教學(xué)課件-網(wǎng)絡(luò)信息安全

網(wǎng)絡(luò)信息安全2014-2015學(xué)年第一學(xué)期網(wǎng)絡(luò)信息安全重要嗎？2014年國內(nèi)十大網(wǎng)絡(luò)信息安全事件

1.中國互聯(lián)網(wǎng)出現(xiàn)大面積DNS解析故障2.中央網(wǎng)信小組成立網(wǎng)絡(luò)信息安全上升為國家戰(zhàn)略3.攜程信息“安全門”事件敲響網(wǎng)絡(luò)消費(fèi)安全警鐘4.小米800萬用戶數(shù)據(jù)泄露5.網(wǎng)絡(luò)信息安全提升至國家高度國產(chǎn)軟件受重視網(wǎng)絡(luò)信息安全重要嗎？2014年國內(nèi)十大網(wǎng)絡(luò)信息安全事件

6.快遞公司官網(wǎng)遭入侵泄露1400萬用戶快遞數(shù)據(jù)7.130萬考研用戶信息被泄露8.智聯(lián)招聘86萬條求職簡歷數(shù)據(jù)遭泄露9.阿里云稱遭互聯(lián)網(wǎng)史上最大規(guī)模DDoS攻擊10.12306網(wǎng)站超13萬用戶數(shù)據(jù)遭泄露網(wǎng)絡(luò)信息安全重要嗎？2014年國外十大網(wǎng)絡(luò)信息安全事件

1.Heartbleed漏洞2.斯諾登曝光美國工業(yè)間諜活動3.2000萬韓國人信用卡信息被盜4.英國央行雇傭黑客進(jìn)行內(nèi)部攻防測試起示范作用5.微軟正式停止對XP系統(tǒng)技術(shù)支持網(wǎng)絡(luò)信息安全重要嗎？2014年國外十大網(wǎng)絡(luò)信息安全事件

6.iCloud曝安全漏洞蘋果陷入“艷照門”事件7.摩根大通銀行被黑8300萬客戶信息泄露8.全球手機(jī)運(yùn)營商現(xiàn)安全漏洞數(shù)十億人的通信或受影響9.全球互聯(lián)網(wǎng)域名管理機(jī)構(gòu)ICANN遭黑客攻擊10.索尼影業(yè)被黑、朝鮮網(wǎng)絡(luò)癱瘓事件持續(xù)發(fā)酵如何學(xué)習(xí)網(wǎng)絡(luò)信息安全知識？教材使用方法結(jié)合計(jì)算機(jī)軟考網(wǎng)絡(luò)工程師考試與本課程的學(xué)習(xí)，學(xué)習(xí)好本課程的同時(shí)考取網(wǎng)絡(luò)工程師或者網(wǎng)絡(luò)安全工程師等證書，增加自身含金量和就業(yè)競爭力。參考書：信息安全基礎(chǔ)；計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)參考網(wǎng)站：中國互聯(lián)網(wǎng)絡(luò)信息中心/gjymaqzx/怎樣考試、考勤？

70%期末+30%平時(shí)課堂測驗(yàn)（準(zhǔn)備筆、紙）第1章

網(wǎng)絡(luò)體系結(jié)構(gòu)網(wǎng)絡(luò)的層次結(jié)構(gòu)：網(wǎng)絡(luò)是如何實(shí)現(xiàn)的，以及網(wǎng)絡(luò)提供的功能

協(xié)議概述：協(xié)議的作用層次網(wǎng)絡(luò)模型：OSI參考模型和TCP/IP參考模型各層的功能和層次對應(yīng)關(guān)系網(wǎng)絡(luò)是如何實(shí)現(xiàn)的？什么是協(xié)議？網(wǎng)絡(luò)協(xié)議確保設(shè)備通信成功.協(xié)議規(guī)范消息的格式和結(jié)構(gòu)網(wǎng)絡(luò)設(shè)備共享有關(guān)于其他網(wǎng)絡(luò)之間通信的信息時(shí)設(shè)備之間傳送錯(cuò)誤消息和系統(tǒng)消息的方式與時(shí)間數(shù)據(jù)傳送會話的建立和終止.協(xié)議與行業(yè)標(biāo)準(zhǔn)的區(qū)別標(biāo)準(zhǔn)是指已經(jīng)受到網(wǎng)絡(luò)行業(yè)認(rèn)可，經(jīng)過標(biāo)準(zhǔn)化組織批準(zhǔn)的流程或協(xié)議TCPIPISO9001。。。兩個(gè)必須掌握的層次結(jié)構(gòu)模型OSI七層模型：國際標(biāo)準(zhǔn)TCP／IP四層模型過程的消息本章小結(jié)本次課需要對層次網(wǎng)絡(luò)模型熟練掌握，以便后續(xù)課程中基于層次模型的學(xué)習(xí)。平時(shí)關(guān)注網(wǎng)絡(luò)信息安全方面的信息，并思考存在的問題及解決問題的方案。課后作業(yè)

