2、網(wǎng)絡(luò)與通信安全解讀課件

網(wǎng)絡(luò)與通信安全——綠盟科技網(wǎng)絡(luò)與通信安全——綠盟科技議題網(wǎng)絡(luò)基礎(chǔ)概述網(wǎng)絡(luò)體系結(jié)構(gòu)網(wǎng)絡(luò)協(xié)議安全分析網(wǎng)絡(luò)中面臨的威脅針對網(wǎng)絡(luò)設(shè)備的攻擊拒絕服務(wù)（DoS）攻擊欺騙攻擊網(wǎng)絡(luò)嗅探網(wǎng)絡(luò)設(shè)備安全網(wǎng)絡(luò)服務(wù)的安全拒絕服務(wù)攻擊（DoS）的防御策略議題網(wǎng)絡(luò)基礎(chǔ)概述OSI參考模型ISO／OSI網(wǎng)絡(luò)體系結(jié)構(gòu)

網(wǎng)絡(luò)體系結(jié)構(gòu)分層的目的

OSI參考模型的層次劃分

應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層OSI參考模型ISO／OSI網(wǎng)絡(luò)體系結(jié)構(gòu)TCP/IP協(xié)議層次模型TCP/IP協(xié)議分層并不完全對應(yīng)OSI模型應(yīng)用層

TelnetFTPDNSSMTP傳輸層TCPUDP網(wǎng)絡(luò)層IPICMPARPRARP網(wǎng)絡(luò)接口層X.25ARPanetTCP/IP協(xié)議層次模型TCP/IP協(xié)議分層并不完全對應(yīng)OS常見黑客攻擊方式應(yīng)用層：應(yīng)用程序和操作系統(tǒng)的攻擊與破壞網(wǎng)絡(luò)層：拒絕服務(wù)攻擊和數(shù)據(jù)竊聽風(fēng)險傳輸層：拒絕服務(wù)攻擊硬件設(shè)備與數(shù)據(jù)鏈路：物理竊聽與破壞常見黑客攻擊方式應(yīng)用層：應(yīng)用程序和操作系統(tǒng)的攻擊與破壞TelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無線網(wǎng)絡(luò)SATNETARPNETTCP/IP模型與潛在風(fēng)險應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽和竊取硬件設(shè)備破壞TelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無線網(wǎng)Internet的安全問題的產(chǎn)生Internet起于研究項目,安全不是主要的考慮少量的用戶，多是研究人員,可信的用戶群體可靠性(可用性)、計費、性能、配置、安全網(wǎng)絡(luò)協(xié)議的開放性與系統(tǒng)的通用性目標可訪問性，行為可知性攻擊工具易用性Internet沒有集中的管理權(quán)威和統(tǒng)一的政策安全政策、計費政策、路由政策Internet的安全問題的產(chǎn)生Internet起于研究項網(wǎng)絡(luò)安全的語義范圍

保密性(Confidentiality)

完整性(Integrity)可用性(Availability)網(wǎng)絡(luò)安全的語義范圍

保密性(Confidentiality)局域網(wǎng)的特性局域網(wǎng)典型特性高數(shù)據(jù)傳輸率短距離低誤碼率常用的局域網(wǎng)介質(zhì)訪問控制技術(shù)載波監(jiān)聽多路訪問/沖突檢測(CSMA/CD)技術(shù)令牌控制技術(shù)令牌總線控制技術(shù)光纖分布數(shù)據(jù)接口(FDDI)技術(shù)局域網(wǎng)的特性局域網(wǎng)典型特性局域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓撲規(guī)劃對網(wǎng)絡(luò)設(shè)備進行基本安全配置合理的劃分VLAN分離數(shù)據(jù)廣播域綁定IP地址與Mac地址配置防火墻和IDS設(shè)備使用內(nèi)容監(jiān)控與病毒過濾局域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓撲規(guī)劃良好的網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)安全規(guī)劃原則合理的分配地址合理的網(wǎng)絡(luò)邏輯結(jié)構(gòu)通過VLAN分隔邏輯網(wǎng)絡(luò)通過域或工作組確定用戶權(quán)限建立良好的網(wǎng)絡(luò)安全制度良好的網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)安全規(guī)劃原則網(wǎng)絡(luò)設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)使用強口令或密碼加強設(shè)備訪問的認證與授權(quán)升級設(shè)備固件或OS使用訪問控制列表限制訪問使用訪問控制表限制數(shù)據(jù)包類型網(wǎng)絡(luò)設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)廣域網(wǎng)的概念和特性廣域網(wǎng)是覆蓋地理范圍相對較廣的數(shù)據(jù)通信網(wǎng)絡(luò)。網(wǎng)絡(luò)的規(guī)模和分類：局域網(wǎng)(LAN，localareanetwork)可覆蓋一個建筑物或一所學(xué)校;城域網(wǎng)(MAN，metropolitanareanetwork)可覆蓋一座城市;(WAN，wideareanetwork)可覆蓋多座城市、多個國家或洲。廣域網(wǎng)的概念和特性廣域網(wǎng)是覆蓋地理范圍相對較廣的數(shù)據(jù)通信網(wǎng)絡(luò)廣域網(wǎng)的構(gòu)成和種類廣域網(wǎng)的參考模型廣域網(wǎng)的構(gòu)成廣域網(wǎng)的種類X.25幀中繼ATM廣域網(wǎng)的構(gòu)成和種類廣域網(wǎng)的參考模型廣域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓撲規(guī)劃對網(wǎng)絡(luò)設(shè)備進行基本安全配置確保路由協(xié)議安全使用ACL進行數(shù)據(jù)過濾使用AAA加強訪問控制和認證廣域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓撲規(guī)劃概念：網(wǎng)絡(luò)協(xié)議按結(jié)構(gòu)化層次方式組織，每層完成一定的功能，每層都建在其下層之上，并通過層間接口向上層提供服務(wù)，將服務(wù)實現(xiàn)的細節(jié)對上層隱蔽。

優(yōu)點：

減少復(fù)雜性，維護、修改相對容易、不同節(jié)點之間的對等層可以通過共享數(shù)據(jù)格式來進行通信.網(wǎng)絡(luò)分層連同其相應(yīng)協(xié)議叫網(wǎng)絡(luò)體系架構(gòu)

,如TCP/IP，OSI等分層模型概念：分層模型國際標準組織ISO(InternationalOrganizationforStandardization)提出了開放式系統(tǒng)互聯(lián)網(wǎng)絡(luò)體結(jié)架構(gòu)(OpenSystemInterconnection/ReferenceModel)OSI定義了異種機互連的標準框架，為連接分散的“開放”系統(tǒng)提供了基礎(chǔ)——任何兩個遵守OSI標準的系統(tǒng)均可實施互連。

七層網(wǎng)絡(luò)體系架構(gòu)：網(wǎng)絡(luò)自底向上分別是：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層，各層完成一定的功能，每層為其上層網(wǎng)絡(luò)提供支持，這種支持表現(xiàn)為數(shù)據(jù)(信息)的封裝：SegmentPacketFrameOSI模型(1)國際標準組織ISO(InternationalOrOSI模型(2)OSI模型(2)A：為應(yīng)用進程訪問OSI環(huán)境提供手段，并為應(yīng)用進程提供服務(wù)，關(guān)心數(shù)據(jù)的語義，如WWWP：提供數(shù)據(jù)的句法，處理通信雙方之間的數(shù)據(jù)表示問題，如ASCIIS：提供一種經(jīng)過組織的方法在用戶之間交換數(shù)據(jù),如SQLT：資源子網(wǎng)與通信子網(wǎng)的界面和橋梁，端到端的通信N：通信子網(wǎng)與網(wǎng)絡(luò)高層的界面，用戶進人網(wǎng)絡(luò)、以及網(wǎng)絡(luò)之間互連的接口，主機到主機的通信，即尋址D：進行鏈路上的數(shù)據(jù)傳輸，物理尋址P：物理設(shè)備間的接口，電平信號或光信號OSI模型各層功能簡述A：為應(yīng)用進程訪問OSI環(huán)境提供手段，并為應(yīng)用進程提供服務(wù)，TCP/IP由美國DODResearchProjectsAgency—DARPA）70年代開發(fā)。包括了一組協(xié)議，采用了網(wǎng)絡(luò)分層的概念,一般稱為DOD體系結(jié)構(gòu)。其分為4層，自底向上分別是：

網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)互聯(lián)層、傳輸層、應(yīng)用層。

TCP/IP體系架構(gòu)TCP/IP由美國DODResearchPro應(yīng)用層：

向用戶提供一組常用的應(yīng)用程序，如FTP，HTTP，TELNET等，用戶亦可在TCP/UDP基礎(chǔ)上定義專有應(yīng)用。傳輸層：

提供應(yīng)用程序間（即端到端）的通信，格式化信息流、提供可靠傳輸及解決不同應(yīng)用程序的識別問題

網(wǎng)絡(luò)互連層：

負責(zé)相鄰計算機之間的通信

網(wǎng)絡(luò)接口層：

負責(zé)收發(fā)數(shù)據(jù)包并通過網(wǎng)絡(luò)傳輸

TCP/IP各層功能簡述應(yīng)用層：TCP/IP各層功能簡述OSI模型與DOD體系對照OSI模型與DOD體系對照TCP/IP協(xié)議棧物理層安全網(wǎng)絡(luò)層安全傳輸層安全應(yīng)用層安全TCP/IP協(xié)議安全分析TCP/IP協(xié)議棧TCP/IP協(xié)議安全分析力求簡單高效的設(shè)計初衷使TCP/IP協(xié)議集的許多安全因素未得以完善安全缺陷的一些表現(xiàn):TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸TCP/IP協(xié)議以IP地址作為網(wǎng)絡(luò)節(jié)點的唯一標識，此舉并不能對節(jié)點上的用戶進行有效的身份認證協(xié)議本身的特點被利用實施網(wǎng)絡(luò)攻擊

