信息安全一级幻灯

第二章,高级TCP/IP分析,高级TCP/IP分析（一）,70年代中期，美国国防部高级计划署开始着手全美范围内异种计算机间的连接那时，计算机与计算机间的连接使用的还只是点对点专用线路，计算机与计算机的通讯规约采用的是各厂家自行定义的专门协议,可以互连,可以互连,不可互连,高级TCP/IP分析(二),如何实现不同网络及计算机间的互操作成为计算机联网的最关键问题到八十年代末九十年代初，有了肯定的答案：这就是采用TCP/IP协议,本章内容,第1节TCP/IP协议栈第2节物理层的安全威胁第3节网络层的安全威胁第4节传输层的安全威胁第5节应用层的安全威胁第6节IPSec协议第7节IPv6,TCP/IP协议栈,TCP/IP协议的起源和发展TCP/IP协议集TCP/IP的体系结构和特点VLSM和CIDR技术,协议,协议是为了在两台计算机之间交换数据而预先规定的标准。TCP/IP并不是一个协议，而是许多协议，而TCP和IP只是其中两个基本协议而已以寄信为例,正确的地址,姓名,邮政编码以及正确的格式才可以让信寄到收信人手中,TCP/IP协议的起源和发展,在TCP/IP协议成为工业标准之前，TCP/IP协议经历了近12年的实际测试1980年，高研署在它的网络上首先采用TCP/IP协议,TCP/IP协议集,TCP/IP（传输控制协议/网间协议）是一组网络通信协议，它规范了网络上的所有通信设备，尤其是一个主机与另一个主机之间的数据往来格式以及传送方式,TCP/IP的体系结构和特点,ISO/OSI网络的七层结构模型TCP/IP网络的四层结构模型,ISO/OSI网络的七层结构模型,网络设计者在解决网络体系结构时经常使用ISO/OSI（国际标准化组织/开放系统互连）七层模型该模型总分为7层：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层每一层代表一定层次的网络功能,OSI七层示意图,OSI参考模型从上到下共分为七层,最上层为用户面对的应用层任何一次两个用户之间的通信都需要经过这七层的数据转换,电子邮件为例,E-mail软件：Outlook,Netscape,文字！？翻译、加密,会话方式：登录、传送、释放,无误传输：分段重组、保证服务,网络间：寻址、路径选择、交换,数据流：信道争用、数据维护,电气信号：电气、机械、功能等,ApplicationPresentationSessionTransportNetworkDataLinkPhysical,比特位,数据帧,数据包,数据段,ISO/OSI数据流向,ApplicationProcessX,ApplicationProcessY,ApplicationData,CommunicationPath,PhysicalTransmissionmedium,OutgoingFrameconstruction,IncomingFramereduction,ISO/OSI参考模型各层的功能,TCP/IP网络的四层结构模型,OSI参考模型与TCP/IP模型对比,TCP/IP层次结构图,TCP/IP层次结构（一）,TCP/IP层次结构（二）,TCP/IP层次结构（三）,VLSM和CIDR技术,IP地址VLSM可变长子网掩码CIDR无类别编址,IP地址（一）,IP网络使用32位地址，通常由点分十进制表示如：它主要由两部分组成一部分是用于标识所属网络的网络地址另一部分是用于标识给定网络上的某个特定的主机的主机地址,IP地址（二）,有类地址的局限性,IPv4使用32位的地址，即在IPv4的地址空间中只有232（4,294,967,296，低于43亿）个地址可用IPv4的地址是按照网络的大小（所使用的IP地址数）来分类的，它的寻址方案使用“类”的概念。A、B、C三类IP地址的定义很容易理解，也很容易划分，但是在实际网络规划中，他们并不利于有效地分配有限的地址空间,子网（一）,一般地，32的IP地址被分为两部分，即网络号和主机号为提高IP地址的使用效率，子网编址的思想是将主机号部分进一步划分为子网号和主机号,引入子网模式后，网络号部分加上子网号才能全局唯一地标识一个物理网络。,子网（二）,子网编制模式下的路由表条目变为子网掩码，目的网络地址，下一路由器地址这样可以用子网掩码的设置来区分不同的情况，使路由算法更为简单,子网（三）,子网结构设子网掩码，子网掩码与目的地址相与，获得子网地址特定主机掩码32位为全“1”，将32位地址全部截下,子网（四）,缺省路由掩码为全“0”，目的地址也为全“0”，将报文直接送往缺省端口地址无子网结构掩码中“1”的个数与网络号位数相同,可变长子网掩码,VLSM（VariableLengthSubnetMask，可变长子网掩码）这是一种产生不同大小子网的网络分配机制。