2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1第5章網(wǎng)絡(luò)安全2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1第52023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）2本章主要內(nèi)容網(wǎng)絡(luò)安全問(wèn)題網(wǎng)絡(luò)攻擊防護(hù)防火墻入侵檢測(cè)網(wǎng)絡(luò)隔離公鑰基礎(chǔ)設(shè)施和權(quán)限基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全協(xié)議IPv6新一代網(wǎng)絡(luò)的安全機(jī)制2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）2本章2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）35.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客(Hacker)，源于英語(yǔ)動(dòng)詞hack，意為“劈，砍”，也就意味著“辟出，開辟”，進(jìn)一步引申為“干了一件非常漂亮的工作”。多數(shù)黑客對(duì)計(jì)算機(jī)非常著迷，認(rèn)為自己有比他人更高的才能，因此只要他們?cè)敢猓头欠J入某些禁區(qū)，或開玩笑或惡作劇，甚至干出違法的事情。現(xiàn)在“黑客”一詞普遍的含意是指計(jì)算機(jī)系統(tǒng)的非法侵入者。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）35.2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）45.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊目前黑客已成為一個(gè)廣泛的社會(huì)群體。在西方有完全合法的黑客組織、黑客學(xué)會(huì)，這些黑客經(jīng)常召開黑客技術(shù)交流會(huì)。在因特網(wǎng)上，黑客組織有公開網(wǎng)站，提供免費(fèi)的黑客工具軟件，介紹黑客手法，出版網(wǎng)上黑客雜志和書籍?，F(xiàn)在“行黑”已變得比較容易，普通人很容易學(xué)到網(wǎng)絡(luò)攻擊的方法。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）45.2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）55.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟1）隱藏攻擊源利用被侵入的主機(jī)(俗稱“肉雞”)作為跳板進(jìn)行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞”的IP地址。使用多級(jí)代理，這樣在被入侵主機(jī)上留下的是代理計(jì)算機(jī)的IP地址。偽造IP地址。假冒用戶賬號(hào)。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）55.2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）65.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟2）信息搜集確定攻擊目標(biāo)。踩點(diǎn)，就是通過(guò)各種途徑收集目標(biāo)系統(tǒng)的相關(guān)信息，包括機(jī)構(gòu)的注冊(cè)資料、公司的性質(zhì)、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、郵件地址、網(wǎng)絡(luò)管理員的個(gè)人愛(ài)好等。掃描，利用掃描工具在攻擊目標(biāo)的IP地址或地址段的主機(jī)上，掃描目標(biāo)系統(tǒng)的軟硬件平臺(tái)類型，并進(jìn)一步尋找漏洞如目標(biāo)主機(jī)提供的服務(wù)與應(yīng)用及其安全性的強(qiáng)弱等等。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）65.2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）75.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟2）信息搜集嗅探，利用嗅探工具獲取敏感信息，如用戶口令等。攻擊者將搜集來(lái)的信息進(jìn)行綜合、整理和分析后，能夠初步了解一個(gè)機(jī)構(gòu)的安全態(tài)勢(shì)，并能夠據(jù)此擬定出一個(gè)攻擊方案。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）75.2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）85.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟3）掌握系統(tǒng)控制權(quán)一般賬戶對(duì)目標(biāo)系統(tǒng)只有有限的訪問(wèn)權(quán)限，要達(dá)到某些攻擊目的，攻擊者只有得到系統(tǒng)或管理員權(quán)限，才能控制目標(biāo)主機(jī)實(shí)施進(jìn)一步的攻擊。獲取系統(tǒng)管理權(quán)限的方法通常有：掃描系統(tǒng)漏洞、系統(tǒng)口令猜測(cè)、種植木馬、會(huì)話劫持等。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）85.2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）95.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟4）實(shí)施攻擊不同的攻擊者有不同的攻擊目的，無(wú)外乎是破壞機(jī)密性、完整性和可用性等。一般說(shuō)來(lái)，可歸結(jié)為以下幾種。下載敏感信息。攻擊其它被信任的主機(jī)和網(wǎng)絡(luò)。癱瘓網(wǎng)絡(luò)。修改或刪除重要數(shù)據(jù)。其它非法活動(dòng)。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）95.2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）105.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟5）安裝后門放寬文件許可權(quán)。重新開放不安全的服務(wù)。修改系統(tǒng)的配置，如系統(tǒng)啟動(dòng)文件、網(wǎng)絡(luò)服務(wù)配置文件等。替換系統(tǒng)本身的共享庫(kù)文件。安裝各種特洛伊木馬，修改系統(tǒng)的源代碼。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1052023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）115.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟6）隱藏攻擊痕跡清除或篡改日志文件。改變系統(tǒng)時(shí)間造成日志文件數(shù)據(jù)紊亂以迷惑系統(tǒng)管理員。利用前面介紹的代理跳板隱藏真實(shí)的攻擊者和攻擊路徑。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1155.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段1）偽裝攻擊。通過(guò)指定路由或偽造假地址，以假冒身份與其它主機(jī)進(jìn)行合法通信、或發(fā)送假數(shù)據(jù)包，使受攻擊主機(jī)出現(xiàn)錯(cuò)誤動(dòng)作。如IP欺騙。2）探測(cè)攻擊。通過(guò)掃描允許連接的服務(wù)和開放的端口，能夠迅速發(fā)現(xiàn)目標(biāo)主機(jī)端口的分配情況、提供的各項(xiàng)服務(wù)和服務(wù)程序的版本號(hào)，以及系統(tǒng)漏洞情況。黑客找到有機(jī)可乘的服務(wù)、端口或漏洞后進(jìn)行攻擊。常見的探測(cè)攻擊程序有：Nmap、Nessus、Metasploit、ShadowSecurityScanner、X-Scan等。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）125.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段3）嗅探攻擊。將網(wǎng)卡設(shè)置為混雜模式，對(duì)以太網(wǎng)上流通的所有數(shù)據(jù)包進(jìn)行嗅探，以獲取敏感信息。常見的網(wǎng)絡(luò)嗅探工具有：SnifferPro、Tcpdump、Wireshark等。4）解碼類攻擊。用口令猜測(cè)程序破解系統(tǒng)用戶帳號(hào)和密碼。常見工具有：L0phtCrack、JohntheRipper、Cain&Abel、Saminside、WinlogonHack等。還可以破解重要支撐軟件的弱口令，例如使用ApacheTomcatCrack破解Tomcat口令。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）135.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段5）緩沖區(qū)溢出攻擊。通過(guò)往程序的緩沖區(qū)寫超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它的指令。緩沖區(qū)攻擊的目的在于擾亂某些以特權(quán)身份運(yùn)行的程序的功能，使攻擊者獲得程序的控制權(quán)。6）欺騙攻擊。利用TCP/IP協(xié)議本身的一些缺陷對(duì)TCP/IP網(wǎng)絡(luò)進(jìn)行攻擊，主要方式有：ARP欺騙、DNS欺騙、Web欺騙、電子郵件欺騙等。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）145.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段7）拒絕服務(wù)和分布式拒絕服務(wù)攻擊。這種攻擊行為通過(guò)發(fā)送一定數(shù)量一定序列的數(shù)據(jù)包，使網(wǎng)絡(luò)服務(wù)器中充斥了大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓、停止正常的網(wǎng)絡(luò)服務(wù)。常見的拒絕服務(wù)(DenialofService，DoS)攻擊有：同步洪流(SYNFlooding)、Smurf等。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）155.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段7）拒絕服務(wù)和分布式拒絕服務(wù)攻擊。