网络安全技术与实训（第5版）全套教学课件

第1章网络安全基础《网络安全技术与实训》（微课版）（第5版）

第1章网络安全基础.pptx第2章网络攻击与防护.pptx第3章Linux服务的攻击与防护.pptx第4章拒绝服务与数据库安全.pptx第5章计算机病毒与木马.pptx第6章安全防护与入侵检测.pptx第7章加密技术与虚拟专用网络.pptx第8章防火墙.pptx第9章无线局域网安全.pptx全套可编辑PPT课件课程引入-案例-永恒之蓝永恒之蓝（EternalBlue）爆发于2017年4月14日晚，是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限，以此来控制被入侵的计算机。甚至于2017年5月12日晚20时左右，不法分子通过改造“永恒之蓝”制作的wannacry勒索病毒，使全世界大范围内遭受了大规模蠕虫勒索软件感染事件，用户只要开机上网就可被攻击。五个小时内，包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件，这场攻击甚至造成了国内大量教学系统瘫痪，包括校园一卡通系统。不过在该病毒出来不久就被微软通过打补丁修复。“永恒之蓝”安全事件网络为我们的网上学习、娱乐活动、网上交流、网上购物、网络资源使用等提供了极大的便利。但我们也同时看到，网络使用是一把双刃剑，很多同学在网络交友、网络购物、网络游戏等中误入歧途，有的网上交友不慎感情受伤甚至人身受到伤害、有的沉迷游戏荒废学业不得不退学、有的网络购物被骗遭受经济损失的等等，可以说，网络在给学生们呈现一幅美好画面的同时，背后也波涛汹涌遍布暗礁。课程引入-为什么研究网络安全课程引入-为什么研究网络安全当前，我国在智慧城市、人工智能、云计算、大数据、工业互联网、5G等互联网领域的技术日新月异，而面对的网络攻击、网络窃密、网络诈骗等网络威胁的花样也不断翻新。随着网络安全风险和挑战日益突出，在推进互联网行业创新的同时，进一步筑牢网络安全“防火墙”显得尤为重要。课程简介-《网络安全技术与实训》

本课程从计算机网络安全基础入手，围绕网络安全的定义、模型以及网络安全等级保护的相关标准，总结了当前流行的高危漏洞、攻击手段以及解决方案，从攻击到防护，从原理到实战，由浅入深、循序渐进地介绍了网络安全体系相关内容。网络安全防护课程主要内容-《网络安全技术与实训》第5章计算机病毒与木马第6章安全防护与入侵检测第7章加密技术与虚拟专用网络第8章防火墙第1章网络安全基础第2章网络攻击与防范第3章Linux服务的攻击与防护第4章拒绝服务与数据库安全第9章无线局域网安全第1章网络安全基础01学习要点（思政要点）掌握网络安全的概念及安全模型（没有网络安全就没有国家安全）掌握安全服务及安全标准了解我国网络安全相关的法律法规（知法懂法）了解我国计算机网络安全等级标准（知法懂法）了解常见的安全威胁和攻击（安全意识） 了解网络安全的现状与发展趋势（个人担当）33第1章网络安全基础常见的安全威胁与攻击1.3网络安全的现状和发展趋势31.4网络安全概念1.2网络安全概述1.11.1网络安全概述信息技术的广泛应用和网络空间的兴起、发展，极大地促进了经济社会的繁荣进步，同时也带来了新的安全风险和挑战。网络安全事关人类共同利益，事关世界和平与发展，事关各国国家安全。没有网络安全就没有国家安全,就没有经济社会稳定运行，广大人民群众利益也难以得到保障。

——2018年4月20日至21日，习近平在全国网络安全和信息化工作会议上发表讲话《中共中央关于制定国民经济和社会发展第十四个五年规划和二0三五年远景目标的建议》正式发布，提出保障国家数据安全，加强个人信息保护，全面加强网络安全保障体系和能力建设，维护水利、电力、供水、油气、交通、通信、网络、金融等重要基础设施安全。1.1网络安全概述1.1网络安全概述《中华人民共和国网络安全法》由全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，是依法治网、化解网络风险的法律重器，为网络安全工作提供切实法律保障。2019年5月，网络安全等级保护制度2.0相关标准正式发布。2019年11月，国家互联网信息办公室等四部门联合发布了《App违法违规收集使用个人信息行为认定方法》。相关法律法规1.1网络安全概述--《网络安全法》六大亮点1.1网络安全概述--《网络安全法》立法目的明确了部门、企业、社会组织和个人的权利、义务和责任；规定了国家网络安全工作的基本原则、主要任务和重大指导思想、理念；将成熟的政策规定和措施上升为法律，为网络安全工作提供了法律依据，体现了依法行政、依法治国要求。在中华人民共和国境内建设

