学习情境 10 网络安全管理与病毒防范资料

计算机网络与综合布线

学习情境10网络安全管理与病毒防范主编：吴大军马金忠副主编：郝建忠等1学习情境10网络安全管理与病毒防范随着Internet的迅速发展和应用的普及，计算机网络已经深入到教育、政府、商业和军事等各个领域，成为了一种重要的基础设施。但近年来大规模的安全事件接连发生，互联网上病毒、拒绝服务攻击、网络欺诈等新的攻击手段层出不穷，导致泄密、数据破坏、业务无法正常进行等事件屡屡发生，甚至导致互联网瘫痪，造成无法估量的经济损失。因此网络安全已引起世界各国政府、企业、研究机构以及个人的高度关注。本情境的任务一首先介绍了SNMP协议以及Windows2003下SNMP的安装与配置；任务二介绍了黑客常用的技术手段；任务三讲述了安全卫士和防病毒软件的使用。学习情境10网络安全管理与病毒防范任务10.1win2003下SNMP的安装配置1任务10.2黑客技术基础2任务10.3病毒防范与杀毒软件3学习情境10网络安全管理与病毒防范在Windows2003下安装和配置SNMP协议。1.会安装Windows操作系统的SNMP服务；2.会配置SNMP网关代理；3.会配置IPSec协议。。1任务10.1Win2003下SNMP的安装配置1任务10.1Win2003下SNMP的安装配置10.1.1相关知识110.1.2任务实施210.1.3任务评价310.1.4任务巩固4任务10.1Win2003下SNMP的安装配置10.1.1相关知识一、网络管理网络管理分为两类：第一类是网络应用程序、用户账号（如文件的使用）和存取权限（许可）的管理，它们都是与软件有关的网络管理问题；第二类是由构成网络的硬件所组成。包括工作站、服务器、网卡、路由器、网桥和集线器等，通常情况下这些设备都离你所在的地方很远。正是由于这个原因，如果当设备发生问题时网络管理员可以自动地被通知的话，那么一切事情都好办。但是路由器不会像你的用户那样，当有一个应用程序发生问题时就可以打电话通知你，即当路由器拥挤时它并不能够通知你。为了解决这个问题，厂商们已经在一些设备中设立了网络管理的功能，这样你就可以远程地询问它们的状态，同样能够让它们在一种特定类型的事件发生时向你发出警告。这些设备通常被称为“智能”设备。网络管理通常分为四类，如表10-1所示。任务10.1Win2003下SNMP的安装配置当设计和构造网络管理的基础结构时，需要记住以下两条网络管理的原则：（1）由于管理信息而带来的通信量不应明显地增加网络的通信量。（2）被管理设备上的协议代理不应明显地增加系统处理的额外开销，以至于该设备的主要功能被削弱。任务10.1Win2003下SNMP的安装配置二、SNMP的定义简单网络管理协议(SingleNetworkManagementProtocol，SNMP)首先是由Internet工程任务组织(InternetEngineeringTaskForce，IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。SNMP被设计成与协议无关，所以它可以在IP、IPX、AppleTalk、OSI以及其他可能用到的传输协议上被使用。SNMP是一系列协议组和规范（见表102），它们提供了一种从网络上的设备中收集网络管理信息的方法。SNMP也为设备向网络管理工作站报告问题和错误提供了一种方法。任务10.1Win2003下SNMP的安装配置从被管理设备中收集数据有两种方法：一种是只轮询（pollingonly）的方法，另一种是基于中断（interruptbased）的方法。返回任务10.1Win2003下SNMP的安装配置10.1.2任务实施1、SNMP的安装2、SNMP的网管代理设置3、SNMP的安全性配置（1）创建筛选器列表（2）创建IPSec策略返回任务10.1Win2003下SNMP的安装配置10.1.3任务评价返回任务10.1Win2003下SNMP的安装配置10.1.4任务巩固上网或者到图书馆查找资料，学习SNMP及IPSec协议并撰写学习报告。返回学习情境10网络安全管理与病毒防范安装使用CainAbelv4.9软件实现嗅探、扫描和破解。1.认识什么是黑客；2.懂得黑客常用的技术；3.会安装使用CainAbelv4.9软件。1任务10.2黑客技术基础1任务10.2黑客技术基础10.2.1相关知识110.2.2任务实施210.2.3任务评价310.2.4任务巩固4任务10.2黑客技术基础10.2.1相关知识一、黑客的定义“黑客”一词是由英语Hacker音译出来的，是指专门研究、发现计算机和网络漏洞的计算机爱好者，他们伴随着计算机和网络的发展而产生和成长。