网络通信安全

博采简纳 2018-05-11

展开全文

第4章

网络通信安全

第4章网络通信安全
4.1 网络通信中的安全威胁 4.2 远程访问的安全

4.3 IP安全
4.4 端口扫描 4.5 小结习题与思考题

第4章

网络通信安全

本章学习目标
1. 了解网络通信安全的内容。 2. 了解网络通信传输中存在的安全威胁。 3. 掌握远程访问的安全配置方法。 4. 掌握端口扫描的概念和方法。 5. 掌握IP的基础知识，以及IP安全的相关内容。

第4章

网络通信安全

4.1 网络通信中的安全威胁
4.1.1 网络通信的安全性

4.1.2 网络通信存在的安全威胁
4.1.3 TCP/IP协议的脆弱性

第4章

网络通信安全

4.1.1 网络通信的安全性
网络通信安全是指通过各种计算机、网络、密码
技术和信息安全技术，确保在通信网络中传输、交换和存储的信息完整、真实和保密，并对信息的传播及内容具有控制能力。网络通信安全性粗略地分为四个相互交织的部分：保密、鉴别、反拒认以及完整性控制。所有这些问题也发生在传统的系统中。网络通信安全的内容可以概括为以下几个方面：

第4章

网络通信安全

1. 保密性：指防止静态信息被非授权访问和防止动态

信息被截取解密。
2. 完整性：要求在存储或传输时信息的内容和顺序都不被伪造、乱序、重置、插入和修改。

3. 可靠性：指信息的可信度，包括信息的完整性、准
确性和发送人的身份认证等方面。 4. 实用性：即信息的加密密钥不可丢失。

第4章

网络通信安全

5. 可用性：指主机存放静态信息的可用性和可操作性。 6. 占有性：若存储信息的主机、磁盘等信息载体被盗用，则将导致对信息占有权的丧失。保护信息

占有性的方法有使用版权、专利、商业秘密、使
用物理和逻辑的访问限制，以及维护和检查有关盗窃文件的审计记录和使用标签等。

第4章

网络通信安全

4.1.2 网络通信存在的安全威胁
计算机网络通信安全即数据在网络中的传输过程的安全，是指如何保证信息在网络传输过程中不被泄露与不被攻击。当网络中的计算机通信双方的发送方给接收方发送信息时，在传输的过程中可能会遭到攻击，攻击类型主要有以下四种：

第4章

网络通信安全

1. 截获：信息被非法用户截获，这时接收方没有接收到应该接收的信息，从而使信息中途丢失，失去了信息的可靠性。 2. 窃听：信息虽然没有丢失，接收方也接收到了信息，但该信息已被不该看的人看到，失去了信息的保密性。

3. 篡改：信息表面上虽然没有丢失，接收方也收到了应该接收的信息，但该信息在传输过程中已被截获并被修改，或插入了欺骗性的信息，实际上接收方所接收到的信息是错误的，失去了信息的完整性。
4. 伪造：发送方并没有发送信息给接收方，而接收方收到的信息是第三方伪造的，如果接收方不能通过有效办法发现这一情况，那就有可能造成严重的后果。

第4章

网络通信安全

4.1.3 TCP/IP协议的脆弱性
TCP/IP协议是进行一切互联网上活动的基础，没有它，信息就不可能在不同操作系统、在不同通信协议中来去自由。因为当时网络软、硬件设备的局限性，当初设计该协议时只着重考虑了网络的速度，而对网络的安全性没作太多的考虑，甚至根本没作考虑，所以说TCP/IP本身在安全

设计上就先天不足。

第4章

网络通信安全

1. 网上信息易被窃取大多数互联网上的信息是没有经过加密的，如电子邮件、网页中输入口令或填写个人资料、文件传输等这一切都很容易被一些别有用心的人监听和劫持，其实这就是TCP/IP通信协议在安全性方面的一个漏洞。

第4章

网络通信安全

2. IP的缺陷导致易被欺骗

① IP包中的源地址可以伪造；
② IP包中的“生成时间”可以伪造； ③ 薄弱的认证环节。图4-1说明了如何使用这个选项把攻击者的系统假扮成某一特定服务器的可信任的客户。

第4章

网络通信安全

服务器

被信任的客户

攻击者

图4-1 IP地址欺骗

第4章

网络通信安全

① 攻击者要使用那个被信任的客户的地址取代自己的地址。 ② 攻击者构成一条要攻击的服务器和其主机间的直接路径，把被信任的客户作为通向服务器的路径的最后节

点。
③ 攻击者用这条路径向服务器发出客户申请。 ④ 服务器接收客户申请，就好像是从可信任客户直接发出的一样，然后给可信任客户返回响应。 ⑤ 可信任客户使用这条路径将包向前传送给攻击者的主机。

