网络知识培训.ppt

网络应用及安全培训 贾志强2011 10 大纲 1 网络参考模型及应用协议2 网络类型 拓扑及设备3 路由交换技术4 网络操作系统5 网络安全 OSI参考模型和TCP IP协议模型 封装数据 解封装数据 TCP IP协议模型各层作用 应用层 传输层 网络层 网络接口层 提供应用程序网络接口 建立端到端连接 寻址和路由选择 驱动程序和网卡 电缆的接口细节规定 TCP IP协议簇 172 16 3 1 172 16 3 2 IP 172 16 3 2 我需要知道176 16 3 2的物理地址 ARP协议 172 16 3 1 172 16 3 2 IP 172 16 3 2 172 16 3 1 IP 172 16 3 2Ethernet 0800 0020 1111 172 16 3 2 IP 172 16 3 2 映射IPEthernetLocalARP 172 16 3 1 IP 172 16 3 2Ethernet 0800 0020 1111 172 16 3 2 IP 172 16 3 2 RARP协议 Ethernet 0800 0020 1111IP 我的地址是多少 Ethernet 0800 0020 1111IP 我的地址是多少 我听到了广播你的地址是172 16 3 25 Ethernet 0800 0020 1111IP 172 16 3 25 Ethernet 0800 0020 1111IP 我的地址是多少 我听到了广播你的地址是172 16 3 25 映射EthernetIP Ethernet 0800 0020 1111IP 172 16 3 25 Ethernet 0800 0020 1111IP 我的地址是多少 我听到了广播你的地址是172 16 3 25 常见服务及对应端口 系统服务不能直接关闭服务来关闭端口 通过本地策略 secpol msc 关闭指定端口 通过实例理解网络数据包的传送 Step1 PC1将IP数据包封装成以太网帧 并将其目的MAC地址设为R1FastEthernet0 0接口的MAC地址 Step2 1 R1发现帧的目的mac地址是自己的mac地址 Step2 2 3 R1剥离以太网帧后检测目的IP地址 Step2 4 R1在路由表中寻找目的IP地址 Step2 5 R1查询下一跳IP地址 更新目的地址从新封装成帧 Step2 6 R3将以太网数据包从接口Fa0 0转发出去 Step3 1 R2发现帧的目的mac地址是自己的mac地址 Step3 2 3 R2剖离以太网帧头检测目的ip地址 Step3 4 R2在路由表中寻找目的IP地址 Step3 4 R2更新目的地址从新封装成帧 Step3 5 R2将以太网数据包从接口S0 0转发出去 Step4 1 R3接受PPP帧 Step4 2 3 R3剥离PPP帧检测目的IP地址 Step4 4 R3在路由表中寻找目的IP地址 Step4 5 R3的快速以太口直接连接到目的 更新目的地址从新封装成帧 Step5 IP数据包到达PC2 帧被剥离后继续检测上层协议 网络类型 拓扑及设备 网络类型 地理位置 局域网 LAN 城域网 MAN 广域网 WAN 传输介质有线网同轴电缆网双绞线网光纤网无线网 通信方式点对点传输网络广播式传输网络服务方式客户机 服务器网络对等网 直通线 交换机 路由器交换机 PC机 服务器集线器 PC机 服务器交叉线 交换机 交换机PC机 PC机交换机 集线器集线器 集线器路由器 路由器 接入线缆 网络设备及部件 集线器运行在物理层 接入设备越多冲突机率越大用CSMA CD技术 集线器 同一个冲突域 交换机和桥运行在链路层 交换机 集线器 桥 交换机 路由器 冲突域 1444 广播域 1114 网络设备的域 路由交换技术 传统IPv4编址 IPv4网络中的地址类型 网络地址 指代网络的地址 在网络的IPv4地址范围内 最小地址保留为网络地址 此地址的主机部分的每个主机位均为0 广播地址 用于向网络中的所有主机发送数据的特殊地址 广播地址使用该网络范围内的最大地址 即主机部分的各比特位全部为1的地址 主机地址 分配给网络中终端设备的地址 计算网络地址 主机地址和广播地址 