网络安全工程师培训教材

信息安全基础中科院计算所教育中心1信息安全的定义国际标准化组织(ISO)的定义为：“为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露”。2入侵技术的发展半开放隐蔽扫描 工具高入侵者水平

包欺骗嗅探擦除痕迹

DDOS攻击www攻击破坏审计系统

自动探测扫描GUI远程控制检测网络管理攻击手法

控制台入侵利用已知的漏洞密码破解可自动复制的代码

攻击者1980 1985 1990 1995 2000 20023入侵系统的常用步骤提升为最高权限攻击其他系统提升为最高权限攻击其他系统获取敏感信息获取敏感信息分析作为其他用途端口判断清除入侵脚印安装多个系统后门获取系统一定权限选择最简方式入侵作为其他用途端口判断清除入侵脚印安装多个系统后门获取系统一定权限选择最简方式入侵4安全意识考验上。使用telnet。开启了一个ftp一些东西。会有哪些风险出现？5很多协议明文传输6788信息安全的目的信息安全的目的一些术语机密性：确保信息不暴露给未授权的实体或进程完整性：确保信息未被未授权篡改或者损坏实体鉴别：验证一个实体的身份数据源发鉴别：验证消息来自可靠的源点签名：一种绑定实体和信息的办法抗否认：防止对以前行为否认的措施9攻击攻击分类：被动攻击与主动攻击,但可以防范releaseofmessagecontent信息内容泄露trafficanalysis流量分析,可以被检测到,但难以防范Masquerade伪装Replay重放modificationofmessage消息篡改denialofservice拒绝服务10攻击者的能力-中断用性（availability）。硬件的毁坏，通信线路的切断。DoS攻击，病毒导致的文件破坏，丢失。信息源 信息目的地信息源 信息目的地11攻击者的能力-窃听一个非授权方介入系统的攻击，破坏保密性(confidentiality).密码窃听，会话劫持。信息源 信息目的地信息源 信息目的地12攻击者的能力-修改篡改的攻击，破坏完整性（integrity）。对协议的攻击，缓冲区溢出。信息源信息目的地信息源信息目的地13攻击者的能力-伪造伪造实性（authenticity）的攻击。冒充，phishing。信息源信息目的地信息源信息目的地14MP2DRR安全策略 P

P 访问控制机制D安全模型MP安全模型MP2DRR管理 M

R R安全响应机制15CC定义的安全概念模型所有者对 策漏洞攻所有者对 策漏洞攻击者 风 险威胁 资对 对 漏洞 风 风 险风 风 险 威胁 资产 16可用性Availability体在适合的时间，要求的方式，及时、可靠的访问。甚至在信息系统部分受损或需要降级使用时，仍能为授权用户提供有效服务。不要出现非授权者滥用却对授权者拒绝服务的情况。硬件可用性最为直观和常见。软件率。人员可用性是指人员成功地完成工作或任务的概率。17机密性(保密性) Confidentiality机密性服务是用加密的机制实现的。密级文件经过加密可以公开存放和发送。构建加密通道的需要，防止搭线窃听和冒名入侵。解密。密码算法是用于加密和解密的数学函数18密码算法分类对称密码算法:古典密码：简单代替 多名或同音代替多表代替 多字母或多码代替现代对称分组密码: DES AES非对称（公钥）算法 RSA、背包密码、椭圆曲线ECC完整性Integrity数据完整性，未被未授权篡改或者损坏系统完整性，系统未被非授权操纵，按既定的功能运行20消息鉴别MessageAuthentication消息鉴别（MessageAuthentication)：是一个证实收到的消息来自可信的源点且未被篡改的过程。消息鉴别码MAC(MessageAuthenticationCode)公开函数+散列函数(HashFunction)定长的散列码，有时也称报文摘要，作为输出。21鉴别(认证)Authentication实体鉴别（身份鉴别）：会和实体想要进行何种活动相联系。数据原发鉴别：的实体与一些特定数据项有着静态的不可分割的联系。IP,口令,认证协议智能卡指纹面部扫描、视网膜、语音22一个认证协议AS: A,B,NaSA: {Na,B,Kab,{Kab,A}Kbs}KasAB: {Kab,A}KbsBA: {Nb}KabAB: {Nb-1}Kab23访问控制AccessControl是针对越权使用资源的防御措施。基本目标：防止对任何资源（源）进行未授权的访问。从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。如unix系统中访问控制通过文件系统同时也是unix系统安全的核心。-rwxrwxr-x root root 13716Jul 2 05:59a.out-rw-rw-r-- vick vick 79Jun2116:28hello.c24其他性质不可否认性Non-repudiation要求无论发送方还是接收方都不能抵赖所进行的传输数字签名（Digital 是一种防止源点或终点抵赖的鉴别技术。25其他性质审计Accountability确保实体的活动可被跟踪可靠性Reliability特定行为和结果的一致性26考虑可能的安全威胁你在家里通过ADSL后，打开一家银行的网上银行系统，登录并查看自己的账户。会有哪些风险？27APWG（04年11月成立，网址为/）最新统计指出，约有70.8％的网络欺诈是针对金融机构而来，而最常被仿冒的前三家公司为：Citibank（花旗银行）、eBay和Paypal。28工行的安全措施预留信息验证使用U盾口令卡29预留信息30U盾安装U盾驱动程序。下载证书信息，可委托网点柜员协助下载个人证书信息到U盾体内，也可以登录工行个人网上银U盾自助下载”，完成证书信息下载。U盾插入电脑的USB接口，输入U盾密码，并经银行系统验证无误，即可完成支付业务。31安全性帐号U盾U盾密码32电子银行口令卡客户在使用电子银行进行转账、购物、缴费等支付交易时，电子银行系统会随机给出一组口令卡33口令卡与U盾相比，电子银行口令卡的加密认证手段虽不如前者先进，但口令卡价格低廉、使用方便，适合对支付限额要求不高的普通客户使用。如果对网上银行的安全有较高的要求，建议申请U盾。34电子银行口令卡的使用35电子银行口令卡的使用电子银行口令卡目前没有使用时间的限制，但有1000次的使用次数限制。36电子银行口令卡的使用37三维模型38再看一个模型系统系统配置检测系统

网络安全巡警防火墙技术集中访问控制防火墙技术集中访问控制

。。。安全操作系统安全操作系统安全管理规范网络病毒监控与清除地址过滤系统审计信息监控与取证系统

访问控制

000网络系统安全策略000

理安 管 全 点级用 操 级应 作 统 系 测系 统络 信息网数据密级管理信源加密信道加密 加密，线路加密数据密级管理信源加密信道加密 VPN安全网关网络入侵检测

