计算机网络安全基础知识幻灯片

1、第1章 计算机网络安全基础知识,1,2,任务一 Ping攻击与防范,任务分析,技能目标,知识链接,操作步骤,2,一.真实工作任务分析：,测试特理网络的命令Ping（因特网包探索器）是用于测试网络连接量的程序。它发送一个ICMP响应请求消息给目的地，并报告是否收到所希望的ICMP应答，校验与远程或本地计算机的连接。,3,一.真实工作任务分析：,本案例中的攻击只需网中多台电脑同时在Ping后加上参数-t对目标机进行长时间测试，从攻击的意义而言就完成了一次Ping攻击，大量的数据包将会使目标机运行速度越来越慢，甚至瘫痪。在DOS环境中完成这个命令，命令如下： 格式：Ping 目标IP地址 t 例：P

2、ing 192.168.0.6 t,4,二.技能目标：,1.掌握Ping攻击与防范方法,2.掌握利用工具软件检测系统漏洞的方法,5,三.知识链接：,1,计算机网络安全定义,2,3,计算机网络安全特征,网络面临的威胁,6,课堂讨论：,你碰到过网络不安全的情况没有?你碰到的情况有什么样的症状?你是怎样解决的?。,7,三.知识链接：,随着网络技术的不断发展,网络在人们的生活中已经占有一席之地,为人们的生活带来了很大方便。然而，网络也不是完美无缺的，它在给人们带来惊喜的同时，也带来了威胁。计算机犯罪、黑客、有害程序和后门问题等严重威胁着网络的安全。目前，网络安全问题等严重威胁着网络的安全。,1.网络安

3、全定义,8,三.知识链接：,网络的安全策略一般分为三类：逻辑上的，物理上的和政策上的。逻辑上的措施，即研究开发有效的网络安全技术，例如，安全协议、密码技术、数字签名、防火墙、安全管理、安全审计等。,9,三.知识链接：,计算机网络安全是指保持网络中的硬件、软件系统正常运行，使它们不因自然和人为的因素而受到破坏更改和泄露。网络安全主要包括物理安全、软件安全、数据安全和运行安全等4个方面。,10,三.知识链接：,案例1:,11,三.知识链接：,案例2:,12,三.知识链接：,案例3:,13,三.知识链接：,由于网络安全威胁的多样性、复杂性及网络信息、数据的重要性，在设计网络系统的安全时，应该努力达到

4、安全目标。一个安全的网络具有下面五个特征：可靠性、可用性、保密性、完整性和不可低赖性。,2.计算机网络安全的特征,14,三.知识链接：,（1）可靠性 可靠性是网络安全最基本的要求之一，是指系统在规定条件下和规定时间内完成规定功能的概率。 (2)可用性是指信息和通信服务在需要时允许授权人或实体使用。 （3）保密性 保密性指防止信息泄漏给非授权个人或实体,信息只为授权用户使用.保密性是面向信息的安全要求。,2.计算机网络安全的特征,15,三.知识链接：,（4）完整性 完整性也是面向信息的安全要求。它是指信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。 （5）不可抵赖性 不可抵赖

5、性也称作不可否认性，是面向通信双方（人、实体或进程）信息真实的安全要求。,2.计算机网络安全的特征,16,三.知识链接：,1计算机系统的脆弱性 计算机系统的脆弱性主要来自计算机操作系统的不安全性，在网络环境下，还来源于网络通信协议的不安全性。 2网络内部的威胁 对网络内部的威胁主要是来自网络内部的用户，这些用户试图访问那些不允许使用的资源和服务器。可以分为两种情况：一种是有意的安全破坏，第二种是由于用户安全意识差造成的无意识的操作失误，使得系统或网络误操作或崩溃。,3.网络面临的内部威胁,17,三.知识链接：,除了受到来自网络内部的安全威胁外，网络还受到来自外界的各种各样的威胁。网络系统的威胁

