网络安全技术项目化教程.pptx

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2021/12/15,#,网络安全技术项目化教程,项目,1,网络安全概述,项目导读,随着随着物联网的发展，人类享受着“随时、随地、随物”的三种维度的自由。越来越多的人更加离不开有网络的生活。网络安全不仅关系着国家的安全，更加关系着社会每个人的安全。,教学目标,掌握网络安全的含义、网络安全威胁,掌握安全体系的基本结构,任务,1,网络安全引言,任务描述,通过网络，可将信息进行传播和共享，信息的传播是可控的，信息的共享是授权的，因此，信息的安全性和可靠性在任何状况下是必须要保证的。,任务要求,了解计算机网络安全涉及

2、的应用。,知识链接,1,由于网络安全漏洞，可能会造成信息泄漏、信息窃取、数据篡改、数据破坏、计算机病毒、恶意发布等事件，由此造成的经济损失和社会危害难以估量。,2,计算机网络的安全性成为信息化建设的一个核心问题。,任务,2,网络安全的含义,任务描述,什么是网络安全？每个接触计算机的人都会有这个疑问。,任务要求,了解计算机网络安全的含义。,了解网络安全的特征。,知识链接,1,什么是网络安全,网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的机密性、完整性及可使用性受到保护。,2,网络安全的特征,（,1,）,保密性,（,2,）,完整性,（,3,）,可用性,（,4,）,不可否认性,

3、5,）,可控性,任务,3,网络安全体系结构,任务描述,了解网络的体系结构，不同层有不同的安全隐患，针对这些隐患可以更充分的预警。网络安全体系结构详细地说明了网络的划分。,任务要求,了解了解计算机网络安全的体系结构。,知识链接,1,OSI,参考模型,1985,年，国际标准化组织（,International Standard Organization,）提出了一种网络互联模型,OSI,，,OSI,（,Open System Interconnect,）是一种开放式互联的体系结构，一般又称,OSI,模型，这种模型将网络体系结构划分为七层，上到下分别为：应用层、表示层、传输层、会话层、网络层、数

4、据链路层、物理层。,OSI,模型及所对应的功能如下表：,OSI,模型,主要功能,应用层,网络服务与用户应用程序间的一个接口,表示层,数据传递的语法与语义（数据表示、数据安全、数据压缩）,传输层,会话的建立、管理和终止,会话层,用一个寻址机制来标识一个端口号,网络层,基于网络层地址（,IP,地址）进行不同网络系统间的路由选择,数据链路层,物理链路上无差错的传送数据帧（通过使用接收系统的硬件地址或物理地址来寻址）,物理层,建立、维护和取消物理连接,2,TCP/IP,协议,（,1,）,应用层,（,2,）,传输层,（,3,）,网络层,（,4,）,网络接口层,3,安全体系,任务,4,网络安全威胁,任务描

5、述,人们利用通信网络将独立的计算机连接起来，随着而来产生的安全问题也是人们必须要研究解决的。那么，有哪些因素对网络的安全构成威胁呢？,任务要求,了解网络安全的威胁原因。,了解网络安全的威胁现状。,了解网络安全的威胁发展趋势。,知识链接,1,网络系统自身的脆弱性,（,1,）,硬件系统,（,2,）,软件系统,（,3,）,网络和通信协议,2,网络安全威胁现状,截获 攻击者从网络上窃听他人的通信内容；,中断 攻击者有意中断他人在网络上的通信；,篡改 攻击者故意篡改网络上传送的通信内容；,伪造 攻击者伪造网络上的通信内容并进行传送。,3,网络安全威胁原因,（,1,）,系统的开放性,（,2,）,系统的复杂

6、性,（,3,）,人为因素,4,网络安全威胁趋势,（,1,）,攻击行为政治化,（,2,）,攻击行为的智能化,（,3,）,攻击行为的不对称性,（,4,）,对基础设施的攻击,（,5,）,病毒与网络攻击融合,网络安全技术项目化教程,项目,2,网络安全技术基础,项目导读,同现实生活一样，网络攻击者在开始入侵之前，往往要对对方的计算机进行一系列的“踩点”活动，将最大限度的获得对方的信息，然后从这些信息中找到对方的计算机漏洞，进行完准备工作再一举入侵，成功攻击对方计算机。,教学目标,掌握常用的网络安全命令掌握操作系统相关的安全工具的功能和使用方法。,任务,1,网络基础介绍,任务描述,错综复杂的网络和数百上千

