当前位置:文档之家 › 通信网络安全 第6章..

通信网络安全 第6章..

  • 格式:ppt
  • 大小:404.50 KB
  • 文档页数:62

下载文档原格式

  / 62

合集下载

网络安全基础 第六章——网络入侵与攻击技术

网络安全基础 第六章——网络入侵与攻击技术

实例
主要内容:
1. 网络入侵与攻击概述
2.网络攻击的基本步骤
3.典型的网络攻击技术
4. 操作系统中常用的网络工具
6.3.1 服务拒绝技术
一种通过耗尽CPU、内存、带宽以及磁盘空间等 系统资源,来阻止或削弱对网络、系统或应用程序的授 权使用的行为。 攻击原理是:利用各种手段不断向目标主机发送虚 假请求或垃圾信息等,使目标主机一直处于忙于应付或 一直处于等待回应的状态而无法为其他主机提供服务。
正常的三段握手图例
SYN FLOOD 攻击的三段握手攻击图例
链接
3.入侵者的攻击手段
陷阱门(Trapdoor)陷阱门 (6)外部攻击; 通常是指编程员在设计系统 时有意建立的进入手段。当 (7)内部攻击; 程序运行时,在正确的时间 (8)特洛伊木马。 按下正确的键,或提供正确 的参数,你就能绕过程序提 特洛伊木马程序是指任何提供了隐藏的与用户不希望 供的正常安全检查和错误跟 踪检查 的功能的程序。
是手段,在整个入侵过程中都存在攻击。入侵的目 的就是抢占资源,但它不一定有攻击能力,可能雇 佣攻击者来达到入侵目的。因此,攻击是由入侵者 发起并由攻击者实现的一种‚非法‛行为。
入侵:成功的攻击。 提示:在某种程度上,攻击和入侵很难区别。
3.入侵者的攻击手段
在网上用户能利用IE等浏览器进 (1)冒充 行各种各样的WEB站点的访问,如 阅读新闻组、咨询产品价格、订阅 (2)篡改 报纸、电子商务等。然而一般的用 (3)重放 户恐怕不会想到有这些问题存在: 正在访问的网页已被黑客篡改过, (4)服务拒绝 网页上的信息是虚假的!例如黑客 重放攻击与cookie 将用户要浏览的网页的URL改写为 指向黑客自己的服务器,当用户浏 我们监听http数据传输的截获的敏感数据 览目标网页的时候,实际上是向黑 大多数就是存放在cookie中的数据。其实在 客服务器发出请求,那么黑客就能 web安全中的通过其他方式(非网络监听)盗 达到欺骗的目的了。 取cookie与提交cookie也是一种重放攻击。我 们有时候可以轻松的复制别人的cookie直接获 得相应的权限。

第6章 网络与信息安全习题

第6章 网络与信息安全习题

第6章网络与信息安全习题一、单选题1.在计算机网络中,用于提供网络服务的计算机一般被称为_____。

A.服务器B.移动PCC.工作站D.工业PC2.计算机网络中的服务器是指_____。

A.32位总线的高档微机B.具有通信功能的PII微机或奔腾微机C.为网络提供资源,并对这些资源进行管理的计算机D.具有大容量硬盘的计算机3._____是通信双方为实现通信所作的约定或对话规则。

A.通信机制B.通信协议C.通信法规D.通信章程4.开放系统互联参考模型OSI/RM分为_____层。

A. 4B. 6C.7D.85.计算机通信中数据传输速率单位bps代表_____。

A.baud per secondB.byte per secondC.bit per secondD.billion per second6.计算机通信就是将一台计算机产生的数字信号通过_____传送给另一台计算机。

A.数字信道B.通信信道C.模拟信道D.传送信道7.通常用一个交换机作为中央节点的网络拓扑结构是_____。

A.总线型B.环状C.星型D.层次型8.某网络中的各计算机的地位平等,没有主从之分,我们把这种网络称为_____。

A.互联网B.客户/服务器网络操作系统C.广域网D.对等网9.当网络中任何一个工作站发生故障时,都有可能导致整个网络停止工作,这种网络的拓扑结构为_____结构。

