藍(lán)色科技網(wǎng)絡(luò)安全技術(shù)介紹關(guān)注網(wǎng)絡(luò)安全PPT模板

網(wǎng)絡(luò)完全為人民網(wǎng)絡(luò)完全靠人民匯報(bào)人：目錄網(wǎng)絡(luò)攻擊概述網(wǎng)絡(luò)攻擊技術(shù)網(wǎng)絡(luò)攻擊防御技術(shù)安全操作系統(tǒng)概述網(wǎng)絡(luò)攻擊概述TheaveragepersonisalwayswaitingforanopportunitytocomeTheaveragepersonisalwayswaitingforanTheaveragepersonisalwayswaitingforanopportunitytocomeThe第01部分一、網(wǎng)絡(luò)黑客概念懷有不良企圖，強(qiáng)行闖入遠(yuǎn)程計(jì)算機(jī)系統(tǒng)或惡意干擾遠(yuǎn)程系統(tǒng)完整性，通過非授權(quán)的訪問權(quán)限，盜取數(shù)據(jù)甚至破壞計(jì)算機(jī)系統(tǒng)的“入侵者”稱為黑客。攻擊目的竊取信息；獲取口令；控制中間站點(diǎn)；獲得超級(jí)用戶權(quán)限等網(wǎng)絡(luò)攻擊概述實(shí)例：1983年，“414黑客”，6名少年黑客被控侵入60多臺(tái)電腦1987年，赫爾伯特·齊恩（“影子鷹”），闖入沒過電話電報(bào)公司1988年，羅伯特·莫里斯“蠕蟲程序”，造成1500萬到1億美元的經(jīng)濟(jì)損失。1990年，“末日軍團(tuán)”，4名黑客中有3人被判有罪。1995年，米特尼克偷竊了2萬個(gè)信用卡號(hào)，8000萬美元的巨額損失。1998年2月，德國計(jì)算機(jī)黑客米克斯特，使用美國七大網(wǎng)站陷于癱瘓狀態(tài)網(wǎng)絡(luò)攻擊概述1998年，兩名加州少年黑客，以色列少年黑客分析家，查詢五角大樓網(wǎng)站并修改了工資報(bào)表和人員數(shù)據(jù)。1999年4月，“CIH”病毒，保守估計(jì)全球有6千萬部電腦感染。1999年，北京江民KV300殺毒軟件，損失260萬元。2000年2月，“雅虎”、“電子港灣”、亞馬孫、微軟網(wǎng)絡(luò)等美國大型國際互聯(lián)網(wǎng)網(wǎng)站，損失超過了10億美元。2000年4月，闖入電子商務(wù)網(wǎng)站的威爾斯葛雷，估計(jì)導(dǎo)致的損失可能超過300萬美元。網(wǎng)絡(luò)攻擊概述二、網(wǎng)絡(luò)攻擊的目標(biāo)目標(biāo)：系統(tǒng)、數(shù)據(jù)（數(shù)據(jù)占70%）系統(tǒng)型攻擊特點(diǎn)：攻擊發(fā)生在網(wǎng)絡(luò)層，破壞系統(tǒng)的可用性，使系統(tǒng)不能正常工作，可能留下明顯的攻擊痕跡。數(shù)據(jù)型攻擊特點(diǎn)：發(fā)生在網(wǎng)絡(luò)的應(yīng)用層，面向信息，主要目的是為了篡改和偷取信息，不會(huì)留下明顯的痕跡。（注：著重加強(qiáng)數(shù)據(jù)安全，重點(diǎn)解決來自內(nèi)部的非授權(quán)訪問和數(shù)據(jù)的保密工作。）網(wǎng)絡(luò)攻擊概述一.阻塞類攻擊通過強(qiáng)制占有信道資源、網(wǎng)絡(luò)連接資源及存儲(chǔ)空間資源，使服務(wù)器崩潰或資源耗盡而無法對(duì)外繼續(xù)提供服務(wù)（例如拒絕服務(wù)攻擊）。常見方法：TCPSYN洪泛攻擊、Land攻擊、Smurf攻擊及電子郵件炸彈等攻擊后果：使目標(biāo)系統(tǒng)死機(jī)；使端口處于停頓狀態(tài)；在計(jì)算機(jī)屏幕上發(fā)現(xiàn)雜亂信息、改變文件名稱、刪除關(guān)鍵的程序文件；扭曲系統(tǒng)的資源狀態(tài)，使系統(tǒng)的處理速度降低。