1济南大学信息科学与工程学院网络安全概论2济南大学信息科学与工程学院网络安全概论课程内容本课程将介绍网络安全的基本概念、算法、协议和技术。内容包括:第一讲网络安全导论第二讲对称密钥加密体制第三讲非对称密钥加密体制第四讲公钥基础设施—PKI第五讲TCP/IP网络安全一第六讲TCP/IP网络安全二第七讲局域网安全第八讲网络与信息安全研究现状综述3济南大学信息科学与工程学院网络安全概论第七讲局域网安全7.1局域网环境简介7.2局域网的安全威胁7.3局域网监听与防范7.4局域网ARP攻击与防范7.5局域网病毒入侵与防范4济南大学信息科学与工程学院网络安全概论7.1局域网环境简介计算机网络的分类—按作用范围的大小分广域网(WAN)也叫远程网。作用范围通常为几十到几千公里,是一种可跨越国家及地区的遍布全球的计算机网络城域网(MAN)也叫市域网。它的范围约为几千米到几十千米局域网(LAN)也叫局部网。一般将微机通过高速通信线路相连,范围一般在几百米到几千米局域网的基本概念LocalAreaNetwork(LAN)是计算机网络的一种——一个通信系统范围在一定的地理区域(一个办公室、一幢楼、一家工厂或方圆几公里远的地域等)内功效利用通信线路将众多计算机(一般为微机)及外围设备连接起来,达到数据通信和资源共享的目的5济南大学信息科学与工程学院网络安全概论7.1局域网环境简介局域网最主要的特点覆盖的地理范围较小,几米到几公里;以微机为主要联网对象;通常为某单位或部门所有具有较高的数据传输速率、较低的时延和较小的误码率易于安装、配置和维护简单,造价低,实用性强局域网一般分为令牌网和以太网两种令牌网主要用于广域网及大型局域网的主干部分,其操作系统大多是UNIX。组建和管理非常繁琐,需专业人员胜任以太网是当今世界应用范围最广的一种网络技术,组建较为容易,各设备间的兼容性较好,Windows和Netware都支持它6济南大学信息科学与工程学院网络安全概论局域网的组成局域网由网络硬件和网络软件两部分组成网络硬件用于实现局域网的物理连接为连接在局域网上的计算机之间的通信提供一条物理信道和实现局域网间的资源共享网络软件则主要用于控制并具体实现信息的传送和网络资源的分配与共享这两部分互相依赖,共同完成局域网的通信功能7济南大学信息科学与工程学院网络安全概论局域网的拓朴结构最常见的局域网拓朴结构有星型、环型、总线型和树型集线器(a)星型网*(b)环型网(c)总线网(d)树型网注:图(a)在物理上是一个星型网,但在逻辑上仍是一个总线网干线耦合器匹配电阻星型拓朴:•建网容易,配置方便•每个连接的故障容易排除,不影响全网•控制协议相对简单环型拓朴•电线长度较短,与总线拓扑类似•适于采用光缆连接,从而提高数据速率总线拓朴•与星型拓扑相比,所需电缆长度较短•结构简单,可靠性高•扩充(如增加站点、延长电缆等)较容易8济南大学信息科学与工程学院网络安全概论按网络使用的传输介质分类按使用的传输介质划分,局域网有双绞线网,光纤网,同轴电缆网,无线局域网,微波网目前小型局域网大都是双绞线网,而较大型局域网则采用光纤和双绞线传输介质的混合型网络近年来,无线网络技术发展迅速,将成为未来局域网的一个重要发展方向WirelessLAN的优缺点优点:移动性安装安装的灵活性减少用户投入易于扩展缺点:WirelessLAN和有线局域网相比速率较低无线网络的硬件投入会高于有线网络9济南大学信息科学与工程学院网络安全概论协议欺骗攻击常见种类主要欺骗攻击种类:IP欺骗攻击路由欺骗攻击DNS欺骗攻击ARP欺骗攻击10济南大学信息科学与工程学院网络安全概论(1)IP欺骗攻击攻击者C选定目标主机A作为攻击对象,并且找到了一个被A信任的主机B。A授予B某些特权,C希望获得与B相同的特权,攻击:首先,使B失去工作能力。C利用TCP协议三次握手中的漏洞,向B发送大量的假源IP地址的请求,使B通讯队列充满,无法再接受新的通讯,而忙于与这个虚假的IP进行连接。这样短时间内B无法再与别的主机通讯,为C留出了攻击时间。接着,C发送自己制作的IP数据包,检测/估算出被攻击者的数据序列号。该过程可在短时内完成。最后,C伪装成B的IP地址,这时B仍处于停顿状态,制作相应的TCP/IP包,来获得A的信任(如数据序列号猜测正确,A则认为收到的ACK是来自信任主机B),建立起连接。此时,X即获得主机B在主机A上所享有的特权,开始对A实施攻击11济南大学信息科学与工程学院网络安全概论防止IP地址欺骗放弃以地址为基础的验证使用加密方法对进行数据进行加密。它将保证数据的完整性、真实性和保密性。进行包过滤可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且,当包的IP地址不在本网内时,路由器不应该把本网主机的包发送出去。包过滤技术只能拒绝外部主机伪装成内部主机IP,而无法拒绝伪装成其它可信任外部主机IP的外部主机。12济南大学信息科学与工程学院网络安全概论(2)路由欺骗攻击网络上的两台主机通讯时,发送的数据包要经过防火墙和层层路由器转发的,这种工作原理节省资源,有利于传输,但带来了安全性的问题。路由欺骗攻击该原理,通过改变某主机或路由器上的路由表,破坏正常的路由寻址,以达到攻击目的。主要方法包括:源路由攻击:通过指定路由,以假冒身份与其他主机进行合法通信或发送假报文。攻击者事先确定一条攻击路由,通过设置IP源路由选项,使目标主机的ICMP或TCP数据包按照源路由(指定路由)返回。路由信息协议攻击:路由信息协议(RIP)在局域网中用来广播路由信息。接收到该协议数据包的主机不做任何检测。