第12章网络信息安全

第十二章网络信息安全12.1网络信息安全简介12.2网络中存在的威胁12.3常见的攻击类型12.4防火墙技术12.5入侵检测系统12.1网络信息安全简介网络信息安全主要是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。5大特征：1.完整性2.保密性3.可用性4.不可否认性5.可控性12.2网络中存在的威胁4个安全目标的威胁：1.信息泄露2.完整性破坏3.服务拒绝4.未授权访问12.3常见的攻击类型

对目标计算机进行端口扫描，能得到许多有用的信息从而发现系统的安全漏洞。通过其可以使系统用户了解系统目前向外界提供了哪些服务，从而为系统用户管理网络提供了一种参考的手段。1.全连接扫描2.半连接(SYN)扫描12.3.1端口扫描12.3常见的攻击类型

拒绝服务，利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。DoS按照利用漏洞产生的来源来分，可以分为如下几类：1.利用软件实现的缺陷2.利用协议的漏洞3.资源消耗12.3.2DoS和DDoS攻击12.3常见的攻击类型

木马入侵的主要途径先通过一定的方法把木马执行文件弄到被攻击者的计算机系统里，利用的途径有邮件附件、下载软件中等手段，然后通过一定的提示故意误导被攻击者打开执行文件。特性：隐蔽性、自动运行性、自动恢复功能、自动打开特别的端口、功能的特殊性12.3.3特洛伊木马(Trojan)12.3常见的攻击类型

木马的种类：1.破坏型2.密码发送型3.远程访问型4.键盘记录木马5.DoS攻击木马12.3.3特洛伊木马(Trojan)6.代理木马7.FTP木马8.程序杀手木马9.反弹端口型木马12.3常见的攻击类型

被感染后的紧急措施：(1)所有的账号和密码都要马上更改，例如拨号连接，ICQ，FTP，个人站点，免费邮箱等，凡是需要密码的地方，都要把密码尽快改过来。(2)删掉所有硬盘上原来没有的东西(3)更新杀毒软件检查一次硬盘上是否有病毒存在。12.3.3特洛伊木马(Trojan)12.4防火墙技术它是一种计算机硬防火墙件和软件的结合，使Internet与Intranet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入。防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信均要经过此防火墙。12.4.1防火墙的概念及作用12.4防火墙技术1．网络级防火墙应用级网关电路级网关规则检查防火墙12.4.2防火墙的种类12.4防火墙技术Netfilter/iptables包含在Linux2.4以后的内核中，可以实现防火墙、NAT（网络地址翻译）和数据包的分割等功能。提供如下3项功能：包过滤、NAT、数据报处理12.4.3使用Netfilter/iptables防火墙框架12.4防火墙技术安装源代码包：#yum–yinstalliptables启动防火墙：#serviceiptablesstart12.4.3使用Netfilter/iptables防火墙框架12.5入侵检测系统（IDS）对入侵行为的发觉，其通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象分类：基于主机的入侵检测系统、基于网络的入侵检测系统、两种数据源的分布式入侵检测系统12.5.1入侵检测系统简介12.5入侵检测系统（IDS）12.5.2Snort简介Snort是一个用C语言编写的开源代码软件，Snort实际上是一个基于libpcap的网络数据包嗅探器和日志记录工具，可以用于入侵检测。特点：轻量级的网络入侵检测系统可移植性好功能非常强大扩展性较好12.5入侵检测系统（IDS）12.5.2Snort简介Snort由三个重要的子系统构成：1、数据包解码器2、检测引擎3、日志和报警子系统12.5入侵检测系统（IDS）12.5.3Snort安装1.下载软件，然后使用如下步骤安装snort。/configuremakemakeinstall2.使用命令#yuminstallsnort直接进行安装。12.5入侵检测系统（IDS）12.5.4Snort命令简介Snort命令行格式如下所示：snort-[options]<filters>12.5入侵检测系统（IDS）12.5.5Snort工作模式snort有三种工作模式：1.嗅探器；2.数据包记录器；3.网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。12.5入侵检测系统（IDS）12.5.5配置Snort的输出方式在默认的情况下，Snort以ASCII格式记录日志，使用full报警机制，Snort会在报头之后打印包头之后打印报警消息。如果不需要日志包，可以使用-N选项。Snort有6种报警机制：full.fast.socket.syslog.smb和none。编号命令行状态注释01Afast报警消息包括：一个时间戳、报警消息、源／目的ip地址和端口02Afull默认的报警方式03Aunsock把报警消息发送到一个UNIX套接字，需要一个程序进行监听，这样可以实现适时的报警04Anone关闭报警机制12.5入侵检测系统（IDS）12.5.7配置Snort规则Snort的每条规则都可以分成逻辑上的两个部分：规则头和规则选项。规则头包括规则动作(rule．action)、协议(protocol)、源／目的IP地址、了网掩码以及源／目的端口。规则选项包含报警消息和异