入侵检测系统 39国家安全威胁信息战士国家安全威胁信息战士获得战略优势，制造混乱，进行目标破坏情报机构搜集政治、军事，经济信息共同威胁恐怖分子破坏公共秩序，制造混乱，发动政变工业间谍掠夺竞争优势，恐吓犯罪团伙施行报复，实现经济目的。破坏制度社会型黑客攫取金钱，恐吓，挑战获取声望局部威胁娱乐型黑客以吓人为乐，喜欢挑战，40安全事件1988年康奈尔大学的研究生罗伯特.莫里斯(22岁)针对UNIX的缺陷设计了一个“蠕虫”程序,感染了6000台计算机，使Internet不能正常运行，造成的经济损失达1亿美元。他因此被判1万美元、做400小时的社区服务。41安全事件99年4月26日，台湾人编制的CIH爆发，有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中，经济损失高达近12亿元。42安全事件月份黑客攻击的浪潮，是互连网问世以来最为严重的黑客事件。三天内黑客使美国数家顶级互联网站——马逊、EBAY、CNN陷入瘫痪，造成直接经济损失12亿美元。并引起股市动荡。引起美国道琼斯股票指数下降了200多点。成长中的高科技股纳斯达克股票也一度下跌了80点。43现状占了OS世界市场90％的微软操作系统被发现的脆弱数(漏洞快速增长。NSA认为，对美国国防部系统的成功攻击90%了已知的漏洞。现状攻击变得容易——术上的技巧就能攻击70％的脆弱性；攻击节奏加快——以前对某一漏洞的攻击一般是发生在公布该漏洞之后的半年左右，但在2004生在公布漏洞的5.8天之后，而Witty蠕虫的攻击更在该漏洞之后的48小时之内发生；452005年我国木马分布抽样监测情况462006年前八个月中国网页被黑情况47实例：数据库安全数据库mysql默认安装后存在root空口令漏洞，mysql–h-uroot解决方法：设置root密码#./mysqladmin-urootpassword"passwd"或者：mysql>grantselect,insert,update,deleteon*.*toroot@"%"identifiedby"passwd"；48实例：数据库安全SQLServer可能存在SQL空口令漏洞。supersqlexec工具，连接成功后，在命令行中输入:netuserguest/active:yes>Thecommandcompletedsuccessfully.netuserguest123456ThecommandcompletedsuccessfullynetlocalgroupadministratorsguestThecommandcompletedsuccessfully.这几个命令意思是将guest用户激活，密码是123456，并提升为admin。49解决方法运行SQLServer管理工具，给SA帐号加上强壮密码。另外，最好执行SQL命令行：“usemastersp_dropextendedproc'xp_cmdshell'”这样就算攻击者获得SA帐号密码远程连接后，也不能调用CMDSHELL了。50实例：数据库安全,下载稍微修改即加以使用。找到数据库路径，如http//www.***.net/ADMIN/DATA/news30000.mdbMSofficeacess打开，双击Admin（设计良好的程序不会以明文显示）。51解决修改数据库的名称和路径，以及相应的连接。可以手工修改或者采用修改工具。如某论坛安装程序释放后的临时目录为data文件夹，可以看到一个名为“Dvbbs7.mdb”的数据库文件。可以将它改为“i168love97943298you324#666.asp”。在c:\Temp中找到名为CONN.asp的文件，找到“Dbdata/Dvbbs7.mdb”这一行，改为刚才修改后的名称。52现状问题进行了调查。感染计算机病毒、蠕虫和木马程序况，占发生安全事件总数的８４％，“遭到端口扫描或网络攻击”和“垃圾邮件”分别占３６％和３５％。降７％；内外部均有的占３４.５％，比去年上升１０.５致。８０％的感染率呈下降趋势。53垃圾邮件刊物、各种形式的宣传品等宣传性的电子邮件；收件人无法拒收的电子邮件；隐藏发件人身份、地址、标题等信息的电子邮件；件；信息的邮件。54电子邮件工作原理用户通过UA（如outlook、foxmail等）书写邮件，然后由UA将邮件发送给MTA，MTA负责将邮件发送到目的地MTA，但中间可能经过多个MTA传递。邮件到达目的地MTA后，再通过MDA将邮件放到MS（箱）中。55针对垃圾邮件的对策基于信源（发信地址）的邮件过滤基于规则的邮件过滤基于内容的邮件过滤56黑白名单列表或MTA中设置和维护，从白名单来的邮件都被认为是合法邮件，而从黑名单来的邮件被认定为垃圾邮件。MTA自动地进行学习获得。MTA）等等。57蜜罐技术蜜罐技术相结合，即借助设置蜜罐（使用的诱饵邮箱）实时黑名单由实时黑名单服务器提供，如的RBL、RBL+服务器，以及国内的反垃圾邮件联盟（http://anti-）等。58基于规则的邮件过滤个MTA，每个MTA都会在信件头部加入一条Received的信息。垃圾邮件通常伪造From地址（即发信人地址），但无法伪造Received信息，故通过比较Received域和From地址可判断发信地址是否为伪造的。关键词匹配：当在邮件标题或者正文中匹配到如“free”、“免费”、“抢注”、“热卖”、“赠送”判定为垃圾邮件。包含有大量的随机字符等等；59SpamAssassin开源软件SpamAssassin规则集中有上百条规（正或60基于内容的邮件过滤器学习的方法识别出垃圾邮件。机器学习方法过滤垃圾邮件通常包含3个阶段：文档表标记邮件分为垃圾邮件和正常邮件。新学习。有智能性很高的算法，语料训练需要较多的时间和空间等。61网络信息安全层次层次一：物理环境的安全性（物理层安全）层次二：操作系统的安全性（系统层安全）层次三：网络的安全性（网络层安全）层次四：应用的安全性（应用层安全）层次五：管理的安全性（管理层安全）62信息安全策略自上而下地制定安全策略最小特权原则最薄弱环节（被忽视的环节）失效保护机制采用多防线技术不要太过于依赖系统操作定期备份普遍参与63物理安全以及人为物理手段犯罪行为导致的破坏、丢失。考虑三个方面：环境安全设备安全媒介安全64网络物理与结构安全对于机房环境安全，应符合相关的国家标准：GB50173-93《电子计算机机房设计规范》；GB2887-89《计算站场地技术条件》；GB9361-88《计算站场地安全要求》等。余设计；员工整体安全意识的提高。全，要防止系统信息在空间的扩散。65计算机主机的安全3389漏洞输入法漏洞windows2000中文简体版终端服务使用mstsc进行连接帮助->操作指南->在最上面右击->跳转到url->填c:\windows\system32或者file:///c:\676869创建net.exe的快捷方式属性里在net.exeuserguestactive:yes同样的，可运行：netuserwinadin/addnetuserwinadin"xxxx"netlocalgroupadministratorswinadin/add7071防范打补丁，sp2以上已经没有该漏洞。删除输入法的帮助文件。c:\windows\help输入法操作指南winsp.chm 双拼输入法winzm.chm 郑码输入法winpy.chm全拼输入法wingb.chm 内码输入法72关闭远程桌面服务73防范意识及时给系统打补丁，防止绝大多数利用漏洞的攻击。使用netstat查看与主机的连接，如果有可疑情况（如陌生的IP，端口号大于1000），看是否有木马。检查主机中是否多了陌生的用户，或guest活。netuser命令查看所有用户，netuserGuest经常查看系统开了哪些服务，把不必要的或不认识的关netstart查看服务，netstop"servername"关掉服务，services.msc修改注册表。74防范措施1.禁用Guest帐号2.停止共享3.关闭不必要的服务4.禁止建立空连接75禁用Guest帐号把Guest个帐号进一步获得管理员密码或者权限的。计算机管理->本地用户和组->Guest“常规”页中选中“账户已停用”。7677停止共享点击开始→运行→cmd，然后在命令行方式下键入命令“netshare”的共享。管理工具→计算机管理→共享文件夹→共享，在相应的共享文件夹上按右键，点“止共享”。7879或者netshareipc$/deletenetshareadmin$/deletenetsharec$/deletenetshared$/deletenetsharee$/delete80关闭不必要的服务尽量关闭不必要的服务，如TerminalServices、IIS（如果你没有用自己的机器作Web服务器的话）、RAS（远程访问服务）等。