7、的计算机怎么才能正常的连接？主机之间相互不干涉能正常的运作，数据又是如何正确的通过网络上传和下载的呢？计算机能通过网络共享资源，那么网络的安全就成为首要考虑的问题。如何能保证系统连续可靠正常地运行，网络服务不中断。通过了解网络技术的一些基本知识能更好地理解网络是如何运行的。,任务要求,了解关于网络,IP,地址及端口一些相关知识。,知识链接,1,IP,地址,2,计算机端口,3,端口扫描及端口扫描器,任务,2,常用网络安全命令,任务描述,Bash,是,Linux,用户广泛使用的一款用于控制命令提示符工具，从而导致该漏洞影响范围甚广。安全专家表示，由于并非所有运行,Bash,的电脑都存在漏洞，所以受

8、影响的系统数量有限。不过，,Shellshock,本身的破坏力却更大，因为黑客可以借此完全控制被感染的机器，不仅能破坏数据，甚至会关闭网络，或对网站发起攻击。,任务要求,了解并掌握一些常用的网络安全命令。,知识链接,1,探测,IP,地址,ipconfig,2,连接测试,ping,3,网络状态与资源共享,net,4,网络连接,netstat,命令,5,查看网络路由结点,tracert,命令,6,远程登录主机,Telnet,命令,7,IP,地址的查找,实现方法,1,本机网络连通情况以及本机的,IP,地址。,2,本机网络路由结点,任务,3,搭建网络测试工作站,任务描述,许多网络攻防实验会造成本机操作

9、系统的损毁，数据的破坏等后果，那么怎样才能既不损害本机又能进行攻防实验呢？虚拟机就可以解决这个问题。,任务要求,了解并掌握如何安装虚拟机。,了解并掌握如何使用虚拟机。,知识连接,当我们遇到一些暂时无法解决的问题时，需要进行频繁的测试，例如各种攻防的实践或者漏洞、工具的测试等操作，会对自己的计算机的操作系统产生一定的破坏，如何才能安全有效地进行各种实践和测试呢？,VMware,软件可以搭建起一个庞大的网络实验室，它是一个“虚拟机”软件，可以实现不需要重新启动计算机就能在同一台计算机中使用多个操作系统。,实现方法,1,安装,VMware,软件。,2,配置,VMware,并安装操作系统,3,在虚拟机

10、上安装加密软件,网络安全技术项目化教程,项目,3,密码与加密技术,项目导读,随着互联网的发展，人们越来越依赖网络的通信，那么，信息的保密性和完整性将是人们关注的焦点，如何才能防止发送的信息和接受的信息不被泄露、窃取，那么最有效的方法是给所传输的信息加上密码。本项目将介绍密码的种类以及如何给邮件、文件、文件夹等对象进行加密。,教学目标,掌握密码的分类。,掌握,PGP,的安装及使用方法。,掌握常用的加密软件。,任务,1,密码及密码技术,任务描述,什么是密码？密码和我们的生活息息相关，密码无处不在，那么，密码的加密方式都有哪些呢？,任务要求,了解密码的含义。,了解并掌握密码技术的分类。,知识链接,1

11、引言,加密解密过程原理如图,3-1,所示：,2,密码技术的分类,（,1,）对称密码加密技术,（,2,）非对称密码加密技术,（,3,）数字签名认证技术,任务,2 PGP,软件的安装与使用,任务描述,给邮件加密常使用,PGP,软件，学会和使用,PGP,软件给邮件加密、给文件和文件夹加密以及粉碎文件等操作。,任务要求,掌握,PGP,软件的安装方法。,掌握,PGP,软件的应用。,知识链接,PGP,（,Pretty Good Privacy,），是一个基于,RSA,公钥加密体系的邮件加密软件，它提供了非对称加密和数字签名。它将,RSA,公钥体系的方便和传统加密体系的高速结合起来，并且在数字签名和密钥认

12、证管理机制上有设计，其主要功能如下：,（,1,）邮件加密，以防止非法阅读；,（,2,）给邮件加上数字签名，从而使收信人收到信后，对发信人的身份进行验证和确保邮件的内容不被窜改，也可防止声明人抵赖，这点在商业领域中有很大的应用空间；,（,3,）能够加密文件，包括图形文件、声音文件以及其他各类文件。,实现方法,1,PGP,加密软件的安装,2,使用,PGP,产生和管理密钥,3,PGP,软件给邮件加密,4,使用,PGP,对文件进行加密、解密,5,使用,PGP,粉碎文件,任务,3,常用加密软件的应用,任务描述,日常生活中，常常还需要给不同的文件进行加密或解密，下面介绍一些生活中经常使用的文件的加密与解密

