防火墙等设备的安全漏洞课件

第十一章网络安全第十一章网络安全1网络安全第一节

网络安全的特殊性网络安全第一节2网络安全的定义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全的定义网络安全是指网络系统的硬件、软件及其系统中的数3网络安全基础知识网络安全的特征（1）保密性：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。（2）完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（3）可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。（4）可控性：对信息的传播及内容具有控制能力。网络安全基础知识网络安全的特征4网络安全第一节网络安全的特殊性一、网络计算引起的革命和问题“网络就是计算机”，“数字化地球”，“系统就是网络、网络就是系统”1.世界网络化世界缩小，时空缩小，高科技社会中，高科技技术的应用与高技术犯罪并存.网络安全第一节网络安全的特殊性一、网络计算引起的革命和问5网络安全

第一节网络安全的特殊性2.系统开放性分散和分布式计算环境基于开放性技术，开放性与安全性是一对基本矛盾，系统开放与系统保密成为矛盾中的统一。3.信息共享、资源共享共享的概念，不是所有信息都共享信息是有价值的，有价信息的拥有权敏感信息、私有信息与垃圾信息网络安全第一节网络安全的特殊性2.系统开放性6◆开放的、分布式协同计算环境中，原有的安全措施很难奏效

●结构松散，异地分散，无法有效管理

●用户透明，资源共享，面临多种攻击◆网络系统规模日益庞大，必然导致系统安全性、可靠性降低●设计缺陷，给安全带来影响无法消除，如操作系统的管理员权限，TCP/IP协议等●软件的可靠性有限，存在缺陷和后门，给攻击者机会网络安全的面临挑战◆开放的、分布式协同计算环境中，原有的安全措网络安全的面临挑7网络安全

二、网络的入侵者

*黑客(Hacker)：网络入侵者通称“黑客”。黑客的原意是泛指对任何计算机系统、操作系统、网络系统的奥秘都具有强烈兴趣的人。第一节网络安全的特殊性恶意黑客（骇客）渗入计算机系统和网络系统并获取其内部工作的情况和知识，非法访问、寻找、窃取资源和信息。恶意黑客会有目的的篡改系统数据和资源，修改系统配置，甚至远程控制目标系统。网络安全二、网络的入侵者第一节网络安全的特殊性8网络安全

*窃客(Phreaker)：即“电信黑客”或“电信窃客”。他们与网络黑客不同，主要与电话公司打交道。采用不同的种种“手段”和“诡计”，如拦截传输信号，从而操纵电话公司，并机盗打用户移动电话，免费拨打区域和长途电话等。并从电信网站、电信传输和用户通信中某利，获取所需敏感信息。第一节网络安全的特殊性网络安全*窃客(Phreaker)：第一节网络安9网络安全*怪客(Cracker)：网络上的匿名攻击者，专门进行网络入侵攻击，发布干扰信息，传输网络垃圾等,并以此为乐。第一节网络安全的特殊性黑客概述网络安全*怪客(Cracker)：第一节网络安全的特殊性10网络安全三、网络犯罪特点

网络犯罪与传统犯罪有很多不同，网络犯罪有如下一些特点：①网络犯罪高技术化、专业化。犯罪者具有高智商，熟悉并掌握电脑技术、电信技术或者网络技术，了解电子数据资料结构和数据库，作案手段复杂隐蔽，有的情况下使正常操作与犯罪活动很难区分。第一节网络安全的特殊性网络安全三、网络犯罪特点第一节网络安全的特殊性11网络安全②网络犯罪动机复杂化。它既包含了传统犯罪中的谋财害命、发泄报复、恐怖暴力、欺诈拐骗等，还渗入了更深厚的政治、军事、经济、宗教色彩。第一节网络安全的特殊性网络安全②网络犯罪动机复杂化。第一节网络安全的特殊性12网络安全

