网络安全保护与设计.ppt

网络安全保护与设计 随着Internet技术的不断发展 计算机网络应用的不断普及 现在从公司企业到每一个家庭都开始了一种离不开计算机网络的生活模式 因此 计算机网络的安全威胁问题也必将成为每个公司或个人所必须面临的问题 第1章网络安全概述 1 1网络安全是什么在网络环境里的安全指的是一种能够识别和消除不安全因素的能力 1 2不同环境和应用中的网络安全运行系统安全即保证信息处理和传输系统的安全 它侧重于保证系统正常运行 避免因为系统的崩溃和损坏而对系统存贮 处理和传输的信息造成破坏和损失 避免由于电磁泄漏 产生信息泄露 干扰他人 或受他人干扰 网络上系统信息的安全包括用户口令鉴别 用户存取权限控制 数据存取权限 方式控制 安全审计 安全问题跟踪 计算机病毒防治 数据加密 网络上信息传播安全即信息传播后果的安全 包括信息过滤等 它侧重于防止和控制非法 有害的信息进行传播后的后果 避免公用网络上大量自由传输的信息失控 网络上信息内容的安全它侧重于保护信息的保密性 真实性和完整性 避免攻击者利用系统的安全漏洞进行窃听 冒充 诈骗等有损于合法用户的行为 本质上是保护用户的利益和隐私 1 3网络安全的重要性 网络必须有足够强的安全措施 无论是在局域网还是在广域网中 无论是单位还是个人 网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性 这样才能确保网络信息的保密性 完整性和可用性 1 4安全的基本元素 了解构成安全的一些基本元素 对于我们进一步进行安全方案的制定和实施是至关重要的 你还需要进一步了解一些安全机制来建立你的安全体系结构 下图显示了最重要的安全元素 同时它也展示了这些安全元素的构成等级 第2章网络安全基础 2 1OSI参考模型开放系统互连 OpenSystemInterconnection 基本参考模型是由国际标准化组织 ISO 制定的标准化开放式计算机网络层次结构模型 又称为ISO sOSI参考模型 OSI体系结构定义了一个七层模型 从下到上分别为物理层 数据链路层 网络层 传输层 会话层 表示层和应用层 2 2TCP IP协议族 TCP IP是用于计算机通信的一组协议 我们通常称它为TCP IP协议族 1 TCP TransportControlProtocol 传输控制协议2 IP InternetworkingProtocol 网间网协议3 UDP UserDatagramProtocol 用户数据包协议4 ICMP InternetControlMessageProtocol 互联网控制信息协议5 SMTP SimpleMailTransferProtocol 简单邮件传输协议6 SNMP SimpleNetworkmanageProtocol 简单网络管理协议7 FTP FileTransferProtocol 文件传输协议8 ARP AddressResolationProtocol 地址解析协议 2 2 1TCP IP四层模型 从协议分层模型方面来讲 TCP IP由四个层次组成 网络接口层 网络层 传输层 应用层 TCP IP分层和OSI的分层关系如图所示 TCP IP由四个层次的功能和作用 网络接口层这是TCP IP软件的最低层 负责接收IP数据包并通过网络发送之 或者从网络上接收物理帧 抽出IP数据包 交给IP层 网络层负责相邻计算机之间的通信 其功能包括三方面 1 处理来自传输层的分组发送请求 收到请求后 将分组装入IP数据包 填充报头 选择去往信宿机的路径 然后将数据包发往适当的网络接口 2 处理输入数据包 首先检查其合法性 然后进行寻径 假如该数据包已到达信宿机 则去掉报头 将剩下部分交给适当的传输协议 