第6章Internet安全与管理..ppt

第6章 Internet安全与管理第十周 6.1 网络安全及现状 6.2 常见的网络攻击 6.3 信息安全性的基本要求 6.4 TCP/IP协议的安全缺陷 6.5 密码学 6.6 网络防火墙结构及技术 ? 本章小结 6.1 网络安全及现状 网络安全是指网络系统的硬件、软件和数据受到保护，不因偶然或恶意的因素而遭到破坏、更改、泄露，系统能够持续、可靠地正常运行，网络服务不中断。 网络作为信息的载体，是为信息服务的，因而网络安全的内容集中在信息本身的安全和作为信息载体的网络系统的安全两大方面。不同的社会角色对网络安全有不同的需求，其网络安全的内容的重点也是不同的 现状（1） 第一，网络安全依然包含传统的计算机安全。但是网络支持的计算机和操作系统的种类相当多，大大增加了计算机安全的复杂性。 第二，出现了大量的网络应用和协议，必须考虑这些应用和协议的安全问题。 第三，由于国内外黑客和病毒方面的技术日新月异，而新的安全漏洞也层出不穷，因此，网络安全必须能够紧跟网络发展的步伐，适应新兴的黑客技术，唯有如此，才能够确保网络的安全。 现状（2） 第四，任何网络安全都是相对的，任何网络安全产品的安全保证都只能说是提高网络安全的水平，而不能杜绝危害网络安全的所有事件。 第五，考虑到网络和系统经常是动态变化的，网络安全必须适应变化的环境。安全的焦点已经由传统的“点”的安全（个体安全）转移到“点”到“点”的安全（个体之间通信安全）上，进而到“面”的安全（整体系统的安全），最后发展到“立体”安全，即不但考虑到安全的整体性，更考虑到安全系统本身的层次性。 6.2 常见的网络攻击 常见的网络攻击： 1．数据包探测器 数据包探测器是一个软件应用程序，它使用一个以混杂模式工作的网卡来捕获所有在某个特定冲突域中所发送的网络数据包。由于一些网络应用程序是以明文形式发送数据（如Telnet、FTP、SMTP、POP3），使得数据包探测器可以捕获到一些有意义而且敏感的信息（如用户名和密码）。 常见的网络攻击(续1） 2．IP电子欺骗 IP电子欺骗攻击是指某个位于网络内部或外部的黑客假装为一个受信任的计算机而发起的攻击。这种攻击主要是攻击在客户机和服务器应用程序之间传输的数据，或在一个点对点网络连接上传输的数据流中加入恶意的数据和命令 一般情况下，路由器在转发报文的时候，只根据报文的目的地址查路由表，而不管报文的源地址是什么。这样就可能面临一种危险：如果一个攻击者向一台目标计算机发出一个报文，而把报文的源地址填写为第三方的一个IP地址，这样这个报文在到达目标计算机后，目标计算机便可能向毫无知觉的第三方计算机回应，这便是所谓的IP地址欺骗攻击 常见的网络攻击(续2） 3．拒绝-服务（DoS） DoS是一种常见的攻击类型，这种攻击的目的是集中在使得网络不能正常使用。其方式通常是耗尽网络、操作系统或应用程序中有限的资源来达到目的 4．密码攻击 密码攻击是采用反复的尝试来获得用户账号或密码 5．中间人攻击（man-in-the-middle-attack） 它要求黑客能够访问经过某个网络的数据包，能够访问在ISP网络和任何其他网络之间传输的所有网络数据包，他若能够阻断已成功登录用户的连接，并伪造IP地址，以登录用户地址连接到PIX上，将能绕过防火墙的身份验证，成功地建立会话连接，就可以成功地进行中间人攻击 常见的网络攻击(续3） 6．应用层攻击（Application layer attack） 利用应用程序的漏洞进行攻击。应用层攻击的基本问题是它们通常被允许通过防火墙的端口 7．网络侦察（Network connaissance） 它是通过使用公共可用的信息和应用程序来了解关于目标网络的信息，为发起攻击收集尽可能多的信息。通常采用的方式有DNS查询、ping扫描和端口扫描。 8．信任利用（Trust Exploitation） 它是指利用网络中的某种信任关系来发起攻击。。如某个位于防火墙外部的系统，它和一个位于防火墙内部的系统具有一个信任关系，当外部系统被黑客侵害时，黑客可以利用信任关系从外部系统发起对内部网络的攻击。 常见的网络攻击(续4） 9．端口重定向（Port redirection） 它是一种信任利用的攻击类型，它利用一个受到侵害的主机传输那些本应当在通过防火墙会丢弃的数据包。例如一个具有三个接口的防火墙，每个接口都连接一个主机。位于外部接口的主机可以访问位于公共服务网段（DMZ，demilitarized zone），但不能访问内部接口的主机，而位于公共服务网段上的主机则可以访问外部接口和内部接口上的主机。若黑客攻击侵害了公共服务网段上的主机，并在其上安装应用软件将来自外部接口上的主机的数据流重定向为直接到内部接口