③网络犯罪的覆盖面更广，日趋国际化。利用网络的互联，缩短了时间和空间，犯罪分子在作案、通信、交易、逃匿等方面可以易地进行异地作案的可能性极大，使得作案隐蔽性更强，危害更大。第一节网络安全的特殊性网络安全③网络犯罪的覆盖面更广，日趋国际化。第一节13网络安全④网络犯罪人员趋于年青化。调查统计，电脑犯罪者的平均年龄约在25岁左右。青年人聪明好动、虚荣心大、探索意识强，但也最容易在网络上掉入网络陷阱，受到邪恶引诱而误入歧途。第一节网络安全的特殊性网络安全④网络犯罪人员趋于年青化。第一节网络安全的特殊14网络安全

⑤网络犯罪的形式多样化。它既具有传统犯罪中的各种形式，还包含了更严重的犯罪教唆、展示、指导、引诱、服务等等。网络色情的泛滥、网络邪教的诱惑、没落文化和反动文化的泛起都威胁到整个网络世界。第一节网络安全的特殊性网络安全⑤网络犯罪的形式多样化。第一节网络安全15网络安全

四、网络安全的技术特点

1.资源共享与分布这是网络的主要目的，也是网络的脆弱性，分布的广域性增大了受攻击的可能性，单机系统的安全控制已不足以保证网络全局的安全。

2.网络系统的复杂性系统互连、控制分散、异构结点。任何一个结点的安全漏洞都可能导致整个系统的不安全，信息爆炸使存储和传输不堪重负；攻击的入口增多、破坏面增大、检测困难且开销很大。第一节网络安全的特殊性网络安全四、网络安全的技术特点第一节网络安全的特殊16网络安全

3.安全的可信性网络的可扩展性使网络边界具有不确定性；网络安全的可信性随网络扩展而下降；不可信结点、恶意结点的严重威胁

4.安全不确定性网络分支广，存在多条可能的安全漏洞；不安全的路径存在不确定性；故障定位的不确定性。第一节网络安全的特殊性网络安全3.安全的可信性第一节网络安全的特殊性17网络安全

5.信息安全的特殊性信息的真实性，网络通信只保证了无差错传输，无法保证信息的真实性、完整性，收发双方无法对传输信息加以控制和监视。

6.网络安全的长期性矛盾贯穿始终，长期对抗。不可能存在一劳永逸、绝对安全的系统安全策略和安全机制，安全的目标和安全策略，是在一定条件（环境与技术）下的合理性。第一节网络安全的特殊性网络安全5.信息安全的特殊性第一节网络安全的特18网络安全

五、网络安全性范围

1.网络类型电信网络、电视网络、计算机网络，重点在计算机网络

2.计算机网络的组成＊计算机系统、通信系统、网络互连设备＊系统运行平台、网络管理软件系统

第一节网络安全的特殊性网络安全五、网络安全性范围第一节网络安全的特殊性19网络安全

3.网络安全领域⑴计算机系统安全系统硬件安全、存储系统安全、操作系统安全、软件安全⑵通信系统安全通信系统与部件可靠性、无线与有线安全、网络互连设备安全。⑶网络系统安全网管软件安全、网络协议安全性网络运行环境安全、网络开发与应用安全第一节网络安全的特殊性网络安全3.网络安全领域第一节网络安全的特殊性20网络安全

⑷计算机病毒与恶意程序计算机病毒对抗、攻击与反攻击⑸网络安全的社会性网络垃圾与信息垃圾、反动、色情、颓废文化。

第一节网络安全的特殊性网络安全⑷计算机病毒与恶意程序第一节网络安全的特殊21网络安全

六、网络安全的类别“网络就是计算机”，因此，计算机系统安全的几乎所有领域都在网络安全中得以体现。网络系统安全的主要威胁也来源于各个方面，有自然的、硬件的、软件的、也有人为的疏忽、失误等。第一节网络安全的特殊性网络安全六、网络安全的类别第一节网络安全的特殊性22网络安全

㈠网络可信：保证网络可靠运行，防止系统崩溃，主要解决硬件故障和软件故障。㈡网络阻塞：主要解决网络配置、网络调度不合理，防止网络广播风暴和噪声。㈢网络滥用：合法用户超越权限使用计算机，获取网络资源。㈣网络入侵：非法用户非法进入系统和网络，获取控制权和网络资源。第一节网络安全的特殊性网络安全㈠网络可信：保证网络可靠运行，防止系统崩23网络安全

