第5章 网络安全技术(2)

1、第5章网络安全技术 5.6 ARP欺骗 网络窃听是指截获和复制系统、服务器、路由器、防火墙等设备中所有的网络通信信息，不仅可以用于安全监控，也是攻击者用来截获网络信息的重要方式。ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。对路由器ARP表的欺骗截获网关数据。即通过路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发给错误的MAC地址，造成正常PC无法收到信息。对内网PC的网关欺骗伪造网关。建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常

2、的路由器途径上网。在PC看来，就是上不了网了。5.6 ARP欺骗5.6 ARP欺骗例：本网络内，所有向外发送的数据包，都会被转发到攻击者的主机（A）上，从而获得敏感信息。实验五 arp欺骗【实验目的】加深对ARP高速缓存的理解掌握ARP欺骗在网络攻击中的应用【实验内容】被欺骗者可以ping通欺骗者。 进行arp欺骗。 被欺骗者不可以ping通欺骗者。5.7 防火墙技术 什么是防火墙防火墙的功能防火墙的局限性防火墙的体系结构防火墙的实现技术防火墙示意图防火墙示意图什么是防火墙什么是防火墙定义：防火墙（Firewall）是一种用来加强网络之间访问控制的特殊网络互连设备，是一种非常有效的网络安全模型

3、。核心思想：在不安全的网际网环境中构造一个相对安全的子网环境。目的：都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道，以按照事先制定的策略控制信息的流入和流出，监督和控制使用者的操作。从网络防御体系上看，防火墙是一种被动防御的保护装置。防火墙是根据过滤规则来判断是否允许某个访问请求。防火墙是根据过滤规则来判断是否允许某个访问请求。防火墙的功能网络安全的屏障（隔离内外网络）；过滤不安全的服务（两层含义） ； 内部提供的不安全服务和内部访问外部的不安全服务（双向）阻断特定的网络攻击（联动技术的产生） ；部署NAT机制；是提供了监视局域网安全和预警的方便端点。 提供包括安全和统计数据在

4、内的审计数据，好的防火墙还能灵活设置各种报警方式。防火墙的局限性只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力。不能解决来自内部网络的攻击和安全问题。不能防止受病毒感染的文件的传输。不能防止策略配置不当或错误配置引起的安全威胁。不能防止自然或人为的故意破坏，不能防止本身安全漏洞的威胁。防火墙的体系结构分组过滤路由器双宿主机屏蔽主机屏蔽子网防火墙的体系结构：防火墙系统实现所采用的架构及其实现所采用的方法，它决定着防火墙的功能、性能以及使用范围。分组过滤路由器分组过滤路由器作为内外网连接的唯一通道，要求所有的数据包都必须在此通过检查。通过在分组过滤路由器上安装基于IP层的报文

5、过滤软件，就可利用过滤规则实现报文过滤功能。在单机上实现，是网络中的“单失效点”。不支持有效的用户认证、不提供有用的日志，安全性低。双宿主机双宿主机双宿主机双宿主机在被保护网络和Internet之间设置一个具有双网卡的堡垒主机，IP层的通信完全被阻止，两个网络之间的通信可以通过应用层数据共享或应用层代理服务来完成。通常采用代理服务方式。堡垒主机上运行着防火墙软件，可以转发应用程序和提供服务等。堡垒主机的系统软件可用于身份认证和维护系统日志，有利于进行安全审计。防火墙仍是网络的“单失效点”。隔离了一切内部网与Internet的直接连接，不适合于一些高灵活性要求的场合。屏蔽主机堡垒主机堡垒主机分组

6、过滤路由器分组过滤路由器屏蔽主机一个分组过滤路由器连接外部网络，同时一个运行网关软件的堡垒主机安装在内部网络。通常在路由器上设立过滤规则，使这个堡垒主机成为从外部唯一可直接到达的主机。提供的安全等级较高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。过滤路由器是否正确配置是这种防火墙安全与否的关键。屏蔽子网堡垒主机堡垒主机外部路由器外部路由器内部路由器内部路由器屏蔽子网是最安全的防火墙系统，它在内部网络和外部网络之间建立一个被隔离的子网（非军事区，DMZ，专门提供服务的场所）在很多实现中，两个分组过滤路由器放在子网的两端，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子

