计算系统与网络安全.ppt

1、电子科技大学电子科技大学 计算机科学与工程学院计算机科学与工程学院 计算系统与网络安全计算系统与网络安全Computer System and Network SecurityComputer System and Network Security2024/3/23VPN入侵检测入侵检测防火墙防火墙网络扫描网络扫描第第6章章网络安全技术网络安全技术网络安全概述网络安全概述2024/3/23VPN入侵检测入侵检测防火墙防火墙网络扫描网络扫描第第6章章网络安全技术网络安全技术网络安全概述网络安全概述2024/3/23KeyPointsinNetSecl网络安全特性网络安全特性l互连安全互连安全l入

2、侵与攻击入侵与攻击l网络端口与漏洞网络端口与漏洞安全协议安全协议阻断与过滤阻断与过滤检测与防御检测与防御安全基础安全基础l协议与地址协议与地址lIPV4/IPv6/IPv9lIPSeclGII，NGN&IPvxlFirewalll位置与功能位置与功能l绕过绕过FirewalllFirewall的命运的命运l网络扫描技术网络扫描技术l入侵检测技术入侵检测技术IDSl入侵防御技术入侵防御技术IPSl新兴技术新兴技术+2024/3/23网络安全的至理名言网络安全的至理名言l“金项链从最薄弱点断裂金项链从最薄弱点断裂”（不设防点）（不设防点）l“堡垒最容易从内部攻破堡垒最容易从内部攻破”（木马）（木马

3、）l“不要把鸡蛋都放在一个篮子里不要把鸡蛋都放在一个篮子里”（数据）（数据）l“条条大道通罗马条条大道通罗马”（网络通道）（网络通道）l“只要能去的地方，就有危险只要能去的地方，就有危险”（访问）（访问）l“外面的世界很精彩外面的世界很精彩”（网络陷阱）（网络陷阱）l“没有不透风的墙没有不透风的墙”（阻断与过滤）（阻断与过滤）l“蝼蚁之穴，溃千里之堤蝼蚁之穴，溃千里之堤”（漏洞）（漏洞）l“损人之心不可有，防人之心不可无损人之心不可有，防人之心不可无”（策略）（策略）l“盲人瞎马盲人瞎马”（目标）（目标）2024/3/23一、网络安全的特性一、网络安全的特性l1.网络安全的共享性网络安全的共享

4、性l观念：观念：l“网络就是计算机网络就是计算机”l“网络计算网络计算”l“网格计算网格计算”l共享是网络主要目的，也是其脆弱性共享是网络主要目的，也是其脆弱性l分布的广域性增大了受攻击的可能性分布的广域性增大了受攻击的可能性l单机系统的安全已不足以保证全局安全单机系统的安全已不足以保证全局安全2024/3/232.网络系统的复杂性网络系统的复杂性l 系统互连、控制分散、异构结点系统互连、控制分散、异构结点l 任何一个结点的安全漏洞都可能是致命的任何一个结点的安全漏洞都可能是致命的l 信息爆炸信息爆炸使网络存储和传输不堪重负使网络存储和传输不堪重负l 使使安全链安全链更加脆弱更加脆弱l 恶意攻

5、击源恶意攻击源更加广泛，更加广泛，l 攻击入口攻击入口增多、破坏面增大增多、破坏面增大l 攻击检测攻击检测困难且开销很大困难且开销很大l 攻击源跟踪攻击源跟踪更加困难更加困难2024/3/233.网络安全的不确定性网络安全的不确定性l网络具有可扩展性，其边界不确定网络具有可扩展性，其边界不确定l网络分支广，不安全路径存在不确定性网络分支广，不安全路径存在不确定性l故障定位的不确定性故障定位的不确定性l技术与非技术安全交错，性质的不确定技术与非技术安全交错，性质的不确定l滥用与攻击的不确定滥用与攻击的不确定l新的互连方式的进入新的互连方式的进入2024/3/234.网络信息的特殊性网络信息的特殊

6、性l信息的真实性提上日程信息的真实性提上日程l网络通信只保证了无差错传输网络通信只保证了无差错传输l网络通信无法保证信息的真实性网络通信无法保证信息的真实性l收发双方无法控制和监视传输信息收发双方无法控制和监视传输信息l信息过滤成本与代价太高信息过滤成本与代价太高l搜索引擎的智能性未能很好体现搜索引擎的智能性未能很好体现2024/3/235.网络安全的长期性网络安全的长期性l矛盾贯穿始终，长期对抗矛盾贯穿始终，长期对抗l不可能存在一劳永逸、绝对安全的系统不可能存在一劳永逸、绝对安全的系统l破坏可能是隐蔽和持久的破坏可能是隐蔽和持久的l安全策略和安全机制是有条件的安全策略和安全机制是有条件的l安

