HC110310001HCNA-Security-CBSN第章网络安全概述VVIP

1、Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 0修订记录课程编码课程编码适用产品适用产品产品版本产品版本课程版本课程版本ISSUEHC1103华为防火墙V300R001V1.0开发开发/优化者优化者时间时间审核人审核人开发类型（新开发开发类型（新开发/优化）优化）陈灵光2011.7余雷第一版本页不打印Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. 第一章 网络安全概述Copyright 2010 Huawei Tec

2、hnologies Co., Ltd. All rights reserved. Page 2目标l学完本课程后，您将能够:p了解OSI模型p 理解TCP/IP协议原理p了解TCP/IP协议存在哪些安全问题p了解攻击者主要使用哪些攻击方式Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 3目录1.OSI模型介绍模型介绍2.TCP/IP协议介绍3.TCP/IP协议安全介绍4.常见网络攻击介绍Copyright 2010 Huawei Technologies Co., Ltd. All rights re

3、served. Page 4OSI模型的提出lOSI模型提出的目的lOSI模型设计原则lOSI模型的优点Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 5OSI模型七层介绍 应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层1234567提供应用程序间通信处理数据格式、数据加密等建立、维护和管理会话建立主机端到端连接寻址和路由选择提供介质访问、链路管理等比特流传输APDUPPDUSPDUSegmentPacketFrameBit上上三三层层下下四四层层Copy

4、right 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 6对等层通讯l每一层利用下一层提供的服务与对等层通信Host AHost BAPDUPPDUSPDUSegmentPacketFrameBit应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page

5、 7网络数据流处理流程 网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层表示层表示层会话层会话层传输层传输层应用层应用层ABCDERouter ARouter BRouter C网络层网络层数据链路层数据链路层物理层物理层表示层表示层会话层会话层传输层传输层应用层应用层Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 8目录1.OSI模型介绍2.TCP/IP协议介绍协议介绍3.

6、TCP/IP协议安全介绍4.常见网络攻击介绍Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 9TCP/IP和OSI的对应关系lTCP/IP协议栈具有简单的分层设计，与OSI参考模型有清晰的对应关系 OSITCP/IP物理层物理层数据链路层数据链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层数据链路层数据链路层网络层网络层传输层传输层应用层应用层Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page

7、10TCP/IP协议栈封装解封装过程数据链路层数据链路层网络层网络层传输层传输层应用层应用层 用户数据 用户数据 用户数据 APP TCP 用户数据 APP TCP 用户数据 APP IP TCP 用户数据 APP IP Eth10101011010101001010100011101010010101数据链路层数据链路层网络层网络层传输层传输层应用层应用层封装过程解封装过程Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 11TCP/IP协议栈各层作用提供应用程序网络接口建立端到端连接寻址和路由选择物

8、理介质访问HTTP, Telnet, FTP,TFTP, DNS数据链路层数据链路层网络层网络层传输层传输层应用层应用层Ethernet, 802.3, PPP, HDLC, FRTCP/UDPIPICMP, IGMPARP, RARPCopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 12TCP/IP协议栈各层作用提供应用程序网络接口建立端到端连接寻址和路由选择物理介质访问HTTP, Telnet, FTP,TFTP, DNS数据链路层数据链路层网络层网络层传输层传输层应用层应用层Ethernet, 8

9、02.3, PPP, HDLC, FRTCP/UDPIPICMP, IGMPARP, RARPCopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 13套接字 HTTPFTPTelnetSMTPDNSTFTPSNMPTCPUDPIP 数 据 包套套 接接 字字8020/2123255369161l 源套接字：源IP地址协议源端口l 目的套接字：目的IP地址协议目的端口Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page

10、14数据链路层协议目的地址源地址类型 数据CRC46-1500字节l以太网协议封装l 类型信息 类型，0800：代表IP 类型，0806：代表ARP 类型，8035：代表RARPCopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 15地址解析协议 目的 地址 源 地址 帧类型硬件类型 协议类型地址长度OP源地址目的地址28字节ARP请求/应答l地址解析协议（地址解析协议（ARP）封装）封装硬件地址长度协议地址长度以太网地址IP地址l IP协议类型：0806Copyright 2010 Huawei Tec

11、hnologies Co., Ltd. All rights reserved. Page 16网络层协议版本报文长度服务类型总 长 度标 识 符标志片 偏 移生存时间协 议报 头 校 验 和源 IP 地 址目 的 IP 地 址IP 选 项Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 17传输层协议源端口目的端口序列号确认号URGACKPSHRSTSYNFIN首部长度保留(6位)窗口大小TCP校验和紧急指针选项数据08162431源端口目的端口UDP校验和（可选）数据UDPUDP报文格式报文格式TC

12、PTCP报文格式报文格式UDP长度Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 18建立TCP连接l三次握手SYN (seq=a)SYN (seq=b, ack=a+1)ACK (seq=a+1,ack=b+1)ClientServerCopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 19断开TCP连接l四次握手FIN (seq=a)ACK (seq=a+1)FIN (seq=b, ack=a+1)ACK (

13、seq=b+1)主动关闭方主动关闭方被动关闭方被动关闭方Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 20目录1.OSI模型介绍2.TCP/IP协议介绍3.TCP/IP协议安全介绍协议安全介绍4.常见网络攻击介绍Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 21TCP/IP协议安全隐患lTCP/IP协议栈-IPV4p缺乏数据源验证机制p缺乏完整性验证机制p缺乏机密性保障机制lTCP/IP协议族栈所面临的常

14、见安全风险p数据链路层：Mac欺骗、Mac泛洪、ARP欺骗、STP重定向等p网络层：IP欺骗、报文分片、ICMP攻击及路由攻击等p传输层：SYN Flood攻击等p应用层：缓冲区溢出、漏洞、病毒及木马等Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 22ARP协议安全隐患lARP欺骗攻击lARP Flood攻击IP:0 MAC:00-01-02-03-04-05IP:1 MAC:00-10-20-30-40-50网关网关IP:MAC:0

15、1-11-21-31-41-51ARP-reply to 我才是真正的网关Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 23IP协议安全隐患B:2A: 1Sniffer1requestsnifferedSpoofed replyl节点间信任关系节点间信任关系：通过IP地址建立信任关系l中间人攻击中间人攻击：仿冒合法IP地址，获取机密信息；为何IP易于欺骗Copyright 2010 Huawei Technolo

16、gies Co., Ltd. All rights reserved. Page 24IP协议安全隐患B:2A: 1Sniffer1requestsnifferedSpoofed replyl节点间信任关系节点间信任关系：通过IP地址建立信任关系l中间人攻击中间人攻击：仿冒合法IP地址，获取机密信息；为何IP易于欺骗Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 25TCP协议安全隐患主机 A主机 BSYNseqack1110010sp

17、oofed packet from C to ASYNseqacCK1ACKseqack11100154003spoofed packet from B to A拒绝服务攻击 from C to BA 信任 B攻击主机 C非授权连接Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 26目录1.OSI模型介绍2.TCP/IP协议介绍3.TCP/IP协议安全介绍4.常见网络攻击介绍常见网络攻击介绍Copyright 2010 Huawei Technologies Co., Ltd

18、. All rights reserved. Page 27被动攻击主机 B主机 AInternet为何IP易于欺骗防范检测侦 听Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 28主动攻击Internet主机 A企业业务资源假冒攻击篡改攻击拒绝服务攻击报文首部 篡改内容假冒部位 数据载荷Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 29中间人攻击主机 B主机 AInternet被动攻击主动攻击信息窃取信息篡改攻击者Copyright 2010 Hua