㈤网络干扰：出于某种目的对计算机和网络系统运行进行干扰，干扰方式多种，使系统不可信、操作员和系统管理员心理压力增加、心理战。施放各种假的和期骗信息，扰乱社会、经济、金融等。㈥网络破坏:系统攻击、删除数据、毁坏系统。非法窃取、盗用、复制系统文件、数据、资料、信息，造成泄密。第一节网络安全的特殊性网络安全㈤网络干扰：出于某种目的对计算机和网络系统运行24威胁网络安全的因素物理威胁偷窃：包括设备偷窃、信息偷窃和服务偷窃。废物搜寻：指在被扔掉的打印材料、废弃软盘等废物中搜寻所需要的信息。身份识别错误：非法建立文件或记录，企图把它们作为正式生产的文件和记录。间谍行为：为了获取有价值的机密，采用不道德的手段来获取信息的一种行为。威胁网络安全的因素物理威胁25威胁网络安全的因素漏洞威胁不安全服务：由于缺陷或错误使系统本身存在漏洞，这些问题可能导致一些服务程序绕过安全系统，从而对信息系统造成不可预料的损失。配置和初始化错误：服务器启动时系统要初始化，如果安全系统没有随之正确的初始化，就会留下安全漏洞而被人利用。乘虚而入：例如在FTP服务中，用户暂时停止了与某系统的通信，但由于端口仍处于激活状态，那么其他用户就可乘虚而入，利用这个端口与这个系统通信。威胁网络安全的因素漏洞威胁26威胁网络安全的因素身份识别威胁口令圈套：口令圈套是网络安全的一种诡计，与冒名顶替有关。口令破解：通过某种策略对口令进行分析和猜测。编辑口令：这需要依靠操作系统漏洞。算法考虑不周：口令验证系统必须在满足一定条件下才能正常工作，这个验证过程需要通过某种算法来实现。若算法考虑不周全，验证过程和结果就不可靠。威胁网络安全的因素身份识别威胁27威胁网络安全的因素恶意程序威胁病毒：病毒是一种把自己的拷贝附着于其他正常程序上的一段代码。特洛伊木马：这是一种远程控制工具，一旦被安装到某台主机上，该主机便可以被监视和控制。代码炸弹：代码炸弹是一种具有杀伤力的代码，当预设条件满足时，代码炸弹就被猝发并产生破坏性结果。威胁网络安全的因素恶意程序威胁28威胁网络安全的因素网络连接威胁窃听：对通信过程进行窃听可达到收集信息的目的，通过检测从连线上发射出来的电磁辐射就能得到所要的信号。冒充：通过使用别人的密码和帐号，获得对网络及其数据、程序的使用能力。拨号进入：拥有一个调制解调器和一个电话号码，每个人都可以试图通过远程拨号访问网络，这种方法可以使防火墙失去作用。威胁网络安全的因素网络连接威胁29网络信息安全技术主动防御技术数据加密CA认证访问控制虚拟网络技术入侵检测技术网络信息安全技术主动防御技术30网络信息安全技术被动防御技术防火墙技术安全扫描密码检查器安全审计路由器过滤安全管理技术网络信息安全技术被动防御技术31第二节网络攻击与入侵第二节网络攻击与入侵321、攻击的位置一、攻击的一些基本概念（1）远程攻击：从该子网以外的地方向该子网或者该子网内的系统发动攻击。（2）本地攻击：通过所在的局域网，向本单位的其他系统发动攻击，在本机上进行非法越权访问也是本地攻击。（3）伪远程攻击：指内部人员为了掩盖攻击者的身份，从本地获取目标的一些必要信息后，攻击过程从外部远程发起，造成外部入侵的现象。1、攻击的位置一、攻击的一些基本概念（1）远程攻击：从该子网332、攻击的层次一、攻击的一些基本概念1）简单拒绝服务（如邮件炸弹攻击）.2）本地用户获得非授权读或者写权限3）远程用户获得了非授权的帐号4）远程用户获得了特权文件的读写权限5）远程用户拥有了根（root）权限）2、攻击的层次一、攻击的一些基本概念1）简单拒绝服务（如邮件343、攻击的目的一、攻击的一些基本概念1）进程的执行2）获取文件和传输中的数据3）获得超级用户权限4）对系统的非法访问5）进行不许可的操作6）拒绝服务7）涂改信息8）暴露信息9）挑战10）政治意图11）经济利益12）破坏3、攻击的目的一、攻击的一些基本概念1）进程的执行7）涂改信354、攻击的人员一、攻击的一些基本概念1）黑客：为了挑战和获取访问权限2）间谍：为了政治情报信息3）恐怖主义者：为了政治目的而制造恐怖4）公司雇佣者：为了竞争经济利益5）职业犯罪：为了个人的经济利益6）破坏者：为了实现破坏4、攻击的人员一、攻击的一些基本概念1）黑客：为了挑战和获取361、扫描技术二、扫描器扫描技术是主要的一种信息收集型攻击。地址扫描：运用ping这样的程序探测目标地址端口扫描：向大范围的主机连接一系列的TCP端口，扫描软件报告它成功的建立了连接的主机所开的端口。反响映射：黑客向主机发送虚假消息，然后根据返回"hostunreachable"这一消息特征判断出哪些主机是存在的。慢速扫描：由于一般扫描侦测器的实现是通过监视某个时间里一台特定主机发起的连接的数目（例如每秒10次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。1、扫描技术二、扫描器扫描技术是主要的一种信息收集型攻击。372、什么是扫描器

