《计算机网络安全原理》第7章 传输层安全.pptxVIP

声 明本PPT是电子工业出版社出版的教材《计算机网络安全原理》配套教学PPT（部分内容的深度和广度在教材的基础上有所扩展），作者：吴礼发本PPT可能直接或间接采用了网上资源、公开学术报告中的部分PPT页面、图片、文字，引用时我们力求在该PPT的备注栏或标题栏中注明出处，如果有疏漏之处，敬请谅解。同时对被引用资源或报告的作者表示诚挚的谢意！本PPT可免费使用、修改，使用时请保留此页。第 七 章 传输层安全内容提纲传输层安全问题1SSL2TLS3SSL/TLS VPN4传输层安全 S/MIME HTTP FTP SMTP HTTP FTP SMTP SSL or TLS Kerberos SMTP HTTP TCP UDP TCP TCP 为保证网络应用间，特别是应用广泛的Web应用数据传输的安全性（机密性、完整性和真实性），可以在多个网络层次上采取安全措施。 IP/IPSec IP IP (c) 应用层(a) 网络层(b) 传输层UDP协议2222字节长 度源端口目的端口检验和首 部数 据UDP 用户数据报发送在前首 部数 据IP 数据报UDP协议UDP协议可用于风暴型DDoS。由于UDP协议不需要与目标建立连接，因此攻击者很容易通过伪造源地址的方式向目标发送攻击报文，非常简单易行攻击者利用控制的僵尸网络中的大量主机向攻击目标（主机或网络设备）发送大量的 UDP数据包，使其忙于处理和回应 UDP 报文，导致目标设备不能提供正常服务或者直接死机，严重的会造成全网瘫痪。TCP协议TCP协议TCP协议TCP协议安全性分析网络扫描拒绝服务（DoS）攻击TCP会话劫持攻击TCP协议端口扫描TCP协议端口扫描：TCP Connect扫描TCP SYN扫描TCP FIN扫描Xmas扫描和Null扫描TCP协议DDoS攻击：TCP SYN FloodingTCP协议连接劫持：只要TCP包中的源端口、目的端口、Seq、Ack正确，即可被正确接收。当得到入侵者构造的TCP数据包，协议会假设数据包是来源于TCP连接中另一方的合法数据包，并且发送响应包到（入侵者构造的数据包中设置的IP地址）。随后，原来的TCP连接会由于计数器不匹配而断开连接。TCP协议连接劫持：关键：猜测Seq、Ack，如果是旁路劫持还需猜测源端口号TCP协议连接劫持：TCP协议连接劫持：TCP协议连接劫持：TCP协议连接劫持：TCP协议连接劫持：TCP协议连接劫持：TCP协议连接劫持：TCP协议连接劫持：TCP协议连接劫持：TCP协议连接劫持：USENIX SECURITY 2016TCP协议USENIX SECURITY 2016连接劫持：RFC 5961TCP协议USENIX SECURITY 2016连接劫持：TCP协议USENIX SECURITY 2016连接劫持：GeekPwn2016TCP协议连接劫持：USENIX SECURITY 2018TCP协议连接劫持：USENIX SECURITY 2018TCP协议连接劫持：USENIX SECURITY 2018TCP协议连接劫持：USENIX SECURITY 2018TCP协议连接劫持：USENIX SECURITY 2018TCP协议连接劫持：USENIX SECURITY 2018TCP协议连接劫持：USENIX SECURITY 2018TCP协议连接劫持：USENIX SECURITY 2018TCP协议USENIX SECURITY 2018连接劫持：GeekPwn2017内容提纲传输层安全问题1SSL2TLS3SSL/TLS VPN4Web安全需求由于Web应用协议主要通过传输层的TCP协议来传输其协议报文，而TCP协议不支持加密和认证，因此并不能保证Web应用传输上的安全网景公司（Netscape）于1994年开发了安全套接字（Security Socket Layer, SSL）协议SSL版本：2.0 (1995年)、3.0 (1996年，2011年RFC6101)Web安全需求SSL 体系结构SSL握手协议SSL密码变更规格协议SSL告警协议HTTP协议 SSL 记录协议 TCP SSL利用TCP协议为上层应用提供端到端的安全传输服务，包括认证和加密 IPSSL体系结构SSL体系结构SSL 体系结构SSL几个协议之间的关系是：使用握手协议协商加密和MAC算法以及必威体育官网网址密钥，以及身份认证使用密码变更规格协议变更连接上使用的密码机制使用记录协议对交换的数据进行加密和签名使用告警协议定义数据传输过程中出现的问题并通知相关方SSL 体系结构SSL两个重要概念连接（connection）：是指一种能够提供合适服务类型的传输通道。对SSL