A.星型B.环型C.总线型D.树型10.星型拓扑结构的优点是_____。

A.结构简单B.隔离容易C.线路利用率高D.主节点负担轻11.和广域网相比,局域网_____。

A.有效性好但可靠性差B.有效性差但可靠性好C.有效性好可靠性也好D.只能采用基带传输12.关于局域网的叙述,错误的是_____。

A.可安装多个服务器B.可共享打印机C.可共享服务器硬盘D.所有的共享数据都存放在服务器中13.为了利用邮电系统公用电话网的线路来传输计算机数字信号,必须配置_____。

网络安全课后答案

网络安全课后答案

Chapter 6 Internet安全体系结构之一1.列出物理网风险的4种类型。

答:窃听;回答(重放);插入;拒绝服务(DoS)。

2.什么是身份鉴别栈?答:身份鉴别栈是一个OSI栈,它位于网络用户的OSI栈前面,管理网络的身份鉴别。

3.列出对有线物理网攻击的5种类型。

答:连接破坏;干扰;侦察;插入攻击;回答。

4.有哪几种动态LAN链接的身份鉴别方法?答:Modem身份鉴别凭证;呼叫者ID;自动回叫;生成安全动态链接。

5.列出无线网的各种风险。

答:分组嗅测;服务集标识(SSID)信息;假冒;寄生者;直接安全漏洞。

6.WEP是一种高强度安全方法吗?为什么?答:是。

WEP能主动阻止连接,可以确定意图,如果攻击者解密和访问一个有WEP的网络,就很清楚地暴躁其攻击的意图。

WEP是通用的,几乎所有无线网络路由器都支持WEP,并且相互兼容。

7.什么是数据链路的随意模式?答:正常模式下,网络寻址机制(也就是MAC)能阻止上面的堆栈层接收非指向该结点的数据。

然后很多网络接口支持无地址过滤,运行在随意模式的结点能接收所有报文帧,而不只是指向该结点的帧。

随意模式允许攻击者接收所有来自网络的数据。

8.列出各种缓解数据层风险的方法。

答:硬编码硬件地址;数据身份鉴别;高层身份鉴别;分析器和工具。

9.试述CHAP的功能、特点和局限性。

答:CHAP使用共享密钥对初始网络连接进行身份鉴别,提供了一种方法对两个结点进行身份鉴别,但是在连接建立后不执行任何验证或加密。

CHAP使用一个更复杂的系统,它是基于密钥交换和共享密钥,身份鉴别相当安全,可用于易受窃听攻击的网络。

CHAP具有局限性。

首先,只是在启动连接时进行身份鉴别,之后PPP不提供安全,某些攻击者具有在身份鉴别后拦截连接进行窃听的能力;再次,假如窃听者捕获到两个不长的随机数的协商,那么,对蛮力攻击,哈希函数可能易受攻击。

10.ARP为什么会受损?ARP受损后有何影响?如何能缓解ARP受损?答:ARP表包含一个临时的缓存,以存储最近看到的MAC地址,只有一个新的IP地址(或MAC)要查找时,才需要ARP分组,当一个无效的或不经意的差错进入ARP表,这个缓冲就会使系统的ARP受损。

