校园网络安全课件.ppt

1、校园网络安全段运生安徽大学网络中心 暴力破解 利用系统自身安全漏洞 木马程序 拒绝服务攻击 蠕虫病毒 ARP欺骗攻击 嗅探sniffer 网络钓鱼 WEB攻击常见的安全攻击方法 采用穷举法，破译密码：从口令候选器中选取单词或用枚举法选取，然后用各种同样的加密算法进行加密再比较，一致则猜测成功，否则再尝试。暴力破解 微软安全公告 bugtraq利用已知漏洞攻击 木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。具有隐蔽性的可执行程序，通常在点击后生效 可读取各种密码，下载、上传文件 可对局域网其它信息进行嗅探木马程序 通过向服务器发送大量的虚假请求，服务器由于不断

2、应付这些无用信息而无法对合法的用户提供服务。Botnet：由Bot工具组成的可通信、可被攻击者远程控制的网络。拒绝服务攻击ARP欺骗攻击n ARPAddress Resolution Protocol地址解释协议帧类型0 x0806ARP欺骗都是通过填写错误的源MAC-IP对应关系来实现的n通过伪造虚假源IP-MAC对应的ARP报文，导致网关或主机无法找到正确的通信对象n利用ARP协议本身的缺陷来实现可以利用帧类型来识别ARP报文ARP攻击仿冒网关攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。正常用户A网

3、关G网关网关MACMAC更新更新了了网关网关ARPARP表项表项已更新已更新攻击者BIP Address GIP Address GMAC GMAC G1.1.1.11.1.1.11-1-11-1-1IP AddressIP AddressMACMACTypeType1.1.1.1(1.1.1.1(网关网关)1-1-11-1-1DynamicDynamicIP AddressIP AddressMACMACTypeType1.1.1.11.1.1.1（网关）（网关）2-2-22-2-2DynamicDynamicARP表项更新为这种攻击为最为常见的攻击类型这种攻击为最为常见的攻击类型访问外网数

4、据访问外网数据发向错误的网发向错误的网关关ARP攻击欺骗网关 攻击者伪造虚假的ARP报文，欺骗网关相同网段内的某一合法用户的MAC地址已经更新 网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网正常用户A网关G用户用户A A的的MACMAC更新了更新了用户用户A A的的ARPARP表项已更新表项已更新发送伪造ARP信息攻击者BIP AddressIP AddressMACMACTypeType1.1.1.51.1.1.53-3-33-3-3DynamicDynamicIP AddressIP AddressMACMACTypeType1.1.1.51.1.1.

5、52-2-22-2-2DynamicDynamicARP表项更新为IP Address AIP Address AMAC AMAC A1.1.1.51.1.1.53-3-33-3-3外网来的数据流外网来的数据流被转发到错误的被转发到错误的终端终端ARP攻击欺骗终端用户 攻击者以伪造虚假的ARP报文，欺骗相同网段内的其他主机，某一合法用户的MAC地址已经更新 网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访正常用户A网关G用户C的MAC更新了知道了发送伪造ARP信息攻击者BIP Address GIP Address GMAC GMAC G1.1.1.

6、11.1.1.11-1-11-1-1IP AddressIP AddressMACMACTypeType1.1.1.11.1.1.19-9-99-9-9DynamicDynamicIP AddressIP AddressMACMACTypeType1.1.1.11.1.1.12-2-22-2-2DynamicDynamic用户用户CC的的MAC is 2-2-2MAC is 2-2-2ARP表项更新为目的目的MACMAC源源MACMAC2-2-22-2-23-3-33-3-3IP Address AIP Address AMAC AMAC A1.1.1.51.1.1.53-3-33-3-3数据

7、流被中断IP Address BIP Address BMAC BMAC B1.1.1.201.1.1.205-5-55-5-5IP Address CIP Address CMAC CMAC C1.1.1.81.1.1.89-9-99-9-9正常用户CARP泛洪攻击攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网正常用户A网关G用户A、A1、A2、A3的MAC更新了已更新发送大量伪造ARP信息攻击者BIP Address GIP Address GMAC GMAC G1.1.0.11.1.0.11-1-1

