計算機網(wǎng)絡技術-第9章-網(wǎng)絡安全課件

計算機網(wǎng)絡技術-第9章-網(wǎng)絡安全課件主要內(nèi)容網(wǎng)絡掃描原理與工具網(wǎng)絡安全簡介網(wǎng)絡安全基礎知識木馬的檢測與防范1234拒絕服務攻擊原理與分類計算機病毒

56PGP加密系統(tǒng)代理服務器工具78主要內(nèi)容網(wǎng)絡掃描原理與工具網(wǎng)絡安全簡介網(wǎng)絡安全基礎知識木馬9.1網(wǎng)絡安全簡介網(wǎng)絡安全從其本質上來講就是網(wǎng)絡上的信息安全。網(wǎng)絡通信面臨著各種各樣的威脅，消除安全威脅，才能達到網(wǎng)絡及信息安全的目標。本節(jié)主要講述：1、網(wǎng)絡安全的定義2、網(wǎng)絡面臨的安全威脅3、計算機網(wǎng)絡及信息安全的目標9.1網(wǎng)絡安全簡介網(wǎng)絡安全從其本質上來講就是網(wǎng)絡上的信息9.1網(wǎng)絡安全簡介9.1.1網(wǎng)絡安全的定義網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。9.1網(wǎng)絡安全簡介9.1.1網(wǎng)絡安全的定義9.1網(wǎng)絡安全簡介9.1.2網(wǎng)絡面臨的安全威脅（1）截獲（Interception）。攻擊者從網(wǎng)絡上竊聽他人的通信內(nèi)容。（2）中斷（Interruption）。攻擊者有意中斷他人在網(wǎng)絡上的通信。（3）篡改（Modification）。攻擊者故意篡改網(wǎng)絡上傳送的報文。（4）偽造（Fabrication）。攻擊者偽造信息在網(wǎng)絡上傳送。網(wǎng)絡的被動攻擊和主動攻擊9.1網(wǎng)絡安全簡介9.1.2網(wǎng)絡面臨的安全威脅網(wǎng)絡的被動9.1網(wǎng)絡安全簡介9.1.3計算機網(wǎng)絡及信息安全的目標1．機密性機密性是指保證信息不能被非授權訪問，即非授權用戶得到信息也無法知曉信息內(nèi)容，因而不能使用。2．完整性完整性是只有得到允許的人才能修改實體或者進程，并且能夠判別出實體或者進程是否已被修改。3．可用性可用性是信息資源服務功能和性能可靠性的度量，涉及到物理、網(wǎng)絡、系統(tǒng)、數(shù)據(jù)、應用和用戶等多方面的因素，是對信息網(wǎng)絡總體可靠性的要求。9.1網(wǎng)絡安全簡介9.1.3計算機網(wǎng)絡及信息安全的目標9.1網(wǎng)絡安全簡介4．可控性可控性主要指對危害國家信息（包括利用加密的非法通信活動）的監(jiān)視審計。5．不可否認性不可否認性是對出現(xiàn)的安全問題提供調查的依據(jù)和手段。使用審計、監(jiān)控、防抵賴等安全機制，使得攻擊者、破壞者、抵賴者“逃不脫”，并進一步對網(wǎng)絡出現(xiàn)的安全問題提供調查依據(jù)和手段，實現(xiàn)信息安全的可審查性，一般通過數(shù)字簽名等技術來實現(xiàn)不可否認性。9.1網(wǎng)絡安全簡介4．可控性9.2網(wǎng)絡安全基礎知識隨著網(wǎng)絡應用的普及，黑客發(fā)起的網(wǎng)絡攻擊也越來越多，攻擊的方式和手段也不斷更新，研究黑客入侵過程，是為了做好網(wǎng)絡安全的防范工作。本節(jié)主要講述：1、黑客入侵攻擊的一般過程9.2網(wǎng)絡安全基礎知識隨著網(wǎng)絡應用的普及，黑客發(fā)起的網(wǎng)絡攻9.2網(wǎng)絡安全基礎知識黑客入侵攻擊的一般過程如下所述：（1）確定攻擊的目標。（2）收集被攻擊對象的有關信息。（3）利用適當?shù)墓ぞ哌M行掃描。（4）建立模擬環(huán)境，進行模擬攻擊。（5）實施攻擊。（6）清除痕跡。9.2網(wǎng)絡安全基礎知識黑客入侵攻擊的一般過程如下所述：9.3網(wǎng)絡掃描工具掃描器對于攻擊者來說是必不可少的工具，但它也是網(wǎng)絡管理員在網(wǎng)絡安全維護中的重要工具。掃描器的定義比較廣泛，不限于一般的端口掃描，也不限于針對漏洞的掃描，它也可以是某種服務、某個協(xié)議。本節(jié)主要講述：1、X-scan掃描器的使用2、端口掃描程序Nmap使用9.3網(wǎng)絡掃描工具掃描器對于攻擊者來說是必不可少的工具，9.3網(wǎng)絡掃描工具9.3.1掃描器的作用（1）檢測主機是否在線。（2）掃描目標系統(tǒng)開放的端口，有的還可以測試端口的服務信息。（3）獲取目標操作系統(tǒng)的敏感信息。（4）破解系統(tǒng)口令。（5）掃描其他系統(tǒng)敏感信息。一個優(yōu)秀的掃描器能檢測整個系統(tǒng)各個部分的安全性，能獲取各種敏感的信息，并能試圖通過攻擊以觀察系統(tǒng)反應等。掃描的種類和方法不盡相同，有的掃描方式甚至相當怪異且很難被發(fā)覺，但卻相當有效。9.3網(wǎng)絡掃描工具9.3.1掃描器的作用9.3網(wǎng)絡掃描工具9.3.2X-scan掃描器概述X-scan采用多線程方式對指定IP地址段（或單機）進行安全漏洞檢測，支持插件功能，提供了圖形界面和命令行兩種操作方式。掃描內(nèi)容包括：遠程服務類型、操作系統(tǒng)類型及版本、各種弱口令漏洞、后門、應用服務漏洞、網(wǎng)絡設備漏洞、拒絕服務漏洞等20多個大類。