《信息安全ppt課件》由會員分享，可在線閱讀，更多相關(guān)《信息安全ppt課件（75頁珍藏版）》請在裝配圖網(wǎng)上搜索。

第二章,高級TCP/IP分析,1,高級TCP/IP分析（一）,70年代中期，美國國防部高級計劃署開始著手全美范圍內(nèi)異種計算機間的連接 那時，計算機與計算機間的連接使用的還只是點對點專用線路，計算機與計算機的通訊規(guī)約采用的是各廠家自行定義的專門協(xié)議,,可以互連,可以互連,,,不可互連,,2,高級TCP/IP分析(二),如何實現(xiàn)不同網(wǎng)絡(luò)及計算機間的互操作成為計算機聯(lián)網(wǎng)的最關(guān)鍵問題 到八十年代末九十年代初，有了肯定的答案：這就是采用TCP/IP協(xié)議,3,本章內(nèi)容,第1節(jié) TCP/IP協(xié)議棧 第2節(jié) 物理層的安全威脅 第3節(jié) 網(wǎng)絡(luò)層的安全威脅 第4節(jié) 傳輸層的安全威脅 第5節(jié) 應(yīng)用層的安全威脅 第6節(jié) IPSec協(xié)議 第7節(jié) IPv6,4,TCP/IP協(xié)議棧,TCP/IP協(xié)議的起源和發(fā)展 TCP/IP協(xié)議集 TCP/IP的體系結(jié)構(gòu)和特點 VLSM和CIDR技術(shù),5,協(xié)議,協(xié)議是為了在兩臺計算機之間交換數(shù)據(jù)而預(yù)先規(guī)定的標(biāo)準。TCP/IP并不是一個協(xié)議，而是許多協(xié)議，而TCP和IP只是其中兩個基本協(xié)議而已 以寄信為例,正確的地址,姓名,郵政編碼以及正確的格式才可以讓信寄到收信人手中,6,TCP/IP協(xié)議的起源和發(fā)展,在TCP/IP協(xié)議成為工業(yè)標(biāo)準之前，TCP/IP協(xié)議經(jīng)歷了近12年的實際測試 1980年，高研署在它的網(wǎng)絡(luò)上首先采用TCP/IP協(xié)議,7,TCP/IP協(xié)議集,TCP/IP（傳輸控制協(xié)議/網(wǎng)間協(xié)議）是一組網(wǎng)絡(luò)通信協(xié)議，它規(guī)范了網(wǎng)絡(luò)上的所有通信設(shè)備，尤其是一個主機與另一個主機之間的數(shù)據(jù)往來格式以及傳送方式,8,TCP/IP的體系結(jié)構(gòu)和特點,ISO/OSI網(wǎng)絡(luò)的七層結(jié)構(gòu)模型 TCP/IP網(wǎng)絡(luò)的四層結(jié)構(gòu)模型,9,ISO/OSI網(wǎng)絡(luò)的七層結(jié)構(gòu)模型,網(wǎng)絡(luò)設(shè)計者在解決網(wǎng)絡(luò)體系結(jié)構(gòu)時經(jīng)常使用ISO/OSI（國際標(biāo)準化組織/開放系統(tǒng)互連）七層模型 該模型總分為7層：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層 每一層代表一定層次的網(wǎng)絡(luò)功能,10,OSI七層示意圖,OSI參考模型從上到下共分為七層, 最上層為用戶面對的應(yīng)用層 任何一次兩個用戶之間的通信都需要經(jīng)過這七層的數(shù)據(jù)轉(zhuǎn)換,11,電子郵件為例,E-mail軟件：Outlook, Netscape,文字??？翻譯、加密,會話方式：登錄、傳送、釋放,無誤傳輸：分段重組、保證服務(wù),網(wǎng)絡(luò)間：尋址、路徑選擇、交換,數(shù)據(jù)流：信道爭用、數(shù)據(jù)維護,電氣信號：電氣、機械、功能等,,Application Presentation Session Transport Network Data Link Physical,,,,,,,比特位,數(shù)據(jù)幀,數(shù)據(jù)包,數(shù)據(jù)段,,,,,,,12,ISO/OSI數(shù)據(jù)流向,,,,,,,,Application Process X,Application Process Y,Application Data,,,Communication Path,Physical Transmission medium,Outgoing Frame construction,Incoming Frame