全国高等职业教育计算机类规划教材 实例与实训教程系列协议层安全网络安全应用技术张蒲生主编你将学习 TCP/IP协议的缺陷； 协议层的安全隐患； 利用TCP/IP缺陷的网络攻击技术。 你将获取 使用网络协议分析软件sniffer pro进行抓包 、分析、流量监控的技能； 使用网络监视器捕获、显示、分析本地网络 数据包，检测硬件和软件问题的技能。在这一章中第2章 协议层安全2.1 案例问题 2.2 技术视角 2.3 协议层安全的相关实验 2.4 超越与提高2.1 案例问题案例说明 思考与讨论案例说明某银行雇员张某是信息部的网络管理人员 ，凭借着自己掌握的网络操作技能，企图 盗取公司的商业机密以谋取私利。于是他 采用了ARP欺骗的中间人技术和 IP欺骗的 技术 来分别冒充网关 和获取访问重要服务 器的权限盗取了商业机密。需求分析（1）防止员工窃听本不该他接收的报文 ； （2）防止重要的服务器被攻击至瘫痪（ 接收大量ping包）； （3）防止普通员工冒充管理员，以管理 员的身份访问重要服务器； （4）防止域名欺骗；思考与讨论 张某为什么凭借一点对网络技术就可以轻 而一举盗取公司内网的机密，说明公司内 部网络又很大的安全隐患？那么公司应该 注意哪些安全隐患呢？2.1 案例问题 2.2 技术视角 2.3 协议层安全的相关实验 2.4 超越与提高第2章 协议层安全2.2 技术视角TCP/IP协议以及工作原理 网络安全防范体系层次 TCP/IP协议以及工作原理TCP/IP协议概述 TCP/IP的层次结构 TCP/IP的工作原理 TCP/IP协议TCP/IP协议叫做传输控制/网际协议，又 叫网络通讯协议，它是网络中使用的基本 的通信协议。 TCP/IP是指Internet协议族 ，而不单单 是指TCP和IP协议 ，包括远程登录协议， 文件传输和电子邮件协议等 TCP/IP协议的四层结构 TCP/IP的工作原理(1) 使用TCP协议传送文件（如FTP应用程序 ）为例说明TCP/IP的工作原理 在源主机上应用层将一串字节流传给 传输层； 传输层将字节流分成TCP段，加上 TCP包头交给IP层； IP层生成一个包，将TCP段加入其数 据域，并加上源主机和目的主机的IP地址， 将IP包交给数据链路层；TCP/IP的工作原理(2) 数据链路层在其帧的数据部分装入IP 包，发往目的主机或IP路由器； 在目的主机，数据链路层将数据链路 层帧头去掉，将IP包交给互联网层； IP层检查IP包头，如果包头中的校验 和与计算出来的不一致，则丢弃该包；TCP/IP的工作原理(3) 如果校验和一致，IP层去掉IP头，将 TCP段交给TCP层，TCP层检查顺序号来 判断是否为正确的TCP段； TCP层为TCP包头计算TCP头和数据 。如果TCP头和数据不对，TCP层丢弃这 个包；若对，则向源主机发送确认信息； 在目的主机，TCP层去掉TCP头，将 字节流传给应用程序。网络安全防范体系层次 1. 物理层安全 2. 链路层安全 3. 网络层安全 4. 传输层安全 5. 应用层安全 1. 物理层安全物理层由传输在线缆上的电子信号组成 物理层上的安全保护措施不多。1. 物理层安全包括通信线路的安全，物理设备的安全， 机房的安全等 主要体现在通信线路的可靠性软硬件设备 安全性、设备的备份，防灾害能力、防干 扰能力，设备的运行环境、不间断电源保 障，等等。 2. 链路层安全数据链路层（第二协议层）的通信连接就 安全而言，是较为薄弱的环节 局域网组网普遍采用的的技术是以太网 , 以太网的工作原理为网络窃听提供了可能 。共享式以太网工作原理传统的共享式以太网中是基于广播式通信 。