1、第第1章章 计算机网络安全计算机网络安全概述及环境搭建概述及环境搭建 1.1 计算机网络安全概述计算机网络安全概述一、网络安全的发展史一、网络安全的发展史 20世纪80年代开始,互联网技术飞速发展。自从1987年发现了全世界首例计算机病毒以来,病毒的数量早已超过1万种以上,并且还在以每年两千种新病毒的速度递增,不断困扰着涉及计算机领域的各个行业。1997年,随着万维网(WoldWideWeb)上Java语言的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒,还有一些利用邮件服务器进行传播和破坏的病毒,例如MailBomb病毒,它会严重影响因特网的效率。
2、一、网络安全的发展史一、网络安全的发展史 1989年,俄罗斯的EugeneKaspersky开始研究计算机病毒现象。从1991年到1997年,俄罗斯大型计算机公司KAMI的信息技术中心研发出了AVP反病毒程序。这在国际互联网反病毒领域具有里程碑的意义。防火墙是网络安全政策的有机组成部分。1983年,第一代防火墙诞生。到今天,已经推出了第五代防火墙。一、网络安全的发展史一、网络安全的发展史 进入21世纪,政府部门、金融机构、军事军工、企事业单位和商业组织对IT系统的依赖也日益加重,IT系统所承载的信息和服务的安全性就越发显得重要。2007年初,一个名叫“熊猫烧香”的病毒在极短时间内通过网络在中国
3、互联网用户中迅速传播,曾使数百万台电脑中毒,造成重大损失。一、网络安全的发展史一、网络安全的发展史1、网络安全问题的产生n(1)信息泄露、信息污染及信息不可控等n(2)某些个人或组织出于某种特殊目的进行信息泄露、信息破坏、信息假冒侵权和意识形态的信息渗透,甚至进行一些破坏国家、社会以及各类主体合法权益的活动。一、网络安全的发展史一、网络安全的发展史n(3)随着社会的高度信息化、社会的“命脉”和核心控制系统有可能面临恶意的攻击而导致损坏和瘫痪n(4)网络应用越来越广泛,但是控制权分散的管理问题也日益显现一、网络安全的发展史一、网络安全的发展史2、网络安全的现状(见P2 图11)n(1)拒绝服务攻
4、击:拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。一、网络安全的发展史一、网络安全的发展史n(2)网络仿冒n(3)网页恶意代码n(4)病毒、蠕虫或木马n(5)漏洞n(6)垃圾邮件报告一、网络安全的发展史一、网络安全的发展史3、网络安全
5、的发展趋势n (1)实施网络攻击的主体的变化:由兴趣性向盈利性发展n (2)网络攻击的主要手段的变化:由单一手段向结合多种攻击手段的综合性攻击发展n (3)企业内部对安全威胁的认识的变化:外部管理转向内部安全管理二、网络安全的定义二、网络安全的定义n 1、网络上的信息安全,这其中涉及到了物理器件计算机和基于这之上的网络通信,对于数据的加密等一系列的知识,因此集计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科于一体。二、网络安全的定义二、网络安全的定义n2、计算机系统安全定义:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶
6、然和恶意的原因遭到破坏、更改和泄漏。n3、保证网络安全的目的:确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等情况。二、网络安全的定义二、网络安全的定义4、网络安全包含:n(1)运行系统的安全,即保证信息处理和传输系统的安全n(2)网络上系统信息的安全n(3)网络上信息传输的安全,保证信息不被窃取修改或泄漏n(4)网络上信息内容的安全12 网络安全威胁网络安全威胁 一、网络安全威胁的来源1、内部威胁n(1)内部人员因自身原因故意破坏、泄露或无意错误操作破坏数据而引起的威胁n(2)因不当使用Internet接入而降低生产率n(3)内部工作人员发送、接收和查看攻击性材料,可能会使内部感
7、染计算机病毒。2、外部威胁二、网络安全威胁的种类1、非授权访问:一般是没有事先经过同意,通过假冒、身份攻击及系统漏洞等手段来获取系统的访问权限,从而非法进入网络系统来使用网络资源,造成资源的消耗或损坏。2、拒绝服务3、数据欺骗:主要包括捕获、修改和破坏可信主机上的数据,攻击者还可能对通信线路上的网络通信进行重定向。13 网络安全防御体系网络安全防御体系一、安全防御体系的层次结构1、物理安全:包括通信线路的安全、物理设备的安全及机房的安全等。涉及到防火、防静电、防雷击、防电磁辐射和防盗等。2、操作系统安全性:包括操作系统的安全配置、操作系统的漏洞检测、操作系统的漏洞修补等一、安全防御体系的层次结
