計算機系統(tǒng)安全原理與技術(shù)第5章-網(wǎng)絡(luò)安全5課件

2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）1第5章網(wǎng)絡(luò)安全2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）1第52023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）2本章主要內(nèi)容網(wǎng)絡(luò)安全問題網(wǎng)絡(luò)攻擊防護防火墻入侵檢測網(wǎng)絡(luò)隔離公鑰基礎(chǔ)設(shè)施和權(quán)限基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全協(xié)議IPv6新一代網(wǎng)絡(luò)的安全機制2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）2本章2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）35.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客(Hacker)，源于英語動詞hack，意為“劈，砍”，也就意味著“辟出，開辟”，進一步引申為“干了一件非常漂亮的工作”。多數(shù)黑客對計算機非常著迷，認(rèn)為自己有比他人更高的才能，因此只要他們愿意，就非法闖入某些禁區(qū)，或開玩笑或惡作劇，甚至干出違法的事情。現(xiàn)在“黑客”一詞普遍的含意是指計算機系統(tǒng)的非法侵入者。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）35.2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）45.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊目前黑客已成為一個廣泛的社會群體。在西方有完全合法的黑客組織、黑客學(xué)會，這些黑客經(jīng)常召開黑客技術(shù)交流會。在因特網(wǎng)上，黑客組織有公開網(wǎng)站，提供免費的黑客工具軟件，介紹黑客手法，出版網(wǎng)上黑客雜志和書籍?，F(xiàn)在“行黑”已變得比較容易，普通人很容易學(xué)到網(wǎng)絡(luò)攻擊的方法。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）45.2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）55.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟1）隱藏攻擊源利用被侵入的主機(俗稱“肉雞”)作為跳板進行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞”的IP地址。使用多級代理，這樣在被入侵主機上留下的是代理計算機的IP地址。偽造IP地址。假冒用戶賬號。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）55.2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）65.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟2）信息搜集確定攻擊目標(biāo)。踩點，就是通過各種途徑收集目標(biāo)系統(tǒng)的相關(guān)信息，包括機構(gòu)的注冊資料、公司的性質(zhì)、網(wǎng)絡(luò)拓撲結(jié)構(gòu)、郵件地址、網(wǎng)絡(luò)管理員的個人愛好等。掃描，利用掃描工具在攻擊目標(biāo)的IP地址或地址段的主機上，掃描目標(biāo)系統(tǒng)的軟硬件平臺類型，并進一步尋找漏洞如目標(biāo)主機提供的服務(wù)與應(yīng)用及其安全性的強弱等等。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）65.2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）75.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟2）信息搜集嗅探，利用嗅探工具獲取敏感信息，如用戶口令等。攻擊者將搜集來的信息進行綜合、整理和分析后，能夠初步了解一個機構(gòu)的安全態(tài)勢，并能夠據(jù)此擬定出一個攻擊方案。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）75.2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）85.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟3）掌握系統(tǒng)控制權(quán)一般賬戶對目標(biāo)系統(tǒng)只有有限的訪問權(quán)限，要達到某些攻擊目的，攻擊者只有得到系統(tǒng)或管理員權(quán)限，才能控制目標(biāo)主機實施進一步的攻擊。獲取系統(tǒng)管理權(quán)限的方法通常有：掃描系統(tǒng)漏洞、系統(tǒng)口令猜測、種植木馬、會話劫持等。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）85.2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）95.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟4）實施攻擊不同的攻擊者有不同的攻擊目的，無外乎是破壞機密性、完整性和可用性等。一般說來，可歸結(jié)為以下幾種。下載敏感信息。攻擊其它被信任的主機和網(wǎng)絡(luò)。癱瘓網(wǎng)絡(luò)。修改或刪除重要數(shù)據(jù)。其它非法活動。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）95.2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）105.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟5）安裝后門放寬文件許可權(quán)。重新開放不安全的服務(wù)。修改系統(tǒng)的配置，如系統(tǒng)啟動文件、網(wǎng)絡(luò)服務(wù)配置文件等。替換系統(tǒng)本身的共享庫文件。安裝各種特洛伊木馬，修改系統(tǒng)的源代碼。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）1052023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）115.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟6）隱藏攻擊痕跡清除或篡改日志文件。改變系統(tǒng)時間造成日志文件數(shù)據(jù)紊亂以迷惑系統(tǒng)管理員。利用前面介紹的代理跳板隱藏真實的攻擊者和攻擊路徑。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）1155.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段1）偽裝攻擊。通過指定路由或偽造假地址，以假冒身份與其它主機進行合法通信、或發(fā)送假數(shù)據(jù)包，使受攻擊主機出現(xiàn)錯誤動作。如IP欺騙。2）探測攻擊。通過掃描允許連接的服務(wù)和開放的端口，能夠迅速發(fā)現(xiàn)目標(biāo)主機端口的分配情況、提供的各項服務(wù)和服務(wù)程序的版本號，以及系統(tǒng)漏洞情況。黑客找到有機可乘的服務(wù)、端口或漏洞后進行攻擊。常見的探測攻擊程序有：Nmap、Nessus、Metasploit、ShadowSecurityScanner、X-Scan等。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）125.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段3）嗅探攻擊。將網(wǎng)卡設(shè)置為混雜模式，對以太網(wǎng)上流通的所有數(shù)據(jù)包進行嗅探，以獲取敏感信息。常見的網(wǎng)絡(luò)嗅探工具有：SnifferPro、Tcpdump、Wireshark等。4）解碼類攻擊。用口令猜測程序破解系統(tǒng)用戶帳號和密碼。常見工具有：L0phtCrack、JohntheRipper、Cain&Abel、Saminside、WinlogonHack等。還可以破解重要支撐軟件的弱口令，例如使用ApacheTomcatCrack破解Tomcat口令。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）135.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段5）緩沖區(qū)溢出攻擊。通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它的指令。緩沖區(qū)攻擊的目的在于擾亂某些以特權(quán)身份運行的程序的功能，使攻擊者獲得程序的控制權(quán)。6）欺騙攻擊。利用TCP/IP協(xié)議本身的一些缺陷對TCP/IP網(wǎng)絡(luò)進行攻擊，主要方式有：ARP欺騙、DNS欺騙、Web欺騙、電子郵件欺騙等。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）145.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段7）拒絕服務(wù)和分布式拒絕服務(wù)攻擊。這種攻擊行為通過發(fā)送一定數(shù)量一定序列的數(shù)據(jù)包，使網(wǎng)絡(luò)服務(wù)器中充斥了大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負荷以至于癱瘓、停止正常的網(wǎng)絡(luò)服務(wù)。常見的拒絕服務(wù)(DenialofService，DoS)攻擊有：同步洪流(SYNFlooding)、Smurf等。