1、第10章 网络管理与网络安全本章主要内容本章主要内容:计算机网络安全的基础知识、网络安全立法、黑客攻击的主要手段和网络安全控制技术、Windows 2003安全配置技术、网络管理和维护技术。重点及难点重点及难点:系统升级和漏洞修补、Windows防火墙、安全配置向导、微软基准安全分析器、网络管理的概念、远程桌面配置和应用、网络故障诊断与排除、TCP/IP诊断命令。第10章 网络管理与网络安全10.1 网络安全基础知识10.2 网络安全立法10.3 黑客攻击的主要手段和网络安全控制技术104 Windows 2003安全配置技术 10.510.5网络管理技术网络管理技术 Return第10章 网
2、络管理与网络安全 10.1.1 10.1.1 网络安全基本概念网络安全基本概念 随着计算机网络的迅猛发展,网络安全已成随着计算机网络的迅猛发展,网络安全已成为网络发展中的一个重要课题。由于网络传播信为网络发展中的一个重要课题。由于网络传播信息快捷,隐蔽性强,在网络上难以识别用户的真息快捷,隐蔽性强,在网络上难以识别用户的真实身份,网络犯罪、黑客攻击、有害信息传播等实身份,网络犯罪、黑客攻击、有害信息传播等方面的问题日趋严重。方面的问题日趋严重。10.1 10.1 网络安全基础知识网络安全基础知识第10章 网络管理与网络安全 从概念上来看,网络和安全是根本矛盾的。从概念上来看,网络和安全是根本矛
3、盾的。网络的设计目的是尽可能地实现一台计算机的网络的设计目的是尽可能地实现一台计算机的开放性,而安全则要尽可能地实现一台计算机开放性,而安全则要尽可能地实现一台计算机的封闭性。因此,在现实中,计算机网络的安的封闭性。因此,在现实中,计算机网络的安全性,实际上是在二者中寻找到一个平衡点,全性,实际上是在二者中寻找到一个平衡点,一个可以让所有用户都可能接受的平衡点。从一个可以让所有用户都可能接受的平衡点。从这个意义上讲,网络安全是一个无穷无尽的主这个意义上讲,网络安全是一个无穷无尽的主题。在计算机网络领域,没有终极的安全方案。题。在计算机网络领域,没有终极的安全方案。第10章 网络管理与网络安全网
4、络安全包括网络安全包括5 5个基本要素:机密性、完整性、可用性、可个基本要素:机密性、完整性、可用性、可控性与可审查性。控性与可审查性。(1)(1)机密性,确保信息不暴露给未授权的实体或进程。机密性,确保信息不暴露给未授权的实体或进程。(2)(2)完整性:只有得到允许的人才能修改数据,并且能够完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。判别出数据是否已被篡改。(3)(3)可用性:得到授权的实体在需要时可访问数据,即攻可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。击者不能占用所有的资源而阻碍授权者的工作。(4)(4)可控性:可以
5、控制授权范围内的信息流向及行为方式。可控性:可以控制授权范围内的信息流向及行为方式。(5)(5)可审查性:对出现的网络安全问题提供调查的依据和可审查性:对出现的网络安全问题提供调查的依据和手段。手段。第10章 网络管理与网络安全 网络安全评价标准中比较流行的是美国网络安全评价标准中比较流行的是美国国防部国防部1995年制定的可信任计算机标准评价年制定的可信任计算机标准评价准则,各国根据自己的国情也制定了相关标准则,各国根据自己的国情也制定了相关标准。准。第10章 网络管理与网络安全(1 1)我国评价标准)我国评价标准19991999年年1010月经过国家质量技术监督局批准发布的月经过国家质量技
6、术监督局批准发布的计计算机信息系统安全保护等级划分准则算机信息系统安全保护等级划分准则将计算机安全将计算机安全保护划分为以下保护划分为以下5 5个级别。个级别。第第l l级为用户自主保护级:它的安全保护机制使用级为用户自主保护级:它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。法的读写破坏。第第2 2级为系统审计保护级:除具备第一级所有的安级为系统审计保护级:除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,全保护功能外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。使所有