8、1-1-1IP AddressIP AddressMACMACTypeType1.1.0.21.1.0.22-2-22-2-2DynamicDynamic1.1.0.31.1.0.32-2-32-2-3DynamicDynamic1.1.0.41.1.0.42-2-42-2-4DynamicDynamic1.1.0.51.1.0.52-2-52-2-5DynamicDynamic1.1.0.61.1.0.62-2-62-2-6DynamicDynamic.DynamicDynamic1.1.0.2 MAC is 2-2-21.1.0.2 MAC is 2-2-2ARP表项被占满IP Addre

9、ss AIP Address AMAC AMAC A1.1.1.1031.1.1.1033-3-33-3-3ARP表项无法学习IP Address BIP Address BMAC BMAC B1.1.1.201.1.1.205-5-55-5-51.1.0.3 MAC is 2-2-31.1.0.3 MAC is 2-2-31.1.0.4 MAC is 2-2-41.1.0.4 MAC is 2-2-41.1.1.103 MAC is 3-3-31.1.1.103 MAC is 3-3-3 网络接口只响应两种数据帧：与自己硬件地址相匹配的数据帧；发向所有机器的广播数据帧。网卡的工作模式：正常模

10、式和混杂模式（在这种模式下的网卡能够接收一切通过它的数据，而不管数据是否是传给它的）嗅探Sniffer攻击 通过欺骗性的电子邮件、网页欺诈用户，诱使用户泄露重要信息的诈骗方式。属于黑客攻击方式中的社会工程学方法，更多的依靠欺骗手段来达到目的。网络钓鱼 SQL注入 跨站脚本 远程命令非法执行 Cookie篡改 敏感信息泄露WEB攻击 信息搜集 漏洞利用 窃取、篡改、破坏 进一步渗透其他主机 安装后门一般的入侵流程 找到网络地址范围 找到机器的地址 找到开放端口和入口点 找到系统的制造商和版本 扫描流程：存活性扫描、端口扫描、漏洞扫描、OS识别获取信息 网络层 系统层 应用层 管理层常用的安全防范

11、措施 用户接入 二层安全 流量控制 防火墙 入侵防御 抗拒绝服务攻击 远程安全接入网络层 用户认证 终端准入控制用户接入 802.1x：基于端口的访问控制认证。Portal：未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户使用互联网中的其他信息时，必须在门户网站通过认证才可以使用。用户认证 对接入网络的终端实施安全准入策略 集成了网络准入、终端安全、桌面管理功能。终端准入控制 VLAN ARP攻击 DHCP SNOOPING二层安全ARP攻击控制点网关G用户接入设备n 网关防御网关防御n 合法ARP绑定，防御网关被欺骗n VLAN内的ARP学习数量限制，防御AR

12、P泛洪攻击1 1 接入设备防御接入设备防御n 将合法网关IP/MAC进行绑定，防御仿冒网关攻击n 合法用户IP/MAC绑定，过滤掉仿冒报文n ARP限速n 绑定用户的静态MAC2 2n 客户端防御客户端防御n 合法ARP绑定，防御网关被欺骗3 3流量攻击l攻击原理攻击原理广播报文或者组播报文在网络中泛滥，或者同时发送大量单播报文至同一目的网络，导致带宽资源耗尽，整个网络瘫痪l攻击危害攻击危害从一个带宽足够大的网络向一个带宽较小的网络发送大量数据，导致被攻击网络由于流量过大使正常的传输失败调动网络中多个主机或设备同时向同一个设备发送大量流量，导致网络拥塞流量控制l内部员工因为各种IM即时通讯软件