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）155.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段7）拒絕服務(wù)和分布式拒絕服務(wù)攻擊。近年，DoS攻擊有了新的發(fā)展，攻擊者通過入侵大量有安全漏洞的主機并獲取控制權(quán)，在多臺被入侵的主機上安裝攻擊程序，然后利用所控制的這些大量攻擊源，同時向目標(biāo)機發(fā)起拒絕服務(wù)攻擊，我們稱之為分布式拒絕服務(wù)(DistributeDenialofService，DDoS)攻擊。常見的DDoS攻擊工具有：Trinoo、TFN等。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）165.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段8）Web腳本入侵。由于使用不同的Web網(wǎng)站服務(wù)器、不同的開放語言，使網(wǎng)站存在的漏洞也不相同，所以使用Web腳本攻擊的方式也很多。如黑客可以從網(wǎng)站的文章系統(tǒng)下載系統(tǒng)留言板等部分進行攻擊；也可以針對網(wǎng)站后臺數(shù)據(jù)庫進行攻擊，還可以在網(wǎng)頁中寫入具有攻擊性的代碼；甚至可以通過圖片進行攻擊。Web腳本攻擊常見方式有：注入攻擊、上傳漏洞攻擊、跨站攻擊、數(shù)據(jù)庫入侵等。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）175.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段9）0day攻擊。0day通常是指還沒有補丁的漏洞，而0day攻擊則是指利用這種漏洞進行的攻擊。提供該漏洞細節(jié)或者利用程序的人通常是該漏洞的發(fā)現(xiàn)者。0day漏洞的利用程序?qū)W(wǎng)絡(luò)安全具有巨大威脅，因此0day不但是黑客的最愛，掌握多少0day也成為評價黑客技術(shù)水平的一個重要參數(shù)。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）185.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊的發(fā)展APT(AdvancedPersistentThreat，高級持續(xù)性威脅)攻擊，或者稱之為“針對特定目標(biāo)的攻擊”。“高級”體現(xiàn)在利用了多種攻擊手段，包括各種最先進的手段和社會工程學(xué)方法，一步一步地獲取進入組織內(nèi)部的權(quán)限。攻擊者會針對被攻擊對象編寫專門的攻擊程序，而非使用一些通用的攻擊代碼?！俺掷m(xù)性”，甚至長達數(shù)年。這種持續(xù)體現(xiàn)在攻擊者不斷嘗試各種攻擊手段，以及在滲透到網(wǎng)絡(luò)內(nèi)部后長期蟄伏，不斷收集各種信息，直到收集到重要情報。主要針對國家重要的基礎(chǔ)設(shè)施和單位進行，包括能源、電力、金融、國防等關(guān)系到國計民生，或者是國家核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）195.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊的發(fā)2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）205.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題TCP/IP參考模型如圖所示。TCP/IP協(xié)議族包括4個功能層：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層。這4層概括了相對于OSI參考模型中的7層。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）2052023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）215.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題（1）網(wǎng)絡(luò)接口層。網(wǎng)絡(luò)接口層有時又稱數(shù)據(jù)鏈路層，一般負責(zé)處理通信介質(zhì)的細節(jié)問題，如設(shè)備驅(qū)動程序、以太網(wǎng)(Ethernet)、令牌環(huán)網(wǎng)(TokenRing)。ARP和RARP協(xié)議負責(zé)IP地址和網(wǎng)絡(luò)接口物理地址的轉(zhuǎn)換工作。（2）網(wǎng)絡(luò)層。該層負責(zé)處理網(wǎng)絡(luò)上的主機間路由及存儲轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包。IP是網(wǎng)絡(luò)層的主要協(xié)議，提供無連接、不可靠的服務(wù)。IP還給出了因特網(wǎng)地址分配方案，要求網(wǎng)絡(luò)接口必須分配獨一無二的IP地址。同時，IP為ICMP、IGMP以及TCP和UDP等協(xié)議提供服務(wù)。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）2152023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）225.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題（3）傳輸層。該層負責(zé)提供源主機、目的主機的應(yīng)用程序間的數(shù)據(jù)流通信服務(wù)。TCP/IP協(xié)議在此層定義了TCP和UDP協(xié)議。TCP提供可靠的數(shù)據(jù)流通信服務(wù)。TCP的可靠性由定時器、計數(shù)器、確認(rèn)和重傳來實現(xiàn)。與TCP處理不同的是，UDP不提供可靠的服務(wù)，其主要的用處在于應(yīng)用程序間發(fā)送數(shù)據(jù)。UDP數(shù)據(jù)包有可能丟失、復(fù)制和亂序。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）2252023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）235.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題（4）應(yīng)用層。該層包含多種高層協(xié)議。幾乎每一個TCP/IP的實現(xiàn)都提供許多公開的應(yīng)用。HTTP：超文本傳遞協(xié)議，提供瀏覽器和WWW服務(wù)間有關(guān)HTML文件傳遞服務(wù)。FTP：文件傳輸協(xié)議，提供主機間數(shù)據(jù)傳遞服務(wù)。Telnet：虛擬終端協(xié)議，提供遠程登錄服務(wù)。SMTP：簡單的電子郵件傳送服務(wù)協(xié)議，提供發(fā)送電子郵件服務(wù)。DNS：域名系統(tǒng)完成域名的解析。此外，還有POP3、OSPF、NFS等其他的許多應(yīng)用協(xié)議。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）2352023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）245.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題1．ARP協(xié)議的安全問題2．IP層的安全問題3．傳輸層的安全問題4．應(yīng)用層的安全問題2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）2452023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）255.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題1．ARP協(xié)議的安全問題網(wǎng)絡(luò)接口層的概念A(yù)RP地址解析協(xié)議ARP協(xié)議弱點ARP欺騙攻擊2．IP層的安全問題3．傳輸層的安全問題4．應(yīng)用層的安全問題2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）2552023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）265.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題1．ARP協(xié)議的安全問題網(wǎng)絡(luò)接口層（鏈路層）的概念鏈路(link)是一條無源的點到點的物理線路段，中間沒有任何其他的交換結(jié)點。一條鏈路只是一條通路的一個組成部分。數(shù)據(jù)鏈路(datalink)除了物理線路外，還必須有通信協(xié)議來控制這些數(shù)據(jù)的傳輸。若把實現(xiàn)這些協(xié)議的硬件和軟件加到鏈路上，就構(gòu)成了數(shù)據(jù)鏈路?，F(xiàn)在最常用的方法是使用適配器（即以太網(wǎng)卡或802.11無線）來實現(xiàn)這些協(xié)議的硬件和軟件。一般的適配器都包括了數(shù)據(jù)鏈路層和物理層這兩層的功能。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）2652023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）275.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題1．ARP協(xié)議的安全問題地址解析協(xié)議ARP不管網(wǎng)絡(luò)層使用的是什么協(xié)議，在實際網(wǎng)絡(luò)的鏈路上傳送數(shù)據(jù)幀時，最終還是必須使用硬件地址。每一個主機都設(shè)有一個ARP高速緩存(ARPcache)，里面有所在的局域網(wǎng)上的各主機和路由器的IP地址到硬件地址的映射表。當(dāng)主機A欲向本局域網(wǎng)上的某個主機B發(fā)送IP數(shù)據(jù)報時，就先在其ARP高速緩存中查看有無主機B的IP地址。如有，就可查出其對應(yīng)的硬件地址，再將此硬件地址寫入MAC幀，然后通過局域網(wǎng)將該MAC幀發(fā)往此硬件地址。

