網(wǎng)絡(luò)安全講座

網(wǎng)絡(luò)安全講座第1頁，共53頁，2023年，2月20日，星期六防火墻/入侵檢測認(rèn)證/備份/管理日志分析/防病毒數(shù)據(jù)/網(wǎng)絡(luò)完整性信息系統(tǒng)整體安全分層定位加密/VPN

Internet???第2頁，共53頁，2023年，2月20日，星期六病毒的基礎(chǔ)知識(shí)常見病毒的介紹與防范整體網(wǎng)絡(luò)防病毒體系的建立防病毒日常注意事項(xiàng)一、防病毒第3頁，共53頁，2023年，2月20日，星期六計(jì)算機(jī)病毒的短暫歷史Exe,Com文件感染低速傳播60,00030,00019882002跨網(wǎng)絡(luò)高速傳播病毒的基礎(chǔ)知識(shí)主要推進(jìn)－技術(shù)的發(fā)展－Internet的發(fā)展第4頁，共53頁，2023年，2月20日，星期六引導(dǎo)型病毒

在系統(tǒng)引導(dǎo)過程中感染，一般通過軟盤傳播

文件型病毒

感染程序文件，破壞被感染程序的可用性宏病毒

Word或Excel文件中的破壞性的宏腳本病毒

利用腳本程序的執(zhí)行進(jìn)行傳播與破壞病毒的類型第5頁，共53頁，2023年，2月20日，星期六病毒的命名WM

：Word宏病毒W(wǎng)97M：Word97宏病毒XM：Excel宏病毒X97M：Excel97宏病毒W(wǎng)95：Win95病毒W(wǎng)32：32位Windows病毒TROJAN：特洛伊木馬VBS：VBScript語言寫的病毒JS：JAVAScript語言寫的病毒JAVA

：JAVA語言寫的病毒HTML

：HTML語言寫的病毒W(wǎng)orm：蠕蟲病毒前綴+病毒名+后綴Win32.Funlove.4099第6頁，共53頁，2023年，2月20日，星期六1、 宏病毒2、WYX3、 Melissa、Sircam4、 FunLove5、 RedCode(紅色代碼)6、 Nimda(尼姆達(dá))7、Wantjob(求職信)8、Runouce(中國黑客)常見病毒的介紹與防范第7頁，共53頁，2023年，2月20日，星期六被蠕蟲病毒感染的計(jì)算機(jī)通常會(huì)在最短的時(shí)間內(nèi)試著“連接”盡可能多的計(jì)算機(jī)，這與正常的計(jì)算機(jī)有著明顯的區(qū)別。正常上網(wǎng)時(shí)一般的連接請(qǐng)求少于每秒2次，而Nimda、紅色代碼的連接請(qǐng)求高達(dá)每秒500次。人與計(jì)算機(jī)的交互不可能導(dǎo)致如此高的連接請(qǐng)求頻率。常見病毒的介紹與防范第8頁，共53頁，2023年，2月20日，星期六整體網(wǎng)絡(luò)防病毒體系的建立GroupwareServersNetworkServersProxyServerInternetMailServerFirewallRemoteUserVirusScan桌面保護(hù)DOSWin3x,Win95WinNTMacOS/2BrowserNetShield服務(wù)器保護(hù)GroupShield群件保護(hù)WebShield網(wǎng)關(guān)保護(hù)第9頁，共53頁，2023年，2月20日，星期六1、定期備份你的重要文件2、安裝正版的防病毒軟件，并定期升級(jí)3、不要輕易打開郵件的附件4、盡量不要關(guān)閉防病毒的在線監(jiān)控程序5、從網(wǎng)上下載的文件要仔細(xì)檢查6、盡量使用正版軟件7、發(fā)現(xiàn)機(jī)器出現(xiàn)異常情況時(shí)，立即關(guān)機(jī)后殺毒8、連網(wǎng)進(jìn)行共享時(shí)，要注意權(quán)限的問題防病毒日常注意事項(xiàng)第10頁，共53頁，2023年，2月20日，星期六NT/2000口令安全機(jī)制服務(wù)器常見安全漏洞IIS應(yīng)用的安全性本地安全日志審計(jì)與檢查主機(jī)的安全配置策略二、WINNT/2000主機(jī)安全第11頁，共53頁，2023年，2月20日，星期六NT/2000口令安全機(jī)制WinLogon進(jìn)程SecurityandAccountManger進(jìn)入由WinLogon進(jìn)程請(qǐng)求生成的登錄進(jìn)程由登錄進(jìn)程啟動(dòng)其他進(jìn)程得到SID令牌新進(jìn)程繼承原進(jìn)程的SID訪問令牌，保持原安全權(quán)限得到SID令牌第12頁，共53頁，2023年，2月20日，星期六口令安全機(jī)制的關(guān)鍵：SAM1、位置：

