办公自动化-计算机网络安全.ppt_第1页
办公自动化-计算机网络安全.ppt_第2页
办公自动化-计算机网络安全.ppt_第3页
办公自动化-计算机网络安全.ppt_第4页
办公自动化-计算机网络安全.ppt_第5页
已阅读5页,还剩103页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、第9章 计算机网络安全 9.1 计算机网络安全概述 9.1.1安全基础知识 计算机网络安全的基本要素 机密性:网络信息不泄露给未授权用户。 完整性:收到的数据与发送的数据应相同,且仅被授权者才能修改数据。 可用性:被授权者在需要时可以访问相应数据,但不能占用所有资源阻碍授权者的正常工作。 可控性:可以控制被授权者使用的所有资源。 可审查性:对网络中的用户和其他实体进行审查和监控,当出现安全问题是可以提供调查依据和手段。,计算机网络安全策略,法律:法律和法规手段是基础 技术:高技术管理是根本保障 管理:加强内部管理、建立设计和跟踪体系。,主要的网络安全问题,1计算机系统安全 计算机作为一种信息社

2、会中不可缺少的资源和财产应当给予保护,以防止由于窃贼、侵入者和其他各种原因造成的损失。如何保护好计算机系统、设备以及数据的安全是一项长期艰巨的任务。 由于计算机和信息产业的快速成长以及对网络和全球通信的日益重视,计算机安全正变得更为重要。然而,计算机的安全一般来说是较为脆弱的,不管是一个诡计多端的黑客还是一群聪明的学生,或者是一个不满的雇员所造成的对计算机安全的损害带来的损失往往是巨大的,影响是严重的。 计算机系统安全的主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。这些计算机资源包括计算机设备、存储介质、软件、计算机输出材料和数据。,2数据库系统安全 数据库安全性是指数据库的任何部分都不

3、允许受到恶意侵害,或未经授权的存取与修改。数据库是网络系统的核心部分,有价值的数据资源都存放在其中,这些共享的数据资源既要面对必需的可用性需求,又要面对被篡改、损坏和被窃取的威胁。 通常,数据库的破坏来自下列四个方面:系统故障;并发所引起的数据不一致;转入或更新数据库的数据有错误,更新事务时未遵守保持数据库一致的原则;人为的破坏,例如数据被非法访问,甚至被篡改或破坏。,3计算机病毒的防治 计算机病毒的防御对网络管理员来说是一个望而生畏的任务。特别是随着病毒出现和更新速度越来越快,形势变得愈加严峻。目前,几千种不同的病毒无时不对计算机和网络的安全构成威胁。因此,了解和控制病毒威胁的需要显得格外的

4、重要,任何有关网络数据完整性和安全性的讨论都应考虑到病毒。 计算机病毒是一种“计算机程序”,它不仅能破坏计算机系统,而且还能够传播、感染到其他系统。它通常隐藏在其他看起来无害的程序中,能够进行自身复制并将其插入其他的程序中,执行恶意的行动。 检测的原理主要是基于下列四种方法:将被检测对象与原始备份进行对照所使用的比较法、利用病毒特征代码串的搜索法、病毒体内特定位置的特征字识别法以及运用反汇编技术分析被检测对象,确认是否为病毒的分析法。,4网络站点的安全 影响网络站点安全的主要因素包括: (1)认证环节薄弱性。Internet的许多事故的起源是因为使用了薄弱的、静态的口令。 (2)系统易被监视性

5、。当用户使用Telnet或文件传输协议(File Transfer Protocol,简称FTP)连接到远程主机上的账户时,在Internet上传输的口令是没有加密的。 (3)易被欺骗性。主机的IP地址被假定为是可用的,TCP和UDP服务相信这个地址。问题在于,如果攻击者的主机冒充一个被信任的主机或客户就危险了。 (4)有缺陷的局域网服务。一些数据库(例如口令文件)以分布式管理,允许系统共享文件和数据。但这些服务带来了不安全因素,可以被有经验的闯入者利用以获得访问权。 (5)复杂的设备和控制。对主机系统的访问控制配置通常很复杂而且难以验证其正确性。因此,偶然的配置错误会使闯入者获取访问权。 (

6、6)主机的安全性无法估计。主机系统的安全性无法很好地估计,随着每个站点主机数量的增加,确保每台主机的安全性都处于高水平的能力却在下降。,计算机网络安全威胁 信息泄漏与丢失 重要和敏感数据泄漏丢失(泄漏:黑客、网络侦听、卫星和手机等无线设备传输截留、内嵌芯片窃听和传输;外因造成丢失) 非授权访问 冒用合法身份访问资源、强行非授权访问资源 拒绝服务攻击 连续不断对服务器干扰,执行无关程序,造成网络瘫痪 破坏数据完整性 对数据库恶意添加、删除和修改数据 利用网络传播不良信息 众所周知(近期公安部严打手机传播不良信息),计算机安全技术 防火墙 加密 数字签名 审核监督 病毒防治 Cookies 网站服

7、务器将少量数据保存到本地机硬盘,它可以记载用户的ID和密码,较快地登陆网络(跳过ID和PassWord) 查看Cookies。C:/document and settings/用户名/Cookies Cookies设置 IE/工具/Internet选项/隐私。调整安全级别即可相应调整Cookies设置 通过“Internet选项/设置”可以设置和查看Cookies文件,1防火墙 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据系统的安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的

