信息安全概论

2023/1/51信息安全概论电子科技大学出版社2007年8月第九章网络安全9.1网络安全概述9.2网络攻击技术9.3网络防御技术2023/1/529.1网络安全概述9.1.1网络安全威胁9.1.2黑客技术简介9.1.3网络攻击特点9.1.4网络攻击趋势2023/1/539.1.1网络安全威胁网络安全威胁的产生原因互联网Internet的开放性与共享性TCP/IP协议的漏洞操作系统、数据库等系统软件的漏洞Office、PDFReader等应用软件的漏洞误操作、管理漏洞等人为因素2023/1/549.1.1网络安全威胁安全威胁的分类2023/1/55

自然灾害：雷电，地震，火灾，水灾...主动攻击嗅探...操作失误...设计错误蓄意破坏病毒威胁...流量分析伪装/假冒中断系统故障：硬件失效，软件故障，电源故障...安全威胁非人为因素人为因素

不可避免的人为因素恶意攻击

内部攻击外部攻击

...被动攻击

篡改

9.1.1网络安全威胁网络安全的类别网络崩溃：硬件故障或软件故障导致系统崩溃。网络阻塞：网络配置和调度不合理，导致出现网络广播风暴和噪声。网络滥用：合法用户越权使用计算机，获取网络资源。网络入侵：非法用户非法进入系统和网络，获取控制器和网络资源。网络干扰：对计算机和网络运行进行干扰。网络破坏：攻击网络、篡改数据、毁坏系统。2023/1/569.1.2黑客技术简介黑客技术定义对计算机系统和网络的缺陷和漏洞的发现，以及针对这些缺陷实施攻击的技术。缺陷：软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误。本质：研究网络安全漏洞的技术。2023/1/579.1.2黑客技术简介黑客常用术语肉鸡：比喻那些可以随意被我们控制的电脑。后门：入侵者成功获取目标主机的控制权后，通过植入特定的程序，或者修改系统设置，留下秘密陷门。通过该陷门，入侵者却可以轻易地与目标主机建立连接，达到重新控制的目的。SQL注入：通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。2023/1/589.1.2黑客技术简介黑客常用术语木马：是一种特殊的程序代码，被植入主机运行后，会获取系统控制权限，进而秘密窃取系统的敏感数据文件，甚至远程操控主机。网页木马：表面上伪装成普通的网页文件或是将自己的代码直接插入到正常的网页文件中。当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马（服务端）下载到访问者的电脑上来自动执行。挂马：指在网站文件中放入网页木马或者将代码潜入到对方正常的网页文件里，以使浏览者中马。2023/1/599.1.2黑客技术简介黑客常用术语rootkit：rootkit是攻击者用来隐藏自己的行踪和保留root访问权限（管理员权限）的工具。免杀：通过加壳、加密、修改特征码、加花指令等等技术来修改程序，使其逃过杀毒软件的查杀。加壳：就是利用特殊的算法，将EXE可执行程序或者DLL动态连接库文件的编码进行改变（比如实现压缩、加密），以达到缩小文件体积或者加密程序编码，甚至是躲过杀毒软件查杀的目的。2023/1/5109.1.2黑客技技术简介黑客攻击的的准备阶段段确定攻击的的目的：确定攻击击要达到什什么样的目目的，即给给对方造成成什么样的的后果。常常见的攻击击目的有破坏型和入侵型两种。破坏坏型攻击只是破坏攻攻击目标，，使其不能能正常工作作。入侵型攻击击通过获得一一定的权限限来达到控控制攻击目目标的目的的。信息收集：利用公开开协议或工工具收集尽尽量多的关关于攻击目目标的信息息。这些信信息主要包包括目标的的操作系统统类型及版版本，目标标提供哪些些服务，各各服务器程程序的类型型与版本以以及相关的的社会信息息。2022/12/28119.1.2黑客技技术简介黑客攻击的的实施阶段段（入侵型攻击击）获得权限：利用收集集的目标系系统信息，，找到系统统的远程漏漏洞，然后后利用该漏漏洞获取一一定的权限限。权限提升：利用远程漏洞获取的往往往是普通用用户的权限限，这就需需要进一步步利用本地漏洞来提升权限限，常常是是提升到系系统管理员员权限。痕迹清除：清除系统统日志中留留下的痕迹迹。