信息安全概论

1、2022/10/141信息安全概论电子科技大学出版社2007年8月第九章 网络安全9.1 网络安全概述9.2 网络攻击技术9.3 网络防御技术2022/10/1429.1 网络安全概述9.1.1 网络安全威胁9.1.2 黑客技术简介9.1.3 网络攻击特点9.1.4 网络攻击趋势2022/10/1439.1.1 网络安全威胁网络安全威胁的产生原因互联网Internet的开放性与共享性TCP/IP协议的漏洞操作系统、数据库等系统软件的漏洞Office、PDF Reader等应用软件的漏洞误操作、管理漏洞等人为因素2022/10/1449.1.1 网络安全威胁安全威胁的分类2022/10/145

2、自然灾害：雷电，地震，火灾，水灾.主动攻击嗅探.操作失误.设计错误蓄意破坏病毒威胁.流量分析伪装/假冒中断系统故障：硬件失效，软件故障，电源故障.安全威胁非人为因素人为因素 不可避免的人为因素恶意攻击 内部攻击外部攻击 .被动攻击 篡改 9.1.1 网络安全威胁网络安全的类别网络崩溃：硬件故障或软件故障导致系统崩溃。网络阻塞：网络配置和调度不合理，导致出现网络广播风暴和噪声。网络滥用：合法用户越权使用计算机，获取网络资源。网络入侵：非法用户非法进入系统和网络，获取控制器和网络资源。网络干扰：对计算机和网络运行进行干扰。网络破坏：攻击网络、篡改数据、毁坏系统。2022/10/1469.1.2 黑

3、客技术简介黑客技术定义对计算机系统和网络的缺陷和漏洞的发现，以及针对这些缺陷实施攻击的技术。缺陷：软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误。本质：研究网络安全漏洞的技术。 2022/10/1479.1.2 黑客技术简介黑客常用术语肉鸡：比喻那些可以随意被我们控制的电脑。后门：入侵者成功获取目标主机的控制权后，通过植入特定的程序，或者修改系统设置，留下秘密陷门。通过该陷门，入侵者却可以轻易地与目标主机建立连接，达到重新控制的目的。SQL注入：通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。2022/10/1489.1.2

4、 黑客技术简介黑客常用术语木马：是一种特殊的程序代码，被植入主机运行后，会获取系统控制权限，进而秘密窃取系统的敏感数据文件，甚至远程操控主机。网页木马：表面上伪装成普通的网页文件或是将自己的代码直接插入到正常的网页文件中。当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马（服务端）下载到访问者的电脑上来自动执行。挂马：指在网站文件中放入网页木马或者将代码潜入到对方正常的网页文件里，以使浏览者中马。2022/10/1499.1.2 黑客技术简介黑客常用术语rootkit：rootkit是攻击者用来隐藏自己的行踪和保留root访问权限（管理员权限）的工具。免杀：通过加壳、加密

5、、修改特征码、加花指令等等技术来修改程序，使其逃过杀毒软件的查杀。 加壳：就是利用特殊的算法，将EXE可执行程序或者DLL动态连接库文件的编码进行改变（比如实现压缩、加密），以达到缩小文件体积或者加密程序编码，甚至是躲过杀毒软件查杀的目的。2022/10/14109.1.2 黑客技术简介黑客攻击的准备阶段确定攻击的目的：确定攻击要达到什么样的目的，即给对方造成什么样的后果。常见的攻击目的有破坏型和入侵型两种。破坏型攻击只是破坏攻击目标，使其不能正常工作。入侵型攻击通过获得一定的权限来达到控制攻击目标的目的。信息收集：利用公开协议或工具收集尽量多的关于攻击目标的信息。这些信息主要包括目标的操作系

6、统类型及版本，目标提供哪些服务，各服务器程序的类型与版本以及相关的社会信息。2022/10/14119.1.2 黑客技术简介黑客攻击的实施阶段（入侵型攻击）获得权限：利用收集的目标系统信息，找到系统的远程漏洞，然后利用该漏洞获取一定的权限。权限提升：利用远程漏洞获取的往往是普通用户的权限，这就需要进一步利用本地漏洞来提升权限，常常是提升到系统管理员权限。痕迹清除：清除系统日志中留下的痕迹。种植后门：为了方便下次再进入目标系统，黑客会留下一个后门，特洛伊木马就是后门的最好范例。2022/10/14129.1.2 黑客技术简介黑客必经之路学习技术：通过阅读RFC文档，不断学习互联网上的新技术，并深

7、入理解掌握技术机理。伪装自己：伪装自己的IP地址、使用跳板逃避跟踪、清理记录扰乱对方线索、巧妙躲开防火墙等。发现漏洞：黑客要经常学习别人发现的漏洞，努力自己寻找未知漏洞，并从海量的漏洞中寻找有价值的、可被利用的漏洞进行试验。利用漏洞：通过漏洞获取系统信息，侵入系统内部窃取机密数据或破坏系统，或者进一步寻找下一个目标。2022/10/14139.1.3 网络攻击特点网络攻击的特征智能性：从事恶意攻击的人员大都具有相当高的专业技术和熟练的操作技能。严重性：涉及到金融资产的网络信息系统恶意攻击，往往会由于资金损失巨大，而使金融机构和企业蒙受重大损失，甚至使其破产。隐蔽性：人为恶意攻击的隐蔽性很强，不