烦人的MessengerServer服IIS服务，则不要关闭这个服务。8182禁止建立空连接禁止建立空连接的两种方法(1)修改注册表：HKEY_Local_Machine\System\CurrentControlSet\Control\LSA下，将DWORD值RestrictAnonymous的键值改成1。(2)修改Windows的本地安全策略：设置“本地安全策略→本地策略→选项”中的匿名连接的额外限制）为“不容许枚举SAM账号和共享”。838485防毒软件．防毒软件是最为人熟悉的安全工具，可以检86网络病毒防范考虑内部网络系统运行环境复杂，网上用户数多，同Internet有连接等，需在网络上建立多层次的病毒防护体系，对桌面、服务器和网关等潜在病毒进入点实行全面保护。（1) 建立基于桌面的反病毒系统在内部网中的每台桌面机上安装单机版的反病毒软件，实时监测和捕获桌面计算机系统的病毒，防止来自软盘、光盘以及活动驱动器等的病毒来源。（2）建立基于服务器的反病毒系统在网络系统的文件及应用服务器（一些关键的WindowsNT服务器）上安装基于服务器的反病毒软件，实时监测和捕获进出服务器的数据文件病毒，使病毒无法在网络中传播。87网络病毒防范建立基于群件环境的反病毒系统在网络系统的LoutsNotes和MsExchange服务器上安装基于群件环境的反病毒软件，堵住夹在文档或电子邮件中的病毒。建立基于Internet网关的反病毒系统在代理服务器（Proxy）网关上安装基于网关的反病毒软件，堵住来自Internet通过Http或Ftp等方式进入内部网络的病毒。建立病毒管理控制中心在中心控制台实施策略配置和管理、统一事件和告警处理。通过自动更新、分发和告警机制，使桌面PC和服务器等设备自动获得最新的病毒特征库。88个人对病毒的防范经常进行数据备份，特别是一些非常重要的数据及文件，以免被病毒侵入后无法恢复。对系统引导区、Boot区及FAT表等要做好备份。用regedit的导出和导入功能备份注册表。采用一套较好的驻留式防病毒软件，以便进行实时监控，及时控制病毒的入侵,并及时、可靠地升级反病毒产品。打开邮件的附件之前一定要三思而后行，即使是来自你信任的人，因为你的朋友很可能已经被病毒感染，89数据备份1.c盘或盘的备份，适用于服务器。2.据。3.后修改备份标志位，而差量备份不修改。备份和归档不是一个概念。90背景知识：BIOS在刚开机时，根据X386CPU的特性，CS=FFFF、IP=0000。这时CPU根据CS和IP的值执行FFFF0H处的指令。FFFF0H已经到了基本内存的高地址顶端，此处的指令一般总是一个JMP指令，jump到ROMBIOS的入口地址。然后ROMBIOS进行开机自检，如检查内存，键盘等。最后，ROMBIOS读取磁盘上的第一个扇区并将这个扇区的内存装入内存。91启动-MBR硬盘的第一扇区称为主引导记录（MBR）。MBR的长度为512字节。可分为两部分：第一部分为引导代码区，占了446个字节；第二部分为分区表，共有66个字节，记录硬盘的分区信息。以BIOS的magicnumberAA55结束。MBR的代码要作以下的操作：确定活动分区。使用BIOS,将活动分区的启动扇区读入。跳到启动扇区的0位置。如果用软盘启动计算机，ROMBIOS读入的是软盘的引导区，既软盘的第一个扇区。92分区表分区表有4项。叫做4个主分区,置其中一个为扩展分区。扩展分区包含至少一个逻辑分区。扩展分区的第一个扇区结构类似MBR,表项对应第一个逻辑分区。含了一个指针。这个指针指向第一个逻辑分区的起始位以有任意多的逻辑分区。每一个主分区（包括扩展区）从活动的主分区的引导扇区启动。93备份和还原主引导扇区很多工具都可以完成这个功能KV300，DISKMANDiskGenius的前身是DISKMAN，中文图形界面，支持鼠标操作修复硬盘主引导程序最简单有效的方法，就是利用引导盘引导系统，然后执行“Fdisk/MBR”命令Windows2000/XP安装光盘里的Dskprob.exe，在\support\tools目录中。94数据恢复RecoverLostData RecoverMyHandyRecovery QuickRecoveryGetDataBack R-StudioRestorer2000Professional StellarMagicRecovery RecoverItAllZAR32 DataRescuePCFinalDataEasyrecoveryRevival95口令破解：ZIP密码破解96advancedofficepasswordrecoveryadvancedPDFpasswordrecovery...97Windows帐户密码Windows采用安全账号管理器(SAM)机制。用户名和口令经过加密hash变换后存下的文件中。通过破解SAM文件来获取用户名和密码。LC3，LC5快。98在L0phcrack的选项中的“OpenWordlistFile”提供字典文件的位置，并提供了“HybridAttack”(混合破解)和“BruteForceAttack”(野蛮破解)，混合破解会利用像“Password12345”这样的简单组合来测试SAM的密码。的“Password”进行破解的一个强大的工具，但是它同样的具有破解“WindowsNTLanManager”散列加密值的功能。99口令攻击演示：XP/2000密码100问题：系统运行后，无法直接打开和拷贝sam文件。从光盘或软盘启动。统，可接触目标系统所在盘。删除目标系统的sam或改名。重启动目标系统，空密码即可进入。101防范1.在bios里禁止从软盘和光盘启动2.一台机器只装一个操作系统102Windows2000目录下，有一个文件叫做SAM._。这是SAM数据库的压缩版本。它是在系统安装时建立的，用rdisk工具运行更新。普通用户有读它的权限。运行rdisk更新：c:\>rdisk/s目录，将SAM._拷贝到另一个目录。并键入：c:\temp>expandSAM._sam然后，使用一个叫SAMDump的工具。SAMDump个文件转换成能使用的格式：c:\temp>samdumpsam>samfile接下来就可以运行l0phtcrack103windowsXP使用pwdump3导出sam文件。运行：c:\pwdump>pwdump3pdump产生文件pdump然后，运行l0phtcrack，选择importfrompwdump，即可。其他：如果有admin权限，可远程dump，防范：可将系统的REMOTEREGISTRYSERVICES关闭。104安全审计系统提供全面与忠实的记录，方便用户分析与审查事故原因，很像飞机上的黑匣子。由于数据量和分析量比较大，目前市场上鲜见特别成熟的产品。主动式审计（IDS部署）被动式审计（日志监控）注意：和记帐不同，记帐收集和存储的是用户对各种资源使用情况的数据，而不是操作记录。105Windows的事件查看器程序->控制面板->管理工具->事件查看器106启用安全日志安全日志默认是停用的，键入mmc/a进行配置107对安全事件审核08口令安全设置109其它安全选项110日志文件系统日志，安全性日志和应用程序日志分别位于\%systemroot%\system32\config目录下。secevent.evt，sysevent.evt,appevent.evt应用程序有自己的日志，如IIS名ex061123表示06年11月23号产生的日志，记录的是www或ftp的日志。IIS的WWW日志位于系统盘中\%systemroot%\system32\logfiles\w3svc1目录下。IIS的FTP日志位于系统盘中\%systemroot%\system32\logfiles\msftpsvc1目录下。111什么是防火墙以封锁木马。人防火墙的形态出现。112边界安全如用户网络和互联网之间连接和其它业务往来单位的网络连接用户内部网络不同部门之间的连接113防火墙特点防火墙产品中，国外主流厂商为Cisco、、NetScreen等，国内主流厂商有很多。114什么是IDSIDS（IntrusionDetectionSystems）依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企假如把防火墙比作一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。