1、计算机网络计算机网络技 术 基 础技 术 基 础1第7章 网络安全 主编:周鸿旋2023-8-3计算机网络技术基础计算机网络技术基础2概况1您的内容打在这里,或者通过复制您的文本后。概况2您的内容打在这里,或者通过复制您的文本后。概况3您的内容打在这里,或者通过复制您的文本后。+整体概况2023-8-3计算机网络技术基础计算机网络技术基础3本章学习要点(1)掌握网络安全的定义。(2)了解目前网络面临的威胁以及产生威胁的原因(3)了解数据加密的基本概念和方法。(4)了解防火墙的知识。(5)了解计算机病毒的知识,掌握防治的方法。(6)了解网络安全的攻防体系和网络攻击的手段,掌握防范措施。2023-
2、8-3计算机网络技术基础计算机网络技术基础47.1 网络安全概述 7.1.17.1.1网络安全基础知识 1.1.网络安全的含义 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。包括:(l)运行系统安全,即保证信息处理和传输系统的安全。(2)网络上系统信息的安全。(3)网络上信息传播的安全,即信息传播后果的安全。(4)网络上信息内容的安全,即我们讨论的狭义的“信息安全”2023-8-3计算机网络技术基础计算机网络技术基础57.1 网络安全概述 2.2.网络安全的特征和目标网络安全的特征:(1)保密性
3、(2)完整性(3)可用性(4)可控性(5)不可否认性网络安全的目标:建立一个良好的通信平台,使得在这个平台上传输、处理的信息安全、可靠,从而为互联网上的各项活动提供完整而准确的信息,保证各种正常的网络行为能够高效、快捷、安全地实现。2023-8-3计算机网络技术基础计算机网络技术基础67.1 网络安全概述 3.3.网络安全的新威胁l针对网络浏览器,尤其是Flash和QuickTime这样的插件程序的袭击被列为最大威胁l 数量越来越多、技术越来越成熟的botnet(僵尸网络)位列榜单第二位。l排在第三位是网络间谍技术 l第四位是手机,尤其是iPhone手机、即将上市的Google Android
4、手机以及VoIPT系统所面临的威胁。l 内部袭击者的威胁排名第五。l先进的身份信息窃取病毒排名第六。lStorm和Nugache等恶意病毒排名第七。l 网络程序的漏洞排名第八。l以重大事件为诱饵的混合型攻击列到第九位。l排名最后的是消费者电子设备遭到攻击的可能性增大。2023-8-3计算机网络技术基础计算机网络技术基础77.1 网络安全概述 4.4.网络安全的关键技术与安全策略 网络安全关键技术指的是在针对网络威胁进行防御或者防范的时候所采用的技术,主要有如下几种:(1)主机安全技术。(2)身份认证技术。(3)访问控制技术。(4)密码技术。(5)防火墙技术。(6)安全审计技术。(7)安全管理技
5、术。针对这些技术,主要的策略包括:(1)网络用户的安全责任 (2)系统管理员的安全责任 (3)正确利用网络资源 (4)检测到安全问题时的对策2023-8-3计算机网络技术基础计算机网络技术基础87.1 网络安全概述 7.1.27.1.2威胁网络安全的因素 1人为失误2病毒感染3黑客攻击4系统的漏洞及“后门”5隐私及机密资料的存储和传输2023-8-3计算机网络技术基础计算机网络技术基础97.1 网络安全概述 信息系统数据的安全威胁 2023-8-3计算机网络技术基础计算机网络技术基础107.1 网络安全概述 7.1.37.1.3网络安全的分类 根据中国国家计算机安全规范,计算机的安全大致可分:
6、l 实体安全,包括机房、线路、主机等l 网络与信息安全,包括网络的畅通、准确以及网上信息的安全l 应用安全,包括程序开发运行、IO、数据库等的安全 具体到网络应用的形态,可以划分为:l 基本安全类l 管理与记账安全类l 网络互联设备安全类l 连接控制类2023-8-3计算机网络技术基础计算机网络技术基础117.2 网络安全技术 7.2.17.2.1数据加密技术 1.1.数据加密的基本概念 数据加密作为一项基本技术是所有通信安全的基石。数据加密过程是由形形色色的加密算法来具体实施的,它以很小的代价来提供很大的安全保护。在多数情况下,数据加密是保证信息机密性的惟一方法。有两类基本的数据加密算法:保
