《網(wǎng)絡(luò)安全技術(shù)》PPT課件

1、第1章 計算機(jī)網(wǎng)絡(luò)安全概述及環(huán)境搭建,1.1 計算機(jī)網(wǎng)絡(luò)安全概述,一、網(wǎng)絡(luò)安全的發(fā)展史,20世紀(jì)80年代開始，互聯(lián)網(wǎng)技術(shù)飛速發(fā)展。自從1987年發(fā)現(xiàn)了全世界首例計算機(jī)病毒以來，病毒的數(shù)量早已超過1萬種以上，并且還在以每年兩千種新病毒的速度遞增，不斷困擾著涉及計算機(jī)領(lǐng)域的各個行業(yè)。 1997年,隨著萬維網(wǎng)（WoldWideWeb）上Java語言的普及,利用Java語言進(jìn)行傳播和資料獲取的病毒開始出現(xiàn),典型的代表是JavaSnake病毒，還有一些利用郵件服務(wù)器進(jìn)行傳播和破壞的病毒，例如Mail-Bomb病毒，它會嚴(yán)重影響因特網(wǎng)的效率,一、網(wǎng)絡(luò)安全的發(fā)展史,1989年，俄羅斯的EugeneKaspe

2、rsky開始研究計算機(jī)病毒現(xiàn)象。從1991年到1997年，俄羅斯大型計算機(jī)公司KAMI的信息技術(shù)中心研發(fā)出了AVP反病毒程序。這在國際互聯(lián)網(wǎng)反病毒領(lǐng)域具有里程碑的意義。 防火墻是網(wǎng)絡(luò)安全政策的有機(jī)組成部分。1983年，第一代防火墻誕生。到今天，已經(jīng)推出了第五代防火墻,一、網(wǎng)絡(luò)安全的發(fā)展史,進(jìn)入21世紀(jì)，政府部門、金融機(jī)構(gòu)、軍事軍工、企事業(yè)單位和商業(yè)組織對IT系統(tǒng)的依賴也日益加重，IT系統(tǒng)所承載的信息和服務(wù)的安全性就越發(fā)顯得重要。 2007年初，一個名叫“熊貓燒香”的病毒在極短時間內(nèi)通過網(wǎng)絡(luò)在中國互聯(lián)網(wǎng)用戶中迅速傳播，曾使數(shù)百萬臺電腦中毒，造成重大損失,一、網(wǎng)絡(luò)安全的發(fā)展史,1、網(wǎng)絡(luò)安全問題的產(chǎn)

3、生 （1）信息泄露、信息污染及信息不可控等 （2）某些個人或組織出于某種特殊目的進(jìn)行信息泄露、信息破壞、信息假冒侵權(quán)和意識形態(tài)的信息滲透，甚至進(jìn)行一些破壞國家、社會以及各類主體合法權(quán)益的活動,一、網(wǎng)絡(luò)安全的發(fā)展史,3）隨著社會的高度信息化、社會的“命脈”和核心控制系統(tǒng)有可能面臨惡意的攻擊而導(dǎo)致?lián)p壞和癱瘓 （4）網(wǎng)絡(luò)應(yīng)用越來越廣泛，但是控制權(quán)分散的管理問題也日益顯現(xiàn),一、網(wǎng)絡(luò)安全的發(fā)展史,2、網(wǎng)絡(luò)安全的現(xiàn)狀(見P2 圖1-1) （1）拒絕服務(wù)攻擊：拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問，是黑客常用的攻擊手段之一。這些資源包括磁盤空間、內(nèi)存、進(jìn)程甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的

4、訪問。拒絕服務(wù)攻擊問題也一直得不到合理的解決，究其原因是因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的。攻擊者進(jìn)行拒絕服務(wù)攻擊，實(shí)際上讓服務(wù)器實(shí)現(xiàn)兩種效果：一是迫使服務(wù)器的緩沖區(qū)滿，不接收新的請求；二是使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接,一、網(wǎng)絡(luò)安全的發(fā)展史,2）網(wǎng)絡(luò)仿冒 （3）網(wǎng)頁惡意代碼 （4）病毒、蠕蟲或木馬 （5）漏洞 （6）垃圾郵件報告,一、網(wǎng)絡(luò)安全的發(fā)展史,3、網(wǎng)絡(luò)安全的發(fā)展趨勢 （1）實(shí)施網(wǎng)絡(luò)攻擊的主體的變化：由興趣性向盈利性發(fā)展 （2）網(wǎng)絡(luò)攻擊的主要手段的變化：由單一手段向結(jié)合多種攻擊手段的綜合性攻擊發(fā)展 （3）企業(yè)內(nèi)部對安全威脅的認(rèn)識的變化：外部管理轉(zhuǎn)

5、向內(nèi)部安全管理,二、網(wǎng)絡(luò)安全的定義,1、網(wǎng)絡(luò)上的信息安全，這其中涉及到了物理器件計算機(jī)和基于這之上的網(wǎng)絡(luò)通信，對于數(shù)據(jù)的加密等一系列的知識，因此集計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等多種學(xué)科于一體,二、網(wǎng)絡(luò)安全的定義,2、計算機(jī)系統(tǒng)安全定義：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄漏。 3、保證網(wǎng)絡(luò)安全的目的：確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等情況,二、網(wǎng)絡(luò)安全的定義,4、網(wǎng)絡(luò)安全包含： （1）運(yùn)行系統(tǒng)的安全，即保證信息處理和傳輸系統(tǒng)的安全 （2）網(wǎng)絡(luò)上

6、系統(tǒng)信息的安全 （3）網(wǎng)絡(luò)上信息傳輸?shù)陌踩ＷC信息不被竊取修改或泄漏 （4）網(wǎng)絡(luò)上信息內(nèi)容的安全,12 網(wǎng)絡(luò)安全威脅,一、網(wǎng)絡(luò)安全威脅的來源,1、內(nèi)部威脅 （1）內(nèi)部人員因自身原因故意破壞、泄露或無意錯誤操作破壞數(shù)據(jù)而引起的威脅 （2）因不當(dāng)使用Internet接入而降低生產(chǎn)率 （3）內(nèi)部工作人員發(fā)送、接收和查看攻擊性材料，可能會使內(nèi)部感染計算機(jī)病毒。 2、外部威脅,二、網(wǎng)絡(luò)安全威脅的種類,1、非授權(quán)訪問：一般是沒有事先經(jīng)過同意，通過假冒、身份攻擊及系統(tǒng)漏洞等手段來獲取系統(tǒng)的訪問權(quán)限，從而非法進(jìn)入網(wǎng)絡(luò)系統(tǒng)來使用網(wǎng)絡(luò)資源，造成資源的消耗或損壞。 2、拒絕服務(wù) 3、數(shù)據(jù)欺騙：主要包括捕獲、修改和

7、破壞可信主機(jī)上的數(shù)據(jù)，攻擊者還可能對通信線路上的網(wǎng)絡(luò)通信進(jìn)行重定向,13 網(wǎng)絡(luò)安全防御體系,一、安全防御體系的層次結(jié)構(gòu),1、物理安全：包括通信線路的安全、物理設(shè)備的安全及機(jī)房的安全等。涉及到防火、防靜電、防雷擊、防電磁輻射和防盜等。 2、操作系統(tǒng)安全性：包括操作系統(tǒng)的安全配置、操作系統(tǒng)的漏洞檢測、操作系統(tǒng)的漏洞修補(bǔ)等,一、安全防御體系的層次結(jié)構(gòu),3、網(wǎng)絡(luò)的安全性：包括網(wǎng)絡(luò)身份認(rèn)證、網(wǎng)絡(luò)資源的訪問控制、數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入的安全、域名系統(tǒng)的安全、路由系統(tǒng)的安全、防火墻應(yīng)用、病毒防范和入侵檢測等 4、應(yīng)用安全性：指網(wǎng)絡(luò)對用戶提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性 5、管理安全性：包括安

8、全技術(shù)和設(shè)備的管理、安全管理制度及部門與人員的組織規(guī)則等,二、安全防御體系工作流程,1、攻擊前的防范 2、攻擊過程中的防范 3、攻擊過程后的恢復(fù)處理,第2章 網(wǎng)絡(luò)協(xié)議基礎(chǔ),2.1 TCP/IP協(xié)議概述,一、TCP/IP協(xié)議模型,1、協(xié)議的基礎(chǔ)概念：網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)通信中控制數(shù)據(jù)傳輸?shù)囊?guī)則。包括三要素 （1）語義（做什么）：包括用于協(xié)調(diào)和差錯處理、流量控制的控制信息。 （2）語法（怎么做）：數(shù)據(jù)編碼格式與信號的電平 （3）時序（何時做）：速度的匹配和排序,一、TCP/IP協(xié)議模型,2、開放系統(tǒng)互連參考模型（OSI參考模型） 設(shè)計者按照信息的流動過程將網(wǎng)絡(luò)的整體功能分解為一個個的功能層，不同主機(jī)的同

