打造人工智能共享實(shí)訓(xùn)基地，我校專業(yè)集群協(xié)調(diào)發(fā)展

信系第十章網(wǎng)絡(luò)安全學(xué)習(xí)單元十一、中小型網(wǎng)絡(luò)安全攻防

當(dāng)前網(wǎng)絡(luò)安全不僅僅涉及信息戰(zhàn)，“還涉及輿論、公共關(guān)系、技術(shù)，更涉及公共安全?！绷?xí)近平總書記強(qiáng)調(diào)說(shuō)，“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全，沒有信息化就沒有現(xiàn)代化?！崩斫饩W(wǎng)絡(luò)安全概念、特征。了解網(wǎng)絡(luò)安全攻防體系結(jié)構(gòu)掌握網(wǎng)絡(luò)攻擊與防御方法。熟悉密碼與安全協(xié)議應(yīng)用。了解防火墻、入侵檢測(cè)技術(shù)與應(yīng)用。掌握內(nèi)網(wǎng)信息收集、漏洞掃描方法【內(nèi)容巡航】第10章網(wǎng)絡(luò)安全10.1網(wǎng)絡(luò)安全概述10.2數(shù)據(jù)密碼技術(shù)10.3網(wǎng)絡(luò)安全威脅技術(shù)10.4網(wǎng)絡(luò)安全防護(hù)技術(shù)10.5互聯(lián)網(wǎng)使用的安全協(xié)議10.1網(wǎng)絡(luò)安全概述10.1.1網(wǎng)絡(luò)安全定義10.1.2網(wǎng)絡(luò)安全的特征10.1.1網(wǎng)絡(luò)安全定義是指網(wǎng)絡(luò)系統(tǒng)的硬件系統(tǒng)、軟件系統(tǒng)及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全行業(yè)網(wǎng)絡(luò)安全（CyberSecurity）是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。廣義上講10.1.1網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)安全信息安全物理安全軟件安全計(jì)算機(jī)通信網(wǎng)絡(luò)安全運(yùn)行安全10.1.1網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全信息安全物理安全軟件安全運(yùn)行安全包括硬件、存儲(chǔ)介質(zhì)和外部環(huán)境的安全。硬件是指網(wǎng)絡(luò)中的各種設(shè)備和通信線路，如主機(jī)、路由器、服務(wù)器、工作站、交換機(jī)、電纜等；存儲(chǔ)介質(zhì)包括磁盤、光盤等；外部環(huán)境則主要是指計(jì)算機(jī)設(shè)備的安裝場(chǎng)地、供電系統(tǒng)等。保障物理安全，就是要保證這些硬件設(shè)施能夠正常工作而不被損壞。10.1.1網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全信息安全物理安全軟件安全運(yùn)行安全是指網(wǎng)絡(luò)軟件以及各個(gè)主機(jī)、服務(wù)器、工作站等設(shè)備所運(yùn)行的軟件的安全。保障軟件安全，就是保證網(wǎng)絡(luò)中的各種軟件能夠正常運(yùn)行而不被修改、破壞和非法使用。10.1.1網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全信息安全物理安全軟件安全運(yùn)行安全是指網(wǎng)絡(luò)中所存儲(chǔ)和傳輸數(shù)據(jù)的安全，主要體現(xiàn)在信息隱蔽性和防止修改的能力上。保障信息安全，就是保護(hù)網(wǎng)絡(luò)中的信息不被非法地修改、復(fù)制、解密、使用等，也是保障網(wǎng)絡(luò)安全最根本的目的。10.1.1網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全信息安全物理安全軟件安全運(yùn)行安全是指網(wǎng)絡(luò)中的各個(gè)信息系統(tǒng)能夠正常運(yùn)行并能正常地通過(guò)網(wǎng)絡(luò)交流信息。保障信息安全，就是通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)中的各種設(shè)備運(yùn)行狀態(tài)進(jìn)行檢測(cè)，發(fā)現(xiàn)不安全因素時(shí)，及時(shí)報(bào)警并采取相應(yīng)措施，消除不安全狀態(tài)，以保障網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。10.1.2網(wǎng)絡(luò)安全的特征安全網(wǎng)絡(luò)特征可用性保密性完整性可控性是指網(wǎng)絡(luò)中的信息不被非授權(quán)實(shí)體（包括用戶和進(jìn)程等）獲取與使用。不可抵賴性是指數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性。10.1.2網(wǎng)絡(luò)安全的特征安全網(wǎng)絡(luò)特征可用性保密性完整性可控性是人們對(duì)信息的傳播路徑、范圍及其內(nèi)容所具有的控制能力，即不允許不良內(nèi)容通過(guò)公共網(wǎng)絡(luò)進(jìn)行傳輸，使信息在合法用戶的有效掌控之中。不可抵賴性是指保證信息在需要時(shí)能為授權(quán)者所用，防止由于主客觀因素造成的系統(tǒng)拒絕服務(wù)。10.1.2網(wǎng)絡(luò)安全的特征安全網(wǎng)絡(luò)特征可用性保密性完整性可控性不可抵賴性也稱不可否認(rèn)性。就是發(fā)送信息方不能否認(rèn)發(fā)送過(guò)信息，信息的接收方不能否認(rèn)接收過(guò)信息。數(shù)據(jù)簽名技術(shù)是解決不可否認(rèn)性的重要手段之一。10.2數(shù)據(jù)密碼技術(shù)10.2.1數(shù)據(jù)加密模型10.2.2兩種密碼體制10.2.3秘鑰分配10.2.4數(shù)字簽名10.2.5鑒別10.2.1數(shù)據(jù)加密模型

用戶A向用戶B發(fā)送明文X，但通過(guò)加密算法E運(yùn)算后，就得出密文Y。10.2.2兩種密碼體制1.對(duì)稱秘鑰密碼體制

對(duì)稱秘鑰密碼體制是指加密秘鑰和解密秘鑰是使用相同的密碼體制。通信的雙方使用的就是對(duì)稱秘鑰。

如果加密密鑰和解密密鑰相同，可以從一個(gè)推出另一個(gè)，一般稱其為對(duì)稱密鑰或單鑰密碼體制。

常用的對(duì)稱加密算法有DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）、AES（高級(jí)加密標(biāo)準(zhǔn)）和三重DES等。10.2.2兩種密碼體制2.非對(duì)稱密鑰密碼體制