近年，DoS攻擊有了新的發(fā)展，攻擊者通過(guò)入侵大量有安全漏洞的主機(jī)并獲取控制權(quán)，在多臺(tái)被入侵的主機(jī)上安裝攻擊程序，然后利用所控制的這些大量攻擊源，同時(shí)向目標(biāo)機(jī)發(fā)起拒絕服務(wù)攻擊，我們稱之為分布式拒絕服務(wù)(DistributeDenialofService，DDoS)攻擊。常見的DDoS攻擊工具有：Trinoo、TFN等。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）165.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段8）Web腳本入侵。由于使用不同的Web網(wǎng)站服務(wù)器、不同的開放語(yǔ)言，使網(wǎng)站存在的漏洞也不相同，所以使用Web腳本攻擊的方式也很多。如黑客可以從網(wǎng)站的文章系統(tǒng)下載系統(tǒng)留言板等部分進(jìn)行攻擊；也可以針對(duì)網(wǎng)站后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行攻擊，還可以在網(wǎng)頁(yè)中寫入具有攻擊性的代碼；甚至可以通過(guò)圖片進(jìn)行攻擊。Web腳本攻擊常見方式有：注入攻擊、上傳漏洞攻擊、跨站攻擊、數(shù)據(jù)庫(kù)入侵等。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）175.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段9）0day攻擊。0day通常是指還沒(méi)有補(bǔ)丁的漏洞，而0day攻擊則是指利用這種漏洞進(jìn)行的攻擊。提供該漏洞細(xì)節(jié)或者利用程序的人通常是該漏洞的發(fā)現(xiàn)者。0day漏洞的利用程序?qū)W(wǎng)絡(luò)安全具有巨大威脅，因此0day不但是黑客的最愛(ài)，掌握多少0day也成為評(píng)價(jià)黑客技術(shù)水平的一個(gè)重要參數(shù)。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）185.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊的發(fā)展APT(AdvancedPersistentThreat，高級(jí)持續(xù)性威脅)攻擊，或者稱之為“針對(duì)特定目標(biāo)的攻擊”。“高級(jí)”體現(xiàn)在利用了多種攻擊手段，包括各種最先進(jìn)的手段和社會(huì)工程學(xué)方法，一步一步地獲取進(jìn)入組織內(nèi)部的權(quán)限。攻擊者會(huì)針對(duì)被攻擊對(duì)象編寫專門的攻擊程序，而非使用一些通用的攻擊代碼?！俺掷m(xù)性”，甚至長(zhǎng)達(dá)數(shù)年。這種持續(xù)體現(xiàn)在攻擊者不斷嘗試各種攻擊手段，以及在滲透到網(wǎng)絡(luò)內(nèi)部后長(zhǎng)期蟄伏，不斷收集各種信息，直到收集到重要情報(bào)。主要針對(duì)國(guó)家重要的基礎(chǔ)設(shè)施和單位進(jìn)行，包括能源、電力、金融、國(guó)防等關(guān)系到國(guó)計(jì)民生，或者是國(guó)家核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）195.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊的發(fā)2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）205.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題TCP/IP參考模型如圖所示。TCP/IP協(xié)議族包括4個(gè)功能層：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層。這4層概括了相對(duì)于OSI參考模型中的7層。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）2052023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）215.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題（1）網(wǎng)絡(luò)接口層。網(wǎng)絡(luò)接口層有時(shí)又稱數(shù)據(jù)鏈路層，一般負(fù)責(zé)處理通信介質(zhì)的細(xì)節(jié)問(wèn)題，如設(shè)備驅(qū)動(dòng)程序、以太網(wǎng)(Ethernet)、令牌環(huán)網(wǎng)(TokenRing)。ARP和RARP協(xié)議負(fù)責(zé)IP地址和網(wǎng)絡(luò)接口物理地址的轉(zhuǎn)換工作。（2）網(wǎng)絡(luò)層。該層負(fù)責(zé)處理網(wǎng)絡(luò)上的主機(jī)間路由及存儲(chǔ)轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包。IP是網(wǎng)絡(luò)層的主要協(xié)議，提供無(wú)連接、不可靠的服務(wù)。IP還給出了因特網(wǎng)地址分配方案，要求網(wǎng)絡(luò)接口必須分配獨(dú)一無(wú)二的IP地址。同時(shí)，IP為ICMP、IGMP以及TCP和UDP等協(xié)議提供服務(wù)。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）2152023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）225.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題（3）傳輸層。該層負(fù)責(zé)提供源主機(jī)、目的主機(jī)的應(yīng)用程序間的數(shù)據(jù)流通信服務(wù)。TCP/IP協(xié)議在此層定義了TCP和UDP協(xié)議。TCP提供可靠的數(shù)據(jù)流通信服務(wù)。TCP的可靠性由定時(shí)器、計(jì)數(shù)器、確認(rèn)和重傳來(lái)實(shí)現(xiàn)。與TCP處理不同的是，UDP不提供可靠的服務(wù)，其主要的用處在于應(yīng)用程序間發(fā)送數(shù)據(jù)。UDP數(shù)據(jù)包有可能丟失、復(fù)制和亂序。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）2252023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）235.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題（4）應(yīng)用層。該層包含多種高層協(xié)議。幾乎每一個(gè)TCP/IP的實(shí)現(xiàn)都提供許多公開的應(yīng)用。HTTP：超文本傳遞協(xié)議，提供瀏覽器和WWW服務(wù)間有關(guān)HTML文件傳遞服務(wù)。FTP：文件傳輸協(xié)議，提供主機(jī)間數(shù)據(jù)傳遞服務(wù)。Telnet：虛擬終端協(xié)議，提供遠(yuǎn)程登錄服務(wù)。SMTP：簡(jiǎn)單的電子郵件傳送服務(wù)協(xié)議，提供發(fā)送電子郵件服務(wù)。DNS：域名系統(tǒng)完成域名的解析。此外，還有POP3、OSPF、NFS等其他的許多應(yīng)用協(xié)議。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）2352023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）245.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題1．ARP協(xié)議的安全問(wèn)題2．IP層的安全問(wèn)題3．傳輸層的安全問(wèn)題4．應(yīng)用層的安全問(wèn)題2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）2452023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）255.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題1．ARP協(xié)議的安全問(wèn)題網(wǎng)絡(luò)接口層的概念A(yù)RP地址解析協(xié)議ARP協(xié)議弱點(diǎn)ARP欺騙攻擊2．IP層的安全問(wèn)題3．傳輸層的安全問(wèn)題4．應(yīng)用層的安全問(wèn)題2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）2552023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）265.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題1．ARP協(xié)議的安全問(wèn)題網(wǎng)絡(luò)接口層（鏈路層）的概念鏈路(link)是一條無(wú)源的點(diǎn)到點(diǎn)的物理線路段，中間沒(méi)有任何其他的交換結(jié)點(diǎn)。一條鏈路只是一條通路的一個(gè)組成部分。數(shù)據(jù)鏈路(datalink)除了物理線路外，還必須有通信協(xié)議來(lái)控制這些數(shù)據(jù)的傳輸。若把實(shí)現(xiàn)這些協(xié)議的硬件和軟件加到鏈路上，就構(gòu)成了數(shù)據(jù)鏈路。現(xiàn)在最常用的方法是使用適配器（即以太網(wǎng)卡或802.11無(wú)線）來(lái)實(shí)現(xiàn)這些協(xié)議的硬件和軟件。一般的適配器都包括了數(shù)據(jù)鏈路層和物理層這兩層的功能。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）2652023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）275.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題1．ARP協(xié)議的安全問(wèn)題地址解析協(xié)議ARP不管網(wǎng)絡(luò)層使用的是什么協(xié)議，在實(shí)際網(wǎng)絡(luò)的鏈路上傳送數(shù)據(jù)幀時(shí)，最終還是必須使用硬件地址。每一個(gè)主機(jī)都設(shè)有一個(gè)ARP高速緩存(ARPcache)，里面有所在的局域網(wǎng)上的各主機(jī)和路由器的IP地址到硬件地址的映射表。當(dāng)主機(jī)A欲向本局域網(wǎng)上的某個(gè)主機(jī)B發(fā)送IP數(shù)據(jù)報(bào)時(shí)，就先在其ARP高速緩存中查看有無(wú)主機(jī)B的IP地址。如有，就可查出其對(duì)應(yīng)的硬件地址，再將此硬件地址寫入MAC幀，然后通過(guò)局域網(wǎng)將該MAC幀發(fā)往此硬件地址。

