1、第 一 章 绪论内容提纲网络空间安全网络空间安全2网络防护技术网络防护技术3网络攻击技术网络攻击技术4课程介绍课程介绍1黑客黑客5(一)授课老师 Teacher:Email:Phone:办公室:(二)课程含义 网络攻防原理 攻:非法使用或获取网络中的信息或以破坏网络正常运行的行为、技术 防:保护计算机网络的各种技术 Why?国内外所面临的严峻的网络安全形势以及网络战的需要 国内外相关课程:网络安全,信息安全,网络对抗,密码学基础(三)课程目标 研讨内容:常见网络攻击及防护技术的基本原理与基本方法 立足点:基于最基本的理论,结合最先进的技术,理解最本质的知识。(四)先修课程 计算机网络 操作系统
2、 计算机程序设计导论(C语言)计算机组成原理 算法与数据结构 汇编程序设计 微机体系结构(五)参考书目 教材:吴礼发,洪征,李华波:网络攻防原理与技术(第2版),机械工业出版社(六)课程安排 总学时:成绩评定:内容提纲网络空间安全网络空间安全2网络防护技术网络防护技术3网络攻击技术网络攻击技术4课程介绍课程介绍1黑客黑客5“网络攻防”中的“网络”指的是什么?网络空间(Cyberspace)(一)网络空间(一)网络空间(一)网络空间 Cyberspace 2001,美国防部的“官方词典”联合出版物JP1-02:数字化信息在计算机网络中通信时的一种抽象(notional)环境 2003,布什政府保
3、卫cyberspace的国家安全战略:“国家中枢神经系统”,由成千上万的计算机、服务器、路由器、交换机用光纤互联在一起,支持关键的基础设施运行 2006,美参联会cyberspace行动的国家军事战略:定义为“域”(domain),使用电子技术和电磁频谱存储、修改和交换信息,并通过网络化的信息系统和物理基础设施达此目的。该定义主要强调支撑cyberspace的技术基础:电子技术和电磁频谱(一)网络空间 Cyberspace 2008.1,布什签署第54号国家安全政策指令和第23号国土安全总统指令(NSPD-54/HSPD23):由众多相互依赖的信息技术(IT)基础设施网络组成,包括因特网、电信
4、网、计算机系统和用于关键工业部门的嵌入式处理器、控制器。还涉及人与人之间相互影响的虚拟信息环境。这个定义首次明确指出cyberspace的范围不限于因特网或计算机网络,还包括了各种军事网络和工业网络 2008.5,美国防部常务副部长戈登签署了一份备忘录,对定义作了一些修正,删去了“关键工业部门”等字样,认为cyberspace是全球信息环境中的一个领域(一)网络空间 Cyberspace 2008.9,美国防大学编写出版cyberpower和国家安全,对Cyberspace进行解读:它是一个可运作的(operational)空间领域,虽然是人造的,但不是某一个组织或个人所能控制的,在这个空间中
5、有全人类的宝贵战略资源,不仅仅是用于作战,还可用于政治、经济、外交等活动,例如在这个空间中虽然没有一枚硬币流动,但每天都有成千上万美元的交易;与陆、海、空、天等物理空间相比,人类依赖电子技术和电磁频谱等手段才能进入cyberspace,才能更好地开发和利用该空间资源,正如人类需要籍助车、船、飞机、飞船才能进入陆、海、空、天空间一样;(一)网络空间 Cyberspace 2008.9,美国防大学编写出版cyberpower和国家安全,对Cyberspace进行解读:开发cyberspace的目的是创建、存储、修改、交换和利用信息,cyberspace中如果没有信息的流通,就好比电网中没有电流,公
6、路网上没有汽车一样,虽然信息的流动是不可见的,但信息交换的效果是不言自明的;构建cyberspace的物质基础是网络化的、基于信息通信技术(ICT)的基础设施,包括联网的各种信息系统和信息设备,所以网络化是cyberspace的基本特征和必要前提(一)网络空间 Cyberspace 美国民间对cyberspace的理解也不尽相同。是由计算机网、信息系统、电信基础设施共同构建的、无时空连续特征的信息环境;是因特网和万维网(WWW)的代名词;Cyberspace不限于计算机网络,还应包括蜂窝移动通信、天基信息系统等。Cyberspace是一种隐喻(metaphor),是概念上的虚拟信息空间;这个空
