xiàng)：源路由、記錄路由等– TCP選項(xiàng)：SYN、ACK、FIN、RST等– 其它協(xié)議選項(xiàng)：ICMP ECHO、ICMP ECHO REPLY等– 數(shù)據(jù)包流向：in或out– 數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：eth0、eth1◇ Internet服務(wù)與防火墻配置◇ 網(wǎng)絡(luò)攻擊的步驟和可利用的弱點(diǎn)－　網(wǎng)絡(luò)攻擊的步驟（1）信息收集，獲取目標(biāo)系統(tǒng)的信息，操作系統(tǒng)的類型和版本，主要提供的服務(wù)和服務(wù)進(jìn)程的類型和版本，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（2）獲得對(duì)系統(tǒng)的訪問權(quán)力（3）獲得系統(tǒng)超級(jí)用戶的權(quán)力。利用（2）的權(quán)力和系統(tǒng)的漏洞，可以修改文件，運(yùn)行任何程序，留下下次入侵的缺口，或破壞整個(gè)系統(tǒng)（4）消除入侵痕跡－　入侵者可利用的弱點(diǎn)（1）網(wǎng)絡(luò)傳輸和協(xié)議的漏洞：攻擊者利用網(wǎng)絡(luò)傳輸時(shí)對(duì)協(xié)議的信任以及網(wǎng)絡(luò)傳輸?shù)穆┒催M(jìn)入系統(tǒng)。（2）系統(tǒng)的漏洞：攻擊者可以利用系統(tǒng)內(nèi)部或服務(wù)進(jìn)程的BUG和配置錯(cuò)誤進(jìn)行攻擊。（3）管理的漏洞：攻擊者可以利用各種方式從系統(tǒng)管理員和用戶那里誘騙或套取可用于非法進(jìn)入的系統(tǒng)信息，包括口令、用戶名等。◇ 信息收集技術(shù)– whois：為Internet提供目錄服務(wù)，包括名字、通訊地址、電話號(hào)碼、電子郵箱、IP地址等信息– 通過nslookup查找DNS中的信息– ping – 用來判斷遠(yuǎn)程設(shè)備可訪問性最常用的方法– 原理：發(fā)送ICMP Echo消息，然后等待ICMP Reply消息－traceroute– 用來發(fā)現(xiàn)實(shí)際的路由路徑– 原理：給目標(biāo)的一個(gè)無效端口發(fā)送一系列UDP，其TTL依次增一，中間路由器返回一個(gè)ICMP Time Exceeded消息◇ 主機(jī)掃描主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，同時(shí)盡可能多映射目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)?！?端口掃描– 開放掃描:TCP Connect()掃描– 半開掃描: TCP SYN掃描– 隱蔽掃描:SYN|ACK掃描、FIN掃描、NULL空掃描、XMAS掃描、UDP ICMP端口不能到達(dá)掃描◇ 實(shí)現(xiàn)隱蔽性的技術(shù)– 包特征的隨機(jī)選擇– 慢速掃描– 分片掃描– 源地址欺騙– 分布式（合作）掃描◇ 拒絕服務(wù)的概念和類型– 定義：通過某些手段使得目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)不能提供正常的服務(wù)– DoS攻擊主要是利用了TCP/IP 協(xié)議中存在的設(shè)計(jì)缺陷和操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)協(xié)議棧存在的實(shí)現(xiàn)缺陷。– 難以防范，有些DoS可以通過管理的手段防止? 粗略來看，分為三種形式– 使一個(gè)系統(tǒng)或網(wǎng)絡(luò)癱瘓，發(fā)送一些非法數(shù)據(jù)包使系統(tǒng)死機(jī)或重起– 向系統(tǒng)發(fā)送大量信息，使系統(tǒng)或網(wǎng)絡(luò)不能響應(yīng)– 物理部件的移除，或破壞◇ 典型的DoS– Ping of Death– Teardrop– UDP Flood– Land– SYN Flood– Smurf◇ DDoS? 傳統(tǒng)的拒絕服務(wù)是一臺(tái)機(jī)器向受害者發(fā)起攻擊，DDOS不是僅僅一臺(tái)機(jī)器而是多臺(tái)主機(jī)合作，同時(shí)向一個(gè)目標(biāo)發(fā)起攻擊?！?欺騙、緩沖區(qū)溢出的原理◇ P2DR安全模型– 網(wǎng)絡(luò)安全定義：Pt Dt + Rt◇ IDS(Intrusion Detection System) 對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性 進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)– 入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)過程信息收集模式分析結(jié)果處理– 入侵檢測(cè)系統(tǒng)分類基于主機(jī)、網(wǎng)絡(luò)– 入侵檢測(cè)方法異常檢測(cè)誤用檢測(cè)