7、网通信通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中堡垒主机通常是黑客集中攻击的目标，如果没有DMZ，入侵者控制堡垒主机后就可以监听整个内部网络的会话防火墙的实现技术 数据包过滤（Packet Filtering）代理服务（Proxy Service）状态检测（Stateful Inspection）网络地址转换NAT （Network AddressTranslation ）数据包过滤数据包过滤数据包过滤技术是一种简单、高效的安全控制技术，是防火墙发展初期普遍采用的技术。工作原理： 系统在网络层检查数据包，与应用层无关，因此它不能控制传输数据的内容。 依据在系统内设置的过滤规则（通常

8、称为访问控制表Access Control List）对数据流中每个数据包包头中的参数或它们的组合进行检查，以确定是否允许该数据包进出内部网络。数据包过滤包过滤一般要检查（网络层的IP头和传输层的头）：IP源地址IP目的地址协议类型（TCP包/UDP包/ICMP包）TCP或UDP的源端口TCP或UDP的目的端口ICMP消息类型TCP报头中的ACK位数据包过滤举例： 某条过滤规则为：禁止地址1的任意端口到地址2的80端口的TCP包。 含义？ 表示禁止地址1的计算机连接地址2的计算机的WWW服务。数据包过滤优点： 逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好。主要缺点： 安全控制的力度只

9、限于源地址、目的地址和端口号等，不能保存与传输或与应用相关的状态信息，因而只能进行较为初步的安全控制，安全性较低； 数据包的源地址、目的地址以及端口号等都在数据包的头部，很有可能被窃听或假冒。代理服务代理服务是运行于连接内部网络与外部网络的主机（堡垒主机）上的一种应用，是一种比较高级的防火墙技术。 工作过程： 当用户需要访问代理服务器另一侧的主机时，对符合安全规则的连接，代理服务器会代替主机响应，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序把相应连接进行映射来实现。对于用户而言，似乎是直接与外部网络相连。代理服务主要优点： 内

10、部网络拓扑结构等重要信息不易外泄，从而减少了黑客攻击时所必需的必要信息；可以实施用户认证、详细日志、审计跟踪和数据加密等功能和对具体协议及应用的过滤，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹，安全性较高。代理服务主要缺点：针对不同的应用层协议必须有单独的应用代理，也不能自动支持新的网络应用；有些代理还需要相应的支持代理的客户和服务器软件；用户可能还需要专门学习程序的使用方法才能通过代理访问Internet，大大增加了系统管理的复杂性。工作在高层，信息处理效率低，性能下降。状态检测状态检测状态检测防火墙是在动态包过滤的基础上，增加了状态检测机制而形成的；动态包过滤与普通包过滤

11、相比，需要多做一项工作：对外出数据包的“身份”做一个标记，允许相同连接的进入数据包通过。利用状态表跟踪每一个网络会话的状态，对每一个数据包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态；状态检测防火墙采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，并动态地保存起来作为以后制定安全决策的参考。状态检测既能够提供代理服务的控制灵活性，又能够提供包过滤的高效性，是二者的结合；工作过程： 对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接；请求数据包通过，并记录下该连接的相

12、关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。状态检测主要优点： 高安全性（工作在数据链路层和网络层之间） 高效性（对连接的后续数据包直接进行状态检查） 应用范围广（除支持TCP外还支持基于无连接协议的应用）主要缺点： 状态检测防火墙在阻止DDoS攻击、病毒传播问题以及高级应用入侵问题（如实现应用层内容过滤）等方面显得力不从心。它仅仅是一个单一的设备。网络地址转换 网络地址转换/翻译（NAT，Network Address Translation）就是将一个IP地址用另一个IP地址代替。NAT的主要作用： 隐藏内部网络的IP地址； 解决地址紧缺问题。注意：NAT本身并不

