沈鑫剡编著(网络安全)教材配套课件第9章
合集下载
沈鑫剡编著(网络安全)教材配套课件第8章-
计算机网络安全
无线局域网安全技术
三、开放带来的安全问题和解决思路
计算机网络安全
安全问题频段开放性和空间开放性会带来以下安全问题。信道干扰;嗅探和流量分析;重放攻击;数据篡改;伪造AP。
无线局域网安全技术
三、开放带来的安全问题和解决思路
2.解决思路(1)接入控制对无线终端实施接入控制,保证只有授权终端才能与AP进行通信,并通过AP访问内部网络。
WEP加密过程
计算机网络安全
无线局域网安全技术
一、WEP加密和完整性检测过程
WEP解密过程用发送端以明文传输的IV和接收端保留的密钥构成伪随机数种子,产生一次性密钥,如果接收端保留的密钥和发送端相同,则接收端产生和发送端相同的一次性密钥;用和密文相同长度的一次性密钥异或密文,得到数据和4字节的ICV;根据数据计算出循环冗余检验码,并与ICV比较,如果相同,表明数据传输过程未被篡改。
计算机网络安全
无线局域网安全技术
五、关联的接入控制功能
建立关联过程建立关联过程中,终端和AP完成物理层协议、信道、传输速率的同步过程;建立关联过程中,AP完成对终端的认证;建立关联后,终端的MAC地址将记录在关联表中,AP只接收、发送源或目的MAC地址在关联表中的MAC帧。这些意味着一旦终端和AP建立关联,AP已经完成对终端的接入控制过程。
计算机网络安全
无线局域网安全技术
六、 WEP的安全缺陷
计算机网络安全
共享密钥认证机制的安全缺陷;一次性密钥字典;完整性检测缺陷。WEP安全缺陷起因于以下几点:一是一次性密 钥和初始向量一一对应,发送端通过明文传输初始向量,且密文和明文的异或操作结果即是一次性密钥;二是一次性密钥的空间只有224,且伪随机数生成器根据伪随机数种子生成一次性密钥机制使得各个一次性密钥之间存在相关性;三是用循环冗余检验码作为完整性检测码,容易实现同时篡改密文和加密后的ICV。
无线局域网安全技术
三、开放带来的安全问题和解决思路
计算机网络安全
安全问题频段开放性和空间开放性会带来以下安全问题。信道干扰;嗅探和流量分析;重放攻击;数据篡改;伪造AP。
无线局域网安全技术
三、开放带来的安全问题和解决思路
2.解决思路(1)接入控制对无线终端实施接入控制,保证只有授权终端才能与AP进行通信,并通过AP访问内部网络。
WEP加密过程
计算机网络安全
无线局域网安全技术
一、WEP加密和完整性检测过程
WEP解密过程用发送端以明文传输的IV和接收端保留的密钥构成伪随机数种子,产生一次性密钥,如果接收端保留的密钥和发送端相同,则接收端产生和发送端相同的一次性密钥;用和密文相同长度的一次性密钥异或密文,得到数据和4字节的ICV;根据数据计算出循环冗余检验码,并与ICV比较,如果相同,表明数据传输过程未被篡改。
计算机网络安全
无线局域网安全技术
五、关联的接入控制功能
建立关联过程建立关联过程中,终端和AP完成物理层协议、信道、传输速率的同步过程;建立关联过程中,AP完成对终端的认证;建立关联后,终端的MAC地址将记录在关联表中,AP只接收、发送源或目的MAC地址在关联表中的MAC帧。这些意味着一旦终端和AP建立关联,AP已经完成对终端的接入控制过程。
计算机网络安全
无线局域网安全技术
六、 WEP的安全缺陷
计算机网络安全
共享密钥认证机制的安全缺陷;一次性密钥字典;完整性检测缺陷。WEP安全缺陷起因于以下几点:一是一次性密 钥和初始向量一一对应,发送端通过明文传输初始向量,且密文和明文的异或操作结果即是一次性密钥;二是一次性密钥的空间只有224,且伪随机数生成器根据伪随机数种子生成一次性密钥机制使得各个一次性密钥之间存在相关性;三是用循环冗余检验码作为完整性检测码,容易实现同时篡改密文和加密后的ICV。
计算机网络安全课件(沈鑫剡)第2章
黑客攻击机制
计算机网络安全
2.2 黑客攻击过程
黑客攻击过程分为三步: 收集信息; 侦察; 攻击。
黑客攻击机制
计算机网络安全
黑客攻击机制
2.3 黑客攻击实例
BSS AP
DNS 服务器
R1
1
2