7、全的目标是在一定条件（环境与技术）下的合安全的目标是在一定条件（环境与技术）下的合理性。理性。2024/3/236.网络安全的可信性网络安全的可信性l 网络安全的可信性随网络扩展而下降网络安全的可信性随网络扩展而下降l 不可信结点、恶意结点的严重威胁不可信结点、恶意结点的严重威胁l 四种连接四种连接:不可信结点连在不可信网络上不可信结点连在不可信网络上 不可信结点连在可信网络上不可信结点连在可信网络上 可信结点连在不可信网络上可信结点连在不可信网络上 可信结点连在可信网络上可信结点连在可信网络上2024/3/23二、网络安全性范围二、网络安全性范围l1）网络类型）网络类型 电信网络、电视网络、

8、计算机网络电信网络、电视网络、计算机网络 三网合一？三网融合？三网合一？三网融合？无线网络、移动网络无线网络、移动网络 空间网络架构？空间网络架构？l2）网络组成）网络组成 计算机系统、通信系统、布线系统计算机系统、通信系统、布线系统 网络互连设备网络互连设备 运行平台、网络管理软件运行平台、网络管理软件2024/3/233）网络系统安全问题）网络系统安全问题 网络系统配置和资源分配，资源冲突网络系统配置和资源分配，资源冲突 网络系统管理，用户管理，安全管理网络系统管理，用户管理，安全管理 网络隔离与连通的冲突网络隔离与连通的冲突 防火墙：隔离还是过滤？防火墙：隔离还是过滤？网络安全布局网络安

9、全布局 网络事故处理（取证，存储，日志）网络事故处理（取证，存储，日志）网络安全性范围（续）网络安全性范围（续）2024/3/23一、网络互连设备一、网络互连设备传输层：传输层：网关网关gateway，防火墙，防火墙firewall网络层：路由器网络层：路由器router，路桥器路桥器roudger交换机交换机switcher数链层：网桥数链层：网桥bridge，桥路器桥路器brouter物理层：物理层：中继器中继器repeater，集线器，集线器hub适配器适配器Adapter，调制，调制Moderm软件软件软件软件软件软件IDS软件软件2024/3/23网络互连设备（续）网络互连设备（续）

10、WorkstationServer漏洞漏洞安全通道安全通道HubSwitchl网络从最弱点攻破网络从最弱点攻破FirewallHubWorkstation2024/3/23 用户提出的问题用户提出的问题 什么样的网络才是安全的什么样的网络才是安全的?怎样才能建立一个安全网络怎样才能建立一个安全网络?二、网络安全体系的讨论二、网络安全体系的讨论网络实体安全网络实体安全操作系统安全操作系统安全用户安全用户安全数据安全数据安全 常规安全机制常规安全机制应用程序安全应用程序安全2024/3/231.1.互连层次：针对网络群体互连层次：针对网络群体 网络是否安全网络是否安全?完整性。网络监控，通信，隔离

11、连完整性。网络监控，通信，隔离连通通2.2.系统层次：针对系统群体系统层次：针对系统群体 操作系统是否安全操作系统是否安全?病毒病毒,黑客黑客,风险风险,审计分析审计分析3.3.管理层次：针对用户群体管理层次：针对用户群体 用户是否安全？配置用户是否安全？配置,用户用户/组管理组管理,用户鉴别用户鉴别 4.4.应用层次：针对应用群体应用层次：针对应用群体 应用程序是否安全应用程序是否安全?访问控制访问控制,授权，软件保护授权，软件保护5.5.数据层次：针对应用保密数据层次：针对应用保密 数据是否安全数据是否安全?加密、存储、传输加密、存储、传输1.网络整体安全问题网络整体安全问题2024/3/

12、231）网络互连层次）网络互连层次l网络能否得到监控？网络能否得到监控？l是否任何一个是否任何一个IP地址都能进入网络？地址都能进入网络？l隔离和连通的程度如何？隔离和连通的程度如何？l采用何种互连设备和技术？采用何种互连设备和技术？l网络设备能否监视和控制？网络设备能否监视和控制？l新加入的网段是否能自动监测？新加入的网段是否能自动监测？l无线与移动在接入上的问题无线与移动在接入上的问题l不清楚就无法管不清楚就无法管2024/3/232）系统平台层次）系统平台层次l谁来监视超级用户和管理员谁来监视超级用户和管理员l恶意程序（病毒）对网络的威胁恶意程序（病毒）对网络的威胁l黑客攻击与入侵黑客攻