2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）2752023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）28在命令提示符下輸入arp-a，可以看到類似下面這樣的輸出：

Interface:8---0x2InternetAddressPhysicalAddressType7300-05-dc-e3-57-bcdynamic7800-02-55-73-6b-addynamic2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）28在ARP響應(yīng)AYXBZ主機B向A發(fā)送ARP響應(yīng)分組主機A廣播發(fā)送ARP請求分組ARP請求ARP請求ARP請求ARP請求00-00-C0-15-AD-1808-00-2B-00-EE-0A我是，硬件地址是00-00-C0-15-AD-18我想知道主機

的硬件地址我是硬件地址是08-00-2B-00-EE-0AAYXBZ00-00-C0-15-AD-18ARP響應(yīng)AYXBZ主機B向A發(fā)送主機A廣播發(fā)2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）305.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題1．ARP協(xié)議的安全問題ARP協(xié)議弱點ARP作為一個局域網(wǎng)協(xié)議，是建立在各個主機之間相互信任的基礎(chǔ)上的，因此存在安全問題。主機地址映射表是基于高速緩存的，動態(tài)更新的。由于正常的主機間的MAC地址刷新都是有時限的，這樣惡意用戶如果在下次交換前成功地修改了被欺騙機器上的地址緩存，就可進行假冒或拒絕服務(wù)攻擊?？梢噪S意發(fā)送ARP應(yīng)答分組。由于ARP協(xié)議是無狀態(tài)的，任何主機即使在沒有請求的時候也可以做出應(yīng)答，因此任何時候都可以發(fā)送ARP應(yīng)答。只要應(yīng)答分組是有效的，接收到ARP應(yīng)答分組的主機就無條件地根據(jù)應(yīng)答分組的內(nèi)容刷新本機的高速緩存。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）3052023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）315.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題1．ARP協(xié)議的安全問題ARP協(xié)議弱點（續(xù)）ARP應(yīng)答無須認(rèn)證。由于局域網(wǎng)內(nèi)的主機間通信基本上是相互信任的，因此，只要是收到來自局域網(wǎng)內(nèi)的ARP應(yīng)答分組，就會將其中的MAC/IP地址對刷新到本機的高速緩存中，而不進行任何認(rèn)證。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）3152023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）325.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題1．ARP協(xié)議的安全問題ARP欺騙攻擊原理ARP緩存表的作用本是提高網(wǎng)絡(luò)效率、減少數(shù)據(jù)延遲。然而緩存表存在易信任性，不對發(fā)來的ARP數(shù)據(jù)包內(nèi)容的正確做審查。主機接收到被刻意編制的，將IP地址指向錯誤的MAC地址的ARP數(shù)據(jù)包時，會不加審查地將其中的記錄加入ARP緩存表中。這樣，當(dāng)主機訪問該IP時，就會根據(jù)此虛假的記錄，將數(shù)據(jù)包發(fā)送到記錄所對應(yīng)的錯誤的MAC地址，而真正使用這個IP的目標(biāo)主機則收不到數(shù)據(jù)。這就是ARP欺騙。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）3252023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）335.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題1．ARP協(xié)議的安全問題ARP欺騙有以下幾種實現(xiàn)方式：1）發(fā)送未被請求的ARP應(yīng)答報文。對于大多數(shù)操作系統(tǒng)，主機收到ARP應(yīng)答報文后立即更新ARP緩存，因此直接發(fā)送偽造ARP應(yīng)答報文就可以實現(xiàn)ARP欺騙。2）發(fā)送ARP請求報文。主機可以根據(jù)局域網(wǎng)中其他主機發(fā)送的ARP請求來更新自己的ARP緩存。因此，攻擊者可以發(fā)送一個修改了源IP-MAC映射的ARP請求來實現(xiàn)ARP欺騙。3）響應(yīng)一個請求報文。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）335C向A發(fā)送一個自己偽造的ARP應(yīng)答，ARPreply:1is-atAAAA.BBBB.1234C向B發(fā)送一個自己偽造的ARP應(yīng)答，

ARPreply:0is-atAAAA.BBBB.1234

C向A發(fā)送一個自己偽造的ARP應(yīng)答，2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）355.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題1．ARP協(xié)議的安全問題ARP欺騙攻擊的常見形式1）中間人攻擊2）拒絕服務(wù)攻擊2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）3552023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）36思考：在如圖所示的局域網(wǎng)環(huán)境中會發(fā)生什么樣的ARP欺騙攻擊？2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）36思2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）372022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）372023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）38實驗ARP攻擊及其防范實驗內(nèi)容1：ARP攻擊原理驗證利用Ethereal嗅探局域網(wǎng)內(nèi)使用網(wǎng)絡(luò)執(zhí)法官的主機。舉例：實驗中運行網(wǎng)絡(luò)執(zhí)法官的是本機上運行的虛擬機，該虛擬機獲得的IP為25。實驗中運行Ethereal的是本機，IP地址為12。局域網(wǎng)的網(wǎng)關(guān)IP為，對應(yīng)的MAC地址為00-11-5D-8B-B0-00。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）38實2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）39實驗ARP攻擊及其防范在虛擬機中運行網(wǎng)絡(luò)執(zhí)法官，同時在主機中利用Ethereal抓包，過濾條件為ARP，然后用網(wǎng)絡(luò)執(zhí)法官對IP為、2、1三臺機器進行權(quán)限限制。過一段時間停止抓包。

2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）39實2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）40實驗ARP攻擊及其防范2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）40實2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）41第43條，IP為25的機器向IP為1的機器發(fā)送了一條ARP包，即通知1這臺機器(網(wǎng)關(guān)IP)的MAC地址為06-06-fC-6E-F7-5A（無效的MAC）。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）41第2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）42第819條，IP為25的機器向IP為2的機器發(fā)送了一條ARP包，即通知2這臺機器(網(wǎng)關(guān)IP)的MAC地址為06-06-fC-6E-F7-5A（無效的MAC）。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）42第2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）43實驗ARP攻擊及其防范實驗內(nèi)容2：ARP攻擊的發(fā)現(xiàn)、定位用戶端可以通過輸入命令arp–a

