《网络安全技术》教案.doc

三峡旅游职业技术学院2010 -2011 学年第 一 学期教 案课程名称：_ _ 网络安全技术_ _ 年级专业：_2008级计算机应用技术专业_ 授课教师： 陈 亮 学时数总学时 32 ；课堂讲授 20 学时；实践 12 学时书名作者出版社出版年月教材网络安全吴金龙蔡灿辉高等教育出版社2004 年04月参考书目网络安全技术实验教程崔宝江李宝林北京邮电大学出版社2008 年09月教案内页（课堂讲授备课用）序号：1 网络安全技术（08级计算机应用技术专业） 第1讲课程介绍 课程教学的目的和要求： 了解网络安全的基本知识，熟悉常见的网络攻击技术，掌握实施网络安全防护的基本技术，具有实现网络通信安全和网络操作系统安全的技能。 课程教学的重点和难点： 重点：具有实现网络通信安全和网络操作系统安全的技能。 难点：网络安全的基本知识。 本课程推荐网站 中国安全信息网 安全中国 it安全世界 华夏黑客同盟 安全焦点 中国红客 黑客x档案 黑客防线 中国黑客联盟 中国鹰派联盟 课堂讲授安排 第1章计算机网络安全概述 第2章黑客常用的系统攻击方法 第3章计算机病毒 第4章数据加密技术 第6章windows server 2003的安全 第7章web的安全性 第5章防火墙技术 第8章ids和vpn技术实验目录 第一篇 网络基础及网络嗅探技术 第1章 网络基础及网络嗅探技术（4个实验） 第二篇 黑客攻击技术 第2章 漏洞扫描与网络隐身（4个实验） 第3章 木马攻击（4个实验） 第4章 主动攻击（6个实验） 第5章 脚本攻击与后门账号的建立（7个实验） 第三篇 预防黑客攻击 第6章 windows操作系统平台的安全设置（6个实验） 第7章 网络安全通信（3个实验） 第四篇 攻击的检测与响应 第8章 攻击的检测与响应（4个实验） 本课程将结合教材内容进行相应的实验本课程对学生的要求 教学方式：课堂讲授+上机实验 考试内容：以课程教学内容为准 考试成绩： 期末笔试40%，平时成绩60% 作业全部完成并满勤者，平时成绩100分(基准) 缺勤（包括上机实训）和作业缺交者按课时比例扣减平时成绩联系方式 email（作业提交和q&a）：275684554 第1章计算机网络安全概述本章内容要点： 1.1 网络安全的概念 1.2 网络安全的现状 1.3 网络安全面临的威胁 1.4 网络安全体系结构 1.5 计算机安全等级标准 1.6 我国有关信息安全的法律法规1.1 网络安全的概念 1. 信息安全的范畴 信息安全通常包括：系统安全、数据安全、网络安全等方面，它们相互之间既有区别，又有联系。 信息安全又可分为物理安全和逻辑安全。 物理安全指物理设备安全，如防火、防盗、防雷、防静电、防电磁泄露、设备损坏等。 逻辑安全指各类软件的安全，包括系统软件的安全和应用软件的安全。 2. 网络安全的定义 网络安全是指保护计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害。 从本质上讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件和系统中的数据受到保护，不受偶然的或者恶意的攻击而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断； 广义上讲，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。1.2 网络安全的现状 1. 信息技术的地位和作用越来越重要 信息技术（it，information technology） 现象：信息技术在改变着当今世界人们的生活和工作方式。 信息技术已成为当今社会发展的潮流和核心。 信息产业已成为新的经济增长点，在国民经济中占主导地位。 信息安全就需要在很大的范围内得到充分的保障。 2. internet 快速发展，越来越普及 2009年1月13日cnnic发布第23次中国互联网络发展状况统计报告显示，截至2008年12月31日，我国网民数已达2.98亿，宽带网民数2.7亿，国家cn域名数已达1357.2万，三项指标均列世界排名第一。互联网普及率达到22.6%，首次超过全球平均水平(21.9%)。 在internet 快速发展的同时，安全问题也变得越来越重要了，因为internet 并不安全。 3. internet 的安全风险越来越大 (1) internet的特点使安全风险难以消除。 (2) 许多用户缺乏安全知识 (3) 从技术上说，“世界上没有绝对的安全” 结论： 信息技术在推动社会发展前进的同时，也面临着形形色色的威胁，这些威胁正在与日俱增。 信息安全已成为社会公共安全的重要部分。1. 3 网络安全面临的威胁 网络安全所面临的威胁来自很多方面，这些威胁可以宏观地分为三类： 1. 