13、击与入侵l网络整体与局部站点自身安全网络整体与局部站点自身安全l操作系统、数据库安全问题操作系统、数据库安全问题l入侵检测、防御入侵检测、防御l安全风险评估、安全审计分析安全风险评估、安全审计分析2024/3/233）用户群体层次）用户群体层次l是否只允许授权用户使用系统资源和数据？是否只允许授权用户使用系统资源和数据？l谁能够进入系统和网络谁能够进入系统和网络l谁能够得到和修改安全配置？谁能够得到和修改安全配置？l用户组管理、系统登录控制用户组管理、系统登录控制l用户身份认证用户身份认证l用户间的彼此信任用户间的彼此信任2024/3/234）应用程序层次）应用程序层次l是否只有合法用户才能对

14、特定数据进行合法的操作是否只有合法用户才能对特定数据进行合法的操作？l用户对资源、数据获取和使用的权限用户对资源、数据获取和使用的权限l超级用户的权限不能太大超级用户的权限不能太大l合法用户不能拥有一切权利合法用户不能拥有一切权利l必须考虑权限的控制和授权。必须考虑权限的控制和授权。l两个问题：两个问题：l1）应用程序对数据的合法权限）应用程序对数据的合法权限l2）应用程序对用户的合法权限）应用程序对用户的合法权限2024/3/235）数据安全层次）数据安全层次l机密数据是否处于机密状态？机密数据是否处于机密状态？l主要解决数据的机密性主要解决数据的机密性l数据加、解密、编码和解码的可信度数据

15、加、解密、编码和解码的可信度l数据校验和容错数据校验和容错l数据备份数据备份l系统与数据恢复系统与数据恢复l数据内容安全数据内容安全2024/3/23网络安全技术基础网络安全技术基础l几个重要的技术概念几个重要的技术概念网络漏洞网络漏洞网络端口网络端口入侵与攻击入侵与攻击2024/3/23一、入侵与攻击：一、入侵与攻击：1.概念概念l1）入侵（）入侵（Intrude）l非法者以非法途径进入系统的活动非法者以非法途径进入系统的活动l采用各种方法寻找系统漏洞采用各种方法寻找系统漏洞l非法进入计算机和网络系统非法进入计算机和网络系统l越权访问系统资源越权访问系统资源l最终控制目标系统最终控制目标系统

16、2024/3/23入侵与攻击（续）入侵与攻击（续）l2）攻击（）攻击（Attack）l恶意者以有意目的针对目标的活动恶意者以有意目的针对目标的活动l利用系统漏洞，进入系统利用系统漏洞，进入系统l有意破坏系统资源有意破坏系统资源l最终毁坏目标系统最终毁坏目标系统2024/3/23入侵与攻击（续）入侵与攻击（续）l3）黑客）黑客(Hacker)l贬意与褒意贬意与褒意?l否定与肯定否定与肯定?l计算机迷，迷惑计算机迷，迷惑?迷糊迷糊?迷昏迷昏?l原意原意:泛指对任何计算机系统、操作系统、网络系统的泛指对任何计算机系统、操作系统、网络系统的奥秘都具有强烈兴趣的人。奥秘都具有强烈兴趣的人。2024/3/

17、23入侵与攻击（续）入侵与攻击（续）lHacker的特点：的特点：l具有高级知识、技术与技能具有高级知识、技术与技能l了解并善于发现系统漏洞及其原因了解并善于发现系统漏洞及其原因l不断追求新的、更深的知识和技术不断追求新的、更深的知识和技术l公开并分享黑客技术公开并分享黑客技术l宣称自己决不、也从来不破坏系统宣称自己决不、也从来不破坏系统l宣称自己是媒体的受害者宣称自己是媒体的受害者2024/3/23入侵与攻击（续）入侵与攻击（续）l4）骇客）骇客(Cracker)：l恶意恶意“黑客黑客”lHackerwithevilintent.l网络上的匿名攻击者网络上的匿名攻击者l专门进行网络入侵攻击，

18、发布干扰信息，传输网络垃圾等，专门进行网络入侵攻击，发布干扰信息，传输网络垃圾等，并以此为乐并以此为乐2024/3/23入侵与攻击（续）入侵与攻击（续）l5）窃客）窃客(Phreaker)：l“电信黑客电信黑客”或或“电信窃客电信窃客”l入侵并攻击电信入侵并攻击电信/电话系统与网络电话系统与网络l拦截传输信号、操纵软件、并机盗打拦截传输信号、操纵软件、并机盗打l非法进入电信系统免费拨打区域非法进入电信系统免费拨打区域l和长途电话等。和长途电话等。l篡改电信网管软件，从中谋利篡改电信网管软件，从中谋利l攻击电信网站、传输通信，攻击电信网站、传输通信，l获取所需敏感信息获取所需敏感信息2024/3