115IDS的部署IDS所关注流量的链路上。"所关注流量"络区域的访问流量和需要进行统计、监视的网络报文。HUB式的共享介质网络已经很少，IDS服务器区域的交换机·路由器之后的第一台交换机上·重点保护网段的局域网交换机上116什么是VPN分公司、经销商、合作伙伴、客户和外地出差人,这些资源包括:OA、ERP（企业资）、CRM（）系统、项目管理系统等。VPN（VirtualPrivateNetwork）通过一个公用117VPN：IPSecvsSSLSSLVPN比较适合用于移动用户的远程接入，而IPSecVPN适合网对网连接。SSLVPN是基于应用层的VPN，IPsecVPN是基于网络层的VPN。IPsecVPN对所有的IP应用均透明；SSLVPN保TCP/UDP的C/S应用，例如文件共享、网络邻居、Ftp、Telnet、Oracle等，容易提供细粒度访问控制。118安全相关的标准ISOIECITUCCITTIETFIRTFIESGDODNSANISTARPAOSIRFCISO/IEC13335 IATFTCSECITSECCC119ISO IECISO(国际标准化组织)和IEC(国际电工委员会)是世界性的标准化专门机构。国家成员体（他们都是ISO或IEC的成员国）通过国际组织建立的的各个技术委员会参与制定特定技术范围的国际标准。发布一项国际标准，至少需要75%的参与表决的国家成员体投票赞成。开放系统互联(OSI)基本参考模型(ISO/IEC7498)ISO/IECJTC1“信息技术”联合技术委员会与ITU-T的。CCITT是一个联合国条约组织，属于国际电信联盟，现在改名为ITU。120系统安全管理（GMITS）系列，可以作为替代：ISO/IEC13335-1:1996《IT安全的概念与模型》ISO/IEC13335-2:1997《IT安全管理和计划制定》ISO/IEC13335-3:1998《IT安全管理技术》ISO/IEC13335-4:2000《安全措施的选择》ISO/IEC13335-5: 《网络安全管理方针》121安全管理的微观粒度在加细ISO/IEC17799建立机构的安全策略机构的安全基础设施资产的分类和控制人员安全物理与环境安全通信与操作管理访问控制系统开发与维护业务连续性管理20多个要素120多个测试点122IAB IETF IRTFInternet体系结构委员会下设两个重要部Internet工程特别工作组（IETF）和Internet研究特别工作组（IRTF）。发展到今天，IAB公布的协议参考草案（RFC）已经积累到3000多个。IAB:负责定义互联网的整体架构IETF:互联网的协议施工与开发IETF程的技术管理123RFC在IETF的推荐下,RFC被提升为标准可靠并且容易被理解技术先进在实际应用中具有多重独立性和可操作性能够赢得广泛的支持对互联网的部分或所有领域具有强可用性124美国的标准机构美国国内与信息安全事物有关的管理机构主要有国家安全局（NSA）准技术研究所（NIST）、联邦调查局（FBI）、高级研究计划署（ARPA）国防部信息局（DISA）。他们有各自授权管理的领域和业务，同时，这些机构。通过信息安全管理职责上的理解备忘录和协议备忘录进行合作。125IATF三保卫、一支撑美国国家安全局NSA制定的信息保障技术框架1998年开始，已发布V3.0三保卫、一支撑保卫网络基础设施保卫边界和外部连接保卫局域计算环境支撑基础设施保卫网络基础设施保卫边界和外部连接保卫局域计算环境支撑基础设施www安全无线安全FirewallsVPNsPeripheralSharingSwitchRemoteAccesswww安全无线安全FirewallsVPNsPeripheralSharingSwitchRemoteAccessMultipleDomainSolutionsMobileCodeOperatingSystemsBiometricsSingleLevelWebTokensMobileCodeSecureMessagingPKIProtectionClass4PKIDirectoryKMI/PKIIDSDetectandRespond126DoD NCSC美国国防部(DoD)早在80年代就针对计算机安全保密开展了一系列有影响的工作，后来成立的国家计算机安全中心(NCSC)接续进行有关的工作。1983年他们公布了《可信计算机信息系统评价准则》TCSEC，以后NCSC又出版了一系列有关可信计算机数据库、可信计算机网络的指南。127NISTNIST与NSA紧密合作，在NSA的指导监督下，制定计算机信息系统的技术安全标准。他的工作一般以NIST出版物（FIPSPUB）和NIST特别出版物（SPECPUB）等形式发布。该机构比较有影响的工作是制定公布了美国国家数据加密标准DES，参加了美国、加拿大、英国、法国、德国、荷兰等国制定的信息安全的通用评价准则（CC），在1993年制定了密钥托管加密标准EES。128一些公司的建议或标准协议名协议开发者协议内容PKCSRSA数据安全公司RSA实验室在AppleMicrosoft,DEC,Lotus,Sun和MIT等机构非正式的咨询合作下开发公开密钥密码标准与ITU-X.509标准兼容SSLNetsacpe用于WWW上的会话层安全协议S-HTTPEnterprise Technologies基于WWW,提供保密、认证、完整性和不可否认服务PTCMicrosoft和Visa保密通信协议，与SSL类似，不同的是，它在客户和服务器之间包含了几个短的报文数据，认证和加密使用不同的密钥，提供了某种防火墙功能SETVisa和Mastercard开放网络电子支付协议129安全测评80年代：美国DoDTCSEC，（橘皮书。彩虹系列）90年代：英、法、德、荷ITSEC（白皮书）90年代末至今：六国七方：CC(CommonCriteria)130信息系统评测标准19911991年欧洲信息技术安全评价准则ITSEC1985年1985年1993年1999年通用安全评价准则CC19931993年美国组合联邦标准FC131TCSECTCSEC的第一版发布于19831985年最终修订。由于使用了桔色书皮，通常人们称其为“桔皮书”，后来在NCSC的主持下制定了一系列相关准则，称之为彩虹系列，其中，1987年，NCSC为TCSEC提出的可依赖网络解释(TNI1987)通常被称作“红皮书”。1991年，为TCSEC提出的可依赖数据库管理系统解释(TDI1991)通常称作“紫皮书”。132TCSECTCSEC将计算机安全从低到高顺序分为四等八级：最低保护等级（D）、自主保护等级（C1，C2）、强制保护等级（B1B2B3）和验证保护等级（A1，超A1），为信息安全产品的测评提供准则和方法，指导信息安全产品的制造和应用。TCSEC是针对孤立计算机系统提出的，特别是小型机和主机系统，假设有一定的物理屏障，该标准适合军队和政府，不适合企业，是一个静态模型。133ITSEC在借鉴TCSEC成功经验的基础上，90年代初，西欧四国（英、法、荷、德）联合提出了信息技术安全评价准则（ITSEC）。ITSEC定义了七个安全级别：不能充分满足保证（E0）功能测试（E1）数字化测试数字化测试分析半形式化分析（E4）形式化分析（E5）形式化验证（E6）134CC进入90年代中期，美国改进TCSEC与各国改进ITSEC想法不谋而合，宣布了制定通用安全评价准则的计划，它的全称是CommonCriteriaforITsecurityEvaluation。CC的制定考虑了对前期标准的兼容，因而他们之间可建立如下的粗略的对应关系。TCSECD——C1C2B1B2B3A1ITSECE0——E1E2E3E4E5E6CC——EAL1EAL2EAL3EAL4EAL5EAL6EAL7135管理安全等级划分第一级：用户自主保护级实施计划管理第二级：系统审计保护级实施操作规程管理第三级：安全标记保护级实施标准化过程管理第四级：结构化保护级实施安全生态管理第五级：访问验证保护级实施安全文化管理136信息系统安全法规于1997年12月30日发布的。密局发布并于2000年1月1日开始执行。《商用密码管理条例》是国务院在1999年10月7的。《计算机病毒防治管理办法》是公安部于2000年4月26发布执行的。《中华人民共和国电子签名法》于2005年4月1日正式实137许可证制度 《计算机信息系统安全专用产品检测和销售许可证管理办法》是公安部于1997年12月12要内容如下：（1）许可证制度。（2）和认定。（3）告和经安全功能检测确认的安全专用产品目录。（4）有效期为两年。138某省信息中心网络拓扑图Internet出口路由器DMZ

