网络安全基础_培训资料

网络安全基础目录网络基础概念-网络基础-TCP/IP协议族脆弱性分析常见网络设备及安全技术-路由器-交换机-防火墙-入侵检测-日志审计-AAAA认证-VLAN技术什么是网络网络就是一群通过一定形式连接起来的计算机。互联网就是由多个局域网和广域网组成的网络。网络的组成计算机网络也是由硬件和软件构成的。硬件系统包括•网络服务器•网络工作站•网络适配器•传输介质•其他网络硬件设备（交换机、路由器、防火墙、入侵检测系统等。）软件系统包括•网络操作系统软件（windows、unix等系统）•网络通信协议（TCP/IP、IPX等）•网络工具软件（网络浏览器、网络下载工具等）•网络应用软件（酒店管理系统、订单管理系统等）OSI七层模型OSI七层模型物理层（PhysicalLayer）•为上层协议提供了一个传输数据的物理媒体•数据的单位称为比特（bit）•典型代表：EIA/TIARS-232、V.35、RJ-45等数据链路层（DataLinkLayer）•在不可靠的物理介质上提供可靠的传输。该层的作用包括：物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。•数据的单位称为帧（frame）•典型代表：SDLC、HDLC、PPP、STP、帧中继等网络层（NetworkLayer）•负责对子网间的数据包进行路由选择。此外，网络层还可以实现拥塞控制、网际互连等•数据的单位称为数据包（packet）•典型代表：IP、IPX、RIP、OSPF等OSI七层模型传输层（TransportLayer）•负责将上层数据分段并提供端到端的、可靠的或不可靠的传输，此外，传输层还要处理端到端的差错控制和流量控制问题•数据的单位称为数据段（segment）•典型代表：TCP、UDP等会话层（SessionLayer）•管理主机之间的会话进程，即负责建立、管理、终止进程之间的会话•典型代表：NETBIOS、ZIP（appletalk区域信息协议）等表示层•对上层数据或信息进行变换以保证一个主机应用层信息可以被另一个主机的应用程序理解•典型代表：ASCII、JPEG、MPEG等应用层（ApplicationLayer）•为操作系统或网络应用程序提供访问网络服务的接口•代表包括：telnet、ftp、http、snmp等TCP/IP协议简介TCP协议和IP协议指两个用在Internet上的网络协议（或数据传输的方法）。它们分别是传输控制协议和互连网协议。这两个协议属于众多的TCP/IP协议组中的一部分。TCP/IP协议组中的协议保证Internet上数据的传输，提供了几乎现在上网所用到的所有服务。这些服务包括：电子邮件的传输文件传输新闻组的发布访问万维网。TCP/IP协议准确的说是一个协议组（协议集合），其中包含了TCP协议和IP协议及其他的一些协议。目录网络基础概念-TCP/IP协议介绍-TCP/IP协议族脆弱性分析常见网络设备及安全技术-路由器-交换机-防火墙-入侵检测-日志审计-AAAA认证-VLAN技术TCP/IP脆弱性分析1、协议族模型与格式2、IP地址滥用与攻击3、数据报分片与组装4、基于ICMP的欺骗5、UDP协议脆弱分析6、TCP协议脆弱分析TCP/IP协议族模型TCP/IP模型与OSI模型•七层VS四层TCP/IP四层模型•网络接口层；(PPP、ARP)•互联层；(IP、ICMP)•传输层；(TCP、UDP)•应用层；(HTTP，SNMP，FTP，SMTP，DNS，Telnet)IP数据报格式01631versionhdrlnthtypeofservicetotallengthofdatagramidentificationnumberfragmentoffsettime-to-live(ttl)protocolheaderchecksumsourceIPaddress(4bytes)destinationIPaddress(4bytes)optionsfield(variablelength,maxlength40bytes)data20bytesRDFMF数据封装与传送所有TCP,UDP,ICMP数据通过IP数据包封装进行传输。IP数据报的传输是不可靠的。IP网络是面向无连接的。TCP/IP脆弱性分析1、协议族模型与格式2、IP地址滥用与攻击3、数据报分片与组装4、基于ICMP的欺骗5、UDP协议脆弱分析6、TCP协议脆弱分析IP地址划分IP地址滥用在同一个网段里，用户可以随意改变自己的IP地址；黑客可以利用工具构建特殊的IP报，并指定IP地址。IP伪装能做什么？•DoS(主机、路由器）•伪装成信任主机•切断并接管连接•绕过防火墙IP伪装给黑客带来的好处•获得访问权。•不留下踪迹。（synflooding工具）TCP/IP脆弱性分析1、协议族模型与格式2、IP地址滥用与攻击3、数据报分片与组装4、基于ICMP的欺骗5、UDP协议脆弱分析6、TCP协议脆弱分析数据报的分片与组装MTUlimiteddatagramsfragments•数据报到达目的地时才会进行组装•需要组装在一起的数据分片具有同样的标志号•通过分片位移位标志数据分片在的数据报组装过程中的序列位置•除了最后的数据片，其他的数据片均会置“MF”位receivingcomputer’sfragmentreassemblybufferPingo’Death攻击攻击者构建分片目标接收分片重组分片Internetbuffer65535byteslastfragistoolargecausing16-bitvariablestooverflowfirstfrag:36bytes03524secondfrag:4bytes当前包的段偏移在前一包数据内计算出来的len竟变成了一个负数，于是memcpy()最终将会把大量的数据拷贝到内核中offsetendnewoffsetlen=end-newoffset0memcpy(*dest,*src,len)unsignedintorunsignedlongTearDrop攻击TCP/IP脆弱性分析1、协议族模型与格式2、IP地址滥用与攻击3、数据报分片与组装4、基于ICMP的欺骗5、UDP协议脆弱分析6、TCP协议脆弱分析ICMP消息格式081631typecodechecksumcontentsdependontypeandcodeexamplespecificformat:echorequest/reply081631typecodechecksumidentifiersequencenumberoptionaldataICMP（InternetControlMessageProtocol）基于ICMP的欺骗ICMPsweeps•原理：Ping命令在测试下一台主机时，先等待当前系统给出响应或超时；ICMPSweep技术在发送ICMPechorequest时不等待。