计算机网络安全基础知识.ppt

第1章计算机网络安全基础知识 任务一Ping攻击与防范 任务分析 技能目标 知识链接 操作步骤 一 真实工作任务分析 测试特理网络的命令Ping 因特网包探索器 是用于测试网络连接量的程序 它发送一个ICMP响应请求消息给目的地 并报告是否收到所希望的ICMP应答 校验与远程或本地计算机的连接 一 真实工作任务分析 本案例中的攻击只需网中多台电脑同时在Ping后加上参数 t对目标机进行长时间测试 从攻击的意义而言就完成了一次Ping攻击 大量的数据包将会使目标机运行速度越来越慢 甚至瘫痪 在DOS环境中完成这个命令 命令如下 格式 Ping目标IP地址 t例 Ping192 168 0 6 t 二 技能目标 1 掌握Ping攻击与防范方法 2 掌握利用工具软件检测系统漏洞的方法 三 知识链接 1 计算机网络安全定义 2 3 计算机网络安全特征 网络面临的威胁 课堂讨论 你碰到过网络不安全的情况没有 你碰到的情况有什么样的症状 你是怎样解决的 三 知识链接 随着网络技术的不断发展 网络在人们的生活中已经占有一席之地 为人们的生活带来了很大方便 然而 网络也不是完美无缺的 它在给人们带来惊喜的同时 也带来了威胁 计算机犯罪 黑客 有害程序和后门问题等严重威胁着网络的安全 目前 网络安全问题等严重威胁着网络的安全 1 网络安全定义 三 知识链接 网络的安全策略一般分为三类 逻辑上的 物理上的和政策上的 逻辑上的措施 即研究开发有效的网络安全技术 例如 安全协议 密码技术 数字签名 防火墙 安全管理 安全审计等 三 知识链接 计算机网络安全是指保持网络中的硬件 软件系统正常运行 使它们不因自然和人为的因素而受到破坏更改和泄露 网络安全主要包括物理安全 软件安全 数据安全和运行安全等4个方面 三 知识链接 案例1 三 知识链接 案例2 三 知识链接 案例3 三 知识链接 由于网络安全威胁的多样性 复杂性及网络信息 数据的重要性 在设计网络系统的安全时 应该努力达到安全目标 一个安全的网络具有下面五个特征 可靠性 可用性 保密性 完整性和不可低赖性 2 计算机网络安全的特征 三 知识链接 1 可靠性可靠性是网络安全最基本的要求之一 是指系统在规定条件下和规定时间内完成规定功能的概率 2 可用性是指信息和通信服务在需要时允许授权人或实体使用 3 保密性保密性指防止信息泄漏给非授权个人或实体 信息只为授权用户使用 保密性是面向信息的安全要求 2 计算机网络安全的特征 三 知识链接 4 完整性完整性也是面向信息的安全要求 它是指信息不被偶然或蓄意地删除 修改 伪造 乱序 重放 插入等破坏的特性 5 不可抵赖性不可抵赖性也称作不可否认性 是面向通信双方 人 实体或进程 信息真实的安全要求 2 计算机网络安全的特征 三 知识链接 1 计算机系统的脆弱性计算机系统的脆弱性主要来自计算机操作系统的不安全性 在网络环境下 还来源于网络通信协议的不安全性 2 网络内部的威胁对网络内部的威胁主要是来自网络内部的用户 这些用户试图访问那些不允许使用的资源和服务器 可以分为两种情况 一种是有意的安全破坏 第二种是由于用户安全意识差造成的无意识的操作失误 使得系统或网络误操作或崩溃 3 网络面临的内部威胁 三 知识链接 除了受到来自网络内部的安全威胁外 网络还受到来自外界的各种各样的威胁 网络系统的威胁是多样的 因为在网络系统中可能存在许多种类的计算机和操作系统 采用统一的安全措施是不容易的 也是不可能的 而对网络进行集中安全管理则是一种好的方案 安全威胁主要可以归结为物理威胁 网络威胁 身份鉴别 编程 系统漏洞等方面 4 网络面临的外部威胁 四 真实工作任务分析 Ping攻击与防范 测试特理网络的命令Ping 因特网包探索器 是用于测试网络连接量的程序 它发送一个ICMP响应请求消息给目的地 并报告是否收到所希望的ICMP应答 校验与远程或本地计算机的连接 四 真实工作任务分析 Ping攻击与防范 本案例中的攻击只需网中多台电脑同时在Ping后加上参数 t对目标机进行长时间测试 从攻击的意义而言就完成了一次Ping攻击 大量的数据包将会使目标机运行速度越来越慢 甚至瘫痪 在DOS环境中完成这个命令 命令如下 格式 Ping目标IP地址 t例 Ping192 168 0 6 t 系统内置的网络测试工具ping t 有这个参数时 当你ping一个主机时系统就不停的运行ping这个命令 直到你按下Control C a 解析主机的NETBIOS主机名 如果你想知道你所ping的要机计算机名则要加上这个参数了 一般是在运用ping命令后的第一行就显示出来 ncount 定义用来测试所发出的测试包的个数 缺省值为4 通过这个命令可以自己定义发送的个数 对衡量网络速度很有帮助 比如我想测试发送20个数据包的返回的平均时间为多少 最快时间为多少 最慢时间为多少就可以通过执行带有这个参数的命令获知 