网络攻防原理与技术教学课件（共14章）第3章 网络脆弱性分析.pptxVIP

第 三 章 网络脆弱性分析威胁网络安全的主要因素广义上的网络安全概念威胁因素环境和灾害因素温度、湿度、供电、火灾、水灾、地震、静电、灰尘、雷电、强电磁场、电磁脉冲等，均会破坏数据和影响信息系统的正常工作人为因素：多数安全事件是由于人员的疏忽、恶意程序、黑客的主动攻击造成的有意：人为的恶意攻击、违纪、违法和犯罪无意：工作疏忽造成失误（配置不当等），会对系统造成严重的不良后果威胁网络安全的主要因素威胁因素(Cont.)系统自身因素计算机系统硬件系统的故障软件：操作系统、支撑软件和应用软件网络和通信协议系统自身的脆弱和不足是造成信息系统安全问题的内部根源，攻击者正是利用系统的脆弱性使各种威胁变成现实内容提纲计算机网络概述1网络体系结构的脆弱性2典型网络协议的脆弱性3计算机系统安全分析4计算机网络计算机网络：由通信信道连接的主机和网络设备的集合，以方便用户共享资源和相互通信主机：计算机和非计算机设备信道：有线与无线网络设备：集线器、交换机、路由器等计算机网络计算机网络：由通信信道连接的主机和网络设备的集合，以方便用户共享资源和相互通信互联网（internet或internetwork）因特网（Internet）计算机网络结构和组成因特网：多层次ISP结构的网络局域网局域网校园网局域网第三层本地 ISP本地 ISP本地 ISP第二层本地 ISP第二层 ISP大公司第一层本地 ISP本地 ISP大公司第一层 ISP第一层 ISP第二层 ISP本地 ISP本地 ISP第二层 ISP第一层 ISPIXPIXP第二层 ISP本地 ISP本地 ISP第二层 ISP第二层 ISP大公司本地 ISP本地 ISP本地 ISP本地 ISP公司主机A主机B住宅用户单位用户校园用户企业用户计算机网络结构和组成因特网：边缘部分 + 核心部分边缘部分主机接入网路由器网络核心部分计算机网络结构和组成边缘部分：主机 + 接入网计算机网络结构和组成核心部分：大量网络 + 路由器网络核心部分H4H2路由器BDH6E主机AH1H5C发送的分组H3网络体系结构网络的体系结构(architecture)：计算机网络的各层及其协议的集合协议（protocol）：为网络中互相通信的对等实体间进行数据交换而建立的规则、标准或约定，三要素：语法、语义、同步网络体系结构内容提纲计算机网络概述1网络体系结构的脆弱性2典型网络协议的脆弱性3计算机系统安全分析4计算机网络的脆弱性从网络体系结构上分析分组交换、认证与可追踪性、尽力而为的服务策略、匿名与隐私、无尺度网络、级联结构、互联网的级联特性、中间盒子计算机网络的脆弱性问题一：分组交换Internet是基于分组交换的，这使得它比电信网（采用电路交换）更容易受攻击：所有用户共享所有资源，给予一个用户的服务会受到其它用户的影响；攻击数据包在被判断为是否恶意之前都会被转发到受害者！(很容易被DoS攻击)；路由分散决策，流量无序。 计算机网络的脆弱性问题二：认证与可追踪性Internet 没有认证机制，任何一个终端接入即可访问全网（而电信网则不是，有UNI、NNI接口之分），这导致一个严重的问题就是IP欺骗：攻击者可以伪造数据包中的任何区域的内容然后发送数据包到Internet中。通常情况下，路由器不具备数据追踪功能（Why？），因此没有现实的方法验证一个数据包是否来自于其所声称的地方。攻击者通过IP欺骗隐藏来源。 计算机网络的脆弱性问题三：尽力而为(best-effort)因特网采取的是尽力而为策略：把网络资源的分配和公平性完全寄托在终端的自律上是不现实的（DDoS利用的就是这一点）计算机网络的脆弱性问题四：匿名与隐私普通用户无法知道对方的真实身份，也无法拒绝来路不明的信息（如邮件）有人提出新的体系：终端名字与地址分离On the Internet, nobody knows you are a dog;On the Internet, all knows you are not a dog!计算机网络的脆弱性计算机网络的脆弱性计算机网络的脆弱性问题五：对全球网络基础实施的依赖全球网络基础设施不提供可靠性、安全性保证，这使得攻击者可以放大其攻击效力：一些不恰当的协议设计导致一些（尤其是畸形的）数据包比其它数据包耗费更多的资源（如TCP SYN包比其它的TCP包占用的目标资源更多）；Internet是一个大“集体”，其中有很多的不安全的系统计算机网络的脆弱性问题六：无尺度网络无尺度网络的典型特征是网络中的大部分结点只和很少结点连接，而有极少数结点与非常多的结点连接。这种关键结点（称为“枢纽”或“集散结点”）的存在使得无尺度网络对意外故障有强大的承受能力（删除大部分网络结点而不会引发网络分裂），但面对针对枢纽结点的协同性攻击时则显得脆弱（删除少