《网络安全实用教程》配套PPT(人民邮电出版)ch8

第8章

网络的攻击与防护本章有四小节：8.1防火墙安全8.2黑客的攻击与防范8.3网络扫描与监听8.4入侵检测与入侵防护系统8．1防火墙安全8.1.1防火墙概述1.防火墙的基本概念在网络安全领域，防火墙是设置在不同网络（如可信任的企业内部网和不可信的公共网）之间的一组由软、硬件构成的安全设施，如图8.1所示。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制出入网络的信息流，从而有效地控制内部网和外部网之间的信息传输。图8.1防火墙基本功能示意图2.防火墙的功能(1)扫描信息，过滤攻击。(2)关闭不需要的端口。(3)禁止特定端口的流出通信。(4)禁止特殊站点的访问。(5)限制特定用户的通信。3.防火墙的不足(1)网络瓶颈。(2)不能防范不经过防火墙的信息攻击。(3)不能防范病毒的传播。(4)不能防范内部人员的攻击。4．防火墙的特征(1)内部网和外部网之间的所有网络数据流都必须经过防火墙(2)只有符合安全策略的数据才能通过防火墙(3)自身具有非常强的抗攻击力8.1.2防火墙技术1.防火墙的体系结构(1)过滤路由器结构过滤路由器结构是指由具有过滤功能的路由器充当防火墙的结构，如图8.2所示。(2)双宿主机结构双宿主机结构防火墙是指担任防火墙功能的是一台双重宿主（双网卡）主机，如图8.3所示。图8.3双宿主机结构防火墙(3)屏蔽子网结构屏蔽子网结构是指在内外部网之间新增加一个子网DMZ（非军事区），如图8.4所示。图8.4屏蔽子网结构防火墙2.防火墙的技术分类(1)包过滤技术包过滤技术是防火墙最为基本和传统的技术。所谓“包过滤”就是过滤数据包，使符合规则的数据包通过而不符合规则的数据包被拒绝或丢弃。包过滤技术防火墙工作在第三层及三层以下。静态包过滤技术是传统的包过滤技术，它是根据流过防火墙的数据包是否符合防火墙所制定的规则来决定是否允许数据包通过，它所制定的规则只检查数据的协议、源和目标IP地址、源和目标端口。动态包过滤技术是静态包过滤技术的发展，它可以动态地根据实际应用请求自动生成和删除包过滤规则，从而解决静态包过滤制定规则难度大的问题。①包过滤技术的优点：实现简单，对设备要求较低。②包过滤技术的缺点：随着规则的增加，规则库变得越来越大。无法防范外部的IP欺骗。(2)应用级网关应用级网关也叫代理服务器，通过网关复制传输数据，防止在受信任的服务器或客户机与不受信任的主机间建立直接的联系。应用级网关防火墙建立在应用层。(3)电路级网关电路级网关防火墙通过检查握手信息来判断是否合法从而判断是否对信息放行。电路级网关又称为线路级网关，工作在会话层。(4)状态检测技术状态检测防火墙，顾名思义就是要检查数据包的状态变化，它在每一层都会对数据包进行检查，集成了以上几种防火墙的特点，安全性得到了很大的提高。3.防火墙的实现分类(1)基于网络主机的防火墙基于网络主机的防火墙是指将网络中的一台主机安装防火墙软件用以保护受信任的网络（企业网）。(2)基于路由器的防火墙基于路由器的防火墙是指利用路由器的过滤功能来实现防火墙的功能。(3)基于单个主机的防火墙基于单个主机的防火墙是指安装在单一主机上的防火墙软件，它只适合保护单一主机的安全。(4)硬件防火墙硬件防火墙是指用一台专门的硬件产品作为防火墙。在这种产品中，防火墙厂家是将防火墙软件固化在硬件芯片里，用硬件方式实现防火墙的功能。8.1.3防火墙应用实例1．Cisco公司的PIX防火墙Cisco公司成立于1984年，是全球互联网解决方案提供商。CiscoPIX（PrivateInterneteXchange）系列防火墙是业界领先的产品之一，具有很好的安全性和可靠性。(1)CiscoPIX的主要特点①嵌入式的操作系统。②高安全性。③高可靠性。

