《网络管理考试复习》PPT课件.ppt

网络管理技术复习,TCP/IP协议,四层模型：自下而上依次为网络接口层、网际层、传输层和应用层 TCP/IP网络允许同层协议实体之间相互作用，也允许上层过程直接调用不相邻的下层过程，甚至允许高层控制信息和数据信息分别传输。 右图是OSI模型与TCP/IP模型比较,TCP/IP的各层功能,网络接口层：定义了与物理网络的接口规范，负责收发IP数据包 网际层：实现不同主机间的通信，包括形成IP数据包和寻址 传输层：提供端到端的通信，包括TCP和UDP 应用层：支持应用服务，向用户提供常用的应用协议,IP协议,处于通信子网的最高层，提供无连接、不可靠的数据包传输功能，无流量控制和差错控制功能。,IP地址,每个 IP地址长 32 比特 即 4 个字节，其地址结构如下，网络号 + 主机号,网络管理的需求,以下几个原因使得简单地人工进行网络检测和 管理变得很困难： 网络规模增大 网络复杂性增大 网络的应用多样化,根本的解决方法： 研究和开发自动化的网络管理系统，采用先进的网络管理技术,网络管理的对象,所有的硬件资源和软件资源,网络管理系统（分层管理）,被管理资源可能与管理站处于不同系统中 资源的管理信息由代理进程控制 代理进程通过网络管理协议与管理站对话,网络管理系统 （续）,共同的特点 管理功能分为管理站（Manager）和代理（Agent）两个部分 为存储管理信息提供数据库支持 提供用户接口和用户视图 提供基本的管理操作,网络管理实体（NME）,概念：每个网络节点都包含的一组与管理有关的软件。 任务： 收集有关通信和网络活动方面的统计信息 测试本地设备，记录其状态信息 在本地存储有关信息 响应网络控制中心的请求，传送统计信息或设备状态信息 根据网络控制中心的指令，设置或改变网络参数,网络管理系统的配置（续）,网络中至少有一个结点担当管理站的角色。 管理站除了NME外还有一组网络管理应用（NMA）软件。 网络中的其他结点在NME的控制下与管理站通信，交换管理信息。 可以使用委托代理设备（Proxy）来管理一个或多个非标准设备。,委托代理,委托代理在这里起到了协议转换的作用，如图所示：,网络管理系统的逻辑模型,一个网络管理系统从逻辑上可以认为是由管理对象、 管理进程和管理协议三个部分组成的，管理信息库是管理 进程的一部分。,OSI系统管理框架,OSI把网络管理分为系统管理和层管理，前者包含所有七层管理对象，管理信息的交换采用端到端的可靠传输，后者只涉及某一层的管理对象，并利用下一层的管理协议传递信息。,OSI管理的功能域,在OSI管理标准中，将开放系统的管理功能划分为五个功能域： 配置管理 性能管理 故障管理 安全管理 记账管理,安全管理的主要功能,访问控制 安全警告 安全审计,子网掩码,一个32位的二进制值，用于从 IP地址中提取网络号，网络号全1，主机号全0。 随着子网掩码的不同，子网可以有不同的大小，容纳不同数量的主机。 因要去掉全0和全1地址及网关地址，从而降低了IP的利用率。,NAT（Network Address Translator）,NAT使用路由器或网关将数据包的信源和信宿的IP地址进行转换，从而隐藏内网机器真实的IP，可避免来自外网的直接攻击。 NAT一般在防火墙中完成，其方式有1对1、1对多、多对多方式。使用后两者可节约IP。,ICMP（Internet Control Message Protocol）报文协议,Internet控制消息协议ICMP是用于报告错误并代表IP对消息进行控制。ICMP协议针对IP包无法传输时提供一种报告机制，这种差错报告帮助了发送方了解为什么无法传递，网络发生了什么问题，确定应用程序后续操作。 ICMP可看成IP层的一部分，实际是把原来IP数据报的开头8B数据发送回信源主机进行数据报到达的确认。 常用的ping命令就是使用ICMP数据包检查网络状态。,ICMP协议（续）,ICMP的两级封装 每个ICMP报文放在IP数据报的数据部分中通过互联网传递，而IP数据报本身放在帧的数据部分中通过物理网络传递。,IP数据报首部,ICMP的前8 个字节,8字节,IP数据报 首部,8 字节,首部,ICMP差错报告报文,收到的IP数据报,ICMP差错报告报文,装入ICMP报文的IP数据报,ICMP协议（续）,ARP（Address Resolution Protocol）协议,ARP（地址解析协议）的作用就是查询IP地址所对应的MAC地址的协议 以太网设备以48位的MAC地址作为信源和信宿的地址。 地址解析协议ARP的作用是查询IP所对应的MAC地址的协议。 本地主机在自己的内存中维护一个ARP表，ARP表通过广播发送ARP消息实现。