数据通信与计算机网络（第二版）课件：网络安全

网络安全11.1概述11.2常见的攻击技术11.3数据加密11.4防火墙技术11.5入侵检测系统11.1.1Internet安全隐患的主要体现黑客攻击TCP/IP协议操作系统计算机病毒11.1.2网络攻击的一般步骤准备工作实施攻击开辟后门清除痕迹11.2.1扫描技术

网络扫描技术是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术。扫描技术是一把双刃剑。典型的扫描技术包括：PING扫描、操作系统探测、穿透防火墙探测、端口扫描、漏洞扫描等。11.2.1扫描技术1.端口扫描端口扫描，顾名思义，就是逐个对一段端口或指定的端口进行扫描。端口扫描的原理：手动或用程序自动的向目标主机的各个端口发送不同的探测数据包，目标主机的端口状态不同，对这些探测包的回应包就有所不同，分析这些回应包，就可得出远程主机的端口开放情况。11.2.1扫描技术1.端口扫描（1）全连接扫描全连接扫描指在扫描主机同目标主机的目标端口之间，经过三次握手，建立起一个完整的TCP连接来判断目标端口是否开放的方法。常见的全连接扫描方法有TCPConnect()扫描、TCP反向ident扫描等。11.2.1扫描技术1.端口扫描（2）半连接扫描半连接扫描指端口扫描并没有完成一个完整的TCP连接，而是在扫描主机和目标主机建立此连接时，只完成三次握手的前两次握手便中断连接。例：TCPSYN扫描。11.2.1扫描技术1.端口扫描（3）秘密扫描秘密扫描是一种审计工具所检测不到的扫描技术。常见的秘密扫描有：TCPFIN扫描、TCPACK扫描、NULL扫描、XMAS扫描、TCP分段扫描等。

11.2.1扫描技术2.漏洞扫描系统安全漏洞也叫系统脆弱性，简称漏洞，是计算机系统在硬件、软件、协议的设计和实现过程中或系统安全策略上存在的缺陷和不足。

11.2.1扫描技术2.漏洞扫描（1）基于漏洞库的扫描：在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在。11.2.1扫描技术2.漏洞扫描（2）基于模拟攻击的扫描：通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。11.2.2网络监听网络监听也叫网络嗅探，其英文名是Sniffing，即是一种捕获网络上传输的数据包并进行分析的行为。11.2.2网络监听一般而言，网络监听都是在局域网进行的。按照信息交换方式的不同，局域网可分为共享式局域网和交换式局域网。11.2.2网络监听共享式局域网是指网络中的所有节点共享网络带宽，最典型的是用集线器（HUB）连接的局域网。11.2.2网络监听交换式局域网，指采用了交换技术的网络，最典型的是用交换机连接的局域网。11.2.2网络监听（1）MACFlooding

由于交换机工作时依据内存中的端口映射表转发数据包，而交换机本身的内存容量是有限的，当内存耗尽时，一些交换机便会将数据包以广播形式发送出去。所以，通过在局域网上发送大量虚假的MAC地址，以造成交换机的内存耗尽，此时可以和监听共享式网络一样进行网络监听。11.2.2网络监听（2）ARP欺骗

ARP协议的作用是将IP地址映射到MAC地址，攻击者通过向目标主机发送伪造的ARP应答包，骗取目标系统更新ARP表，将目标系统的网关的MAC地址修改为发起攻击的主机MAC地址，使发给目标主机的数据包都经由攻击者的主机。这样，就可以在交换式网络下监听特定的目标主机。11.2.3拒绝服务攻击1.拒绝服务攻击的原理网络安全中，拒绝服务（DenialofService，简称DoS）攻击以其危害巨大，难以防御等特点成为黑客经常采用的攻击手段。DoS指系统崩溃或其带宽耗尽或其存储空间已满，导致其不能提供正常服务的状态。11.2.3拒绝服务攻击1.拒绝服务攻击的原理

DoS攻击的基本过程为：首先攻击者向目标服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。11.2.3拒绝服务攻击1.拒绝服务攻击的原理分布式拒绝服务（DistributedDenialofService，简称DDoS）攻击，是一种DoS攻击的特殊形式，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，象商业公司，搜索引擎和政府部门的站点。11.2.3拒绝服务攻击1.拒绝服务攻击的原理分布式拒绝服务（DistributedDenialofService，简称DDoS）攻击，是一种DoS攻击的特殊形式，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，象商业公司，搜索引擎和政府部门的站点。11.2.3拒绝服务攻击1.拒绝服务攻击的原理

11.2.3拒绝服务攻击2.典型拒绝服务攻击方法（1）LAND攻击（2）SYN洪水攻击（3）UDP洪水攻击（4）Fraggle攻击（5）TearDrop（泪滴）攻击（6）Ping-of-death（7）Smurf

11.3.1加密与解密11.3.2算法类型1.秘密钥匙加密11.3.2算法类型2.公用钥匙加密11.3.3Hash函数Hash函数又名信息摘要（MessageDigest）函数，可将一任意长度的信息浓缩为较短的固定长度的数据。其特点如下：浓缩结果与源信息密切相关，源信息每一微小变化，都会使浓缩结果发生巨变。Hash函数所生成的映射关系是多对一关系，因此无法由浓缩结果推算出源信息。运算效率较高。11.3.4数据完整性验证

完整性（Integrity）验证用于确认数据经长途劳顿、长期保存后是否仍然保持原样，不曾改变。验证数据完整性的一般方法是用Hash函数对原数据进行处理，产生一组长度固定（例如32bit）的摘要值。需要验证时，便重新计算摘要值，再与原验证值进行比对，以判别数据是否发生了变化。11.3.4数字签名11.4.1防火墙技术概述11.4.1防火墙技术概述防火墙的主要功能如下：（1）过滤不安全服务和非法用户，禁止未授权的用户访问受保护网络。（2）控制对特殊站点的访问。（3）提供监视Internet安全和预警的端点。11.4.2防火墙类型1.网络级防火墙网络级防火墙也称包过滤防火墙，通常由一部路由器或一部充当路由器的计算机组成。

11.4.2防火墙类型2.应用级防火墙

应用级防火墙通常指运行代理（Proxy）服务器软件的一部计算机主机。

11.4.2防火墙类型3.电路级防火墙

电路级防火墙也称电路层网关，是一个具有特殊功能的防火墙，它可以由应用层网关来完成。电路层网关只依赖于TCP连接，并不进行任何附加的包处理或过滤。11.4.2防火墙类型4.状态监测防火墙

与上述防火墙技术相比，状态监测防火墙是新一代的技术。11.4.3防火墙的结构1.双宿主机网关11.4.3防火墙的结构2.屏蔽主机网关

11.4.3防火墙的结构2.屏蔽主机网关

11.4.3防火墙的结构3.屏蔽子网

11.5.1概述入侵检测系统是探测计算机网络攻击行为的软件或硬件。它作为防火墙的合理补充，可以帮助