④强大的远程管理功能。(2)CiscoPIX的基本应用和配置①PIX防火墙的配置连接使用CONSOLE线连接PIX的CONSOLE接口与PC的串口后，通过PC的“超级终端”来配置PIX的性能。根据实际情况选择与计算机相连的端口，如：COM1，再配置端口属性。在端口属性里，要选择“每秒位数”为“9600”，如图8.5所示。图8.5超级终端端口属性配置②PIX防火墙的配置模式非特权模式。CiscoPIX防火墙开启以后进入的第一个工作模式，默认表示为“Pixfirewall>”。在非特权模式下，用户只有很少的查看权限。特权模式。特权模式是CiscoPIX防火墙的第二个工作模式，默认表示为“Pixfirewall#”。在特权模式下，用户可以进行很少的配置和查看。配置模式。配置模式是CiscoPIX防火墙的主要工作模式，大多数的配置命令只有在此模式下才有效，其默认表示为“Pixfirewall(config)#

”。③CiscoPIX的一般配置步骤连接好PIX和PC，设置好PC的超级终端，开启PIX。PIX进入非特权模式，显示Pixfirewall>

。输入命令enable，PIX进入特权模式，显示Pixfirewall#

。

输入命令configureterminal进入配置模式，显示Pixfirewall(config)#。指定内外部网卡名称及安全级别。配置以太接口数据传输状态(速率、通信方式)。配置内外部网卡和DMZ区的接口IP地址。指定DMZ区和外部地址范围。指定要进行NAT转换的内部地址。设置指向DMZ区和外部网的缺省路由。配置静态IP地址映射。保存配置。2．ISASERVER防火墙ISA(InternetSecurityandAcceleration)SERVER是微软公司所出品的企业级防火墙软件。此款防火墙产品不仅具有安全防护性能，而且还具有网络缓存功能。(1)ISASERVER的主要特点①安全性与网络性能兼顾。②提供多项安全选项。③实现服务器的安全发布。④扩展容易。⑤企业版的高级功能。(2)ISASERVER2004的安装第1步：将光盘放入光驱后，执行ISAAutorun.exe文件，在出现的初始界面中，点击“安装ISASERVER2004”，出现如图8.6所示安装向导界面。图8.6ISASERVER2004安装类型界面第2步：选择“安装类型”。建议不熟悉者选择默认选项，即“典型”。第3步：按要求配置内部网、外部网及DMZ区所对应的网卡及地址范围，如图8.7、图8.8所示。接下来的步骤是向导自动安装的过程，不再赘述。图8.7内部网络地址范围配置图8.8网卡IP配置(3)ISASERVER2004的简单配置注意：ISASERVER2004的默认规则是拒绝任何通信；ISASERVER2004所配置的规则具有独立性和顺序性。第1步：单击“程序”→“MicrosoftISASERVER”→“ISA服务器管理”，右击“防火墙策略”，选择“新建”→“访问规则”，如图8.9所示。图8.9新建访问规则第2步：在出现的图8.10所示的“访问规则”框中输入名称，如“允许内部网访问外部网”，单击“下一步”按钮。图8.10为访问规则命名第3步：为所见规则确定操作方式。在出现的图8.11所示界面中，选择“允许”，单击“下一步”按钮。图8.11ISASERVER规则操作第4步：选择规则所采用的协议。如图8.12所示，在“此规则应用到”项选择“所有出站通讯”，再单击“下一步”按钮。图8.12选择规则所使用的协议第5步：选择规则源。在图8.13所示的“访问规则源”界面中点击“添加”按钮，在出现的“添加网络实体”中选择“网络”→“内部”，点击“下一步”按钮，即完成添加。图8.13选择规则源第6步：选择规则目标。在图8.14所示“访问规则目标”界面中点击“添加”按钮，在“添加网络实体”中选择“网络”→“外部”，点击“下一步”按钮，即完成添加。图8.14选择规则目标第7步：选择规则所适用的用户。在图8.15用户集界面中点击“添加”按钮，选择“所有用户”，单击“下一步”按钮。图8.15选择规则所适用的用户第8步：在确认规则配置无误后，在出现的图8.16界面中点击“完成”按钮。至此，规则建立完成。图8.16新建规则向导信息提示8．2黑客的攻击与防范8.2.1黑客与网络攻击1．黑客攻击的手段和工具黑客常用的攻击手段有获取用户口令、放置木马程序、电子邮件攻击、网络监听、利用账号进行攻击、获取超级用户权限等。黑客攻击系统通常使用的工具有扫描器、嗅探器、木马和炸弹等。2．黑客攻击的过程(1)确定攻击目的。(2)收集信息。(3)系统安全弱点的探测。(4)建立模拟环境，进行模拟攻击。(5)实施网络攻击8.2.2网络攻击的主要类型与防范1．网络攻击的类型(1)拒绝服务型攻击