設置掃描參數(shù)9.3網(wǎng)絡掃描工具9.3.2X-scan掃描器概述設置掃9.3網(wǎng)絡掃描工具9.3.3端口掃描程序Nmap在諸多端口掃描器中，Nmap是其中的佼佼者，它提供了大量的基于DOS的命令行選項，還提供了支持Windows的GUI（圖形用戶界面），能夠靈活地滿足各種掃描要求，而且輸出格式豐富。nmap參數(shù)掃描結果9.3網(wǎng)絡掃描工具9.3.3端口掃描程序Nmapnmap9.4網(wǎng)絡監(jiān)聽原理與工具使用網(wǎng)絡監(jiān)聽是黑客在局域網(wǎng)中常用的一種技術，它在網(wǎng)絡中監(jiān)聽別人的數(shù)據(jù)包，監(jiān)聽的目的就是分析數(shù)據(jù)包，從而獲得一些敏感信息，如賬號和密碼等。其實網(wǎng)絡監(jiān)聽也是網(wǎng)絡管理員經(jīng)常使用的一個工具，主要用來監(jiān)視網(wǎng)絡的流量、狀態(tài)、數(shù)據(jù)等信息，比如Wireshark就是許多系統(tǒng)管理員手中的必備工具。本節(jié)主要講述：1、網(wǎng)絡監(jiān)聽原理2、網(wǎng)絡監(jiān)聽工具Wireshark的使用9.4網(wǎng)絡監(jiān)聽原理與工具使用網(wǎng)絡監(jiān)聽是黑客在局域網(wǎng)中常用的9.4網(wǎng)絡監(jiān)聽原理與工具使用9.4.1網(wǎng)絡監(jiān)聽原理網(wǎng)絡監(jiān)聽是黑客在局域網(wǎng)中常用的一種技術，它在網(wǎng)絡中監(jiān)聽別人的數(shù)據(jù)包，監(jiān)聽的目的就是分析數(shù)據(jù)包，從而獲得一些敏感信息，如賬號和密碼等。其實網(wǎng)絡監(jiān)聽原本是網(wǎng)絡管理員經(jīng)常使用的一個工具，主要用來監(jiān)視網(wǎng)絡的流量、狀態(tài)、數(shù)據(jù)等信息，比如Wireshark就是許多系統(tǒng)管理員手中的必備工具。Wireshark捕獲數(shù)據(jù)包9.4網(wǎng)絡監(jiān)聽原理與工具使用9.4.1網(wǎng)絡監(jiān)聽原理Wir9.4網(wǎng)絡監(jiān)聽原理與工具使用9.4.2網(wǎng)絡監(jiān)聽工具Wireshark的使用Wireshark是網(wǎng)絡包分析工具。網(wǎng)絡包分析工具的主要作用是嘗試捕獲網(wǎng)絡包，并嘗試顯示包的盡可能詳細的情況。與很多其他網(wǎng)絡工具一樣，wireshark也使用pcapnetworklibrary來進行封包捕捉。分析數(shù)據(jù)包有3個步驟：選擇數(shù)據(jù)包、分析協(xié)議、分析數(shù)據(jù)包內(nèi)容。（1）選擇數(shù)據(jù)包每次捕獲的數(shù)據(jù)包的數(shù)量成百上千，首先，根據(jù)時間、地址、協(xié)議、具體信息等來對需要的數(shù)據(jù)進行簡單的手工篩選，在這么多數(shù)據(jù)中選出所要分析的那一個。（2）分析協(xié)議，我們在協(xié)議窗口直接獲得的信息是，以太幀頭、IP頭、TCP頭和應用層協(xié)議中的內(nèi)容。（3）分析數(shù)據(jù)包內(nèi)容一次完整的嗅探過程并不是只分析一個數(shù)據(jù)包，可能是在幾百或上萬個數(shù)據(jù)包中找出有用的幾個或幾十個來分析，理解數(shù)據(jù)包，對于網(wǎng)絡安全具有至關重要的意義。9.4網(wǎng)絡監(jiān)聽原理與工具使用9.4.2網(wǎng)絡監(jiān)聽工具Wir9.5木馬的配置與防范特洛伊木馬（其名稱取自希臘神話的特洛伊木馬記，以下簡稱木馬），英文叫做“TrojanHorse”，它是一種基于遠程控制的黑客工具。木馬是常見的計算機安全隱患，作為網(wǎng)管員要格外重視木馬的御防與處理。本節(jié)主要講述：1、木馬的工作原理2、木馬的種類3、木馬的工作過程4、木馬的檢測5、木馬的清除與防御9.5木馬的配置與防范特洛伊木馬（其名稱取自希臘神話的特洛9.5木馬的配置與防范9.5.1木馬的工作原理特洛伊木馬，英文叫做“TrojanHorse”，它是一種基于遠程控制的黑客工具（病毒程序）。常見的普通木馬一般是客戶端/服務端（C/S）模式，客戶端/服務端之間采用TCP/UDP的通信方式，攻擊者控制的是相應的客戶端程序，服務器端程序是木馬程序，木馬程序被植入了毫不知情的用戶的計算機中。以“里應外合”的工作方式，服務程序通過打開特定的端口并進行監(jiān)聽（Listen），這些端口好像“后門”一樣，所以，也有人把特洛伊木馬叫做后門工具。攻擊者所掌握的客戶端程序向該端口發(fā)出請求（ConnectRequest），木馬便和它連接起來了，攻擊者就可以使用控制器進入計算機，通過客戶端程序命令達到控制服務器端的目的。木馬工作原理9.5木馬的配置與防范9.5.1木馬的工作原理木馬工作原理9.5木馬的配置與防范9.5.2木馬的種類（1）網(wǎng)絡游戲木馬（2）網(wǎng)銀木馬（3）即時通訊軟件木馬①發(fā)送消息型②盜號型③傳播自身型（4）網(wǎng)頁點擊類木馬（5）下載類木馬（6）代理類木馬9.5木馬的配置與防范9.5.2木馬的種類9.5木馬的配置與防范9.5.3木馬的工作過程1．配置木馬（1）木馬偽裝（2）信息反饋2．傳播木馬3．啟動木馬4．