19、/232.网络攻击框架网络攻击框架l从过程的角度来看，任何一次信息攻击都是连接攻从过程的角度来看，任何一次信息攻击都是连接攻击者和最终目的的操作序列，攻击者选用合适的工击者和最终目的的操作序列，攻击者选用合适的工具，侵入目标系统实施攻击，得到一定的结果，最具，侵入目标系统实施攻击，得到一定的结果，最终达到目的，因此，形成网络攻击的五个组成部分终达到目的，因此，形成网络攻击的五个组成部分2024/3/23网络攻击框架（续）网络攻击框架（续）黑客黑客间谍间谍恐怖主义者恐怖主义者公司公司职业罪犯职业罪犯故意破坏故意破坏用户命令用户命令脚本和程序脚本和程序自主式代理自主式代理工具包工具包分布式工具分布

20、式工具数据窃听数据窃听破坏信息破坏信息泄露信息泄露信息窃取服务窃取服务剥夺服务剥夺服务挑战状态挑战状态政治收益政治收益金融收益金融收益损伤损伤网络攻击网络攻击设计设计实施实施配置配置访问访问使用使用文件文件传输的数据传输的数据特定型特定型网络攻击总体框架网络攻击总体框架所利用的弱点类型所利用的弱点类型入侵级别入侵级别过程过程访问的主体访问的主体2024/3/23二、二、Loophole（漏洞）（漏洞）l1.概念概念l漏洞是什么漏洞是什么?l系统的漏洞在哪里系统的漏洞在哪里?l它们怎样影响网络的安全性它们怎样影响网络的安全性?l我们怎样来堵住这些漏洞我们怎样来堵住这些漏洞?l网络端口是什么？网络

21、端口是什么？l网络端口与入侵网络端口与入侵2024/3/23ConceptsofLoopholel任意允许非法用户未经授权就获得访问或提高访问任意允许非法用户未经授权就获得访问或提高访问层次的层次的硬件或者软件特征硬件或者软件特征。l漏洞就是某种形式的脆弱性。漏洞就是某种形式的脆弱性。广义特征广义特征:漏洞可以是漏洞可以是任何东西。任何东西。l没有绝对安全的事物，无论硬、软件平台都存在漏没有绝对安全的事物，无论硬、软件平台都存在漏洞。洞。l漏洞可能由系统管理员引起。漏洞可能由系统管理员引起。2024/3/23ConceptsofLoopholel系统平台安全漏洞的等级：系统平台安全漏洞的等级：

22、lA.允许恶意入侵访问，可能会破坏整个系统允许恶意入侵访问，可能会破坏整个系统lB.允许获取和提高访问权限，从而获得对系统的控制允许获取和提高访问权限，从而获得对系统的控制lC.允许任何用户中断、降低或妨碍系统操作允许任何用户中断、降低或妨碍系统操作2024/3/232.GapsinOSandNetl网络层，网络功能外壳网络层，网络功能外壳l网络功能调用、命令网络功能调用、命令l异种操作系统（平台）兼容性异种操作系统（平台）兼容性l系统不同安全机制之间的冲突系统不同安全机制之间的冲突l系统网络层及功能配置不正常系统网络层及功能配置不正常l网络应用软件不兼容，配置不合理网络应用软件不兼容，配置不

23、合理l单机计算机病毒破坏，驻留木马单机计算机病毒破坏，驻留木马2024/3/233.LoopholeinNetManagementl网络管理系统：也称网管软件，目前一般为分三个网络管理系统：也称网管软件，目前一般为分三个层次，即整体网络管理、网络单元管理和网络设备层次，即整体网络管理、网络单元管理和网络设备管理。管理。l整体网络管理整体网络管理l网络单元管理网络单元管理l网络设备管理网络设备管理2024/3/234.易损性漏洞易损性漏洞l系统易损性是一类设计错误系统易损性是一类设计错误l 程序的错误程序的错误l 设计的错误设计的错误l 配置的错误配置的错误l 操作的错误操作的错误l某些易损性往

24、往很难修正，有时为修正一个弱点可能某些易损性往往很难修正，有时为修正一个弱点可能产生出更多的问题。因此，漏洞可能引发其他漏洞，产生出更多的问题。因此，漏洞可能引发其他漏洞，漏洞可能隐蔽漏洞。漏洞可能隐蔽漏洞。2024/3/23易损性漏洞（续）易损性漏洞（续）l1）实现的易损性）实现的易损性（ImplementationVulnerability）l软件软件Bug，设计上并没有问题，但在软件或硬件的实现上，设计上并没有问题，但在软件或硬件的实现上出现了错误。出现了错误。le.g.UNIX系统中一些系统中一些Internet基础软件、基础软件、SendMail程序等，程序等，常常是非授权访问的突破

