网络安全基础-培训资料课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《网络安全基础-培训资料课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 基础 培训资料 课件
- 资源描述:
-
1、网络基础概念网络基础概念-网络基础-TCP/IP协议族脆弱性分析常见网络设备及安全技术常见网络设备及安全技术-路由器路由器-交换机交换机-防火墙防火墙-入侵检测入侵检测-日志审计日志审计-AAAAAAAA认证认证-VLANVLAN技术技术网络就是一群通过一定形式连接起来的计算机。互联网就是由多个局域网和广域网组成的网络。计算机网络也是由硬件和软件构成的。计算机网络也是由硬件和软件构成的。硬件系统包括硬件系统包括网络服务器网络工作站网络适配器传输介质其他网络硬件设备(交换机、路由器、防火墙、入侵检测系统等。)软件系统包括软件系统包括网络操作系统软件(windows、unix等系统)网络通信协议(
2、TCP/IP、IPX等)网络工具软件(网络浏览器、网络下载工具等)网络应用软件(酒店管理系统、订单管理系统等)物理层(物理层(Physical LayerPhysical Layer)为上层协议提供了一个传输数据的物理媒体数据的单位称为比特(bit)典型代表:EIA/TIA RS-232、V.35、RJ-45等数据链路层(数据链路层(Data Link LayerData Link Layer)在不可靠的物理介质上提供可靠的传输。该层的作用包括:物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。数据的单位称为帧(frame)典型代表:SDLC、HDLC、PPP、STP、帧中继等 网络层(
3、网络层(Network LayerNetwork Layer)负责对子网间的数据包进行路由选择。此外,网络层还可以实现拥塞控制、网际互连等数据的单位称为数据包(packet)典型代表:IP、IPX、RIP、OSPF等传输层(传输层(Transport LayerTransport Layer)负责将上层数据分段并提供端到端的、可靠的或不可靠的传输,此外,传输层还要处理端到端的差错控制和流量控制问题数据的单位称为数据段(segment)典型代表:TCP、UDP等会话层(会话层(Session LayerSession Layer)管理主机之间的会话进程,即负责建立、管理、终止进程之间的会话 典型
4、代表:NETBIOS、ZIP(appletalk区域信息协议)等 表示层对上层数据或信息进行变换以保证一个主机应用层信息可以被另一个主机的应用程序理解 典型代表:ASCII、JPEG、MPEG等应用层(应用层(Application LayerApplication Layer)为操作系统或网络应用程序提供访问网络服务的接口代表包括:telnet、ftp、http、snmp等TCPTCP协议和协议和IPIP协议指两个用在协议指两个用在InternetInternet上的网络协上的网络协议(或数据传输的方法)。它们分别是传输控制议(或数据传输的方法)。它们分别是传输控制协议和互连网协议。这两个协
5、议属于众多的协议和互连网协议。这两个协议属于众多的TCP/IP TCP/IP 协议组中的一部分。协议组中的一部分。TCP/IPTCP/IP协议组中的协议保证协议组中的协议保证InternetInternet上数据的传上数据的传输,提供了几乎现在上网所用到的所有服务。这输,提供了几乎现在上网所用到的所有服务。这些服务包括:电子邮件的传输些服务包括:电子邮件的传输 文件传输文件传输 新闻新闻组的发布组的发布 访问万维网。访问万维网。TCP/IPTCP/IP协议准确的说是一个协议组(协议集合),协议准确的说是一个协议组(协议集合),其中包含了其中包含了TCPTCP协议和协议和IPIP协议及其他的一些
6、协议。协议及其他的一些协议。网络基础概念网络基础概念-TCP/IPTCP/IP协议介绍协议介绍-TCP/IP协议族脆弱性分析常见网络设备及安全技术常见网络设备及安全技术-路由器路由器-交换机交换机-防火墙防火墙-入侵检测入侵检测-日志审计日志审计-AAAAAAAA认证认证-VLANVLAN技术技术1 1、协议族模型与格式、协议族模型与格式2 2、IPIP地址滥用与攻击地址滥用与攻击3 3、数据报分片与组装、数据报分片与组装4 4、基于基于ICMPICMP的的 欺骗欺骗5 5、UDPUDP协议脆弱分析协议脆弱分析6 6、TCPTCP协议脆弱分析协议脆弱分析TCP/IPTCP/IP模型与模型与OS