9、等功能層之間采用相同的協(xié)議，同一主機(jī)上的相鄰功能層之間通過接口進(jìn)行信息傳遞，形成了OSI參考模型，這樣不同體系結(jié)構(gòu)的計算機(jī)網(wǎng)絡(luò)都能互連，進(jìn)行信息互通,一、TCP/IP協(xié)議模型,OSI參考模型將網(wǎng)絡(luò)的通信功能劃分成7個層次，由高到低分別是： （1）物理層：向下直接與物理傳輸介質(zhì)相連接，是各種網(wǎng)絡(luò)設(shè)備進(jìn)行互聯(lián)時必須遵守的底層協(xié)議，與其他協(xié)議無關(guān)。物理層定義了數(shù)據(jù)通信網(wǎng)絡(luò)之間物理鏈路的電氣或機(jī)械特性，以及激活、維護(hù)和關(guān)閉這條鏈路的各項(xiàng)操作。物理層的特征參數(shù)包括電壓、數(shù)據(jù)傳輸率、最大傳輸距離和物理連接介質(zhì)等,一、TCP/IP協(xié)議模型,2）數(shù)據(jù)鏈路層：它把從物理層來的原始數(shù)據(jù)組成幀 即用于傳送數(shù)據(jù)的結(jié)構(gòu)

10、化的包。數(shù)據(jù)鏈路層負(fù)責(zé)幀在計算機(jī)之間的無差錯傳遞。其特征參數(shù)包括物理地址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、錯誤警告機(jī)制、所傳數(shù)據(jù)幀的排序和流量控制等,一、TCP/IP協(xié)議模型,3）網(wǎng)絡(luò)層：定義網(wǎng)絡(luò)操作系統(tǒng)通信用的協(xié)議，為傳送的信息確定地址，將邏輯地址和名字翻譯成物理地址。同時負(fù)責(zé)確定從源計算機(jī)沿著網(wǎng)絡(luò)到目的計算機(jī)的路由選擇，處理交通問題，路由器的功能在這一層實(shí)現(xiàn)。網(wǎng)絡(luò)層的主要功能是將報文分組以最佳路徑通過通信子網(wǎng)送達(dá)目的主機(jī),一、TCP/IP協(xié)議模型,4）傳輸層：負(fù)責(zé)端到端的信息傳輸錯誤處理，包括錯誤的確認(rèn)和恢復(fù)，確保信息的可靠傳遞。在必要時，也對信息重新打包，把過長信息分成小包發(fā)送。在接收端，再將這些小包重構(gòu)

11、成初始的信息,一、TCP/IP協(xié)議模型,5）會話層：允許在不同計算機(jī)上的兩個應(yīng)用間建立、使用和結(jié)束會話，實(shí)現(xiàn)對話控制，管理何端發(fā)送、何時發(fā)送和占用多長時間等。會話層利用傳輸層提供的可靠信息傳遞服務(wù)，使得兩個會話實(shí)體之間不用考慮相互間的距離、使用何種網(wǎng)絡(luò)通信等細(xì)節(jié)，進(jìn)行數(shù)據(jù)的透明傳輸,一、TCP/IP協(xié)議模型,6）表示層：表示層則要保證所傳輸?shù)臄?shù)據(jù)經(jīng)傳送后意義不改變，它要解決的問題是如何描述數(shù)據(jù)結(jié)構(gòu)并使之與機(jī)器無關(guān)。 （7）應(yīng)用層：主要功能是直接為用戶服務(wù)，通過應(yīng)用軟件實(shí)現(xiàn)網(wǎng)絡(luò)與用戶的直接對話。這一層是最終用戶應(yīng)用程序訪問網(wǎng)絡(luò)服務(wù)的地方，負(fù)責(zé)整個網(wǎng)絡(luò)應(yīng)用程序協(xié)同工作,一、TCP/IP協(xié)議模型,3

12、、OSI參考模型的特點(diǎn) （1）各層之間是獨(dú)立的。每層只實(shí)現(xiàn)一種相對獨(dú)立的功能，可以使網(wǎng)絡(luò)傳輸?shù)膹?fù)雜程度下降。 （2）靈活性好。任何一層發(fā)生變化都不影響別的層，只要層間接口保持不變。 （3）結(jié)構(gòu)上可分割，用不同技術(shù)來實(shí)現(xiàn)。 （4）易于實(shí)現(xiàn)和維護(hù)。 （5）能促進(jìn)標(biāo)準(zhǔn)化工作,一、TCP/IP協(xié)議模型,4、TCP/IP協(xié)議模型 （1）網(wǎng)絡(luò)接口層：網(wǎng)絡(luò)接口層與OSI/RM的物理層、數(shù)據(jù)鏈路層相對應(yīng)。該層中所使用的協(xié)議大多是各通信子網(wǎng)固有的協(xié)議。作用是傳輸經(jīng)IP層處理過的IP信息，并提供一個主機(jī)與實(shí)際網(wǎng)絡(luò)的接口，而具體的接口關(guān)系則可以由實(shí)際網(wǎng)絡(luò)的類型所決定,一、TCP/IP協(xié)議模型,2）互聯(lián)網(wǎng)層：也被稱為

13、IP（Internet Protocol）層、網(wǎng)絡(luò)層。是TCP/IP模型的關(guān)鍵部分。它的功能是使主機(jī)可以把IP數(shù)據(jù)包發(fā)往任何網(wǎng)絡(luò)，并使數(shù)據(jù)報獨(dú)立地傳向目標(biāo)（中途可能經(jīng)由不同的網(wǎng)絡(luò)）。這些數(shù)據(jù)包到達(dá)的順序和發(fā)送的順序可能不同，因此當(dāng)需要按順序發(fā)送和接收時，高層必須對分組排序,一、TCP/IP協(xié)議模型,3）傳輸層：在源節(jié)點(diǎn)和目的節(jié)點(diǎn)兩個進(jìn)程實(shí)體之間提供可靠的、端到端的數(shù)據(jù)傳輸。為保證數(shù)據(jù)傳輸?shù)目煽啃?，傳輸層協(xié)議規(guī)定接收端必須發(fā)回確認(rèn)，若丟失必須重新發(fā)送。若同時有多個應(yīng)用程序訪問互聯(lián)網(wǎng)，則傳輸層在每個數(shù)據(jù)包中增加識別信源和信宿應(yīng)用程序的標(biāo)記,一、TCP/IP協(xié)議模型,4）應(yīng)用層：位于傳輸層之上的應(yīng)用

14、層包含所有的高層協(xié)議，為用戶提供所需要的各種服務(wù)。主要的服務(wù)有：遠(yuǎn)程登錄（Telnet）、文件傳輸（FTP）、電子郵件（SMTP）、Web服務(wù)（HTTP）、域名系統(tǒng)（DNS）等,一、TCP/IP協(xié)議模型,4、TCP/IP協(xié)議的特點(diǎn) （1）應(yīng)用廣泛 （2）能夠向用戶和應(yīng)用程序提供通用的、統(tǒng)一的網(wǎng)絡(luò)服務(wù)。 （3）網(wǎng)絡(luò)對等性：簡化了對異構(gòu)網(wǎng)的處理,二、TCP/IP核心協(xié)議,1、網(wǎng)際協(xié)議（IP協(xié)議）：屬于TCP/IP模型和互聯(lián)網(wǎng)層，提供關(guān)于數(shù)據(jù)應(yīng)如何傳輸以及傳輸?shù)胶翁幍男畔?。是使TCP/IP協(xié)議可用于網(wǎng)絡(luò)連接的子協(xié)議。是不可靠的、無連接的協(xié)議，不保證數(shù)據(jù)的可靠，若接收時發(fā)現(xiàn)信息不正確，則將認(rèn)為數(shù)據(jù)包被

