网络安全技术.ppt

1、 Intranet防火墙Internet ：防火墙是设置在不同网络或网络安全域之间的一系列部件的组合，它是建立在两个网络或网络安全域边界上的实现安全策略和网络通信监控的系统或系统集，它强制执行对内部网络（如校园网）和外部网络（如Internet）的访问控制，是不同网络或网络安全域之间的唯一出入口，并通过建立一整套规则和策略来监测、限制、转换跨越防火墙的数据流，实现保护内部网络的目的实现保护内部网络的目的。 病毒的来源病毒的来源计算机人员和业余爱好者的恶作剧软件公司及用户为保护自己的软件被非法复制而采取的报复性惩罚措施；旨在攻击和摧毁计算机信息和计算机系统而制造的病毒；用于研究或实验目的而设计的

2、程序，由于某种原因失去控制，扩散出实验室或研究所，从而成为危害四方的计算机病毒。 攻击和威胁转移到服务器和网关，对防毒体系提出新的挑战攻击和威胁转移到服务器和网关，对防毒体系提出新的挑战IDC, 2002邮件邮件/互联网互联网Code RedNimdaKlez20012002邮件邮件Melissa19992000LoveLetter1981物理介质物理介质Brain19861998CIH病毒演化趋势病毒演化趋势冲击波震荡波 2003 长驻在计算机系统内存中，伺机感染宿主程序长驻在计算机系统内存中，伺机感染宿主程序 感染方式越来越复杂，使侦测更加困难感染方式越来越复杂，使侦测更加困难 拒绝服务攻

3、击拒绝服务攻击 (Denial of Service)(Denial of Service) 利用利用OSOS、IISIIS、IEIE等漏洞远程攻击或控制用户系统等漏洞远程攻击或控制用户系统造成的损害程度呈指数级造成的损害程度呈指数级迅速迅速增加增加一台染毒的主机拖跨整个网络！一台染毒的主机拖跨整个网络！ CIH病毒的签名CIH作者陈盈豪 恐怖的图片和音乐巨大的黑白螺旋占据了屏幕位置，使计算机使用者无法进行任何操作！ 黑客一词，原指热心于计算机技术，水平高超的计算机黑客一词，原指热心于计算机技术，水平高超的计算机专家，黑客通常会去寻找网络中漏洞，但是往往并不去破坏专家，黑客通常会去寻找网络中漏

4、洞，但是往往并不去破坏计算机系统。计算机系统。 入侵者（入侵者（Cracker）则是指那些利用网络漏洞破坏网络）则是指那些利用网络漏洞破坏网络的人，他们以破坏为目的。的人，他们以破坏为目的。黑客和骇客的根本区别是：黑客们建设，而骇黑客们建设，而骇客们破坏。客们破坏。 图图2.1三类黑客三类黑客Robert Tappan Morrisn1999年6月, 15岁的Jonathan James发现NASA国际空间站一份负责温度和湿度控制的源代码文档价值170万美金，于是他开始在阿拉巴马州利用盗窃的密码入侵，结果使得NASA几周后被迫关闭其网络。他自称用他的奔腾266电脑进行nmap端口扫描并探测到N

5、ASA的SUN系统存在RPC漏洞。在此次事件之前他早就多次入侵美国国防部、南方贝尔公司及几所学校的网络。 由于尚未成年，16岁时被宣判6个月刑期并获缓刑。后来与FBI合作抓捕了另一个黑客大卫 史密斯。2008年5月18日乔纳森死于癌症，25岁。Jonathan JamesKevin Mitnick第一位被列入FBI通缉犯名单的骇客 特洛伊木马（以下简特洛伊木马（以下简称木马），英文叫做称木马），英文叫做“Trojan house”，其，其名称取自希腊神话的特名称取自希腊神话的特洛伊木马记。洛伊木马记。木马是一种基于远程控木马是一种基于远程控制的黑客工具，具有隐制的黑客工具，具有隐蔽性和非授权性

6、的特点。蔽性和非授权性的特点。木马的入侵木马的入侵1、发送给被攻击方一封带附件的电子邮件、发送给被攻击方一封带附件的电子邮件2、捆绑到一些网站提供下载的软件中、捆绑到一些网站提供下载的软件中3、通过、通过Script、Active和和ASP、CGI 交互脚本植入交互脚本植入4、利用浏览器或系统中的漏洞植入、利用浏览器或系统中的漏洞植入木马的基本原理木马的基本原理两个执行文件：客户端程序两个执行文件：客户端程序 服务器端程序服务器端程序客户端程序客户端程序是安装在攻击者（黑客）方的控制是安装在攻击者（黑客）方的控制台，它负责远程遥控指挥。台，它负责远程遥控指挥。服务器端程序服务器端程序即是木马程