二、扫描器扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用扫描器可不留痕迹的发现远程服务器的各种TCP端口的分配、提供的服务、使用的软件版本！这就能间接的或直观的了解到远程主机所存在的安全问题。2、什么是扫描器二、扫描器扫描器是一种自动检测远程或本地主38网络安全扫描技术在网络安全行业中扮演的角色（1）扫描软件是入侵者分析将被入侵系统的必备工具（2）扫描软件是系统管理员掌握系统安全状况的必备工具（3）扫描软件是网络安全工程师修复系统漏洞的主要工具（4）扫描软件在网络安全的家族中可以说是扮演着医生的角色1.合法使用：检测自己服务器端口，以便给自己提供更好的服务；2.非法使用：查找服务器的端口，选取最快的攻击端口网络安全扫描技术在网络安全行业中扮演的角色（1）扫描软件是入39安全扫描系统要素（1）速度（2）对系统的负面影响（3）能够发现的漏洞数量（4）清晰性和解决方案的可行性（5）更新周期（6）所需软硬件环境要求（7）界面的直观性和易用性（8）覆盖范围安全扫描系统要素40二、扫描器安全扫描工具分类基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。二、扫描器安全扫描工具分类41扫描器分类端口扫描器(如：NMAP，PORTSCAN)扫描目标机开放的服务端口及其有关信息漏洞扫描器(如：ISS、NESSUS、SATAN等)对于重视安全的网站进行漏洞扫描，可能一无所获，因为流行的漏洞早已打补丁了。因此端口扫描器对黑客或许更有用。扫描器分类423、扫描器的工作原理二、扫描器扫描器通过选用远程TCP/IP不同的端口的服务，并记录目标给予的回答，通过这种方法，可以搜集到很多关于目标主机的各种有用的信息扫描器能够发现目标主机某些内在的弱点，这些弱点可能是破坏目标主机安全性的关键性因素。但是，要做到这一点，必须了解如何识别漏洞。扫描器对于Internet安全性之所以重要，是因为它们能发现网络的弱点。