VLSM将允许给点到点的链路分配子网掩码52，而给Ethernet网络分配。VLSM技术对高效分配IP地址（较少浪费）以及减少路由表大小都起到非常重要的作用。但是需要注意的是使用VLSM时，所采用的路由协议必须能够支持它，这些路由协议包括RIP2，OSPF，EIGRP和BGP,CIDR无类别编址（一）,CIDR无类别编址（ClasslessInterDomainRouting）,CIDR无类别编址（二）,把许多C类地址合起来作B类地址分配。采用这种分配多个IP地址的方式，使其能够将路由表中的许多表项归并(summarization)成更少的数目。要使用这种归并，必须满足以下三种特性为进行选路要对多个IP地址进行归并时，这些IP地址必须具有相同的高位地址比特；路由表和选路算法必须扩展成根据32位IP地址和32位掩码做出选路决策的算法；必须扩展选路协议使其除了32位地址外，还要有32位掩码。OSPF和RIP-2都能够携带第4版BGP所提出的32位掩码。,TCP/IP协议栈,物理层的安全威胁,物理层介绍物理层的安全风险分析,物理层介绍,第一层称为物理层(PhysicalLayer)，这一层负责传送比特流提供建立、维护和拆除物理链路所需的机械、电气、功能和规程特性通过传输介质进行数据流的物理传输，故障检测和物理层管理,物理层的安全风险分析,网络分段网络拓扑,网络分段,网络分段可分为物理分段和逻辑分段两种方式，物理分段通常是指将网络从物理层和数据链路层（ISO/OSI模型中的第一层和第二层）上分为若干网段，各网段相互之间无法进行直接通讯目前，许多交换机都有一定的访问控制能力，可实现对网络的物理分段,网络拓扑,安全管理员必须了解他们保护的网络的所有布局。黑客最常用的攻击和渗透到网络中的种方法是在公司内部主机上安装一个packetsniffer。记住物理定义了介质上的电子信号。局域网使用基带传输，任何线缆上传输的数据将可被任何可以物理连接的人得到。理解你的网络布局可以帮助阻止未知的sniffer发生。最普通的网络拓扑结构是星型，总线型，环型，和复合型,网络层的安全威胁,网络层介绍网络层的安全威胁网络层的安全性网络层的安全防护,网络层介绍,网络层主要用于寻址和路由。它并不提供任何错误纠正和流控制的方法。网络层使用较高效的服务来传送数据报文,Internet协议(IP),07152331+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|版本号|IHL|服务类型|总长度|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|识别码|标志|片偏置位|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|寿命|协议|报头校验和|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|源地址|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|目的地址|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|选项|填空|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+,网络层的安全威胁,IP欺骗Internet控制信息协议(ICMP),IP欺骗（一）,黑客经常利用一种叫做IP欺骗的技术，把源IP地址替换成个错误的IP地址。接收主机不能判断源IP地址是不正确的使用IP欺骗的一种攻击很有名的一种是Smurf攻击Smurf攻击是种拒绝服务攻击,IP欺骗（二）,一个Smurf攻击向大量的远程主机发送一系列的ping请求命令。黑客把源IP地址换成想要攻击目标主机的IP地址。所有的远程计算机都响应这些ping请求，然后对目标地址进行回复而不是回复给攻击者的IP地址用。目标IP地址将被大量的ICMP包淹没而不能有效的工作,Internet控制信息协议(ICMP),当用户ping一台主机想看它是否运行时，用户端就正在产生了一条ICMP信息。远程主机将用它自己的ICMP信息对ping请求作出回应。这种过程在多数网络中不成问题。然而，ICMP信息能够被用于攻击远程网络或主机,网络层的安全性,主要优点：透明性，也就是说，安全服务的提供不需要应用程序、其他通信层次和网络部件做任何改动主要缺点：网络层一般对属于不同进程和相应条例的包不作区别。对所有去往同一地址的包，它将按照同样的加密密钥和访问控制策略来处理。这可能导致提供不了所需的功能，也会导致性能下降,网络层的安全威胁,网络分段,网络安全扫描技术,入侵检测技术,VPN技术,加密技术、数字签名和认证技术,防火墙服务,VLAN的实现,网络层的安全防护,传输层的安全威胁,传输层介绍传输层的安全性,传输层介绍,传输层控制主机间传输的数据流。