网络安全技术

1、第1章 计算机网络安全概述及环境搭建,1,1.1 计算机网络安全概述,2,一、网络安全的发展史,20世纪80年代开始，互联网技术飞速发展。自从1987年发现了全世界首例计算机病毒以来，病毒的数量早已超过1万种以上，并且还在以每年两千种新病毒的速度递增，不断困扰着涉及计算机领域的各个行业。 1997年,随着万维网（woldwideweb）上java语言的普及,利用java语言进行传播和资料获取的病毒开始出现,典型的代表是javasnake病毒，还有一些利用邮件服务器进行传播和破坏的病毒，例如mail-bomb病毒，它会严重影响因特网的效率,3,一、网络安全的发展史,1989年，俄罗斯的eugen

2、ekaspersky开始研究计算机病毒现象。从1991年到1997年，俄罗斯大型计算机公司kami的信息技术中心研发出了avp反病毒程序。这在国际互联网反病毒领域具有里程碑的意义。 防火墙是网络安全政策的有机组成部分。1983年，第一代防火墙诞生。到今天，已经推出了第五代防火墙,4,一、网络安全的发展史,进入21世纪，政府部门、金融机构、军事军工、企事业单位和商业组织对it系统的依赖也日益加重，it系统所承载的信息和服务的安全性就越发显得重要。 2007年初，一个名叫“熊猫烧香”的病毒在极短时间内通过网络在中国互联网用户中迅速传播，曾使数百万台电脑中毒，造成重大损失,5,一、网络安全的发展史,

3、1、网络安全问题的产生 （1）信息泄露、信息污染及信息不可控等 （2）某些个人或组织出于某种特殊目的进行信息泄露、信息破坏、信息假冒侵权和意识形态的信息渗透，甚至进行一些破坏国家、社会以及各类主体合法权益的活动,6,一、网络安全的发展史,3）随着社会的高度信息化、社会的“命脉”和核心控制系统有可能面临恶意的攻击而导致损坏和瘫痪 （4）网络应用越来越广泛，但是控制权分散的管理问题也日益显现,7,一、网络安全的发展史,2、网络安全的现状(见p2 图1-1) （1）拒绝服务攻击：拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问，是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至

4、网络带宽，从而阻止正常用户的访问。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用ip欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接,8,一、网络安全的发展史,2）网络仿冒 （3）网页恶意代码 （4）病毒、蠕虫或木马 （5）漏洞 （6）垃圾邮件报告,9,一、网络安全的发展史,3、网络安全的发展趋势 （1）实施网络攻击的主体的变化：由兴趣性向盈利性发展 （2）网络攻击的主要手段的变化：由单一手段向结合多种攻击手段的综合性攻击发展 （3）企业内

5、部对安全威胁的认识的变化：外部管理转向内部安全管理,10,二、网络安全的定义,1、网络上的信息安全，这其中涉及到了物理器件计算机和基于这之上的网络通信，对于数据的加密等一系列的知识，因此集计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科于一体,11,二、网络安全的定义,2、计算机系统安全定义：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏。 3、保证网络安全的目的：确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等情况,12,二、网络安全的定义,4、网络安全包含： （1）运行系

6、统的安全，即保证信息处理和传输系统的安全 （2）网络上系统信息的安全 （3）网络上信息传输的安全，保证信息不被窃取修改或泄漏 （4）网络上信息内容的安全,13,12 网络安全威胁,14,一、网络安全威胁的来源,1、内部威胁 （1）内部人员因自身原因故意破坏、泄露或无意错误操作破坏数据而引起的威胁 （2）因不当使用internet接入而降低生产率 （3）内部工作人员发送、接收和查看攻击性材料，可能会使内部感染计算机病毒。 2、外部威胁,15,二、网络安全威胁的种类,1、非授权访问：一般是没有事先经过同意，通过假冒、身份攻击及系统漏洞等手段来获取系统的访问权限，从而非法进入网络系统来使用网络资源，

7、造成资源的消耗或损坏。 2、拒绝服务 3、数据欺骗：主要包括捕获、修改和破坏可信主机上的数据，攻击者还可能对通信线路上的网络通信进行重定向,16,13 网络安全防御体系,17,一、安全防御体系的层次结构,1、物理安全：包括通信线路的安全、物理设备的安全及机房的安全等。涉及到防火、防静电、防雷击、防电磁辐射和防盗等。 2、操作系统安全性：包括操作系统的安全配置、操作系统的漏洞检测、操作系统的漏洞修补等,18,一、安全防御体系的层次结构,3、网络的安全性：包括网络身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、防火墙应用、病毒防范和入侵检测等

8、4、应用安全性：指网络对用户提供服务所采用的应用软件和数据的安全性 5、管理安全性：包括安全技术和设备的管理、安全管理制度及部门与人员的组织规则等,19,二、安全防御体系工作流程,1、攻击前的防范 2、攻击过程中的防范 3、攻击过程后的恢复处理,20,第2章 网络协议基础,21,2.1 tcp/ip协议概述,22,一、tcp/ip协议模型,1、协议的基础概念：网络协议是网络通信中控制数据传输的规则。包括三要素 （1）语义（做什么）：包括用于协调和差错处理、流量控制的控制信息。 （2）语法（怎么做）：数据编码格式与信号的电平 （3）时序（何时做）：速度的匹配和排序,23,一、tcp/ip协议模型