第6章--IPv6安全机制

第6章--IPv6安全机制

3. SA用到的主要参数
SA用到的主要参数: ⑥隧道目的地; ⑦路径MTU; ⑧AH信息(包括认证算法、密钥、密钥生存期,以及与 AH一起使用的其他参数); ⑨ESP信息(包括加密和认证算法、密钥、密钥生存期 、初始值,以及与ESP一起使用的其他参数)
6.2.4 IPSec操作模式
传输模式保护IP协议包(分组)的有效荷载(数据 部分)
6.2.1 IPSec协议概述
IPSec提供的安全服务是基于IP层的 IPSec是一种基于一组独立的共享密钥机制, 来 实现认证、完整性验证和加密服务的网络安全 协议
6.2.1 IPSec协议概述
IPSec通过设计安全传输协议身份认证首部( AH)、封装安全荷载(ESP), 以及密钥交换 协议(Internet Key Exchange, IKE)来实现网 络安全功能和目标 IPSec提供的网络安全功能
6.6.1 邻居缓存欺骗攻击
6.6.2 邻居不可达检测攻击
但检测主机开始进行邻居不可达检测的时候, 攻击主机可以发送虚假的邻居通告报文, 详细 的邻居通告报文信息
6.6.2 邻居不可达检测攻击
重复地址检测的过程
攻击主机可以通过伪造一个NA告诉受攻击主机申请的IPv6地 址已被占用, 使得受攻击主机不得使用该IPv6地址进行网络通 信, 从而达到欺骗请求主机
6. 过渡机制带来的安全问题 隧道帮助了入侵者避开进入过滤检测 特别是自动隧道机制,容易引入DoS、地址盗用 和服务欺骗
6.2 IPSec协议
6.2.1 IPSec协议概述 6.2.2 IPSec体系结构 6.2.3 IPsec安全关联 6.2.4 IPSec操作模式 6.2.5 IPSec模块对IP分组的处理 6.2.6 IPSec部署 6.2.7 IPSec存在问题分析

大学计算机(第5版蒋加伏)第6章课件

大学计算机(第5版蒋加伏)第6章课件

首次阿帕网连接实验的工作日志
阿帕网早期工作人员
6.1.1 网络基本类型
联合国宽带数字发展委员会报告: 2013年全球互联网用户为28亿左右; 每增加10%的宽带接入,可带来1.38%的GDP增长。 2013年全球互联网数据流量为:56EB(1EB=10亿GB);全球有1万亿台设备接入互联网。 互联网受欢迎的原因:使用成本低,信息价值高。
6.1.2 网络体系结构
TCP协议“三次握手”过程:
请求
应答
确认
TCP协议建立连接时的“三次握手”过程
6.1.2 网络体系结构
安全隐患 第1次握手:客户端发SYN包到服务器,并等待服务器确认。 • 第2次握手:服务器收到SYN包,发送SYN+ACK应答包,然后计时等待。 • 第3次握手:客户端收到SYN+ACK包,向服务器发送ACK确认包。 • 客户端和服务器进入连接状态,完成三次握手过程。 • 客户端与服务器可以传送数据了。
TCP是议互联网中使用最广泛的网络协议。可见,网络协议在设计中存在安全“漏洞”。
6.1.2 网络体系结构
【扩展】
TCP协议“建立连接→数据传送→关闭连接“的 通信全过程。
6.1.2 网络体系结构 4. 网络协议的计算思维特征
网络层次结构有助于清晰地描述和理解复杂的网络系统。
(1)
分层不能模糊,每一层必须明确定义,不引起误解。
【案 例】 水库大坝控制系统局域网。
6.1.1 网络基本类型
(2)城域网(MAN) 城域网特征: • 覆盖区域为数百平方千米的城市内。 • 城域网由许多大型局域网组成。 • 城域网为个人、企业提供网络接入。
城域网结构: • 网络结构较为复杂; • 采用点对点、环形、树形等混合结构。