reduction,,,,,,,,13,ISO/OSI參考模型各層的功能,14,TCP/IP網(wǎng)絡(luò)的四層結(jié)構(gòu)模型,OSI參考模型與TCP/IP模型對比,15,TCP/IP層次結(jié)構(gòu)圖,16,TCP/IP層次結(jié)構(gòu)（一）,17,TCP/IP層次結(jié)構(gòu)（二）,18,TCP/IP層次結(jié)構(gòu)（三）,19,VLSM和CIDR技術(shù),IP地址 VLSM可變長子網(wǎng)掩碼 CIDR無類別編址,20,IP地址（一）,IP網(wǎng)絡(luò)使用32位地址，通常由點分十進制表示如：202.112.14.1 它主要由兩部分組成 一部分是用于標(biāo)識所屬網(wǎng)絡(luò)的網(wǎng)絡(luò)地址 另一部分是用于標(biāo)識給定網(wǎng)絡(luò)上的某個特定的主機的主機地址,21,IP地址（二）,22,有類地址的局限性,IPv4使用32位的地址，即在IPv4的地址空間中只有232（4,294,967,296，低于43億）個地址可用 IPv4的地址是按照網(wǎng)絡(luò)的大?。ㄋ褂玫腎P地址數(shù)）來分類的，它的尋址方案使用“類”的概念。A、B、C三類IP地址的定義很容易理解，也很容易劃分，但是在實際網(wǎng)絡(luò)規(guī)劃中，他們并不利于有效地分配有限的地址空間,23,子網(wǎng)（一）,一般地，32的IP地址被分為兩部分，即網(wǎng)絡(luò)號和主機號 為提高IP地址的使用效率，子網(wǎng)編址的思想是將主機號部分進一步劃分為子網(wǎng)號和主機號,,引入子網(wǎng)模式后，網(wǎng)絡(luò)號部分加上子網(wǎng)號才能全局唯一地標(biāo)識一個物理網(wǎng)絡(luò)。,24,子網(wǎng)（二）,子網(wǎng)編制模式下的路由表條目變?yōu)?｛子網(wǎng)掩碼，目的網(wǎng)絡(luò)地址，下一路由器地址｝ 這樣可以用子網(wǎng)掩碼的設(shè)置來區(qū)分不同的情況，使路由算法更為簡單,25,子網(wǎng)（三）,子網(wǎng)結(jié)構(gòu) 設(shè)子網(wǎng)掩碼，子網(wǎng)掩碼與目的地址相與，獲得子網(wǎng)地址 特定主機 掩碼32位為全“1”，將32位地址全部截下,26,子網(wǎng)（四）,缺省路由 掩碼為全“0”，目的地址也為全“0”，將報文直接送往缺省端口地址 無子網(wǎng)結(jié)構(gòu) 掩碼中“1”的個數(shù)與網(wǎng)絡(luò)號位數(shù)相同,27,可變長子網(wǎng)掩碼,VLSM（Variable Length Subnet Mask， 可變長子網(wǎng)掩碼） 這是一種產(chǎn)生不同大小子網(wǎng)的網(wǎng)絡(luò)分配機制。VLSM將允許給點到點的鏈路分配子網(wǎng)掩碼255.255.255.252，而給Ethernet網(wǎng)絡(luò)分配255.255.255.0。VLSM技術(shù)對高效分配IP地址（較少浪費）以及減少路由表大小都起到非常重要的作用。但是需要注意的是使用VLSM時，所采用的路由協(xié)議必須能夠支持它，這些路由協(xié)議包括RIP2，OSPF，EIGRP和BGP,28,CIDR無類別編址（一）,CIDR無類別編址（Classless Inter Domain Routing ）,29,CIDR無類別編址（二）,把許多C類地址合起來作B類地址分配。采用這種分配多個IP地址的方式，使其能夠?qū)⒙酚杀碇械脑S多表項歸并(summarization)成更少的數(shù)目。要使用這種歸并，必須滿足以下三種特性 為進行選路要對多個IP地址進行歸并時，這些IP地址必須具有相同的高位地址比特； 路由表和選路算法必須擴展成根據(jù)32位IP地址和32位掩碼做出選路決策的算法； 必須擴展選路協(xié)議使其除了32位地址外，還要有32位掩碼。OSPF和RIP-2都能夠攜帶第4版BGP所提出的32位掩碼。