9、,2、开放系统互连参考模型（osi参考模型） 设计者按照信息的流动过程将网络的整体功能分解为一个个的功能层，不同主机的同等功能层之间采用相同的协议，同一主机上的相邻功能层之间通过接口进行信息传递，形成了osi参考模型，这样不同体系结构的计算机网络都能互连，进行信息互通,24,一、tcp/ip协议模型,osi参考模型将网络的通信功能划分成7个层次，由高到低分别是： （1）物理层：向下直接与物理传输介质相连接，是各种网络设备进行互联时必须遵守的底层协议，与其他协议无关。物理层定义了数据通信网络之间物理链路的电气或机械特性，以及激活、维护和关闭这条链路的各项操作。物理层的特征参数包括电压、数据传输率

10、、最大传输距离和物理连接介质等,25,一、tcp/ip协议模型,2）数据链路层：它把从物理层来的原始数据组成帧 即用于传送数据的结构化的包。数据链路层负责帧在计算机之间的无差错传递。其特征参数包括物理地址、网络拓扑结构、错误警告机制、所传数据帧的排序和流量控制等,26,一、tcp/ip协议模型,3）网络层：定义网络操作系统通信用的协议，为传送的信息确定地址，将逻辑地址和名字翻译成物理地址。同时负责确定从源计算机沿着网络到目的计算机的路由选择，处理交通问题，路由器的功能在这一层实现。网络层的主要功能是将报文分组以最佳路径通过通信子网送达目的主机,27,一、tcp/ip协议模型,4）传输层：负责端

11、到端的信息传输错误处理，包括错误的确认和恢复，确保信息的可靠传递。在必要时，也对信息重新打包，把过长信息分成小包发送。在接收端，再将这些小包重构成初始的信息,28,一、tcp/ip协议模型,5）会话层：允许在不同计算机上的两个应用间建立、使用和结束会话，实现对话控制，管理何端发送、何时发送和占用多长时间等。会话层利用传输层提供的可靠信息传递服务，使得两个会话实体之间不用考虑相互间的距离、使用何种网络通信等细节，进行数据的透明传输,29,一、tcp/ip协议模型,6）表示层：表示层则要保证所传输的数据经传送后意义不改变，它要解决的问题是如何描述数据结构并使之与机器无关。 （7）应用层：主要功能是

12、直接为用户服务，通过应用软件实现网络与用户的直接对话。这一层是最终用户应用程序访问网络服务的地方，负责整个网络应用程序协同工作,30,一、tcp/ip协议模型,3、osi参考模型的特点 （1）各层之间是独立的。每层只实现一种相对独立的功能，可以使网络传输的复杂程度下降。 （2）灵活性好。任何一层发生变化都不影响别的层，只要层间接口保持不变。 （3）结构上可分割，用不同技术来实现。 （4）易于实现和维护。 （5）能促进标准化工作,31,一、tcp/ip协议模型,4、tcp/ip协议模型 （1）网络接口层：网络接口层与osi/rm的物理层、数据链路层相对应。该层中所使用的协议大多是各通信子网固有的

13、协议。作用是传输经ip层处理过的ip信息，并提供一个主机与实际网络的接口，而具体的接口关系则可以由实际网络的类型所决定,32,一、tcp/ip协议模型,2）互联网层：也被称为ip（internet protocol）层、网络层。是tcp/ip模型的关键部分。它的功能是使主机可以把ip数据包发往任何网络，并使数据报独立地传向目标（中途可能经由不同的网络）。这些数据包到达的顺序和发送的顺序可能不同，因此当需要按顺序发送和接收时，高层必须对分组排序,33,一、tcp/ip协议模型,3）传输层：在源节点和目的节点两个进程实体之间提供可靠的、端到端的数据传输。为保证数据传输的可靠性，传输层协议规定接收端

14、必须发回确认，若丢失必须重新发送。若同时有多个应用程序访问互联网，则传输层在每个数据包中增加识别信源和信宿应用程序的标记,34,一、tcp/ip协议模型,4）应用层：位于传输层之上的应用层包含所有的高层协议，为用户提供所需要的各种服务。主要的服务有：远程登录（telnet）、文件传输（ftp）、电子邮件（smtp）、web服务（http）、域名系统（dns）等,35,一、tcp/ip协议模型,4、tcp/ip协议的特点 （1）应用广泛 （2）能够向用户和应用程序提供通用的、统一的网络服务。 （3）网络对等性：简化了对异构网的处理,36,二、tcp/ip核心协议,1、网际协议（ip协议）：属于t

15、cp/ip模型和互联网层，提供关于数据应如何传输以及传输到何处的信息。是使tcp/ip协议可用于网络连接的子协议。是不可靠的、无连接的协议，不保证数据的可靠，若接收时发现信息不正确，则将认为数据包被破坏，则重新发送数据包。ip的数据报包含报头和数据两部分，报头包含（见p24,37,二、tcp/ip核心协议,2、传输控制协议（tcp协议）：属于传输层，提供可靠的数据传输服务。位于ip协议的上层，通过提供校验、流控制及序列信息弥补ip协议可靠性的缺陷。是面向连接的服务。tcp协议包含了保证数据可靠性的几个组件（见p26,38,二、tcp/ip核心协议,3、用户数据报协议（udp）：udp协议是一种