13、方法。,任务要求,掌握,Office,文件的加密与解密。,掌握,WinRAR,文件的加密与解密。,掌握,EXE,文件的加密与解密,知识连接,下面我们就将介绍一些对文件进行加密、解密操作，提高自己的安全防范意识。,实现方法,1,Office,的加密与解密。,2,WinRAR,的加密与解密,3,EXE,文件的加密与解密,网络安全技术项目化教程,项目,4,操作系统安全与加固,项目导读,在网络环境中，网络系统的安全性依赖于网络中各主机系统的安全性，主机系统的安全性正是由其操作系统的安全性所决定的，没有安全的操作系统的支持，网络安全也毫无根基可言。,教学目标,掌握操作系统的加固，以防范常见的系统渗透和网

14、络攻击。,掌握操作系统相关的安全工具的功能和使用方法。,任务,1 Windows,账户与口令的安全设置,任务描述,操作系统中不适当的用户账号是攻击者入侵操作系统的主要手段之一。通过对用户帐号的安全管理可以避免很多潜在的安全问题。对帐户实施管理，确保系统的安全性，采取的措施有限制用户数量、停用,Guest,用户、重命名管理员帐户、设置陷阱帐户和双管理员账户等。,任务要求,掌握安全账户的设置方法。,知识链接,1,本地安全管理,2,高强度登录密码,实现方法,1,限制用户数量,有效账户的数量要尽可能的少，去掉测试账户和共享账户，系统的账户越多，被攻击成功的可能性越大。如果系统账户超过,10,个，就有可

15、能找到一个或两个弱口令账户，所以账户数量一般不超过,10,个。要经常使用一些扫描工具查看系统账户、账户权限及密码，及时删除不再使用的账户。,2,停用,Guest,账户,停用,Guest,账户，改成一个复杂的名称并添加密码，将,Guest,账户从,Guests,组中删除，任何时候都禁用,Guest,账户登录系统。,3,重命名管理员账户,许多用户都是用,Administrator,账户登录系统，但黑客得知用户登录系统的账户名后，就可以发动有针对性的攻击。如果用户使用,Administrator,账户登录系统，就为黑客攻击创造了条件。因此重命名,Administrator,账户，尽量将其伪装成普通账

16、户，使黑客无法针对该账户发起攻击。,4,设置陷阱账户,在,Guests,组中设置一个,Administrator,账户，把它的权限设置成最低，但密码设置成复杂密码，而且用户不能更改此账户密码，这样就可以使企图入侵的黑客花费一番功夫，并可以借此发现黑客的入侵企图。,5,设置高强度密码,任务,2 Windows,文件系统的安全设置,任务描述,以某公司的实际应用为例，公司销售部和技术部各有一个共享文件夹，存放本部门的资料，部门经理对本部门的文件夹有完全控制权限，部门员工对本部门文件夹具有读写权限，对公司其他部门的文件夹有只读的权限。,任务要求,掌握文件权限的设置方法。,知识链接,1,设置文件权限需要

17、注意的几点,（,1,）,NTFS,文件权限为：读取（读文件，查看文件属性、拥有人和权限）；写入（覆盖写入文件，修改文件属性，查看文件拥有人和权限）；读取和运行（运行应用程序，同时具备“读取”权限）；修改（修改和删除文件，同时具备“写入”权限和“读取和运行”权限）；完全控制（改变权限，成为拥有人，同时具备其他所有,NTFS,文件权限）。,（,2,）权限是累积的。用户对某个资源的有效权限是授予这一用户帐号的,NTFS,权限和该用户所属的用户组具备的,NTFS,权限组合。,（,3,）,NTFS,的文件权限超越,NTFS,文件夹权限。某个用户对某个文件有“修改”权限，即使他对于包含该文件的文件夹只有“

18、读取”权限，该用户仍然能够修改该文件。,（,4,）拒绝权限超越其他权限。如果将“拒绝”权限授予某用户或组，即使这个用户作为某个组的成员具有访问该文件或文件夹的权限，因为将“拒绝”权限授予该用户，用户具有的任何其他权限也被阻止了。,（,5,）共享文件夹权限有,3,种：完全控制、更改、读取。,2,加密文件系统,Windows,加密文件系统（,EFS,）内置于,NTFS,文件系统中。加密文件系统为,NTFS,文件提供文件级的加密，是基于公共密钥的系统。使用,EFS,时，系统首先生成文件加密密钥（,File Encryption Key,，,FEK,），利用,FEK,创建加密后的文件，同时删除未加密的