网络安全(6)加密技术PPT课件

网络安全(6)加密技术PPT课件
e f g h …………. a b c d 2、倒映射法。
a b c d ………….w x y z
z y x w …………. d c b a 3、步长映射法。
a b c d ………….w x y z
单表替代密码
单表替代密码的一种典型方法是凯撒 (Caesar)密码,又叫循环移位密码。它的 加密方法就是把明文中所有字母都用它右边 的第k个字母替代,并认为Z后边又是A。这 种映射关系表示为如下函数:
①传统方法的计算机密码学阶段。解密是加密的简单 逆过程,两者所用的密钥是可以简单地互相推导的, 因此无论加密密钥还是解密密钥都必须严格保密。 这种方案用于集中式系统是行之有效的。
②包括两个方向:一个方向是公用密钥密码(RSA), 另一个方向是传统方法的计算机密码体制——数据 加密标准(DES)。
3.什么是密码学?
密码学包括密码编码学和密码分析学。密码体 制的设计是密码编码学的主要内容,密码体制的破 译是密码分析学的主要内容。密码编码技术和密码 分析技术是相互依存、相互支持、密不可分的两个 方面。
加密包含两个元素:加密算法和密钥。
加密算法就是用基于数学计算方法与一串 数字(密钥)对普通的文本(信息)进行 编码,产生不可理解的密文的一系列步骤。 密钥是用来对文本进行编码和解码的数字。 将这些文字(称为明文)转成密文的程序 称作加密程序。发送方将消息在发送到公 共网络或互联网之前进行加密,接收方收 到消息后对其解码或称为解密,所用的程 序称为解密程序。
教学内容: 6.1、加密技术概述 6.2、传统加密技术 6.3、单钥密码体制 6.4、双钥密码学体制 6.5、密钥的管理 6.6、加密软件PGP 6.7、本章小结 6.8、习题
❖ 学习目标: ❖ 1、理解加密技术的基本概念 ❖ 2、掌握单钥密码体制和双钥密码学体制 ❖ 3、了解秘要的管理和加密软件的应用

通信网络安全防护定级备案实施细则_-0411[1]

通信网络安全防护定级备案实施细则第一章总则第一条为指导通信网络安全防护定级备案工作更加规范、有序地开展,根据《通信网络安全防护管理办法》(工业和信息化部令第11号),制定本实施细则。

第二条通信网络安全防护定级备案工作包含网络单元划分、定级、备案、调整、审核共五个环节,并依托“通信网络安全防护管理系统”(https://)开展日常管理工作。

第二章网络单元划分第三条通信网络运行单位应对本单位所有已投入运行(包括试运行)的通信网络或系统进行网络单元划分。

第四条网络单元按照专业类型和服务范围划分(具体划分类型参见附件1),划分后的网络单元应边界清晰、管理责任主体分明。

网络单元划分时至少划分到A类网络单元,如有必要可进一步细化到B 类网络单元。

第五条网络单元划分后应按照统一的命名规则命名,具体命名规则参见附件2。

第三章网络单元定级第六条通信网络运行单位应按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,将本单位的网络单元由低到高分别划分为第1级、第2级、第3级、第4级和第5级。

第七条网络单元安全等级划分总体原则如下:(一)网络单元受到破坏后,会对网络和业务运营商的合法权益造成较大损害,但不损害国家安全、社会秩序、经济运行和公共利益的,定为第1级。

(二)网络单元受到破坏后,会对网络和业务运营商的合法权益产生严重损害,或者对社会秩序、经济运行和公共利益造成较大损害,但不损害国家安全的,定为第2级。

(三)网络单元受到破坏后,会对网络和业务运营商的合法权益产生特别严重损害,或者对社会秩序、经济运行和公共利益造成严重损害,或者对国家安全造成较大损害的,定为第3级。

(四)网络单元受到破坏后,会对社会秩序、经济运行和公共利益造成特别严重损害,或者对国家安全造成严重损害的,定为第4级。

(五)网络单元受到破坏后,会对国家安全造成特别严重损害的,定为第5级。

第八条通信网络运行单位应根据如下三个相互独立的定级要素确定网络单元的安全等级:(一)社会影响力,即网络单元受到破坏后对国家安全、社会秩序、经济运行和公共利益的损害程度。