7、的用户对自己的行为的合法性负责。第10章 网络管理与网络安全 第第3 3级为安全标记保护级:除继承前一个级别的安级为安全标记保护级:除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制保护。问者的访问权限,实现对访问对象的强制保护。第第4 4级为结构化保护级:在继承前面安全级别安全级为结构化保护级:在继承前面安全级别安全功能的墓础上,将安全保护机制划分为关键部分和非功能的墓础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的关键部分,对关键部分直接控制访问者对访问对象
8、的存取,从而加强系统的抗渗透能力。存取,从而加强系统的抗渗透能力。第第5 5级为访问验证保护级:这一个级别特别增设了级为访问验证保护级:这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访访问验证功能,负责仲裁访问者对访问对象的所有访问活动。问活动。第10章 网络管理与网络安全 我国是国际标准化组织的成员国,信息我国是国际标准化组织的成员国,信息安全标准化工作在各方面的努力下正在积极安全标准化工作在各方面的努力下正在积极开展之中。从开展之中。从2020世纪世纪8080年代中期开始,自主年代中期开始,自主制定和采用了一批相应的信息安全标准。但制定和采用了一批相应的信息安全标准。但是
9、,应该承认,标准的制定需要较为广泛的是,应该承认,标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面应用经验和较为深入的研究背景。这两方面的差距,使我国的信息安全标准化工作与国的差距,使我国的信息安全标准化工作与国际已有的工作相比,覆盖的范围还不够大,际已有的工作相比,覆盖的范围还不够大,宏观和微观的指导作用也有待进一步提高。宏观和微观的指导作用也有待进一步提高。第10章 网络管理与网络安全 (2)(2)国际评价标准国际评价标准根据美国国防部和国家标准局的根据美国国防部和国家标准局的可信计算机系统评测可信计算机系统评测标准标准可将系统分成可将系统分成4 4类共类共7 7级:级:D
10、D级:级别最低,保护措施少,没有安全功能:属于这级:级别最低,保护措施少,没有安全功能:属于这个级别的操作系统有个级别的操作系统有DOSDOS和和Windows 9xWindows 9x等。等。C C级:自定义保护级。安全特点是系统的对象可由系统级:自定义保护级。安全特点是系统的对象可由系统的主题自定义访问权。的主题自定义访问权。C1C1级:自主安全保护级,能够实现对用户和数据的分离,级:自主安全保护级,能够实现对用户和数据的分离,进行自主存取控制数据保护以用户组为单位;进行自主存取控制数据保护以用户组为单位;第10章 网络管理与网络安全C2C2级:受控访问级,实现了更细粒度的自主访级:受控访
11、问级,实现了更细粒度的自主访问控制,通过登录规程安全性相关事件以隔问控制,通过登录规程安全性相关事件以隔离资源。离资源。能够达到能够达到C2C2级别的常见操作系统有如下几种级别的常见操作系统有如下几种(1)(1)Unix/LinuxUnix/Linux系统:系统:(2)(2)Novell 3Novell 3X X或者更高版本;或者更高版本;(3)(3)WindowsNTWindowsNT,Windows2000Windows2000和和Windows2003Windows2003。第10章 网络管理与网络安全B B级:强制式保护级。其安全特点在于由系统强制的安级:强制式保护级。其安全特点在于由
12、系统强制的安全保护。全保护。B1B1级:标记安全保护级。对系统的数据进行标记,并对级:标记安全保护级。对系统的数据进行标记,并对标记的主体和客体实施强制存取控制;标记的主体和客体实施强制存取控制;B2B2级:结构化安全保护级。建立形式化的安全策略模型,级:结构化安全保护级。建立形式化的安全策略模型,并对系统内的所有主体和客体实施自主访问和强制访并对系统内的所有主体和客体实施自主访问和强制访问控制;问控制;B3B3级:安全域。能够满足访问监控器的要求,提供系统级:安全域。能够满足访问监控器的要求,提供系统恢复过程。恢复过程。A A级:可验证的保护。级:可验证的保护。A1A1级:与级:与B3B3级