自然威胁（天灾） 2. 技术因素 3. 人为威胁（ 人祸：黑客和恶意程序） 1. 自然威胁（天灾） 自然威胁可能来自于各种自然灾害（地震、雷击、水灾、火灾、雪灾、 ）、恶劣的场地环境、静电感应、电磁辐射、电磁干扰、网络设备自然老化等。这些事件有时会直接威胁信息的安全，影响信息的存储媒质。 2. 技术因素 来自技术因素的威胁包括以下方面： (1) 系统本身的局限性 操作系统安全的脆弱性（漏洞） 应用软件系统的脆弱性（缺陷） 数据库管理系统安全的脆弱性（共享性） (2) 网络的脆弱性 如 internet 的全球性（无国界）、 开放性 、无缝连通性、共享性、异构性和动态发展性等。 (3) 网络安全产品的局限性 反病毒软件的局限性（新的病毒不断产生，反病毒软件要及时更新病毒库） 防火墙的局限性（可提高安全性但不保证安全） 入侵检测系统的局限性（可提高安全性但不保证安全） (4) 技术进步 原来认为是安全的，因技术进步而变得不安全了。 (5) 其他方面的原因 在实际应用时往往要考虑各方面的均衡，例如安全性和可用性的均衡等。 3. 人为威胁（人祸） 人为威胁指对信息的人为攻击。例如各种计算机病毒、其他恶意程序（如木马和蠕虫）、黑客、入侵者和形形色色的计算机罪犯等。人为攻击的手段都是通过寻找系统的弱点，以便达到破坏、欺骗、窃取数据等目的。 网络通信安全问题中常见的4类人为攻击 ： （图表见ppt） 人为攻击可分为被动攻击和主动攻击。（图见ppt） 网络安全的人为威胁主要来自黑客和恶意程序的非法侵入。 入侵网络系统的非法用户有恶意的和无恶意的，原来分别称为入侵者(cracker)和黑客(hacker) 。 黑客(hacker)一词起源于60年代麻省理工学院(mit)，当时教授留给学生的作业之一，就是尝试突破学校的unix系统。最早的黑客就这样产生了，其意思是“计算机高手” ，或者说 “击破者” 。 黑客的原意是指对于计算机系统的奥秘有强烈兴趣而无恶意的人，其目的是不断追求更深的知识，并且从来没有破坏的企图。 入侵者(cracker)的目的是恶意的，他们怀着不良的企图，闯入计算机系统，其目的是非法窃取系统资源，进行未经授权的修改或破坏。 但是，黑客和入侵者都是“侵入计算机系统的非法用户”，行为上是同样的，至于究竟动机是恶意或无恶意的已经不重要了。因此，现在通常没有严格区分，统称之为黑客。黑客案例 黑客案例有很多。这里另外介绍几个国内外案例。 国外黑客案例之一 1998年2月，五角大楼的军事情报网络连续两周遭到神秘黑客的入侵。黑客溜进4个海军系统和7个空军系统的网站，盗走了美国国防部军用卫星的绝密资料软件以及后勤、行政和财务方面的信息。黑客的袭击“高度组织化和系统化”，他们还在网络里安了一个后门，随时可以自由进出。五角大楼和fbi发誓要查出这些胆大妄为的黑客。6周后，他们抓到了两个十五六岁的少年。但fbi认为，一定有一位高级计算机专家在背后向两名少年提供工具和技术指导。不久，那位幕后黑手称自己是“分析家”，在网上向美国连线杂志记者声称他能自由进入40多个美国官方网络。一周后，4名fbi 特工飞抵以色列，在以色列警方的协助下，逮捕了这位 “分析家”一位18岁的以色列少年。 我国黑客案例一（我国首例计算机犯罪案） 江苏扬州郝氏兄弟于1998年9月22日，利用自制的装置侵入扬州工商银行电脑系统，将72万元转入其以假名开设的银行活期存折，并在下设的储蓄所取款26万元，其兄郝景龙分得赃款12万多元，其弟郝景文分得赃款13万多元，案发后，追回23万多元，及购买的物品。扬州市中级人民法院对两兄弟作出二审判决，判处其弟死刑，没收财产5万元，其兄因检举其弟有功，被判处无期徒刑，剥夺政治权利终身，没收财产3万元。 我国黑客案例二（1999年的中美信息战） 1999年5月8日清晨，以美国为首的北约悍然以数枚导弹袭击我驻南斯拉夫大使馆，造成3人死亡，20多人受伤，馆舍严重毁坏。中国使馆遭受袭击的消息让全世界震惊了。中国方面立即作出了强烈反应。 当时引发了一场中美信息战“中美黑客大战”。 网络安全的人为威胁除了黑客的非法侵入外就是恶意程序的危害。 恶意程序指不法分子制造的病毒、蠕虫、木马等。通常可分为两类，一类需要主程序，它是一段代码，必须嵌入到应用程序或系统程序中；另一类是能被操作系统调度和运行的独立程序。 计算机病毒(virus) 病毒是可以自我复制的程序或代码。会对计算机系统造成破坏。 过去出现过许多很著名的病毒 ，其中最著名的是1998年出现的台湾陈盈豪编制的cih病毒，发作时间是他上高中时的座位号26 号，它只有不到1k 字节的代码段。 cih 病毒影响到internet上2000万台计算机，造成了全球的极大恐慌和巨大的经济损失。陈盈豪也因此入狱8年。而王江民的kv300因能够有效防治cih 病毒则名声大振。 目前世界上流行的主要病毒有6万多种（不包括它们的变种）。 