19、原始文件，然后，系统利用当前用户的公钥加密,FEK,，并把加密后的,FEK,存储在一个加密文件夹中。当用户访问一个加密文件时，系统首先利用当前用户的私钥解密,FEK,，再利用,FEK,解密出加密文件。,实现方法,1,NTFS,文件权限的设置,2,文件系统的加密和解密,任务,3 Windows,组策略,任务描述,Windows,组策略可以设置个性化的任务栏和“开始”菜单、管理和实现,IE,安全，也可对特定的域或工作组执行禁止运行命令行、禁止运行自动播放功能、禁止使用控制面板、限制使用应用程序等。本次任务是以,Windows Server 2008,服务器系统为例实现的。,任务要求,掌握常用的组策

20、略设置方法。,知识连接,1,组策略的概念,组策略设置定义了系统管理员需要管理的用户桌面环境的各种组件，如用户可用的程序、用户桌面上出现的程序以及“开始”菜单选项。组策略不仅应用于用户和用户端计算机，还应用于成员服务器、域控制器以及管理范围内的任何计算机。默认情况下，应用于域的组策略会影响域中的所有计算机和用户。,2,组策略的内容,组策略主要可进行两个方面的配置：计算机配置和用户配置。“计算机配置”是对整个计算机的系统配置进行设置，对当前计算机中所有用户的运行环境都起作用；“用户配置”是对当前用户的系统配置进行设置，仅对当前用户起作用。,实现方法,1,禁止使用可移动存储器复制资料。,2,断开远程

21、连接恢复系统状态,3,限制使用迅雷进行恶意下载,4,禁止来自外网的非法,ping,攻击,任务,4,远程服务与安全设置,任务描述,远程桌面服务的系统服务为“,Terminal Services”,，远程桌面服务开启后，可以方便管理远程服务器，但也给服务器带来了一定的威胁。可以通过设置安全策略限制连接终端服务的,IP,地址及网络。,任务要求,掌握远程访问的安全策略及实施方法。,实现方法,1,远程服务与安全设置,终端服务器的,IP,地址为,192.168.10.100,，为了服务器的安全，现在只允许,IP,地址,192.168.10.110,连接终端。首先在,IP,策略里新建一条策略，拒绝任何,IP

22、地址连接到本台服务器的,3389,端口，然后再建立一条规则，只允许,192.168.10.110,这个,IP,地址连接本台服务器的,3389,端口。,网络安全技术项目化教程,项目,5,计算机病毒与木马,项目导读,日新月异的计算机病毒，就像幽灵一样伴随着计算机和网络的普及而四处游荡，并不断地通过各种手段袭击互联网上的每一台计算机，令人防不胜防。伴随着计算机技术的不断进步，计算机病毒也在不停的产生变化。早期的计算机病毒还主要依靠文件的拷贝来传递，但在互联网飞速发展的今天，计算机病毒找到了它的新媒介，新的病毒可以在短时间内通过网络迅速蔓延开来，往往因此造成巨大的损失。计算机病毒与木马的防护是保证网

23、络安全运行的重要保障。,教学目标,掌握计算机病毒、木马的类别、结构和特点。,掌握计算机病毒的检测与防范方法。,掌握木马的清除方法。,掌握查毒软件的使用方法。,任务,1,认识计算机病毒与木马,任务描述,随着互联网的日益流行，各种病毒木马也猖獗起来，几乎每天都有新的病毒产生，大肆传播破坏，给广大互联网用户造成了极大的危害，几乎到了令人谈毒色变的地步。各种病毒、蠕虫、木马纷至沓来，令人防不胜防。在此将从计算机病毒和木马的基本概念入手，使大家对其有充分的认识，达到防范于未然的目的。,任务要求,掌握计算机病毒的定义、分类和结构。,掌握计算机病毒的特点。,掌握木马的定义和分类。,知识链接,1,计算机病毒的

24、起源,（,1,）科学幻想起源说。,（,2,）恶作剧起源说。,（,3,）游戏程序起源说。,（,4,）软件制造商保护软件起源说。,2,病毒的特性,（,1,）破坏性。,（,2,）传染性。,（,3,）潜伏性。,（,4,）隐蔽性。,（,5,）可触发性。,（,6,）加密性。,（,7,）多态性。,3,计算机病毒的分类,（,1,）按计算机病毒的寄生方式和传染途径分类。,引导型病毒,文件型病毒,复合型病毒,（,2,）按计算机病毒的连接方式分类。,源码型病毒,入侵型病毒,操作系统型病毒,外壳型病毒,（,3,）按计算机病毒的破坏性分类。,良性病毒,恶性病毒,4,计算机病毒的表现,（,1,）计算机经常性无缘无故地死机