种植后门：为了方便便下次再进进入目标系系统，黑客客会留下一一个后门，，特洛伊木马马就是后门的的最好范例例。2022/12/28129.1.2黑客技技术简介黑客必经之之路学习技术：通过阅读读RFC文档，不断断学习互联联网上的新新技术，并并深入理解解掌握技术术机理。伪装自己：伪装自己的的IP地址、使用跳跳板逃避跟踪踪、清理记录录扰乱对方线线索、巧妙躲躲开防火墙等等。发现漏洞：黑客要经常常学习别人发发现的漏洞，，努力自己寻寻找未知漏洞洞，并从海量量的漏洞中寻寻找有价值的的、可被利用用的漏洞进行行试验。利用漏洞：通过漏洞获获取系统信息息，侵入系统统内部窃取机机密数据或破破坏系统，或或者进一步寻寻找下一个目目标。2022/12/28139.1.3网网络攻击特特点网络攻击的特特征智能性：从事恶意攻击击的人员大都都具有相当高高的专业技术术和熟练的操操作技能。严重性：涉及到金融资资产的网络信信息系统恶意意攻击，往往往会由于资金金损失巨大，，而使金融机机构和企业蒙蒙受重大损失失，甚至使其其破产。隐蔽性：人为恶意攻击击的隐蔽性很很强，不易引引起怀疑，作作案的技术难难度大。多样性：随着互联网的的迅速发展，，恶意攻击的的手段和目标标变得多样化化。2022/12/28149.1.4网网络攻击趋趋势网络攻击的发发展趋势入侵者难以追追踪拒绝服务攻击击频繁发生攻击者需要的的技术水平逐逐渐降低但危危害增大攻击手段更加加灵活，联合合攻击急剧增增多系统漏洞发现现加快，攻击击爆发时间变变短垃圾邮件问题题严重间谍软件、恶恶意软件威胁胁安全无线网络、移移动手机渐成成安全重灾区区2022/12/28159.2网络络攻击技术9.2.1网络探测9.2.2网络窃听9.2.3网络欺骗9.2.4拒绝服务攻击击9.2.5数据驱动攻击击2022/12/28169.2.1网网络探测网络探测的基基本步骤踩点：指攻击者利利用各种攻击击和技巧，以以正常合法的的途径对攻击击目标进行窥窥探，对其安安全情况建立立完整的剖析析图。常用方法：搜索引擎、域域名查询、网网络勘察。扫描：指攻击者获获取获取活动动主机、开放放服务、操作作系统、安全全漏洞等关键键信息的技术术。常用技术：PING扫描、端口扫扫描、漏洞扫扫描。查点：指攻击者从从目标系统中中抽取有效账账号或导出资资源名的技术术。信息类型：网络资源和共共享资源、用用户和用户组组、服务器程程序及其旗标标。2022/12/28179.2.1网网络络探探测测常用用的的网网络络扫扫描描技技术术TCP连接接扫扫描描：：Connect()TCPSYN扫描描TCPFIN扫描描TCPACK扫描描TCP窗口口扫扫描描TCPRPC扫描描UDP扫描描ICMP协议议扫扫描描2022/12/28189.2.2网网络络窃窃听听定义义攻击击者者通通过过非非法法手手段段监监视视系系统统活活动动，，从从而而获获取取到到系系统统的的敏敏感感数数据据信信息息。。常用用的的网网络络窃窃听听手手段段网络络嗅嗅探探：Wireshark，Libpcap/Winpcap键盘盘记记录录：：口口令令屏幕幕截截取取获取取密密码码文文件件非法法越越权权访访问问2022/12/28199.2.3网网络络欺欺骗骗定义义攻击击者者通通过过冒冒充充正正常常合合法法用用户户来来获获取取攻攻击击目目标标的的访访问问权权或或关关键键信信息息的的攻攻击击技技术术。。常用用的的网网络络欺欺骗骗技技术术ARP欺骗骗IP地址址欺欺骗骗TCP会话话劫劫持持DNS欺骗骗Web欺骗骗邮件件欺欺骗骗2022/12/28209.2.3网网络欺骗骗ARP欺骗ARP协议是什什么？工工作原理理？思路：在局域域网中，，攻击者者能够收收到ARP广播包，，从而可可以获知知其它节节点的(IP,MAC)地址。于于是，攻攻击者可可以伪装装为A，告诉B（受害者者）一个个假地址址，使得得B在发送给给A的数据包包都被黑黑客截取取，而A,B浑然不知知。分类：中间人攻攻击、拒绝服务务攻击。2022/12/28219.2.3网网络欺骗骗ARP欺骗原理理（中间人攻攻击）2022/12/28229.2.3网网络欺骗骗IP地址欺骗骗定义：指攻击击者将数数据包的的源地址址伪造成成合法用用户的IP地址，以以达到假假冒合法法用户身身份的目目的。分类：单向IP欺骗、双双向IP欺骗。