即加密密鑰和解密密鑰不相同，或從其中一個(gè)難以推出另一個(gè)。也稱公鑰密碼體制。

非對(duì)稱加密算法的特點(diǎn)就是加密秘鑰和解密秘鑰不同，秘鑰分為公鑰和私鑰，用私鑰加密的明文，只能用公鑰解密；用公鑰加密的明文，只能用私鑰解密。10.2.2兩種密碼體制（1）非對(duì)稱密鑰密碼體制的通信模型

加密秘鑰PK（PublicKey，即公鑰）是向公眾公開的，而加密秘鑰SK（SecretKey，即私鑰或秘鑰）則是需要保密的。加密算法E和解密算法D也都是公開的。10.2.2兩種密碼體制

①秘鑰對(duì)產(chǎn)生器產(chǎn)生接收者B的一對(duì)秘鑰：加密密鑰PKB(公鑰）和解密秘鑰SKB。發(fā)送者A所用的加密秘鑰PKB就是接收者B的公鑰，它向公眾公開。而B所用的解密秘鑰SKB就是接收者B的私鑰，對(duì)其他人保密。

②發(fā)送者A用B的公鑰PKB通過(guò)E運(yùn)算對(duì)明文X加密后得到密文Y，發(fā)送給B。Y=E再用解密密鑰SK(私鑰）對(duì)密文解密，即可恢復(fù)出明文m，即Y=EPKB(X)。B用自己的私鑰SKB通過(guò)D運(yùn)算進(jìn)行解密，恢復(fù)出明文，即DSKB（Y）=DSKB（EPKB(X)）=X。10.2.2兩種密碼體制③從已知的PKB不可能推導(dǎo)出SKB。是“計(jì)算上不可能的”。④雖然加密密鑰可用來(lái)加密，但卻不能用來(lái)解密，即DPKB(（EPKB（X））≠X。⑤加密和解密的運(yùn)算可對(duì)調(diào)，即EPKB（DSKB（X））=DSKB（EPKB（X））=X。但通常都是先加密然后再解密。10.2.2兩種密碼體制（2）非對(duì)稱的加密算法①RSA算法。非對(duì)稱秘鑰密碼體制的杰出代表是1978年正式發(fā)表的RSA體制，它是一種基于數(shù)論中的大素?cái)?shù)分解問(wèn)題的體制，是目前應(yīng)用最廣泛的公開密鑰算法。RSA既能用于加密（秘鑰交換），也能用于數(shù)字簽名，特別適用于通過(guò)Internet傳送的數(shù)據(jù)。RSA的安全基于大數(shù)分解的難度。其公鑰和私鑰是一對(duì)大素?cái)?shù)（100到200位十進(jìn)制數(shù)或更大）的函數(shù)。從一個(gè)公鑰和密文恢復(fù)出明文的難度，等價(jià)于分解兩個(gè)大素?cái)?shù)之積（這是公認(rèn)的數(shù)學(xué)難題）。10.2.2兩種密碼體制（2）非對(duì)稱的加密算法

②DSA算法。數(shù)字簽名算法(DigitalSignatureAlgorithm，DSA)由美國(guó)國(guó)家安全署發(fā)明，已經(jīng)由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)（NIST）收錄到聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS）之中，作為數(shù)字簽名的標(biāo)準(zhǔn)。DSA算法的安全性源自計(jì)算離散算法的困難。這種算法僅用于數(shù)字簽名運(yùn)算(不適用于數(shù)據(jù)加密)。MicrosoftCSP支持DSA算法。10.2.2兩種密碼體制（2）非對(duì)稱的加密算法

③Diffie-Hellman-僅適用于密鑰交換。Diffie-Hellman是發(fā)明的第一個(gè)公鑰算法，以其發(fā)明者WhitfieldDiffie和MartinHellman的名字命名。Diffie-Hellman算法的安全性源自在一個(gè)有限字段中計(jì)算離散算法的困難。Diffie-Hellman算法僅用于密鑰交換。MicrosoftBaseDSS3和Diffie-HellmanCSP都支持Diffie-Hellman算法。10.2.3秘鑰分配

秘鑰分配（或稱秘鑰分發(fā)）是秘鑰管理中最大的問(wèn)題。秘鑰必須通過(guò)最安全的通路進(jìn)行分配。

秘鑰分配有網(wǎng)外分配方式和網(wǎng)內(nèi)分配方式兩種。網(wǎng)外分配方式是指排可靠的信使攜帶秘鑰分配給互相通信的各用戶。但隨著用戶增加，秘鑰更換的頻繁，信使派發(fā)的方式已不再適用，這時(shí)采用網(wǎng)內(nèi)分配方式，也稱秘鑰自動(dòng)分配。10.2.3秘鑰分配

目前常用的秘鑰分配方式是設(shè)立秘鑰分配中心KDC（KeyDistributionCenter）。KDC是大家都信任的機(jī)構(gòu)，其任務(wù)就是給需要進(jìn)行秘密通信的用戶臨時(shí)分配一個(gè)會(huì)話秘鑰（僅使用一次）。

目前最出名的密鑰分配協(xié)議是KerberosV5。Kerberos既是鑒別協(xié)議，同時(shí)也是KDC，它已經(jīng)變得很普及，現(xiàn)在是互聯(lián)網(wǎng)建議標(biāo)準(zhǔn)。Kerberos使用比DES更加安全的高級(jí)加密標(biāo)準(zhǔn)AES進(jìn)行加密。1.對(duì)稱秘鑰的分配10.2.3秘鑰分配

認(rèn)證中心CA

(CertificationAuthority)，來(lái)將公鑰與其對(duì)應(yīng)的實(shí)體（人或機(jī)器）進(jìn)行綁定(binding)。2.公鑰的分配

認(rèn)證中心一般由政府出資建立。每個(gè)實(shí)體都有CA發(fā)來(lái)的證書

(certificate)，里面有公鑰及其擁有者的標(biāo)識(shí)信息。此證書被CA進(jìn)行了數(shù)字簽名，是不可偽造的，可以信任。10.2.4數(shù)字簽名

數(shù)字簽名（又稱公鑰數(shù)字簽名）是只有信息的發(fā)送者才能產(chǎn)生的別人無(wú)法偽造的一段數(shù)字串，這段數(shù)字串同時(shí)也是對(duì)信息的發(fā)送者發(fā)送信息真實(shí)性的一個(gè)有效證明。數(shù)字簽名必須保證能夠?qū)崿F(xiàn)以下三點(diǎn)功能：