25、2,）操作系统无法正常启动。,（,3,）运行速度明显变慢。,（,4,）内存不足的错误。,（,5,）硬盘无法启动，数据丢失。,（,6,）系统文件丢失或被破坏。,（,7,）文件目录发生混乱。,（,8,）文档丢失或被破坏。,（,9,）使部分可软件升级主板的,BIOS,程序混乱，主板被破坏。,5,木马的概念和分类,计算机领域，特洛伊木马,(Trojan),是指一段具有特殊功能的恶意代码，这些代码通常是隐藏在正常程序中的。这些恶意代码会入侵用户的计算机，然后窃取用户信息，破坏用户系统，或把用户计算机当做跳板实现,Dos,攻击或者隐藏自身的一种后门程序。,常见的木马病毒可以分为以下八类：,（,1,

26、破坏型。,（,2,）密码盗取型。,（,3,）远程访问型。,（,4,）键盘记录木马。,（,5,）,DoS,攻击木马。,（,6,）,FTP,木马。,（,7,）代理木马。,（,8,）程序杀手木马。,5,木马的攻击技术,（,1,）配置木马。,（,2,）传播木马。,（,3,）伪装木马,（,4,）运行木马。,任务,2,宏病毒,任务描述,宏病毒依附在正常的,Word,文件上，利用,Word,文件执行其内部宏命令代码的方式，在,Word,文件打开或关闭时感染系统。宏病毒会造成文件的破坏，严重的会格式化硬盘。本次任务通过一个宏病毒的制作实例对其原理和运行机制进行分析。,任务要求,掌握宏病毒的概念和传播方法。,

27、掌握宏病毒的防范方法。,知识链接,1,什么是宏,宏（,macro),是软件设计者为了在使用软件工作时，避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法，把常用的动作写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作,。,Microsoft Word,中对宏定义为：“宏就是能组织到一起作为一独立的命令使用的一系列,word,命令，它能使日常工作变得更容易”。,2,什么是宏病毒,宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏自动被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在,Normal,模板上。

28、从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。,3,宏病毒的表现,以,Word,为例，一旦病毒宏侵入,Word,，它就会替代原有的正常宏，如,FileOpen,、,FileSave,、,FileSaveAs,和,FilePrint,等等，并通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时，相应的病毒宏就会纂夺控制权，实施病毒所定义的非法操作，包括传染操作、表现操作以及破坏操作等等。,4,宏病毒的识别,（,1,）打开一个用户自己编写的文档时，系统会弹出相应的警告框。而用户清楚并没有在其中使用宏或并不

29、知道宏到底怎么用，可以确定文档已经感染了宏病毒。,（,2,）,Office,文档中一系列的文件都在打开时给出宏警告，然而一般情况下用户很少使用到宏，所以当看到很多的文档都有宏警告时，可以肯定这些文档中有宏病毒。,（,3,）如果杀毒软件中关于宏病毒防护选项启用后，一旦发现机器中设置的宏病毒防护功能选项无法在两次启动,Word,之间保持有效，则系统已经感染了宏病毒，此时一系列,Word,模板，特别是,Office,目录下的,normal.dot,已经被感染。,（,4,）宏病毒会对,Word,、,Excel,文档感染，造成无法正常打印、无法正常存储及改变存储路径、无法编辑文档等异常行为。不要在软件给

30、予提示的情况下为了查看文档而选择运行不明来历的宏。,实现方法,1,宏病毒的制作,2,宏病毒的防范,任务,3,脚本和网页病毒,任务描述,网页病毒就是网页中含有病毒脚本文件或,JAVA,小程序。当用户登录某些含有网页病毒的网站时，网页病毒就会被激活，对用户的计算机系统进行破坏。本次任务通过网页病毒的制作实例分析其运行机制，并对网页病毒进行防范和清除。,任务要求,了解脚本和网页病毒的概念。,掌握网页病毒的特点和攻击方式。,掌握网页病毒的防范和清除方法。,知识连接,1,什么是脚本,脚本（,Script,）是使用一种特定的描述性语言，依据一定的格式编写的可执行文件，又称作批处理文件。脚本是批处理文件的延

31、伸，是一种纯文本保存的程序。,脚本通常可以由应用程序临时调用并执行。各类脚本被广泛地应用于网页设计中，因为脚本不仅可以减小网页的规模和提高网页浏览速度，而且可以丰富网页的表现，如动画、声音等。,2,什么是网页病毒？,网页病毒是利用网页来进行破坏的病毒，它使用一些,Script,语言编写的一些恶意代码利用浏览器的漏洞来实现病毒植入。当用户登录某些含有网页病毒的网站时，网页病毒便被悄悄激活，这些病毒一旦激活，可以利用系统的一些资源进行破坏,。,3,网页病毒的特点及攻击方式,网页病毒使得各种非法恶意程序能够得以被自动执行，在于它完全不受用户的控制。用户一旦浏览含有病毒的网页，就会在不知不觉的情况下马