,ARP协议,源主机发送IP时，首先在ARP表中检索得到目的主机的MAC地址，然后由数据链路层实体把目标主机MAC地址装配到数据帧中发送出去。 目标主机收到数据帧后剥掉帧头的地址信息，将数据提交给网络层实体。 当源宿不在同一子网中时，源主机加入帧头的不是目标主机的MAC，而是路由器的MAC地址。,RARP（Reverse Address Resolution Protocol）协议,作用与ARP功能相反，是把MAC地址映射到IP地址。 主要用于IP地址动态分配的网络中。,TCP协议和UDP协议,传输层提供端到端的连接。含TCP和UDP协议。 使用端口来区分同一系统上同时存在的多个进程的数据包的收发。 端口号用16位二进制表示，共有65536个端口号。 端口号的分配有静态分配和动态分配两种。 一般对常用进程使用固定的端口号（通用端口号），即静态分配。通过关闭端口可以关闭某项服务。 动态分配每次分配临时的端口进行进程间的通信。,建立TCP连接,TCP连接建立是通过三次握手协议来实现,TCP Client,TCP Server,SYN,SYN+ACK,ACK,UDP（User Datagram Protocol）协议,用户数据报协议UDP是 无连接的传输层协议，提供不可靠的信息传送服务。 UDP因不建立连接效率较高，适用于发送少量数据的应用程序或应用程序保证可靠性的情况，如SNMP，DNS。,网络管理协议的发展,首先开始研究网络管理通信标准问题的是国际上最著名的国际标准化组织ISO，他们对网络管理的标准化工作始于1979年，主要针对OSI（开放系统互连）七层协议的传输环境而设计。 后来，Internet工程任务组（IETF）采用基于OSI的 CMIP协议作为Internet的管理协议，并对它作了修改，修改后的协议被称作CMOT(Common Management OverTCP/IP)。但由于CMOT迟迟未能出台，IETF决定把已有的SGMP(简单网关监控协议)进一步修改后，作为临时的解决方案。这个在SGMP基础上开发的解决方案就是著名的SNMP（简单网络管理协议），也称SNMPv1。,SNMP体系结构（续）,SNMP体系结构分为管理者和代理者。每个支持SNMP的网络设备都包含一个代理。此代理随时记录网络设备的各种情况。 对不支持TCP/IP的设备可以使用委托代理设备。一个委托代理设备可以管理若干非TCP/IP设备。,收集管理信息,从被管理设备中收集数据有两种方法：轮询和基于中断的方法 SNMP代理软件内嵌于网络设施中，不断的收集统计数据，并记录到管理信息库MIB中。网管员通过向代理的MIB发出查询信号可以得到这些信息，此过程叫轮询（polling-only）。 轮询的缺点在于信息的实时性。,FAT文件系统,FAT是File Allocation Table（文件分配表）的缩写，它是存储磁盘空间信息的结构。它存储了关于每个文件的信息，以便以后检索文件。FAT文件系统最初起源于DOS，并被用于DOS、所有的Windows版本、UNIX、LINUX和OS/2系统支持。因为其被广泛支持，所以它最大的优点是它的兼容性。它主要用于小型磁盘和简单文件结构的简单文件系统。,NTFS文件系统,NTFS是New Technology File System（NT文件系统）是缩写，它是Windows 2003 server 支持的第三种文件系统。Windows 2003 server所推荐使用的NTFS文件系统提供了FAT和FAT32文件系统所没有的、全面的性能，可靠性和兼容性。NTFS文件系统的设计目标就是用来在很大的硬盘上能够很快地执行诸如：读、写和搜索这样的标准文件操作，甚至包括像文件系统恢复这样的高级操作。,隐藏共享,为了使自己的共享文件夹不被别人看到，可创建隐藏共享。隐藏共享可由共享名后面的美元符号 ($) 看出。在计算机上查看共享或使用 net view 命令时，隐藏共享将不列出。如果想连接隐藏共享，就需要人工地连接到该共享。 根分区和卷共享后表示为驱动器号后面附加一个 $ 符号。例如，驱动器号 C 和 D 共享后表示为 C$ 和 D$。,隐藏系统管理共享,默认情况下，Windows 可以启用下列隐藏系统管理共享： 系统根文件夹 (%SYSTEMROOT%) 共享：表示为 ADMIN$。它是用户安装Windows 系统文件夹，管理员通过网络可以方便地访问到此系统根文件夹目录结构。 FAX$共享：供传真客户端发送传真使用。此共享文件夹缓存文件，并访问存储在文件服务器上的传真封面。 IPC$共享：用于通过使用命名管道在网络程序之间通信的客户机与服务器之间的临时连接。它主要用于远程管理网络服务器。 PRINT$共享：用于远程管理打印机。,删除隐藏共享,在【控制面板】中双击【管理工具】，然后双击【计算机管理】。 