llength 定义所发送缓冲区的数据包的大小 在默认的情况下windows的ping发送的数据包大小为32byt 也可以自己定义 但有一个限制 就是最大只能发送65500byt 超过这个数时 对方就很有可能因接收的数据包太大而死机 所以微软公司为了解决这一安全漏洞于是限制了ping的数据包大小 f 在数据包中发送 不要分段 标志 一般你所发送的数据包都会通过路由分段再发送给对方 加上此参数以后路由就不会再分段处理 ittl 指定TTL值在对方的系统里停留的时间 此参数同样是帮助你检查网络运转情况的 vtos 将 服务类型 字段设置为 tos 指定的值 rcount 在 记录路由 字段中记录传出和返回数据包的路由 一般情况下你发送的数据包是通过一个个路由才到达对方的 但到底是经过了哪些路由呢 通过此参数就可以设定你想探测经过的路由的个数 不过限制在了9个 也就是说你只能跟踪到9个路由 scount 指定 count 指定的跃点数的时间戳 此参数和 r差不多 只是这个参数不记录数据包返回所经过的路由 最多也只记录4个 jhost list 利用 computer list 指定的计算机列表路由数据包 连续计算机可以被中间网关分隔IP允许的最大数量为9 khost list 利用 computer list 指定的计算机列表路由数据包 连续计算机不能被中间网关分隔IP允许的最大数量为9 wtimeout 指定超时间隔 单位为毫秒 destination list 是指要测试的主机名或IP地址 pingIP t 连续对IP地址执行Ping命令 pingIP l2000 指定Ping命令中的数据长度为2000字节 而不是缺省的32字节 pingIP n 执行特定次数的Ping命令 Ping命令的常用参数选项 t参数 有这个参数时 当你ping一个主机时系统就不停的运行ping这个命令 直到你按下Control C C WINDOWS ping192 168 1 188 tPinging192 168 1 188with32bytesofdata Replyfrom192 168 1 188 bytes 32time 10msTTL 64Replyfrom192 168 1 188 bytes 32time 10msTTL 64Replyfrom192 168 1 188 bytes 32time 10msTTL 64Replyfrom192 168 1 188 bytes 32time 10msTTL 64Replyfrom192 168 1 188 bytes 32time 10msTTL 64Replyfrom192 168 1 188 bytes 32time 10msTTL 64Replyfrom192 168 1 188 bytes 32time 10msTTL 64Replyfrom192 168 1 188 bytes 32time 10msTTL 64Pingstatisticsfor192 168 1 188 Packets Sent 8 Received 8 Lost 0 0 loss Approximateroundtriptimesinmilli seconds Minimum 0ms Maximum 0ms Average 0msControl C a 解析主机的NETBIOS主机名 如果你想知道你所ping的计算机名则要加上这个参数了 一般是在运用ping命令后的第一行就显示出来 C WINDOWS ping a192 168 1 100Pinging000 192 168 1 100 with32bytesofdata Replyfrom192 168 1 100 bytes 32time 10msTTL 128Replyfrom192 168 1 100 bytes 32time 10msTTL 128Replyfrom192 168 1 100 bytes 32time 10msTTL 128Replyfrom192 168 1 100 bytes 32time 10msTTL 128Pingstatisticsfor192 168 1 100 Packets Sent 4 Received 4 Lost 0 0 loss Approximateroundtriptimesinmilli seconds Minimum 0ms Maximum 0ms Average 0ms可以得知 ip为192 168 1 100的计算机 NETBIOS名为000 ncount 定义用来测试所发出的测试包的个数 缺省值为4 通过这个命令可以自己定义发送的个数 对衡量网络速度很有帮助 比如我想测试发送20个数据包的返回的平均时间为多少 最快时间为多少 最慢时间为多少就可以通过执行带有这个参数的命令获知 C WINDOWS ping n10192 168 1 