LAN 1
R2 12
LAN 2
网络结构
Web FTP 服务器 服务器
由于内部网络中存在无线局域网,除非采用802.11i,黑 客非法接入这样的内部网络易如反掌。
Internet
路由器
交换机 集线器 黑客终端
交换机
集线器的广播功能使黑客终端窃取流经两个交换 机间链路的全部信息。
计算机网络安全
黑客攻击机制
通过ARP欺骗截获信息
ARP 缓冲区
IP A MAC C
Internet
IP R MAC R
路由器
交换机
用户 A 用户 B 黑客终端
IP A IP B IP C MAC A MAC B MAC C
对系统资源越权操作。
计算机网络安全
黑客攻击机制
窃取和中继攻击
窃取是非法获得信息副本,但不影响信息 正常传输;
截获是不仅非法获得信息,且终止或改变 信息传输过程;
中继(也称重放)攻击是先截获信息,延 迟一段时间后,重新继续信息传输过程。
计算机网络安全
黑客攻击机制
通过集线器窃取流经关键网段信息
非法接入内部网络,或者成为内部网络授 权用户,或者利用应用程序或操作系统漏 洞成为开放资源的超级用户 。
计算机网络安全
黑客攻击机制
利用拨号接入方式非法接入
黑客终端
Modem
PSTN
第9章 网络安全
第9章 网络安全
本章学习目标
本章主要讲述与网络安全有关的背景知识 和防范措。通过本章学习,应掌握以下内容 : l 网络安全隐患 l 加密技术基本知识 l 身份认证技术 l 网络安全标准、措施和有关法规
第9章 网络安全
9.1 网络安全隐患 9.2 数据加密 9.3 数据完整性验证与数字签名 9.4 网上身份认证常识 9.5 防火墙技术
会话劫夺指入侵者首先在网络上窥探现有的会 话,发现有攻击价值的会话后,便将参与会话的一 方截断,并顶替被截断方继续与另一方进行连接, 以窃取信息。
会话劫夺不像窃取那样容易防范。对于由外部 网络入侵内部网络的途径,可用防火墙切断,但对 于内、外部网络之间的会话,除了采用数据加密手 段外,没有其他方法可保绝对安全。
9.1.2 先天性安全漏洞
Internet的前身是APPANET,而APPNET最初是为军 事机构服务的,对网络安全的关注较少。
在进行通信时,Internet用户的数据被拆成一个个 数据包,然后经过若干结点辗转传递到终点。在 Internet上,数据传递是靠TCP/IP实现的。
但是TCP/IP在传递数据包时,并未对其加密。换 言之,在数据包所经过的每个结点上,都可直接获取 这些数据包,并可分析、存储之。如果数据包内含有 商业敏感数据或个人隐私信息,则任何人都可轻易解 读。
9.1 网络安全隐患
大部分网络安全问题都与TCP/IP有关。 TCP/IP是Internet的标准协议,传统的网络应用 都是基于此协议的。近来在局域网中,TCP/IP 也逐渐流行,这使得通过Internet侵入局域网变 得十分容易。
为网络安全担忧的人大致可分为两类,一 类是使用网络资源的一般用户,另一类是提供 网络资源的服务提供者。
本章学习目标
本章主要讲述与网络安全有关的背景知识 和防范措。通过本章学习,应掌握以下内容 : l 网络安全隐患 l 加密技术基本知识 l 身份认证技术 l 网络安全标准、措施和有关法规
第9章 网络安全
9.1 网络安全隐患 9.2 数据加密 9.3 数据完整性验证与数字签名 9.4 网上身份认证常识 9.5 防火墙技术
会话劫夺指入侵者首先在网络上窥探现有的会 话,发现有攻击价值的会话后,便将参与会话的一 方截断,并顶替被截断方继续与另一方进行连接, 以窃取信息。
会话劫夺不像窃取那样容易防范。对于由外部 网络入侵内部网络的途径,可用防火墙切断,但对 于内、外部网络之间的会话,除了采用数据加密手 段外,没有其他方法可保绝对安全。
9.1.2 先天性安全漏洞
Internet的前身是APPANET,而APPNET最初是为军 事机构服务的,对网络安全的关注较少。
在进行通信时,Internet用户的数据被拆成一个个 数据包,然后经过若干结点辗转传递到终点。在 Internet上,数据传递是靠TCP/IP实现的。