（1）接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名。也就是說(shuō)，接收者能夠確信該報(bào)文的確是發(fā)送者發(fā)送的。其他人無(wú)法偽造對(duì)報(bào)文的簽名。這叫做報(bào)文鑒別。10.2.4數(shù)字簽名（2）接收者確信所收到的數(shù)據(jù)和發(fā)送者發(fā)送的完全一樣而沒有被篡改過(guò)。這叫做報(bào)文的完整性。（3）發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名。這叫做不可否認(rèn)。數(shù)字簽名多采用公鑰加密算法，比采用對(duì)稱加密算法更容易實(shí)現(xiàn)。一套數(shù)字簽名通常定義兩種互補(bǔ)的運(yùn)算，一個(gè)用于簽名，另一個(gè)用于驗(yàn)證。數(shù)字簽名是非對(duì)稱密鑰加密技術(shù)與數(shù)字摘要技術(shù)的應(yīng)用。10.2.4數(shù)字簽名

數(shù)字簽名的全過(guò)程分兩大部分，即簽名與核實(shí)簽名。1.數(shù)字簽名的實(shí)現(xiàn)10.2.4數(shù)字簽名

（1）數(shù)字簽名的簽名。首先是生成被簽名的電子文件，然后對(duì)電子文件用哈希算法做數(shù)字摘要，再對(duì)數(shù)字摘要用簽名私鑰做非對(duì)稱加密，即做數(shù)字簽名；之后是將以上的簽名和電子文件原文以及簽名證書的公鑰加在一起進(jìn)行封裝，形成簽名結(jié)果發(fā)送給收方，待收方驗(yàn)證。1.數(shù)字簽名的實(shí)現(xiàn)10.2.5鑒別

在網(wǎng)絡(luò)的應(yīng)用中，鑒別（authentication）是網(wǎng)絡(luò)安全中一個(gè)很重要的問(wèn)題。鑒別和加密不同。鑒別是要驗(yàn)證通信的對(duì)方的確是自己想要通信的對(duì)象，而不是其他的冒充者，并且所傳送的報(bào)文是完整的，沒有被他人篡改過(guò)。10.2.5鑒別鑒別報(bào)文鑒別實(shí)體鑒別即鑒別所收到的報(bào)文的確是報(bào)文的發(fā)送者所發(fā)送的，而不是其他人偽造的或篡改的。包含了端點(diǎn)鑒別和報(bào)文完整性的鑒別。即僅僅鑒別發(fā)送報(bào)文的實(shí)體。實(shí)體可以是一個(gè)人，也可以是一個(gè)進(jìn)程（客戶或服務(wù)器），即端點(diǎn)鑒別。10.2.5鑒別（1）密碼散列函數(shù)數(shù)字簽名是一種防止源點(diǎn)或終點(diǎn)抵賴的鑒別技術(shù)。也就是使用數(shù)字簽名就能夠?qū)崿F(xiàn)對(duì)報(bào)文的鑒別，然而當(dāng)報(bào)文較長(zhǎng)時(shí)進(jìn)行數(shù)字簽名會(huì)使計(jì)算機(jī)增加非常大的負(fù)擔(dān)，需要進(jìn)行較多的時(shí)間來(lái)進(jìn)行運(yùn)算，因此需要找出一種相對(duì)簡(jiǎn)單的方法對(duì)報(bào)文鑒別，這就是使用密碼散列函數(shù)（CryptographicHashFunction）.

目前，最實(shí)用的密碼散列算法是MD5和SHA-1。1.報(bào)文鑒別10.2.5鑒別

（2）報(bào)文鑒別碼

MD5報(bào)文鑒別可以防止篡改

，但不能防止偽造，不能實(shí)現(xiàn)報(bào)文鑒別，黑客可以偽造報(bào)文和散列值，導(dǎo)致接收者接收了偽造報(bào)文；為了防止上述情況，對(duì)散列值進(jìn)行私鑰加密，黑客沒有對(duì)應(yīng)的私鑰

，因此

無(wú)法偽造出對(duì)應(yīng)加密的散列值

，接收者使用公鑰解密，肯定無(wú)法與偽造的報(bào)文對(duì)應(yīng)，這里就實(shí)現(xiàn)了身份鑒別。

對(duì)散列值加密后的密文，稱為報(bào)文鑒別碼(MessageAuthenticationCode)。10.2.5鑒別

報(bào)文鑒別是對(duì)每一個(gè)收到的報(bào)文都要鑒別報(bào)文的發(fā)送者，而實(shí)體鑒別是在系統(tǒng)接入的全部持續(xù)時(shí)間內(nèi)對(duì)和自己通信的對(duì)方實(shí)體只需驗(yàn)證一次。2.實(shí)體鑒別10.2.5鑒別

（1）使用對(duì)稱秘鑰加密。實(shí)體鑒別基于共享的對(duì)稱密鑰，發(fā)送者使用密鑰將報(bào)文加密

，然后發(fā)送給接收者；接收者收到密文后，使用相同的密鑰解，鑒別了發(fā)送者的身份；發(fā)送者和接收者持有相同的密鑰；黑客截獲密文后，直接將密文轉(zhuǎn)發(fā)給接收者，此時(shí)接收者就會(huì)將黑客當(dāng)做發(fā)送者；這種攻擊稱為重放攻擊（ReplayAttack）。2.實(shí)體鑒別10.2.5鑒別

（2）使用公鑰加密。為了對(duì)付重放攻擊，可以使用不重?cái)?shù)（Nonce）。不重?cái)?shù)就是一個(gè)不重復(fù)使用的隨機(jī)數(shù)，即一次一數(shù)；接收者針對(duì)每個(gè)不重?cái)?shù)只使用一次，重放攻擊發(fā)送的報(bào)文就變成了了無(wú)效報(bào)文。2.實(shí)體鑒別10.3網(wǎng)絡(luò)安全威脅技術(shù)掃描技術(shù)01網(wǎng)絡(luò)嗅探02網(wǎng)絡(luò)協(xié)議欺騙03誘騙式攻擊04軟件漏洞攻擊利用技術(shù)05拒絕服務(wù)攻擊06Web腳本攻擊07遠(yuǎn)程控制0810.3.1掃描技術(shù)

網(wǎng)絡(luò)攻擊者為了全面了解目標(biāo)計(jì)算機(jī)的信息，事先通過(guò)多種手段收集其外圍信息，以便為實(shí)施具體攻擊找入手點(diǎn)。對(duì)目標(biāo)計(jì)算機(jī)的信息收集方式包括通過(guò)whois查詢域名注冊(cè)的相關(guān)信息、也可以在InterNIC上查詢域名注冊(cè)信息、也包括通過(guò)百度、Google等收集更多的外圍信息。1.互聯(lián)網(wǎng)信息收集。10.3.1掃描技術(shù)