8、基础设施。,9.3.1 防火墙,防火墙主要包括五部分:安全操作系统;过滤器;网关;域名服务;E-mail处理(如图所示)。 有的防火墙可能在网关两侧设置两个内、外过滤器。外过滤器保护网关不受攻击,网关提供中继服务,辅助过滤器控制业务流,而内过滤器在网关被攻破后提供对内部网络的保护。,2防火墙的功能 (1)对出入网络的访问行为进行管理和控制 (2)过滤出入网络的数据,强化安全策略 (3)对网络存取和访问进行监控审计 (4)对不安全的服务进行限制或者拦截,防止内部信息的外泄,(1)网络级防火墙 网络级防火墙又称为包过滤防火墙,一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来做出网络包通

9、过与否的判断。 (2)应用级网关 应用级网关就是常说的“代理服务器”,它能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。,3防火墙的分类,1包过滤原理 包过滤在IP层实现,由路由器来完成,它根据包(报文)的源IP地址、目的IP地址、协议类型(TCP包、UDP包、ICMP包)、源端口、目的端口及包传递方向等包头信息来判断是否允许包通过,并形成一套包过滤规则。,9.3.2 防火墙的工作原理,包过滤是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据流中的每个数据包,根据数据包的源地址、目标地址以及数据包所使用的端口,确定

10、是否允许该类数据包通过。 在互联网这样的信息包交换网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包括发送者的IP地址和接收者的IP地址。当这些包被送上互联网时,路由器会读取接收者的IP,并选择一条物理线路发送出去,信息包可能以不同的路线抵达目的地,当所有的包抵达后,会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的IP地址,并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的话,从这个地址而来的所有信息都会被防火墙屏蔽掉。,过滤数据包的类型,(1)ICMP消息:网络层的IP控制和状态消息,它的包头包含了源IP地址、目的IP地址、ICMP协议标

11、识符和ICMP消息类型。 (2)UDP消息:UDP是一个无状态不可靠的传输发送协议。它的包头包含了源IP地址、目的IP地址、UDP协议类型以及源和目的服务端口号。 (3)TCP消息:TCP是一种面向连接的可靠的传输发送协议,它的包头包含了源IP地址、目的IP地址、TCP协议消息类型、源和目的服务端口、序列号和应答号以及用来产生和维护可靠连接的控制标志。,这类防火墙的缺点是不能对数据内容进行控制;很难准确地设置包过滤器,缺乏用户级的授权;数据包的源地址、目的地址以及IP端口号都在数据包的头部,很有可能被冒充或窃取,而非法访问一旦突破防火墙,即可对主机上的系统和配置进行攻击;可能还有其他方法绕过防

12、火墙进入网络,例如拨入连接。但这个并不是防火墙自身的缺点,而是不应该在网络安全上单纯依赖防火墙的原因。,(1) 应用代理服务器 应用代理服务器在网络应用层提供授权检查及代理服务。 (2) 回路级代理服务器 回路层代理是建立在传输层上的一种代理方法。通常在建立连接之前,由代理服务器先检查连接会话请求,再建立连接,并一直监控连接状态。当连接打开时,回路层代理会将IP包在用户应用程序和Internet服务之间进行转发。如果符合安全规则,则正常转发;否则,IP包数据不得通过,2网关原理,代理技术与包过滤技术完全不同,包过滤技术是在网络层拦截所有的信息流,代理技术是针对每一个特定应用都有一个程序。代理是

13、企图在应用层实现防火墙的功能。代理的主要特点是有状态性。代理能提供部分与传输有关的状态,能完全提供与应用相关的状态和部分传输方面的信息,代理也能自理和管理信息。,应用代理防火墙的缺点主要体现在:,(1)代理速度比包过滤防火墙慢 (2)代理对用户不透明。 (3)对于每项服务代理可能要求不同的服务器。 (4)明显的性能下降。 (5)代理不能改进底层协议的安全性,1屏蔽路由器 这是防火墙最基本的构件。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。 2双穴主机网关 用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。 3参数子网 在内部网络和外部网络之间建立

14、一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。,9.3.3 防火墙的体系结构,加密技术,数据加密的基本概念 明文变为密文的过程称为加密,由密文还原为明文的过程称为解密,加密和解密的规则称为密码算法。 我们用M、C分别表示明文、密文,用K1、K2表示加、解密密钥,加、解密算法分别用E、D来代表。于是加密/解密过程可以表示如下:,加密是通过特定的算法把可读或可处理的信息转换为不可读信息的技术。加密技术可以有效的保护存储在存储媒体上或在不可信通讯路线上传输的敏感数据,同时,它也可以保护敏感数据不被未经授权者访问。当然,任何技术都有其局限性,加密技术也一样,只要有足够时

15、间、足够资源和充分决心,攻击者可以破解大部分的加密算法,还原出加密过的信息。因此,我们应该认识到,要使加密过的信息不可破解是不现实的,使用加密技术是为了使破解加密信息所需的资源和时效性远远超过被加密信息本身的价值。,加密系统常用的加密算法:,常见的加密算法可以分成三类,对称加密算法,非对称加密算法和Hash算法 对称加密,指加密和解密使用相同密钥的加密算法。对称加密算法的优点在于加解密的高速度和使用长密钥时的难破解性。假设两个用户需要使用对称加密方法加密然后交换数据,则用户最少需要2个密钥并交换使用,如果企业内用户有n个,则整个企业共需要n(n-1) 个密钥,密钥的生成和分发将成为企业信息部门