网络安全第六章


器将所有的数据传送到目标计算机。因为在VPN隧道中通
信,能确保通信通道的专用性,并且传输的数据是经过压 缩、加密的,所以VPN通信同样具有专用网络的通信安全 性。
6.1.2 VPN的工作原理及实现
整个VPN通信过程可以简化为以下4个通用步骤: (1)客户机向VPN服务器发出请求。 (2)VPN服务器响应请求并向客户机发出身份质询,客户机将 加密的用户身份验证响应信息发送到VPN服务器。 (3)VPN服务器根据用户数据库检查该响应,如果账户有效, VPN服务器将检查该用户是否具有远程访问权限;如果该用户 拥有远程访问的权限,VPN服务器接受此连接。
6.1.2 VPN的工作原理及实现
要实现VPN连接,企业内部网络中必须配置一台VPN服务 器,VPN服务器一方面要连接企业Intranet,另一方面 要连接到Internet或其他专用网络。当客户机通过VPN 连接与专用网络中的计算机进行通信时,先由网络服务提 供商将所有的数据传送到VPN服务器,然后再由VPN服务
这样可以使数据穿越公共网络(通常是指Internet)。
隧道使得远程用户成为企业网络的一个虚拟结点,数据包 通过这条隧道传输。从用户的角度来看,信息是在一条专 用网络连接上传输,而不管实际的隧道所在物理网络的结 构。
6.2.1 隧道技术
根据隧道的端点是客户端计算机还是拨号接入服务器,隧道可以分为 两种:自愿隧道和强制隧道。
这种模式非常适合小型企业用户,因为这类企业一般没有这方面的专
业人员,自身维护起来比较困难,可以全权交给NSP来维护。在该模 式中,VPN服务提供商保持了对整个VPN设施的控制,所以这种模式
很受电信公司的欢迎。
6.1.2 VPN的工作原理及实现
通过上述介绍可知,主要有4类用户适合采用VPN进行网络连接: 网络接入位置众多,特别是单个用户和远程办公室站点多, 如多分支机构企业用户、远程教育用户。 用户/站点分布范围广,彼此之间的距离远,遍布全球各地, 需通过长途电信,甚至国际长途进行联系,如一些跨国公司。 带宽和时延要求相对适中,如一些提供IDG服务的ISP。 对线路保密性和可用性有一定要求的用户,如大企业和政府

第六章第七章网络知识与网络安全(修订后)

一、单选题**1. 计算机网络是按照()相互通信的。

A.网络协议B. 信息交换方式C. 传输装置D. 分类标准答案A*2.建立计算机网络的最主要的目的是()。

A. 提高内存容量B. 提高计算精度C. 提高运算速度D. 共享资源答案D*3.要浏览Internet网页,需要知道()。

A. 网页制作的过程B. 网页设计的风格C. 网页的作者D. 网页的URL地址答案D**4.OSI参考模型是国际标准化组织制定的模型,把计算机之间的通信分成()个互相连接的协议层A. 6B. 7C. 5D. 8答案B**5. 电子邮件地址有两部分组成。

即:用户名@()。

A. 邮件服务器名B. 设备名C. 匿名D. 文件名答案A***6.以下为互联网中正确IP地址的是()。

A. 128.128.1B. 0.0.1.259C. 255.255.258.359D. 128.127.0.1答案D**7.所谓加密是指将一个信息经过()及加密函数转换,变成无意义的密文,而接受方则将此密文经过解密函数,()还原成明文。

A. 解密钥匙、解密钥匙B. 解密钥匙、加密钥匙C. 加密钥匙、解密钥匙D. 加密钥匙、加密钥匙答案C**8.下列对Internet说法错误的是()。

A. 客户机上运行的是WWW浏览器B. 服务器上运行的是Web文件C. 客户机上运行的是Web服务程序D. 服务器上运行的是Web服务程序答案C*9.Internet采用的通信协议是()。

A. TCP/IPB. FTPC. WWWD. SPX/IP答案A**10.下面关于Internet网上的计算机地址的叙述,错误的是()。

A. Internet网上的域名是唯一的,不能同时分配给两台计算机B. Internet网上的IP地址是唯一的,不能同时分配给两台计算机C. Internet网上的计算机地址用域名或IP地址表示D. Internet网上的所有计算机的域名的长度是固定相同的答案D*11.接入Internet的主要方式有()。