IP地址掃描主要在網(wǎng)絡(luò)攻擊的開始階段，用于獲取目標(biāo)計(jì)算機(jī)及其外圍網(wǎng)絡(luò)使用的IP網(wǎng)段，以及對(duì)應(yīng)網(wǎng)段中處于開機(jī)狀態(tài)的計(jì)算機(jī)。常用于IP地址掃描的方法包括：一是操作系統(tǒng)提供的一些簡(jiǎn)單命令進(jìn)行掃描，如Ping、Tracert等；而是功能較強(qiáng)的自動(dòng)化的掃描工具，如通過(guò)nmap、superscan等對(duì)IP地址進(jìn)行掃描。2.IP地址掃描10.3.1掃描技術(shù)

一個(gè)開放的網(wǎng)絡(luò)端口就是一條與計(jì)算機(jī)進(jìn)行通信的虛擬通信，網(wǎng)絡(luò)攻擊者通過(guò)對(duì)網(wǎng)絡(luò)端口的掃描可以得到目標(biāo)計(jì)算機(jī)開放的網(wǎng)絡(luò)服務(wù)程序，從而為后續(xù)的攻擊確定好攻擊的網(wǎng)絡(luò)端口。端口掃描軟件是黑客常用的工具，目前常用的掃描工具有很多種：如nmap、superscan、netcat、X-port、portscanner、netscantools、winscan等。3.端口掃描10.3.1掃描技術(shù)

獲取了目標(biāo)主機(jī)的IP地址、端口等信息后，網(wǎng)絡(luò)攻擊者下一步要掃描檢測(cè)目標(biāo)主機(jī)和目標(biāo)網(wǎng)絡(luò)中存在的安全漏洞，以便利用漏洞進(jìn)行入侵，獲得對(duì)目標(biāo)主機(jī)的控制權(quán)限。漏洞掃描工具包括網(wǎng)絡(luò)漏洞掃描工具和主機(jī)漏洞掃描工具。

（1）網(wǎng)絡(luò)漏洞掃描工具主要通過(guò)網(wǎng)絡(luò)掃描，針對(duì)網(wǎng)絡(luò)設(shè)備的漏洞以及對(duì)外提供網(wǎng)絡(luò)服務(wù)的主機(jī)網(wǎng)絡(luò)服務(wù)程序的漏洞進(jìn)行檢測(cè)。常用的網(wǎng)絡(luò)漏洞掃描工具包括Nessus、X-scan、SSS、綠盟極光漏洞掃描器等。4.漏洞掃描10.3.1掃描技術(shù)

（2）主機(jī)漏洞掃描工具主要針對(duì)本主機(jī)上安裝的操作系統(tǒng)和應(yīng)用軟件系統(tǒng)的漏洞進(jìn)行掃描，而不是進(jìn)行網(wǎng)絡(luò)的掃描。主機(jī)漏洞掃描工具通過(guò)漏洞特征匹配技術(shù)和補(bǔ)丁安裝信息的檢測(cè)來(lái)進(jìn)行操作系統(tǒng)和應(yīng)用軟件系統(tǒng)的漏洞檢測(cè)。常用的主機(jī)漏洞掃描工具包括Nessus、360安全衛(wèi)士等。4.漏洞掃描10.3.1掃描技術(shù)

對(duì)弱口令等登錄信息的掃描主要包括基于字典攻擊的掃描技術(shù)和基于窮舉攻擊的掃描技術(shù)。（1）基于字典攻擊的掃描技術(shù)需要事先構(gòu)造常用口令的字典文件（是用事先收集的常用口令做口令文件）。掃描時(shí)，這個(gè)字典文件中收集的每一條口令會(huì)被嘗試用來(lái)匹配目標(biāo)主機(jī)系統(tǒng)的登錄口令，如果兩個(gè)口令正好匹配，則口令被破解了。（2）基于窮舉攻擊的掃描技術(shù)。利用窮舉的方法構(gòu)造探測(cè)用的口令字典。原理是把字母與數(shù)字進(jìn)行組合，窮舉出所有可能出現(xiàn)的組合，然后使用組合好的口令去進(jìn)行口令掃描。5.弱口令掃描10.3.1掃描技術(shù)

為了全面探測(cè)遠(yuǎn)端目標(biāo)計(jì)算機(jī)存在的安全漏洞，以便充分利用更多的入侵手段，網(wǎng)絡(luò)攻擊者往往利用綜合漏洞掃描工具，對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行全面的掃描和探測(cè)，以期檢測(cè)出盡可能多的漏洞，并利用漏洞實(shí)施入侵最終獲得目標(biāo)計(jì)算機(jī)的控制權(quán)限。綜合漏洞掃描工具集成了IP地址掃描、網(wǎng)絡(luò)端口掃描、網(wǎng)絡(luò)漏洞掃描等多種掃描功能。目前常用的綜合漏洞掃描工具非常多，常用的有nessus，nmap等。6.綜合漏洞掃描10.3.2網(wǎng)絡(luò)嗅探

網(wǎng)絡(luò)嗅探技術(shù)是一種威脅性極大的非主動(dòng)類信息獲取攻擊技術(shù)。

對(duì)目標(biāo)計(jì)算機(jī)的網(wǎng)絡(luò)進(jìn)行嗅探可以通過(guò)sniffer類的工具即網(wǎng)絡(luò)嗅探器來(lái)完成。利用這種工具，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)，數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。為了捕獲網(wǎng)絡(luò)接口收到的所有數(shù)據(jù)幀，網(wǎng)絡(luò)嗅探工具會(huì)將網(wǎng)絡(luò)接口設(shè)置為“混雜”（promis-cuous）模式。

網(wǎng)絡(luò)嗅探工具分為軟件和硬件兩種。網(wǎng)絡(luò)嗅探軟件包括wireshark、snifferpro、omnipeek、netxray等。硬件設(shè)備的網(wǎng)絡(luò)嗅探器往往是專用的網(wǎng)絡(luò)協(xié)議分析設(shè)備。10.3.3網(wǎng)絡(luò)協(xié)議欺騙