特洛伊木马（简称木马） “木马”原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在internet上，“特洛伊木马”指黑客首先将木马程序植入到目标计算机，进而里应外合控制目标计算机系统。至今，木马程序不胜枚举。 蠕虫 蠕虫程序能够逐步占用cpu和内存的资源，使计算机运行速度变慢，直至死机。最著名的是莫里斯蠕虫，1988年震撼了整个世界。 恶评软件 此外，近年来由于ie插件的流行，还出现一类灰色软件。它们介于恶意软件与正常的应用软件之间，特别是一些ie插件，给人们带来巨大的烦扰，通常称之为“恶评软件”或“恶评插件”。 结论： 防范重于治疗。在我们的计算机和网络还没有受到攻击之前，需要做好必要的防护工作。 了解网络安全的基本知识，熟悉常见的网络攻击技术，掌握实施网络安全防护的基本技术，具有实现网络通信安全和网络操作系统安全的技能。就是本课程教学的主要目的。 作业：从推荐的我国一些主要的网络安全网站上了解我国网络安全的现状和典型案例教案内页（课堂讲授备课用）序号：2 章节名称第1章计算机网络安全概述_2教学目的和要求使学生掌握网络安全的要素和我国相关的法律法规教学重点与难点1.osi网络安全体系结构；2.我国有关网络安全的法律法规讲授内容第1章计算机网络安全概述(续）1.4 网络安全体系结构 1989.2.15 国际标准化组织颁布了iso7498-2，osi安全体系结构。 这一标准是osi参考模型的补充，它在osi七层协议之上确立了一个网络安全体系结构。其内容可概括为“五、八、一”。 五大类安全服务( 认证、访问控制、保密性、完整性、抗抵赖） 八类安全机制( 加密机制、访问控制机制、数据完整性机制、数字签名机制、交互认证机制、公证机制、流量填充机制、路由控制机制） osi安全管理 安全服务又称为安全需求，有以下5种。1. 认证服务2. 访问控制服务3. 数据保密性服务4. 数据完整性服务5. 不可否认服务（抗抵赖服务） 1. 认证服务 认证服务又称为鉴别服务。用于保证通信的真实性。在单向通信的情况下，认证服务的功能是使接收者相信消息确实是由它自己所声称的那个信源发出的。在双向通信的情况下，例如计算机终端和主机的连接，在连接开始时，认证服务则使通信双方都相信对方是真实的（即的确是它所声称的实体）；其次，认证业务还保证通信双方的通信连接不能被第三方介入，以假冒其中的一方而进行非授权的传输或接收。 2. 访问控制服务 访问控制的目标是防止对网络资源的非授权访问。 访问通常指进行读取、写入、修改、创建、删除等操作。所谓的非授权访问就是未经授权的使用、修改、销毁资源以及颁发指令等。 访问控制的实现方式是认证，即检查欲访问某一资源的用户是否具有访问权。 3. 数据保密性服务 保护数据以防被动攻击。保护方式可根据保护范围的大小分为若干级，其中最高级保护可在一定时间范围内保护两个用户之间传输的所有数据，低级保护包括对单个消息的保护或对一个消息中某个特定域的保护。保密服务还包括对业务流实施的保密，防止敌手进行业务流分析以获得通信的信源、信宿、次数、消息长度和其他信息。 4. 数据完整性服务 用于消息流的完整性服务目的在于保证所接收的消息未经复制、插入、篡改、重排或重放，即保证接收的消息和所发出的消息完全一样；这种服务还能对已毁坏的数据进行恢复。应用于单个消息或一个消息的完整性业务仅用来防止对消息的篡改。 5. 不可否认服务（抗抵赖服务） 用于防止通信双方中的某一方对所传输消息的否认，因此，一个消息发出后，接收者能够证明这一消息的确是由通信的另一方发出的。类似地，当一个消息被接收后，发出者能够证明这一消息的确已被通信的另一方接收了。 安全机制1. 加密机制2. 访问控制机制3. 数据完整性机制4. 数字签名机制5. 交互认证机制6. 公证机制7. 流量填充机制8. 路由控制机制 1.5 计算机安全等级标准 1. 美国计算机安全等级标准 美国的网络安全桔皮书tcsec（可信计算机系统评估准则）是美国国防部1985年制定的评价计算机系统安全性标准。这一标准至今没有改变过，其他计算机子系统（如数据库和网络）的安全性也一直用桔皮书来评估。 桔皮书用d、c、b、a四个类别和d、 c1、c2 、 b1、b2、b3 、a七个等级对计算机的安全性从低到高进行了评价。每一级包括了它下一级的所有特性。美国的tcsec（可信计算机系统评估准则）一览表（图表见ppt） 2. 我国计算机安全等级标准 在我国， 1999年10月经过国家质量技术监督局批准发布计算机信息系统安全保护等级划分准则(gb 17859-1999)，将计算机安全保护等级划分为以下五个级别： 第一级为用户自主保护级 ：它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。 