网络安全与实训教程电子教案5》.ppt

第5章 黑客攻击及防范,5.1 黑客概述 5.2 个人计算机的网络安全 5.3 黑客常用工具和防御 5.4 入侵检测系统,5.1 黑客概述,5.1.1 黑客文化简史 5.1.2 黑客攻击的目的和3个阶段,5.1.1 黑客文化简史,步入21世纪以后，黑客群体又有了新的变化和新的特征，主要表现在以下几个方面。 1黑客群体扩大化 2黑客的组织化和集团化 3黑客行为的商业化 4黑客行为的政治化,5.1.1 黑客文化简史,虽然黑客团体随着时代的变化发生日新月异的变化，但有一点需要特别注明的是，在现代黑客团体中，有两大类截然不同的阵营：一类是本节所讨论的黑客，另一类就是从事破坏活动的骇客（Cracker），有时也将其称为破译者或入侵者。 两者从定义上的根本区别在于：是否给他人的系统和数据带来破坏。,5.1.2 黑客攻击的目的和3个阶段,黑客的攻击目标也会多种多样，但大致上可以归纳总结如下。 1窃取信息 2获取口令 3控制中间站点 4获得超级用户权限,5.1.2 黑客攻击的目的和3个阶段,黑客攻击可以分为以下3个阶段。 （1）确定目标 （2）搜集与攻击目标相关的信息，并找出系统的安全漏洞 （3）实施攻击,5.2 个人计算机的网络安,5.2.1 口令安全 5.2.2 特洛伊木马 5.2.3 Windows 2000的安全 5.2.4 QQ的安全 5.2.5 电子邮件的安全,5.2.1 口令安全,（1）第一种破解口令的方法是利用口令破解器。 图5.1 口令破解器,5.2.1 口令安全,（2）另一种产生候选口令的方法是使用枚举法。,5.2.1 口令安全,容易选择而且又缺乏安全性的口令包括以下几种。 （1）使用与用户名相同的口令，或使用用户名的变换形式作口令。 （2）使用生日作为口令。 （3）使用常用的英文单词作为口令。 （4）使用较短的字符串作为口令，比如选择8位以下的字符串作口令。,5.2.1 口令安全,要选择安全有效的口令，应该遵循以下规则。 （1）选择长的口令，口令越长，黑客猜中的可能性就越低。 （2）最好的口令包括大小写英文字母和数字的组合。 （3）定期更换口令。,5.2.1 口令安全,在使用口令的过程中要注意以下事项。 （1）不要将口令写下来，或存放于存储器中。 （2）不要在不同系统上使用同一个口令。 （3）不要让其他人看见自己输入口令。 （4）如果口令在网上传输，则应对口令加密或在系统中安装相关软件或硬件来使用一次性口令。,5.2.2 特洛伊木马,特洛伊木马是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。 一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。 木马在网络上的传播和攻击过程大致可分为以下6步。,5.2.2 特洛伊木马,1配置木马 在这个阶段的主要目的是实现木马的伪装和信息反馈两个功能。 木马的伪装形式包括以下几种。 修改图标。 捆绑文件。,5.2.2 特洛伊木马, 出错提示。 定制端口。 自我销毁。 木马更名。,5.2.2 特洛伊木马,2传播木马 3运行木马 4信息泄露 5建立连接 6远程控制,5.2.2 特洛伊木马,控制端能享有的控制权限有以下几种。 窃取密码。 文件操作。 修改注册表。 系统操作。,5.2.3 Windows 2000的安全,Windows 2000要求每个用户提供惟一的用户名和口令来登录到计算机，这种强制性登录过程是不能关闭的。,5.2.3 Windows 2000的安全,这种强制性登录和使用Ctrl+Alt+Delete启动登录过程的好处包括以下几点。 （1）确定用户身份是否合法，从而确定用户对系统资源的访问权限。 （2）在强制性登录期间，挂起对用户模式程序的访问，可以防止创建或偷窃用户账号和口令。 （3）强制登录过程允许不同用户具有单独的配置，包括桌面和网络连接等。,5.2.3 Windows 2000的安全,在Windows 2000中有两个默认用户，一个是Guest，另一个是Administrator。,5.2.3 Windows 2000的安全,图5.2 在本地安全设置中设置安全选项,5.2.3 Windows 2000的安全,图5.3 在本地安全设置中设置密码策略,5.2.3 Windows 2000的安全,图5.4 没有使用NTFS的安全性,5.2.3 Windows 2000的安全,图5.5 使用了NTFS的安全性,5.2.3 Windows 2000的安全,图5.6 文件夹的权限分配,5.2.3 Windows 2000的安全,图5.7 文件的权限分配,5.2.3 Windows 2000的安全,Windows 2000中所提供的各权限的具体含义如表5.1所示。