、运营维护和使用网络，以及网络安全的监督管理，适用本法。适

用管

辖1.1网络安全概述--《网络安全法》《网络安全法》法

律体

系《网络安全法》构成我国网络空间安全管理的基本法律，与《国家安全法》、《反恐怖主义法》、《刑法》、《保密法》、《治安管理处罚法》、《关于加强保护的决定》、《关于维护互联网安全的决定》、《计算机信息系统安全保护条例》、《互联网信息服务管理办法》等现行法律法规共同构成中国关于网络安全管理的法律体系。网络安全法的要求--网络运营者网络运营者是指网络的所有者、管理者和网络服务提供者，包括有对外提供服务网站的普通企业。处罚：罚款+停业整顿+刑事责任1.1网络安全概述--《网络安全法》网络安全法的要求--网络运营者遵守法律、行政法规，履行网络安全保护义务接受政府和社会的监督，承担社会责任保障网络安全、稳定运行、维护网络数据的完整性、保密性、可用性及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险不得泄露、篡改、毁损其收集的个人信息，并确保安全；履行等保制度应急预案、主动向主管部门报告1.1网络安全概述--《网络安全法》网络安全法的要求——关键基础信息设施保护关键信息基础设施涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域处罚高额罚款+停业整顿+刑事责任1.1网络安全概述--《网络安全法》网络安全法的要求——关键基础信息设施保护保密要求境内存储检测评估安全建设要求安全保护安全审查业务运行稳定可靠，安全技术措施同步规划、同步建设、同步使用明确责任人；安全教育、培训、考核；容灾备份；应急预案、定期演练采购网络产品和服务，应当通过国家安全审查签订安全保密协议个人信息和重要数据应当在境内存储每年至少进行一次检测评估，报送检测评估情况和改进措施1.1网络安全概述--《网络安全法》网络安全法要求——网络安全等级保护制度制定内部安全管理制度和操作规程，落实安全保护责任明确责任人防范计算机病毒和网络攻击、网络侵入等采取防范保护措施A法律、行政法规规定的其他义务其他法律义务采取监测、记录网络运行状态、网络安全事件的技术措施；按照规定留存相关网络日志不少于六个月监测、记录并保留日志数据分类、重要数据备份和加密等措施数据分类、备份和加密1.1网络安全概述--《网络安全法》网络安全法的要求——个人信息保护合法、合规、必要目的明确、知情收集接受更正保护严格保密建立用户信息保护制度个人信息有误，公民有权要求更正、删除1.1网络安全概述--《网络安全法》网络安全法要求——监测、预警、处置处置预警监测网络监控情报收集上报披露提前预警通报应急处置方案快速响应1.1网络安全概述--《网络安全法》网络安全法的要求——个人信息保护保护严格保密建立用户信息保护制度收集合法、合规、必要目的明确、知情接受更正个人信息有误，公民有权要求更正、删除1.1网络安全概述--《网络安全法》网络安全法的要求--面向网络产品和服务提供者网络产品和服务提供者即网络产品厂商比如思科、华为、深信服等。可要求网络产品和服务符合相关国家标准的强制性要求不得设置恶性程序，及时告知安全缺陷、漏洞等风险持续提供安全维护服务，不得自行终止要求网络关键设备和网络安全专用设备应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合规或者安全检测符合要求后，方可销售或者提供1.1网络安全概述--《网络安全法》《网络安全法》执法案例1（案例来源：/a/167329934_784435）1.1网络安全概述--《网络安全法》XX县教师进修学校网站因网络安全防等级保护制度落实不到位，遭黑客攻击入侵。XX市公安局网安支队调查案件时发现，该网站自上线运行以来，始终未进行网络安全等级保护的定级备案、等级测评等工作，未落实网络安全等级保护制度，未履行网络安全保护义务。根据《网络安全法》第五十六条之规定，省公安厅网络安全保卫总队约谈XX县教师进修学校法定代表人、XX县人民政府分管副县长。XX市局网安支队依法对网络运营单位怀远县教师进修学校处以一万五千元罚款，对负有直接责任的副校长处以五千元罚款。执法机构：省公安厅网络安全保卫总队；市局网安支队处罚行为：网站因网络安全防等级保护制度落实不到位，遭黑客攻击入侵。处罚措施：约谈该县教师进修学校法定代表人、县人民政府分管副县长；对网络运营单位怀远县教师进修学校处以15000元罚款，对负有直接责任的副校长处以5000元罚款。法律依据：《网络安全法》第21条、56条、第59条第1款。《网络安全法》执法案例2（案例来源：/a/cio/2017/1013/2126.html）1.1网络安全概述--《网络安全法》XX职业技术学院系统存在高危漏洞，系统存储的4000余名学生身份信息已经造成泄露。经查，确认学院招生信息管理系统存在越权漏洞，后台登录密码弱口令，学院未落实网络安全管理制度，未建立网络安全防护技术措施、网络日志留存少于六个月，未采取数据分类、重要数据备份和加密措施，致使系统存储的4353名学生的身份信息泄露。关于XX职业技术学院未落实网络安全等级保护制度，导致4000余名学生身份信息泄露一事，市公安局网安支队依法对该学院处以立即整改和行政警告的处罚措施。执法机构：市公安局网安支队处罚行为：系统存在越权漏洞，后台密码弱口令，未落实网络安全管理制度，未建立网络安全防护技术措施、网络日志留存少于六个月，未采取数据分类、重要数据备份和加密措施，致使系统存储的多名学生身份信息泄露。处罚措施：责令整改，警告。法律依据：《网络安全法》第21条、第59条第1款。1.1网络安全概述1.1网络安全概述2020年我国软硬件漏洞收录数2020年我国安全类产品漏洞数33第1章网络安全基础常见的安全威胁与攻击1.3网络安全的现状和发展趋势31.4网络安全概念1.2网络安全概述1.11.2网络安全概念国际标准化组织（ISO）7498-2安全体系结构文献定义：安全就是最小化资产和资源的漏洞。资产可以指任何事物。漏洞是指任何可以造成系统或信息被破坏的弱点。安全技术业务安全网络安全主机安全物理环境安全安全管理符合性业务连续性系统开发访问控制运维管理环境人员组织资产健康检查和需求调研评估分析规划设计安全实施运维保障安全工程国际标准化组织（ISO）7498-2安全体系结构1.2网络安全概念网络安全是指网络系统的硬件、软件及系统中的数据受到保护，不受偶然的或者恶意的因素影响而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。网络安全定义1.2网络安全概念1软件安全如保护网络系统不被非法侵入，软件不被非法篡改，网络不受病毒侵害等。2网络实体安全如计算机硬件、附属设备及网络传输线路的安装及配置。3数据安全保护数据不被非法存取，确保其完整性、一致性、机密性等。网络安全的内容4安全管理运行时突发事件的安全处理等，包括采取计算机安全技术、建立安全制度、进行风险分析等

。1.2网络安全概念机密性完整性可控性可审查性网络安全的基本要素确保信息不泄露给未授权的用户、实体。信息在存储或传输过程中保持不被修改、不被破坏和不会丢失。对出现的安全问题能提供调查的依据和手段。对信息的传播及内容具有控制能力。12453可用性得到授权的实体可获得服务，攻击者不能占用所有的资源而阻碍授权者的工作。1.2.1安全模型1.2.2安全体系1.2.3安全标准1.2.4安全目标1.2网络安全概念1.2.1安全模型1.2网络安全概念1.2.1安全模型

通信双方想要传递某个信息，需建立一个逻辑上的信息通道。通信主体可以采取适当的安全机制，包括以下两个部分：1对被传送的信息进行与安全相关的转换，包括对消息的加密和认证。