13、类似,但拥有正式的分析及数学方法。级类似,但拥有正式的分析及数学方法。第10章 网络管理与网络安全 目前研究网络安全已经不只为了信息和数据的安目前研究网络安全已经不只为了信息和数据的安全性全性,网络安全已经渗透到国家的经济,军事等领网络安全已经渗透到国家的经济,军事等领域。域。1.1.网络安全与政治网络安全与政治 目前我国政府上网已经大规模地发展起来,电目前我国政府上网已经大规模地发展起来,电子政务工程已经在全国启动并在北京试点子政务工程已经在全国启动并在北京试点,政府网政府网络的安全直接代表了国家的形象。络的安全直接代表了国家的形象。19991999年到年到20012001年,年,我国一些政
14、府网站遭受了我国一些政府网站遭受了4 4次大的黑客攻击事件。次大的黑客攻击事件。第10章 网络管理与网络安全 第第1 1次在次在19991999午午1 1月份左右,美国黑客组月份左右,美国黑客组织织“美国地下军团美国地下军团”联合了波兰组织及其他联合了波兰组织及其他的黑客组织,有组织地对我国的政府网站进的黑客组织,有组织地对我国的政府网站进行了攻击。行了攻击。第第2 2次是在次是在19991999年年7 7月,台湾李登辉提出月,台湾李登辉提出两国论的时候。两国论的时候。第第3 3次是在次是在20002000年,月年,月8 8号,美国轰炸我号,美国轰炸我国驻南联盟大使馆后。国驻南联盟大使馆后。第
15、第4次是在次是在2001年年4月到月到5月,美国战机撞毁月,美国战机撞毁王伟战机并侵入我国海南机场后。王伟战机并侵入我国海南机场后。第10章 网络管理与网络安全 2.2.网络安全与经济网络安全与经济 我国计算机犯罪的增长速度超过了传统我国计算机犯罪的增长速度超过了传统的犯罪,的犯罪,19971997年年2020多起,多起,19981998年年142142起,起,19991999年年908908起,起,20002000年上半年年上半年14201420起,再后起,再后来就没有办法统计了。利用计算机实施金融来就没有办法统计了。利用计算机实施金融犯罪已经津透到了我国金融行业的各项业犯罪已经津透到了我国
16、金融行业的各项业务近几年已经破获和掌握的犯罪案件务近几年已经破获和掌握的犯罪案件100100多起,涉及的金额达几十个亿。多起,涉及的金额达几十个亿。第10章 网络管理与网络安全 2000 2000年年2 2月黑客攻击的浪潮,是互联网月黑客攻击的浪潮,是互联网问世以来最为严重的黑客事件。问世以来最为严重的黑客事件。19991999年年4 4月月2626日,台湾人编制的日,台湾人编制的CIHCIH病毒的大爆发,据病毒的大爆发,据统计,我国受其影响的统计,我国受其影响的PCPC机总量达机总量达3636万台之万台之多。有人估计在这次事件中,经济损失高达多。有人估计在这次事件中,经济损失高达1212亿元
17、。亿元。19961996年年4 4月月1616日,美国金融时报报道,日,美国金融时报报道,接入接入IntemetIntemet的计算机,达到了平均每的计算机,达到了平均每2020秒秒钟被黑客成功地入侵一次的新圮录。钟被黑客成功地入侵一次的新圮录。第10章 网络管理与网络安全 3.3.网络安全与社会稳定网络安全与社会稳定 互联网上散布的虚假信息、有害信息对社会管互联网上散布的虚假信息、有害信息对社会管理秩序造成的危害,要比现实社会中一个谣言大得理秩序造成的危害,要比现实社会中一个谣言大得多。多。19991999年年4 4月,河南商都热线的一个月,河南商都热线的一个BBSBBS上,一张上,一张说交
18、通银行郑州支行行长携巨款外逃的帖子,造成说交通银行郑州支行行长携巨款外逃的帖子,造成了社会的动荡,三天十万人上街排队,一天提款十了社会的动荡,三天十万人上街排队,一天提款十多亿。多亿。20012001年年2 2月月8 8日正是春节期间,新浪网遭受攻日正是春节期间,新浪网遭受攻击,电子邮件服务器瘫痪了击,电子邮件服务器瘫痪了1818个小时,造成了几百个小时,造成了几百万用户无法正常联络。万用户无法正常联络。第10章 网络管理与网络安全 4.4.网络安全与军事网络安全与军事 在第二次世界大战中,美国破译了日本人的密码,在第二次世界大战中,美国破译了日本人的密码,几乎全歼山本五十六的舰队,重创日本海
19、军。目前的几乎全歼山本五十六的舰队,重创日本海军。目前的军事战争更是信息化战争,下面是美国三位知名人士军事战争更是信息化战争,下面是美国三位知名人士对目前网络的描述。对目前网络的描述。美国著名未来学家阿尔温美国著名未来学家阿尔温托尔勒说过托尔勒说过“掌握了信掌握了信息,控制了网络,谁将拥有整个世界息,控制了网络,谁将拥有整个世界”。美国前总统克林顿说过美国前总统克林顿说过“今后的时代,控制世界的今后的时代,控制世界的国家将不是靠军事,而是靠信息能力走在前面的国国家将不是靠军事,而是靠信息能力走在前面的国家家”。美国前陆军参谋长沙利文上将说过美国前陆军参谋长沙利文上将说过“信息时代的出现,将信息