第4章

网络通信安全

3. ?ICMP的缺陷

网络中经常会使用到ICMP协议，只不过一般觉察不到
而已。比如经常使用的用于检查网络通不通的“Ping”命令，这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的“Tracert”命令也是基于 ICMP协议的。

第4章

网络通信安全 ICMP中的“Redirect”消息可以用来欺骗主机和路由

器，并使用假路径。这些假路径可以直接通向攻击者的
计算机系统，而不能真正连接到一个合法的可信赖的计算机用户，这会使攻击者获得系统的访问权。

对于系统来说，缺乏反映信源到信宿真实路径的跟
踪信息。通过TCP/IP发出一个数据包如同把一封信丢入信箱，发出者知道正在走向信宿，但发出者不知道通过什么路线或何时到达。这种不确定性也是安全漏洞。

第4章

网络通信安全

4. ?TCP/IP协议明码传送信息导致易被监视网络中最常见的窃听是发生在共享介质的网络中(如以太网)，这是由于TCP/IP网络中众多的网络服务均是明码传送。黑客使用Sniffer、Tcpdump或Snoop等探测工具，就可以清楚地看到某个用户从一台机器登录到另一台机器的全过程。大多数用户不加密邮件，而且许多人认为电子邮件是安全的，所以用它来传送敏感的内容。因此，电子邮件或者Telnet和FTP的内容，可以被监视从而了解一个站点的情况。

第4章

网络通信安全

5. 提供不安全的服务
基于TCP/IP协议的服务很多，有WWW服务、FTP服务和电子邮件服务，TFTP服务、NFS服务等。这些服务都存在不同程度上的安全缺陷，当用户要保护站点时，就需要考虑，该提供哪些服务，要禁止哪些服务，如果有防火墙，应把不对外的服务限制在内网中。

第4章

网络通信安全

4.2 远程访问的安全
管理安全的远程访问是一项艰巨的任务。因为远程系

统可能直接连接到互联网而不是通过公司的防火墙，所以
远程系统将给网络环境带来更大的风险。病毒和间谍软件防御以及一般的VPN网络策略还不足以保护这些系统的安全以及它们连接的网络的安全。远程访问安全的内容包括拨号调制解调器访问安全、虚拟专用网的安全以及无线网络接入的安全等。

第4章

网络通信安全

4.2 远程访问的安全
4.2.1 拨号调制解调器访问安全 4.2.2 虚拟专用网的安全

4.2.3 无线网络接入的安全
4.2.4 远程溢出攻击与后门

第4章

网络通信安全

4.2.1 拨号调制解调器访问安全
通过传输媒介——公用电话网（Public Switched Telephone Network—PSTN），利用Modem模拟拨号技术来实现远程连接，是目前最为普通、方便的远程访问方式。虽然调制解调器给上网带来了极大的方便，但同