7、序，它被隐藏安装在即是木马程序，它被隐藏安装在被攻击（受害）方的电脑上。被攻击（受害）方的电脑上。木马攻击的第一步：把木马服务程序植入攻击对象木马攻击的第一步：把木马服务程序植入攻击对象 攻击者需要通过木马对他人电脑系统攻击者需要通过木马对他人电脑系统进行攻击，第一步就是把木马的服务程序进行攻击，第一步就是把木马的服务程序植入到被攻击的电脑里面。如果电脑没有植入到被攻击的电脑里面。如果电脑没有联网，那么是不会受到木马的侵扰的，因联网，那么是不会受到木马的侵扰的，因为木马程序不会主动攻击和传染到这样的为木马程序不会主动攻击和传染到这样的电脑中。电脑中。木马攻击的第二步：把主机信息发送给攻击者木马

8、攻击的第二步：把主机信息发送给攻击者 当您连接到因特网上时，这个木马程序就会通过当您连接到因特网上时，这个木马程序就会通过一定的方式把主机的信息，如一定的方式把主机的信息，如IP地址、软件的端口、地址、软件的端口、主机的密码等通知攻击者，攻击者在收到这些信息后，主机的密码等通知攻击者，攻击者在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改你再利用这个潜伏在其中的程序，就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。的内容等，从而达到控制你的计算机的目的。 蠕虫病毒蠕虫病毒脚本病毒

9、脚本病毒恶意代码和网页病毒恶意代码和网页病毒蠕虫加木马蠕虫加木马NimdaNimda冲击波冲击波计算机病毒发作时，通常会出现以下几种情况计算机病毒发作时，通常会出现以下几种情况 电脑运行比平常迟钝。电脑运行比平常迟钝。 程序载入时间比平常久。程序载入时间比平常久。 对一个简单的工作，磁盘似乎花了比预期长的时间。对一个简单的工作，磁盘似乎花了比预期长的时间。 不寻常的错误信息出现。不寻常的错误信息出现。 系统内存容量忽然大量减少。系统内存容量忽然大量减少。 磁盘可利用的空间突然减少。磁盘可利用的空间突然减少。 可执行程序的大小改变。可执行程序的大小改变。 由于病毒可能通过将磁盘扇区标记为坏簇的方

10、式把自由于病毒可能通过将磁盘扇区标记为坏簇的方式把自 己隐藏起来，磁盘坏簇会莫名其妙地增多。己隐藏起来，磁盘坏簇会莫名其妙地增多。 程序同时存取多部磁盘。程序同时存取多部磁盘。 内存内增加来路不明的常驻程序。内存内增加来路不明的常驻程序。 文件、数据奇怪的消失或增加。文件、数据奇怪的消失或增加。 文件的内容被加上一些奇怪的资料。文件的内容被加上一些奇怪的资料。 文件名称，扩展名，日期，属性被更改过。文件名称，扩展名，日期，属性被更改过。 打印机出现异常。打印机出现异常。 死机现象增多。死机现象增多。 出现一些异常的画面或声音。出现一些异常的画面或声音。 异常现象的出现并不表明系统内肯定有病毒，

11、仍异常现象的出现并不表明系统内肯定有病毒，仍需进一步的检查。需进一步的检查。蠕虫病毒蠕虫病毒如如“求职信求职信”系列及其他系列及其他 v传播速度快，感染范围广传播速度快，感染范围广 v反复感染，难以根除，具有顽强的生命力反复感染，难以根除，具有顽强的生命力 v丰富的传播和破坏方式，丰富的传播和破坏方式，使用了过去两年来几乎所有病使用了过去两年来几乎所有病毒的常用技术毒的常用技术v隐蔽性更好，使用加密技术隐蔽性更好，使用加密技术v破坏性惊人，破坏性惊人，泄漏用户信息泄漏用户信息脚本病毒脚本病毒更甚于宏病毒更甚于宏病毒脚本病毒脚本病毒v脚本语言的广泛应用脚本语言的广泛应用v“爱虫爱虫”（LoveL

12、etterLoveLetter）v新的新的“欢乐时光欢乐时光”（VBS.KJVBS.KJ）v“中文求职信中文求职信”（donghedonghe）恶意代码和网页病毒恶意代码和网页病毒利用利用IEIE的的ActiveXActiveX漏洞的病毒漏洞的病毒v 修改用户的修改用户的IEIE设置、注册表选项设置、注册表选项v 下载木马、恶意程序或病毒下载木马、恶意程序或病毒v 格式化用户硬盘或删除用户的文件格式化用户硬盘或删除用户的文件v 不具有传染性，更重主动攻击性不具有传染性，更重主动攻击性v 恶意网站恶意网站NimdaNimdaNimda 巨大的巨大的 破坏性破坏性v发生在发生在 9/18/2001