8、构3、网络的安全性:包括网络身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、防火墙应用、病毒防范和入侵检测等4、应用安全性:指网络对用户提供服务所采用的应用软件和数据的安全性5、管理安全性:包括安全技术和设备的管理、安全管理制度及部门与人员的组织规则等。二、安全防御体系工作流程1、攻击前的防范2、攻击过程中的防范3、攻击过程后的恢复处理第第2章章 网络协议基础网络协议基础2.1 TCP/IP协议概述协议概述一、TCP/IP协议模型1、协议的基础概念:网络协议是网络通信中控制数据传输的规则。包括三要素n(1)语义(做什么):包括用于协调和差错
9、处理、流量控制的控制信息。n(2)语法(怎么做):数据编码格式与信号的电平n(3)时序(何时做):速度的匹配和排序一、TCP/IP协议模型2、开放系统互连参考模型(OSI参考模型)设计者按照信息的流动过程将网络的整体功能分解为一个个的功能层,不同主机的同等功能层之间采用相同的协议,同一主机上的相邻功能层之间通过接口进行信息传递,形成了OSI参考模型,这样不同体系结构的计算机网络都能互连,进行信息互通。一、TCP/IP协议模型OSI参考模型将网络的通信功能划分成7个层次,由高到低分别是:n(1)物理层:向下直接与物理传输介质相连接,是各种网络设备进行互联时必须遵守的底层协议,与其他协议无关。物理
10、层定义了数据通信网络之间物理链路的电气或机械特性,以及激活、维护和关闭这条链路的各项操作。物理层的特征参数包括电压、数据传输率、最大传输距离和物理连接介质等。一、TCP/IP协议模型n(2)数据链路层:它把从物理层来的原始数据组成帧 即用于传送数据的结构化的包。数据链路层负责帧在计算机之间的无差错传递。其特征参数包括物理地址、网络拓扑结构、错误警告机制、所传数据帧的排序和流量控制等。一、TCP/IP协议模型n(3)网络层:定义网络操作系统通信用的协议,为传送的信息确定地址,将逻辑地址和名字翻译成物理地址。同时负责确定从源计算机沿着网络到目的计算机的路由选择,处理交通问题,路由器的功能在这一层实
11、现。网络层的主要功能是将报文分组以最佳路径通过通信子网送达目的主机。一、TCP/IP协议模型n(4)传输层:负责端到端的信息传输错误处理,包括错误的确认和恢复,确保信息的可靠传递。在必要时,也对信息重新打包,把过长信息分成小包发送。在接收端,再将这些小包重构成初始的信息。一、TCP/IP协议模型n(5)会话层:允许在不同计算机上的两个应用间建立、使用和结束会话,实现对话控制,管理何端发送、何时发送和占用多长时间等。会话层利用传输层提供的可靠信息传递服务,使得两个会话实体之间不用考虑相互间的距离、使用何种网络通信等细节,进行数据的透明传输。一、TCP/IP协议模型n(6)表示层:表示层则要保证所
12、传输的数据经传送后意义不改变,它要解决的问题是如何描述数据结构并使之与机器无关。n(7)应用层:主要功能是直接为用户服务,通过应用软件实现网络与用户的直接对话。这一层是最终用户应用程序访问网络服务的地方,负责整个网络应用程序协同工作。一、TCP/IP协议模型3、OSI参考模型的特点n(1)各层之间是独立的。每层只实现一种相对独立的功能,可以使网络传输的复杂程度下降。n(2)灵活性好。任何一层发生变化都不影响别的层,只要层间接口保持不变。n(3)结构上可分割,用不同技术来实现。n(4)易于实现和维护。n(5)能促进标准化工作。一、TCP/IP协议模型4、TCP/IP协议模型n(1)网络接口层:网
13、络接口层与OSI/RM的物理层、数据链路层相对应。该层中所使用的协议大多是各通信子网固有的协议。作用是传输经IP层处理过的IP信息,并提供一个主机与实际网络的接口,而具体的接口关系则可以由实际网络的类型所决定。一、TCP/IP协议模型n(2)互联网层:也被称为IP(Internet Protocol)层、网络层。是TCP/IP模型的关键部分。它的功能是使主机可以把IP数据包发往任何网络,并使数据报独立地传向目标(中途可能经由不同的网络)。这些数据包到达的顺序和发送的顺序可能不同,因此当需要按顺序发送和接收时,高层必须对分组排序。一、TCP/IP协议模型n(3)传输层:在源节点和目的节点两个进程