WWW?FTP

SMTP防火墙

IDSEmai DB

多层交换VLANmIntfaceforotherAgenciesVLAN1Servers

VLAN2Dept.

...

VLANnDept.

139 PC

其它行政业事单位Srv

SrvSrv

PC PCPC信息网络系统安全解决方案数据库服务器

数据库服务器

WebServer

MailServer

DNSServer

AAAServer

DMZ中立区

INTERNET数据中心Internet出口企业内部网络

DMZ

OUTSIDE

PSTN拨号接入服务器VPN网关构建企业VPN网络安全巡警系统信息监控与取证系统控制台Windows审计系统控制台

企业广域网络

INTERNET企业部门企业合作伙伴0Q&A141黑客攻击与防范技术（上）中科院计算所教育1网络中存在的安全威胁特洛伊木马

黑客攻击

后门、隐蔽通道网络信息丢失、篡改、销毁

拒绝服务攻击计算机病毒 蠕虫

内部、外部泄密2什么是黑客Hacker通常非常精通计算机软硬件知识，并有能力通过创新的方法剖析系统。“黑客”通常会去寻找网络中漏洞，但往往并不去破坏计算机系统。Cracker往往会通过计算机系统漏洞来入侵，他们也具备广泛的电脑知识，但与黑客不同的是他们以破坏为目的。有人将其翻译成“骇客”。现在Hacker和Cracker已经混为一谈，人们通常将入侵计算机系统的人统称为黑客3黑客命名Lara崇拜真正黑客的初级黑客, scriptkiddyWannabee处于Lara的初始阶段的黑客，他们急于掌握入侵技术，但没有经验，因此即使没有恶意也可能造成很大危险Samurai被他人雇佣的帮助他人提高网络安全的黑客，通常被公司付给薪金来攻击网络。Dark-Side是指由于种种原因放弃黑客的道德信念而恶意攻击的黑客4INTERNET 上有超过30,000 个黑客站点来自于黑客站点主页上的一些目录...技术交流：为了兴趣和利益击破隐藏的口令保护发送漏洞的EMAIL列表如何成为一个UNIX黑客你曾经想成为特权用户吗？怎样隐藏你的痕迹5系统安全事故过程示意图事件源头敌对势力恐怖分子内部人员黑客灾害与事故方法窃听分析破坏完整性重放冒充拒绝服务非法入侵工具命令程序自动代理数据截取社会学攻击其他漏洞设计漏洞实现漏洞配置漏洞管理漏洞事件客体传输数据文件设备服务其他事件后果破坏信息盗取信息盗用服务拒绝服务其他6黑客常见攻击方法和防范措施端口和服务扫描操作系统识别资源和用户信息扫描防范措施7攻击者需要的信息令域名令经过网络可以到达的IP地址令每个主机上运行的TCP和UDP令系统体系结构令访问控制机制令系统信息（用户名和用户组名、系统标识、路表、SNMP信息等）令其他信息，如模拟/数字电话号码、认证机制等……8社会信息令DNS域名网络实名管理人员在新闻组或者论坛上的求助信息也会泄漏信息网站的网页中令新闻报道例如：XX公司采用XX系统，…令这样的信息可以合法地获取9例：来自网站的公开信息10令