188Pinging192 168 1 188with32bytesofdata Replyfrom192 168 1 188 bytes 32time 10msTTL 64Replyfrom192 168 1 188 bytes 32time 10msTTL 64Replyfrom192 168 1 188 bytes 32time 10msTTL 64Replyfrom192 168 1 188 bytes 32time 10msTTL 64Replyfrom192 168 1 188 bytes 32time 10msTTL 64Replyfrom192 168 1 188 bytes 32time 10msTTL 64Replyfrom192 168 1 188 bytes 32time 10msTTL 64Replyfrom192 168 1 188 bytes 32time 10msTTL 64Replyfrom192 168 1 188 bytes 32time 10msTTL 64Replyfrom192 168 1 188 bytes 32time 10msTTL 64Pingstatisticsfor192 168 1 188 Packets Sent 10 Received 10 Lost 0 0 loss Approximateroundtriptimesinmilli seconds Minimum 0ms Maximum 0ms Average 0ms向IP为192 168 1 188的计算机 发送10个数据包 发送10个 返回10个 没有丢包 C ping l65500 t192 168 1 21Pinging192 168 1 21with65500bytesofdata Replyfrom192 168 1 21 bytes 65500time 10msTTL 254Replyfrom192 168 1 21 bytes 65500time 10msTTL 254 这样它就会不停的向192 168 1 21计算机发送大小为65500byt的数据包 如果你只有一台计算机也许没有什么效果 但如果有很多计算机那么就可以使对方完全瘫痪 操作步骤 操作步骤 第1步 添加IP安全策略 我们首先要做的就是 在控制台中添加IP安全策略单元 添加步骤如下 1 依次点击 开始 运行 然后在 运行 窗口中输入 mmc 并回车 此时将会打开 控制台1 窗口 如图1 1所示 图1 1控制台窗口 操作步骤 2 在图1 1所示窗口依次点击 文件 添加 删除管理单元 添加 此时将会打开 添加 删除管理单元 窗口 我们在此窗口下的列表中双击 IP安全策略管理 如图1 2所示 操作步骤 3 这时将会弹出 选择计算机域 窗口 在此我们选中 本地计算机 然后点击 完成 按钮 最后依次点击 关闭 确定 返回 控制台1 主界面 此时我们将会发现在 控制台根节点 下多了 IP安全策略 在本地计算机 如图1 3所示 项 此时可以说明控制台中已经添加了IP安全策略项 操作步骤 第2步 创建IP安全策略 在我们添加了IP安全策略后 还要创建一个新的IP安全策略 步骤如下 1 在图1 3中右键点击 IP安全策略 在本地机器 选项 执行 创建IP安全策略 命令 此时将会打开 IP安全策略向导 窗口 2 单击 下一步 按钮 此时将会出现要求指定IP安全策略名称及描述向导页面 我们可以在 描述 下输入一个策略描述 比如 禁止Ping 如图1 4所示 操作步骤 3 点击 下一步 然后在出现的页面中确保选中了 激活默认相应规则 项 然后单击 下一步 4 在出现的 默认响应规则身份验证方法 对话框中选中 此字符串用来保护密钥交换 预共享密钥 选项 然后在下面的文字框中任意键入一段字符串 如 禁止Ping 如图1 5所示 操作步骤 5 单击 下一步 此时将会出现完成IP安全策略向导页面窗口 最后单击 完成 按钮即完成了IP安全策略的创建工作 第3步 编辑IP安全策略属性 在以上IP安全策略创建后 在控制台中就会看到刚刚创建好的 新IP安全策略 项 下面还要对其属性进行编辑修改 步骤如下 1 在控制台中双击创建好的新IP安全策略 此时将会弹出 新IP安全策略属性 窗口 如图1 6所示 操作步骤 2 单击 添加 按钮 此时将会弹出 安全规则向导 窗口 直接点击 下一步 则进入 隧道终结点 页面 在此点选 此规则不指定隧道 3 单击 下一步 此时将会出现 网络类型 页面 在该页面中我们点选 所有网络连接 项 这样就能保证所有的计算机都Ping不通该主机了 如图1 7所示 操作步骤 4 单击 下一步 此时将会出现 身份验证方法 页面 我们继续选中 此字符串用来保护密钥交换 预共享密钥 项 然后在下面的输入框中输入 禁止Ping 的文字 如图1 8所示 操作步骤 5 单击 下一步 然后在打开的 IP筛选器列表 页面中单击 添加 