,5.2.3 Windows 2000的安全,NTFS对远程用户的文件和文件夹的访问控制是通过共享提供的。可供选择的共享权限与具体的含义如表5.2所示。 设计Windows 2000的访问权限时应将本地和远程的权限进行组合。,5.2.3 Windows 2000的安全,5.2.4 QQ的安全,QQ采用的是C/S模型，使用的是UDP协议。 常见的QQ攻击和防御方法。 1在QQ中显示对方的IP地址 2QQ密码破解 3QQ消息炸弹,5.2.5 电子邮件的安全,对于电子邮件的攻击主要有电子邮箱的密码破解与电子邮件炸弹两种。,5.3 黑客常用工具和防御,5.3.1 探测与扫描 5.3.2 Sniffer 5.3.3 拒绝服务,5.3.1 探测与扫描,目标探测是通过自动或人工查询方法，获得与目标网络相关的物理和逻辑的参数，构建一个完整的目标剖析档案。 目标探测是成功地防范黑客攻击行为的重要保证，因此目标探测的可靠性、准确性和完整性显得尤为重要，它需要丰富的技术和经验。,5.3.1 探测与扫描,目标探测所包括的内容基本上有以下两类。 （1）外网信息，包括域名、管理员信息、域名注册机构、DNS主机、网络地址范围、网络位置、网络地址分配机构信息、系统提供的各种服务和网络安全配置等。 （2）内网信息，包括内部网络协议、拓朴结构、系统体系结构和安全配置等。,5.3.1 探测与扫描,目标探测主要利用以下4种检测技术。 （1）基于应用的检测技术。 （2）基于主机的检测技术。 （3）基于目标的漏洞检测技术。 （4）基于网络的检测技术。,5.3.1 探测与扫描,系统存在薄弱环节主要有以下3个方面的原因。 （1）软件自身安全性差。 （2）安全策略不当。 （3）操作人员缺乏安全意识。,5.3.1 探测与扫描,目标探测软件最初只有一些专门为UNIX系统编写的、具有简单功能的小程序，到现在已经出现了多种运行在各种操作系统平台上的、具有复杂功能的程序，而且还在技术上快速发展着。,5.3.1 探测与扫描,目标探测软件具有以下发展趋势。 （1）使用插件或者叫做功能模块技术。 （2）使用专用脚本语言。 （3）探测功能的综合化和系统化发展。,5.3.1 探测与扫描,进行目标探测的过程。 （1）确定目标范围 （2）分析目标网络信息 （3）目标网络路由途径,5.3.1 探测与扫描,图5.8 通过对APNIC Whois Database查询可获得该IP地址的详细信息,5.3.1 探测与扫描,图5.9 利用Visual Route显示目标网络详细的信息,5.3.2 Sniffer,ISS对Sniffer的定义是：Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。,5.3.2 Sniffer,1Microsoft Network Monitor 图5.10 用网络监视器查看到感染了震荡波病毒的系统疯狂连接目标主机的445端口,5.3.2 Sniffer,Sniffer Pro的主要功能如下。 （1）为网络协议分析捕获网络数据包 （2）分析论断网络故障 （3）实时监控网络的活动情况,5.3.2 Sniffer,（4）收集单个工作站、会话，或者网络中的任何一部分的详细的网络利用情况和错误统计 （5）保存网络情况的历史记录和错误信息，建立基线 （6）当检测到网络故障的时候，生成直观的实时警报并通知网络管理员 （7）模拟网络数据来探测网络，衡量响应时间，路由跳数计数并排错,5.3.2 Sniffer,Sniffer Pro的工作界面如图5.11所示。 图5.11 Sniffer Pro的工作界面,5.3.2 Sniffer,网络监听的检测和防范。 1对可能存在的网络监听的检测 2对网络监听的防范措施 （1）从逻辑或物理上对网络分段 （2）以交换式集线器代替共享式集线器 （3）使用加密技术 （4）划分VLAN,5.3.3 拒绝服务,1拒绝服务的基本概念 拒绝服务（Denial of Service，DoS）。 造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。,5.3.3 拒绝服务,分布式拒绝服务（Distributed Denial of Service，DDoS），它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点。 DDoS攻击分为3层：攻击者、主控端和代理端，3者在攻击中扮演着不同的角色。