同一网段的所有网络接口都可以访问到 物理，媒体上传输的数据 每一个网络接口都有一个唯一的硬件地址 ，即MAC地址 一般正常工作的网卡只响应两种数据帧， 一种是目的地址与自己硬件地址相匹配的 数据帧，另一种是发向所有机器的广播数 据帧网卡通常有4种接收方式 广播方式：接收网络中的广播信息 组播方式：接收组播数据 直接方式：只有目的网卡才能接收该 数据 混杂模式：接收一切通过它的数据， 而不管该数据是否传给它的共享式以太网网络监听交换式以太网工作原理以太网交换机的原理很简单，它检测从以 太端口来的数据包的源和目的地的MAC（ 介质访问层）地址，然后与系统内部的动 态查找表进行比较，若数据包的MAC层地 址不在查找表中，则将该地址加入查找表 中，并将数据包发送给相应的目的端口。 交换式以太网工作原理各端口之间能有效分隔冲突域，由交换机 连接的网络会将整个网络分隔成很多小的 网域 同时提供多个通道，比传统的共享式集线 器提供更多的带宽。交换式以太网允许不 同用户间进行传送，比如，一个16端口的 以太网交换机允许16个站点在8条链路间通 信。交换式以太网下的网络监听具备镜像功能的交换式网络不具备镜像功能的交换式网络具备镜像功能的交换式网络 端口镜像 技术不具备镜像功能的交换式网络如何来检测网络监听 对怀疑运行监听程序的机器，用正确 的IP地址和错误的物理地址Ping，运行监 听程序的机器会有响应 向网上发大量不存在物理地址的包， 运行监听程序的机器性能下降 使用反监听工具antisniffier进行检测 防范网络监听 对网络进行逻辑分段或者物理分段 使用交换机 使用加密技术 划分VLAN网络层安全 网际协议（IP）：在主机和网络之间 进行数据包的路由转发 地址解析协议（ARP）：获得同一物 理网络中的硬件主机地址 网际控制报文协议（ICMP）:发送消 息，并报告有关数据包的传送错误 互联组管理协议（IGMP）：IP主机向 本地多路广播路由器报告主机组成员网际协议（IP） IP欺骗技术 源路由欺骗 Smurf攻击 IP欺骗技术 IP欺骗就是伪造他人的源IP地址。其实质 就是让一台机器扮演另一台机器。 常见的攻击过程 让被替代的机器A休眠 发现目标机器B的序列号规律 冒充机器A向机器B发出请求，算出机器应 该发来什么序列号，给出机器B想要的回应。 这样就可以利用机器B对机器A的信任关系 进行攻击。IP欺骗技术IP欺骗通常发生在需要与可信主机通信的时候。 常见的IP欺骗技术: 利用可信主机IP进行欺骗 利用已授权IP进行欺骗IP欺骗的危害: IP通常用于在一个已经连接的数据通道中， 注入有害数据或命令。 黑客还可以改变路由表指向欺骗地址，然后 黑客就可以收到所有的数据报，在转发出去。IP 欺骗的防范 对于IP伪装目前还没有有效根治的防范方 法，只能是尽可能的降低这种风险: 访问控制这是最为常用的防范手段. 在入端口（路由器）过滤使用内部IP地 址的数据报。 附加的认证方式，而不依赖IP层的认证:加密认证(推荐)Smurf攻击 攻击者使用ICMP ECHO（ping）报文 把ECHO的源地址设置为一个广播地址 计算机会向广播地址回复REPLY 本地网络上所有的计算机都必须处理这些广播报文。 如果攻击者发送的ECHO 请求报文足够多，产生的REPLY广播报文就可能把整个网络淹没。这就是所谓的smurf攻击。ARP协议 ARP（Address Resolution Protocol） 是地址解析协议，是一种将IP地址转化成物 理地址MAC的协议。它靠维持在内存中保 存的一张表来使IP得以在网络上被目标机器 应答。ARP的包结构ARP的工作原理 本地通信（同网段主机通信） 远程通信（不同网络的主机通信）本地通信范例 两个 TCP/IP 主机，主机 A 和主机 B，都 位于同一个物理网络上。主机 A 分配的 IP 地址是 10.0.0.99，主机 B 分配的 IP 地址 是 10.0.0.100。