14、实体之间提供可靠的、端到端的数据传输。为保证数据传输的可靠性,传输层协议规定接收端必须发回确认,若丢失必须重新发送。若同时有多个应用程序访问互联网,则传输层在每个数据包中增加识别信源和信宿应用程序的标记。一、TCP/IP协议模型n(4)应用层:位于传输层之上的应用层包含所有的高层协议,为用户提供所需要的各种服务。主要的服务有:远程登录(Telnet)、文件传输(FTP)、电子邮件(SMTP)、Web服务(HTTP)、域名系统(DNS)等。一、TCP/IP协议模型4、TCP/IP协议的特点n(1)应用广泛n(2)能够向用户和应用程序提供通用的、统一的网络服务。n(3)网络对等性:简化了对异构网的
15、处理二、TCP/IP核心协议1、网际协议(IP协议):属于TCP/IP模型和互联网层,提供关于数据应如何传输以及传输到何处的信息。是使TCP/IP协议可用于网络连接的子协议。是不可靠的、无连接的协议,不保证数据的可靠,若接收时发现信息不正确,则将认为数据包被破坏,则重新发送数据包。IP的数据报包含报头和数据两部分,报头包含(见P24)。二、TCP/IP核心协议2、传输控制协议(TCP协议):属于传输层,提供可靠的数据传输服务。位于IP协议的上层,通过提供校验、流控制及序列信息弥补IP协议可靠性的缺陷。是面向连接的服务。TCP协议包含了保证数据可靠性的几个组件(见P26)二、TCP/IP核心协议
16、3、用户数据报协议(UDP):UDP协议是一种无连接的传输服务,不保证数据包以正确的序列被接收,并且不提供错误校验或序列编号。适合用于实况录音或电视转播。二、TCP/IP核心协议4、网际控制报文协议(ICMP):位于互联网层的IP协议和传输层的TCP协议之间,不提供错误控制服务,仅报告哪个网络是不可达的,哪个数据包因分配的生存时间过期而被抛弃。二、TCP/IP核心协议5、地址解析协议(ARP):是互联网层协议,它获取主机或节点的物理地址并创建一个本地数据库以将物理地址映射到主机的逻辑地址上。和IP地址配合使用。就是将网卡地址和IP地址一一对应起来,网卡地址解析成IP地址。2.2 常用的网络服务
17、原理常用的网络服务原理 一、WWW服务n1、WWW是已联网服务器的集合,这些服务器按指定的协议和格式共享资源和交换信息。n2、采用的CS架构(服务器客户端的架构),在服务器端需要安装外部服务器,客户机端要具备浏览器。n3、在客户机端访问服务器端需要TCP/IP协议、IP地址与Internet连接和浏览器。一、WWW服务n4、服务器端和客户机端通过HTTP或HTML服务传输内容,每个Web页都被统一资源定位器(URL)标识。每一个Web页的网址都是独一无二的,对应第一无二的IP地址。n5、http:/ https是使用的服务类型,是主机名,index.asp是该页下的文件。n6、常见的Web服务
18、器软件包括(见P27)二、FTP服务n1、文件传输协议:用于管理TCP/IP主机之间文件的传输n2、FTP服务是FTP服务器提供的,相当于是服务器开辟了FTP服务,提供文件夹供客户端上传或下载文件。n3、在浏览器的地址栏中输入 FTP:/主机名 或 FTP:/服务器IP地址,即可访问FTP服务器,相当于是向服务器发出请求,服务器始终侦听请求,当接收到这个请求的时候,立刻给予客户端响应。二、FTP服务n4、常见的FTP程序有LeapFTP、WS_FTP、CuteFTP和FlashFXP等。n5、使用FTP必须首先登陆,输入ID和口令,在服务器上获得相应的权限后才能下载或上传文件。服务器有可能限定
19、在同一时刻最高可供多少人同时使用。有的服务器上提供匿名FTP服务,任何人都可以使用一个公用的ID进入使用该服务器上公开的资源。三、DNS服务n1、域名系统:是将主机名和域名解析为与此名称相关的IP地址的系统。n2、因为IP地址由一串数字组成,难于记忆,因此引申出了域名,用一串便于记忆的字符组成,而域名和IP地址成为一种一一对应的关系。由域名转换成IP地址称为正向解析,由IP地址转换成域名为逆向解析。n3、DNS分为3个组成部分:解析器、名称服务器、名称空间三、DNS服务n4、当进行一个域名访问的时候,在浏览器中输入网址,解析器服务会查询本地的名称服务器,查找相对应的IP地址,若没有则向高一级服