IP欺騙是指網(wǎng)絡(luò)攻擊者假冒第三方的IP地址給目標(biāo)主機(jī)發(fā)送包含偽造IP地址的數(shù)據(jù)包。因?yàn)镮P協(xié)議缺乏對(duì)發(fā)送方的認(rèn)證手段，因此，攻擊者可以輕易構(gòu)造虛假的IP地址實(shí)施網(wǎng)絡(luò)欺騙行為，但這種攻擊相對(duì)來(lái)說(shuō)造成的影響不大（僅僅源主機(jī)收不到數(shù)據(jù)報(bào)）。1.IP地址欺騙10.3.3網(wǎng)絡(luò)協(xié)議欺騙

ARP欺騙的原理就是惡意主機(jī)偽裝并發(fā)送欺騙性的ARP數(shù)據(jù)報(bào)，致使其他主機(jī)收到欺騙性的ARP數(shù)據(jù)報(bào)后，更新其ARP緩存表，從而建立錯(cuò)誤的IP地址和MC地址的對(duì)應(yīng)關(guān)系表。2.ARP欺騙

ARP欺騙可以分為中間人欺騙和偽造成網(wǎng)關(guān)的欺騙兩種。10.3.3網(wǎng)絡(luò)協(xié)議欺騙

（1）ARP的中間人欺騙攻擊。主要是在局域網(wǎng)環(huán)境內(nèi)實(shí)施的，局域網(wǎng)內(nèi)的某一主機(jī)C偽造網(wǎng)內(nèi)另一臺(tái)主機(jī)A的IP或（與）MAC地址和局域網(wǎng)內(nèi)的主機(jī)B通信，但A和B認(rèn)為是他們兩者在通信，或偽造IP地址和一個(gè)不存在的MAC地址，就會(huì)癱瘓和中斷局域網(wǎng)內(nèi)的網(wǎng)絡(luò)通信。。2.ARP欺騙10.3.3網(wǎng)絡(luò)協(xié)議欺騙

（2）偽造成網(wǎng)關(guān)的欺騙。主要針對(duì)局域網(wǎng)內(nèi)部主機(jī)與外網(wǎng)通信的情況。局域網(wǎng)內(nèi)的中了ARP病毒的主機(jī)向局域網(wǎng)的主機(jī)發(fā)送欺騙性的ARP包，聲稱網(wǎng)關(guān)的MAC地址改為自己的MAC地址了，這時(shí)就會(huì)造成局域網(wǎng)內(nèi)外的主機(jī)通信中斷。2.ARP欺騙10.3.3網(wǎng)絡(luò)協(xié)議欺騙

在傳輸層實(shí)施的通信欺騙工具包括TCP欺騙和UDP欺騙。這兩個(gè)欺騙技術(shù)都是將外部計(jì)算機(jī)偽裝成合法計(jì)算機(jī)來(lái)實(shí)現(xiàn)的，目的還是把自己構(gòu)筑成一個(gè)中間層來(lái)破壞正常鏈路上的正常數(shù)據(jù)流，或者在兩臺(tái)計(jì)算機(jī)通信的鏈路上插入數(shù)據(jù)。3.TCP欺騙10.3.3網(wǎng)絡(luò)協(xié)議欺騙

攻擊者冒充域名服務(wù)器的一種欺騙手段。冒充域名服務(wù)器，將查詢的IP地址設(shè)為攻擊者的IP地址，用戶上網(wǎng)時(shí)直接跳轉(zhuǎn)到攻擊者的IP地址。4.DNS欺騙10.3.4誘騙式攻擊

網(wǎng)站掛馬是指黑客通過(guò)入侵或者其他方式控制了網(wǎng)站的權(quán)限，在網(wǎng)站的Web頁(yè)面中插入網(wǎng)馬，用戶在訪問(wèn)被掛馬的網(wǎng)站時(shí)也會(huì)訪問(wèn)黑客構(gòu)造的網(wǎng)馬，網(wǎng)馬在被用戶瀏覽器訪問(wèn)時(shí)就會(huì)利用瀏覽器或者相關(guān)插件的漏洞，下載并執(zhí)行惡意軟件。網(wǎng)站掛馬的主要技術(shù)手段有框架掛馬、Js腳本掛馬、body掛馬和偽裝欺騙掛馬等。1.網(wǎng)站掛馬10.3.4誘騙式攻擊

誘騙下載是指攻擊者將木馬病毒與圖片、Flash動(dòng)畫、文本文件、應(yīng)用軟件等多種格式的文件進(jìn)行捆綁，將捆綁后的文件配以迷惑性或欺騙性的文件名在網(wǎng)絡(luò)中發(fā)布散播以誘使用戶點(diǎn)擊下載。誘騙下載主要通過(guò)多媒體類文件（如某某影音）、網(wǎng)絡(luò)游戲軟件和插件（外掛）、熱門應(yīng)用軟件、電子書、P2P種子文件等下載來(lái)實(shí)施。2.誘騙下載10.3.4誘騙式攻擊

是一種被黑客實(shí)施網(wǎng)絡(luò)欺詐的偽造網(wǎng)站。為了竊取用戶的信息，攻擊者或黑客會(huì)構(gòu)建一個(gè)偽造網(wǎng)站去仿冒真實(shí)的網(wǎng)站。偽造的網(wǎng)站與真實(shí)網(wǎng)站域名相似、網(wǎng)頁(yè)頁(yè)面也幾乎與真實(shí)網(wǎng)站一模一樣，因此這些偽造的網(wǎng)站被稱為釣魚網(wǎng)站。在釣魚網(wǎng)站中，使用戶登錄，以此來(lái)欺騙用戶銀行或信用卡賬號(hào)、密碼等私人資料。如是農(nóng)行的官網(wǎng)，攻擊者會(huì)偽造一個(gè)名為的網(wǎng)站。3.釣魚網(wǎng)站10.3.4誘騙式攻擊

新一代的病毒利用了人的心理弱點(diǎn)，增加了更多的欺騙的因素來(lái)達(dá)到植入病毒的目的。4.社會(huì)工程10.3.5軟件漏洞攻擊利用技術(shù)

軟件漏洞是指計(jì)算機(jī)系統(tǒng)中的軟件在具體的實(shí)現(xiàn)、運(yùn)行、機(jī)制、策略上存在的缺陷或者脆弱點(diǎn)。軟件漏洞按照軟件類別的不同，可以分為操作系統(tǒng)服務(wù)程序漏洞、文件處理軟件漏洞、瀏覽器軟件漏洞和其他軟件漏洞。10.3.5軟件漏洞攻擊利用技術(shù)