7、间是社会交互作用的产物,包括从认知到信息到物理设施三个层次(一)网络空间 网络空间(方滨兴)是人运用信息通信技术系统进行数据交互的虚拟空间。其中,“信息通信技术系统”包括各类互联网、电信网、广电网、物联网、在线社交网络、计算系统、通信系统、控制系统等电磁或数字信息处理设施;“数据交互”是指网民运用电磁或数字信息等形式所进行的信息通信技术活动。(一)网络空间 网络空间安全(方滨兴)涉及到网络空间中电磁设备、电子信息系统、运行数据、系统应用中所存在的安全问题,既要防止、保护、处置“信息通信技术系统”及其所承载的数据受到损害;也要防止对这些信息通信技术系统所引发的政治安全、经济安全、文化安全、社会安
8、全与国防安全。针对上述风险,需要采取法律、管理、技术、自律等综合手段来应对,确保机密性、可用性、可控性得到保障。(一)网络空间(一)网络空间美国NICE列出的网络空间安全知识体系内容提纲网络空间安全网络空间安全2网络防护技术网络防护技术3网络攻击技术网络攻击技术4课程介绍课程介绍1黑客黑客5(一)网络安全属性 如何评估信息、网络或系统的安全程度?保密性(Confidentiality或Security)完整性(Integrity),包括:系统完整性和数据完整性 可用性(Availability)不可否认性(Non-repudiation)或不可抵赖性 可靠性(Reliability)、可信性(
9、Dependability or Trusty)(二)构成威胁的因素(1/2)广义上的网络安全概念 威胁因素 环境和灾害因素 温度、湿度、供电、火灾、水灾、地震、静电、灰尘、雷电、强电磁场、电磁脉冲等,均会破坏数据和影响信息系统的正常工作 人为因素:多数安全事件是由于人员的疏忽、恶意程序、黑客的主动攻击造成的 有意:人为的恶意攻击、违纪、违法和犯罪 无意:工作疏忽造成失误(配置不当等),会对系统造成严重的不良后果(二)构成威胁的因素(2/2)威胁因素(Cont.)系统自身因素 计算机系统硬件系统的故障 软件组件:操作平台软件、应用平台软件和应用软件 网络和通信协议 系统自身的脆弱和不足是造成信
10、息系统安全问题的内部根源,攻击者正是利用系统的脆弱性使各种威胁变成现实(三)漏洞产生的原因分析 在系统的设计、开发过程中有如下因素会导致系统、软件漏洞:系统基础设计错误导致漏洞 编码错误导致漏洞 安全策略实施错误导致漏洞 实施安全策略对象歧义导致漏洞 系统设计实施时相关人员刻意留下后门(四)漏洞多的原因 漏洞不仅存在,而且层出不穷,Why?方案的设计可能存在缺陷 从理论上证明一个程序的正确性是非常困难的 一些产品测试不足,匆匆投入市场 为了缩短研制时间,厂商常常将安全性置于次要地位 系统中运行的应用程序越来越多,相应的漏洞也就不可避免地越来越多(五)补丁不是万能的(1/2)打补丁不是万能的,W
11、hy?由于漏洞太多,相应的补丁也太多,补不胜补 有的补丁会使某些已有功能不能使用,导致拒绝服务 有时补丁并非厂商们所宣称的那样解决问题 很多补丁一经打上,就不能卸载,如果发现补丁因为这样或那样的原因不合适,就只好把整个软件卸载,然后重新安装,非常麻烦 漏洞的发现到补丁的发布有一段时间差,此外,漏洞也可能被某些人发现而未被公开,这样就没有相应的补丁可用(五)补丁不是万能的(2/2)打补丁不是万能的,Why?(Cont.)网络、网站增长太快,没有足够的合格的补丁管理员 有时候打补丁需要离线操作,这就意味着关闭该机器上的服务,这对很多关键的服务来说也许是致命的 有时补丁并非总是可以获得,特别是对于那
12、些应用范围不广的系统,生产厂商可能没有足够的时间、精力和动机去开发补丁程序 厂商通常可能在补丁中除解决已有问题之外添加很多的其他功能,这些额外的功能可能导致新漏洞的出现、性能下降、服务中断或者出现集成问题和安全功能的暂时中断等 补丁的成熟也需要一个过程,仓促而就的补丁常常会有问题 自动安装补丁也有它的问题,很多自动安装程序不能正常运行(六)因特网问题小结(1/5)问题一:资源共享与分组交换 Internet的设计目的是提供一个信息资源共享的公共基础实施:潜在的受害者(如Web服务器)为了提供公开服务必须与Internet连接并且对公众是开放的,这种可见性通过全球可路由的IP地址来实现 Inte