32、上中招，给系统带来不同程度的破坏。,网页病毒简单的说就是一个网页，但这个网页运行时所执行的操作不仅仅是下载后再读出，伴随着前者的操作背后，还有病毒程序的下载，或是木马的下载和执行，悄悄地修改的注册表等。,4,网页病毒的,种类,（,1,）通过,Java Script,、,Applet,、,ActiveX,编辑的脚本程序修改,IE,浏览器,。,（,2,）通过,Java Script,、,Applet,、,ActiveX,编辑的脚本程序修改用户操作系统,。,实现方法,1,脚本文件的执行,2,网页病毒的防范,任务,4,冰河木马,任务描述,木马程序与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他

33、文件，而是通过将自身伪装吸引用户下载执行，向攻击者提供打开被种木马者计算机的门户，使攻击者可以任意毁坏、窃取被种木马者的文件，甚至远程操控被种者的计算机。木马与计算机网络中常常要用到的远程控制软件有些相似，但远程控制软件是善意的控制，因此通常不具有隐蔽性，木马则完全相反，木马要达到的是偷窃性的远程控制。本次任务将详细说明冰河木马的配置和使用，并介绍植入冰河木马的计算机如何彻底清除木马。,任务要求,了解木马的工作原理。,掌握冰河木马的配置和使用。,掌握冰河木马的卸载方法。,知识链接,1,木马的工作原理,木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务器端，即被控制端。植入被种者计算

34、机的是服务器端部分，而攻击者正是利用控制端进入运行了服务器端的计算机。运行了木马程序的服务器端以后，被种者的计算机就会有一个或几个端口被打开，使攻击者可以利用这些打开的端口进入计算机，安全和个人隐私也就全无保障。,知识链接,2,木马的连接方式,第一代和第二代木马使用的是传统连接方式，即,C/S,方式，由肉鸡打开端口等待外部连接，当攻击者需要与肉鸡建立连接时，向肉鸡发送一个连接请求，从而建立连接。,第三代木马采用反弹端口技术，由肉鸡主动连接攻击者，攻击者打开端口，等待肉鸡主动连接。,实现方法,1,冰河木马的使用,2.,冰河木马的清除,任务,5,使用自解压文件携带木马,任务描述,利用,WinRAR

35、捆绑木马是伪装隐藏木马的方法之一。把木马和另一个可执行文件放在同一个文件夹中，利用,WinRAR,将其制作成,exe,格式的自释放文件，当双击这个自释放文件时，就会在启动可执行文件的同时运行木马文件，这样就达到了种植木马的目的。本次任务将通过一个实例实现这种木马的捆绑。,任务要求,掌握自解压文件捆绑木马的方法。,掌握防范,WinRAR,捆绑木马的方法。,实现方法,1,利用自解压文件捆绑木马,2.,自解压木马的防范,网络安全技术项目化教程,项目,6,网络攻击与防范,项目导读,Internet,在为人们带来便利的同时，也为计算机病毒和计算机犯罪提供了土壤，对于系统、网络协议及数据库等，无论是其自

36、身的设计缺陷，还是由于人为的因素产生的各种安全漏洞，都有可能被一些另有图谋的黑客所利用并发起攻击，因此建立有效的网络安全防范体系就更为迫切。若要保证网络安全、可靠，则必须熟知黑客网络攻击的一般过程。只有这样方可在黒客攻击前做好必要的防备，从而确保网络运行的安全和可靠。,教学目标,了解黑客的由来和发展,了解网络攻击的步骤,掌握常见网络攻击的原理,掌握常用网络攻击工具的使用方法,掌握一般网络攻击的防范方法,任务,1,网络主机信息搜索,任务描述,网络攻击者首先要寻找目标主机并分析主机。只要利用域名和,IP,地址就可以顺利的找到目标主机，但知道要攻击的位置还是远远不够的，还必须将主机的操作系统的类型及

37、其所提供的服务资料做个全面的了解。此时，攻击者会利用一些扫描工具，获取目标主机运行的是哪种操作系统的哪个版本，系统有哪些帐户，,WWW,、,FTP,、,TELNE,、,SMTP,等服务程序是何种版本等资料，为入侵做好准备。,任务要求,了解黑客的由来。,掌握常见网络攻击的分类和目的。,掌握网络主机信息搜集的方法。,知识链接,1,黑客的由来,牛津英语词典解释“,Hacker,”一词涉及到计算机的项是：“利用自己在计算机方面的技术，设法在未经授权的情况下访问计算机文件或网络的人。”,近来又有这样的解释：“黑客”指代用大量的请求登录的信息淹没重要的网站并使之关闭的人。,2,网络攻击的分类,从攻击的目的

