《计算机网络安全》 网络攻击和防御安全

?计算机网络平安?-06网络攻击和防御平安核心技术配置360防火墙，防御网络攻击平安目录学习目标网络攻击过程介绍网络攻击应对策略介绍查看本机开放端口效劳平安知识关闭本机开放端口，禁止入侵检测

2、特洛伊木马攻击特洛伊木马程序能直接侵入用户的计算机并进行破坏，木马程序常被伪装成工具程序或游戏等，诱使用户翻开带有特洛伊木马程序的邮件附件，或从网上直接下载了携带病毒程序。6.2常见的网络攻击

3、WWW欺骗攻击在互联网上，用户能利用IE浏览器等进行各种各样WEB站点访问，如阅读新闻、在线交流、电子商务等。6.2常见的网络攻击

4、电子邮件攻击电子邮件是互联网上应用范围最为广泛的应用之一。网络上的攻击者能使用一些邮件炸弹软件，或CGI程序，向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，更有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。相对于其他的攻击手段来说，这种攻击方法具有简单、见效快等好处。6.2常见的网络攻击

5、网络监听攻击网络监听是连接在网络中的一种主机工作模式。在这种模式下，主机能接收到本网段上，在同一条物理通道上所有计算机传输的所有信息，而不管这些信息的发送方和接收方是谁。6.2常见的网络攻击

6、黑客软件攻击利用黑客软件攻击是互联网上比较多的一种攻击手法，如BackOrifice2000、冰河等都是比较著名的特洛伊木马，它们能非法地取得用户计算机的终极用户级权利，能对其进行完全的控制，除了能进行文件操作外，同时也能进行对方桌面抓图、取得密码等操作。6.2常见的网络攻击

7、端口扫描攻击所谓端口扫描，就是利用Socket编程和目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些效劳、提供的效劳中是否含有某些缺陷等等。6.2常见的网络攻击

8、拒绝效劳攻击拒绝效劳攻击(DoS)是一种针对TCP/IP协议漏洞的一种网络攻击手段，其原理是利用DoS工具向目标主机发送海量的数据包，消耗网络的带宽和目标主机的资源，造成目标主机网段阻塞，致使网络或系统负荷过载而停止向用户提供效劳。常见的拒绝效劳攻击方法有SYNFlood攻击、Smurf、UDP洪水、Land攻击、死亡之Ping、电子邮件炸弹等。6.2常见的网络攻击

9、缓冲区溢出攻击简单地说，缓冲区溢出的原因是：向一个有限的缓冲区，复制了超长的字符串，结果覆盖了相邻的存储单元。这种覆盖往往会导致程序运行的失败，甚至是死机或是系统的重启。黑客就是利用这样的漏洞，可以执行任意的指令，掌握系统的操作权。6.2常见的网络攻击

10、欺骗类攻击欺骗类攻击主要是利用TCP/IP协议自身的缺陷发动攻击。在网络中，如果使用伪装的身份和地址与被攻击的主机进行通信，向其发送假报文，往往会导致主机出现错误操作，甚至对攻击主机做出信任判断。这时，攻击者可冒充被信任的主机进入系统，并有时机预留后门供以后使用。6.2常见的网络攻击

11、程序错误攻击在网络的主机中，存在着许多效劳程序错误和网络协议错误。换句话说就是，效劳程序和网络协议无法处理所有的网络通信中所面临的问题。人们利用这些错误，成心向主机发送一些错误的数据包，如图所示。6.2常见的网络攻击

12、后门攻击通常，网络攻击者在获得一台主机的控制权后，会在主机上建立后门，以便下一次入侵时使用。后门的种类很多，有登陆后门、效劳后门、库后门、口令破解后门等，这些后门多数存在于Unix系统中。6.2常见的网络攻击

1、网络攻击的类型常见的网络攻击过程分为以下三种类型，主要有：远程攻击指外部攻击者通过各种手段，从子网以外地方向子网，或者该子网内系统发动攻击。本地攻击指本单位的内部人员，通过所在的局域网，向本单位的其他系统发动攻击，在本级上进行非法越权访问。伪远程攻击指内部人员为了掩盖攻击者的身份，从本地获取目标的一些必要信息后，攻击过程从外部远程发起，造成外部入侵的现象。6.3网络攻击过程