15、破壞，則重新發(fā)送數(shù)據(jù)包。IP的數(shù)據(jù)報包含報頭和數(shù)據(jù)兩部分，報頭包含（見P24,二、TCP/IP核心協(xié)議,2、傳輸控制協(xié)議（TCP協(xié)議）：屬于傳輸層，提供可靠的數(shù)據(jù)傳輸服務(wù)。位于IP協(xié)議的上層，通過提供校驗(yàn)、流控制及序列信息彌補(bǔ)IP協(xié)議可靠性的缺陷。是面向連接的服務(wù)。TCP協(xié)議包含了保證數(shù)據(jù)可靠性的幾個組件（見P26,二、TCP/IP核心協(xié)議,3、用戶數(shù)據(jù)報協(xié)議（UDP）：UDP協(xié)議是一種無連接的傳輸服務(wù)，不保證數(shù)據(jù)包以正確的序列被接收，并且不提供錯誤校驗(yàn)或序列編號。適合用于實(shí)況錄音或電視轉(zhuǎn)播,二、TCP/IP核心協(xié)議,4、網(wǎng)際控制報文協(xié)議（ICMP）：位于互聯(lián)網(wǎng)層的IP協(xié)議和傳輸層的TCP協(xié)議

16、之間，不提供錯誤控制服務(wù)，僅報告哪個網(wǎng)絡(luò)是不可達(dá)的，哪個數(shù)據(jù)包因分配的生存時間過期而被拋棄,二、TCP/IP核心協(xié)議,5、地址解析協(xié)議（ARP）：是互聯(lián)網(wǎng)層協(xié)議，它獲取主機(jī)或節(jié)點(diǎn)的物理地址并創(chuàng)建一個本地數(shù)據(jù)庫以將物理地址映射到主機(jī)的邏輯地址上。和IP地址配合使用。就是將網(wǎng)卡地址和IP地址一一對應(yīng)起來，網(wǎng)卡地址解析成IP地址,2.2 常用的網(wǎng)絡(luò)服務(wù)原理,一、WWW服務(wù),1、WWW是已聯(lián)網(wǎng)服務(wù)器的集合，這些服務(wù)器按指定的協(xié)議和格式共享資源和交換信息。 2、采用的CS架構(gòu)（服務(wù)器客戶端的架構(gòu)），在服務(wù)器端需要安裝外部服務(wù)器，客戶機(jī)端要具備瀏覽器。 3、在客戶機(jī)端訪問服務(wù)器端需要TCP/IP協(xié)議、IP

17、地址與Internet連接和瀏覽器,一、WWW服務(wù),4、服務(wù)器端和客戶機(jī)端通過HTTP或HTML服務(wù)傳輸內(nèi)容，每個Web頁都被統(tǒng)一資源定位器（URL）標(biāo)識。每一個Web頁的網(wǎng)址都是獨(dú)一無二的，對應(yīng)第一無二的IP地址。 5、http:/ https是使用的服務(wù)類型，是主機(jī)名，index.asp是該頁下的文件。 6、常見的Web服務(wù)器軟件包括（見P27,二、FTP服務(wù),1、文件傳輸協(xié)議：用于管理TCP/IP主機(jī)之間文件的傳輸 2、FTP服務(wù)是FTP服務(wù)器提供的，相當(dāng)于是服務(wù)器開辟了FTP服務(wù)，提供文件夾供客戶端上傳或下載文件。 3、在瀏覽器的地址欄中輸入 FTP:/主機(jī)名 或 FTP:/服務(wù)器IP

18、地址，即可訪問FTP服務(wù)器，相當(dāng)于是向服務(wù)器發(fā)出請求，服務(wù)器始終偵聽請求，當(dāng)接收到這個請求的時候，立刻給予客戶端響應(yīng),二、FTP服務(wù),4、常見的FTP程序有LeapFTP、WS_FTP、CuteFTP和FlashFXP等。 5、使用FTP必須首先登陸，輸入ID和口令，在服務(wù)器上獲得相應(yīng)的權(quán)限后才能下載或上傳文件。服務(wù)器有可能限定在同一時刻最高可供多少人同時使用。有的服務(wù)器上提供匿名FTP服務(wù)，任何人都可以使用一個公用的ID進(jìn)入使用該服務(wù)器上公開的資源,三、DNS服務(wù),1、域名系統(tǒng)：是將主機(jī)名和域名解析為與此名稱相關(guān)的IP地址的系統(tǒng)。 2、因?yàn)镮P地址由一串?dāng)?shù)字組成，難于記憶，因此引申出了域名，

19、用一串便于記憶的字符組成，而域名和IP地址成為一種一一對應(yīng)的關(guān)系。由域名轉(zhuǎn)換成IP地址稱為正向解析，由IP地址轉(zhuǎn)換成域名為逆向解析。 3、DNS分為3個組成部分：解析器、名稱服務(wù)器、名稱空間,三、DNS服務(wù),4、當(dāng)進(jìn)行一個域名訪問的時候，在瀏覽器中輸入網(wǎng)址，解析器服務(wù)會查詢本地的名稱服務(wù)器，查找相對應(yīng)的IP地址，若沒有則向高一級服務(wù)器查詢。要知道本地、地區(qū)、國家都有名稱服務(wù)器。 5、假若你以前訪問過這個域名地址，則可以從以前查詢獲得的緩存信息中就地應(yīng)答查詢，這樣速度比較快,四、DHCP服務(wù),1、動態(tài)主機(jī)配置協(xié)議：是往網(wǎng)絡(luò)中的每臺設(shè)備分配獨(dú)一無二IP地址的動態(tài)方式。 2、采用DHCP服務(wù)的優(yōu)點(diǎn)：

20、 （1）降低花費(fèi)在IP地址管理方面的時間和規(guī)劃 （2）降低分配IP地址的錯誤率 （3）在移動電腦的情況下無需更改TCP/IP配置。 （4）為使IP地址對移動用戶透明。 3、DHCP出租過程和終止DHCP租借,五、終端服務(wù),1、終端服務(wù)：集成在Windows.NET Server終端服務(wù)中，作為系統(tǒng)服務(wù)器服務(wù)組件存在，“開始”“程序”“附件”“通訊”“超級終端” 2、客戶機(jī)和服務(wù)器通過TCP/IP協(xié)議和標(biāo)準(zhǔn)的局域網(wǎng)構(gòu)架聯(lián)系，在客戶端上進(jìn)行操作傳遞到終端服務(wù)器上，再將服務(wù)器上的顯示結(jié)果傳遞回客戶端。類似于“遠(yuǎn)程控制,五、終端服務(wù),3、允許多個客戶端同時登陸到服務(wù)器，他們之間是相互獨(dú)立的。 4、終端

21、服務(wù)由5個組件組成： （1）多用戶內(nèi)核 （2）遠(yuǎn)程桌面協(xié)議 （3）終端服務(wù)客戶端 （4）終端服務(wù)許可服務(wù) （5）終端服務(wù)管理工具,23 常用網(wǎng)絡(luò)命令,一、ipconfig,1、ipconfig/all 查看配置 才啟動的時候執(zhí)行這個命令，大多信息不能獲取，例如IP地址，DNS等。使用刷新命令后，可以查看到計算機(jī)的主機(jī)名、網(wǎng)卡名、網(wǎng)卡地址、動態(tài)分配的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)等。 2、ipconfig/renew 刷新配置 （“運(yùn)行”輸入“cmd”,二、ping,作用：用于網(wǎng)絡(luò)的連通性測試，測試網(wǎng)線是否連通、網(wǎng)卡配置是否正確及IP地址是否可用等。 例： ping a 03

22、 常見參數(shù)說明：見35頁,三、arp,原理：arp即地址解析協(xié)議，在常用以太網(wǎng)或令牌LAN上，用于實(shí)現(xiàn)第三層到第二層地址的轉(zhuǎn)換 IP MAC 功能：顯示和修改IP地址與MAC地址之間的映射,誰知道 的MAC地址,我知道 的MAC地址是: xxxxxx,三、arp,常用參數(shù)： arp a：顯示所有的arp表項(xiàng) arp s：在arp緩存中添加一條記錄 （例：Arp -s 02-e0-fc-fe-01-b9） arp d：在arp緩存中刪除一條記錄 （例：Arp -d ） arp g：顯示所有的表項(xiàng),四、nbts

23、tat,作用：是解決NetBIOS名稱解析問題的工具，可使用nbtstat命令刪除或更正預(yù)加載的項(xiàng)目 常用參數(shù)：見37頁,五、netstat,作用：用來顯示協(xié)議統(tǒng)計信息和當(dāng)前TCP/IP連接，該命令只能在安裝了TCP/IP協(xié)議后才能使用。 常用參數(shù)：見P3738頁,六、tracert,原理：tracert 是為了探測源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間數(shù)據(jù)報文經(jīng)過的路徑，利用IP報文的TTL域在每個經(jīng)過一個路由器的轉(zhuǎn)發(fā)后減一,如果此時TTL=0則向源節(jié)點(diǎn)報告TTL超時這個特性，從一開始逐一增加TTL,直到到達(dá)目的站點(diǎn)或TTL達(dá)到最大值255. 功能：探索兩個節(jié)點(diǎn)的路由,六、tracert,六、tracert,