第二级为系统审计保护级 ：除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。 第三级为安全标记保护级：除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。 第四级为结构化保护级：在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力 第五级为访问验证保护级：这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。1.6 我国有关信息安全的法律法规 信息安全的法律法规是实现信息安全的重要的法律保障，也是网络安全管理的依据。有三个方面的内容： 我国信息安全的相关法律 我国信息安全的相关法规 我国缔约或者参与的国际性法律法规 作业：上网了解我国有关网络安全的法律法规课后自我总结分析：内容安排比较紧凑，不能过多发挥教案内页（实验课备课用）序号： 3 实验名称实验1 口令破译实验目的和要求通过对各种不同强度的口令的破译，认识：密钥空间的大小与密钥安全性的关系；什么是字典攻击，为什么字典攻击比较容易奏效；什么样的口令是好的安全口令，什么样的口令是不安全的。实验内容和步骤密钥的安全性q 密钥（key）在身份认证中称为口令（password）。q 密钥的产生方式：手工/自动化q 手工方式产生的密钥如果选择不当，会影响安全性，例如：v 1 ）密钥空间太小易受穷举式攻击（图表见ppt） 注：所有可能的密钥的集合称为密钥空间。其大小就等于所有可能的密钥的总数。 q 下表列出由键盘上的可打印字符产生的密钥空间的大小。显然，从键盘输入密钥时，采用大小写字母和符号的组合，其密钥空间是最大的。（图表见ppt）v (2) 差的密钥选择方式容易遭受字典攻击v 攻击者一般并不会按照顺序去测试所有可能的密钥，而是首先尝试各种最可能使用的密钥，例如英文单词、名字、等。例如： 1 ）姓名、姓名首字母、用户名等 2 ）各种个人信息，如出生年月日，电话手机号码，甚至是个人崇拜的明星的姓名等 3 ）从各种数据库得到的单词 4 ）数据库单词的大写置换 5 ）一些词组 v (3) 好的密钥的特点v 由自动方式产生 真随机性（不可重复性和不可预测性）。可用投硬币、掷骰子等方法，或由噪声发生器产生。 采用散列函数或者好的伪随机数。v 由手工方式产生 选用易记难猜的密钥。特别是不要使用个人或亲属的相关信息。 避免使用弱密钥。例如，单一字符的重复，或者位数过少。 q 攻击者要进行口令破解，首先采用社会工程学的方法获取被攻击者的各种信息，将被攻击者各种最有可能使用的口令编入“黑客字典”，然后依次用黑客字典中的每一个词语进行测试，这种破解口令的方法就称为“字典攻击法”。通常可以达到40%的成功率。q 黑客字典一般用记事本编辑。q 实验软件： pwdcrack 安装：将“pwdcrack”复制到你本机的硬盘上。q 实验内容和步骤： q 1. ms office文件口令破译v step 1 建立一个word 文件，并设置口令为：888888v step 2 采用“offkey.exe” 软件破译上述口令。 v step 3 分别设置口令为123456 、你的出生年月日、你的手机号码等纯数字组成的口令，重复step 1 和step 2 步骤。 v step 4 分别设置口令为你的姓名拼音字母全小写和全大写等纯字母组成的口令，重复step 1 和step 2 步骤。 v step 5 设置口令为字母、数字和特殊符号，重复step 1 和step 2 步骤。 q 2. 口令的穷举攻击破译v step1 建立一个rar 文档，设置口令为：888888 。 v step 2 采用“rarkey.exe” 软件破译上述口令，记下破译所用的时间。 v step 3 分别设置口令为123456 、你的出生年月日、你的手机号码等纯数字组成的口令，重复step 1 和step 2 步骤。 v step 4 分别设置口令为你的姓名拼音字母全小写和全大写等纯字母组成的口令，重复step 1 和step 2 步骤。 v step 5 设置口令为字母、数字和特殊符号，重复step 1 和step 2 步骤。 q 3. 口令的字典攻击破译q step 1 使用“记事本”编辑字典文件，成为你自己的字典文件。q step 2 建立一个rar文档，依次设置口令与前面穷举攻击所用的口令一样。q step 3 采用“rarkey.exe”软件，并选择你自己编制的字典文件，然后利用字典攻击法破译上述口令，分别记下破译所用的时间。实验报告要求实验报告提交q 1. 下载“实验报告1.doc”，将文件名修改为你的学号姓名和实验号，例如：假设你的学号是08129999，姓名是张三，则实验报告的文件名为“08129999张三实验1 . doc”。