网络攻击和防御.ppt

第八章 网络攻击和防御原理 本章内容概要 一、简介 网络分层结构 控制报文协议 (ICMP) TCP连接规程 二、叙述他们的漏洞和对策 三、构造安全可靠的防火墙攻防模型 四、概括叙述网络防御技术的发展方向 本章目录 8.1 网络分层结构和安全性简介 8.2 基于控制报文协议的网络攻击和防御 8.3 基于TCP连接规程的网络攻击和防御 8.4 基于TCP与ICMP分组组合的网络攻击和防御 8.5 基于网络防御设备的 攻防模型 8.6 网络防御技术的新进展 8.1 网络分层结构和安全性简介 8.1.1 概述 8.1.2 网络接入层 8.1.3 互联网层(IP层) 8.1.4 传输层 8.1.5 应用层 8.1.6 TCP/IP信息包构造 8.1 网络分层结构和安全性简介 在简要介绍网络分层结构的基础上， 评估每一层的安全漏洞和对策。 8.1.1 概述1．开放系统互连参考模型 国际标准化组织(The International Organization for Standardization，ISO)创建一个七层模型，它是为网络通信创建一个标准。该模型称作开放系统互连(the Open Systems Interconnection，OSI)参考模型。OSI模型从一个很高的层次对网络系统进行了描述。O S I模型总共包含了七层。从最顶部的“应用层”开始，一直到最底部的“物理层”，这七个层的描述如表8-1所示，它完整阐述了最基本的网络概念。图8-1展示的正是O S I模型的样子。 表8-1 OSI网络模型 TCP/IP协议 TCP/IP与OSI分层架构间的对应，见下图。OSI具有完整的七层架构，而TCP/IP则只定义了3种层次的服务。TCP/IP应用服务层，对应到OSI架构中的应用层、表示层以及会话层。两者之间最大的不同点在于OSI考虑到开放式系统互联而设定了数据表示层，而TCP/IP的网络层与传输层，则分别与OSI的网络层和传输层的功能大致相同，此外，TCP/IP本身并没有提供物理层和数据链路层的服务，所以一般是架在OSI的第一、二层上运作。  TCP/IP与OSI七层体系结构的对应关系 TCP/IP各层协议集族 IP数据包 TCP/IP信息包创建过程 ⑴电子邮件首先传输到mail服务器 ⑵ mail服务器对收件人创建一个邮件会话 ⑶mail服务器堆栈弹出TCP页眉 ⑷把TCP信息包封成IP数据报 ⑸把IP数据报依次压入物理媒体信息包 四个参数:即TCP端口号(应用层和传输层)、源IP地址、目标IP地址(互联网层)和目目标物理地址(网络接入层)。 4层结构优点:路由器功能强 直到网络层连接好前，路由器必须了解信息包的结构，也就是说路由器必须知道上述四个参数。路由器依靠这只四个参数干预、指行信息包从一台计算机到达处于适当位置的接收计算机。 从TCP/IP信息包包装结构知道，路由器需要在不同的层次上操作，这种特性使得路由器适合用于信息包的过滤。信息包的过滤功能在防火墙和虚拟专用网络中有重要的作用。 4层结构的缺陷: 黑客旁路 封装的处理方法可能被TCP/IP协议栈某一层所修改。例如，黑客可以通过你公司网络中一个不用的路由器直接旁路公司的应用程序网关来发送病毒。病毒将居留在应用层的堆栈中,并且将不被路有器检测到，因为路由器只查看互联网层(IP)。黑客能够使用信息包嗅探器中途截获和读取数据报。 为了最好保护一个网络，用于TCP/IP 协议栈中各层的地址应个别地安全地给出 8.1.2 网络接入层 TCP/IP协议栈的最底层是网络接入层(Network Access 因为它包括OSI模型中的第1，2层, 所以又称物理/数据链路层(Physical/data link layers)。 1．物理/数据链路层功能 物理层由在光纤，同轴电缆，双绞线，调制解调器线路和红外线上传输的电信号组成。只要数据是在任何媒体上传输，物理层总是存在的。数据链路层定义来自物理层的信号如何重新集合成一个可用的格式。 2．物理/数据链路层的保护 为了维持这些层的安全，需要了解保护网络所用的网络技术。黑客攻击和检测一个网络的普遍的方法是在公司内部机器上安装一个信息包嗅探器或者把一个窃听装置连接到物理媒体上。使用加密技术，数据标签(data labels)和通信量填充(traffic padding)等方法，使得黑客很难利用从信息包嗅探器上获得的信息。 3．网络接入层协议 网络接入层使用的协议 帮助主机-主机完成通信。 大部分的安全威胁不起源于TCP/IP协议栈中的这一层；但是需要了