即可顯示與該電腦直連設(shè)備的MAC，就會發(fā)現(xiàn)電腦網(wǎng)關(guān)所對應(yīng)的MAC地址被是否修改，如果被修改就可判定該電腦受到了ARP攻擊。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）43實2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）44實驗ARP攻擊及其防范實驗內(nèi)容2：ARP攻擊的發(fā)現(xiàn)、定位查看三層交換機網(wǎng)段里面的ARP信息(如cisco6509中可以輸入showRP|include網(wǎng)段相同部分)，如果發(fā)現(xiàn)里面存在有不同IP對應(yīng)相同MAC列表的情況，就可以肯定該網(wǎng)段內(nèi)有ARP欺騙，這個MAC地址就是受到ARP攻擊的電腦的MAC。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）44實2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）45實驗ARP攻擊及其防范實驗內(nèi)容2：ARP攻擊的發(fā)現(xiàn)、定位安裝網(wǎng)絡(luò)監(jiān)測軟件的用戶，如果網(wǎng)段中有ARP攻擊，檢測軟件會有報警，如antiARP軟件會自動彈出攻擊者的MAC地址；網(wǎng)絡(luò)指法官則會顯示一個與MAC地址對應(yīng)的兩個IP地址，其中一個IP必然為網(wǎng)關(guān)，那該MAC對應(yīng)電腦就是攻擊者了。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）45實2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）46實驗ARP攻擊及其防范實驗內(nèi)容2：ARP攻擊的發(fā)現(xiàn)、定位使用nbtscanDOS軟件，可以得到該段內(nèi)所在用戶的IP對應(yīng)的MAC，通過MAC查詢，就可以得到攻擊機的IP。利用網(wǎng)絡(luò)執(zhí)法官軟件保存該網(wǎng)段內(nèi)所有IP所對應(yīng)的MAC，當(dāng)發(fā)現(xiàn)攻擊機的MAC時就可找到該IP，從而定位到攻擊機。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）46實2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）47實驗ARP攻擊及其防范實驗內(nèi)容2：ARP攻擊的發(fā)現(xiàn)、定位對于采用DHCP服務(wù)器進行IP地址分配的網(wǎng)絡(luò)，由于每臺沒有固定IP，很難通過IP直接定位。那需要我們利用IP沖突查找，只要將網(wǎng)內(nèi)某臺電腦IP修改為受到ARP攻擊的電腦IP，該電腦上面就會出IP沖突的提示，只要有用戶打電話反映IP有沖突，那臺電腦就是攻擊者。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）47實2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）48實驗ARP攻擊及其防范實驗內(nèi)容3：ARP攻擊的防范方法1：做好IP-MAC地址的綁定工作(即將IP地址與硬件識別地址綁定)，在交換機和客戶端都要綁定，這是可以使局域網(wǎng)免疫ARP病毒侵?jǐn)_的好辦法。同時，在網(wǎng)絡(luò)正常時保存好全網(wǎng)的IP-MAC地址對照表，這樣在查找ARP中毒電腦時可方便對照。

2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）48實2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）49實驗ARP攻擊及其防范實驗內(nèi)容3：ARP攻擊的防范方法2：網(wǎng)段劃分要小。即網(wǎng)絡(luò)管理員在維護服務(wù)器正常工作時，不要只搞兩層交換，而盡量使用三層交換。劃分網(wǎng)段要盡量細小，使ARP欺騙范圍被縮小，影響被降低。而且當(dāng)網(wǎng)段足夠小時，服務(wù)器、客戶端不在同一個網(wǎng)段上，即使網(wǎng)絡(luò)遭到攻擊，由于此時通信走IP路由，網(wǎng)絡(luò)連接也不會受到影響。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）49實2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）505.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

1．ARP協(xié)議的安全問題2．IP層的安全問題3．傳輸層的安全問題4．應(yīng)用層的安全問題2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）5052023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）511．ARP協(xié)議的安全問題2．IP層的安全問題由于TCP/IP協(xié)議使用IP地址作為網(wǎng)絡(luò)節(jié)點的惟一標(biāo)識，其數(shù)據(jù)包的源地址很容易被發(fā)現(xiàn)，且IP地址隱含所使用的子網(wǎng)掩碼，攻擊者據(jù)此可以畫出目標(biāo)網(wǎng)絡(luò)的輪廓。因此，使用標(biāo)準(zhǔn)IP地址的網(wǎng)絡(luò)拓撲對因特網(wǎng)來說是暴露的。IP地址也很容易被偽造和被更改，且TCP/IP協(xié)議沒有對IP包中源地址真實性的鑒別機制和保密機制。因此，因特網(wǎng)上任一主機都可產(chǎn)生一個帶有任意源IP地址的IP包，從而假冒另一個主機進行地址欺騙。5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）5112023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）522．IP層的安全問題（續(xù)）IP層本身不提供加密傳輸功能，用戶口令和數(shù)據(jù)是以明文形式傳輸?shù)模苋菀自趥鬏斶^程中被截獲或修改。在IP層上同樣缺乏對路由協(xié)議的安全認(rèn)證機制，因此對路由信息缺乏鑒別與保護。路由欺騙有多種方法，都是通過偽造路由表欺騙。例如，基于RIP的欺騙。RIP是現(xiàn)代計算機網(wǎng)絡(luò)使用的路由選擇協(xié)議，實質(zhì)上實現(xiàn)的是距離——向量算法：每個Active網(wǎng)絡(luò)節(jié)點周期性的發(fā)送它的路由信息到鄰居Passive節(jié)點，用這些路由信息，每個節(jié)點計算出到其他節(jié)點的最短路由，代替原有路由，由于這種信任使RIP欺騙成為可能，即通過使用RIP特權(quán)的主機廣播非法路由信息就可以達到欺騙的目的。5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）5222023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）533．傳輸層的安全問題傳輸層協(xié)議概述從通信和信息處理的角度看，傳輸層向它上面的應(yīng)用層提供通信服務(wù)，它屬于面向通信部分的最高層，同時也是用戶功能中的最低層。物理層網(wǎng)絡(luò)層傳輸層應(yīng)用層數(shù)據(jù)鏈路層面向信息處理面向通信用戶功能網(wǎng)絡(luò)功能5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）533傳輸層為相互通信的應(yīng)用進程提供了邏輯通信54321傳輸層提供應(yīng)用進程間的邏輯通信主機A主機B應(yīng)用進程應(yīng)用進程路由器1路由器2AP1LAN2WANAP2AP3AP4IP層LAN1AP1AP2AP4端口端口54321IP協(xié)議的作用范圍傳輸層協(xié)議TCP和UDP的作用范圍AP3傳輸層為相互通信的應(yīng)用進程提供了邏輯通信5傳輸層提供應(yīng)用進2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）553．傳輸層的安全問題應(yīng)用進程之間的通信兩個主機進行通信實際上就是兩個主機中的應(yīng)用進程互相通信。應(yīng)用進程之間的通信又稱為端到端的通信。傳輸層的一個很重要的功能就是復(fù)用和分用。應(yīng)用層不同進程的報文通過不同的端口向下交到運輸層，再往下就共用網(wǎng)絡(luò)層提供的服務(wù)。“傳輸層提供應(yīng)用進程間的邏輯通信”?！斑壿嬐ㄐ拧钡囊馑际牵簜鬏攲又g的通信好像是沿水平方向傳送數(shù)據(jù)。但事實上這兩個傳輸層之間并沒有一條水平方向的物理連接。5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）5532023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）56傳輸層協(xié)議和網(wǎng)絡(luò)層協(xié)議的主要區(qū)別應(yīng)用進程…應(yīng)用進程…IP協(xié)議的作用范圍（提供主機之間的邏輯通信）TCP和UDP協(xié)議的作用范圍（提供進程之間的邏輯通信）因特網(wǎng)2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）56傳5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

3．傳輸層的安全問題傳輸層的主要功能傳輸層為應(yīng)用進程之間提供端到端的邏輯通信（但網(wǎng)絡(luò)層是為主機之間提供邏輯通信）。傳輸層還要對收到的報文進行差錯檢測。傳輸層需要有兩種不同的傳輸協(xié)議，即面向連接的TCP和無連接的UDP。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）575.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