7、密密钥和公开/私有密钥。在保密密钥中,加密者和解密者使用相同的密钥,也被称为对称密钥加密。2023-8-3计算机网络技术基础计算机网络技术基础127.2 网络安全技术 对称密钥加密流程示意图2023-8-3计算机网络技术基础计算机网络技术基础137.2 网络安全技术 公开/私有密钥加密流程示意图 2023-8-3计算机网络技术基础计算机网络技术基础147.2 网络安全技术 2.数据加密的物理层次l 链路加密 链路加密能为在两个网络节点间的某一次通信链路上传输的数据提供安全保证。l 结点加密 节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,
8、这一过程是在节点上的一个安全模块中进行。l 端到端加密 端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密(又称脱线加密或包加密),消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。2023-8-3计算机网络技术基础计算机网络技术基础157.2 网络安全技术 3.数据加密的应用 数据加密可以使人们在因特网上进行安全的会话,而不必担心会被人偷听。随处可见的虚拟私用网和最新的加密和鉴别技术都是很好的数据加密技术的应用。l 身份认证 l 数字签名 l PGP加密系统l 数据加密在电子商务上的综合应用2023-8
9、-3计算机网络技术基础计算机网络技术基础167.2 网络安全技术 7.2.27.2.2VPNVPN技术 1.1.VPNVPN的基本概念 VPN(Virtual Private Network,虚拟专用网)指的是在Internet上,使用秘密信道及加密技术构建一个虚拟的、安全的、方便的及拥有自主权的数据网络。简单说,VPN是虚拟专用网,它实现了在公用网络上构建私人专用网络。2023-8-3计算机网络技术基础计算机网络技术基础177.2 网络安全技术 VPN的“虚拟”性2023-8-3计算机网络技术基础计算机网络技术基础187.2 网络安全技术 VPN 充分利用Internet的公用网络资源,快速
10、地建立起一个单位的专用广域连接。使用VPN可以省去专线租用费用或者长距离电话费用,大大降低成本。VPN虚拟专用网的连接 2023-8-3计算机网络技术基础计算机网络技术基础197.2 网络安全技术 2.VPN2.VPN的系统特性 VPN的系统特性不同于专用网络,“专用”和“虚拟”决定了VPN的新特性有如下这些:l 安全保障:保证通过公用网络平台传输数据的专用性和安全性l 服务质量保证:可以为企业的各种网络应用提供不同等级的服务质量保证(QoS)。l 可扩充性和灵活性:能够支持通过Intranet和Extranet的任何类型的数据流。l 可管理性:可方便地进行管理、维护。l 低成本性:利用现有的
11、Internet公共网络的基础设施,不需要租用专门线路。2023-8-3计算机网络技术基础计算机网络技术基础207.2 网络安全技术 3.VPN3.VPN的原理与协议 网络隧道技术指的是利用一种网络协议传输另一种网络协议,也就是说,将原始网络信息进行再次封装后,在两个端点之间通过公共网络进行传输,从而保证网络信息传输的安全性。隧道技术主要利用隧道协议来实现,有第二层隧道协议(用于传输第二层网络协议)、第三层隧道协议(用于传输第三层网络协议)和套接字层协议。2023-8-3计算机网络技术基础计算机网络技术基础217.2 网络安全技术 第二层隧道协议有以下几种:(1)PPTP(Point-to-P