2两个通信主体共享不希望对手知道的秘密信息，如密钥等。1.2.1安全模型1.2.1安全模型--P2DR安全模型一策略三检测二防护四响应1.2.1安全模型--P2DR安全模型一策略三检测二防护四响应网络安全防护（如防火墙）信息安全防护（如加密机）系统安全保护（如杀毒软件）1.2.1安全模型--P2DR安全模型一策略三检测二防护四响应隐患扫描入侵检测检测主要针对系统自身的脆弱性及外部威胁1.2.1安全模型--P2DR安全模型一策略三检测二防护四响应响应就是在检测到安全漏洞或一个攻击（入侵）事件之后，及时采取有效的处理措施1.2.1安全模型—PDRR安全模型访问控制机制Ddetection入侵检测Recovery安全恢复备份与恢复机制Response安全响应Proteetion安全保护入侵检测安全响应机制安全模型PDRRPDRR1.2.1安全模型—MPDRR安全模型安全模型MPDRRPProteetion安全保护DDdetection入侵检测MManagement安全管理Recovery安全恢复RResponse安全响应R访问控制机制安全管理机制备份与恢复机制入侵检测安全响应机制1.2.1安全模型—MPDRR安全模型1.2.2安全体系1.2网络安全概念1.2.2安全体系1989年制定的ISO/IEC7498-2给出了ISO/OSI参考模型的安全体系结构。在开放系统互联（OSI）参考模型中增设了安全服务、安全机制和安全管理，并给出了OSI网络层次、安全服务和安全机制之间的逻辑关系，定义了5大类安全服务，提供这些服务的8大类安全机制和相应的与开放系统互联的安全管理。网络安全三维模型1.2.2安全体系依照确定的安全体系，决定付出多大的安全代价来实现根据实际的安全需求，确定要建立一个什么样的安全体系根据具体的安全风险，提出相应的安全需求分析具体的网络，了解网络系统中潜在的安全风险安全代价安全体系安全需求安全威胁安全现状计算机网络系统的安全体系1.2.2安全体系-5种安全服务01鉴别服务04数据保密性服务05抗抵赖性服务02访问控制服务03数据完整性服务鉴别服务目的在于保证信息的可靠性用于确定一个用户或服务可以用到什么样的系统资源，对资源的操作权限是仅查看还是包括修改。指网络信息未经授权不能进行修改的特性，它要求保持信息的原样，即信息的正确生成、正确存储和正确传输。数据保密性服务指保护数据只被授权用户使用。抗抵赖性服务指防止发送方或接收方否认消息的发送或接收。1.2.2安全体系–8种安全机制01：加密机制安全机制02：数字签名机制03：访问控制机制04：数据完整性机制05：认证（鉴别）机制06：通信业务填充机制07：路由选择控制机制08：公证机制1.2.2安全体系-安全服务和安全机制的关系机制服务数据加密数字签名访问控制数据完整鉴别交换业务填充路由控制公证机制鉴别服务√√××√×××访问控制××√×××××数据完整√√×√××××数据保密√×××××××抗抵赖性×√×√×××√1.2.3安全标准1.2网络安全概念1.2.3安全标准–网络安全等级保护2.0网络安全等级保护是基本制度、基本国策、基本方法网络安全等级保护是党中央国务院决定在信息系统安全领域实施的基本国策网络安全等级保护是国家信息安全保障工作的基本制度网络安全等级保护是国家信息安全保障工作的基本方法1.2.3安全标准–网络安全等级保护2.0等级保护发展历程与展望1994-2003政策环境营造2004-2006工作开展准备2007-2010工作正式启动2010-2016工作规模推进1994年，国务院颁布《中华人民共和国计算机信息系统安全保护条例》，规定计算机信息系统实行安全等级保护。2003年，中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》中明确指出“实行信息安全等级保护”。2004-2006年，公安部联合四部委开展等级保护基础调查和等级保护试点工作，为全面开展等级保护工作奠定基础。2007年6月，四部门联合出台《信息安全等级保护管理办法》。2007年7月，四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。2007年7月20日，召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议，标志着信息安全等级保护制度正式开始实施。2010年4月，公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》，提出等级保护工作的阶段性目标。2010年12月，公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》，要求贯彻执行等级保护工作。1.2.3安全标准–网络安全等级保护2.0等级保护发展历程与展望2016年10月10日，第五届全国信息安全等级保护技术大召开，公安部网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了新的要求，等级保护制度已进入2.0时代”。2016年11月7日，《中华人民共和国网络安全法》正式颁布，第21条明确“国家实行网络安全等级保护制度……”以《GB17859计算机信息系统安全保护等级划分准则》、《GB/T22239-2008

信息安全技术

信息系统安全等级保护基本要求》（2007年发布）为代表的等级保护系列配套标准，习惯称为等保1.0标准。2013年，全国信息安全标准化技术委员会授权WG5-信息安全评估工作组开始启动等级保护新标准的研究。2017年1月至2月，全国信息安全标准化技术委员会发布《网络安全等级保护基本要求》系列标准、《网络安全等级保护测评要求》系列标准等“征求意见稿”。2017年5月，国家公安部发布《GA/T1389—2017网络安全等级保护定级指南》、《GA/T1390.2—2017网络安全等级保护基本要求第2部分：云计算安全扩展要求》等4个公共安全行业等级保护标准。2019年12月1日，网络安全等级保护2.0制度正式实施，简称等保2.0。重要标志2.0系列标准编制工作1.2.3安全标准–网络安全等级保护2.0等级保护发展历程与展望等级保护2.0时代，将根据信息技术发展应用和网络安全态势，不断丰富制度内涵、拓展保护范围、完善监管措施，逐步健全网络安全等级保护制度政策、标准和支撑体系。等级保护上升为法律等级保护对象将不断拓展等级保护工作内容将持续扩展等级保护体系将进行重大升级1.2.3安全标准–网络安全等级保护2.0等级保护2.0标准体系GB17859-1999《计算机信息系统安全保护等级划分准则》《信息系统安全等级保护定级指南》《

信息系统安全等级保护基本要求》《信息系统等级保护安全设计技术要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评过程指南》《信息系统安全等级保护测评要求》1.2.3安全标准–网络安全等级保护2.0等级保护2.0标准体系（