7、IOSI模型模型七层七层 VS VS 四层四层TCP/IPTCP/IP四层模型四层模型网络接口层;网络接口层;(PPP(PPP、ARP)ARP)互联层;互联层;(IP(IP、ICMP)ICMP)传输层;传输层;(TCP(TCP、UDP)UDP)应用层;应用层;(HTTP(HTTP,SNMPSNMP,FTPFTP,SMTPSMTP,DNSDNS,Telnet)Telnet)01631version hdr lnthtype of servicetotal length of datagramidentification numberfragment offsettime-to-live(ttl)
8、protocolheader checksumsource IP address(4 bytes)destination IP address(4 bytes)options field(variable length,max length 40 bytes)data20bytesR DF MF所有 TCP,UDP,ICMP 数据通过IP数据包封装进行传输。IP数据报的传输是不可靠的。IP 网络是面向无连接的。1 1、协议族模型与格式、协议族模型与格式2 2、IPIP地址滥用与攻击地址滥用与攻击3 3、数据报分片与组装、数据报分片与组装4 4、基于基于ICMPICMP的的 欺骗欺骗5 5、UD
9、PUDP协议脆弱分析协议脆弱分析6 6、TCPTCP协议脆弱分析协议脆弱分析在同一个网段里,用户可以随意改变自己的在同一个网段里,用户可以随意改变自己的IPIP地地址;黑客可以利用工具构建特殊的址;黑客可以利用工具构建特殊的IPIP报,并指定报,并指定IPIP地址。地址。IPIP伪装能做什么?伪装能做什么?DoS(DoS(主机、路由器)主机、路由器)伪装成信任主机伪装成信任主机切断并接管连接切断并接管连接绕过防火墙绕过防火墙IPIP伪装给黑客带来的好处伪装给黑客带来的好处获得访问权。获得访问权。不留下踪迹。(不留下踪迹。(synfloodingsynflooding工具)工具)1 1、协议族模
10、型与格式、协议族模型与格式2 2、IPIP地址滥用与攻击地址滥用与攻击3 3、数据报分片与组装、数据报分片与组装4 4、基于基于ICMPICMP的的 欺骗欺骗5 5、UDPUDP协议脆弱分析协议脆弱分析6 6、TCPTCP协议脆弱分析协议脆弱分析MTU limiteddatagramsfragments数据报到达目的地时才会进行组装数据报到达目的地时才会进行组装 需要组装在一起的数据分片具有同样需要组装在一起的数据分片具有同样的标志号的标志号通过分片位移位标志数据分片在的数通过分片位移位标志数据分片在的数据报组装过程中的序列位置据报组装过程中的序列位置除了最后的数据片,其他的数据片均除了最后的
11、数据片,其他的数据片均会置会置“MF”MF”位位receiving computersfragment reassembly buffer攻击者构建分片目标接收分片重组分片Internetbuffer 65535 byteslast frag is too large causing 16-bit variablesto overflow first frag:36 bytes03524second frag:4 bytes当前包的段偏移在前一包数据内当前包的段偏移在前一包数据内计算出来的计算出来的lenlen竟变成了一个竟变成了一个负数,于是负数,于是memcpy()memcpy()最终将会
12、把最终将会把大量的数据拷贝到内核中大量的数据拷贝到内核中 offsetendnewoffsetlen=end-newoffset 0memcpy(*dest,*src,len)unsigned int or unsigned long1 1、协议族模型与格式、协议族模型与格式2 2、IPIP地址滥用与攻击地址滥用与攻击3 3、数据报分片与组装、数据报分片与组装4 4、基于基于ICMPICMP的的 欺骗欺骗5 5、UDPUDP协议脆弱分析协议脆弱分析6 6、TCPTCP协议脆弱分析协议脆弱分析081631typecodechecksumcontents depend on type and co