6、是多样的，因为在网络系统中可能存在许多种类的计算机和操作系统，采用统一的安全措施是不容易的，也是不可能的，而对网络进行集中安全管理则是一种好的方案。 安全威胁主要可以归结为物理威胁、网络威胁、身份鉴别、编程、系统漏洞等方面。,4.网络面临的外部威胁,18,四.真实工作任务分析：Ping攻击与防范,测试特理网络的命令Ping（因特网包探索器）是用于测试网络连接量的程序。它发送一个ICMP响应请求消息给目的地，并报告是否收到所希望的ICMP应答，校验与远程或本地计算机的连接。,19,四.真实工作任务分析： Ping攻击与防范,本案例中的攻击只需网中多台电脑同时在Ping后加上参数-t对目标机进行长

7、时间测试，从攻击的意义而言就完成了一次Ping攻击，大量的数据包将会使目标机运行速度越来越慢，甚至瘫痪。在DOS环境中完成这个命令，命令如下： 格式：Ping 目标IP地址 t 例：Ping 192.168.0.6 t,20,系统内置的网络测试工具ping,21,2,-t 有这个参数时，当你ping一个主机时系统就不停的运行ping这个命令，直到你按下Control-C。 -a解析主机的NETBIOS主机名，如果你想知道你所ping的要机计算机名则要加上这个参数了，一般是在运用ping命令后的第一行就显示出来。 -n count定义用来测试所发出的测试包的个数，缺省值为4。通过这个命令可以自己

8、定义发送的个数，对衡量网络速度很有帮助，比如我想测试发送20个数据包的返回的平均时间为多少，最快时间为多少，最慢时间为多少就可以通过执行带有这个参数的命令获知。 -l length定义所发送缓冲区的数据包的大小，在默认的情况下windows的ping发送的数据包大小为32byt，也可以自己定义，但有一个限制，就是最大只能发送65500byt，超过这个数时，对方就很有可能因接收的数据包太大而死机，所以微软公司为了解决这一安全漏洞于是限制了ping的数据包大小。 -f 在数据包中发送“不要分段”标志，一般你所发送的数据包都会通过路由分段再发送给对方，加上此参数以后路由就不会再分段处理。,22,2,

9、-i ttl 指定TTL值在对方的系统里停留的时间，此参数同样是帮助你检查网络运转情况的。 -v tos 将“服务类型”字段设置为 “tos” 指定的值。 -r count 在“记录路由”字段中记录传出和返回数据包的路由。一般情况下你发送的数据包是通过一个个路由才到达对方的，但到底是经过了哪些路由呢？通过 此参数就可以设定你想探测经过的路由的个数，不过限制在了9个，也就是说你只能跟踪到9个路由。 -s count指定“count” 指定的跃点数的时间戳，此参数和-r差不多，只是这个参数不记录数据包返回所经过的路由，最多也只记录4个。 -j host-list 利用“ computer-list

10、” 指定的计算机列表路由数据包。连续计算机可以被中间网关分隔IP 允许的最大数量为 9。 -k host-list 利用 “computer-list” 指定的计算机列表路由数据包。连续计算机不能被中间网关分隔IP 允许的最大数量为 9。 -w timeout指定超时间隔，单位为毫秒。 destination-list 是指要测试的主机名或IP地址,23,2,ping IP -t连续对IP地址执行Ping命令。 ping IP -l 2000指定Ping命令中的数据长度为2000字节，而不是缺省的32字节。 ping IP -n执行特定次数的Ping命令。,Ping命令的常用参数选项,24,2

11、,-t参数 有这个参数时，当你ping一个主机时系统就不停的运行ping这个命令，直到你按下Control-C。,C:WINDOWSping 192.168.1.188 -t Pinging 192.168.1.188 with 32 bytes of data: Reply from 192.168.1.188: bytes=32 time10ms TTL=64 Reply from 192.168.1.188: bytes=32 time10ms TTL=64 Reply from 192.168.1.188: bytes=32 time10ms TTL=64 Reply from 192

12、.168.1.188: bytes=32 time10ms TTL=64 Reply from 192.168.1.188: bytes=32 time10ms TTL=64 Reply from 192.168.1.188: bytes=32 time10ms TTL=64 Reply from 192.168.1.188: bytes=32 time10ms TTL=64 Reply from 192.168.1.188: bytes=32 time10ms TTL=64 Ping statistics for 192.168.1.188: Packets: Sent = 8, Recei