展开“共享文件夹”，然后单击“共享”。 在“共享文件夹”列中，右键单击您要删除的共享，单击“停止共享”，然后单击“确定”。 删除当前和以后会话的默认系统管理共享 要删除用于所有根分区和卷（如 C$）以及系统根文件夹 (ADMIN$) 的隐藏系统管理共享，并防止 Windows 重新创建它们，请将 AutoShareWks DWORD 值添加到下面的注册表项中，并将其数值数据设置为 0： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters,DNS域名解析的方法,当 DNS 客户机需要查询程序中使用的名称时，它会查询 DNS 服务器来解析该名称。DNS 查询以各种不同的方式进行解析。 客户机有时也可通过使用以前查询获得的缓存信息就地应答查询。 DNS 服务器可使用其自身的资源记录信息缓存来应答查询。 DNS 域名解析的方法主要有：递归查询法、叠代查询法和反向查询法。,递归查询法,如果 DNS 服务器无法解析出 DNS 客户机所要求查询的域名所对应的 IP地址时，DNS服务器代表 DNS 客户机来查询或联系其它 DNS 服务器， 以完全解析该名称，并将应答返回给客户机，这个过程称为递归查询法。 采用递归查询法进行解析，无论是否解析到服务器的 IP地址，都要求 DNS 服务器给予DNS 客户机一个明确的答复，要么成功要么失败。 DNS 服务器向其它 DNS 服务器转发请求域名的过程与 DNS 客户机无关， 是 DNS 服务器自己完成域名的转发过程。,叠代查询法,为了克服递归查询中所有的域名解析任务都落在 DNS 服务器上的缺点，可以想办法让DNS 客户机也承担一定的 DNS 域名解析工作，这就是叠代查询法。 采用叠代查询法解析时， DNS 服务器如果没有解析出 DNS 客户机的域名，就将可以查询的其它 DNS 服务器的 IP地址告诉 DNS 客户机， DNS 客户机再向其它 DNS 服务器发出域名解析请求，直到有明确的解析结果。 如果最后一台 DNS 服务器也无法解析，则返回失败信息。,反向查询,递归查询和叠代查询都是正向域名解析，即从域名查找 IP地址。 DNS 服务器还提供反向查询功能，即通过 IP地址查询域名。,DNS域名解析的过程,DNS 域名采用客户机服务器模式进行解析。客户机由网络应用软件和 DNS 客户机软件构成。DNS 服务器上有两部分资料，一部分是自己建立和维护的域名数据库，存储的是由本机解析的域名；另外一部分是为了节省转发域名的开销而设立的域名缓存，存储的是从其它 DNS 服 DNS 服务器解析的历史记录。,设置DNS客户端_使用nslookup查询DNS域名,1进行非互动查询 C:nslookup Server: IIS. Address: Name: Address: C:nslookup Server: IIS. Address: Name: Address: ,2进行互动查询 C:nslookup Default Server: IIS. address: Server: IIS. address: Name: F address: Server: IIS. address: Name: F address: ,流量监测原理,TCP/IP网络流量的采集方式包括网络监听（截获）方法和流量过滤统计方法。 以太网的最大特点是共享通信媒体，位于网络内的任意一台主机都可以监听到网络中传输的所有数据包。 以太局域网中所有位于网络内部的主机共享同一通信媒体，相互间通过竞争方式来进行通信。,以太网监听方法和数据处理流程图,基于路由器IP数据包统计的流量统计采集,网络计费系统,网络计费系统可细分成四个模块：服务事件监测、资费管理、服务管理和计费控制。 服务事件监测设施从管理信息流中过滤出与用户使用网络服务有关的事件，然后将这些事件存入用户账目日志以便用户查询，再把这些信息送资费管理模块核算和统计费用。,Web网络管理系统有两种基本的实现方法 1、代理方式 2、嵌入方式,基于Web的网络管理,Windows 2000 以应用程序日志、系统日志和安全日志三种日志方式记录事件。 在管理工具中选择“事件查看器”，可打开事件查看器窗口。,Windows2000 Server网络管理工具,1事件查看器概述,Windows2000 Server网络管理工具,事件查看器窗口如图所示。左边的窗口为控制台树，右边窗口显示记录的事件。,（1）错误 （2）警告 （3）信息 （4）成功审核 （5）失败审核,Windows2000 Server网络管理工具,事件查看器显示可以显示的事件类型有：,应用程序日志包含由应用程序或系统程序记录的事件。 系统日志包含 Windows 2000 的系统组件记录的事件。 