黑客对计算机有着狂热的兴趣和执著的追求，他们不断地研究计算机和网络知识，发现计算机和网络中存在的漏洞，喜欢挑战高难度的网络系统并从中找到漏洞，然后向管理员提出解决和修补漏洞的方法。任务10.2黑客技术基础黑客不干涉政治，不被政治利用，他们的出现推动了计算机和网络的发展与完善。黑客所做的不是恶意破坏，他们是一群纵横于网络上的大侠，追求共享、免费，提倡自由、平等。黑客的存在是由于计算机技术的不健全，从某种意义上来讲，计算机的安全需要更多黑客去维护。借用myhk的一句话“黑客存在的意义就是使网络变得日益安全完善”任务10.2黑客技术基础但是到了今天，黑客一词已经被用于那些专门利用计算机进行破坏或入侵他人的代言词，对这些人正确的叫法应该是cracker，有人也翻译成“骇客”，也正是由于这些人的出现玷污了“黑客”一词，使人们把黑客和骇客混为一体，黑客被人们认为是在网络上进行破坏的人。在黑客圈中，hacker一词无疑是带有正面的意义，例如，systemhacker熟悉操作系统的设计与维护，passwordhacker精于找出使用者的密码，而computerhacker则是通晓计算机并让它乖乖听话的高手。黑客基本上是一项业余嗜好，通常是出于自己的兴趣，而非为了赚钱或工作需要。任务10.2黑客技术基础根据开放原始码计划创始人EricRaymond的解释，hacker与cracker是分属于两个不同世界的族群，其基本差异在于hacker是有建设性的，而cracker则专门搞破坏。其实黑客的本意是整天到别人的空间或博客里逛的人，骇客才是现今“黑客”的意思。但由于“骇客”的“骇”（hài）和“黑客”的“黑”（hēi）音相似，所以被人们误认为在网络上进行破坏的人叫做“黑客”。本任务中“黑客”一词均指该意义。任务10.2黑客技术基础二、黑客常用的技术1.扫描（1）网络安全扫描技术（2）主机安全扫描技术。通过对网络的扫描，网络管理员可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置，在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，可以有效避免黑客攻击行为，做到防患于未然。任务10.2黑客技术基础2.嗅探嗅探(Sniffer)技术是网络安全攻防技术中很重要的一种。对黑客来说，通过嗅探技术能以非常隐蔽的方式攫取网络中的大量敏感信息。与主动扫描相比，嗅探行为更难被察觉，也更容易操作。对安全管理人员来说，借助嗅探技术可以对网络活动进行实时监控，并发现各种网络攻击行为。在交换网络中，虽然避免了利用网卡混杂模式进行的嗅探。但交换机并不会解决所有的问题，在一个完全由交换机连接的局域网内，同样可以进行网络嗅探。主要有以下三种可行的办法：MAC洪水(MACFlooding)、MAC复制(MACDuplicating)和ARP欺骗，其中最常用的是ARP欺骗。任务10.2黑客技术基础3.入侵这里介绍三种入侵行为及其防护策略。（1）木马入侵（2）IIS漏洞入侵（3）网页恶意代码入侵木马是广大电脑爱好者最深恶痛绝的东西了，相信很多读者都受到过它的骚扰。木马有可能是黑客在已经获取我们的操作系统可写权限的前提下，由黑客上传的（如下面会提到的ipc$共享入侵）；也可能是我们浏览了一些垃圾个人站点而通过网页浏览感染的（利用了IE漏洞）；当然，最多的情况还是我们防范意识不强，随便运行了别人发来的所谓的MM图片、动画之类的程序或者是在不正规的网站上随便下载软件使用时而感染的。应对措施：提高防范意识，不要随意运行别人发来的软件。安装木马查杀软件，及时更新木马特征库。由于宽带越来越普及，给自己的Windows2000或是XP装上简单易学的IIS，搭建一个不定时开放的ftp或是Web站点，相信是不少电脑爱好者所向往的，而且已经有很多人这样做了。但是IIS层出不穷的漏洞实在令人担心。远程攻击者只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次对IIS的远程攻击，在浏览网页的时候不可避免地会遇到一些不正规的网站，它们经常会擅自修改浏览者的注册表，其直接体现便是修改IE的默认主页、锁定注册表、修改鼠标右键菜单等。实际上绝大部分的网页恶意代码都是通过修改注册表达到目的的，因此必须保护好自己的注册表。应对措施：安装具有注册表实时监控功能的防护软件，做好注册表的备份工作。禁用RemoteRegistryService服务，不要上一些不该上的网站。任务10.2黑客技术基础三、Cain&Abel4.9简介