12、oint Tunneling Protocol,点对点隧道协议)。(2)L2F(Layer 2 Forwarding)。(3)L2TP(Layer Two Tunneling Protocol,第二层隧道协议)第三层隧道协议是在网络层进行的,把各种网络协议直接装入隧道协议中,形成的数据包由第三层协议进行传输。第三层隧道协议有以下几种:(1)IPSec(IP Security)是目前最常用的VPN解决方案。(2)GRE(General Routing Encapsulation,常规路由封装)。套接字层协议有SSL(Secure Sockets LayerSSL(Secure Sockets L
13、ayer,安全的套接字协议层)2023-8-3计算机网络技术基础计算机网络技术基础227.2 网络安全技术 4.VPN4.VPN典型应用需求l 通过Internet实现远程用户访问(Access VPN)2023-8-3计算机网络技术基础计算机网络技术基础237.2 网络安全技术 Access VPN Access VPN的优点如下:(1)减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络。(2)实现本地拨号接入的功能来取代远距离接入或800电话接入,这样能显著降低远距离通信的费用。(3)极大的可扩展性,简便地对加入网络的新用户进行调度。(4)远端验证拨入用户服务(RADIUS)基于
14、标准,基于策略功能的安全服务。(5)将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。2023-8-3计算机网络技术基础计算机网络技术基础247.2 网络安全技术 l 连接企业内部网络计算机(Intranet VPNIntranet VPN)2023-8-3计算机网络技术基础计算机网络技术基础257.2 网络安全技术 Intranet VPN Intranet VPN的优点如下:(1)减少WAN带宽的费用。(2)能使用灵活的拓扑结构,包括全网孔连接。(3)新的站点能更快、更容易地被连接。(4)通过设备供应商WAN的连接冗余,可以延长网络的可用时间。2023-8-3计算机网络技
15、术基础计算机网络技术基础267.2 网络安全技术 l 连接不同企业内部网络计算机(Extranet VPNExtranet VPN)2023-8-3计算机网络技术基础计算机网络技术基础277.2 网络安全技术 Extranet VPN Extranet VPN结构的主要好处是:能容易地对外部网进行部署和管理,外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可外部网的用户被许可只有一次机会连接到其合作人的网络。2023-8-3计算机网络技术基础计算机网络技术基础287.2 网络安全技术 7.2.3防火墙技术1防火墙的基本概念 在计算机网络中,所谓“防火
16、墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术 防火墙是设置在被保护网络和外部网络之间实现网络安全保护的一道防御系统,是由具有以下特征的计算机硬件或软件组成:由内到外和由外到内的所有访问都必须通过它;只有本地安全策略所定义的合法访问才被允许通过它。2023-8-3计算机网络技术基础计算机网络技术基础297.2 网络安全技术 网络中的“防火墙”2023-8-3计算机网络技术基础计算机网络技术基础307.2 网络安全技术 l 第一代防火墙,采用包过滤(Packet Filter)技术,因此称包过滤防火墙,主要通过对数据包源地址、目的地址、端口号等参数来决