安全日志可以记录安全事件，如有效的和无效的登录尝试，以及与创建、打开或删除文件等资源使用相关联的事件。 管理器可以指定在安全日志中记录什么事件。,Windows2000 Server网络管理工具,Windows2000 Server网络管理工具,1帐户策略,帐户策略设置密码策略和帐户锁定策略。,2本地策略,本地策略包括审核策略、用户权利指派、安全策略设置。,IP策略控制保证通讯安全的方式和时间。每个规则均包含筛选器列表和一组安全措施，这些措施与该列表匹配后进行。 在右边策略列表中双击某个策略，可以打开属性设置对话框。,Windows2000 Server网络管理工具,4IP策略,Windows2000 Server网络管理工具,(1),(2),修改IP筛选器属性,网络安全的定义,网络安全不仅是技术，还涉及人的心理、社会环境以及法律等多方面的内容。 计算计网络安全指网络系统中硬件、软件和各种数据的安全，有效防止各种资源不被有意或无意的破坏、被非法使用。 网络安全的目标是保证网络中的信息安全 数据的完整性 系统的保密性 数据的可获性 信息的不可抵赖性 信息的可信任性,网络安全的评估,并非安全性越高越好 美国国防部 可信计算机系统评估准则 D1 C1 C2 B1 B2 B3 A1 D1 无安全限度 C1 最低安全限度 C2 基本保护能力 Win2k/NT，Netware，Unix B1/B2 中等安全保护 B3/A1 最高安全等级 计算机信息系统安全保护等级划分准则（GB17859-1999） 五级 1 用户自主保护级 2 系统审计保护级 3 安全标记保护级 4 结构化保护级 5 访问验证保护级,网络安全的主要威胁,威胁数据完整性的主要因素 人员因素 灾难因素 逻辑问题 硬件故障 网络故障,网络安全的主要威胁-2,威胁数据保密性的主要因素 直接威胁 线缆链接 身份鉴别 编程 系统漏洞,网络安全保障体系,包括物理安全、网络安全、信息安全 物理安全系统安全的前提 环境安全 设备安全 媒体安全,网络安全保障体系-2,网络安全 内外网隔离及访问控制系统 内部网中不同网络安全域的隔离及访问控制 网络安全检测 审计与监控 网络反病毒 网络备份系统,数据备份,三种备份操作 全盘备份 增量备份 差异备份 存储媒介和技术 冷备份 热备份,数据备份,完全备份 备份全部选中的文件夹，并不依赖文件的存档属性来确定备份那些文件。 （ 在备份过程中，任何现有的标记都被清除，每个文件都被标记为已备份，换言之，清除存档属性）。,数据备份,差异备份 差异备份是针对完全备份：备份上一次的完全备份后发生变化的所有文件。 （差异备份过程中，只备份有标记的那些选中的文件和文件夹。它不清除标记，既：备份后不标记为已备份文件，换言之，不清除存档属性）。,数据备份,增量备份 增量备份是针对于上一次备份（无论是哪种备份）：备份上一次备份后，所有发生变化的文件。 （增量备份过程中，只备份有标记的选中的文件和文件夹，它清除标记，既：备份后标记文件，换言之，清除存档属性。）,数据备份,不同备份类型组合的示例 完全备份和差异备份 在星期一进行完全备份，在星期二至星期五进行差异备份。如果在星期五数据被破坏了，则你只需要还原星期一完全的备份和星期四的差异备份。这种策略备份数据需要较多的时间，但还原数据使用较少的时间。 完全备份和增量备份 在星期一进行完全备份，在星期二至星期五进行增量备份。如果在星期五数据被破坏了，则你需要还原星期一正常的备份和从星期二至星期五的所有增量备份。这种策略备份数据需要较少的时间，但还原数据使用较多的时间。,数据传输安全系统,数据传输加密技术是对传输中的数据流加密，以防止通信线路上的窃听、泄露、篡改和破坏。 依加密实现的通信层次分，有链路加密（OSI网络层以下的加密）、节点加密、端到端加密（传输前对文件加密，位于OSI网络层以上的加密）三种。 常用：链路加密和端到端加密。,拒绝服务攻击,一个用户占据了大量的共享资源，使系统没有剩余的资源给其他用户再提供服务的一种攻击方式称为拒绝服务攻击。 拒绝服务的类型 使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。 过载一些系统服务或者消耗一些资源,拒绝服务攻击的方式,IP欺骗DoS攻击 带宽DoS攻击 自身消耗的DoS攻击 利用服务漏洞 日志DoS 发送垃圾函件 塞满硬盘 合理利用策略,分布式拒绝服务攻击,DDOS( Distributed Denial Of Service Attacks)攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的， DDoS就是利用更多的傀儡机来发起进攻。