20、务器查询。要知道本地、地区、国家都有名称服务器。n5、假若你以前访问过这个域名地址,则可以从以前查询获得的缓存信息中就地应答查询,这样速度比较快。四、DHCP服务n1、动态主机配置协议:是往网络中的每台设备分配独一无二IP地址的动态方式。n2、采用DHCP服务的优点:(1)降低花费在IP地址管理方面的时间和规划 (2)降低分配IP地址的错误率 (3)在移动电脑的情况下无需更改TCP/IP配置。(4)为使IP地址对移动用户透明。n3、DHCP出租过程和终止DHCP租借 五、终端服务n1、终端服务:集成在Windows.NET Server终端服务中,作为系统服务器服务组件存在,“开始”“程序”“
21、附件”“通讯”“超级终端”n2、客户机和服务器通过TCP/IP协议和标准的局域网构架联系,在客户端上进行操作传递到终端服务器上,再将服务器上的显示结果传递回客户端。类似于“远程控制”。五、终端服务n3、允许多个客户端同时登陆到服务器,他们之间是相互独立的。n4、终端服务由5个组件组成:(1)多用户内核 (2)远程桌面协议 (3)终端服务客户端 (4)终端服务许可服务 (5)终端服务管理工具23 常用网络命令常用网络命令一、ipconfign1、ipconfig/all 查看配置 才启动的时候执行这个命令,大多信息不能获取,例如IP地址,DNS等。使用刷新命令后,可以查看到计算机的主机名、网卡名
22、、网卡地址、动态分配的IP地址、子网掩码和默认网关等。n2、ipconfig/renew 刷新配置 (“运行”输入“cmd”)二、pingn作用:用于网络的连通性测试,测试网线是否连通、网卡配置是否正确及IP地址是否可用等。n例:ping a 192.168.1.103n常见参数说明:见35页三、arpn原理:arp即地址解析协议,在常用以太网或令牌LAN上,用于实现第三层到第二层地址的转换 IP MACn功能:显示和修改IP地址与MAC地址之间的映射谁知道谁知道10.1.46.1的的MAC地址地址我知道我知道10.1.46.1的的MAC地址是地址是:xxxxxx三、arpn常用参数:arp
23、a:显示所有的arp表项 arp s:在arp缓存中添加一条记录(例:Arp s 126.13.156.2 02e0fcfe01b9)arp d:在arp缓存中删除一条记录 (例:Arp d 126.13.156.2)arp g:显示所有的表项四、nbtstatn作用:是解决NetBIOS名称解析问题的工具,可使用nbtstat命令删除或更正预加载的项目n常用参数:见37页五、netstatn作用:用来显示协议统计信息和当前TCP/IP连接,该命令只能在安装了TCP/IP协议后才能使用。n常用参数:见P3738页六、tracertn原理:tracert 是为了探测源节点到目的节点之间数据报文经
24、过的路径,利用IP报文的TTL域在每个经过一个路由器的转发后减一,如果此时TTL=0则向源节点报告TTL超时这个特性,从一开始逐一增加TTL,直到到达目的站点或TTL达到最大值255.n功能:探索两个节点的路由。六、tracert1.1.1.11.1.1.22.2.2.12.2.2.2TTL=1TTL=2TTL=3六、tracertn常用参数:n1、tracert ip_adress六、tracertn 2、tracert h N (设置TTL最大为N)第第3章章 网络攻防技术应用网络攻防技术应用31 网络攻击概述网络攻击概述一、网络黑客一、网络黑客n概念:怀有不良企图,强行闯入远程计算机系统
25、或恶意干扰远程系统完整性,通过非授权的访问权限,盗取数据甚至破坏计算机系统的“入侵者”称为黑客。n攻击目的:窃取信息;获取口令;控制中间站点;获得超级用户权限等 一、网络黑客一、网络黑客n实例:(1)1983年,“414黑客”,6名少年黑客被控侵入60多台电脑 (2)1987年,赫尔伯特齐恩(“影子鹰”),闯入没过电话电报公司 (3)1988年,罗伯特莫里斯“蠕虫程序”,造成1500万到1亿美元的经济损失。(4)1990年,“末日军团”,4名黑客中有3人被判有罪。(5)1995年,米特尼克偷窃了2万个信用卡号,8000万美元的巨额损失。(6)1998年2月,德国计算机黑客米克斯特,使用美国七大