1、教材P12課后作業(yè)2、復(fù)習(xí)第1章，下次課測驗(yàn)，準(zhǔn)備空白紙一張。第2章

網(wǎng)絡(luò)協(xié)議什么是協(xié)議？什么是標(biāo)準(zhǔn)協(xié)議是為解決某個(gè)特定問題或者描述一個(gè)需求而設(shè)計(jì)的標(biāo)準(zhǔn)描述協(xié)議是如何動作的或和其他層是如何交互的開放協(xié)議與專利協(xié)議的區(qū)別開放協(xié)議開放健壯性好，缺陷最小易發(fā)現(xiàn)安全缺陷專利協(xié)議不開放，屬于一個(gè)提供商不易發(fā)現(xiàn)安全缺陷協(xié)議規(guī)范存在的問題之最？表示規(guī)范的方法，文本RFC（RequestForComment）請求評議

（Demo）IETF:因特網(wǎng)工程任務(wù)組

（InternetEngineeringTaskForce）其他標(biāo)準(zhǔn)化組織ANSIIEEEISOITU協(xié)議的關(guān)鍵點(diǎn)之一：尋址方法郵遞實(shí)例網(wǎng)絡(luò)中的地址（DEMO）

硬件地址IP地址端口號網(wǎng)址域名地址如何分配靜態(tài)地址動態(tài)地址數(shù)據(jù)包頭部頭部定義為協(xié)議規(guī)范的一部分固定數(shù)據(jù)包型固定部分可選部分無限制型頭部常用于應(yīng)用層數(shù)據(jù)串本章小結(jié)本次課需要對層次網(wǎng)絡(luò)協(xié)議相關(guān)定義熟練掌握，以便后續(xù)課程中基于協(xié)議模型的學(xué)習(xí)。平時(shí)關(guān)注網(wǎng)絡(luò)信息安全方面的信息，并思考存在的問題及解決問題的方案。課后作業(yè)

1、教材P23課后作業(yè)2、復(fù)習(xí)第2章，下次課測驗(yàn)，準(zhǔn)備空白紙一張。第3章

互聯(lián)網(wǎng)如何利用不同地址傳輸數(shù)據(jù)？P27圖3.3端口號IP地址物理地址什么是地址欺騙？目的地址：接收者，數(shù)據(jù)到哪里去，用于送達(dá)信件源地址：發(fā)送者，數(shù)據(jù)從哪里來，無法識別真實(shí)性地址欺騙：采用虛假的源地址的行為P29圖3.4IP地址與子網(wǎng)掩碼？IPv432bit主機(jī)名全域名

DNS本地DNS根DNS遞歸解析迭代解析IP地址與域名客戶－服務(wù)器模式C/S模式Client／ServerP2P模式套接字（IP，Port）路由路由表靜態(tài)路由動態(tài)路由本章小結(jié)本次課需要熟練掌握層次網(wǎng)絡(luò)傳輸過程中的各類地址；了解客戶－服務(wù)器模式和路由方法。課后作業(yè)

1、教材P37課后作業(yè)2、復(fù)習(xí)第3章，下次課測驗(yàn)，準(zhǔn)備空白紙一張。第4章

網(wǎng)絡(luò)漏洞的分類兩臺計(jì)算機(jī)進(jìn)行通信時(shí)可能的攻擊點(diǎn)？應(yīng)用層A1TCPIP-C1物理網(wǎng)絡(luò)N1應(yīng)用層A1TCPIP-D1物理網(wǎng)絡(luò)N4IP-R1物理網(wǎng)絡(luò)N2IP-R2物理網(wǎng)絡(luò)N3用戶A用戶B互聯(lián)網(wǎng)計(jì)算機(jī)A1計(jì)算機(jī)B1攻擊點(diǎn)1攻擊點(diǎn)2攻擊點(diǎn)3攻擊點(diǎn)4協(xié)議的哪些環(huán)節(jié)可能會存在漏洞？設(shè)計(jì)環(huán)節(jié)協(xié)議制定和書寫上的漏洞原因：對協(xié)議內(nèi)在的安全問題關(guān)注不夠?qū)崿F(xiàn)環(huán)節(jié)代碼錯(cuò)誤、規(guī)范的解釋錯(cuò)誤、被攻擊者發(fā)現(xiàn)的未預(yù)見的攻擊方法原因：規(guī)范本身有沖突或漏洞配置環(huán)節(jié)用戶不正確地配置系統(tǒng)或者使用系統(tǒng)默認(rèn)值原因：系統(tǒng)默認(rèn)密碼可以輕易獲取利用漏洞的步驟？發(fā)現(xiàn)漏洞試探漏洞攻擊代碼實(shí)施攻擊腳本小子零日試探如何對現(xiàn)有網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估？威脅漏洞影響針對網(wǎng)絡(luò)安全將漏洞和攻擊分為四類基于頭部的漏洞和攻擊基于協(xié)議的漏洞和攻擊基于驗(yàn)證的漏洞和攻擊基于流量的漏洞和攻擊基于頭部的漏洞和攻擊協(xié)議頭部的域值與標(biāo)準(zhǔn)發(fā)生了沖突