3、扫描器的工作原理二、扫描器扫描器通过选用远程TCP/I434、扫描器的功能二、扫描器扫描器并不是一个直接的攻击网络漏洞的程序，它仅仅能帮助我们发现目标机的某些内在的弱点。一个好的扫描器能对它得到的数据进行分析，帮助我们查找目标主机的漏洞。但它不会提供进入一个系统的详细步骤。扫描器应该有三项功能：1）发现一个主机或网络的能力；2）一旦发现一台主机，有发现什么服务正运行在这台主机上的能力；3）通过测试这些服务，发现漏洞的能力。4、扫描器的功能二、扫描器扫描器并不是一个直接的攻击网络漏445、常用的端口扫描技术二、扫描器TCPconnect()扫描这是最基本的TCP扫描。操作系统提供的connect()系统调用，用来与目标计算机的端口进行连接。如果端口处于侦听状态，那么connect()就能成功。否则，这个端口是不能用的，即没有提供服务。不需要任何权限。系统中的任何用户都有权利使用这个调用。另一个好处就是速度。如果对每个目标端口以线性的方式，使用单独的connect()调用，那么将会花费相当长的时间，你可以通过同时打开多个套接字，从而加速扫描。这种方法的缺点是容易被发觉，并且被过滤掉。目标计算机的logs文件会显示一连串的连接和连接是出错的服务消息，并且能很快的使它关闭。5、常用的端口扫描技术二、扫描器TCPconnect()455、常用的端口扫描技术二、扫描器TCPSYN扫描“半开放”扫描，这是因为扫描程序不必要打开一个完全的TCP连接。扫描程序发送的是一个SYN数据包，好象准备打开一个实际的连接并等待反应一样（参考TCP的三次握手建立一个TCP连接的过程）。一个SYN|ACK的返回信息表示端口处于侦听状态。一个RST返回，表示端口没有处于侦听态。如果收到一个SYN|ACK，则扫描程序必须再发送一个RST信号，来关闭这个连接过程。这种扫描技术的优点在于一般不会在目标计算机上留下记录。

5、常用的端口扫描技术二、扫描器TCPSYN扫描465、常用的端口扫描技术一、扫描器TCPFIN扫描按照RFC793标准，关闭的端口应返回RST来回复FIN数据包。另一方面，打开的端口会忽略对FIN数据包的回复。这种方法和系统的实现有一定的关系。有的系统不管端口是否打开，都回复RST，如NT.这样，这种扫描方法就不适用了。用这种方法区分Unix和NT，是十分有用的。5、常用的端口扫描技术一、扫描器TCPFIN扫描475、常用的端口扫描技术一、扫描器UDPICMP扫描使用UDP协议。由于这个协议很简单，所以扫描变得相对比较困难。这是由于打开的端口对扫描探测并不发送一个确认，关闭的端口也并不需要发送一个错误数据包。如端口关闭，应返回一个ICMP_PORT_UNREACH错误。UDP和ICMP错误都不保证能到达。这种扫描方法是很慢的，因为RFC对ICMP错误消息的产生速率做了规定。5、常用的端口扫描技术一、扫描器UDPICMP扫描486、网络扫描的防范关闭所有限制的和有潜在威胁的端口。通过防火墙或其他安全系统检查各端口，如果有端口扫描症状时就立即屏蔽该端口。利用特殊软件在一些端口上欺骗黑客，让其扫描和攻击“陷阱”端口。6、网络扫描的防范关闭所有限制的和有潜在威胁的端口。49网络监听网络监听也称为网络嗅探（Sniffer）。它工作在网络的底层，能够把网络传输的全部数据记录下来，黑客一般都是利用这种技术来截取用户口令。特点：隐蔽性强手段灵活三、网络监听网络监听网络监听也称为网络嗅探（Sniffer）。它工作在网50Sniffer原理Sniffer，中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。采用这种技术，我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。三、网络监听Sniffer原理Sniffer，中文可以翻译为嗅探器,也就51网卡的工作模式普通方式：只有本地地址的数据包火广播才会被网卡提交给系统中心，否则这些数据包就直接被网卡抛弃。混杂模式（promiscuous）：够接收到一切通过它的数据。三、网络监听网卡的工作模式三、网络监听52Username:herma009<cr>Password:hiHKK234<cr>以太网（HUB）