时也带来了危险。不少人建立连接时，通常采取的措
施并不安全，从开始到完成，只是根据默认的提示进行。

第4章

网络通信安全

调制解调器的危险在于它提供了进入用户网络的另一个入口点，也就是端口，一般来说，打开网络端口点越多，

被入侵的可能性就越大。
一般一个标准的Intranet结构会包括内、外网段。内网段和外段网之间有防火墙，在内外网段都可能提供拨号服务

器，外网段拨号服务器供普通用户使用，内网段拨号服务器
供公司的高级职员使用，这两种拨号服务保护方式是不同的。

第4章

网络通信安全

外网段拨号服务器被置于防火墙外部，它的安全是通

过防火墙和身份验证服务器来保证的。对于内网段的内部
网来说，这种服务应该是保密的，而且要严格控制，并应有强大的身份验证系统来保证安全。如果一个黑客通过拨

号服务器登录到用户的网络中，那么他就像在用户的公司
里使用一台机器一样，他会窃听到用户的内部网络通信。如何才能提高拨号网络的安全性呢？

第4章

网络通信安全提高拨号调制解调器安全的方法很多，至少可以通过

以下五种方法来实现。
① 号码不要广泛流传。 ② 使用用户名和口令来保护拨号服务器。口令可以是静

态，但最好是一次性口令。
③ 使用安全性好的调制调解器。回拨调制解调器、安静调制解调器是比较好的选择。

第4章

网络通信安全回拨调制解调器是在连接时要求用户输入用户名和口

令，它不会马上连接，它会先断开连接，查找该用户的合法电话号码，然后，回拨调制解调器会回拨到合法电话号码，并建立起连接。最后，用户就可以输入用户名和口令

而进入该系统。这样做可以杜绝一个账号可以在不同电话
机上使用的危险。安静调制解调器在登录完成之前不会发出特殊的

“Connection established”信号，这样可以防止有人按顺序
搜索计算机拨号系统的电话号码。

第4章

网络通信安全

④ 在网络上加一个用于核实用户身份的服务器。

⑤ 防范通过调制调解器对Windows NT的RAS访问带来的安全隐患。
Windows NT 、 2000 、 2003 的远程访问服务 (Remote Access Server—RAS)给用户提供了一种远程用调制解调器访问远程网络的功能，当用户通过远程访问服务连接到远程网络中时，电话线就变得透明了，用户可以访问所有资源，就像他们坐在办公室进而访问这些资源一样，RAS调制解调器起着像网卡一样的作用。

第4章

网络通信安全但这种RAS在实施过程中存在许多重大的安全隐患。

因为RAS服务器和网络操作系统服务器使用相同的用户数

据库。用户用在办公室中使用的同一个用户进行登录，这
样可以保证用户具有相同的访问权限，但这给网络安全的管理带来了新的难题。

为了进行连接，用户必须有一个有效的系统用户账户
和RAS拨入许可，这在用户尝试登录到系统之前，必须被验证。但如果用户不在公司，其身份的真实性就很难验证，如果某个系统管理员的账号被一些别有用心的人知道后进行RAS访问，那后果将会非常严重。

第4章

网络通信安全

① 加强公司员工账号管理。为了防止非法用户通过RAS访问网络就必须加强公司员工账号管理，特别是管理员账号。 ② 管理员账号最好不是使用“Administrator” 。应对其进行改名，或增加一个同样权限的系统管理员组成员，用户账号也要求经常更改。 ③ 定期更改密码。有些公司就要求所要用户密码至少一个月改一次，而且最近的两次密码不能一样，公司的进、销、存管理软件用户密码至少要求一个星期改一次，这在某种程度上预防了非法用户通过RAS进行非法登录。

第4章

网络通信安全

4.2.2 虚拟专用网的安全
虚拟专用网(Virtual Private Network—VPN)是专用网络在公共网络(如Internet)上的扩展。VPN通过私有隧道技术在公共网络上仿真一条点到点的专线，通信数据在安全隧道中进行加密传输，从而达到安全传输数据的目的。由于VPN具有高度灵活性、高带宽、高安全性、应用费用相对低廉等优点，已经成为非常理想的企业网远程访问解决方案。
VPN 的应用可以分为三个基本类型：Access VPN、 Intranet VPN和Extranet VPN。

第4章

网络通信安全

1. ?VPN的一般组网方案
可以利用企业现有的网络设备，如路由器、服务器与防火墙来建置VPN。有些企业网络以路由器为中心，把 VPN 服务加在路由器上。有些企业把防火墙看成是 Internet安全通信的核心，选择防火墙式的VPN建置方案。 1) 路由器式VPN 使用具有VPN功能的路由器，公司总部便可与分公司间经由Internet或ISP网络来传送企业内部资料。拨号连接

用户也可在ISP网络中建立隧道(Tunneling)，以存取企业
网络。

第4章

网络通信安全

相对来说，路由器式VPN部署较容易，只要在路由器上添加VPN服务，通常只需将软件升级即可，而

新型路由器通常已在软件或操作系统中内建了VPN服
务。基本上，路由器上的VPN软件升级，一般都会包括防火墙、加密以及隧道等功能。有些厂商则会将用

户身份辨识与既有的身份辨识服务，如远程身份辨识
拨号连接用户服务(Remote Authentication Dial-In User Service—RADIUS)连结在一起。

第4章

网络通信安全

2) 软件式VPN

由生产厂商和协作厂商提供的VPN应用程序可执行加
密、隧道建立与身份辨识，让用户通过VPN与企业内部网络相连。这种技术可使现有设备继续沿用，即将软件安装

在现有的服务器上，不需变动网络组态。另外，程序可与
现有的网络操作系统的身份辨识服务相连，可大幅简化 VPN的管理工作。

第4章

网络通信安全

3) 防火墙式VPN
许多企业以防火墙为Internet安全措施的核心，用来防范黑客的攻击。许多防火墙厂商已在它们的产品中支持VPN服务，保护用户的内部网络免于被未授权的用户侵入。一个良好的防火墙可以根据用户、应用程序和传输源辨识通信流。这种作法的好处是现有网络架构保持不变，就可以管理VPN服务所用的接口，而且与原来管理防火墙时使