2022/12/2823单向IP欺骗（拒绝服务攻击击）9.2.3网网络欺骗IP地址欺骗骗2022/12/2824双向IP欺骗（中间人攻攻击）9.2.3网络欺欺骗IP地址欺骗的的实现方式式基本地址变变化（IP盗用）：采用网络络配置工具具，或者在在UNIX平台下用IPCONFIG实现本机IP地址的改变变。通过编编程在发送送的IP包首部填入入欺骗地址址。（RawSocket，Winpcap）使用源站选选路截取数数据包：攻击者插插入到正常常情况下流流量经过的的地方。（（网络嗅探探）利用主机信信任关系：UNIX操作系统中中的信任关关系使用IP地址进行验验证。2022/12/28259.2.3网络欺欺骗TCP会话劫持定义：在一次正正常的会话话过程当中中，攻击者者作为第三三方参与到到其中，他他可以在正正常数据包包中插入恶恶意数据，，也可以在在双方的会会话当中进进行监听，，甚至可以以是代替某某一方主机机接管会话话。分类：被动劫持、主动劫持。被动劫持：在后台监监视双方会会话的数据据流，从中中获得敏感感数据。主动劫持：将会话当当中的某一一台主机““踢”下线线，然后由由攻击者取取代并接管管会话。2022/12/28269.2.3网络欺欺骗TCP会话劫持中间人攻击击：相当于会会话双方之之间的透明明代理。注射式攻击击：在双方正正常的通信信流插入恶恶意数据，，而不改变变会话双方方的通信流流。关键技技术：IP欺骗、预测TCP序列号。2022/12/28279.2.3网网络络欺欺骗骗Web欺骗骗相似似域域名名：注注册册一一个个与与目目标标公公司司或或组组织织相相似似的的域域名名，，然然后后建建立立一一个个欺欺骗骗网网站站，，骗骗取取该该公公司司用用户户的的信信任任，，以以便便获获取取这这些些用用户户的的敏敏感感信信息息。。（（网络络钓钓鱼鱼）改写写URL：当当用用户户浏浏览览页页面面时时，，攻攻击击者者截截获获该该页页面面请请求求的的HTTP消息息，，并并将将其其中中的的URL改写写成成预预设设网网络络的的恶恶意意URL，以以达达到到骗骗取取用用户户的的目目的的。。2022/12/28289.2.3网网络络欺欺骗骗邮件件欺欺骗骗使用用相相似似的的电电子子邮邮件件地地址址修改改邮邮件件客客户户软软件件的的账账号号配配置置直接接连连到到SMTP服务务器器上上发发送送邮邮件件2022/12/28299.2.4拒拒绝绝服服务务攻攻击击含义义攻击击者者想想办办法法让让目目标标机机器器停停止止提提供供服服务务。。分类类导致致异异常常型型：通通常常利利用用软软硬硬件件实实现现上上的的编编程程缺缺陷陷，，导导致致其其出出现现异异常常，，从从而而使使其其拒拒绝绝服服务务。。如如：：死亡亡之之PING(PingofDeath)、IP碎片片攻攻击击(Teardrop)。资源源耗耗尽尽型型：通通过过大大量量消消耗耗资资源源使使得得攻攻击击目目标标由由于于资资源源耗耗尽尽不不能能提提供供正正常常的的服服务务。。如如：：SYN洪泛泛攻攻击击(SYNfloodattacks)、UDP洪泛泛攻攻击击、、Land攻击击、、邮邮件件炸炸弹弹、、Smurf攻击击分布布式式拒拒绝绝服服务务攻攻击击（资资源源耗耗尽尽型型））2022/12/28309.2.4拒拒绝服务攻攻击案例：Smurf攻击2022/12/28319.2.4拒拒绝服务攻攻击分布式拒绝服服务攻击组成部分：攻攻击者、主控控端和代理端端。2022/12/28329.2.5数数据驱动攻攻击定义通过向某个程程序发送数据据，以产生非非预期结果的的攻击，通常常为攻击者给给出访问目标标系统的权限限。分类缓冲区溢出攻攻击：通过往程序序的缓冲区写写入超出其边边界的内容，，造成缓冲区区的溢出，使使程序跳转到到攻击者指定定的代码（通通常是为攻击击者打开远程程连接的ShellCode），从而达到到攻击的目的的。格式化字符串串攻击：利用由于格格式化函数的的微妙错误造造成的安全漏漏洞，通过传传递精心编制制的含有格式式化指令的文文本字符串，，使目标程序序执行任意命命令。2022/12/28339.2.5数数据驱驱动攻攻击分类（（续））输入验验证攻攻击：针对对程序序未能能对输输入进进行有有效的的验证证的安安全漏漏洞，，使得得攻击击者能能够让让程序序执行行指定定的命命令。。同步漏漏洞攻攻击：利用用程序序在处处理同同步操操作时时的缺缺陷，，如竞竞争状状态、、信号号处理理等问问题，，以获获取更更高权权限的的访问问。