假如该数据包尚未到达信宿 则转发该数据包 3 处理路径 流控 拥塞等问题 传输层提供应用程序间的通信 其功能包括 1 格式化信息流 2 提供可靠传输 为实现后者 传输层协议规定接收端必须发回确认 并且假如分组丢失 必须重新发送 应用层向用户提供一组常用的应用程序 比如电子邮件 文件传输访问 远程登录等 远程登录TELNET使用TELNET协议提供在网络其他主机上注册的接口 TELNET会话提供了基于字符的虚拟终端 文件传输访问FTP使用FTP协议来提供网络内机器间的文件拷贝功能 2 2 2TCP TransmissionControlProtocol 传输控制协议 传输控制协议 TCP 是所需的TCP IP标准 在RFC793 传输控制协议 TCP 中定义 提供可靠的 面向连接的数据包传递服务 TCP数据包结构如图 TCP连接的建立和终止建立连接 三次握手 1 请求端发送一个SYN标志位为1的报文 指明客户打算连接的服务器的端口 以及初始序号 ISN 这个SYN报文段为报文段1 2 服务器端发回包含服务器的初始序号的SYN标志位为1的报文 报文段2 同时ACK标志位也为以1 表示该数据包为一个确认数据包 并且将确认序号设置为客户的ISN加1以对客户的SYN报文段进行确认 一个SYN将占用一个序号 3 客户必须将确认序号设置为服务器的ISN加1以对服务器的SYN报文段进行确认 报文段3 确认数据包ACK标志位为1 这3个报文段完成连接的建立 称为三次握手 如图所示 终止连接 四次握手 1 TCP客户端发送一个FIN标志位为1的终止请求数据包 用来关闭客户到服务器的数据传送 2 服务器收到这个FIN标志位为1的数据包后将发回一个ACK标志位为1的却是数据包 确认序号为收到的序号加1 和SYN一样 一个FIN将占用一个序号 3 服务器关闭客户端的连接 发送一个FIN标志位为1的终止请求数据包给客户端 4 客户段发回确认ACK标志位为1 并将确认序号设置为收到序号加1 这3个报文段完断开连接的过程 称为四次握手 如图2 6所示 终止连接 四次握手 连接建立的超时如果与服务器无法建立连接 客户端就会三次向服务器发送连接请求 在规定的时间内服务器未应答 则连接失败 TCP的半关闭TCP提供了连接的一端在结束它的发送后还能接收来自另一端数据的能力 这就是TCP的半关闭 客户端发送FIN 另一端发送对这个FIN的ACK报文段 当收到半关闭的一端在完成它的数据传送后 才发送FIN关闭这个方向的连接 客户端再对这个FIN确认 这个连接才彻底关闭 2MSL连接TIME WAIT状态也称为2MSL等待状态 每个TCP必须选择一个报文段最大生存时间 MSL 它是任何报文段被丢弃前在网络的最长时间 处理原则 当TCP执行一个主动关闭 并发回最后一个ACK 该连接必须在TIME WAIT状态停留的时间为2MSL 这样可以让TCP再次发送最后的ACK以避免这个ACK丢失 另一端超时并重发最后的FIN 这种2MSL等待的另一个结果是这个TCP连接在2MSL等待期间 定义这个连接的插口不能被使用 2 2 3TCP协议的脆弱特性三次握手的脆弱性 建立一个TCP连接是通过三次握手来完成的 这样实现了TCP提供面向连接的可靠的服务的特性 同时三次握手也给采用TCP协议提供服务的服务器带来的安全上的威胁 造成了服务器的资源被大量的损耗 造成服务器无法提供正常的服务甚至宕机 这也就是黑客经常采用的SYNFLOOD拒绝服务攻击 第3章透析黑客 3 1透析黑客黑客其实是英文Hacker的音译 源于动词Hack 其引申意义是指 干了一件非常漂亮的事 在这里我们说黑客是指那些精于某方面技术的人 对于计算机而言 黑客就是精通网络 系统 外设以及软硬件技术的人 是褒义词 并不是我们所想象的四处搞破坏的破坏者 