17、定是否允许该数据包通过,对其进行转发,但这种防火墙很难抵御IP地址欺骗等攻击,而且审计功能很差。l 第二代防火墙,称为代理服务器防火墙,它用来提供网络服务器级的控制,起到外部网络向被保护的内部网络申请服务时中间转接作用,这种方法可以有效地防止对内部网络的直接攻击,安全性较高。l 第三代防火墙,称为状态检测防火墙,可以对每一层数据包的状态信息进行检测和监控,有效地提高了防火墙的安全性l 随着网络攻击手段和信息安全技术的发展,新一代的功能更强、安全性更强的防火墙已经问世,称之为第四代防火墙。它可以抵御目前常见的网络攻击手段,如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、密码探寻攻击、邮件攻
18、击等等。2023-8-3计算机网络技术基础计算机网络技术基础317.2 网络安全技术 2 2防火墙的功能 防火墙由于处于网络边界的特殊位置,因而被设计集成了许多的安全防护功能和网络连接管理功能。其主要目标是:(1)保护那些易受攻击的服务 (2)控制对特殊站点的访问 (3)集中化的安全管理 (4)对网络访问进行记录、审计和统计 (5)防止内部信息的外泄2023-8-3计算机网络技术基础计算机网络技术基础327.2 网络安全技术 防火墙的功能模块被具体划分出来,其中最主要的功能有:l 访问控制功能l 防止外部攻击功能 l 地址转换功能l 日志与报警功能l 身份认证功能 2023-8-3计算机网络技
19、术基础计算机网络技术基础337.2 网络安全技术 3 3防火墙的体系结构 l 双重宿主主机结构2023-8-3计算机网络技术基础计算机网络技术基础347.2 网络安全技术 l 主机过滤体系结构 2023-8-3计算机网络技术基础计算机网络技术基础357.2 网络安全技术 l 子网过滤体系结构 2023-8-3计算机网络技术基础计算机网络技术基础367.2 网络安全技术 4 4防火墙的不足l 防火墙不能防止内部攻击(防外不防内)。l 防火墙不能防止未经过防火墙的攻击。l 防火墙不能取代杀毒软件,不能防止传送己感染病毒的软件或文件。l 防火墙不易防止反弹端口木马攻击。l 防火墙难于管理和配置,易造
20、成安全漏洞。l 很难为用户在防火墙内外提供一致的安全策略。l 防火墙只实现了粗粒度的访问控制。2023-8-3计算机网络技术基础计算机网络技术基础377.2 网络安全技术 5 5防火墙的选择原则l 防火墙的管理难易度 l 防火墙自身的安全性 l NCSC的认证标准 l 最好能弥补其他操作系统之不足 l 能否为使用者提供不同平台的选择 l 能否向使用者提供完善的售后服务 l 应该考虑企业的特殊需求 2023-8-3计算机网络技术基础计算机网络技术基础387.2 网络安全技术 企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的,这方面常常成为选择防火墙的考虑因素之一,常见的需求如下:1)IP
21、地址转换(IP Address Translation)2)双重DNS3)虚拟企业网络(VPN)4)扫毒功能5)特殊控制需求 2023-8-3计算机网络技术基础计算机网络技术基础397.2 网络安全技术 7.2.4 7.2.4 计算机病毒防治技术 1.1.计算机病毒的基本概念 计算机病毒是一种“计算机程序”,它不仅能破坏计算机系统,而且还能够传播、感染到其它系统。它通常隐藏在其它看起来无害的程序中,能生成自身的复制并将其插入其它的程序中,执行恶意的行动。通常,计算机病毒可分为下列几类。(1)文件病毒。(2)引导扇区病毒。(3)多裂变病毒。(4)秘密病毒。(5)异形病毒。(6)宏病毒。2023-
22、8-3计算机网络技术基础计算机网络技术基础407.2 网络安全技术 2.2.计算机病毒的传播 病毒一旦进入系统以后,通常用以下两种方式传播:(1)通过磁盘的关键区域;(2)在可执行的文件中。一般来说,病毒的工作方式与病毒所能表现出来的特性或功能是紧密相关的。病毒能表现出的几种特性或功能有:l 感染l 变异l 触发l 破坏l 高级功能(如隐身和多态)2023-8-3计算机网络技术基础计算机网络技术基础417.2 网络安全技术 3.3.计算机病毒的特点及破坏行为 根据对计算机病毒的产生、传染和破坏行为的分析,总结出病毒有以下几个主要特点:l 刻意编写人为破坏。l 自我复制能力。l 夺取系统控制权。