但是TCP/IP在传递数据包时,并未对其加密。换 言之,在数据包所经过的每个结点上,都可直接获取 这些数据包,并可分析、存储之。如果数据包内含有 商业敏感数据或个人隐私信息,则任何人都可轻易解 读。
9.1 网络安全隐患
大部分网络安全问题都与TCP/IP有关。 TCP/IP是Internet的标准协议,传统的网络应用 都是基于此协议的。近来在局域网中,TCP/IP 也逐渐流行,这使得通过Internet侵入局域网变 得十分容易。
为网络安全担忧的人大致可分为两类,一 类是使用网络资源的一般用户,另一类是提供 网络资源的服务提供者。
沈鑫剡编著(网络安全)教材配套课件第10章
虚拟专用网络
三、 VPN分类
Web 服务器 HTTP HTTPS 终端 SSL VPN 网关 SMTP+POP3 FTP FTP 服务器 邮件服务器
SSL VPN
远程终端通过HTTPS访问SSL VPN网关。以此实现远程终端与SSL VPN网关之间 的双向身份鉴别,保证远程终端与SSL VPN网关之间传输的数据的保密性和完整性。 SSL VPN网关作为中继设备,可以将远程终端访问内部网络资源的请求消息转 发给内部网络中的服务器,也将内部网络服务器发送的响应消息,转发给远程终端。
缺点:互连子网的专用点 对点物理链路的低效率、 高费用和不方便。
计算机网络安全
虚拟专用网络
一、企业网和远程接入
Modem PSTN 终端
实现远程接入的网络结构
可以随时随地连接到PSTN ; 可以按需建立与路由器R之间的语音信 道。
R
内部网络
缺点:需要支付昂贵的长 途费用;语音信道利用率 不高;语音信道的数据传 输速率受到严格限制。
第一次交互过程双方约定安全传输通道使用的加密算法3DES和报文摘 要算法MD5,同时完成用于生成密钥种子KS的随机数YA和YB的交换过程。
第二次交互过程双方约定安全关联使用的安全协议ESP,ESP使用的加 密算法AES和MAC算法HMAC-MD5-96。同时通过证书和数字签名完成双方身 份鉴别过程。第二次交互过程双方传输的信息是用3DES加密算法和通过密 钥种子KS推导出的密钥K加密后的密文。
虚拟专用网络
三、 VPN分类
内部网络 Web 服务器
Internet 终端 SSL VPN 网关
邮件服务器
FTP 服务器
SSL VPN
SSLVPN也是一种实现远程终端访问内部网络资源的技术,SSL VPN的 核心设备是SSL VPN网关,SSL VPN网关一端连接互联网,另一端连接内 部网络。
沈鑫剡编著(网络安全)教材配套课件第11章
计算机网络安全
防火墙
五、防火墙的局限性
无法防御网络内部终端发起的攻击; 无法阻止病毒传播; 无法防御利用防火墙安全策略允许的信息传输过 程实施的攻击行为。
计算机网络安全
防火墙
11.2 分组过滤器
本讲主要内容 无状态分组过滤器; 有状态分组过滤器。
计算机网络安全
防火墙
一、无状态分组过滤器
防火墙的作用是控制网络1与网络2之间传输的信息流, 所谓控制是指允许网络1与网络2之间传输某种类型的信息流, 阻断另一种类型的信息流网络1与网络2之间的传输过程。允 许和阻断操作的依据是为防火墙配置的安全策略。
计算机网络安全
防火墙
三、防火墙分类
防火墙
个人防火墙
网络防火墙
分组过滤器
分组过滤器电路层代理Biblioteka 计算机网络安全防火墙
一、引出防火墙的原因
数据交换过程 Internet 路由器 数据交 换过程 用户终端 黑客终端
内部网络
安全的网络系统既要能够保障正常的数据交换过程,又 要能够阻止用于实施攻击的数据交换过程。 防火墙一是能够检测出用于实施攻击的信息流,并阻断 这样的信息流。二是能够允许正常信息流通过。
计算机网络安全
防火墙
一、无状态分组过滤器
路由器R1接口1输入方向的过滤规则集如下。 ①协议类型=TCP,源IP地址=192.1.1.1/32,源端口号=*, 目的IP地址=192.1.2.7/32,目的端口号=80;正常转发。 ②协议类型=TCP,源IP地址=192.1.1.7/32,源端口号=21, 目的IP地址=192.1.2.1/32,目的端口号=*;正常转发。 ③协议类型=TCP,源IP地址=192.1.1.7/32,源端口号=20, 目的IP地址=192.1.2.1/32,目的端口号=*;正常转发。 ④协议类型=*,源IP地址=any,目的IP地址=any;丢弃。