25、口。常常是非授权访问的突破口。2024/3/23易损性漏洞（续）易损性漏洞（续）l2）设计的易损性）设计的易损性（DesignVulnerability）l来自设计本身的缺陷（来自设计本身的缺陷（fault），通常更为严重且不易），通常更为严重且不易修改。一个完美的实现往往也无法弥补这个缺陷。修改。一个完美的实现往往也无法弥补这个缺陷。le.g.SendMail程序产生的电子邮件可以用来以非授权程序产生的电子邮件可以用来以非授权的方式攻击一个系统，邮件淹没技术导致系统无法服的方式攻击一个系统，邮件淹没技术导致系统无法服务。务。2024/3/23易损性漏洞（续）易损性漏洞（续）l3）配置的易损性

26、配置的易损性（ConfigurationVulnerability）l由系统配置错误引起。由系统配置错误引起。l销售商以信任的方式销售软件，这给攻击者提供了很大的销售商以信任的方式销售软件，这给攻击者提供了很大的便利。便利。le.g.系统帐户使用的默认口令、初始口令，默认访问权限系统帐户使用的默认口令、初始口令，默认访问权限等是攻击的入口。等是攻击的入口。2024/3/234.示例示例1：ping命令问题命令问题l网际控制报文协议网际控制报文协议=ICMPecho/EchoReply=pinglping正常地址，证明两点之间是否相通正常地址，证明两点之间是否相通lping全全1全全0地址，产生

27、广播报文地址，产生广播报文lpingxxx.0.0.1，自环测试，自环测试lping本机本机IP，跨网测试，跨网测试无限循环无限循环2024/3/23ping命令问题（续）命令问题（续）l用法：用法：lping-t-a-ncount-lsize-f-iTTL-vTOS-rcount-scount-jhost-list|-khost-list-wtimeout-R-Ssrcaddr-4-6target_name2024/3/23ping命令问题（续）命令问题（续）l选项：选项：-t循环发包直至停止循环发包直至停止-a决定主机地址决定主机地址-f无碎片标志无碎片标志(IPv4)-R跟踪路径跟踪路径

28、(IPv6)-4强制采用强制采用IPv4-6强制采用强制采用IPv6-ncount应答数应答数-lsize发送缓存大小发送缓存大小-iTTL活动时间活动时间-Ssrcaddr源地址记录源地址记录(IPv6)-vTOS服务类型服务类型(IPv4)-wtimeout超时数超时数-rcount记录跳的路径记录跳的路径(IPv4)-scount计算跳的时间戳计算跳的时间戳(IPv4)-jhost-list主机表松散路径主机表松散路径(IPv4)-khost-list主机表严格路径主机表严格路径(IPv4)2024/3/23示例示例2：Net命令集问题命令集问题lNet命令集：强有力的功能命令集：强有力

29、的功能NETACCOUNTSNETCOMPUTERNETCONFIGNETCONFIGSERVERNETCONFIGWORKSTATIONNETCONTINUENETFILENETGROUPNETHELPNETHELPMSGNETLOCALGROUPNETNAMENETPAUSENETPRINTNETSENDNETSESSIONNETSHARENETSTARTNETSTATISTICSNETSTOPNETTIMENETUSENETUSERNETVIEW2024/3/23Net命令集问题命令集问题le.g.Netstartl进入进入Windows的运行模式的运行模式l输入输入cmd进入命令行模式

30、进入命令行模式l输入输入netstartIP地址地址“消息消息”l则消息可直接传至该地址主机屏幕则消息可直接传至该地址主机屏幕l如：如：lnetstart211.201.11.12“test”2024/3/23三、三、NetworkPort（端口）（端口）l网络通信经端口实现网络通信经端口实现l不同端口作用不同不同端口作用不同l端口的分类标准端口的分类标准l端口扫描与监视端口扫描与监视2024/3/231.端口的概念端口的概念l端口（端口（port）：）：计算机与外界通讯交流的出口计算机与外界通讯交流的出口l硬件端口硬件端口：接口：接口l如：如：USB、串并端口等。、串并端口等。l端口包括数据

31、、状态和控制寄存器（组）端口包括数据、状态和控制寄存器（组）l可以编程访问和控制可以编程访问和控制l软件端口软件端口：通信协议端口：通信协议端口l网络面向连接服务和无连接服务的协议端口网络面向连接服务和无连接服务的协议端口l一种抽象的软件结构一种抽象的软件结构l包括数据结构和包括数据结构和I/O缓冲区缓冲区l可以编程访问和控制。可以编程访问和控制。2024/3/23端口的概念（续）端口的概念（续）l面向连接的协议与服务面向连接的协议与服务（Connection）lCO特点：三个阶段：特点：三个阶段：1）建立连接，）建立连接，2）传输数据，）传输数据，3）释放连接。）释放连接。l可确保数据传送的