,30,TCP/IP協(xié)議棧,31,物理層的安全威脅,物理層介紹 物理層的安全風(fēng)險分析,32,物理層介紹,第一層稱為物理層(Physical Layer)，這一層負責(zé)傳送比特流 提供建立、維護和拆除物理鏈路所需的機械、電氣、功能和規(guī)程特性 通過傳輸介質(zhì)進行數(shù)據(jù)流的物理傳輸，故障檢測和物理層管理,33,物理層的安全風(fēng)險分析,網(wǎng)絡(luò)分段 網(wǎng)絡(luò)拓撲,34,網(wǎng)絡(luò)分段,網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式，物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層（ISO/OSI模型中的第一層和第二層）上分為若干網(wǎng)段，各網(wǎng)段相互之間無法進行直接通訊 目前，許多交換機都有一定的訪問控制能力，可實現(xiàn)對網(wǎng)絡(luò)的物理分段,35,網(wǎng)絡(luò)拓撲,安全管理員必須了解他們保護的網(wǎng)絡(luò)的所有布局。黑客最常用的攻擊和滲透到網(wǎng)絡(luò)中的—種方法是在公司內(nèi)部主機上安裝一個packetsniffer。記住物理定義了介質(zhì)上的電子信號。局域網(wǎng)使用基帶傳輸，任何線纜上傳輸?shù)臄?shù)據(jù)將可被任何可以物理連接的人得到。理解你的網(wǎng)絡(luò)布局可以幫助阻止未知的sniffer 發(fā)生。最普通的網(wǎng)絡(luò)拓撲結(jié)構(gòu)是星型，總線型，環(huán)型，和復(fù)合型,36,網(wǎng)絡(luò)層的安全威脅,網(wǎng)絡(luò)層介紹 網(wǎng)絡(luò)層的安全威脅 網(wǎng)絡(luò)層的安全性 網(wǎng)絡(luò)層的安全防護,37,網(wǎng)絡(luò)層介紹,網(wǎng)絡(luò)層主要用于尋址和路由。它并不提供任何錯誤糾正和流控制的方法。網(wǎng)絡(luò)層使用較高效的服務(wù)來傳送數(shù)據(jù)報文,38,Internet 協(xié)議(IP),0 7 15 2 3 3 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |版本號| IHL | 服務(wù)類型 | 總長度 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 識別碼 |標(biāo)志 | 片偏置位 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 壽命 | 協(xié)議 | 報頭校驗和 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 源地址 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 目的地址 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 選項 | 填空 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+,39,網(wǎng)絡(luò)層的安全威脅,IP 欺騙 Internet 控制信息協(xié)議(ICMP),40,IP 欺騙（一）,黑客經(jīng)常利用一種叫做IP 欺騙的技術(shù)，把源IP 地址替換成—個錯誤的IP 地址。接收主機不能判斷源IP 地址是不正確的 使用IP 欺騙的一種攻擊很有名的一種是Smurf攻擊 Smurf 攻擊是—種拒絕服務(wù)攻擊,41,IP 欺騙（二）,一個Smurf 攻擊向大量的遠程主機發(fā)送一系列的ping 請求命令。黑客把源IP 地址換成想要攻擊目標(biāo)主機的IP 地址。所有的遠程計算機都響應(yīng)這些ping 請求，然后對目標(biāo)地址進行回復(fù)而不是回復(fù)給攻擊者的IP 地址用。目標(biāo)IP 地址將被大量的ICMP 包淹沒而不能有效的工作,42,Internet 控制信息協(xié)議(ICMP),當(dāng)用戶ping 一臺主機想看它是否運行時，用戶端就正在產(chǎn)生了一條ICMP 信息。遠程主機將用它自己的ICMP 信息對ping 請求作出回應(yīng)。這種過程在多數(shù)網(wǎng)絡(luò)中不成問題。然而，ICMP 信息能夠被用于攻擊遠程網(wǎng)絡(luò)或主機,43,網(wǎng)絡(luò)層的安全性,主要優(yōu)點：透明性，也就是說，安全服務(wù)的提供不需要應(yīng)用程序、其他通信層次和網(wǎng)絡(luò)部件做任何改動 主要缺點：網(wǎng)絡(luò)層一般對屬于不同進程和相應(yīng)條例的包不作區(qū)別。對所有去往同一地址的包，它將按照同樣的加密密鑰和訪問控制策略來處理。