网络前缀通过前缀长度来指示在地址中网络部分所占的比特数 计算网络地址 主机地址和广播地址 私有地址 10 0 0 0 10 255 255 255172 16 0 0 172 31 255 255192 168 0 0 192 168 255 255 特殊IPv4地址 网络地址和广播地址默认路由 0 0 0 0环回地址 127 0 0 0 8链路本地地址 169 254 0 0 16 熟悉Netsh命令netsh cinterfaceipdump c interface txt导入配置脚本 netsh fc interface txtnetshinterfaceipset delete address本地连接static192 168 83 1255 255 255 0192 168 83 2541 IPv6 IPv6 InternetProtocolVersion6 IPv6地址为128位长 通常写作8组 每组为四个十六进制数的形式 例如 2001 0db8 85a3 08d3 1319 8a2e 0370 7344IPv6配置 1 IPv6协议栈的安装在开始 运行处执行ipv6install 2 IPv6地址设置在开始 运行处执行netsh进入系统网络参数设置环境 然后执行interfaceipv6addaddress 本地连接 2001 da8 207 9402 路由技术 路由器是计算机 路由器的基本组件 CPURAMROM操作系统路由器是网络组成的中心 路由器通常用于两种连接 WAN连接 连接到ISP LAN连接 路由器的CPU和存储器 路由器的组成及功能CPU 执行操作系统的指令随机访问存储器 RAM RAM中内容断电丢失运行操作系统 运行配置文件 IP路由表 ARP缓存 数据包缓存区 只读存储器 ROM 保存开机自检软件 存储路由器的启动引导程序bootstrap指令基本的自检软件迷你版IOS 非易失RAM NVRAM 存储启动配置 这包括IP地址 路由协议 主机名闪存 运行操作系统 CiscoIOS Interfaces 拥有多种物理接口用于连接网络 接口类型举例 路由器启动步骤 路由器启动的主要步骤检测路由器硬件Power OnSelfTest POST 执行引导装入程序定位加载CiscoIOS软件 定位IOS 加载IOS定位加载启动配置文件或进入配置模式 启动程序搜寻配置文件 路由器接口 路由器管理接口 Console口Auxiliary口路由器物理接口使得路由器接受或发送数据包每个接口连接到一个独立的网络路由器外部由各种插孔和插座组成接口类型 以太网 快速以太网 串口 路由器接口 两组主要的路由器接口局域网接口 被用来连接局域网拥有二层mac地址可被分配三层IP地址通常由RJ 45接口组成 广域网接口用于连接外部网络 依靠广域网技术 可应用二层地址 使用三层地址 路由表介绍 路由表存储在RAM中 包含以下信息 直连网络 一个设备连接到另一个路由器接口时会出现远程网络连接 这个网络并非直接连接到某一台路由器网络的详细信息包括源信息 网络地址和子网掩码 下一条路由的IP地址建立路由表的三种途径 直连路由 直接连到路由器上的网络静态路由 管理员手工构建路由表动态路由 路由器之间动态学习到的路由表 现实中的路由表 静态路由 路由表中的静态路由 包含 网络地址和子网掩码以及路由下一跳IP地址或出接口 在路由表中用S标出 在静态或动态路由被使用之前 路由表中必须包含与远程网络相关的直连路由何时使用静态路由 路由器较少 唯一外连出口 星型拓扑 现实世界的静态路由 动态路由 动态路由协议 向路由表中添加远程网络 探索网络 更新和维护路由表自主网络探索 通过共享路由表信息路由器能探索到新的网络 动态路由协议的分类 路由表原理 路由表的原则 3条法则 每台路由器根据其自身路由表中的信息独立作出决策 一台路由器的路由表中包含某些信息并不表示其它路由器也包含相同的信息有关两个网络之间路径的路由信息并不能提供反向路径 即返回路径 的路由信息 路由表原理 1 2 3 网络安全知识 1 网络安全定义2 网络安全面临的威胁3 网络攻击与防范5 防火墙技术6 入侵检测技术 网络安全定义 从本质上来讲 网络安全就是网络上的信息安全 是指网络系统的硬件 