注：基于2017年等级保护标准系列征求意见稿）未变化

修订内容新增1.2.3安全标准–网络安全等级保护2.0等级保护2.0标准体系改进正式更名为《网络安全等级保护基本要求》；原来：《信息系统安全等级保护基本要求》改为：《信息安全等级保护基本要求》再改为：《网络安全等级保护基本要求》（与《网络安全法》保持一致）对象的变化：原来-信息系统；改为-等级保护对象（网络和信息系统）横向扩展了对云计算、移动互联网、物联网、工业控制系统的安全要求；纵向扩展了对等保测评机构的规范管理。1.2.3安全标准-等级保护2.0等级保护主要工作流程定级备案建设整改等级评测01020304定级是等级保护的首要选择备案是等级保护的核心建设整改是等级保护工作落实的关键等级评测是评价安全保护状况的方法1.2.3安全标准-等级保护2.0重要行业关键信息系统划分及定级建议等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查1.2.3安全标准-等级保护2.0等级保护二、三级关键点说明技术方面：安全审计、边界完整性检查、入侵防范、资源控制以及通信保密性等控制点；网络安全：不仅要满足网络安全运行的基本保障，同时还要考虑网络处理能力要满足业务极限时的需要加强了网络边界的防护，增加了安全审计、边界完整性检查入侵防范等控制点对网络设备的防护不仅局限于简单的身份鉴别，同时对标识和鉴别信息都有了相应的要求。是等级保护二级要求的扩展加强；三级要求主干链路冗余，设备性能有冗余；技术方面：网络恶意代码防范、剩余信息保护、抗抵赖，如访问控制增加了对身份鉴别、访问控制、安全审计、数据完整性、数据保密性等均有更进一步的要求息资源设置敏感标记等；网络安全：对网络处理能力增加了“优先级”考虑，保证重要主机在网络拥堵时仍能够正常运行网络边界的访问控制扩展到应用层，网络边界的其他防护措施进一步增强，不仅能够被动的“防”，还应能够主动发出一些动作，如报警、阻断等，网络设备的防护手段要求两种身份鉴别技术综合使用。二级三级1.2.3安全标准-等级保护2.0三级等级保护实施方案（通用）三级系统安全保护环境基本要求与对应产品使用范围基本要求产品类型举例安全计算环境网络结构（VLAN划分）三层交换机（防火墙）MPLSVPN访问控制（权限分离）主机核心加固系统入侵防范（检测告警）主机入侵检测产品（HIDS）备份恢复（数据备份）设备冗余、本地备份（介质场外存储）数据完整性、保密性VPN设备剩余信息管理终端综合管理系统身份认证（双因素）证书、令牌、密保卡恶意代码防范（统一管理）网络版主机防病毒软件安全区域边界区域边界访问控制（协议检测）防火墙（IPS）资源控制（优先级控制）带宽管理、流量控制设备区域边界入侵检测IDS区域边界恶意代码防范防病毒网关，沙箱区域边界完整性保护终端综合管理系统安全通信网络通信网络安全审计上网行为管理数据传输完整性、保密性保护VPN设备安全管理中心系统管理安全管理平台审计管理（网络、主机、应用）安全审计系统1.2.3安全标准-等级保护2.0新旧等级保护的差异变化DDOS攻击网络扫描、监听木马、蠕虫、病毒入侵挂马、SQL注入非授权访问越权访问&操作内网IP、ARP欺骗病毒二次扩散非法终端接入关键信息泄密接入终端更多样，各种移动终端、VDI终端；新的针对Hypervisor漏洞攻击；VM存在相互攻击、流量不可视取证困难；VM动态迁移需要安全策略保持一致性；存储数据物理位置不可知，用户担心数据隐私泄露；云IDC的管理集中带来管理员的权限滥用风险；外部威胁内部威胁新增外部威胁云IDC虚拟化

平台共享弹性资源租户传统网络边界消失业务自动化新增内部威胁传统IDC租户资源物理独立租户网络边界清晰新增业务耗时1.2.3安全标准-等级保护2.0新旧等级保护的差异变化主机增加级别匹配责任不同对象增加云定级主体包括两部分：云平台本身、云租户信息系统IaaS模式下物理机房、物理服务器、物理网络和云平台软件的安全由云服务商负责，租户需要对业务系统安全、虚拟机OS安全、数据安全、虚拟网络安全等负责。云平台的安全保护等级不能低于所承载信息系统的安全保护等级，即云平台只能承载等保同级别或低级别的租户系统。云计算平台的测评对象较之传统测评对象新增了虚拟化相关的测评对象1.2.4安全目标1.2网络安全概念1.2.4安全目标安全保护能力隐患发现能力

应急反应能力

信息对抗能力

保障网络安全的基本目标33第1章网络安全基础常见的安全威胁与攻击1.3网络安全的现状和发展趋势31.4网络安全概念1.2网络安全概述1.11.3常见的安全威胁与攻击1.3.1网络系统自身的脆弱性1.3.2网络面临的安全威胁1.3.3威胁和攻击的来源1.3.1网络系统自身的脆弱性硬件系统01软件系统02网络和通信协议03缺乏用户身份鉴别机制缺乏路由协议鉴别机制缺乏保密性TCP/UDP的缺陷TCP/IP服务的脆弱性网络硬件系统的安全隐患主要表现为物理安全方面的问题。软件系统的安全隐患源于设计和软件工程中的问题。1.3.2网络面临的安全威胁1.非授权访问2.信息泄露或丢失3.破坏数据完整性4.拒绝服务攻击5.利用网络传播病毒6.云安全（威胁、防护）常见的网络威胁1.3.3威胁和攻击的来源威胁和攻击的来源内部操作不当内部管理漏洞来自外部的威胁与犯罪33第1章网络安全基础常见的安全威胁与攻击1.3网络安全的现状和发展趋势31.4网络安全概念1.2网络安全概述1.11.4网络安全的现状与发展趋势目前，我国网络安全的现状主要表现在以下几个方面。信息与网络安全的防护能力弱，人们的信息安全意识薄弱。基础信息产业薄弱，核心技术有待提高。信息犯罪在我国有发展蔓延的趋势。我国信息安全人才培养还远远不能满足需求。我国网络安全的现状1.4网络安全的现状与发展趋势当前网络安全发展趋势在于针对通用软硬件的漏洞问题、黑客攻击与病毒，以及窃取数据等威胁采取不同的防护措施和解决方法。通用软硬件漏洞问题网络攻击综合化对用户机密数据的威胁网络安全的发展趋势2020年我国互联网网络安全现状

我国互联网安全现状Maincontent我国互联网网络安全现状我国受恶意程序攻击的IP地址占比分布情况我国互联网网络安全现状我国互联网网络安全现状我国互联网网络安全现状我国互联网网络安全现状我国互联网网络安全现状我国互联网网络安全现状我国互联网网络安全现状我国互联网网络安全现状本章主要内容有网络安全的概念、网络安全模型、网络安全服务、安全标准、常见的安全威胁和攻击、网络安全的现状与发展趋势。通过本章的学习，要求同学们能够了解网络安全概念、现状，熟悉《中华人民共和国网络安全法》、《网络安全等级保护基本要求》的法律法规，做到知法懂法、增强网络安全意识、具备网络安全观。本章小结作业教材P18-19页课后题阅读《中华人民共和国网络安全法》全文，完成一篇报告，谈一谈对于《网络安全法》的认识以及你在日常生活学习中需要注意的有关网络安全的事项。通过网信办官网（/）搜索“中国互联网网络安全报告”，了解我国互联网网络安全的现状，并提交报告，谈一下你对我国互联网网络安全现状的认识。感谢聆听第2章网络攻击与防护《网络安全技术与实训》（微课版）（第5版）