建立連接5．遠程控制9.5木馬的配置與防范9.5.3木馬的工作過程9.5木馬的配置與防范9.5.4木馬的檢測1．查看端口（1）netstat命令（2）專用工具2．檢查賬戶3．檢查注冊表4．檢查配置文件9.5木馬的配置與防范9.5.4木馬的檢測9.5木馬的配置與防范9.5.5木馬的防御與清除木馬一般都是通過E-mail和文件下載傳播來的。因此要提高防范意識，不要打開陌生人信中的附件。另外，建議大家最好到正規(guī)網(wǎng)站去下載軟件，這些網(wǎng)站的軟件更新快，且大部分都經(jīng)過測試，可以放心使用。一旦發(fā)現(xiàn)了木馬，最簡單的方法就是使用殺毒軟件。同時新的木馬不斷出現(xiàn)，舊的木馬變種也很快，有些要手工查找并清除。9.5木馬的配置與防范9.5.5木馬的防御與清除9.6 拒絕服務攻擊DoS攻擊的目的就是拒絕服務訪問，破壞組織的正常運行，最終它會使部分Internet連接和網(wǎng)絡系統(tǒng)失效。本節(jié)主要講述：1、拒絕服務攻擊的定義2、拒絕服務攻擊分類3、分布式拒絕服務攻擊9.6 拒絕服務攻擊DoS攻擊的目的就是拒絕服務訪問，破壞組9.6 拒絕服務攻擊9.6.1拒絕服務攻擊的定義拒絕服務（DenialofService，DoS）攻擊廣義上可以指任何導致網(wǎng)絡設備（服務器、防火墻、交換機、路由器等）不能正常提供服務的攻擊，現(xiàn)在一般指的是針對服務器的DoS攻擊。這種攻擊可能就使網(wǎng)線被拔下，或者網(wǎng)絡的堵塞等，最終的結果是正常用戶不能使用他所需要的服務。黑客使用DoS攻擊有以下的目的：（1）使服務器崩潰并讓其他人也無法訪問。（2）黑客為了冒充某個服務器，就對它進行DoS攻擊，使其癱瘓。（3）黑客為了安裝的木馬啟動，要求系統(tǒng)重啟，DoS攻擊可以用于強制服務器重啟。9.6 拒絕服務攻擊9.6.1拒絕服務攻擊的定義9.6 拒絕服務攻擊9.6.2 拒絕服務攻擊分類DoS的攻擊方式有很多種，根據(jù)其攻擊的手法和目的不同，有兩種不同的存在形式。一種是以消耗目標主機的可用資源為目的，使目標服務器忙于應付大量非法的、無用的連接請求，占用了服務器所有的資源，造成服務器對正常的請求無法再做出及時響應，從而形成事實上的服務中斷，這也是最常見的拒絕服務攻擊形式。這種攻擊主要利用的是網(wǎng)絡協(xié)議或者是系統(tǒng)的一些特點和漏洞進行攻擊，主要的攻擊方法有死亡之ping、SYNFlood、UDPFlood、ICMPFlood、Land、Teardrop等等，針對這些漏洞的攻擊，目前在網(wǎng)絡中都有大量的現(xiàn)成工具可以利用。另一種拒絕服務攻擊是以消耗服務器鏈路的有效帶寬為目的，攻擊者通過發(fā)送大量的有用或無用數(shù)據(jù)包，將整條鏈路的帶寬全部占用，從而使合法用戶請求無法通過鏈路到達服務器。例如蠕蟲對網(wǎng)絡的影響。9.6 拒絕服務攻擊9.6.2 拒絕服務攻擊分類9.6 拒絕服務攻擊幾種常見的拒絕服務攻擊：1．死亡之Ping通過發(fā)送畸形的、超大尺寸的ICMP數(shù)據(jù)包，如果ICMP數(shù)據(jù)包的尺寸超過64KB上限時，主機就會出現(xiàn)內(nèi)存分配錯誤，導致TCP/IP堆棧崩潰，致使主機死機。2．UDPFlood攻擊攻擊者利用簡單的TCP/IP服務，如Chargen（CharacterGeneratorProtocol字符發(fā)生器協(xié)議）和Echo來傳送毫無用處的占滿帶寬的數(shù)據(jù)。3．Land攻擊Land攻擊原理是：用一個特別打造的SYN包，它的原地址和目標地址都被設置成某一個服務器地址。此舉將導致接受服務器向它自己的地址發(fā)送SYN-ACK消息，結果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接。4．淚滴攻擊淚滴（Teardrop）攻擊是利用在TCP/IP堆棧中實現(xiàn)信任IP碎片中的包的標題頭所包含的信息來實現(xiàn)自己的攻擊。9.6 拒絕服務攻擊幾種常見的拒絕服務攻擊：9.6 拒絕服務攻擊9.6.3 分布式拒絕服務攻擊分布式拒絕服務（DistributedDenialofService）是一種基于DoS的特殊形式的攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要攻擊比較大的站點，例如商業(yè)公司、搜索引擎和政府部門的站點。DDos攻擊示意圖9.6 拒絕服務攻擊9.6.3 分布式拒絕服務攻擊DDos9.6 拒絕服務攻擊分布式拒絕服務攻擊的防范：1．如何發(fā)現(xiàn)攻擊2．攻擊前的防御準備3．攻擊期間的防御4．攻擊結束的防范5．冰盾抗DDoS防火墻9.6 拒絕服務攻擊分布式拒絕服務攻擊的防范：9.7計算機病毒由于網(wǎng)絡環(huán)境下的計算機病毒是網(wǎng)絡系統(tǒng)的最大攻擊者，具有強大的傳染性和破壞性，因此，網(wǎng)絡防病毒技術已成為網(wǎng)絡安全防御技術的重要研究課題。網(wǎng)絡防毒技術可以直觀地分為病毒預防技術、病毒檢測技術及病毒清除技術。本節(jié)主要講述：1、網(wǎng)絡防病毒技術2、網(wǎng)絡安全防御實例9.7計算機病毒由于網(wǎng)絡環(huán)境下的計算機病毒是網(wǎng)絡系統(tǒng)的最大9.7計算機病毒9.7.1網(wǎng)絡防病毒技術網(wǎng)絡防毒技術可以直觀地分為病毒預防技術、病毒檢測技術及病毒清除技術。