2、网络攻击的过程网络攻击的过程通常分为以下几个环节：第一步：隐藏己方位置普通攻击者都会利用别人的计算机，隐藏他们真实的IP地址。老练的攻击者还会利用800的无人转接效劳联接ISP，然后再盗用他人的帐号上网。第二步：寻找并分析攻击者首先要寻找目标主机，并分析目标主机。在Internet上能真正标识主机的是IP地址，域名是为了便于记忆主机的IP地址而另起的名字，只要利用域名和IP地址就能顺利地找到目标主机。6.3网络攻击过程

第三步：帐号和密码攻击者要想入侵一台主机，首先要该获取主机的一个帐号和密码，否那么连登录都无法进行。这样常迫使他们先设法盗窃帐户文件，进行破解，从中获取某用户的帐户和口令，再寻觅适宜时机以此身份进入主机。当然，利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。第四步：获得控制权攻击者们用FTP、Telnet等工具利用系统漏洞，进入进入目标主机系统，获得控制权之后，就会做两件事：去除记录和留下后门。6.3网络攻击过程

第五步：资源和特权攻击者找到攻击目标后，会继续下一步的攻击，窃取网络资源和特权。如：下载敏感信息；实施窃取帐号密码、信用卡号等经济偷窃；使网络瘫痪。6.3网络攻击过程

3、Dos攻击分析Dos攻击是网络攻击中常见的，也是危害比较大的一种，其攻击的手法多样。在拒绝效劳攻击中，利用Windows操作系统中的RPC效劳漏洞，进行攻击是一种常见的拒绝效劳攻击。漏洞存在于Windows系统的DCE-RPC堆栈中，远程攻击者可以连接TCP135端口，向其发送畸形数据，可导致RPC效劳的关闭，进而引起系统停止对新的RPC请求进行响应，产生拒绝效劳。6.3网络攻击过程

(1)不要随意翻开来历不明的电子邮件及文件，不要随便运行陌生用户的程序，比方“特洛伊〞类黑客程序就需要骗用户运行。(2)尽量防止从Internet下载不知名的软件、游戏程序。即使从知名的网站下载的软件，也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。(3)密码设置尽可能使用字母数字混排，单纯的英文或数字非常容易穷举。将常用的密码设置不同，防止被人查出一个，连带到重要密码。重要密码最正确经常更换。(4)及时下载安装系统补丁程序。(5)不随便运行黑客程序，不少这类程序运行时会发出用户的个人信息。(6)在支持HTML的BBS上，如发现提交警告，先看原始码，非常可能是骗取密码的陷阱。6.4网络攻击应对策略

1、什么是端口计算机“端口〞是英文port的意译，可以认为是计算机与网络中其它设备通信交流的出口。在互联网上，各台主机之间通过TCP/TP协议，发送和接收数据信息，按照目标主机的IP地址，数据能被准确传输目的地。由于接受计算机的操作系统支持多任务工作方式，每台计算机上可能有多个软件程序〔进程〕在同时运行：如使用IE浏览器软件在访问网页、QQ软件在聊天、迅雷软件在下载电影、Outlook软件在收发邮件等…6.5查看本机开放端口效劳平安

2、端口的作用知名端口即众所周知的端口号，范围从0到1023，由IANA统一分配。这些端口号一般固定分配给一些效劳，且在大多数系统中，只能由系统〔或根〕进程或特权用户执行的程序使用。比方21端口分配给FTP效劳，25端口分配给SMTP〔简单邮件传输协议〕效劳，80端口分配给HTTP效劳，135端口分配给RPC〔远程过程调用〕效劳等等。6.5查看本机开放端口效劳平安

6.5查看本机开放端口效劳平安

3、端口入侵门户有人曾经把计算机比作房子，而把端口比作成通向不同房间〔效劳〕的门。来自网络中的入侵者〔黑客〕要占领这间房子，势必要破门而入〔物理入侵〕。那么对于入侵者来说，了解房子开了几扇门，都是什么样的门，门后面有什么东西就显得至关重要。网络入侵者通常会用扫描器软件，对目标主机的端口进行扫描，以确定哪些端口是开放的〔门户大开〕。从开放的端口，入侵者可以知道目标计算机大致提供了哪些效劳，进而猜测可能存在的漏洞。6.5查看本机开放端口效劳平安