3 1 1怎样才算是一个黑客 首先 黑客绝非是自称的 自称为黑客甚至只是取了一个与黑客相关的名字 都会遭到真正的黑客的嘲笑 在黑客的圈子里 只有其他的黑客接纳了你 得到其他黑客的认可 你才能算是一个黑客 其次 黑客应该具有一定的创造力 仅仅是拿着黑客前辈们所编写的黑客软件到处乱试 一旦出现问题却又束手无策的人 绝对称不上是一个真正的黑客 此外 一名黑客还应该具有黑客的精神以及黑客的行为 要能够融入黑客们自然形成的黑客文化当中去 你才能算得上是一名黑客 当然 不管怎么样 黑客的技能是必备的 总的来说 要成为一名黑客你必须是技术上的行家 并且热衷于解决问题 能无偿地帮助他人 3 1 2黑客的分类 从广义上分黑客可以分为三类 第一类 破坏者第二类 红客第三类 间谍 还有一种对黑客的详细分类可分为如下几类 好奇型 恶作剧型 隐密型 定时炸弹型 重磅炸弹型 解密者 3 1 3黑客精神 3 1 3黑客精神黑客精神指的就是善于独立思考 喜欢自由探索的一种思维方式 主要体现在以下几方面 Free 自由 免费 的精神这是黑客文化的精髓之一 Free 是黑客最应该具有的态度 黑客们诞生并成长于开放的互联网 他们解决问题并创造新的东西 他们相信自由并自愿的互相帮助 最明显的一个表现 就是在互联网上 黑客们编写的各种黑软件都是完全免费共享的 甚至连源代码都是公开的 而黑客们在帮助你之后 惟一的要求只是你在成长起来后同样地帮助别人 Free 可算是黑客的传统精神 也是现代黑客们所尽力保持的 探索与创新的精神所有的黑客都是喜欢探索软件程序奥秘的人 他们摸索着程序与系统的漏洞 并能够从中学到很多知识 在发现问题的同时 他们都会提出解决问题的创新方法 在互联网急剧发展 并在人们的生活的方方面面起着越来越重要的作用的时候 正是黑客们探索与创新的精神 使得互联网的安全问题起了人们的重视 反传统 反权威 反集权的精神反传统的精神在黑客们身上表现得最明显不过了 不具备这种精神的人 很难想象他会成为一个黑客 而这里的 反传统 主要是指科学技术上的反传统 并不包含任何贬义 黑客们做得最多的事 就是探索与创新 这也是大家要学习的 这都需要他们具有反传统的精神 他们的快乐就源自于攻破传统的东西 合作的精神个人的力量是有限的 黑客们很明白这一点 因此才有了那么多供黑客交流的论坛与新闻组 在技术上保守的人是不可能成为黑客的 3 1 4黑客守则 1 不要恶意破坏任何的系统 这样做只会给你带来麻烦 2 不要破坏别人的软件和资料 3 不要修改任何系统文件 如果是因为进入系统的需要而修改了系统文件 请在目的达到后将它改回原状 4 不要轻易的将你要黑的或者黑过的站点告诉你不信任的朋友 5 在发表黑客文章时不要用你的真实名字 6 正在入侵的时候 不要随意离开你的电脑 7 不要入侵或破坏政府机关的主机 8 将你的笔记放在安全的地方 9 已侵入的电脑中的账号不得清除或修改 10 可以为隐藏自己的侵入而作一些修改 但要尽量保持原系统的安全性 不能因为得到系统的控制权而将门户大开 11 不要做一些无聊 单调并且愚蠢的重复性工作 12 做真正的黑客 读遍所有管理系统安全或系统漏洞的书 3 1 5黑客必须具备的基本技能 程序设计基础毫无疑问编程是每一个黑客所应该具备的最基本的技能 但是 黑客与程序员又是不同的 黑客往往掌握着许多种程序语言的精髓 或说是弱点与漏洞 并且黑客们都是以独立于任何程序之上的概括性观念来思考一件程序设计上的问题 汇编语言 C语言都是黑客们应该掌握的 黑客们培养这种能力的方法 也与常人有所不同 他们也看种种书籍但更多的是读别人的源代码 这些源代码大多数是前辈黑客们的作品 同时他们也不停地自己写程序 了解并熟悉各种操作系统Unix之所以如此受到黑客们的重视 