3．傳輸層的安全問題運輸層中的兩個協(xié)議TCP/IP的運輸層有兩個不同的協(xié)議：(1)用戶數(shù)據(jù)報協(xié)議UDP(UserDatagramProtocol)(2)傳輸控制協(xié)議TCP(TransmissionControlProtocol)2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）58TCPUDPIP應(yīng)用層與各種網(wǎng)絡(luò)接口傳輸層5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

3．傳輸層的安全問題TCP與UDPUDP在傳送數(shù)據(jù)之前不需要先建立連接。對方的運輸層在收到UDP報文后，不需要給出任何確認(rèn)。雖然UDP不提供可靠交付，但在某些情況下UDP是一種最有效的工作方式。TCP則提供面向連接的服務(wù)。TCP不提供廣播或多播服務(wù)。由于TCP要提供可靠的、面向連接的運輸服務(wù)，因此不可避免地增加了許多的開銷。這不僅使協(xié)議數(shù)據(jù)單元的首部增大很多，還要占用許多的處理機資源。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）595.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

3．傳輸層的安全問題端口的概念端口的作用就是讓應(yīng)用層的各種應(yīng)用進程都能將其數(shù)據(jù)通過端口向下交付給運輸層，以及讓運輸層知道應(yīng)當(dāng)將其報文段中的數(shù)據(jù)向上通過端口交付給應(yīng)用層相應(yīng)的進程。從這個意義上講，端口是用來標(biāo)志應(yīng)用層的進程。端口用一個16bit端口號進行標(biāo)志。端口號只具有本地意義，即端口號只是為了標(biāo)志本計算機應(yīng)用層中的各進程。在因特網(wǎng)中不同計算機的相同端口號是沒有聯(lián)系的。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）605.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP端口在進程之間的通信中所起的作用應(yīng)用層傳輸層網(wǎng)絡(luò)層TCP報文段UDP用戶數(shù)據(jù)報應(yīng)用進程TCP復(fù)用IP復(fù)用UDP復(fù)用TCP報文段UDP用戶數(shù)據(jù)報應(yīng)用進程端口端口TCP分用UDP分用IP分用IP數(shù)據(jù)報IP數(shù)據(jù)報發(fā)送方接收方端口在進程之間的通信中所起的作用應(yīng)傳網(wǎng)TCP報文段UDP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

3．傳輸層的安全問題端口的概念兩類端口一類是熟知端口，其數(shù)值一般為0~1023。當(dāng)一種新的應(yīng)用程序出現(xiàn)時，必須為它指派一個熟知端口。另一類則是一般端口，用來隨時分配給請求通信的客戶進程。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）625.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）633．傳輸層的安全問題插口(socket)TCP使用“連接”(而不僅僅是“端口”)作為最基本的抽象，同時將TCP連接的端點稱為插口(socket)，或套接字、套接口。插口和端口、IP地址的關(guān)系是：IP地址3端口號15003,1500插口(socket)5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）6335.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

3．傳輸層的安全問題UDP概述UDP只在IP的數(shù)據(jù)報服務(wù)之上增加了很少一點的功能，即端口的功能和差錯檢測的功能。雖然UDP用戶數(shù)據(jù)報只能提供不可靠的交付，但UDP在某些方面有其特殊的優(yōu)點。發(fā)送數(shù)據(jù)之前不需要建立連接UDP的主機不需要維持復(fù)雜的連接狀態(tài)表。UDP用戶數(shù)據(jù)報只有8個字節(jié)的首部開銷。網(wǎng)絡(luò)出現(xiàn)的擁塞不會使源主機的發(fā)送速率降低。這對某些實時應(yīng)用是很重要的。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）645.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）65UDP用戶數(shù)據(jù)報的首部格式偽首部源端口目的端口長度檢驗和數(shù)據(jù)首部UDP長度源IP地址目的IP地址017IP數(shù)據(jù)報字節(jié)44112122222字節(jié)發(fā)送在前數(shù)據(jù)首部UDP用戶數(shù)據(jù)報2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）65U偽首部源端口目的端口長度檢驗和數(shù)據(jù)首部UDP長度源IP地址目的IP地址017IP數(shù)據(jù)報字節(jié)44112122222字節(jié)發(fā)送在前數(shù)據(jù)首部UDP用戶數(shù)據(jù)報用戶數(shù)據(jù)報UDP有兩個字段：數(shù)據(jù)字段和首部字段。首部字段有8個字節(jié)，由4個字段組成，每個字段都是兩個字節(jié)。偽首部源端口目的端口長度檢驗和數(shù)據(jù)首偽首部源端口目的端口長度檢驗和數(shù)據(jù)首部UDP長度源IP地址目的IP地址017IP數(shù)據(jù)報字節(jié)44112122222字節(jié)發(fā)送在前數(shù)據(jù)首部UDP用戶數(shù)據(jù)報在計算檢驗和時，臨時把“偽首部”和UDP用戶數(shù)據(jù)報連接在一起。偽首部僅僅是為了計算檢驗和。偽首部源端口目的端口長度檢驗和數(shù)據(jù)首5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

3．傳輸層的安全問題TCP概述2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）685.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

3．傳輸層的安全問題TCP的數(shù)據(jù)編號與確認(rèn)TCP協(xié)議是面向字節(jié)的。TCP將所要傳送的報文看成是字節(jié)組成的數(shù)據(jù)流，并使每一個字節(jié)對應(yīng)于一個序號。在連接建立時，雙方要商定初始序號。TCP每次發(fā)送的報文段的首部中的序號字段數(shù)值表示該報文段中的數(shù)據(jù)部分的第一個字節(jié)的序號。

TCP的確認(rèn)是對接收到的數(shù)據(jù)的最高序號表示確認(rèn)。接收端返回的確認(rèn)號是已收到的數(shù)據(jù)的最高序號加1。因此確認(rèn)號表示接收端期望下次收到的數(shù)據(jù)中的第一個數(shù)據(jù)字節(jié)的序號。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）695.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

3．傳輸層的安全問題客戶服務(wù)器方式TCP的連接和建立都是采用客戶服務(wù)器方式。主動發(fā)起連接建立的應(yīng)用進程叫做客戶(client)。被動等待連接建立的應(yīng)用進程叫做服務(wù)器(server)。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）705.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）71用三次握手建立TCP連接SYN,SEQ=x主機BSYN,ACK,SEQ=y,ACK=x1ACK,SEQ=x+1,ACK=y1被動打開主動打開確認(rèn)確認(rèn)主機A連接請求2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）71用2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）72DDoSStep1:尋找主機漏洞攻擊者2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）72D2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）73DDoSStep2:在主機和代理機上安裝軟件攻擊者被控主機攻擊代理程序攻擊代理程序被控主機2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）73D2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）74DDoSStep3:發(fā)動攻擊受害者A開始攻擊Alice!攻擊者被控主機被控主機攻擊代理程序攻擊代理程序2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）74D2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）754．應(yīng)用層的安全問題（1）Web服務(wù)的安全問題。Web服務(wù)器上的漏洞一般可以分為以下幾類：1）操作系統(tǒng)本身的安全漏洞。比如由于操作系統(tǒng)本身的漏洞，使得未授權(quán)的用戶可以獲得Web服務(wù)器上的秘密文件、目錄或重要數(shù)據(jù)。2）明文或弱口令漏洞。如果客戶機和服務(wù)器間的通信是明文或弱口令加密方式，那么傳輸?shù)男畔⒅型究赡軙痪W(wǎng)絡(luò)攻擊者非法攔截而暴露。3）Web服務(wù)器本身存在的一些漏洞，或者IIS(運行于Windows下)和Apache(運行于Linux下)本身的漏洞，使得攻擊者能侵入到主機系統(tǒng)，破壞一些重要的數(shù)據(jù)，甚至造成系統(tǒng)癱瘓。4）腳本程序的漏洞，這些漏洞給網(wǎng)絡(luò)攻擊者創(chuàng)造了條件。5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）7545.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