（1）病毒預防技術計算機病毒的預防技術就是通過一定的技術手段防止計算機病毒對系統(tǒng)傳染和破壞。實際上這是一種動態(tài)判定技術，即一種行為規(guī)則判定技術。（2）病毒檢測技術計算機病毒的檢測技術是指通過一定的技術手段判定出特定計算機病毒的一種技術。它有兩種，一種是根據(jù)計算機病毒的關鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長度的變化，在特征分類的基礎上建立的病毒檢測技術。另一種是不針對具體病毒程序的自身校驗技術。（3）病毒清除技術目前，清除病毒大都是在某種病毒出現(xiàn)后，通過對其進行分析研究而研制出來的具有相應殺毒功能的軟件。9.7計算機病毒9.7.1網(wǎng)絡防病毒技術9.7計算機病毒9.7.2網(wǎng)絡安全防御實例實例一：校園網(wǎng)安全防御高校校園網(wǎng)以服務于教學、科研為的宗旨，這決定其必然是一個管理相對寬松的開放式系統(tǒng)，無法做到像企業(yè)網(wǎng)一樣進行嚴格統(tǒng)一的管理，這使得保障校園網(wǎng)安全成為一個大挑戰(zhàn)。某高校從自身情況出發(fā)，其安全方案主要包括以下6個方面。1．網(wǎng)絡關鍵路由交換設備的安全配置2．采取靜態(tài)IP地址管理模式3．中央集中控制病毒4．積極防范網(wǎng)絡攻擊5．統(tǒng)一身份認證6．鼓勵學生當網(wǎng)管9.7計算機病毒9.7.2網(wǎng)絡安全防御實例9.7計算機病毒實例二：個人電腦安全防御1．殺毒軟件不可少2．個人防火墻不可替代3．分類設置密碼并使密碼設置盡可能復雜4．不下載來路不明的軟件及程序，不打開來歷不明的郵件及附件5．警惕“網(wǎng)絡釣魚”6．防范間諜軟件7．只在必要時共享文件夾8．不要隨意瀏覽黑客網(wǎng)站、色情網(wǎng)站9．定期備份重要數(shù)據(jù)9.7計算機病毒實例二：個人電腦安全防御9.8PGP加密系統(tǒng)加密技術是最常用的安全保密手段，利用技術手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密）。本節(jié)主要講述：1、加密技術2、PGP軟件包的安裝和使用9.8PGP加密系統(tǒng)加密技術是最常用的安全保密手段，利用技9.8PGP加密系統(tǒng)9.8.1加密技術數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非授權者不能了解被保護信息的內(nèi)容。加密的基本思想是偽裝明文以隱蔽其真實內(nèi)容，即將明文偽裝成密文。偽裝明文的操作稱為加密，加密時所使用的信息變換規(guī)則稱為加密算法。由密文恢復出原明文的過程稱為解密。解密時所采用的信息變換規(guī)則稱作解密算法。加密和解密過程示意圖9.8PGP加密系統(tǒng)9.8.1加密技術加密和解密過程示意9.8PGP加密系統(tǒng)9.8.2PGP軟件包的安裝和使用PGP加密軟件是美國NetworkAssociateInc.出產(chǎn)的免費軟件，可用它對文件、郵件進行加密。使用PGP軟件對OutlookExpress郵件加密并簽名后發(fā)送給接收方；接收方驗證簽名并解密郵件。（1）安裝PGP（2）生成用戶密鑰對（3）用PGP對OutlookExpress郵件進行加密操作（4）接收方用私鑰解密郵件9.8PGP加密系統(tǒng)9.8.2PGP軟件包的安裝和使用9.9防火墻技術防火墻系統(tǒng)是指設置在不同網(wǎng)絡（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息、結構和運行狀況，以此來實現(xiàn)網(wǎng)絡的安全保護。在邏輯上，它是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全。本節(jié)主要講述：1、防火墻原理2、防火墻的發(fā)展歷程3、代理防火墻應用9.9防火墻技術防火墻系統(tǒng)是指設置在不同網(wǎng)絡（如可信任的企9.9防火墻技術9.9.1防火墻原理保護網(wǎng)絡安全的最主要手段之一是構筑防火墻（Firewall）。防火墻是一種網(wǎng)絡安全防護系統(tǒng)，是由硬件和軟件構成的用來在網(wǎng)絡之間執(zhí)行控制策略的系統(tǒng)。設置防火墻的目的是保護內(nèi)部網(wǎng)絡資源不被外部非授權用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。防火墻安裝的位置一定是在內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間。防火墻原理圖9.9防火墻技術9.9.1防火墻原理防火墻原理圖9.9防火墻技術9.9.1防火墻原理防火墻的主要功能如下：（1）檢查所有從外部網(wǎng)絡進入內(nèi)部網(wǎng)絡的數(shù)據(jù)包。（2）檢查所有從內(nèi)部網(wǎng)絡流出到外部網(wǎng)絡的數(shù)據(jù)包。（3）執(zhí)行安全策略，限制所有不符合安全策略要求的分組通過。（4）具有防攻擊能力，保證自身的安全性。