二.探測類攻擊收集目標(biāo)系統(tǒng)的各種與網(wǎng)絡(luò)安全有關(guān)的信息，為下一步入侵提供幫助。包括：掃描技術(shù)（采用模擬攻擊形式對(duì)可能存在的安全漏洞進(jìn)行逐項(xiàng)檢查）、體系結(jié)構(gòu)刺探及系統(tǒng)信息服務(wù)收集等網(wǎng)絡(luò)攻擊概述試圖獲得對(duì)目標(biāo)主機(jī)控制權(quán)的。常見方法：口令攻擊、特洛伊木馬、緩沖區(qū)溢出攻擊控制類攻擊通過冒充合法網(wǎng)絡(luò)主機(jī)或通過配置、設(shè)置一些假信息來騙取敏感信息。常見方法：ARP緩存虛構(gòu)、DNS告訴緩沖污染及偽造電子郵件等欺騙類攻擊非法用戶未經(jīng)授權(quán)通過系統(tǒng)硬件或軟件存在的某中形式的安全方面的脆弱性獲得訪問權(quán)或提高其訪問權(quán)限。漏洞類攻擊指對(duì)目標(biāo)主機(jī)的各種數(shù)據(jù)與軟件實(shí)施破壞的一類攻擊。常見方法：計(jì)算機(jī)病毒、邏輯炸彈破壞類攻擊網(wǎng)絡(luò)攻擊概述網(wǎng)絡(luò)攻擊技術(shù)TheaveragepersonisalwayswaitingforanopportunitytocomeTheaveragepersonisalwayswaitingforanTheaveragepersonisalwayswaitingforanopportunitytocomeThe第02部分一、網(wǎng)絡(luò)攻擊的一般模型概述網(wǎng)絡(luò)攻擊一般模型：經(jīng)歷四個(gè)階段搜索信息獲取權(quán)限消除痕跡深入攻擊網(wǎng)絡(luò)攻擊技術(shù)1、搜集信息（攻擊的偵查階段）隱藏地址：尋找“傀儡機(jī)”,隱藏真實(shí)IP地址。鎖定目標(biāo)：尋找、確定攻擊目標(biāo)。了解目標(biāo)的網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)容量、目錄及安全狀態(tài)搜索系統(tǒng)信息：分析信息，找到弱點(diǎn)攻擊。網(wǎng)絡(luò)攻擊技術(shù)2、獲取權(quán)限利用探測到的信息分析目標(biāo)系統(tǒng)存在的弱點(diǎn)和漏洞，選擇合適的攻擊方式，最終獲取訪問權(quán)限或提升現(xiàn)有訪問權(quán)限。3、消除痕跡清除事件日記、隱藏遺留下的文件、更改某些系統(tǒng)設(shè)置4、深入攻擊進(jìn)行信息的竊取或系統(tǒng)的破壞等操作。網(wǎng)絡(luò)攻擊技術(shù)二、常用網(wǎng)絡(luò)攻擊的關(guān)鍵技術(shù)通過端口掃描可以搜集目標(biāo)主機(jī)的系統(tǒng)服務(wù)端口的開放情況，進(jìn)行判斷目標(biāo)的功能使用情況，一旦入侵成功后將后門設(shè)置在高端口或不常用的端口，入侵者通過這些端口可以任意使用系統(tǒng)的資源。1、端口掃描技術(shù)網(wǎng)絡(luò)攻擊技術(shù)（1）常用的端口掃描技術(shù)TCPconnect（）掃描：使用connect（），建立與目標(biāo)主機(jī)端口的連接。若端口正在監(jiān)聽，connect（）成功返回；否則說明端口不可訪問。任何用戶都可以使用connect（）。TCPSYN掃描：即半連接掃描。掃描程序發(fā)送SYN數(shù)據(jù)包，若發(fā)回的響應(yīng)是SYN/ACK表明該端口正在被監(jiān)聽，RST響應(yīng)表明該端口沒有被監(jiān)聽。若接收到的是SYN/ACK，則發(fā)送RST斷開連接。