计算机网络技术 教育部高职高专计算机类专业教学指导委员会优秀教材 徐立新 第9章 网络安全技术新

第 9章 网络安全 *主要内容网络扫描原理与工具 计算机网络安全的基本概念 网络面临的安全威胁 木马的检测与防范 1234拒绝服务攻击原理与分类 计算机病毒 56PGP加密系统 代理服务器工具 782018/8/9 2*9.1 网络安全简介 9.1.1 网络安全的定义 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。2018/8/9 3*9.1 网络安全简介9.1.2 网络面临的安全威胁 （ 1）截获（ Interception）。攻击者从网络上窃听他人的通信内容。（ 2）中断（ Interruption）。攻击者有意中断他人在网络上的通信。（ 3）篡改（ Modification）。攻击者故意篡改网络上传送的报文。（ 4）伪造（ Fabrication）。攻击者伪造信息在网络上传送。 2018/8/9 4*9.1 网络安全简介9.1.3 计算机网络及信息安全的目标 1机密性机密性是指保证信息不能被非授权访问，即非授权用户得到信息也无法知晓信息内容，因而不能使用。 2完整性完整性是只有得到允许的人才能修改实体或者进程，并且能够判别出实体或者进程是否已被修改。 3可用性可用性是信息资源服务功能和性能可靠性的度量，涉及到物理、网络、系统、数据、应用和用户等多方面的因素，是对信息网络总体可靠性的要求。 2018/8/9 5*9.1 网络安全简介4可控性可控性主要指对危害国家信息（包括利用加密的非法通信活动）的监视审计。 5不可否认性不可否认性是对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者 “逃不脱 ”，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性，一般通过数字签名等技术来实现不可否认性。 2018/8/9 6*9.2 黑客入侵攻击的一般过程黑客入侵攻击的一般过程如下所述：（ 1）确定攻击的目标。 （ 2）收集被攻击对象的有关信息。 （ 3）利用适当的工具进行扫描。 （ 4）建立模拟环境，进行模拟攻击。 （ 5）实施攻击。 （ 6）清除痕迹。 2018/8/9 7*9.3 网络扫描工具 9.3.1 扫描器的作用（ 1）检测主机是否在线。（ 2）扫描目标系统开放的端口，有的还可以测试端口的服务信息。（ 3）获取目标操作系统的敏感信息。（ 4）破解系统口令。（ 5）扫描其他系统敏感信息。一个优秀的扫描器能检测整个系统各个部分的安全性，能获取各种敏感的信息，并能试图通过攻击以观察系统反应等。扫描的种类和方法不尽相同，有的扫描方式甚至相当怪异且很难被发觉，但却相当有效。 2018/8/9 8*9.3 网络扫描工具9.3.2 X-scan扫描器概述X-scan采用多线程方式对指定 IP地址段（或单机）进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式。扫描内容包括：远程服务类型、操作系统类型及版本、各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等 20多个大类。 2018/8/9 9*9.3 网络扫描工具9.3.3 端口扫描程序 Nmap在诸多端口扫描器中 ， Nmap是其中的佼佼者，它提供了大量的基于 DOS的命令行选项，还提供了支持 Win2K/XP的 GUI（图形用户界面）， 能够 灵活地满足各种扫描要求，而且输出格式丰富。2018/8/9 10*9.4 网络监听原理与工具使用9.4.1 网络监听原理网络监听是黑客在局域网中常用的一种技术，它在网络中监听别人的数据包，监听的目的就是分析数据包，从而获得一些敏感信息，如账号和密码等。其实网络监听原本是网络管理员经常使用的一个工具，主要用来监视网络的流量、状态、数据等信息，比如 Wireshark就是许多系统管理员手中的必备工具。2018/8/9 11*9.4 网络监听原理与工具使用9.4.2 网络监听工具 Wireshark的使用 Wireshark是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。与很多其他网络工具一样，wireshark也使用 pcap network library来进行封包捕捉。分析数据包有 3个步骤：选择数据包、分析协议、分析数据包内容。 （ 1）选择数据包每次捕获的数据包的数量成百上千，首先，根据时间、地址、协议、具体信息等来对需要的数据进行简单的手工筛选，在这么多数据中选出所要分析的那一个。 （ 2）分析协议，我们在协议窗口直接获得的信息是，以太帧头、 IP头、TCP头和应用层协议中的内容。 （ 3）分析数据包内容一次完整的嗅探过程并不是只分析一个数据包，可能是在几百或上万个数据包中找出有用的几个或几十个来分析，理解数据包，对于网络安全具有至关重要的意义。 2018/8/9 12*9.5 木马的检测与防范9.5.1木马的工作原理特洛伊木马，英文叫做 “Trojan Horse”，它是一种基于远程控制的黑客工具（病毒程序）。常见的普通木马一般是客户端 /服务端（ C/S）模式，客户端 /服务端之间采用 TCP/UDP的通信方式，攻击者控制的是相应的客户端程序，服务器端程序是木马程序，木马程序被植入了毫不知情的用户的计算机中。以 “里应外合 ”的工作方式，服务程序通过打开特定的端口并进行监听（ Listen），这些端口好像 “后门 ”一样，所以，也有人把特洛伊木马叫做后门工具。攻击者所掌握的客户端程序向该端口发出请求（ Connect Request），木马便和它连接起来了，攻击者就可以使用控制器进入计算机，通过客户端程序命令达到控制服务器端的目的。 2018/8/9 13*9.5 木马的检测与防范9.5.2 木马的种类（ 1）网络游戏木马（ 2）网银木马（ 3）即时通讯软件木马 发送消息型 盗号型 传播自身型 （ 4）网页点击类木马（ 5）下载类木马（ 6）代理类木马2018/8/9 14*9.5 木马的检测与防范9.5.3 木马的工作过程1配置木马（ 1）木马伪装 （ 2）信息反馈2传播木马3启动木马4建立连接5远程控制2018/8/9 15*9.5 木马的检测与防范9.5.4 木马的检测1查看端口（ 1） netstat命令 （ 2）专用工具 2检查账户3检查注册表4检查配置文件2018/8/9 16*9.5 木马的检测与防范9.5.5 木马的防御与清除木马一般都是通过 E-mail和文件下载传播来的。因此要提高防范意识，不要打开陌生人信中的附件。另外，建议大家最好到正规网站去下载软件，这些网站的软件更新快，且大部分都经过测试，可以放心使用。一旦发现了木马，最简单的方法就是使用杀毒软件。同时新的木马不断出现，旧的木马变种也很快，有些要手工查找并清除。 2018/8/9 17*9.6 拒绝服务攻击9.6.1 拒绝服务攻击的定义拒绝服务（ Denial of Service， DoS）攻击广义上可以指任何导致网络设备（服务器、防火墙、交换机、路由器等）不能正常提供服务的攻击，现在一般指的是针对服务器的 DoS攻击。这种攻击可能就使网线被拔下，或者网络的堵塞等，最终的结果是正常用户不能使用他所需要的服务。黑客使用 DoS攻击有以下的目的：（ 1）使服务器崩溃并让其他人也无法访问。（ 2）黑客为了冒充某个服务器，就对它进行 DoS攻击，使其瘫痪。（ 3）黑客为了安装的木马启动，要求系统重启， DoS攻击可以用于强制服务器重启。 2018/8/9 18*9.6 拒绝服务攻击9.6.2 拒绝服务攻击分类DoS 的攻击方式有很多种，根据其攻击的手法和目的不同，有两种不同的存在形式。一种是以消耗目标主机的可用资源为目的，使目标服务器忙于应付大量非法的、无用的连接请求，占用了服务器所有的资源，造成服务器对正常的请求无法再做出及时响应，从而形成事实上的服务中断，这也是最常见的拒绝服务攻击形式。这种攻击主要利用的是网络协议或者是系统的一些特点和漏洞进行攻击，主要的攻击方法有死亡之 ping、 SYN Flood、 UDP Flood、 ICMP Flood、 Land、Teardrop 等等，针对这些漏洞的攻击，目前在网络中都有大量的现成工具可以利用。 另一种拒绝服务攻击是以消耗服务器链路的有效带宽为目的，攻击者通过发送大量的有用或无用数据包，将整条链路的带宽全部占用，从而使合法用户请求无法通过链路到达服务器。例如蠕虫对网络的影响。 2018/8/9 19*9.6 拒绝服务攻击几种常见的拒绝服务攻击： 1死亡之 Ping通过发送畸形的、超大尺寸的 ICMP 数据包，如果 ICMP 数据包的尺寸超过 64KB上限时，主机就会出现内存分配错误，导致 TCP/IP 堆栈崩溃，致使主机死机。 2 UDP Flood 攻击攻击者利用简单的 TCP/IP服务，如 Chargen（ Character Generator Protocol字符发生器协议）和 Echo来传送毫无用处的占满带宽的数据。 3 Land 攻击Land攻击原理是：用一个特别打造的 SYN包，它的原地址和目标地址都被设置成某一个服务器地址。