拒绝服务（DoS）攻击是攻击者利用系统漏洞通过各种手段来消耗网络带宽或服务器的系统资源，最终导致被攻击服务器资源耗尽或系统崩溃而无法提供正常的网络服务。具体的DoS攻击方式有SYNFlood(洪泛)攻击、IP碎片攻击、Smurf攻击、死亡之ping攻击、泪滴(teardrop)攻击、UDPFlood(UDP洪泛)攻击和Fraggle攻击等。(2)利用型攻击

①猜测口令。②安放木马。③缓冲区溢出。(3)信息收集型攻击信息收集型攻击被用来为进一步入侵系统提供有用的信息。这类攻击主要利用扫描技术和信息服务技术进行，其具体实现方式有地址扫描、端口扫描、反向映射、DNS域转换和Finger服务等。(4)虚假信息型攻击虚假信息型攻击用于攻击目标配置不正确的消息。2．拒绝服务攻击与防范DoS攻击主要是攻击者利用TCP/IP协议本身的漏洞或网络中操作系统漏洞实现的。攻击者通过加载过多的服务将系统资源全部或部分占用，大量耗尽系统资源，使得服务器无法对正常请求进行响应，造成服务器瘫痪。可采用防火墙、入侵检测系统（IDS）和入侵防护系统（IPS）等技术措施防范DoS攻击。具体措施包括：关掉可能产生无限序列的服务，防止洪泛攻击。对系统设定相应的内核参数，使系统强制对超时的SYN请求连接数据包复位，同时通过缩短超时常数和加长等候队列使系统能迅速处理无效的SYN请求数据包。在路由器上做些诸如限制SYN半开数据包流量和个数配置的调整。在路由器的前端做必要的TCP拦截，使得只有完成TCP三次握手过程的数据包才可进入该网段。3．分布式拒绝服务攻击与防范(1)DDoS攻击的过程DDoS攻击是在传统的DoS攻击基础之上产生的一种攻击方式。它利用更多的被控制机发起进攻，以更大的规模进攻受害者。(2)DDoS攻击的防范在主机上可使用扫描工具检测系统的脆弱性、采用网络入侵检测系统和嗅探器、及时更新系统补丁等措施防范DDoS攻击。在防火墙上采取禁止对主机的非开放服务的访问、限制同时打开的SYN最大连接数、限制特定IP地址的访问、限制开放服务器的对外访问等设置；在路由器上采取检查每一个经过路由器的数据包、设置SYN数据包流量速率、在边界路由器上部署策略、使用CAR(ControlAccessRate)限制ICMP数据包流量速率等设置防范DDoS攻击。4．缓冲区溢出攻击与防范(1)缓冲区溢出攻击缓冲区是用户为程序运行而在计算机中申请的一段连续的内存，它保存给定类型的数据。缓冲区溢出是指通过向缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令的攻击。(2)缓冲区溢出攻击的防范①编写正确的代码。②非执行缓冲区保护。③数组边界检查。④程序指针完整性检查。8.2.3密码保护技巧1．密码的设置一般情况下，密码长度应不少于6位，密码中最好包含大小写字符、数字、标点符号、控制字符和空格等，且最好这些符号交叉混合排序。2．密码的管理要有严格的密码管理观念，要定期更换密码，不要保存密码在本地等。3．使用动态密码动态密码（DynamicPassword）也称一次性密码，它是指用户的密码按照时间或使用次数不断地动态变化，每个密码只使用一次。4．使用生物特征密码生物特征识别技术是指利用人体所固有的生理特征或行为特征来进行个人身份鉴定的技术。目前，在人体特征识别技术市场上，占有率最高的是指纹机和手形机，这两种识别方式也是目前最成熟的技术。5．使用软键盘输入密码通过软键盘(也叫虚拟键盘)输入密码是比较容易操作的，是对付木马记录击键攻击的有效方法。8．3网络扫描与监听8.3.1网络扫描1.