（主機(jī)不會(huì)記錄這樣的連接請求，但只有超級(jí)用戶才能建立這樣的SYN數(shù)據(jù)包）。網(wǎng)絡(luò)攻擊技術(shù)TCPFIN掃描：關(guān)閉的端口用正確的RST應(yīng)答發(fā)送的對(duì)方發(fā)送的FIN探測數(shù)據(jù)包，相反，打開的端口往往忽略這些請求。Fragmentation掃描：將發(fā)送的探測數(shù)據(jù)包分成一組很小的IP包，接收方的包過濾程序難以過濾。UDPrecfrom（）和write（）掃描ICMPecho掃描：使用ping命令，得到目標(biāo)主機(jī)是否正在運(yùn)行的信息。TCP反向Ident掃描：FTP返回攻擊UDPICMP端口不能到達(dá)掃描網(wǎng)絡(luò)攻擊技術(shù)定義一種自動(dòng)檢測遠(yuǎn)程或本地主機(jī)安全弱點(diǎn)的程序，可以不留痕跡地發(fā)現(xiàn)遠(yuǎn)程服務(wù)器的各種TCP端口的發(fā)配及提供的服務(wù)。（2）掃描器工作原理通過選用遠(yuǎn)程TCP/IP不同的端口服務(wù)，記錄目標(biāo)給予的回答。三項(xiàng)功能發(fā)現(xiàn)一個(gè)主機(jī)或網(wǎng)絡(luò)的功能；一旦發(fā)現(xiàn)主機(jī)，發(fā)現(xiàn)什么服務(wù)正在運(yùn)行在主機(jī)上的功能；測試這些服務(wù)發(fā)現(xiàn)漏洞的功能。網(wǎng)絡(luò)攻擊技術(shù)1網(wǎng)絡(luò)監(jiān)聽技術(shù)是指截獲和復(fù)制系統(tǒng)、服務(wù)器、路由器或防火墻等網(wǎng)絡(luò)設(shè)備中所有網(wǎng)絡(luò)通信信息。2、網(wǎng)絡(luò)監(jiān)聽技術(shù)2網(wǎng)卡接收數(shù)據(jù)方式：廣播方式、組播方式、直接方式、混雜模式3基本原理：數(shù)據(jù)包發(fā)送給源主機(jī)連接在一起的所有主機(jī)，但是只有與數(shù)據(jù)包中包含的目的地址一致的主機(jī)才能接收數(shù)據(jù)包。若主機(jī)工作在監(jiān)聽模式下，則可監(jiān)聽或記錄下同一網(wǎng)段上的所有數(shù)據(jù)包。網(wǎng)絡(luò)攻擊技術(shù)3、網(wǎng)絡(luò)欺騙技術(shù)定義：是利用TCP/IP協(xié)議本身的缺陷對(duì)TCP/IP網(wǎng)絡(luò)進(jìn)行攻擊的技術(shù)。IP欺騙：選定目標(biāo)，發(fā)現(xiàn)主機(jī)間的信任模式，使目標(biāo)信任的主機(jī)喪失工作能力，TCP序列號(hào)的取樣和預(yù)測，冒充被信任主機(jī)進(jìn)入目標(biāo)系統(tǒng)，實(shí)施破壞并留下后門。ARP欺騙對(duì)路由器ARP表的欺騙：原理是截獲網(wǎng)關(guān)數(shù)據(jù)。對(duì)局域網(wǎng)內(nèi)個(gè)人計(jì)算機(jī)的網(wǎng)絡(luò)欺騙：原理是偽造網(wǎng)關(guān)。后果：影響局域網(wǎng)正常運(yùn)行；泄露用戶敏感信息網(wǎng)絡(luò)攻擊技術(shù)密碼攻擊的方法：（1）通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶密碼：采用中途截獲的方法獲取用戶賬戶和密碼。（2）密碼窮舉破解：在獲取用戶的賬號(hào)后使用專門軟件強(qiáng)行破解用戶密碼。（口令猜解、字典攻擊、暴力猜解）4、密碼破解技術(shù)指通過猜測或其他手段獲取合法用戶的賬號(hào)和密碼，獲得主機(jī)或網(wǎng)絡(luò)的訪問權(quán)，并能訪問到用戶能訪問的任何資源的技術(shù)。