q 2. 实验过程中按栏目要求填写好实验的结果数据。3. 在实验课当堂完成的同学可以在下课前通过ftp提交，当堂完不成的同学必须在下一次实训课之前通过e-mail提交。实验环境windows xp或windows server；教师提供“工具软件1文件口令破译”软件包供学生下载使用。教案内页（课堂讲授备课用）序号：4 章节名称第2章 黑客常用的系统攻击方法教学目的和要求使学生了解网络攻击与网络安全防范的关系，许多网络技术都是“双刃剑”（既是网络攻击技术，也是网络安全管理技术。）教学重点与难点1.网络攻击与网络安全防范的关系；2. 黑客与入侵者；3. “黑客攻击五步曲”。讲授内容u 本章前言：网络攻击与网络安全防范的关系u (1) 网络攻击技术和网络安全技术是密切相关的。 u 孙子兵法 曰：“知己知彼，百战不殆” 。 u 研究网络安全技术而不研究网络攻击技术，就是纸上谈兵。反之，研究网络攻击技术而不研究网络安全防范，那就是闭门造车。 u 从技术上说，学习网络攻击技术是为了更加有效地做好网络防护。没有网络攻击就没有网络安全。 u 通过学习网络攻击技术，能够发现，对于那些缺乏安全防护的系统而言，攻击是一件轻而易举的事情，从而可以增强网络安全意识。 u (2) 许多网络技术是“双刃剑”，它既是网络攻击技术，也是网络安全管理技术。u 例如，漏洞扫描技术，系统管理员可以利用它对系统进行检测，并对发现的漏洞采取相应的措施；而攻击者则利用它寻找攻击的突破口。 u 在本章中将学习一些黑客常用的攻击方法，其目的是为了更加有效地做好网络安全防护。 u (3) 严格遵守法律、法规，特别是不要触犯刑法u 不要有意或无意地做那些触犯法律法规的事。例如，不要为私人恩怨而攻击，不要为商业或个人目的而获取秘密资料，不要为寻求刺激或给别人帮忙而攻击，也不要随意做一些无目的的攻击（玩玩？）。 本章内容要点：一、黑客概述（2.1黑客概述）二、踩点扫描（2.2 目标系统的探测方法；2.4 网络监听）三、获得控制权（2.3 口令破解；2.5 木马攻击）四、其他典型攻击（2.6 拒绝服务攻击；2.7 缓冲区溢出）一、黑客概述（2.1 黑客概述）2.1.1 黑客的由来u 黑客是“hacker”的音译，源于动词hack，其引申意义是指“干了一件非常漂亮的事”， hacker即指那些精于某方面技术的人。对于计算机技术而言，黑客就是 “计算机高手”。u 黑客的原意是指对于计算机系统的奥秘有强烈兴趣而无恶意的人，其目的仅仅是破译和进入一个计算机系统；他们具有操作系统和编程语言方面的高级知识，知道系统中的漏洞及其原因所在；他们不断追求更深的知识，并公开他们的发现，与其他人分享；而且从来没有破坏数据的企图。这类黑客又称白帽黑客。u 黑客技术繁多，没有明显的理论指导。u 入侵者（cracker，又称骇客/黑帽黑客）的目的则是恶意的，他们怀着不良的企图，闯入计算机系统，利用获得的非法访问权去制造麻烦。他们可能是某个心怀不满的雇员，破坏重要数据，使系统拒绝合法用户服务请求，甚至破坏计算机系统或数据的完整性；也可能是一个犯罪分子，其目的是非法窃取系统资源（如窃取银行卡号或进行非法资金传送），对数据进行未经授权的修改或破坏计算机系统。u 黑客分类u 白帽黑客（hacker ） 勇于创新而无恶意 u 黑帽黑客/ 骇客（cracker ） 恶意破坏 2.1.2 黑客攻击的动机u 黑帽黑客攻击的动机u 贪心 偷窃或者敲诈 u 恶作剧无聊的计算机程序员 u 名声显露出计算机经验与才智，以便证明他们的能力和获得名气 u 报复/ 宿怨解雇、受批评或者被降级的雇员，或者其他任何认为其被不公平地对待的人 u 无知/ 好奇失误和破坏了信息还不知道破坏了什么 u 仇恨国家和民族原因 u 间谍 政治和军事目的谍报工作 u 商业 商业竞争，商业间谍 u 白帽黑客有他们的“黑客精神”和“黑客守则”。u 黑客精神指的是一名真正的黑客需要具备四种基本素质：“free”精神、探索与创新精神、反传统精神和合作精神。u (1) “free”（自由、免费）的精神u 需要在网络上和国内外的一些高手进行广泛的交流，并有一种奉献精神，将自己的心得和编写的工具与其他黑客共享。 u (2) 探索与创新的精神u 所有的黑客都是喜欢探索软件程序奥秘的人。他们探索程序与系统的漏洞，在发现问题的同时会提出解决问题的方法。 u (3) 反传统的精神u 不断找出系统的安全漏洞，并利用该漏洞去寻求相应的攻击手段，这是黑客永恒的工作主题，而所有的系统在没有发现漏洞之前，都号称是安全的。u (4) 合作的精神u 在目前的条件下，一次成功的入侵攻击，单靠一个人的力量往往已经没有办法完成了，通常需要数人，数百人甚至成千上万人的通力协作才能完成任务。同时，互联网也为不同国家的黑客提供了合作交流的平台。 