用的接口相同。因为加密与建立隧道等VPN服务都是由
软件来处理的，从而进一步提高了效能。

第4章

网络通信安全 2. ?VPN的安全管理同任何的网络资源一样，VPN也必须得到有效的

管理，需要关注VPN的安全问题。目前所有的VPN设
备都应用了相关的核心技术，这些技术包括隧道协议 (Tunneling) 、资料加密 (Encryption) 、认证 (Authentication)及存取控制 (Access Control)等。

第4章

网络通信安全

(1) 隧道技术隧道技术就是将原始报文在A地进行封装，到达B地后去掉封装，还原成原始报文，这样就形成了一条由A到B的通信隧道。隧道协议技术分为两种不同的类型。 ① 端对端(End-to-End)隧道技术。从用户的PC延伸到用户

所连接的服务器上。
② 点对点(Node-to-Node)隧道技术。主要是连接不同地区的局域网络。在局域网络内部传送的资料并不需做任何的变动。

第4章

网络通信安全

(2) 加密技术大部分VPN设备厂商都支持市场上主要的几种加密技术，像 RSA Security 公司的 Rivest Cipher 技术、 DES 及 Triple-DES (三重DES)等。密钥长度的选择取决于许多因素，较明显的因素包括确保资料机密的重要性程度以及资

料所流经的网络安全性等。
在VPN中，加密应只使用于特别敏感的交通，当有需要时才使用，或加装硬件加密模块，因为加密非常占用处

理器资源，而且会影响速度性能。

第4章

网络通信安全一旦VPN采用加密技术后，系统也必须提供用户一套

取得密钥的方法。最常见的几种密钥管理技术为 PPP (Point-to-Point Protocol，点对点协议)中的加密技术。 ① ECP协议(Encryption Control Protocol，加密控制协议)

② MPPE (Microsoft Point-to-Point Encryption，Microsoft
点对点加密技术) ③ ISAKMP/IKE (Internet Society Association Key

Management Protocol/Internet Key Exchange，网络安全关联密钥管理协议/网络密钥交换)

第4章

网络通信安全

(3) 认证 VPN采用了许多现存的用户认证技术。举例来说，许多厂商所推出的 VPN 设备中，都具备了 PPP 的 PAP (Password Authentication Protocol，密码认证协议)技术、

CHAP (Challenge Handshake Authentication Protocol，挑战
性握手验证协议) 。

第4章

网络通信安全

VPN连接包括两种认证形式：

① 用户身份认证
在VPN连接建立之前，VPN服务器对请求建立连接的VPN客户机进行身份验证，核查其是否为合法的授权用户。如果使用双向验证，还需进行VPN客户机对VPN 服务器的身份验证。 ② 数据完整性和合法性认证检查链路上传输的数据是否出自源端以及在传输过程中是否经过篡改。VPN链路中传输的数据包含密码检查，密钥只由发送者和接收者双方共享。

第4章

网络通信安全 (4) 存取控制

在确认用户身份之后，进一步所需要的功能就是针
对不同的用户授予不同的存取权限。这部分的功能也是认证服务器拥有的另一功能。

第4章

网络通信安全

许多VPN的产品都伴随有适用该产品的认证服务器。

用户必须接受身份和授权程序的验证，让网络知道他们
是谁以及让用户知道他们可以做些什么。一个良好的系统也会执行账户稽核，以追踪支出源和确保安全性。

验证(Authentication) 、授权(Authorization)和账户稽
核(Accounting) ，统称为AAA服务。

第4章

网络通信安全 (5) QoS技术通过隧道技术和加密技术，已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定，管理上不能满足用户的要求，这就要加入服务质量(Quality of Service—QoS)。实行QoS应该在主机网

络中，即VPN所建立的隧道这一段，建立一条性能符
合用户要求的隧道。

第4章

网络通信安全

4.2.3 无线网络接入的安全
随着无线网络技术的成熟，无线网络和数据采集设备

及监控设备的有效结合，同样可以很方便地进行远程连
接。目前实现无线网络的技术有： ?蓝牙无线接入技术 ?IEEE 802.11连接技术 ?HomeRF (Home Radio Frequency)技术。