這可能導(dǎo)致提供不了所需的功能，也會導(dǎo)致性能下降,44,網(wǎng)絡(luò)層的安全威脅,網(wǎng)絡(luò)分段,網(wǎng)絡(luò)安全掃描技術(shù),入侵檢測技術(shù),VPN技術(shù),加密技術(shù) 、數(shù)字簽名和認證技術(shù),防火墻服務(wù),VLAN的實現(xiàn),網(wǎng)絡(luò)層的安全防護,45,傳輸層的安全威脅,傳輸層介紹 傳輸層的安全性,46,傳輸層介紹,傳輸層控制主機間傳輸?shù)臄?shù)據(jù)流。傳輸層存在兩個協(xié)議，傳輸控制協(xié)議(TCP)和用戶數(shù)據(jù)報協(xié)議(UDP),47,傳輸層TCP 和 UDP,TCP 是一個面向連接的協(xié)議 UDP是一個非面向連接的協(xié)議,48,傳輸控制協(xié)議(TCP)（一）,傳輸層協(xié)議，由上層協(xié)議接收任意長度的報文，并提供面向連接的傳輸服務(wù) TCP接收數(shù)據(jù)流，并分成段，然后將這些段送給IP，因IP為無連接的，所以TCP必須為每個段提供順序同步,49,傳輸控制協(xié)議(TCP)（二）,50,TCP 握手,51,用戶數(shù)據(jù)報協(xié)議(UDP),傳輸層協(xié)議，為無確認的數(shù)據(jù)報服務(wù)，只是簡單的接收和傳輸數(shù)據(jù) UDP比TCP傳輸數(shù)據(jù)快,52,傳輸層的安全性,傳輸層安全機制的缺點 要對傳輸層IPC界面和應(yīng)用程序兩端都進行修改 基于UDP的通信很難在傳輸層建立起安全機制來 傳輸層安全機制的主要優(yōu)點它提供基于進程對進程的(而不是主機對主機的)安全服務(wù),53,應(yīng)用層的安全威脅,應(yīng)用層介紹 應(yīng)用層的安全性 應(yīng)用層的安全防護,54,應(yīng)用層介紹,簡單郵件傳輸協(xié)議（SMTP） 文件傳輸協(xié)議(FTP) 超文本傳輸協(xié)議(HTTP) 遠程連接服務(wù)標(biāo)準協(xié)議（Telnet） 簡單網(wǎng)絡(luò)管理協(xié)議(SNMP) 域名系統(tǒng)(DNS),DNS,SNMP,Telnet,HTTP,FTP,SMTP,55,應(yīng)用層的安全性,想要區(qū)分一個具體文件的不同的安全性要求，那就必須借助于應(yīng)用層的安全性 提供應(yīng)用層的安全服務(wù)實際上是最靈活的處理單個文件安全性的手段 應(yīng)用層提供安全服務(wù) 對每個應(yīng)用(及應(yīng)用協(xié)議)分別進行修改,56,應(yīng)用層的安全防護,實施強大的基于用戶的身份認證 實施數(shù)據(jù)加密，訪問控制的理想位置 加強數(shù)據(jù)的備份和恢復(fù)措施 對資源的有效性進行控制，資源包括各種數(shù)據(jù)和服務(wù),57,IPSec協(xié)議（一）,IPSec細則首先于1995年在互聯(lián)網(wǎng)標(biāo)準草案中頒布 IPSec可以保證局域網(wǎng)、專用或公用的廣域網(wǎng)及Internet上信息傳輸?shù)陌踩?IPSec的主要特征在于它可以對所有IP級的通信進行加密和認證,58,IPSec協(xié)議（二）,IPSec提供三種形式來保護通過IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù) 數(shù)據(jù)認證--可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)在數(shù)據(jù)完整性方面是一致的，同時可以確定申請發(fā)送者在實際上是真實發(fā)送者，而不是偽裝的 完整--保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)丟失與改變 機密性--使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容,59,IPv6,從IPv4向IPv6過渡 IPv6發(fā)展現(xiàn)狀,60,從IPv4向IPv6過渡,通過雙協(xié)議棧實現(xiàn)過渡 雙協(xié)議棧是保證能對IPv6和IPv4服務(wù)訪問的關(guān)鍵,61,雙協(xié)議棧方案的工作方式,62,IPv6技術(shù),隧道技術(shù) 