,分布式拒绝攻击示例图,被DDoS攻击时的现象,被攻击主机上有大量等待的TCP连接 网络中充斥着大量的无用的数据包，源地址为假 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求严重时会造成系统死机,分布式拒绝服务攻击的防范,确保服务器的系统文件是最新的版本，并及时更新系统补丁。 关闭不必要的服务。 限制同时打开的SYN半连接数目。 缩短SYN半连接的time out 时间。 正确设置防火墙 禁止对主机的非开放服务的访问 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问 运行端口映射程序祸端口扫描程序，要认真检查特权端口和非特权端口。,分布式拒绝服务攻击的防范,认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更，那这台机器就可能遭到了攻击。 限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会，主机的信息暴露给黑客，无疑是给了对方入侵的机会。 路由器 访问控制列表(ACL)过滤 设置SYN数据包流量速率 升级版本过低的ISO 为路由器建立log server,基本概念,缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。 理想的情况是程序检查数据长度，并不允许输入超过缓冲区长度的字符，但是绝大多数程序都会假设数据长度总是与所分配的储存空间想匹配，这就为缓冲区溢出埋下隐患。 操作系统所使用的缓冲区又被称为“堆栈”，在各个操作进程之间，指令会被临时储存在“堆栈”当中，“堆栈“也会出现缓冲区溢出 。,危害,缓冲区溢出中，最为危险的是堆栈溢出，因为入侵者可以利用堆栈溢出，在函数返回时改变返回程序的地址，让其跳转到任意地址，带来的危害一种是程序崩溃导致拒绝服务，另外一种就是跳转并且执行一段恶意代码，比如得到shell，然后为所欲为。,缓冲区溢出的原理,通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。,缓冲区溢出的原理,向一个有限空间的缓冲区中拷贝了过长的字符串，带来了两种后果，一是过长的字符串覆盖了相临的存储单元而造成程序瘫痪，甚至造成宕机、系统或进程重启等；二是利用漏洞可以让攻击者运行恶意代码，执行任意指令，甚至获得超级权限等。,缓冲区溢出的漏洞和攻击,缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序的功能，这样可以使得攻击者取得程序的控制权。为了达到这个目的，攻击者必须达到如下的两个目标： 在程序的地址空间里安排适当的代码。 通过适当的初始化寄存器和内存，让程序跳转到入侵者安排的地址空间执行。,目标一的完成方法,1、植入法： 攻击者向被攻击的程序输入一个字符串，程序会把这个字符串放到缓冲区里。这个字符串包含的资料是可以在这个被攻击的硬件平台上运行的指令序列。在这里，攻击者用被攻击程序的缓冲区来存放攻击代码。缓冲区可以设在任何地方：堆栈（stack，自动变量）、堆（heap，动态分配的内存区）和静态资料区。 2、利用已经存在的代码： 攻击者想要的代码已经在被攻击的程序中了，攻击者所要做的只是对代码传递一些参数。,目标二的完成方法,1、活动纪录（Activation Records）： 每当一个函数调用发生时，调用者会在堆栈中留下一个活动纪录，它包含了函数结束时返回的地址。攻击者通过溢出堆栈中的自动变量，使返回地址指向攻击代码。通过改变程序的返回地址，当函数调用结束时，程序就跳转到攻击者设定的地址，而不是原先的地址。,目标二的完成方法（续）,2、函数指针（Function Pointers）： 函数指针可以用来定位任何地址空间。 3、长跳转缓冲区（Longjmp buffers）： 在C语言中包含了一个简单的检验/恢复系统，称为setjmp/longjmp。意思是在检验点设定“setjmp(buffer)”，用“longjmp(buffer)”来恢复检验点。,缓冲区溢出的防范,正确的编写代码 非执行的缓冲区 检查数组边界 程序指针完整性检查,网络监听,局域网采用广播方式，黑客在某个广播域中任何地方可以监听到所有的信息包并进行分析就能获取局域网上传输的重要信息。 网络监听很难被发现和检测。 监听程序通常会将监听到的包存放在文件中供以后分析。,网络监听的发现和防范,发现 用正确的IP地址和错误的MAC地址ping，查看其是否有反应。 使用反监听工具，如antisniffer 工作原理：发送一个目的地址为：FF-FF-FF-FF-FF-FE（系统会认为属于广播地址）的ARP请求，对于普通模式（广播等）的网卡，这个地址不是广播地址，就会直接抛弃，而如果处于混杂模式，那么ARP请求就会被系统核心当作广播地址处理，然后提交给sniffer程序。