2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）2752023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）28在命令提示符下輸入arp-a，可以看到類似下面這樣的輸出：

Interface:8---0x2InternetAddressPhysicalAddressType7300-05-dc-e3-57-bcdynamic7800-02-55-73-6b-addynamic2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）28在ARP響應(yīng)AYXBZ主機(jī)B向A發(fā)送ARP響應(yīng)分組主機(jī)A廣播發(fā)送ARP請(qǐng)求分組ARP請(qǐng)求ARP請(qǐng)求ARP請(qǐng)求ARP請(qǐng)求00-00-C0-15-AD-1808-00-2B-00-EE-0A我是，硬件地址是00-00-C0-15-AD-18我想知道主機(jī)

的硬件地址我是硬件地址是08-00-2B-00-EE-0AAYXBZ00-00-C0-15-AD-18ARP響應(yīng)AYXBZ主機(jī)B向A發(fā)送主機(jī)A廣播發(fā)2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）305.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題1．ARP協(xié)議的安全問(wèn)題ARP協(xié)議弱點(diǎn)ARP作為一個(gè)局域網(wǎng)協(xié)議，是建立在各個(gè)主機(jī)之間相互信任的基礎(chǔ)上的，因此存在安全問(wèn)題。主機(jī)地址映射表是基于高速緩存的，動(dòng)態(tài)更新的。由于正常的主機(jī)間的MAC地址刷新都是有時(shí)限的，這樣惡意用戶如果在下次交換前成功地修改了被欺騙機(jī)器上的地址緩存，就可進(jìn)行假冒或拒絕服務(wù)攻擊?？梢噪S意發(fā)送ARP應(yīng)答分組。由于ARP協(xié)議是無(wú)狀態(tài)的，任何主機(jī)即使在沒(méi)有請(qǐng)求的時(shí)候也可以做出應(yīng)答，因此任何時(shí)候都可以發(fā)送ARP應(yīng)答。只要應(yīng)答分組是有效的，接收到ARP應(yīng)答分組的主機(jī)就無(wú)條件地根據(jù)應(yīng)答分組的內(nèi)容刷新本機(jī)的高速緩存。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）3052023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）315.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題1．ARP協(xié)議的安全問(wèn)題ARP協(xié)議弱點(diǎn)（續(xù)）ARP應(yīng)答無(wú)須認(rèn)證。由于局域網(wǎng)內(nèi)的主機(jī)間通信基本上是相互信任的，因此，只要是收到來(lái)自局域網(wǎng)內(nèi)的ARP應(yīng)答分組，就會(huì)將其中的MAC/IP地址對(duì)刷新到本機(jī)的高速緩存中，而不進(jìn)行任何認(rèn)證。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）3152023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）325.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題1．ARP協(xié)議的安全問(wèn)題ARP欺騙攻擊原理ARP緩存表的作用本是提高網(wǎng)絡(luò)效率、減少數(shù)據(jù)延遲。然而緩存表存在易信任性，不對(duì)發(fā)來(lái)的ARP數(shù)據(jù)包內(nèi)容的正確做審查。主機(jī)接收到被刻意編制的，將IP地址指向錯(cuò)誤的MAC地址的ARP數(shù)據(jù)包時(shí)，會(huì)不加審查地將其中的記錄加入ARP緩存表中。這樣，當(dāng)主機(jī)訪問(wèn)該IP時(shí)，就會(huì)根據(jù)此虛假的記錄，將數(shù)據(jù)包發(fā)送到記錄所對(duì)應(yīng)的錯(cuò)誤的MAC地址，而真正使用這個(gè)IP的目標(biāo)主機(jī)則收不到數(shù)據(jù)。這就是ARP欺騙。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）3252023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）335.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題1．ARP協(xié)議的安全問(wèn)題ARP欺騙有以下幾種實(shí)現(xiàn)方式：1）發(fā)送未被請(qǐng)求的ARP應(yīng)答報(bào)文。對(duì)于大多數(shù)操作系統(tǒng)，主機(jī)收到ARP應(yīng)答報(bào)文后立即更新ARP緩存，因此直接發(fā)送偽造ARP應(yīng)答報(bào)文就可以實(shí)現(xiàn)ARP欺騙。2）發(fā)送ARP請(qǐng)求報(bào)文。主機(jī)可以根據(jù)局域網(wǎng)中其他主機(jī)發(fā)送的ARP請(qǐng)求來(lái)更新自己的ARP緩存。因此，攻擊者可以發(fā)送一個(gè)修改了源IP-MAC映射的ARP請(qǐng)求來(lái)實(shí)現(xiàn)ARP欺騙。3）響應(yīng)一個(gè)請(qǐng)求報(bào)文。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）335C向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，ARPreply:1is-atAAAA.BBBB.1234C向B發(fā)送一個(gè)自己偽造的ARP應(yīng)答，

ARPreply:0is-atAAAA.BBBB.1234

C向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）355.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題1．ARP協(xié)議的安全問(wèn)題ARP欺騙攻擊的常見形式1）中間人攻擊2）拒絕服務(wù)攻擊2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）3552023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）36思考：在如圖所示的局域網(wǎng)環(huán)境中會(huì)發(fā)生什么樣的ARP欺騙攻擊？2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）36思2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）372022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）372023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）38實(shí)驗(yàn)ARP攻擊及其防范實(shí)驗(yàn)內(nèi)容1：ARP攻擊原理驗(yàn)證利用Ethereal嗅探局域網(wǎng)內(nèi)使用網(wǎng)絡(luò)執(zhí)法官的主機(jī)。舉例：實(shí)驗(yàn)中運(yùn)行網(wǎng)絡(luò)執(zhí)法官的是本機(jī)上運(yùn)行的虛擬機(jī)，該虛擬機(jī)獲得的IP為25。實(shí)驗(yàn)中運(yùn)行Ethereal的是本機(jī)，IP地址為12。局域網(wǎng)的網(wǎng)關(guān)IP為，對(duì)應(yīng)的MAC地址為00-11-5D-8B-B0-00。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）38實(shí)2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）39實(shí)驗(yàn)ARP攻擊及其防范在虛擬機(jī)中運(yùn)行網(wǎng)絡(luò)執(zhí)法官，同時(shí)在主機(jī)中利用Ethereal抓包，過(guò)濾條件為ARP，然后用網(wǎng)絡(luò)執(zhí)法官對(duì)IP為、2、1三臺(tái)機(jī)器進(jìn)行權(quán)限限制。過(guò)一段時(shí)間停止抓包。

2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）39實(shí)2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）40實(shí)驗(yàn)ARP攻擊及其防范2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）40實(shí)2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）41第43條，IP為25的機(jī)器向IP為1的機(jī)器發(fā)送了一條ARP包，即通知1這臺(tái)機(jī)器(網(wǎng)關(guān)IP)的MAC地址為06-06-fC-6E-F7-5A（無(wú)效的MAC）。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）41第2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）42第819條，IP為25的機(jī)器向IP為2的機(jī)器發(fā)送了一條ARP包，即通知2這臺(tái)機(jī)器(網(wǎng)關(guān)IP)的MAC地址為06-06-fC-6E-F7-5A（無(wú)效的MAC）。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）42第2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）43實(shí)驗(yàn)ARP攻擊及其防范實(shí)驗(yàn)內(nèi)容2：ARP攻擊的發(fā)現(xiàn)、定位用戶端可以通過(guò)輸入命令arp–a