网络扫描的概念使用网络扫描技术，网络安全管理员可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，评估网络风险，并可以根据扫描的结果及时修补系统漏洞、更正系统错误的安全配置，保护网络系统的安全。2.网络扫描的分类(1)基于主机的扫描:基于主机的扫描也称为被动式扫描，是对系统中不合适的设置、口令配置及其他安全配置进行扫描以确定系统是否存在安全漏洞。基于主机的扫描不会对系统造成破坏。(2)基于网络的扫描:基于网络的扫描也称为主动式扫描，是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。基于网络的扫描有可能对系统造成破坏。3．主机扫描(1)Ping(2)Pingsweep(3)ICMPBroadcast4．端口扫描由于计算机之间的通信是通过端口进行的，因此通过向目标主机的端口发送信息就可以检测出目标主机开放了哪些端口，进而可以连接目标主机的端口。而系统的某些端口默认是为一些固定的服务，攻击者可以利用相应端口检测系统服务的漏洞，进而利用这些服务的漏洞入侵系统。(1)TCPconnect()扫描(2)TCPSYN扫描(3)TCPFIN扫描8.3.2网络监听1.网络监听的概念网络监听是指利用工具软件监视网络上数据的流动情况。网络管理者可以通过监听发现网络中的异常情况，从而更好的管理网络和保护网络；而攻击者可以通过监听将网络中正在传播的信息截获或捕获，从而进行攻击。2.检测网络监听的方法(1)根据反应时间判断(2)利用ping模式进行监测(3)利用arp数据包进行监测3.避免网络监听的方法(1)使用交换式网络(2)使用加密技术(3)使用VLAN技术8.3.3网络扫描应用实例1．扫描工具SuperScan的应用SuperScan是一款功能强大的网络主机及端口扫描工具软件，具有如下主要功能：通过Ping来检验IP是否在线。IP地址与域名相互转换。检验目标计算机提供的服务类别。检验目标计算机是否在线及其端口情况。自定义要检验的端口并可保存为端口列表的文件。自带一个木马端口列表，该列表可检测目标计算机是否有木马，并可以自己定义修改该木马端口列表。图8.18SuperScan主界面(1)域名与IP地址转换在“HostnameLookup”的输入框输入需要转换的域名或IP地址，按“LookUp”按钮就可得到对应的IP地址或域名。如果要得到本计算机的IP地址，可以点击“Me”按钮，如图8.19所示。图8.19地址转换与检测在线主机(2)检测目标计算机是否在线在“IP”栏的“Start”框中填入起始IP地址，在“Stop”框中填入结束IP地址，在“ScanType”栏选择“Pingonly”，点击“Start”按钮就可以检测目标计算机是否在线了。如果起始IP地址与结束IP地址相同，则表示只扫描一台主机，如图8.19所示。(3)端口检测①扫描主机的所有端口在“IP”栏输入起始IP地址和结束IP地址，在“ScanType”栏选择最后一项“AllPortsFrom”并填入起始和结束端口号(如1--65535)，点击“Start”按钮开始检测，如图8.20所示。图8.20检测主机开放端口②对主机的特定端口进行扫描点击图8.20右上角“Portlistsetup”按钮，出现如图8.21所示的端口设置界面。在“Selectports”中点击“ClearAll”按钮以清除程序原设置的端口，再选择下表中需要扫描的端口(在端口前面会有一个“√”标志)。选择的时候，可阅览左侧的“Change/Add/Deleteportinfo”栏和“Helperappsinright-clickmenu”栏，这里显示了此端口的详细说明和所使用的程序。如选择21、23和80三个端口，点击“save”按钮保存选择的端口为端口列表，再单击“OK”按钮回到主界面，如图8.22所示。图8.21设置扫描端口界面图8.22端口扫描设置主界面在“ScanType”栏选择“Allselectedportinlist”，点击“Start”按钮开始检测。