传输层存在两个协议，传输控制协议(TCP)和用户数据报协议(UDP),传输层TCP和UDP,TCP是一个面向连接的协议UDP是一个非面向连接的协议,传输控制协议(TCP)（一）,传输层协议，由上层协议接收任意长度的报文，并提供面向连接的传输服务TCP接收数据流，并分成段，然后将这些段送给IP，因IP为无连接的，所以TCP必须为每个段提供顺序同步,传输控制协议(TCP)（二）,TCP握手,用户数据报协议(UDP),传输层协议，为无确认的数据报服务，只是简单的接收和传输数据UDP比TCP传输数据快,传输层的安全性,传输层安全机制的缺点要对传输层IPC界面和应用程序两端都进行修改基于UDP的通信很难在传输层建立起安全机制来传输层安全机制的主要优点它提供基于进程对进程的(而不是主机对主机的)安全服务,应用层的安全威胁,应用层介绍应用层的安全性应用层的安全防护,应用层介绍,简单邮件传输协议（SMTP）文件传输协议(FTP)超文本传输协议(HTTP)远程连接服务标准协议（Telnet）简单网络管理协议(SNMP)域名系统(DNS),DNS,SNMP,Telnet,HTTP,FTP,SMTP,应用层的安全性,想要区分一个具体文件的不同的安全性要求，那就必须借助于应用层的安全性提供应用层的安全服务实际上是最灵活的处理单个文件安全性的手段应用层提供安全服务对每个应用(及应用协议)分别进行修改,应用层的安全防护,实施强大的基于用户的身份认证实施数据加密，访问控制的理想位置加强数据的备份和恢复措施对资源的有效性进行控制，资源包括各种数据和服务,IPSec协议（一）,IPSec细则首先于1995年在互联网标准草案中颁布IPSec可以保证局域网、专用或公用的广域网及Internet上信息传输的安全IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,IPSec协议（二）,IPSec提供三种形式来保护通过IP网络传送的私有数据数据认证-可以确定所接受的数据与所发送的数据在数据完整性方面是一致的，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的完整-保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变机密性-使相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容,IPv6,从IPv4向IPv6过渡IPv6发展现状,从IPv4向IPv6过渡,通过双协议栈实现过渡双协议栈是保证能对IPv6和IPv4服务访问的关键,双协议栈方案的工作方式,IPv6技术,隧道技术翻译器技术,隧道技术,所谓隧道，就是在一方将IPv6的包封装在IPv4包里，然后在目的地将其解封，得到IPv6包,翻译器技术,IPv6发展现状,IETF正在制定大量的IPv6相关标准，包括地址结构、域名解析、安全、自动配置、邻居发现、路由协议等方面IETF于1996年建立了全球范围的试验床(Testbed)，称作6Bone1998年6月我国国家教育科研网CERNET也加入了6Bone，并于同年12月成为其骨干成员2003年IPv6网络将进入大规模实施阶段，之后IPv4和IPv6将保持长时间共存，并最终过渡到IPv6,IPv6的特点,与原有的IPv4相比，IPv6有如下优点更大的地址：将32比特的地址增大为128比特；灵活的首部格式：IPv6使用一种全新的不兼容的数据报格式增强的选项：IPv6允许数据报包含可选的控制信息，也可以提供新的设施支持资源分配：IPv6允许对网络资源的预分配，这些新的机制支持实时视像等应用对协议扩展的保障：允许协议新增特性，这样协议就从要全面描述所有细节的状况中摆脱出来,IPv6数据报的一般形式,具有多个首部的IPv6数据报的一般形式。只有基本首部是必需的，扩展首部是可选的。,IPv6基本首部格式,数据报首部的变化反映了协议的变化对齐已经从32比特的整数倍改为64比特的整数倍取消了首部长度自段，数据报长度字段被PAYLOADLENGTH字段所取代。源地址和目的地址字段的大小都被增加成每个字段16个八位组分片信息已从基本首部的固定字段移到了一个扩展首部中TIME-TO-LIVE字段改为HOPLIMIT字段SERVICETYPE字段改为FLOWLABEL字段PROTOCOL字段改为一个新的字段，用来指明下一个首部的类型,IPv6的扩展首部,IPv6的扩展首部同IPv4的任选项相似每个数据报包含的扩展首部只提供那些它所需要使用的设施,IPv6数据报的分析,IPv6的分片和重组,当数据报要穿越某个网络，而数据报的长