死亡之Ping（PingofDeath）ping-l65500目標(biāo)ip-t（65500表示數(shù)據(jù)長度上限，-t表示不停地ping目標(biāo)地址）基于IP的攻擊緩存溢出攻擊Windows／Unix預(yù)防死亡之ping的最好方法是對操作系統(tǒng)打補(bǔ)丁，使內(nèi)核將不再對超過規(guī)定長度的包進(jìn)行重組基于協(xié)議的漏洞和攻擊數(shù)據(jù)包與協(xié)議的執(zhí)行過程有沖突不按序發(fā)送數(shù)據(jù)包發(fā)送數(shù)據(jù)包太快或者太慢丟失數(shù)據(jù)包SYN攻擊2000年YAHOO網(wǎng)站限制單一計(jì)算機(jī)和服務(wù)器試圖連接次數(shù)基于驗(yàn)證的漏洞和攻擊用戶到用戶的驗(yàn)證：密鑰和證書，常用于E－mail或安全性文檔用戶到主機(jī)的驗(yàn)證：用戶名和密碼，常用于請求資源時(shí)主機(jī)到主機(jī)：為了執(zhí)行某個(gè)功能，層與層之間，借助主機(jī)地址或應(yīng)用程序地址，脆弱主機(jī)到用戶：允許用戶證明所連接主機(jī)的身份，用于某個(gè)用戶與某安全網(wǎng)站連接時(shí)基于流量的漏洞和攻擊情況1：大量數(shù)據(jù)被送往某層，該層不能及時(shí)處理，引起丟包或不處理情況2:數(shù)據(jù)包嗅探

例如sniffer等本章小結(jié)本次課需要熟練掌握漏洞的分類；了解典型的攻擊類型。課后作業(yè)

1、教材P50課后作業(yè)2、復(fù)習(xí)第4章，下次課測驗(yàn)，準(zhǔn)備空白紙一張。第5章

物理網(wǎng)絡(luò)層概述針對物理網(wǎng)絡(luò)層常見的攻擊方法硬件地址欺騙網(wǎng)絡(luò)嗅探物理攻擊以太網(wǎng)CSMA／CD載波偵聽多路訪問／沖突檢測先聽后說，邊說邊聽改善：以太網(wǎng)交換機(jī)，端口表Q：接收方如何知道幀的長度？針對有線網(wǎng)絡(luò)協(xié)議的攻擊？基于頭部的攻擊（有限）源地址與目標(biāo)地址設(shè)成相同過短或過長數(shù)據(jù)包（>1500B,<46B）依靠設(shè)備自身安全基于協(xié)議的攻擊（無）網(wǎng)絡(luò)控制器故障基于驗(yàn)證的攻擊（較難）ARP攻擊填滿交換機(jī)地址表源地址與其中一臺設(shè)備相同對策：網(wǎng)絡(luò)訪問控制NAC驗(yàn)證連接ISP的設(shè)備基于流量的攻擊（容易）流量嗅探用大類的流量造成網(wǎng)絡(luò)崩潰對策：加密，VLAN無線以太網(wǎng)協(xié)議？802.11（a－z）Wifi802.11a或802.11b11Mbps~54Mbps100m網(wǎng)絡(luò)嗅探AP(AccessPoint)訪問接入點(diǎn)產(chǎn)生網(wǎng)絡(luò)提供對有線網(wǎng)絡(luò)的訪問SSID：ServiceSetID發(fā)現(xiàn)AP－－接入網(wǎng)絡(luò)－－發(fā)送流量CSMA／CA介質(zhì)空閑，等待隨機(jī)時(shí)間片無線以太網(wǎng)VS有線以太網(wǎng)協(xié)議更復(fù)雜幀格式更復(fù)雜漏洞更多攻擊更常見基于頭部的攻擊無線以太網(wǎng)幀頭部大多數(shù)域由硬件控制器控制基于頭部的攻擊有限導(dǎo)致攻擊設(shè)備不能正常通信基于協(xié)議的攻擊協(xié)議主要由硬件實(shí)現(xiàn)，實(shí)施攻擊較復(fù)雜攻擊：將數(shù)據(jù)包嵌入介質(zhì)中探測／釣魚發(fā)送大量信號引起阻塞減少探測的方法：加密NAC（NetworkAccessControl）避免使用人名、公司名、家庭地址作為SSID基于驗(yàn)證的攻擊設(shè)備驗(yàn)證：無線設(shè)備與AP互相驗(yàn)證AP配置驗(yàn)證：訪問配置菜單，試圖修改AP的網(wǎng)絡(luò)安全特性惡意接入點(diǎn)：合法用戶擅自安裝AP并隱瞞AP有安全隱患，為攻擊者埋下伏筆允許用戶繞過內(nèi)部安全網(wǎng)絡(luò)，降低整體安全性對策：NAC，防止未授權(quán)用戶訪問有線網(wǎng)絡(luò)；掃描發(fā)現(xiàn)惡意AP非法接入點(diǎn)：攻擊者將自己的AP偽裝成有效AP不加密AP獲取AP訪問控制權(quán)對策：修改AP默認(rèn)密碼，加密基于流量的攻擊無線網(wǎng)絡(luò)流量嗅探對策：加密WEP：WiredEquivalentPrivacy有線等效保密。對在兩臺設(shè)備之間無線傳輸?shù)臄?shù)據(jù)進(jìn)行加密，防止竊聽或入侵WPA：Wi-FiProtectAccess,Wi-Fi訪問保護(hù)協(xié)議，同時(shí)使用驗(yàn)證和加密，為家庭或企業(yè)設(shè)計(jì)驗(yàn)證密鑰會話密鑰對抗流量嗅探常用對策——VLAN虛擬局域網(wǎng)VLAN靜態(tài)VLAN基于固定端口對抗ARP攻擊防止端口映射表攻擊動態(tài)VLAN基于設(shè)備的硬件地址根據(jù)硬件地址驗(yàn)證設(shè)備常用對策——NAC網(wǎng)絡(luò)訪問控制NAC驗(yàn)證每一臺設(shè)備使用動態(tài)VLAN強(qiáng)制通過基于策略分割的設(shè)備執(zhí)行策略如果為授權(quán)則不允許訪問網(wǎng)絡(luò)或隔離為一個(gè)獨(dú)立的網(wǎng)絡(luò)本章小結(jié)本次課需要熟練掌握物理網(wǎng)絡(luò)層存在的漏洞與攻擊，了解對策及相關(guān)技術(shù)。課后作業(yè)1、教材P82課后作業(yè)11-142、預(yù)習(xí)附錄A密碼學(xué)3、復(fù)習(xí)第5章，下次課測驗(yàn)，準(zhǔn)備空白紙一張。第6章