系统核心就会应答这个ARP请求。,防范口令攻击,防范口令攻击最根本的方法是用户做好保护口令的工作 不建议使用的口令 口令和用户名相同 口令和用户名中的某几个邻近的数字或字母 口令为连续或相同的数字或字母 将用户名颠倒或加前后缀作为口令 使用姓氏的拼音或单位名称的缩写作为口令 使用自己或亲友的生日作为口令 使用常用英文单词作为口令 口令长度小于6位,计算机病毒概述,病毒的状态 潜伏状态 传播过程 被激活并进入执行状态 病毒的种类 文件类型的病毒：依附于一个可执行文件中 引导型病毒 驻留内存的病毒 多态病毒：病毒在传播过程中会发生一些变化 宏病毒 & 脚本病毒：依附于一个文档 ,蠕虫病毒与木马的区别,蠕虫病毒是一种通过网络传播的恶性病毒，它除具有病毒的一些共性外，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及与黑客技术相结合等等。 完整的木马病毒程序一般由两个部分组成，一个是服务器程序，一个是控制程序，被病毒感染的计算机会自动运行服务器程序。,蠕虫病毒与木马的区别（续）,蠕虫病毒常见的传播方式有2种： 1.利用系统漏洞传播蠕虫病毒利用计算机系统的设计缺陷，通过网络主动的将自己扩散出去。 2.利用电子邮件传播蠕虫病毒将自己隐藏在电子邮件中，随电子邮件扩散到整个网络中，这也是是个人计算机被感染的主要途径。 木马程序通常通过伪装自己的方式进行传播，常见的伪装方式有： 伪装成小程序，通常会起一个很诱人的的名字,数据加密技术,信息加密是保障信息安全的最基本、最核心的技术措施和理论基础。 信息加密过程由形形色色的加密算法实施。 按照收发双方密钥是否相同，可以将加密算法分为常规密码算法和公钥密码算法。 按照每次加密所处理的比特数，可以将加密算法分为序列密码和分组密码。,数据加密算法-DES,DES算法，常规密码 DES采用了散布、混乱等基本技巧，构成算法的基本单元是置换、代替和模2加。 算法结构公开，安全性由密钥保证 加密速度快，可用硬件芯片实现，适合于大量数据加密。,非对称加密算法-RSA,公钥密码中收发双方使用的密钥互不相同，且几乎不可能相互推导。 RSA算法基于数论事实：将两个大素数相乘十分容易，但是想分解它们的乘积却极端困难。 RSA的优点是不需要密钥分配，但缺点是速度慢。 实际应用中可将常规密码和公钥密码结合使用。,公钥体制模型,访问控制技术,访问控制技术是通过不同的手段和策略来实现对网络信息系统的访问控制，其目的是保护网络资源不被非法使用和访问。 访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出的资源访问请求加以控制。,防火墙技术,防火墙是网络系统安全保护中最常用的技术。 防火墙系统是一种网络安全部件，可以是硬件，也可能是软件和硬件的集合。 防火墙处于被保护网络和其他网络的边界，接受进出被保护网络的数据包，并根据防火墙所配置的访问控制策略进行过滤或做出其他操作。,防火墙的种类,按照防火墙对内外来往数据的处理方法，可以将防火墙分为两大体系：包过滤防火墙和代理防火墙（应用层网关防火墙）。 包过滤防火墙的主要功能是接受被保护网络和外部网络之间的数据包，根据防火墙的访问控制策略对数据包进行过滤，只准许授权的数据包通过。,防火墙的种类,包过滤准则包括两部分：执行动作和选择准则。 选择准则包括数据包的源、目的地址，源、目的端口、协议和输出方向等。 应用层网关位于TCP/IP的应用层，实现对用户身份的认证，接受被保护网络和外部网络之间的数据流并对之进行检查。 应用层网关通常由代理服务器实现。,防火墙的种类,内部网络用户通过代理服务器访问Internet网络服务时，首先登录到代理服务器，代理服务器对该用户进行身份验证检查，如果验证通过，则用户可以使用网络服务。 对不同的Internet服务有相应的代理服务器。 Socks服务器也是一种应用层网关。,安全扫描策略,两种扫描策略：被动式，主动式 被动式是基于主机之上， 对系统中不合适的设置、脆弱的口令以及其他同安全规则抵触的对象进行检查 主动式是基于网络的，通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。 前者称为系统安全扫描，后者称为网络安全扫描。