是指攻擊者直接通過(guò)網(wǎng)絡(luò)對(duì)目標(biāo)系統(tǒng)發(fā)起主動(dòng)攻擊。針對(duì)對(duì)外提供開放網(wǎng)絡(luò)服務(wù)的操作系統(tǒng)服務(wù)程序漏洞，可通過(guò)直接網(wǎng)絡(luò)攻擊方式發(fā)起攻擊。Metasploit是一款知名的軟件漏洞網(wǎng)絡(luò)攻擊框架性工具，它提供了開源的軟件框架，允許開發(fā)者以插件的形式提交攻擊的腳本。1.直接網(wǎng)絡(luò)攻擊10.3.5軟件漏洞攻擊利用技術(shù)

對(duì)于沒有開放網(wǎng)絡(luò)端口不提供對(duì)外服務(wù)的文件處理軟件漏洞、瀏覽器軟件漏洞和其他軟件漏洞，攻擊者無(wú)法直接通過(guò)網(wǎng)絡(luò)發(fā)起攻擊，只能采用誘騙的方法，才能誘使用戶執(zhí)行漏洞利用代碼。（1）基于網(wǎng)站的誘騙式間接網(wǎng)絡(luò)攻擊。對(duì)于瀏覽器軟件漏洞和其他需要處理網(wǎng)頁(yè)代碼的軟件漏洞，在處理網(wǎng)頁(yè)中嵌入的漏洞利用代碼才能實(shí)現(xiàn)漏洞的觸發(fā)和利用。如IE瀏覽器漏洞、ActiveX空間漏洞及Windows函數(shù)GDI漏洞等。2.誘騙式網(wǎng)絡(luò)攻擊10.3.5軟件漏洞攻擊利用技術(shù)

（2）網(wǎng)絡(luò)傳播本地誘騙點(diǎn)擊攻擊。對(duì)于文件處理軟件漏洞、操作系統(tǒng)服務(wù)程序中內(nèi)核模塊的漏洞以及其他軟件漏洞中的本地執(zhí)行漏洞，需要在本地執(zhí)行漏洞利用程序才能觸發(fā)。如微軟內(nèi)核漏洞、Word/Excel漏洞、微軟媒體播放器軟件漏洞等。2.誘騙式網(wǎng)絡(luò)攻擊10.3.6拒絕服務(wù)攻擊

拒絕服務(wù)攻擊（DenialofService，DoS）是指攻擊者向互聯(lián)網(wǎng)上的某個(gè)服務(wù)器不停地發(fā)送大量分組，使該服務(wù)器無(wú)法提供正常服務(wù)，甚至完全癱瘓。拒絕服務(wù)攻擊的攻擊對(duì)象是目標(biāo)主機(jī)，攻擊的目的是使目標(biāo)主機(jī)的網(wǎng)絡(luò)帶寬和資源耗盡，使其無(wú)法提供正常對(duì)外服務(wù)。1.拒絕服務(wù)攻擊10.3.6拒絕服務(wù)攻擊

若從互聯(lián)網(wǎng)上的成百上千個(gè)網(wǎng)站集中攻擊一個(gè)網(wǎng)站，則稱為分布式拒絕服務(wù)DDoS（DistributedDenialofService）。有時(shí)也把這種攻擊稱為網(wǎng)絡(luò)帶寬攻擊或連通性攻擊。2.分布式拒絕服務(wù)DDoS10.3.6拒絕服務(wù)攻擊DDoS攻擊主控端攻擊者代理端攻擊者是整個(gè)DDoS攻擊的發(fā)起者，它在攻擊之前已經(jīng)取得了多臺(tái)主控端主機(jī)的控制權(quán)，每臺(tái)主控端主機(jī)又分別控制著大量代理主機(jī)。主控端和代理端主機(jī)上都安裝了攻擊者的遠(yuǎn)程控制程序，主控端主機(jī)可以接收攻擊者發(fā)來(lái)的控制命令，操作代理端主機(jī)完成對(duì)目標(biāo)主機(jī)的攻擊。整個(gè)DDoS攻擊包含的各類計(jì)算機(jī)組成的網(wǎng)絡(luò)也稱為僵尸網(wǎng)絡(luò)，因?yàn)橹骺囟酥鳈C(jī)和代理端主機(jī)就像一個(gè)僵尸，被攻擊者控制著向目標(biāo)主機(jī)發(fā)起攻擊，而自己渾然不覺。10.3.7Web腳本攻擊1.注入攻擊

注入漏洞是Web服務(wù)器中廣泛存在的漏洞類型，利用注入漏洞發(fā)起的攻擊稱為注入攻擊，它是Web安全領(lǐng)域最為常見威脅也是最大的攻擊，注入攻擊包括SQL注入、代碼注入、LDAP注入、XPath注入等。10.3.7Web腳本攻擊2.跨站腳本攻擊

跨站腳本攻擊（Crosssitescripting，XSS，是為了和層疊樣式表CSS的區(qū)別）是一種客戶端腳本攻擊方式，它利用網(wǎng)站程序?qū)eb頁(yè)面中輸入的數(shù)據(jù)過(guò)濾不嚴(yán)或未作過(guò)濾的漏洞。攻擊者往Web頁(yè)面里插入惡意腳本代碼想，當(dāng)用戶瀏覽器瀏覽此頁(yè)面時(shí)，該用戶的瀏覽器會(huì)自動(dòng)加載并執(zhí)行頁(yè)面中插入的惡意腳本代碼，從而實(shí)現(xiàn)在用戶瀏覽器中顯示攻擊者的惡意腳本，控制用戶瀏覽器或者竊取用戶資料的目的。10.3.7Web腳本攻擊3.跨站點(diǎn)偽造請(qǐng)求

跨站點(diǎn)偽造請(qǐng)求攻擊（CSRF）屬于偽造客戶端請(qǐng)求的一種攻擊方法。CSRF攻擊是讓用戶訪問(wèn)攻擊者偽造的網(wǎng)頁(yè)，執(zhí)行網(wǎng)頁(yè)中的惡意腳本，偽造用戶的請(qǐng)求，對(duì)用戶有登錄權(quán)限的網(wǎng)站空間實(shí)施攻擊。10.3.8遠(yuǎn)程控制1.木馬

木馬本身一般沒有病毒的感染功能。木馬的主要功能是實(shí)現(xiàn)遠(yuǎn)程控制，也因此而具有較高的隱藏功能，以期望不被用戶發(fā)現(xiàn)和檢測(cè)。木馬程序?yàn)榱藢?shí)現(xiàn)其特殊功能，一般具有偽裝性、隱藏性、竊密性、破環(huán)性等特點(diǎn)。10.3.8遠(yuǎn)程控制2.Webshell