第4章

网络通信安全

无线网络最基本的安全措施是有线等效保密 WEP

(Wired Equivalent Privacy)协议。WEP使用RC4加密算法，
这种算法使用同一组密钥来打乱以及重新组合网络封包。如果用户的密钥管理系统以一种可预测的方式循环使用一组不同的密钥，那么决心要破解密码的黑客便可以从正常用户的局域网络流量中收集资料，并且通过密钥的相关分析来帮助破解加密机制。他们的攻击技巧对于40位或者128位的RC4加密机制都同样有效。

第4章

网络通信安全

基于以上原因，最新的标准整合了两项与认证和加密有

关的关键组件。在认证功能方面，未来可能会采用802.1x标
准。采用这项标准能够让用户每次登入网络都使用不同的加密密钥，而且该标准自身提供了密钥管理机制。

第4章

网络通信安全在新的标准没有出来之前，如果要确保无线接入的安

全性最好，应该采取以下措施：
1. 使用动态秘钥管理动态安全链路会自动生成一个新的128位加密秘钥，

它对每个网络用户和每次网络会话来说都是唯一的。这一
技术能够比静态共享秘钥策略提供更高的网络安全性，帮助用户从手工的输入工作中解脱出来。

第4章

网络通信安全 2. 定期稽核强化无线接入安全性的一个必要步骤便是通过网络

稽核，找出所有未受管制的无线局域网络联接器，进而将它们纳入系统既有安全政策的管制，或者干脆完全停止使用这些联接器。从短期来看，各企业应该使用具备

无线局域网络流量侦测功能的产品，以便能够方便地找
出无线局域网络联接器。

第4章

网络通信安全 3. 认证由于以WEP为基础的标准规范存在安全缺陷，因此需

要一套强而有力的认证机制与防火墙搭配一起使用，即将
无线局域网络区段作为公共网络一样看待。第二层虚拟局域网络(Layer 2 virtual LANs)可以将无线

局域网络流量区隔在单一防火墙之外，从而减少多重防火
墙设备的需要。除了单纯地通过认证机制以及网络观测设备来进行存取控制之外，用户也可以部署一套入侵侦测系统(Intrusion Detection System—IDS)，以便主动地事先辨认出局域网络入侵迹象。

第4章

网络通信安全

4.2.4 远程溢出攻击与后门
1. 远程溢出攻击远程溢出攻击作为常见的漏洞利用方式，一旦攻击者寻找并发现目标主机的某个守护进程或网络服务存在着远程溢出漏洞，那么他很可能在接下来的时间内取得主机的额外访问权，就这样攻击者在没有物理接触目标

系统的情况下就获得了对目标主机的控制权。

第4章

网络通信安全

远程溢出攻击者无须一个账号登录到本地直接获得

远程系统的管理员权限，通常通过攻击以root身份执行
的有漏洞的系统守护进程或网络服务来完成，这些漏洞中的绝大部分来源于缓冲区溢出，少部分来自守护进程

本身的逻辑缺陷。

第4章

网络通信安全

2. 后门程序
后门又称为Back Door，其用途在于潜伏在电脑中，从事搜集信息或便于黑客进入的动作。后门程序和电脑病毒的最大的区别，在于后门程序不一定有自我复制的动作，也就是后门程序不一定会“感染”其他电脑。它不仅绕过系统已有的安全设置，而且还能挫败系统上各种增强的安全设置。

第4章

网络通信安全

简单的后门可能只是建立一个新的账号，或者接管一个很少使用的账号；复杂的后门（包括木马）可

能会绕过系统的安全认证而对系统有安全存取权。
后门产生的必要条件有以下三点： ① 必须以某种方式与其他终端节点相连；

② 目标机默认开放的可供外界访问的端口必须在一个以上；
③ 目标主机存在设计或人为疏忽，导致攻击者能以权限较高的身份执行程序。

第4章

网络通信安全

4.3 IP安全
随着Internet的迅速发展，现有的IP版本不足以满足

Internet的性能和功能要求。作为一种稀缺资源，IP地址
的盗用就成为很常见的问题。 IP地址盗用侵害了Internet网络的正常用户的权利，并且给网络计费、网络安全和网络运行带来了巨大的负面影响，因此解决IP地址盗用问题成为当前一个迫切的课题。

第4章

网络通信安全

4.3 IP安全

4.3.1 IP安全的防范技术 4.3.2 IP的鉴别和保密机制

第4章

网络通信安全

4.3.1 IP安全的防范技术
Internet的经营者已在某些领域开发出专用的安全机制。但是用户对于协议层有一些安全要求。通过实现IP级的安全性，就可以确保一个组织安全组网。 IP级的安全包含两个功能域：鉴别和保密。 IPv6对这些特征的支持是强制性的，而IPv4是选择