8、易引起怀疑，作案的技术难度大。多样性：随着互联网的迅速发展，恶意攻击的手段和目标变得多样化。2022/10/14149.1.4 网络攻击趋势网络攻击的发展趋势入侵者难以追踪拒绝服务攻击频繁发生攻击者需要的技术水平逐渐降低但危害增大攻击手段更加灵活，联合攻击急剧增多系统漏洞发现加快，攻击爆发时间变短垃圾邮件问题严重间谍软件、恶意软件威胁安全无线网络、移动手机渐成安全重灾区2022/10/14159.2 网络攻击技术9.2.1 网络探测9.2.2 网络窃听9.2.3 网络欺骗9.2.4 拒绝服务攻击9.2.5 数据驱动攻击2022/10/14169.2.1 网络探测网络探测的基本步骤踩点：指攻击者

9、利用各种攻击和技巧，以正常合法的途径对攻击目标进行窥探，对其安全情况建立完整的剖析图。常用方法：搜索引擎、域名查询、网络勘察。扫描：指攻击者获取获取活动主机、开放服务、操作系统、安全漏洞等关键信息的技术。常用技术：PING扫描、端口扫描、漏洞扫描。查点：指攻击者从目标系统中抽取有效账号或导出资源名的技术。信息类型：网络资源和共享资源、用户和用户组、服务器程序及其旗标。2022/10/14179.2.1 网络探测常用的网络扫描技术TCP 连接扫描：Connect()TCP SYN 扫描TCP FIN扫描TCP ACK 扫描TCP 窗口扫描TCP RPC 扫描UDP 扫描ICMP协议扫描2022/

10、10/14189.2.2 网络窃听定义攻击者通过非法手段监视系统活动，从而获取到系统的敏感数据信息。常用的网络窃听手段网络嗅探：Wireshark，Libpcap/Winpcap键盘记录：口令屏幕截取获取密码文件非法越权访问2022/10/14199.2.3 网络欺骗定义攻击者通过冒充正常合法用户来获取攻击目标的访问权或关键信息的攻击技术。常用的网络欺骗技术ARP欺骗IP地址欺骗TCP会话劫持DNS欺骗Web欺骗邮件欺骗2022/10/14209.2.3 网络欺骗ARP欺骗ARP协议是什么？工作原理？思路：在局域网中，攻击者能够收到ARP广播包，从而可以获知其它节点的 (IP, MAC) 地址

11、。于是，攻击者可以伪装为A，告诉B（受害者）一个假地址，使得B在发送给A的数据包都被黑客截取，而A, B 浑然不知。分类：中间人攻击、拒绝服务攻击。2022/10/14219.2.3 网络欺骗ARP欺骗原理（中间人攻击）2022/10/14229.2.3 网络欺骗IP地址欺骗定义：指攻击者将数据包的源地址伪造成合法用户的IP地址，以达到假冒合法用户身份的目的。分类：单向IP欺骗、双向IP欺骗。2022/10/1423单向IP欺骗（拒绝服务攻击）9.2.3 网络欺骗IP地址欺骗2022/10/1424双向IP欺骗（中间人攻击）9.2.3 网络欺骗IP地址欺骗的实现方式基本地址变化（IP盗用）：采

12、用网络配置工具，或者在UNIX平台下用IPCONFIG实现本机IP地址的改变。通过编程在发送的IP包首部填入欺骗地址。（Raw Socket，Winpcap）使用源站选路截取数据包：攻击者插入到正常情况下流量经过的地方。（网络嗅探）利用主机信任关系： UNIX操作系统中的信任关系使用IP地址进行验证。2022/10/14259.2.3 网络欺骗TCP会话劫持定义：在一次正常的会话过程当中，攻击者作为第三方参与到其中，他可以在正常数据包中插入恶意数据，也可以在双方的会话当中进行监听，甚至可以是代替某一方主机接管会话。分类：被动劫持、主动劫持。被动劫持：在后台监视双方会话的数据流，从中获得敏感数据

13、。主动劫持：将会话当中的某一台主机“踢”下线，然后由攻击者取代并接管会话。2022/10/14269.2.3 网络欺骗TCP会话劫持中间人攻击：相当于会话双方之间的透明代理。注射式攻击：在双方正常的通信流插入恶意数据，而不改变会话双方的通信流。关键技术：IP欺骗、预测TCP序列号。2022/10/14279.2.3 网络欺骗Web欺骗相似域名：注册一个与目标公司或组织相似的域名，然后建立一个欺骗网站，骗取该公司用户的信任，以便获取这些用户的敏感信息。（网络钓鱼）改写URL：当用户浏览页面时，攻击者截获该页面请求的HTTP消息，并将其中的URL改写成预设网络的恶意URL，以达到骗取用户的目的。2

