数据通信与计算机网络（第二版）课件及习题答案季福坤 第11章 网络安全.PPTVIP

第11章 网络安全 11.1 概述 11.2 常见的攻击技术 11.3 数据加密 11.4 防火墙技术 11.5 入侵检测系统 11.1.1 Internet安全隐患的主要体现 黑客攻击 TCP/IP协议 操作系统 计算机病毒 11.1.2 网络攻击的一般步骤 准备工作 实施攻击 开辟后门 清除痕迹 11.2.1 扫描技术 网络扫描技术是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术。 扫描技术是一把双刃剑 。 典型的扫描技术包括：PING扫描、操作系统探测、穿透防火墙探测、端口扫描、漏洞扫描等。 11.2.1 扫描技术 1.端口扫描 端口扫描，顾名思义，就是逐个对一段端口或指定的端口进行扫描。 端口扫描的原理：手动或用程序自动的向目标主机的各个端口发送不同的探测数据包，目标主机的端口状态不同，对这些探测包的回应包就有所不同，分析这些回应包，就可得出远程主机的端口开放情况。 11.2.1 扫描技术 1.端口扫描 （1）全连接扫描 全连接扫描指在扫描主机同目标主机的目标端口之间，经过三次握手，建立起一个完整的TCP连接来判断目标端口是否开放的方法。常见的全连接扫描方法有TCP Connect()扫描、TCP反向ident扫描等。 11.2.1 扫描技术 1.端口扫描 （2）半连接扫描 半连接扫描指端口扫描并没有完成一个完整的TCP连接，而是在扫描主机和目标主机建立此连接时，只完成三次握手的前两次握手便中断连接。例：TCP SYN扫描。 11.2.1 扫描技术 1.端口扫描 （3）秘密扫描 秘密扫描是一种审计工具所检测不到的扫描技术。常见的秘密扫描有：TCP FIN扫描、TCP ACK扫描、NULL扫描、XMAS扫描、TCP分段扫描等。 11.2.1 扫描技术 2.漏洞扫描 系统安全漏洞也叫系统脆弱性，简称漏洞，是计算机系统在硬件、软件、协议的设计和实现过程中或系统安全策略上存在的缺陷和不足。 11.2.1 扫描技术 2.漏洞扫描 （1）基于漏洞库的扫描：在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在。 11.2.1 扫描技术 2.漏洞扫描 （2）基于模拟攻击的扫描：通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。 11.2.2 网络监听 网络监听也叫网络嗅探，其英文名是Sniffing，即是一种捕获网络上传输的数据包并进行分析的行为。 11.2.2 网络监听 一般而言，网络监听都是在局域网进行的。按照信息交换方式的不同，局域网可分为共享式局域网和交换式局域网。 11.2.2 网络监听 共享式局域网是指网络中的所有节点共享网络带宽，最典型的是用集线器（HUB）连接的局域网。 11.2.2 网络监听 交换式局域网，指采用了交换技术的网络，最典型的是用交换机连接的局域网。 11.2.2 网络监听 （1）MAC Flooding 由于交换机工作时依据内存中的端口映射表转发数据包，而交换机本身的内存容量是有限的，当内存耗尽时，一些交换机便会将数据包以广播形式发送出去。所以，通过在局域网上发送大量虚假的MAC地址，以造成交换机的内存耗尽，此时可以和监听共享式网络一样进行网络监听。 11.2.2 网络监听 （2）ARP欺骗 ARP协议的作用是将IP地址映射到MAC地址，攻击者通过向目标主机发送伪造的ARP应答包，骗取目标系统更新ARP表，将目标系统的网关的MAC地址修改为发起攻击的主机MAC地址，使发给目标主机的数据包都经由攻击者的主机。这样，就可以在交换式网络下监听特定的目标主机。 11.2.3 拒绝服务攻击 1.拒绝服务攻击的原理 网络安全中，拒绝服务（Denial of Service，简称DoS）攻击以其危害巨大，难以防御等特点成为黑客经常采用的攻击手段。DoS指系统崩溃或其带宽耗尽或其存储空间已满，导致其不能提供正常服务的状态。 11.2.3 拒绝服务攻击 1.拒绝服务攻击的原理 DoS攻击的基本过程为：首先攻击者向目标服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器