13、ved = 8, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms Control-C,25,2,-a解析主机的NETBIOS主机名，如果你想知道你所ping的计算机名则要加上这个参数了，一般是在运用ping命令后的第一行就显示出来。,C:WINDOWSping -a 192.168.1.100 Pinging 000 192.168.1.100 with 32 bytes of data: Reply from 192.1

14、68.1.100: bytes=32 time10ms TTL=128 Reply from 192.168.1.100: bytes=32 time10ms TTL=128 Reply from 192.168.1.100: bytes=32 time10ms TTL=128 Reply from 192.168.1.100: bytes=32 time10ms TTL=128 Ping statistics for 192.168.1.100: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round tr

15、ip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms 可以得知： ip 为192.168.1.100的计算机，NETBIOS名为000,26,2,-n count定义用来测试所发出的测试包的个数，缺省值为4。通过这个命令可以自己定义发送的个数，对衡量网络速度很有帮助，比如我想测试发送20个数据包的返回的平均时间为多少，最快时间为多少，最慢时间为多少就可以通过执行带有这个参数的命令获知。,C:WINDOWSping -n 10 192.168.1.188 Pinging 192.168.1.188 with

16、32 bytes of data: Reply from 192.168.1.188: bytes=32 time10ms TTL=64 Reply from 192.168.1.188: bytes=32 time10ms TTL=64 Reply from 192.168.1.188: bytes=32 time10ms TTL=64 Reply from 192.168.1.188: bytes=32 time10ms TTL=64 Reply from 192.168.1.188: bytes=32 time10ms TTL=64 Reply from 192.168.1.188: b

17、ytes=32 time10ms TTL=64 Reply from 192.168.1.188: bytes=32 time10ms TTL=64 Reply from 192.168.1.188: bytes=32 time10ms TTL=64 Reply from 192.168.1.188: bytes=32 time10ms TTL=64 Reply from 192.168.1.188: bytes=32 time10ms TTL=64 Ping statistics for 192.168.1.188: Packets: Sent = 10, Received = 10, Lo

18、st = 0 (0% loss) Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms 向IP为192.168.1.188的计算机，发送10个数据包，发送10个，返回10个，没有丢包。,27,2,C:ping -l 65500 -t 192.168.1.21Pinging 192.168.1.21 with 65500 bytes of data:Reply from 192.168.1.21: bytes=65500 time10ms TTL=254Reply fr

19、om 192.168.1.21: bytes=65500 time10ms TTL=254,这样它就会不停的向192.168.1.21计算机发送大小为65500byt的数据包，如果你只有一台计算机也许没有什么效果，但如果有很多计算机那么就可以使对方完全瘫痪。,28,2,操作步骤:,【操作步骤】 第1步：添加IP安全策略。我们首先要做的就是，在控制台中添加IP安全策略单元，添加步骤如下： （1）依次点击【开始】【运行】，然后在【运行】窗口中输入“mmc”并回车，此时将会打开【控制台1】窗口，如图1-1所示。,图1-1 控制台窗口,29,操作步骤:,（2）在图1-1所示窗口依次点击【文件】【添加/

20、删除管理单元】【添加】，此时将会打开【添加/删除管理单元】窗口，我们在此窗口下的列表中双击“IP安全策略管理”，如图1-2所示。,30,操作步骤:,（3）这时将会弹出【选择计算机域】窗口，在此我们选中【本地计算机】，然后点击【完成】按钮，最后依次点击【关闭】【确定】，返回【控制台1】主界面，此时我们将会发现在【控制台根节点】下多了【IP安全策略，在本地计算机】（如图1-3所示）项，此时可以说明控制台中已经添加了IP安全策略项。,31,操作步骤:,第2步：创建IP安全策略。在我们添加了IP安全策略后，还要创建一个新的IP安全策略，步骤如下： （1）在图1-3中右键点击【IP安全策略，在本地机器】