FTPLoginMail普通用户A服务器C嗅探者B网络监听原理Username:herma009<cr>Password:hiHKK234<cr>三、网络监听Username:herma009<cr>Passwor53网络监听原理一个sniffer需要作的：把网卡置于混杂模式。捕获数据包。分析数据包三、网络监听网络监听原理一个sniffer需要作的：三、网络监听54网络监听的检测与防范1．简单的检测方法（1）方法一对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处于监听状态的机器能接收。（2）方法二往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，会导致性能下降。通过比较前后该机器性能（icmpechodelay等方法）加以判断。三、网络监听网络监听的检测与防范1．简单的检测方法三、网络监听552.主动防御网络嗅探采取安全的拓扑结构：将网络分段工作进行得越细，嗅探器能够收集到的信息就越少。通信会话加密：可采用SSH把所有传输的数据加密。采用静态的ARP或IP-MAC对应表。三、网络监听2.主动防御网络嗅探三、网络监听561、口令攻击弱口令带来安全隐患可被敌手暴力破解安全口令的设置保证足够的口令长度保证口令的复杂性四、网络欺骗1、口令攻击弱口令带来安全隐患四、网络欺骗572、恶意代码木马程序、邮件病毒、网页病毒等木马和病毒的主要区别：木马并不像病毒那样复制自身。木马包含能够在触发时导致数据丢失甚至被窃的恶意代码。要使木马传播，必须在计算机上有效地启用这些程序。四、网络欺骗2、恶意代码木马程序、邮件病毒、网页病毒等四、网络欺骗58什么是木马？特洛伊木马的名称取自于希腊神话中的特洛伊木马。在希腊神话当中，特洛伊木马表面上是“礼物”，但实际上却藏匿了大量袭击特洛伊城的希腊士兵。木马程序也一样，它是具有欺骗性的文件，即表面是良性的，但实际上是恶意的。什么是木马？59木马的传播途径：电子邮件：一旦用户打开了自认为安全的电子邮件附件，木马就会趁机传播。文件下载：木马很有可能包含在免费下载软件中，所以用户下载了软件后，在安装之前一定要进行安全检查。四、网络欺骗木马的传播途径：四、网络欺骗60木马的特征木马程序一般包括客户端和服务器端。客户端是指攻击者用于进行攻击的本地计算机，客户端是控制者。服务器端则是指被植入木马的远程计算机，服务器端是被控制者。木马通常采取以下方式实施攻击：配置木马（伪装木马）→传播木马→运行木马→信息泄露→建立连接→远程控制。四、网络欺骗木马的特征木马程序一般包括客户端和服务器端。四、网络欺骗613、Web欺骗概念：Web欺骗是指攻击者建立一个使人相信的Web站点“拷贝”，这个Web站点“拷贝”就像真的一样，它具有原页面几乎所有的页面元素。攻击者控制了这个Web站点的“拷贝”，被攻击对象和真的Web站点之间的所有信息流动都被攻击者所控制。四、网络欺骗3、Web欺骗概念：Web欺骗是指攻击者建立一个使人相信的W62Web欺骗的原理其原理是打断从被攻击者主机到目标服务器之间的正常连接，并建立一条从被攻击者主机到攻击主机再到目标服务器的连接。四、网络欺骗Web欺骗的原理其原理是打断从被攻击者主机到目标服务器之间的63改写URL：即将页面上的所有URL都加上攻击者的URL。浏览者请求一个Web页面，发生了下面这些事情：浏览者请求来自于攻击者服务器的页面攻击者服务器请求真正的服务器的相应页面攻击者服务器重写页面攻击者服务器向浏览者提供一个经过改写后的页面四、网络欺骗改写URL：即将页面上的所有URL都加上攻击者的URL。浏览64开始攻击：为了开始攻击，攻击者必须诱惑被攻击对象连到攻击者的假的Web页上。攻击者把一个假的Web链接到一个流行的Web页面上去攻击者向被攻击对象发送电子邮件四、网络欺骗开始攻击：为了开始攻击，攻击者必须诱惑被攻击对象连到攻击者的65制造假象伪装状态行。可通过JavaScript程序来消除状态行里的痕迹。伪装地址行。伪装源文件。伪装文档信息。用户可查看页面信息，因此也需要伪装不让被攻击者发现。四、网络欺骗制造假象四、网络欺骗66Web欺骗的防范解决办法：上网浏览时，最好关掉浏览器的JavaScript，只有访问熟悉的网站是才打开它，目的是让攻击者不能隐藏攻击的迹象。不从自己不熟悉的网站上链接到其它网站，特别是链接那些需要输入个人账户名和密码的有关电子商务的网站。要养成从地址栏中直接输入网址来实现浏览网站的好习惯。四、网络欺骗Web欺骗的防范解决办法：四、网络欺骗674、IP地址欺骗IP地址的盗用IP地址盗用指得是一台主机有目的地使用他人合法的IP地址，而不用自己的IP地址的行为。同一个子网内盗用可绑定IP和物理地址来防止IP盗用。四、网络欺骗4、IP地址欺骗IP地址的盗用四、网络欺骗68IP地址欺骗就是伪造某台主机IP地址的技术通常通过编程实现其实质是伪装成另一台机器来获得被伪装的机器的某种特权或做一些破坏性行为来达到自己的目的四、网络欺骗IP地址欺骗四、网络欺骗695、ARP欺骗ARP（AddreResolutionProtocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。主机IP地址MAC地址