13、deexample specific format:echo request/reply 081631typecodechecksumidentifiersequence numberoptional data ICMP(Internet Control Message Protocol)ICMP sweepsICMP sweeps原理:原理:PingPing命令在测试下一台主机时,先等待命令在测试下一台主机时,先等待当前系统给出响应或超时;当前系统给出响应或超时;ICMP SweepICMP Sweep技术在技术在发送发送ICMP echo requestICMP echo request时
14、不等待。时不等待。工具:工具:-fping,gping,nmap,fping,gping,nmap,-Pinger(Rhino 9);Ping Pinger(Rhino 9);Ping Sweep(SolarWinds);WS_Ping Sweep(SolarWinds);WS_Ping ProPack(IPSwitch)ProPack(IPSwitch)实例:(实例:(FakePingFakePing工具)工具)Broadcast ICMPSmurf攻击,向网络的广播地址发送echo requset请求,将得到网络中所有主机的echo reply响应。对策:根据具体需要,可将边界路由器配置d
15、eny进入内网的ICMP echo request;配置关键的UNIX系统不响应ICMP echo request;配置路由器不响应directed-broadcast;攻击者目标发送一个发送一个echo request echo request 的广播包的广播包源地址伪造成目标主机的地址源地址伪造成目标主机的地址因为中间网络的众多机器都响应广播包,因为中间网络的众多机器都响应广播包,目标主机会接收到大量的目标主机会接收到大量的 echo repliesecho replies中间网络1 1、协议族模型与格式、协议族模型与格式2 2、IPIP地址滥用与攻击地址滥用与攻击3 3、数据报分片与组装
16、、数据报分片与组装4 4、基于基于ICMPICMP的的 欺骗欺骗5 5、UDPUDP协议脆弱分析协议脆弱分析6 6、TCPTCP协议脆弱分析协议脆弱分析UDP UDP 是不可靠的是不可靠的:是指是指UDPUDP协议不保证每个数据报协议不保证每个数据报都能到达希望的目的都能到达希望的目的端口号区分发送进程与接收进程端口号区分发送进程与接收进程DNSDNS、QQQQ、TFTPTFTP、SNMPSNMPclientserverport=33987/udpport=53/udpDNSport=7070/udpport=7070/udpRealAudiosource port number01631de
17、stination port numberUDP datagram lengthUDP checksumoptional dataechoport 7攻击者攻击者chargenport 19intermediary目标目标 Network Congestion(udpflooding工具)工具)1 1、协议族模型与格式、协议族模型与格式2 2、IPIP地址滥用与攻击地址滥用与攻击3 3、数据报分片与组装、数据报分片与组装4 4、基于基于ICMPICMP的的 欺骗欺骗5 5、UDPUDP协议脆弱分析协议脆弱分析6 6、TCPTCP协议脆弱分析协议脆弱分析TCP TCP 提供一种可靠的、面向连接的
18、服务提供一种可靠的、面向连接的服务:在规定的时间内没有收到在规定的时间内没有收到“收到确认收到确认”信息,信息,TCP TCP 将重发数据报。将重发数据报。每个每个TCPTCP数据报都有唯一的数据报都有唯一的 sequence number sequence number,用于排序与重传。用于排序与重传。与与UDPUDP一样一样,使用使用 port numbers port numbers 来区分收发进程来区分收发进程由标志位的组合指明由标志位的组合指明TCPTCP分组的功能分组的功能client(port=33623/tcp)server(port=23/tcp)SYNSYN-ACK ACK
19、session proceedsACK set for remainder of sessionACKFIN ACKFIN ACKACK客户端与服务器端都可以发起关闭序列通过普通的网络连线,用户传送信息要求服务器通过普通的网络连线,用户传送信息要求服务器予以确定予以确定,服务器接收到客户请求后回复用户。服务器接收到客户请求后回复用户。用户被确定后,就可登入服务器。用户被确定后,就可登入服务器。用户传送众多要求确认的信息到服务器,使服务用户传送众多要求确认的信息到服务器,使服务器里充斥着这种无用的信息。所有的信息都有需器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址回复的虚假地址(syn