13、是一种有安全保证的方案，它仅仅在包的最外层改变IP地址。所以通常要把NAT集成在防火墙系统中。防火墙实例Windows中防火墙配置Linux防火墙配置5.8 入侵检测技术IDS存在与发展的必然性网络安全本身的复杂性，被动式的防御方式显得力不从心。有关防火墙：网络边界的设备；自身可以被攻破；对某些攻击保护很弱；并非所有威胁均来自防火墙外部。入侵很容易：入侵教程随处可见；各种工具唾手可得5.8 入侵检测技术入侵检测（Intrusion Detection）的定义：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全

14、技术。入侵检测系统（IDS）：进行入侵检测的软件与硬件的组合。IDS被认为是防火墙之后的第二道安全技术。IDS基本结构IDS通常包括以下功能部件：事件产生器事件分析器事件数据库响应单元事件产生器负责原始数据采集，并将收集到的原始数据转换为事件，向系统的其他部分提供此事件。收集内容：系统、网络数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息 系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为入侵检测很大程度上依赖于收集信息的可靠性和正确性事件分析器接收事件信息，对其进行分析，判断是否为入侵行为或异常现象，最后将判断的结果

15、转变为告警信息。分析方法：模式匹配：将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为统计分析：首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）；测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生完整性分析（往往用于事后分析）：主要关注某个文件或对象是否被更改事件数据库 存放各种中间和最终数据的地方。 从事件产生器或事件分析器接收数据，一般会将数据进行较长时间的保存。响应单元根据告警信息做出反应，是IDS中的主动武器。可做出：强

16、烈反应：切断连接、改变文件属性等简单的报警IDS的工作原理每个子网有一台入侵检测主机，以监视所有网络活动，一旦发现入侵则立即报警，同时记录入侵信息。一般通过这些手段：特征库匹配(模式匹配)、基于统计的分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。IDS的主要功能识别黑客常用入侵与攻击手段。监控网络异常通信。鉴别对系统漏洞及后门的利用。完善网络安全管理。 IDS的分类 根据原始数据的来源IDS可以分为：基于主机的入侵检测和基于网络的入侵检测。基于主机的入侵检测（HIDS）系统获取数据的依据是系统运行所在的主机，保护目标也是所在的主机。安装在单个主机或服务器系统上

17、，对针对主机或服务器系统入侵行为进行检测或响应，对主机系统进行全面保护的系统。IDS的分类基于网络的入侵检测（NIDS）。系统获取的数据是网络传输的数据包，保护的是网络的正常运行。使用原始的网络分组数据包作为攻击分析的数据源，通常利用在混杂模式下的网段上的通信业务，通过实时捕获网络数据包进行分析，能够检测该网段上发生的入侵行为。IDS的分类根据检测原理IDS可以分为：异常入侵检测和误用入侵检测。（1）异常入侵检测：根据异常行为和使用计算机资源的情况检测出来的入侵。（2）误用入侵检测：利用已知系统和应用软件的弱点攻击模式来检测入侵。根据工作方式IDS可以分为：离线检测和在线检测。入侵检测目前所存

18、在的问题误/漏报率高 比如异常检测通常采用统计方法来进行检测，而统计方法中的阈值难以有效确定，太小的值会产生大量的误报，太大的值又会产生大量的漏报。没有主动防御能力 IDS技术采用预设置、特征分析的工作原理，所以检测规则的更新总是落后于攻击手段的更新。5.9 入侵防御技术IPS是一种主动的、积极入侵防范、阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。入侵防御技术是在入侵检测技术的基础上增加了主动响应的功能，一旦发现有攻击行为，则立即响应，并且主动切断连接。5.9 入侵防御技术IPS能够实时检测入侵、阻止入侵的原理在于IPS拥有大量的过滤器，针对不同的攻击行为，IPS需要不同的过滤器，每种过滤器都设有相应的过滤规则。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。通过检查的数据包可以继续前进，包含恶意内容的数据包就