Aaa-aa-aa-aa-aa-aaBbb-bb-bb-bb-bb-bbCcc-cc-cc-cc-cc-ccDdd-dd-dd-dd-dd-dd四、网络欺骗5、ARP欺骗ARP（AddreResolutionPr70ARP欺骗从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。四、网络欺骗ARP欺骗从影响网络连接通畅的方式来看，ARP欺骗分为二种，71第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。四、网络欺骗第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被72拒绝服务攻击(DoS)DoS--DenialofServiceDoS攻击的事件：2000年2月份的Yahoo、亚马逊、CNN被DoS攻击2002年10月全世界13台DNS服务器同时受到了DDoS（分布式拒绝服务）攻击。2003年1月25日的“2003蠕虫王”病毒2004年8月，共同社报道：日本近期共有上百网站遭到黑客袭击。五、拒绝服务拒绝服务攻击(DoS)DoS--DenialofServ73攻击者

目标主机SYNSYN/ACKSYN/ACK等待应答SYN：同步SYN/ACK:同步/确认(DoS):

五、拒绝服务攻击者目标主机SYNSYN/ACKSYN/ACK等待应答S74拒绝服务攻击(DoS)(控制)....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻击者目标主机SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待应答SYN/ACK.........五、拒绝服务拒绝服务攻击(DoS)(控制)....SYN/ACKSYN/75死亡之ping：利用ICMP协议上限IP碎片攻击：泪珠（Teardrop）攻击SYNFloodUDP洪水攻击Land攻击邮件炸弹Smurf攻击行行色色的DOS攻击五、拒绝服务死亡之ping：利用ICMP协议上限行行色色的DOS攻击五761)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。攻击者各种客户主机目标系统2)攻击者进入其已经发现的最弱的客户主机之内(“肉机”)，并且秘密地安置一个其可远程控制的代理程序(端口监督程序demon)。攻击准备：安置代理代理程序DDoS攻击时序(分布式拒绝服务)五、拒绝服务1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。攻击77

3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。攻击者目标系统发起攻击：指令攻击的代理程序4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞而崩溃。虚假的连接请求DDoS攻击时序(分布式拒绝服务)五、拒绝服务3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的78数据驱动攻击数据驱动攻击指的是通过向某个程序发送数据，以产生非预期结果的攻击，通常给攻击者访问目标的权限。六、数据驱动攻击数据驱动攻击数据驱动攻击指的是通过向某个程序发送数据，以产生79缓冲区溢出攻击缓冲区溢出攻击的原理是向程序缓冲区写入超出其边界的内容，造成缓冲区的溢出，使得程序转而执行其他攻击者指定的代码，通常是为攻击者打开远程连接的ShellCode，以达到攻击目标。近年来著名的蠕虫如Code-Red、SQL.Slammer、Blaster和Sasser等，都是通过缓冲区溢出攻击获得系统权限后进行传播。六、数据驱动攻击缓冲区溢出攻击六、数据驱动攻击80voidfunction(char*szPara1){ charbuff[16]; strcpy(buffer,szPara1);}六、数据驱动攻击voidfunction(char*szPara1)六81格式化字符串攻击利用由于格式化函数的代码编写错误造成的安全漏洞，通过传递精心编制的含有格式化指令的文本字符串，以使目标程序执行任意命令。六、数据驱动攻击格式化字符串攻击六、数据驱动攻击82输入验证攻击针对程序未能对输入进行有效验证的安全漏洞，使得攻击者能够让程序执行制定的命令。六、数据驱动攻击输入验证攻击六、数据驱动攻击83同步漏洞攻击这种方法主要是利用程序在处理同步操作时的缺陷，如竞争状态、信号处理等问题，以获取更高权限的访问。六、数据驱动攻击同步漏洞攻击六、数据驱动攻击84第三节网络安全技术第三节网络安全技术851、常规安全技术用户认证访问控制数据保密与完整性管理审计1、常规安全技术用户认证862、防火墙技术防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋，如图所示。这里防火墙指隔离在本地网络与外界网络之间的一道防御系统。2、防火墙技术防火墙的本义原是指古代人们房屋之间修建的墙，这87防火墙的定义在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问，网络防火墙结构如图所示。防火墙的定义在互联网上，防火墙是一种非常有效的网络安全系统，88防火墙的功能根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户防止入侵者接近网络防御设施限制内部用户访问特殊站点防火墙的功能根据不同的需要，防火墙的功能有比较大差异，但是89防火墙的发展简史防火墙的发展简史90第一代防火墙第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packetfilter）技术。第二、三代防火墙1989年，贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。第四代防火墙