信息收集：whois为Internet提供目录服务，包括名字、通讯地址、电话号码、电子邮箱、IP地址等信息令Client/Server结构Client端发出请求，接受结果，并按格式显示到客户屏幕上Server端建立数据库，接受注册请求提供在线查询服务令客户程序UNIX系统自带whois程序Windows也有一些工具直接通过Web查询 11各种whois数据来源查询InterNIC数据库，只含有非军事和非美国政府的域，查询途径，提供Web接口，提供Web接口多数Unix提供了whois，fwhois由ChrisCappuccio编写，提供Netscan工具，提供SamSpadeWeb接口– …… 如果需要查询政府、军事和国际性公司，可以查询以下的whois服务器 欧洲IP地址分配 亚太IP地址分配 美国军事部门12各种whois数据来源 美国政府部门 美国以外的whois服务器通过/nic_info/whois.htm或者/cgi-bin/whois.cgi域名系统对于国内的域名可以求助于中国互联网信息中心或者中国万网域名服务系统，/registration/domain.shtml，/查询教育网的域名信息，/cgi-bin/reg/otherobj13各种whois数据来源通过这些查询可以得到黑客感兴趣的一些信息：注册机构：显示特定的注册信息和相关的whois服务器；机构本身：显示与某个特定机构相关的所有信息；域名：显示与某个特定域名相关的所有信息网络：显示与某个特定网络或IP地址相关的所有信息；联系点：显示与某位特定人员（通常是管理方面联系人）相关的所有信息14对查询结果15对查询结果15信息收集：DNS查询令关于DNS是一个全球分布式数据库，对于每一个DNS节点，包含有该节点所在的机器的信息、邮件服务器的信息、主机CPU和操作系统等信息Nslookup是一个功能强大的客户程序令熟悉nslookup，就可以把DNS数据库中的信挖掘出来分两种运行模式非交互式，通过命令行提交命令交互式：可以访问DNS数据库中所有开放的信息16Nslookup示例使用Nslookup可查到域名服务器地址和IP地址C:\>Server: Address: 3Non-authoritativeanswer:Name: Address: 17Ping工具发送ICMPEcho消息，等待EchoReply消息可以确定网络和外部主机的状态可以用来调试网络的软件和硬件每秒发送一个包，显示响应的输出，计算网络来回的时间，最后显示统计结果——丢包率ping的背后是什么，如何运作，TCP/IP协议栈？什么是TCP？什么是IP？地址？路由？18协议协议是为了在两台计算机之间交换数据而预先规定的标准。TCP/IP并不是一个协议，而是许多协议，而TCP和IP只是其中两个基本协议而已通信协议和寄信类似,正确的地址,姓名,邮政编码以及正确的格式才可以让信寄到收信人手中FROM:RoomNo.xxx,Bldg.F,HuiyuanInternationalApartmentNo.xAnliRoadChaoyangFROM:RoomNo.xxx,Bldg.F,HuiyuanInternationalApartmentNo.xAnliRoadChaoyangBeijing,P.R.C.xxxxxxTO:xxxxxxxxxxxxU.S.A.xxxxxx北京西城区xxx号xxx室xxxxxx负责人 （收）xxxxxx负责人 （收）xxx有限公司TCP/IP协议的起源和发展互联网（Internet）的原形是1969年建立的APARNET。美国国家科学基金会（NSF）为鼓励大学与研究机构共享他们非常昂贵的4台计算机主机，希望通过计算机网络把全国的各个大学、研究所的计算机与这4台巨型计算机连接起来。利用ARPANET的技术，建立了基于TCP/IP的NSFNET网络，众多的研究单位和科技公司也加入了采用TCP/IP协议的队伍。20TCP/IP协议的起源和发展1983年1月1日，APARNET正式转换成TCP/IP协注意：TCP/IP在正式成为工业标准前，经历了近12年的实际测试。21TCP/IP协议集TCP/IP（传输控制协议/网间协议）是一组网络通信协议，它规范了网络上的所有通信设备，尤其是一个主机与另一个主机之间的数据往来格式以及传送方式TCP/IP的安全来由力求简单高效的设计初衷使TCP/IP协议集的许多安全因素未得以完善安全缺陷的一些表现:TCP/IP协议数据流采用明文传输TCP/IP协议以IP地址作为网络节点的唯一标识，此举并不能对节点上的用户进行有效的身份认证协议本身的特点被利用实施网络攻击………23Internet安全性研究的开始1988年康奈尔大学的研究生罗伯特.莫里斯(22岁)针对UNIX的缺陷设计了一个“蠕虫”程序,感染了6000台计算机，使Internet不能正常运行，造成的经济损失达1亿美元。“蠕虫”的作者因此被判三年缓刑、罚款1万美元、做400小时的社区服务。“Morris蠕虫”的出现改变了许多人对Internet安全性的看法。一个单纯的程序有效地摧毁了数千台机器，那一天标志着Internet安全性研究的开始。24导致Internet安全问题的原因设计上的问题：Internet从建立开始就缺乏安全的总体构想和设计，TCP/IP协议是在可信环境下，为网络互联专门设计的，缺乏安全措施的考虑。 考虑SYNFlood攻击实现上的问题:Windows3.1—300万行代码，Windows2000—5000万行代码。人为的后门和设计中的“Bug”配置上的问题:默认的服务管理上的问题：弱的口令25未来网络演变的假定TCP/IP协议不会发生根本变化遍布世界的巨型资产不会轻易退出历史舞台带宽的提高仅是量的变化，并不会带来技术上面的质的变化无线网的出现只表明接入方式的变化，等效于以太网时期的广播效应，并不带来安全方面的本质问题防范对象仍为资源的恶意消耗与业务的盗用26TCP/IP网络的四层结构模型OSI参考模型与TCP/IP模型对比27TCP/IP协议族应用层应用程序表示层SMTPFTPTELNETDNSSNMPNFSTFTPRPC会话层传输层UDP传输层UDPTCP网络层IPRARPARPIGMPICMP数据链路层由底层网络定义的协议物理层数据链路层由底层网络定义的协议物理层TCP/IP层次结构IP网间协议(InternetProtocol)。负责主机间数据的路由和网络上数据的存储。同时为ICMP、TCP、UDP提供分组发送服务。用户进程通常不需要涉及这一层。ARP地址解析协议(AddressResolutionProtocol)。此协议将网络地址映射到硬件地址。RARP反向地址解析协议(ReverseAddressResolutionProtocol)。此协议将硬件地址映射到网络地址。ICMP网间报文控制协议(InternetControlMessageProtocol)。此协议处理信关和主机间的差错和传送控制。ICMP报文使用IP数据报进行传送，这些报文通常由TCP/IP网络软件本身来保证正确性。29TCP/IP层次结构TCP传输控制协议（TransmissionControlProtocol)。这是一种提供给用户进程的可靠的全双工字节流面向连接的协议。它要为用户进程提供虚电路服务，并为数据可靠传输建立检查。大多数网络用户程序使用TCP。UDP用户数据报协议(UserDatagramProtocol)。这是提供给用户进程的无连接协议，用于传送数据而不执行正确性检查。30TCP/IP层次结构FTP文件传输协议(FileTransferProtocol)。允许用户以文件操作的方式(文件的增、删、改、查、传送等)与另一主机相互通信。SMTP简单邮件传送协议(Simple Mail Transfer Protocol)。SMTP协议为系统之间传送电子邮件。TELNET终端协议(TelnetterminalProtocol)。允许用户以虚终端方式访问远程主机。HTTP超文本传输协议（HyperText Transfer Protocol）。是环球网WWW的基础，它使丰富多彩的Internet以简单的方式展现给用户。TFTP简单文件传输协议(TrivialFileTransferProtocol)。FTP的一种简化版本。TFTP基于UDP协议。31运行FTP的两台主机32数据的封装33以太网帧物理层安全风险物理层(PhysicalLayer)，负责传送比特流提供建立、维护和拆除物理链路所需的机械、电气、功能和规程特性黑客最常用的攻击和渗透到网络中的—种方法是在网络内部主机上安装一个packetsniffer。任何有线或无线传输的数据将可被任何可以物理连接的人得到。安全管理员必须了解他们保护的网络的所有布局。35访问控制与安全边界（CTL）需要在不同安全域间设置边界访问控制，包括内外网连界、内网边界。网络隔离根据国家安全主管部门有关规定，党政涉密网要求与因特网物理断开。对于各单位的涉密应用，如涉密办公应用，应单独建立相应的网络。边界防火墙防火墙是网络安全最基本的安全措施，目的是要在内部、外部两个网络之间建立一个安全隔离带，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。36访问控制与安全边界（CTL）业务网络隔离局域网的多个业务系统：办公应用系统，应用系统，数据中心……。可通过有效的虚拟子网划分来对无关用户组间实施安全隔离，提供子网间的访问控制:VLAN划分。用户可以处在不同的物理LAN上，但属于同一个逻辑LAN。用户可以处在不同的逻辑LAN上，但属于同一个物理LAN37访问控制与安全边界（CTL）远程访问控制在广域连接的出入口配置防火墙。通过设置一台安全认证服务器，可进行拨号用户身份、远程拨号路由器身份的认证，从而限制非法单机对内部网的访问。认证服务器可设在防火墙内，连接到内部网的交换机上。38链路层的ARP协议我想知道IP地址的MAC地址是什么？

