1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,网络完全为人民,/,网络完全靠人民,汇报人:XXX,时间:,2022.10.05,网络安全技术,CONTENT,目录,1,网络攻击概述,2,网络攻击技术,3,4,网络攻击防御技术,安全操作系统概述,网络攻击概述,【,第一章节,】,点击此处更换文本替换文字点击此处更换文本替换文字点击此处更换文本替换文字,一、网络黑客,概念,怀有不良企图,强行闯入远程计算机系统或恶意干扰远程系统完整性,通过非授权的访问权限,盗取数据甚至破坏计算机系统的“入侵者”称为黑客。,攻击目的,窃取信息;获取口令;控制中间站点;获得超级用户权
2、限等,实例:,1983,年,“,414,黑客”,,6,名少年黑客被控侵入,60,多台电脑,1987,年,赫尔伯特,齐恩(“影子鹰”),闯入没过电话电报公司,1988,年,罗伯特,莫里斯“蠕虫程序”,造成,1500,万到,1,亿美元的经济损失。,1990,年,“末日军团”,,4,名黑客中有,3,人被判有罪。,1995,年,米特尼克偷窃了,2,万个信用卡号,,8000,万美元的巨额损失。,1998,年,2,月,德国计算机黑客米克斯特,使用美国七大网站陷于瘫痪状态,1998,年,两名加州少年黑客,以色列少年黑客分析家,查询五角大楼网站并修改了工资报表和人员数据。,1999,年,4,月,“,CIH”,
3、病毒,保守估计全球有,6,千万部电脑感染。,1999,年,北京江民,KV300,杀毒软件,损失,260,万元。,2000,年,2,月,“雅虎”、“电子港湾”、亚马孙、微软网络等美国大型国际互联网网站,损失超过了,10,亿美元。,2000,年,4,月,闯入电子商务网站的威尔斯葛雷,估计导致的损失可能超过,300,万美元。,二、网络攻击的目标,目标,:系统、数据(数据占,70%,),系统型攻击特点:,攻击发生在网络层,破坏系统的可用性,使系统不能正常工作,可能留下明显的攻击痕迹。,数据型攻击特点:,发生在网络的应用层,面向信息,主要目的是为了篡改和偷取信息,不会留下明显的痕迹。(注:着重加强数据安
4、全,重点解决来自内部的非授权访问和数据的保密工作。),一,.,阻塞类攻击,通过强制占有信道资源、网络连接资源及存储空间资源,使服务器崩溃或资源耗尽而无法对外继续提供服务(例如拒绝服务攻击)。,常见方法:,TCPSYN,洪泛攻击、,Land,攻击、,Smurf,攻击及电子邮件炸弹等,攻击后果:使目标系统死机;使端口处于停顿状态;在计算机屏幕上发现杂乱信息、改变文件名称、删除关键的程序文件;扭曲系统的资源状态,使系统的处理速度降低。,二,.,探测类攻击,收集目标系统的各种与网络安全有关的信息,为下一步入侵提供帮助。,包括:扫描技术(采用模拟攻击形式对可能存在的安全漏洞进行逐项检查)、体系结构刺探及
5、系统信息服务收集等,试图获得对目标主机控制权的。,常见方法:口令攻击、特洛伊木马、缓冲区溢出攻击,控制类攻击,通过冒充合法网络主机或通过配置、设置一些假信息来骗取敏感信息。,常见方法:,ARP,缓存虚构、,DNS,告诉缓冲污染及伪造电子邮件等,欺骗类攻击,非法用户未经授权通过系统硬件或软件存在的某中形式的安全方面的脆弱性获得访问权或提高其访问权限。,漏洞类攻击,指对目标主机的各种数据与软件实施破坏的一类攻击。,常见方法:计算机病毒、逻辑炸弹,破坏类攻击,网络攻击技术,【,第二章节,】,点击此处更换文本替换文字点击此处更换文本替换文字点击此处更换文本替换文字,一、网络攻击的一般模型概述,网络攻击