沈鑫剡编著教材配套课件第章2
计算机网络安全 第二十九页,编辑于星期五:十二点 四十五分
。
黑客攻击机制
四、 ARP欺骗攻击
2.ARP欺骗攻击过程
计算机网络安全 第三十页,编辑于星期五:十二点 四十五分。
黑客攻击机制
四、 ARP欺骗攻击
2.ARP欺骗攻击过程
① 黑客终端发送将IP A和MAC C绑定的ARP请求报 文;
② 路由器缓冲区中记录IP A和MAC C绑定项; ③ 路由器将目的IP地址为IP A的IP分组封装成以
转发项,这些转发项耗尽交换机 转发表的存储空间,当交换机接 收到终端B发送的源MAC地址为
MAC B的MAC帧时,由于转发表 的存储空间已经耗尽,因此, 无法添加新的MAC地址为MAC B 的转发项,导致交换机以广播 方式完成MAC帧终端A至终端B传
输过程。
计算机网络安全 第十五页,编辑于星期五:十二点 四十五分。
黑客攻击机制
一、 嗅探攻击原理和后果
2.嗅探攻击后果 嗅探攻击后果有以下三点。一是破坏
信息的保密性。二是嗅探攻击是实现数据 流分析攻击的前提。三是实施重放攻击。
计算机网络安全 第十二页,编辑于星期五:十二点 四十五分。
黑客攻击机制
二、集线器和嗅探攻击
由于集线器接收到MAC
帧后,通过除接收端口以外
MAC C为目的MAC地址的MAC帧。
计算机网络安全 第三十一页,编辑于星期五:十二点 四十五分
。
黑客攻击机制
四、 ARP欺骗攻击
3.ARP欺骗攻击防御机制
终端没有鉴别ARP请求和响应报文中IP地址 与MAC地址绑定项真伪的功能,因此,需要以太 网交换机提供鉴别ARP请求和响应报文中IP地 址与MAC地址绑定项真伪的功能,以太网交换机 只继续转发包含正确的IP地址与MAC地址绑定项 的ARP请求和响应报文。
。
黑客攻击机制
四、 ARP欺骗攻击
2.ARP欺骗攻击过程
计算机网络安全 第三十页,编辑于星期五:十二点 四十五分。
黑客攻击机制
四、 ARP欺骗攻击
2.ARP欺骗攻击过程
① 黑客终端发送将IP A和MAC C绑定的ARP请求报 文;
② 路由器缓冲区中记录IP A和MAC C绑定项; ③ 路由器将目的IP地址为IP A的IP分组封装成以
转发项,这些转发项耗尽交换机 转发表的存储空间,当交换机接 收到终端B发送的源MAC地址为
MAC B的MAC帧时,由于转发表 的存储空间已经耗尽,因此, 无法添加新的MAC地址为MAC B 的转发项,导致交换机以广播 方式完成MAC帧终端A至终端B传
输过程。
计算机网络安全 第十五页,编辑于星期五:十二点 四十五分。
黑客攻击机制
一、 嗅探攻击原理和后果
2.嗅探攻击后果 嗅探攻击后果有以下三点。一是破坏
信息的保密性。二是嗅探攻击是实现数据 流分析攻击的前提。三是实施重放攻击。
计算机网络安全 第十二页,编辑于星期五:十二点 四十五分。
黑客攻击机制
二、集线器和嗅探攻击
由于集线器接收到MAC
帧后,通过除接收端口以外
MAC C为目的MAC地址的MAC帧。
计算机网络安全 第三十一页,编辑于星期五:十二点 四十五分
。
黑客攻击机制
四、 ARP欺骗攻击
3.ARP欺骗攻击防御机制
终端没有鉴别ARP请求和响应报文中IP地址 与MAC地址绑定项真伪的功能,因此,需要以太 网交换机提供鉴别ARP请求和响应报文中IP地 址与MAC地址绑定项真伪的功能,以太网交换机 只继续转发包含正确的IP地址与MAC地址绑定项 的ARP请求和响应报文。
第9章-0722
对称加密算法
分组密码中常用的最有代表性的一种加密算法是 1997年美国颁布的美国数据加密标准DES,它是 迄今为止得到最广泛应用的加密算法之一。 DES的数据分组长度为64位,密文的分组长度也 是64位。密钥长度为64位,其中有8位奇偶校验 位,有效密钥长度为56位。DES的整个算法是公 开的,系统的安全性靠密钥保证。 算法主要包括:初始置换IP、16轮迭代的乘积变 换、逆初始变换IP-1。