16、的恶梦。 对称加密算法的安全性取决于加密密钥的保存情况,但要求企业中每一个持有密钥的人都保守秘密是不可能的,他们通常会有意无意的把密钥泄漏出去如果一个用户使用的密钥被入侵者所获得,入侵者便可以读取该用户密钥加密的所有文档,如果整个企业共用一个加密密钥,那整个企业文档的保密性便无从谈起。 常见的对称加密算法有DES、3DES、Blowfish、IDEA、RC4、RC5、RC6和AES,非对称加密,指加密和解密使用不同密钥的加密算法,也称为公私钥加密。假设两个用户要加密交换数据,双方交换公钥,使用时一方用对方的公钥加密,另一方即可用自己的私钥解密。如果企业中有n个用户,企业需要生成n对密钥,并分发

17、n个公钥。由于公钥是可以公开的,用户只要保管好自己的私钥即可,因此加密密钥的分发将变得十分简单。同时,由于每个用户的私钥是唯一的,其他用户除了可以可以通过信息发送者的公钥来验证信息的来源是否真实,还可以确保发送者无法否认曾发送过该信息。非对称加密的缺点是加解密速度要远远慢于对称加密,在某些极端情况下,甚至能比对称加密慢上1000倍。 常见的非对称加密算法有:RSA、ECC(移动设备用)、Diffie-Hellman、El Gamal、DSA(数字签名用),Hash算法。 Hash算法特别的地方在于它是一种单向算法,用户可以通过Hash算法对目标信息生成一段特定长度的唯一的Hash值,却不能通过

18、这个Hash值重新获得目标信息。因此Hash算法常用在不可还原的密码存储、信息完整性校验等。 常见的Hash算法有MD2、MD4、MD5、HAVAL、SHA,加密系统在企业中有三个基本的部署方向分别是存储、传输和认证。,存储方面,加密系统的主要作用是通过加密来保证敏感数据不被未授权者访问和通过Hash算法保证数据的完整性,加密常用的算法是3DES/Blowfish/AES,在操作的数据量比较小时,也常常采用RSA等分对称加密算法,校验常用的算法是MD5。 目前市场上常见的产品包括软件实现的对特定目标(文件、文件夹、数据库等)和全盘加密,如商业的PGP、开源的TrueCrypt、GPG等,及集成

19、加密芯片的加密存储设备,如Seagate等厂商的产品。,传输,加密系统的主要作用是保证用户传输的数据在非可信传输渠道传输时不受攻击者的威胁,并保证传输数据的完整性和真实性。 应用在这方面的加密系统比用在存储方面的更复杂一些,还需要考虑密钥的分发问题,所以传输方面的加密系统的一种常见形式是同时使用对称加密和非对称加密算法,先通过非对称加密来加密分发对称加密的密钥,再用对称加密的方法来保证数据处理和传输的速度。 在传输方面的加密系统还按连接加密的网络层次分为连接加密和端对端加密,连接加密会把特定数据连接的所有数据进行加密,通常用在有较高安全级别的通讯中,端对端加密则只加密数据本身,包括路由信息等网

20、络数据并不进行加密 加密系统包括软件实现的各种加密隧道如SSH、IPsec、VPN等 应用级别的端对端加密如PGP、HTTPS、SMIME、PEM等 硬件方面则有各种带VPN功能的防火墙、带加密功能的网卡等。,认证方面,加密系统的主要作用是确认信息发送者的身份、校验收到信息的完整性以及提供不可否认性。这些功能的实现依赖于非对称加密和Hash算法的结合使用,以公钥对比对方私钥的签名来确认信息发送者的身份,用Hash算法对信息进行校验。 目前认证方面的加密系统以软件实现为主,如各种PKI、PGP、GPG等,少量的加密系统实现中还使用写入私钥或安全证书的智能卡、闪存等来增加加密系统的安全性。,数字签

21、名的工作原理如图所示,其基本过程是:,(1)发送方通过对原始消息进行散列运算,生成一个消息摘要A。 (2)发送方使用自己的私钥对原始数据的消息摘要进行加密,得到数字签名,并将这个签名与原始信息一起传送给接收方。 (3)接收方首先从接收到的原始消息中计算出的消息摘要B。 (4)接收方使用发送方的公钥对数字签名解密后得到消息摘要A,然后将其与自己计算出来的消息摘要B进行对比,如果两者相同,表示信息确实是该发送方发出的,而且在传输中未被修改,以此来确认原始信息在传输过程中是否发生变化。,数字签名与书面签名有相同之处。它们都可以确认信息是否由签名者发送的,且能够判定信息在传输过程中是否做过任何修改。它

22、们的区别在于:书面签名是模拟的,且因人而异;数字签名是不仅与签名者的私钥有关,而且与报文的内容有关,它是0和1的字符串,因消息而异,不能将签名者对一份报文的签名复制到另一份报文上。这样,数字签名既可以用来防止待传输信息因易于修改而被未授权第三方随意处理,又可以杜绝假冒他人身份发送信息。 数字签名与消息认证的共同点包括:都能使收方验证消息发送方及所发消息内容的完整性。当收发双方之间无争议时,都能防止无关第三方对机密信息的破坏。它们的区别在于:当收发双方之间发生纠纷时,单纯用消息认证技术无法解决,必须借助于数字签名技术。,公钥基础设施,在网络通信中,为保证传送信息和交互活动的真实可靠,需要有一种机