網(wǎng)絡(luò)層協(xié)議網(wǎng)絡(luò)層有哪些協(xié)議？IP協(xié)議：IP地址，IP尋址IPv4IPv6ARP協(xié)議：IP地址MAC地址

RARP協(xié)議：MAC地址IP地址ICMP協(xié)議：詢問IP設(shè)備，報(bào)告錯(cuò)誤，例如PingBOOTP：支持無盤工作站和網(wǎng)絡(luò)打印機(jī)DHCP：支持IP地址動態(tài)分配IPv4vsIPv6基于頭部的攻擊針對IP協(xié)議：死亡之Ping針對ARP協(xié)議：無效ARP數(shù)據(jù)包被拋棄針對ICMP協(xié)議的攻擊很少基于協(xié)議的攻擊針對IP協(xié)議本身的攻擊很少路由跟蹤程序ICMP錯(cuò)誤消息引起DoSARP協(xié)議：攻擊者用無效的ARP應(yīng)答回應(yīng)ARP請求基于認(rèn)證的攻擊網(wǎng)絡(luò)層通過IP地址認(rèn)證設(shè)備IP地址欺騙對策：路由器檢查直連網(wǎng)絡(luò)上發(fā)送數(shù)據(jù)包的IP地址，可以阻止發(fā)往外部的IP地址與對應(yīng)網(wǎng)絡(luò)不匹配的數(shù)據(jù)包。局限性：無法阻止攻擊者使用同一網(wǎng)絡(luò)的其他計(jì)算機(jī)的IP地址欺騙性ICMP錯(cuò)誤消息ARP攻擊局限于攻擊者所在網(wǎng)絡(luò)基于流量的攻擊嗅探對策：IP載荷加密使用IP廣播地址實(shí)施雪崩攻擊對策：在路由器上禁止直接廣播進(jìn)入網(wǎng)絡(luò)ARP廣播雪崩

對策：在路由器上禁止ICMP回應(yīng)請求數(shù)據(jù)包的進(jìn)入常用網(wǎng)絡(luò)層對策——IP過濾基于IP報(bào)頭的域值進(jìn)行過濾由路由器完成基于IP地址過濾缺點(diǎn)：增加數(shù)據(jù)包處理時(shí)間常用網(wǎng)絡(luò)層對策——NATNAT：NetworkaddressTranslation網(wǎng)絡(luò)地址轉(zhuǎn)換目標(biāo)：允許大量設(shè)備共享少量公共IP地址動態(tài)NAT靜態(tài)NAT阻止所有未在映射表中列出地址的數(shù)據(jù)包攻擊者無法向私有網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包常用網(wǎng)絡(luò)層對策——VPNVitualPrivateNetwork：虛擬專用網(wǎng)用于加密和驗(yàn)證通信信道配置1:兩個(gè)網(wǎng)絡(luò)共用一個(gè)VPN配置2:遠(yuǎn)程網(wǎng)絡(luò)成為主網(wǎng)絡(luò)的一個(gè)擴(kuò)展常用網(wǎng)絡(luò)層對策——IPSECInternetProtocolSecurity：Internet協(xié)議安全性用做VPN協(xié)議一個(gè)頭部支持驗(yàn)證另一個(gè)頭部支持加密和驗(yàn)證未指定加密算法IPSECVPN本章小結(jié)本次課需要熟練掌握常用IP層安全技術(shù)課后作業(yè)