16、无连接的传输服务，不保证数据包以正确的序列被接收，并且不提供错误校验或序列编号。适合用于实况录音或电视转播,39,二、tcp/ip核心协议,4、网际控制报文协议（icmp）：位于互联网层的ip协议和传输层的tcp协议之间，不提供错误控制服务，仅报告哪个网络是不可达的，哪个数据包因分配的生存时间过期而被抛弃,40,二、tcp/ip核心协议,5、地址解析协议（arp）：是互联网层协议，它获取主机或节点的物理地址并创建一个本地数据库以将物理地址映射到主机的逻辑地址上。和ip地址配合使用。就是将网卡地址和ip地址一一对应起来，网卡地址解析成ip地址,41,2.2 常用的网络服务原理,42,一、www服

17、务,1、www是已联网服务器的集合，这些服务器按指定的协议和格式共享资源和交换信息。 2、采用的cs架构（服务器客户端的架构），在服务器端需要安装外部服务器，客户机端要具备浏览器。 3、在客户机端访问服务器端需要tcp/ip协议、ip地址与internet连接和浏览器,43,一、www服务,4、服务器端和客户机端通过http或html服务传输内容，每个web页都被统一资源定位器（url）标识。每一个web页的网址都是独一无二的，对应第一无二的ip地址。 5、http:/ https是使用的服务类型，是主机名，index.asp是该页下的文件。 6、常见的web服务器软件包括（见p27,44,二

18、、ftp服务,1、文件传输协议：用于管理tcp/ip主机之间文件的传输 2、ftp服务是ftp服务器提供的，相当于是服务器开辟了ftp服务，提供文件夹供客户端上传或下载文件。 3、在浏览器的地址栏中输入 ftp:/主机名 或 ftp:/服务器ip地址，即可访问ftp服务器，相当于是向服务器发出请求，服务器始终侦听请求，当接收到这个请求的时候，立刻给予客户端响应,45,二、ftp服务,4、常见的ftp程序有leapftp、ws_ftp、cuteftp和flashfxp等。 5、使用ftp必须首先登陆，输入id和口令，在服务器上获得相应的权限后才能下载或上传文件。服务器有可能限定在同一时刻最高可供

19、多少人同时使用。有的服务器上提供匿名ftp服务，任何人都可以使用一个公用的id进入使用该服务器上公开的资源,46,三、dns服务,1、域名系统：是将主机名和域名解析为与此名称相关的ip地址的系统。 2、因为ip地址由一串数字组成，难于记忆，因此引申出了域名，用一串便于记忆的字符组成，而域名和ip地址成为一种一一对应的关系。由域名转换成ip地址称为正向解析，由ip地址转换成域名为逆向解析。 3、dns分为3个组成部分：解析器、名称服务器、名称空间,47,三、dns服务,4、当进行一个域名访问的时候，在浏览器中输入网址，解析器服务会查询本地的名称服务器，查找相对应的ip地址，若没有则向高一级服务器

20、查询。要知道本地、地区、国家都有名称服务器。 5、假若你以前访问过这个域名地址，则可以从以前查询获得的缓存信息中就地应答查询，这样速度比较快,48,四、dhcp服务,1、动态主机配置协议：是往网络中的每台设备分配独一无二ip地址的动态方式。 2、采用dhcp服务的优点： （1）降低花费在ip地址管理方面的时间和规划 （2）降低分配ip地址的错误率 （3）在移动电脑的情况下无需更改tcp/ip配置。 （4）为使ip地址对移动用户透明。 3、dhcp出租过程和终止dhcp租借,49,五、终端服务,1、终端服务：集成在windows.net server终端服务中，作为系统服务器服务组件存在，“开始

21、”“程序”“附件”“通讯”“超级终端” 2、客户机和服务器通过tcp/ip协议和标准的局域网构架联系，在客户端上进行操作传递到终端服务器上，再将服务器上的显示结果传递回客户端。类似于“远程控制,50,五、终端服务,3、允许多个客户端同时登陆到服务器，他们之间是相互独立的。 4、终端服务由5个组件组成： （1）多用户内核 （2）远程桌面协议 （3）终端服务客户端 （4）终端服务许可服务 （5）终端服务管理工具,51,23 常用网络命令,52,一、ipconfig,1、ipconfig/all 查看配置 才启动的时候执行这个命令，大多信息不能获取，例如ip地址，dns等。使用刷新命令后，可以查看到

22、计算机的主机名、网卡名、网卡地址、动态分配的ip地址、子网掩码和默认网关等。 2、ipconfig/renew 刷新配置 （“运行”输入“cmd”,53,二、ping,作用：用于网络的连通性测试，测试网线是否连通、网卡配置是否正确及ip地址是否可用等。 例： ping a 03 常见参数说明：见35页,54,三、arp,原理：arp即地址解析协议，在常用以太网或令牌lan上，用于实现第三层到第二层地址的转换 ip mac 功能：显示和修改ip地址与mac地址之间的映射,谁知道 的mac地址,我知道 的mac地址是: xxxxxx,55

23、,三、arp,常用参数： arp a：显示所有的arp表项 arp s：在arp缓存中添加一条记录 （例：arp -s 02-e0-fc-fe-01-b9） arp d：在arp缓存中删除一条记录 （例：arp -d ） arp g：显示所有的表项,56,四、nbtstat,作用：是解决netbios名称解析问题的工具，可使用nbtstat命令删除或更正预加载的项目 常用参数：见37页,57,五、netstat,作用：用来显示协议统计信息和当前tcp/ip连接，该命令只能在安装了tcp/ip协议后才能使用。 常用参数：见p3738页,58,六、