4、查看本机端口微软的Windows操作系统提供的端口查看Netstat命令是DOS环境下的控制台命令，该命令可以帮助用户方便地查看本机端口的使用状态，监控网络效劳的运行状态。通过Netstat命令，可以显示当前网络的路由表、实际的网络连接，以及每一个网络接口设备的状态信息，如图所示。6.5查看本机开放端口效劳平安

5、使用Netstat命令，监控本机端口状态网络中的黑客入侵网络时，一般都是首先利用端口扫描工具，搜集目标网络和目标主机的端口信息，进而发现目标计算机系统的脆弱点，然后根据脆弱点展开攻击。网络平安管理人员平时，多使用网络端口扫描工具，监控网络效劳状态，及时发现网络系统的漏洞，并采取相应的补救措施，免受入侵者的攻击。6.5查看本机开放端口效劳平安

6、启动“任务管理器〞，监控本机端口状态按键盘上“Ctrl+Alt+Del〞快捷组合键，可以启动“任务管理器〞程序；此外还可以通过鼠标右键点击任务栏，在翻开的快捷菜单中选择“任务管理器〞方式，同样可以翻开“Windows任务管理器〞界面，显示正在运行的“应用程序〞、相关开启任务的“进程〞等……操作显示的结果如下图。6.5查看本机开放端口效劳平安

6、启动“任务管理器〞，监控本机端口状态

6.5查看本机开放端口效劳平安

6、启动“任务管理器〞，监控本机端口状态

6.5查看本机开放端口效劳平安

1、什么是远程登录计算机操作系统都提供多任务工作模式，在同一时间内，允许多个用户同时使用一台计算机。但为了保证系统的平安，系统要求每个用户，使用单独帐号作为登录标识，使用口令作为登录权限，这个过程被称为“登录〞。6.6了解本机开放端口

2、远程登录平安问题通过互联网进行远程登录Telnet程序，本身没有很好的保护机制。在互联网中，通过远程登录Telnet方式登录设备过程，主要面临的主要平安问题是没有口令保护。远程登录的用户在登录过程中，通过网络传送的帐号和密码，在互联网上传输过程中，都是明文传输，使用普通的Sniffer数据包捕获器软件都可以被截获，因此没有很好的平安性，所以要借助其他外部的保护，才能确保远程登录的平安。6.6了解本机开放端口

3、远程非法入侵的方式网络中的黑客在入侵网络时，一般首先都利用端口扫描工具，搜集目标计算机所在的网络和目标计算机的端口信息，进而发现目标系统的脆弱点。然后，根据脆弱点展开攻击；或者采用远程登录工具，不断尝试和远程主机连接，探测远程登录远程主机的账户和密码，侵入网络中的主机系统。6.6了解本机开放端口

4、常用开放端口平安漏洞相信很多使用微软的Windows操作系统的用户都中过“冲击波〞病毒，该病毒就是利用远程过程，调用协议RPC〔它是一种通过网络从远程计算机程序上请求效劳〕协议的漏洞，来攻击网络中的计算机。Windows操作系统提供RPC效劳，本身在处理通过互联网通信TCP/IP的消息交换时，存在局部平安漏洞，该漏洞是由于错误地处理格式不正确的消息造成的，也是Windows操作系统设计过程中BUG。6.6了解本机开放端口

5、远程非法入侵开放端口默认情况下，Windows操作系统的大局部标准端口都是对互联网上所有的用户开放，以帮助用户最大程度地体验互联网资源。但在使用互联网络的过程中，网络病毒程序以及黑客常常通过这些开放的端口，尝试连上网络中的用户计算机，侵入用户的计算机系统。为了让网络中的用户计算机系统变成铜墙铁壁，应该封闭这些常用的开放端口。Windows操作系统上容易形成漏洞的端口主要有：提供TCP效劳的135、139、445、593、1025端口和提供UDP效劳的135、137、138、445端口，一些流行病毒的后门端口〔如TCP2745、3127、6129端口〕，以及远程效劳访问端口3389等。6.6了解本机开放端口

默认情况下，微软的Windows操作系统中有很多默认的标准端口，都对互联网上的用户开放，因此在使用网络的的时候，网络病毒和黑客就有可能通过这些端口侵入计算机。为了保证网络中重要的计算机系统平安，应该封闭这些开放的、不常用的端口，主要有：TCP135、139、445、593、1025端口，UDP135、137、138、445端口。通过实施如下步骤内容，查看本地的平安策略。6.7采用IP平安策略，关闭本机开放端口