即可顯示與該電腦直連設(shè)備的MAC，就會(huì)發(fā)現(xiàn)電腦網(wǎng)關(guān)所對(duì)應(yīng)的MAC地址被是否修改，如果被修改就可判定該電腦受到了ARP攻擊。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）43實(shí)2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）44實(shí)驗(yàn)ARP攻擊及其防范實(shí)驗(yàn)內(nèi)容2：ARP攻擊的發(fā)現(xiàn)、定位查看三層交換機(jī)網(wǎng)段里面的ARP信息(如cisco6509中可以輸入showRP|include網(wǎng)段相同部分)，如果發(fā)現(xiàn)里面存在有不同IP對(duì)應(yīng)相同MAC列表的情況，就可以肯定該網(wǎng)段內(nèi)有ARP欺騙，這個(gè)MAC地址就是受到ARP攻擊的電腦的MAC。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）44實(shí)2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）45實(shí)驗(yàn)ARP攻擊及其防范實(shí)驗(yàn)內(nèi)容2：ARP攻擊的發(fā)現(xiàn)、定位安裝網(wǎng)絡(luò)監(jiān)測(cè)軟件的用戶，如果網(wǎng)段中有ARP攻擊，檢測(cè)軟件會(huì)有報(bào)警，如antiARP軟件會(huì)自動(dòng)彈出攻擊者的MAC地址；網(wǎng)絡(luò)指法官則會(huì)顯示一個(gè)與MAC地址對(duì)應(yīng)的兩個(gè)IP地址，其中一個(gè)IP必然為網(wǎng)關(guān)，那該MAC對(duì)應(yīng)電腦就是攻擊者了。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）45實(shí)2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）46實(shí)驗(yàn)ARP攻擊及其防范實(shí)驗(yàn)內(nèi)容2：ARP攻擊的發(fā)現(xiàn)、定位使用nbtscanDOS軟件，可以得到該段內(nèi)所在用戶的IP對(duì)應(yīng)的MAC，通過(guò)MAC查詢，就可以得到攻擊機(jī)的IP。利用網(wǎng)絡(luò)執(zhí)法官軟件保存該網(wǎng)段內(nèi)所有IP所對(duì)應(yīng)的MAC，當(dāng)發(fā)現(xiàn)攻擊機(jī)的MAC時(shí)就可找到該IP，從而定位到攻擊機(jī)。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）46實(shí)2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）47實(shí)驗(yàn)ARP攻擊及其防范實(shí)驗(yàn)內(nèi)容2：ARP攻擊的發(fā)現(xiàn)、定位對(duì)于采用DHCP服務(wù)器進(jìn)行IP地址分配的網(wǎng)絡(luò)，由于每臺(tái)沒(méi)有固定IP，很難通過(guò)IP直接定位。那需要我們利用IP沖突查找，只要將網(wǎng)內(nèi)某臺(tái)電腦IP修改為受到ARP攻擊的電腦IP，該電腦上面就會(huì)出IP沖突的提示，只要有用戶打電話反映IP有沖突，那臺(tái)電腦就是攻擊者。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）47實(shí)2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）48實(shí)驗(yàn)ARP攻擊及其防范實(shí)驗(yàn)內(nèi)容3：ARP攻擊的防范方法1：做好IP-MAC地址的綁定工作(即將IP地址與硬件識(shí)別地址綁定)，在交換機(jī)和客戶端都要綁定，這是可以使局域網(wǎng)免疫ARP病毒侵?jǐn)_的好辦法。同時(shí)，在網(wǎng)絡(luò)正常時(shí)保存好全網(wǎng)的IP-MAC地址對(duì)照表，這樣在查找ARP中毒電腦時(shí)可方便對(duì)照。

2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）48實(shí)2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）49實(shí)驗(yàn)ARP攻擊及其防范實(shí)驗(yàn)內(nèi)容3：ARP攻擊的防范方法2：網(wǎng)段劃分要小。即網(wǎng)絡(luò)管理員在維護(hù)服務(wù)器正常工作時(shí)，不要只搞兩層交換，而盡量使用三層交換。劃分網(wǎng)段要盡量細(xì)小，使ARP欺騙范圍被縮小，影響被降低。而且當(dāng)網(wǎng)段足夠小時(shí)，服務(wù)器、客戶端不在同一個(gè)網(wǎng)段上，即使網(wǎng)絡(luò)遭到攻擊，由于此時(shí)通信走IP路由，網(wǎng)絡(luò)連接也不會(huì)受到影響。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）49實(shí)2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）505.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

1．ARP協(xié)議的安全問(wèn)題2．IP層的安全問(wèn)題3．傳輸層的安全問(wèn)題4．應(yīng)用層的安全問(wèn)題2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）5052023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）511．ARP協(xié)議的安全問(wèn)題2．IP層的安全問(wèn)題由于TCP/IP協(xié)議使用IP地址作為網(wǎng)絡(luò)節(jié)點(diǎn)的惟一標(biāo)識(shí)，其數(shù)據(jù)包的源地址很容易被發(fā)現(xiàn)，且IP地址隱含所使用的子網(wǎng)掩碼，攻擊者據(jù)此可以畫出目標(biāo)網(wǎng)絡(luò)的輪廓。因此，使用標(biāo)準(zhǔn)IP地址的網(wǎng)絡(luò)拓?fù)鋵?duì)因特網(wǎng)來(lái)說(shuō)是暴露的。IP地址也很容易被偽造和被更改，且TCP/IP協(xié)議沒(méi)有對(duì)IP包中源地址真實(shí)性的鑒別機(jī)制和保密機(jī)制。因此，因特網(wǎng)上任一主機(jī)都可產(chǎn)生一個(gè)帶有任意源IP地址的IP包，從而假冒另一個(gè)主機(jī)進(jìn)行地址欺騙。5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）5112023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）522．IP層的安全問(wèn)題（續(xù)）IP層本身不提供加密傳輸功能，用戶口令和數(shù)據(jù)是以明文形式傳輸?shù)模苋菀自趥鬏斶^(guò)程中被截獲或修改。在IP層上同樣缺乏對(duì)路由協(xié)議的安全認(rèn)證機(jī)制，因此對(duì)路由信息缺乏鑒別與保護(hù)。路由欺騙有多種方法，都是通過(guò)偽造路由表欺騙。例如，基于RIP的欺騙。RIP是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)使用的路由選擇協(xié)議，實(shí)質(zhì)上實(shí)現(xiàn)的是距離——向量算法：每個(gè)Active網(wǎng)絡(luò)節(jié)點(diǎn)周期性的發(fā)送它的路由信息到鄰居Passive節(jié)點(diǎn)，用這些路由信息，每個(gè)節(jié)點(diǎn)計(jì)算出到其他節(jié)點(diǎn)的最短路由，代替原有路由，由于這種信任使RIP欺騙成為可能，即通過(guò)使用RIP特權(quán)的主機(jī)廣播非法路由信息就可以達(dá)到欺騙的目的。5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）5222023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）533．傳輸層的安全問(wèn)題傳輸層協(xié)議概述從通信和信息處理的角度看，傳輸層向它上面的應(yīng)用層提供通信服務(wù)，它屬于面向通信部分的最高層，同時(shí)也是用戶功能中的最低層。物理層網(wǎng)絡(luò)層傳輸層應(yīng)用層數(shù)據(jù)鏈路層面向信息處理面向通信用戶功能網(wǎng)絡(luò)功能5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）533傳輸層為相互通信的應(yīng)用進(jìn)程提供了邏輯通信54321傳輸層提供應(yīng)用進(jìn)程間的邏輯通信主機(jī)A主機(jī)B應(yīng)用進(jìn)程應(yīng)用進(jìn)程路由器1路由器2AP1LAN2WANAP2AP3AP4IP層LAN1AP1AP2AP4端口端口54321IP協(xié)議的作用范圍傳輸層協(xié)議TCP和UDP的作用范圍AP3傳輸層為相互通信的應(yīng)用進(jìn)程提供了邏輯通信5傳輸層提供應(yīng)用進(jìn)2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）553．傳輸層的安全問(wèn)題應(yīng)用進(jìn)程之間的通信兩個(gè)主機(jī)進(jìn)行通信實(shí)際上就是兩個(gè)主機(jī)中的應(yīng)用進(jìn)程互相通信。應(yīng)用進(jìn)程之間的通信又稱為端到端的通信。傳輸層的一個(gè)很重要的功能就是復(fù)用和分用。應(yīng)用層不同進(jìn)程的報(bào)文通過(guò)不同的端口向下交到運(yùn)輸層，再往下就共用網(wǎng)絡(luò)層提供的服務(wù)?！皞鬏攲犹峁?yīng)用進(jìn)程間的邏輯通信”?！斑壿嬐ㄐ拧钡囊馑际牵簜鬏攲又g的通信好像是沿水平方向傳送數(shù)據(jù)。但事實(shí)上這兩個(gè)傳輸層之間并沒(méi)有一條水平方向的物理連接。5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）5532023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）56傳輸層協(xié)議和網(wǎng)絡(luò)層協(xié)議的主要區(qū)別應(yīng)用進(jìn)程…應(yīng)用進(jìn)程…IP協(xié)議的作用范圍（提供主機(jī)之間的邏輯通信）TCP和UDP協(xié)議的作用范圍（提供進(jìn)程之間的邏輯通信）因特網(wǎng)2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）56傳5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