20、时代的出现,将从根本上改变战争的进行方式从根本上改变战争的进行方式”。第10章 网络管理与网络安全10.2.1 10.2.1 网络安全立法概述网络安全立法概述 人们的阅读、交流、娱乐乃至商业活动越人们的阅读、交流、娱乐乃至商业活动越来越多地在网上进行,世界被网络紧紧地连在来越多地在网上进行,世界被网络紧紧地连在了一起。可是,网络世界也有黑暗的一面,那了一起。可是,网络世界也有黑暗的一面,那就是网络犯罪。面对日益增多的网络犯罪,为就是网络犯罪。面对日益增多的网络犯罪,为了有效打击网络犯罪,制定相关的法律法规,了有效打击网络犯罪,制定相关的法律法规,成为遏制网络犯罪的有力武器,为此世界各国成为遏制
21、网络犯罪的有力武器,为此世界各国都制定了相关的法律。都制定了相关的法律。第10章 网络管理与网络安全10.2.2 10.2.2 我国立法情况我国立法情况 目前网络安全方面的法规已经写入目前网络安全方面的法规已经写入中华人民共中华人民共和国宪法和国宪法。于。于19821982年年8 8月月2323口写入口写入中华人民共和中华人民共和国商标法国商标法,于,于19841984年年3 3月月1212日写入日写入中华人民共和中华人民共和国专利法国专利法,于,于19881988年年9 9月月5 5日写入日写入中华人民共和国中华人民共和国保守国家秘密法保守国家秘密法,于,于19931993年年9 9月月2
22、2日写入日写入中华人民中华人民共和国反不正当竞争法共和国反不正当竞争法。网络安全方面的法规,已经增加了相关的条款到网络安全方面的法规,已经增加了相关的条款到国家法律。为了加强对计算机犯罪的打击力度,在国家法律。为了加强对计算机犯罪的打击力度,在19971997年对刑法进行重新订订时,加进了以下计算机犯年对刑法进行重新订订时,加进了以下计算机犯罪的条款。罪的条款。第10章 网络管理与网络安全 第二百八十五条违反国家规定,侵入国家事务,第二百八十五条违反国家规定,侵入国家事务,国防建设、尖端科学技术领域的计算机信息系统的,国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。处
23、三年以下有期徒刑或者拘役。第二百八十六条违反国家规定,对计算机信息系第二百八十六条违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役,后果特别严重的,处五年以上有期徒徒刑或者拘役,后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储,处理刑。违反国家规定,对计算机信息系统中存储,处理或者传输的数据和应用程序进行删除、修改、增加的或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规
24、定处罚。故意制作、操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序。影响计算机系统正常传播计算机病毒等破坏性程序。影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。运行,后果严重的,依照第一款的规定处罚。第10章 网络管理与网络安全 第二百八十七条利用计算机实施金融诈骗,盗窃、第二百八十七条利用计算机实施金融诈骗,盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。照本法有关规定定罪处罚。计算机网络安全方面的法规,已经写入国家条例计算机网络安全方面的法规,已经写入国家条例和管理办法。于和管理
25、办法。于19911991年年6 6月月4 4日写入日写入计算机软件保护计算机软件保护条例条例,于,于19941994年年2 2月月1818日写入日写入中华人民共和国计中华人民共和国计算机信息系统安全保护条例算机信息系统安全保护条例,于,于19991999年年1010月月7 7 日写日写入入商用密码管理条例商用密码管理条例,于,于20002000年年9 9月月2020日写入日写入互联网信息服务管理办法互联网信息服务管理办法,于,于20002000年年9 9月月2525日写日写入入中华人民共和国电信条例中华人民共和国电信条例,于,于20002000年年1212月月2929日日写入写入全国人大常委会