%systemroot%\system32\config

目錄中名為SAM的文件。2、備份：

%systemroot%\repair

的sam(NT中為sam_)3、內(nèi)容：LM散列值&NT散列值4、問題：LM散列算法的缺陷5、演示：Pwdump3、LC3第13頁，共53頁，2023年，2月20日，星期六USER與SID修改Administrator的用戶名并不能真正的提升系統(tǒng)安全性第14頁，共53頁，2023年，2月20日，星期六口令的選擇在計(jì)算機(jī)系統(tǒng)中，一般情況下可以做密碼的字符有：10個(gè)阿拉伯?dāng)?shù)字，52個(gè)大小寫英文字母，32個(gè)符號(hào)，共94個(gè)字符一般而言，較長的密碼比較短的密碼更強(qiáng)，具有多種字符類型（字母、數(shù)字、標(biāo)點(diǎn)符號(hào)以及使用ALT鍵和數(shù)字小鍵盤上的三位鍵控代碼生成的非打印ASCII字符）的密碼比單純的字母或字母數(shù)字組成的密碼更強(qiáng)。為達(dá)到最大限度的保護(hù)，要確保管理員帳戶密碼至少要有九個(gè)字符長，并且在頭七個(gè)字符中至少包含一個(gè)標(biāo)點(diǎn)符號(hào)或非打印ASCII字符。另外，不能在多臺(tái)計(jì)算機(jī)上使用相同的管理員帳戶密碼。在每一臺(tái)計(jì)算機(jī)上應(yīng)該使用不同的密碼，以提高工作組或域中的安全級(jí)別。第15頁，共53頁，2023年，2月20日，星期六服務(wù)器常見安全漏洞第16頁，共53頁，2023年，2月20日，星期六

服務(wù)器常見安全漏洞使用net命令，就能夠分配到共享資源。“C$”是C盤的共享名。在默認(rèn)設(shè)置下，Windows會(huì)開放提供文件共享服務(wù)的TCP的139號(hào)端口。因此，在默認(rèn)條件下起動(dòng)文件共享服務(wù)后，系統(tǒng)就進(jìn)入等待狀態(tài)。由此，機(jī)器就會(huì)始終處于被攻擊者訪問共享資源的危險(xiǎn)境地。而共享資源則可以利用net命令輕松地進(jìn)行分配（圖1）。盡管C盤如果沒有管理員權(quán)限就無法共享，但如果不經(jīng)意地將Guest帳號(hào)設(shè)置為有效以后，就能夠訪問C盤，這樣一來就非常輕松地破壞硬盤。第17頁，共53頁，2023年，2月20日，星期六

服務(wù)器常見安全漏洞應(yīng)該注意的5個(gè)端口在幾乎所有的Windows中，所開放的端口包括135、137、138和139。此外，在2000、XP和.NETServer中445端口也是開放的。Windows在默認(rèn)條件下開放的眾所周知的端口就是這5個(gè)。第18頁，共53頁，2023年，2月20日，星期六