6、一般模型:经历四个阶段,搜索信息,获取权限,消除痕迹,深入攻击,1,、搜集信息(攻击的侦查阶段),隐藏地址:寻找“傀儡机”,隐藏真实,IP,地址。,锁定目标:寻找、确定攻击目标。,了解目标的网络结构、网络容量、目录及安全状态,搜索系统信息:分析信息,找到弱点攻击。,2,、获取权限,利用探测到的信息分析目标系统存在的弱点和漏洞,选择合适的攻击方式,最终获取访问权限或提升现有访问权限。,3,、消除痕迹,清除事件日记、隐藏遗留下的文件、更改某些系统设置,4,、深入攻击,进行信息的窃取或系统的破坏等操作。,二、常用网络攻击的关键技术,通过端口扫描可以搜集目标主机的系统服务端口的开放情况,进行判断目标的
7、功能使用情况,一旦入侵成功后将后门设置在高端口或不常用的端口,入侵者通过这些端口可以任意使用系统的资源。,1,、端口扫描技术,(,1,)常用的端口扫描技术,TCP connect,()扫描:使用,connect,(),建立与目标主机端口的连接。若端口正在监听,,connect,()成功返回;否则说明端口不可访问。任何用户都可以使用,connect,()。,TCP SYN,扫描:即半连接扫描。扫描程序发送,SYN,数据包,若发回的响应是,SYN/ACK,表明该端口正在被监听,,RST,响应表明该端口没有被监听。若接收到的是,SYN/ACK,,则发送,RST,断开连接。(主机不会记录这样的连接请求
8、,但只有超级用户才能建立这样的,SYN,数据包)。,TCP FIN,扫描:关闭的端口用正确的,RST,应答发送的对方发送的,FIN,探测数据包,相反,打开的端口往往忽略这些请求。,Fragmentation,扫描:将发送的探测数据包分成一组很小的,IP,包,接收方的包过滤程序难以过滤。,UDP recfrom,()和,write,()扫描,ICMP echo,扫描:使用,ping,命令,得到目标主机是否正在运行的信息。,TCP,反向,Ident,扫描:,FTP,返回攻击,UDP ICMP,端口不能到达扫描,定义,一种自动检测远程或本地主机安全弱点的程序,可以不留痕迹地发现远程服务器的各种,TC
9、P,端口的发配及提供的服务。,(,2,)扫描器,工作原理,通过选用远程,TCP/IP,不同的端口服务,记录目标给予的回答。,三项功能,发现一个主机或网络的功能;一旦发现主机,发现什么服务正在运行在主机上的功能;测试这些服务发现漏洞的功能。,1,网络监听技术是指截获和复制系统、服务器、路由器或防火墙等网络设备中所有网络通信信息。,2,、网络监听技术,2,网卡接收数据方式:广播方式、组播方式、直接方式、混杂模式,3,基本原理:数据包发送给源主机连接在一起的所有主机,但是只有与数据包中包含的目的地址一致的主机才能接收数据包。若主机工作在监听模式下,则可监听或记录下同一网段上的所有数据包。,3,、网络
10、欺骗技术,定义:是利用,TCP/IP,协议本身的缺陷对,TCP/IP,网络进行攻击的技术。,IP,欺骗,:选定目标,发现主机间的信任模式,使目标信任的主机丧失工作能力,,TCP,序列号的取样和预测,冒充被信任主机进入目标系统,实施破坏并留下后门。,ARP,欺骗,对路由器,ARP,表的欺骗:原理是截获网关数据。,对局域网内个人计算机的网络欺骗:原理是伪造网关。,后果:影响局域网正常运行;泄露用户敏感信息,密码攻击的方法:,(,1,)通过网络监听非法得到用户密码:采用中途截获的方法获取用户账户和密码。,(,2,)密码穷举破解:在获取用户的账号后使用专门软件强行破解用户密码。(口令猜解、字典攻击、暴
11、力猜解),4,、密码破解技术,指通过猜测或其他手段获取合法用户的账号和密码,获得主机或网络的访问权,并能访问到用户能访问的任何资源的技术。,定义:,简称,DoS,技术,是针对,TCP/IP,协议的缺陷来进行网络攻击的手段。通过向服务器传送大量服务要求,使服务器充斥着这种要求恢复的信息,耗尽网络带宽或系统资源,最终导致网络或系统瘫痪、停止正常工作。,5,、拒绝服务技术,常见攻击模式:,资源消耗型、配置修改型、服务利用型,新型拒绝服务攻击技术:,分布式拒绝服务攻击、分布式反射拒绝服务攻击,三、常用网络攻击工具,端口扫描工具,网络安全扫描器,NSS,、安全管理员的网络分析工具,SATAN,、,Sup