4．應(yīng)用層的安全問題（1）Web服務(wù)的安全問題。（續(xù)）除了針對漏洞進行的攻擊以外，Web欺騙也是一個發(fā)生頻繁的安全問題。Web欺騙允許攻擊者將對一個正常Web的訪問流量全部引入到攻擊者的Web服務(wù)器，經(jīng)過攻擊者機器的過濾作用，允許攻擊者監(jiān)控受攻擊者的任何活動，包括賬戶和口令。攻擊者也能以受攻擊者的名義將錯誤或者易于誤解的數(shù)據(jù)發(fā)送到真正的Web服務(wù)器，以及以任何Web服務(wù)器的名義發(fā)送數(shù)據(jù)給受攻擊者。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）765.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

4．應(yīng)用層的安全問題（2）FTP和TFTP服務(wù)的安全問題。這兩個服務(wù)都是用于傳輸文件的，但應(yīng)用場合不同，安全程度也不同。TFTP服務(wù)用于局域網(wǎng)，在無盤工作站啟動時用于傳輸系統(tǒng)文件，安全性極差，常被人用來竊取密碼文件/etc/passwd，因為它不帶有任何安全認(rèn)證。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）775.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

4．應(yīng)用層的安全問題（3）Telnet的安全問題。Telnet本身存在很多的安全問題，主要有：1）傳輸明文。Telnet登錄時沒有口令保護，遠程用戶的登錄傳送的用戶名和密碼都是明文，傳送的數(shù)據(jù)都沒有加密，網(wǎng)絡(luò)攻擊者使用任何一種簡單的嗅探器就可以截獲。2）沒有強力認(rèn)證過程。驗證的只是連接者的用戶名和密碼。3）沒有完整性檢查。傳送的數(shù)據(jù)無法知道是否是完整的，不能判斷數(shù)據(jù)是否被篡改過。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）785.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

4．應(yīng)用層的安全問題（4）電子郵件的安全問題。電子郵件面臨的安全問題有：1）郵件拒絕服務(wù)(郵件炸彈)2）郵件內(nèi)容被截獲。3）郵件軟件漏洞非法利用。4）郵件惡意代碼。5）郵箱口令暴力攻擊(BruteForce)。6）垃圾郵件。7）用戶郵箱地址泄漏。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）795.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

4．應(yīng)用層的安全問題（5）DNS的安全問題。1）域名欺騙。DNS通過客戶服務(wù)器方式提供域名解析服務(wù)，但查詢者不易驗證請求回答信息的真實性和有效性。攻擊者設(shè)法構(gòu)造虛假的應(yīng)答數(shù)據(jù)包，將網(wǎng)絡(luò)用戶導(dǎo)向攻擊者所控制的站點，為用戶提供虛假的網(wǎng)頁，或者搜集用戶的敏感數(shù)據(jù)，如郵件和網(wǎng)絡(luò)銀行賬號。2）網(wǎng)絡(luò)信息泄漏。域名服務(wù)器存貯大量的網(wǎng)絡(luò)信息，如IP地址分配、主機操作系統(tǒng)信息、重要網(wǎng)絡(luò)服務(wù)器名稱等。假如域名服務(wù)器允許區(qū)域信息傳遞，就等于為攻擊者提供了“目標(biāo)網(wǎng)絡(luò)拓撲圖”。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）805.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

4．應(yīng)用層的安全問題（5）DNS的安全問題。（續(xù)）3）DNS服務(wù)器拒絕服務(wù)。域名服務(wù)器是因特網(wǎng)運行的基礎(chǔ)服務(wù)，某個單位的域名受到破壞，則大部分網(wǎng)絡(luò)用戶就無法獲得該單位提供的服務(wù)。4）遠程漏洞。BIND服務(wù)器軟件的許多版本存在緩沖區(qū)溢出漏洞，黑客可以利用這些漏洞遠程入侵BIND服務(wù)器所在的主機，并以root身份執(zhí)行任意命令。這種攻擊的危害性比較嚴(yán)重，黑客不僅獲得了DNS服務(wù)器上所有授權(quán)區(qū)域內(nèi)的數(shù)據(jù)信息，甚至可以直接修改授權(quán)區(qū)域內(nèi)的任意數(shù)據(jù)，同時可以利用這臺主機作為攻擊其它機器的“跳板”。關(guān)于這些漏洞的詳細信息可以查看參考文獻中所列的CERT安全建議。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）815.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）824．應(yīng)用層的安全問題（5）DHCP服務(wù)的安全問題DHCP(DynamicHostConfigurationProtocal)動態(tài)主機分配協(xié)議，其作用是為子網(wǎng)中的客戶端統(tǒng)一分發(fā)IP地址及相關(guān)的TCP/IP屬性。DHCP攻擊原理如圖所示。5.1網(wǎng)絡(luò)安全威脅

5.1.2IPv4版本TCP/IP的安全問題

2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）8245.2網(wǎng)絡(luò)攻擊防護應(yīng)對網(wǎng)絡(luò)安全的傳統(tǒng)對策包括技術(shù)對策、管理對策和法律對策本書的第9、10章將分別介紹管理對策和法律對策，本節(jié)概要介紹技術(shù)對策。技術(shù)對策主要包括：數(shù)據(jù)加密技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)、網(wǎng)絡(luò)隔離技術(shù)、公鑰基礎(chǔ)設(shè)施PKI、安全協(xié)議技術(shù)等。本章后續(xù)內(nèi)容將分別介紹這些技術(shù)細節(jié)。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）835.2網(wǎng)絡(luò)攻擊防護應(yīng)對網(wǎng)絡(luò)安全的傳統(tǒng)對策包括技術(shù)對策、管理5.2網(wǎng)絡(luò)攻擊防護由于網(wǎng)絡(luò)安全所涉及的內(nèi)容很多，范圍很廣，因此，在許多情況下是將各種技術(shù)相互結(jié)合、綜合利用，來達到網(wǎng)絡(luò)的相對安全。TCP/IP沒有一個整體的安全體系，各種安全技術(shù)雖然能夠在某一方面保護網(wǎng)絡(luò)資源或保證網(wǎng)絡(luò)通信的安全，但是各種技術(shù)相對獨立，冗余性大，在可管理性和擴展性方面都存在很多局限。需要從安全體系結(jié)構(gòu)的角度研究怎樣有機地組合各種單元技術(shù)，設(shè)計出一個合理的安全體系，為各種層次不同的應(yīng)用提供統(tǒng)一的安全服務(wù)，以滿足不同強度的安全需求。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）845.2網(wǎng)絡(luò)攻擊防護由于網(wǎng)絡(luò)安全所涉及的內(nèi)容很多，范圍很廣，5.2網(wǎng)絡(luò)攻擊防護