服務(wù)器Windows系統(tǒng)開放的主要端口第19頁，共53頁，2023年，2月20日，星期六客戶端Windows系統(tǒng)開放的主要端口

第20頁，共53頁，2023年，2月20日，星期六

Win2K服務(wù)器常見安全漏洞(135端口)135端口使用DCOM可以遠(yuǎn)程操作其他電腦中的DCOM應(yīng)用程序。該技術(shù)使用的是用于調(diào)用其他電腦所具有的函數(shù)的RPC（RemoteProcedureCall，遠(yuǎn)程過程調(diào)用）功能。而這個(gè)RPC使用的就是135端口。第21頁，共53頁，2023年，2月20日，星期六關(guān)閉RPC服務(wù)。控制面板－管理工具－服務(wù)，在“服務(wù)”窗口中打開“RemoteProcedureCall”屬性。在屬性窗口中將啟動(dòng)類型設(shè)置為“已禁用”，自下次起動(dòng)開始RPC就將不再啟動(dòng)（要想將其設(shè)置為有效，在注冊表編輯器中將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs”的“Start”的值由0x04變成0x02后，重新起動(dòng)機(jī)器即可）。不過，進(jìn)行這種設(shè)置后，將會(huì)給Windows的運(yùn)行帶來很大的影響。比如WindowsXPProfessional，從登錄到顯示桌面畫面，就要等待相當(dāng)長的時(shí)間。這是因?yàn)閃indows的很多服務(wù)都依賴于RPC，而這些服務(wù)在將RPC設(shè)置為無效后將無法正常起動(dòng)。由于這樣做弊端非常大，因此一般來說，不能關(guān)閉RPC服務(wù)。Win2K服務(wù)器常見安全漏洞(135端口)第22頁，共53頁，2023年，2月20日，星期六那么接下來要考慮的對(duì)策是信息包過濾。但是這同樣也會(huì)給Windows的運(yùn)行帶來各種影響。比如，如果在客戶端關(guān)閉135端口，就無法使用Outlook連接ExchangeServer。因?yàn)楣芾矸植际教幚淼腗SDTC、負(fù)責(zé)應(yīng)用程序之間的信息交換的MSMQ以及動(dòng)態(tài)地向連接網(wǎng)絡(luò)的電腦分配地址的DHCP等服務(wù)也都使用這個(gè)端口。

在服務(wù)器方面，為了使活動(dòng)目錄和主域?qū)崿F(xiàn)同步，就要使用135端口。

在Windows服務(wù)中，有很多服務(wù)需要使用RPC。另外，Windows網(wǎng)絡(luò)并不是設(shè)想在客戶端與服務(wù)器之間存在防火墻的狀態(tài)而組建的。因此公司內(nèi)部網(wǎng)絡(luò)環(huán)境中使用過濾功能時(shí)，應(yīng)該在充分驗(yàn)證后加以實(shí)施Win2K服務(wù)器常見安全漏洞(135端口)第23頁，共53頁，2023年，2月20日，星期六使用dcomcnfg.exe將DCOM設(shè)置為無效。取消“在這臺(tái)計(jì)算機(jī)上啟用分布式COM”選項(xiàng)。在公司內(nèi)部不使用DCOM，并且不想讓其他計(jì)算機(jī)操作自己電腦COM的時(shí)候，就應(yīng)該采用這種設(shè)置。

如果是客戶端，也有辦法禁止遠(yuǎn)程登錄電腦。依次選擇“控制面板”、“管理工具”和“本地安全策略”，打開本地安全設(shè)置窗口，選擇本地策略中的用戶權(quán)利指派，然后利用該項(xiàng)下的“拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”，指定拒絕訪問的對(duì)象。如果想拒絕所有的訪問，最好指定為“Everyone”。Win2K服務(wù)器常見安全漏洞(135端口)第24頁，共53頁，2023年，2月20日，星期六公開服務(wù)器應(yīng)該關(guān)閉135端口公開于因特網(wǎng)上的服務(wù)器基本上不使用RPC。如前所述，盡管危險(xiǎn)性比公司內(nèi)部環(huán)境低，但只要不運(yùn)行使用DCOM的特定應(yīng)用程序（只要不是必須的服務(wù)），就應(yīng)該關(guān)閉135端口。比如只是作為Web服務(wù)器、郵件或DNS服務(wù)器來使用的話，即便關(guān)閉135端口，也不會(huì)出現(xiàn)任何問題。Win2K服務(wù)器常見安全漏洞(135端口)第25頁，共53頁，2023年，2月20日，星期六NetBIOS使用139端口