Webshell可以理解為是一種用Web腳本寫的木馬后門，它用于遠(yuǎn)程控制網(wǎng)站服務(wù)器。Webshell以ASP、PHP、ASPX、JSP等網(wǎng)頁(yè)文件的形式存在，攻擊者首先利用Web網(wǎng)站的漏洞將這些網(wǎng)頁(yè)文件非法上傳到網(wǎng)站服務(wù)器的Web目錄中，然后通過(guò)瀏覽器訪問(wèn)這些網(wǎng)頁(yè)文件，利用網(wǎng)頁(yè)文件的命令行執(zhí)行環(huán)境，獲得對(duì)網(wǎng)站服務(wù)器一定的遠(yuǎn)程操作權(quán)限，已達(dá)到控制網(wǎng)站服務(wù)器的手段。10.4網(wǎng)絡(luò)安全防護(hù)技術(shù)10.4.1防火墻10.4.2入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)10.4.1防火墻1.防火墻及分類

防火墻（Firewall）是指設(shè)置在可信任與不可信任的網(wǎng)絡(luò)之間的由軟件和硬件組成的系統(tǒng)，根據(jù)系統(tǒng)管理員設(shè)置的訪問(wèn)控制規(guī)則，對(duì)數(shù)據(jù)流進(jìn)行過(guò)濾。它在內(nèi)網(wǎng)與外網(wǎng)之間構(gòu)建一道保護(hù)屏障，防止非法用戶訪問(wèn)內(nèi)網(wǎng)或向外網(wǎng)傳遞內(nèi)部信息，同時(shí)阻止惡意攻擊內(nèi)網(wǎng)的行為。10.4.1防火墻1.防火墻及分類防火墻像其他軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用軟件防火墻硬件防火墻X86架構(gòu)ASIC架構(gòu)NP架構(gòu)MIPS架構(gòu)10.4.1防火墻2.防火墻的功能

防火墻的主要功能是策略（policy）和機(jī)制（mechanism）的集合，它通過(guò)對(duì)流經(jīng)數(shù)據(jù)流的報(bào)文頭標(biāo)識(shí)進(jìn)行識(shí)別，以允許合法數(shù)據(jù)流對(duì)特定資源的授權(quán)訪問(wèn)，從而防止那些無(wú)權(quán)訪問(wèn)資源的用戶的惡意訪問(wèn)或偶然訪問(wèn)。10.4.1防火墻（1）防火墻在內(nèi)外網(wǎng)之間進(jìn)行數(shù)據(jù)過(guò)濾。管理員通過(guò)配置防火墻的訪問(wèn)控制（ACL）規(guī)則過(guò)濾內(nèi)外網(wǎng)之間交換的數(shù)據(jù)報(bào)，只有符合安全規(guī)則的數(shù)據(jù)才能穿過(guò)防火墻，從而保障內(nèi)網(wǎng)網(wǎng)絡(luò)環(huán)境的安全。（2）對(duì)網(wǎng)絡(luò)傳輸和訪問(wèn)的數(shù)據(jù)進(jìn)行記錄和審計(jì)。這些網(wǎng)絡(luò)傳輸和訪問(wèn)的數(shù)據(jù)記錄并保存到日志中，以供日后分析審計(jì)。（3）防范內(nèi)外網(wǎng)之間的異常網(wǎng)絡(luò)攻擊。（4）通過(guò)配置NAT網(wǎng)絡(luò)地址轉(zhuǎn)換，緩解地址空間短缺。（5）防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。10.4.1防火墻下一代防火墻NGFW（NextGenerationFirewall）

NGFW防火墻除需要擁有傳統(tǒng)防火墻的所有功能，包含包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation，NAT）、狀態(tài)檢測(cè)、虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）等功能，還應(yīng)該集成入侵防御系統(tǒng)，支持應(yīng)用識(shí)別、控制與可視化，NGFW與傳統(tǒng)防火墻基于端口和IP協(xié)議進(jìn)行應(yīng)用識(shí)別不同，而是會(huì)根據(jù)深度包檢測(cè)引擎識(shí)別到的流量在應(yīng)用層執(zhí)行訪問(wèn)控制策略。10.4.1防火墻3.防火墻技術(shù)類型技術(shù)包過(guò)濾防火墻第一代（1998年）應(yīng)用代理型防火墻第二代狀態(tài)監(jiān)測(cè)防火墻第三代統(tǒng)一威脅管理（UTM）防火墻第四代下一代（NGFW）防火墻第五代10.4.2入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)1.入侵檢測(cè)系統(tǒng)

IDS（intrusiondetectionsystem）入侵檢測(cè)系統(tǒng)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。專業(yè)上講IDS就是依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。與防火墻不同的是，IDS入侵檢測(cè)系統(tǒng)是一個(gè)旁路監(jiān)聽設(shè)備，沒有也不需要跨接在任何鏈路上，無(wú)須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對(duì)IDS的部署的唯一要求就是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。10.4.2入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)1.入侵檢測(cè)系統(tǒng)

IDS在交換式網(wǎng)絡(luò)中的位置一般選擇為：盡可能靠近攻擊源、盡可能靠近受保護(hù)資源。這些位置通常是：服務(wù)器區(qū)域的交換機(jī)上；Internet接入路由器之后的第一臺(tái)交換機(jī)上；重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。10.4.2入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)2.入侵防御系統(tǒng)

IPS（IntrusionPreventionSystem）入侵防御系統(tǒng)，可以深度感知并檢測(cè)流經(jīng)的數(shù)據(jù)流量，對(duì)惡意報(bào)文進(jìn)行丟棄以阻斷攻擊，對(duì)濫用報(bào)文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源。10.4.2入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)3.IPS與IDS的區(qū)別、選擇

IPS是位于防火墻和網(wǎng)絡(luò)的設(shè)備之間的設(shè)備。

IPS系統(tǒng)都依靠對(duì)數(shù)據(jù)包的檢測(cè)。IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進(jìn)入你的網(wǎng)絡(luò)。10.4.2入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)入侵檢測(cè)系統(tǒng)入侵防御系統(tǒng)產(chǎn)品價(jià)值角度注重的是網(wǎng)絡(luò)安全狀況的監(jiān)管。關(guān)注的是對(duì)入侵行為的控制。可以實(shí)施深層防御安全策略，即可以在應(yīng)用層檢測(cè)出攻擊并予以阻斷產(chǎn)品應(yīng)用角度需要部署在網(wǎng)絡(luò)內(nèi)部的中心點(diǎn)，需要能夠觀察到所有網(wǎng)絡(luò)數(shù)據(jù)。需要部署在網(wǎng)絡(luò)的邊界10.5互聯(lián)網(wǎng)使用的安全協(xié)議10.5.1網(wǎng)絡(luò)層安全協(xié)議10.5.2傳輸層安全協(xié)議10.5.3應(yīng)用層安全協(xié)議10.5.1網(wǎng)絡(luò)層安全協(xié)議