计算机网络
第九章网络安全与网络管理
网络安全体系结构 数据加密算法 身份认证与鉴别 网络管理 防火墙 入侵检测系统
网络安全体系结构
信息安全的基本概念 影响网络安全的主要因素 物理安全 网络安全 信息安全 安全管理
信息安全的基本概念
信息安全主要是指:信息的安全存储、处理和 传输,确保合法用户的服务和限制非授权用户 的访问,保证信息的保密性、完整性、可控性 和可用性。其发展经历了三个阶段: 以密码学研究为主的通信保密阶段; 以单机操作系统安全研究为主的计算机系统安 全阶段; 以信息安全体系研究为主的网络信息系统安全 阶段。
置换后M0=m58m50m42…m7
乘积变换
Ri-1(32 比 特) E 48 比 特 ki(48 比 特 ) +
S1
S2
S3
S4
S5
32 比 特 P
S6
S7
S8
f的功能是将 32比特的数据 经过选择扩展 运算E、密钥 加密运算、选 择压缩运算S 和置换运算P 转换为32比特 的输出
f(Ri-1 , ki)
信息安全
主要涉及到信息传输的安全、信息存储的安 全以及对网络传输信息内容的审计三方面。
计算机网络安全课件(沈鑫剡)第4章PPT课件
LAN 4
终端 A IP A
R1 IP H
LAN4 1
黑客终端
R2
R3
终端 B
IP B
黑客终端伪造路由项过程
• 黑客终端伪造和LAN4直接相连的路由项,并通过路由消息将该路由 项组播给路由器R1、R2;
• 路由器R1将通往LAN4传输路径的下一跳改为黑客终端; • 所有LAN1中终端发送给LAN4中终端的IP分组都被错误地转发给黑客
路由器 R1 正确路由表
路由器 R1 错误路由表
子网 距离 LAN 1 1 LAN 2 1 LAN 3 2 LAN 4 3
下一跳 直接 直接
IP R IP R
子网 距离 LAN 1 1 LAN 2 1 LAN 3 2 LAN 4 2
下一跳 直接 直接
IP R IP HLAN 1LAN 2 IP RLAN 3
第1页/共38页
4.1 以太网安全技术
• 以太网接入控制 ➢ 访问控制列表; ➢ 安全端口; ➢ 802.1X接入控制过程。 • 以太网其他安全功能 ➢ 防站表溢出攻击功能; ➢ 防DHCP欺骗; ➢ 防ARP欺骗攻击。
第2页/共38页
以太网接入控制
• 黑客攻击内部网络的第一步是接入内部网络,而以太网是最常见的直接用于接入用 户终端的网络,只允许授权用户终端接入以太网是抵御黑客攻击的关键步骤;
IP 接口
VLAN 2 VLAN 3
192.1.2.254 192.1.3.254
192.1.2.0/24
192.1.3.0/24
终端 B 终端 C
Web 接口 192.1.1.0/24
终端 A
终端 A 终端 B 终端 C 终端 D
物理网络
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SYN泛洪攻击过程
计算机网络安全
安全网络技术
一、拒绝服务攻击和流量管制
黑客终端 接入网 主干网络 接入网 ICMP ECHO 请求 接入网 边缘路由器 接入网 Web 服务器
分布式拒绝服务(DDoS)攻击过程
计算机网络安全
安全网络技术
一、拒绝服务攻击和流量管制
拒绝服务攻击的共同点是黑客终端向 攻击目标超量发送报文,因此,只要能够 限制某类报文的流量,就能够抑制拒绝服 务攻击。
计算机网络安全
安全网络技术
一、路由器和互连网结构
2.路由器作用 路由器的作用主要有三个,一是通过 多个连接不同类型的传输网络的接口实现 不同类型传输网络的互连,二是建立用于 指明通往互连网中每一个网络的传输路径 的路由项,三是实现IP分组的转发过程。
计算机网络安全
安全网络技术
一、路由器和互连网结构
LAN 1 终端 A IP A R1 数据 IP B ③
LAN 2
LAN 3 R3
LAN 4 终端 B IP B
源 IP 目的 IP 地址 地址
计算机网络安全