23、l 隐蔽性。l 潜伏性。l 不可预见性。2023-8-3计算机网络技术基础计算机网络技术基础427.2 网络安全技术 病毒在发作的时候都会产生各种各样的破坏行为:(1)攻击系统数据区。(2)攻击文件。(3)攻击内存。(4)干扰系统运行,使运行速度下降。(5)干扰键盘、喇叭或屏幕。(6)攻击CMOS。(7)干扰打印机。(8)网络病毒破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽等。2023-8-3计算机网络技术基础计算机网络技术基础437.2 网络安全技术 4 4网络病毒 病毒入侵网络的主要途径是通过工作站传播到服务器硬盘,再由服务器的共享目录传播到其它工作站。文件病毒
24、可以通过因特网毫无困难地发送,而可执行文件病毒不能通过因特网在远程站点感染文件。此时因特网是文件病毒的载体。引导病毒在网络服务器上的表现:如果网络服务器计算机是从一块感染的软盘上引导的,那么网络服务器就可能被引导病毒感染。此外,还有专门攻击网络的GPI病毒和电子邮件病毒。对电子邮件系统进行病毒防护可从以下几个方面着手:使用优秀的防毒软件对电子邮件进行专门的保护、使用防毒软件同时保护客户机和服务器和使用特定的SMTP杀毒软件。2023-8-3计算机网络技术基础计算机网络技术基础447.2 网络安全技术 5 5病毒的预防、检查和清除预防(1)对新购置的计算机系统用检测病毒软件检查已知病毒,用人工检
25、测方法检查未知病毒。(2)新购置的硬盘或出厂时已格式化好的软盘可能有病毒。(3)新购置的计算机软件也要进行病毒检测。(4)在保证硬盘无病毒的情况下,能用硬盘引导启动的,尽量不要用软盘去启动。(5)很多PC机可以通过设置CMOS参数,使启动时直接从硬盘引导启动。(6)定期与不定期地进行磁盘文件备份工作。(7)对于软盘,要尽可能将数据和程序分别存放,装程序的软盘要进行写保护。2023-8-3计算机网络技术基础计算机网络技术基础457.2 网络安全技术(8)在别人的机器上使用过自己的已打开了写保护的软盘,再在自己的机器上使用,就应进行病毒检测。(9)应保留一张写保护的、无病毒的并带有各种命令文件的系
26、统启动软盘,用于清除病毒和维护系统。(10)用Bootsafe等实用程序或用Debug编程提取分区表等方法做好分区表、DOS引导扇区等的备份工作,在进行系统维护和修复工作时可作为参考。(11)对于多人共用一台计算机的环境,应建立登记上机制度,做到使问题能尽早发现,有病毒能及时追查、清除,不致扩散。(12)启动Novell网或其它网络的服务器时,一定要坚持用硬盘引导启动(13)在网络服务器安装生成时,应将整个文件系统划分成多文件卷系统2023-8-3计算机网络技术基础计算机网络技术基础467.2 网络安全技术(14)安装服务器时应保证没有病毒存在(15)网络系统管理员应将SYS系统卷设置成对其它
27、用户为只读状态,屏蔽其它网络用户对系统卷除读取以外的其它所有操作(16)在应用程序卷安装共享软件时,应由系统管理员进行,或由系统管理员临时授权进行。(17)系统管理员对网络内的共享电子邮件系统、共享存储区域和用户卷进行病毒扫描,发现异常情况应及时处理,不使其扩散。(18)系统管理员的口令应严格管理(19)在网络工作站上采取必要的抗病毒技术措施(20)在服务器上安装Lan Protect等防病毒系统。2023-8-3计算机网络技术基础计算机网络技术基础477.2 网络安全技术 检测的原理主要是基于下列四种方法:(1)比较法:用原始备份与被检测的引导扇区或被检测的文件进行比较。(2)搜索法:用每一