26、关于网络安全和信息安全的决全国人大常委会关于网络安全和信息安全的决定定。第10章 网络管理与网络安全 美国和日本是计算机网络安全比较完善美国和日本是计算机网络安全比较完善的国家机网络安全方面的法规还不够完善。的国家机网络安全方面的法规还不够完善。一些发展中国家和第三世界国家的计算机网一些发展中国家和第三世界国家的计算机网络安全方面的法规还不完善。络安全方面的法规还不完善。第10章 网络管理与网络安全 欧洲共同体是一个在欧洲范围内具有较强影响力欧洲共同体是一个在欧洲范围内具有较强影响力的政府间组织。为在共同体内正常地进行信息市场运的政府间组织。为在共同体内正常地进行信息市场运作,该组织在诸多问题
27、上建立了一系列法律,具体包作,该组织在诸多问题上建立了一系列法律,具体包括:竞争括:竞争(反托拉斯反托拉斯)法,产品责任、商标和广告规定法,产品责任、商标和广告规定法,知识产权保护法,保护软件、数据和多媒体产品法,知识产权保护法,保护软件、数据和多媒体产品及在线版权法,以及数据保护法、跨境电子贸易法、及在线版权法,以及数据保护法、跨境电子贸易法、税收法、司法等。这些法律若与其成员国原有国家法税收法、司法等。这些法律若与其成员国原有国家法律相矛盾,则必须以共同体的法律为准。律相矛盾,则必须以共同体的法律为准。返回本章首页返回本章首页第10章 网络管理与网络安全10.3.1 10.3.1 黑客攻击
28、的主要手段黑客攻击的主要手段 涉及网络安全的问题很多,但最主要的问题还是人涉及网络安全的问题很多,但最主要的问题还是人为攻击,黑客就是最具有代表性的一类群体。黑客在世为攻击,黑客就是最具有代表性的一类群体。黑客在世界各地四处出击,寻找机会袭击网络,几乎到了无孔不界各地四处出击,寻找机会袭击网络,几乎到了无孔不入的地步。有不少黑客袭击网络时并不是怀有恶意入的地步。有不少黑客袭击网络时并不是怀有恶意,他他们多数情况下只是为了表现和证实自己在计算机方面的们多数情况下只是为了表现和证实自己在计算机方面的天分与才华,但也有一些黑客的网络袭击行为是有意地天分与才华,但也有一些黑客的网络袭击行为是有意地对网
29、络进行破坏。对网络进行破坏。第10章 网络管理与网络安全 黑客黑客(Hacker)(Hacker)指那些利用技术手段进入其权限以外指那些利用技术手段进入其权限以外计算机系统的人。在虚拟的网络世界里,活跃着这批特计算机系统的人。在虚拟的网络世界里,活跃着这批特殊的人,他们是真正的程序员,有过人的才能和乐此不殊的人,他们是真正的程序员,有过人的才能和乐此不疲的创造欲。技术的进步给了他们充分表现自我的天地,疲的创造欲。技术的进步给了他们充分表现自我的天地,同时也使计算机网络世界多了一份灾难,一般人们把他同时也使计算机网络世界多了一份灾难,一般人们把他们称之为黑客们称之为黑客(Hacker)(Hack
30、er)或骇客或骇客(Cracker)(Cracker),前者更多指,前者更多指的是具有反传统精神的程序员,后者更多指的是利用工的是具有反传统精神的程序员,后者更多指的是利用工具攻击别人的攻击者,具有明显贬义。但无论是黑客还具攻击别人的攻击者,具有明显贬义。但无论是黑客还是骇客,都是具备高超的计算机知识的人。是骇客,都是具备高超的计算机知识的人。第10章 网络管理与网络安全1.1.口令入侵口令入侵 所谓口令入侵是指使用某些合法用户的账号所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击。使和口令登录到目的主机,然后再实施攻击。使用这种方法的前提是必须先得到该主机上的某用这
31、种方法的前提是必须先得到该主机上的某个合法用户的账号,然后再进行合法用户口令个合法用户的账号,然后再进行合法用户口令的破译。的破译。第10章 网络管理与网络安全2.2.放置特洛伊木马程序放置特洛伊木马程序 在古希腊人同特洛伊人的战争期间,古希腊在古希腊人同特洛伊人的战争期间,古希腊人佯装撤退并留下一只内部藏有士兵的巨大木人佯装撤退并留下一只内部藏有士兵的巨大木马,特洛伊人大意中计,将木马拖人特洛伊城。马,特洛伊人大意中计,将木马拖人特洛伊城。夜晚木马中的希腊士兵出来与城外战士里应外夜晚木马中的希腊士兵出来与城外战士里应外合,攻破了特洛伊城,特洛伊木马的名称也就合,攻破了特洛伊城,特洛伊木马的名