9.9防火墻技術9.9.1防火墻原理9.9防火墻技術9.9.2防火墻的發(fā)展歷程綜觀防火墻技術的發(fā)展史，防火墻的過濾引擎技術經(jīng)歷了以下三個階段：第一階段：包過濾技術。包過濾防火墻工作在網(wǎng)絡層，對數(shù)據(jù)包的源及目地IP具有識別和控制作用，包過濾的優(yōu)點是工作層次低，速度快，但缺陷是不能跟蹤會話狀態(tài)，第二階段：應用代理網(wǎng)關技術。應用代理網(wǎng)關防火墻徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對外網(wǎng)的訪問變成防火墻對外網(wǎng)的訪問，然后再由防火墻轉發(fā)給內(nèi)網(wǎng)用戶。第三階段：狀態(tài)檢測技術。狀態(tài)檢測防火墻摒棄了包過濾防火墻僅考查數(shù)據(jù)包的IP地址、端口等幾個參數(shù)，而不關心數(shù)據(jù)包連接狀態(tài)變化的缺點，在防火墻內(nèi)部建立狀態(tài)表，利用狀態(tài)表跟蹤每一個會話狀態(tài)，對于UDP、IP、ICMP等非面向連接的協(xié)議，防火墻也會為其建立和維持虛擬的狀態(tài)項。9.9防火墻技術9.9.2防火墻的發(fā)展歷程9.9防火墻技術9.9.3代理防火墻應用代理防火墻也叫應用層網(wǎng)關（ApplicationGateway）防火墻。這種防火墻通過一種代理（Proxy）技術參與到一個TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達到隱藏內(nèi)部網(wǎng)結構的作用，它的核心技術就是代理服務器技術。CCProxy是國內(nèi)流行的、下載量很大的國產(chǎn)代理服務器軟件。主要用于局域網(wǎng)內(nèi)共享Modem代理上網(wǎng)、ADSL代理共享、寬帶代理共享、專線代理共享、ISDN代理共享、藍牙代理共享和二級代理等共享代理上網(wǎng)。9.9防火墻技術9.9.3代理防火墻應用9.9防火墻技術使用CCProxy完成共享上網(wǎng)：使用兩臺PC機，其中一臺做CCProxy代理服務器，假設IP地址是192.168.0.1，另一臺設置為通過代理訪問Internet的客戶機，假設IP地址是192.168.0.2。（1）在192.168.0.1上安裝CCProxy代理服務器（2）客戶機設置IE瀏覽器代理方法9.9防火墻技術使用CCProxy完成共享上網(wǎng)：ThankYou!ThankYou!計算機網(wǎng)絡技術-第9章-網(wǎng)絡安全課件主要內(nèi)容網(wǎng)絡掃描原理與工具網(wǎng)絡安全簡介網(wǎng)絡安全基礎知識木馬的檢測與防范1234拒絕服務攻擊原理與分類計算機病毒

56PGP加密系統(tǒng)代理服務器工具78主要內(nèi)容網(wǎng)絡掃描原理與工具網(wǎng)絡安全簡介網(wǎng)絡安全基礎知識木馬9.1網(wǎng)絡安全簡介網(wǎng)絡安全從其本質上來講就是網(wǎng)絡上的信息安全。網(wǎng)絡通信面臨著各種各樣的威脅，消除安全威脅，才能達到網(wǎng)絡及信息安全的目標。本節(jié)主要講述：1、網(wǎng)絡安全的定義2、網(wǎng)絡面臨的安全威脅3、計算機網(wǎng)絡及信息安全的目標9.1網(wǎng)絡安全簡介網(wǎng)絡安全從其本質上來講就是網(wǎng)絡上的信息9.1網(wǎng)絡安全簡介9.1.1網(wǎng)絡安全的定義網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。9.1網(wǎng)絡安全簡介9.1.1網(wǎng)絡安全的定義9.1網(wǎng)絡安全簡介9.1.2網(wǎng)絡面臨的安全威脅（1）截獲（Interception）。攻擊者從網(wǎng)絡上竊聽他人的通信內(nèi)容。（2）中斷（Interruption）。攻擊者有意中斷他人在網(wǎng)絡上的通信。（3）篡改（Modification）。攻擊者故意篡改網(wǎng)絡上傳送的報文。（4）偽造（Fabrication）。攻擊者偽造信息在網(wǎng)絡上傳送。網(wǎng)絡的被動攻擊和主動攻擊9.1網(wǎng)絡安全簡介9.1.2網(wǎng)絡面臨的安全威脅網(wǎng)絡的被動9.1網(wǎng)絡安全簡介9.1.3計算機網(wǎng)絡及信息安全的目標1．機密性機密性是指保證信息不能被非授權訪問，即非授權用戶得到信息也無法知曉信息內(nèi)容，因而不能使用。2．完整性完整性是只有得到允許的人才能修改實體或者進程，并且能夠判別出實體或者進程是否已被修改。3．可用性可用性是信息資源服務功能和性能可靠性的度量，涉及到物理、網(wǎng)絡、系統(tǒng)、數(shù)據(jù)、應用和用戶等多方面的因素，是對信息網(wǎng)絡總體可靠性的要求。9.1網(wǎng)絡安全簡介9.1.3計算機網(wǎng)絡及信息安全的目標9.1網(wǎng)絡安全簡介4．可控性可控性主要指對危害國家信息（包括利用加密的非法通信活動）的監(jiān)視審計。5．不可否認性不可否認性是對出現(xiàn)的安全問題提供調查的依據(jù)和手段。使用審計、監(jiān)控、防抵賴等安全機制，使得攻擊者、破壞者、抵賴者“逃不脫”，并進一步對網(wǎng)絡出現(xiàn)的安全問題提供調查依據(jù)和手段，實現(xiàn)信息安全的可審查性，一般通過數(shù)字簽名等技術來實現(xiàn)不可否認性。