,5.3.3 拒绝服务,2DDoS攻击使用的常用工具 （1）Trinoo （2）TFN （3）TFN2K （4）Stacheldraht,5.3.3 拒绝服务,3DDoS的监测 检测DDoS攻击的主要方法有以下几种。 （1）根据异常情况分析 （2）使用DDoS检测工具,5.3.3 拒绝服务,4DDoS攻击的防御策略 （1）及早发现系统存在的攻击漏洞，及时安装系统补丁程序。 （2）在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。,5.3.3 拒绝服务,（3）利用网络安全设备（例如，防火墙）来加固网络的安全性，配置好它们的安全规则，过滤掉所有可能的伪造数据包。 （4）比较好的防御措施就是和你的网络服务提供商协调工作，让他们帮助你实现路由的访问控制和对带宽总量的限制。,5.3.3 拒绝服务,（5）当你发现自己正在遭受DDoS攻击时，应当启动你的应付策略，尽可能快地追踪攻击包，并且要及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡已知攻击节点的流量。,5.3.3 拒绝服务,（6）当你是潜在的DDoS攻击受害者，发现你的计算机被攻击者用作主控端和代理端时，不能因为你的系统暂时没有受到损害而掉以轻心，攻击者已发现你系统的漏洞，这对于你的系统是一个很大的威胁。所以一旦发现系统中存在DDoS攻击的工具软件要及时把它清除，以免留下后患。,5.4 入侵检测系统,5.4.1 入侵检测系统概述 5.4.2 利用系统日志做入侵检测 5.4.3 常用的入侵检测工具介绍 5.4.4 入侵检测系统的发展趋势,5.4.1 入侵检测系统概述,入侵检测（Intrusion Detection），是对入侵行为的检测。 它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System，IDS）。,5.4.1 入侵检测系统概述,入侵检测系统处于防火墙之后对网络活动进行实时检测。 入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术。,5.4.1 入侵检测系统概述,入侵检测系统主要包括以下几个方面的功能： 监视、分析用户及系统活动； 系统构造和弱点的审计； 识别反映已知进攻的活动模式并向相关人士报警； 异常行为模式的统计分析； 评估重要系统和数据文件的完整性； 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。,5.4.1 入侵检测系统概述,入侵检测利用的信息一般来自以下4个方面。 1系统和网络日志文件 2目录和文件中的不期望的改变 3程序执行中的不期望行为 4物理形式的入侵信息,5.4.1 入侵检测系统概述,对上述4类收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过3种技术手段进行分析： 1模式匹配 2统计分析 3完整性分析,5.4.1 入侵检测系统概述,经过几年的发展，入侵检测产品开始步入快速的成长期。 一个入侵检测产品通常由两部分组成：传感器(Sensor)与控制台(Console)。 传感器负责采集数据(网络包、系统日志等)、分析数据并生成安全事件。 控制台主要起到中央管理的作用，商品化的产品通常提供图形界面的控制台，这些控制台基本上都支持Windows NT平台。,5.4.1 入侵检测系统概述,从技术上看，这些产品基本上分为以下几类： 1基于网络的入侵检测 2基于主机的入侵检测 3混合入侵检测 4文件完整性检查,5.4.1 入侵检测系统概述,若从入侵检测技术上来讨论，可对入侵检测作如下分析。 1技术分类 入侵检测系统所采用的技术可分为特征检测与异常检测两种。 2常用检测方法 入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。,5.4.1 入侵检测系统概述,在选择入侵检测系统时要考虑以下要点。 1系统的价格 2特征库升级与维护的费用 3对于网络入侵检测系统，最大可处理流量（包/秒PPS）是多少 4该产品容易被躲避吗,5.4.1 入侵检测系统概述,5产品的可伸缩性 6运行与维护系统的开销 7产品支持的入侵特征数 8产品有哪些响应方法 9是否通过了国家权威机构的评测,5.4.2 利用系统日志做入侵检测,入侵的检测主要还是根据应用来进行，若系统提供了相应的服务就应该有相应的检测分析系统来进行保护，对于一般的主机来说，主要应该注意以