我收到了这个广播信息，我的MAC地址是0800.0020.1111IP:=??? IP:=???IP:=???IP:IP:=???IP:Ethernet:0800.0020.1111IP:Ethernet:0800.0020.1111 MapIP:Ethernet:0800.0020.111139ARP欺骗攻击hubA BHacker当A与B需要通讯时：A发送ARPRequest询问B的MAC地址B发送ARPReply告诉A自己的MAC地址40ARP欺骗攻击Meet-in-Middle:Hacker发送伪装的ARPReply告诉A，计算机B的MAC地址是Hacker计算机的MAC地址。Hacker发送伪装的ARPReply告诉B，计算机A的MAC地址是Hacker计算机的MAC地址。这样A与B之间的通讯都将先经过Hacker，然后由Hacker进行转发。于是Hacker可以捕获到所有A与B之间的数据传输（如用户名和密码）。这是一种典型的中间人攻击方法。41ARP欺骗攻击hubAHi,我就是B啊

Hi,我就是A啊 BHacker42ARP协议安全问题DoS问题：冒充B向A应答,使得A与B的通信不成功冒充A向B发包更新B的ARP表,使B与A的通信察看ARP表:arp-a43解决ARP协议安全1.记录所有主机的MAC地址，建立DHCP服务器，所有客户机的IP地址由网关这里取得，给每个网卡MAC绑定固定唯一IP地址。这样客户机每次开机的IP地址都是一样的。2.网关机器关闭ARP动态刷新，使用静态路由，这样的话，即使APR欺骗攻击网关的话，对网关也是没有用的。确保主机安全。3.监听网络。ARP欺骗攻击的包一般有两个特点，1.以太网帧源地址、目标地址和ARP数据包内的协议地址不匹配。2MAC地址不在已知的MAC数据库内，或者MAC/IP不匹配。44解决ARP协议安全或者使用ARP服务器:确保该机安全并通过该机查找自己的ARP转换表来响应其他机器的ARP广播。提示：网络安全信任关系不要单纯建立在ip或mac基础上。45IP数据报46IP数据报版本号，目前取值4首部长度，4个字节为单位，取值范围5～15服务类型，指定传输的优先级、传输速度、可靠性和吞吐量等报文总长度，最大长度为65535字节报文标识，唯一标识一个数据报，如果数据报分段，则每个分段的标识都一样标志，最高位未使用，定义为0，其余两位为DF（不分段）和MF（更多分段）段偏移量，以8个字节为单位，指出该分段的第一个数据字在原始数据报中的偏移位置47IP数据报生存时间，取值0～255，每经过一个路由节点减1，为0时被丢弃协议，指明该数据报的协议类型，如1为ICMP，6为TCP，17为UDP等首部校验和，每通过一次网关都要重新计算该值，用于保证IP首部的完整性选项，长度可变，提供某些场合下需要的控制功能，IP首部的长度必须是4个字节的整数倍，如果选项长度不是4的整数倍，必须填充数据48Internet控制信息协议(ICMP)当用户ping 一台主机想看它是否运行时，用户端就正在产生了一条ICMP 信息。远程主机将用它自己的ICMP 信息ping 请求作出回应。49ICMP协议令本身是IP的一部分。令用途:网关或者目标机器利用ICMP与源通讯，出现问题时，提供反馈信息令在IP协议栈中必须实令特点：令其控制能力并不用于保证传输的可靠性令它本身也不是可靠传输的50ICMP数据包令ICMP数据包直接包含在IP数据包的净荷数据中IP头中协议类型为1令ICMP数据的第一个字节代表ICMP报文的类型它决定了后续数据的格式51ICMP报文类型令0EchoReply令3Destination令4SourceQuench令5Redirect令8Echo令11TimeExceeded令12ParameterProblem

令13Timestamp令14TimestampReply令15InformationRequest令16InformationReply令17AddressMaskRequest令18AddressMaskReply52ICMP报文分类令ICMP差错报文目的不可达报文（类型3）超时报文（类型11）参数出错报文（类型12）令ICMP控制报文报源抑制报文（类型4）重定向（类型5）令ICMP请求/应答报文回送请求和响应报文（类型0和8）时间戳请求和响应报文（类型13和14）地址掩码请求和响应报文（类型17和18）令其他53ICMPEcho报文令类型：0表示EchoReply，8表示Echo令代码：0令标识符：标识一个会话，例如，用进程ID令序号：可能这样用：每个请求增1令选项数据：回显54ICMPDestinationUnreachable报文令类型：3令代码：0表示网络不可达，1表示主机不可达；2表示协议不可达；3表示端口不可达；等等令出错的IP包的IP首部+原始IP数据包中前8个字节演示ping&sniffer5657关于PingPing有许多命令行参数，可以改变缺省的行为可以用来发现一台主机是否active为什么不能ping成功？没有路由，网关设置？网卡没有配置正确增大timeout值防火墙阻止掉了– ……有兴趣可以找ping的源代码读一读58ICMP安全问题ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机,此外也被用于攻击前期扫描工作的系统指纹识别如:1.可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“PingofDeath”攻击2.向目标主机长时间、连续、大量地发送ICMP数据包，也会最终使系统瘫痪。59ICMP协议安全解决办法在路由器上对ICMP数据包进行带宽限制，将ICMP占用的带宽控制在一定的范围内在主机上设置ICMP数据包的处理规则，可以设定拒绝所有的ICMP数据包--包过滤/防火墙60网络层介绍网络层主要用于寻址和路由。它并不提供任何错误纠正和流控制的方法。网络层使用较高效的服务来传送数据报文61IP地址IP地址：32bit, 4字节如：10000000000010110000001100011111通常采用点分十进制记法：即：1Dotteddecimalstringrepresentation62IP地址分类 ~55~55~55~55~55特殊的IP地址主机号为全1 ： 广播至本网络上的所有主机55 广播至~54主机号全为0 ： 代表本网络的地址，如 ： 本机，通常用来做源地址55： 网络内广播，路由器不转发127.x.x.x ： 代表本机环回(loopback)测试用64子网掩码IP的子网掩码表明了该IP所在的网络1.IP地址为：8 0x8CFC1444子网掩码： 0xFFFFFF00子网地址： ~552.IP地址为：8 0x8CFC1444子网掩码：24 0xFFFFFFE01000110011111100000101000100010011111111111111111111111111100000子网地址： 4~5另一种表示法：8/24 8/2765掩码的作用给定一个IP地址和一个掩码，可以得知该子网的IP范围给定两个IP和掩码，可以判断这两个IP是否在一个子网内主要用途是选路时使用66私有IP地址用于私有网络，不在Internet上出现，见RFC191867路由路由（名词）：数据报从源地址到目的地址所经过的道路，由一系列路由节点的地址构成。路由（动词）：某个路由节点为数据报选择投递方向的选路过。路由节点：一个具有路由能力的主机或路由器，其内维护一张，该表中标明了去往某个网络，应该经由的接口。接口：路由节点连往某个网络的一个端口。路由表：由很多路由条目组成。其中最后一条是缺省路由条目。条目：路由表中的一行，每个条目主要由4部分组成：网络地址，掩码，下一跳节点，接口。缺省路由条目2部分组成：下一跳节点，接口。68路由-简单的讲选路过程：简单的讲路由节点提取出数据报的目的地址。查找路由表中的每一个条目，将目的地址与路由条目中的掩码做“与”的计算，如果等于该条目中的网络地址，就将该数据报从该条目所标明的投递给下一跳节点（若下一跳为空或就是自己，表明目的地址在与路由节点直接相连的网络上，直接发往目的地址即可）。如果找不到，就按缺省路由条目递。69发现网络路由路径Traceroute用来发现实际的路由路径原理：给目标的一个无效端口发送一系列UDP，其TTL依次递增，中间路由器返回一个ICMPTimeExceeded消息UDP包的端口设置为一个不太可能用到的值(缺省为33434)，因此，目标会送回一个ICMPDestinationUnreachable消息，指示端口不可达使用防火墙或者工具防范：如rotoroutor，它可以记录外来的traceroute请求，产生虚假的应答。70exampleC:\>tracertTracingrouteto[63]overamaximumof30hops:1 <10ms<10ms<10ms162.105.X.X2 <10ms<10ms<10ms503 <10ms<10ms<10ms504 <10ms10ms<10[3]5 <10ms<10ms<10ms36 <10ms<10ms<10ms467 <10ms<10ms<10[8]8 10ms <10ms <10ms9 <10ms 10ms <10ms410 <10ms <10ms <10ms[63]Tracecomplete.71IP协议安全问题IP协议存在的主要缺陷包括IP通信不需用进行身份认证，IP数据传输没有加密，IP的分组和重组机制不完善，IP地址的表示不需要真实并确认真假等。IP碎片攻击，源路由攻击，IP欺骗，IP伪造，PingFlooding和PingofDeath等大量的攻击，都是利用IP协议的缺陷对IP协议进行攻击的。如IP欺骗，且IP欺骗，如DNS欺骗等72IP欺骗的动机