網(wǎng)絡(luò)攻擊技術(shù)定義：簡稱DoS技術(shù)，是針對(duì)TCP/IP協(xié)議的缺陷來進(jìn)行網(wǎng)絡(luò)攻擊的手段。通過向服務(wù)器傳送大量服務(wù)要求，使服務(wù)器充斥著這種要求恢復(fù)的信息，耗盡網(wǎng)絡(luò)帶寬或系統(tǒng)資源，最終導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)癱瘓、停止正常工作。5、拒絕服務(wù)技術(shù)常見攻擊模式：資源消耗型、配置修改型、服務(wù)利用型新型拒絕服務(wù)攻擊技術(shù)：分布式拒絕服務(wù)攻擊、分布式反射拒絕服務(wù)攻擊網(wǎng)絡(luò)攻擊技術(shù)三、常用網(wǎng)絡(luò)攻擊工具端口掃描工具網(wǎng)絡(luò)安全掃描器NSS、安全管理員的網(wǎng)絡(luò)分析工具SATAN、SuperScan網(wǎng)絡(luò)監(jiān)聽工具：X-Scan、Sniffer、NetXray、tcpdump、winpcap等密碼破解工具是能將口令解譯出來，或者讓口令保護(hù)失效的程序。拒絕服務(wù)攻擊工具DoS工具：死亡之ping、Teardrop、TCPSYN洪水、Land、SmurfDDoS工具：TFN、TFN2k、Trinoo、mstream、shaft等網(wǎng)絡(luò)攻擊技術(shù)網(wǎng)絡(luò)攻擊防御技術(shù)TheaveragepersonisalwayswaitingforanopportunitytocomeTheaveragepersonisalwayswaitingforanTheaveragepersonisalwayswaitingforanopportunitytocomeThe第03部分一、網(wǎng)絡(luò)攻擊的防范策略提高安全意識(shí)：從使用者自身出發(fā)，加強(qiáng)使用者的自身素質(zhì)和網(wǎng)絡(luò)安全意識(shí)。訪問控制策略：保證網(wǎng)絡(luò)安全的最核心策略之一，主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。數(shù)據(jù)加密策略：最有效的技術(shù)之一，通過對(duì)網(wǎng)內(nèi)數(shù)據(jù)、文件、口令和控制信息進(jìn)行加密從而達(dá)到保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)的目的。網(wǎng)絡(luò)安全管理策略：確定安全管理登記和安全管理范圍；指定有關(guān)網(wǎng)絡(luò)操作實(shí)驗(yàn)規(guī)程和人員管理制度；指定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施。網(wǎng)絡(luò)攻擊防御技術(shù)二、常見的網(wǎng)絡(luò)攻擊防御方法1、端口掃描的防范方法關(guān)閉閑置和有潛在危險(xiǎn)的端口發(fā)現(xiàn)有端口掃描的癥狀時(shí)，立即屏蔽該端口：可使用防火墻實(shí)現(xiàn)網(wǎng)絡(luò)攻擊防御技術(shù)2、網(wǎng)絡(luò)監(jiān)聽的防范方法對(duì)網(wǎng)絡(luò)監(jiān)聽攻擊采取的防范措施：網(wǎng)絡(luò)分段：將IP地址按節(jié)點(diǎn)計(jì)算機(jī)所在網(wǎng)絡(luò)的規(guī)模的大小分段，可以對(duì)數(shù)據(jù)流進(jìn)行限制。加密：可對(duì)數(shù)據(jù)的重要部分進(jìn)行加密，也可對(duì)應(yīng)用層加密一次性密碼技術(shù)劃分VLAN：使用虛擬局域網(wǎng)技術(shù)，將以太網(wǎng)通信變成點(diǎn)到點(diǎn)的通信。