第一步：启动电脑的“本地平安策略〞点击电脑系统的“开始〞菜单，依次选择：“开始〞->“控制面板〞->“管理工具〞，翻开系统的“管理工具〞窗口，双击翻开“本地平安策略〞制订窗口，如下图。6.7采用IP平安策略，关闭本机开放端口

第二步：创立“新IP平安策略〞名称在“本地平安策略〞窗口中，选中左侧“平安设置〞列表栏中的“IP平安策略。在本地计算机〞选项；再在右栏的空白处，右击鼠标，选中快捷菜单中选择“创立IP平安策略…〞，启动“IP平安策略向导〞，如图所示。6.7采用IP平安策略，关闭本机开放端口

首先，把“激活默认响应规那么〞复选框钩选掉；再点击“完成〞按钮，创立完成一个新的“封闭开放端口平安策略〞的IP平安策略，如图所示。6.7采用IP平安策略，关闭本机开放端口

第三步：添加新的规那么返回图6-25所示“本地平安策略〞窗口，选中新创立“封闭开放端口平安策略〞，右击翻开快捷菜单，选择“属性〞菜单，编辑“封闭开放端口平安策略〞新IP平安策略属性。首先，把右下角“使用添加向导〞复选框钩选去掉，再单击“添加〞按钮，添加新的规那么的属性，如图所示。6.7采用IP平安策略，关闭本机开放端口

其次，在弹出“新规那么属性〞对话框中，点击“添加…〞按钮，弹出“新IP筛选器列表〞窗口，如图所示。6.7采用IP平安策略，关闭本机开放端口

在“IP筛选器列表〞对话框中，首先，把“使用添加向导〞左边的钩选去掉；再修改名称为“屏蔽TCP-135〞〔也可使用默认名称〕；最后，点击“添加〞按钮，添加新的筛选器，如图所示。6.7采用IP平安策略，关闭本机开放端口

最后，进入“筛选器属性〞对话框中进行如下配置：通过以上操作过程，翻开“IP筛选器列表〞对话框后，添加新的“IP筛选器列表〞。1〕、选择“地址〞选项框，在“源地址〞的下拉列表框中，选“任何IP地址〞；在“目标地址〞下拉列表框中，选中“我的IP地址〞，如图所示。6.7采用IP平安策略，关闭本机开放端口

2〕、首先，选择“协议〞选项框，在“选择协议类型〞的下拉列表中，选择“TCP〞；然后，设置IP协议端口：分别勾选“从任意端口〞、“到此端口〞单项选择框；最后，在“到此端口〞选项的文本框中，输入“135〞端口号，如图所示，最后点击“确定〞按钮，返回。6.7采用IP平安策略，关闭本机开放端口

通过以上步骤，就在本机上添加了一个“屏蔽TCP135〔RPC〕端口〞的IP筛选器，它可以防止外界计算机，通过本机上135端口连上个人计算机，如图所示。6.7采用IP平安策略，关闭本机开放端口

最后，点击“确定〞后，回到“IP筛选器列表〞的对话框，可以看到之前如图显示的“新规那么属性〞对话框。其中，在“IP筛选器列表〞的列表框中“新规那么属性〞空白处，已经添加了一条策略，如图所示。6.7采用IP平安策略，关闭本机开放端口

第四步：激活新添加IP平安策略在图所示的“新规那么属性〞对话框，进行如下配置，激活新添加平安规那么。6.7采用IP平安策略，关闭本机开放端口

最后，返回如图所示“封闭开放端口平安策略属性〞对话框。查看在“封闭开放端口平安策略属性〞对话框，通过以上步骤的操作，在“IP平安规那么〞栏，钩选中新增加“屏蔽TCP-135〞IP新筛选器操作项，按“应用〞按钮启用。最后，按“确定〞按钮，关闭对话框，如图所示。6.7采用IP平安策略，关闭本机开放端口

第五步：指派新添加的平安规那么返回到如图所示“本地平安策略〞窗口。在左侧的平安设置栏中，选择“IP平安策略，在本地计算机〞选项，在该选项右边窗格中，用鼠标右击“封闭开放端口平安策略〞项，在弹出快捷菜单中，选择“分配〞菜单，即完成新添加平安规那么“指派〞操作，如下图。6.7采用IP平安策略，关闭本机开放端口