26、网站陷于瘫痪状态一、网络黑客一、网络黑客 (7)1998年,两名加州少年黑客,以色列少年黑客分析家,查询五角大楼网站并修改了工资报表和人员数据。(8)1999年4月,“CIH”病毒,保守估计全球有6千万部电脑感染。(9)1999年,北京江民KV300杀毒软件,损失260万元。(10)2000年2月,“雅虎”、“电子港湾”、亚马孙、微软网络等美国大型国际互联网网站,损失超过了10亿美元。(11)2000年4月,闯入电子商务网站的威尔斯葛雷,估计导致的损失可能超过300万美元。二、网络攻击的目标二、网络攻击的目标n目标:系统、数据(数据占70%)n系统型攻击特点:攻击发生在网络层,破坏系统的可用性
27、,使系统不能正常工作,可能留下明显的攻击痕迹。n数据型攻击特点:发生在网络的应用层,面向信息,主要目的是为了篡改和偷取信息,不会留下明显的痕迹。(注:着重加强数据安全,重点解决来自内部的非授权访问和数据的保密工作。)二、网络攻击的目标二、网络攻击的目标1、阻塞类攻击:通过强制占有信道资源、网络连接资源及存储空间资源,使服务器崩溃或资源耗尽而无法对外继续提供服务(例如拒绝服务攻击)。n常见方法:TCPSYN洪泛攻击、Land攻击、Smurf攻击及电子邮件炸弹等n攻击后果:使目标系统死机;使端口处于停顿状态;在计算机屏幕上发现杂乱信息、改变文件名称、删除关键的程序文件;扭曲系统的资源状态,使系统的
28、处理速度降低。二、网络攻击的目标二、网络攻击的目标2、探测类攻击:收集目标系统的各种与网络安全有关的信息,为下一步入侵提供帮助。n包括:扫描技术(采用模拟攻击形式对可能存在的安全漏洞进行逐项检查)、体系结构刺探及系统信息服务收集等二、网络攻击的目标二、网络攻击的目标3、控制类攻击:试图获得对目标主机控制权的。n常见方法:口令攻击、特洛伊木马、缓冲区溢出攻击4、欺骗类攻击:通过冒充合法网络主机或通过配置、设置一些假信息来骗取敏感信息。n常见方法:ARP缓存虚构、DNS告诉缓冲污染及伪造电子邮件等二、网络攻击的目标二、网络攻击的目标5、漏洞类攻击:非法用户未经授权通过系统硬件或软件存在的某中形式的
29、安全方面的脆弱性获得访问权或提高其访问权限。6、破坏类攻击:指对目标主机的各种数据与软件实施破坏的一类攻击。n常见方法:计算机病毒、逻辑炸弹32 网络攻击技术网络攻击技术一、网络攻击的一般模型概述网络攻击一般模型:经历四个阶段搜搜索索信信息息获获取取权权限限消消除除痕痕迹迹深深入入攻攻击击一、网络攻击的一般模型概述1、搜集信息(攻击的侦查阶段)n隐藏地址:寻找“傀儡机”,隐藏真实IP地址。n锁定目标:寻找、确定攻击目标。n了解目标的网络结构、网络容量、目录及安全状态n搜索系统信息:分析信息,找到弱点攻击。一、网络攻击的一般模型概述2、获取权限 利用探测到的信息分析目标系统存在的弱点和漏洞,选择
30、合适的攻击方式,最终获取访问权限或提升现有访问权限。3、消除痕迹 清除事件日记、隐藏遗留下的文件、更改某些系统设置 4、深入攻击 进行信息的窃取或系统的破坏等操作。二、常用网络攻击的关键技术1、端口扫描技术 通过端口扫描可以搜集目标主机的系统服务端口的开放情况,进行判断目标的功能使用情况,一旦入侵成功后将后门设置在高端口或不常用的端口,入侵者通过这些端口可以任意使用系统的资源。二、常用网络攻击的关键技术(1)常用的端口扫描技术nA、TCP connect()扫描:使用connect(),建立与目标主机端口的连接。若端口正在监听,connect()成功返回;否则说明端口不可访问。任何用户都可以使
31、用connect()。nB、TCP SYN扫描:即半连接扫描。扫描程序发送SYN数据包,若发回的响应是SYN/ACK表明该端口正在被监听,RST响应表明该端口没有被监听。若接收到的是SYN/ACK,则发送RST断开连接。(主机不会记录这样的连接请求,但只有超级用户才能建立这样的SYN数据包)。二、常用网络攻击的关键技术nC、TCP FIN扫描:关闭的端口用正确的RST应答发送的对方发送的FIN探测数据包,相反,打开的端口往往忽略这些请求。nD、Fragmentation扫描:将发送的探测数据包分成一组很小的IP包,接收方的包过滤程序难以过滤。nE、UDP recfrom()和write()扫描