21、选项，执行【创建IP安全策略】命令，此时将会打开【IP安全策略向导】窗口。 （2）单击【下一步】按钮，此时将会出现要求指定IP安全策略名称及描述向导页面，我们可以在【描述】下输入一个策略描述，比如【禁止Ping】，如图1-4所示。,32,操作步骤:,（3）点击【下一步】，然后在出现的页面中确保选中了【激活默认相应规则】项，然后单击【下一步】。 （4）在出现的【默认响应规则身份验证方法】对话框中选中【此字符串用来保护密钥交换（预共享密钥）】选项，然后在下面的文字框中任意键入一段字符串（如“禁止 Ping”），如图1-5所示。,33,操作步骤:,（5）单击【下一步】，此时将会出现完成IP安全策略向

22、导页面窗口，最后单击【完成】按钮即完成了IP安全策略的创建工作。 第3步：编辑IP安全策略属性。在以上IP安全策略创建后，在控制台中就会看到刚刚创建好的【新IP安全策略】项，下面还要对其属性进行编辑修改，步骤如下； （1）在控制台中双击创建好的新IP安全策略，此时将会弹出【新IP安全策略属性】 窗口，如图1-6所示。,34,操作步骤:,（2）单击【添加】按钮，此时将会弹出【安全规则向导】窗口，直接点击【下一步】则进入【隧道终结点】页面，在此点选【此规则不指定隧道】。 （3）单击【下一步】此时将会出现【网络类型】页面，在该页面中我们点选【所有网络连接】项，这样就能保证所有的计算机都Ping不通该

23、主机了，如图1-7所示。,35,操作步骤:,（4）单击【下一步】，此时将会出现【身份验证方法】页面，我们继续选中【此字符串用来保护密钥交换（预共享密钥）】项，然后在下面的输入框中输入“禁止Ping”的文字，如图1-8所示。,36,操作步骤:,（5）单击【下一步】，然后在打开的【IP筛选器列表】页面中单击【添加】按钮，此时将会打开【IP筛选器列表】窗口，如图1-9所示。,37,操作步骤:,（6）在【IP筛选器列表】窗口中单击【添加】按钮，此时将会弹出【IP筛选器向导】窗口，我们单击【下一步】，此时将会弹出【IP通信源】页面，在该页面中设置【源地址】为“我的IP地址”，如图1-10所示。,38,操

24、作步骤:,（7）单击【下一步】按钮，我们在弹出的页面中设置【目标地址】为【任何IP地址】，任何IP地址的计算机都不能Ping你的机器，如图1-11所示。,39,操作步骤:,（8）点击【下一步】，然后在出现的【IP协议类型】页面中设置【选择协议类型】为“ICMP”，如图1-12所示。,40,操作步骤:,（9）依次单击【下一步】【完成】，此时，你将会在【IP筛选器列表】看到刚创建的筛选器，将其选中后单击【下一步】，在出现的【筛选器操作】页面中设置筛选器操作为【需要安全】选项，如图1-13所示。,41,操作步骤:,（10）点击【下一步】，然后依次点击【完成】【确定】【关闭】按钮，保存相关的设置返回控

25、制台即可。 第4步：指派IP安全策略。安全策略创建完毕后并不能马上生效，我们还需通过【指派】功能令其发挥作用。方法是：在【控制台根节点】中右击【新的IP安全策略】项，然后在弹出的右键菜单中执行【指派】命令，即可启用该策略，如图1-14所示。,42,操作步骤:,至此，这台主机已经具备了拒绝其他任何机器Ping自己IP地址的功能，不过在本地仍然能够Ping通自己。经过这样的设置之后，所有用户（包括管理员）都不能在其他机器上对此服务器进行Ping操作，不用担心被Ping威胁了。,43,系统安全评估 计算机系统的安全评估是对系统安全性的检验和监督。系统安全评估包括了构成计算机系统的物理网络和系统的运行

26、过程、系统提供的服务以及这种过程与服务中的管理、保证能力的安全评估，,44,计算机系统的安全评估可以确保系统连续正常运行，确保信息的完整性和可靠性，及时发现系统存在的薄弱环节，采取必要的措施，杜绝不安全因素。另外，有了安全评估，并不意味着可以高枕无忧，因为要在技术上做到完全的安全保护是不可能的。所以，评估的目标应该是，使攻击所花的代价足够高，从而把风险降低到可接受的程度。,45,安全评估标准的重要性在于： 1）用户可依据标准，选用符合自己应用安全级别的、评定了安全等级的计算机系统，然后，在此基础上再采取安全措施。 2）一个计算机系统是建立在相应的操作系统之上的，离开了操作系统的安全，也就无法保