Windows操作系统的135端口在系统默认的五个典型开放端口中，用途最为复杂，也最容易引起来自外部的攻击。该端口对应的RPC效劳，是Windows操作系统使用的一个远程过程调用协议。RPC提供了一种进程间的通信机制，通过这一机制，允许在某台计算机上运行的程序，顺畅地在远程系统上执行代码。攻击者利用该漏洞，在受影响系统上，以本地系统权限，运行代码，执行任何操作。包括：安装程序，查看、更改或者删除数据，或者建立系统管理员权限的账户。防止这种危险的最好方法是关闭RPC效劳。6.8关闭RPC效劳，防范来自135端口攻击

操作的步骤如下：第一步：在“控制面板〞中的“管理工具〞中，选择“效劳〞，翻开“效劳〞窗口，如图所示。6.8关闭RPC效劳，防范来自135端口攻击

第二步：在“效劳〞窗口中，翻开“RemoteProcedureCall属性〞对话框，在属性对话框中可以看到，这时的效劳状态为“已启动〞，如图所示。6.8关闭RPC效劳，防范来自135端口攻击

第二步：在“效劳〞窗口中，翻开“RemoteProcedureCall属性〞对话框，在属性对话框中可以看到，这时的效劳状态为“已启动〞，如图所示。6.8关闭RPC效劳，防范来自135端口攻击

单击“效劳状态〞下面的“停止〞按钮禁用该效劳。然后单击“确定〞，保存设置后，重新启动电脑，RPC就不再运行，如下图。6.8关闭RPC效劳，防范来自135端口攻击

1、什么是ARP当在浏览器里面输入访问的网络字符地址时，如：，网络中的DNS效劳器会自动把输入的字符地址，解析为网络中的IP地址，浏览器通过查找IP地址，而不是输入的字符网址访问互联网。然后，再根据IP地址寻找在所在网络中的具体设备，也即寻找具体计算机设备的硬件地址。6.9了解ARP攻击根底知识

2、什么是ARP欺骗在局域网中，黑客通过收到的ARPRequest播送包，能够偷听到其它节点的(IP，MAC)地址。黑客就伪装为A计算机，告诉B计算机(受害者)一个假地址，使得B计算机在发送给A计算机的数据包都被黑客截取，而A、B计算机都浑然不知，如图所示。6.9了解ARP攻击根底知识

3、什么是ARP攻击ARP攻击就是：通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量，使网络阻塞。攻击者只要持续不断的发出伪造的ARP响应包，就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。6.9了解ARP攻击根底知识

1、什么是防火墙防火墙是一个位于内部网络与Internet之间的网络平安系统，是按照一定的平安策略，建立起来硬件和(或)软件有机组成体，以防止黑客攻击，保护内部网络平安运行。网络防火墙通过对计算机网络通信请求以及传输的数据进行监控，阻止有可能对计算机造成威胁的访问，有效防止黑客的入侵或者其它病毒的攻击。防火墙只允许经过用户许可的网络通讯进行传输，而阻断其它任何形式的网络访问。6.10使用防火墙，防御网络攻击

1、什么是防火墙软件防火墙单独使用软件系统来完成防火墙功能，将软件部署在系统主机上，其平安性较硬件防火墙差，同时占用系统资源，在一定程度上影响系统性能。一般安装在个人计算机上，主要保护个人计算机系统平安，如图所示为保护个人计算机系统的软件防火墙。6.10使用防火墙，防御网络攻击

2、什么是系统防火墙微软的操作系统软件从WindowsXP操作系统开始，就自带防火墙系统。这些操作系统自带的防火墙系统，是一项协助计算机系统正常工作，确保计算机上信息系统平安的软件程序。系统防火墙也和硬件防火墙设备或者防火墙软件程序一样，能依照特定的规那么，开放或者封闭相关的端口，允许或是限制传输的数据通过。6.10使用防火墙，防御网络攻击

3、配置Windows系统防火墙在日常使用计算机的过程中，为了节省系统运行压力，在确认网络平安保障的情况下，可以通过关闭系统防火墙配置，来提高电脑的运行速度。此外，在局域网的测试环境中，需要使用Ping命令，测试和对方计算机网络连接的连通状况，也需要关闭系统防火墙。因为系统防火墙为保护系统平安需要，会屏蔽Ping命令探测网络端口。6.10使用防火