信任漏漏洞攻攻击：利用用程序序滥设设的信信任关关系来来获取取访问问权限限。2022/12/28349.3网网络防防御技技术9.3.1防火墙墙技术术9.3.2入侵检检测技技术9.3.3VPN技术2022/12/28359.3.1防火墙墙技术术概念在可信任任的内部网网络与不可信信任的的外部网网络之间建建立的的一道道安全全屏障障，通通过控控制网网络信信息流流保护内内部网网免受受外部部非法法用户户的侵侵入。分类包过滤滤防火火墙：网络络层状态检检测防防火墙墙：传输输层应用代代理：应用用层电路网网关：会话话层2022/12/28369.3.1防防火墙墙技术术包过滤滤防火火墙原理：根据据数据据包的的IP首部信信息，，如源源目地地址、、源目目端口口、协协议类类型等等，决决定是是否放放行。。依据：过滤规规则集集特点：速度度快、、与应应用无无关、、安全全性差差。2022/12/28379.3.1防防火墙墙技术术状态检检测防防火墙墙原理：：根据据数据据包的的传输输层首首部信信息，，判断断该包包是否否遵从从TCP连接的的状态态变迁迁过程程，从从而决决定是是否放放行。。依据：：TCP状态机机。特点：：和包包过滤滤相比比，速速度较较慢、、安全全性较较好。。2022/12/28389.3.1防火墙墙技术应用代理特点：安全、速速度慢2022/12/28399.3.2入侵检检测技术概念(IDS:IntrusionDetectionSystem)从计算机网网络或系统统中的若干干关键点收收集信息并并进行分析析，从而发发现网络或或系统中违违反安全策策略的行为为和遭受攻攻击的迹象象。方法误用检测(MisuseDetection)异常检测(AnomalyDetection)分类基于网络的的入侵检测测系统基于主机的的入侵检测测系统2022/12/28409.3.2入侵检检测技术入侵检测方方法误用检测(MisuseDetection)：特征检测，假设入侵侵者活动可可以用一种种模式来表表示，系统统的目标是是检测主体体活动是否否符合这些些模式。异常检测(AnomalyDetection)：假设入侵侵者活动异异常于正常常主体的活活动。将当当前主体的的活动状况况与主体正正常活动的的“活动简简档”相比比较，当违违反其统计计规律时，，认为该活活动可能是是“入侵””行为。2022/12/28419.3.2入侵检检测技术基于主机的的入侵检测测系统(HIDS)原理：安装在被被重点检测测的主机之之上，主要要是对该主主机的网络络实时连接接以及系统统审计日志志进行智能能分析和判判断。优点：性价比高高、能够检检测到基于于网络的入入侵检测系系统NIDS发现不了的的攻击、适适用于采用用数据加密密和交换式式连接的子子网环境、、不需增加加额外的硬硬件设备。。2022/12/28429.3.2入侵检检测技术基于网络的的入侵检测测系统(NIDS)原理：部署在重重要网段内内，不停地地监视网段段中的数据据包流，一一旦发现入入侵立刻发发出警报，，甚至直接接切断网络络连接。优点：检测速度度快、覆盖盖面广、隐隐蔽性好、、监测点少少、不易转转移证据、、与操作系系统无关、、不影响正正常网络通通信、不占占用业务系系统的资源源。2022/12/28439.3.2入侵检测测技术CIDF入侵检测测通用模模型2022/12/28449.3.2入侵检测测技术CIDF模型组成成部分事件产生生器：从整个个环境中中捕获事事件信息息，并向向系统的的其他组组成部分分提供该该事件数数据。事件分析析器：分析得得到的事事件数据据，并产产生分析析结果。。响应单元元：对分析析结果做做出反应应的功能能单元，，如报警警、切断断连接、、改变文文件属性性等。事件数据据库：存放各各种中间间和最终终数据的的地方，，用于指指导事件件的分析析及反应应。2022/12/28459.3.3VPN技技术概念虚拟专用用网VPN(VirtualPrivateNetwork)是在公用网网络上建建立专用用网络的的技术。。虚拟网：整个VPN网络的任任意两个个节点之之间的连连接并没没有传统统专网所所需的端端到端的的物理链链路，而而是架构构在公用用网络平平台(Internet)之上的逻逻辑网络络，用户户数据在在逻辑链链路中传传输。