ARP为本地通讯解析MAC地址远程通信范例 主机A分配的IP地址是10.0.0.99，主机B 使用的IP地址是192.168.0.99。路由器一接 口与主机 A 在同一物理网络上，使用的 IP 地址是 10.0.0.1。路由器另一接口与主机 B 在同一物理网络上，使用的 IP 地址是 192.168.0.1。ARP为远程通信解析MAC地址传输层安全 传输层是两台计算机经过网络进行数据通 信时，第一个端到端的层次，具有缓冲作 用 传输层只存在于端开放系统中，是介于低 3层通信子网系统和高3层之间的一层，但 是很重要的一层 传输层协议为应用层提供的是进程之间的 通信服务。 传输层存在两个协议，传输控制协议（ TCP）和用户数据报协议（UDP）传输控制协议（TCP） TCP三次握手 TCP连接 TCP连接 TCP包头的标记区建立和中断一个基本的 TCP连接。有三个标记来完成这些过程 SYN：同步序列号 FIN：发送端没有更多的数据要传输的信号 ACK：识别数据包中的确认信息建立一个TCP连接：SYN和ACK1 客户端（或请求端）通过激活一个TCP包头中的 SYN标计来执行一个active open。这个TCP包头包括：用于连接的端口号；序列号字段中的初始序列号（ ISN）。这个号是随机产生的，在客户端和服务器传输数 据流时用于同步。 2 服务器通过向客户端发送其自己的SYN而执行了一 个passive open，包含服务器的ISN；对于客户端的一个确认（ACK） 3 最后，客户端返回一个ACK给服务器。现在客户端 和服务器可以通过比特流来传输数据，并且连接建立。建立TCP连接中断一个TCP连接：FIN和ACK1 服务器通过激活FIN标记执行一个Active close（客户端经常结束应用程序，但是服务器将 开始TCP连接的结束），这个行动终止了从服务 器到客户机的数据流。 2 客户端通过发送一个ACK到服务器，执行了 一个passive close。 3 客户端也发送它自己的FIN给服务器，以终 止从客户端到服务器的数据流。 4 最后服务器发送一个ACK返回给客户端， TCP连接被终止了 中断一个TCP连接TCP三次握手漏洞 SYN Flood 攻击：利用TCP的三次握手 进行攻击UDP协议 UDP主要用来支持那些需要在计算机之 间传输数据的网络应用，包括网络视频会 议系统在内的众多的客户/服务器模式的网 络应用都需要使用UDP协议。 UDP Flood攻击UDP首部 应用层安全 该层次的安全问题主要由提供服务所采用 的应用软件和数据的安全性产生 包括Web服务、电子邮件系统、DNS等 ，此外，还包括病毒对系统的威胁 应用层安全服务特点 网络层和传输层的安全协议允许为主机和 进程之间的数据通道增加安全属性 ，但却 不可能区分在同一通道上传输的一个具体 文件的安全性要求。 提供应用层的安全服务实际上是最灵活的 处理单个文件安全性的手段。 例如一个电子邮件系统可能需要对要发出 的信件的个别段落实施数据签名 2.1 案例问题 2.2 技术视角 2.3 协议层安全的相关实验 2.4 超越与提高实验1:使用Sniffer工具进行捕包分析 实验目的 通过本次实训，使学生掌握Sniffer抓包 工具的基本使用方法，用Sniffer捕获的报 文进行网络流量的监控、网络状况和性能 的判断。 具体实验环境和步骤参看教材P45实验2:捕获FTP数据包并进行分析 实验目的 通过本实训使学生可以掌握使用Sniffer捕 捉特定协议数据包的一般方法，并对数据包进 行协议分析，发现有价值的信息。具体实验环境和步骤参看教材P50 2.1 案例问题 2.2 技术视角 2.3 协议层安全的相关实验 2.4 超越与提高2.4 超越与提高 传输层安全协议