3．傳輸層的安全問(wèn)題傳輸層的主要功能傳輸層為應(yīng)用進(jìn)程之間提供端到端的邏輯通信（但網(wǎng)絡(luò)層是為主機(jī)之間提供邏輯通信）。傳輸層還要對(duì)收到的報(bào)文進(jìn)行差錯(cuò)檢測(cè)。傳輸層需要有兩種不同的傳輸協(xié)議，即面向連接的TCP和無(wú)連接的UDP。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）575.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

3．傳輸層的安全問(wèn)題運(yùn)輸層中的兩個(gè)協(xié)議TCP/IP的運(yùn)輸層有兩個(gè)不同的協(xié)議：(1)用戶數(shù)據(jù)報(bào)協(xié)議UDP(UserDatagramProtocol)(2)傳輸控制協(xié)議TCP(TransmissionControlProtocol)2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）58TCPUDPIP應(yīng)用層與各種網(wǎng)絡(luò)接口傳輸層5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

3．傳輸層的安全問(wèn)題TCP與UDPUDP在傳送數(shù)據(jù)之前不需要先建立連接。對(duì)方的運(yùn)輸層在收到UDP報(bào)文后，不需要給出任何確認(rèn)。雖然UDP不提供可靠交付，但在某些情況下UDP是一種最有效的工作方式。TCP則提供面向連接的服務(wù)。TCP不提供廣播或多播服務(wù)。由于TCP要提供可靠的、面向連接的運(yùn)輸服務(wù)，因此不可避免地增加了許多的開銷。這不僅使協(xié)議數(shù)據(jù)單元的首部增大很多，還要占用許多的處理機(jī)資源。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）595.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

3．傳輸層的安全問(wèn)題端口的概念端口的作用就是讓應(yīng)用層的各種應(yīng)用進(jìn)程都能將其數(shù)據(jù)通過(guò)端口向下交付給運(yùn)輸層，以及讓運(yùn)輸層知道應(yīng)當(dāng)將其報(bào)文段中的數(shù)據(jù)向上通過(guò)端口交付給應(yīng)用層相應(yīng)的進(jìn)程。從這個(gè)意義上講，端口是用來(lái)標(biāo)志應(yīng)用層的進(jìn)程。端口用一個(gè)16bit端口號(hào)進(jìn)行標(biāo)志。端口號(hào)只具有本地意義，即端口號(hào)只是為了標(biāo)志本計(jì)算機(jī)應(yīng)用層中的各進(jìn)程。在因特網(wǎng)中不同計(jì)算機(jī)的相同端口號(hào)是沒(méi)有聯(lián)系的。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）605.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP端口在進(jìn)程之間的通信中所起的作用應(yīng)用層傳輸層網(wǎng)絡(luò)層TCP報(bào)文段UDP用戶數(shù)據(jù)報(bào)應(yīng)用進(jìn)程TCP復(fù)用IP復(fù)用UDP復(fù)用TCP報(bào)文段UDP用戶數(shù)據(jù)報(bào)應(yīng)用進(jìn)程端口端口TCP分用UDP分用IP分用IP數(shù)據(jù)報(bào)IP數(shù)據(jù)報(bào)發(fā)送方接收方端口在進(jìn)程之間的通信中所起的作用應(yīng)傳網(wǎng)TCP報(bào)文段UDP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

3．傳輸層的安全問(wèn)題端口的概念兩類端口一類是熟知端口，其數(shù)值一般為0~1023。當(dāng)一種新的應(yīng)用程序出現(xiàn)時(shí)，必須為它指派一個(gè)熟知端口。另一類則是一般端口，用來(lái)隨時(shí)分配給請(qǐng)求通信的客戶進(jìn)程。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）625.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）633．傳輸層的安全問(wèn)題插口(socket)TCP使用“連接”(而不僅僅是“端口”)作為最基本的抽象，同時(shí)將TCP連接的端點(diǎn)稱為插口(socket)，或套接字、套接口。插口和端口、IP地址的關(guān)系是：IP地址3端口號(hào)15003,1500插口(socket)5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）6335.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

3．傳輸層的安全問(wèn)題UDP概述UDP只在IP的數(shù)據(jù)報(bào)服務(wù)之上增加了很少一點(diǎn)的功能，即端口的功能和差錯(cuò)檢測(cè)的功能。雖然UDP用戶數(shù)據(jù)報(bào)只能提供不可靠的交付，但UDP在某些方面有其特殊的優(yōu)點(diǎn)。發(fā)送數(shù)據(jù)之前不需要建立連接UDP的主機(jī)不需要維持復(fù)雜的連接狀態(tài)表。UDP用戶數(shù)據(jù)報(bào)只有8個(gè)字節(jié)的首部開銷。網(wǎng)絡(luò)出現(xiàn)的擁塞不會(huì)使源主機(jī)的發(fā)送速率降低。這對(duì)某些實(shí)時(shí)應(yīng)用是很重要的。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）645.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）65UDP用戶數(shù)據(jù)報(bào)的首部格式偽首部源端口目的端口長(zhǎng)度檢驗(yàn)和數(shù)據(jù)首部UDP長(zhǎng)度源IP地址目的IP地址017IP數(shù)據(jù)報(bào)字節(jié)44112122222字節(jié)發(fā)送在前數(shù)據(jù)首部UDP用戶數(shù)據(jù)報(bào)2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）65U偽首部源端口目的端口長(zhǎng)度檢驗(yàn)和數(shù)據(jù)首部UDP長(zhǎng)度源IP地址目的IP地址017IP數(shù)據(jù)報(bào)字節(jié)44112122222字節(jié)發(fā)送在前數(shù)據(jù)首部UDP用戶數(shù)據(jù)報(bào)用戶數(shù)據(jù)報(bào)UDP有兩個(gè)字段：數(shù)據(jù)字段和首部字段。首部字段有8個(gè)字節(jié)，由4個(gè)字段組成，每個(gè)字段都是兩個(gè)字節(jié)。偽首部源端口目的端口長(zhǎng)度檢驗(yàn)和數(shù)據(jù)首偽首部源端口目的端口長(zhǎng)度檢驗(yàn)和數(shù)據(jù)首部UDP長(zhǎng)度源IP地址目的IP地址017IP數(shù)據(jù)報(bào)字節(jié)44112122222字節(jié)發(fā)送在前數(shù)據(jù)首部UDP用戶數(shù)據(jù)報(bào)在計(jì)算檢驗(yàn)和時(shí)，臨時(shí)把“偽首部”和UDP用戶數(shù)據(jù)報(bào)連接在一起。偽首部?jī)H僅是為了計(jì)算檢驗(yàn)和。偽首部源端口目的端口長(zhǎng)度檢驗(yàn)和數(shù)據(jù)首5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

3．傳輸層的安全問(wèn)題TCP概述2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）685.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

3．傳輸層的安全問(wèn)題TCP的數(shù)據(jù)編號(hào)與確認(rèn)TCP協(xié)議是面向字節(jié)的。TCP將所要傳送的報(bào)文看成是字節(jié)組成的數(shù)據(jù)流，并使每一個(gè)字節(jié)對(duì)應(yīng)于一個(gè)序號(hào)。在連接建立時(shí)，雙方要商定初始序號(hào)。TCP每次發(fā)送的報(bào)文段的首部中的序號(hào)字段數(shù)值表示該報(bào)文段中的數(shù)據(jù)部分的第一個(gè)字節(jié)的序號(hào)。

TCP的確認(rèn)是對(duì)接收到的數(shù)據(jù)的最高序號(hào)表示確認(rèn)。接收端返回的確認(rèn)號(hào)是已收到的數(shù)據(jù)的最高序號(hào)加1。因此確認(rèn)號(hào)表示接收端期望下次收到的數(shù)據(jù)中的第一個(gè)數(shù)據(jù)字節(jié)的序號(hào)。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）695.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