13、rnet是基于分组交换的,这使得它比电信网(采用电路交换)更容易受攻击:所有用户共享所有资源,给予一个用户的服务会受到其它用户的影响;攻击数据包在被判断为是否恶意之前都会被转发到受害者!(很容易被DoS攻击);路由分散决策,流量无序。(六)因特网问题小结(2/5)问题二:认证与可追踪性 Internet 没有认证机制,任何一个终端接入即可访问全网(而电信网则不是,有UNI、NNI接口之分),这导致一个严重的问题就是IP欺骗:攻击者可以伪造数据包中的任何区域的内容然后发送数据包到Internet中。通常情况下,路由器不具备数据追踪功能(如保持连接记录,Why?不保持),因此没有现实的方法验证一个
14、数据包是否来自于其所声称的地方。通过IP欺骗隐藏来源,攻击者就可以发起攻击而无须担心对由此造成的损失负责(六)因特网问题小结(3/5)问题三:尽力而为(best-effort)因特网采取的是尽力而为策略:把网络资源的分配和公平性完全寄托在终端的自律上是不现实的(DDoS利用的就是这一点)(六)因特网问题小结(4/5)问题四:匿名与隐私 普通用户无法知道对方的真实身份,也无法拒绝来路不明的信息(如邮件)有人提出新的体系:终端名字与地址分离On the Internet,nobody knows you are a dog;On the Internet,all knows you are not
15、 a dog!(六)因特网问题小结(4/5)(六)因特网问题小结(4/5)(六)因特网问题小结(5/5)问题五:对全球网络基础实施的依赖 全球网络基础设施不提供可靠性、安全性保证,这使得攻击者可以放大其攻击效力:首先,一些不恰当的协议设计导致一些(尤其是畸形的)数据包比其它数据包耗费更多的资源(如TCP SYN包比其它的TCP包占用的目标资料更多);其次,Internet是一个大“集体”,其中有很多的不安全的系统(七)网络防护技术发展过程1、安全技术发展的三个阶段第 1 代安全技术(阻止入侵)第 2 代安全技术(入侵检测,限制破坏)第 3 代安全技术(入侵容忍)入侵将出现 一些攻击将成功 访问
16、控制及物理安全 密码技术 防火墙(Firewalls)入侵检测系统(IDS)虚拟专用网(VPN)公钥基础结构(PKI)实时状况感知及响应 实时性能、功能、安全调整 容侵技术 第一代安全技术 目的:以“保护”为目的的第一代网络安全技术,主要针对系统的保密性和完整性。方法:通过划分明确的网络边界,利用各种保护和隔离技术手段,如用户鉴别和认证,访问控制、权限管理和信息加解密等,试图在网络边界上阻止非法入侵,达到信息安全的目的。第一代安全技术(续)问题:通用的商用产品对安全技术的支持不够(特别是在操作系统这一层次),因而也限制了安全技术在军事中的应用。对一些攻击行为如计算机病毒、用户身份假冒、系统漏洞
17、攻击等显得无能为力,于是出现了第二代安全技术。第二代安全技术 目的:以检测技术为核心,以恢复技术为后盾,融合了保护、检测、响应、恢复四大技术。它通过检测和恢复技术,发现网络系统中异常的用户行为,根据事件的严重等级,提示系统管理员,采取相应的措施。基本假定:如果挡不住敌人,至少要能发现敌人和敌人的破坏。例如,能够发现系统死机,发现有人扫描网络,发现网络流量异常。通过发现,可以采取一定的响应措施,当发现严重情况时,可以采用恢复技术,恢复系统原始的状态。第二代安全技术(续)技术:防火墙 入侵检测系统 虚拟专用网 公钥基础设施 安全操作系统 其他技术:审计系统,漏洞扫描,防病毒等 第二代安全技术(续)
18、广泛应用于军民各领域 问题:依赖于检测结论,检测系统的性能就成为信息保障技术中最为关键的部分。挑战:检测系统能否检测到全部的攻击?要发现全部的攻击不可能 准确区分正确数据和攻击数据不可能 准确区分正常系统和有木马的系统不可能 准确区分有漏洞的系统和没有漏洞的系统不可能 第三代安全技术 第三代安全技术是一种信息生存技术,即系统在攻击、故障和意外事故已发生的情况下,在限定时间内完成全部或关键使命的能力。第三代安全技术与前两代安全技术的最重要差别在于设计理念上:它假定我们不能完全正确地检测、阻止对系统的入侵行为。核心:入侵容忍技术第三代安全技术(续)由于安全漏洞是因系统中的程序存在错误所致,而人们又
19、不可能发现并修正系统中存在的所有错误,因此,必须设计一种能够容忍漏洞存在的系统体系结构(称为顽存系统体系结构),当入侵和故障突然发生时,能够利用“容忍”技术来解决系统的“生存”问题,以确保信息系统的机密性、完整性、可用性 现在呢?现在呢?内容提纲网络空间安全网络空间安全2网络防护技术网络防护技术3网络攻击技术网络攻击技术4课程介绍课程介绍1黑客黑客5 Stallings:基于攻击实施手段的网络攻击分类 攻击技术截获截获篡改篡改伪造伪造中断中断消极攻击消极攻击积极攻击积极攻击目的站目的站源站源站源站源站源站源站源站源站目的站目的站目的站目的站目的站目的站被动攻击被动攻击主动攻击主动攻击 Icov