24、tracert,原理：tracert 是为了探测源节点到目的节点之间数据报文经过的路径，利用ip报文的ttl域在每个经过一个路由器的转发后减一,如果此时ttl=0则向源节点报告ttl超时这个特性，从一开始逐一增加ttl,直到到达目的站点或ttl达到最大值255. 功能：探索两个节点的路由,59,六、tracert,60,六、tracert,常用参数： 1、tracert ip_adress,61,六、tracert,2、tracert h n （设置ttl最大为n,62,第3章 网络攻防技术应用,63,31 网络攻击概述,64,一、网络黑客,概念：怀有不良企图，强行闯入远程计算机系统或恶意干扰

25、远程系统完整性，通过非授权的访问权限，盗取数据甚至破坏计算机系统的“入侵者”称为黑客。 攻击目的：窃取信息；获取口令；控制中间站点；获得超级用户权限等,65,一、网络黑客,实例： （1）1983年，“414黑客”，6名少年黑客被控侵入60多台电脑 （2）1987年，赫尔伯特齐恩（“影子鹰”），闯入没过电话电报公司 （3）1988年，罗伯特莫里斯“蠕虫程序”，造成1500万到1亿美元的经济损失。 （4）1990年，“末日军团”，4名黑客中有3人被判有罪。 （5）1995年，米特尼克偷窃了2万个信用卡号，8000万美元的巨额损失。 （6）1998年2月，德国计算机黑客米克斯特，使用美国七大网站陷于

26、瘫痪状态,66,一、网络黑客,7）1998年，两名加州少年黑客，以色列少年黑客分析家，查询五角大楼网站并修改了工资报表和人员数据。 （8）1999年4月，“cih”病毒，保守估计全球有6千万部电脑感染。 （9）1999年，北京江民kv300杀毒软件，损失260万元。 （10）2000年2月，“雅虎”、“电子港湾”、亚马孙、微软网络等美国大型国际互联网网站，损失超过了10亿美元。 （11）2000年4月，闯入电子商务网站的威尔斯葛雷，估计导致的损失可能超过300万美元,67,二、网络攻击的目标,目标：系统、数据（数据占70%） 系统型攻击特点：攻击发生在网络层，破坏系统的可用性，使系统不能正常工

27、作，可能留下明显的攻击痕迹。 数据型攻击特点：发生在网络的应用层，面向信息，主要目的是为了篡改和偷取信息，不会留下明显的痕迹。 （注：着重加强数据安全，重点解决来自内部的非授权访问和数据的保密工作。,68,二、网络攻击的目标,1、阻塞类攻击：通过强制占有信道资源、网络连接资源及存储空间资源，使服务器崩溃或资源耗尽而无法对外继续提供服务（例如拒绝服务攻击）。 常见方法：tcpsyn洪泛攻击、land攻击、smurf攻击及电子邮件炸弹等 攻击后果：使目标系统死机；使端口处于停顿状态；在计算机屏幕上发现杂乱信息、改变文件名称、删除关键的程序文件；扭曲系统的资源状态，使系统的处理速度降低,69,二、网

28、络攻击的目标,2、探测类攻击：收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。 包括：扫描技术（采用模拟攻击形式对可能存在的安全漏洞进行逐项检查）、体系结构刺探及系统信息服务收集等,70,二、网络攻击的目标,3、控制类攻击：试图获得对目标主机控制权的。 常见方法：口令攻击、特洛伊木马、缓冲区溢出攻击 4、欺骗类攻击：通过冒充合法网络主机或通过配置、设置一些假信息来骗取敏感信息。 常见方法：arp缓存虚构、dns告诉缓冲污染及伪造电子邮件等,71,二、网络攻击的目标,5、漏洞类攻击：非法用户未经授权通过系统硬件或软件存在的某中形式的安全方面的脆弱性获得访问权或提高其访问权限。 6、

29、破坏类攻击：指对目标主机的各种数据与软件实施破坏的一类攻击。 常见方法：计算机病毒、逻辑炸弹,72,32 网络攻击技术,73,一、网络攻击的一般模型概述,网络攻击一般模型：经历四个阶段,搜索信息,获取权限,消除痕迹,深入攻击,74,一、网络攻击的一般模型概述,1、搜集信息（攻击的侦查阶段） 隐藏地址：寻找“傀儡机”,隐藏真实ip地址。 锁定目标：寻找、确定攻击目标。 了解目标的网络结构、网络容量、目录及安全状态 搜索系统信息：分析信息，找到弱点攻击,75,一、网络攻击的一般模型概述,2、获取权限 利用探测到的信息分析目标系统存在的弱点和漏洞，选择合适的攻击方式，最终获取访问权限或提升现有访问权

30、限。 3、消除痕迹 清除事件日记、隐藏遗留下的文件、更改某些系统设置 4、深入攻击 进行信息的窃取或系统的破坏等操作,76,二、常用网络攻击的关键技术,1、端口扫描技术 通过端口扫描可以搜集目标主机的系统服务端口的开放情况，进行判断目标的功能使用情况，一旦入侵成功后将后门设置在高端口或不常用的端口，入侵者通过这些端口可以任意使用系统的资源,77,二、常用网络攻击的关键技术,1）常用的端口扫描技术 a、tcp connect（）扫描：使用connect（），建立与目标主机端口的连接。若端口正在监听，connect（）成功返回；否则说明端口不可访问。任何用户都可以使用connect（）。 b、tc