………TCP/IP網(wǎng)絡(luò)的安全來由力求簡單高效的設(shè)計初衷使TCP/IP協(xié)議集的許多安全物理層介紹物理層的安全風(fēng)險分析物理層的安全防護物理層的安全威脅物理層介紹物理層的安全威脅第一層稱為物理層(PhysicalLayer)，這一層負責(zé)傳送比特流。它提供建立、維護和拆除物理鏈路所需的機械、電氣、功能和規(guī)程特性。通過傳輸介質(zhì)進行數(shù)據(jù)流的物理傳輸，故障檢測和物理層管理。物理層介紹第一層稱為物理層(PhysicalLayer)，這一層負責(zé)物理安全風(fēng)險主要指：網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用，而造成網(wǎng)絡(luò)系統(tǒng)的不可用。例如：設(shè)備被盜、被毀壞；設(shè)備老化、意外故障；計算機系統(tǒng)通過無線電輻射泄露秘密信息等。由于局域網(wǎng)中采用廣播方式，因此，若在某個廣播域中可以偵聽到所有的信息包，黑客就可以對信息包進行分析，那么本廣播域的信息傳遞都會暴露在黑客面前。

物理層的安全風(fēng)險分析物理安全風(fēng)險主要指：網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)網(wǎng)絡(luò)分段網(wǎng)絡(luò)拓撲物理層的安全防護網(wǎng)絡(luò)分段物理層的安全防護網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。

物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層（ISO/OSI模型中的第一層和第二層）上分為若干網(wǎng)段，各網(wǎng)段相互之間無法進行直接通訊。

目前，許多交換機都有一定的訪問控制能力，可實現(xiàn)對網(wǎng)絡(luò)的物理分段網(wǎng)絡(luò)分段網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。網(wǎng)絡(luò)分段網(wǎng)絡(luò)層協(xié)議及安全威脅網(wǎng)絡(luò)層的安全防護與安全協(xié)議網(wǎng)絡(luò)層的安全威脅網(wǎng)絡(luò)層協(xié)議及安全威脅網(wǎng)絡(luò)層的安全威脅網(wǎng)絡(luò)層主要用于尋址和路由。它并不提供任何錯誤糾正和流控制的方法。網(wǎng)絡(luò)層使用較高效的服務(wù)來傳送數(shù)據(jù)報文網(wǎng)絡(luò)層介紹網(wǎng)絡(luò)層主要用于尋址和路由。它并不提供任何錯誤糾正和流IP網(wǎng)間協(xié)議(InternetProtocol)。負責(zé)主機間數(shù)據(jù)的路由和網(wǎng)絡(luò)上數(shù)據(jù)的存儲。同時為ICMP、TCP、UDP提供分組發(fā)送服務(wù)。用戶進程通常不需要涉及這一層。ARP地址解析協(xié)議(AddressResolutionProtocol)。此協(xié)議將網(wǎng)絡(luò)地址映射到硬件地址。RARP反向地址解析協(xié)議(ReverseAddressResolutionProtocol)。此協(xié)議將硬件地址映射到網(wǎng)絡(luò)地址。ICMP網(wǎng)間報文控制協(xié)議(InternetControlMessageProtocol)。此協(xié)議處理信關(guān)和主機間的差錯和傳送控制。ICMP報文使用IP數(shù)據(jù)報進行傳送，這些報文通常由TCP/IP網(wǎng)絡(luò)軟件本身來保證正確性。網(wǎng)絡(luò)層協(xié)議IP網(wǎng)間協(xié)議(InternetProtocol)。負責(zé)主機IP協(xié)議安全(spoofing等)Internet控制信息協(xié)議(ICMP)ARP欺騙和ARP洪水,DoSIGMP攻擊網(wǎng)絡(luò)層的安全威脅IP協(xié)議安全(spoofing等)網(wǎng)絡(luò)層的安全威脅ARP:將IP地址轉(zhuǎn)化成MAC地址的一種協(xié)議,ARP在IP層之下,一般認為其屬網(wǎng)絡(luò)層,但它利用數(shù)據(jù)鏈路層工作---分層并不嚴格。以太網(wǎng)的傳輸靠mac地址決定,即主機響應(yīng)ip包依靠ip包中所包含的mac地址來識別:主機在發(fā)送一個ip包之前，它要到該轉(zhuǎn)換表中尋找和ip包對應(yīng)的mac地址。如果沒有找到，該主機就發(fā)送一個ARP廣播包，看起來象這樣子：

"我是主機X.X.X.X1,mac是X-X-X-X1,ip為X.X.X.X2的主機請告之你的mac來"

ip為X.X.X.X2的主機響應(yīng)這個廣播，應(yīng)答ARP廣播為："我是X.X.X.X2,我的mac為X-X-X-X2"*ARP的查詢包為廣播包，而ARP的應(yīng)答包為單播包ARP協(xié)議ARP:將IP地址轉(zhuǎn)化成MAC地址的一種協(xié)議,ARP在I針對ARP的攻擊主要有兩種，一種是DOS,一種是SpoofDOS:大量的arp請求報文的攻擊假冒ARP應(yīng)答---DOS:冒充B向A應(yīng)答,使得A與B的通信不成功點對點的假冒查詢:顯充A向B發(fā)包更新B的ARP表,使B與A的通信不成功自動定時ARP欺騙:對網(wǎng)關(guān)的干擾推測ARP解析時間ARP協(xié)議安全問題針對ARP的攻擊主要有兩種，一種是DOS,一種是Sp網(wǎng)絡(luò)安全信任關(guān)系不要單純建立在ip或mac基礎(chǔ)上設(shè)置靜態(tài)的mac-->ip對應(yīng)表，不要讓主機刷新你設(shè)定好的轉(zhuǎn)換表使用ARP服務(wù)器:確保該機安全,通過該機查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機器的ARP廣播使用"proxy"代理ip的傳輸使用硬件屏蔽主機,交換機和網(wǎng)橋無法阻止ARP欺騙定期用響應(yīng)的ip包中獲得一個rarp請求，然后檢查ARP響應(yīng)的真實性使用防火墻/IDS連續(xù)監(jiān)控網(wǎng)絡(luò)解決ARP協(xié)議安全網(wǎng)絡(luò)安全信任關(guān)系不要單純建立在ip或mac基礎(chǔ)上解決ARP協(xié)網(wǎng)際協(xié)議，TCP/IP協(xié)議族中的主要網(wǎng)絡(luò)層協(xié)議，與TCP協(xié)議結(jié)合組成整個因特網(wǎng)協(xié)議的核心協(xié)議。包含尋址信息和控制信息，可使數(shù)據(jù)包在網(wǎng)絡(luò)中路由。IP適用于LAN和WAN通信。除了ARP和RARP,其它所有TCP/IP族中的協(xié)議都是使用IP傳送主機與主機間的通信。兩個基本任務(wù)：提供無連接的和最有效的數(shù)據(jù)包傳送。提供數(shù)據(jù)包的分割及重組以支持不同最大傳輸單元大小的數(shù)據(jù)連接。IP協(xié)議只用于發(fā)送包，TCP協(xié)議負責(zé)將其按正確順序排列。IP協(xié)議網(wǎng)際協(xié)議，TCP/IP協(xié)議族中的主要網(wǎng)絡(luò)層協(xié)議，與THeaderlengthTypeofserviceTotallengthinbytesIdentification3bitflags13bitfragmentoffsetTimetoliveProtocolIDHeaderchecksumSourceIPaddressDestinationIPaddressVersion0Bit16Bit32BitdataTCP/UDPheaderIPheaderIP協(xié)議結(jié)構(gòu)HeaderlengthTypeofserviceTotIP協(xié)議存在的主要缺陷包括：IP通信不需用進行身份認證，IP數(shù)據(jù)傳輸沒有加密，IP的分組和重組機制不完善，IP地址的表示不需要真實并確認真假等。IP碎片攻擊，源路由攻擊，IP欺騙，IP偽造，PingFlooding和PingofDeath等大量的攻擊，都是利用IP協(xié)議的缺陷對IP協(xié)議進行攻擊的。且很多上層的安全隱患源于IP欺騙，如DNS欺騙等實例:Smurf攻擊,向大量的遠程主機發(fā)送一系列的ping請求命令。黑客把源IP地址換成想要攻擊目標主機的IP地址。所有的遠程計算機都響應(yīng)這些ping請求，然后對目標地址進行回復(fù)而不是回復(fù)給攻擊者的IP地址用。目標IP地址將被大量的ICMP包淹沒而不能有效的工作。IP協(xié)議安全問題IP協(xié)議存在的主要缺陷包括：IP通信不需用進行身份認網(wǎng)絡(luò)分段VLAN防火墻IPSecIP協(xié)議安全解決辦法網(wǎng)絡(luò)分段IP協(xié)議安全解決辦法ICMP是“InternetControlMessageProtocol”（Internet控制消息協(xié)議）的縮寫控制消息是指：網(wǎng)絡(luò)通不通、主機是否可達、路由是否可用等網(wǎng)絡(luò)本身的消息?？刂葡⒉⒉粋鬏斢脩魯?shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。如PingICMP在IP層之上，利用IP層收、發(fā)數(shù)據(jù)包ICMP協(xié)議ICMP是“InternetControlMesICMP協(xié)議結(jié)構(gòu)ICMP協(xié)議結(jié)構(gòu)Type―錯誤消息或信息消息。錯誤消息可能是不可獲得目標文件，數(shù)據(jù)包太大，超時，參數(shù)問題等?？赡艿男畔⑾⒂校篍choRequest、EchoReply、GroupMembershipQuery、GroupMembershipReport、GroupMembershipReduction。Code―每種消息類型具有多種不同代碼。不可獲得目標文件正是這樣一個例子，即其中可能的消息是：目標文件沒有路由，禁止與目標文件的通信，非鄰居，不可獲得地址，不可獲得端口。具體細節(jié)請參照相關(guān)標準。Checksum―計算校驗和時，Checksum字段設(shè)置為0。Identifier―幫助匹配Requests/Replies的標識符，值可能為0。SequenceNumber―幫助匹配Requests/Replies的序列號，值可能為0。AddressMask―32位掩碼地址。ICMP協(xié)議結(jié)構(gòu)Type―錯誤消息或信息消息。錯誤消息可能是不可獲得目標lotsofnastythingscanbedonewithICMPmessageswhenscanningnetworksortryingtogainacovertchannelICMP協(xié)議本身的特點決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由器和主機,此外也被用于攻擊前期掃描工作的系統(tǒng)指紋識別。基于ICMP路由欺騙的技術(shù)都是停留在理論上占整個攻擊總數(shù)的90%以上。如:1.可以利用操作系統(tǒng)規(guī)定的ICMP數(shù)據(jù)包最大尺寸不超過64KB這一規(guī)定，向主機發(fā)起“PingofDeath”（死亡之Ping）攻擊2.向目標主機長時間、連續(xù)、大量地發(fā)送ICMP數(shù)據(jù)包，也會最終使系統(tǒng)癱瘓。ICMP安全問題lotsofnastythingscanb在路由器上對ICMP數(shù)據(jù)包進行帶寬限制，將ICMP占用的帶寬控制在一定的范圍內(nèi)在主機上設(shè)置ICMP數(shù)據(jù)包的處理規(guī)則，最好是設(shè)定拒絕所有的ICMP數(shù)據(jù)包--包過濾/防火墻ICMP協(xié)議安全解決辦法在路由器上對ICMP數(shù)據(jù)包進行帶寬限制，將ICMP占IGMP（InternetGroupManagementProtocol）是IP主機用作向相鄰多目路由器報告多目組成員。多目路由器是支持組播的路由器，向本地網(wǎng)絡(luò)發(fā)送IGMP查詢。主機通過發(fā)送IGMP報告來應(yīng)答查詢。組播路由器負責(zé)將組播包轉(zhuǎn)發(fā)到所有網(wǎng)絡(luò)中組播成員。