14、022/10/14289.2.3 网络欺骗邮件欺骗使用相似的电子邮件地址修改邮件客户软件的账号配置直接连到SMTP服务器上发送邮件2022/10/14299.2.4 拒绝服务攻击含义攻击者想办法让目标机器停止提供服务。分类导致异常型：通常利用软硬件实现上的编程缺陷，导致其出现异常，从而使其拒绝服务。如：死亡之PING(Ping of Death)、IP碎片攻击(Teardrop)。资源耗尽型：通过大量消耗资源使得攻击目标由于资源耗尽不能提供正常的服务。 如：SYN洪泛攻击(SYN flood attacks)、UDP洪泛攻击、Land攻击、邮件炸弹、Smurf攻击分布式拒绝服务攻击（资源耗尽型

15、）2022/10/14309.2.4 拒绝服务攻击案例：Smurf攻击2022/10/14319.2.4 拒绝服务攻击分布式拒绝服务攻击组成部分：攻击者、主控端和代理端。2022/10/14329.2.5 数据驱动攻击定义通过向某个程序发送数据，以产生非预期结果的攻击，通常为攻击者给出访问目标系统的权限。分类缓冲区溢出攻击：通过往程序的缓冲区写入超出其边界的内容，造成缓冲区的溢出，使程序跳转到攻击者指定的代码（通常是为攻击者打开远程连接的ShellCode），从而达到攻击的目的。格式化字符串攻击：利用由于格式化函数的微妙错误造成的安全漏洞，通过传递精心编制的含有格式化指令的文本字符串，使目标程

16、序执行任意命令。2022/10/14339.2.5 数据驱动攻击分类（续）输入验证攻击：针对程序未能对输入进行有效的验证的安全漏洞，使得攻击者能够让程序执行指定的命令。同步漏洞攻击：利用程序在处理同步操作时的缺陷，如竞争状态、信号处理等问题，以获取更高权限的访问。信任漏洞攻击：利用程序滥设的信任关系来获取访问权限。2022/10/14349.3 网络防御技术9.3.1 防火墙技术9.3.2 入侵检测技术9.3.3 VPN技术2022/10/14359.3.1 防火墙技术概念在可信任的内部网络与不可信任的外部网络之间建立的一道安全屏障，通过控制网络信息流保护内部网免受外部非法用户的侵入。分类包过

17、滤防火墙：网络层状态检测防火墙：传输层应用代理：应用层电路网关：会话层2022/10/14369.3.1 防火墙技术包过滤防火墙原理：根据数据包的IP首部信息，如源目地址、源目端口、协议类型等，决定是否放行。依据：过滤规则集特点：速度快、与应用无关、安全性差。2022/10/14379.3.1 防火墙技术状态检测防火墙原理：根据数据包的传输层首部信息，判断该包是否遵从TCP连接的状态变迁过程，从而决定是否放行。依据：TCP状态机。特点：和包过滤相比，速度较慢、安全性较好。2022/10/14389.3.1 防火墙技术应用代理特点：安全、速度慢2022/10/14399.3.2 入侵检测技术概念

18、(IDS: Intrusion Detection System)从计算机网络或系统中的若干关键点收集信息并进行分析，从而发现网络或系统中违反安全策略的行为和遭受攻击的迹象。方法误用检测(Misuse Detection)异常检测(Anomaly Detection)分类基于网络的入侵检测系统基于主机的入侵检测系统2022/10/14409.3.2 入侵检测技术入侵检测方法误用检测(Misuse Detection)：特征检测，假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。异常检测(Anomaly Detection)：假设入侵者活动异常于正常主体的活动。将当前

19、主体的活动状况与主体正常活动的“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。2022/10/14419.3.2 入侵检测技术基于主机的入侵检测系统(HIDS)原理：安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。优点：性价比高、能够检测到基于网络的入侵检测系统NIDS发现不了的攻击、适用于采用数据加密和交换式连接的子网环境、不需增加额外的硬件设备 。2022/10/14429.3.2 入侵检测技术基于网络的入侵检测系统(NIDS)原理：部署在重要网段内，不停地监视网段中的数据包流，一旦发现入侵立刻发出警报，甚至直接切断网络连接

20、。优点：检测速度快、覆盖面广、隐蔽性好、监测点少、不易转移证据、与操作系统无关、不影响正常网络通信、不占用业务系统的资源。2022/10/14439.3.2 入侵检测技术CIDF入侵检测通用模型2022/10/14449.3.2 入侵检测技术CIDF模型组成部分事件产生器：从整个环境中捕获事件信息，并向系统的其他组成部分提供该事件数据。事件分析器：分析得到的事件数据，并产生分析结果。响应单元：对分析结果做出反应的功能单元，如报警、切断连接、改变文件属性等。事件数据库：存放各种中间和最终数据的地方，用于指导事件的分析及反应。2022/10/14459.3.3 VPN技术概念虚拟专用网VPN(Virtual Private Network)是在公用网络上建立专用网络的技术。虚拟网：整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络平台(Internet)之上的逻辑网络，用户数据在逻辑链路中传输。通常用于大型组织跨地域的各个机构之间的联网信息交换，或是流动工作人员与总部之间的通信。2022/10/14469.3