检测完成后，单击结果窗口中被检查的IP地址，该地址旁会出现一个“+”号，再单击展开，将显示该被检测主机所要求检测端口的状态，如图8.23所示。图8.23扫描端口结果(4)检测木马在如图8.24所示主界面中选择“Portlistsetup”，出现端口设置界面，点击“Portlistfiles”的下拉框选择“trojans.lst”端口列表文件。该文件是软件自带的，提供了常见的木马端口，用户可以使用这个端口列表来检测目标计算机是否被植入木马。图8.24检测木马界面2．扫描工具GetNTUser的应用GetNTUser是一款扫描网络主机用户名及用户密码的工具软件，它具有如下主要功能：扫描Windows系统的用户名。自动扫描空密码及与用户名相同的密码。使用字典扫描用户密码。图8.25GetNTUser程序主界面(1)检测主机用户点击“文件”菜单，选择“添加主机”或单击主机图标，出现“AddHost”对话框，如图8.26所示。在对话框中输入欲扫描主机的IP地址，单击“OK”按钮，在出现的窗口中单击人像图标，即可扫描主机的用户，如图8.27所示。图8.26添加扫描主机图8.27扫描主机用户列表(2)根据字典扫描用户密码单击“工具”菜单，选择“设置”项，出现如图8.28所示的设置页面。在“字典文件”框中通过“设置”找到所保存字典文件的位置，再点击“工具”菜单，选择“字典测试”项，GetNTUser软件就会将字典中的数据用以扫描用户的密码。图8.28设置字典文件3．扫描工具PortScan的应用PortScan是专用于扫描网络主机开放端口的工具软件。PortScan软件的主界面如图8.29所示。图8.29PortScan主界面在图中“Scan”框中输入欲扫描主机的IP地址，在“StopPort”框中输入扫描端口的终止端口号，再单击“START”按钮，其扫描结果如图8.30所示，其下半部分是扫描到的端口列表。图8.30PortScan扫描结果4．扫描工具X-Scan的应用X-ScanV3.3是可运行于Windows系列系统的漏洞扫描工具软件。该工具软件采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能。扫描内容包括远程服务类型、操作系统类型及版本、各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞和拒绝服务漏洞等。X-ScanV3.3程序主界面如图8.31所示。图8.31X-ScanV3.3主界面(1)X-ScanV3.3的基本使用点击X-ScanV3.3菜单栏上的“设置”，选择“扫描参数”项，在“指定IP范围”中输入欲扫描单机的IP地址或主机的IP地址范围，再单击“确定”按钮，如图8.32所示。图8.32确定扫描范围回到主界面，点击“文件”菜单，选择“开始扫描”，或单击工具栏的执行图标

，X-ScanV3.3程序即开始对指定主机进行漏洞扫描，执行过程如图8.33所示。扫描完成后，X-Scan会自动给出对所扫描主机的报告文件，如图8.34所示。图8.33X-ScanV3.3扫描过程图8.34X-ScanV3.3扫描结果(2)X-Scan扫描指定漏洞①在“扫描参数”窗口单击“检测范围”项，输入扫描主机的IP地址。②展开“全局设置”，选择“扫描模块”项，在中间的窗口中勾选想要扫描的漏洞，最后点击“确定”按钮，如图8.35所示。图8.35设置对指定漏洞的扫描③待回到主界面后，单击“文件”菜单，选择“开始扫描”，X-Scan程序即开始进行指定漏洞的扫描。④扫描完成后，再展开左面窗口中的各项扫描指标，可得到有关所扫描漏洞的详细信息。如图8.36所示。图8.36漏洞详细信息8.3.4网络监听应用实例1.监听工具WinSniffer的应用WinSniffer是在局域网内使用的监听工具，它能够捕获局域网中传输的FTP、POP3、HTTP、ICQ、SMTP、Telnet和NNTP等密码。