Internet組管理協(xié)議（IGMP）是因特網(wǎng)協(xié)議家族中的一個組播協(xié)議，用于IP主機向任一個直接相鄰的路由器報告他們的組成員情況。IGMP信息封裝在IP報文中，其IP的協(xié)議號為2。IGMP由IETF（）定義在RFC-1112、RFC-2236和RFC376中。IGMP協(xié)議IGMP（InternetGroupManageIGMP協(xié)議結(jié)構(gòu)IGMP協(xié)議結(jié)構(gòu)

問題：可以發(fā)送畸形的igmp包來導(dǎo)致系統(tǒng)tcp-ip棧崩潰。最常用的igmp攻擊就是偽造一個目的地址是單個ip,但ip上層協(xié)議指定為IGMP,系統(tǒng)會為你打造一個igmp報頭,因為組播使用D類地址,所以系統(tǒng)不知如何處理,造成崩潰。

IGMP攻擊如：向有WINDOWS9x操作系統(tǒng)的機器發(fā)送長度和數(shù)量都較大的IGMP數(shù)據(jù)包。典型的攻擊工具有DOOM。IGMP安全問題問題：可以發(fā)送畸形的igmp包來導(dǎo)致系統(tǒng)tcp-ip網(wǎng)絡(luò)分段網(wǎng)絡(luò)安全掃描技術(shù)入侵檢測技術(shù)VPN技術(shù)加密技術(shù)、數(shù)字簽名和認證技術(shù)防火墻服務(wù)VLAN的實現(xiàn)網(wǎng)絡(luò)層的安全防護網(wǎng)絡(luò)層的安全防護網(wǎng)絡(luò)分段網(wǎng)絡(luò)安全掃描技術(shù)入侵檢測技術(shù)VPN技術(shù)加密技術(shù)、數(shù)邏輯網(wǎng)絡(luò)分段:網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)際必須通過路由器、路由交換機、網(wǎng)關(guān)或防火墻等設(shè)備進行連接，利用這些中間設(shè)備（含軟件、硬件）的安全機制來控制各子網(wǎng)際的訪問。VLAN的實施:按照系統(tǒng)的安全性來劃分VLAN。防火墻服務(wù):在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊，根據(jù)設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。加密技術(shù):通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性,有面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)2種形式。數(shù)字簽名和認證技術(shù):解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認可。VPN技術(shù):在不可信任的公共網(wǎng)絡(luò)上安全的通信。網(wǎng)絡(luò)層的安全防護邏輯網(wǎng)絡(luò)分段:網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)際必須通過路由器IPSEC：于1995年在互聯(lián)網(wǎng)標準草案中頒布，可以保證局域網(wǎng)、專用或公用的廣域網(wǎng)及Internet上信息傳輸?shù)陌踩?/p>

主要特征：可對所有IP級的通信進行加密和認證。其提供三種形式來保護通過IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù)。數(shù)據(jù)認證--可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)在數(shù)據(jù)完整性方面是一致的，同時可以確定申請發(fā)送者在實際上是真實發(fā)送者，而不是偽裝的完整性--保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)丟失與改變機密性--使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容網(wǎng)絡(luò)層安全協(xié)議IPSEC：于1995年在互聯(lián)網(wǎng)標準草案中頒布，可以主要優(yōu)點：

透明性，也就是說，安全服務(wù)的提供不需要應(yīng)用程序、其他通信層次和網(wǎng)絡(luò)部件做任何改動主要缺點：

網(wǎng)絡(luò)層一般對屬于不同進程和相應(yīng)條例的包不作區(qū)別。對所有去往同一地址的包，它將按照同樣的加密密鑰和訪問控制策略來處理。這可能導(dǎo)致提供不了所需的功能，也會導(dǎo)致性能下降網(wǎng)絡(luò)層的安全性特點主要優(yōu)點：網(wǎng)絡(luò)層的安全性特點傳輸層介紹傳輸層協(xié)議及其安全分析傳輸層的安全威脅傳輸層介紹傳輸層的安全威脅傳輸層控制主機間傳輸?shù)臄?shù)據(jù)流。TCP傳輸控制協(xié)議（TransmissionControlProtocol)。這是一種提供給用戶進程的可靠的全雙工字節(jié)流面向連接的協(xié)議。它要為用戶進程提供虛電路服務(wù)，并為數(shù)據(jù)可靠傳輸建立檢查。大多數(shù)網(wǎng)絡(luò)用戶程序使用TCP。UDP用戶數(shù)據(jù)報協(xié)議(UserDatagramProtocol)。這是提供給用戶進程的無連接協(xié)議，用于傳送數(shù)據(jù)而不執(zhí)行正確性檢查。

傳輸層介紹傳輸層控制主機間傳輸?shù)臄?shù)據(jù)流。TCP傳輸控制協(xié)議（Trans通過序列確認以及包重發(fā)機制，提供可靠的數(shù)據(jù)流發(fā)送和到應(yīng)用程序的虛擬連接服務(wù)。與IP協(xié)議相結(jié)合，TCP組成了因特網(wǎng)協(xié)議的核心。網(wǎng)絡(luò)IP地址和端口號結(jié)合成為唯一的標識,我們稱之為“套接字”或“端點”。TCP在端點間建立連接或虛擬電路進行可靠通信。提供數(shù)據(jù)流傳輸、可靠性、有效流控制、全雙工操作和多路復(fù)用技術(shù)等。TCP協(xié)議通過序列確認以及包重發(fā)機制，提供可靠的數(shù)據(jù)流發(fā)送和到數(shù)據(jù)流傳輸,TCP交付一個由序列號定義的無結(jié)構(gòu)的字節(jié)流。這個服務(wù)對應(yīng)用程序有利，因為在送出到TCP之前應(yīng)用程序不需要將數(shù)據(jù)劃分成塊，TCP可以將字節(jié)整合成字段，然后傳給IP進行發(fā)送。

可靠性：TCP在字節(jié)上加上一個遞進的確認序列號來告訴接收者發(fā)送者期望收到的下一個字節(jié)。如果在規(guī)定時間內(nèi)，沒有收到關(guān)于這個包的確認響應(yīng)，重新發(fā)送此包。TCP的可靠機制允許設(shè)備處理丟失、延時、重復(fù)及讀錯的包。超時機制允許設(shè)備監(jiān)測丟失包并請求重發(fā)。有效流控制。當向發(fā)送者返回確認響應(yīng)時，接收TCP進程就會說明它能接收并保證緩存不會發(fā)生溢出的最高序列號。