u 任何职业都有相关的职业道德，黑客同样有他们的职业道德，归纳起来就是以下的“黑客守则”：u (1) 不要恶意破坏任何的系统，不要入侵政府机关、情报机关或军方的主机。 u (2) 不要破坏别人的软件、资料和数据。 u (3) 不要修改任何系统文件，如果是因为进入系统的需要而修改了系统文件，请在目的达到后将它改回原状。 u (4) 不得清除或修改已侵入的目标机中的账号。 u (5) 不要做一些无聊、单调并且愚蠢的工作。 u (6) 不要炫耀你要入侵的或者入侵过的站点。 u 当前，黑客行为的发展趋势有以下三个方面：u 手段高明化： 黑客们已经意识到单靠一个人力量远远不够了，已经逐步形成了一些团体，利用网络进行交流，互相交流经验和自己编写的工具。 u 活动频繁化： 由于网络的普及，黑客工具的大众化是黑客活动频繁的主要原因。 u 动机复杂化： 黑客的动机是不断追求更深的知识，并且从来没有破坏企图。而入侵者的动机目前已经不再局限于为了国家利益、金钱、刺激和技术的追求，他们的行为已经和国际的政治、经济等紧密地结合在一起。 2.1.3 黑客入侵攻击的一般过程黑客入侵攻击的一般过程u step 1 隐藏ipu 隐藏ip指的是隐藏自己的ip地址。这一步无论对于黑客实施攻击，还是用户防范黑客攻击来说，都是非常必要的。u 对黑客而言，必须隐藏自己的ip地址，以便防止被跟踪，被发现自己入侵的踪迹。u 对普通用户而言，隐藏自己的ip地址可以有效地防范来自网络上的黑客攻击，因为黑客攻击首先要获取对方的ip地址。u 侦察并获得目标主机ip的方法很多，主要有以下两类：u 使用网络扫描器软件u 数据报分析法u 数据报分析法是用网络嗅探器软件截获对方的网络数据报，然后直接使用软件解析所截获的ip数据报的报头信息，进而根据这些信息获得数据报的源ip地址。这种方法是最有效的。u 反之，可以隐藏ip的方法也同样有很多。u 普通用户隐藏ip地址常用以下三种方法： u (1) 使用代理服务器(proxy server) ：可用“ 代理猎手” 等工具软件扫描网络上的代理服务器，在浏览网站、聊天、bbs 时留下的网址是代理服务器的的网址。 u (2) 使用工具软件，如norton internet security 、网络新手ip 隐藏器、hide ip 等软件都具有隐藏ip 的功能，但是如果你的主机前端有路由器或者有带ip 共享功能的集线器，则此法无效。 u (3) 对于局域网中的电脑，可以将浏览器中的proxy 地址（代理）设为与internet 连接的那台主机的地址。 u 以上措施可以在一定程度上防范入侵，但高深的黑客仍然可以找到你的ip地址。u 为安全起见，还应采取进一步的措施，包括关闭不必要的端口、关闭不必要的服务、禁用默认共享、使用防火墙进行屏蔽等，后面将做详细介绍。u 黑客通常采用以下方法隐藏自己的ip地址：u (1) 首先入侵internet 网上的一台主机（俗称肉机、傀儡机、代理机），然后利用这台主机作为跳板进行攻击，这样即使被发现了，也是“ 肉机” 的ip 地址。 u (2) 做多极跳板的“sock 代理” ，这样在入侵的主机上留下的是代理计算机的ip 地址。比如攻击a 国的站点，一般选择离a 国很远的b 国的主机作为“ 肉鸡” 或者“ 代理机” ，这种跨国度的攻击，一般很难被侦破。 u (3) 要对付最有效的“ 数据报分析法” ，可以安装并使用能够自动去掉所发送ip 数据报的报头信息的一些软件。不过使用这类软件的缺点是，会严重耗费系统资源，而降低计算机的性能。 u step 2 踩点扫描u 踩点扫描就是通过各种途径对所要攻击的目标（可以是工作站、服务器、交换机、路由器等）进行多方面的了解，甚至还包括从非技术性渠道（如社会工程学方法）可以得到的任何蛛丝马迹。当然必须确保所获得信息的准确性。u 踩点扫描的目的就是探察攻击目标的各方面情况，利用各种工具软件在攻击目标的ip地址或ip地址段的主机上寻找漏洞，模清对方最薄弱的环节和守卫最松散的时刻，根据扫描结果做出周密可靠的分析报告，以便确定攻击的最佳时机和地点，为下一步的入侵提供良好的策略。踩点扫描的策略u 踩点扫描在策略上一般分成两种：u (1) 被动式扫描策略u 被动式扫描策略是基于主机的，检查目标系统中不合适的设置、脆弱的口令以及其他不符合安全规则的对象。被动式扫描一般不会对目标系统造成影响或破坏。u (2) 主动式扫描策略u 主动式扫描策略是基于网络的，它通过对目标系统进行模拟攻击 ，记录系统的反应，从中发现目标系统的漏洞。主动式扫描会对目标系统造成一定的影响或破坏，也容易被目标系统所觉察。 u 踩点扫描技术主要有以下几类：u (1) 活动主机探测 u (2) icmp （internet control and message protocol, 网络控制信息协议）查询 u 例如ping 和tracert 命令都是利用icmp 协议中的echo request 报文进行的。 