IP欺骗隐藏自己的IP地址，防止被追踪试图获得授权，进入以IP地址认证的系统穿越防火墙IP欺骗成功的原因：根据目标地址进行路由实现手段发送IP包，包头填写上虚假的源IP地址在Unix平台上，直接用socket就可以需要root权限在Windows平台上，可以使用winpcap等工具73双向欺骗

IP欺骗假冒包：A->B攻击者H被假冒者A

回应包：B目标机器B关键技术－让回应包通过HH和A在同一个子网内部使用源路由选项

H能看到这个包吗？74如何避免IP欺骗路由器上设置过滤器入口：外来包带有内部IP地址出口：内部包带有外部IP地址路由器上禁止源路由这样的包75IP协议安全解决办法网络分段VLAN防火墙IPSec76黑客是如何隐藏IP的？利用proxy，主要是httpproxy和socksproxy。一些网站会公布proxy，如/cgi-bin/search-proxy.pl/anonproxy/chineseproxy.htm如：81:8077黑客是如何隐藏IP的？简单的检验办法：/ 如何查找proxyserver:工具：proxyhunter如何使用：IE设置，应用程序设置想设置一次，就不动了工具：multiproxy (:8088)78黑客是如何隐藏IP的？如何让一个不支持代理功能的软件支持socks代理：工具：sockscap32soft->sockscap->socksproxy->target如果只有http代理，但软件只支持socks代理，怎么办：工具：socks2httpsock2http->httpproxy->gateway->target79传输层介绍据流。传输层存在两个协议，用户数据报协议(UDP)和传输控制协议(TCP)80用户数据报协议(UDP)只是简单的接收和传输数据UDP比TCP传输数据快UDP头标UDP数据区IP头标IP数据区81UDP数据报UDP协议安全问题对UDP协议的攻击，主要利用UDP协议本身特性，进行流量攻击，强化UDP通信的不可靠性，以达到拒绝服务的目的。83传输控制协议(TCP)传输层协议，由上层协议接收任意长度的报文，并提供面向连接的传输服务TCP接收数据流，并分成段，然后将这些段送给IP，因IP为无连接的，所以TCP必须为每个段提供顺序同步84TCP包头结构0 15 16 3116位源端口号16位目的端口号16位源端口号16位目的端口号32位序号32位序号2032位确认序号字节2032位确认序号4位数据偏移保留（6位）UAPRCSSGKH4位数据偏移保留（6位）UAPRCSSGKHTSFYINN16位窗口大小16位检验和16位紧急指针选项选项数据数据85TCP报文段源端口号和目的端口号：源和目的主机的IP地址加上端口号构成一个TCP连接序号和确认号：序号为该TCP数据包的第一个数据字在所发送的数据流中的偏移量；确认号为希望接收的下一个数据字的序号；首部长度，以4个字节为单位，通常为56个标志位：URG：如果使用了紧急指针，URG置1，紧急指针为当前序号到紧急数据位置的偏移量ACK：为1表示确认号有效，为0表示该TCP数据包不包含确认信息PSH：表示是带有PUSH标志的数据，接收到数据后不必等缓冲区满再发送86TCP报文段RST：用于连接复位，也可用于拒绝非法的数据或拒绝连接请求SYN：用于建立连接，连接请求时SYN＝1，ACK=0；响应连接请求时SYN=1，ACK=1FIN：用于释放连接，表示发送方已经没有供发送的数据窗口大小：表示在确认字节后还可以发送的字节数，用于流量控制校验和：覆盖了整个数据包，包括对数据包的首部和数据选项：常见的选项是MSS(MaximumSegmentSize)87TCP标志建立和中断TCP连接有三个标志来完成这些过程SYN：同步序列号FIN：发送端没有更多的数据要传输的信号ACK：识别数据包中的确认信息88建立一个TCP连接客户端/请求端

SYN标志，ISN及目的端口号SYN标志，ISN及确认信息确认信息（ACK)ISN:初始序列号

服务器89TCP协议工作机制主机A 主机B发送SYN信息（序列号=x）发送ACK信息（确认号=y+1）

发送SYN、ACK信息（序列号=y,确认号=x+1）90结束一个TCP连接客户端/请求端

FIN标识，停止服务器端到客户端的数据传输确认信息（ACK）FIN的数据传输确认信息（ACK）

服务器91关于端口应用层传输层

F T S DT E M NP L T N PET21 23 25 TCP

TFTP69UDP

SNMP161

端口号92客户端与服务器客户端与服务器94TCP协议的安全问题TCP协议被攻击，主要是利用TCP的三次握手机制,如有:SYNFlooding攻击Tcp扫描攻击包括SYNscan、FINscan会话劫持95SYN-flood攻击这种拒绝服务攻击利用了TCP建立连接时三方握手的弱点攻击者可以建立很多半开连接。在这个过程中，当服务器要跟攻击者建立连接时，攻击者却终止了连接。攻击者再建立其它的连接然后再终止，直到目标服务器打开成百上千的半开连接96TCP会话劫持在现实生活中，例如银行的一笔交易如果营业员检查了顾客的身份证和帐户卡，抬起头来，发现不再是刚才的顾客他会把钱交给外面的顾客吗？网络中的问题在网络上，没有人知道你是一条狗97TCP会话劫持1A远程登录，建立会话，完成认证过程被劫持者A

2监听流量

服务器B攻击者H98进行会话劫持的工具• Juggernaut可以进行TCP会话攻击的网络sniffer程序• Hunt功能与Juggernaut类似• TTYWatcher免费程序，针对单一主机上的连接• IPWatcher商用的会话劫持工具99如何防止会话劫持• 部署共享式网络，用交换机代替集线器无法进行监听• TCP会话加密100传输