32、次序和传输的可靠性可确保数据传送的次序和传输的可靠性l无连接的协议与服务（无连接的协议与服务（Connectionless）lCL特点：无连接服务只有传输数据阶段。特点：无连接服务只有传输数据阶段。开销小，只要发送实体活跃，无须接收实体也活跃开销小，只要发送实体活跃，无须接收实体也活跃灵活、方便、迅速，适合零星报文灵活、方便、迅速，适合零星报文l不能防止报文丢失、重复或失序不能防止报文丢失、重复或失序lTCP/IP协议在网络层是无连接的协议在网络层是无连接的2024/3/233.端口分类情况端口分类情况l1）按端口号分布划分）按端口号分布划分l知名端口（周知口，知名端口（周知口，Well-Kn

33、ownPorts）l众所周知的低端端口号，范围从众所周知的低端端口号，范围从0到到1023，固定分配，固定分配lFTP=21，SMTP=25，HTTP=80，RPC=135l注册端口（注册端口（RegisteredPorts）l从从1024到到49151，松散绑定于一些服务。，松散绑定于一些服务。l公用服务端口。运行程序提出访问网络申请，系统从这些端公用服务端口。运行程序提出访问网络申请，系统从这些端口号中分配一个供该程序使用，进程结束时释放所占用的端口口号中分配一个供该程序使用，进程结束时释放所占用的端口号。号。l1024是分配给第一个向系统发出申请的程序，许多系统处理是分配给第一个向系统发

34、出申请的程序，许多系统处理从从1024端口左右开始。端口左右开始。2024/3/23端口分类情况（续端口分类情况（续）l动态动态/私有端口（私有端口（Dynamic/PrivatePorts）l范围范围49152-65535，不固定分配给某个服务，不固定分配给某个服务l动态端口可被病毒木马程序占用，如：冰河动态端口可被病毒木马程序占用，如：冰河=7626，WAY=8011，Netspy=7306等。等。l但也有例外但也有例外：SUN的的RPC端口从端口从32768开始。开始。2024/3/23端口分类情况（续）端口分类情况（续）l2）按协议类型划分）按协议类型划分如：如：TCP、UDP、IP和

35、和ICMP等端口等端口l（1）TCP端口端口l传输控制协议端口，在客户端和服务器之间建立连接传输控制协议端口，在客户端和服务器之间建立连接l如如FTP=21，Telnet=23，SMTP=25，HTTP=80l（2）UDP端口端口l即用户数据包协议端口，无需在客户端和服务器之间建立即用户数据包协议端口，无需在客户端和服务器之间建立连接，安全性得不到保障。连接，安全性得不到保障。l如如DNS=53，SNMP=161，QQ=8000/4000等。等。2024/3/234.端口实例端口实例l80与与8080端口端口l80为为HTTP端口，是固定端口端口，是固定端口l8080与与80相同，但是动态端口

36、相同，但是动态端口l8080端口用于端口用于WWW代理服务，在使用代理服务器时代理服务，在使用代理服务器时附加附加“:8080”端口号，端口号，e.g.http:/:8080l8080端口可能被恶意程序利用，端口可能被恶意程序利用，e.g.lBrO、RCCbo、RingZero等木马都利用该端口实施攻击。等木马都利用该端口实施攻击。2024/3/23端口实例端口实例l网上木马软件很多，要监视的端口也很多，常用入网上木马软件很多，要监视的端口也很多，常用入侵端口需要监视。如：侵端口需要监视。如：l7306netspyl7307newnetspyProcSpy.exel7308newnetspys

37、py.exel12345netbusl668081119910新版新版netbusl31337bol2024/3/235.端口攻击端口攻击l利用利用OS系统本身的漏洞入侵系统本身的漏洞入侵l针对专门的网络端口针对专门的网络端口port发送封包发送封包l使主机忙于应付碎片组合而使主机忙于应付碎片组合而down机机lWin系统出现系统出现“蓝屏蓝屏”现象，只能重启现象，只能重启l补丁可使机器正常工作，但无法防御访补丁可使机器正常工作，但无法防御访tcp/ip类型的类型的网络网络2024/3/23网络协议问题网络协议问题l为什么产生这种协议？为什么产生这种协议？l这个协议针对什么系统或者问题？这个协