第6章 网络安全基础


6.2.4建立网络安全策略
1.网络安全策略的定义
所谓安全策略,是针对那些被允许进入访问网络资源的人所规定的、 必须遵守的规则,是保护网络系统中软、硬件资源的安全、防止非法的或 非授权的访问和破坏所提供的全局的指导,或者说,是指网络管理部门根 据整个计算机网络所提供的服务内容、网络运行状况、网络安全状况、安 全性需求、易用性、技术实现所需付出的代价和风险、社会因素等许多方 面因素,所制定的关于网络安全总体目标、网络安全操作、网络安全工具、安全策略改变的能力以及对安全系统实施审计、管理和漏洞检
查等措施。当系统一旦出现了问题,审计与监控可以提供问题的再现、责任 追查和重要数据恢复等保障。
6.2.2 ISO的网络安全体系结构标准 安全体系结构的目的是从技术上保证安全目标全部准确地实现,包括 确定必要的安全服务、安全机制和技术管理以及它们在系统上的配置。 国际标准化组织在ISO7498-2中描述的开放系统互连OSI安全体系结 构确立了5种基本安全服务和8种安全机制。
受控的访问控制 存取控制以用户为单位,广泛的审计 选择的安全保护 有选择的存取控制,用户与数据分离,数据的 保护以用户组为单位 保护措施很少,没有安全功能
D
D1
最小保护
美国国防部的标准自问世以来,一直是评估多用户主机和小型操作 系统的标准。其他方面,如数据库安全、网络安全也一直是通过这本美 国国防部标准的桔皮书进行解释和评估的,如可信任网络解释(Trusted Network Interpretation)和可信任数据库解释(Trusted Database Interpretation)等。
6.1.3网络安全要素
1.保密性 2.完整性 3.可用性 4.可控性 5.不可否认性
6.1.4网络安全面临的主要威胁
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

6
1.传输层核心功能

1.端口和套接字(Socket)
Socket可以看成在两个程序进行通讯连接中的一个端点,一个程序 将一段信息写入Socket中,该Socket将这段信息发送给另外一个 Socket中,使这段信息能传送到其他程序中。如图:

7
1.传输层核心功能

1.端口和套接字(Socket)

8
1.传输层核心功能

1.端口和套接字(Socket)

端口和套接字关系

传输层生成端口,每个端口包含一个唯一的、针对特定高层服务的标 识。一个套接字可管理很多端口,但每个端口都需要一个套接字,端 口和特定高层协议相关联,或动态分配
大部分远程网络攻击针对特定端口的特定服务。但很多DoS攻击针 对很多端口或套接字,因此传输层攻击目标包括端口、套接字和专 门的协议
端口:如果把一个IP地址比作一间房子,端口就是出入这间房子的 门。一个IP地址的端口可以有65536个之多,范围是从0 到65535。 端口有什么用呢?一台拥有IP地址的主机可以提供许多服务,比如 Web服务、FTP服务、SMTP服务等,这些服务完全可以通过1个IP地 址来实现。那么,主机是怎样区分不同的网络服务呢?显然不能只 靠IP地址,因为IP 地址与网络服务的关系是一对多的关系。实际上 是通过“IP地址+端口号”来区分不同的服务的。
要通过互联网进行通信,至少需要一对套接字,一个运行于客户机 端,另一个运行于服务器端。 套接字之间的连接过程可以分为三个步骤:服务器监听,客户端请 求,连接确认。 服务器监听:服务器端套接字并不定位具体的客户端套接字,而是 处于等待连接的状态,实时监控网络状态。 客户端请求:客户端的套接字必须首先描述它要连接的服务器的套 接字,指出服务器端套接字的地址和端口号,然后就向服务器端套 接字提出连接请求。 连接确认:是指当服务器端套接字响应客户端套接字的请求,建立 一个新的线程,把服务器端套接字的描述发给客户端,一旦客户端 确认了此描述,连接就建立好了。而服务器端套接字继续处于监听 状态,继续接收其他客户端套接字的连接请求。