全雙工操作：TCP進程能夠同時發(fā)送和接收包。多路技術(shù)：大量同時發(fā)生的上層會話能在單個連接上時進行多路復(fù)用。TCP協(xié)議數(shù)據(jù)流傳輸,TCP交付一個由序列號定義的無結(jié)構(gòu)的字TCP協(xié)議結(jié)構(gòu)TCP協(xié)議結(jié)構(gòu)SYN（SEQs=ISNc）SYN（SEQs=ISNc），ACK(SEQA=ISNc+1)ACK（SEQA=ISNs+1）服務(wù)器S客戶機C建立一個TCP連接SYN（SEQs=ISNc）SYN（SEQs=ISNc），A結(jié)束一個TCP連接結(jié)束一個TCP連接TCP協(xié)議被攻擊，主要是利用TCP的三次握手機制,如有:TCP序列號欺騙

TCP序列號轟炸攻擊

SYNFlooding攻擊，ACKFlooding攻擊等;TCP協(xié)議的安全問題TCP協(xié)議被攻擊，主要是利用TCP的三次握手機制,TCP協(xié)議UDP協(xié)議傳輸層協(xié)議，為無確認的數(shù)據(jù)報服務(wù)，只是簡單的接收和傳輸數(shù)據(jù)UDP比TCP傳輸數(shù)據(jù)快UDP頭標UDP數(shù)據(jù)區(qū)IP頭標IP數(shù)據(jù)區(qū)UDP協(xié)議傳輸層協(xié)議，為無確認的數(shù)據(jù)報服務(wù)，只是簡單的接收和UDP無連接的傳輸層協(xié)議，提供面向事務(wù)的簡單不可靠信息傳送服務(wù)。

與TCP不同，UDP并不提供對IP協(xié)議的可靠機制、流控制以及錯誤恢復(fù)功能等。UDP比較簡單，UDP頭包含很少的字節(jié)，比TCP負載消耗少。UDP適用于不需要TCP可靠機制的情形,如網(wǎng)絡(luò)文件系統(tǒng)（NFS）、簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）、域名系統(tǒng)（DNS）以及簡單文件傳輸系統(tǒng)（TFTP）均基于UDPUDP協(xié)議UDP無連接的傳輸層協(xié)議，提供面向事務(wù)的簡單不可靠信UDP協(xié)議結(jié)構(gòu)UDP協(xié)議結(jié)構(gòu)對UDP協(xié)議的攻擊，主要利用UDP協(xié)議本身特性，進行流量攻擊，強化UDP通信的不可靠性，以達到拒絕服務(wù)的目的。此外,某些Unix的服務(wù)器默認一些可被惡意利用的UDP服務(wù)，如echo和chargen，它會顯示接收到的每一個數(shù)據(jù)包，而原本作為測試功能的chargen服務(wù)會在收到每一個數(shù)據(jù)包時隨機反饋一些字符，如果惡意攻擊者將這2個UDP服務(wù)互指，則網(wǎng)絡(luò)可用帶寬將很快耗盡。

UDP協(xié)議安全問題對UDP協(xié)議的攻擊，主要利用UDP協(xié)議本身特性，進行

傳輸層處于通信子網(wǎng)和資源子網(wǎng)之間，起著承上啟下的作用，支持多種安全服務(wù)：對等實體認證服務(wù)；訪問控制服務(wù)；數(shù)據(jù)保密服務(wù)；數(shù)據(jù)完整性服務(wù)；數(shù)據(jù)源點認證服務(wù)。傳輸層安全性傳輸層處于通信子網(wǎng)和資源子網(wǎng)之間，起著承上啟下的作用，應(yīng)用層介紹應(yīng)用層常見協(xié)議安全性應(yīng)用層的安全實現(xiàn)應(yīng)用層的安全威脅應(yīng)用層介紹應(yīng)用層的安全威脅標準協(xié)議:簡單郵件傳輸協(xié)議（SMTP）文件傳輸協(xié)議(FTP)超文本傳輸協(xié)議(HTTP)遠程連接服務(wù)標準協(xié)議（Telnet）簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)域名系統(tǒng)(DNS)定制應(yīng)用：復(fù)雜DNSSNMPTelnetHTTPFTPSMTP應(yīng)用層介紹標準協(xié)議:DNSSNMPTelnetHTTPFTPSMTP應(yīng)文件傳輸協(xié)議（FTP）使得主機間可以共享文件FTP使用TCP生成一個虛擬連接用于控制信息，然后再生成一個單獨的TCP連接用于數(shù)據(jù)傳輸?？刂七B接使用類似TELNET協(xié)議在主機間交換命令和消息。主要功能:提供文件的共享（計算機程序/數(shù)據(jù)）；支持間接使用遠程計算機；使用戶不因各類主機文件存儲器系統(tǒng)的差異而受影響；可靠且有效的傳輸數(shù)據(jù)。FTP協(xié)議文件傳輸協(xié)議（FTP）使得主機間可以共享文件FTP協(xié)TELNET是TCP/IP環(huán)境下的終端仿真協(xié)議，通過TCP建立服務(wù)器與客戶機之間的連接。Telnet協(xié)議TELNET是TCP/IP環(huán)境下的終端仿Telnet本身的缺陷：沒有口令保護沒有強力認證過程沒有完整性檢查傳送的數(shù)據(jù)都沒有加密客戶機/服務(wù)器模型Telnet安全問題Telnet本身的缺陷：Telnet安全問題請求/響應(yīng)式的應(yīng)用層協(xié)議

請求的格式是：統(tǒng)一資源標識符（URI）、協(xié)議版本號，后面是類似MIME的信息，包括請求修飾符、客戶機信息和可能的內(nèi)容。

響應(yīng)信息，其格式是：一個狀態(tài)行包括信息的協(xié)議版本號、一個成功或錯誤的代碼，后面也是類似MIME的信息，包括服務(wù)器信息、實體信息和可能的內(nèi)容。也可用作普通協(xié)議，實現(xiàn)用戶代理與連接其它Internet服務(wù)（如SMTP、NNTP、FTP、GOPHER及WAIS）的代理服務(wù)器或網(wǎng)關(guān)之間的通信，允許基本的超媒體訪問各種應(yīng)用提供的資源，同時簡化了用戶代理系統(tǒng)的實施HTTP協(xié)議請求/響應(yīng)式的應(yīng)用層協(xié)議HTTP協(xié)議HTTP協(xié)議結(jié)構(gòu)HTTP協(xié)議結(jié)構(gòu)HTTP協(xié)議明文傳輸數(shù)據(jù)。WEB用戶可能下載有破壞性的ActiveX控件或JAVAapplets這些程序在用戶的計算機上執(zhí)行并含有某種類別的代碼，包括病毒或特洛伊木馬HTTP服務(wù)器也必須要小心保護，HTTP服務(wù)器在存在較多安全性問題。HTTP協(xié)議安全問題HTTP協(xié)議明文傳輸數(shù)據(jù)。HTTP協(xié)議安全問題用于在IP網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)效能，發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題以及規(guī)劃網(wǎng)絡(luò)增長。通過SNMP接收隨機消息（及事件報告）網(wǎng)絡(luò)管理系統(tǒng)獲知網(wǎng)絡(luò)出現(xiàn)問題。三個主要組成部分：管理的設(shè)備、代理、網(wǎng)絡(luò)管理系統(tǒng)。一種應(yīng)用程序協(xié)議，封裝在UDP/TCP中。SNMP協(xié)議用于在IP網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點SNMP協(xié)議SNMPv1跟蹤消息處理系列缺陷:SNMP代理(SNMPagents)發(fā)送跟蹤消息(SNMPtrapmessages)到管理器(SNMPmanager)，向管理器報告錯誤信息、警報和其它的有關(guān)宿主的狀態(tài)信息。管理器必須解析和處理這些數(shù)據(jù)。OUSPG發(fā)現(xiàn)很多SNMP管理器在解析和處理過程中存在缺陷(ouluuniversitysecureprogramminggroup)SNMPv1請求信息處理系列缺陷:在數(shù)據(jù)處理過程中，代理和管理器都有出現(xiàn)拒絕服務(wù)錯誤、格式化字符串錯誤和緩沖溢出攻擊的可能。SNMP安全隱患SNMPv1跟蹤消息處理系列缺陷:SNMP安全隱患團體名作為唯一的SNMP認證手段，也是薄弱環(huán)節(jié)之一。SNMPv1消息的團體名在網(wǎng)上以明碼傳輸。SNMP主要采用UDP傳輸，很容易進行IP源地址假冒多數(shù)SNMP設(shè)備接收來自網(wǎng)絡(luò)廣播地址的SNMP消息。SNMP安全隱患團體名作為唯一的SNMP認證手段，也是薄弱環(huán)節(jié)之一。SNMP攻擊方法：如果獲取支持SNMP協(xié)議設(shè)備的“communitystring”，攻擊者將可以修改路由器配置、獲取服務(wù)器最高控制權(quán)、重新啟動設(shè)備。不知道“communitystring”的前提下，則進行拒絕服務(wù)攻擊。SNMP安全問題攻擊方法：SNMP安全問題從廠商獲得補丁程序并執(zhí)行禁止SNMP服務(wù)邊界訪問過濾(tcp161/162,udp161/162)在內(nèi)部網(wǎng)絡(luò)中過濾不正常的SNMP訪問修改缺省的"communitystring"隔離SNMP包SNMP安全解決辦法從廠商獲得補丁程序并執(zhí)行SNMP安全解決辦法DNS服務(wù)是Internet上其它服務(wù)的基礎(chǔ)DNS服務(wù)存在的主要安全問題名字欺騙信息隱藏DNS協(xié)議安全問題DNS服務(wù)是Internet上其它服務(wù)的基礎(chǔ)DNS協(xié)議安全問對所有人完全共享對所有人完全共享，這是在WindowNT共享時的缺省配置，他對所有可訪問該主機的用戶提供完全的訪問權(quán)限；對Guest用戶完全共享對Guest用戶完全共享，Guest帳號是WinNT的缺省帳號，它有缺省口令，如果系統(tǒng)提供對Guest用戶的完全訪問權(quán)限，入侵者可通過Guest帳號注冊到服務(wù)器獲取信息或修改數(shù)據(jù)；沒有訪問控制的共享沒有訪問控制的共享，是指沒有合法認證的共享，在網(wǎng)絡(luò)上的任何用戶都可訪問，此弱點在Win95上常見；對所有人可寫對所有人可寫是指對所有可訪問該服務(wù)器的用戶具有對共享目錄的寫權(quán)限，此弱點可能會使被共享目錄中的文件被篡改或刪除；對Guest用戶可寫對Guest用戶可寫是指通過Guest帳號注冊就能獲取共享資源的寫權(quán)限；NetBios空會話NetBios空會話通過長度為零的用戶名和口令注冊獲取對服務(wù)器的訪問權(quán)。NetBIOS對所有人完全共享NetBIOS應(yīng)用層協(xié)議本身存在的主要問題是：信息明文傳輸，包括如FTP、Telnet登錄驗證帳號和密碼都是明文，攻擊者可以通過網(wǎng)絡(luò)嗅探獲取有價值信息，以備下一步攻擊之用,此外應(yīng)用層協(xié)議的許多威脅來自于低層協(xié)議的安全性問題。應(yīng)用層應(yīng)用實現(xiàn)的安全缺陷(網(wǎng)絡(luò)編程)應(yīng)用層協(xié)議安全小結(jié)應(yīng)用層協(xié)議本身存在的主要問題是：信息明文傳輸，應(yīng)用層協(xié)議安全安全威脅：復(fù)雜多樣