安全网络技术
一、防路由项欺骗攻击机制
1.路由项欺骗攻击过程 ① 黑客终端发送一项LAN 4与其直接相连的路 由项; ② 路由器R1将通往LAN 4传输路径上的下一跳 改为黑客终端; ③ 路由器R1将目的网络是LAN 4的IP分组转发 给黑客终端。
计算机网络安全
安全网络技术
二、互连网安全技术范畴和功能
只讨论有着一般用途的安全技术和用于 提高互连网可靠性、容错性的技术。 2.互连网安全技术功能 安全路由; 流量管制; NAT; VRRP。
计算机网络安全
安全网络技术
9.2 安全路由
本讲主要内容 防路由项欺骗攻击机制; 路由项过滤; 单播反向路径验证; 策略路由。
计算机网络安全
安全网络技术
四、流量管制抑止拒绝服务攻击机制
抑制DDoS攻击流量管制器 分类标准 (1)目的IP地址=IP A或IP B (2)IP首部协议字段值=1(ICMP) (3)ICMP类型字段值:8(ECHO请求)或0 (ECHO响应) 速率限制:平均传输速率=64kbps,突发性 数据长度=8000B
IP 分组 源 IP 地址=202.3.3.7 目的 IP 地址=202.7.7.3
NAT就是一种对从内部网络转发到外部网络的IP分组实现源IP 地址内部本地地址至内部全球地址的转换、目的IP地址外部本 地地址至外部全球地址的转换,对从外部网络转发到内部网络 的IP分组实现源IP地址外部全球地址至外部本地地址的转换、 目的IP地址内部全球地址至内部本地地址的转换的技术 。
计算机网络安全
安全网络技术
四、流量管制抑止拒绝服务攻击机制
Web 服务器 IP A 1 2
Si
核心层 S10 5 4
FTP 服务器 IP B
3 3 S7 1
Si
3 汇聚层 2 S8 1
Si
3 2 S9 1
Si
2
2 S1 1 S2
2 S3 1 1
2 S4 接入层
2 S5 1
2 S6 1
2
1
校园 网物 理结 构图
HMAC -MD5
HMAC
其他相邻路 由器接收到该路 由消息后,首先 根据路由消息和 密钥K计算HMAC, 然后将计算结果 相等,处理 和附在路由消息 后面的HMAC比较, 路由消息 如果相同,表明 发送者和接收者 具有相同密钥, 不相等,丢 且路由消息在传 弃路由消息 输过程中没有被 篡改。
计算机网络安全
计算机网络安全
安全网络技术
二、信息流分类
信息流分类是要从IP分组流中分离出 属于特定应用的一组IP分组,如需要分离 出建立TCP连接过程中的第一个请求报文, 需要从IP分组流中分离出具有如下特征的 IP分组: IP首部协议字段值:6(TCP); TCP首部控制标志位:SYN=1,ACK=0。
计算机网络安全
计算机网络安全
安全网络技术
一、路由器和互连网结构
1.互连网结构
R2 路由表 目的网络 下一跳 输出接口 192.168.4.0/24 直接 3 192.168.5.0/24 直接 2 192.1.1.0/30 直接 1 192.168.2.0/23 192.1.1.1 1 192.168.2.0/24 终端 A 192.168.3.0/24 终端 B 1 2 R1 192.1.1.1/30 3 192.1.1.2/30 1 R2 3 2 192.168.5.0/24 终端 D 192.168.4.0/24 终端 C
校园网逻辑结构图
计算机网络安全
安全网络技术
四、流量管制抑止拒绝服务攻击机制
抑制SYN泛洪攻击的流量管制器 分类标准 (1)目的IP地址=IP A或IP B (2)IP首部协议字段值=6(TCP) (3)TCP首部控制标志位:SYN=1,ACK=0 速率限制:平均传输速率=64kbps,突发性 数据长度=8000B
计算机网络安全
终端 A
终端 B
终端 C
终端 D
终端 E
终端 F
安全网络技术
四、流量管制抑止拒绝服务攻击机制
终端 C 终端 D 终端 E 终端 F S8 VLAN 3 VLAN 6 S10 VLAN 7 S9 VLAN 4
S7 VLAN 2 VLAN 5 VLAN 8
终端 A
终端 B Web 服务器 FTP 服务器