软件及其系统中的数据受到保护 不受偶然的或者恶意的原因而遭到破坏 更改 泄露 系统连续可靠正常地运行 网络服务不中断 广义来说 凡是涉及到网络上信息的保密性 完整性 可用性 真实性和可控性的相关技术和理论都是网络安全所要研究的领域 网络安全发展过程 物理安全通信安全辐射安全计算机安全网络安全以上这些都是信息安全的范畴 网络安全面临的威胁 物理安全威胁 操作系统的安全缺陷 网络协议的安全缺陷 应用软件的实现缺陷 用户使用的缺陷和恶意程序等6个方面的安全威胁 常用网络命令使用 Ping t l nIpconfig all renew releaseTracertNetstat aRouteaddArp d s a 组策略应用组策略 GroupPolicy 是管理员为用户和计算机定义并控制程序 网络资源及操作系统行为的主要工具 通过使用组策略可以设置各种软件 计算机和用户策略 禁止运行指定程序 用户配置 管理模板 系统 锁定注册表编辑器阻止访问命令提示符禁止光盘自动播放防止用户访问所选驱动器保护虚拟内存页面文件完全禁止使用U盘 WIN7 允许识别指定U盘 WIN7 本地策略应用Secpol msc关闭指定端口防止PING 数字签名与数字水印 密码学基本概念对称密码学非对称密码学数字签名 密码技术概述密码技术是防止信息泄露的技术 是信息安全技术中最重要和最基本的安全技术 密码技术中常用的一些术语 1 明文P Plaintext 可以理解的信息原文 2 加密E Encryption 用某种方法伪装明文以隐藏它的内容的过程 3 密文C Ciphertext 经过加密后将明文变换成不容易理解的信息 4 解密D Decryption 将密文恢复成明文的过程 5 算法 algorithm 就是用于加密或解密的方法 在现代密码学中算法就是一个用于加密和解密的数学函数 6 密钥K key 是用来控制加密和解密算法的实现 加密解密示意图 明文密文加密解密 经典加密技术 替代技术置换技术转子机 替代技术 替代技术 Substitution 将明文中的字母有其他字母 或数字 符号 代替的加密技术 改变明文内容的表示形式 保持内容元素之间相对位置不变 替代技术 棋盘密码最早的一种密码 公元前2世纪 希腊用数字来替换字母 替代技术 恺撒密码古罗马 恺撒大帝 公元前101 公元前44年 内外两个圆盘 转动内盘一定角度 用外盘的字母代替加密 c m kmod26 k 23脱密 m c hmod26 h 3 置换技术 置换技术 Transpositionorpermutation 如果明文仅仅通过移动它的元素的位置而得到密文 我们把这种加密方法叫做置换技术 改变明文内容元素的相对位置 保持内容的表现形式不变 置换技术 一维变换 矩阵转置 codtaueanurnynsd 置换技术 二维变换 图形转置 dnsuaruteodynnac 置换技术 二维变换 图形转置 密文 ihncieaasme 转子机 1918年 德国发明家亚瑟 谢尔比乌斯ENIGMA 读作 英格码 意为 谜 他的一个想法就是要用二十世纪的电气技术来取代那种过时的铅笔加纸的加密方法 发信人首先要调节三个转子的方向 使它们处于17576个方向中的一个 事实上转子的初始方向就是密匙 这是收发双方必须预先约定好的 然后依次键入明文 并把闪亮的字母依次记下来 然后就可以把加密后的消息用电报的方式发送出去 工作原理 ENIGMA加密机 转子的初始方向决定了整个密文的加密方式 如果通讯当中有敌人监听 他会收到完整的密文 但是由于不知道三个转子的初始方向 他就不得不一个个方向地试验来找到这个密匙 问题在于17576个初始方向这个数目并不是太大 如果试图破译密文的人把转子调整到某一方向 然后键入密文开始的一段 看看输出是否象是有意义的信息 如果不象 那就再试转子的下一个初始方向 如果试一个方向大约要一分钟 而他二十四小时日夜工作 那么在大约两星期里就可以找遍转子所有可能的初始方向 如果对手用许多台机器同时破译 那么所需要的时间就会大大缩短 ENIGMA加密机 游戏 密码大战 英格码破解大师阿兰 图灵 AlanTuring 对称性加密 对称性加密过程 数据发信方将明文 原始数据 和加密密钥一起经过特殊加密算法处理后 