网络安全与维护 复习资料

信息科学与技术学院复习课2020/2/25TheInformationScienceandTechnologycollege2关于考试与复习内容：教材+幻灯片形式：选择题、填空题、问答与应用题2020/2/25TheInformationScienceandTechnologycollege3教学内容1、网络安全基础2、网络安全威胁3、身份认证4、防火墙、IDS、VPN5、网络通信安全-密码学信息科学与技术学院第1讲绪论-信息安全概述2020/2/25TheInformationScienceandTechnologycollege5网络安全的六个方面：机密性：信息不泄漏给非授权的用户、实体或者过程的特性完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息可认证性：对等实体认证和数据源点认证。可核查性：对信息的传播及内容具有控制能力，访问控制即属于可控性可靠性：系统可靠性网络安全特性2020/2/25TheInformationScienceandTechnologycollege6基本威胁：1、信息泄露2、完整性破坏3、拒绝服务4、非法使用2020/2/25TheInformationScienceandTechnologycollege7主要可实现的威胁：1、渗入威胁：假冒、旁路控制、授权侵犯2、植入类型威胁：Trojanhorse、陷阱门2020/2/25TheInformationScienceandTechnologycollege8假冒：非授权实体假冒合法实体旁路控制：利用系统常见特征发现推理系统的缺陷绕过安全防线。授权侵犯：合法用户的越权访问。Trojan：Trapdoor：2020/2/25TheInformationScienceandTechnologycollege9潜在的威胁窃听流量分析操作不慎存储媒体导致信息泄露2020/2/25TheInformationScienceandTechnologycollege102020/2/25TheInformationScienceandTechnologycollege11攻击的分类X.800以及RFC2828都对安全性攻击进行了分类：1、被动攻击2、主动攻击2020/2/25TheInformationScienceandTechnologycollege12被动攻击的特性在于对媒体中传输的信息进行窃听和监测，但不会对资源进行破坏。信息泄露流量分析2020/2/25TheInformationScienceandTechnologycollege13主动攻击：对数据进行篡改或伪造数据流。1、伪装攻击2、重放攻击3、消息篡改4、拒绝服务2020/2/25TheInformationScienceandTechnologycollege14开放系统互联安全体系结构开放系统互联安全体系结构模型-ISO7498-2（X.800）ISO7498-2安全框架提供了一种安全组织方法。其定义了安全服务、安全机制及两者的关系以及相应的OSI各层的服务配置。2020/2/25TheInformationScienceandTechnologycollege152020/2/25TheInformationScienceandTechnologycollege162020/2/25TheInformationScienceandTechnologycollege172020/2/25TheInformationScienceandTechnologycollege18信息科学与技术学院计算机网络基础-协议的安全性2020/2/25TheInformationScienceandTechnologycollege20主要内容本讲在OSI体系结构的基础上讨论不同层次的协议的安全性。低层协议的安全高层协议的安全2020/2/25TheInformationScienceandTechnologycollege21协议安全协议的功能在于通信，其本身并有安全机制。2020/2/25TheInformationScienceandTechnologycollege22基本协议各种应用层协议网络接口层(TELNET,FTP,SMTP等)物理硬件运输层TCP,UDP应用层ICMPIPRARPARP与各种网络接口网际层IGMP2020/2/25TheInformationScienceandTechnologycollege23IP包碎片攻击-为什么存在IP碎片链路层具有最大传输单元MTU这个特性，它限制了数据帧的最大长度，不同的网络类型都有一个上限值，如果数据包的长度超过了MTU，那么IP层就要对数据包进行分片（fragmentation）操作，使每一片的长度都小于或等于MTU。2020/2/25TheInformationScienceandTechnologycollege24IP包碎片攻击1、TearDrop攻击工作原理是向被攻击者发送多个分片的IP包（IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息），某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。（利用UDP包重组时重叠偏移（假设数据包中第二片IP包的偏移量小于第一片结束的位移，而且算上第二片IP包的Data，也未超过第一片的尾部，这就是重叠现象。）的漏洞对系统主机发动拒绝服务攻击，最终导致主机菪掉；对于Windows系统会导致蓝屏死机，并显示STOP0x0000000A错误。）