28、种病毒体含有的特定字符串对被检测的对象进行扫描。(3)计算机病毒特征字的识别法:是基于特征串扫描法发展起来的一种新法。它工作起来速度更快、误报警更少。特征字识别法只需从病毒体内抽取很少几个关键的特征字来组成特征字库。(4)分析法:一般由专业反病毒技术人员使用。2023-8-3计算机网络技术基础计算机网络技术基础487.2 网络安全技术 病毒的清除可以从如下几个方面着手:(1)使用DOS命令处理病毒(2)引导型病毒的处理可以使用下面的程序来完成:“FdiskMBR”用于重写一个无毒的MBR。“Fdisk”用于读取或重写硬盘分区表。“Format C:/S”或“SYS C:”会重写一个无毒的“活动
29、分区的引导记录”。对于可以更改活动分区的情况,需要另外特殊对待。(3)宏病毒最简单的清除步骤为:关闭Word中的所有文档。选择“工具/模板/管理器/宏”选项。删除左右两个列表框中所有的宏(除了自己定义的)(一般病毒宏为AutoOpen、AutoNew或AutoClose)。关闭对话框。选择“工具/宏”选项。若有 AutoOpen、AutoNew或AutoClose等宏,删除之。(4)使用杀毒程序2023-8-3计算机网络技术基础计算机网络技术基础497.3 网络安全的攻与防 7.3.17.3.1网络安全的攻防体系 2023-8-3计算机网络技术基础计算机网络技术基础507.3 网络安全的攻与防
30、 攻击技术主要包括五个方面:1网络监听:自己不主动去攻击别人,在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。2网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。3网络入侵:当探测发现对方存在漏洞以后,入侵到目标计算机获取信息。4网络后门:成功入侵目标计算机后,为了对“战利品”的长期控制,在目标计算机中种植木马等后门。5网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。2023-8-3计算机网络技术基础计算机网络技术基础517.3 网络安全的攻与防 防御技术包括四大方面:1操作系统的安全配置:操作系统的安全是整
31、个网络安全的关键。2加密技术:为了防止被监听和盗取数据,将所有的数据进行加密。3防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。4入侵检测:如果网络防线最终被攻破了,需要及时发出被入侵的警报。2023-8-3计算机网络技术基础计算机网络技术基础527.3 网络安全的攻与防 7.3.27.3.2黑客技术 1.1.了解黑客 黑客和入侵者都是“侵入计算机系统的非法用户”,在技术上和行为上是相同的,区别仅在于其动机是无恶意的或恶意的。因此,通常没有严格区分,统称之为黑客。当前,黑客行为的发展趋势有以下三个方面:l 手段高明化l 活动频繁化l 动机复杂化2023-8-3计算机网络技术基础计
32、算机网络技术基础537.3 网络安全的攻与防 2.2.黑客攻击的步骤及过程分析 一次成功的黑客攻击,都可以归纳成五个基本步骤,这五个基本步骤就是所谓的“黑客攻击五部曲”:l 隐藏IP:隐藏自己的位置。l 踩点扫描“寻找目标主机并分析目标主机。l 获得系统或管理员权限:获得目标机的系统(System)权限或管理员(Administrator)权限的目的是对目标机进行控制,以便达到攻击目的。l 种植后门:攻击者为了长期保持自己的胜利果实(即系统的控制权),通常都要在已经被攻破的目标机上种植(即设置)专门供自己使用的后门(Backdoor),以方便今后的入侵。l 清除痕迹(在网络中隐身)2023-8