使其变成复杂的加密密文发送出去 收信方收到密文后 若想解读原文 则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密 才能使其恢复成可读明文发送方将源文 M 用密钥 K 加密 E ENC M K 然后将E通过不安全网络传给接收方 接收方用相同的密钥 K 解密 M DEC E K 如果有方法可以从密文 E 和算法ENC DEC中导到密钥 K 或明文 M 则意味这种密码被破解 对称性加密 对称性加密 典型对称性加密算法 DESDataEncryptionStandard DES IBM 1974美国国家标准 1977被政府采用加密较为敏感信息 对称性加密 典型对称性加密算法 3DES三次重复使用DES保护性较强 至今未被攻破 对称性加密 优点加密速度快效率高缺点需要通信双方彼此信任需要其他安全的渠道传输密钥密钥数量巨大 密钥管理困难代表算法 DES 3DES AES 非对称性加密 也称公开密钥加密 要求密钥成对使用 每个用户都有一对选定的密钥 一个可以公开 即公共密钥 一个由用户安全拥有 即秘密密钥 公共密钥和秘密密钥之间有密切的关系 非对称性加密 非对称性加密 非对称性加密 RSAalgorithm 对称 非对称性加密比较 优点密钥少便于管理 N个结点 n n 1 2个和n个密钥分配简单不需要秘密的通道和复杂的协议来传送密钥缺点计算复杂度高 速度慢代表算法 RSA 不可逆加密 也称摘要算法 摘要算法与上面两种完全不同 前面两种密码是用于防止信息被窃取 而摘要算法的目标是用于证明原文的完整性加密过程中不需要使用密钥 输入明文后由系统直接经过加密算法处理成密文 这种加密后的数据是无法被解密的 只有重新输入明文 加密是自己 解密还得是自己 并再次经过同样不可逆的加密算法处理 得到相同的加密密文并被系统重新识别后 才能真正解密 应用 MD5加密 用户密码验证2004年8月17日国际密码学会议王小云提出破解 数字签名概述在网络通信和电子商务中很容易发生如下问题 1 否认 发送信息的一方不承认自己发送过某一信息 2 伪造 接收方伪造一份文件 并声称它来自某发送方的 3 冒充 网络上的某个用户冒充另一个用户接收或发送信息 4 篡改 信息在网络传输过程中已被篡改 或接收方对收到的信息进行篡改 用数字签名 DigitalSignature 可以有效地解决这些问题 数字签名就是主要用于对数字信息进行的签名 以防止信息被伪造或篡改等 数字签名原理公开密钥体制可以用来设计数字签名方案 设用户Alice发送一个签了名的明文M给用户Bob的数字签名一般过程如下 1 Alice用信息摘要函数hash从M抽取信息摘要M 2 Alice用自己的私人密钥对M 加密 得到签名文本S 即Alice在M上签了名 3 Alice用Bob的公开密钥对S加密得到S 4 Alice将S 和M发送给Bob 5 Bob收到S 和M后 用自己的私人密钥对S 解密 还原出S 6 Bob用Alice的公开密钥对S解密 还原出信息摘要M 7 Bob用相同信息摘要函数从M抽取信息摘要M 8 Bob比较M 与M 当M 与M 相同时 可以断定Alice在M上签名 由于Bob使用Alice的公开密钥才能解密M 可以肯定Alice使用了自己的私人密钥对M进行了加密 所以Bob确信收到的M是Alice发送的 并且M是发送给Bob的 数字签名 数字水印技术 将与多媒体内容相关或不相关的一些标示信息直接嵌入多媒体内容当中 但不影响原内容的使用价值 并不容易被人的知觉系统觉察或注意到 通过这些隐藏在多媒体内容中的信息 可以达到确认内容创建者 购买者 或者是否真实完整 数字水印是信息隐藏技术的一个重要研究方向 数字水印的通用模型 数字水印技术包括嵌入 检测和提取3个过程 嵌入模型的功能是要将水印信号加入到原始数据中 嵌入阶段的设计主要解决两个问题 一是数字水印的生成 可以是一串伪随机数 也可以是指定的字符串 图标等并经过加密后产生的信息 二是嵌入算法 嵌入方案的目标是使数字水印在不可见性和鲁棒性之间找到一个较好的折中 信息加密应用层服务安全远程桌面病毒与木马 特洛伊木马黑客程序与特洛伊木马特洛伊木马实际上是一种典型的黑客程序 它是一种基于远程控制的黑客工具 