《网络攻击与防御》课件第一章 网络安全概述

本课程授课内容概述VM介绍信息收集网络扫描SQL注入跨站攻击第一章网络安全概述信息安全受到的威胁攻击复杂度与所需入侵知识关系图19801985199019952000密码猜测可自动复制的代码密码破解利用已知的漏洞破坏审计系统后门会话劫持擦除痕迹嗅探包欺骗GUI远程控制自动探测扫描拒绝服务CGI攻击工具攻击者入侵者水平攻击手法半开放隐蔽扫描控制台入侵DDOS攻击2002高2006注入攻击检测网络管理2009病毒蠕虫2010OWASP十大安全威胁开放式WEB应用程序安全项目（OWASP，OpenWebApplicationSecurityProject）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。2010OWASP十大安全威胁原理介绍盘点2016年网络安全十大事件2016国际信息安全十大事件/x/page/d03609nzxd6.html2016国内信息安全十大事件/x/page/w0358y0g882.html2016年全球十大网络安全事件盘点（360）/news/detail/3843.html?utm_source=tuicool&utm_medium=referral2016年的十大安全事件（CSDN）/security/根据CNCERT/CC的初步估计，目前这条“黑色产业链”的年产值已超过2.38亿元，造成的损失则超过76亿元，已经形成了不可忽视的地下经济力量。黑客行业进入商业操作专门提供黑客交易的网站：300元，两天之内破解一个电子邮箱；1000元，攻击一次或一个服务器。公开交易0day漏洞利用程序的网站为数不少。病毒木马的“黑色”产业链灰鸽子--》黑鸽子网银大盗…凯文•米特尼克是美国20世纪最著名的黑客之一，他是“社会工程学”的创始人1979年他和他的伙伴侵入了北美空防指挥部1983年的电影《战争游戏》演绎了同样的故事，在片中，以凯文为原型的少年黑客几乎引发了第三次世界大战凯文米特尼克94年末，俄罗斯黑客弗拉基米尔·利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取1100万美元96年8月17日，美国司法部的网络服务器遭到黑客入侵，并将“美国司法部”的主页改为“美国不公正部”，将司法部部长的照片换成了阿道夫·希特勒，将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字96年9月18日，黑客光顾美国中央情报局的网络服务器，将其主页由“中央情报局”改为“中央愚蠢局”96年12月29日，黑客侵入美国空军的全球网网址并将其主页肆意改动，其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象，且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他80多个军方网址98年2月25日，美国国防部四个海军系统和七个空军系统的电脑网页遭侵入98年5月底，印度原子研究中心的主页(www.barc.ernet.in)遭侵入98年8月31日，澳大利亚主要政党和政府官员的网站遭黑客袭击，网址被篡改98年9月13日，纽约时报站点（）遭黑客袭击2000年2月，著名的Yahoo、eBay等高利润站点遭到持续两天的拒绝服务攻击，商业损失巨大2002年3月底，美国华盛顿著名艺术家GloriaGeary在eBay拍卖网站的帐户，被黑客利用来拍卖IntelPentium芯片2002年6月，日本2002年世界杯组委会的官方网站由于黑客成功侵入并在该网站上发布侮辱性内容而被迫关闭莫里斯蠕虫（MorrisWorm）