24、常用參數(shù)： 1、tracert ip_adress,六、tracert,2、tracert h N （設(shè)置TTL最大為N,第3章 網(wǎng)絡(luò)攻防技術(shù)應(yīng)用,31 網(wǎng)絡(luò)攻擊概述,一、網(wǎng)絡(luò)黑客,概念：懷有不良企圖，強(qiáng)行闖入遠(yuǎn)程計算機(jī)系統(tǒng)或惡意干擾遠(yuǎn)程系統(tǒng)完整性，通過非授權(quán)的訪問權(quán)限，盜取數(shù)據(jù)甚至破壞計算機(jī)系統(tǒng)的“入侵者”稱為黑客。 攻擊目的：竊取信息；獲取口令；控制中間站點(diǎn)；獲得超級用戶權(quán)限等,一、網(wǎng)絡(luò)黑客,實(shí)例： （1）1983年，“414黑客”，6名少年黑客被控侵入60多臺電腦 （2）1987年，赫爾伯特齊恩（“影子鷹”），闖入沒過電話電報公司 （3）1988年，羅伯特莫里斯“蠕蟲程序”，造成1500

25、萬到1億美元的經(jīng)濟(jì)損失。 （4）1990年，“末日軍團(tuán)”，4名黑客中有3人被判有罪。 （5）1995年，米特尼克偷竊了2萬個信用卡號，8000萬美元的巨額損失。 （6）1998年2月，德國計算機(jī)黑客米克斯特，使用美國七大網(wǎng)站陷于癱瘓狀態(tài),一、網(wǎng)絡(luò)黑客,7）1998年，兩名加州少年黑客，以色列少年黑客分析家，查詢五角大樓網(wǎng)站并修改了工資報表和人員數(shù)據(jù)。 （8）1999年4月，“CIH”病毒，保守估計全球有6千萬部電腦感染。 （9）1999年，北京江民KV300殺毒軟件，損失260萬元。 （10）2000年2月，“雅虎”、“電子港灣”、亞馬孫、微軟網(wǎng)絡(luò)等美國大型國際互聯(lián)網(wǎng)網(wǎng)站，損失超過了10億美元

26、。 （11）2000年4月，闖入電子商務(wù)網(wǎng)站的威爾斯葛雷，估計導(dǎo)致的損失可能超過300萬美元,二、網(wǎng)絡(luò)攻擊的目標(biāo),目標(biāo)：系統(tǒng)、數(shù)據(jù)（數(shù)據(jù)占70%） 系統(tǒng)型攻擊特點(diǎn)：攻擊發(fā)生在網(wǎng)絡(luò)層，破壞系統(tǒng)的可用性，使系統(tǒng)不能正常工作，可能留下明顯的攻擊痕跡。 數(shù)據(jù)型攻擊特點(diǎn)：發(fā)生在網(wǎng)絡(luò)的應(yīng)用層，面向信息，主要目的是為了篡改和偷取信息，不會留下明顯的痕跡。 （注：著重加強(qiáng)數(shù)據(jù)安全，重點(diǎn)解決來自內(nèi)部的非授權(quán)訪問和數(shù)據(jù)的保密工作。,二、網(wǎng)絡(luò)攻擊的目標(biāo),1、阻塞類攻擊：通過強(qiáng)制占有信道資源、網(wǎng)絡(luò)連接資源及存儲空間資源，使服務(wù)器崩潰或資源耗盡而無法對外繼續(xù)提供服務(wù)（例如拒絕服務(wù)攻擊）。 常見方法：TCPSYN洪泛攻擊

27、、Land攻擊、Smurf攻擊及電子郵件炸彈等 攻擊后果：使目標(biāo)系統(tǒng)死機(jī)；使端口處于停頓狀態(tài)；在計算機(jī)屏幕上發(fā)現(xiàn)雜亂信息、改變文件名稱、刪除關(guān)鍵的程序文件；扭曲系統(tǒng)的資源狀態(tài)，使系統(tǒng)的處理速度降低,二、網(wǎng)絡(luò)攻擊的目標(biāo),2、探測類攻擊：收集目標(biāo)系統(tǒng)的各種與網(wǎng)絡(luò)安全有關(guān)的信息，為下一步入侵提供幫助。 包括：掃描技術(shù)（采用模擬攻擊形式對可能存在的安全漏洞進(jìn)行逐項(xiàng)檢查）、體系結(jié)構(gòu)刺探及系統(tǒng)信息服務(wù)收集等,二、網(wǎng)絡(luò)攻擊的目標(biāo),3、控制類攻擊：試圖獲得對目標(biāo)主機(jī)控制權(quán)的。 常見方法：口令攻擊、特洛伊木馬、緩沖區(qū)溢出攻擊 4、欺騙類攻擊：通過冒充合法網(wǎng)絡(luò)主機(jī)或通過配置、設(shè)置一些假信息來騙取敏感信息。 常見方

28、法：ARP緩存虛構(gòu)、DNS告訴緩沖污染及偽造電子郵件等,二、網(wǎng)絡(luò)攻擊的目標(biāo),5、漏洞類攻擊：非法用戶未經(jīng)授權(quán)通過系統(tǒng)硬件或軟件存在的某中形式的安全方面的脆弱性獲得訪問權(quán)或提高其訪問權(quán)限。 6、破壞類攻擊：指對目標(biāo)主機(jī)的各種數(shù)據(jù)與軟件實(shí)施破壞的一類攻擊。 常見方法：計算機(jī)病毒、邏輯炸彈,32 網(wǎng)絡(luò)攻擊技術(shù),一、網(wǎng)絡(luò)攻擊的一般模型概述,網(wǎng)絡(luò)攻擊一般模型：經(jīng)歷四個階段,搜索信息,獲取權(quán)限,消除痕跡,深入攻擊,一、網(wǎng)絡(luò)攻擊的一般模型概述,1、搜集信息（攻擊的偵查階段） 隱藏地址：尋找“傀儡機(jī)”,隱藏真實(shí)IP地址。 鎖定目標(biāo)：尋找、確定攻擊目標(biāo)。 了解目標(biāo)的網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)容量、目錄及安全狀態(tài) 搜索系統(tǒng)信

29、息：分析信息，找到弱點(diǎn)攻擊,一、網(wǎng)絡(luò)攻擊的一般模型概述,2、獲取權(quán)限 利用探測到的信息分析目標(biāo)系統(tǒng)存在的弱點(diǎn)和漏洞，選擇合適的攻擊方式，最終獲取訪問權(quán)限或提升現(xiàn)有訪問權(quán)限。 3、消除痕跡 清除事件日記、隱藏遺留下的文件、更改某些系統(tǒng)設(shè)置 4、深入攻擊 進(jìn)行信息的竊取或系統(tǒng)的破壞等操作,二、常用網(wǎng)絡(luò)攻擊的關(guān)鍵技術(shù),1、端口掃描技術(shù) 通過端口掃描可以搜集目標(biāo)主機(jī)的系統(tǒng)服務(wù)端口的開放情況，進(jìn)行判斷目標(biāo)的功能使用情況，一旦入侵成功后將后門設(shè)置在高端口或不常用的端口，入侵者通過這些端口可以任意使用系統(tǒng)的資源,二、常用網(wǎng)絡(luò)攻擊的關(guān)鍵技術(shù),1）常用的端口掃描技術(shù) A、TCP connect（）掃描：使用co

30、nnect（），建立與目標(biāo)主機(jī)端口的連接。若端口正在監(jiān)聽，connect（）成功返回；否則說明端口不可訪問。任何用戶都可以使用connect（）。 B、TCP SYN掃描：即半連接掃描。掃描程序發(fā)送SYN數(shù)據(jù)包，若發(fā)回的響應(yīng)是SYN/ACK表明該端口正在被監(jiān)聽，RST響應(yīng)表明該端口沒有被監(jiān)聽。若接收到的是SYN/ACK，則發(fā)送RST斷開連接。（主機(jī)不會記錄這樣的連接請求，但只有超級用戶才能建立這樣的SYN數(shù)據(jù)包,二、常用網(wǎng)絡(luò)攻擊的關(guān)鍵技術(shù),C、TCP FIN掃描：關(guān)閉的端口用正確的RST應(yīng)答發(fā)送的對方發(fā)送的FIN探測數(shù)據(jù)包，相反，打開的端口往往忽略這些請求。 D、Fragmentation掃描