23、制来验证参与各方身份的合法性。同时,对于数字签名和非对称密钥加密技术来说,面临着公开密钥的分发问题, 公钥基础设施(Public Key Infrastructure,简称PKI)可以有效地解决这个问题,它通过对数字证书的使用和管理,来提供全面的公钥加密和数字签名服务。通过PKI,可以将公钥与合法拥有者的身份绑定起来,从而建立并维护一个可信的网络环境,并在不同的应用中使用加密和签名服务。,PKI的基本组成,PKI的主要用途是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性和不可否认性。 一个完整

24、的PKI系统的组成如图所示,它应当具备权威认证中心、数字证书库、密钥备份和恢复系统、证书撤销系统和应用程序接口(Application Programming Interface,简称API)系统等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。,认证中心(CA),也称证书中心.它是PKI的核心,也是PKI的信任基础。它承担着网上安全交易认证服务,能签发数字证书,并能确认用户身份。认证中心通常是企业性的服务机构,它提供公钥加密和数字签名服务的平台,采用PKI框架管理密钥和证书。 任何想发放自己公钥的用户,可以去认证中心申请自己的证书。数字证书如同现实生活中的身份证一样,可以在网络环境中

25、确认组织或个人的身份。认证中心在验证用户的真实身份后,颁发包含用户公钥的数字证书,它包含用户的真实身份,并证实用户公钥的有效期和作用范围(用于交换密钥还是数字签名)。其他用户只要能验证证书是真实的,并且信任颁发证书的CA,就可以确认用户的公钥,实现合法用户的身份认证。,2数字证书库,数字证书库是开放网络上的一种分布式公共信息库,用于存放和检索认证中心已签发的数字证书和CRL。用户可由此获得其他用户的证书和公钥。构造数字证书库可采用支持轻量级目录访问协议(Lightweight Directory Access Protocol,简称LDAP)的目录系统,用户通过LDAP来访问证书库。目录系统必

26、须确保数字证书库的完整性,防止伪造和篡改证书。 证书库也可由Web、FTP或X.500目录来实现。由于证书库中存取对象是证书和CRL,其完整性由数字签名保证,因此对证书库的操作可在无特殊安全保护的信道上传输。,3密钥备份和恢复系统,如果用户丢失了解密密钥,则无法对接收到的报文进行解密,这会造成交易信息的丢失。为解决这个问题,PKI中的密钥备份和恢复系统提供了这种对密钥的处理机制。 但密钥的备份与恢复必须由可信的机构(例如认证中心CA)来完成,且密钥的备份与恢复只能针对解密密钥,签名私钥为确保其惟一性不能够做备份。,4证书撤销系统,证书撤销处理系统是PKI的一个重要组件。与日常生活中的各种身份证

27、件一样,数字证书也存在有效期,且在有效期以内也可能被撤销,如用户密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供撤销证书的一系列机制。 撤销证书有三种方法:撤销一个或多个主体的证书;撤销由某个认证中心签发的所有证书;撤销由某一对密钥签发的所有证书。 撤销证书一般通过将证书加入证书撤销列表(CRL)来完成。通常情况下,系统由认证中心CA负责创建并维护一张及时更新的CRL,用户在验证数字证书时首先检查该证书是否在CRL之列。CRL一般存放在目录系统中。 证书的撤销处理必须在安全且可验证的情况下进行,系统要维护CRL的完整性。,5应用程序接口系统,公钥基础设施的功能在于能够为用户提供方便的

28、信息加密和数字签名等安全服务,因此一个完善的公钥基础设施必须提供良好的应用接口系统,从而使得各种各样的应用在与PKI交互时能够达到安全、可信的目标,确保开放网络环境的安全性、完整性和易用性。,9.4.1计算机病毒的概念 1何谓计算机病毒 计算机病毒是一种通过外存储器和网络等作为媒介进行传播扩散,能“传染”其他程序的程序。 计算机病毒具有潜伏性、传染性和破坏作用。,2计算机病毒的分类 (1)外壳病毒:病毒将它们自己包裹在主程序的四周,对原来的程序不做修改。 (2)入侵病毒:就是把病毒程序的一部分插入到主程序,级别比较高。 (3)操作系统病毒:工作时把它们自己的一部分来代替操作系统的部分功能,属于

29、高级别的。 (4)源码病毒:最高级,专门针对某一种编程语言而写的,在这种语言写出来的程序被编译之前将它的代码加入进去。,3网络病毒 网络病毒就是在网络环境下生存的病毒,通过E-mail、文件下载等方式传播,新的特点: (1)感染速度快。 (2)扩散面广。 (3)传播的形式复杂多样。 (4)难于彻底清除。 (5)破坏性大。,4感染病毒后的症状 (1)机器不能正常启动。 (2)程序运行速度变慢。 (3)内存空间迅速变小。 (4)改变文件内容和长度。 (5)文件莫名其妙的出现和消失,文件名字忽然无故被更改。 (6)发出“奇怪的”显示和声音效果。 (7)经常出现“死机”现象。 (8)外部设备工作异常。