安全協(xié)議：SSH，S-HTTP等。應(yīng)用層的安全服務(wù)實際上是最靈活的處理單個文件安全性的手段，可以實施細粒度的安全控制

可能的方法：對每個應(yīng)用(及應(yīng)用協(xié)議)分別進行修改；實施強大的基于用戶的身份認證；實施數(shù)據(jù)加密；訪問控制；數(shù)據(jù)的備份和恢復(fù)措施；對資源的有效性進行控制。應(yīng)用層安全的解決目前往往依賴于網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫的安全

應(yīng)用層安全防護安全威脅：復(fù)雜多樣應(yīng)用層安全防護網(wǎng)絡(luò)中面臨的威脅網(wǎng)絡(luò)中面臨的威脅DoS攻擊概念DoSDenialofService的簡稱，拒絕服務(wù)。屬于攻擊早期形態(tài)，由于攻擊者帶寬、CPU等資源不足，較難形成威脅。如果是目標有明顯漏洞，不需要僵尸網(wǎng)絡(luò)，攻擊成本較低。DDoS分布式拒絕服務(wù)(DistributedDenialofService)。當前主流攻擊手段，帶寬消耗、主機消耗、打漏洞都可以。DoS攻擊概念DoSInternetDDoS攻擊的過程癱瘓最終服務(wù)器阻塞沿途帶寬DNS攻擊基礎(chǔ)網(wǎng)絡(luò)設(shè)施BOT命令命令控制合法使用者DoSBot(受感染機器)DoSBot(受感染機器)DoSBot(受感染機器)DoSBot(受感染機器)InternetDDoS攻擊的過程癱瘓最終服務(wù)器阻塞沿途帶寬DDoS攻擊的動機技術(shù)炫耀、報復(fù)心理針對系統(tǒng)漏洞搗亂行為商業(yè)利益驅(qū)使不正當競爭間接獲利商業(yè)敲詐政治因素意識形態(tài)差別政治利益沖突DDoS攻擊的動機技術(shù)炫耀、報復(fù)心理上述現(xiàn)象的背后–原始的經(jīng)濟驅(qū)動力

工具濫用者-“市場與銷售”？真正的攻擊者-“用戶與合作者”？最終價值工具編寫者-“研發(fā)人員”？上述現(xiàn)象的背后–原始的經(jīng)濟驅(qū)動力工具濫用者-真正的攻擊DDOS攻擊地下產(chǎn)業(yè)化直接發(fā)展收購肉雞制造、控制，培訓(xùn)、租售學(xué)習(xí)、賺錢僵尸網(wǎng)絡(luò)工具、病毒制作傳播銷售攻擊工具漏洞研究、目標破解漏洞研究攻擊實施者廣告經(jīng)紀人需求方、服務(wù)獲取者、資金注入者培訓(xùn)地下黑客攻擊網(wǎng)絡(luò)DDOS攻擊地下產(chǎn)業(yè)化直接發(fā)展收購肉雞制造、控制，學(xué)習(xí)、僵尸發(fā)展與變化1）供給規(guī)模持續(xù)增加 YankeeGroup調(diào)查顯示：發(fā)生在11月的一次為期一周的DDoS攻

擊，帶寬峰值高達45Gbps，每秒攻擊數(shù)量達到6900萬數(shù)據(jù)包。發(fā)展與變化1）供給規(guī)模持續(xù)增加發(fā)展與變化2）攻擊的復(fù)雜性不斷提高攻擊的手法逐漸從網(wǎng)絡(luò)層向應(yīng)用層轉(zhuǎn)變，并有向業(yè)務(wù)邏輯層發(fā)展的趨勢；應(yīng)用層攻擊的破壞力和防護難度要比網(wǎng)絡(luò)層的大很多各種變種的HTTP/GET攻擊工具：Anonymous的Loic、Hoic、Slowloris、DDoSIM等針對DNS的攻擊發(fā)展與變化2）攻擊的復(fù)雜性不斷提高發(fā)展與變化3）發(fā)動攻擊的代價或難度越來越低“低軌道離子炮”（LOIC），并有安卓版本；攻擊成本低：采用應(yīng)用層攻擊并不需要消耗很大的帶寬黑客組織——Anonymous&LulzSecAnonymous：威脅2012年3月31日要干掉整個互聯(lián)網(wǎng)，引起轟動和運營商的恐慌；LulzSec：入侵美國CIA；入侵國會參議；入侵日本索尼公司等政府和企業(yè)網(wǎng)站發(fā)展與變化3）發(fā)動攻擊的代價或難度越來越低黑客組織——Ano發(fā)展與變化4）攻擊的動機多元化，經(jīng)濟利益為主攻擊者將攻擊能力在網(wǎng)絡(luò)上公開報價出售；政治和意識形態(tài)因素；發(fā)展與變化4）攻擊的動機多元化，經(jīng)濟利益為主SYNFlood我沒發(fā)過請求SYN_RECV狀態(tài)半開連接隊列遍歷，消耗CPU和內(nèi)存SYN|ACK重試SYNTimeout：30秒~2分鐘無暇理睬正常的連接請求—拒絕服務(wù)SYN（我可以連接嗎？）ACK（可以）/SYN（請確認！）攻擊者受害者偽造地址進行SYN請求為何還沒回應(yīng)就是讓你白等不能建立正常的連接！SYNFlood攻擊原理攻擊表象SYNFlood我沒發(fā)過請求SYN_RECV狀態(tài)SYN（ConnectionFlood攻擊者受害者大量tcpconnect這么多？不能建立正常的連接正常tcpconnect正常用戶正常tcpconnect攻擊表象正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect利用真實IP地址（代理服務(wù)器、廣告頁面）在服務(wù)器上建立大量連接服務(wù)器上殘余連接(WAIT狀態(tài))過多，效率降低，甚至資源耗盡，無法響應(yīng)蠕蟲傳播過程中會出現(xiàn)大量源IP地址相同的包，對于TCP蠕蟲則表現(xiàn)為大范圍掃描行為消耗骨干設(shè)備的資源，如防火墻的連接數(shù)ConnectionFlood攻擊原理ConnectionFlood攻擊者受害者大量tcpcoCC（ChallengeCollapsar）攻擊者受害者(WebServer)正常HTTPGet請求不能建立正常的連接正常HTTPGetFlood正常用戶正常HTTPGetFlood攻擊表象利用代理服務(wù)器向受害者發(fā)起大量HTTPGet請求主要請求動態(tài)頁面，涉及到數(shù)據(jù)庫訪問操作數(shù)據(jù)庫負載以及數(shù)據(jù)庫連接池負載極高，無法響應(yīng)正常請求正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood受害者(DBServer)DB連接池用完啦??！DB連接池占用占用占用HTTPGetFlood攻擊原理CC（ChallengeCollapsar）攻擊者受害者CC&BotnetCC&BotnetBotnet在中國資料來源：賽門鐵克互聯(lián)網(wǎng)安全威脅報告Botnet在中國資料來源：賽門鐵克互聯(lián)網(wǎng)安全威脅報告國內(nèi)DDoS實例被攻擊用戶流量大小及影響某運營商國家骨干網(wǎng)10～15G南方某市電信城域網(wǎng)/IDC25～30G西南某市電信城域網(wǎng)/IDC30G華東某省電信骨干網(wǎng)20G某市移動骨干網(wǎng)5-8G國內(nèi)知名搜索引擎搜索業(yè)務(wù)癱瘓30分鐘全球知名門戶中國網(wǎng)站5-6G國內(nèi)知名門戶網(wǎng)站IM業(yè)務(wù)10G某知名域名服務(wù)商5G國內(nèi)DDoS實例被攻擊用戶流量大小及影響某運營商國家骨干網(wǎng)1519DNS暴風(fēng)事件用戶本地DNS服務(wù)器安裝暴風(fēng)影音的個人電腦DDoS：DNSQueryFloodDNS根域、頂級域服務(wù)器DNSPod授權(quán)域服務(wù)器黑客DDoS：流量型攻擊519DNS暴風(fēng)事件用戶本地DNS服務(wù)器安裝暴風(fēng)影音的個人謝謝！謝謝！網(wǎng)絡(luò)與通信安全——綠盟科技網(wǎng)絡(luò)與通信安全——綠盟科技議題網(wǎng)絡(luò)基礎(chǔ)概述網(wǎng)絡(luò)體系結(jié)構(gòu)網(wǎng)絡(luò)協(xié)議安全分析網(wǎng)絡(luò)中面臨的威脅針對網(wǎng)絡(luò)設(shè)備的攻擊拒絕服務(wù)（DoS）攻擊欺騙攻擊網(wǎng)絡(luò)嗅探網(wǎng)絡(luò)設(shè)備安全網(wǎng)絡(luò)服務(wù)的安全拒絕服務(wù)攻擊（DoS）的防御策略議題網(wǎng)絡(luò)基礎(chǔ)概述OSI參考模型ISO／OSI網(wǎng)絡(luò)體系結(jié)構(gòu)