课程引入你知道听说过哪些网络攻击事件？电影《黑客帝国》，什么是黑客或红客？学习要点（思政要点） 了解黑客的由来和发展（网络安全意识）掌握常见网络攻击的分类和目的了解网络攻击的步骤（严谨认真）掌握一般网络攻击的防范方法（工匠精神）介绍及讨论职场中的一些不良的网络攻击现象，增强学生的职业道德33第2章网络攻击与防范网络攻击的实施阶段2.3网络攻击的善后阶段32.4网络攻击的准备阶段2.2网络攻击概述2.12.1网络攻击概述黑客攻击和网络安全是紧密结合在一起的，没有攻击就没有安全，系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取有效的补救措施。网络攻击有善意的也有恶意的。善意的攻击可以帮助系统管理员检查系统漏洞。恶意的攻击包括为了私人恩怨而攻击、出于商业或个人目的获得秘密资料。2.1.1黑客概述1黑客,即网络中最主要的玩家。有了网络，有了黑客，也就有了网络安全这个概念。2现代黑客们主要通过寻找各种系统漏洞，利用暴露网络系统中缺陷，非授权更改服务器。2.1.1黑客的行为发展趋势黑客群体的扩大化很多人不是计算机专业的，甚至一些是十几岁的中学生黑客的组织化和团体化利用网络进行交流和团体攻击，互相交流经验动机复杂化已经和国际的政治变化、经济变化紧密地结合在一起2.1.2常见的网络攻击攻击目的窃取信息获取口令控制中间站点获得超级用户权限2.1.2常见的网络攻击攻击事件分类外部攻击破坏型攻击利用型攻击口令猜测、特洛伊木马、缓冲区溢出信息收集型攻击扫描技术、体系结构探测、利用信息服务、网络欺骗攻击、垃圾信息攻击等内部攻击行为滥用2.1.3攻击步骤准备阶段实施阶段善后阶段网络攻击的三个阶段攻击的准备阶段攻击的实施阶段攻击的善后阶段攻击目的是指想要给受侵者造成什么样的后果。常见的有破坏型和入侵型两种。1.确定攻击目的网络攻击的步骤网络攻击的步骤网络攻击的三个阶段攻击的准备阶段攻击的实施阶段攻击的善后阶段搜集尽量多的关于攻击目标的信息，这些信息包括公开的信息和主动探测的信息。2.信息收集网络攻击的步骤网络攻击的三个阶段攻击的准备阶段攻击的实施阶段攻击的善后阶段获取目标主机上提供了哪些服务、相应端口是否开放、各服务所使用的软件版本类型。3.服务分析网络攻击的步骤网络攻击的三个阶段攻击的准备阶段攻击的实施阶段攻击的善后阶段在知道了目标主机开放的服务之后，可以连接这些服务，然后根据连接过程中的返回消息，分析目标主机的操作系统。4.目标主机的系统分析网络攻击的步骤网络攻击的三个阶段攻击的准备阶段攻击的实施阶段攻击的善后阶段一般借助软件如Nessus、X-Scan等综合型漏洞检测工具、WVS等专用型漏洞检测工具等自动分析。5.漏洞分析网络攻击的步骤网络攻击的三个阶段攻击的准备阶段攻击的实施阶段攻击的善后阶段非法提权植入后门建立后门账号种植木马网络攻击的步骤网络攻击的三个阶段攻击的准备阶段攻击的实施阶段攻击的善后阶段删除操作记录文件隐藏删除日志33第2章网络攻击与防范网络攻击的实施阶段2.3网络攻击的善后阶段32.4网络攻击的准备阶段2.2

网络攻击概述2.101社会工程学介绍02网络信息搜集03资源搜集04端口扫描2.2网络攻击的准备阶段2.2.1社会工程学介绍2.2网络攻击的准备阶段社会工程学介绍社会工程学就是利用人的心理弱点（如人的本能反应、好奇心、信任、贪婪）、规章与制度的漏洞等进行欺骗、伤害等，以期获得所需的信息（如计算机口令、银行账号信息）。社会工程学主导着非传统信息安全，所以通过对它的研究可以提高对非传统信息安全事件的能力主要攻击手段1.网络钓鱼攻击通过大量发送声称来自银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、账号ID、ATMPIN码或信用卡详细信息）的一种攻击方式。2.传统的社交手段通过打电话的方式，使用专业的术语，诱骗内部人员使用的系统ID等2.2.2网络信息搜集2.2网络攻击的准备阶段常用DOS命令Ping命令01Netstat命令02Nbtstat命令03网络信息搜集常用DOS命令（1）ping命令：用于测试网络连接性ping[-t][-a][-l][-ncount][-iTTL]参数说明如下。[-t]一直ping下去，直到按下“Ctrl+C”组合键结束字节。[-a]ping的同时把IP地址转换成主机名。[-l]指定数据包的大小，默认为32个字节，最大为65527个字节。[-f]在数据包中发送“不要分段”标志，数据包不会被路由设备分段。[-ncount]设定ping的次数。[-iTTL]设置ICMP包的生存时间（指ICMP包能够传到临近的第几个节点）网络信息搜集小任务：如何得到目标IP地址和目标主机的地理位置？方法一：ping命令试探ping域名ping方法二：使用nslookup命令

nslookup域名

nslookup网络信息搜集小任务：如何由IP得到目标主机的地理位置？方法：浏览器搜索框中输入“IP地址查询”进行查询网络信息搜集常用DOS命令（2）netstat命令：主要用途是检测本地系统开放的端口netstat[-a][-e][-n][-s][-pproto][-r][interval]参数说明如下。[-a]显示所有主机的端口号。[-e]显示以太网统计信息，该参数可以与-s选项结合使用。[-n]以数字表格形式显示地址和端口。[-s]显示每个协议的使用状态（包括TCP、UDP、IP）。[-pproto]显示特定协议的具体使用信息。[-r]显示本机路由表的内容。[interval]重新显示所选的状态，每次显示之间的间隔数（单位秒）。网络信息搜集常用DOS命令（3）nbtstat命令：主要用途是显示本地计算机和远程计算机NetBIOS名称表和缓存nbtstat [-aremotename][-AIPaddress][-c][-n][-r][-R][-RR][-s][-S][Interval]参数说明如下。[-aremotename]显示远程计算机的NetBIOS名称表，其中，remotename是远程计算机的NetBIOS计算机名称。[-AIPaddress]显示远程计算机的NetBIOS名称表，其名称由远程计算机的IP地址指定（以小数点分隔）。[-c]显示NetBIOS名称缓存内容、NetBIOS名称表及其解析的各个地址。[-n]显示本地计算机的NetBIOS名称表。[-r]显示NetBIOS名称解析统计资料。[-R]清除NetBIOS名称缓存的内容，并从Lmhosts文件中重新加载带有#PRE标记的项目。[-RR]重新释放并刷新通过WINS注册的本地计算机的NetBIOS名称。[-s]显示NetBIOS客户和服务器会话，并试图将目标IP地址转化为名称。[-S]显示NetBIOS客户和服务器会话，只通过IP地址列出远程计算机。[Interval]重新显示选择的统计资料，可以中断每个显示之间的Interval中指定的秒数。如果省略该参数，nbtstat将只显示一次当前的配置信息。网络信息搜集网站信息搜集查询域名注册信息的方法被称为“WHOIS”通过IP地址查询搜索到的网站链接，点击链接进入网站，在“IPWHOIS查询”导航下的文本框中输入要查询的域名网络信息搜集结构探测VisualRoute探测是图形化的路由跟踪工具tracert命令：路由跟踪命令，获得本地到达目标主机所经过的网络设备tracert[-d][-hmaximum_hops][-jhost-list][-wtimeout]target_name参数说明如下。[-d]不需要把IP地址转换成域名。[-hmaximum_hops]允许跟踪的最大跳跃数。[-jhost-list]经过的主机列表。[-wtimeout]每次回复的最大允许延时。搜索引擎百度对搜索进行个性化设置针对关键词、时间、文档格式以及关键词位置进行高级搜索设置网络信息搜集网络信息搜集搜索引擎百度常见语法2.2.3资源搜集2.2网络攻击的准备阶段2.2.3资源搜集1.简介（1）共享资源。用户可以在网络邻居上看到其他计算机的共享资源，它实际上是一个浏览列表，用户可以用“nbtstat-r”命令来查看在浏览主控服务器上声明了自己的NetBIOS名称列表。（2）建立共享的条件需要有足够的权限已安装“Microsoft网络文件和打印机共享”组件已安装NetBEUI协议2.2.3资源搜集2.共享资源搜索（1）扫描是一种检测目标网络或目标主机安全性、脆弱点的技术手段（2）扫描器就是能够“自动”完成探测任务的一种工具：“共享资源扫描器”“漏洞扫描器”“弱口令扫描器”“FTP扫描器”“代理扫描器”（3）常用扫描器工具 IpscanLegion（共享资源扫描器）Lansee（局域网查看工具）2.2.3资源搜集3.FTP资料扫描