时间1988年肇事者-RobertT.Morris,美国康奈尔大学学生，其父是美国国家安全局安全专家机理-利用sendmail,finger等服务的漏洞，消耗CPU资源，拒绝服务影响-Internet上大约6000台计算机感染，占当时Internet联网主机总数的10%，造成9600万美元的损失CERT/CC的诞生-DARPA成立CERT（ComputerEmergencyResponseTeam），以应付类似“蠕虫（MorrisWorm）”事件未来网络战会是怎样的场景？网络战就是一群穿军装的黑客，坐在高级网吧里面，通过操纵键盘和鼠标使千里之外的对方的民用系统，比如说电力系统瘫痪，使对方的银行系统瘫痪，使对方的军事系统瘫痪，使对方的导弹不能正常发射等等。信息安全人才的需求很大“从百度事件也可以看出，网络信息安全的重要性越来越高，对优秀IT技术人才的需求是一个世界性的话题。”上海某着名IT企业人力资源经理表示。百度被黑：分析师认为不亚于911事件网络安全概念网络安全的意义 所谓“网络安全”，是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可以连续可靠正常地运行，网络服务不被中断。什么是黑客？黑客是“Hacker”的音译，源于动词Hack，其引申意义是指“干了一件非常漂亮的事”。这里说的黑客是指那些精于某方面技术的人。对于计算机而言，黑客就是精通网络、系统、外设以及软硬件技术的人。什么是骇客？有些黑客逾越尺度，运用自己的知识去做出有损他人权益的事情，就称这种人为骇客（Cracker，破坏者）。黑客的行为发展趋势网站被黑可谓是家常便饭，世界范围内一般美国和日本的网站比较难入侵，韩国、澳大利亚等国家的网站比较容易入侵，黑客的行为有三方面发展趋势：手段高明化：黑客界已经意识到单靠一个人力量远远不够了，已经逐步形成了一个团体，利用网络进行交流和团体攻击，互相交流经验和自己写的工具。活动频繁化：做一个黑客已经不再需要掌握大量的计算机和网路知识，学会使用几个黑客工具，就可以再互联网上进行攻击活动，黑客工具的大众化是黑客活动频繁的主要原因。动机复杂化：黑客的动机目前已经不再局限于为了国家、金钱和刺激。已经和国际的政治变化、经济变化紧密的结合在一起。黑客精神要成为一名好的黑客，需要具备四种基本素质：“Free”精神、探索与创新精神、反传统精神和合作精神。1、“Free”(自由、免费)的精神需要在网络上和本国以及国际上一些高手进行广泛的交流，并有一种奉献精神，将自己的心得和编写的工具和其他黑客共享。2、探索与创新的精神所有的黑客都是喜欢探索软件程序奥秘的人。他们探索程序与系统的漏洞，在发现问题的同时会提出解决问题的方法。3、反传统的精神找出系统漏洞，并策划相关的手段利用该漏洞进行攻击，这是黑客永恒的工作主题，而所有的系统在没有发现漏洞之前，都号称是安全的。4、合作的精神成功的一次入侵和攻击，在目前的形式下，单靠一个人的力量已经没有办法完成了，通常需要数人，数百人的通力协作才能完成任务，互联网提供了不同国家黑客交流合作的平台。黑客守则任何职业都有相关的职业道德，一名黑客同样有职业道德，一些守则是必须遵守的，不让会给自己招来麻烦。归纳起来就是“黑客十二条守则”。1、不要恶意破坏任何的系统，这样做只会给你带来麻烦。2、不要破坏别人的软件和资料。3、不要修改任何系统文件，如果是因为进入系统的需要而修改了系统文件，请在目的达到后将他改回原状。4、不要轻易的将你要黑的或者黑过的站点告诉你不信任的朋友。5、在发表黑客文章时不要用你的真实名字。6、正在入侵的时候，不要随意离开你的电脑。7、不要入侵或破坏政府机关的主机。8、将你的笔记放在安全的地方。9、已侵入的电脑中的账号不得清除或修改。10、可以为隐藏自己的侵入而作一些修改，但要尽量保持原系统的安全性，不能因为得到系统的控制权而将门户大开。11、不要做一些无聊、单调并且愚蠢的重复性工作。12、做真正的黑客，读遍所有有关系统安全或系统漏洞的书。网络攻击的分类基于攻击术语分类基于攻击种类分类基于攻击效果分类基于弱点和攻击者的分类矩阵基于攻击过程分类多维角度网络攻击分类法基于攻击过程分类发送方接收方发送方接收方发送方接收方攻击方发送方接收方攻击方发送方接收方攻击方a)正常情况b)中断c)拦截监听d)篡改f)伪造网络协议

TCP/IP体系结构

IP协议TCP协议

UDP协议

ARP协议和RARP协议IPMACMACIPICMP协议Internet控制报文协议（ICMP）允许主机或路由器报告差错情况和提供有关异常情况的报告。

消息类型描述目标不可达（Destinationunreachable）分组不能传送到目的端超时（Timeexceeded）分组中Time_to_live字段已经为0参数有问题（Parameterproblem）分组中头部包含无效的字段源端发送速度降低（Sourcequench）命令源端降低发送分组的速度重新定向（Redirect）路由器告诉源主机其分组的路由有误问讯请求（Echorequest）询问目的主机是否是活性或可达的问讯回答（Echoreply）被询问的主机是否活动或可达的时间戳请求（Timestamprequest）与问讯请求一样，只是附带上时间戳时间戳回答（Timestampreply）与问讯回答一样，只是附带上时间戳DNS协议DNS通过一个名为“解析”的过程将域名转换为IP地址，或将IP地址转换为域名。DNS使用查找表格来将二者的值关联起来。SMTP协议和POP3协议SMTP协议简单邮件传输协议(SimpleMailTransferProtocol，SMTP)是为网络系统间的电子邮件交换而设计的。UNIX、MVS、VMS、基于Windows的操作系统以及基于NovellNetWare的操作系统都可以通过SMTP来在TCP/IP上交换电子邮件。通过SMTP发送的消息由两部分组成：地址头和消息文本。POP3协议POP协议允许工作站动态访问邮件服务器上的邮件，目前已发展到第三版，称为POP3。POP3允许工作站检索邮件服务器上的邮件。POP3传输过程发生在站与站之间，其中传输的消息可以是指令，也可以是应答。POP协议支持“离线”邮件处理。其具体过程是：邮件发送到服务器上，电子邮件客户端调用邮件客户机程序以连接服务器，并下载电子邮件的电子协议。这种离线访问模式基于存储并转发服务，将邮件从邮件服务器端送到个人终端机器上，一般是PC机或Mac。一旦邮件发送到PC机或Mac上，邮件服务器上的邮件将会被删除。POP3并不支持服务器邮件的扩展操作，此过程由