,安全扫描的发展趋势,使用插件技术（Plugin，或叫做功能模块技术） 使用专用脚本语言 由安全扫描程序到安全评估专家系统,入侵检测系统,进行入侵检测的软件与硬件的组合就是入侵检测系统 入侵检测系统执行的主要任务： 监视、分析用户及系统活动 审计系统构造和弱点 识别、反映已知进攻的活动模式，向相关人士报警 统计分析异常行为模式 评估重要系统和数据文件的完整性 审计、跟踪管理操作系统，识别用户违反安全策略的行为,入侵检测步骤,一般分为3个步骤 信息收集 数据分析 响应（被动响应和主动响应） 信息收集的内容包括系统、网络及用户活动的状态和行为 数据分析是入侵检测的核心，一般通过模式匹配，统计分析和完整性分析3种手段进行 入侵检测系统在发现入侵后会及时做出响应，包括切断网络连接，记录事件和报警等。,入侵检测系统技术,入侵检测系统技术采用概率统计方法、专家系统、神经网络、模式匹配、行为分析等来实现入侵检测系统的检测机制，以分析事件的审计记录、识别特定的模式、生成检测报告和最终的分析结果。 入侵检测一般采用如下技术： 异常发现技术 模式发现技术,黑客诱骗技术,通过一个由网络安全专家精心设置的特殊系统来引诱黑客，并对黑客进行跟踪和记录。又称为蜜罐(Honeypot)系统。 利用蜜罐技术可以收集黑客在目标系统中的行为，如攻击手段，攻击目的，攻击水平，黑客的活动范围和下一步将要攻击的目标等，进而获取用来加强系统的保护的信息。,VPN,虚拟专用网VPN是指在公共网络基础设施特别是Internet上建成的专用数据通信网络。数据通过安全的加密隧道在公共网络中传播从而保证通信的保密性。 VPN与一般网络互联的关键区别在于用户的数据通过网络服务商在公共网络中建立逻辑隧道进行传输，数据报经过加密后，按隧道协议进行封装、传送，并通过相应的认证技术来实现网络数据的专有性。,4.1 Windows2000的网络工具命令,4.1.1 ping ping是最常用的测试工具，用来检测本地主机的TCP/IP配置以及与另一台主机的连通状态。 （1）命令格式是： ping -t -a -n count -l size -f -i TTL-r count -j host-list -k host-list-w timeout 目标主机 目的地址可以IP地址或是主机的名字、域名。,常用选项 ping IP t 连续对IP地址执行Ping命令，直到被用户以Ctrl+C中断。 ping IP -l 3000 指定Ping命令中的数据长度为3000字节，而不是缺省的32字节。 ping IP n 执行特定次数的Ping命令。,（2）测试结果 使用ping命令测试目标主机，连接正常时，显示结果如下： C：WINDOWSping 2 Pinging 2 with 32 bytes of data:,Reply from 2: bytes=32 time=26ms TTL=244 Reply from 2: bytes=32 time=27ms TTL=244 Reply from 2: bytes=32 time=27ms TTL=244 Reply from 2: bytes=32 time=26ms TTL=244 Ping statistics for 2: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 26ms, Maximum = 27ms, Average = 26ms,4.1 Windows2000的网络工具命令,输出结果 返回数据包的主机ip地址（ 2 ） 数据包的大小 发送回送请求到返回回送应答之间的时间量 返回包的ttl值 （可用来判断操作系统） 默认情况下，Linux系统的TTL值为64或255，Windows NT/2000/XP系统的TTL值为128，Windows 98系统的TTL值为32，UNIX主机的TTL值为255。 相关的统计信息,4.1 Windows2000的网络工具命令,（3）ping命令的使用 使用ping命令可以测试网络各种连通和配置情况。以下是常用的检测内容： ping 或localhoat： ping 本机IP地址或本机计算机名： ping 网络中的其它计算机名或IP地址： ping 网关IP地址： ping 远程IP： ping 域名：,4.1 Windows2000的网络工具命令,4.1.2 tracert tracert通过向目标主机发送不同TTL值的数据包，跟踪从本地计算机到目标主机之间的路由，显示所经过的网关的IP地址和主机名。命令格式为： tracert -d -h maximum_hops -j host-list -w timeout 目标主机 tracert可以检测某个主机不能连通时，在路由哪个环节出现了问题。,常用命令选项 -d：不把域名反向解析为主机名 -h maximum_hops：设置显示到达目标主机的最大节点数，默认为30 -j hope-list：指定路由列表 -w timeout：设置每个数据包发出后最长等待时间,tracert示例,4.1 Windows2000的网络工具命令,4.1.3 netstat netstat命令的功能是显示网络连接、路由表和网络端口信息，可以让用户得知目前都有哪些网络连接正在运作。