31、：將發(fā)送的探測數(shù)據(jù)包分成一組很小的IP包，接收方的包過濾程序難以過濾。 E、UDP recfrom（）和write（）掃描 F、ICMP echo掃描：使用ping命令，得到目標(biāo)主機(jī)是否正在運(yùn)行的信息。 G、TCP反向Ident掃描： H、FTP返回攻擊 I、UDP ICMP端口不能到達(dá)掃描,二、常用網(wǎng)絡(luò)攻擊的關(guān)鍵技術(shù),2）掃描器 定義：一種自動檢測遠(yuǎn)程或本地主機(jī)安全弱點(diǎn)的程序，可以不留痕跡地發(fā)現(xiàn)遠(yuǎn)程服務(wù)器的各種TCP端口的發(fā)配及提供的服務(wù)。 工作原理：通過選用遠(yuǎn)程TCP/IP不同的端口服務(wù)，記錄目標(biāo)給予的回答。 三項(xiàng)功能：發(fā)現(xiàn)一個主機(jī)或網(wǎng)絡(luò)的功能；一旦發(fā)現(xiàn)主機(jī)，發(fā)現(xiàn)什么服務(wù)正在運(yùn)行在主機(jī)上的

32、功能；測試這些服務(wù)發(fā)現(xiàn)漏洞的功能,二、常用網(wǎng)絡(luò)攻擊的關(guān)鍵技術(shù),2、網(wǎng)絡(luò)監(jiān)聽技術(shù) 網(wǎng)絡(luò)監(jiān)聽技術(shù)是指截獲和復(fù)制系統(tǒng)、服務(wù)器、路由器或防火墻等網(wǎng)絡(luò)設(shè)備中所有網(wǎng)絡(luò)通信信息。 網(wǎng)卡接收數(shù)據(jù)方式：廣播方式、組播方式、直接方式、混雜模式 基本原理：數(shù)據(jù)包發(fā)送給源主機(jī)連接在一起的所有主機(jī)，但是只有與數(shù)據(jù)包中包含的目的地址一致的主機(jī)才能接收數(shù)據(jù)包。若主機(jī)工作在監(jiān)聽模式下，則可監(jiān)聽或記錄下同一網(wǎng)段上的所有數(shù)據(jù)包,二、常用網(wǎng)絡(luò)攻擊的關(guān)鍵技術(shù),3、網(wǎng)絡(luò)欺騙技術(shù) 定義：是利用TCP/IP協(xié)議本身的缺陷對TCP/IP網(wǎng)絡(luò)進(jìn)行攻擊的技術(shù)。 （1）IP欺騙：選定目標(biāo)，發(fā)現(xiàn)主機(jī)間的信任模式，使目標(biāo)信任的主機(jī)喪失工作能力，TCP

33、序列號的取樣和預(yù)測，冒充被信任主機(jī)進(jìn)入目標(biāo)系統(tǒng)，實(shí)施破壞并留下后門,二、常用網(wǎng)絡(luò)攻擊的關(guān)鍵技術(shù),2）ARP欺騙 A、對路由器ARP表的欺騙：原理是截獲網(wǎng)關(guān)數(shù)據(jù)。 B、對局域網(wǎng)內(nèi)個人計算機(jī)的網(wǎng)絡(luò)欺騙：原理是偽造網(wǎng)關(guān)。 后果：影響局域網(wǎng)正常運(yùn)行；泄露用戶敏感信息,二、常用網(wǎng)絡(luò)攻擊的關(guān)鍵技術(shù),4、密碼破解技術(shù) 指通過猜測或其他手段獲取合法用戶的賬號和密碼，獲得主機(jī)或網(wǎng)絡(luò)的訪問權(quán)，并能訪問到用戶能訪問的任何資源的技術(shù),二、常用網(wǎng)絡(luò)攻擊的關(guān)鍵技術(shù),密碼攻擊的方法： （1）通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶密碼：采用中途截獲的方法獲取用戶賬戶和密碼。 （2）密碼窮舉破解：在獲取用戶的賬號后使用專門軟件強(qiáng)行破解用戶密

34、碼。（口令猜解、字典攻擊、暴力猜解,二、常用網(wǎng)絡(luò)攻擊的關(guān)鍵技術(shù),5、拒絕服務(wù)技術(shù) 定義：簡稱DoS技術(shù)，是針對TCP/IP協(xié)議的缺陷來進(jìn)行網(wǎng)絡(luò)攻擊的手段。通過向服務(wù)器傳送大量服務(wù)要求，使服務(wù)器充斥著這種要求恢復(fù)的信息，耗盡網(wǎng)絡(luò)帶寬或系統(tǒng)資源，最終導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)癱瘓、停止正常工作。 常見攻擊模式：資源消耗型、配置修改型、服務(wù)利用型 新型拒絕服務(wù)攻擊技術(shù)：分布式拒絕服務(wù)攻擊、分布式反射拒絕服務(wù)攻擊,三、常用網(wǎng)絡(luò)攻擊工具,1、端口掃描工具：網(wǎng)絡(luò)安全掃描器NSS、安全管理員的網(wǎng)絡(luò)分析工具SATAN、SuperScan 2、網(wǎng)絡(luò)監(jiān)聽工具：X-Scan、Sniffer、NetXray、tcpdump、wi

35、npcap等 3、密碼破解工具：是能將口令解譯出來，或者讓口令保護(hù)失效的程序。 4、拒絕服務(wù)攻擊工具 （1）DoS工具：死亡之ping、Teardrop、TCP SYN洪水、Land、Smurf （2）DDoS工具：TFN、TFN2k、Trinoo、mstream、shaft等,33 網(wǎng)絡(luò)攻擊防御技術(shù),一、網(wǎng)絡(luò)攻擊的防范策略,1、提高安全意識：從使用者自身出發(fā)，加強(qiáng)使用者的自身素質(zhì)和網(wǎng)絡(luò)安全意識。 2、訪問控制策略：保證網(wǎng)絡(luò)安全的最核心策略之一，主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。 3、數(shù)據(jù)加密策略：最有效的技術(shù)之一，通過對網(wǎng)內(nèi)數(shù)據(jù)、文件、口令和控制信息進(jìn)行加密從而達(dá)到保護(hù)網(wǎng)上傳輸?shù)?/p>

36、數(shù)據(jù)的目的。 4、網(wǎng)絡(luò)安全管理策略：確定安全管理登記和安全管理范圍；指定有關(guān)網(wǎng)絡(luò)操作實(shí)驗(yàn)規(guī)程和人員管理制度；指定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施,二、常見的網(wǎng)絡(luò)攻擊防御方法,1、端口掃描的防范方法 （1）關(guān)閉閑置和有潛在危險的端口 （2）發(fā)現(xiàn)有端口掃描的癥狀時，立即屏蔽該端口：可使用防火墻實(shí)現(xiàn),二、常見的網(wǎng)絡(luò)攻擊防御方法,2、網(wǎng)絡(luò)監(jiān)聽的防范方法 （1）對網(wǎng)絡(luò)監(jiān)聽攻擊采取的防范措施： 網(wǎng)絡(luò)分段：將IP地址按節(jié)點(diǎn)計算機(jī)所在網(wǎng)絡(luò)的規(guī)模的大小分段，可以對數(shù)據(jù)流進(jìn)行限制。 加密：可對數(shù)據(jù)的重要部分進(jìn)行加密，也可對應(yīng)用層加密 一次性密碼技術(shù) 劃分VLAN：使用虛擬局域網(wǎng)技術(shù)，將以太網(wǎng)通信變成點(diǎn)到點(diǎn)的通信,二、

37、常見的網(wǎng)絡(luò)攻擊防御方法,2）對可能存在的網(wǎng)絡(luò)監(jiān)聽的檢測方法： 用正確的IP地址和錯誤的物理地址ping可能正在運(yùn)行監(jiān)聽程序的主機(jī)。 向網(wǎng)上發(fā)送大量不存在的物理地址的包，用于降低主機(jī)性能。 使用反監(jiān)聽工具進(jìn)行檢測,二、常見的網(wǎng)絡(luò)攻擊防御方法,3、IP欺騙的防范方法 （1）進(jìn)行包過濾：只在內(nèi)網(wǎng)之間使用信任關(guān)系，對于外網(wǎng)主機(jī)的連接請求可疑的直接過濾掉。 （2）使用加密技術(shù)：對信息進(jìn)行加密傳輸和驗(yàn)證 （3）拋棄IP信任驗(yàn)證：放棄以IP地址為基礎(chǔ)的驗(yàn)證,二、常見的網(wǎng)絡(luò)攻擊防御方法,4、密碼破解的防范方法 密碼不要寫下來 不要將密碼保存在計算機(jī)文件中 不要選取顯而易見的信息做密碼 不要再不同系統(tǒng)中使用同一