u (3) 端口扫描 （扫描目标主机开放的端口，并标识udp 和tcp 服务，扫描方式有慢速扫描和乱序扫描两种） u (4) 漏洞扫描 （对目标主机可能存在的已知安全漏洞逐项进行检查，因此又称为指定漏洞扫描） u (5) 综合扫描（包括以上多项内容的扫描） u step 3 获得控制权u 获得目标主机控制权的关键在于获得目标主机的系统（system）权限或者管理员（administrator）权限，因为这两个权限都是系统的最高权限，可以对目标主机进行完全控制，从而能够实现攻击目的。u 获取系统或者管理员权限的方法：u (1) 直接获取系统或管理员权限 u (2) 将普通用户的权限提升为系统管理员权限 u 若攻击者已经获得一个普通用户的帐号和口令，就可以很容易地从普通用户提升为管理员（administrator ），从而获得系统的控制权。 u step 4 种植后门u 攻击者为了长期保持自己的胜利果实（即目标系统的控制权），通常都要在已经被攻破的目标机上种植（即设置）专门供自己使用的后门（backdoor），以方便今后的入侵。u step 5 清除痕迹u 在攻击者实施攻击的过程中，目标主机上的日志中已经存储了相关的记录，这样就很容易被管理员或者入侵检测系统发现你的踪迹。u 因此，攻击者在入侵完毕后需要清除那些记录攻击者登录事件和所有操作的系统日志以及其他相关的日志。此外，如果是因为进入系统的需要而修改了系统文件或者注册表，一般都要在离开前将它改回原状。u 只有清除掉入侵痕迹，攻击者在离开后才可以真正实现在网络中“隐身”。作业上网了解黑客案例教案内页（实验课备课用）序号：5 实验名称实验2 扫描器和嗅探器的使用扫描器部分（实验内容之1，2，3）实验目的和要求通过实训，学习常用扫描器和嗅探器软件的使用，掌握对用户口令漏洞、端口漏洞、系统漏洞等的扫描方法。实验内容和步骤q 实验内容： v 1. portscan v1.2v 2. superscan v4.0 汉化版 v 3. x-scan v3.3 v 4. win sniffer v1.3v 5. pswmonitor v2.5v 6. 其他一些最新的嗅探器 实验内容1. portscan v1.2q 使用工具软件portscan（端口扫描器）可以知道目标主机都开放了哪些端口，这是踩点扫描的重要一步。q 实验步骤：q step 1 运行portscan.exe，出现portscan 1.2 的主界面如图。 1. portscan v1.2q step 2 ：在scan文本框中输入目标机的ip地址（设为09），在send port文本框中输入起始的端口号，然后点击 “start”按钮，开始扫描。实验内容2. superscan v4.0q (1) 使用方法q 给superscan解压后，双击superscan.exe，开始使用。打开主界面，默认为“扫描”菜单，允许你输入一个或多个主机名或ip范围。你也可以选文件下的输入地址列表。输入主机名或ip范围后开始扫描，点play按钮，superscan开始扫描地址。q 扫描进程结束后，superscan将提供一个主机列表，关于每台扫描过的主机被发现的开放端口信息。superscan还有选择以html格式显示信息的功能。q (2) 关于主机和服务扫描设置q 从以上的例子，已经能够从一群主机中执行简单的扫描，然而，很多时候需要定制扫描。如图c（图表见ppt）上看到的主机和服务扫描选项设置。这个选项让你在扫描的时候看到的更多信息。 q 在菜单顶部是查找主机选项，可选择或取消各种可选的发现主机的扫描方式，默认的是“回显请求”，也能够选择“时间戳请求”、“地址掩码请求”和“信息请求”等方式。选择的选项越多，那么扫描用的时间就越长。如果你正在试图尽量多的收集一个明确的主机的信息，建议你首先执行一次常规的扫描以发现主机，然后再利用可选的请求选项来扫描。q 在菜单的底部，包括udp端口扫描和tcp端口扫描选项。注意到superscan默认扫描的仅仅是那几个最普通的常用端口。原因是有65536个端口，若对每个可能开放端口的ip地址，进行多种方式的端口扫描，将需要多长的时间，但也提供了扫描额外端口的选项。 q (3) 关于扫描选项q 扫描选项允许进一步的控制扫描进程。菜单中的首选项是定制扫描过程中“检测开放主机次数”和“检测开放服务次数”。默认值是1，一般来说足够了。q 扫描选项中的接下来的选项，能够设置“查找主机名解析通过次数”。同样，数量1足够了。q 另一个选项是“获取标志”的设置， “获取标志”是根据显示一些信息尝试得到远程主机的回应。默认的延迟是8000毫秒，如果你所连接的主机较慢，这个时间就显的不够长。q 图d中旁边的滚动条是扫描速度调节选项，能够利用它来调节superscan在发送每个包所要等待的时间。