并不仅仅因为它最初就是由黑客所编写的 我们知道除了Unix外还有很多操作系统 但能得到源代码任意修改的操作系统有Unix Linux更重要的是 Unix是用于网络的操作系统 互联网上有很多主机使用的操作系统都是Unix 至少在目前 互联网还不能没有Unix 因此许多黑客同时也是一个Unix专家 他们清楚Unix这个操作系统的运作过程与基理 除Unix操作系统外 黑客还必须熟知诸如fluxWindowsNovell等操作系统 才能让自己做黑客如虎添翼 互联网的全面了解与网络编程黑客们所创造出来的东西 在很多领域都在起着作用 但只有互联网 才是黑客们真正的舞台 作为一名黑客不懂得使用WorldWideWeb与HTML是不可思议的 3 1 6黑客行为 不随便攻击个人用户及站点虽然黑客们在找到系统漏洞并侵入时 往往都会很小心避免造成损失 并尽量善意地提醒管理者 但在这过程中有许多因素都是未知的 没有人能肯定最终会是什么结果 因此一个好的黑客是不会随便回攻击个人用户及站点的 多编写一些有用的软件这些软件都是免费的 但又和一般的共享软件有所不同 因为这些软件的派代码同时也是公开的 帮助别的黑客测试与调试软件没有人能写出完全没有一点错误或是不再要改进的完美软件 因而对软件的测试与调试是非常重要的 测试与调试软件甚至会比编写软件更耗费精力 但在黑客的世界中 这或许算不了什么 因为在你写出一个软件后 会有许多其他的黑客热心地帮助你测试与调试 义务做一些力所能及的事黑客们都以探索漏洞与编写程序为乐 但在黑客的圈子中 除了探索漏洞与编写程序外 还有许多其他的杂事 如维护和管理相关的黑客论坛 新闻讨论组以及邮件列表 维持大的软件供应站台 推动RFC和其他技术标准等等 这些事都需要人来做 但也许并不都是那么令人感到有趣 所以 那些花费大量精力 义务地为网友们整理FAQ 写教程的黑客 以及各大黑客站点的站主 在网络上都是令人尊敬的 洁身自好 不与 怪客 混在一起真正的黑客总是耻于与 怪客 为伍 他们不会随意破解商业软件并将其广泛流传 也不会恶意侵入别人的网站并造成损失 他们所作所为更像是对于网络安全的监督 3 1 7黑客的行为趋势 黑客这个团体是一个不可忽视的团体 我们有必要总结一下黑客将来的行为趋势 在这里总结为三点 1 手段高明化 综合各种流行的攻击方法 技巧性更强 更容易得手 2 活动频繁化 黑客行为将越来越频繁 一台刚刚启动的服务器 在几分钟之内去查看它的各种日志就会发现有过黑客攻击的痕迹 3 动机复杂化 黑客行为的动机也更加复杂 有政治目的 个人目的 商业目的等 3 2黑客攻击 3 2 1为什么会有攻击 1 帮助系统管理员检查系统漏洞2 为了私人恩怨而攻击3 商业或个人目的获得秘密资料4 民族仇恨5 利用对方的系统资源满足自己的需求6 寻求刺激7 给别人帮忙8 无目的攻击 3 3攻击和安全的关系 为什么在安全的话题中提到黑客攻击 为什么要研究黑客攻击技术 其实网络安全和黑客攻击时密不可分的 试想一下 如果当有了第一台计算机到有了互联网到如今 如果没有一起黑客攻击事件发生 每个人都很讲究道德 只去使用属于自己的资源 不属于自己的资源即使可以得到也不去理会 那么就根本不会出现网络安全这个概念 这是一种理想化的社会 在现实生活中是不可能的 所以从某种意义上来说没有黑客攻击也就没有安全 人们的安全意识是从世界上第一起黑客事件发生之后才产生的 另外 学习黑客攻击技术可以使我们连接黑客的常用手段 让我们了解黑客的攻击手法 做到知己知彼 这样我们才能有针对性地进行安全维护管理 防患于未然 对于已经被入侵的系统 我们可以根据这些 来轻易发现入侵黑客的足迹 下面 给大家一句学习网络安全的要诀 要想成为网络安全专家 一定要先成为一名黑客 第4章网络安全攻击技术 网络攻击一般有五种基本要素 