38、密碼 定期改變密碼 設(shè)定密碼不宜過短，最好使用字母、數(shù)字、標(biāo)點(diǎn)符號、字符混合,二、常見的網(wǎng)絡(luò)攻擊防御方法,5、拒絕服務(wù)的防范方法 （1）拒絕服務(wù)的防御策略： 建立邊界安全界限，確保輸出的數(shù)據(jù)包收到正確限制。經(jīng)常檢測系統(tǒng)配置信息，并建立完整的安全日志。 利用網(wǎng)絡(luò)安全設(shè)備加固網(wǎng)絡(luò)的安全性，配置好設(shè)備的安全規(guī)則，過濾所有可能的偽造數(shù)據(jù)包,二、常見的網(wǎng)絡(luò)攻擊防御方法,2）具體DOS防范方法： 死亡之ping的防范方法：設(shè)置防火墻，阻斷ICMP以及任何未知協(xié)議。、 Teardrop的防范方法：在服務(wù)器上應(yīng)用最新的服務(wù)包，設(shè)置防火墻對分段進(jìn)行重組，不轉(zhuǎn)發(fā)它們。 TCP SYN洪水的防范方法：關(guān)掉不必要的T

39、CP/IP服務(wù)，或配置防火墻過濾來自同一主機(jī)的后續(xù)連接。 Land的防范方法：配置防火墻，過濾掉外部結(jié)構(gòu)上入棧的含有內(nèi)部源地址的數(shù)據(jù)包。 Smurf的防范方法：關(guān)閉外部路由器或防火墻的廣播地址特征，或通過在防火墻上設(shè)置規(guī)則，丟棄ICMP包,三、入侵檢測技術(shù),1、概述 通過從計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，以發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象,三、入侵檢測技術(shù),2、功能 （1）監(jiān)控、分析用戶和系統(tǒng)的活動 （2）對系統(tǒng)配置和漏洞的審計 （3）估計關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性 （4）識別和反應(yīng)入侵活動的模式并向網(wǎng)絡(luò)管理員報警 （5）對異常行為模式的統(tǒng)計

40、分析 （6）操作系統(tǒng)審計跟蹤管理，識別違反策略的用戶活動,三、入侵檢測技術(shù),3、入侵檢測技術(shù) 入侵行為與用戶的正常行為存在可量化的差別，通過檢測當(dāng)前用戶行為的相關(guān)記錄，從而判斷攻擊行為是否發(fā)生。 （1）統(tǒng)計異常檢測技術(shù) 對合法用戶在一段時間內(nèi)的用戶數(shù)據(jù)收集，然后利用統(tǒng)計學(xué)測試方法分析用戶行為，以判斷用戶行為是否合法。分為基于行為剖面的檢測和閾值檢測。 （2）規(guī)則的檢測技術(shù) 通過觀察系統(tǒng)里發(fā)生的事件并將該時間與系統(tǒng)的規(guī)則進(jìn)行匹配，來判斷該事件是否與某條規(guī)則所代表的入侵行為相對應(yīng)。分為基于規(guī)則的異常檢測和基于規(guī)則的滲透檢測,三、入侵檢測技術(shù),4、入侵檢測過程 （1）信息收集： 在網(wǎng)絡(luò)系統(tǒng)中的不同網(wǎng)

41、段、不同主機(jī)收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等相關(guān)數(shù)據(jù)。 （2）信息分析 匹配模式：將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有的模式數(shù)據(jù)庫進(jìn)行匹配，進(jìn)而發(fā)現(xiàn)違反安全策略的行為,三、入侵檢測技術(shù),統(tǒng)計分析：首先給系統(tǒng)對象創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性。這個測量屬性的平均值將與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，是否處于正常范圍之內(nèi)。 完整性分析：關(guān)注某個固定的對象是否被更改,三、入侵檢測技術(shù),5、入侵檢測系統(tǒng)的基本類型 （1）基于主機(jī)的入侵檢測系統(tǒng) 使用操作系統(tǒng)的審計日志作為數(shù)據(jù)源輸入，根據(jù)主機(jī)的審計數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件。依賴于審計數(shù)據(jù)和系統(tǒng)日志的準(zhǔn)確性、完整性以及安全事件的

42、定義,三、入侵檢測技術(shù),2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) 使用整個網(wǎng)絡(luò)上傳輸?shù)男畔⒘髯鳛檩斎?，通過被動地監(jiān)聽捕獲網(wǎng)絡(luò)數(shù)據(jù)包，并分析、檢測網(wǎng)絡(luò)上發(fā)生的網(wǎng)絡(luò)入侵行為。但只能檢測直接連接網(wǎng)絡(luò)的通信，不能檢測不同網(wǎng)段的網(wǎng)絡(luò)包。 （3）分布式入侵檢測系統(tǒng)（混合型,三、入侵檢測技術(shù),6、入侵檢測系統(tǒng)應(yīng)對攻擊的技術(shù) （1）入侵響應(yīng) 當(dāng)檢測到入侵或攻擊時，采取適當(dāng)?shù)拇胧┳柚谷肭趾凸舻倪M(jìn)行。 （2）入侵跟蹤技術(shù) 知道對方的物理地址、IP地址、域名、應(yīng)用程序地址等就可以跟蹤對方,四、蜜罐技術(shù),1、蜜罐技術(shù) 蜜罐系統(tǒng)是互聯(lián)網(wǎng)上運(yùn)行的計算機(jī)系統(tǒng)，可以被攻擊，對于攻擊方入侵的過程和行為進(jìn)行監(jiān)視、檢測和分析，進(jìn)而追蹤入侵者。

43、 蜜罐系統(tǒng)是一個包含漏洞的誘騙系統(tǒng)，是一種被監(jiān)聽、被攻擊或已被入侵的資源，通過模擬一個或多個易被攻擊的主機(jī)，給攻擊者提供一個容易攻擊的目標(biāo)，而拖延攻擊者對真正目標(biāo)的攻擊，讓其在蜜罐上浪費(fèi)時間,四、蜜罐技術(shù),蜜罐系統(tǒng)關(guān)鍵技術(shù)：服務(wù)偽裝、漏洞提供 蜜罐技術(shù)缺陷：只能對針對蜜罐的攻擊行為進(jìn)行監(jiān)視和分析，不能像入侵檢測系統(tǒng)一樣能夠通過旁路偵聽等技術(shù)隊整個網(wǎng)絡(luò)進(jìn)行監(jiān)控,四、蜜罐技術(shù),2、蜜網(wǎng)技術(shù) 蜜網(wǎng)技術(shù)又稱為誘捕網(wǎng)絡(luò)，它構(gòu)成一個黑客誘捕網(wǎng)絡(luò)體系架構(gòu)，其上包含一個或多個蜜罐，同時保證了網(wǎng)絡(luò)的高度可控性，以及提供多種工具一方便對攻擊信息采集和分析。 蜜網(wǎng)核心需求：數(shù)據(jù)控制、數(shù)據(jù)捕獲、數(shù)據(jù)分析,第4章 操作

44、系統(tǒng)安全配置方案,4.1 安全操作系統(tǒng)概述,一、安全操作系統(tǒng)的定義,1、操作系統(tǒng)的安全現(xiàn)狀 2、安全操作系統(tǒng)的定義 系統(tǒng)能夠控制外部對系統(tǒng)信息的訪問，即只有經(jīng)過授權(quán)的用戶或代表該用戶運(yùn)行的進(jìn)程才能讀、寫、創(chuàng)建或刪除信息,一、安全操作系統(tǒng)的定義,包含有： （1）操作系統(tǒng)在設(shè)計時通過權(quán)限訪問控制、信息加密性保護(hù)和完整性鑒定等一些機(jī)制實(shí)現(xiàn)的安全防護(hù)。 （2）操作系統(tǒng)在使用時，通過配置保證系統(tǒng)避免由于實(shí)現(xiàn)時的缺陷或是應(yīng)用環(huán)境因素產(chǎn)生的不安全,二、安全操作系統(tǒng)的特征,1、最小特權(quán)原則 2、有ACL的自主訪問控制 3、強(qiáng)制訪問控制：制定一個固定的安全屬性，來決定一個用戶是否可以訪問資源。安全屬性可由系統(tǒng)自