最快的可能扫描，当然是调节滚动条为0。可是，扫描速度设置为0，有包溢出的潜在可能，最好调慢superscan的速度。 q (4) 关于工具选项 q superscan的工具选项可以很快得到许多关于一个明确的主机信息。正确输入主机名或者ip地址和默认的连接服务器，然后点击你要得到相关信息的按纽。如，你能ping一台服务器，或traceroute，和发送一个http请求。图e（图表见ppt）显示了得到的各种信息。q (5) 关于windows枚举选项q 如果你设法收集的信息是关于linux/unix主机的，那这个选项是没什么用的。但若你需要windows主机的信息，这个选项确实是很方便的。如图f所示，能够提供从单个主机到用户群组，再到协议策略的所有信息。这个选项给人的最深刻的印象是它产生大量的透明信息。 实验内容3. x-scan v3.3q x-scan v3.3软件采用多线程方式对指定ip地址段或单机进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式，可以利用该软件对系统存在的漏洞进行扫描。q 扫描的内容包括： 远程操作系统类型及版本 标准端口状态及端口banner 信息 snmp 信息，cgi 漏洞，iis 漏洞，rpc 漏洞，ssh 漏洞 sql-server 、ftp-server 、smtp-server 、pop3-server nt-server 弱口令用户，nt 服务器的netbios 信息 注册表信息等。 q 实验步骤：q step 1 运行x-scan v2.3主界面如图所示。（图表见ppt）q step 2 点击菜单栏“设置”下的菜单项“扫描参数”，选择要扫描的模块。可以看出该软件可以对常用的网络以及系统的漏洞进行全面的扫描，选中几个复选框，点击按钮“确定”。q step 3 选择菜单栏“设置”下的菜单项“扫描参数”，指定目标主机的ip地址或者ip地址段。若只扫描一台主机，就在指定ip范围框中输入：09-09。q 完成后点击“确定”按钮，返回主界面。q step 4 点击工具栏上的“开始” 图标，就开始对目标主机进行扫描，如图所示。（图表见ppt）q step 5 扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。实验报告要求实验报告待下一次实验课之后一起提交实验环境windows xp或windows server；教师提供“工具软件2扫描器和嗅探器”软件包供学生下载使用。教案内页（课堂讲授备课用）序号：6 章节名称第2章 黑客常用的系统攻击方法(续1)教学目的和要求了解黑客进行踩点扫描的目的、方法和防范对策；了解网络嗅探器的工作原理、应用方法和检测方法。教学重点与难点漏洞的概念、踩点扫描的目的、方法和防范对策讲授内容本章内容要点：一、黑客概述（2.1黑客概述） 上一节内容二、踩点扫描（2.2 目标系统的探测方法；2.4 网络监听）三、获得控制权（2.3 口令破解；2.5 木马攻击）四、其他典型攻击（2.6 拒绝服务攻击；2.7 缓冲区溢出）二、踩点扫描（2.2 目标系统的探测方法；2.4 网络监听）2.2 目标系统的探测方法u 踩点扫描的目的是了解目标主机的信息，主要包括：u ip地址u 开放的端口u 服务器操作系统类型u 系统服务u 从而，发现目标主机系统的漏洞。主要内容：1. 漏洞的概念2. 网络扫描器的原理3. 踩点扫描的常用工具4. 踩点扫描的防范对策 1. 漏洞的概念u 在计算机网络安全领域，“漏洞”是指系统硬件、软件或策略上的缺陷。这种缺陷会导致非法用户未经授权而获得或提高其访问系统的权限。非法用户有了这种访问权限，就可以为所欲为，从而造成对网络安全的威胁。u 操作系统的脆弱性是漏洞存在的主要原因。漏洞是难以预知的，随着技术的进步，新的漏洞会不断被发现。因此，漏洞是系统安全的主要威胁，及时给操作系统打补丁是实现系统安全的重要措施。u 后门也会对构成严重的威胁。后门与漏洞的不同之处在于后门是人为故意设置的。后门可能是系统的软件或硬件制造者为了进行非授权访问而故意设置的，也可能是非法入侵者故意设置的。u 漏洞是指计算机硬件、软件或策略上的缺陷。u 漏洞不仅会对用户的操作造成不便，而且会直接威胁到用户的系统安全和数据安全。u 由于种种原因，漏洞总是层出不穷。u 漏洞对网络安全的影响u 漏洞影响internet 的可靠性和可用性 u 漏洞导致internet 上黑客入侵和计算机犯罪 u 漏洞致使internet 遭受网络病毒和其它恶意软件的攻击 u 如何检测windows系统漏洞u 用户应及时了解自身的windows系统存在哪些已知漏洞，建议用户通过专用软件（例如360安全卫士）对系统进行全面检测。u 如何处理系统中的漏洞u 针对系统设计的漏洞，微软公司会及时推出补丁程序