31、p syn扫描：即半连接扫描。扫描程序发送syn数据包，若发回的响应是syn/ack表明该端口正在被监听，rst响应表明该端口没有被监听。若接收到的是syn/ack，则发送rst断开连接。（主机不会记录这样的连接请求，但只有超级用户才能建立这样的syn数据包,78,二、常用网络攻击的关键技术,c、tcp fin扫描：关闭的端口用正确的rst应答发送的对方发送的fin探测数据包，相反，打开的端口往往忽略这些请求。 d、fragmentation扫描：将发送的探测数据包分成一组很小的ip包，接收方的包过滤程序难以过滤。 e、udp recfrom（）和write（）扫描 f、icmp echo扫描

32、：使用ping命令，得到目标主机是否正在运行的信息。 g、tcp反向ident扫描： h、ftp返回攻击 i、udp icmp端口不能到达扫描,79,二、常用网络攻击的关键技术,2）扫描器 定义：一种自动检测远程或本地主机安全弱点的程序，可以不留痕迹地发现远程服务器的各种tcp端口的发配及提供的服务。 工作原理：通过选用远程tcp/ip不同的端口服务，记录目标给予的回答。 三项功能：发现一个主机或网络的功能；一旦发现主机，发现什么服务正在运行在主机上的功能；测试这些服务发现漏洞的功能,80,二、常用网络攻击的关键技术,2、网络监听技术 网络监听技术是指截获和复制系统、服务器、路由器或防火墙等网

33、络设备中所有网络通信信息。 网卡接收数据方式：广播方式、组播方式、直接方式、混杂模式 基本原理：数据包发送给源主机连接在一起的所有主机，但是只有与数据包中包含的目的地址一致的主机才能接收数据包。若主机工作在监听模式下，则可监听或记录下同一网段上的所有数据包,81,二、常用网络攻击的关键技术,3、网络欺骗技术 定义：是利用tcp/ip协议本身的缺陷对tcp/ip网络进行攻击的技术。 （1）ip欺骗：选定目标，发现主机间的信任模式，使目标信任的主机丧失工作能力，tcp序列号的取样和预测，冒充被信任主机进入目标系统，实施破坏并留下后门,82,二、常用网络攻击的关键技术,2）arp欺骗 a、对路由器a

34、rp表的欺骗：原理是截获网关数据。 b、对局域网内个人计算机的网络欺骗：原理是伪造网关。 后果：影响局域网正常运行；泄露用户敏感信息,83,二、常用网络攻击的关键技术,4、密码破解技术 指通过猜测或其他手段获取合法用户的账号和密码，获得主机或网络的访问权，并能访问到用户能访问的任何资源的技术,84,二、常用网络攻击的关键技术,密码攻击的方法： （1）通过网络监听非法得到用户密码：采用中途截获的方法获取用户账户和密码。 （2）密码穷举破解：在获取用户的账号后使用专门软件强行破解用户密码。（口令猜解、字典攻击、暴力猜解,85,二、常用网络攻击的关键技术,5、拒绝服务技术 定义：简称dos技术，是针

35、对tcp/ip协议的缺陷来进行网络攻击的手段。通过向服务器传送大量服务要求，使服务器充斥着这种要求恢复的信息，耗尽网络带宽或系统资源，最终导致网络或系统瘫痪、停止正常工作。 常见攻击模式：资源消耗型、配置修改型、服务利用型 新型拒绝服务攻击技术：分布式拒绝服务攻击、分布式反射拒绝服务攻击,86,三、常用网络攻击工具,1、端口扫描工具：网络安全扫描器nss、安全管理员的网络分析工具satan、superscan 2、网络监听工具：x-scan、sniffer、netxray、tcpdump、winpcap等 3、密码破解工具：是能将口令解译出来，或者让口令保护失效的程序。 4、拒绝服务攻击工具

36、（1）dos工具：死亡之ping、teardrop、tcp syn洪水、land、smurf （2）ddos工具：tfn、tfn2k、trinoo、mstream、shaft等,87,33 网络攻击防御技术,88,一、网络攻击的防范策略,1、提高安全意识：从使用者自身出发，加强使用者的自身素质和网络安全意识。 2、访问控制策略：保证网络安全的最核心策略之一，主要任务是保证网络资源不被非法使用和非法访问。 3、数据加密策略：最有效的技术之一，通过对网内数据、文件、口令和控制信息进行加密从而达到保护网上传输的数据的目的。 4、网络安全管理策略：确定安全管理登记和安全管理范围；指定有关网络操作实验规

37、程和人员管理制度；指定网络系统的维护制度和应急措施,89,二、常见的网络攻击防御方法,1、端口扫描的防范方法 （1）关闭闲置和有潜在危险的端口 （2）发现有端口扫描的症状时，立即屏蔽该端口：可使用防火墙实现,90,二、常见的网络攻击防御方法,2、网络监听的防范方法 （1）对网络监听攻击采取的防范措施： 网络分段：将ip地址按节点计算机所在网络的规模的大小分段，可以对数据流进行限制。 加密：可对数据的重要部分进行加密，也可对应用层加密 一次性密码技术 划分vlan：使用虚拟局域网技术，将以太网通信变成点到点的通信,91,二、常见的网络攻击防御方法,2）对可能存在的网络监听的检测方法： 用正确的i