现在已成为黑客程序的代名词 将黑客程序形容为特洛伊木马就是要体现黑客程序的隐蔽性和欺骗性 比较著名的木马程序有BackOrifice BO 灰鸽子 Glacier 冰河 熊猫烧香等 这些木马程序大多可以在网上下载下来直接使用 木马的基本原理木马本质上只是一个网络客户 服务程序 Client Server 一般有两个部分组成 一个是服务端程序 另一个是客户端程序 以冰河程序为例 在VB中 可以使用WinSock控件来编写网络客户服务程序 实现方法如下 服务端 G Server LocalPort 7626 冰河的默认端口 可以改为别的值 G Server Listen 等待连接 特洛伊木马的启动方式首先黑客将木马程序捆绑在一些常用的软件上 甚至在你浏览网页的时候 将木马悄悄安装到你的计算机中 将一个程序捆绑到另一个程序可以通过自己编写程序来实现 也可以从网上下载类似DAMS文件捆绑器来实现 在Windows系统中 黑客实现程序自启动的方法很多 常见的方法有 1 修改系统配置文件通过修改系统配置文件System ini Win ini来实现木马的自启动 2 修改注册表修改注册表是木马最常用的攻击和入侵手段 在注册表中有一名称为 HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion Run 的键 如果想让程序在系统启动的过程中启动该程序 就可以向该目录添加一个子项 3 通过文件关联启动例如 通过 exe文件关联exefile 将注册表中HKEYCLASSESROOT exefile下的shell open command的默认 1 改成 x xxx bsy exe 木马程序的路径 让系统在执行 exe程序时就自动运行木马程序bsy exe 通常修改的还有 txt文件关联txtfile 只要读取 txt文本文件就执行木马程序等 4 利用Autorun inf文件自动运行功能例如在E盘根目录下新建一个Autorun inf文件 用记事本打开它 输入如下内容 autorun open Notepad exe保存后重新启动 进入 我的电脑 然后双击E盘盘符 记事本被打开了 而E盘却没有打开 特洛伊木马端口黑客所使用的客户端程序就可以进入木马打开的端口和木马进行通信 每种木马所打开的端口不同 根据端口号可以识别不同的木马 大多数木马使用的端口号在1024以上 6267gw 特洛伊木马分类1 主动型木马主动型木马原理图 2 反弹型木马反弹型木马原理图黑客将安放在内部网络的反弹木马定时地连接外部攻击的主机 由于连接是从内部发起的 防火墙无法区分是木马的连接还是合法的连接 3 嵌入式木马嵌入式木马是黑客将木马程序嵌入到己知的网络通信程序中 如IE浏览器 操作系统等 利用己知的网络通信程序来转发木马控制指令 躲过防火墙检测 特洛伊木马查杀木马的查杀可以采用自动和手动两种方式 最简单的删除木马方法是安装杀毒软件或一些专杀木马的软件 由于杀毒软件的升级要慢于木马的出现 因此学会手工查杀也是非常必要 在手工删除木马之前 最重要的一项工作是备份注册表 防止系统崩溃 备份你认为是木马的文件 如果不是木马就可以恢复 如果是木马就可以对木马进行分析 1 查看注册表在HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion和HKEY CURRENT USER Software Microsoft Windows CurrentVersion下所有以 Run 开头的键值名有没有可疑的文件名 2 检查启动组启动组对应的文件夹为 C windows startmenu programs startup 要经常检查启动组中是否有异常的文件 3 检查系统配置文件检查Win ini System ini Autoexec bat Winstart bat等系统配置文件 现在修改System ini中Shell值的情况要多一些 如果在System ini中看到 Shell Explorer exewind0ws exe时 这个wind0ws exe有可能就是木马程序 6 查看端口与进程使用Windows本身自带的netstat