32、称也就由此而来。由此而来。第10章 网络管理与网络安全 在计算机领域里,有一类特殊的程序,黑客在计算机领域里,有一类特殊的程序,黑客通过它来远程控制别人的计算机,把这类程序通过它来远程控制别人的计算机,把这类程序称为特洛伊木马程序。从严格的定义来讲,凡称为特洛伊木马程序。从严格的定义来讲,凡是非法驻留在目标计算机里,在目标计算机系是非法驻留在目标计算机里,在目标计算机系统启动的时候自动运行,并在目标计算机上执统启动的时候自动运行,并在目标计算机上执行一些事先约定的操作,比如窃取口令等,这行一些事先约定的操作,比如窃取口令等,这类程序都可以称为特洛伊木马程序。类程序都可以称为特洛伊木马程序。第1
33、0章 网络管理与网络安全 特洛伊木马程序一般分为服务器端特洛伊木马程序一般分为服务器端(Server)(Server)和客户端和客户端(Client)(Client)服务器端是攻击者传到目标服务器端是攻击者传到目标机器上的部分,用来在目标机上监听等待客户机器上的部分,用来在目标机上监听等待客户端连接过来。客户端是用来控制目标机器的部端连接过来。客户端是用来控制目标机器的部分,放在攻击者的机器上。分,放在攻击者的机器上。第10章 网络管理与网络安全 特洛伊木马程序常被伪装成工具程序或游戏,一旦特洛伊木马程序常被伪装成工具程序或游戏,一旦用户打开了带有特洛伊木马程序的邮件附件或从网上用户打开了带有
34、特洛伊木马程序的邮件附件或从网上直接下载,或执行了这些程序之后,当用户连接到因直接下载,或执行了这些程序之后,当用户连接到因特网上时,这个程序就会把用户的特网上时,这个程序就会把用户的IPIP地址及被预先设地址及被预先设定的端口通知黑客。黑客在收到这些资料后,再利用定的端口通知黑客。黑客在收到这些资料后,再利用这个潜伏其中的程序,就可以恣意修改用户的计算机这个潜伏其中的程序,就可以恣意修改用户的计算机设定,复制文件,窥视用户整个硬盘内的资料等,从设定,复制文件,窥视用户整个硬盘内的资料等,从而达到控制用户计算机的目的。现在有许多这样的程而达到控制用户计算机的目的。现在有许多这样的程序,国外的此
35、类软件有序,国外的此类软件有BackOrifficeBackOriffice、NetbusNetbus等,国等,国内的此类软件有内的此类软件有NetspyNetspy、冰河、广外女生等。、冰河、广外女生等。第10章 网络管理与网络安全 3.3.DoSDoS攻击攻击 DoSDoS是是Denial of ServiceDenial of Service的简称,即拒绝服务,的简称,即拒绝服务,造成造成DoSDoS的攻击行为被称为的攻击行为被称为DoSDoS攻击,其目的是使计算攻击,其目的是使计算机或网络无法提供正常的服务。最常见的机或网络无法提供正常的服务。最常见的DoSDoS攻击有攻击有计算机网络
36、带宽攻击和连通性攻击。带宽攻击指以极计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。连通性耗殆尽,最后导致合法的用户请求无法通过。连通性攻击是指用大量的连接请求冲击计算机,使得所有可攻击是指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。处理合法用户的请求。第10章 网络管理与网络安全 分布式拒绝服务分布式拒绝服务(DDoSDDoS,DistributedDenta
37、lofServiceDistributedDentalofService)攻击指借助于客户攻击指借助于客户/服服务器技术,将多个计算机联合起来作为攻击平台,对务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动一个或多个目标发动DoSDoS攻击,从而成倍地提高拒绝攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃账号将服务攻击的威力。通常,攻击者使用一个偷窃账号将DDoSDDoS主控程序安装在一个计算机上,在一个设定的时主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通信,代理程序已经被间主控程序将与大量代理程序通信,代理程序已经被安装在因特网上的
38、许多计算机上。代理程序收到指令安装在因特网上的许多计算机上。代理程序收到指令时就发动攻击。利用客户时就发动攻击。利用客户/服务器技术,主控程序能服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。在几秒钟内激活成百上千次代理程序的运行。第10章 网络管理与网络安全 4.4.端口扫描端口扫描 所谓端口扫描,就是利用所谓端口扫描,就是利用SocketSocket编程与目编程与目标主机的某些端口建立标主机的某些端口建立TCPTCP连接、进行传输协连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是议的验证等,从而侦知目标主机的扫描端口是否处于激活状态、主机提供了哪些服务、提供否处于激活