13、v在在3个小时内超过个小时内超过 100,000 计算机受到感染计算机受到感染v在在24小时内超过小时内超过1.2 亿亿PC遭到感染遭到感染v许多公司的网络瘫痪许多公司的网络瘫痪v通过电子邮件大量扩散。文件夹中会生成通过电子邮件大量扩散。文件夹中会生成eml为扩为扩展名的文件或展名的文件或admin.dll文件。文件。 NIMDA病毒的4种传播方式同黑客技术结合的网络病毒将成为同黑客技术结合的网络病毒将成为计算机病毒的主流计算机病毒的主流 l传统的计算机病毒为一种可执行程序，依靠某传统的计算机病毒为一种可执行程序，依靠某种媒介进行传播，比如软盘、光盘或者电子邮件。种媒介进行传播，比如软盘、光盘

14、或者电子邮件。计算机病毒就好像刺猬，只要你不去碰它，它就计算机病毒就好像刺猬，只要你不去碰它，它就不会来招惹你。不会来招惹你。l以以“冲击波冲击波”为代表的网络病毒：这种病毒是为代表的网络病毒：这种病毒是完全主动地直接扫描互联网上的计算机，一旦发完全主动地直接扫描互联网上的计算机，一旦发现其没有安装现其没有安装Winwows补丁，就立即进入并开始补丁，就立即进入并开始发作。发作。l“冲击波冲击波”严格说来并不是一种病毒，更接近严格说来并不是一种病毒，更接近于一种感染行为。于一种感染行为。l以前是要下载、拷贝才会中毒，现在只要你的以前是要下载、拷贝才会中毒，现在只要你的系统有后门，有漏洞，就可能

15、感染病毒。系统有后门，有漏洞，就可能感染病毒。冲击波症状冲击波症状1、系统资源被大量占用、系统资源被大量占用 2、系统反复重启、系统反复重启 3、系统中出现文件：、系统中出现文件： %Windir%system32msblast.exe 4、不能收发邮件、不能正常复制文件、无法、不能收发邮件、不能正常复制文件、无法正常浏览网页正常浏览网页 5、复制粘贴等操作受到严重影响，、复制粘贴等操作受到严重影响，DNS和和IIS服务遭到非法拒绝等服务遭到非法拒绝等 （熊猫烧香病毒（熊猫烧香病毒 的制造者李俊的制造者李俊 在看守所里）在看守所里）QQ尾巴尾巴基本措施（经验）n一个准备n随时备份你的数据和文档

16、n四个手段n一个意识n慎诱惑：光盘、邮件、网页、图片、音乐、软件、游戏、QQ手段之一n安装防毒软件n主要的软件n江民KV300 瑞星 金山 KILL 卡巴斯基 Pccillin MaCafe nNortonn安装n到电子市场买一套正版的杀毒软件。n断开网络，进入安全模式（启动时按F7或F8），安装杀毒软件，全面杀毒，关机。n重新开机，联上网，升级杀毒软件，并给系统打补丁。n设置每日升级常见防病毒软件介绍n国外：nNORTON ANTIVIRUSn 由Symantec公司研发，最著名的防病毒软件之一n国内：n金山公司的金山毒霸n瑞星公司的瑞星杀毒软件n冠群金辰软件公司的KILL杀毒软件n江民公司

17、的KV3000n卡巴斯基1.1.杀病毒软件杀病毒软件 （1）金山毒霸的启动）金山毒霸的启动 （2）查杀病毒）查杀病毒 按上述方法打开金山毒霸按上述方法打开金山毒霸, ,显示出金山毒霸的主界面，如图所示。显示出金山毒霸的主界面，如图所示。在金山毒霸主界面左侧的列表框中，选择需要进行查杀病毒的文在金山毒霸主界面左侧的列表框中，选择需要进行查杀病毒的文件夹，并将其选中（即打件夹，并将其选中（即打）。）。 然后，在金山毒霸主界面的右边然后，在金山毒霸主界面的右边“控制中心控制中心”内，单内，单击击“开始查毒开始查毒”，程序就开始开始查杀病毒了。，程序就开始开始查杀病毒了。这时，程序切换到这时，程序切换

18、到“查毒结果查毒结果”界面界面, ,如图所示。如果如图所示。如果发现病毒，程序将弹出发现病毒，程序将弹出“发现病毒发现病毒”窗口询问对此要窗口询问对此要进行的下一步操作。选择相应的操作后，即可继续进进行的下一步操作。选择相应的操作后，即可继续进行查毒。行查毒。 如果没有发现病毒，程序将会提示用户如果没有发现病毒，程序将会提示用户“病毒检测完病毒检测完毕毕”单击单击“确认确认”键，返回键，返回“控制中心控制中心”界面界面 2. 在线杀毒 目前，很多网站都提供这种在线杀毒，如网易（，如图所示） 手段之二n安装防火墙n防火墙如果从实现方式上来分，又分为硬件防火墙硬件防火墙和软件防火墙两类和软件防火墙两类，n硬件防火墙通过硬件和软件的结合硬件和软件的结合来达到隔离内、外部网络的目的，价格较贵，但效果较好，一般小型企业和个人很难实现；n软件防火墙它是通过纯软件纯软件的方式来达到，价格很便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。n软件防火墙产品：天网 瑞星 Norton（诺