20、flooding工具)工具)达到达到“拒绝服务拒绝服务”攻击的效果:攻击的效果:当服务器试图回传时,却无法找到用户。服务当服务器试图回传时,却无法找到用户。服务器于是暂时等候,有时超过一分钟,然后再切器于是暂时等候,有时超过一分钟,然后再切断连接。断连接。服务器切断连接时,黑客再度传送新一批需要服务器切断连接时,黑客再度传送新一批需要确认的信息,这个过程周而复始,最终导致服确认的信息,这个过程周而复始,最终导致服务器处于瘫痪状态。务器处于瘫痪状态。防御办法:防御办法:增加连接队列大小增加连接队列大小缩短建立连接超时期限缩短建立连接超时期限应用厂家的相关软件补丁应用厂家的相关软件补丁应用网络应用
21、网络IDSIDS网络基础概念网络基础概念-TCP/IP协议介绍-TCP/IP协议族脆弱性分析常见网络设备及安全技术常见网络设备及安全技术-路由器路由器-交换机交换机-防火墙防火墙-入侵检测入侵检测-日志审计日志审计-AAAAAAAA认证认证-VLANVLAN技术技术路由器简介路由器简介路由器的优缺点路由器的优缺点路由器分类路由器分类路由器的功能路由器的功能路由器工作在路由器工作在OSIOSI模型的第三层,即网络层模型的第三层,即网络层路由器利用网络层定义的路由器利用网络层定义的“逻辑逻辑”上的网络地址上的网络地址(即(即IPIP地址)来区别不同的网络,实现网络的互地址)来区别不同的网络,实现网
22、络的互连和隔离,保持各个网络的独立性连和隔离,保持各个网络的独立性路由器的主要工作就是为经过路由器的每个数据帧路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送寻找一条最佳传输路径,并将该数据有效地传送到目的站点到目的站点优点:优点:适用于大规模的网络环境适用于大规模的网络环境适应复杂的网络拓扑结构适应复杂的网络拓扑结构安全性高安全性高子网隔离,抑制网络广播风暴子网隔离,抑制网络广播风暴缺点:缺点:不支持非路由协议不支持非路由协议配置复杂配置复杂价格高价格高按结构分类:模块化路由器和非模块化路由器按结构分类:模块化路由器和非模块化路由器按功能分类:骨干级路由
23、器、企业级路由器按功能分类:骨干级路由器、企业级路由器 接入级路由器接入级路由器按网络位置分类:边界路由器和中间节点路由器按网络位置分类:边界路由器和中间节点路由器网络互联网络互联路由器支持各种局域网和广域网的接口,实现不同网路由器支持各种局域网和广域网的接口,实现不同网络互相通信。络互相通信。数据处理数据处理提供包括分组过滤、分组转发、优先级、复用、加密、提供包括分组过滤、分组转发、优先级、复用、加密、压缩和简单防火墙功能。压缩和简单防火墙功能。网络管理网络管理路由器提供包括配置管理、性能管理、容错管理和流路由器提供包括配置管理、性能管理、容错管理和流量控制等功能。量控制等功能。网络基础概念
24、网络基础概念-TCP/IP协议介绍-TCP/IP协议族脆弱性分析常见网络设备及安全技术常见网络设备及安全技术-路由器路由器-交换机交换机-防火墙防火墙-入侵检测入侵检测-日志审计日志审计-AAAAAAAA认证认证-VLANVLAN技术技术交换机原理交换机原理交换机的优缺点交换机的优缺点交换机分类交换机分类交换技术和交换机最早起源于电话通讯系统交换技术和交换机最早起源于电话通讯系统(PSTNPSTN)。)。交换机工作在交换机工作在OSIOSI模型中的第二层,即数据链路层。模型中的第二层,即数据链路层。交换机是一种基于交换机是一种基于MACMAC地址识别,能完成封装转发地址识别,能完成封装转发数据
25、包功能的网络设备。交换机通过学习数据包功能的网络设备。交换机通过学习MACMAC地址,地址,将其存放在内部将其存放在内部MACMAC地址表中,通过在数据帧的始地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路由,使发者和目标接收者之间建立临时的交换路由,使数据帧直接由源地址达到目的地址。数据帧直接由源地址达到目的地址。MAC地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCD最初加电时最初加电时MAC地址表是空的地址表是空的主机主机A A发送数据帧给主机发送数据帧给主机C C交换机通过学
展开阅读全文