30、,9.4.2 网络病毒分析 1特洛伊木马病毒(Trojans) 特洛伊木马(简称木马病毒),也叫黑客程序或后门病毒。属于文件型病毒的一种,他们一般由服务端病毒程序和客户端控制程序等两个部分组成。 木马病毒工作包括以下六个环节:配置木马、传播木马、运行木马、信息泄露、建立连接、远程控制。,9.4防计算机病毒技术,2电子邮件病毒 通过电子邮件形式传播的计算机病毒,称之为“电子邮件病毒”。电子邮件病毒和一般病毒一样可以感染一般的系统文件和通过一般的途径传播,但电子邮件病毒还可感染电子邮件程序的通讯簿,并自动向通讯簿中的其他人发送含病毒的邮件。,9.4防计算机病毒技术,3蠕虫病毒 蠕虫病毒通过网络上的

31、各种手段进行传播,并以受感染的主机作为基地进行自我复制和扩散,消耗主机资源,最后可导致主机的瘫痪。 4恶意代码与流氓软件(插件) 一类是恶意广告软件。 一类是间谍软件。 另一类就是IE插件的形式强制安装,,9.4防计算机病毒技术,9.2.1 计算机病毒预防和清除方法 对付计算机病毒首先要预防,其次就是要有一套功能完善的杀毒软件。 病毒预防 常见预防方式(P.165) 计算机病毒检测与删除 人工消除法 专业技术人员所为。如对引导扇区感染病毒可用正常的引导程序覆盖它。 仅当一种病毒刚出现时,没有可以杀毒的软件时采取的方法 软件自动消除法 及杀毒软件。种类繁多 9.2.2 常用杀毒软件 瑞星 金山

32、诺顿 NOD等 所有杀毒软件要及时升级,9.4防计算机病毒技术,黑客攻击网络系统的方法主要包括以下几种: 基于口令的攻击、 网络偷窥 报文劫持攻击 利用受托访问攻击 IP欺骗攻击等,9.6防黑客攻击技术,8.6.1黑客攻击过程 黑客对网络系统的攻击可分为三个阶段:收集系统信息、探测系统安全弱点、实施攻击。 1收集信息 收集信息主要是收集待攻击目标的数据库及驻留在目标主机系统上的相关资料。 黑客收集信息常用到一些公开协议和工具软件。 2探测安全弱点 探测安全弱点就是寻求目标系统的安全漏洞,以便于下一步的攻击。 黑客常使用程序自动扫描连接在网络上的目标主机。 3实施攻击 实施攻击的目的是获取目标系

33、统的重要信息,或从暗中控制目标系统,或对目标系统进行短暂或长期的骚扰。,9.6防黑客攻击技术,网络入侵的对象,1网络资源 网络上的系统常常是攻击的主要目标,对这些资源的攻击通常分为几大类: (1)数据操纵或访问。网络上的很多系统都存在着共享目录(由系统或用户所创建),它们为攻击者提供了入口点。 (2)账号访问。如果攻击者能得到网络中的一个有效账号,他就极大地增加了获得特权访问并最终攻破整个网络的可能性。 (3)权限提升。权限提升攻击是指从非特权用户获得提升了的特权。(4)信任关系。信任关系在一个网络内的特定主机间建立了一种特权访问级别。这种信任通常是基于IP地址或系统名称,这两种机制都容易被攻

34、击者所利用。,2网络协议,除了攻击网络资源之外,攻击者有时会攻击网络协议的完整性。网络协议使网络上的资源能相互共享。通过操纵网络协议,一个攻击者希望获得对网络中某些资源的访问权。协议的攻击归为两类:中间攻击和欺骗攻击。 (1)中间攻击。中间攻击是指攻击者劫持使用某种协议通信的两台主机间会话的一种攻击。这种攻击可能完全接管了整个会话,或者只是扮演篡改或仅传递来自真实主机的某些特定数据的中继。 (2)欺骗攻击。很多攻击依赖于攻击者伪装成其他用户的能力,用其他系统的源IP地址发送数据包被称作欺骗。,口 令 攻 击,所谓口令攻击是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。这种方

35、法的前提是必须先得到该主机上的某个合法用户的账号,然后再进行合法用户口令的破译。,破解口令的方法,1强力破解法获取口令 字典搜索法:计算机就会自动地从字典中取一个词作为用户口令进行尝试,逐个词循环进行,直至找到正确的口令 蛮力穷举法,即将口令可能的字符数从小到大,将所有可能的字符进行组合,以此为口令进行搜索,进而得到正确的口令。 分布式破解法:可以把任务分成多块,由多台计算机来执行。,2通过网络监听非法得到用户口令,以太网是广播式的,一台机器发送,其余机器收听,并根据其目的地址来决定是否接收。以太网卡一般工作在只接收本身地址包的模式,然而也可以工作在收听所有包的模式,因而决定权是在接收方,这就

36、为窃听创造了条件。 对于许多传统网络应用来说,口令在网络上传播的时候,完全是以明文发送的,例如POP3邮局协议、Telnet远程登录、FTP文件传输等。而一般的浏览器向Web发送消息时也是明文。,3通过木马攻击非法得到用户口令,所谓木马攻击,也就是黑客在用户不知道的情况下,在用户机器上安装特殊程序。 这可以通过网络电子邮件、免费下载程序等方式,让用户无意中执行木马程序。 一旦驻进了木马程序,用户的口令就非常危险了。因为这种程序可以记录用户所有的击键信息并自动通过网络发送出去,或存在硬盘上某个地方,留待攻击者取走。也可以从内存或磁盘读取记录的口令发送出去,IP 欺 骗,所谓IP欺骗,就是伪造他人