1、教材P132課后作業(yè)1-4、7、8、112、復(fù)習(xí)第6章，下次課測驗(yàn)，準(zhǔn)備空白紙一張。第7章

傳輸層協(xié)議傳輸層有哪些協(xié)議？TCP：TransmissionControlProtocol傳輸控制協(xié)議UDP：UserDatagramProtocol用戶數(shù)據(jù)報(bào)協(xié)議傳輸層地址——端口號Socket套接字：IP＋PortUDP物理網(wǎng)絡(luò)層TCP協(xié)議建立連接連接維護(hù)終止連接可靠的數(shù)據(jù)傳輸：面向字節(jié)流多路復(fù)用流量控制TCP數(shù)據(jù)包格式基于TCP頭部的攻擊（難以消除）攻擊者發(fā)送無效的頭部信息，擾亂TCP運(yùn)行標(biāo)志位全1：圣誕樹攻擊在打開的連接中發(fā)送無效序列號攻擊者使用回應(yīng)發(fā)送無效頭部（探測攻擊）發(fā)送無效標(biāo)志組合來確認(rèn)操作系統(tǒng)如何回應(yīng)，例如標(biāo)志位全0如果端口是關(guān)閉的會使接收方應(yīng)答一個(gè)RST|ACK消息Linux和UNIX機(jī)器不會應(yīng)答Windows機(jī)器將回答RST|ACK消息基于TCP協(xié)議的攻擊SYNFlood耗盡服務(wù)器緩沖區(qū)空間消除方法：限制來自同一IP地址的半連接數(shù)量分布式SYN雪崩攻擊難以分辨攻擊者將數(shù)據(jù)包插入到協(xié)議流量中用RST切斷連接會話劫持消除方法：TCP加密攻擊者發(fā)送減小窗口尺寸的ACK數(shù)據(jù)包基于驗(yàn)證的攻擊不支持驗(yàn)證惡意用戶在保留端口（0～1023）上運(yùn)行應(yīng)用程序基于流量的攻擊嗅探雪崩攻擊消除方法：使用流量整形器UDP協(xié)議無連接針對UDP協(xié)議的攻擊無基于頭部和協(xié)議的攻擊基于驗(yàn)證的攻擊：53端口號UDP流量基于流量的攻擊：嗅探VS加密；UDPFloodDNS？DNS協(xié)議FQDN完整域名PQDN非完整域名遞歸模式迭代模式基于DNS頭部的攻擊不正確的頭部值，通常無效經(jīng)過防火墻泄露數(shù)據(jù)，緩慢基于DNS協(xié)議的攻擊惡意軟件使用DNS端口號（53）建立點(diǎn)到點(diǎn)軟件惡意通信基于驗(yàn)證的攻擊驗(yàn)證服務(wù)器IP地址用惡意條目替換DNS服務(wù)器中的條目獲取對服務(wù)器對訪問，修改條目DNS緩沖區(qū)中毒向一個(gè)查詢發(fā)送自身的回應(yīng)，欺騙客戶端基于流量的攻擊嗅探FLood流量減少DNS攻擊的方法是對關(guān)鍵DNS服務(wù)器實(shí)行冗余設(shè)置傳輸層安全TLS／SSL為Web流量提供安全為消除攻擊者偽裝成另外一個(gè)設(shè)備時(shí)的嗅探攻擊和針對主機(jī)的驗(yàn)證攻擊TLS（TransportLayerSecurity）本章小結(jié)本次課需了解傳輸層協(xié)議的漏洞和攻擊方式，并掌握相應(yīng)的消除方法。課后作業(yè)

1、教材P158課后作業(yè)：1、8、10第8章

應(yīng)用層概述應(yīng)用層與其他各層的關(guān)系？應(yīng)用層有哪些常用協(xié)議？套接字應(yīng)用層常見協(xié)議端口號基于頭部的攻擊（常發(fā)生）緩沖區(qū)溢出緩沖區(qū)溢出攻擊防范基于協(xié)議的攻擊試探用戶名、密碼獲得訪問權(quán)限用于規(guī)避應(yīng)用程序采用的驗(yàn)證機(jī)制基于驗(yàn)證的攻擊直接攻擊：攻擊者回應(yīng)對用戶名、密碼的請求簡介攻擊：通過其他類型攻擊規(guī)避驗(yàn)證基于流量的攻擊降低程序的性能或拒絕服務(wù)DoSDNS？DNS協(xié)議FQDN完整域名PQDN非完整域名遞歸模式迭代模式基于DNS頭部的攻擊不正確的頭部值，通常無效經(jīng)過防火墻泄露數(shù)據(jù)，緩慢基于DNS協(xié)議的攻擊惡意軟件使用DNS端口號（53）建立點(diǎn)到點(diǎn)軟件惡意通信基于驗(yàn)證的攻擊驗(yàn)證服務(wù)器IP地址用惡意條目替換DNS服務(wù)器中的條目獲取對服務(wù)器對訪問，修改條目DNS緩沖區(qū)中毒向一個(gè)查詢發(fā)送自身的回應(yīng)，欺騙客戶端基于流量的攻擊嗅探FLood流量減少DNS攻擊的方法是對關(guān)鍵DNS服務(wù)器實(shí)行冗余設(shè)置本章小結(jié)本次課需了解應(yīng)用層協(xié)議的漏洞和攻擊方式。課后作業(yè)