38、议针对什么系统或者问题？l这个协议的适用范围这个协议的适用范围l协议在什么情况和环境下实施？协议在什么情况和环境下实施？l协议解决了什么问题？协议解决了什么问题？l协议的安全性怎么样？协议的安全性怎么样？l协议的弱点在哪里？协议的弱点在哪里？l协议是否正在得到改进和发展？协议是否正在得到改进和发展？l协议相关性如何？协议相关性如何？2024/3/23一、网络协议与地址一、网络协议与地址l系统间交换和传输数据而统一约定的格式系统间交换和传输数据而统一约定的格式l规定双方一致同意的参数规定双方一致同意的参数l每一种协议都是为某种利益和用途设计的每一种协议都是为某种利益和用途设计的l协议产生并没有定

39、义完善的安全协议协议产生并没有定义完善的安全协议l在产品化进程中逐渐形成安全性在产品化进程中逐渐形成安全性l随市场产品的分化而扩展安全性随市场产品的分化而扩展安全性2024/3/231.常用网络协议常用网络协议lAppleTalk:连接连接Macintosh系统系统lATM:异步传输模式（固定包）异步传输模式（固定包）lEthernet:以太网标准以太网标准lFDDI:光纤分布式数据接口光纤分布式数据接口lIP：网际协议（包交换）：网际协议（包交换）lTCP/IP:传输控制传输控制/网际协议集网际协议集lUDP:用户数据报协议用户数据报协议lICMP:控制消息协议（控制消息协议（Ping）lS

40、S7：PBX电信协议电信协议lSNA：IBM大机网络协议大机网络协议lX.25：包交换协议：包交换协议2024/3/231）Telnet协议协议lTelnet终端仿真协议终端仿真协议l属于属于TCP/IP协议集协议集l允许用户远程登录并访问信息允许用户远程登录并访问信息l明文传输，不考虑安全性明文传输，不考虑安全性l经经TCP-23端口建立连接端口建立连接l远程访问的漏洞远程访问的漏洞l防火墙可阻断该协议连接防火墙可阻断该协议连接lOS也可阻断该协议连接也可阻断该协议连接2024/3/232）SSH安全安全Shell协议集协议集l支持远程安全登录、传输支持远程安全登录、传输l自动加密数据，提供

41、用户鉴别和数据压缩自动加密数据，提供用户鉴别和数据压缩l以以SSH监控程序保证安全传输监控程序保证安全传输l以以TCP-22端口建立连接端口建立连接l支支持持多多种种加加密密算算法法：RSA,3DES,IDEA,Blowfish,CAST128,AES256等等2024/3/233）PPP协议系列协议系列lPPP,PPTP&L2TPlPoint-to-point点到点网络协议点到点网络协议l对对PPP协议的改进，产生协议的改进，产生PPTP（隧道）（隧道）l支持支持VPN，利用，利用OS进行远程进行远程IP安全连接安全连接lPPTP以以TCP-1723端口建立连接端口建立连接lL2TP针对针对

42、PPTP弱点，支持多种网络弱点，支持多种网络lL2TP以以UDP-1701端口建立连接端口建立连接2024/3/234）FTP协议协议lFileTransferProtocollTCP/IP协议组中的协议之一协议组中的协议之一l提供文件共享，非直接使用远程计算机提供文件共享，非直接使用远程计算机l存储介质对用户透明，数据可靠高效传送存储介质对用户透明，数据可靠高效传送lTCP端口号为端口号为21，Port方式数据端口为方式数据端口为20l允许双向（允许双向（upload和和download）传输）传输l防火墙可阻断该协议连接（单向或双向）防火墙可阻断该协议连接（单向或双向）l与双方计算机位置、

43、联接方式、操作系统无关与双方计算机位置、联接方式、操作系统无关l匿名访问是安全漏洞之一匿名访问是安全漏洞之一2024/3/235）RPC协议协议lRemoteProcedureCall远程过程调用远程过程调用lWindows操作系统使用的一个协议操作系统使用的一个协议l处理通过处理通过TCP/IP的消息交换的消息交换l存在远程访问权限漏洞存在远程访问权限漏洞l攻攻击击者者利利用用该该漏漏洞洞能能远远程程控控制制并并以以本本地地系系统统权权限限运运行行代代码码，能能执执行行任任何何操操作作，包包括括安安装装程程序序，查查看看、更更改改或者删除数据，或者建立系统管理员权限的帐户。或者删除数据，或者

44、建立系统管理员权限的帐户。l利用此漏洞的蠕虫病毒应运而生利用此漏洞的蠕虫病毒应运而生2024/3/23RPC协议结构协议结构lNetworkmessage2024/3/23二、二、IP级的级的安全性安全性lIP级级的的安安全全性性要要保保证证分分组组的的识识别别、鉴鉴权权和和私私密密特特性性，由主要由主要IP标记实现：标记实现：lAH（AuthenticationHeader）鉴权包头鉴权包头lESP（EncapsulatingSecurityPayload）l互联网安全机制只建在应用程序级互联网安全机制只建在应用程序级l如如：E-mail加加密密、SNMPv2网网络络管管理理安安全全、接接入