3．傳輸層的安全問(wèn)題客戶服務(wù)器方式TCP的連接和建立都是采用客戶服務(wù)器方式。主動(dòng)發(fā)起連接建立的應(yīng)用進(jìn)程叫做客戶(client)。被動(dòng)等待連接建立的應(yīng)用進(jìn)程叫做服務(wù)器(server)。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）705.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）71用三次握手建立TCP連接SYN,SEQ=x主機(jī)BSYN,ACK,SEQ=y,ACK=x1ACK,SEQ=x+1,ACK=y1被動(dòng)打開主動(dòng)打開確認(rèn)確認(rèn)主機(jī)A連接請(qǐng)求2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）71用2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）72DDoSStep1:尋找主機(jī)漏洞攻擊者2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）72D2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）73DDoSStep2:在主機(jī)和代理機(jī)上安裝軟件攻擊者被控主機(jī)攻擊代理程序攻擊代理程序被控主機(jī)2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）73D2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）74DDoSStep3:發(fā)動(dòng)攻擊受害者A開始攻擊Alice!攻擊者被控主機(jī)被控主機(jī)攻擊代理程序攻擊代理程序2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）74D2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）754．應(yīng)用層的安全問(wèn)題（1）Web服務(wù)的安全問(wèn)題。Web服務(wù)器上的漏洞一般可以分為以下幾類：1）操作系統(tǒng)本身的安全漏洞。比如由于操作系統(tǒng)本身的漏洞，使得未授權(quán)的用戶可以獲得Web服務(wù)器上的秘密文件、目錄或重要數(shù)據(jù)。2）明文或弱口令漏洞。如果客戶機(jī)和服務(wù)器間的通信是明文或弱口令加密方式，那么傳輸?shù)男畔⒅型究赡軙?huì)被網(wǎng)絡(luò)攻擊者非法攔截而暴露。3）Web服務(wù)器本身存在的一些漏洞，或者IIS(運(yùn)行于Windows下)和Apache(運(yùn)行于Linux下)本身的漏洞，使得攻擊者能侵入到主機(jī)系統(tǒng)，破壞一些重要的數(shù)據(jù)，甚至造成系統(tǒng)癱瘓。4）腳本程序的漏洞，這些漏洞給網(wǎng)絡(luò)攻擊者創(chuàng)造了條件。5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）7545.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

4．應(yīng)用層的安全問(wèn)題（1）Web服務(wù)的安全問(wèn)題。（續(xù)）除了針對(duì)漏洞進(jìn)行的攻擊以外，Web欺騙也是一個(gè)發(fā)生頻繁的安全問(wèn)題。Web欺騙允許攻擊者將對(duì)一個(gè)正常Web的訪問(wèn)流量全部引入到攻擊者的Web服務(wù)器，經(jīng)過(guò)攻擊者機(jī)器的過(guò)濾作用，允許攻擊者監(jiān)控受攻擊者的任何活動(dòng)，包括賬戶和口令。攻擊者也能以受攻擊者的名義將錯(cuò)誤或者易于誤解的數(shù)據(jù)發(fā)送到真正的Web服務(wù)器，以及以任何Web服務(wù)器的名義發(fā)送數(shù)據(jù)給受攻擊者。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）765.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

4．應(yīng)用層的安全問(wèn)題（2）FTP和TFTP服務(wù)的安全問(wèn)題。這兩個(gè)服務(wù)都是用于傳輸文件的，但應(yīng)用場(chǎng)合不同，安全程度也不同。TFTP服務(wù)用于局域網(wǎng)，在無(wú)盤工作站啟動(dòng)時(shí)用于傳輸系統(tǒng)文件，安全性極差，常被人用來(lái)竊取密碼文件/etc/passwd，因?yàn)樗粠в腥魏伟踩J(rèn)證。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）775.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

4．應(yīng)用層的安全問(wèn)題（3）Telnet的安全問(wèn)題。Telnet本身存在很多的安全問(wèn)題，主要有：1）傳輸明文。Telnet登錄時(shí)沒(méi)有口令保護(hù)，遠(yuǎn)程用戶的登錄傳送的用戶名和密碼都是明文，傳送的數(shù)據(jù)都沒(méi)有加密，網(wǎng)絡(luò)攻擊者使用任何一種簡(jiǎn)單的嗅探器就可以截獲。2）沒(méi)有強(qiáng)力認(rèn)證過(guò)程。驗(yàn)證的只是連接者的用戶名和密碼。3）沒(méi)有完整性檢查。傳送的數(shù)據(jù)無(wú)法知道是否是完整的，不能判斷數(shù)據(jù)是否被篡改過(guò)。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）785.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

4．應(yīng)用層的安全問(wèn)題（4）電子郵件的安全問(wèn)題。電子郵件面臨的安全問(wèn)題有：1）郵件拒絕服務(wù)(郵件炸彈)2）郵件內(nèi)容被截獲。3）郵件軟件漏洞非法利用。4）郵件惡意代碼。5）郵箱口令暴力攻擊(BruteForce)。6）垃圾郵件。7）用戶郵箱地址泄漏。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）795.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

4．應(yīng)用層的安全問(wèn)題（5）DNS的安全問(wèn)題。1）域名欺騙。DNS通過(guò)客戶服務(wù)器方式提供域名解析服務(wù)，但查詢者不易驗(yàn)證請(qǐng)求回答信息的真實(shí)性和有效性。攻擊者設(shè)法構(gòu)造虛假的應(yīng)答數(shù)據(jù)包，將網(wǎng)絡(luò)用戶導(dǎo)向攻擊者所控制的站點(diǎn)，為用戶提供虛假的網(wǎng)頁(yè)，或者搜集用戶的敏感數(shù)據(jù)，如郵件和網(wǎng)絡(luò)銀行賬號(hào)。2）網(wǎng)絡(luò)信息泄漏。域名服務(wù)器存貯大量的網(wǎng)絡(luò)信息，如IP地址分配、主機(jī)操作系統(tǒng)信息、重要網(wǎng)絡(luò)服務(wù)器名稱等。假如域名服務(wù)器允許區(qū)域信息傳遞，就等于為攻擊者提供了“目標(biāo)網(wǎng)絡(luò)拓?fù)鋱D”。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）805.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

4．應(yīng)用層的安全問(wèn)題（5）DNS的安全問(wèn)題。（續(xù)）3）DNS服務(wù)器拒絕服務(wù)。域名服務(wù)器是因特網(wǎng)運(yùn)行的基礎(chǔ)服務(wù)，某個(gè)單位的域名受到破壞，則大部分網(wǎng)絡(luò)用戶就無(wú)法獲得該單位提供的服務(wù)。4）遠(yuǎn)程漏洞。BIND服務(wù)器軟件的許多版本存在緩沖區(qū)溢出漏洞，黑客可以利用這些漏洞遠(yuǎn)程入侵BIND服務(wù)器所在的主機(jī)，并以root身份執(zhí)行任意命令。這種攻擊的危害性比較嚴(yán)重，黑客不僅獲得了DNS服務(wù)器上所有授權(quán)區(qū)域內(nèi)的數(shù)據(jù)信息，甚至可以直接修改授權(quán)區(qū)域內(nèi)的任意數(shù)據(jù)，同時(shí)可以利用這臺(tái)主機(jī)作為攻擊其它機(jī)器的“跳板”。關(guān)于這些漏洞的詳細(xì)信息可以查看參考文獻(xiàn)中所列的CERT安全建議。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）815.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）824．應(yīng)用層的安全問(wèn)題（5）DHCP服務(wù)的安全問(wèn)題DHCP(DynamicHostConfigurationProtocal)動(dòng)態(tài)主機(jī)分配協(xié)議，其作用是為子網(wǎng)中的客戶端統(tǒng)一分發(fā)IP地址及相關(guān)的TCP/IP屬性。DHCP攻擊原理如圖所示。5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問(wèn)題