1、教材P168課后作業(yè)：2第9章

電子郵件電子郵件協(xié)議有哪些？SMTP（SimpleMailTransferProtocol）簡單郵件傳輸協(xié)議POP（PostOfficeProtocol）郵局協(xié)議IMAP（InternetMessageAccessProtocol）網(wǎng)際消息訪問協(xié)議MIME（MultipurposeInternetMailExtention）多用途網(wǎng)際郵件擴(kuò)充一個(gè)電子郵件消息由哪幾部分組成？消息頭部消息主題SMTP協(xié)議端口號25頭部非限制性，標(biāo)準(zhǔn)ASCII格式指令－回應(yīng)協(xié)議3位數(shù)代碼SMTP基本參數(shù)設(shè)置基于SMTP頭部的攻擊（不常見）早期易受緩沖區(qū)溢出攻擊現(xiàn)代電子郵件系統(tǒng)可接受任意長度的輸入信息命令行緩沖區(qū)溢出攻擊基于SMTP協(xié)議的攻擊（不常見）消息按時(shí)許和順序發(fā)送，任何沖突會被忽略基于SMTP驗(yàn)證的攻擊（最常見）電子郵件欺騙缺少對電子郵件發(fā)送者的驗(yàn)證用于欺騙接收方如果接受地址無效，電子郵件會按照發(fā)送地址返回用于垃圾郵件、惡意郵件用戶名探測（容易實(shí)施，但費(fèi)時(shí)）RCPTTO：命令返回一個(gè)錯(cuò)誤，用于驗(yàn)證用戶名基于流量的攻擊偽冒式雪崩攻擊：偽冒返回地址事故性雪崩攻擊：用戶用中繼方式給一批用戶發(fā)郵件嗅探STARTTLS：UA到MTA的驗(yàn)證加密AUTH：驗(yàn)證POP（PostOfficeProtocol，郵局協(xié)議）POP：端口110指令－回應(yīng)協(xié)議服務(wù)器到客戶端的電子郵件消息傳輸，不支持向多個(gè)不同的計(jì)算機(jī)的傳輸IMAP（InternetMessageAccessProtocol）IMAP特點(diǎn)頭部式非限制性的自由文本格式指令－回應(yīng)協(xié)議支持多個(gè)遠(yuǎn)程用戶代理端口號143IMAP與POP的區(qū)別支持服務(wù)器管理電子郵件消息在客戶端和服務(wù)器文件夾之間移動，搜索服務(wù)器文件夾和管理服務(wù)器文件夾針對POP和IMAP的漏洞攻擊頭部和協(xié)議漏洞少基于驗(yàn)證的攻擊用戶名和密碼對策：限制用戶驗(yàn)證IP，VPN，不允許遠(yuǎn)程訪問POP和IMAP基于流量的攻擊（有限）嗅探對策：加密MIME：多用途網(wǎng)際電子郵件擴(kuò)展協(xié)議將電子郵件從一個(gè)服務(wù)器傳輸?shù)搅硪粋€(gè)服務(wù)器用于傳輸任何類型的數(shù)據(jù)用于向電子郵件消息中插入圖片和Web鏈接以甄別垃圾郵件和盜竊一個(gè)自由的頭部格式，3個(gè)規(guī)定的頭部和3個(gè)可選頭部基于MIME頭部的攻擊無效頭部攻擊：由UA處理，不顯示電子郵件消息使用頭部隱藏消息的實(shí)際內(nèi)容：附件為可執(zhí)行代碼使用基于HTML的電子郵件隱藏消息的實(shí)際內(nèi)容，誘惑用戶點(diǎn)擊Web頁面鏈接基于MIME協(xié)議的攻擊使用MIME協(xié)議攜帶惡意文件有些UA直接顯示附件，安全隱患，尼姆達(dá)蠕蟲病毒對策：不直接瀏覽附件內(nèi)容，過濾惡意附件基于主機(jī)掃描和限制惡意病毒傳播的防火墻（前提：UA干凈正常）基于驗(yàn)證的攻擊MIME不直接支持用戶驗(yàn)證攻擊一：欺騙驗(yàn)證，攻擊者通過MIME產(chǎn)生來自某機(jī)構(gòu)的電子郵件攻擊二：利用電子郵件補(bǔ)丁追蹤電子郵件在何處何時(shí)打開（插入1*1圖片）對策：UA在顯示圖片前提示用戶基于流量的攻擊沒有關(guān)于流量的漏洞攻擊一：產(chǎn)生大的電子郵件消息對策：設(shè)置MTA可接受電子郵件的大小攻擊二：嗅探對策：加密驗(yàn)證一般電子郵件對策加密和驗(yàn)證：PGP電子郵件過濾：黑名單、白名單、灰名單內(nèi)容過濾處理：內(nèi)容過濾器（理解MIME協(xié)議）電子郵件病毒掃描，過濾攻擊性消息防止私密數(shù)據(jù)離開網(wǎng)絡(luò)不能處理機(jī)密的電子郵件電子郵件取證：追溯電子郵件電子郵件使用貼士將郵件的附件另存為一個(gè)文件到硬盤，用最新版本的殺毒軟件來查殺。不要隱藏系統(tǒng)中已知文件類型的擴(kuò)展名，防止利用文件的擴(kuò)展名做文章的病毒將系統(tǒng)的網(wǎng)絡(luò)連接的安全級別設(shè)置至少為“中等”防病毒軟件及時(shí)更新病毒庫本章小結(jié)本次課需了解電子郵件的漏洞和攻擊方式。課后作業(yè)