20、e分类:基于经验术语分类方法攻击技术u 病毒和蠕虫u 资料欺骗u 拒绝服务u 非授权资料拷贝u 侵扰u 软件盗版u 特洛伊木马u 隐蔽信道u 搭线窃听u 会话截持u IP欺骗欺骗u 口令窃听口令窃听u 越权访问越权访问u 扫描扫描u 逻辑炸弹逻辑炸弹u 陷门攻击陷门攻击u 隧道隧道u 伪装伪装u 电磁泄露电磁泄露u 服务干扰服务干扰 一般攻击过程足迹追踪:足迹追踪:Target Footprinting远端扫描:远端扫描:Remote Scaning资源列举:资源列举:Resource Enumerating权限获取:权限获取:Access Gaining权限提升:权限提升:Privilege
21、 Escalating设置后门:设置后门:Backdoors Creating毁踪灭迹:毁踪灭迹:Tracks Covering一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程APT攻击内容提纲网络空间安全网络空间安全2网络防护技术网络防护技术3网络攻击技术网络攻击技术4课程介绍课程介绍1黑客黑客5(一)认识“黑客”(1/4)试图闯入计算机并试图造成破坏的人?(一)认识“黑客”(2/4)黑客(hacker)Hack:“劈,砍”,引伸为“干了一件非常漂亮工作”Hacker:a person who uses co
22、mputers for a hobby,esp.to gain unauthorized access to data.起源:20世纪50年代MIT的实验室:早期MIT俚语:“恶作剧”,尤指手法巧妙、技术高明的恶作剧。60年代,极富褒义:独立思考、智力超群、奉公守法的计算机迷,“熟悉操作系统知识、具有较高的编程水平、热衷于发现系统漏洞并将漏洞公开与他人共享的一类人”日本的新黑客字典:“喜欢探索软件程序奥秘、并从中增长其个人才干的人。”现指:电脑系统的非法入侵者。(一)认识“黑客”(3/4)其它相关词汇:飞客(Phreak):早期攻击电话网的青少年,研究各种盗打电话而不用付费的技术。骇客(Cra
23、cker):闯入计算机系统和网络试图破坏和偷窃个人信息的个体,与没有兴趣做破坏只是对技术上的挑战感兴趣的黑客相对应。快客(Whacker):从事黑客活动但没有黑客技能的人,whacker是穿透系统的人中,在技术和能力上最不复杂的一类。武士(Samurai):被他人雇佣的帮助他人提高网络安全的黑客,武士通常被公司付给薪金来攻击网络。幼虫(Lara):一个崇拜真正黑客的初级黑客(一)认识“黑客”(4/4)其它相关词汇(Cont.)欲望蜜蜂(Wannabee):处于幼虫的初始阶段的黑客的称呼,他们急于掌握入侵技术,但由于他们没有经验,因此即使没有恶意也可能造成很大危险 黑边黑客(Dark-Side)
24、:是指由于种种原因放弃黑客的道德信念而恶意攻击的黑客 半仙(Demigod):一个具有多年经验在黑客团体具有世界级声誉的黑客。入侵者(Intruder):有目的的破坏者。极客(Geek)(二)黑客的成长 余弦:问:相要成为黑客,如何入门?答:如果你连门都入不了,还想成为黑客?问:黑客细分领域太多,知识大爆炸,怎么办?答:聚焦,所谓精而悟道(二)黑客的成长除了技术,还有什么?(二)黑客的成长 余弦:黑客攻击是一门艺术,哪怕粗暴也是一种美学(二)黑客的成长 余弦:原则守正出奇且具备创新力(二)黑客的成长 余弦:规则这个世界有规则,但却是用来打破的,为了更好的创新力(二)黑客的成长 余弦:在黑客眼里,能打破规则的就是漏洞(二)黑客的成长 余弦:黑掉你,根本不在你认为的那个点上!(三)黑客的未来 很多为政府和公司服务,提高单位网络的安全性。被政府“招安”成为有名的安全专家 ISS 公司创始人 Christopher Klaus 作为少年黑客,曾进入美国国防部和NASA 信息战需要更多高水平的“黑客”小结作业1-1 如何理解“网络安全”中的“网络”?1-2 列出你所知道的网络攻击、网络防护方法或产品。1-3 简述打补丁为什么不能完全解决网络安全问题。1-4 简述因特网为什么不安全?