37、的IP地址。IP欺骗在某些以IP地址作身份认证的服务中,伪装成合法用户,取得一般用户甚至超级用户的权限;或在已建立的TCP连接中接管连接以取得相应的权限(又被称为IP劫持),从而冒充合法用户给服务器发送非法命令,或冒充服务器给用户发回虚假信息,给用户和服务器造成巨大危害。,Internet 的网络层协议IP 只是发送数据包,并且保证它的完整性。如果不能收到完整的IP 数据包,IP 会向源地址发送一个ICMP 错误信息,希望重新处理。 然而这个ICMP 包也可能丢失。由于IP 是无连接的,所以不保持任何连接状态的信息。每个IP 数据包被发送出去,不关心前一个和后一个数据包的情况。 由此看出,可以

38、对IP 堆栈进行修改,在源地址和目的地址中放入任意满足要求的IP 地址,也就是说,提供虚假的IP 地址。,TCP 提供可靠传输。通常TCP 连接建立一个包括3 次握手的序列。客户选择和传输一个初始的序列号(SEQ),并设置标志位SYN=,告诉服务器它需要建立连接。服务器确认这个传输,并发送它本身的序列号,并设置标志位ACK,同时告知下一个期待获得的数据序列号。客户再确认它。经过三次确认后,双方开始传输数据。,当用户的主机A 要与某个网站服务器B建立连接时,A 先发一个SYN 包告诉对方主机B,说“我要和你通信了”,当B 收到时,就回复一个ACK/SYN 确认请求包给A 主机。如果A 是合法地址

39、,就会再回复一个ACK 包给B 主机,然后两台主机就可以建立一个通信渠道了。 可是攻击者机器A 发出包的源地址是一个虚假的IP 地址,或者实际上不存在的一个地址,则B 发出的那个ACK/SYN 包当然无法找到目标地址。如果这个ACK/SYN 包一直没有找到目标地址,那么也就无法获得对方回复的ACK 包。而在缺省超时的时间范围以内,主机B 的一部分资源要花在等待这个ACK 包的响应上,假如短时间内主机B 接到大量来自虚假IP 地址的SYN 包,它就要占用大量的资源来处理这些错误的等待。大量发送这类欺骗型的请求,最后的结果就是主机B 上的系统资源耗尽以至瘫痪。,IP 欺骗由若干步骤组成,首先假定:

40、 (1)目标主机已经选定; (2)信任模式已被发现,并找到了一个被目标主机信任的主机。 攻击者为了进行IP 欺骗,采取如下步骤: (1)使得被信任的主机丧失工作能力,同时采样目标主机发出的TCP 序列号,猜测出它的数据序列号; (2)伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。如果连接成功,攻击者可以使用一种简单的命令放置一个系统后门,以进行非授权操作。,IP 欺骗的防范,(1)改变间隔。 IP 欺骗的关键在于现有系统中初始序列号变量的产生方法相对粗糙,不能借助一次合法连接推算出当前的序号,也就不能顺利实施攻击。 (2)禁止基于IP 地址的验证 IP 欺骗的原理是冒充被信任

41、的主机,而这种信任是建立在基于IP 地址的验证上。 (3)使用包过滤 (4)使用加密方法 (5)使用随机化的初始序列号,端 口 扫 描,所谓端口扫描,就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。,端口就是一个潜在的通信通道,也可能成为一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息(如该服务是否已经启动?),从而发现系统的安全漏洞。 进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行。 在扫描目标主机的服务端口之前,首先得搞清楚该主机

42、是否已经在运行。如果发现该主机是活的(alive),那么,下面可以对该主机提供的各种服务端口进行扫描,从而找出活着的服务。,扫描手段,Ping Tracert 扫描器通过选用远程TCP/IP 不同的端口的服务,并记录目标给予的回答来实现,采用这种方法,可以搜集到很多关于目标主机的各种有用的信息,如: (1)是否能用匿名(anonymous)登录? (2)是否有可写的FTP 目录? (3)是否能用Telnet? (4)HTTPD 是用ROOT 还是nobody 在运行? 扫描器一般具有三项功能: (1)发现一个主机或网络; (2)一旦发现一台主机,能够发现该主机正在运行何种服务; (3)通过测试

43、这些服务,发现内在的漏洞,1)TCP connect()扫描 这是最基本的TCP 扫描。connect()用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功,否则,这个端口不能使用,即没有提供服务。 (2)TCP SYN 扫描 TCP connect()扫描需要建立一个完整的TCP 连接,很容易被目的方发现。而TCP SYN 技术通常认为是“半开放”扫描,这是因为扫描程序不必打开一个完全的TCP 连接。 (3)TCP FIN 扫描 通常情况下,一些防火墙和包过滤器会对一些指定的端口进行监视,并能检测和过滤掉TCP SYN 扫描。 (4)IP 段扫

44、描 它并不直接发送TCP 探测数据包,而是将数据包分成两个较小的IP 段。,网 络 监 听,当信息以明文的形式在网络上传输时,便可以使用网络监听的方式进行攻击。将网络接口设置在监听模式便可以源源不断地截获网上信息。网络监听可以在网上的任何一个位置实施。 网络监听主要用于局域网络,在广域网里也可以监听和截获到一些用户信息,但更多信息的截获要依赖于配备专用接口的专用工具。 一个比较好的检测工具是Antisniff,它运行在本地以太网的一个网段上,用以检测本地以太网是否有机器处于混杂模式。,Sniffer 通常运行在路由器,或有路由器功能的主机上。这样就能对大量的数据进行监控。 Sniffer 属第