39、状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等。常用的扫描方的服务中是否含有某些缺陷等。常用的扫描方式有:式有:TCP connect()TCP connect()扫描、扫描、TCP SYNTCP SYN扫描、扫描、TCPFINTCPFIN扫描、扫描、IPIP段扫描和段扫描和FTPFTP返回攻击等。返回攻击等。第10章 网络管理与网络安全 扫描器是一种自动捡测远程或本地主机安全扫描器是一种自动捡测远程或本地主机安全性弱点的程序,通过使用扫描器可以不留痕迹性弱点的程序,通过使用扫描器可以不留痕迹的发现远程服务器的各种的发现远程服务器的各种TCPTCP端口的分配及提端口的分配及提供的服务
40、和它们的软件版本。扫描器并不是一供的服务和它们的软件版本。扫描器并不是一个直接的攻击网络漏洞的程序,它仅能发现目个直接的攻击网络漏洞的程序,它仅能发现目标主机的某些内在的弱点。标主机的某些内在的弱点。第10章 网络管理与网络安全 一个好的扫描器能对它得到的数据进行分一个好的扫描器能对它得到的数据进行分析,帮助用户查找目标主机的漏洞。但它不会析,帮助用户查找目标主机的漏洞。但它不会提供进入一个系统的详细步骤。扫描器应该有提供进入一个系统的详细步骤。扫描器应该有3 3项功能;发现一个主机或网络的能力;一旦项功能;发现一个主机或网络的能力;一旦发现一台主机,有发现什么服务正运行在这台发现一台主机,有
41、发现什么服务正运行在这台主机上的能力;通过测试这些服务,发现漏洞主机上的能力;通过测试这些服务,发现漏洞的能力。的能力。第10章 网络管理与网络安全 5.5.网络监听网络监听 网络监听,在网络安全上一直是一个比较敏感的话网络监听,在网络安全上一直是一个比较敏感的话题,作为一种发展比较成熟的技术,监听在协助网络题,作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有管理员监测网络传输数据,排除网络故障等方面具有不可替代的作术,因而一直备受网络管理员的青眯。不可替代的作术,因而一直备受网络管理员的青眯。然而,在另一方面网络监听也给以太网的安全带来了然而,在另一方
42、面网络监听也给以太网的安全带来了极大的隐患,许多的网络入侵往往都伴随着以太网内极大的隐患,许多的网络入侵往往都伴随着以太网内的网络监听行为,从而造成口令失窃、敏感数据被截的网络监听行为,从而造成口令失窃、敏感数据被截获等连锁性安全事件。获等连锁性安全事件。第10章 网络管理与网络安全 网络监听是主机的一种工作模式,在这种模网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送道上传输的所有信息,而不管这些信息的发送方和接收方是谁。此时若两台主机进行通信的方和接收方是谁。此时若两台主机进行通信
43、的信息没有加密,只要使用某些网络监听工具就信息没有加密,只要使用某些网络监听工具就可轻而易举地截取包括口令和账号在内的信息可轻而易举地截取包括口令和账号在内的信息资料。资料。SnifferSniffer是一个著名的监听工具,它可是一个著名的监听工具,它可以监听到网上传输的所有信息。以监听到网上传输的所有信息。第10章 网络管理与网络安全 6.6.欺骗攻击欺骗攻击 欺骗攻击是攻击者创造一个易于误解的环境,以诱欺骗攻击是攻击者创造一个易于误解的环境,以诱使受攻击者进入并且做出缺乏安全考虑的决策。欺骗使受攻击者进入并且做出缺乏安全考虑的决策。欺骗攻击就像是一场虚拟游戏:攻击者在受攻击者的周围攻击就像
44、是一场虚拟游戏:攻击者在受攻击者的周围建立起一个错误但是令人信服的世界。如果该虚拟世建立起一个错误但是令人信服的世界。如果该虚拟世界是真实的话,那么受攻击者所做的一切都是无可厚界是真实的话,那么受攻击者所做的一切都是无可厚非的。但遗憾的是,在错误的世界中似乎是合理的活非的。但遗憾的是,在错误的世界中似乎是合理的活动可能会在现实的世界中导致灾难性的后果。常见的动可能会在现实的世界中导致灾难性的后果。常见的欺骗攻击有:欺骗攻击有:第10章 网络管理与网络安全 (1)Web (1)Web欺骗。欺骗。WebWeb欺骗允许攻击者创造整个欺骗允许攻击者创造整个WWWWWW世界的影像复制。影像世界的影像复制