2020/2/25TheInformationScienceandTechnologycollege25Jolt2原理：发送大量相同的碎片化IP分组分片标志位MF被置为0偏移量为65520IP分组大小为29字节IPID为1109（IDS检测特征）防御：Windows系统必须安装最新的补丁在网络边界上禁止碎片包通过，或者限制其包速率必须确保防火墙重组碎片的算法没有问题Win2K系统中，自定义IP安全策略，设置“碎片检查”。计算总长度：20+65520+9=65549655352020/2/25TheInformationScienceandTechnologycollege26jolt2Jolt2通过发送大量相同的碎片化的IP数据包对目标机进行拒绝服务攻击。这种攻击使用相同的IP包碎片，当目标机试图处理这些非法的数据包时，系统就会死锁，直到攻击者停止发送非法数据包，目标机才恢复正常。观察Jolt2发送的数据包，可以发现分片标志位MF被置为0，说明是最后一个分片，偏移量为65520，IP分组大小为29字节，包括20字节的IP头和9个字节的净荷。按照这些数据可以计算整个数据包的长度应该为：20+65520+9=6554965535，就是说已经超出了IP数据包的最大长度。Jolt2发送的IP包的ID为1109，可以作为IDS检测的一个特征。2020/2/25TheInformationScienceandTechnologycollege27jolt2Jolt2的影响相当大，通过不停的发送这个偏移量很大的数据包，不仅死锁未打补丁的Windows系统（9x、NT4、2K和XP），同时也大大增加了网络流量。曾经有人利用jolt2模拟网络流量，测试IDS在高负载流量下的攻击检测效率，就是利用这个特性防御：Windows系统必须安装最新的补丁，目前的Linux内核已经不受影响。如果可能，在网络边界上禁止碎片包通过，或者限制每秒通过碎片包的数目。如果防火墙有重组碎片的功能，必须确保自身的算法没有问题，否则被DoS就会影响整个网络。Win2K系统中，自定义IP安全策略，设置“碎片检查”。2020/2/25TheInformationScienceandTechnologycollege28IP包碎片攻击2、Jolt2攻击2020/2/25TheInformationScienceandTechnologycollege29IP包碎片攻击2、Jolt2攻击。2020/2/25TheInformationScienceandTechnologycollege30ARP协议ARP发送一份称作ARP请求的以太网数据帧给以太网上的每个主机，这个过程称作广播。ARP请求数据帧中包含目的主机的IP地址，其意思是“如果你是这个IP地址的拥有者，请回答你的硬件地址。”目的主机的ARP层收到这份广播后，识别出这是发送端在寻问它的IP地址，于是发送一个ARP应答。这个ARP应答包含IP地址及对应的硬件地址。收到ARP应答后，使ARP进行请求—应答交换的IP数据包现在就可以传送了。发送IP数据报到目的主机2020/2/25TheInformationScienceandTechnologycollege31ARP欺骗2020/2/25TheInformationScienceandTechnologycollege32ARP欺骗的危害(1)攻击者可在2台正在通信的主机A,B之间充当中间人(man-in-the-middle)，假冒主机B的IP地址，而MAC地址为攻击者的MAC地址来欺骗主机A将数据发往攻击者的机器，并且攻击者可开启IP路由功能，将数据包再转发至主机B。同样，对主机B可实施类似的欺骗，因此，主机A,B之间的所有通信内容都被攻击者窃听。(2)对主机A发送伪造的ARP应答报文，假冒主机B的IP地址，但MAC地址设为不存在的一个硬件地址，主机A接收此报文后错误地刷新ARP高速缓存中主机B的IP地址与MAC地址的映射关系，导致主机A与主机B的网络通信中断。这种方法属于拒绝服务(DenialofService,DoS)攻击，2020/2/25TheInformationScienceandTechnologycollege33局域网ARP欺骗的应对如果用户发现以上疑似情况，可以通过如下操作进行诊断：点击“开始”按钮-选择“运行”-输入“arp–d”-点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。注：arp-d命令用于清除并重建本机arp表。arp–d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。进一步使用杀毒软件查毒。2020/2/25TheInformationScienceandTechnologycollege3434攻击防范1。三层交换机上使用静态ARP表。2。设置静态的mac--ip对应表，不要让主机刷新你设定好的转换表。3。在本机上绑定ARP–sIPMac防止攻击。4。在win2000下可以通过防火墙和IP策略拒绝接收ICMP报文。5。可以使网卡驱动程序停止使用ARP，使用代理网关发送外出的通讯。2020/2/25TheInformationScienceandTechnologycollege35ICMP为了提高IP数据报交付成功的机会，在网际层使用了因特网控制报文协议ICMP(InternetControlMessageProtocol)。ICMP允许主机或路由器报告差错情况和提供有关异常情况的报告。ICMP报文作为IP层数据报的数据，加上数据报的首部，组成IP数据报发送出去。2020/2/25TheInformationScienceandTechnologycollege36ICMP消息欺骗-重定向ICMP重定向报文是当主机采用非最优路由发送数据报时，路由器会发回ICMP重定向报文来通知主机最优路由的存在。并且重定向报文必须由路由器生成，当主机作为路由器使用时，必须将其内核配置成可以发送重定向报文。2020/2/25TheInformationScienceandTechn