1、教材P198課后作業(yè)：6、8、11第10章Web安全WWW？Web客戶端與Web服務(wù)器Web協(xié)議HTTP（HyperTextTransferProtocol）基于ASCII碼指令－回應(yīng)消息頭部（可選）：一行或多行文本HeaderName:<sp>HeaderValue基于HTTP頭部的攻擊（不常見）頭部簡單任何無效的指令或回應(yīng)被忽略緩沖區(qū)溢出攻擊（早期）使用HTTP獲取不屬于任何超鏈接文檔的文件，以獲取有效用戶名或密碼對策：避免配置錯(cuò)誤，尤其Web密碼文件不要放在文檔目錄中基于HTTP協(xié)議的攻擊（幾乎沒有）基于HTTP驗(yàn)證的攻擊（最常見）基于用戶名和密碼的目錄訪問驗(yàn)證用戶名、密碼為明文發(fā)送密碼容易猜測電子欺騙偽裝網(wǎng)站基于流量的攻擊（常見）Web服務(wù)器所允許同時(shí)連接的數(shù)量是有限的無法阻止嗅探HTTPS（443），使用SSL基于HTML頭部的攻擊（不常見）頭部復(fù)雜、自由Image標(biāo)簽Applet標(biāo)簽Hyperlink標(biāo)簽，用于將用戶轉(zhuǎn)向欺騙性的網(wǎng)站對策：用戶教育基于HTML協(xié)議的攻擊將信息嵌入到HTML中以注釋的形式或者以固定值傳遞到服務(wù)器端運(yùn)行修改頁面信息然后上傳到服務(wù)器，例如修改價(jià)格對策：監(jiān)控基于HTML驗(yàn)證的攻擊不直接支持驗(yàn)證，無基于用戶驗(yàn)證的漏洞電子欺騙主機(jī)到用戶基于證書的驗(yàn)證（僅對于加密的網(wǎng)站）基于流量的攻擊（常見）嗅探HTTPS（443），使用SSL什么是CGICGI，CommonGatewayInterface：公共網(wǎng)關(guān)接口定義一個(gè)程序如何與Web服務(wù)器進(jìn)行連接的標(biāo)準(zhǔn)輸出HTML代碼CGI程序使網(wǎng)頁具有交互功能HTTP服務(wù)器與其它客戶端的程序進(jìn)行“交談”的一種工具CGI程序能夠用Python,PERL,Shell,CorC++等語言來實(shí)現(xiàn)CGI腳本簡例#include<iostream>usingnamespacestd;intmain()｛cout<<"Content-type:text/html\r\n\r\n";cout<<"<html>\n";cout<<"<head>\n";cout<<"<title>HelloWorld-FirstCGIProgram</title>\n";cout<<"</head>\n";cout<<"<body>\n";cout<<"<h2>HelloWorld!ThisismyfirstCGIprogram</h2>\n";cout<<"</body>\n";cout<<"</html>\n”;return0;}基于CGI頭部的攻擊緩沖區(qū)溢出CGI腳本中存在錯(cuò)誤且沒有限制參數(shù)：攻擊者使用CGI腳本訪問沒有打算訪問的資源基于CGI驗(yàn)證的攻擊漏洞一：蹩腳的CGI腳本將用戶驗(yàn)證作為參數(shù)中URL中傳遞，易于使攻擊者猜測到密碼對策：設(shè)計(jì)良好的CGI腳本，正確使用應(yīng)用程序驗(yàn)證漏洞二：客戶無法驗(yàn)證Web服務(wù)器或獲知服務(wù)器端可執(zhí)行程序是否正被使用，CGI程序自動收集關(guān)于用戶的數(shù)據(jù)。對策：用戶教育客戶端安全－－插件插件：（Plug-in，又稱addin、add-in、addon或add-on，又譯外掛）遵循一定規(guī)范的應(yīng)用程序接口編寫出來的程序，使瀏覽器處理各種文檔類型的可執(zhí)行程序?？蓤?zhí)行插件：處理可執(zhí)行代碼，如Javaapplet文檔插件：處理PDF等其他文檔類型瀏覽器插件：處理圖像、音頻、視頻等文檔類型瀏覽器——cookieCookie是通過Web服務(wù)器存儲再瀏覽器所在的計(jì)算機(jī)上的小片數(shù)據(jù)信息，可由服務(wù)器讀回去Cookie用于保持用戶的會話狀態(tài)Cookie信息保存在客戶端，存在較大的安全隱患一般瀏覽器對Cookie的數(shù)目及數(shù)據(jù)大小有嚴(yán)格的限制Cooki課記錄用戶所做過的事情，跟蹤用戶基于客戶端驗(yàn)證的攻擊大多數(shù)客戶端可執(zhí)行程序未被驗(yàn)證：惡意代碼插件自動處理，用戶不知道插件已被激活：插件攻擊通過Web下載的可執(zhí)行文件：電子郵件對策：用戶教育、本地病毒掃描程序和個(gè)人防火墻基于流量的攻擊嗅探漏洞客戶端可執(zhí)行程序產(chǎn)生巨大流量時(shí)，如股市、天氣對策：用戶教育和公司政策常用Web對策URL過濾內(nèi)容過濾本章小結(jié)本次課需了解Web漏洞和攻擊方式。課后作業(yè)

