网络安全性分析及常见攻击原理1

1第二讲网络与系统安全缺陷分析2第二讲的主要内容•互联网体系结构•局域网相关协议风险分析•TCP/IP协议层协议风险分析•域名、路由系统安全•应用系统安全–Email、Web•软件系统的安全问题•常见攻击方法1.互联网体系结构24ARPANETDecember1969FromARPANETCompletionReport,BBN,1978互联网的发展过程5互联网的发展过程6这种结构是谁设计的？无结构、AdHoc?37是谁把互联网弄成这个样子？Puttingonweight…MidLifecrisis…IPoverIPTunnel…Anaccident(NAT&ALG)…AnythinginAnything8OSI/RM对Internet产生重大影响？ApplicationPresentationSessionTransportNetworkDataLinkPhysicalOSI/RMTCP/IPApplicationTCPIPHosttonetwork（DataLink+Physical）9关于OSI体系结构的批评•Howthe7-layerreferencemodelwasinvented–•THEORIGINSOFOSI–•关于GOSIP•DouglasE.ComerWilliamStallings410DesignprinciplesofInternet?•EndtoEnd•Stateless•BestEffort•KeepitSimpleandStupid（KISS）•Distributedprocess•….11Internet设计思想/指导原则•包交换，分组交换（PacketSwitch），存储转发•端到端（End-to-end），保持简单性（KISS）,•尽力而为（Besteffort，NoQoS）•分布式、没有集中控制•足够的冗余•不要等待找到完美的解决方案。•可扩展性，IPovereverything•只有当实现了几个能够运行的程序实现后，Internet的协议才能成为标准。12互联网的这些设计思想从哪里来•DavidD.Clark,TheDesignPhilosophyoftheDARPAInternetProtocols,1988–设计之初，目标、动机都是很模糊的，许多所谓的设计思想在互联网发展过程中总结的。–比如，无连接的思想在一开始并没有充分强调。–与OSI参考模型相比，IP层和TCP层分层的思想，在一开始也不是当初计划书的一部分513TCP/IP协议有严格的分层吗？•IP中ICMP、TCP、OSPF都有protocolnumber•OSPF有TCPport0VERSHLENTypeofServiceTotalLengthIdentificationFragOffsetTTLProtocolHeaderChecksumSourceIPAddressDestinationIPAddressIPOptionsDataDFMF16HeaderChecksum0VERSHLENTypeofServiceTotalLengthIdentificationFragOffsetTTLProtocolHeaderChecksumSourceIPAddressDestinationIPAddressIPOptionsDataDFMF16HeaderChecksum03116SourcePortDest.PortSequenceNumberAck.NumberHLENReservedURGWindowChecksumUrgentOptionData...ACKPSHRSTSYNFIN03116SourcePortDest.PortSequenceNumberAck.NumberHLENReservedURGWindowChecksumUrgentOptionData...ACKPSHRSTSYNFINICMP第3层？TCP第4层？OSPF在TCP层之上？14分层原则？•FredBaker：CiscoDAI技术15LixiaZhang’sopinion•2007年夏在清华的报告–体系结构原则是谁制定的？–系统的结构是由它的功能决定的–功能复杂了，结构也随之复杂化•对地址转换（NAT）的回顾与反思–IAB和IETF无视NAT的需求–错过了NAT标准化的时机——“我要强调的是，以下只是我个人的观点，我对历史的回顾可能不全，可能出错，而且就像我们对于互联网的理解不断变化一样，我的观点也不是一成不变的。”616171871920互联网的体系结构原则(RFC1958)•TheInternetanditsarchitecturehavegrowninevolutionaryfashionfrommodestbeginnings,ratherthanfromaGrandPlan.•Thisisintendedforgeneralguidanceandgeneralinterest,andisinnowayintendedtobeaformalorinvariantreferencemodel.•Itsevolutiondependsonroughconsensusabouttechnicalproposals,andonrunningcode.21ArchitecturalPrinciplesoftheInternet(RFC1958)•Engineeringfeed-backfromrealimplementationsismoreimportantthananyarchitecturalprinciples.•Principlesthatseemedinviolableafewyearsagoaredeprecatedtoday.•Principlesthatseemsacredtodaywillbedeprecatedtomorrow.822TheonlyprincipleoftheInternetTheprincipleofconstantchangeisperhapstheonlyprincipleoftheInternetthatshouldsurviveindefinitely.23•Werejectkings,presidents,andvoting;•webelieveinroughconsensusandrunningcode.Internetphilosophy24互联网的“原则”和“指导思想”•列宁：没有革命的理论，就没有革命的行动？•互联网今天的现状是个演进的过程，不是伟人的设计•适应需求的不断变化，是Internet生存下来的关键•没有什么理论、指导思想•过去的成功原则只满足过去的需求，可以作为参考，但不应该成为教条•RunningCode，或者说实践的检验是评价技术优劣的唯一标准•用户的需求、市场的选择是一项技术成功的关键925网站注册••请使用你姓名的汉语拼音作为用户ID