计算机网络安全原理（第2版）全套PPT课件.pptx

第一章绪论

内容提纲计算机网络安全2计算机网络安全威胁3网络安全模型4计算机网络及其脆弱性1网络安全机制、服务及产品5网络安全内容与组织6

计算机网络：由通信信道连接的主机和网络设备的集合，以方便用户共享资源和相互通信主机：计算机和非计算机设备信道：有线与无线网络设备：集线器、交换机、路由器等计算机网络

计算机网络：由通信信道连接的主机和网络设备的集合，以方便用户共享资源和相互通信互联网（internet或internetwork）因特网（Internet）计算机网络

因特网：多层次ISP结构的网络计算机网络结构和组成

第一层ISP大公司本地ISP大公司大公司公司本地ISP本地ISP校园网局域网局域网局域网第二层ISP第二层ISPIXPIXP第一层ISP第二层ISP本地ISP本地ISP本地ISP本地ISP第一层ISP第一层第二层第三层本地ISP第二层ISP本地ISP本地ISP本地ISP本地ISP第二层ISP本地ISP本地ISP第二层ISP企业用户住宅用户单位用户主机B主机A校园用户

因特网：边缘部分+核心部分计算机网络结构和组成核心部分边缘部分主机网络路由器接入网

边缘部分：主机+接入网计算机网络结构和组成

核心部分：大量网络+路由器计算机网络结构和组成H1H5H2H4H3H6发送的分组路由器AEDBC网络核心部分主机

网络的体系结构(architecture)：计算机网络的各层及其协议的集合协议（protocol）：为网络中互相通信的对等实体间进行数据交换而建立的规则、标准或约定，三要素：语法、语义、同步网络体系结构

网络体系结构

从网络体系结构上分析分组交换、认证与可追踪性、尽力而为的服务策略、匿名与隐私、无尺度网络、级联结构、互联网的级联特性、中间盒子计算机网络的脆弱性

计算机网络的脆弱性问题一：分组交换Internet是基于分组交换的，这使得它比电信网（采用电路交换）更容易受攻击：所有用户共享所有资源，给予一个用户的服务会受到其它用户的影响；攻击数据包在被判断为是否恶意之前都会被转发到受害者！(很容易被DoS攻击)；路由分散决策，流量无序。

计算机网络的脆弱性问题二：认证与可追踪性Internet没有认证机制，任何一个终端接入即可访问全网（而电信网则不是，有UNI、NNI接口之分），这导致一个严重的问题就是IP欺骗：攻击者可以伪造数据包中的任何区域的内容然后发送数据包到Internet中。通常情况下，路由器不具备数据追踪功能（Why？），因此没有现实的方法验证一个数据包是否来自于其所声称的地方。攻击者通过IP欺骗隐藏来源。

计算机网络的脆弱性问题三：尽力而为(best-effort)因特网采取的是尽力而为策略：把网络资源的分配和公平性完全寄托在终端的自律上是不现实的（DDoS利用的就是这一点）

计算机网络的脆弱性问题四：匿名与隐私普通用户无法知道对方的真实身份，也无法拒绝来路不明的信息（如邮件）有人提出新的体系：终端名字与地址分离OntheInternet,nobodyknowsyouareadog;OntheInternet,allknowsyouarenotadog!

计算机网络的脆弱性

计算机网络的脆弱性

计算机网络的脆弱性问题五：对全球网络基础实施的依赖全球网络基础设施不提供可靠性、安全性保证，这使得攻击者可以放大其攻击效力：一些不恰当的协议设计导致一些（尤其是畸形的）数据包比其它数据包耗费更多的资源（如TCPSYN包比其它的TCP包占用的目标资源更多）；Internet是一个大“集体”，其中有很多的不安全的系统

计算机网络的脆弱性问题六：无尺度网络无尺度网络的典型特征是网络中的大部分结点只和很少结点连接，而有极少数结点与非常多的结点连接。这种关键结点（称为“枢纽”或“集散结点”）的存在使得无尺度网络对意外故障有强大的承受能力（删除大部分网络结点而不会引发网络分裂），但面对针对枢纽结点的协同性攻击时则显得脆弱（删除少量枢纽结点就能让无尺度网络分裂成微小的孤立碎片）。CDNLoop攻击

计算机网络的脆弱性问题七：互联网的级联特性互联网是一个由路由器将众多小的网络级联而成的大网络。当网络中的一条通讯线路发生变化时，附近的路由器会通过“边界网关协议(BGP)”向其邻近的路由器发出通知。这些路由器接着又向其他邻近路由器发出通知，最后将新路径的情况发布到整个互联网。也就是说，一个路由器消息可以逐级影响到网络中的其它路由器，形成“蝴蝶效应”。“网络数字大炮”

计算机网络的脆弱性问题八：中间盒子（MiddleBox）违背了“端到端原则”，从源端到目的端的数据分组的完整性无法被保证，互联网透明性逐渐丧失

中间