27、证整个计算机系统的安全。所以，软件生产厂商应该满足用户的需求，提供各种安全等级的操作系统。 3）建立系统中其他部件（如数据库系统、应用软件、计算机网络等）的安全评估标准，可以使它们配合并适应相应的操作系统，以实现更完善的安全性能。,46,第一个有关信息技术安全评价的标准诞生于20世纪80年代的美国。1983年美国国防部发布了“可信计算机评估标准”，简称桔皮书。1985年对此标准进行了修订后作为了美国国防部的标准，也成为了世界各国的参考标准。 1994年，国务院发布了中华人民共和国计算机信息系统安全保护条例，其中第九条规定 “计算机信息系统安全等级保护。安全等级的划分和安全等级保护的具体办法，由

28、公安部会同有关部门制定”。,47,常见的计算机系统安全等级的划分有两种：一种是美国国防部1985年发表的评估计算机系统安全等级的桔皮书，将计算机系统的安全划分为4个等级，8个级别，即A2、A1、B3、B2、B1、C2、C1、D；其中，A2级安全级别最高，D级安全级别最低。另一种是依据我国颁布的计算机信息系统安全保护等级划分准则（GB17859 -1999），该条例是计算机信息系统安全保护的法律基础。将计算机安全等级划分为5级。,48,1填空题 （1）网络安全策略由3个重要的方面组成，它们是 、物理和政策。 （2）网络安全主要包括_、_、_和运行安全等几个方面。 （3）物理安全包括_的安全。 （

29、4）软件安全指_的安全。 （5）信息安全指_安全。 （6）运行安全指_。 （7）保密性指_的安全要求。 （8）一个安全的网络具有下面五个特征：_、（9）系统漏洞是指_。 。 （10）依据美国国防部发表的评估计算机系统安全等级的桔皮书，将计算机安全等级划分为 _类 _级。,49,2选择题 （1）保护计算机网络设备免受环境事故的影响属于信息安全的_。 （A）人员安全 （B）物理安全 （3）数据安全 （D）操作安全 （2）有些计算机系统的安全性不高，不对用户进行验证，这类系统安全级别是 。 （A）D1 （B）A1 （C）C1 （D）C2,50,（3）保证数据的完整性就是_。 （A）保证因特网上传送的

30、数据信息不被第三方监视 （B）保证因特网上传送的数据信息不被篡改 （C）保证电子商务交易各方的真实身份 （D）保证发送方不抵赖曾经发送过某数据信息 （4）某种网络安全威胁是是通过非法手段取得对数据的使用权，并对数据进行恶意地添加和修改，这种安全威胁属于 。 （A）窃听数据 （B）破坏数据完整性 （C）拒绝服务 （D）物理安全威胁 （5）在网络安全中，捏造是指未授权的实体向系统中插入伪造的对象。这是对 。 （A）可用性的攻击 （B）保密性的攻击 （C）完整性的攻击 （D）真实性的攻击,51,3简答题 （1）什么是网络安全？网络安全包括哪些方面？ （2）网络系统本身存在哪些安全漏洞？ （3）网络面

31、临的威胁有哪些？ （4）系统漏洞产生的原因主要有哪些？,52,课堂小结:,计算机网络安全指保持网络中的硬件、软件系统正常运行，使它们不因各种因素受到破坏更改和泄露。网络受到的威胁来自于网络的内部和外部两个方面。 计算机系统的安全评估是对系统安全性的检验和监督。在我国，常见的计算机系统安全等级的划分有两种：一种是依据美国国防部发表的评估计算机系统安全等级的桔皮书；一种是我国颁布的计算机信息系统安全保护等级划分准则。,53,实训项目：,实训目的 1了解操作系统常见的安全漏洞。 2掌握X-Scan扫描器的使用方法。 3掌握使用扫描工具X-Scan检测系统漏洞的方法。 实训环境搭建 1连上Internet 的主机或局域网主机。 2Windows NT/2000/XP系统。 3X-Scan3.3扫描器,实训一 使用扫描工具X-Scan检测系统漏洞,54,操作步骤:,第1步：