32、nF、ICMP echo扫描:使用ping命令,得到目标主机是否正在运行的信息。nG、TCP反向Ident扫描:nH、FTP返回攻击nI、UDP ICMP端口不能到达扫描二、常用网络攻击的关键技术(2)扫描器n定义:一种自动检测远程或本地主机安全弱点的程序,可以不留痕迹地发现远程服务器的各种TCP端口的发配及提供的服务。n工作原理:通过选用远程TCP/IP不同的端口服务,记录目标给予的回答。n三项功能:发现一个主机或网络的功能;一旦发现主机,发现什么服务正在运行在主机上的功能;测试这些服务发现漏洞的功能。二、常用网络攻击的关键技术2、网络监听技术n网络监听技术是指截获和复制系统、服务器、路由器
33、或防火墙等网络设备中所有网络通信信息。n网卡接收数据方式:广播方式、组播方式、直接方式、混杂模式n基本原理:数据包发送给源主机连接在一起的所有主机,但是只有与数据包中包含的目的地址一致的主机才能接收数据包。若主机工作在监听模式下,则可监听或记录下同一网段上的所有数据包。二、常用网络攻击的关键技术3、网络欺骗技术n定义:是利用TCP/IP协议本身的缺陷对TCP/IP网络进行攻击的技术。n(1)IP欺骗:选定目标,发现主机间的信任模式,使目标信任的主机丧失工作能力,TCP序列号的取样和预测,冒充被信任主机进入目标系统,实施破坏并留下后门。二、常用网络攻击的关键技术n(2)ARP欺骗 A、对路由器A
34、RP表的欺骗:原理是截获网关数据。B、对局域网内个人计算机的网络欺骗:原理是伪造网关。n后果:影响局域网正常运行;泄露用户敏感信息二、常用网络攻击的关键技术4、密码破解技术n指通过猜测或其他手段获取合法用户的账号和密码,获得主机或网络的访问权,并能访问到用户能访问的任何资源的技术。二、常用网络攻击的关键技术n密码攻击的方法:(1)通过网络监听非法得到用户密码:采用中途截获的方法获取用户账户和密码。(2)密码穷举破解:在获取用户的账号后使用专门软件强行破解用户密码。(口令猜解、字典攻击、暴力猜解)二、常用网络攻击的关键技术n5、拒绝服务技术n定义:简称DoS技术,是针对TCP/IP协议的缺陷来进
35、行网络攻击的手段。通过向服务器传送大量服务要求,使服务器充斥着这种要求恢复的信息,耗尽网络带宽或系统资源,最终导致网络或系统瘫痪、停止正常工作。n常见攻击模式:资源消耗型、配置修改型、服务利用型n新型拒绝服务攻击技术:分布式拒绝服务攻击、分布式反射拒绝服务攻击三、常用网络攻击工具n1、端口扫描工具:网络安全扫描器NSS、安全管理员的网络分析工具SATAN、SuperScann2、网络监听工具:XScan、Sniffer、NetXray、tcpdump、winpcap等n3、密码破解工具:是能将口令解译出来,或者让口令保护失效的程序。n4、拒绝服务攻击工具(1)DoS工具:死亡之ping、Tea
36、rdrop、TCP SYN洪水、Land、Smurf(2)DDoS工具:TFN、TFN2k、Trinoo、mstream、shaft等33 网络攻击防御技术网络攻击防御技术 一、网络攻击的防范策略1、提高安全意识:从使用者自身出发,加强使用者的自身素质和网络安全意识。2、访问控制策略:保证网络安全的最核心策略之一,主要任务是保证网络资源不被非法使用和非法访问。3、数据加密策略:最有效的技术之一,通过对网内数据、文件、口令和控制信息进行加密从而达到保护网上传输的数据的目的。4、网络安全管理策略:确定安全管理登记和安全管理范围;指定有关网络操作实验规程和人员管理制度;指定网络系统的维护制度和应急措
37、施。二、常见的网络攻击防御方法1、端口扫描的防范方法n(1)关闭闲置和有潜在危险的端口n(2)发现有端口扫描的症状时,立即屏蔽该端口:可使用防火墙实现二、常见的网络攻击防御方法2、网络监听的防范方法(1)对网络监听攻击采取的防范措施:n网络分段:将IP地址按节点计算机所在网络的规模的大小分段,可以对数据流进行限制。n加密:可对数据的重要部分进行加密,也可对应用层加密n一次性密码技术n划分VLAN:使用虚拟局域网技术,将以太网通信变成点到点的通信。二、常见的网络攻击防御方法(2)对可能存在的网络监听的检测方法:n用正确的IP地址和错误的物理地址ping可能正在运行监听程序的主机。n向网上发送大量
38、不存在的物理地址的包,用于降低主机性能。n使用反监听工具进行检测。二、常见的网络攻击防御方法3、IP欺骗的防范方法n(1)进行包过滤:只在内网之间使用信任关系,对于外网主机的连接请求可疑的直接过滤掉。n(2)使用加密技术:对信息进行加密传输和验证n(3)抛弃IP信任验证:放弃以IP地址为基础的验证。二、常见的网络攻击防御方法4、密码破解的防范方法n密码不要写下来n不要将密码保存在计算机文件中n不要选取显而易见的信息做密码n不要再不同系统中使用同一密码n定期改变密码n设定密码不宜过短,最好使用字母、数字、标点符号、字符混合二、常见的网络攻击防御方法5、拒绝服务的防范方法(1)拒绝服务的防御策略:
39、n建立边界安全界限,确保输出的数据包收到正确限制。经常检测系统配置信息,并建立完整的安全日志。n利用网络安全设备加固网络的安全性,配置好设备的安全规则,过滤所有可能的伪造数据包。二、常见的网络攻击防御方法(2)具体DOS防范方法:n死亡之ping的防范方法:设置防火墙,阻断ICMP以及任何未知协议。、nTeardrop的防范方法:在服务器上应用最新的服务包,设置防火墙对分段进行重组,不转发它们。nTCP SYN洪水的防范方法:关掉不必要的TCP/IP服务,或配置防火墙过滤来自同一主机的后续连接。nLand的防范方法:配置防火墙,过滤掉外部结构上入栈的含有内部源地址的数据包。nSmurf的防范方
40、法:关闭外部路由器或防火墙的广播地址特征,或通过在防火墙上设置规则,丢弃ICMP包。三、入侵检测技术1、概述 通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。三、入侵检测技术2、功能n(1)监控、分析用户和系统的活动n(2)对系统配置和漏洞的审计n(3)估计关键系统和数据文件的完整性n(4)识别和反应入侵活动的模式并向网络管理员报警n(5)对异常行为模式的统计分析n(6)操作系统审计跟踪管理,识别违反策略的用户活动三、入侵检测技术3、入侵检测技术 入侵行为与用户的正常行为存在可量化的差别,通过检测当前用户行为的相关记
41、录,从而判断攻击行为是否发生。(1)统计异常检测技术n对合法用户在一段时间内的用户数据收集,然后利用统计学测试方法分析用户行为,以判断用户行为是否合法。分为基于行为剖面的检测和阈值检测。(2)规则的检测技术n通过观察系统里发生的事件并将该时间与系统的规则进行匹配,来判断该事件是否与某条规则所代表的入侵行为相对应。分为基于规则的异常检测和基于规则的渗透检测。三、入侵检测技术4、入侵检测过程(1)信息收集:n在网络系统中的不同网段、不同主机收集系统、网络、数据及用户活动的状态和行为等相关数据。(2)信息分析n匹配模式:将收集到的信息与已知的网络入侵和系统已有的模式数据库进行匹配,进而发现违反安全策
42、略的行为。三、入侵检测技术n统计分析:首先给系统对象创建一个统计描述,统计正常使用时的一些测量属性。这个测量属性的平均值将与网络、系统的行为进行比较,是否处于正常范围之内。n完整性分析:关注某个固定的对象是否被更改。三、入侵检测技术 5、入侵检测系统的基本类型(1)基于主机的入侵检测系统n使用操作系统的审计日志作为数据源输入,根据主机的审计数据和系统日志发现可疑事件。依赖于审计数据和系统日志的准确性、完整性以及安全事件的定义。三、入侵检测技术(2)基于网络的入侵检测系统n使用整个网络上传输的信息流作为输入,通过被动地监听捕获网络数据包,并分析、检测网络上发生的网络入侵行为。但只能检测直接连接网
43、络的通信,不能检测不同网段的网络包。(3)分布式入侵检测系统(混合型)三、入侵检测技术6、入侵检测系统应对攻击的技术(1)入侵响应n当检测到入侵或攻击时,采取适当的措施阻止入侵和攻击的进行。(2)入侵跟踪技术n知道对方的物理地址、IP地址、域名、应用程序地址等就可以跟踪对方。四、蜜罐技术 1、蜜罐技术n蜜罐系统是互联网上运行的计算机系统,可以被攻击,对于攻击方入侵的过程和行为进行监视、检测和分析,进而追踪入侵者。n蜜罐系统是一个包含漏洞的诱骗系统,是一种被监听、被攻击或已被入侵的资源,通过模拟一个或多个易被攻击的主机,给攻击者提供一个容易攻击的目标,而拖延攻击者对真正目标的攻击,让其在蜜罐上浪
44、费时间。四、蜜罐技术 n蜜罐系统关键技术:服务伪装、漏洞提供n蜜罐技术缺陷:只能对针对蜜罐的攻击行为进行监视和分析,不能像入侵检测系统一样能够通过旁路侦听等技术队整个网络进行监控。四、蜜罐技术2、蜜网技术n蜜网技术又称为诱捕网络,它构成一个黑客诱捕网络体系架构,其上包含一个或多个蜜罐,同时保证了网络的高度可控性,以及提供多种工具一方便对攻击信息采集和分析。n蜜网核心需求:数据控制、数据捕获、数据分析第第4章章 操作系统操作系统安全配置方案安全配置方案 4.1 安全操作系统概述安全操作系统概述 一、安全操作系统的定义1、操作系统的安全现状2、安全操作系统的定义n系统能够控制外部对系统信息的访问,