可以使用工具SFtp来扫描FTP站点信息4.安全解决方案（资源共享）（1）尽量不要开放共享资源。（2）设置新用户和新用户密码（3）隐藏共享文件夹。2.2.4端口扫描2.2网络攻击的准备阶段2.2.4端口扫描端口是由计算机的通信协议TCP/IP定义的。用[IP：端口]来定位一台主机中的进程端口相当于两台计算机进程间的大门，为了让两台计算机能够找到对方的进程。常见公认端口号：TCPUDP2.2.4端口扫描端口扫描原理端口扫描是入侵者搜集信息的常用手法。通过端口扫描，能够判断出目标主机开放了哪些服务、运行哪种操作系统。端口扫描尝试与目标主机的某些端口建立TCP连接，如果目标主机端口有回复，则说明该端口开放，即为“活动端口”端口扫描方式分为6种全TCP连接半打开式扫描（SYN扫描）FIN扫描第三方扫描NULL扫描XMas-TREE扫描2.2.4端口扫描全连接扫描半连接扫描隐蔽扫描Connect扫描端口扫描的原理端口开放时，连接建立过程2.2.4端口扫描全连接扫描半连接扫描隐蔽扫描Connect扫描端口扫描的原理端口关闭时，连接建立过程2.2.4端口扫描实现简单，对权限没有严格要求系统中的任何用户都有权力使用是得到banners信息的唯一方法扫描速度快优点在日志文件中留下大量记录，容易被发现容易被防火墙和IDS检测、过滤缺点2.2.4端口扫描全连接扫描半连接扫描隐蔽扫描SYN扫描端口扫描的原理端口开放时，连接建立过程2.2.4端口扫描全连接扫描半连接扫描隐蔽扫描SYN扫描端口扫描的原理端口关闭时，连接建立过程2.2.4端口扫描未建立TCP连接不会被记录到系统日志中，扫描隐蔽优点需要攻击者拥有客户机的root权限可以被防火墙检测和过滤缺点2.2.4端口扫描全连接扫描半连接扫描隐蔽扫描FIN扫描端口扫描的原理端口开放时，连接建立过程2.2.4端口扫描全连接扫描半连接扫描隐蔽扫描FIN扫描端口扫描的原理端口关闭时，连接建立过程2.2.4端口扫描隐蔽性高，能穿透一般防火墙或者IDS系统目标主机上也不会留下痕迹优点数据包容易被丢弃精确度偏低不适用于windows系统缺点2.2.4端口扫描全连接扫描半连接扫描隐蔽扫描NULL扫描端口扫描的原理端口开放时，连接建立过程2.2.4端口扫描全连接扫描半连接扫描隐蔽扫描NULL扫描端口扫描的原理端口关闭时，连接建立过程2.2.4端口扫描其他扫描方式Xmas-Tree扫描端口扫描的原理分段扫描基于UDP协议的扫描方式基于认证的扫描方式基于FTP代理的扫描方式2.2.4端口扫描扫描工具（1）扫描器X-Scan免费、绿色（2）流光Fluxay综合、功能强大（3）X-Port多线程（4）SuperScan

端口扫描、ping和主机名解析（5）其他端口扫描工具 Nmap扫描器：网络探测和安全审核OpenVAS扫描器：开放式漏洞评估Nessus扫描器：C/S模式2.2.4端口扫描扫描工具（1）扫描器X-Scan免费、绿色（2）流光Fluxay综合、功能强大（3）X-Port多线程（4）SuperScan

端口扫描、ping和主机名解析（5）其他端口扫描工具 Nmap扫描器：网络探测和安全审核OpenVAS扫描器：开放式漏洞评估Nessus扫描器：C/S模式2.2.4端口扫描扫描工具（1）扫描器X-Scan免费、绿色（2）流光Fluxay综合、功能强大（3）X-Port多线程（4）SuperScan

端口扫描、ping和主机名解析（5）其他端口扫描工具 Nmap扫描器：网络探测和安全审核OpenVAS扫描器：开放式漏洞评估Nessus扫描器：C/S模式2.2.4端口扫描扫描工具（1）扫描器X-Scan免费、绿色（2）流光Fluxay综合、功能强大（3）X-Port多线程（4）SuperScan

端口扫描、ping和主机名解析（5）其他端口扫描工具 Nmap扫描器：网络探测和安全审核OpenVAS扫描器：开放式漏洞评估Nessus扫描器：C/S模式2.2.4端口扫描扫描工具（1）扫描器X-Scan免费、绿色（2）流光Fluxay综合、功能强大（3）X-Port多线程（4）SuperScan

端口扫描、ping和主机名解析（5）其他端口扫描工具

Nmap扫描器：网络探测和安全审核OpenVAS扫描器：开放式漏洞评估Nessus扫描器：C/S模式2.2.4端口扫描扫描工具（1）扫描器X-Scan免费、绿色（2）流光Fluxay综合、功能强大（3）X-Port多线程（4）SuperScan

端口扫描、ping和主机名解析（5）其他端口扫描工具 Nmap扫描器：网络探测和安全审核

OpenVAS扫描器：开放式漏洞评估Nessus扫描器：C/S模式2.2.4端口扫描扫描工具（1）扫描器X-Scan免费、绿色（2）流光Fluxay综合、功能强大（3）X-Port多线程（4）SuperScan