性的。在两种情况下，安全特征主要都在IP信元头后
面的扩展信元头中实现。

第4章

网络通信安全

1. IP地址盗用方法分析 IP地址的盗用方法多种多样，其常用方法主要有

以下几种：
① 静态修改IP地址。 ② 成对修改IP-MAC地址。 ③ 动态修改IP地址。

第4章

网络通信安全 2. 防范技术研究针对IP盗用问题，网络专家采用了各种防范技术，现在比较常用的防范技术主要是根据TCP/IP的层次结构，在不同的层次采用不同的方法来防止IP地址的盗用。 ① 交换机控制解决IP地址的最彻底的方法是使用交换机进行控制，即在TCP/IP第二层进行控制：使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问都将被拒绝。

第4章

网络通信安全

② 路由器隔离采用路由器隔离的办法其主要依据是MAC地址作

为以太网卡地址是全球唯一的，不能改变。实现方法
为通过SNMP协议定期扫描校园网各路由器的ARP表，获得当前IP和MAC的对照关系，和事先合法的IP和

MAC地址比较，如不一致，则为非法访问。

第4章

网络通信安全

③ 防火墙与代理服务器

使用防火墙与代理服务器相结合，也能较好地解
决IP地址盗用问题。防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决，变IP管理为用户身份和口令的管理。

第4章

网络通信安全

4.3.2 IP的鉴别和保密机制
1. IPSec协议 IPSec全称为Internet Protocol Security，是由Internet Engineering Task Force (IETF) 定义的安全标准框架，是Internet的网络层安全协议，用以提供公用和专用网络的端对端加密和验证服务。

第4章

网络通信安全

IPSec是应用于IP层上网络数据安全的一整套的协议体系结构。包括：

? 网络认证协议AH（Authentication Header，认证头）
? ESP（Encapsulating Security Payload，封装安全载荷） ? IKE（Internet Key Exchange，因特网密钥交换） ? 用于网络认证及加密的一些算法

第4章

网络通信安全
Application Email - S/MIME Application

Presentation

Presentation

Session

SSL

Session

Transport

Transport

Network

IPSec

Network

Datalink

PPP - ECP

Datalink

Physical

Physical

Encrypting NIC

PHYSICAL NETWORK

Encrypting NIC

Security Protocol Layers

第4章

网络通信安全

Data in TCP/IP Application data abcdefghi

abc

def

ghi

TCP
TCP

abc

TCP

def

TCP

ghi

IP
IP
TCP

abc

IP

TCP

def

IP

TCP

ghi

第4章

网络通信安全

Data in TCP/IPSec/IP

Application data abc TCP
TCP

abcdefghi def
TCP

ghi
TCP

abc uvw

def xyz

ghi

IP/IPSec
IP
IPSec TCP

IP

IPSec TCP

IP

IPSec TCP

lmn

第4章

网络通信安全

2. 安全关联（SA)

为使通信双方的认证/加密算法及其参数、密钥的一
致，相互间建立的联系被称为安全组合或安全关联（Security Association）。

关联是发送方和接收方之间的单向关系，如果双向
安全交换需要一个同级关系，那么就需要两个安全关联。 SA由一个三元组唯一地标识，该三元组为安全索引参数SPI、一个用于输出处理的目的IP地址（或用于输入处理的源IP地址）和协议（如AH或ESP）。

第4章

网络通信安全 SPI是为了唯一标识SA而生成的一个32位整数。包含在AH头标和ESP头标中。有了SPI，相同源、目的节点的数据流可以建立多个SA。

第4章

网络通信安全 3. 认证头标AH

认证（鉴别）头标AH（Authentication Header）提
供无连接的完整性、数据源认证和抗重放保护服务。
认证范围（IP头标中可变域除外） IP头标 AH头标 TCP/UDP头标净荷（用户数据）（传输模式）下一个头标（8）净荷长度（8） SPI[安全参数索引（32比特）] 序列号认证数据[长度可变（32比特的整数倍）] 保留（16）

第4章

网络通信安全

4.加密头标ESP
ESP（Encapsulating Security Payload）提供数据保密、无连接完整性服务。 ESP一般采用对称密码体制加密数据。根据用户要求，该机制可以用来给传送层的段加密