1 攻击者 根据目标和动机的不同可以区分为六种不同的攻击者 黑客 入侵者 间谍 恐怖分子 团伙和职业罪犯 2 工具 进行攻击所使用的工具 3 访问 对系统的访问更进一步可分为以下几个小类 利用脆弱性 设计 系统本身的配置和实现都是可被用来访问的方法 侵入的级别 入者可获得未授权的访问 但也可能得到未授权的使用 进程的使用 特定的进程或服务为被授权的用户使用被归于这一类 如发送邮件等 4 结果 攻击可能有四种结果 服务的拒绝和偷窃 或信息的破坏及偷窃 5 目标 通常与攻击类型密切相关 网络安全攻击主要出于两个目的 窃取信息和破坏系统 从动机上是出于政治 军事 经济等目的 但当前也有相当部分安全攻击仅仅出于攻击者的心理自满或炫耀 网络攻击的来源包括两个 内部网络和企业外网 相比起来 来自内部网的攻击可能更不容易为人们所警惕和防范 这也是网络安全管理员要格外注意的环节 网络安全攻击的常用手段有 口令攻击 漏洞扫描 包侦测 地址欺骗 拒绝服务 缓冲区溢出 病毒与特洛伊木马 未授权访问等 随着互联网技术和应用的普及 网络攻击行为也在逐步发生一些特征上的变化 4 1攻击分类 从攻击的目的来看 可以分为 1 拒绝服务攻击 Dos 2 获取系统权限的攻击 3 获取敏感信息的攻击 从攻击的切入点来看 可以分为 1 缓冲区溢出攻击 2 系统设置漏洞的攻击等 从攻击的纵向实施过程来看 又可以分为 1 获取初级权限攻击 2 提升最高权限的攻击 3 后门攻击 4 跳板攻击等 从攻击的类型来看 又可以分为 1 对各种操作系统的攻击 2 对网络设备的攻击 3 对特定应用系统的攻击等 从黑客的攻击方式上又分为 1 入侵攻击 2 非入侵攻击 4 2入侵攻击的步骤 1 隐藏IP 2 信息搜集 踩点 扫描 监听 3 实施入侵 获得系统或管理员权限 4 保持访问 种植后门等 5 隐藏踪迹 清除日志 4 3五部曲之一 隐藏IP 有两种方法可以实现隐藏IP地址的效果 1 利用别人的机器 俗称 肉鸡 进行攻击 也就是说黑客先登录到一个第三方的主机然后再对目标进行攻击 这样一旦被发现被攻击者也只能得到那台 肉鸡 的IP 2 做多级跳板攻击Sock代理 这样在被攻击者的机器上留下的将是代理跳板主机的IP地址 4 4五部曲之二 信息搜集 踩点 扫描 监听 在攻击者对特定的网络资源进行攻击以前 他们需要了解将要攻击的环境 这需要搜集汇总各种与目标系统相关的信息 包括机器数目 类型 操作系统等等 踩点和扫描的目的都是进行信息的搜集 踩点就是通过各种途径对所要攻击的目标进行多方面的了解 包括任何可得到的蛛丝马迹 但要确保信息的准确 4 4 1踩点的方法 1 域名及其注册机构的查询2 公司性质的了解3 对主页进行分析4 邮件地址的搜集5 目标IP地址范围查询 4 4 2踩点的种类 1 主动的侦查 扫描 常用的网络端口扫描工具有 X SCAN ScanPort等 2 被动的侦查 监听 扫描的目的和原理 扫描的目的就是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞 扫描是采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查 目标可以是工作站 服务器 交换机 路由器 数据库应用等对象 根据扫描结果向扫描者或管理员提供周密可靠的分析报告 4 4 5扫描的策略 第一种是被动式策略 所谓被动式策略就是基于主机之上 对系统中不合适的设置 脆弱的口令以及其他同安全规则抵触的对象进行检查 第二种是主动式策略 主动式策略是基于网络的 它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应 从而发现其中的漏洞 