Internet安全協(xié)議（InternetProtocolSecurity，IPSec）是由互聯(lián)網(wǎng)工程任務(wù)組（IETF）提供的用于保障Internet安全通信的一系列規(guī)范，為私有信息通過(guò)公用網(wǎng)提供安全保障。IPSec是隨著IPv6的制定而產(chǎn)生的，鑒于IPv4的應(yīng)用仍然很廣泛，后續(xù)也增加了對(duì)IPv4的支持。10.5.1網(wǎng)絡(luò)層安全協(xié)議

IPSec協(xié)議是一組開放協(xié)議的總稱，它包括網(wǎng)絡(luò)安全協(xié)議和秘鑰協(xié)商協(xié)議兩部分。其中，網(wǎng)絡(luò)安全協(xié)議包括認(rèn)證協(xié)議頭（AuthenticationHeader，AH）協(xié)議和安全載荷封裝（EncapsulatingSecurityPayload，ESP）協(xié)議，秘鑰協(xié)商協(xié)議包括互聯(lián)網(wǎng)秘鑰交換協(xié)議（InternetKeyExchange，IKE）等。IPsec提供了兩種安全機(jī)制：認(rèn)證和加密。認(rèn)證機(jī)制使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過(guò)程中是否遭篡改。加密機(jī)制通過(guò)對(duì)數(shù)據(jù)進(jìn)行加密運(yùn)算來(lái)保證數(shù)據(jù)的機(jī)密性，以防數(shù)據(jù)在傳輸過(guò)程中被竊聽。10.5.1網(wǎng)絡(luò)層安全協(xié)議安全載荷封裝協(xié)議ESP

安全載荷封裝協(xié)議ESP為基于IPSec的數(shù)據(jù)通信提供了安全加密、身份認(rèn)證和數(shù)據(jù)完整性鑒別這三種安全保護(hù)機(jī)制。ESP可以對(duì)IP層及其上層應(yīng)用協(xié)議進(jìn)行封裝，并進(jìn)行加密或者認(rèn)證處理，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)的機(jī)密性和（或完整性）的保護(hù)?？梢詥为?dú)使用，也可以和AH一起使用。10.5.1網(wǎng)絡(luò)層安全協(xié)議（1）傳輸模式

在傳輸模式下，ESP對(duì)于要傳輸?shù)腎P數(shù)據(jù)報(bào)中的IP有效數(shù)據(jù)載荷進(jìn)行加密和認(rèn)證。即IP數(shù)據(jù)包中的上層傳輸協(xié)議報(bào)頭和應(yīng)用數(shù)據(jù)部分，而不包括IP報(bào)頭。ESP報(bào)頭插在IP報(bào)頭和IP有效數(shù)據(jù)載荷之間。ESP認(rèn)證報(bào)尾提供了對(duì)前面ESP報(bào)頭、IP有效數(shù)據(jù)載荷和ESP報(bào)尾的完整性檢驗(yàn)。在實(shí)際應(yīng)用中，傳輸模式用于端到端（即計(jì)算機(jī)到計(jì)算機(jī)）的網(wǎng)絡(luò)連接中10.5.1網(wǎng)絡(luò)層安全協(xié)議（1）傳輸模式10.5.1網(wǎng)絡(luò)層安全協(xié)議（2）隧道模式

用于網(wǎng)關(guān)設(shè)備到網(wǎng)關(guān)設(shè)備的網(wǎng)絡(luò)連接。網(wǎng)關(guān)設(shè)備后面是局域網(wǎng)中的計(jì)算機(jī)采用明文數(shù)據(jù)傳輸，網(wǎng)關(guān)設(shè)備之間的數(shù)據(jù)傳輸則受ESP協(xié)議隧道模式的保護(hù)。和傳輸模式不同的是，隧道模式下ESP首先對(duì)于要傳輸?shù)恼麄€(gè)IP數(shù)據(jù)報(bào)進(jìn)行加密，包含原有的IP報(bào)頭，然后在原有IP數(shù)據(jù)報(bào)外面再附加上一個(gè)新的IP報(bào)頭。在這個(gè)新的IP報(bào)頭中，源IP地址為本地網(wǎng)關(guān)設(shè)備的IP地址，目標(biāo)IP地址為遠(yuǎn)端VPN網(wǎng)關(guān)設(shè)備的IP地址。兩個(gè)VPN網(wǎng)關(guān)設(shè)備之間通過(guò)其自身的IP地址實(shí)現(xiàn)網(wǎng)絡(luò)尋址和路由，從而隱藏了原IP數(shù)據(jù)包中的IP地址信息。10.5.1網(wǎng)絡(luò)層安全協(xié)議（2）隧道模式10.5.2傳輸層安全協(xié)議1.SSH協(xié)議

SSH（安全外殼協(xié)議）是一種在不安全網(wǎng)絡(luò)上用于安全遠(yuǎn)程登錄和其他安全網(wǎng)絡(luò)服務(wù)的協(xié)議。它提供了對(duì)安全遠(yuǎn)程登錄、安全文件傳輸和安全TCP/IP和X-Window系統(tǒng)通信量進(jìn)行轉(zhuǎn)發(fā)的支持。它可以自動(dòng)加密、認(rèn)證并壓縮所傳輸?shù)臄?shù)據(jù)。SSH協(xié)議由3個(gè)主要組件組成：（1）傳輸層協(xié)議，它提供服務(wù)器認(rèn)證、保密性和完整性，并具有完美的轉(zhuǎn)發(fā)保密性。有時(shí)，它還可能提供壓縮功能。（2）用戶認(rèn)證協(xié)議，它負(fù)責(zé)從服務(wù)器對(duì)客戶機(jī)的身份認(rèn)證。（3）連接協(xié)議，它把加密通道多路復(fù)用組成幾個(gè)邏輯通道。10.5.2傳輸層安全協(xié)議1.SSH協(xié)議

在UNIX、Windows和Macinto