45、二层次(数据链路层)的攻击。通常是攻击者已经进入了目标系统,留下了后门,安装Sniffer 工具,然后运行Sniffer,以便得到更多的信息。 Sniffer 除了能得到口令或用户名外,还能得到更多的其他信息,比如登录用户的银行卡号、公司账号、网上传送的金融信息等等。Sniffer 几乎能得到以太网上传送的任何数据包。,加密是对付Sniffer 比较安全的方法,要求在传送前加密数据,对方收到后解密。 使用安全拓扑结构。使用安全拓扑结构一般需要遵循下列规 则:一个网络段必须有足够的理由才能相信另一网络段。网络段应该在考虑数据之间的信任关系上来设计,而不是硬件需要。,拒绝服务式攻击,拒绝服务方式攻

46、击的英文意思是Denial of Service,简称DoS。这种攻击行动使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。拒绝服务攻击也是电子政务系统中非常常见的一种攻击手段。,拒绝服务式攻击的防范措施,从目前来看,没有绝对有效的方法来对付拒绝服务攻击。因此,在系统中也只能有采取一些防范措施,主要是避免成为被利用的工具或者成为被攻击的对象。,无线网络安全,对于一般的以无线AP或无线路由器为中心的无线网络来说,其一般以一台符合IEEE802.11b/g模式的AP或无线带路由器做为控制中心,所有通信都是通过AP或无线宽带路由器作

47、连接,AP或无线路由器相当于有线网络中的集线器,可连接1-254台计算机。 并且多数AP或无线路由器在一般情况下,其内置的DHCP服务器都采用了动态分配方式,可为网络客户机分配动态的IP地址。这样就不需要对接入电脑设置固定的IP地址,家庭用户使用起来轻松方便,但也让非法电脑加入该无线网络提供了便利。,而Windows XP中所包含的无线零配置(WZC)服务也是同样的功能,其能够让配备无线网卡的电脑根据您的个人喜好或某种缺省设置动态选择尝试进行连接的无线网络。这项服务也能够自动选择并连接最佳可用无线网络。,无线零配置界面其深层因素都是因为无线网卡及其网络驱动程序接口规范(NDIS),支持用以查询

48、并设置设备与驱动程序运行方式的NDIS对象标识符(OID)。 在无线信号覆盖范围内,无线网卡将扫描可用无线网络,并将其网络名称(也称作服务设置标识符或SSID)传递至WZC服务。,接入有一定限制的无线网络,具备无线网卡的笔记本电脑或PDA、智能手机接入无任何限制的无线网络轻而易举,所以无线用户发现有人非请自入他们的网络之后,其便会通过以些安全设置来阻止你的接入。,安全策略,1、不广播SSID,虽然对于多用户无线系统,非凡是公用无线系统而言,不广播SSID其安全性同样难以完全保证,但其仍是简单易行的一种方法。 对于没有广播SSID的无线网络,可用Kismet或Ethereal等工具软件试试(需先

49、安装任一种Linux操作系统)。Kismet是一个非常不错无线网络探测器,它依靠无线网卡来报告数据包,而大多数主流网卡都支持。,WEP,2、对无线系统进行常见的WEP加密,WEP(Wired Equivalent Privacy)加密技术源自于名为RC4的RSA数据加密技术,可满足用户较高层次的网络安全需求。 WEP使用了共享秘钥RC4加密算法,密钥长度最初为64位(5个字符),后来增加到128位(13个字符)。使用静态WEP加密可以设置4个WEP Key,使用动态(Dynamic)WEP加密时,WEP Key会随时间变化而变化。 当加密机制功能启用,客户端要尝试连接上AP或无线路由器时,AP

50、或无线路由器会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回AP或无线路由器以进行认证比对,只有正确无误,才能接入网络。但RC4算法和共享密钥认证也存在弱点,假如攻击者监听到认证应答,则可以破解WEP。,破解WEP,而假如想要破解WEP加密,可用Airsnort这款工具软件。这个工具非常好用,可以用来嗅探并破解WEP密钥。它可捕捉大量抓来的数据包,来破解WEP密钥。 AirSnort图形化的操作界面让这个工具变得相当轻易使用。使用AirSnort并不会对目前的无线网络产生任何影响,因为AirSnort只是单纯的将无线网卡转成Monitor模式,被动的监听

51、收集封包,当收集到足够的封包时,就可以计算出WEP密钥。,更先进的WPA-PSK加密,则可试试CowPatty这款工具软件。 该工具主要用于破解WPA-PSK,它通过简单地尝试一个文章中各种不同的选项,来看是否某一个刚好和预共享的密钥相符。,无线安全方法,尽量使用最新的WPA2加密, 可进行MAC地址过滤,只允许合法的MAC地址接入网络,或访问internet 使用IP地址绑定 通过设置复杂的密码来避免入侵,因为破解主要还是字典穷举法。还要经常更换密码。 这些方案的联合应用对普通黑客来说其还是难于被破解的。,9.6.2 防黑客入侵 1发现黑客的蛛丝马迹 首先定时检查操作系统的系统文件和配置文件

