网络安全技术介绍

1、v1信息安全原理及从业人员安全素养培训01网络安全技术介绍第 2 页信息安全原理及从业人员安全素养第四章第 3 页第一节. 网络安全基础纠错、流控制 电、物理信号、线路寻址、路由物理层网络控制、链路纠错网络接口层通讯机制、验证服务 格式转换、加/解密 链路层网络层传输层会话层表示层应用层提供应用软件的接口 互联层传输层传输层OSI 和 TCP/IPISO/OSITCP/IP第四章第 4 页第二节. 网络安全威胁技术（1）125346互联网信息收集综合扫描扫描技术IP地址扫描端口扫描漏洞扫描弱口令扫描第四章第 5 页第二节. 网络安全威胁技术（2）网络嗅探嗅探(sniff)，就是窃听网络上流经的

2、数据包，而数据包里面一般会包含很多重要的私隐信息，如：你正在访问什么网站，你的邮箱密码是多少，你在和哪个MM聊QQ等等.而很多攻击方式（如著名的会话劫持）都是建立在嗅探的基础上的。B机C机D机E机交换机网关我是网关我是B机ARP攻击者截获B机的数据包!第四章第 6 页第二节. 网络安全威胁技术（3）网络协议欺骗协议类型：包括TCP欺骗和UDP欺骗攻击层面：在传输层实施的通信欺骗攻击攻击方式：是通过将外部计算机伪装成合法计算机来实现的,欺骗的目的是使其它计算机误将攻击者的计算机作为合法计算机接受,从而诱使其它计算机向攻击者计算机发送数据或允许它修改数据,最终破坏计算机间通信链路上的正常数据流,或

3、者在两台计算机的通信链路中插入数据.B机ARP攻击者A机1.用DDos攻击使B瘫痪2.源 IP=B,SYN4.源 IP=B,ACK5.源 IP=B,开始通信3.SYN+ACK第四章第 7 页第二节. 网络安全威胁技术（4）DNS欺骗基于DNS服务器欺骗基于用户计算机的欺骗设置正确的固定DNS第四章第 8 页第二节. 网络安全威胁技术（5）诱骗式攻击诱骗下载游戏和插件下载热门应用下载电子书P2P种子文件网站钓鱼网站挂马框架挂马JS脚本挂马BOBY挂马伪装欺骗挂马社会工程第四章第 9 页第二节. 网络安全威胁技术（6）软件漏洞攻击文件处理软件浏览器软件操作系统服务漏洞ActiveX控件第四章第 1

4、0 页第二节. 网络安全威胁技术（7-1）拒绝服务攻击定义：拒绝服务攻击（Denial of Service,DoS）攻击者向目标计算机发出数量众多的攻击数据包，消耗目标计算机的大量网络带宽和计算机资源，使得目标主机无法提供服务响应的攻击方式.实现方式：1）利用目标主机自身存在的DoS漏洞；2）耗尽目标主机的CPU和内存；3）耗尽目标主机的网络带宽；DoS攻击分类1）IP层协议攻击（反射型DoS攻击）2）TCP协议攻击（协议缺陷型DoS攻击）3）UDP协议攻击（针对DNS服务的UDP洪水攻击）4）应用层协议攻击（脚本洪水攻击）第四章第 11 页第二节. 网络安全威胁技术（7-2）分布式拒绝服务

5、攻击定义：就是在DoS攻击基础上，由攻击者通过非法控制的大量第三方计算机辅助其攻击的一种攻击方式，DDoS可简单理解为多对一的攻击.实现方式：1）感染上千台服务器，是其成为傀儡机（肉鸡），并具备发动DoS攻击能力；2）上千台肉鸡构成的僵尸网络，等待来自主控中心的攻击命令；3）中央攻击控制中心在适时启动全体受控主机的DoS服务进程，让它们对一个特定目标发送尽可能多的网络访问请求，形成一股DoS洪流冲击目标系统，猛烈的DoS攻击同一个网站。D.DoS攻击者主控端主控端主控端DoS代理端（肉鸡）DoS代理端（肉鸡）DoS代理端（肉鸡）DoS代理端（肉鸡）DoS代理端（肉鸡）DoS代理端（肉鸡）受害服

6、务器第四章第 12 页第二节. 网络安全威胁技术（9）WEB脚本攻击 之 sql注入定义：所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击第四章第 13 页第二节. 网络安全威胁技术（9）WEB脚本攻击 之 跨站定义：跨站攻击，即Cross Site Script Execution(通常简写为XSS)。是指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML代码

7、，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 );alert(xss);/如果改成ipconfig,后果?如果 net user abcdef 123456 /add 增加用户如果 net localgroup administrators abcdef /add -提权 （各种如果）第四章第 14 页第二节. 网络安全威胁技术（9）远程控制网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载

8、黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。 第四章第 15 页第二节. 网络安全威胁技术（9）远程控制攻击者被控制的跳板机 先种个木马（客户端） 再种个木马（服务端） 更新攻击IP、端口列表 查询列表，获取攻击者IP、端口 请求连接 建立连接成功目标主机第四章第 16 页第三节. 网络安全防护技术（1）防火墙DMZWeb服务器8：80邮件服务器00：25FTP服务器00：21DMZ口：eth27内网口：eth05外网口：eth10路由器5

9、4内网交换机内网设备InternetANY端口访问端口映射0:800:250:21第四章第 17 页第三节. 网络安全防护技术（2-1）入侵检测DMZWeb服务器8：80邮件服务器00：25FTP服务器00：21DMZ口：eth27内网口：eth05外网口：eth10路由器54内网交换机内网设备InternetANY端口访问端口映射0:800:250:21探测器探测器第四章第 18 页第三节. 网络安全防护技术（2-2）入侵防御DMZWeb服务器8：80邮件服务器00：25FTP服务器00：21DMZ口：eth27内网口：eth05外网口：eth10路由器54内网交换机内网设备Internet

10、探测器探测器IPSIPS第四章第 19 页第三节. 网络安全防护技术（3）PKI明文m明文m密文c加密算法ED解密算法密钥源密钥k密钥k普通信道安全信道攻击者mK解密:第四章第 20 页第三节. 网络安全防护技术（3）PKIP. 20Hash( )Hash( )数字签名 常指基于公钥密码技术的数字信息的认证方法，是一种重要的电子签名方式，提供主体身份和数据来源认证、完整性验证和不可抵赖性等安全服务，如DSA、RSA和El Gamal算法；数字签名时，首先使用散列函数（如SHA-1）生成数据的文摘，然后使用发送者的私钥对文摘进行加密生成数字签名，将其于数据一起发送给接收者；验证时，首先使用发送者

11、公钥解密数字签名得到文摘，然后使用散列函数生成文摘，如果其与解密得到文摘相同，证明所收到的数据是发送者发送的；数字签名的有效性取决于算法及其安全实现、私钥的保密性、公钥的完整性等多种因素；第四章第 21 页第三节. 网络安全防护技术（3）PKIHash( )Hash( )证书中心CA数字证书第四章第 22 页第三节. 网络安全防护技术（4）VPN在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。VPN具有成本低，易于使用的特点。

12、 总部分支机构分支机构Vpn路由器Vpn路由器Vpn网关外出员工IPSec VPNIPSec VPNSSL VPN第四章第 23 页第三节. 网络安全防护技术（5）应用层安全协议应用安全协议SHTTP协议S/MIME协议Kerberos协议SSH协议SET协议第四章第 24 页第三节. 网络安全防护技术（5-1）应用层安全协议Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务，即SSO(Single Sign On)。由于在每个Client和Se