1、教材P228課后作業(yè)：6、8、9第11章

遠(yuǎn)程訪問安全基于終端的遠(yuǎn)程訪問TELNETrloginX－WindowsTelnet：連接異種客戶端和服務(wù)器23號端口一個(gè)字符一個(gè)數(shù)據(jù)包服務(wù)器驗(yàn)證用戶命令行rlogin513端口號允許可信UNIX機(jī)器與其他可信UNIX機(jī)器進(jìn)行無需用戶驗(yàn)證或很少用戶驗(yàn)證的連接支持驗(yàn)證：基于客戶端IP地址、客戶端用戶名、服務(wù)器用戶名命令行X－Windows(Linux)支持圖形應(yīng)用協(xié)議允許應(yīng)用軟件程序員產(chǎn)生與終端無關(guān)的圖形用戶界面GUI有限制性的主機(jī)驗(yàn)證的明文協(xié)議基于頭部的攻擊Telnet與rlogin無頭部X－windows：緩沖區(qū)溢出基于驗(yàn)證的攻擊Telnet協(xié)議不直接支持用戶驗(yàn)證，不會遭到驗(yàn)證攻擊，依賴遠(yuǎn)程計(jì)算機(jī)的驗(yàn)證機(jī)制。密碼猜測：用戶驗(yàn)證嘗試失敗幾次后服務(wù)器關(guān)閉TCP連接雙因子驗(yàn)證：用戶名密碼和智能卡rlogin（易受基于驗(yàn)證的攻擊）攻擊者盜用信任主機(jī)訪問其他主機(jī)電子欺騙密碼猜測攻擊基于驗(yàn)證的攻擊（續(xù)）X－Windows使用客戶端IP地址驗(yàn)證入侵可信機(jī)器從而訪問服務(wù)器基于流量的攻擊telnet、rlogin、X－Windows均為明文嗅探攻擊對策：加密，SSH，提供加密連接文件傳輸FTP（FileTransferProtocol）文件傳輸協(xié)議TFTP（TrivialFileTransferProtocol）輕量級文件傳輸協(xié)議RCP（RemoteCopyProtocol）遠(yuǎn)程復(fù)制協(xié)議FTP支持用戶驗(yàn)證提供異種計(jì)算機(jī)之間有限的數(shù)據(jù)轉(zhuǎn)換通用命令結(jié)構(gòu)端口號：TCP20，21匿名FTP（Web瀏覽器）：服務(wù)器所有目錄設(shè)為“只讀”CuteFTP，CrossFTP，大眾FTPTFTP簡單文件傳輸協(xié)議／輕量級文件傳輸協(xié)議基于UDP端口號：69無需驗(yàn)證用于無盤工作站和網(wǎng)絡(luò)設(shè)備服務(wù)器設(shè)置同匿名FTP，目錄設(shè)置為只讀RCP遠(yuǎn)程復(fù)制協(xié)議rlogin協(xié)議集的一部分不支持驗(yàn)證如果用戶不值得信賴，不發(fā)生復(fù)制基于頭部的攻擊無效頭部，協(xié)議產(chǎn)生錯(cuò)誤緩沖區(qū)溢出漏洞已修補(bǔ)基于協(xié)議的攻擊TFTP與RCP簡單，漏洞少FTP漏洞多使用數(shù)據(jù)連接回避防火墻跳轉(zhuǎn)攻擊服務(wù)器最好不要打開數(shù)據(jù)鏈接到小于1024的TCP端口號跳轉(zhuǎn)攻擊一般需要攻擊者首先上載一個(gè)報(bào)文到FTP服務(wù)器然后再下載到準(zhǔn)備攻擊的服務(wù)端口上。使用適當(dāng)?shù)奈募Ｗo(hù)措施就可以阻止這種情況發(fā)生。禁止使用PORT命令，防止當(dāng)攻擊者通過從遠(yuǎn)程FTP服務(wù)器發(fā)送一些能破壞某些服務(wù)的數(shù)據(jù)來攻擊基于驗(yàn)證的攻擊（最常見）FTP猜測密碼（費(fèi)時(shí)低效）掃描發(fā)現(xiàn)匿名FTP服務(wù)器盜用其他用戶的用戶名和密碼TFTP和RCP無需驗(yàn)證基于流量的攻擊FTP、TFTP、RCP均為明文協(xié)議嗅探攻擊：加密