an命令就能查看到与本机建立连接的IP以及本机侦听的端口 也可以使用ActivePorts工具监视计算机所有打开的TCP IP UDP端口 并可以看到打开端口所对应的程序所在的路径等 如果发现有可疑的端口开放 可以先记下这个端口号 然后按下 CTRL ALT DEL 进入 任务管理器 就可看到系统正在运行的全部进程 也可以使用进程查看器Prcview或Winproc工具来查看系统进程 5 查看目前运行的服务服务也是很多木马用来保持自己在系统中处于运行状态的方法之一 使用 netstart 命令来查看系统中有哪些服务在开启 如果发现了不是自己开放的服务 我们可以停止并禁用它 6 检查系统帐户黑客也可能在计算机中潜伏一个账户来控制你的计算机 他们采用的方法就是激活一个系统中的很少使用的默认账户 然后把这个账户的权限提升为管理员权限 通过这个账户控制你的计算机 网络攻击与防范 网络安全漏洞从技术上说 网络容易受到攻击的原因主要是由于网络软件不完善和网络协议本身存在安全缺陷造成的 例如我们使用最多的 最著名的TCP IP网络协议就存在大量的安全漏洞 这是因为在设计TCP IP协议时 我们只考虑到如何实现信息通信 而没有考虑到有人会破坏信息通信的安全 systeminfo 目标探测一方面 目标探测是防范不法黑客攻击行为的手段之一 另一方面也是黑客进行攻击的第一步 目标探测的内容目标探测所包括的内容基本上有以下两类 1 外网信息 包括域名 管理员信息 网络地址范围 网络位置 网络地址分配机构信息 系统提供的各种服务和网络安全配置等 2 内网信息 包括内部网络协议 拓扑结构 系统体系结构和安全配置等 目标探测主要利用了以下4种检测技术 1 基于应用的检测技术 它采用被动的 非破坏性的办法检查应用软件包的设置 发现安全漏洞 2 基于主机的检测技术 它采用被动的 非破坏性的办法对系统进行检测 3 基于目标漏洞检测技术 它采用被动的 非破坏性的办法检查系统属性和文件属性 如数据库和注册号等 4 基于网络的检测技术 它采用积极的 非破坏性的办法来检验系统是否有可能被攻击 目标探测的方法1 确定目标范围入侵一个目标就要确定该目标的网络地址分布和网络分布范围及位置 C WINDOWS P 68 142 226 46 with32bytesofdata Replyfrom68 142 226 46 bytes 32time 641msTTL 42我们还可以利用Whois查询得到目标主机的IP地址分配 机构地址位置和接入服务商等重要信息 2 分析目标网络信息使用专用的工具 如VisualRoute等 这些软件的主要功能包括 快速分析和辨别Internet连接的来源 标识某个IP地址的地理位置 目标网络Whois查询等 3 分析目标网络路由了解信息从一台计算机到达互联网另一端的另一台计算机传播路径是非常重要的 目前最常见的检测工具为Traceroute 它是集成在CyberKit软件包中 扫描概念和原理计算机扫描就是对计算机系统或者其他网络设备进行与安全相关的检测 以找出安全隐患和可被黑客利用的漏洞 扫描器概念扫描器是一种自动检测远程或本地主机安全性的程序 从整个信息安全角度来看的话 可以把扫描器大约分为三类 即 1 数据库安全扫描器数据库安全扫描器是针对数据库管理系统的安全评估工具 如DatabaseScanner 用户可利用它来建立数据库的安全规则 通过运行审核程序来提供安全风险和位置的简明报告 2 系统安全扫描器系统安全扫描器是针对主机的安全评估工具 如SystemScanner 它是基于主机安全评估策略来分析系统漏洞 包括系统错误配置和普通配置信息 用户通过扫描结果对系统漏洞进行修补 直到扫描报告中不再出现任何警告 3 网络安全扫描器网络安全扫描器是针对于网络服务 应用程序 网络设备和网络协议等安全评估工具 通常我们将基于网络的扫描称为主动式扫描 基于主机的扫描称为被动式扫描 一个网络扫描器至少应该具备如下三项功能 1 发现一个主机和网络 2 发现主机后 扫描它正在运行的操作系统和各项服务 3 测试这些服务中是否存在漏洞 拒绝服务DoS DenialofService 通过堵塞网络 占用系统资源等方法 拒绝用户的服务访问 破坏系统的正常运行 