45、。影像WebWeb的入口进入到攻的入口进入到攻击者的击者的WebWeb服务器,经过攻击者机器的过滤作服务器,经过攻击者机器的过滤作用,允许攻击者监控受攻击者的任何活动,包用,允许攻击者监控受攻击者的任何活动,包括账户和口令。攻击者也能以受攻击者的名义括账户和口令。攻击者也能以受攻击者的名义将错误或者易于误解的数据发送到真正的将错误或者易于误解的数据发送到真正的WebWeb服务器,以及以任何服务器,以及以任何WebWeb服务器的名义发送数服务器的名义发送数据给受攻击者。据给受攻击者。第10章 网络管理与网络安全 (2)ARP (2)ARP欺骗。通常源主机在发送一个欺骗。通常源主机在发送一个IPI
46、P包包之前,它要到该转换表中寻找和之前,它要到该转换表中寻找和IyIy包对应的包对应的MACMAC地址。此时,若入侵者强制目的主机地址。此时,若入侵者强制目的主机DownDown掉掉(比如发洪水包比如发洪水包),同时把自己主机的,同时把自己主机的IPIP地址地址改为合法目的主机的改为合法目的主机的IPIP地址,然后他发一个地址,然后他发一个ping(iempoping(iempo)给源主机,要求更新主机的给源主机,要求更新主机的ARPARP转转换表,主机找到该换表,主机找到该IPIP,然后在,然后在ARPARP表中加入新表中加入新的的IPIP与与MACMAC对应关系。合法的目的主机失效了,对应
47、关系。合法的目的主机失效了,入侵主机的入侵主机的MACMAC地址变成了合法的地址变成了合法的MACMAC地址。地址。第10章 网络管理与网络安全 (3)(3)IPIP欺骗。欺骗。IPIP欺骗由若干步骤组成。首先,目标主欺骗由若干步骤组成。首先,目标主机已经选定。其次,信任模式已被发现,井找到了一机已经选定。其次,信任模式已被发现,井找到了一个被目标主机信任的主机。黑客为了进行个被目标主机信任的主机。黑客为了进行IPIP欺骗,进欺骗,进行以下工作:行以下工作:使得被信任的主机丧失工作能力,同时采样目标主使得被信任的主机丧失工作能力,同时采样目标主机发出的机发出的TCPTCP序列号,猜测出它的数据
48、序列号。然后,序列号,猜测出它的数据序列号。然后,伪装成被信任的主机,同时建立起与目标主机基于地伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。如果成功,黑客可以使用一种简址验证的应用连接。如果成功,黑客可以使用一种简单的命令放置一个系统后门,以进行非授权操作。单的命令放置一个系统后门,以进行非授权操作。第10章 网络管理与网络安全 7.7.电子邮件攻击电子邮件攻击 电子邮件攻击主要表现为向目标信箱发送电子邮件电子邮件攻击主要表现为向目标信箱发送电子邮件炸弹。所谓的邮件炸弹实质上就是发送地址不详且容炸弹。所谓的邮件炸弹实质上就是发送地址不详且容量庞大的邮件垃圾。由于邮件信箱都是
49、有限的,当庞量庞大的邮件垃圾。由于邮件信箱都是有限的,当庞大的邮件垃圾到达信箱的时候,就会把信箱挤爆。同大的邮件垃圾到达信箱的时候,就会把信箱挤爆。同时,由于它占用了大量的网络资源,常常导致网络塞时,由于它占用了大量的网络资源,常常导致网络塞车,它常发生在当某人或某公司的所作所为引起了某车,它常发生在当某人或某公司的所作所为引起了某些黑客的不满时,黑客就会通过这种手段来发动进攻,些黑客的不满时,黑客就会通过这种手段来发动进攻,以泄私愤。以泄私愤。第10章 网络管理与网络安全 为了保护网络信息的安全可靠,除了运用法律和管理手段外,还需依靠技术方法来实现。网络安全控制技术目前有:防火墙技术、加密技
50、术、用户识别技术、访问控制技术、网络反病毒技术、网络安全漏洞扫描技术、入侵检测技术等。第10章 网络管理与网络安全 1.1.防火墙技术防火墙技术 防火墙技术是近年来维护网络安全最重要的手段。防火墙技术是近年来维护网络安全最重要的手段。从狭义上说防火墙是指安装了防火墙软件的主机或路从狭义上说防火墙是指安装了防火墙软件的主机或路由器系统;从广义上说防火墙还包括包括整个网络的由器系统;从广义上说防火墙还包括包括整个网络的安全策略和安全行为。加强防火墙的使用,可以经济、安全策略和安全行为。加强防火墙的使用,可以经济、有效地保证网络安全。一般将防火墙内的网络称为有效地保证网络安全。一般将防火墙内的网络称