對(duì)可能存在的網(wǎng)絡(luò)監(jiān)聽的檢測方法：用正確的IP地址和錯(cuò)誤的物理地址ping可能正在運(yùn)行監(jiān)聽程序的主機(jī)。向網(wǎng)上發(fā)送大量不存在的物理地址的包，用于降低主機(jī)性能。使用反監(jiān)聽工具進(jìn)行檢測。網(wǎng)絡(luò)攻擊防御技術(shù)3、IP欺騙的防范方法進(jìn)行包過濾：只在內(nèi)網(wǎng)之間使用信任關(guān)系，對(duì)于外網(wǎng)主機(jī)的連接請求可疑的直接過濾掉。使用加密技術(shù)：對(duì)信息進(jìn)行加密傳輸和驗(yàn)證拋棄IP信任驗(yàn)證：放棄以IP地址為基礎(chǔ)的驗(yàn)證。網(wǎng)絡(luò)攻擊防御技術(shù)4、密碼破解的防范方法密碼不要寫下來不要將密碼保存在計(jì)算機(jī)文件中不要選取顯而易見的信息做密碼不要再不同系統(tǒng)中使用同一密碼定期改變密碼設(shè)定密碼不宜過短，最好使用字母、數(shù)字、標(biāo)點(diǎn)符號(hào)、字符混合網(wǎng)絡(luò)攻擊防御技術(shù)5、拒絕服務(wù)的防范方法（1）拒絕服務(wù)的防御策略：建立邊界安全界限，確保輸出的數(shù)據(jù)包收到正確限制。經(jīng)常檢測系統(tǒng)配置信息，并建立完整的安全日志。利用網(wǎng)絡(luò)安全設(shè)備加固網(wǎng)絡(luò)的安全性，配置好設(shè)備的安全規(guī)則，過濾所有可能的偽造數(shù)據(jù)包。網(wǎng)絡(luò)攻擊防御技術(shù)死亡之ping的防范方法：設(shè)置防火墻，阻斷ICMP以及任何未知協(xié)議。、Teardrop的防范方法：在服務(wù)器上應(yīng)用最新的服務(wù)包，設(shè)置防火墻對(duì)分段進(jìn)行重組，不轉(zhuǎn)發(fā)它們。TCPSYN洪水的防范方法：關(guān)掉不必要的TCP/IP服務(wù)，或配置防火墻過濾來自同一主機(jī)的后續(xù)連接。Land的防范方法：配置防火墻，過濾掉外部結(jié)構(gòu)上入棧的含有內(nèi)部源地址的數(shù)據(jù)包。Smurf的防范方法：關(guān)閉外部路由器或防火墻的廣播地址特征，或通過在防火墻上設(shè)置規(guī)則，丟棄ICMP包。（2）具體DOS防范方法：網(wǎng)絡(luò)攻擊防御技術(shù)三、入侵檢測技術(shù)通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，以發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。一、概述監(jiān)控、分析用戶和系統(tǒng)的活動(dòng)對(duì)系統(tǒng)配置和漏洞的審計(jì)估計(jì)關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性識(shí)別和反應(yīng)入侵活動(dòng)的模式并向網(wǎng)絡(luò)管理員報(bào)警對(duì)異常行為模式的統(tǒng)計(jì)分析操作系統(tǒng)審計(jì)跟蹤管理，識(shí)別違反策略的用戶活動(dòng)二、功能網(wǎng)絡(luò)攻擊防御技術(shù)三、入侵檢測技術(shù)入侵行為與用戶的正常行為存在可量化的差別，通過檢測當(dāng)前用戶行為的相關(guān)記錄，從而判斷攻擊行為是否發(fā)生。統(tǒng)計(jì)異常檢測技術(shù)1對(duì)合法用戶在一段時(shí)間內(nèi)的用戶數(shù)據(jù)收集，然后利用統(tǒng)計(jì)學(xué)測試方法分析用戶行為，以判斷用戶行為是否合法。