2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）8245.2網(wǎng)絡(luò)攻擊防護(hù)應(yīng)對(duì)網(wǎng)絡(luò)安全的傳統(tǒng)對(duì)策包括技術(shù)對(duì)策、管理對(duì)策和法律對(duì)策本書的第9、10章將分別介紹管理對(duì)策和法律對(duì)策，本節(jié)概要介紹技術(shù)對(duì)策。技術(shù)對(duì)策主要包括：數(shù)據(jù)加密技術(shù)、身份認(rèn)證技術(shù)、訪問(wèn)控制技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)隔離技術(shù)、公鑰基礎(chǔ)設(shè)施PKI、安全協(xié)議技術(shù)等。本章后續(xù)內(nèi)容將分別介紹這些技術(shù)細(xì)節(jié)。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）835.2網(wǎng)絡(luò)攻擊防護(hù)應(yīng)對(duì)網(wǎng)絡(luò)安全的傳統(tǒng)對(duì)策包括技術(shù)對(duì)策、管理5.2網(wǎng)絡(luò)攻擊防護(hù)由于網(wǎng)絡(luò)安全所涉及的內(nèi)容很多，范圍很廣，因此，在許多情況下是將各種技術(shù)相互結(jié)合、綜合利用，來(lái)達(dá)到網(wǎng)絡(luò)的相對(duì)安全。TCP/IP沒(méi)有一個(gè)整體的安全體系，各種安全技術(shù)雖然能夠在某一方面保護(hù)網(wǎng)絡(luò)資源或保證網(wǎng)絡(luò)通信的安全，但是各種技術(shù)相對(duì)獨(dú)立，冗余性大，在可管理性和擴(kuò)展性方面都存在很多局限。需要從安全體系結(jié)構(gòu)的角度研究怎樣有機(jī)地組合各種單元技術(shù)，設(shè)計(jì)出一個(gè)合理的安全體系，為各種層次不同的應(yīng)用提供統(tǒng)一的安全服務(wù)，以滿足不同強(qiáng)度的安全需求。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）845.2網(wǎng)絡(luò)攻擊防護(hù)由于網(wǎng)絡(luò)安全所涉及的內(nèi)容很多，范圍很廣，5.2網(wǎng)絡(luò)攻擊防護(hù)

5.2.1網(wǎng)絡(luò)攻擊的分層防護(hù)技術(shù)攻擊發(fā)生前的防范攻擊發(fā)生過(guò)程中的防范攻擊發(fā)生后的應(yīng)對(duì)2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）855.2網(wǎng)絡(luò)攻擊防護(hù)

5.2.1網(wǎng)絡(luò)攻擊的分層防護(hù)技術(shù)攻擊2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）865.2網(wǎng)絡(luò)攻擊防護(hù)

5.2.2網(wǎng)絡(luò)安全體系框架1．網(wǎng)絡(luò)安全體系結(jié)構(gòu)的相關(guān)概念安全服務(wù)安全機(jī)制安全管理2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）8652023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）875.2網(wǎng)絡(luò)攻擊防護(hù)

5.2.2網(wǎng)絡(luò)安全體系框架2．網(wǎng)絡(luò)安全體系的三維框架結(jié)構(gòu)2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）8752023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）885.2網(wǎng)絡(luò)攻擊防護(hù)