45、入安全（安全（HTTP、SSL）等）等2024/3/231.IPv4的讨论的讨论lIPv4：地址：地址32位位lIPv4协议面临地址短缺协议面临地址短缺lIPv4安全性无法在安全性无法在IP层保证层保证l可以用可以用IPSec加强加强IPv4的安全性的安全性lIP地址的滥扩展造成新的问题地址的滥扩展造成新的问题l人们不愿放弃的财富人们不愿放弃的财富2024/3/23IPv4的讨论（续）的讨论（续）l互联网地址耗尽问题的技术解决方式：互联网地址耗尽问题的技术解决方式：lNAT（网络地址翻译）技术（网络地址翻译）技术lCIDR技术技术lRSIP技术拓展技术拓展IP地址使用地址使用l虽虽然然使使IP

46、地地址址扩扩大大，但但破破坏坏了了点点到到点点的的连连接接，同同时时带带来安全性降低的问题。来安全性降低的问题。2024/3/232.IPv6的讨论的讨论l一个协议版本一个协议版本IPversion6l代表下一代代表下一代IP协议，而不是下一代因特网协议，而不是下一代因特网!lIETF提出提出RFC1752协议标准（协议标准（IPng）lIETF=InternetEngineeringTaskForcelIPng=IPnextgenerationlIPv6并不是并不是IPng的所有内容的所有内容lIPng现在的研究内容将会成为现在的研究内容将会成为ipv6的核心的核心lIPv6内建安全和认证机

47、制内建安全和认证机制l扩展源地址和目的地址，都为扩展源地址和目的地址，都为128位位lIPv6一个接口可用多个地址标识便于路由管理一个接口可用多个地址标识便于路由管理2024/3/23IPv6的讨论（续）的讨论（续）lIPv6解决了解决了IPv4协议弱点协议弱点l地址空间、扩展选项、流标记地址空间、扩展选项、流标记lIPv6并没有涉及网络结构、转发方式并没有涉及网络结构、转发方式lIPv6未能支持多媒体通信网络未能支持多媒体通信网络l未能解决未能解决QoS选路、流量管理、可扩展性选路、流量管理、可扩展性lIPv6的外延比较宽广的外延比较宽广l如蓝牙、移动如蓝牙、移动IP等技术都与等技术都与IP

48、v6有关有关l服务质量服务质量QoS是重点是重点2024/3/233.IPv9的讨论的讨论l闹剧还是真实？闹剧还是真实？lRFC1606文档（文档（1994年年4月月1日发布）日发布）lRequestforCommentsl“使用使用IP版本版本9的历史观的历史观”l发明人：谢建平（专利、商业实施）发明人：谢建平（专利、商业实施）lIPv9有意义吗？有意义吗？2024/3/23IPv9的讨论（续）的讨论（续）l一种一种“十进制网络十进制网络”l采用以十进制算法采用以十进制算法(0-9)为基础的协议为基础的协议l用用0-9阿阿拉拉伯伯数数字字数数字字组组合合既既作作IPV9地地址址、MAC地地址

49、址、又又作域名。作域名。l称为称为“新一代安全可靠信息综合网新一代安全可靠信息综合网”l以以上上海海为为中中心心点点(12km/24-96芯芯主主干干网网)经经IPv4网网络络用隧道方式连接北京、杭州用隧道方式连接北京、杭州2024/3/23IPv9的争论的争论lRFC1606-使用使用IP版本版本9的历史观的历史观lRFC1605-SONETtoSonnet翻译翻译lRFC1607-21世纪的展望世纪的展望l1994-4-1lRFC1097-Telnet潜意识选项潜意识选项l1989-4-1lRFC2324-超文本超文本CF控制协议控制协议(HTCPCP/1.0)l1998-4-1lRFC2

50、549-带带Qos的基于鸟类传递的的基于鸟类传递的IP协议协议l1999-4-12024/3/234.IP交换的讨论交换的讨论l下一代互联网必将取代当前互联网下一代互联网必将取代当前互联网l技术更新换代必须具备一定的条件技术更新换代必须具备一定的条件l互联网技术的过渡期相当长？互联网技术的过渡期相当长？l第一必须使技术达到成熟第一必须使技术达到成熟l第二必须培育市场第二必须培育市场,得到市场的认可得到市场的认可lIPv4和和IPv6协议的网络共存协议的网络共存2024/3/23IP交换的讨论交换的讨论lIPvX下下一一代代互互联联网网协协议？议？l谁在研究？谁在研究？lIPv6的继续和扩展的继