45、動分配也可由系統(tǒng)管理員手動分配。 4、安全審計和審計管理： 5、安全域隔離 6、可信路徑,4.2 WINDOWS操作系統(tǒng)安全性,一、操作系統(tǒng)的安全性概述,1、Windows XP安全性 （1）完善的用戶管理功能 可在登錄界面查看當(dāng)前系統(tǒng)中的所有用戶名，可控制用戶對文件的訪問，并且開啟文件的審核功能后，可將用戶對文件的訪問情況記錄到安全日志文件中。 （2）軟件限制策略的透明性 以透明的方式隔離和使用不可靠的、潛在對用戶數(shù)據(jù)有害的代碼,一、操作系統(tǒng)的安全性概述,3）支持NTFS和EFS文件系統(tǒng) EFS是加密文件系統(tǒng)，可通過在要加密的文件“屬性”對話框“常規(guī)”選項(xiàng)卡的“高級”按鈕中設(shè)置，自動產(chǎn)生加密

46、密鑰文件。 （4）安全的網(wǎng)絡(luò)訪問特性 自動更新功能：只要聯(lián)網(wǎng)，自動查看是否有新的補(bǔ)丁或其他內(nèi)容可更新。 系統(tǒng)自帶Internet鏈接防火墻功能 關(guān)閉后門：關(guān)閉了前Windows版本中存在的后門,一、操作系統(tǒng)的安全性概述,2、Windows Server 2003安全性 （1）IIS 6.0的改進(jìn) 在Windows Server 2003中需手動安裝，可自動探測到內(nèi)存泄露、非法訪問及其他錯誤。 （2）活動目錄的安全性改進(jìn) （3）數(shù)據(jù)存儲和保護(hù) 可授權(quán)額外用戶訪問加密文件或訪問加密脫機(jī)文件。自動恢復(fù)系統(tǒng)ASR可輕松恢復(fù)系統(tǒng)，避免系統(tǒng)因發(fā)生錯誤或攻擊而不能正常運(yùn)行,一、操作系統(tǒng)的安全性概述,4）安全

47、方面新增功能 高可信度計算：在所有產(chǎn)品中采用了高可信度計算作為關(guān)鍵技術(shù)，提高軟件環(huán)境的安全性。 CRL：CRL通過檢查軟件代碼下載和安裝的位置、是否擁有可信的開發(fā)商的數(shù)字簽名、是否層被改動等來檢驗(yàn)應(yīng)用程序是否安全和能否正常運(yùn)行。 關(guān)機(jī)的“理由”：安裝了關(guān)機(jī)跟蹤器，需要在關(guān)機(jī)或重啟時提供理由，這樣可在用戶重啟系統(tǒng)之前檢測到將要接近或超過的服務(wù)器系統(tǒng)資源限制。這樣可以了解導(dǎo)致服務(wù)器性能降低的原因。 命令行工具：提供了命令行的管理工具，便于完成在GUI（圖形用戶界面）方式下較難完成的操作,二、Windows操作系統(tǒng)的漏洞,1、Windows XP系統(tǒng)的漏洞 （1）UPnP（通用即插即用技術(shù)）服務(wù)導(dǎo)致

48、的漏洞 A、NPTIFY緩沖區(qū)溢出漏洞 B、產(chǎn)生DoS和DDoS攻擊的漏洞 C、漏洞的解決方法： 下載程序補(bǔ)??；設(shè)置防火墻、禁止網(wǎng)絡(luò)外部數(shù)據(jù)包對1900號端口的連接；關(guān)閉UPnP服務(wù)等,2）遠(yuǎn)程桌面明文帳戶名傳送漏洞 當(dāng)建立遠(yuǎn)程桌面連接的時候，將用戶的帳戶名以明文方式發(fā)給連接的客戶端，這樣容易被網(wǎng)絡(luò)上的嗅探程序捕獲。 解決方法：“開始”菜單“設(shè)置”“控制面板”“管理工具”“服務(wù)”禁用“Universal Plug and Play Device Host”服務(wù),二、Windows操作系統(tǒng)的漏洞,3）快速帳號切換功能造成帳號鎖定漏洞 用這一功能快速重復(fù)登錄一個用戶，則系統(tǒng)會錯認(rèn)為有暴力猜測攻擊，

49、造成全部非管理員帳號被鎖定。 解決方法：禁用快速用戶切換功能。 （4）升級程序漏洞 系統(tǒng)版本升級造成原系統(tǒng)中IE的補(bǔ)丁文件被刪除，出現(xiàn)漏洞。 解決方法：從網(wǎng)站下載最新補(bǔ)丁,二、Windows操作系統(tǒng)的漏洞,5）Windows Media Player漏洞 會產(chǎn)生信息泄露漏洞和腳本執(zhí)行漏洞。 解決方法：信息泄露漏洞可以將要播放的文件先下載到本地再播放可避免。腳本執(zhí)行漏洞，只有用戶先播放一個特殊的媒體文件后又瀏覽一個經(jīng)過特殊處理的網(wǎng)頁，攻擊者才能利用該漏洞進(jìn)行成功攻擊,二、Windows操作系統(tǒng)的漏洞,6）熱鍵漏洞 當(dāng)系統(tǒng)長時間未用而進(jìn)入“自動注銷”后，雖然他人沒有密碼就無法進(jìn)入桌面，但可以通過熱

50、鍵啟動應(yīng)用程序。 解決方法：檢查可能帶來危害的熱鍵；啟動屏幕保護(hù)程序，并設(shè)置密碼；在離開計算機(jī)時鎖定計算機(jī),二、Windows操作系統(tǒng)的漏洞,2、Windows Server 2003系統(tǒng)的安全問題 （1）系統(tǒng)存在不需要身份驗(yàn)證的服務(wù)，若開放這些服務(wù)，遠(yuǎn)程用戶可不需要驗(yàn)證直接登錄系統(tǒng)。 （2）應(yīng)用在系統(tǒng)中的Kerberos V5（安全身份驗(yàn)證協(xié)議）有安全漏洞，從而造成Windows Server 2003系統(tǒng)的不安全性。 （3）Windows Server 2003系統(tǒng)的日志機(jī)制存在缺陷，無法追蹤攻擊者的IP地址,二、Windows操作系統(tǒng)的漏洞,4）Windows Server 2003系統(tǒng)

51、的身份驗(yàn)證規(guī)程可以被竊聽破解。 （5）在系統(tǒng)漏洞被修補(bǔ)前的安全隱患期容易被攻擊。 （6）口令字可被破解：通過加密口令字典中已知短語，然后和口令密文進(jìn)行匹配。 （7）基于TCP/IP協(xié)議的安全弱點(diǎn),二、Windows操作系統(tǒng)的漏洞,3、Windows系統(tǒng)服務(wù)的安全隱患 Messenger服務(wù)：主要用來發(fā)送和接收系統(tǒng)管理員的Alerter服務(wù)消息，別人容易利用該功能向計算機(jī)用戶發(fā)送垃圾郵件。 Application Layer Gateway Service服務(wù)：主要提供互聯(lián)網(wǎng)聯(lián)機(jī)防火墻的第三方通信協(xié)議插件的支持，較容易遭到惡意攻擊,二、Windows操作系統(tǒng)的漏洞,ClipBook服務(wù)：允許任何

52、已連接的網(wǎng)絡(luò)中的其他用戶查看本機(jī)的剪貼板。 Indexing Service服務(wù) Computer Browser服務(wù)：可將當(dāng)前主機(jī)所使用網(wǎng)絡(luò)上的計算機(jī)列表提供給那些請求得到該列表的程序,二、Windows操作系統(tǒng)的漏洞,Terminal Services服務(wù)：主要提供多會話環(huán)境，允許客戶端設(shè)備訪問虛擬的桌面會話及運(yùn)行在服務(wù)器上的基于Windows程序并打開默端口號為3389的對外端口。 Remote Registry Service服務(wù)：允許遠(yuǎn)程用戶通過簡單的連接就可修改本地計算機(jī)的注冊表設(shè)置,三、操作系統(tǒng)的安全配置方案,最小的服務(wù)+最小的權(quán)限=最大的安全 1、精簡系統(tǒng)的服務(wù)組件和程序 只安