9.1網(wǎng)絡安全簡介4．可控性9.2網(wǎng)絡安全基礎知識隨著網(wǎng)絡應用的普及，黑客發(fā)起的網(wǎng)絡攻擊也越來越多，攻擊的方式和手段也不斷更新，研究黑客入侵過程，是為了做好網(wǎng)絡安全的防范工作。本節(jié)主要講述：1、黑客入侵攻擊的一般過程9.2網(wǎng)絡安全基礎知識隨著網(wǎng)絡應用的普及，黑客發(fā)起的網(wǎng)絡攻9.2網(wǎng)絡安全基礎知識黑客入侵攻擊的一般過程如下所述：（1）確定攻擊的目標。（2）收集被攻擊對象的有關信息。（3）利用適當?shù)墓ぞ哌M行掃描。（4）建立模擬環(huán)境，進行模擬攻擊。（5）實施攻擊。（6）清除痕跡。9.2網(wǎng)絡安全基礎知識黑客入侵攻擊的一般過程如下所述：9.3網(wǎng)絡掃描工具掃描器對于攻擊者來說是必不可少的工具，但它也是網(wǎng)絡管理員在網(wǎng)絡安全維護中的重要工具。掃描器的定義比較廣泛，不限于一般的端口掃描，也不限于針對漏洞的掃描，它也可以是某種服務、某個協(xié)議。本節(jié)主要講述：1、X-scan掃描器的使用2、端口掃描程序Nmap使用9.3網(wǎng)絡掃描工具掃描器對于攻擊者來說是必不可少的工具，9.3網(wǎng)絡掃描工具9.3.1掃描器的作用（1）檢測主機是否在線。（2）掃描目標系統(tǒng)開放的端口，有的還可以測試端口的服務信息。（3）獲取目標操作系統(tǒng)的敏感信息。（4）破解系統(tǒng)口令。（5）掃描其他系統(tǒng)敏感信息。一個優(yōu)秀的掃描器能檢測整個系統(tǒng)各個部分的安全性，能獲取各種敏感的信息，并能試圖通過攻擊以觀察系統(tǒng)反應等。掃描的種類和方法不盡相同，有的掃描方式甚至相當怪異且很難被發(fā)覺，但卻相當有效。9.3網(wǎng)絡掃描工具9.3.1掃描器的作用9.3網(wǎng)絡掃描工具9.3.2X-scan掃描器概述X-scan采用多線程方式對指定IP地址段（或單機）進行安全漏洞檢測，支持插件功能，提供了圖形界面和命令行兩種操作方式。掃描內(nèi)容包括：遠程服務類型、操作系統(tǒng)類型及版本、各種弱口令漏洞、后門、應用服務漏洞、網(wǎng)絡設備漏洞、拒絕服務漏洞等20多個大類。設置掃描參數(shù)9.3網(wǎng)絡掃描工具9.3.2X-scan掃描器概述設置掃9.3網(wǎng)絡掃描工具9.3.3端口掃描程序Nmap在諸多端口掃描器中，Nmap是其中的佼佼者，它提供了大量的基于DOS的命令行選項，還提供了支持Windows的GUI（圖形用戶界面），能夠靈活地滿足各種掃描要求，而且輸出格式豐富。nmap參數(shù)掃描結果9.3網(wǎng)絡掃描工具9.3.3端口掃描程序Nmapnmap9.4網(wǎng)絡監(jiān)聽原理與工具使用網(wǎng)絡監(jiān)聽是黑客在局域網(wǎng)中常用的一種技術，它在網(wǎng)絡中監(jiān)聽別人的數(shù)據(jù)包，監(jiān)聽的目的就是分析數(shù)據(jù)包，從而獲得一些敏感信息，如賬號和密碼等。其實網(wǎng)絡監(jiān)聽也是網(wǎng)絡管理員經(jīng)常使用的一個工具，主要用來監(jiān)視網(wǎng)絡的流量、狀態(tài)、數(shù)據(jù)等信息，比如Wireshark就是許多系統(tǒng)管理員手中的必備工具。本節(jié)主要講述：1、網(wǎng)絡監(jiān)聽原理2、網(wǎng)絡監(jiān)聽工具Wireshark的使用9.4網(wǎng)絡監(jiān)聽原理與工具使用網(wǎng)絡監(jiān)聽是黑客在局域網(wǎng)中常用的9.4網(wǎng)絡監(jiān)聽原理與工具使用9.4.1網(wǎng)絡監(jiān)聽原理網(wǎng)絡監(jiān)聽是黑客在局域網(wǎng)中常用的一種技術，它在網(wǎng)絡中監(jiān)聽別人的數(shù)據(jù)包，監(jiān)聽的目的就是分析數(shù)據(jù)包，從而獲得一些敏感信息，如賬號和密碼等。其實網(wǎng)絡監(jiān)聽原本是網(wǎng)絡管理員經(jīng)常使用的一個工具，主要用來監(jiān)視網(wǎng)絡的流量、狀態(tài)、數(shù)據(jù)等信息，比如Wireshark就是許多系統(tǒng)管理員手中的必備工具。Wireshark捕獲數(shù)據(jù)包9.4網(wǎng)絡監(jiān)聽原理與工具使用9.4.1網(wǎng)絡監(jiān)聽原理Wir9.4網(wǎng)絡監(jiān)聽原理與工具使用9.4.2網(wǎng)絡監(jiān)聽工具Wireshark的使用Wireshark是網(wǎng)絡包分析工具。網(wǎng)絡包分析工具的主要作用是嘗試捕獲網(wǎng)絡包，并嘗試顯示包的盡可能詳細的情況。與很多其他網(wǎng)絡工具一樣，wireshark也使用pcapnetworklibrary來進行封包捕捉。分析數(shù)據(jù)包有3個步驟：選擇數(shù)據(jù)包、分析協(xié)議、分析數(shù)據(jù)包內(nèi)容。（1）選擇數(shù)據(jù)包每次捕獲的數(shù)據(jù)包的數(shù)量成百上千，首先，根據(jù)時間、地址、協(xié)議、具體信息等來對需要的數(shù)據(jù)進行簡單的手工篩選，在這么多數(shù)據(jù)中選出所要分析的那一個。