【正文】 ? 由于IP地址可軟件配置以及基于源IP地址的鑒別機制，IP層存在：業(yè)務流被監(jiān)聽和捕獲、IP地址欺騙、信息泄露和數據項篡改等攻擊◇ IPSec提供的安全服務功能–　定義了兩個協議AH和ESP?　訪問控制?　無連接完整性?　數據源鑒別?　拒絕重放分組?　機密性?　有限通信量的機密性◇ 鑒別與機密性組合? 傳輸鄰接：同一分組應用多種協議，不形成隧道? 循環(huán)嵌套：通過隧道實現多級安全協議的應用◇ SSL協議目標：SSL被設計用來使用TCP提供一個可靠的端到端安全服務，為兩個通訊個體之間提供保密性和完整性(身份鑒別)。? SSL記錄協議– 建立在可靠的傳輸協議(如TCP)之上– 它提供連接安全性，有兩個特點? 保密性，使用了對稱加密算法? 完整性，使用HMAC算法– 用來封裝高層的協議? SSL握手協議– 客戶和服務器之間相互鑒別– 協商加密算法和密鑰– 它提供連接安全性，有三個特點? 身份鑒別，至少對一方實現鑒別，也可以是雙向鑒別? 協商得到的共享密鑰是安全的，中間人不能夠知道? 協商過程是可靠的◇ S/MIME：簽名和加密，利用PKI(不要求)◇ PGP(Pretty Good Privacy)–PGP消息的處理：?數字簽名–DSS/SHA或RSA/SHA?完整性：–RSA、MD5?消息加密–CAST128或IDEA或3DES + DiffieHellman或RSA?數據壓縮–ZIP?郵件兼容–Radix 64?數據分段–PGP密鑰的管理，以個人為中心的信任模型：PGP使用四種類型的密鑰：一次性會話常規(guī)密鑰，公鑰，私鑰，基于口令短語的常規(guī)密鑰。需求：需要一種生成不可預知的會話密鑰的手段需要某種手段來標識具體的密鑰。–一個用戶擁有多個公鑰/私鑰對。（更換，分組）每個PGP實體需要維護一個文件保存其公鑰私鑰對，和一個文件保存通信對方的公鑰?！?防火墻的基本概念與體系結構? 雙宿/多宿主機模式(DualHomed /MultiHomed Host Firewall)它是一種擁有兩個或多個連接到不同網絡上的網絡接口的防火墻，通常用一臺裝有兩塊或多塊網卡的堡壘主機做防火墻，兩塊或多塊網卡各自與受保護網和外部網相連。? 屏蔽主機模式(Screened Host Firewall )屏蔽主機防火墻由包過濾路由器和堡壘主機組成。在這種方式的防火墻中，堡壘主機安裝在內部網絡上，通常在路由器上設立過濾規(guī)則，并使這個堡壘主機成為從外部網絡唯一可直接到達的主機，這確保了內部網絡不受未被授權的外部用戶的攻擊。屏蔽主機防火墻實現了網絡層和應用層的安全，因而比單獨的包過濾或應用網關代理更安全。在這一方式下，過濾路由器是否配置正確是這種防火墻安全與否的關鍵，如果路由表遭到破壞，堡壘主機就可能被越過，使內部網完全暴露。? 屏蔽子網模式(Screened Subnet mode)采用了兩個包過濾路由器和一個堡壘主機，在內外網絡之間建立了一個被隔離的子網，定義為“非軍事區(qū)（demilitarized zone）”網絡，有時也稱作周邊網(perimeter network)? 網絡管理員將堡壘主機，WEB服務器、Mail服務器等公用服務器放在非軍事區(qū)網絡中。內部網絡和外部網絡均可訪問屏蔽子網，但禁止它們穿過屏蔽子網通信。在這一配置中，即使堡壘主機被入侵者控制，內部網仍受到內部包過濾路由器的保護。? 堡壘主機運行各種代理服務◇ 防火墻相關技術:包過濾? 根據流經該設備的數據包地址信息，決定是否允許該數據包通過? 