Cain&Abel4.9是集扫描、嗅探和破解于一体的黑客软件，可以破解屏保、PWL密码、共享密码、缓存口令、远程共享口令、SMB口令，支持VNC口令解码、CiscoType7口令解码、Base64口令解码、SQLServer7.0/2000口令解码、RemoteDesktop口令解码、AccessDatabase口令解码、CiscoPIXFirewall口令解码、CiscoMD5解码、NTLMSessionSecurity口令解码、IKEAggressiveModePreSharedKeys口令解码、Dialup口令解码、远程桌面口令解码等的综合工具，还可以远程破解，可以挂字典以及暴力破解，其sniffer功能极其强大，几乎可以以明文捕获一切账号口令，包括FTP，HTTP，IMAP，POP3，SMB，TELNET，VNC，TDS，SMTP，MSKERB5PREAUTH，MSN，RADIUSKEYS，RADIUSUSERS，ICQ，IKEAggressiveModePreSharedKeysauthentications等。返回任务10.2黑客技术基础10.2.2任务实施一、下载安装在http:///wificrack下载，共享区有4.9英文版和汉化补丁。

CAIN下有两个程序，一个是CAIN主程序，一个是Abel服务程序。Abel服务程序需要手动进行安装。正确安装CAIN后从CAIN目录下拷贝Abel.exe

和Abel.dll

到C:＼Windows＼System32目录下，运行Abel.exe安装，并在服务里设置为自动启动。任务10.2黑客技术基础二、常用功能使用1.解密器任务10.2黑客技术基础2.网络任务10.2黑客技术基础3.Traceroute任务10.2黑客技术基础4.无线网络返回任务10.2黑客技术基础10.2.3任务评价返回任务10.2黑客技术基础10.2.4任务巩固上网或者到图书馆查找资料，学习黑客及其防御技术并撰写学习报告。返回学习情境10网络安全管理与病毒防范学习病毒防范技术并使用杀毒软件。1.了解病毒、木马等概念；2.会使用安全卫士。1任务10.3病毒防范技术与杀毒软件1任务10.3病毒防范技术与杀毒软件10.3.1相关知识110.3.2任务实施210.3.3任务评价310.3.4任务巩固4任务10.3病毒防范技术与杀毒软件10.3.1相关知识一、病毒的定义病毒的定义在《中华人民共和国计算机信息系统安全保护条例》中明确定义，计算机病毒(ComputerVirus)是指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。而在一般教科书及通用资料中，病毒被定义为“利用计算机软件与硬件的缺陷，由被感染机内部发出的破坏计算机数据并影响计算机正常工作的一组指令集或程序代码”。计算机病毒的特点是具有传染性、隐蔽性、潜伏性和表现性。其一般传播途径包括硬盘、光盘和网络。任务10.3病毒防范技术与杀毒软件蠕虫病毒是自包含的程序(或是一套程序)，它能传播它自身功能的拷贝或它的某些部分到其他蠕虫病毒的计算机系统中(通常是经过网络连接)。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序。蠕虫有两种类型：主计算机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中。主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫“野兔”，蠕虫病毒一般是通过1434端口漏洞传播。任务10.3病毒防范技术与杀毒软件普通病毒和蠕虫病毒的区别见表10_5任务10.3病毒防范技术与杀毒软件三、木马的定义“木马”是一种经过伪装的欺骗性程序，它通过将自身伪装吸引用户下载执行，从而破坏或窃取使用者的重要文件和资料。木马程序与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它的主要作用是向施种木马者打开被种者电脑的门户，使对方可以任意毁坏、窃取你的文件，甚至远程操控你的电脑。木马与计算机网络中常常要用到的远程控制软件是有区别的。虽然二者在主要功能上都可以实现远程控制，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性。木马则完全相反，木马要达到的正是“偷窃”性的远程控制，因此如果没有很强的隐蔽性，木马简直就是“毫无价值”的。因此判别木马与远程控制的两个重要标准是其使用目的和隐蔽性。返回任务10.3病毒防范技术与杀毒软件计算机木马一般由两部分组成，即服务端和控制端，也就是常用的C/S