微軟的客戶機(jī)/服務(wù)器網(wǎng)絡(luò)系統(tǒng)是基于NetBIOS的。Win2K服務(wù)器常見安全漏洞(139端口)第26頁，共53頁，2023年，2月20日，星期六1、輸入法漏洞2、本地溢出漏洞/windows2000/downloads/security/q320206/default.asp安全漏洞的演示與防范/windows2000/downloads/servicepacks/sp2/3、本地溢出漏洞演示第27頁，共53頁，2023年，2月20日，星期六IIS應(yīng)用的安全性1、CGI的安全性2、ASP的安全性3、Unicode漏洞4、二次解碼漏洞5、.Printer、.ida、.idqISAPI遠(yuǎn)程溢出漏洞6、IIS的安全配置第28頁，共53頁，2023年，2月20日，星期六本地安全日志審計(jì)與檢查第29頁，共53頁，2023年，2月20日，星期六本地安全日志審計(jì)與檢查第30頁，共53頁，2023年，2月20日，星期六1、口令安全策略2、權(quán)限安全策略3、本地安全過濾策略4、文件系統(tǒng)的安全策略主機(jī)的安全配置策略第31頁，共53頁，2023年，2月20日，星期六口令安全策略第32頁，共53頁，2023年，2月20日，星期六權(quán)限安全策略第33頁，共53頁，2023年，2月20日，星期六本地安全過濾策略第34頁，共53頁，2023年，2月20日，星期六文件系統(tǒng)的安全策略第35頁，共53頁，2023年，2月20日，星期六三、木馬與后門程序的介紹木馬的簡介常見木馬的原理與防范(演示：木馬的植入與控制)木馬的發(fā)展趨勢第36頁，共53頁，2023年，2月20日，星期六木馬的簡介1、遠(yuǎn)程訪問型2、密碼發(fā)送型3、鍵盤記錄型4、破壞型5、FTP型木馬的分類木馬的定義第37頁，共53頁，2023年，2月20日，星期六常見木馬的原理與防范1、BO2K2、冰河3、廣外幽靈第38頁，共53頁，2023年，2月20日，星期六1、與病毒的結(jié)合2、跨平臺(tái)性更強(qiáng)3、模塊化設(shè)計(jì)更為明顯4、即時(shí)通知性5、未知的更強(qiáng)的功能6、無進(jìn)程DLL木馬(WindowsSocket2SPI技術(shù))木馬的發(fā)展趨勢第39頁，共53頁，2023年，2月20日，星期六1、PGP是PrettyGoodPrivacy的縮寫2、PGP是一種數(shù)字簽名/加密技術(shù)3、PGP可以配合MSOutlook加密電子郵件4、PGP是一個(gè)非對(duì)稱加密軟件用PGP保戶郵件安全第40頁，共53頁，2023年，2月20日，星期六對(duì)稱加密：用一個(gè)字符串(也就是密碼)去加密數(shù)據(jù)，然后用相同的字符串解密。例：對(duì)稱加密算法很多，異或(Xor)運(yùn)算是對(duì)稱加密算法之一，舉例如下：打開計(jì)算器－設(shè)置為科學(xué)型－輸入5210852－點(diǎn)Xor－輸入密碼1234567－按＝6116451(加密后的數(shù)據(jù))－點(diǎn)Xor－輸入密碼1234567－按＝5210852(解密后的數(shù)據(jù))用PGP保戶郵件安全（續(xù)）第41頁，共53頁，2023年，2月20日，星期六非對(duì)稱加密：使用一對(duì)密鑰來加密數(shù)據(jù)，這對(duì)密鑰分為公有密鑰和私有密鑰。公有密鑰可以在網(wǎng)上發(fā)布，私有密鑰自己保管好。公有密鑰上是用來加密的，私有密鑰是用來解密的。

PGP是一個(gè)基于SRA公鑰加密體系的加密軟件。用PGP保戶郵件安全（續(xù)）第42頁，共53頁，2023年，2月20日，星期六安裝PGP：免費(fèi)版本下載網(wǎng)址公有密鑰可以在網(wǎng)上發(fā)布，私有密鑰自己保管好。公有密鑰上是用來加密的，私有密鑰是用來解密的。

