第四章节网络安全技术.pptVIP

* Traverse a Firewall 建立高层隧道 Firewall Enhancement Protocol (FEP) allows ANY application to traverse a Firewall 可以使用固定的端口号 TCP/IP packet encoded into HTTP command RFC3093 App TCP IP FEP TCP IP IP TCP FEP IP TCP App firewall 局限性？ * Traverse a Firewall IPsec Firewall traversal 为IPsec穿越NAT而建立的UDP隧道 the initiator is behind NA(P)T and the responder has a fixed static IP address Port no = 4500 The remote host detect the presence of NAT and determine the NAT traversal capability detect whether the IP address or the port changes along the path by sending the hashes of the IP addresses and ports UDP Encapsulation of IPsec ESP Packets RFC3948 Negotiation of NAT-Traversal in the IKE RFC3947 * 状态检测技术 会话层代理 基于入侵检测 能够根据上层协议的状态进行过滤 对网络通信的各个协议层次实施监测 不仅检查数据分组的TCP/IP头 利用状态表跟踪每一个会话的状态 记录会话的序列 透明性较好 不修改应用程序的执行过程和处理步骤 * 基于网络防火墙的不足之处 基于分组网络头信息 容易被篡改 无双向的身份验证 粗颗粒的访问控制 防外不防内 不能防止旁路 不能预防新的攻击手段 不能防范病毒和后门 * 新型防火墙技术 可信信息系统技术 加强认证 计算机病毒检测防护技术和密码技术 加强应用层数据检查 自适应代理 适应新的应用 新功能 spam过滤 Web站点过滤 * 4.3入侵检测 识别越权使用计算机系统的人员及其活动 网络活动监视器 基本假设 入侵者的行为方式与合法用户是不同的 目标 发现新的入侵行为 对入侵事件的可说明性 能够对入侵事件做出反应 * 入侵检测 方法 记录有关证据 实时地检测网络中的所有分组 或检测主机的状态及日志或审计信息 识别攻击的类型 评估攻击的威胁程度 发出告警信息或主动采取措施阻止攻击 入侵防御 * 4.3.1入侵分类 攻击的方式 本地攻击 远程攻击 伪远程攻击 网络上的安全弱点 管理漏洞 软件漏洞 结构漏洞 信任漏洞 跳板（Zombie） * 常见网络入侵类型 拒绝服务攻击 网络流量攻击 阻断 协议攻击 基于网络 窃取、伪造、篡改、阻断 用户账号攻击 基于主机 窃取、伪造、篡改 * 网络入侵的方式 端口扫描（port scanning） IP哄骗（IP smurfing） 洪泛攻击（flooding） 缓存溢出（buffer overrun） 脚本攻击（script attack） 口令探测（password sniffing） 会话劫持（session hijacking） * 网络入侵的例子 Land攻击（land attack） SYN分组中IP源地址和目标地址相同 造成死机 泪滴攻击（tear dropping） 一些操作系统在收到含有重叠偏移的伪造分段时将崩溃 ICMP 洪泛攻击（ICMP flooding） 广播ICMP应答请求（ping） 加上假冒的返回地址 使得应答包返回到某一台被攻击的主机 错误长度攻击（length error） 未知协议类型攻击（unknown protocol） * 网络入侵的例子 UDP 炸弹攻击（UDP bomb） 伪造UDP长度字段 使它的值大于实际的UDP报文长度 UDP端口扫描（UDP scanning） TCP 端口扫描（TCP scanning） SYN 洪泛攻击（SYN flooding） UDP洪泛（UDP flooding） 发送大量带有假返回地址的UDP包 PHF攻击（PHF attack） apache web服务器早期版本中的PHF脚本 网虫（Worm) 消耗网络带宽和缓存资源 CodeRed, SQL Slammer * SYN 洪泛攻击 主机A 主机B Syn, Seq=x Syn, Seq=y, ACK=x+1 ACK=y+1 * 从网络对主机