52、是否被修改,一旦发现有被修改的痕迹,应怀疑黑客入侵。 其次对可疑行为进行快速检查,检查访问及错误登录文件,系统命令的使用情况。 最后,密切注视那些屡次失败的访问口令或企图访问受口令保护的资源行为。,2应急措施 当发现黑客入侵时,应首先考虑这将对系统和用户产生什么影响,然后考虑如何阻止黑客的进一步入侵。 (1)估计入侵造成的破坏程度,迅速采取行动,保护系统的用户、文件和资源免遭严重破坏。 (2)切断连接,如停止有影响的服务(FTP,TELNET,3W等),根据入侵的程度确定是否需要关闭服务器。 3阻止入侵者 采取一些必要措施阻止黑客的入侵。,9.6防黑客攻击技术,9.7.1配置服务器 1定制Wi

53、ndows Server 2003 定制Windows Server 2003主要完成两项工作,一是选择合适的Windows Server 2003版本,二是安装组件的确定,系统安全的原则是:最少的服务最小的权限最大的安全。 2. 创建活动目录 活动目录(Active Directory)以目录的形式唯一标识域管理相关的对象,包括网络中的所有实体,如计算机、用户、打印机、文件等等。用户登录到相应的域,则拥有该域管理所设定的相应权限。,9.7网络服务器安全技术,3配置Windows Server 2003账户 (1) 更改系统管理员账户 服务器默认管理员账户名为Administrator,该账户

54、具有最高操作权限,它不能删除,只能改名。 (2) 设置陷阱帐号 新建一个名为Administrator的陷阱帐号,为其设置最小的权限,随意输入不少于20位的密码。 (3) 设置Guest账户 将Guest账户禁用并更改名称和描述。 (4) 设定用户登录次数锁定,8.7网络服务器安全技术,4禁止C$、D$、ADMIN$一类的缺省共享 打开“注册表编辑器”,找到键值HKEY_LOCAL_MACHINE/ SYSTEM/CurrentControlSet/Services/lanmanserver/parameters,在对应的右边窗口中右击鼠标,新建DWORD值,名称设为AutoShareServ

55、er,双击该名称,将“数值数据”设为0,则可禁止C$、D$共享;新建DWORD值AutoShareWks,取值为0,可禁止 ADMIN$共享。 禁止这些共享后,外部非法用户直接对服务器进行操作的可能性就降低了很多。,9.7网络服务器安全技术,9.7.2 使用安全配置向导 安全配置向导 (Security Configuration Wizard,简称 SCW) 是Windows 2003的一个组件,利用它能确定服务器的一个或多个角色所需的最少功能,并禁用不必要的功能,从而缩小服务器的受攻击面,提高服务器的安全性。 SCW可以完成下列操作: 禁用不需要的服务。 阻止未使用的端口。 允许对打开的端

56、口进一步实施地址或安全限制。 禁止不需要的 IIS web 扩展。 减少对服务器消息块 (SMB)、LanMan 和轻型目录访问协议 (LDAP) 的协议公开。 定义强的信号到噪音审核策略。,9.7网络服务器安全技术,Ipc 攻击,1. C:net use IPC$ /user:admintitrators 这是用流光扫到的用户名是administrators,密码为空的IP地址(空口令?哇,运气好到家了),如果是打算攻击的话,就可以用这样的命令来与建立一个连接,因为密码为空,所以第一个引号处就不用输入,后面一个双引号里的是用户名,输入administrat

57、ors,命令即可成功完成。 2. C:copy srv.exe admin$ 先复制srv.exe(这个是反响连接的木马)上去,这里的$是指admin用户的c:winntsystem32,大家还可以使用c$、d$,意思是C盘与D盘,这看你要复制到什么地方去了。 3. C:net time 查查时间,发现 的当前时间是 2002/3/19 上午 11:00,命令成功完成。 4. C:at 11:05 srv.exe 用at命令启动srv.exe吧,实 验,最少的服务最少的端口开放最安全的系统 1、必须安装防火墙和杀毒软件

58、 虽然在面对新病毒时,杀毒软件会变得手足无措,倒不如自己上网找杀毒办法。但有一个杀毒软件就是多了一道屏障,不管这道屏障有多高或多矮,始终是利大于弊的。 防火墙也是必须要安装的,同时最好还安装一些监测网络进程的程序,时刻监视有无恶意程序在进行非法操作。,2、为Administrator用户降权,在Windows操作系统里,Administrator是最高级的用户,在正常的登陆模式是无法看到的,因此很容易忽略由Administrator用户带来的安全问题。 Administrator用户的初始密码是空的,如果没用安装防火墙,黑客很容易通过Administrator帐户进入你的电脑。这时做什么都已经

59、为时已晚了。 事实上,这并不是降权,是创建一个伪造的,无实际权利的Administrator用户。 具体操作如下,先以一个非Administrator的管理员帐户登陆windows,然后打开:控制面板-管理工具-计算机管理-本地用户和组-用户,删除Administrator用户,再创建一个新的Administrator用户,右击设置密码,密码有多复杂就多复杂,让其隶属于最低级别的用户组,并在属性里勾选帐户已停用。 这样,即使别人破解了你的Administrator帐户,进入后也发现只是一个没用实权的帐户。其实直接删除掉这个用户就行了。网上都出这种方法,浪费感情和时间。,3、禁止所有磁盘自动运行,如今U盘病毒盛行,稍不小心就会导致“格盘”。U盘病毒一般的运行机制是通过双击盘符自动运行,因此,禁用所有磁盘的自动运行是一种相当有效的预防手段。 具体的操作过程是:运行输入gpedIT.msc-用户配置-管理模板-系统,双击右侧列表里的【关闭自动播放】,选择“所有驱动器”,然后选择“已启动”。确定退出。关掉自动播

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论