攻击者可以向到达目标主机的所有网关发送伪路由信息,以便进行源地址假冒时,能收到目标机的回应信息;攻击者也可以将其主机声明为到某主机或网络的路由器,以截获所有目的地址的数据包,并继续发动更进一步的攻击在通常情况下,信息包从起点到终点走过的路径是由位于此两点间的路由器决定的,数据包本身只知道去往何处,但不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里13济南大学信息科学与工程学院网络安全概论(3)DNS欺骗攻击DNS欺骗即域名信息欺骗是最常见的DNS安全问题。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题,例如:将用户引导到错误的互联网站点,或者发送一个电子邮件到一个未经授权的邮件服务器。缓存感染DNS信息劫持DNS重定向防范DNS欺骗攻击可采取如下措施直接用IP访问重要的服务,这样至少可以避开DNS欺骗攻击。但这要记住要访问的IP地址。加密所有对外的数据流。这也不容易做到。14济南大学信息科学与工程学院网络安全概论7.2局域网安全威胁局域网技术将网络资源共享的特性体现得淋漓尽致不仅能提供软件资源、硬件资源共享还提供Internet连接共享等各种网络共享服务越来越多的局域网被应用在学校、写字楼,办公区目前绝大多数的局域网使用的协议都是和Internet一样的TCP/IP协议各种黑客工具一样适用于局域网局域网中的计算机更多体现的是共享和服务因此局域网的安全隐患较之于Internet有过之而无不及15济南大学信息科学与工程学院网络安全概论7.2局域网的安全威胁目前的局域网基本上都采用以广播为技术基础的以太网任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取黑客只要接入以太网上的任一节点进行侦听就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患安全无内、外之分通常认为信息安全问题主要源于外面因素,都希望在互联网接入处,把病毒和攻击挡在门外就可安全无忧有许多重大的网络安全问题正是由于内部员工引起一些间谍软件、木马程序等恶意软件会不知不觉地被下载到电脑中恶意软件会在内部网络中传播,产生安全隐患,甚至影响到网络的使用机密资料/数据等信息可能会由于恶意软件的存在,不知不觉被盗取16济南大学信息科学与工程学院网络安全概论局域网内的安全误区局域网中无需单机防火墙攻击无处不在没有人会针对我攻击跳板安装杀毒软件和病毒防火墙就不怕病毒安装了SP2的WindowsXP就安全了17济南大学信息科学与工程学院网络安全概论7.3局域网监听与防范以太网协议工作方式将要发送的数据包发往连接在一起的所有主机包中包含着应该接收数据包主机的正确地址只有与数据包中目标地址一致的那台主机才能接收当主机网卡设置为混杂模式时(监听模式)经过自己网络接口的那些数据包无论数据包中的目标地址是什么,主机都将接收(监听)现在网络中使用的大部分协议都是很早设计的许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上许多信息以明文发送18济南大学信息科学与工程学院网络安全概论7.3局域网监听与防范以太网协议工作方式网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等局域网中采用广播方式将网卡接口设置成监听模式,便可以源源不断地将信息截获,从而监听到某广播域中所有的包当信息以明文的形式网内传输时,通过对信息包进行分析,就能获取重要信息网络监听可以在网上的任一位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤和手段,原因是想用这种方法获取其想要的密码等信息19济南大学信息科学与工程学院网络安全概论7.3局域网监听与防范网络监听的应用场景如果用户的账户名和口令等信息也以明文的方式在网上传输只要具有初步的网络和TCP/IP协议知识,便能轻易地从监听到的信息中提取出感兴趣的部分黑客或网络攻击者会利用此方法进行网络监听正确使用网络监听技术也可以发现入侵并对入侵者进行追踪定位在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成为打击网络犯罪的有力手段20济南大学信息科学与工程学院网络安全概论7.3局域网监听与防范使用snifferpro进行监听获取邮箱密码通过对用监听工具捕获的数据帧进行分析,可以很容易的发现敏感信息和重要信息对一些明码传输的邮箱用户名和口令可以直接显示出来21济南大学信息科学与工程学院网络安全概论7.3局域网监听与防范网络监听的相关软件密码监听器(硅谷动力网站)密码监听器说明信息用于监听网页的密码,包括网页上的邮箱、论坛、聊天室等只需在一台电脑上运行,就可以监听整个局域网内任意一台电脑登录的账号和密码,并将密码显示、保存,或发送到用户指定的邮箱22济南大学信息科学与工程学院网络安全概论7.3局域网监听与防范如何检测并防范网络监听网络监听是很难被发现的,特点隐蔽性强运行网络监听的主机只是被动地接收在局域局上传输的信息不主动的与其他主机交换信息,也没有修改在网上传输的数据包手段灵活网络监听可以在网上的任何位置实施可以是网上的一台主机、路由器,也可以是调制解调器网络监听效果最好的地方是在网络中某些具有战略意义的位置如网关、路由器、防火墙之类的设备或重要网段;而使用最方便的地方是在网中的一台主机上23济南大学信息科学与工程学院网络安全概论7.3局域网监听与防范对可能存在的网络监听的检测1)对于怀疑运行监听程序的主机,可用正确的IP地址和错误的物理地址去探测(如Ping),运行监听程序的主机会有响应这是因为正常的机器不接收错误的物理地址处于监听状态的机器能接收2)可向网上发送大量目的地址根本不存在的数据包由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,这将导致性能下降通过比较前后该机器性能加以判断