（如TCP、用户数据报协议——UDP或ICMP），或者
给整个IP分组加密。前者叫作传送模式ESP，后者叫作隧道模式ESP。

第4章

网络通信安全

加密范围数据验证范围

IP报头

ESP头

ESP尾

ESP认证

图4-2 传送模式下IP报文加密

第4章

网络通信安全

加密范围外部IP报头 ESP头数据

IP报头

ESP尾

ESP认证

验证范围

图4-3 隧道模式下IP报文加密

第4章

网络通信安全 5．鉴别与保密的综合

鉴别与保密这两种IP安全机制可以综合运用，以
传输要求保密和鉴别的IP分组。有两种综合方案可供选择。

① 先加密，后鉴别
在这种情况下，要鉴别整个IP分组，包括加密的和未加密的部分。

第4章

网络通信安全

先加密后鉴别
加密范围 IP - H AH ESP - H 内部IP分组包的传送层字段鉴别范围 ET

? IP-H：基于IP的信元头加上扩展信元头 ? ESP-H：密封保密负载信元头 ? ET：密封保密负载尾部字段 ? AH：鉴别信元头

第4章

网络通信安全

② 先鉴别，后加密该方案适用于隧道模式的ESP。在这种情况下，鉴别信元头被放在内部IP分组之中。这一内部分组既被鉴别，被加密。

第4章

网络通信安全

先鉴别后加密

加密范围外IP - H ESP - H 内IP - H AH 传送层字段鉴别范围内部IP分组包 ET

第4章

网络通信安全

4.4 端口扫描
4.4.1 基本概念 4.4.2 端口扫描 4.4.3 栈指纹 4.4.4 端口扫描方法

第4章

网络通信安全

4.4.1 基本概念
1. TCP协议 TCP（传输控制协议）是一种使用得最广泛的网

络通信协议，很多服务都是建立在TCP协议之上，比
如最流行的Email (SMTP, POP3)、HTTP、FTP等等。

第4章

网络通信安全

TCP建立连接的过程（三次握手）

第4章

网络通信安全

TCP断开连接的过程（四次握手）

第4章

网络通信安全

2. TCP协议标志位 TCP报文格式包含6个标志位，分别为： ① SYN：标志位用来建立连接，让连接双方同步序列号。如果SYN=1而ACK=0，则表示该数据包为连接请求，如果SYN=1而 ACK=1则表示接受连接。 ② ACK：为确认标志位。如果为1，表示包中的确认号是有效的。否则，包中的确认号无效。 ③ FIN：表示发送端已经没有数据要求传输了，希望释放连接。

第4章

网络通信安全

④ RST：用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到一个分段明显不属于该主机上的任何一个连接，则向远端发送一个复位包。 ⑤ URG：为紧急数据标志。如果为1，表示本数据包

中包含紧急数据。此时紧急数据指针有效。
⑥ PSH：如果置位，接收端应尽快把数据传送给应用层。

第4章

网络通信安全

3. TCP会话准则大部分系统在实现TCP/IP时遵循以下原则： ① 当一个SYN或者FIN数据包到达一个关闭的端口， TCP丢弃数据包同时发送一个RST数据包。 ② 当一个RST数据包到达一个监听端口，RST被丢弃；

当一个RST数据包到达一个关闭的端口，RST被丢
弃。 ③ 当一个包含ACK的数据包到达一个监听端口时，数据包被丢弃，同时发送一个RST数据包。

第4章

网络通信安全

④ 当一个SYN位关闭的数据包到达一个监听端口时，

数据包被丢弃。
⑤ 当一个SYN数据包到达一个监听端口时，正常的三阶段握手继续，回答一个SYN＋ACK数据包。

⑥ 当一个FIN数据包到达一个监听端口时，数据包被
丢弃。“FIN行为”（关闭端口返回RST，监听端口丢弃包），在URG和PSH标志位置位时同样要发生。所有的URG，PSH和FIN，或者没有任何标记的TCP数据包都会引起“FIN行为”。

第4章

网络通信安全

4.端口在Internet上，各主机间通过TCP/IP协议发送和接

收数据报，各个数据报根据其目的主机的IP地址来进
行互联网络中的路由选择。但是，大多数操作系统支持多程序（进程）同时运行，因此本地操作系统会给

那些有需求的进程分配端口（Port）。
端口其实就是队列，操作系统为各个进程分配了不同的队列，数据报按照目的端口被推入相应的队列中，等待被进程取用。

第4章

网络通信安全

5.ICMP协议
ICMP（Internet控制消息协议）协议用于在主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。 ICMP报文分为查询报文和差错报文两类。