38、p地址和错误的物理地址ping可能正在运行监听程序的主机。 向网上发送大量不存在的物理地址的包，用于降低主机性能。 使用反监听工具进行检测,92,二、常见的网络攻击防御方法,3、ip欺骗的防范方法 （1）进行包过滤：只在内网之间使用信任关系，对于外网主机的连接请求可疑的直接过滤掉。 （2）使用加密技术：对信息进行加密传输和验证 （3）抛弃ip信任验证：放弃以ip地址为基础的验证,93,二、常见的网络攻击防御方法,4、密码破解的防范方法 密码不要写下来 不要将密码保存在计算机文件中 不要选取显而易见的信息做密码 不要再不同系统中使用同一密码 定期改变密码 设定密码不宜过短，最好使用字母、数字、标

39、点符号、字符混合,94,二、常见的网络攻击防御方法,5、拒绝服务的防范方法 （1）拒绝服务的防御策略： 建立边界安全界限，确保输出的数据包收到正确限制。经常检测系统配置信息，并建立完整的安全日志。 利用网络安全设备加固网络的安全性，配置好设备的安全规则，过滤所有可能的伪造数据包,95,二、常见的网络攻击防御方法,2）具体dos防范方法： 死亡之ping的防范方法：设置防火墙，阻断icmp以及任何未知协议。、 teardrop的防范方法：在服务器上应用最新的服务包，设置防火墙对分段进行重组，不转发它们。 tcp syn洪水的防范方法：关掉不必要的tcp/ip服务，或配置防火墙过滤来自同一主机的后

40、续连接。 land的防范方法：配置防火墙，过滤掉外部结构上入栈的含有内部源地址的数据包。 smurf的防范方法：关闭外部路由器或防火墙的广播地址特征，或通过在防火墙上设置规则，丢弃icmp包,96,三、入侵检测技术,1、概述 通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象,97,三、入侵检测技术,2、功能 （1）监控、分析用户和系统的活动 （2）对系统配置和漏洞的审计 （3）估计关键系统和数据文件的完整性 （4）识别和反应入侵活动的模式并向网络管理员报警 （5）对异常行为模式的统计分析 （6）操作系统审计跟踪管理，识

41、别违反策略的用户活动,98,三、入侵检测技术,3、入侵检测技术 入侵行为与用户的正常行为存在可量化的差别，通过检测当前用户行为的相关记录，从而判断攻击行为是否发生。 （1）统计异常检测技术 对合法用户在一段时间内的用户数据收集，然后利用统计学测试方法分析用户行为，以判断用户行为是否合法。分为基于行为剖面的检测和阈值检测。 （2）规则的检测技术 通过观察系统里发生的事件并将该时间与系统的规则进行匹配，来判断该事件是否与某条规则所代表的入侵行为相对应。分为基于规则的异常检测和基于规则的渗透检测,99,三、入侵检测技术,4、入侵检测过程 （1）信息收集： 在网络系统中的不同网段、不同主机收集系统、网

42、络、数据及用户活动的状态和行为等相关数据。 （2）信息分析 匹配模式：将收集到的信息与已知的网络入侵和系统已有的模式数据库进行匹配，进而发现违反安全策略的行为,100,三、入侵检测技术,统计分析：首先给系统对象创建一个统计描述，统计正常使用时的一些测量属性。这个测量属性的平均值将与网络、系统的行为进行比较，是否处于正常范围之内。 完整性分析：关注某个固定的对象是否被更改,101,三、入侵检测技术,5、入侵检测系统的基本类型 （1）基于主机的入侵检测系统 使用操作系统的审计日志作为数据源输入，根据主机的审计数据和系统日志发现可疑事件。依赖于审计数据和系统日志的准确性、完整性以及安全事件的定义,1

43、02,三、入侵检测技术,2）基于网络的入侵检测系统 使用整个网络上传输的信息流作为输入，通过被动地监听捕获网络数据包，并分析、检测网络上发生的网络入侵行为。但只能检测直接连接网络的通信，不能检测不同网段的网络包。 （3）分布式入侵检测系统（混合型,103,三、入侵检测技术,6、入侵检测系统应对攻击的技术 （1）入侵响应 当检测到入侵或攻击时，采取适当的措施阻止入侵和攻击的进行。 （2）入侵跟踪技术 知道对方的物理地址、ip地址、域名、应用程序地址等就可以跟踪对方,104,四、蜜罐技术,1、蜜罐技术 蜜罐系统是互联网上运行的计算机系统，可以被攻击，对于攻击方入侵的过程和行为进行监视、检测和分析，

44、进而追踪入侵者。 蜜罐系统是一个包含漏洞的诱骗系统，是一种被监听、被攻击或已被入侵的资源，通过模拟一个或多个易被攻击的主机，给攻击者提供一个容易攻击的目标，而拖延攻击者对真正目标的攻击，让其在蜜罐上浪费时间,105,四、蜜罐技术,蜜罐系统关键技术：服务伪装、漏洞提供 蜜罐技术缺陷：只能对针对蜜罐的攻击行为进行监视和分析，不能像入侵检测系统一样能够通过旁路侦听等技术队整个网络进行监控,106,四、蜜罐技术,2、蜜网技术 蜜网技术又称为诱捕网络，它构成一个黑客诱捕网络体系架构，其上包含一个或多个蜜罐，同时保证了网络的高度可控性，以及提供多种工具一方便对攻击信息采集和分析。 蜜网核心需求：数据控制、

45、数据捕获、数据分析,107,第4章 操作系统安全配置方案,108,4.1 安全操作系统概述,109,一、安全操作系统的定义,1、操作系统的安全现状 2、安全操作系统的定义 系统能够控制外部对系统信息的访问，即只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息,110,一、安全操作系统的定义,包含有： （1）操作系统在设计时通过权限访问控制、信息加密性保护和完整性鉴定等一些机制实现的安全防护。 （2）操作系统在使用时，通过配置保证系统避免由于实现时的缺陷或是应用环境因素产生的不安全,111,二、安全操作系统的特征,1、最小特权原则 2、有acl的自主访问控制 3、强制访问控制：制