53、裝滿足當(dāng)前系統(tǒng)需要的服務(wù)，遵循最小化安裝的原則。后期需要其他服務(wù)再即時安裝即可。 2、系統(tǒng)漏洞修補(bǔ) 在系統(tǒng)安裝完，并且所有服務(wù)組件都安裝好后，應(yīng)及時安裝系統(tǒng)補(bǔ)丁程序。 3、關(guān)閉不用的或未知的端口 當(dāng)禁用一項(xiàng)服務(wù)時，可關(guān)閉其對應(yīng)的端口，防止黑客通過此端口攻擊系統(tǒng),三、操作系統(tǒng)的安全配置方案,4、禁用危險服務(wù) 禁用危險的服務(wù)，將入侵者可能的入侵通道關(guān)閉。 5、強(qiáng)化權(quán)限設(shè)置 根據(jù)實(shí)際的應(yīng)用需求來設(shè)置權(quán)限，且權(quán)限的設(shè)置應(yīng)遵循最小特權(quán)原則?？梢员Ｗo(hù)用戶能夠完成所操作的任務(wù)，又能降低誤操作或攻擊對系統(tǒng)及數(shù)據(jù)造成的損失,三、操作系統(tǒng)的安全配置方案,6、規(guī)范身份驗(yàn)證機(jī)制 該機(jī)制用戶確認(rèn)嘗試登錄域或訪問網(wǎng)絡(luò)資源

54、的任何用戶的身份，對系統(tǒng)帳戶進(jìn)行規(guī)范化管理，盡量減少使用的帳戶，因?yàn)橄到y(tǒng)的帳戶越多，攻擊者獲得合法用戶權(quán)限的概率越大,三、操作系統(tǒng)的安全配置方案,7、建立審核策略機(jī)制 可跟蹤系統(tǒng)中的各類事件并將其寫入日志文件，供管理員分析、查找系統(tǒng)和應(yīng)用程序故障和分析各類安全事件。 8、加強(qiáng)日志管理和保護(hù) 針對不同服務(wù)設(shè)置的日志文件要加強(qiáng)管理，設(shè)置嚴(yán)格的訪問權(quán)限,4.3 LINUX操作系統(tǒng)安全性,一、Linux操作系統(tǒng)安全性概述,1、Linux安全性概述 2、Linux安全問題 （1）文件系統(tǒng)未受到保護(hù) 很多系統(tǒng)重要文件沒有受到保護(hù)，可以被修改和覆蓋，經(jīng)過篡改后的文件可能造成系統(tǒng)的漏洞。 （2）進(jìn)程未受到保護(hù)

55、 若黑客侵入擁有超級用戶的管理權(quán)限，完全有權(quán)終止系統(tǒng)上運(yùn)行的為系統(tǒng)功能所服務(wù)的進(jìn)程,一、Linux操作系統(tǒng)安全性概述,3）超級用戶對系統(tǒng)操作的權(quán)限不受限制，甚至可以對現(xiàn)有的權(quán)限進(jìn)行修改 超級用戶權(quán)限過大，對于很多特權(quán)進(jìn)程和系統(tǒng)服務(wù)需要超級用戶權(quán)限的，開放后會造成安全漏洞，攻擊者容易由此獲得超級用戶口令；而超級用戶若將某文件的使用權(quán)利賦予普通用戶，則也就同時將該權(quán)利賦予該普通用戶所在的同工作組用戶，使得文件的使用不安全,二、Linux操作系統(tǒng)的安全機(jī)制,通過在使用中對于Linux系統(tǒng)的不斷完善，增加各種安全機(jī)制來提高系統(tǒng)的安全性。 1、身份認(rèn)證機(jī)制 （1）基于主體的口令或密鑰的驗(yàn)證 加密時間戳：

56、時間戳就是文件的創(chuàng)建、修改、訪問時間。用戶首先將需要加時間戳的文件用Hash編碼加密形成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密（數(shù)字簽名），然后送回用戶。 盤問響應(yīng)：口令的響應(yīng)時間，限定一段時間，超過該時間口令將失去效用,二、Linux操作系統(tǒng)的安全機(jī)制,2）基于智能卡的驗(yàn)證 通過預(yù)存信息到設(shè)備當(dāng)中，當(dāng)使用智能卡時，只需要核對卡中和系統(tǒng)中的預(yù)存信息即可。 （3）生物識別技術(shù) 基于指紋、聲音、視網(wǎng)膜等獨(dú)一無二特征的驗(yàn)證。需要事先將這些特征的相關(guān)信息存儲入電腦，設(shè)定好權(quán)限,二、Linux操作系統(tǒng)的安全機(jī)制,2、加密文件系統(tǒng) 通過加密文件系統(tǒng)對文件

57、進(jìn)行加密處理，使文件即使失竊也不會泄露信息。只給予權(quán)限的合法用戶正常使用該文件的權(quán)利，訪問該文件與訪問普通文件沒有區(qū)別，而其他用戶則不可讀。 3、強(qiáng)制訪問控制機(jī)制 強(qiáng)制性的限制信息的共享和資源的流動，使不同的用戶只能訪問到與其相關(guān)的、制定范文的信息,二、Linux操作系統(tǒng)的安全機(jī)制,4、防火墻技術(shù) 防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。即對網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)包進(jìn)行安全檢查,二、Linux操作系統(tǒng)的安全機(jī)制,1）訪問控制：可拒絕非授權(quán)訪問，保護(hù)內(nèi)部用戶的合法訪問。 （2）審計：對通過防火

58、墻的網(wǎng)絡(luò)訪問進(jìn)行記錄，建立完整的日志、審計和跟蹤網(wǎng)絡(luò)訪問記錄。 （3）防御攻擊：給與安裝防火墻的內(nèi)部網(wǎng)絡(luò)予以保護(hù)，防御外界的各種攻擊行為。 （4）其他附屬功能,二、Linux操作系統(tǒng)的安全機(jī)制,5、入侵檢測系統(tǒng) （1）記錄入侵企圖 （2）在規(guī)定情況的攻擊行為發(fā)生時，采取預(yù)先設(shè)定的措施 （3）發(fā)送一些錯誤信息給攻擊方，使攻擊方做出錯誤判斷,二、Linux操作系統(tǒng)的安全機(jī)制,6、安全審計機(jī)制 安全審計機(jī)制可以記錄攻擊者的行蹤，幫助系統(tǒng)管理員掌握系統(tǒng)受到的攻擊行為，并針對這些攻擊行為采取相應(yīng)的安全措施。 7、內(nèi)核封裝技術(shù) 保護(hù)系統(tǒng)內(nèi)核，限制了系統(tǒng)管理員的該權(quán)限，使用戶不能對內(nèi)核進(jìn)行模塊插入,三、Li

59、nux操作系統(tǒng)安全配置方案,1、Linux系統(tǒng)安裝的安全性考慮 在初始安裝的時候，對系統(tǒng)的磁盤分區(qū)做好安全設(shè)置方案。 2、安裝系統(tǒng)補(bǔ)丁 安裝完系統(tǒng)后及時查看系統(tǒng)漏洞，尋找相應(yīng)的解決方案彌補(bǔ)系統(tǒng)安全缺陷。 3、關(guān)閉不需要的服務(wù)端口 4、為LILO增加開機(jī)口令,三、Linux操作系統(tǒng)安全配置方案,5、用戶帳戶及口令的管理 可以通過設(shè)置口令的最小長度（修改/etc/login.defs中PASS_MIN_LEN參數(shù)）、口令的使用時間（修改/etc/login.defs中PASS_MIN_DAYS參數(shù)），增加用戶帳戶口令的安全性。 6、禁止和允許遠(yuǎn)程訪問 通過修改hosts.deny和dosts.al

60、low兩個文件來禁止和允許遠(yuǎn)程主機(jī)對本地主機(jī)的訪問。 7、磁盤空間維護(hù) 定期檢查系統(tǒng)的磁盤空間的使用情況,第5章 計算機(jī)病毒及防治技術(shù),5.1 計算機(jī)病毒概述,一、計算機(jī)病毒的發(fā)展,1、計算機(jī)病毒的發(fā)展史 第一階段：原始病毒階段（19861989年） 特點(diǎn)：傳染目標(biāo)單一，主要通過截獲系統(tǒng)中斷向量的方式檢視系統(tǒng)的運(yùn)行狀態(tài)。感染后磁盤上出現(xiàn)壞扇區(qū)、文件長度增加、文件建立時間發(fā)生改變等。沒有自我保護(hù)措施，容易被發(fā)現(xiàn)與刪除,一、計算機(jī)病毒的發(fā)展,第二階段：混合型病毒階段（19891991年） 特點(diǎn)：病毒程序駐留內(nèi)存和傳染目標(biāo)更為隱蔽，傳染后沒有明顯特征，病毒本身有自我保護(hù)措施，而且容易產(chǎn)生變種病毒，具