網(wǎng)絡(luò)體系結(jié)構(gòu)分層的目的

OSI參考模型的層次劃分

應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層OSI參考模型ISO／OSI網(wǎng)絡(luò)體系結(jié)構(gòu)TCP/IP協(xié)議層次模型TCP/IP協(xié)議分層并不完全對應(yīng)OSI模型應(yīng)用層

TelnetFTPDNSSMTP傳輸層TCPUDP網(wǎng)絡(luò)層IPICMPARPRARP網(wǎng)絡(luò)接口層X.25ARPanetTCP/IP協(xié)議層次模型TCP/IP協(xié)議分層并不完全對應(yīng)OS常見黑客攻擊方式應(yīng)用層：應(yīng)用程序和操作系統(tǒng)的攻擊與破壞網(wǎng)絡(luò)層：拒絕服務(wù)攻擊和數(shù)據(jù)竊聽風(fēng)險傳輸層：拒絕服務(wù)攻擊硬件設(shè)備與數(shù)據(jù)鏈路：物理竊聽與破壞常見黑客攻擊方式應(yīng)用層：應(yīng)用程序和操作系統(tǒng)的攻擊與破壞TelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無線網(wǎng)絡(luò)SATNETARPNETTCP/IP模型與潛在風(fēng)險應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽和竊取硬件設(shè)備破壞TelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無線網(wǎng)Internet的安全問題的產(chǎn)生Internet起于研究項目,安全不是主要的考慮少量的用戶，多是研究人員,可信的用戶群體可靠性(可用性)、計費、性能、配置、安全網(wǎng)絡(luò)協(xié)議的開放性與系統(tǒng)的通用性目標可訪問性，行為可知性攻擊工具易用性Internet沒有集中的管理權(quán)威和統(tǒng)一的政策安全政策、計費政策、路由政策Internet的安全問題的產(chǎn)生Internet起于研究項網(wǎng)絡(luò)安全的語義范圍

保密性(Confidentiality)

完整性(Integrity)可用性(Availability)網(wǎng)絡(luò)安全的語義范圍

保密性(Confidentiality)局域網(wǎng)的特性局域網(wǎng)典型特性高數(shù)據(jù)傳輸率短距離低誤碼率常用的局域網(wǎng)介質(zhì)訪問控制技術(shù)載波監(jiān)聽多路訪問/沖突檢測(CSMA/CD)技術(shù)令牌控制技術(shù)令牌總線控制技術(shù)光纖分布數(shù)據(jù)接口(FDDI)技術(shù)局域網(wǎng)的特性局域網(wǎng)典型特性局域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓撲規(guī)劃對網(wǎng)絡(luò)設(shè)備進行基本安全配置合理的劃分VLAN分離數(shù)據(jù)廣播域綁定IP地址與Mac地址配置防火墻和IDS設(shè)備使用內(nèi)容監(jiān)控與病毒過濾局域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓撲規(guī)劃良好的網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)安全規(guī)劃原則合理的分配地址合理的網(wǎng)絡(luò)邏輯結(jié)構(gòu)通過VLAN分隔邏輯網(wǎng)絡(luò)通過域或工作組確定用戶權(quán)限建立良好的網(wǎng)絡(luò)安全制度良好的網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)安全規(guī)劃原則網(wǎng)絡(luò)設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)使用強口令或密碼加強設(shè)備訪問的認證與授權(quán)升級設(shè)備固件或OS使用訪問控制列表限制訪問使用訪問控制表限制數(shù)據(jù)包類型網(wǎng)絡(luò)設(shè)備安全配置關(guān)閉不必要的設(shè)備服務(wù)廣域網(wǎng)的概念和特性廣域網(wǎng)是覆蓋地理范圍相對較廣的數(shù)據(jù)通信網(wǎng)絡(luò)。網(wǎng)絡(luò)的規(guī)模和分類：局域網(wǎng)(LAN，localareanetwork)可覆蓋一個建筑物或一所學(xué)校;城域網(wǎng)(MAN，metropolitanareanetwork)可覆蓋一座城市;(WAN，wideareanetwork)可覆蓋多座城市、多個國家或洲。廣域網(wǎng)的概念和特性廣域網(wǎng)是覆蓋地理范圍相對較廣的數(shù)據(jù)通信網(wǎng)絡(luò)廣域網(wǎng)的構(gòu)成和種類廣域網(wǎng)的參考模型廣域網(wǎng)的構(gòu)成廣域網(wǎng)的種類X.25幀中繼ATM廣域網(wǎng)的構(gòu)成和種類廣域網(wǎng)的參考模型廣域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓撲規(guī)劃對網(wǎng)絡(luò)設(shè)備進行基本安全配置確保路由協(xié)議安全使用ACL進行數(shù)據(jù)過濾使用AAA加強訪問控制和認證廣域網(wǎng)安全管理良好的網(wǎng)絡(luò)拓撲規(guī)劃概念：網(wǎng)絡(luò)協(xié)議按結(jié)構(gòu)化層次方式組織，每層完成一定的功能，每層都建在其下層之上，并通過層間接口向上層提供服務(wù)，將服務(wù)實現(xiàn)的細節(jié)對上層隱蔽。

優(yōu)點：

減少復(fù)雜性，維護、修改相對容易、不同節(jié)點之間的對等層可以通過共享數(shù)據(jù)格式來進行通信.網(wǎng)絡(luò)分層連同其相應(yīng)協(xié)議叫網(wǎng)絡(luò)體系架構(gòu)

,如TCP/IP，OSI等分層模型概念：分層模型國際標準組織ISO(InternationalOrganizationforStandardization)提出了開放式系統(tǒng)互聯(lián)網(wǎng)絡(luò)體結(jié)架構(gòu)(OpenSystemInterconnection/ReferenceModel)OSI定義了異種機互連的標準框架，為連接分散的“開放”系統(tǒng)提供了基礎(chǔ)——任何兩個遵守OSI標準的系統(tǒng)均可實施互連。

七層網(wǎng)絡(luò)體系架構(gòu)：網(wǎng)絡(luò)自底向上分別是：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層，各層完成一定的功能，每層為其上層網(wǎng)絡(luò)提供支持，這種支持表現(xiàn)為數(shù)據(jù)(信息)的封裝：SegmentPacketFrameOSI模型(1)國際標準組織ISO(InternationalOrOSI模型(2)OSI模型(2)A：為應(yīng)用進程訪問OSI環(huán)境提供手段，并為應(yīng)用進程提供服務(wù)，關(guān)心數(shù)據(jù)的語義，如WWWP：提供數(shù)據(jù)的句法，處理通信雙方之間的數(shù)據(jù)表示問題，如ASCIIS：提供一種經(jīng)過組織的方法在用戶之間交換數(shù)據(jù),如SQLT：資源子網(wǎng)與通信子網(wǎng)的界面和橋梁，端到端的通信N：通信子網(wǎng)與網(wǎng)絡(luò)高層的界面，用戶進人網(wǎng)絡(luò)、以及網(wǎng)絡(luò)之間互連的接口，主機到主機的通信，即尋址D：進行鏈路上的數(shù)據(jù)傳輸，物理尋址P：物理設(shè)備間的接口，電平信號或光信號OSI模型各層功能簡述A：為應(yīng)用進程訪問OSI環(huán)境提供手段，并為應(yīng)用進程提供服務(wù)，TCP/IP由美國DODResearchProjectsAgency—DARPA）70年代開發(fā)。包括了一組協(xié)議，采用了網(wǎng)絡(luò)分層的概念,一般稱為DOD體系結(jié)構(gòu)。其分為4層，自底向上分別是：