5.2.1網(wǎng)絡(luò)攻擊的分層防護技術(shù)攻擊發(fā)生前的防范攻擊發(fā)生過程中的防范攻擊發(fā)生后的應(yīng)對2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）855.2網(wǎng)絡(luò)攻擊防護

5.2.1網(wǎng)絡(luò)攻擊的分層防護技術(shù)攻擊2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）865.2網(wǎng)絡(luò)攻擊防護

5.2.2網(wǎng)絡(luò)安全體系框架1．網(wǎng)絡(luò)安全體系結(jié)構(gòu)的相關(guān)概念安全服務(wù)安全機制安全管理2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）8652023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）875.2網(wǎng)絡(luò)攻擊防護

5.2.2網(wǎng)絡(luò)安全體系框架2．網(wǎng)絡(luò)安全體系的三維框架結(jié)構(gòu)2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）8752023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）885.2網(wǎng)絡(luò)攻擊防護

5.2.2網(wǎng)絡(luò)安全體系框架3．安全服務(wù)之間的關(guān)系2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）8852023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）89第5章網(wǎng)絡(luò)安全2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）1第52023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）90本章主要內(nèi)容網(wǎng)絡(luò)安全問題網(wǎng)絡(luò)攻擊防護防火墻入侵檢測網(wǎng)絡(luò)隔離公鑰基礎(chǔ)設(shè)施和權(quán)限基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全協(xié)議IPv6新一代網(wǎng)絡(luò)的安全機制2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）2本章2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）915.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客(Hacker)，源于英語動詞hack，意為“劈，砍”，也就意味著“辟出，開辟”，進一步引申為“干了一件非常漂亮的工作”。多數(shù)黑客對計算機非常著迷，認(rèn)為自己有比他人更高的才能，因此只要他們愿意，就非法闖入某些禁區(qū)，或開玩笑或惡作劇，甚至干出違法的事情?，F(xiàn)在“黑客”一詞普遍的含意是指計算機系統(tǒng)的非法侵入者。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）35.2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）925.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊目前黑客已成為一個廣泛的社會群體。在西方有完全合法的黑客組織、黑客學(xué)會，這些黑客經(jīng)常召開黑客技術(shù)交流會。在因特網(wǎng)上，黑客組織有公開網(wǎng)站，提供免費的黑客工具軟件，介紹黑客手法，出版網(wǎng)上黑客雜志和書籍。現(xiàn)在“行黑”已變得比較容易，普通人很容易學(xué)到網(wǎng)絡(luò)攻擊的方法。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）45.2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）935.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟1）隱藏攻擊源利用被侵入的主機(俗稱“肉雞”)作為跳板進行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞”的IP地址。使用多級代理，這樣在被入侵主機上留下的是代理計算機的IP地址。偽造IP地址。假冒用戶賬號。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）55.2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）945.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟2）信息搜集確定攻擊目標(biāo)。踩點，就是通過各種途徑收集目標(biāo)系統(tǒng)的相關(guān)信息，包括機構(gòu)的注冊資料、公司的性質(zhì)、網(wǎng)絡(luò)拓撲結(jié)構(gòu)、郵件地址、網(wǎng)絡(luò)管理員的個人愛好等。掃描，利用掃描工具在攻擊目標(biāo)的IP地址或地址段的主機上，掃描目標(biāo)系統(tǒng)的軟硬件平臺類型，并進一步尋找漏洞如目標(biāo)主機提供的服務(wù)與應(yīng)用及其安全性的強弱等等。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）65.2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）955.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟2）信息搜集嗅探，利用嗅探工具獲取敏感信息，如用戶口令等。攻擊者將搜集來的信息進行綜合、整理和分析后，能夠初步了解一個機構(gòu)的安全態(tài)勢，并能夠據(jù)此擬定出一個攻擊方案。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）75.2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）965.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟3）掌握系統(tǒng)控制權(quán)一般賬戶對目標(biāo)系統(tǒng)只有有限的訪問權(quán)限，要達到某些攻擊目的，攻擊者只有得到系統(tǒng)或管理員權(quán)限，才能控制目標(biāo)主機實施進一步的攻擊。獲取系統(tǒng)管理權(quán)限的方法通常有：掃描系統(tǒng)漏洞、系統(tǒng)口令猜測、種植木馬、會話劫持等。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）85.2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）975.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟4）實施攻擊不同的攻擊者有不同的攻擊目的，無外乎是破壞機密性、完整性和可用性等。一般說來，可歸結(jié)為以下幾種。下載敏感信息。攻擊其它被信任的主機和網(wǎng)絡(luò)。癱瘓網(wǎng)絡(luò)。修改或刪除重要數(shù)據(jù)。其它非法活動。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）95.2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）985.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟5）安裝后門放寬文件許可權(quán)。重新開放不安全的服務(wù)。修改系統(tǒng)的配置，如系統(tǒng)啟動文件、網(wǎng)絡(luò)服務(wù)配置文件等。替換系統(tǒng)本身的共享庫文件。安裝各種特洛伊木馬，修改系統(tǒng)的源代碼。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）1052023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）995.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊步驟6）隱藏攻擊痕跡清除或篡改日志文件。改變系統(tǒng)時間造成日志文件數(shù)據(jù)紊亂以迷惑系統(tǒng)管理員。利用前面介紹的代理跳板隱藏真實的攻擊者和攻擊路徑。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）1155.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段1）偽裝攻擊。通過指定路由或偽造假地址，以假冒身份與其它主機進行合法通信、或發(fā)送假數(shù)據(jù)包，使受攻擊主機出現(xiàn)錯誤動作。如IP欺騙。2）探測攻擊。通過掃描允許連接的服務(wù)和開放的端口，能夠迅速發(fā)現(xiàn)目標(biāo)主機端口的分配情況、提供的各項服務(wù)和服務(wù)程序的版本號，以及系統(tǒng)漏洞情況。黑客找到有機可乘的服務(wù)、端口或漏洞后進行攻擊。常見的探測攻擊程序有：Nmap、Nessus、Metasploit、ShadowSecurityScanner、X-Scan等。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）1005.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段3）嗅探攻擊。將網(wǎng)卡設(shè)置為混雜模式，對以太網(wǎng)上流通的所有數(shù)據(jù)包進行嗅探，以獲取敏感信息。常見的網(wǎng)絡(luò)嗅探工具有：SnifferPro、Tcpdump、Wireshark等。4）解碼類攻擊。用口令猜測程序破解系統(tǒng)用戶帳號和密碼。常見工具有：L0phtCrack、JohntheRipper、Cain&Abel、Saminside、WinlogonHack等。還可以破解重要支撐軟件的弱口令，例如使用ApacheTomcatCrack破解Tomcat口令。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）1015.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段5）緩沖區(qū)溢出攻擊。通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它的指令。緩沖區(qū)攻擊的目的在于擾亂某些以特權(quán)身份運行的程序的功能，使攻擊者獲得程序的控制權(quán)。6）欺騙攻擊。利用TCP/IP協(xié)議本身的一些缺陷對TCP/IP網(wǎng)絡(luò)進行攻擊，主要方式有：ARP欺騙、DNS欺騙、Web欺騙、電子郵件欺騙等。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）1025.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段7）拒絕服務(wù)和分布式拒絕服務(wù)攻擊。這種攻擊行為通過發(fā)送一定數(shù)量一定序列的數(shù)據(jù)包，使網(wǎng)絡(luò)服務(wù)器中充斥了大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負荷以至于癱瘓、停止正常的網(wǎng)絡(luò)服務(wù)。常見的拒絕服務(wù)(DenialofService，DoS)攻擊有：同步洪流(SYNFlooding)、Smurf等。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）1035.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段7）拒絕服務(wù)和分布式拒絕服務(wù)攻擊。近年，DoS攻擊有了新的發(fā)展，攻擊者通過入侵大量有安全漏洞的主機并獲取控制權(quán)，在多臺被入侵的主機上安裝攻擊程序，然后利用所控制的這些大量攻擊源，同時向目標(biāo)機發(fā)起拒絕服務(wù)攻擊，我們稱之為分布式拒絕服務(wù)(DistributeDenialofService，DDoS)攻擊。常見的DDoS攻擊工具有：Trinoo、TFN等。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）1045.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段8）Web腳本入侵。由于使用不同的Web網(wǎng)站服務(wù)器、不同的開放語言，使網(wǎng)站存在的漏洞也不相同，所以使用Web腳本攻擊的方式也很多。如黑客可以從網(wǎng)站的文章系統(tǒng)下載系統(tǒng)留言板等部分進行攻擊；也可以針對網(wǎng)站后臺數(shù)據(jù)庫進行攻擊，還可以在網(wǎng)頁中寫入具有攻擊性的代碼；甚至可以通過圖片進行攻擊。Web腳本攻擊常見方式有：注入攻擊、上傳漏洞攻擊、跨站攻擊、數(shù)據(jù)庫入侵等。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）1055.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常用手段9）0day攻擊。0day通常是指還沒有補丁的漏洞，而0day攻擊則是指利用這種漏洞進行的攻擊。提供該漏洞細節(jié)或者利用程序的人通常是該漏洞的發(fā)現(xiàn)者。0day漏洞的利用程序?qū)W(wǎng)絡(luò)安全具有巨大威脅，因此0day不但是黑客的最愛，掌握多少0day也成為評價黑客技術(shù)水平的一個重要參數(shù)。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）1065.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊黑客攻擊的常5.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊的發(fā)展APT(AdvancedPersistentThreat，高級持續(xù)性威脅)攻擊，或者稱之為“針對特定目標(biāo)的攻擊”?！案呒墶斌w現(xiàn)在利用了多種攻擊手段，包括各種最先進的手段和社會工程學(xué)方法，一步一步地獲取進入組織內(nèi)部的權(quán)限。攻擊者會針對被攻擊對象編寫專門的攻擊程序，而非使用一些通用的攻擊代碼?！俺掷m(xù)性”，甚至長達數(shù)年。這種持續(xù)體現(xiàn)在攻擊者不斷嘗試各種攻擊手段，以及在滲透到網(wǎng)絡(luò)內(nèi)部后長期蟄伏，不斷收集各種信息，直到收集到重要情報。主要針對國家重要的基礎(chǔ)設(shè)施和單位進行，包括能源、電力、金融、國防等關(guān)系到國計民生，或者是國家核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）1075.1網(wǎng)絡(luò)安全問題