38、来看，可以有拒绝服务攻击,(Dos),、获取系统权限的攻击、获取敏感信息的攻击；从攻击的切入点来看，有缓冲区溢出攻击、系统设置漏洞的攻击等；从攻击的纵向实施过程来看，又有获取初级权限攻击、提升最高权限的攻击、后门攻击、跳板攻击等；从攻击的类型来看，包括对各种操作系统的攻击、对网络设备的攻击、对特定应用系统的攻击等。,3,访问类攻击,（,1,）按计算机病毒的寄生方式和传染途径分类。,攻击者攻击目标时常常把破译用户的口令作为攻击的开始，只要攻击者能猜测或者确定用户的口令，就能获得机器或者网络的访问权，并能访问到用户能访问到的任何资源，如果这个用户有域管理员或,root,用户权限，这是极其危险的。口

39、令攻击的原理是先得到该主机上的某个合法用户的账号，然后再进行合法用户口令的破译。,（,2,）,端口重定向指的是攻击者对指定端口进行监听，把发给这个端口的数据包转发到指定的第二目标。一旦攻陷了某个关键的目标系统，比如防火墙，攻击者就可以使用端口重定向技术把数据包转发到一个指定地点去，这种攻击的潜在威胁非常大，能让攻击者访问到防火墙后面的任何一个系统。,（,3,）,中间人攻击是一种“间接,”,的入侵攻击，这种攻击模式，是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，而这台计算机就称为“中间人,”,，然后入侵者把这台计算机模拟成一台或两台原始计算机，使“中间人,

40、能够与原始计算机建立活动连接，并允许其读取或修改传递的信息，两个原始计算机用户却认为他们是在互相通信。,4,Web,攻击,Web,这种应用的可操作性很大，用户使用的自由度也很高，同时，此应用也非常脆弱，遭遇的攻击也非常普遍。当攻击者在,Web,站点或应用程序后端攻击目标时，通常出于以下两个目的之一：阻碍合法用户对站点的访问，或者降低站点的可靠性。而当前较“流行”和威胁排名靠前的攻击方式：,SQL,注入式攻击、跨站脚本攻击、,CC,攻击、,Script/ActiveX,攻击以及,DDos,攻击。,DDoS,攻击会在后面有专门讲述。,5,拒绝服务攻击,拒绝服务攻击即攻击者想办法让目标机器停止提

41、供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。对网络带宽进行的消耗性攻击只是拒绝服务攻击的一部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务类攻击有两种形式：带宽消耗性以及资源消耗型，它们都是通过大量合法或伪造的请求占用大量网络以及器材资源，以达到瘫痪网络以及系统的目的。,6,病毒类攻击,计算机病毒是一种在用户不知情或未批准下，能自我复制或运行的计算机程序，该类攻击往往会影响受感染计算机的正常运作。病毒类型根据中国国家计算机病毒应急处理中心发表的报告统计，占近,45%,的病毒是木马程序，蠕虫占病毒总数的,25%,

42、以上，占,15%,以上的是文档型病毒（例如宏病毒），还有其他类型比较少见的病毒类型。,7,溢出类攻击,缓冲区溢出（又称堆栈溢出）攻击是最常用的黑客技术之一，这种攻击之所以泛滥，是由于开放源代码程序的本质决定的。,Unix,本身以及其上的许多应用程序都是用,C,语言编写的，而,C,语言不检查缓冲区的边界。在某些情况下，如果用户输入的数据长度超过应用程序给定的缓冲区，就会覆盖其他数据区，这就称作“缓冲区溢出”。,实现方法,1,刺探网络主机,IP,地址和地理位置,2,网站信息搜集,任务,2,网络主机端口扫描,任务描述,端口扫描是入侵者搜集信息的常用方法，通过端口扫描能判断出目标主机开放了哪些服务、运

43、行哪种操作系统，为下一步的入侵做好准备。,任务要求,掌握端口的含义和常用端口。,掌握常用端口扫描工具的使用方法。,知识链接,1,什么是端口,端口（,Port,）有两种意思：一是物理意义上的端口，,ADSL Modem,、集线器、交换机、路由器用于连接其他网络设备的接口，如,RJ-45,端口、,SC,端口等。二是逻辑意义上的端口，一般指,TCP/IP,协议中的端口，端口号的范围从,0,到,65535,，比如用于浏览网页服务的,80,端口，用于,FTP,服务的,21,端口等。这里要介绍的就是逻辑意义上的端口。,2,端口类型,（,1,）,按端口号分布划分。,知名端口（,Well-Known Port