端口扫描、ping和主机名解析（5）其他端口扫描工具 Nmap扫描器：网络探测和安全审核OpenVAS扫描器：开放式漏洞评估

Nessus扫描器：C/S模式33第2章网络攻击与防范网络攻击的实施阶段2.3网络攻击的善后阶段32.4网络攻击的准备阶段2.2

网络攻击概述2.12.3网络攻击的实施阶段01基于认证的入侵02Web的入侵03基于电子邮件服务的攻击04注册表的入侵05安全解决方案2.3.12.3.1基于认证的入侵2.3网络攻击的实施阶段2.3.1基于认证的入侵IPC$入侵IPC$是Windows特有的一项管理功能，主要用来远程管理计算机。命令管道资源（InternetProcessConnection，IPC）是Windows系统提供的一个通信基础。通过IPC$连接的建立，入侵者可以 建立、复制、删除远程计算机文件和 在远程计算机上执行命令。解决方案：删除默认共享；通过注册表设置禁空连接枚举；关闭Server服务2.3.1基于认证的入侵Telnet入侵Telnet用于提供远程登录服务，当终端用户登录到提供这种服务的主机时，就会得到一个shell（命令行）通过终端使用主机的CPU资源和内存资源，实现完全控制远程主机Telnet登录控制是入侵者经常使用的方式2.3.1基于认证的入侵入侵辅助工具（1）工具PSEXECPSEXEC\\computer[-uuser][-ppassword][-s][-i][-c][-f][-d]cmd[arguments]psexec\\06-uadministrator-p“”cmd2.3.1基于认证的入侵入侵辅助工具（2）查杀进程“AproMan”用来查看进程入侵者对远程主机彻底控制，还包括远程查看、杀死远程主机的进程aproman.exe-a：查看进程aproman.exe-p：显示端口进程关联关系（需要Administrator权限）aproman.exe-t[PID]：杀掉指定进程号的进程aproman.exe-f[FileName]：把进程及模块信息存入文件2.3.1基于认证的入侵查、杀进程实例练习：步骤1：将Aproman.exe复制到本机磁盘步骤2：使用PSEXEC将Aproman.exe复制到目的主机并执行步骤3：通过指定进程号杀死远程主机的进程。psexec\\06-uadministrator-p“”-daproman-t12802.3.1基于认证的入侵入侵辅助工具（2）查杀进程pslist.exe和pskill.exe可在本地对远程主机的进程进行操作pslist.exe是命令行方式下远程查看进程的工具pslist[-t][-m][-x]\\computer[-uusername][-ppassword][name/pid]pskill.exe是命令行方式下远程杀进程的工具pskill\\computer[-u用户名][进程号/进程名]2.3.2Web的入侵2.3网络攻击的实施阶段2.3.1基于认证的入侵Web默认运行在服务器80端口之上。如今的Web功能非常强大，网上购物、办公、游戏、社交等活动都不在话下。Web服务器在方便用户使用的同时，也带来了许多安全隐患。主流的Web攻击目的包括数据的窃取、网页的篡改、商业攻击，以及植入恶意软件等。当网站遭到攻击后会： 数据异常，数据外流、出现各种不合法数据、网站流量异常伴随大量攻击报文。 系统异常，服务器出现异常，异常网页、异常账号、异常端口以及CPU异常进程等。设备/日志告警异常，来自日志或者设备的告警，以及内部安全设备、安全监控软件等出现的大量告警。2.3.2Web的入侵2.3.2Web的入侵2.3.2Web的入侵OWASP十大Web安全漏洞（2017）:2.3.2Web的入侵OWASP十大Web安全漏洞（2021）:2.3.2Web的入侵XSS跨站脚本漏洞2.3.2Web的入侵WebDAV漏洞2.3.2Web的入侵Web系统中的“命令注入漏洞”Web应用系统存在命令注入漏洞，需要具备3个条件：Web应用程序调用了操作系统的函数调用函数的时候，将用户输入作为系统命令的参数拼接到了命令行中没有对用户输入进行过滤或过滤不严命令注入漏洞所造成的危害：入侵者可以继承Web服务程序的权限，去执行系统命令或读写文件可以控制整个网站甚至控制服务器借助于服务器实施shell反弹攻击或者对内网中其他机器实施渗透2.3.3基于电子邮件服务的攻击2.3网络攻击的实施阶段2.3.3基于电子邮件服务的攻击黑客利用电子邮件系统的这种内在“礼貌性”来访问有效地址，并添加到其合法地址数据库中。常见漏洞：1.IMAP和POP漏洞2.拒绝服务（DoS）攻击3.系统配置漏洞4.利用软件问题5.利用人为因素2.3.3基于电子邮件服务的攻击解决方法：在电子邮件系统周围锁定电子邮件系统。确保外部系统访问的安全性。实时监视电子邮件流量。在上述安全保障的基础上，电子邮件安全网关应简化管理员的工作，能够轻松集成，并被使用者轻松配置。2.3.4注册表的入侵2.3网络攻击的实施阶段2.3.4注册表的入侵注册表是Windows操作系统的一个核心数据库2.3.4注册表的入侵增强注册表的安全性的方法：禁止使用注册表编辑器HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System新建一个DWORD值类型“Disableregistrytools”，其值改为1删除“远程注册表服务”HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的RemoteRegistry项，“删除”该项2.3.4注册表的入侵Windows7系统为例，“组策略”编辑器中“阻止访问注册表编辑工具”，可恢复禁用的注册表编辑器。2.3.4注册表的入侵入侵远程主机的注册表开启远程主机的“远程注册表服务”连接远程主机的注册表使用reg文件修改注册表2.3.5安全解决方案2.3网络攻击的实施阶段2.3.5安全解决方案原则：未雨绸缪，预防为主，将重要的数据备份并时刻注意系统运行状况方案：加强个人网络安全保护意识删除默认的共享，尽量不要开放共享资源，最小权限禁止空连接进行枚举攻击使用正版防火墙软件和杀毒工具，及时升级设置代理服务器，隐藏自己的IP地址将防毒、防黑当成日常性工作，定时更新防毒组件提示：重要资料备份33第2章网络攻击与防范网络攻击的实施阶段2.3网络攻击的善后阶段32.4网络攻击的准备阶段2.2

网络攻击概述2.101隐藏技术02留后门2.4网络攻击的善后阶段2.4.1隐藏技术2.4网络攻击的善后阶段2.4.1隐藏技术“隐藏”是指探测和分析中隐藏自己的行踪文件传输与文件隐藏技术文件传输：IPC$文件传输FTP传输打包传输文件隐藏：attrib命令