检查系统是否有非法连接以及利用系统漏洞的病毒或木马程序时常用此命令。,4.1 Windows2000的网络工具命令,常用选项 netstat a 该选项显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），也包括监听连接请求（LISTENING）的那些连接。 netstat e 本选项用于显示关于以太网的统计数据。这些统计数据既有发送的数据报数量，也有接收的数据报数量。 netstat n 显示所有已建立的有效连接。,netstat o 显示核心路由，同route e netstat p proto 显示tcp的连接情况 netstat s 该选项能够按照各个协议分别显示其统计数据。 netstat r 该选项可以显示关于路由表的信息，类似于后面所讲使用route print命令时看到的信息。,netstat示例,4.1 Windows2000的网络工具命令,4.1.4 ipconfig和winipcfg 1、ipconfig ipconfig可以查看和修改网络中的TCP/IP协议的有关配置，如IP地址、子卡掩码、网关、网卡的MAC地址等。命令格式是 ipconfig 参数1 参数2,常用参数 all：显示与TCP/IP协议的细节，如主机名，节点类型，网卡的物理地址，默认网关等。 Batch 文本文件名：将测试的结果存入指定的文本文件名中。,ipconfig示例,路由器原理,1、路由表 路由器通过把数据包中的目的IP地址同它的内部表格登记项比较，做出交换决策。这个表格就是路由表。 我们举个例子来了解路由表是怎样工作的。,路由器基本配置,路由表的生成方法及配置,图5.4 静态路由环境示例,静态路由表是系统管理员事先固定设置好的路由表，称之为静态(Static)路由表,路由表的生成方法及配置,2.动态路由表和动态路由表的生成方法 动态(Dynamic)路由表是路由器根据网络系统的运行情况而自动调整的路由表。,内部路由协议和外部路由协议,路由表的生成方法及配置,为了解决路由环路的问题，距离向量路由协议必须采取措施来阻止这种循环。 （1）定义一个最大值（Maximum Hop Count） （2）水平分割（Split Horizon） （3）路由中毒（Route Poisoning） （4）保持定时器（Hold-Down Timers） （5）触发更新（Triggered Updates）,路由表的生成方法及配置,交换机的管理,交换机的工作原理,1、交换机的功能 交换机(Switch)是工作在OSI参考模型的第二层数据链路层上的网络设备，它使用的地址是MAC地址。主要有三个功能：地址学习、环路避免和转发/过滤决定。,5.2.1 交换机的工作原理,交 换 机 网 络 环 境 示 例,5.2.1 交换机的工作原理,2、交换机的冗余拓扑问题 在一些关键网络中，为了降低网络失败的风险，通常会采用冗余拓扑的形式。但是容易造成以下这些问题： （1）广播风暴 （2）多帧拷贝 （3）MAC地址表不稳定,交换机的工作原理,复杂的拓扑结构很容易产生多重环路，如图5.11所示。而二层设备没有阻止环路的机制。那么，我们只有需要一种协议，来解决环路问题。 3、生成树协议（STP，Spanning-Tree Protocol） 生成树协议的目的是通过把特定的端口设置为阻塞(Blocking)状态，来避免交换环路。这就是交换机的第二个重要功能环路避免。,交换机的工作原理,复 杂 拓 扑 结 构 示 例,交换机的工作原理,生成树协议的操作步骤： （1）选择根桥(Root Bridge) （2）对每一个非根桥（Nonroot bridge）选择一个根端口（Root port） （3）每个段选举一个指派端口（Designated port）,5.2.1 交换机的工作原理,生 成 树 协 议 示 例,交换机端口状态的变化过程是这样的： 阻塞侦听学习转发,5.2.1 交换机的工作原理,5、交换机的交换方式 （1）直通(Cut-through) 交换机检查目标地址后立即转发 （2）存储转发(Store and forward) 收到完整的帧后，并校验无误后转发,（3）碎片避免(Fragment free，modified cut-through) 先检查前64B，无误后转发。因为在10M网中，冲突一般发生在前64B，一般由于交换机与集线器的连接中。,Vlan的概念,局域网（LAN）通常被定义为一个单独的广播域，主要使用Hub，网桥，或交换机等网