5
1.传输层核心功能

1.端口和套接字(Socket)
应用层通过传输层进行数据通信时,TCP和UDP会遇到同时为多个 应用程序进程提供并发服务的问题。多个TCP连接或多个应用程序进 程可能需要通过同一个TCP协议端口传输数据。为了区别不同的应用 程序进程和连接,计算机操作系统为应用程序与TCP/IP协议交互提 供了称为套接字 (Socket)的接口,区分不同应用程序进程间的网络 通信和连接。 套接字主要有3个参数:通信的目的IP地址、使用的传输层协议 (TCP或UDP)和使用的端口号。Socket原意是“插座”。通过将这3 个参数结合起来,与一个“插座”Socket绑定,应用层就可以和传 输层通过套接字接口,区分来自不同应用程序进程或网络连接的通 信,实现数据传输的并发服务。

3
1.传输层核心功能

1.端口和套接字(Socket)
需要注意的是,端口并不是一一对应的。比如你的电脑作为客户机 访问一台WWW服务器时,WWW服务器使用“80”端口与你的电脑 通信,但你的电脑则可能使用“3457”这样的端口,如图1所示。

4
1.传输层核心功能

1.端口和套接字(Socket)
3.序列拦截
攻击者要观察传输层分组必须识别序列,以插入或拦截连接。假如 伪造者具有有效的序列号,就好似经身份鉴别并被目标系统接收, 因此序列号的产生最好不要依次渐增,否则攻击者易于预测下个分 组编号 序列号通常起始于随机值,以防止攻击者猜得到第一个分组,但整 个会话过程中逐一增加。观察者很容易识别序列号并拦截会话,但 盲目攻击者不能识别初始序列号,这样盲目攻击者无法决定序列号 以及危害传输层连接 很多传输层协议使用伪随机数发生器,就成为可预测的。随机数发 生器的复杂性决定分组序列的预测性,攻击者能建立很多传输连接, 并决定初始序列号的型式,这个弱点导致盲目攻击者能危害传输层 连接
按对应的协议类型,端口有两种:TCP端口和UDP端口。由于TCP和 UDP 两个协议是独立的,因此各自的端口号也相互独立,比如TCP 有235端口,UDP也可以有235端口,两者并不冲突。 按端口号可分为3大类: (1)公认端口(Well Known ports):从0到1023,它们紧密绑定 (binding)于一些服务。通常这些端口的通讯明确表明了某种服务 的协议。例如:80端口实际上总是HTTP通讯。 (2)注册端口(Registered ports):从1024到49151。它们松散地 绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口 同样用于许多其它目的。例如:许多系统处理动态端口从1024左右 开始。 (3)动态和/或私有端口(Dynamic and/or private ports):从 49152到65535。理论上,不应为服务分配这些端口。实际上,机器 通常从1024起分配动态端口。
第六章 通信网络安全体系结构(二)
内容概要

传输层风险及缓解方法 攻击TCP和UDP的方法及缓解方法 DNS风险及缓解方法 SMTP邮件风险及缓解方法 HTTP风险及缓解方法
2
1.传输层核心功能


传输层定义网络层和面向应用层之间的接口,从应用层抽象连 网功能,包括连接管理、分组组装和服务识别。为实现这些功 能,传输层有两个核心成分,传输层端口和序列号 1.端口和套接字(Socket)112.Fra bibliotek输层风险
传输层风险围绕序列号和端口
要拦截传输层连接,攻击者必须破坏分组排序 目标瞄准端口,远程攻击者可针对一个专门的高层服务 侦察攻击,包括端口扫描和信息泄露

9
1.传输层核心功能

2.排序
传输层从高层接收数据块,并将其分成分组,每个分组赋予一个唯 一的序列标识,用来跟踪分组。传输层保持一些已经用于端口的序 列号表,以防止序列号重复。 因为序列号用于保持传输层的分组传输有序,这构成普遍的攻击因 素,排序能用于传输层拦截攻击

10
1.传输层核心功能