45、即只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。一、安全操作系统的定义包含有:n(1)操作系统在设计时通过权限访问控制、信息加密性保护和完整性鉴定等一些机制实现的安全防护。n(2)操作系统在使用时,通过配置保证系统避免由于实现时的缺陷或是应用环境因素产生的不安全。二、安全操作系统的特征1、最小特权原则2、有ACL的自主访问控制3、强制访问控制:制定一个固定的安全属性,来决定一个用户是否可以访问资源。安全属性可由系统自动分配也可由系统管理员手动分配。4、安全审计和审计管理:5、安全域隔离6、可信路径:4.2 WINDOWS操作系统操作系统安全性安全性 一、操作系统的安全性概
46、述1、Windows XP安全性(1)完善的用户管理功能n可在登录界面查看当前系统中的所有用户名,可控制用户对文件的访问,并且开启文件的审核功能后,可将用户对文件的访问情况记录到安全日志文件中。(2)软件限制策略的透明性n以透明的方式隔离和使用不可靠的、潜在对用户数据有害的代码。一、操作系统的安全性概述(3)支持NTFS和EFS文件系统nEFS是加密文件系统,可通过在要加密的文件“属性”对话框“常规”选项卡的“高级”按钮中设置,自动产生加密密钥文件。(4)安全的网络访问特性n自动更新功能:只要联网,自动查看是否有新的补丁或其他内容可更新。n系统自带Internet链接防火墙功能n关闭后门:关闭
47、了前Windows版本中存在的后门。一、操作系统的安全性概述2、Windows Server 2003安全性(1)IIS 6.0的改进n在Windows Server 2003中需手动安装,可自动探测到内存泄露、非法访问及其他错误。(2)活动目录的安全性改进(3)数据存储和保护n可授权额外用户访问加密文件或访问加密脱机文件。自动恢复系统ASR可轻松恢复系统,避免系统因发生错误或攻击而不能正常运行。一、操作系统的安全性概述(4)安全方面新增功能n高可信度计算:在所有产品中采用了高可信度计算作为关键技术,提高软件环境的安全性。nCRL:CRL通过检查软件代码下载和安装的位置、是否拥有可信的开发商的
48、数字签名、是否层被改动等来检验应用程序是否安全和能否正常运行。n关机的“理由”:安装了关机跟踪器,需要在关机或重启时提供理由,这样可在用户重启系统之前检测到将要接近或超过的服务器系统资源限制。这样可以了解导致服务器性能降低的原因。n命令行工具:提供了命令行的管理工具,便于完成在GUI(图形用户界面)方式下较难完成的操作。二、Windows操作系统的漏洞1、Windows XP系统的漏洞(1)UPnP(通用即插即用技术)服务导致的漏洞nA、NPTIFY缓冲区溢出漏洞nB、产生DoS和DDoS攻击的漏洞nC、漏洞的解决方法:下载程序补丁;设置防火墙、禁止网络外部数据包对1900号端口的连接;关闭U
49、PnP服务等(2)远程桌面明文帐户名传送漏洞n当建立远程桌面连接的时候,将用户的帐户名以明文方式发给连接的客户端,这样容易被网络上的嗅探程序捕获。n解决方法:“开始”菜单“设置”“控制面板”“管理工具”“服务”禁用“Universal Plug and Play Device Host”服务 二、Windows操作系统的漏洞(3)快速帐号切换功能造成帐号锁定漏洞n用这一功能快速重复登录一个用户,则系统会错认为有暴力猜测攻击,造成全部非管理员帐号被锁定。n解决方法:禁用快速用户切换功能。(4)升级程序漏洞n系统版本升级造成原系统中IE的补丁文件被删除,出现漏洞。n解决方法:从网站下载最新补丁二、
50、Windows操作系统的漏洞(5)Windows Media Player漏洞n会产生信息泄露漏洞和脚本执行漏洞。n解决方法:信息泄露漏洞可以将要播放的文件先下载到本地再播放可避免。脚本执行漏洞,只有用户先播放一个特殊的媒体文件后又浏览一个经过特殊处理的网页,攻击者才能利用该漏洞进行成功攻击。二、Windows操作系统的漏洞(6)热键漏洞n当系统长时间未用而进入“自动注销”后,虽然他人没有密码就无法进入桌面,但可以通过热键启动应用程序。n解决方法:检查可能带来危害的热键;启动屏幕保护程序,并设置密码;在离开计算机时锁定计算机。二、Windows操作系统的漏洞2、Windows Server 2
浙ICP备2021020529号-1 | 浙B2-20240490 