12、erScan,网络监听工具:,X-Scan,、,Sniffer,、,NetXray,、,tcpdump,、,winpcap,等,密码破解工具,是能将口令解译出来,或者让口令保护失效的程序。,拒绝服务攻击工具,DoS,工具:死亡之,ping,、,Teardrop,、,TCP SYN,洪水、,Land,、,Smurf,DDoS,工具:,TFN,、,TFN2k,、,Trinoo,、,mstream,、,shaft,等,网络攻击防御技术,【,第三章节,】,点击此处更换文本替换文字点击此处更换文本替换文字点击此处更换文本替换文字,一、网络攻击的防范策略,提高安全意识:从使用者自身出发,加强使用者的自身素
13、质和网络安全意识。,访问控制策略:保证网络安全的最核心策略之一,主要任务是保证网络资源不被非法使用和非法访问。,数据加密策略:最有效的技术之一,通过对网内数据、文件、口令和控制信息进行加密从而达到保护网上传输的数据的目的。,网络安全管理策略:确定安全管理登记和安全管理范围;指定有关网络操作实验规程和人员管理制度;指定网络系统的维护制度和应急措施。,二、常见的网络攻击防御方法,1,、端口扫描的防范方法,关闭闲置和有潜在危险的端口,发现有端口扫描的症状时,立即屏蔽该端口:可使用防火墙实现,2,、网络监听的防范方法,对网络监听攻击采取的防范措施:,网络分段:将,IP,地址按节点计算机所在网络的规模的
14、大小分段,可以对数据流进行限制。,加密:可对数据的重要部分进行加密,也可对应用层加密,一次性密码技术,划分,VLAN,:使用虚拟局域网技术,将以太网通信变成点到点的通信。,对可能存在的网络监听的检测方法:,用正确的,IP,地址和错误的物理地址,ping,可能正在运行监听程序的主机。,向网上发送大量不存在的物理地址的包,用于降低主机性能。,使用反监听工具进行检测。,3,、,IP,欺骗的防范方法,进行包过滤,:只在内网之间使用信任关系,对于外网主机的连接请求可疑的直接过滤掉。,使用加密技术,:对信息进行加密传输和验证,抛弃,IP,信任验证,:放弃以,IP,地址为基础的验证。,4,、密码破解的防范方
15、法,密码不要写下来,不要将密码保存在计算机文件中,不要选取显而易见的信息做密码,不要再不同系统中使用同一密码,定期改变密码,设定密码不宜过短,最好使用字母、数字、标点符号、字符混合,5,、拒绝服务的防范方法,(,1,)拒绝服务的防御策略:,建立边界安全界限,确保输出的数据包收到正确限制。经常检测系统配置信息,并建立完整的安全日志。,利用网络安全设备加固网络的安全性,配置好设备的安全规则,过滤所有可能的伪造数据包。,死亡之,ping,的防范方法:设置防火墙,阻断,ICMP,以及任何未知协议。、,Teardrop,的防范方法:在服务器上应用最新的服务包,设置防火墙对分段进行重组,不转发它们。,TC
16、P SYN,洪水的防范方法:关掉不必要的,TCP/IP,服务,或配置防火墙过滤来自同一主机的后续连接。,Land,的防范方法:配置防火墙,过滤掉外部结构上入栈的含有内部源地址的数据包。,Smurf,的防范方法:关闭外部路由器或防火墙的广播地址特征,或通过在防火墙上设置规则,丢弃,ICMP,包。,(,2,)具体,DOS,防范方法:,三、入侵检测技术,通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。,一、概述,监控、分析用户和系统的活动,对系统配置和漏洞的审计,估计关键系统和数据文件的完整性,识别和反应入侵活动的模式并向