利用被动式策略扫描称为系统安全扫描 利用主动式策略扫描称为网络安全扫描 检测技术 1 基于应用的检测技术它采用被动的 非破坏性的办法检查应用软件包的设置 发现安全漏洞 2 基于主机的检测技术它采用被动的 非破坏性的办法对系统进行检测 通常 它涉及到系统的内核 文件的属性 操作系统的补丁等问题 这种技术还包括口令解密 把一些简单的口令剔除 因此 这种技术可以非常准确地定位系统的问题 发现系统的漏洞 它的缺点是与平台相关 升级复杂 3 基于目标的漏洞检测技术它采用被动的 非破坏性的办法检查系统属性和文件属性 如数据库 注册号等 通过消息文摘算法 对文件的加密数进行检验 这种技术的实现是运行在一个闭环上 不断地处理文件 系统目标 系统目标属性 然后产生检验数 把这些检验数同原来的检验数相比较 一旦发现改变就通知管理员 4 基于网络的检测技术它采用积极的 非破坏性的办法来检验系统是否有可能被攻击崩溃 它利用了一系列的脚本模拟对系统进行攻击的行为 然后对结果进行分析 它还针对已知的网络漏洞进行检验 网络检测技术常被用来进行穿透实验和安全审记 这种技术可以发现一系列平台的漏洞 也容易安装 但是 它可能会影响网络的性能 网络漏洞扫描操作X Scan v3 2 X Scan支持的操作系统 Windows9x NT4 2000 X Scan是国内最著名的综合扫描器之一 扫描进行时 扫描测试报告 4 4 6扫描的8个基本步骤 1 找到初始信息开放来源信息Whois 执行whois程序以找到附加的信息 unix的大多数版本装有whois 在终端窗口或者命令提示行前敲入 whois要攻击的域名 就可以了 对于windows操作系统 要执行whois查找 需要一个第三方的工具 如samspade 得到一个物理地址 一些人名和电话号码Nslookup 2 找到网络的地址范围当攻击者有一些机器的IP地址 他下一步需要找出网络的地址范围或者子网掩码 地址范围的主要原因是 保证攻击者能集中精力对付一个网络而没有闯入其他网络 这样做有两个原因 1 假设有地址10 10 10 5 要扫描整个A类地址需要一段时间 如果正在跟踪的目标只是地址的一个小子集 那么就无需浪费时间 2 一些公司有比其他公司更好的安全性 因此跟踪较大的地址空间增加了危险 如攻击者可能能够闯入有良好安全性的公司 而它会报告这次攻击并发出报警 攻击者能用两种方法找到这一信息 容易的方法是使用AmericaRegistryforInternetNumbers ARIN whois搜索找到信息 困难的方法是使用tranceroute解析结果 1 ARIN允许任何人搜索whois数据库找到 网络上的定位信息 自治系统号码 ASN 有关的网络句柄和其他有关的接触点 POC 基本上 常规的whois会提供关于域名的信息 ARINwhois允许询问IP地址 帮助找到关于子网地址和网络如何被分割的策略信息 2 Traceroute可以知道一个数据包通过网络的路径 因此利用这一信息 能决定主机是否在相同的网络上 3 找到活动的机器在知道了IP地址范围后 攻击者想知道哪些机器是活动的 哪些不是 Ping 使用ping可以找到网络上哪些机器是活动的 QckPing ping有一个缺点 一次只能ping一台机器 攻击者希望同时ping多台机器 看哪些有反应 这种技术一般被称为pingsweeping QckPing就是一个这样的有用程序 4 找到开放端口和入口点 1 PortScanners为了确定系统中哪一个端口是开放的 攻击者会使用被称为portscanner 端口扫描仪 的程序 端口扫描仪在一系列端口上运行以找出哪些是开放的 选择端口扫描仪的两个关键特征 第一 它能一次扫描一个地址范围 第二 能设定程序扫描的端口范围 能扫描1到65