和隐藏工具SFind.exe扫描隐藏技术“扫描代理肉鸡”的方法来隐藏自己的扫描行为入侵隐藏技术入侵者一般利用跳板技术实现隐藏2.4.2留后门2.4网络攻击的善后阶段2.4.2留后门攻击者通常会利用后门技术来进行权限维持。对于Windows可以通过隐藏系统用户、修改注册表、清除日志记录、利用辅助功能(例如替换沾滞键)、WMI后门、远程控制、Rookit、进程注入、创建服务、计划任务和启动项等方式进行权限维持和痕迹的清除。2.3.4注册表的入侵从入侵者角度来看，后门分为账号后门、漏洞后门和木马后门账号后门在远程主机/服务器内部建立一个备用的管理员账号漏洞后门制造漏洞来留下系统的后门木马后门常见的木马后门程序有Wollf、Winshell、WinEggDrop、SQL后门2.3.4注册表的入侵案例：命令行方式克隆账号使用命令行方式克隆账号需要以下工具。reg.exe：命令行下的注册表编辑工具。psu.exe：权限提升工具。 pslist.exe：查看远程主机进程。制作步骤详见教材P58本章总结本章主要讲解了网络攻击的基本概念，网络攻击的三个阶段（准备阶段、实施阶段和善后阶段），介绍了每个阶段常用的攻防工具和手段，同时给出了对应的安全解决方案。为了避免受到攻击，就必须了解与黑客攻防相关的原理和防御手段。通过了解不良的网络攻击现象，增强学生的职业道德。作业教材P58页课后题实训1网络的常用攻击方法感谢聆听第3章Linux服务的攻击与防护《网络安全技术与实训》（微课版）（第5版）

课程引入你知道哪些操作系统？你使用过哪些操作系统？学习要点（思政要点） 了解Linux服务存在的威胁（安全意识） 掌握基于Web服务的攻击与防范（工匠精神）了解基于DNS服务的攻击与防范（精益求精）了解基于NFS服务的攻击与防范（严谨认真）33第3章Linux服务的攻击与防护基于DNS服务的攻击与防范3.3基于NFS服务的攻击与防范33.4基于Web服务的攻击与防范3.2Linux服务的安全概述3.13.1Linux服务的安全概述Linux是一种开源代码操作系统，以Linux作为操作系统来说一旦发现有安全漏洞问题，互联网上世界各地的操作系统爱好者会踊跃修补它。当服务器运行的服务越来越多时，服务器的配置不当会给黑客可乘之机，通过适当的配置来防范来自网络的攻击，针对不同的Linux服务，有各自不同的安全策略。33第3章Linux服务的攻击与防护基于DNS服务的攻击与防范3.3基于NFS服务的攻击与防范33.4基于Web服务的攻击与防范3.2Linux服务的安全概述3.101Apache工作原理02Apache服务器的特点03Apache服务器的常用攻击04Apache服务器的安全防范05使用SSL加固Apache3.2基于Web服务的攻击与防范3.2.1Apache的工作原理3.2基于Web服务的攻击与防范基于Web服务的攻击与防范在当今互联网的大环境下，Web服务已经成为公司企业必不可少的业务，大多数的安全问题也跟随而来，攻击重点也转移为Web攻击，许多Web与颇有价值的客户服务与电子商业活动结合在一起，这也是吸引恶意攻击重要原因。Apache的工作原理Web系统是C/S模式的，分服务器程序和客户端程序两部分。在客户端浏览器的地址栏内输入统一资源定位地址（URL)来访问Web页面。WWW服务遵从HTTP协议，默认的TCP/IP端口是80，客户端与服务器的通信过程如图所示。3.2.2Apache服务器的特点3.2基于Web服务的攻击与防范Apache服务器的特点（1）Apache是最先支持HTTP/1.1协议的Web服务器之一。（2）Apache是支持通用网关接口（CGI),并且提供了扩充的特征。（3）支持HTTP认证。（4）支持安全Socket层（SSL)。（5）用户会话过程的跟踪能力。3.2.3Apache服务器的常用攻击3.2基于Web服务的攻击与防范Apache服务器的常用攻击（1）Apache服务器HTTP拒绝服务攻击攻击者通过某些工具和手段耗尽计算机CUP和内存资源，使Apache服务器拒绝对HTTP应答，最终造成系统变慢甚至出现瘫痪故障。常见的攻击手段有以下几种：

Floody数据包洪水攻击。

路由不可达。

磁盘攻击。

分布式拒绝服务攻击。Apache服务器的常用攻击（2）恶意脚本攻击使得服务器内存缓存区溢出脚本编写过程中使用的静态内存申请，攻击者利用此点发送一个超出范围的指令请求造成缓冲区溢出。一旦发生溢出，攻击者可以执行恶意代码来控制。Apache服务器的常用攻击（3）非法获取root权限如果Apache以root权限运行，系统上一些程序的逻辑缺陷或缓冲区溢出漏洞，会让攻击者很容易在本地系统获取Linux服务器上的管理者权限，在一些远程情况下，攻击者会利用一些以root身份执行的有缺陷的系统守护进程来取得root权限，或利用有缺陷的服务进程漏洞来取得普通用户权限，以远程登陆，进而控制整个系统。3.2.4Apache服务器的安全防范3.2基于Web服务的攻击与防范Apache服务器的安全防范（1）Apache服务器用户权限最小化按照最小特权的原则，让Apache以指定的用户和组来运行（即不使用系统预定的帐户），并保证运行Apache服务的用户和用户组有一个合适的权限。范例：Apache服务器的安全防范（2）Apache服务器访问控制方法范例：3.2.5使用SSL加固Apache3.2基于Web服务的攻击与防范使用SSL加固ApacheSSL为安全套接层（SecureSocketsLayer),是一种为网络通信提供安全以及数据完整性的安全协议，它在传输层对网络进行加密。它主要是分为两层：

SSL记录协议：为高层协议提供安全封装、压缩、加密等基本功能。

SSL握手协议：用于在数据传输开始前进行通信双方的身份验证、加密算法的协商、交换密钥。使用SSL加固ApacheHTTPS是在HTTP的基础上加入SSL协议（即HTTPS=HTTP+SSL）。传输以密文传输，保证数据传输的安全以及确认网站的真实性（数字证书）。客户端用公用密钥加密数据，并且发送给服务器自己的密钥，以唯一确定自己，防止在系统两端之间有人冒充服务器或客户端进行欺骗。加密的HTTP连接端口使用443而不是普通的80端口，以此来区别没有加密的连接。SSL验证和加密的具体过程（1）用户使用浏览器通过HTTPS协议访问Web服务器站点，发出SSL握手信号。（2）Web服务器发出回应，并出示服务器证书（公钥），显示系统Web服务器站点身份。（3）浏览器验证服务器证书，并生成一个随机的会话密钥，密钥长度达到128位。（4）浏览器用Web服务器的公钥加密该会话密钥。（5