（2）分析協(xié)議，我們在協(xié)議窗口直接獲得的信息是，以太幀頭、IP頭、TCP頭和應用層協(xié)議中的內(nèi)容。（3）分析數(shù)據(jù)包內(nèi)容一次完整的嗅探過程并不是只分析一個數(shù)據(jù)包，可能是在幾百或上萬個數(shù)據(jù)包中找出有用的幾個或幾十個來分析，理解數(shù)據(jù)包，對于網(wǎng)絡安全具有至關重要的意義。9.4網(wǎng)絡監(jiān)聽原理與工具使用9.4.2網(wǎng)絡監(jiān)聽工具Wir9.5木馬的配置與防范特洛伊木馬（其名稱取自希臘神話的特洛伊木馬記，以下簡稱木馬），英文叫做“TrojanHorse”，它是一種基于遠程控制的黑客工具。木馬是常見的計算機安全隱患，作為網(wǎng)管員要格外重視木馬的御防與處理。本節(jié)主要講述：1、木馬的工作原理2、木馬的種類3、木馬的工作過程4、木馬的檢測5、木馬的清除與防御9.5木馬的配置與防范特洛伊木馬（其名稱取自希臘神話的特洛9.5木馬的配置與防范9.5.1木馬的工作原理特洛伊木馬，英文叫做“TrojanHorse”，它是一種基于遠程控制的黑客工具（病毒程序）。常見的普通木馬一般是客戶端/服務端（C/S）模式，客戶端/服務端之間采用TCP/UDP的通信方式，攻擊者控制的是相應的客戶端程序，服務器端程序是木馬程序，木馬程序被植入了毫不知情的用戶的計算機中。以“里應外合”的工作方式，服務程序通過打開特定的端口并進行監(jiān)聽（Listen），這些端口好像“后門”一樣，所以，也有人把特洛伊木馬叫做后門工具。攻擊者所掌握的客戶端程序向該端口發(fā)出請求（ConnectRequest），木馬便和它連接起來了，攻擊者就可以使用控制器進入計算機，通過客戶端程序命令達到控制服務器端的目的。木馬工作原理9.5木馬的配置與防范9.5.1木馬的工作原理木馬工作原理9.5木馬的配置與防范9.5.2木馬的種類（1）網(wǎng)絡游戲木馬（2）網(wǎng)銀木馬（3）即時通訊軟件木馬①發(fā)送消息型②盜號型③傳播自身型（4）網(wǎng)頁點擊類木馬（5）下載類木馬（6）代理類木馬9.5木馬的配置與防范9.5.2木馬的種類9.5木馬的配置與防范9.5.3木馬的工作過程1．配置木馬（1）木馬偽裝（2）信息反饋2．傳播木馬3．啟動木馬4．建立連接5．遠程控制9.5木馬的配置與防范9.5.3木馬的工作過程9.5木馬的配置與防范9.5.4木馬的檢測1．查看端口（1）netstat命令（2）專用工具2．檢查賬戶3．檢查注冊表4．檢查配置文件9.5木馬的配置與防范9.5.4木馬的檢測9.5木馬的配置與防范9.5.5木馬的防御與清除木馬一般都是通過E-mail和文件下載傳播來的。因此要提高防范意識，不要打開陌生人信中的附件。另外，建議大家最好到正規(guī)網(wǎng)站去下載軟件，這些網(wǎng)站的軟件更新快，且大部分都經(jīng)過測試，可以放心使用。一旦發(fā)現(xiàn)了木馬，最簡單的方法就是使用殺毒軟件。同時新的木馬不斷出現(xiàn)，舊的木馬變種也很快，有些要手工查找并清除。9.5木馬的配置與防范9.5.5木馬的防御與清除9.6 拒絕服務攻擊DoS攻擊的目的就是拒絕服務訪問，破壞組織的正常運行，最終它會使部分Internet連接和網(wǎng)絡系統(tǒng)失效。本節(jié)主要講述：1、拒絕服務攻擊的定義2、拒絕服務攻擊分類3、分布式拒絕服務攻擊9.6 拒絕服務攻擊DoS攻擊的目的就是拒絕服務訪問，破壞組9.6 拒絕服務攻擊9.6.1拒絕服務攻擊的定義拒絕服務（DenialofService，DoS）攻擊廣義上可以指任何導致網(wǎng)絡設備（服務器、防火墻、交換機、路由器等）不能正常提供服務的攻擊，現(xiàn)在一般指的是針對服務器的DoS攻擊。這種攻擊可能就使網(wǎng)線被拔下，或者網(wǎng)絡的堵塞等，最終的結果是正常用戶不能使用他所需要的服務。黑客使用DoS攻擊有以下的目的：（1）使服務器崩潰并讓其他人也無法訪問。（2）黑客為了冒充某個服務器，就對它進行DoS攻擊，使其癱瘓。（3）黑客為了安裝的木馬啟動，要求系統(tǒng)重啟，DoS攻擊可以用于強制服務器重啟。9.6 拒絕服務攻擊9.6.1拒絕服務攻擊的定義9.6 拒絕服務攻擊9.6.2 拒絕服務攻擊分類DoS的攻擊方式有很多種，根據(jù)其攻擊的手法和目的不同，有兩種不同的存在形式。一種是以消耗目標主機的可用資源為目的，使目標服務器忙于應付大量非法的、無用的連接請求，占用了服務器所有的資源，造成服務器對正常的請求無法再做出及時響應，從而形成事實上的服務中斷，這也是最常見的拒絕服務攻擊形式。這種攻擊主要利用的是網(wǎng)絡協(xié)議或者是系統(tǒng)的一些特點和漏洞進行攻擊，主要的攻擊方法有死亡之ping、SYNFlood、UDPFlood、ICMPFlood、Land、Teardrop等等，針對這些漏洞的攻擊，目前在網(wǎng)絡中都有大量的現(xiàn)成工具可以利用。另一種拒絕服務攻擊是以消耗服務器鏈路的有效帶寬為目的，攻擊者通過發(fā)送大量的有用或無用數(shù)據(jù)包，將整條鏈路的帶寬全部占用，從而使合法用戶請求無法通過鏈路到達服務器。例如蠕蟲對網(wǎng)絡的影響。9.6 拒絕服務攻擊9.6.2 拒絕服務攻擊分類9.6 拒絕服務攻擊幾種常見的拒絕服務攻擊：1．