PGP是一個(gè)基于SRA公鑰加密體系的加密軟件。用PGP保戶郵件安全（續(xù)）第43頁，共53頁，2023年，2月20日，星期六對(duì)付鍵盤記錄器的小技巧：將密碼寫在記事本上，再復(fù)制、粘貼到密碼框內(nèi)。可用Ctrl+C複製密碼鍵盤記錄器第44頁，共53頁，2023年，2月20日，星期六

windowsNT/2000下有豐富的cmd可供使用，功能強(qiáng)大。windows2000本身就提供了詳細(xì)的命令幫助。在開始菜單--》幫助中可以搜索：索引－命令參考。windowsNT/2000的CMD命令第45頁，共53頁，2023年，2月20日，星期六常用命令：

nbtstat：使用nbtstat解決NetBIOS名稱問題。TCP/IP上的NetBIOS(NetBT)將NetBIOS名稱解析成IP地址。TCP/IP為NetBIOS名稱解析提供了很多選項(xiàng)，包括本地緩存搜索、WINS服務(wù)器查詢、廣播、DNS服務(wù)器查詢以及Lmhosts和主機(jī)文件搜索。windowsNT/2000的CMD命令第46頁，共53頁，2023年，2月20日，星期六空連接和ipc$是不同的概念。空連接是在沒有信任的情況下與服務(wù)器建立的會(huì)話，它是一個(gè)到服務(wù)器的匿名訪問。

ipc$是為了讓進(jìn)程間通信而開放的命名管道，可以通過驗(yàn)證用戶名和密碼獲得相應(yīng)的權(quán)限。有許多的工具必須用到ipc$。默認(rèn)共享是為了方便遠(yuǎn)程管理而開放的共享，包含了所有的邏輯盤（c$,d$,e$……）和系統(tǒng)目錄winnt或windows（admin$）。關(guān)于ipc$、空連接和默認(rèn)共享第47頁，共53頁，2023年，2月20日，星期六

RFC1149，2549中定義過TransmittedviaCarrierPigeon。高于TCP的協(xié)議(例如http，ftp，telnet等基于TCP的應(yīng)用協(xié)議)將數(shù)據(jù)傳給協(xié)議棧，TCP將對(duì)其初始化，但此時(shí)并不直接送往IP層，而是直接將其送往目的地。在那里信息經(jīng)過TCP層直接交送到應(yīng)用程序中處理。傳輸中的信息隱藏技術(shù)第48頁，共53頁，2023年，2月20日，星期六#ps–ef(查看進(jìn)程)：

UIDPIDPPIDCSTIMETTYTIMECMDroot000Jan16?0:18schedroot100Jan16?0:07/etc/init-root200Jan16?0:00pageoutroot300Jan16?2:15fsflushroot31010Jan16?0:00/usr/lib/saf/sac-t300常用UNIX命令-e顯示當(dāng)前運(yùn)行的每一個(gè)進(jìn)程信息-f產(chǎn)生一個(gè)完整的清單與進(jìn)程有關(guān)的標(biāo)志： 進(jìn)程狀態(tài)：00進(jìn)程已經(jīng)終止 0

正在運(yùn)行01系統(tǒng)進(jìn)程 s睡眠02父進(jìn)程是跟蹤進(jìn)程 r可運(yùn)行UID：進(jìn)程所有者的用戶ID號(hào)PID：進(jìn)程的進(jìn)程IDPPID：父進(jìn)程的進(jìn)程ID第49頁，共53頁，2023年，2月20日，星期六#netstat–an查看網(wǎng)絡(luò)情況#nbtstat–aIP#find/-name“.*”-print–xdev找出所有隱含文件和目錄/從root目錄開始查找-name“.*”要查找的文件名，這里是首字為.的文件-pring顯示找到文件的全路徑名-xdev不要查找其他文件系統(tǒng)的目錄#find/-nouser–o–nogroup查找沒有屬主或沒有屬組的文件或目錄。-o就是or#grep#/usr/sbin/inetd–s/tmp/.x通過-s參數(shù)指定要讀取設(shè)定服務(wù)的文件，啟動(dòng)該設(shè)定文件所定義的服務(wù)。許多攻擊者都通過該命令為自己開放一個(gè)后門服務(wù)。常用UNIX命令第50頁，共53頁