46、定一个固定的安全属性，来决定一个用户是否可以访问资源。安全属性可由系统自动分配也可由系统管理员手动分配。 4、安全审计和审计管理： 5、安全域隔离 6、可信路径,112,4.2 windows操作系统安全性,113,一、操作系统的安全性概述,1、windows xp安全性 （1）完善的用户管理功能 可在登录界面查看当前系统中的所有用户名，可控制用户对文件的访问，并且开启文件的审核功能后，可将用户对文件的访问情况记录到安全日志文件中。 （2）软件限制策略的透明性 以透明的方式隔离和使用不可靠的、潜在对用户数据有害的代码,114,一、操作系统的安全性概述,3）支持ntfs和efs文件系统 efs是

47、加密文件系统，可通过在要加密的文件“属性”对话框“常规”选项卡的“高级”按钮中设置，自动产生加密密钥文件。 （4）安全的网络访问特性 自动更新功能：只要联网，自动查看是否有新的补丁或其他内容可更新。 系统自带internet链接防火墙功能 关闭后门：关闭了前windows版本中存在的后门,115,一、操作系统的安全性概述,2、windows server 2003安全性 （1）iis 6.0的改进 在windows server 2003中需手动安装，可自动探测到内存泄露、非法访问及其他错误。 （2）活动目录的安全性改进 （3）数据存储和保护 可授权额外用户访问加密文件或访问加密脱机文件。自动

48、恢复系统asr可轻松恢复系统，避免系统因发生错误或攻击而不能正常运行,116,一、操作系统的安全性概述,4）安全方面新增功能 高可信度计算：在所有产品中采用了高可信度计算作为关键技术，提高软件环境的安全性。 crl：crl通过检查软件代码下载和安装的位置、是否拥有可信的开发商的数字签名、是否层被改动等来检验应用程序是否安全和能否正常运行。 关机的“理由”：安装了关机跟踪器，需要在关机或重启时提供理由，这样可在用户重启系统之前检测到将要接近或超过的服务器系统资源限制。这样可以了解导致服务器性能降低的原因。 命令行工具：提供了命令行的管理工具，便于完成在gui（图形用户界面）方式下较难完成的操作,

49、117,二、windows操作系统的漏洞,1、windows xp系统的漏洞 （1）upnp（通用即插即用技术）服务导致的漏洞 a、nptify缓冲区溢出漏洞 b、产生dos和ddos攻击的漏洞 c、漏洞的解决方法： 下载程序补丁；设置防火墙、禁止网络外部数据包对1900号端口的连接；关闭upnp服务等,118,2）远程桌面明文帐户名传送漏洞 当建立远程桌面连接的时候，将用户的帐户名以明文方式发给连接的客户端，这样容易被网络上的嗅探程序捕获。 解决方法：“开始”菜单“设置”“控制面板”“管理工具”“服务”禁用“universal plug and play device host”服务,119

50、,二、windows操作系统的漏洞,3）快速帐号切换功能造成帐号锁定漏洞 用这一功能快速重复登录一个用户，则系统会错认为有暴力猜测攻击，造成全部非管理员帐号被锁定。 解决方法：禁用快速用户切换功能。 （4）升级程序漏洞 系统版本升级造成原系统中ie的补丁文件被删除，出现漏洞。 解决方法：从网站下载最新补丁,120,二、windows操作系统的漏洞,5）windows media player漏洞 会产生信息泄露漏洞和脚本执行漏洞。 解决方法：信息泄露漏洞可以将要播放的文件先下载到本地再播放可避免。脚本执行漏洞，只有用户先播放一个特殊的媒体文件后又浏览一个经过特殊处理的网页，攻击者才能利用该漏洞

51、进行成功攻击,121,二、windows操作系统的漏洞,6）热键漏洞 当系统长时间未用而进入“自动注销”后，虽然他人没有密码就无法进入桌面，但可以通过热键启动应用程序。 解决方法：检查可能带来危害的热键；启动屏幕保护程序，并设置密码；在离开计算机时锁定计算机,122,二、windows操作系统的漏洞,2、windows server 2003系统的安全问题 （1）系统存在不需要身份验证的服务，若开放这些服务，远程用户可不需要验证直接登录系统。 （2）应用在系统中的kerberos v5（安全身份验证协议）有安全漏洞，从而造成windows server 2003系统的不安全性。 （3）wind

52、ows server 2003系统的日志机制存在缺陷，无法追踪攻击者的ip地址,123,二、windows操作系统的漏洞,4）windows server 2003系统的身份验证规程可以被窃听破解。 （5）在系统漏洞被修补前的安全隐患期容易被攻击。 （6）口令字可被破解：通过加密口令字典中已知短语，然后和口令密文进行匹配。 （7）基于tcp/ip协议的安全弱点,124,二、windows操作系统的漏洞,3、windows系统服务的安全隐患 messenger服务：主要用来发送和接收系统管理员的alerter服务消息，别人容易利用该功能向计算机用户发送垃圾邮件。 application laye