死亡之Ping通過發(fā)送畸形的、超大尺寸的ICMP數(shù)據(jù)包，如果ICMP數(shù)據(jù)包的尺寸超過64KB上限時，主機就會出現(xiàn)內(nèi)存分配錯誤，導致TCP/IP堆棧崩潰，致使主機死機。2．UDPFlood攻擊攻擊者利用簡單的TCP/IP服務，如Chargen（CharacterGeneratorProtocol字符發(fā)生器協(xié)議）和Echo來傳送毫無用處的占滿帶寬的數(shù)據(jù)。3．Land攻擊Land攻擊原理是：用一個特別打造的SYN包，它的原地址和目標地址都被設置成某一個服務器地址。此舉將導致接受服務器向它自己的地址發(fā)送SYN-ACK消息，結果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接。4．淚滴攻擊淚滴（Teardrop）攻擊是利用在TCP/IP堆棧中實現(xiàn)信任IP碎片中的包的標題頭所包含的信息來實現(xiàn)自己的攻擊。9.6 拒絕服務攻擊幾種常見的拒絕服務攻擊：9.6 拒絕服務攻擊9.6.3 分布式拒絕服務攻擊分布式拒絕服務（DistributedDenialofService）是一種基于DoS的特殊形式的攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要攻擊比較大的站點，例如商業(yè)公司、搜索引擎和政府部門的站點。DDos攻擊示意圖9.6 拒絕服務攻擊9.6.3 分布式拒絕服務攻擊DDos9.6 拒絕服務攻擊分布式拒絕服務攻擊的防范：1．如何發(fā)現(xiàn)攻擊2．攻擊前的防御準備3．攻擊期間的防御4．攻擊結束的防范5．冰盾抗DDoS防火墻9.6 拒絕服務攻擊分布式拒絕服務攻擊的防范：9.7計算機病毒由于網(wǎng)絡環(huán)境下的計算機病毒是網(wǎng)絡系統(tǒng)的最大攻擊者，具有強大的傳染性和破壞性，因此，網(wǎng)絡防病毒技術已成為網(wǎng)絡安全防御技術的重要研究課題。網(wǎng)絡防毒技術可以直觀地分為病毒預防技術、病毒檢測技術及病毒清除技術。本節(jié)主要講述：1、網(wǎng)絡防病毒技術2、網(wǎng)絡安全防御實例9.7計算機病毒由于網(wǎng)絡環(huán)境下的計算機病毒是網(wǎng)絡系統(tǒng)的最大9.7計算機病毒9.7.1網(wǎng)絡防病毒技術網(wǎng)絡防毒技術可以直觀地分為病毒預防技術、病毒檢測技術及病毒清除技術。（1）病毒預防技術計算機病毒的預防技術就是通過一定的技術手段防止計算機病毒對系統(tǒng)傳染和破壞。實際上這是一種動態(tài)判定技術，即一種行為規(guī)則判定技術。（2）病毒檢測技術計算機病毒的檢測技術是指通過一定的技術手段判定出特定計算機病毒的一種技術。它有兩種，一種是根據(jù)計算機病毒的關鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長度的變化，在特征分類的基礎上建立的病毒檢測技術。另一種是不針對具體病毒程序的自身校驗技術。（3）病毒清除技術目前，清除病毒大都是在某種病毒出現(xiàn)后，通過對其進行分析研究而研制出來的具有相應殺毒功能的軟件。9.7計算機病毒9.7.1網(wǎng)絡防病毒技術9.7計算機病毒9.7.2網(wǎng)絡安全防御實例實例一：校園網(wǎng)安全防御高校校園網(wǎng)以服務于教學、科研為的宗旨，這決定其必然是一個管理相對寬松的開放式系統(tǒng)，無法做到像企業(yè)網(wǎng)一樣進行嚴格統(tǒng)一的管理，這使得保障校園網(wǎng)安全成為一個大挑戰(zhàn)。某高校從自身情況出發(fā)，其安全方案主要包括以下6個方面。1．網(wǎng)絡關鍵路由交換設備的安全配置2．采取靜態(tài)IP地址管理模式3．中央集中控制病毒4．積極防范網(wǎng)絡攻擊5．統(tǒng)一身份認證6．鼓勵學生當網(wǎng)管9.7計算機病毒9.7.2網(wǎng)絡安全防御實例9.7計算機病毒實例二：個人電腦安全防御1．殺毒軟件不可少2．個人防火墻不可替代3．分類設置密碼并使密碼設置盡可能復雜4．不下載來路不明的軟件及程序，不打開來歷不明的郵件及附件5．警惕“網(wǎng)絡釣魚”6．防范間諜軟件7．只在必要時共享文件夾8．不要隨意瀏覽黑客網(wǎng)站、色情網(wǎng)站9．定期備份重要數(shù)據(jù)9.7計算機病毒實例二：個人電腦安全防御9.8PGP加密系統(tǒng)加密技術是最常用的安全保密手段，利用技術手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密）。本節(jié)主要講述：1、加密技術2、PGP軟件包的安裝和使用9.8PGP加密系統(tǒng)加密技術是最常用的安全保密手段，利用技9.8PGP加密系統(tǒng)9.8.1加密技術數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非授權者不能了解被保護信息的內(nèi)容。加密的基本思想是偽裝明文以隱蔽其真實內(nèi)容，即將明文偽裝成密文。偽裝明文的操作稱為加密，加密時所使用的信息變換規(guī)則稱為加密算法。由密文恢復出原明文的過程稱為解密。解密時所采用的信息變換規(guī)則稱作解密算法。加密和解密過程示意圖9.8PGP加密系統(tǒng)9.8.1加密