黑客攻击行为可以分为针对主机的攻击 行为、针对传输网络的攻击行为和针对路由 器的攻击行为。 3.针对路由器的攻击 路由项欺骗攻击; 拒绝服务攻击。
计算机网络安全
安全网络技术
二、互连网安全技术范畴和功能
1.互连网安全技术范畴 互连网安全技术可以分为三类,第一类 是有着专门用途的安全技术,如防火墙、入 侵检测系统和虚拟专用网(VPN)等。第二类 是有着一般用途的安全技术,如防路由项欺 骗、NAT、流量管制等。第三类是用于提高互 连网可靠性、容错性的技术,如虚拟路由器 冗余协议(VRRP)等。
计算机网络安全
安全网络技术
9.3 流量管制
本讲主要内容 拒绝服务攻击和流量管制; 信息流分类; 管制算法; 流量管制抑止拒绝服务攻击机制。
计算机网络安全
安全网络技术
一、拒绝服务攻击和流量管制
Web 服务器 黑客终端 接入网 边缘路由器 伪造出来 的终端 SYN SYN,ACK SYN SYN,ACK SYN SYN,ACK 主干网络
193.7.1.0/24
三个网络,其 中两个是内部 网络。 路由项过滤技术就是在公告的路由消息中屏蔽掉和过滤器中目的网络 匹配的路由项,这样做的目的是为了保证一些内部网络的对外部路由 器的透明性。
计算机网络安全
过滤器中的目 的网络包含两 个内部网络。
安全网络技术
三、单播反向路径验证
R2 193.1.2.0/24
安全网络技术
二、路由项过滤
路由消息中不包含 被过滤器屏蔽掉的 两个内部网络。
192.168.1.0/24
224.0.0.9 R1 193.7.1.0/24 1
R2 路由表 目的网络 距离 下一跳 193.7.1.0/24 2 R1
192.168.0.0/22 过滤 192.168.2.0/24 R1 R2 R1 路由表 目的网络 距离 下一跳 192.168.1.0/24 1 直接 192.168.2.0/24 1 直接 193.7.1.0/24 1 直接 Internet
193.1.1.7
黑客终端 193.1.1.7
193.1.1.5
193.1.1.0/24 终端 A 193.1.1.5 R1
193.1.1.5 2
1 3 193.1.3.0/24 服务器 R3 R3 路由表 目的网络 距离 输出端口 193.1.1.0/24 2 1 193.1.2.0/24 2 2 193.1.3.0/24 1 3
R1 路由表 目的网络 下一跳 输出接口 192.168.2.0/24 直接 1 192.168.3.0/24 直接 2 192.1.1.0/30 直接 3 192.168.4.0/23 192.1.1.2 3
计算机网络安全
安全网络技术
一、路由器和互连网结构
1.互连网结构 多个不同类型的网络通过路由器连接 在一起,路由器采用数据报交换方式,通 过路由项指出通往每一个网络的传输路径, 路由表是路由项的集合。 连接在不同传输网络上的两个主机之 间的传输路径分为两个层次,一是传输网 络建立的连接在同一传输网络上的两个结 点之间的传输路径。二是IP传输路径,由 源和目的主机、路由器和传输网络组成。
网络安全
第九章
© 2006工程兵工程学院 计算机教研室
安全网络技术
第9章 互连网安全技术
本章主要内容 互连网安全技术概述; 安全路由; 流量管制; NAT; VRRP。
计算机网络安全
安全网络技术
9.1互连网安全技术概述
本讲主要内容 路由器和互连网结构; 互连网安全技术范畴和功能。
计算机网络安全
安全网络技术
9.4 NAT
本讲主要内容 NAT概述; 动态PAT和静态PAT; 动态NAT和静态NAT; NAT的弱安全性。
计算机网 分组 源 IP 地址=192.168.3.7 目的 IP 地址=172.16.3.7 R 内部网络 终端 A 192.168.3.7/24 IP 分组 源 IP 地址=172.16.3.7 目的 IP 地址=192.168.3.7 外部网络 终端 B 202.3.3.7/24 IP 分组 源 IP 地址=202.7.7.3 目的 IP 地址=202.3.3.7
计算机网络安全
安全网络技术