第4章

网络通信安全常用ICMP报文分类
报文类型回显请求/应答（ping）时间戳请求/应答地址掩码请求/应答查询报文 √ √ 差错报文

超时
端口不可达主机不可达网络不可达

√
√ √ √

第4章

网络通信安全

4.4.2 端口扫描
端口扫描是为了确定主机端口的开放情况。利用此技术，可以远程检测目标主机开放的服务。端口扫描前首先要枚举待扫描的端口，然后向目标主机的这些端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关

闭。由此也可以得知目标主机提供的服务信息。

第4章

网络通信安全

到目前为止存在各类的端口扫描方法，主要有

TCP全连接扫描、TCP SYN（半连接）扫描、TCP FIN
扫描、UDP ICMP端口不能到达扫描等。

第4章

网络通信安全

4.4.3 栈指纹
端口扫描只能提供被扫描主机所开放服务的信息，不会提供目标主机的操作系统的其它信息。为了更进一步的探测目标主机的操作系统信息，还需要使用栈指纹技术。协议栈指纹是指不同操作系统的网络协议栈存在的

细微差别，这些差别可以用来区分不同的操作系统。

第4章

网络通信安全

常用的网络协议是标准的，因而从理论上讲各个

操作系统的协议栈应该是相同的。但是，在实践中，
各种操作系统的协议栈的实现存在细微的差异。这些差异称作网络协议栈的“指纹”。

对TCP协议族来说，这些差异通常表现在数据包
头的标志字段中。如window size、ACK序号、TTL等的不同取值。通过对这些差别进行归纳和总结，可以比较准确地识别出远程系统的操作系统类型。

第4章

网络通信安全

4.4.4 端口扫描方法
1. TCP connect()扫描

TCP connect()扫描是最基本的TCP扫描方式。
connect()是一种系统调用，由操作系统提供，用来打开一个连接。如果目标端口有程序监听，connect()就会成功返回，否则这个端口是不可达的。这项技术最大的优点是，不需要管理员权限，即

可进行扫描。

第4章

网络通信安全步骤

1. 发出一个TCP连接请求数据包(SYN)，然后等待回应。

2. 如果对方返回应答包(ACK+SYN)，就表示目标端口
正在监听；如果返回复位数据包(ACK+RST)，就表示目标端口没有监听程序。

3. 如果收到一个应答包(ACK+SYN)，则先发出一个应
答数据包(ACK)来完成TCP三次握手过程，而后继续发出一个复位数据包(ACK+RST)来断开和目标主机的连接。

第4章

网络通信安全

2. TCP SYN扫描 TCP同步扫描(TCP SYN)：因为不必全部打开一个

TCP连接，所以这项技术通常称为半开扫描(half-open)。

第4章

网络通信安全步骤

1. 发出一个TCP连接请求数据包(SYN)，然后等待回应。

2. 如果对方返回应答包(ACK+SYN)，就表示目标端口
正在监听；如果返回复位数据包(ACK+RST)，就表示目标端口没有监听程序。

3. 如果收到一个应答包（ACK+SYN），则马上发出一
个复位数据包（RST）来断开和目标主机的连接。

第4章

网络通信安全 3.主机扫描

通过向指定的网络内的每个IP地址发送ICMP echo
请求数据包，可以实现主机探测，如果主机正在运行就会作出响应，否则无响应。

通过扫描工具使用ARP Ping扫描来发现局域网
（ARP数据包不能跨越路由器）中正在运行的主机，是一种效率非常高的发现局域内活动主机的方法。

第4章

网络通信安全

4. UDP扫描如果想知道某台主机上提供哪些UDP服务，可以

使用这种扫描方法。
首先向目标主机的每个端口发出一个0字节的UDP 包，如果收到端口不可达的ICMP应答，则端口就是关

闭的，否则就假设它是打开的。

第4章

网络通信安全

4.5 小结
这一章介绍了网络通信安全的基本知识。首先是网络通信中存在的安全问题，然后介绍了TCP/IP协议下各个层次的安全性问题和TCP/IP协议组的安全缺陷。在远程访问安全中主要介绍了提高远程访问网络安全性的方法。最后介绍了端口扫描的相关概念和方法。

第4章

网络通信安全

习题与思考题
1. 试述哪些因素会影响网络通信线路的安全。 2. 网络层的安全性体现在什么地方？ 3. 传输层安全性不足表现在什么地方？ 4. 举例说明IP的缺陷导致易被欺骗。 5. 为什么说调制解调器给上网的用户带来不安全因素？ 6. 简述几种远程访问的安全问题。