17、网络管理员报警,对异常行为模式的统计分析,操作系统审计跟踪管理,识别违反策略的用户活动,二、功能,三、入侵检测技术,入侵行为与用户的正常行为存在可量化的差别,通过检测当前用户行为的相关记录,从而判断攻击行为是否发生。,统计异常检测技术,1,对合法用户在一段时间内的用户数据收集,然后利用统计学测试方法分析用户行为,以判断用户行为是否合法。分为基于行为剖面的检测和阈值检测。,规则的检测技术,2,通过观察系统里发生的事件并将该时间与系统的规则进行匹配,来判断该事件是否与某条规则所代表的入侵行为相对应。分为基于规则的异常检测和基于规则的渗透检测,四、入侵检测过程,信息收集,在网络系统中的不同网段、不同
18、主机收集系统、网络、数据及用户活动的状态和行为等相关数据,信息分析,匹配模式:将收集到的信息与已知的网络入侵和系统已有的模式数据库进行匹配,进而发现违反安全策略的行为。,统计分析,首先给系统对象创建一个统计描述,统计正常使用时的一些测量属性。这个测量属性的平均值将与网络、系统的行为进行比较,是否处于正常范围之内。,完整性分析,关注某个固定的对象是否被更改。,五、入侵检测系统的基本类型,基于主机的入侵检测系统,使用操作系统的审计日志作为数据源输入,根据主机的审计数据和系统日志发现可疑事件。依赖于审计数据和系统日志的准确性、完整性以及安全事件的定义。,基于网络的入侵检测系统,使用整个网络上传输的信
19、息流作为输入,通过被动地监听捕获网络数据包,并分析、检测网络上发生的网络入侵行为。但只能检测直接连接网络的通信,不能检测不同网段的网络包。,分布式入侵检测系统(混合型),六、入侵检测系统应对攻击的技术,当检测到入侵或攻击时,采取适当的措施阻止入侵和攻击的进行。,入侵响应,知道对方的物理地址、,IP,地址、域名、应用程序地址等就可以跟踪对方。,入侵跟踪技术,四、蜜罐技术,蜜罐系统是互联网上运行的计算机系统,可以被攻击,对于攻击方入侵的过程和行为进行监视、检测和分析,进而追踪入侵者。,蜜罐系统是一个包含漏洞的诱骗系统,是一种被监听、被攻击或已被入侵的资源,通过模拟一个或多个易被攻击的主机,给攻击者
20、提供一个容易攻击的目标,而拖延攻击者对真正目标的攻击,让其在蜜罐上浪费时间。,蜜罐系统关键技术:服务伪装、漏洞提供,蜜罐技术缺陷:只能对针对蜜罐的攻击行为进行监视和分析,不能像入侵检测系统一样能够通过旁路侦听等技术队整个网络进行监控。,蜜网技术又称为诱捕网络,它构成一个黑客诱捕网络体系架构,其上包含一个或多个蜜罐,同时保证了网络的高度可控性,以及提供多种工具一方便对攻击信息采集和分析。,蜜网核心需求:数据控制、数据捕获、数据分析,蜜网技术,安全操作系统概述,【,第四章节,】,点击此处更换文本替换文字点击此处更换文本替换文字点击此处更换文本替换文字,一、安全操作系统的定义,操作系统的安全现状,安
21、全操作系统的定义,系统能够控制外部对系统信息的访问,即只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。,操作系统在设计时通过权限访问控制、信息加密性保护和完整性鉴定等一些机制实现的安全防护。,操作系统在使用时,通过配置保证系统避免由于实现时的缺陷或是应用环境因素产生的不安全。,包含有,最小特权原则,二、安全操作系统的特征,强制访问控制:制定一个固定的安全属性,来决定一个用户是否可以访问资源。安全属性可由系统自动分配也可由系统管理员手动分配。,安全域隔离,有,ACL,的自主访问控制,安全审计和审计管理,可信路径,网络完全为人民,/,网络完全靠人民,汇报人:XXX,时间:,2022.10.05,网络安全技术,
浙ICP备2021020529号-1 | 浙B2-20240490 