此举将导致接受服务器向它自己的地址发送 SYN-ACK消息，结果这个地址又发回 ACK消息并创建一个空连接。 4泪滴攻击泪滴（ Teardrop）攻击是利用在 TCP/IP堆栈中实现信任 IP碎片中的包的标题头所包含的信息来实现自己的攻击。 2018/8/9 20*9.6 拒绝服务攻击9.6.3 分布式拒绝服务攻击分布式拒绝服务（Distributed Denial of Service）是一种基于 DoS的特殊形式的攻击，是一种分布、协作的大规模攻击方式，主要攻击比较大的站点，例如商业公司、搜索引擎和政府部门的站点。2018/8/9 21*9.7 计算机病毒9.7.1 网络防病毒技术网络防毒技术可以直观地分为病毒预防技术、病毒检测技术及病毒清除技术。 （ 1）病毒预防技术。 计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统传染和破坏。实际上这是一种动态判定技术，即一种行为规则判定技术。 （ 2）病毒检测技术。计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种，一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。 （ 3）病毒清除技术。目前，清除病毒大都是在某种病毒出现后，通过对其进行分析研究而研制出来的具有相应解毒功能的软件。 2018/8/9 22*9.7 计算机病毒9.7.2 网络安全防御实例实例一：校园网安全防御高校校园网以服务于教学、科研为的宗旨，这决定其必然是一个管理相对宽松的开放式系统，无法做到像企业网一样进行严格统一的管理，这使得保障校园网安全成为一个大挑战。 上海交通大学从自身情况出发，其安全方案主要包括以下 6个方面。 1网络关键路由交换设备的安全配置2采取静态 IP地址管理模式3中央集中控制病毒4积极防范网络攻击5统一身份认证6鼓励学生当网管2018/8/9 23*9.7 计算机病毒实例二：个人电脑安全防御1杀毒软件不可少2个人防火墙不可替代3分类设置密码并使密码设置尽可能复杂 4不下载来路不明的软件及程序，不打开来历不明的邮件及附件5警惕 “网络钓鱼 ”6防范间谍软件7只在必要时共享文件夹8不要随意浏览黑客网站、色情网站 9定期备份重要数据2018/8/9 24*9.8 PGP加密系统9.8.1 加密技术数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非授权者不能了解被保护信息的内容。加密的基本思想是伪装明文以隐蔽其真实内容，即将明文伪装成密文 伪装明文的操作称为加密，加密时所使用的信息变换规则称为加密算法。由密文恢复出原明文的过程称为解密。解密时所采用的信息变换规则称作解密算法。 2018/8/9 25*9.8 PGP加密系统9.8.2 PGP软件包的安装和使用PGP加密软件是美国 Network Associate Inc.出产的免费软件，可用它对文件、邮件进行加密。 使用 PGP软件对 Outlook Express邮件加密并签名后发送给接收方；接收方验证签名并解密邮件。 （ 1）安装 PGP（ 2）生成用户密钥对（ 3）用 PGP对 Outlook Express邮件进行加密操作 （ 4）接收方用私钥解密邮件2018/8/9 26*9.9 防火墙技术9.9.1防火墙原理保护网络安全的最主要手段之一是构筑防火墙（ Firewall）。防火墙是一种网络安全防护系统，是由硬件和软件构成的用来在网络之间执行控制策略的系统。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。防火墙安装的位置一定是在内部网络与外部网络之间。防火墙的主要功能如下：（ 1）检查所有从外部网络进入内部网络的数据包。（ 2）检查所有从内部网络流出到外部网络的数据包。（ 3）执行安全策略，限制所有不符合安全策略要求的分组通过。（ 4）具有防攻击能力，保证自身的安全性。2018/8/9 27*9.9 防火墙技术9.9.2 防火墙的发展历程综观防火墙技术的发展史，防火墙的过滤引擎技术经历了以下三个阶段：第一阶段：包过滤技术。包过滤防火墙工作在网络层，对数据包的源及目地 IP 具有识别和控制作用，包过滤的优点是工作层次低，速度快，但缺陷是不能跟踪会话状态， 第二阶段：应用代理网关技术。应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由