5.2.2網(wǎng)絡(luò)安全體系框架3．安全服務(wù)之間的關(guān)系2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）8852023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）89第5章網(wǎng)絡(luò)安全2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1第52023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）90本章主要內(nèi)容網(wǎng)絡(luò)安全問(wèn)題網(wǎng)絡(luò)攻擊防護(hù)防火墻入侵檢測(cè)網(wǎng)絡(luò)隔離公鑰基礎(chǔ)設(shè)施和權(quán)限基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全協(xié)議IPv6新一代網(wǎng)絡(luò)的安全機(jī)制2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）2本章2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）915.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客(Hacker)，源于英語(yǔ)動(dòng)詞hack，意為“劈，砍”，也就意味著“辟出，開辟”，進(jìn)一步引申為“干了一件非常漂亮的工作”。多數(shù)黑客對(duì)計(jì)算機(jī)非常著迷，認(rèn)為自己有比他人更高的才能，因此只要他們?cè)敢?，就非法闖入某些禁區(qū)，或開玩笑或惡作劇，甚至干出違法的事情?，F(xiàn)在“黑客”一詞普遍的含意是指計(jì)算機(jī)系統(tǒng)的非法侵入者。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）35.2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）925.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊目前黑客已成為一個(gè)廣泛的社會(huì)群體。在西方有完全合法的黑客組織、黑客學(xué)會(huì)，這些黑客經(jīng)常召開黑客技術(shù)交流會(huì)。在因特網(wǎng)上，黑客組織有公開網(wǎng)站，提供免費(fèi)的黑客工具軟件，介紹黑客手法，出版網(wǎng)上黑客雜志和書籍?，F(xiàn)在“行黑”已變得比較容易，普通人很容易學(xué)到網(wǎng)絡(luò)攻擊的方法。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）45.2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）935.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟1）隱藏攻擊源利用被侵入的主機(jī)(俗稱“肉雞”)作為跳板進(jìn)行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞”的IP地址。使用多級(jí)代理，這樣在被入侵主機(jī)上留下的是代理計(jì)算機(jī)的IP地址。偽造IP地址。假冒用戶賬號(hào)。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）55.2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）945.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟2）信息搜集確定攻擊目標(biāo)。踩點(diǎn)，就是通過(guò)各種途徑收集目標(biāo)系統(tǒng)的相關(guān)信息，包括機(jī)構(gòu)的注冊(cè)資料、公司的性質(zhì)、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、郵件地址、網(wǎng)絡(luò)管理員的個(gè)人愛(ài)好等。掃描，利用掃描工具在攻擊目標(biāo)的IP地址或地址段的主機(jī)上，掃描目標(biāo)系統(tǒng)的軟硬件平臺(tái)類型，并進(jìn)一步尋找漏洞如目標(biāo)主機(jī)提供的服務(wù)與應(yīng)用及其安全性的強(qiáng)弱等等。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）65.2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）955.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟2）信息搜集嗅探，利用嗅探工具獲取敏感信息，如用戶口令等。攻擊者將搜集來(lái)的信息進(jìn)行綜合、整理和分析后，能夠初步了解一個(gè)機(jī)構(gòu)的安全態(tài)勢(shì)，并能夠據(jù)此擬定出一個(gè)攻擊方案。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）75.2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）965.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟3）掌握系統(tǒng)控制權(quán)一般賬戶對(duì)目標(biāo)系統(tǒng)只有有限的訪問(wèn)權(quán)限，要達(dá)到某些攻擊目的，攻擊者只有得到系統(tǒng)或管理員權(quán)限，才能控制目標(biāo)主機(jī)實(shí)施進(jìn)一步的攻擊。獲取系統(tǒng)管理權(quán)限的方法通常有：掃描系統(tǒng)漏洞、系統(tǒng)口令猜測(cè)、種植木馬、會(huì)話劫持等。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）85.2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）975.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟4）實(shí)施攻擊不同的攻擊者有不同的攻擊目的，無(wú)外乎是破壞機(jī)密性、完整性和可用性等。一般說(shuō)來(lái)，可歸結(jié)為以下幾種。下載敏感信息。攻擊其它被信任的主機(jī)和網(wǎng)絡(luò)。癱瘓網(wǎng)絡(luò)。修改或刪除重要數(shù)據(jù)。其它非法活動(dòng)。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）95.2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）985.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟5）安裝后門放寬文件許可權(quán)。重新開放不安全的服務(wù)。修改系統(tǒng)的配置，如系統(tǒng)啟動(dòng)文件、網(wǎng)絡(luò)服務(wù)配置文件等。替換系統(tǒng)本身的共享庫(kù)文件。安裝各種特洛伊木馬，修改系統(tǒng)的源代碼。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1052023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）995.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟6）隱藏攻擊痕跡清除或篡改日志文件。改變系統(tǒng)時(shí)間造成日志文件數(shù)據(jù)紊亂以迷惑系統(tǒng)管理員。利用前面介紹的代理跳板隱藏真實(shí)的攻擊者和攻擊路徑。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1155.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段1）偽裝攻擊。通過(guò)指定路由或偽造假地址，以假冒身份與其它主機(jī)進(jìn)行合法通信、或發(fā)送假數(shù)據(jù)包，使受攻擊主機(jī)出現(xiàn)錯(cuò)誤動(dòng)作。如IP欺騙。2）探測(cè)攻擊。通過(guò)掃描允許連接的服務(wù)和開放的端口，能夠迅速發(fā)現(xiàn)目標(biāo)主機(jī)端口的分配情況、提供的各項(xiàng)服務(wù)和服務(wù)程序的版本號(hào)，以及系統(tǒng)漏洞情況。黑客找到有機(jī)可乘的服務(wù)、端口或漏洞后進(jìn)行攻擊。常見的探測(cè)攻擊程序有：Nmap、Nessus、Metasploit、ShadowSecurityScanner、X-Scan等。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1005.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段3）嗅探攻擊。將網(wǎng)卡設(shè)置為混雜模式，對(duì)以太網(wǎng)上流通的所有數(shù)據(jù)包進(jìn)行嗅探，以獲取敏感信息。常見的網(wǎng)絡(luò)嗅探工具有：SnifferPro、Tcpdump、Wireshark等。4）解碼類攻擊。用口令猜測(cè)程序破解系統(tǒng)用戶帳號(hào)和密碼。常見工具有：L0phtCrack、JohntheRipper、Cain&Abel、Saminside、WinlogonHack等。還可以破解重要支撐軟件的弱口令，例如使用ApacheTomcatCrack破解Tomcat口令。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1015.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段5）緩沖區(qū)溢出攻擊。通過(guò)往程序的緩沖區(qū)寫超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它的指令。緩沖區(qū)攻擊的目的在于擾亂某些以特權(quán)身份運(yùn)行的程序的功能，使攻擊者獲得程序的控制權(quán)。6）欺騙攻擊。利用TCP/IP協(xié)議本身的一些缺陷對(duì)TCP/IP網(wǎng)絡(luò)進(jìn)行攻擊，主要方式有：ARP欺騙、DNS欺騙、Web欺騙、電子郵件欺騙等。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1025.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段7）拒絕服務(wù)和分布式拒絕服務(wù)攻擊。這種攻擊行為通過(guò)發(fā)送一定數(shù)量一定序列的數(shù)據(jù)包，使網(wǎng)絡(luò)服務(wù)器中充斥了大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓、停止正常的網(wǎng)絡(luò)服務(wù)。常見的拒絕服務(wù)(DenialofService，DoS)攻擊有：同步洪流(SYNFlooding)、Smurf等。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1035.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段7）拒絕服務(wù)和分布式拒絕服務(wù)攻擊。近年，DoS攻擊有了新的發(fā)展，攻擊者通過(guò)入侵大量有安全漏洞的主機(jī)并獲取控制權(quán)，在多臺(tái)被入侵的主機(jī)上安裝攻擊程序，然后利用所控制的這些大量攻擊源，同時(shí)向目標(biāo)機(jī)發(fā)起拒絕服務(wù)攻擊，我們稱之為分布式拒絕服務(wù)(DistributeDenialofService，DDoS)攻擊。常見的DDoS攻擊工具有：Trinoo、TFN等。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1045.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段8）Web腳本入侵。由于使用不同的Web網(wǎng)站服務(wù)器、不同的開放語(yǔ)言，使網(wǎng)站存在的漏洞也不相同，所以使用Web腳本攻擊的方式也很多。如黑客可以從網(wǎng)站的文章系統(tǒng)下載系統(tǒng)留言板等部分進(jìn)行攻擊；也可以針對(duì)網(wǎng)站后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行攻擊，還可以在網(wǎng)頁(yè)中寫入具有攻擊性的代碼；甚至可以通過(guò)圖片進(jìn)行攻擊。Web腳本攻擊常見方式有：注入攻擊、上傳漏洞攻擊、跨站攻擊、數(shù)據(jù)庫(kù)入侵等。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1055.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段9）0day攻擊。0day通常是指還沒(méi)有補(bǔ)丁的漏洞，而0day攻擊則是指利用這種漏洞進(jìn)行的攻擊。提供該漏洞細(xì)節(jié)或者利用程序的人通常是該漏洞的發(fā)現(xiàn)者。0day漏洞的利用程序?qū)W(wǎng)絡(luò)安全具有巨大威脅，因此0day不但是黑客的最愛(ài)，掌握多少0day也成為評(píng)價(jià)黑客技術(shù)水平的一個(gè)重要參數(shù)。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1065.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊的發(fā)展APT(AdvancedPersistentThreat，高級(jí)持續(xù)性威脅)攻擊，或者稱之為“針對(duì)特定目標(biāo)的攻擊”?！案呒?jí)”體現(xiàn)在利用了多種攻擊手段，包括各種最先進(jìn)的手段和社會(huì)工程學(xué)方法，一步一步地獲取進(jìn)入組織內(nèi)部的權(quán)限。攻擊者會(huì)針對(duì)被攻擊對(duì)象編寫專門的攻擊程序，而非使用一些通用的攻擊代碼?！俺掷m(xù)性”，甚至長(zhǎng)達(dá)數(shù)年。這種持續(xù)體現(xiàn)在攻擊者不斷嘗試各種攻擊手段，以及在滲透到網(wǎng)絡(luò)內(nèi)部后長(zhǎng)期蟄伏，不斷收集各種信息，直到收集到重要情報(bào)。主要針對(duì)國(guó)家重要的基礎(chǔ)設(shè)施和單位進(jìn)行，包括能源、電力、金融、國(guó)防等關(guān)系到國(guó)計(jì)民生，或者是國(guó)家核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1075.1網(wǎng)絡(luò)安全問(wèn)題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊的發(fā)2023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1085.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題TCP/IP參考模型如圖所示。TCP/IP協(xié)議族包括4個(gè)功能層：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層。這4層概括了相對(duì)于OSI參考模型中的7層。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）2052023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1095.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題（1）網(wǎng)絡(luò)接口層。網(wǎng)絡(luò)接口層有時(shí)又稱數(shù)據(jù)鏈路層，一般負(fù)責(zé)處理通信介質(zhì)的細(xì)節(jié)問(wèn)題，如設(shè)備驅(qū)動(dòng)程序、以太網(wǎng)(Ethernet)、令牌環(huán)網(wǎng)(TokenRing)。ARP和RARP協(xié)議負(fù)責(zé)IP地址和網(wǎng)絡(luò)接口物理地址的轉(zhuǎn)換工作。（2）網(wǎng)絡(luò)層。該層負(fù)責(zé)處理網(wǎng)絡(luò)上的主機(jī)間路由及存儲(chǔ)轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包。IP是網(wǎng)絡(luò)層的主要協(xié)議，提供無(wú)連接、不可靠的服務(wù)。IP還給出了因特網(wǎng)地址分配方案，要求網(wǎng)絡(luò)接口必須分配獨(dú)一無(wú)二的IP地址。同時(shí)，IP為ICMP、IGMP以及TCP和UDP等協(xié)議提供服務(wù)。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）2152023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1105.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題（3）傳輸層。該層負(fù)責(zé)提供源主機(jī)、目的主機(jī)的應(yīng)用程序間的數(shù)據(jù)流通信服務(wù)。TCP/IP協(xié)議在此層定義了TCP和UDP協(xié)議。TCP提供可靠的數(shù)據(jù)流通信服務(wù)。TCP的可靠性由定時(shí)器、計(jì)數(shù)器、確認(rèn)和重傳來(lái)實(shí)現(xiàn)。與TCP處理不同的是，UDP不提供可靠的服務(wù)，其主要的用處在于應(yīng)用程序間發(fā)送數(shù)據(jù)。UDP數(shù)據(jù)包有可能丟失、復(fù)制和亂序。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）2252023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1115.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題（4）應(yīng)用層。該層包含多種高層協(xié)議。幾乎每一個(gè)TCP/IP的實(shí)現(xiàn)都提供許多公開的應(yīng)用。HTTP：超文本傳遞協(xié)議，提供瀏覽器和WWW服務(wù)間有關(guān)HTML文件傳遞服務(wù)。FTP：文件傳輸協(xié)議，提供主機(jī)間數(shù)據(jù)傳遞服務(wù)。Telnet：虛擬終端協(xié)議，提供遠(yuǎn)程登錄服務(wù)。SMTP：簡(jiǎn)單的電子郵件傳送服務(wù)協(xié)議，提供發(fā)送電子郵件服務(wù)。DNS：域名系統(tǒng)完成域名的解析。此外，還有POP3、OSPF、NFS等其他的許多應(yīng)用協(xié)議。2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）2352023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1125.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題1．ARP協(xié)議的安全問(wèn)題2．IP層的安全問(wèn)題3．傳輸層的安全問(wèn)題4．應(yīng)用層的安全問(wèn)題2022/12/29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）2452023/1/4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）1135.1網(wǎng)絡(luò)安全問(wèn)題

5.1.2IPv4版本TCP/IP的安全問(wèn)題1