44、s,）,动态端口（,Dynamic Ports,）,（,2,）,按协议类型划分。,TCP,端口,UDP,端口,3,如何查看端口,依次单击“开始”“运行”，键入“,cmd,”并回车，打开命令提示符窗口。在命令提示符后键入“,netstat-a-n,”，按下回车键后就可以看到以数字形式显示的,TCP,和,UDP,连接的端口号及状态。,4,开启和关闭端口,如果要开启该端口只要先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，单击“确定”按钮。,如果要关闭,SMTP,服务的,25,端口，首先打开“控制面板”，双击“管理工具”，再双击“服

45、务”。在打开的服务窗口中找到并双击“,Simple Mail Transfer Protocol,（,SMTP,）”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮,5,常用端口,6,端口扫描原理,（,1,）发出端口号从,0,开始依次递增的,TCP SYN,或,UDP,报文（端口号是一个,16,比特的数字，这样最大为,65535,，数量很有限）；,（,2,）如果收到了针对这个,TCP,报文的,RST,报文，或针对这个,UDP,报文的,ICMP,不可达报文，则说明这个端口没有开放；,（,3,）相反，如果收到了针对这个,TCP SYN,报文的,ACK,报

46、文，或者没有接收到任何针对该,UDP,报文的,ICMP,报文，则说明该,TCP,端口是开放的，,UDP,端口可能开放。有的实现中即使该,UDP,端口没有开放，也可能不回应,ICMP,不可达报文。,实现方法,1,流光扫描器,2,X-Scan,的,使用,3,SuperScan,的,使用,任务,3,经典,IPC,入侵,及,防范,任务描述,当前的网络设备基本上是依靠认证实现身份识别和安全防范的。在众多认证方式中，基于“账号,/,密码”的认证最为常见，应用最为广泛。针对这种方式的入侵主要有,IPC$,、,Telnet,等。,任务要求,掌握,IPC$,入侵的基本原理。,掌握,IPC$,入侵的基本命令与方法

47、掌握,IPC$,入侵的防范方法。,知识连接,1,什么是,IPC$,IPC$(Internet Process Connection),是共享,命名管道,的资源，是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理计算机和查看计算机的共享资源时使用。如果目标主机开启,IPC$,共享，连接者利用,IPC$,可以与目标主机建立一个空的连接而无需用户名与密码，利用这个空的连接，连接者还可以得到目标主机上的用户列表（如果管理员没有禁止导出用户列表）。,2,IPC$,与空连接,不需要用户名与密码的,IPC$,连接称为空连接，若以特定的用户名和密码登录进行,IPC$,连

48、接，就不能称为空连接。当以空连接登录时没有任何权限，以用户或管理员的身份登陆时，会有相应的权限。所以进行,IPC$,连接前会先扫描管理员弱口令。,3,IPC$,与,139,，,445,端口,IPC$,连接可以实现远程登陆及对默认共享的访问，开启,139,端口则表示可应用,netbios,协议，可以通过,139,、,445,端口实现对共享文件,/,打印机的访问，一般来讲，,IPC$,连接是需要,139,或,445,端口来支持的。,4,IPC$,与默认共享,默认共享是为了方便管理员远程管理而默认开启的共享，即所有的逻辑盘,(c$,，,d$,，,e$),和系统目录,winnt,或,windows(a

49、dmin$),，通过,IPC$,连接可以实现对这些默认共享的访问,(,前提是对方没有关闭这些默认共享,),。,5,常见的导致,IPC$,连接失败的原因,（,1,）,IPC$,连接是,Windows NT,及以上系统中特有的功能，需要用到,Windows NT,中很多,DLL,函数，所以不能在,Windows 9.x/Me,系统中运行，也就是说只有,Windows nt/2000/xp,才可以相互建立,IPC$,连接，,Windows 98/Me,是不能建立,IPC$,连接的。,（,2,）如果响应方关闭了,IPC$,共享，将不能建立连接。,（,3,）连接发起方未启动,Lanmanworkstat

50、ion,服务（显示名为：,Workstation,），发起方无法发起连接请求。,（,4,）响应方未启动,Lanmanserver,服务（显示名为：,Server,），,Lanmanserver,服务提供了,RPC,支持、文件、打印以及命名管道共享，,IPC$,依赖于此服务，没有它主机将无法响应发起方的连接请求，但仍可发起,IPC$,连接。,（,5,）响应方的,139,，,445,端口未处于监听状态或被防火墙屏蔽。,（,6,）连接发起方未打开,139,，,445,端口。,（,7,）用户名或者密码错误。,（,8,）如果在已经建立好连接的情况下对方重启计算机，,IPC$,连接将会自动断开，需要重新建