判斷依據有(只考慮IP包)：– 數據包協議類型：TCP、UDP、ICMP、IGMP等– 源、目的IP地址– 源、目的端口：FTP、HTTP、DNS等– IP選項：源路由、記錄路由等– TCP選項：SYN、ACK、FIN、RST等– 其它協議選項：ICMP ECHO、ICMP ECHO REPLY等– 數據包流向：in或out– 數據包流經網絡接口：eth0、eth1◇ Internet服務與防火墻配置◇ 網絡攻擊的步驟和可利用的弱點－　網絡攻擊的步驟（1）信息收集，獲取目標系統(tǒng)的信息，操作系統(tǒng)的類型和版本，主要提供的服務和服務進程的類型和版本，網絡拓撲結構（2）獲得對系統(tǒng)的訪問權力（3）獲得系統(tǒng)超級用戶的權力。利用（2）的權力和系統(tǒng)的漏洞，可以修改文件，運行任何程序，留下下次入侵的缺口，或破壞整個系統(tǒng)（4）消除入侵痕跡－　入侵者可利用的弱點（1）網絡傳輸和協議的漏洞：攻擊者利用網絡傳輸時對協議的信任以及網絡傳輸的漏洞進入系統(tǒng)。（2）系統(tǒng)的漏洞：攻擊者可以利用系統(tǒng)內部或服務進程的BUG和配置錯誤進行攻擊。（3）管理的漏洞：攻擊者可以利用各種方式從系統(tǒng)管理員和用戶那里誘騙或套取可用于非法進入的系統(tǒng)信息，包括口令、用戶名等。◇ 信息收集技術– whois：為Internet提供目錄服務，包括名字、通訊地址、電話號碼、電子郵箱、IP地址等信息– 通過nslookup查找DNS中的信息– ping – 用來判斷遠程設備可訪問性最常用的方法– 原理：發(fā)送ICMP Echo消息，然后等待ICMP Reply消息－traceroute– 用來發(fā)現實際的路由路徑– 原理：給目標的一個無效端口發(fā)送一系列UDP，其TTL依次增一，中間路由器返回一個ICMP Time Exceeded消息◇ 主機掃描主機掃描的目的是確定在目標網絡上的主機是否可達，同時盡可能多映射目標網絡的拓撲結構?！?端口掃描– 開放掃描:TCP Connect()掃描– 半開掃描: TCP SYN掃描– 隱蔽掃描:SYN|ACK掃描、FIN掃描、NULL空掃描、XMAS掃描、UDP ICMP端口不能到達掃描◇ 實現隱蔽性的技術– 包特征的隨機選擇– 慢速掃描– 分片掃描– 源地址欺騙– 分布式（合作）掃描◇ 拒絕服務的概念和類型– 定義：通過某些手段使得目標系統(tǒng)或者網絡不能提供正常的服務– DoS攻擊主要是利用了TCP/IP 協議中存在的設計缺陷和操作系統(tǒng)及網絡設備的網絡協議棧存在的實現缺陷。– 難以防范，有些DoS可以通過管理的手段防止? 粗略來看，分為三種形式– 使一個系統(tǒng)或網絡癱瘓，發(fā)送一些非法數據包使系統(tǒng)死機或重起– 向系統(tǒng)發(fā)送大量信息，使系統(tǒng)或網絡不能響應– 物理部件的移除，或破壞◇ 典型的DoS– Ping of Death– Teardrop– UDP Flood– Land– SYN Flood– Smurf◇ DDoS? 傳統(tǒng)的拒絕服務是一臺機器向受害者發(fā)起攻擊，DDOS不是僅僅一臺機器而是多臺主機合作，同時向一個目標發(fā)起攻擊?！?欺騙、緩沖區(qū)溢出的原理◇ P2DR安全模型– 網絡安全定義：Pt Dt + Rt◇ IDS(Intrusion Detection System) 對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現各種攻擊企圖、攻擊行為或者攻擊結果，以保證系統(tǒng)資源的機密性、完整性和可用性 進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)– 入侵檢測系統(tǒng)的實現過程信息收集模式分析結果處理– 入侵檢測系統(tǒng)分類基于主機、網絡– 入侵檢測方法異常檢測誤用檢測