5.1.1黑客與網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊的發(fā)2023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）1085.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題TCP/IP參考模型如圖所示。TCP/IP協(xié)議族包括4個功能層：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層。這4層概括了相對于OSI參考模型中的7層。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）2052023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）1095.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題（1）網(wǎng)絡(luò)接口層。網(wǎng)絡(luò)接口層有時又稱數(shù)據(jù)鏈路層，一般負責(zé)處理通信介質(zhì)的細節(jié)問題，如設(shè)備驅(qū)動程序、以太網(wǎng)(Ethernet)、令牌環(huán)網(wǎng)(TokenRing)。ARP和RARP協(xié)議負責(zé)IP地址和網(wǎng)絡(luò)接口物理地址的轉(zhuǎn)換工作。（2）網(wǎng)絡(luò)層。該層負責(zé)處理網(wǎng)絡(luò)上的主機間路由及存儲轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包。IP是網(wǎng)絡(luò)層的主要協(xié)議，提供無連接、不可靠的服務(wù)。IP還給出了因特網(wǎng)地址分配方案，要求網(wǎng)絡(luò)接口必須分配獨一無二的IP地址。同時，IP為ICMP、IGMP以及TCP和UDP等協(xié)議提供服務(wù)。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）2152023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）1105.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題（3）傳輸層。該層負責(zé)提供源主機、目的主機的應(yīng)用程序間的數(shù)據(jù)流通信服務(wù)。TCP/IP協(xié)議在此層定義了TCP和UDP協(xié)議。TCP提供可靠的數(shù)據(jù)流通信服務(wù)。TCP的可靠性由定時器、計數(shù)器、確認(rèn)和重傳來實現(xiàn)。與TCP處理不同的是，UDP不提供可靠的服務(wù)，其主要的用處在于應(yīng)用程序間發(fā)送數(shù)據(jù)。UDP數(shù)據(jù)包有可能丟失、復(fù)制和亂序。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）2252023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）1115.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題（4）應(yīng)用層。該層包含多種高層協(xié)議。幾乎每一個TCP/IP的實現(xiàn)都提供許多公開的應(yīng)用。HTTP：超文本傳遞協(xié)議，提供瀏覽器和WWW服務(wù)間有關(guān)HTML文件傳遞服務(wù)。FTP：文件傳輸協(xié)議，提供主機間數(shù)據(jù)傳遞服務(wù)。Telnet：虛擬終端協(xié)議，提供遠程登錄服務(wù)。SMTP：簡單的電子郵件傳送服務(wù)協(xié)議，提供發(fā)送電子郵件服務(wù)。DNS：域名系統(tǒng)完成域名的解析。此外，還有POP3、OSPF、NFS等其他的許多應(yīng)用協(xié)議。2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）2352023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）1125.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題1．ARP協(xié)議的安全問題2．IP層的安全問題3．傳輸層的安全問題4．應(yīng)用層的安全問題2022/12/29計算機系統(tǒng)安全原理與技術(shù)（第3版）2452023/1/4計算機系統(tǒng)安全原理與技術(shù)（第3版）1135.1網(wǎng)絡(luò)安全問題

5.1.2IPv4版本TCP/IP的安全問題1