翻譯器技術(shù),63,隧道技術(shù),所謂隧道，就是在一方將IPv6的包封裝在IPv4包里，然后在目的地將其解封，得到IPv6包,64,翻譯器技術(shù),,65,IPv6發(fā)展現(xiàn)狀,IETF正在制定大量的IPv6相關(guān)標(biāo)準，包括地址結(jié)構(gòu)、域名解析、安全、自動配置、鄰居發(fā)現(xiàn)、路由協(xié)議等方面 IETF于1996年建立了全球范圍的試驗床(Testbed)，稱作6Bone 1998年6月我國國家教育科研網(wǎng)CERNET也加入了6Bone，并于同年12月成為其骨干成員 2003年IPv6網(wǎng)絡(luò)將進入大規(guī)模實施階段，之后IPv4和IPv6將保持長時間共存，并最終過渡到IPv6,66,IPv6的特點,與原有的IPv4相比，IPv6有如下優(yōu)點 更大的地址：將32比特的地址增大為128比特； 靈活的首部格式：IPv6使用一種全新的不兼容的數(shù)據(jù)報格式 增強的選項：IPv6允許數(shù)據(jù)報包含可選的控制信息，也可以提供新的設(shè)施 支持資源分配：IPv6允許對網(wǎng)絡(luò)資源的預(yù)分配，這些新的機制支持實時視像等應(yīng)用 對協(xié)議擴展的保障：允許協(xié)議新增特性，這樣協(xié)議就從要全面描述所有細節(jié)的狀況中擺脫出來,67,IPv6數(shù)據(jù)報的一般形式,具有多個首部的IPv6數(shù)據(jù)報的一般形式。只有基本 首部是必需的，擴展首部是可選的。,68,IPv6基本首部格式,數(shù)據(jù)報首部的變化反映了協(xié)議的變化 對齊已經(jīng)從32比特的整數(shù)倍改為64比特的整數(shù)倍 取消了首部長度自段，數(shù)據(jù)報長度字段被PAYLOAD LENGTH字段所取代。 源地址和目的地址字段的大小都被增加成每個字段16個八位組 分片信息已從基本首部的固定字段移到了一個擴展首部中 TIME-TO-LIVE字段改為HOP LIMIT字段 SERVICE TYPE字段改為FLOW LABEL字段 PROTOCOL字段改為一個新的字段，用來指明下一個首部的類型,69,IPv6的擴展首部,IPv6的擴展首部同IPv4的任選項相似 每個數(shù)據(jù)報包含的擴展首部只提供那些它所需要使用的設(shè)施,70,IPv6數(shù)據(jù)報的分析,71,IPv6的分片和重組,當(dāng)數(shù)據(jù)報要穿越某個網(wǎng)絡(luò)，而數(shù)據(jù)報的長度對該網(wǎng)絡(luò)的MTU又太大時，IPv4要求中間的路由器對數(shù)據(jù)報進行分片，而在IPv6中，分片被限制為由最初的源站來完成。IPv6基本首部中并不像IPv4首部那樣包含有用于分片的字段，而是在需要分片時，源站便在每每一數(shù)據(jù)報片的基本首部之后插入一個小的擴展首部,,,,,,下一首部,保留,片偏移,MF,數(shù)據(jù)報標(biāo)識符,72,端到端分片的后果,該方法可以減少路由器的開銷,并允許路由器在單位時間內(nèi)處理更多的幀 改變了Internet 的基本假設(shè) 使用端到端分片的互聯(lián)網(wǎng)協(xié)議要求發(fā)送端發(fā)現(xiàn)到達每個目的站的路徑MTU，并將發(fā)出的大于此路徑MTU的數(shù)據(jù)報分片。端到端的分片并不適應(yīng)用于路由變更,73,IPv6地址空間的大小,在IPv6中每個地址占據(jù)16個八位組,是一個IPv4地址長度的四倍?？梢猿惺苋魏魏侠淼牡刂贩峙洳呗?地球上的每個人都可以具有足夠的地址來構(gòu)成他們各自的、像目前這個Internet一樣大的互聯(lián)網(wǎng) 一個16個八位組的整數(shù)可以容納2128個值，因此地址空間大于3.4*1038。如果每秒分配一百萬個地址的速率進行，需要二十年的時間才有可能分配完,74,三種基本IPv6地址類型,報文的目的地址可以歸為以下三類之一 單播（Unicast）：目的地址指明一個單一的計算機（主機或路由器）；數(shù)據(jù)報將選擇一條最短的路徑到達目的站 群集（Cluster）：目的站是共享一個地址前綴的計算機的集合（如，掛在同一個物理網(wǎng)絡(luò)上）；數(shù)據(jù)報將選擇一條最短的路徑到達改組，然后只提供給組中的一個成員 組播（Multicast）：目的站是一組計算機，他們可能位于不同的地方。數(shù)據(jù)報將通過硬件組播或廣播投遞給每一個成員,75,