53、r gateway service服务：主要提供互联网联机防火墙的第三方通信协议插件的支持，较容易遭到恶意攻击,125,二、windows操作系统的漏洞,clipbook服务：允许任何已连接的网络中的其他用户查看本机的剪贴板。 indexing service服务 computer browser服务：可将当前主机所使用网络上的计算机列表提供给那些请求得到该列表的程序,126,二、windows操作系统的漏洞,terminal services服务：主要提供多会话环境，允许客户端设备访问虚拟的桌面会话及运行在服务器上的基于windows程序并打开默端口号为3389的对外端口。 remote r

54、egistry service服务：允许远程用户通过简单的连接就可修改本地计算机的注册表设置,127,三、操作系统的安全配置方案,最小的服务+最小的权限=最大的安全 1、精简系统的服务组件和程序 只安装满足当前系统需要的服务，遵循最小化安装的原则。后期需要其他服务再即时安装即可。 2、系统漏洞修补 在系统安装完，并且所有服务组件都安装好后，应及时安装系统补丁程序。 3、关闭不用的或未知的端口 当禁用一项服务时，可关闭其对应的端口，防止黑客通过此端口攻击系统,128,三、操作系统的安全配置方案,4、禁用危险服务 禁用危险的服务，将入侵者可能的入侵通道关闭。 5、强化权限设置 根据实际的应用需求来

55、设置权限，且权限的设置应遵循最小特权原则。可以保护用户能够完成所操作的任务，又能降低误操作或攻击对系统及数据造成的损失,129,三、操作系统的安全配置方案,6、规范身份验证机制 该机制用户确认尝试登录域或访问网络资源的任何用户的身份，对系统帐户进行规范化管理，尽量减少使用的帐户，因为系统的帐户越多，攻击者获得合法用户权限的概率越大,130,三、操作系统的安全配置方案,7、建立审核策略机制 可跟踪系统中的各类事件并将其写入日志文件，供管理员分析、查找系统和应用程序故障和分析各类安全事件。 8、加强日志管理和保护 针对不同服务设置的日志文件要加强管理，设置严格的访问权限,131,4.3 linux

56、操作系统安全性,132,一、linux操作系统安全性概述,1、linux安全性概述 2、linux安全问题 （1）文件系统未受到保护 很多系统重要文件没有受到保护，可以被修改和覆盖，经过篡改后的文件可能造成系统的漏洞。 （2）进程未受到保护 若黑客侵入拥有超级用户的管理权限，完全有权终止系统上运行的为系统功能所服务的进程,133,一、linux操作系统安全性概述,3）超级用户对系统操作的权限不受限制，甚至可以对现有的权限进行修改 超级用户权限过大，对于很多特权进程和系统服务需要超级用户权限的，开放后会造成安全漏洞，攻击者容易由此获得超级用户口令；而超级用户若将某文件的使用权利赋予普通用户，则也

57、就同时将该权利赋予该普通用户所在的同工作组用户，使得文件的使用不安全,134,二、linux操作系统的安全机制,通过在使用中对于linux系统的不断完善，增加各种安全机制来提高系统的安全性。 1、身份认证机制 （1）基于主体的口令或密钥的验证 加密时间戳：时间戳就是文件的创建、修改、访问时间。用户首先将需要加时间戳的文件用hash编码加密形成摘要，然后将该摘要发送到dts，dts在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。 盘问响应：口令的响应时间，限定一段时间，超过该时间口令将失去效用,135,二、linux操作系统的安全机制,2）基于智能卡的验证 通过预

58、存信息到设备当中，当使用智能卡时，只需要核对卡中和系统中的预存信息即可。 （3）生物识别技术 基于指纹、声音、视网膜等独一无二特征的验证。需要事先将这些特征的相关信息存储入电脑，设定好权限,136,二、linux操作系统的安全机制,2、加密文件系统 通过加密文件系统对文件进行加密处理，使文件即使失窃也不会泄露信息。只给予权限的合法用户正常使用该文件的权利，访问该文件与访问普通文件没有区别，而其他用户则不可读。 3、强制访问控制机制 强制性的限制信息的共享和资源的流动，使不同的用户只能访问到与其相关的、制定范文的信息,137,二、linux操作系统的安全机制,4、防火墙技术 防火墙技术是一种用来

59、加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。即对网络间传输的数据包进行安全检查,138,二、linux操作系统的安全机制,1）访问控制：可拒绝非授权访问，保护内部用户的合法访问。 （2）审计：对通过防火墙的网络访问进行记录，建立完整的日志、审计和跟踪网络访问记录。 （3）防御攻击：给与安装防火墙的内部网络予以保护，防御外界的各种攻击行为。 （4）其他附属功能,139,二、linux操作系统的安全机制,5、入侵检测系统 （1）记录入侵企图 （2）在规定情况的攻击行为发生时，采取预先设定的措施 （3）发送一些错误

60、信息给攻击方，使攻击方做出错误判断,140,二、linux操作系统的安全机制,6、安全审计机制 安全审计机制可以记录攻击者的行踪，帮助系统管理员掌握系统受到的攻击行为，并针对这些攻击行为采取相应的安全措施。 7、内核封装技术 保护系统内核，限制了系统管理员的该权限，使用户不能对内核进行模块插入,141,三、linux操作系统安全配置方案,1、linux系统安装的安全性考虑 在初始安装的时候，对系统的磁盘分区做好安全设置方案。 2、安装系统补丁 安装完系统后及时查看系统漏洞，寻找相应的解决方案弥补系统安全缺陷。 3、关闭不需要的服务端口 4、为lilo增加开机口令,142,三、linux操作系统