網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)互聯(lián)層、傳輸層、應(yīng)用層。

TCP/IP體系架構(gòu)TCP/IP由美國DODResearchPro應(yīng)用層：

向用戶提供一組常用的應(yīng)用程序，如FTP，HTTP，TELNET等，用戶亦可在TCP/UDP基礎(chǔ)上定義專有應(yīng)用。傳輸層：

提供應(yīng)用程序間（即端到端）的通信，格式化信息流、提供可靠傳輸及解決不同應(yīng)用程序的識別問題

網(wǎng)絡(luò)互連層：

負責(zé)相鄰計算機之間的通信

網(wǎng)絡(luò)接口層：

負責(zé)收發(fā)數(shù)據(jù)包并通過網(wǎng)絡(luò)傳輸

TCP/IP各層功能簡述應(yīng)用層：TCP/IP各層功能簡述OSI模型與DOD體系對照OSI模型與DOD體系對照TCP/IP協(xié)議棧物理層安全網(wǎng)絡(luò)層安全傳輸層安全應(yīng)用層安全TCP/IP協(xié)議安全分析TCP/IP協(xié)議棧TCP/IP協(xié)議安全分析力求簡單高效的設(shè)計初衷使TCP/IP協(xié)議集的許多安全因素未得以完善安全缺陷的一些表現(xiàn):TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸TCP/IP協(xié)議以IP地址作為網(wǎng)絡(luò)節(jié)點的唯一標識，此舉并不能對節(jié)點上的用戶進行有效的身份認證協(xié)議本身的特點被利用實施網(wǎng)絡(luò)攻擊

………TCP/IP網(wǎng)絡(luò)的安全來由力求簡單高效的設(shè)計初衷使TCP/IP協(xié)議集的許多安全物理層介紹物理層的安全風(fēng)險分析物理層的安全防護物理層的安全威脅物理層介紹物理層的安全威脅第一層稱為物理層(PhysicalLayer)，這一層負責(zé)傳送比特流。它提供建立、維護和拆除物理鏈路所需的機械、電氣、功能和規(guī)程特性。通過傳輸介質(zhì)進行數(shù)據(jù)流的物理傳輸，故障檢測和物理層管理。物理層介紹第一層稱為物理層(PhysicalLayer)，這一層負責(zé)物理安全風(fēng)險主要指：網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用，而造成網(wǎng)絡(luò)系統(tǒng)的不可用。例如：設(shè)備被盜、被毀壞；設(shè)備老化、意外故障；計算機系統(tǒng)通過無線電輻射泄露秘密信息等。由于局域網(wǎng)中采用廣播方式，因此，若在某個廣播域中可以偵聽到所有的信息包，黑客就可以對信息包進行分析，那么本廣播域的信息傳遞都會暴露在黑客面前。

物理層的安全風(fēng)險分析物理安全風(fēng)險主要指：網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)網(wǎng)絡(luò)分段網(wǎng)絡(luò)拓撲物理層的安全防護網(wǎng)絡(luò)分段物理層的安全防護網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。

物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層（ISO/OSI模型中的第一層和第二層）上分為若干網(wǎng)段，各網(wǎng)段相互之間無法進行直接通訊。

目前，許多交換機都有一定的訪問控制能力，可實現(xiàn)對網(wǎng)絡(luò)的物理分段網(wǎng)絡(luò)分段網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。網(wǎng)絡(luò)分段網(wǎng)絡(luò)層協(xié)議及安全威脅網(wǎng)絡(luò)層的安全防護與安全協(xié)議網(wǎng)絡(luò)層的安全威脅網(wǎng)絡(luò)層協(xié)議及安全威脅網(wǎng)絡(luò)層的安全威脅網(wǎng)絡(luò)層主要用于尋址和路由。它并不提供任何錯誤糾正和流控制的方法。網(wǎng)絡(luò)層使用較高效的服務(wù)來傳送數(shù)據(jù)報文網(wǎng)絡(luò)層介紹網(wǎng)絡(luò)層主要用于尋址和路由。它并不提供任何錯誤糾正和流IP網(wǎng)間協(xié)議(InternetProtocol)。負責(zé)主機間數(shù)據(jù)的路由和網(wǎng)絡(luò)上數(shù)據(jù)的存儲。同時為ICMP、TCP、UDP提供分組發(fā)送服務(wù)。用戶進程通常不需要涉及這一層。ARP地址解析協(xié)議(AddressResolutionProtocol)。此協(xié)議將網(wǎng)絡(luò)地址映射到硬件地址。RARP反向地址解析協(xié)議(ReverseAddressResolutionProtocol)。此協(xié)議將硬件地址映射到網(wǎng)絡(luò)地址。ICMP網(wǎng)間報文控制協(xié)議(InternetControlMessageProtocol)。此協(xié)議處理信關(guān)和主機間的差錯和傳送控制。ICMP報文使用IP數(shù)據(jù)報進行傳送，這些報文通常由TCP/IP網(wǎng)絡(luò)軟件本身來保證正確性。網(wǎng)絡(luò)層協(xié)議IP網(wǎng)間協(xié)議(InternetProtocol)。負責(zé)主機IP協(xié)議安全(spoofing等)Internet控制信息協(xié)議(ICMP)ARP欺騙和ARP洪水,DoSIGMP攻擊網(wǎng)絡(luò)層的安全威脅IP協(xié)議安全(spoofing等)網(wǎng)絡(luò)層的安全威脅ARP:將IP地址轉(zhuǎn)化成MAC地址的一種協(xié)議,ARP在IP層之下,一般認為其屬網(wǎng)絡(luò)層,但它利用數(shù)據(jù)鏈路層工作---分層并不嚴格。以太網(wǎng)的傳輸靠mac地址決定,即主機響應(yīng)ip包依靠ip包中所包含的mac地址來識別:主機在發(fā)送一個ip包之前，它要到該轉(zhuǎn)換表中尋找和ip包對應(yīng)的mac地址。如果沒有找到，該主機就發(fā)送一個ARP廣播包，看起來象這樣子：

"我是主機X.X.X.X1,mac是X-X-X-X1,ip為X.X.X.X2的主機請告之你的mac來"