1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamicpacketfilter）技术的第四代防火墙，后来演变为目前所说的状态监视（Statefulinspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙

1998年，NAI公司推出了一种自适应代理（Adaptiveproxy）技术，并在其产品GauntletFirewallforNT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。第一代防火墙91包过滤（PacketFiltering）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。应用代理（ApplicationProxy）：也叫应用网关（ApplicationGateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。包过滤（PacketFiltering）：作用在协议组的网92状态检测（StatusDetection）：直接对数据包里的数据进行处理，并且结合前后数据包里的数据进行综合判断，然后决定是否允许该数据包通过。自适应代理（AdaptiveProxy）：结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，在不损失安全性的基础上将代理防火墙的性能提高了10倍。状态检测（StatusDetection）：直接对数据包里93包过滤防火墙（Packetfiltering）（1）数据包过滤技术的发展：静态包过滤、动态包过滤。

（2）包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。

包过滤防火墙（Packetfiltering）（1）数据包94简单包过滤防火墙的工作原理简单包过滤防火墙的工作原理95包过滤防火墙的工作流程包过滤防火墙的工作流程96过滤规则-ACL包过滤规则一般基于部分的或全部的包头信息：1．IP协议类型2．IP源地址3．IP目标地址4．TCP（UDP）源端口号5．TCP（UDP）目标端口号6．TCPACK标识，指出这个包是否是联接中的第一个包，是否是对另一个包的响应。过滤规则-ACL包过滤规则一般基于部分的或全部的包头信息：97优点：保护整个网络；对用户透明；可用路由器，不需要其他设备。缺点：1.包过滤的一个重要的局限是它不能分辨好的和坏的用户，只能区分好的包和坏的包。2.包过滤规则难配置。3.新的协议的威胁。4.IP欺骗5.不提供授权和认证包过滤防火墙的特点优点：包过滤防火墙的特点98默认安全策略没有明确禁止的行为都是允许的举例：华为的ACL没有明确允许的行为都是禁止的举例：思科的ACL默认安全策略没有明确禁止的行为都是允许的99动态包过滤这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（StatefulInspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。动态包过滤这种类型的防火墙采用动态设置包过滤规则的方法，避免100防火墙等设备的安全漏洞课件101代理防火墙（应用层网关型防火墙）应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全"阻隔"了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。代理防火墙的原理

ProxyServer代理防火墙（应用层网关型防火墙）代理防火墙的原理

Prox102代理防火墙的原理代理防火墙的原理103代理防火墙的工作过程代理防火墙的工作过程104代理技术的优点

1）代理易于配置。

2）代理能生成各项记录。3）代理能灵活、完全地控制进出流量、内容。

4）代理能过滤数据内容。5）代理能为用户提供透明的加密机制。6）代理可以方便地与其他安全手段集成。

代理技术的优点

1）代理易于配置。105代理技术的缺点1）代理速度较路由器慢。2）代理对用户不透明。3）对于每项服务代理可能要求不同的服务器。

4）代理服务不能保证免受所有协议弱点的限制。5）代理防火墙提供应用保护的协议范围是有限的

代理技术的缺点1）代理速度较路由器慢。106自适应代理防火墙自适应代理技术（Adaptiveproxy）是最