通常用于于大型组组织跨地地域的各各个机构构之间的的联网信信息交换换，或是是流动工工作人员员与总部部之间的的通信。。2022/12/28469.3.3VPN技术分类远程接入入VPN（AccessVPN）：客户户端到网网关，远远程用户户或移动动雇员连连接到公公司内部部网的VPN。内联网VPN（IntranetVPN）：网关关到网关关，公司司远程分分支机构构网络连连接到公公司总部部网络的的VPN。外联网VPN（ExtranetVPN）：供应应商、商商业合作作伙伴的的网络连连接到公公司网络络的VPN。2022/12/28479.3.3VPN技术VPN关键技术术隧道技术术：利用一一种协议议传输另另一种协协议的技技术。具具体方法法：将一一种协议议的数据据包封装装到另一一种协议议中进行行传输。。（数据链路路层和网络层）加解密技技术：可以在在协议栈栈的任意意层进行行。密钥管理理技术：主要任任务是如如何在公公用数据据网上安安全地传传递密钥钥而不被被窃取。。身份认证证技术：严格控控制只有有授权用用户才能能访问。。最常用用的是使使用者名名称与密密码或卡卡片式认认证等方方式。2022/12/28489.3.3VPN技术第2层隧道协议概念：对应于数据链路层，以点对点协议PPP为基础，如PPTP、L2TP。点到点隧道协协议PPTP：将PPP（点到点协议议）帧封装成成IP数据包，以便便能够在基于于IP的互联网上进进行传输。L2TP：PPTP与L2F（第二层转发发）的一种综综合。特点：协议简单，，易于加密，，适合远程拨拨号用户。2022/12/2849第3层隧道道协议议概念：对应应于网络层层，IPinIP，如IPSec。IPSec协议：是在在隧道道外面面再封封装，，保证证了在在传输输过程程中的的安全全。IPSec的主要要特征征在于于它可可以对对所有有IP级的通通信进进行加加密。。特点：可靠靠性及及扩展展性优优于第第2层隧道道，但但没那那么简简单直直接。。2022/12/2850课程结结束！！谢谢大大家！！2022/12/28519、静静夜夜四四无无邻邻，，荒荒居居旧旧业业贫贫。。。。12月月-2212月月-22Wednesday,December28,202210、雨中黄黄叶树，，灯下白白头人。。。20:28:2820:28:2820:2812/28/20228:28:28PM11、以我独沈久久，愧君相见见频。。12月-2220:28:2820:28Dec-2228-Dec-2212、故人江海别别，几度隔山山川。。20:28:2820:28:2820:28Wednesday,December28,202213、乍见翻疑疑梦，相悲悲各问年。。。12月-2212月-2220:28:2820:28:28December28,202214、他乡生白发发，旧国见青青山。。28十二月月20228:28:28下午20:28:2812月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月228:28下下午午12月月-2220:28December28,202216、行动动出成成果，，工作作出财财富。。。2022/12/2820:28:2820:28:2828December202217、做前，，能够环环视四周周；做时时，你只只能或者者最好沿沿着以脚脚为起点点的射线线向前。。。8:28:28下午午8:28下午午20:28:2812月-229、没有失失败，只只有暂时时停止成成功！。。12月-2212月-22Wednesday,December28,202210、很多事事情努力力了未必必有结果果，但是是不努力力却什么么改变也也没有。。。20:28:2820:28:2820:2812/28/20228:28:28PM11、成成功功就就是是日日复复一一日日那那一一点点点点小小小小努努力力的的积积累累。。。。12月月-2220:28:2820:28Dec-2228-Dec-2212、世世间间成成事事，，不不求求其其绝绝对对圆圆满满，，留留一一份份不不足足，，可可得得无无限限完完美美。。。。20:28:2820:28:2820:28Wednesday,December28,202213、不知知香积积寺，，数里里入云云峰。。。12月月-2212月月-2220:28:2820:28:28December28,2022