33、-3计算机网络技术基础计算机网络技术基础547.3 网络安全的攻与防 7.3.37.3.3隐藏IPIP技术与防范普通用户隐藏IP地址常用以下三种方法:使用代理服务器(Proxy Server)(2)使用工具软件 (3)对于局域网中的电脑,可以将浏览器中的Proxy地址(代理)设为与Internet连接的那台主机的地址。黑客一般采用以下方法实现自己IP地址的隐藏:l 首先入侵互联网上的一台主机(俗称肉鸡、傀儡机、代理机),利用这台主机作为跳板进行攻击l 做多极跳板的“Sock代理”,这样在入侵的主机上留下的是代理计算机的IP地址。(1)对付最有效的“数据包分析方法”而言,可以安装并使用能够自动去
34、掉所发送数据包的包头IP信息的一些软件。2023-8-3计算机网络技术基础计算机网络技术基础557.3 网络安全的攻与防 7.3.47.3.4踩点扫描技术与防范 踩点扫描就是通过各种途径对所要攻击的目标(可以是工作站、服务器、交换机、路由器等)进行多方面的了解,甚至还应包括任何从非技术性渠道可以得到的蛛丝马迹(要确保信息的准确性)踩点扫描在策略上一般分成两种:(1)被动式扫描策略被动式扫描策略就是基于主机的,检查目标系统中不合适的设置,脆弱的口令以及其他同安全规则相抵触的对象,被动式扫描一般不会对目标系统造成破坏。(2)主动式扫描策略主动式扫描策略是基于网络的,它通过执行一些脚本文件对目标系统
35、进行模拟攻击,并记录系统的反应,从而发现其中的漏洞,主动式扫描有可能会对目标系统造成破坏。2023-8-3计算机网络技术基础计算机网络技术基础567.3 网络安全的攻与防 踩点扫描技术有以下几种:l 活动主机探测。l ICMP(Internet Control and Message Protocal,网间控制信息协议)查询。例如Ping和Tracert工具都是利用ICMP协议中的ECHO request报文进行的 l 网络PING扫描。l 端口扫描,扫描目标主机开放的端口,并标识UDP和TCP服务,扫描方式有慢速扫描和乱序扫描两种。l 漏洞扫描,对目标主机可能存在的已知安全漏洞逐项进行检查,
36、因此又称为指定漏洞扫描。l 综合扫描,包括以上多项内容的扫描。2023-8-3计算机网络技术基础计算机网络技术基础577.3 网络安全的攻与防 7.3.57.3.5网络嗅探原理及防范 嗅探器(Sniffer)可被理解为一种安装在计算机上的监听设备或窃听设备。它可以用来捕捉网络报文、窃听在计算机网络上传输的众多的信息。Sniffer的定义:Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。嗅探器也是一把“双刃剑”,它既可以服务于网络管理目的,用于分析网络的流量,以便找出网络中潜在的问题。但是也可以被用于窃听网络,获取敏感信息。2023-8-3计算机网络技术基础计算机
37、网络技术基础587.3 网络安全的攻与防 下面介绍一种简单检测嗅探器的方法:(1)怀疑IP地址为192.168.13.16的机器上装有嗅探器程序,其MAC地址确定为00:40:63:18:0E:78,并确保它在同一个局域网里;(2)修改ARP表中IP地址192.138.13.16对应的MAC地址;(3)用ping命令ping这个IP地址;(4)因为每台计算机的MAC地址无法与这个数据包中的目的MAC相符,所以,这个包应该会被丢弃。但是嗅探器有可能接收这个数据。(5)如果看到了应答,说明这个MAC包没有被丢弃,也就是说,很有可能有嗅探器存在。2023-8-3计算机网络技术基础计算机网络技术基础5
38、97.3 网络安全的攻与防 针对网络嗅探,我们可以采用以下手段进行防范:(1)网络分段:一个网络段包括一组共享低层设备和线路的机器,如交换机、动态集线器和网桥等设备,可以对数据流进行限制,从而达到防止嗅探的目的。(2)加密:一方面可以对数据流中的部分重要信息进行加密,另一方面也可只对应用层加密,后者将使大部分与网络和操作系统有关的敏感信息失去保护。选择何种加密方式取决于信息的安全级别及网络的安全程度。目前,电子商务中一般使用SSL或SET协议进行敏感信息的传送,此外还可以使用VPN(虚拟专用网)技术,以防止在网络传输中被窃听。2023-8-3计算机网络技术基础计算机网络技术基础607.3 网络