ip為X.X.X.X2的主機響應(yīng)這個廣播，應(yīng)答ARP廣播為："我是X.X.X.X2,我的mac為X-X-X-X2"*ARP的查詢包為廣播包，而ARP的應(yīng)答包為單播包ARP協(xié)議ARP:將IP地址轉(zhuǎn)化成MAC地址的一種協(xié)議,ARP在I針對ARP的攻擊主要有兩種，一種是DOS,一種是SpoofDOS:大量的arp請求報文的攻擊假冒ARP應(yīng)答---DOS:冒充B向A應(yīng)答,使得A與B的通信不成功點對點的假冒查詢:顯充A向B發(fā)包更新B的ARP表,使B與A的通信不成功自動定時ARP欺騙:對網(wǎng)關(guān)的干擾推測ARP解析時間ARP協(xié)議安全問題針對ARP的攻擊主要有兩種，一種是DOS,一種是Sp網(wǎng)絡(luò)安全信任關(guān)系不要單純建立在ip或mac基礎(chǔ)上設(shè)置靜態(tài)的mac-->ip對應(yīng)表，不要讓主機刷新你設(shè)定好的轉(zhuǎn)換表使用ARP服務(wù)器:確保該機安全,通過該機查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機器的ARP廣播使用"proxy"代理ip的傳輸使用硬件屏蔽主機,交換機和網(wǎng)橋無法阻止ARP欺騙定期用響應(yīng)的ip包中獲得一個rarp請求，然后檢查ARP響應(yīng)的真實性使用防火墻/IDS連續(xù)監(jiān)控網(wǎng)絡(luò)解決ARP協(xié)議安全網(wǎng)絡(luò)安全信任關(guān)系不要單純建立在ip或mac基礎(chǔ)上解決ARP協(xié)網(wǎng)際協(xié)議，TCP/IP協(xié)議族中的主要網(wǎng)絡(luò)層協(xié)議，與TCP協(xié)議結(jié)合組成整個因特網(wǎng)協(xié)議的核心協(xié)議。包含尋址信息和控制信息，可使數(shù)據(jù)包在網(wǎng)絡(luò)中路由。IP適用于LAN和WAN通信。除了ARP和RARP,其它所有TCP/IP族中的協(xié)議都是使用IP傳送主機與主機間的通信。兩個基本任務(wù)：提供無連接的和最有效的數(shù)據(jù)包傳送。提供數(shù)據(jù)包的分割及重組以支持不同最大傳輸單元大小的數(shù)據(jù)連接。IP協(xié)議只用于發(fā)送包，TCP協(xié)議負責(zé)將其按正確順序排列。IP協(xié)議網(wǎng)際協(xié)議，TCP/IP協(xié)議族中的主要網(wǎng)絡(luò)層協(xié)議，與THeaderlengthTypeofserviceTotallengthinbytesIdentification3bitflags13bitfragmentoffsetTimetoliveProtocolIDHeaderchecksumSourceIPaddressDestinationIPaddressVersion0Bit16Bit32BitdataTCP/UDPheaderIPheaderIP協(xié)議結(jié)構(gòu)HeaderlengthTypeofserviceTotIP協(xié)議存在的主要缺陷包括：IP通信不需用進行身份認證，IP數(shù)據(jù)傳輸沒有加密，IP的分組和重組機制不完善，IP地址的表示不需要真實并確認真假等。IP碎片攻擊，源路由攻擊，IP欺騙，IP偽造，PingFlooding和PingofDeath等大量的攻擊，都是利用IP協(xié)議的缺陷對IP協(xié)議進行攻擊的。且很多上層的安全隱患源于IP欺騙，如DNS欺騙等實例:Smurf攻擊,向大量的遠程主機發(fā)送一系列的ping請求命令。黑客把源IP地址換成想要攻擊目標主機的IP地址。所有的遠程計算機都響應(yīng)這些ping請求，然后對目標地址進行回復(fù)而不是回復(fù)給攻擊者的IP地址用。目標IP地址將被大量的ICMP包淹沒而不能有效的工作。IP協(xié)議安全問題IP協(xié)議存在的主要缺陷包括：IP通信不需用進行身份認網(wǎng)絡(luò)分段VLAN防火墻IPSecIP協(xié)議安全解決辦法網(wǎng)絡(luò)分段IP協(xié)議安全解決辦法ICMP是“InternetControlMessageProtocol”（Internet控制消息協(xié)議）的縮寫控制消息是指：網(wǎng)絡(luò)通不通、主機是否可達、路由是否可用等網(wǎng)絡(luò)本身的消息。控制消息并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。如PingICMP在IP層之上，利用IP層收、發(fā)數(shù)據(jù)包ICMP協(xié)議ICMP是“InternetControlMesICMP協(xié)議結(jié)構(gòu)ICMP協(xié)議結(jié)構(gòu)Type―錯誤消息或信息消息。錯誤消息可能是不可獲得目標文件，數(shù)據(jù)包太大，超時，參數(shù)問題等?？赡艿男畔⑾⒂校篍choRequest、EchoReply、GroupMembershipQuery、GroupMembershipReport、GroupMembershipReduction。Code―每種消息類型具有多種不同代碼。不可獲得目標文件正是這樣一個例子，即其中可能的消息是：目標文件沒有路由，禁止與目標文件的通信，非鄰居，不可獲得地址，不可獲得端口。具體細節(jié)請參照相關(guān)標準。Checksum―計算校驗和時，Checksum字段設(shè)置為0。Identifier―幫助匹配Requests/Replies的標識符，值可能為0。SequenceNumber―幫助匹配Requests/Replies的序列號，值可能為0。AddressMask―32位掩碼地址。ICMP協(xié)議結(jié)構(gòu)Type―錯誤消息或信息消息。錯誤消息可能是不可獲得目標lotsofnastythingscanbedonewithICMPmessageswhenscanningnetworksortryingtogainacovertchannelICMP協(xié)議本身的特點決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由器和主機,此外也被用于攻擊前期掃描工作的系統(tǒng)指紋識別?；贗CMP路由欺騙的技術(shù)都是停留在理論上占整個攻擊總數(shù)的90%以上。如:1.可以利用操作系統(tǒng)規(guī)定的ICMP數(shù)據(jù)包最大尺寸不超過64KB這一規(guī)定，向主機發(fā)起“PingofDeath”（死亡之Ping）攻擊2.向目標主機長時間、連續(xù)、大量地發(fā)送ICMP數(shù)據(jù)包，也會最終使系統(tǒng)癱瘓。ICMP安全問題lotsofnastythingscanb在路由器上對ICMP數(shù)據(jù)包進行帶寬限制，將ICMP占用的帶寬控制在一定的范圍內(nèi)在主機上設(shè)置ICMP數(shù)據(jù)包的處理規(guī)則，最好是設(shè)定拒絕所有的ICMP數(shù)據(jù)包--包過濾/防火墻ICMP協(xié)議安全解決辦法在路由器上對ICMP數(shù)據(jù)包進行帶寬限制，將ICMP占IGMP（InternetGroupManagementProtocol）是IP主機用作向相鄰多目路由器報告多目組成員。多目路由器是支持組播的路由器，向本地網(wǎng)絡(luò)發(fā)送IGMP查詢。主機通過發(fā)送IGMP報告來應(yīng)答查詢。組播路由器負責(zé)將組播包轉(zhuǎn)發(fā)到所有網(wǎng)絡(luò)中組播成員。

Internet組管理協(xié)議（IGMP）是因特網(wǎng)協(xié)議家族中的一個組播協(xié)議，用于IP主機向任一個直接相鄰的路由器報告他們的組成員情況。IGMP信息封裝在IP報文中，其IP的協(xié)議號為2。IGMP由IETF（）定義在RFC-1112、RFC-2236和RFC376中。IGMP協(xié)議IGMP（InternetGroupManageIGMP協(xié)議結(jié)構(gòu)IGMP協(xié)議結(jié)構(gòu)

問題：可以發(fā)送畸形的igmp包來導(dǎo)致系統(tǒng)tcp-ip棧崩潰。最常用的igmp攻擊就是偽造一個目的地址是單個ip,但ip上層協(xié)議指定為IGMP,系統(tǒng)會為你打造一個igmp報頭,因為組播使用D類地址,所以系統(tǒng)不知如何處理,造成崩潰。

IGMP攻擊如：向有WINDOWS9x操作系統(tǒng)的機器發(fā)送長度和數(shù)量都較大的IGMP數(shù)據(jù)包。典型的攻擊工具有DOOM。IGMP安全問題問題：可以發(fā)送畸形的igmp包來導(dǎo)致系統(tǒng)tcp-ip網(wǎng)絡(luò)分段網(wǎng)絡(luò)安全掃描技術(shù)入侵檢測技術(shù)VPN技術(shù)加密技術(shù)、數(shù)字簽名和認證技術(shù)防火墻服務(wù)VLAN的實現(xiàn)網(wǎng)絡(luò)層的安全防護網(wǎng)絡(luò)層的安全防護網(wǎng)絡(luò)分段網(wǎng)絡(luò)安全掃描技術(shù)入侵檢測技術(shù)VPN技術(shù)加密技術(shù)、數(shù)邏輯網(wǎng)絡(luò)分段:網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)際必須通過路由器、路由交換機、網(wǎng)關(guān)或防火墻等設(shè)備進行連接，利用這些中間設(shè)備（含軟件、硬件）的安全機制來控制各子網(wǎng)際的訪問。VLAN的實施:按照系統(tǒng)的安全性來劃分VLAN。防火墻服務(wù):在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊，根據(jù)設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。加密技術(shù):通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性,有面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)2種形式。數(shù)字簽名和認證技術(shù):解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認可。VPN技術(shù):在不可信任的公共網(wǎng)絡(luò)上安全的通信。網(wǎng)絡(luò)層的安全防護邏輯網(wǎng)絡(luò)分段:網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)際必須通過路由器IPSEC：于1995年在互聯(lián)網(wǎng)標準草案中頒布，可以保證局域網(wǎng)、專用或公用的廣域網(wǎng)及Internet上信息傳輸?shù)陌踩?/p>

主要特征：可對所有IP級的通信進行加密和認證。其提供三種形式來保護通過IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù)。數(shù)據(jù)認證--可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)在數(shù)據(jù)完整性方面是一致的，同時可以確定申請發(fā)送者在實際上是真實發(fā)送者，而不是偽裝的完整性--保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)丟失與改變機密性--使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容網(wǎng)絡(luò)層安全協(xié)議IPSEC：于1995年在互聯(lián)網(wǎng)標準草案中頒布，可以主要優(yōu)點：

透明性，也就是說，安全服務(wù)的提供不需要應(yīng)用程序、其他通信層次和網(wǎng)絡(luò)部件做任何改動主要缺點：

網(wǎng)絡(luò)層一般對屬于不同進程和相應(yīng)條例的包不作區(qū)別。對所有去往同一地址的包，它將按照同樣的加密密鑰和訪問控制策略來處理。這可能導(dǎo)致提供不了所需的功能，也會導(dǎo)致性能下降網(wǎng)絡(luò)層的安全性特點主要優(yōu)點：網(wǎng)絡(luò)層的安全性特點傳輸層介紹傳輸層協(xié)議及其安全分析傳輸層的安全威脅傳輸層介紹傳輸層的安全威脅傳輸層控制主機間傳輸?shù)臄?shù)據(jù)流。TCP傳輸控制協(xié)議（TransmissionControlProtocol)。這是一種提供給用戶進程的可靠的全雙工字節(jié)流面向連接的協(xié)議。它要為用戶進程提供虛電路服務(wù)，并為數(shù)據(jù)可靠傳輸建立檢查。大多數(shù)網(wǎng)絡(luò)用戶程序使用TCP。UDP用戶數(shù)據(jù)報協(xié)議(UserDatagramProtocol)。這是提供給用戶進程的無連接協(xié)議，用于傳送數(shù)據(jù)而不執(zhí)行正確性檢查。

傳輸層介紹傳輸層控制主機間傳輸?shù)臄?shù)據(jù)流。TCP傳輸控制協(xié)議（Trans通過序列確認以及包重發(fā)機制，提供可靠的