第3章 网络脆弱性分析.pptxVIP

本PPT是机械工业出版社出版的教材《网络攻防原理与技术（第3版）》配套教学PPT（部分内容的深度和广度比教材有所扩展），作者：吴礼发，洪征，李华波 本PPT可能会直接或间接采用了网上资源或公开学术报告中的部分PPT页面、图片、文字，引用时我们力求在该PPT的备注栏或标题栏中注明出处，如果有疏漏之处，敬请谅解。同时对被引用资源或报告的作者表示诚挚的谢意！ 本PPT可免费使用、修改，使用时请保留此页。;第 三 章 网络脆弱性分析;威胁网络安全的主要因素;威胁网络安全的主要因素;内容提纲;计算机网络：由通信信道连接的主机和网络设备的集合，以方便用户共享资源和相互通信 主机：计算机和非计算机设备 信道：有线与无线 网络设备：集线器、交换机、路由器等;计算机网络：由通信信道连接的主机和网络设备的集合，以方便用户共享资源和相互通信 互联网（internet或internetwork） 因特网（Internet）;因特网：多层次ISP结构的网络;;因特网：边缘部分 + 核心部分;边缘部分：主机 + 接入网;核心部分：大量网络 + 路由器;网络的体系结构(architecture)：计算机网络的各层及其协议的集合 协议（protocol）：为网络中互相通信的对等实体间进行数据交换而建立的规则、标准或约定，三要素：语法、语义、同步;;内容提纲;从网络体系结构上分析 分组交换、认证与可追踪性、尽力而为的服务策略、匿名与隐私、无尺度网络、级联结构、互联网的级联特性、中间盒子 ;计算机网络的脆弱性; 计算机网络的脆弱性; 计算机网络的脆弱性;计算机网络的脆弱性;计算机网络的脆弱性;计算机网络的脆弱性;计算机网络的脆弱性;计算机网络的脆弱性;计算机网络的脆弱性;计算机网络的脆弱性;;;;;;;;;清华大学段海新教授团队关于中间盒子主要研究成果;清华大学段海新教授：;内容提纲;一、IP协议安全性分析;IPv4;安全性分析 IPv4协议没有认证机制： 没有消息源认证：源地址假冒 没有完整性认证：篡改;安全性分析 IPv4协议没有认证机制： 没有消息源认证：源地址假冒 没有完整性认证：篡改;安全性分析 IPv4协议没有认证机制： 没有消息源认证：源地址假冒 没有完整性认证：篡改;安全性分析 IPv4协议没有认证机制： 没有消息源认证：源地址假冒 没有完整性认证：篡改 IPv4没有加密机制 无机密性：监听应用数据 泄露拓扑等信息：网络侦察 无带宽控制： DDoS攻击;IPsec (IP Security) 端到端的确保 IP 通信安全：认证、加密及密钥管理 为IPv6制定（必选），支持IPv4（可选）;;;从IPv4向IPv6过渡采用逐步演进的方法，IETF推荐的过渡方案主要有： 双协议栈(dual stack) 隧道(tunneling) 网络地址转换;IPv6部署情况（APNIC，2019.6）：;IPv6通过IPsec来保证IP层的传输安全，提高了网络传输的保密性、完整性、可控性和抗否认性 ;安全问题 IPv4向IPv6过渡技术的安全风险 无状态地址自动配置的安全风险 IPv6中PKI管理系统的安全风险 IPv6编址机制的隐患;安全问题 IPv6的安全机制对网络安全体系的挑战所带来的安全风险：正在服役的IDS/IPS/WAF不一定支持，于是可以畅行无阻;二、ICMP协议安全性分析;;ICMPv6实现IPv4中ICMP、ARP和IGMP的功能，同时进行了功能扩展 ICMPv6不仅可以用于错误报告，还可以用于邻居发现（Neighbor Discovery, ND），对应IPv4中的ARP协议功能；配置和管理组播地址，由组播收听发现协议（Multicast Listener Discovery, MLD）实现，对应IPv4中的IGMP协议功能；路由器发现（Router Discovering, RD）以及消息重定向等功能;安全问题 利用“目的不可达”报文对攻击目标发起拒绝服务攻击。 利用“改变路由”报文破坏路由表，导致网络瘫痪。 木马利用ICMP协议报文进行隐蔽通信。 利用“回送(Echo)请求或回答”报文进行网络扫描或拒绝服务攻击;三、ARP协议安全性分析;ARP用于将计算机的网络地址（32位IP地址）转化为物理地址（48位MAC地址） ARP高速缓存（ARP Cache）;ARP安全问题 网络嗅探：流量劫持 阻止目标的数据包通过网关;四、RIP协议及其安全性分析 ;RIP一种内部网关协议 分布式的基于距离向量的路由选择 三个版本：RIPv1（RFC 1058）、RIPv2（RFC1723）和RIPng。 RIPv2新增了变长子网掩码的功能，支持无类域间路由、支持组播、支持认证功能，同时对RIP 路由器具有后向兼容性。 RIPng主要用于IPv6网