拒绝服务DoS最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源 从而使合法用户无法得到服务 DoS攻击的基本原理如图5 8所示 分布式拒绝服务DDoS随着计算机的处理能力迅速增长 内存大大增加等 单存的DoS攻击很难凑效 这时侯分布式的拒绝服务攻击 DDoS 就应运而生了 分布式拒绝服务DDoS DistributedDenialofService 是借助于客户机 服务器技术 将多个计算机联合起来作为攻击平台 对一个或多个目标发动DoS攻击 从而成倍地提高拒绝服务攻击的威力 DDoS攻击分为3层 攻击者 主控端 代理端 三者在攻击中扮演着不同的角色 DDoS攻击的步骤DDoS攻击的步骤如下 1 搜集攻击目标了解被攻击目标主机数目 地址情况 目标主机的配置 性能 目标的带宽等 2 占领傀儡机黑客通过扫描工具等 发现互联网上那些有漏洞的机器 随后就是尝试攻击 攻击成功后 就可以占领和控制被攻击的主机 即傀儡机 黑客可以利用FTP等把DDoS攻击用的程序上传到傀儡机中 傀儡机包括主控端和代理端主机 其中一部分主机充当攻击的主控端 一部分主机充当攻击的代理端 在攻击机上 会有一个DDoS的发包程序 黑客就是利用它来向受害目标发送恶意攻击包的 准备好一定数量的傀儡机是一个必要的条件 3 实际攻击黑客登录到作为控制台的攻击机 向所有傀儡机发出命令 这时候埋伏在傀儡机中的DDoS攻击程序就会响应控制台的命令 一起向受害主机以高速度发送大量的数据包 导致受害主机死机或是无法响应正常的请求 防范DDoS攻击的策略1 及早发现系统存在的攻击漏洞 及时安装系统补丁程序 2 要经常检查系统的物理环境 禁止那些不必要的网络服务 把网站做成静态页面3 充分利用防火墙等网络安全设备 配置好它们的安全规则 过滤掉所有可能伪造的数据包 4 请网络服务商帮助你实现路由的访问控制和对带宽总量的限制 5 当发现自己正在遭受DDoS攻击时 要尽可能快的追踪攻击包 并且要及时联系ISP和有关应急组织 从而阻挡从已知攻击节点的流量 6 使用DDoS检测工具find ddos和反病毒软件等 定期检查系统是否有DDoS攻击工具软件 7 增强操作系统的TCP IP栈HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services的下面 这些注册表项和值是 值名称 TcpMaxPortsExhausted 入侵检测技术 入侵检测系统概述入侵检测一般步骤入侵检测系统分类入侵检测系统关键技术入侵检测系统标准化入侵检测系统Snort 入侵检测系统概述入侵检测是指对入侵行为的发现 报警和响应 它通过对计算机网络或计算机系统中若干关键点收集信息 并对收集到的信息进行分析 从而判断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆 2 入侵检测系统功能入侵检测系统能主动发现网络中正在进行的针对被保护目标的恶意滥用或非法入侵 并能采取相应的措施及时中止这些危害 如提示报警 阻断连接 通知网管等 其主要功能是监测并分析用户和系统的活动 核查系统配置中的安全漏洞 评估系统关键资源与数据文件的完整性 识别现有已知的攻击行为或用户滥用 统计并分析异常行为 对系统日志的管理维护 入侵检测一般步骤1 入侵数据提取主要是为系统提供数据 提取的内容包括系统 网络 数据及用户活动的状态和行为 入侵检测数据提取可来自以下四个方面 1 系统和网络日志 2 目录和文件中的的改变 3 程序执行中的不期望行为 4 物理形式的入侵信息 2 入侵数据分析主要作用在于对数据进行深入分析 发现攻击并根据分析的结果产生事件 传递给事件响应模块 常用技术手段有 模式匹配 统计分析和完整性分析等 入侵数据分析是整个入侵检测系统的核心模块 3 入侵事件响应事件响应模块的作用在于报警与反应 响应方式分为主动响应和被动响应 被动响应型系统只会发出报警通知 将发生的不正常情况报告给管理员 本身并不试图降低所造成的破坏 更不会主动地对攻击者采取反击行动 主动响应系统可以分为对被攻击系统实施保护和对攻击系统实施反击的系统 入侵检测系统分类根据系统所检测的对象分类1 基于主机的入侵检测系统