•工具：-fping,gping,nmap,-Pinger(Rhino9);PingSweep(SolarWinds);WS_PingProPack(IPSwitch)•实例：（FakePing工具）基于ICMP的欺骗BroadcastICMP•Smurf攻击，向网络的广播地址发送echorequset请求，将得到网络中所有主机的echoreply响应。对策：•根据具体需要，可将边界路由器配置deny进入内网的ICMPechorequest；•配置关键的UNIX系统不响应ICMPechorequest；•配置路由器不响应directed-broadcast;Smurf攻击攻击者目标发送一个echorequest的广播包源地址伪造成目标主机的地址因为中间网络的众多机器都响应广播包，目标主机会接收到大量的echoreplies中间网络TCP/IP脆弱性分析1、协议族模型与格式2、IP地址滥用与攻击3、数据报分片与组装4、基于ICMP的欺骗5、UDP协议脆弱分析6、TCP协议脆弱分析UDP协议UDP是不可靠的:是指UDP协议不保证每个数据报都能到达希望的目的端口号区分发送进程与接收进程•DNS、QQ、TFTP、SNMP……clientserverport=33987/udpport=53/udpDNSport=7070/udpport=7070/udpRealAudioUDP数据报格式sourceportnumber01631destinationportnumberUDPdatagramlengthUDPchecksumoptionaldataechoport7攻击者chargenport19intermediary目标NetworkCongestionUDPFlood攻击（udpflooding工具）TCP/IP脆弱性分析1、协议族模型与格式2、IP地址滥用与攻击3、数据报分片与组装4、基于ICMP的欺骗5、UDP协议脆弱分析6、TCP协议脆弱分析TCP协议TCP提供一种可靠的、面向连接的服务:•在规定的时间内没有收到“收到确认”信息，TCP将重发数据报。•每个TCP数据报都有唯一的sequencenumber，用于排序与重传。与UDP一样,使用portnumbers来区分收发进程由标志位的组合指明TCP分组的功能简单的TCP会话(三次握手)client(port=33623/tcp)server(port=23/tcp)SYNSYN-ACKACK[sessionproceeds][ACKsetforremainderofsession]ACKFINACKFINACKACK客户端与服务器端都可以发起关闭序列正常用户登录通过普通的网络连线，用户传送信息要求服务器予以确定,服务器接收到客户请求后回复用户。用户被确定后，就可登入服务器。SYN欺骗用户传送众多要求确认的信息到服务器，使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址（synflooding工具）SYN欺骗达到“拒绝服务”攻击的效果：•当服务器试图回传时，却无法找到用户。服务器于是暂时等候，有时超过一分钟，然后再切断连接。•服务器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最终导致服务器处于瘫痪状态。SYNflood（洪水攻击）防御办法：•增加连接队列大小•缩短建立连接超时期限•应用厂家的相关软件补丁•应用网络IDS目录网络基础概念-TCP/IP协议介绍-TCP/IP协议族脆弱性分析常见网络设备及安全技术-路由器-交换机-防火墙-入侵检测-日志审计-AAAA认证-VLAN技术路由器概要路由器简介路由器的优缺点路由器分类路由器的功能路由器简介路由器工作在OSI模型的第三层，即网络层路由器利用网络层定义的“逻辑”上的网络地址（即IP地址）来区别不同的网络，实现网络的互连和隔离，保持各个网络的独立性路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径，并将该数据有效地传送到目的站点路由器的优点优点：•适用于大规模的网络环境•适应复杂的网络拓扑结构•安全性高•子网隔离，抑制网络广播风暴路由器的缺点缺点：•不支持非路由协议•配置复杂•价格高路由器的分类按结构分类：模块化路由器和非模块化路由器按功能分类：骨干级路由器、企业级路由器接入级路由器按网络位置分类：边界路由器和中间节点路由器路由器设备路由器的功能网络互联•路由器支持各种局域网和广域网的接口，实现不同网络互相通信。数据处理•提供包括分组过滤、分组转发、优先级、复用、加密、压缩和简单防火墙功能。网络管理•路由器提供包括配置管理、性能管理、容错管理和流量控制等功能。目录网络基础概念-TCP/IP协议介绍-TCP/IP协议族脆弱性分析常见网络设备及安全技术-路由器-交换机-防火墙-入侵检测-日志审计-AAAA认证-VLAN技术交换机原理交换机的优缺点交换机分类交换机概要交换机原理交换技术和交换机最早起源于电话通讯系统（PSTN）。交换机工作在OSI模型中的第二层，即数据链路层。交换机是一种基于MAC地址识别，能完成封装转发数据包功能的网络