分為基于行為剖面的檢測和閾值檢測。規(guī)則的檢測技術(shù)2通過觀察系統(tǒng)里發(fā)生的事件并將該時(shí)間與系統(tǒng)的規(guī)則進(jìn)行匹配，來判斷該事件是否與某條規(guī)則所代表的入侵行為相對(duì)應(yīng)。分為基于規(guī)則的異常檢測和基于規(guī)則的滲透檢測網(wǎng)絡(luò)攻擊防御技術(shù)四、入侵檢測過程信息收集在網(wǎng)絡(luò)系統(tǒng)中的不同網(wǎng)段、不同主機(jī)收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等相關(guān)數(shù)據(jù)信息分析匹配模式：將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有的模式數(shù)據(jù)庫進(jìn)行匹配，進(jìn)而發(fā)現(xiàn)違反安全策略的行為。網(wǎng)絡(luò)攻擊防御技術(shù)統(tǒng)計(jì)分析首先給系統(tǒng)對(duì)象創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測量屬性。這個(gè)測量屬性的平均值將與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，是否處于正常范圍之內(nèi)。完整性分析關(guān)注某個(gè)固定的對(duì)象是否被更改。網(wǎng)絡(luò)攻擊防御技術(shù)五、入侵檢測系統(tǒng)的基本類型基于主機(jī)的入侵檢測系統(tǒng)使用操作系統(tǒng)的審計(jì)日志作為數(shù)據(jù)源輸入，根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件。依賴于審計(jì)數(shù)據(jù)和系統(tǒng)日志的準(zhǔn)確性、完整性以及安全事件的定義?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)使用整個(gè)網(wǎng)絡(luò)上傳輸?shù)男畔⒘髯鳛檩斎?，通過被動(dòng)地監(jiān)聽捕獲網(wǎng)絡(luò)數(shù)據(jù)包，并分析、檢測網(wǎng)絡(luò)上發(fā)生的網(wǎng)絡(luò)入侵行為。但只能檢測直接連接網(wǎng)絡(luò)的通信，不能檢測不同網(wǎng)段的網(wǎng)絡(luò)包。分布式入侵檢測系統(tǒng)（混合型）網(wǎng)絡(luò)攻擊防御技術(shù)六、入侵檢測系統(tǒng)應(yīng)對(duì)攻擊的技術(shù)當(dāng)檢測到入侵或攻擊時(shí)，采取適當(dāng)?shù)拇胧┳柚谷肭趾凸舻倪M(jìn)行。入侵響應(yīng)知道對(duì)方的物理地址、IP地址、域名、應(yīng)用程序地址等就可以跟蹤對(duì)方。入侵跟蹤技術(shù)網(wǎng)絡(luò)攻擊防御技術(shù)四、蜜罐技術(shù)蜜罐系統(tǒng)是互聯(lián)網(wǎng)上運(yùn)行的計(jì)算機(jī)系統(tǒng)，可以被攻擊，對(duì)于攻擊方入侵的過程和行為進(jìn)行監(jiān)視、檢測和分析，進(jìn)而追蹤入侵者。蜜罐系統(tǒng)是一個(gè)包含漏洞的誘騙系統(tǒng)，是一種被監(jiān)聽、被攻擊或已被入侵的資源，通過模擬一個(gè)或多個(gè)易被攻擊的主機(jī)，給攻擊者提供一個(gè)容易攻擊的目標(biāo)，而拖延攻擊者對(duì)真正目標(biāo)的攻擊，讓其在蜜罐上浪費(fèi)時(shí)間。蜜罐系統(tǒng)關(guān)鍵技術(shù)：服務(wù)偽裝、漏洞提供蜜罐技術(shù)缺陷：