39、安全的攻与防 7.3.67.3.6密码攻防 “黑客攻击五部曲”的第三步是获得目标主机的系统权限或管理员权限,而得到管理员权限的目的是连接到目标主机,对其进行控制,达到自己攻击目的。方法有二种:一是直接获取系统和管理员的口令;二是先获取普通用户的帐号和口令,然后提升为管理员的权限。密码探测破解的工作原理其实很简单,主要的方式有:1通过网络监听非法得到用户密码 2密码破解 3放置特洛伊木马程序 目前,经常被用开进行密码探测破解的工具主要有:L0phtCrack v5.00、PWDump和John the Ripper 1.7.1。2023-8-3计算机网络技术基础计算机网络技术基础617.3 网络
40、安全的攻与防 保持密码安全的要点如下:(1)不要将密码写下来。(2)不要将密码保存在电脑文件中。(3)不要选取显而易见的信息做密码。(4)不要让别人知道。(5)不要在不同系统中使用同一密码。(6)为防止眼捷手快的人窃取密码,在输入密码时应确认无人在身边。(7)定期改变密码,至少6个月改变一次。2023-8-3计算机网络技术基础计算机网络技术基础627.3 网络安全的攻与防 7.3.7 7.3.7 特洛伊木马攻防特洛伊木马的类型可以分为:(1)远程控制型(Remote Administrators)。(2)输出Shell型。(3)信息窃取型。(4)其他,如破坏型。特洛伊木马一般由三个部分组成,分
41、别是:(1)硬件部分:建立木马连接所必须的硬件实体。包括客户端(即控制端,对服务端进行远程控制的一方)、服务端(被控制端远程控制的一方)和Internet(数据传输的网络载体)。(2)软件部分:实现远程控制所必须的软件程序。包括控制端程序、木马程序和木马配置程序。(3)具体连接部分:通过Internet在服务端和控制端之间建立一条木马所必须的通道。2023-8-3计算机网络技术基础计算机网络技术基础637.3 网络安全的攻与防 针对特洛伊木马的这种特性,可以采取如下的方法进行预防:(1)提高防范意识:(2)发现木马入侵的可疑迹象,立即断开网络,进行特洛伊木马程序的检测和清除。(3)经常检查、监
42、测系统文件和注册表的变化。(4)备份文件和注册表。清除木马最简单的方法是安装杀毒软件、防火墙软件或木马专杀软件。现在很多杀毒软件都能删除多种木马。但是由于木马的种类和花样越来越多,所以手动删除还是最好的办法。木马在启动后会被加载到注册表的启动组中,它会先进入内存,然后打开端口。所以在查找木马时要先使用NetStat 或 NET VIEW,而后开始查找开放的可疑端口。2023-8-3计算机网络技术基础计算机网络技术基础647.3 网络安全的攻与防 7.3.87.3.8缓冲区溢出攻防 目前有四种基本的方法保护缓冲区免受缓冲区溢出的攻击和影响:l 强制编写正确的代码。l 非执行的缓冲区技术,通过操作
43、系统使得缓冲区不可执行,从而阻止攻击者植入攻击代码。l 数组边界检查,利用编译器的边界检查来实现缓冲区的保护。l 程序指针完整性检查,这是一种间接的方法,该方法在程序指针失效前进行完整性检查。2023-8-3计算机网络技术基础计算机网络技术基础65提问与解答环节Questions and answers2023-8-3计算机网络技术基础计算机网络技术基础66结束语 CONCLUSION感谢参与本课程,也感激大家对我们工作的支持与积极的参与。课程后会发放课程满意度评估表,如果对我们课程或者工作有什么建议和意见,也请写在上边,来自于您的声音是对我们最大的鼓励和帮助,大家在填写评估表的同时,也预祝各位步步高升,真心期待着再次相会!2023-8-3计算机网络技术基础计算机网络技术基础67谢谢聆听THANK YOU FOR LISTENING演讲者:XX 时间:202X.XX.XX
