- 1、本文档共183页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
第 三 章 网络脆弱性分析威胁网络安全的主要因素广义上的网络安全概念威胁因素环境和灾害因素温度、湿度、供电、火灾、水灾、地震、静电、灰尘、雷电、强电磁场、电磁脉冲等,均会破坏数据和影响信息系统的正常工作人为因素:多数安全事件是由于人员的疏忽、恶意程序、黑客的主动攻击造成的有意:人为的恶意攻击、违纪、违法和犯罪无意:工作疏忽造成失误(配置不当等),会对系统造成严重的不良后果威胁网络安全的主要因素威胁因素(Cont.)系统自身因素计算机系统硬件系统的故障软件:操作系统、支撑软件和应用软件网络和通信协议系统自身的脆弱和不足是造成信息系统安全问题的内部根源,攻击者正是利用系统的脆弱性使各种威胁变成现实内容提纲计算机网络概述1网络体系结构的脆弱性2典型网络协议的脆弱性3计算机系统安全分析4计算机网络计算机网络:由通信信道连接的主机和网络设备的集合,以方便用户共享资源和相互通信主机:计算机和非计算机设备信道:有线与无线网络设备:集线器、交换机、路由器等计算机网络计算机网络:由通信信道连接的主机和网络设备的集合,以方便用户共享资源和相互通信互联网(internet或internetwork)因特网(Internet)计算机网络结构和组成因特网:多层次ISP结构的网络局域网局域网校园网局域网第三层本地 ISP本地 ISP本地 ISP第二层本地 ISP第二层 ISP大公司第一层本地 ISP本地 ISP大公司第一层 ISP第一层 ISP第二层 ISP本地 ISP本地 ISP第二层 ISP第一层 ISPIXPIXP第二层 ISP本地 ISP本地 ISP第二层 ISP第二层 ISP大公司本地 ISP本地 ISP本地 ISP本地 ISP公司主机A主机B住宅用户单位用户校园用户企业用户计算机网络结构和组成因特网:边缘部分 + 核心部分边缘部分主机接入网路由器网络核心部分计算机网络结构和组成边缘部分:主机 + 接入网计算机网络结构和组成核心部分:大量网络 + 路由器网络核心部分H4H2路由器BDH6E主机AH1H5C发送的分组H3网络体系结构网络的体系结构(architecture):计算机网络的各层及其协议的集合协议(protocol):为网络中互相通信的对等实体间进行数据交换而建立的规则、标准或约定,三要素:语法、语义、同步网络体系结构内容提纲计算机网络概述1网络体系结构的脆弱性2典型网络协议的脆弱性3计算机系统安全分析4计算机网络的脆弱性从网络体系结构上分析分组交换、认证与可追踪性、尽力而为的服务策略、匿名与隐私、无尺度网络、级联结构、互联网的级联特性、中间盒子计算机网络的脆弱性问题一:分组交换Internet是基于分组交换的,这使得它比电信网(采用电路交换)更容易受攻击:所有用户共享所有资源,给予一个用户的服务会受到其它用户的影响;攻击数据包在被判断为是否恶意之前都会被转发到受害者!(很容易被DoS攻击);路由分散决策,流量无序。 计算机网络的脆弱性问题二:认证与可追踪性Internet 没有认证机制,任何一个终端接入即可访问全网(而电信网则不是,有UNI、NNI接口之分),这导致一个严重的问题就是IP欺骗:攻击者可以伪造数据包中的任何区域的内容然后发送数据包到Internet中。通常情况下,路由器不具备数据追踪功能(Why?),因此没有现实的方法验证一个数据包是否来自于其所声称的地方。攻击者通过IP欺骗隐藏来源。 计算机网络的脆弱性问题三:尽力而为(best-effort)因特网采取的是尽力而为策略:把网络资源的分配和公平性完全寄托在终端的自律上是不现实的(DDoS利用的就是这一点)计算机网络的脆弱性问题四:匿名与隐私普通用户无法知道对方的真实身份,也无法拒绝来路不明的信息(如邮件)有人提出新的体系:终端名字与地址分离On the Internet, nobody knows you are a dog;On the Internet, all knows you are not a dog!计算机网络的脆弱性计算机网络的脆弱性计算机网络的脆弱性问题五:对全球网络基础实施的依赖全球网络基础设施不提供可靠性、安全性保证,这使得攻击者可以放大其攻击效力:一些不恰当的协议设计导致一些(尤其是畸形的)数据包比其它数据包耗费更多的资源(如TCP SYN包比其它的TCP包占用的目标资源更多);Internet是一个大“集体”,其中有很多的不安全的系统计算机网络的脆弱性问题六:无尺度网络无尺度网络的典型特征是网络中的大部分结点只和很少结点连接,而有极少数结点与非常多的结点连接。这种关键结点(称为“枢纽”或“集散结点”)的存在使得无尺度网络对意外故障有强大的承受能力(删除大部分网络结点而不会引发网络分裂),但面对针对枢纽结点的协同性攻击时则显得脆弱(删除少
您可能关注的文档
- 网络攻防原理与技术教学课件(共14章)第1章 绪论.pptx
- 网络攻防原理与技术教学课件(共14章)第2章 密码学基础知识.pptx
- 网络攻防原理与技术教学课件(共14章)第4章 网络侦察技术.pptx
- 网络攻防原理与技术教学课件(共14章)第5章 网络扫描技术.pptx
- 网络攻防原理与技术教学课件(共14章)第6章 拒绝服务攻击.pptx
- 网络攻防原理与技术教学课件(共14章)第7章 计算机木马.pptx
- 网络攻防原理与技术教学课件(共14章)第8章 身份认证与口令攻击.pptx
- 网络攻防原理与技术教学课件(共14章)第9章 网络监听技术.pptx
- 网络攻防原理与技术教学课件(共14章)第10章 缓冲区溢出攻击.pptx
- 网络攻防原理与技术教学课件(共14章)第11章 Web网站攻击技术.pptx
文档评论(0)