(1)WinSniffer的安装WinSniffer软件的安装过程很简单，在执行安装程序后出现安装向导，如图8.37所示。随后根据安装向导的提示逐步执行即可。图8.37WinSniffer安装向导(2)WinSniffer的使用图8.38WinSniffer主界面①设置监听的网卡。单击工具栏上的“Adapter”按钮，出现如图8.39所示选择网络适配器(网卡)窗口，在其中选取欲嗅探数据的网卡，再单击“OK”按钮。图8.39设置监听网卡②单击工具栏上的“Start”按钮，使WinSniffer进入监听状态。③在本机()上用FTP方式建立与监听主机的联系，如图8.40所示。图8.40网络通信过程通过以上设置后，再次打开WinSniffer界面，即可看到被监听到的相关信息，如图8.41所示。图8.41WinSniffer监听结果2.密码监听器pswmonitor的应用密码监听器pswmonitor可以监听到局域网内任意一台主机所登录的网页邮箱、使用POP3收取的信件以及其它登录账号及密码(包括部分网络游戏)，并可将密码显示、保存或发送到黑客指定的邮箱。Pswmonitor软件的主界面如图8.42所示。图8.42pswmonitor主界面在开始使用pswmonitor时，监听器会自动运行监听。用户也可自行设置监听的网卡、使用ARP欺骗、设置发送和接收的参数、密码保护功能和邮箱地址等，如图8.43所示。图8.43设置监听信息发送邮箱3.嗅探器Sniffer的应用(1)Sniffer的安装下载Sniffer程序后，打开安装程序，出现如图8.44所示安装向导。点击“Next”按钮后，系统会自动进行解压和安装工作。图8.44Sniffer安装向导(2)Sniffer的应用Sniffer安装后，执行“程序”→“SnifferPro”→“Sniffer”，出现如图8.45所示的程序主界面。图8.45Sniffer主界面①配置安装Sniffer嗅探器主机和被嗅探主机的IP地址。点击“Capture”菜单，选择“DefineFilter”，在出现的“DefineFilter”界面中选取“Address”选项卡，如图8.46所示。在“Address”下拉菜单中选择“IP”，在“Station1”中输入嗅探器主机的IP地址，在“Station2”中输入被嗅探主机的IP地址，点击“确定”按钮后，设置完成。图8.46设置Sniffer参数②设置嗅探数据的类型(以Ping命令为例)点击“Advanced”选项卡，拉动滚动条，找到并勾选“ICMP”项，如图8.47所示。点击“确定”按钮后，完成类型设置。图8.47设置嗅探数据类型③执行嗅探。点击图8.45中“Capture”菜单，选择“Start”项。在嗅探主机中执行对被嗅探主机的Ping指令，如图8.48所示。图8.48网络通信过程Ping指令执行完毕，点击“Capture”菜单，选择“StopandDisplay”项或工具栏上的相应图标，在出现的窗口中选择“Decode”项，就会显示两条计算机之间数据的传输过程，如图8.49所示。至此，Sniffer已成功嗅探到数据。图8.49嗅探结果8.4.1入侵检测系统入侵检测系统（IntrusionDetectionSystem，IDS）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或采取主动反应措施的网络安全系统。8．4入侵检测与入侵防护系统1．IDS的功能IDS已成为网络安全体系中的一个重要环节。它不仅能监测外来干涉的入侵者，也能监测内部的入侵行为，弥补了防火墙的不足。IDS在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护，从而极大地减少各种可能攻击的损害。监视网络系统的运行状况，查找非法用户的访问和合法用户的越权操作。对系统的构造和弱点进行审计。识别分析著名攻击的行为特征并报警。评估重要系统和数据文件的完整性。对操作系统进行跟踪审计，并识别用户违反安全策略的行为。容错功能。2．IDS的分类(1)基于主机的IDS基于主机的IDS（HI