13、、网络在线游戏、P2P下载软件、在线视频、浏览工作无关网站导致企业网络资源滥用、Internet出口网络性能下降 先到先得 带宽资源严重失控 内部网络与外部网络的边界，严格限制外部网络对内部网络的访问，也可有效地监视内部网络对外部网络访问。包过滤防火墙 基于状态监测的包过滤防火墙防火墙防火墙的选择单向访问的需求财务部门防火墙办公室主管领导市场部门单向访问交换机和路由器的ACL都没办法实现的需求防火墙的局限Web servicesWeb enabled appsHTTP载荷中的病毒、木马、蠕虫等恶意代码80端口服务器被攻破http:/10.74.16.88/scripts/.%c0%af.cmd

14、.exe?/c+dir+c:防火墙可被应用层的攻击穿透，而目前90以上的攻击是基于应用层的攻击。防火墙不能有效检测并阻断夹杂在正常流量中的攻击代码。入侵检测由于旁路部署，不能第一时间阻断所有攻击，侧重安全状态监控 入侵防御在线部署，主动防御，实时阻断攻击。入侵防御系统入侵防御系统作用n应用层攻击抵御：蠕虫、木马、间谍软件的实时防护。n全球漏洞特征升级：设备自动完成升级，实现实时防护初始事件标准化规则过滤特征匹配WEBE-MailDownLoader掐断非法或受控应用发现和阻断滥用误用制止应用系统的漏洞利用杀除病毒、木马非法或受控应用滥用误用应用系统的漏洞病毒、木马u深度过滤u用户网络内部多种应

15、用潜藏各类威胁inside抗拒绝服务攻击 禁止对主机非公开服务的访问 限制特定IP地址的访问 启用设备的DDOS属性抗拒绝服务攻击远程安全接入公有基础网络公有基础网络分支机构网络分支机构网络企业内部网络企业内部网络IPsecVPNIPsecVPN网关网关IPsecVPNIPsecVPN网关网关SSL VPNSSL VPN网关网关业务业务提供区提供区类型应用场景核心关注点技术要求MPLS VPN专网，纵向互联区分业务，不加密沿途设备支持MPLSIPSEC VPNInternet，分支网络间互联 安全传输，加密两端网关支持IPSECSSL VPNInternet，移动终端接入安全传输，加密中心网关

16、支持SSL VPN 漏洞扫描 系统安全加固 补丁安全管理系统层 对计算机系统或其它网络设备进行相关安全检测，以查找安全隐患和可能被攻击者利用的漏洞。既是攻击者攻击系统的技术手段之一，也是保证计算机系统和网络安全必不可少的技术方法。漏洞扫描 Windows系统：注册表和系统文件监控，帐号安全策略，系统服务安全设置，系统进程和端口检查分析，IIS安全设置 Linux系统：例如密码长度，root用户远程登录，是否存在其他uid=0的用户，重要目录和文件权限设置，查找任何人都有写权限的目录和文件，syslog配置。系统安全加固 限时修补 系统进行自动补丁补丁安全管理 防病毒 WEB防火墙 内容安全 安

17、全审计应用层 有效检测通过HTTP、FTP、IM、SMTP、POP3、IMAP等协议传输的病毒，如网络木马病毒、蠕虫病毒、宏病毒、脚本病毒等。防病毒 HTTP请求数据进站时接受并经过HTTP规则化筛选 每个请求穿过通信层，并匹配最好的安全检查组 安全对象包括虚拟主机和虚拟目录，将在安全对象上运行的具体要求验证。只有过滤器充分验证的请求，才会最终通过并被转发到Web服务器。WEB防火墙 采用URL网页过滤数据库和内容关键字技术，对网络中各类高风险、不良、反动网站及敏感信息进行告警、过滤；监控网站访问、邮件收发、论坛、即时通讯等网络应用行为；不良敏感信息扫描，网站挂马扫描内容安全 有针对性地对运行状态和过程进行记录、跟踪和审查。对网站访问、邮件收发、远程终端访问、数据库访问、论坛发帖等进行关键信息监测、还原。安全审计 管理策略 安全制度管理层