按钮 此时将会打开 IP筛选器列表 窗口 如图1 9所示 操作步骤 6 在 IP筛选器列表 窗口中单击 添加 按钮 此时将会弹出 IP筛选器向导 窗口 我们单击 下一步 此时将会弹出 IP通信源 页面 在该页面中设置 源地址 为 我的IP地址 如图1 10所示 操作步骤 7 单击 下一步 按钮 我们在弹出的页面中设置 目标地址 为 任何IP地址 任何IP地址的计算机都不能Ping你的机器 如图1 11所示 操作步骤 8 点击 下一步 然后在出现的 IP协议类型 页面中设置 选择协议类型 为 ICMP 如图1 12所示 操作步骤 9 依次单击 下一步 完成 此时 你将会在 IP筛选器列表 看到刚创建的筛选器 将其选中后单击 下一步 在出现的 筛选器操作 页面中设置筛选器操作为 需要安全 选项 如图1 13所示 操作步骤 10 点击 下一步 然后依次点击 完成 确定 关闭 按钮 保存相关的设置返回控制台即可 第4步 指派IP安全策略 安全策略创建完毕后并不能马上生效 我们还需通过 指派 功能令其发挥作用 方法是 在 控制台根节点 中右击 新的IP安全策略 项 然后在弹出的右键菜单中执行 指派 命令 即可启用该策略 如图1 14所示 操作步骤 至此 这台主机已经具备了拒绝其他任何机器Ping自己IP地址的功能 不过在本地仍然能够Ping通自己 经过这样的设置之后 所有用户 包括管理员 都不能在其他机器上对此服务器进行Ping操作 不用担心被Ping威胁了 系统安全评估计算机系统的安全评估是对系统安全性的检验和监督 系统安全评估包括了构成计算机系统的物理网络和系统的运行过程 系统提供的服务以及这种过程与服务中的管理 保证能力的安全评估 计算机系统的安全评估可以确保系统连续正常运行 确保信息的完整性和可靠性 及时发现系统存在的薄弱环节 采取必要的措施 杜绝不安全因素 另外 有了安全评估 并不意味着可以高枕无忧 因为要在技术上做到完全的安全保护是不可能的 所以 评估的目标应该是 使攻击所花的代价足够高 从而把风险降低到可接受的程度 安全评估标准的重要性在于 1 用户可依据标准 选用符合自己应用安全级别的 评定了安全等级的计算机系统 然后 在此基础上再采取安全措施 2 一个计算机系统是建立在相应的操作系统之上的 离开了操作系统的安全 也就无法保证整个计算机系统的安全 所以 软件生产厂商应该满足用户的需求 提供各种安全等级的操作系统 3 建立系统中其他部件 如数据库系统 应用软件 计算机网络等 的安全评估标准 可以使它们配合并适应相应的操作系统 以实现更完善的安全性能 第一个有关信息技术安全评价的标准诞生于20世纪80年代的美国 1983年美国国防部发布了 可信计算机评估标准 简称桔皮书 1985年对此标准进行了修订后作为了美国国防部的标准 也成为了世界各国的参考标准 1994年 国务院发布了 中华人民共和国计算机信息系统安全保护条例 其中第九条规定 计算机信息系统安全等级保护 安全等级的划分和安全等级保护的具体办法 由公安部会同有关部门制定 常见的计算机系统安全等级的划分有两种 一种是美国国防部1985年发表的评估计算机系统安全等级的桔皮书 将计算机系统的安全划分为4个等级 8个级别 即A2 A1 B3 B2 B1 C2 C1 D 其中 A2级安全级别最高 D级安全级别最低 另一种是依据我国颁布的 计算机信息系统安全保护等级划分准则 GB17859 1999 该条例是计算机信息系统安全保护的法律基础 将计算机安全等级划分为5级 1 填空题 1 网络安全策略由3个重要的方面组成 它们是 物理和政策 2 网络安全主要包括 和运行安全等几个方面 3 物理安全包括 的安全 4 软件安全指 的安全 5 信息安全指 安全 6 运行安全指 7 保密性指 的安全要求 8 一个安全的网络具有下面五个特征 9 系统漏洞是指 10 依据美国国防部发表的评估计算机系统安全等级的桔皮书 将计算机安全等级划分为 类 级 2 选择题 1 保护计算机网络设备免受环境事故的影响属于信息安全的 A 人员安全 B 物理安全 3 数据安全 D 操作安全 2 有些计算机系统的安全性不高 不对用户进行验证 这类系统安全级别是 A D1 B A1 C C1 D C2 3 保证数据的完整性就是 A 保证因特网上传送的数据信息不被第三方监视 B 保证因特网上传送的数据信息不被篡改 C 保证电子商务交易各方的真实身份 D 保证发送方不抵赖曾经发送过某数据信息 4 某种网络安全威胁是是通过非法手段取得对数据的使用权 并对数据进行恶意地添加和修改 这种安全威胁属于 A 窃听数据 B 破坏数据完整性 C 拒绝服务 D 物理安全威胁 5 在网络安全中 捏造是指未授权的实体向系统中插入伪造的对象 这是对 A 可用性的攻击 B 保密性的攻击 C 完整性的攻击 D 真实性的攻击 3 简答题 1 什么是网络安全 网络安全包括哪些方面 2 网络系统本身存在哪些安全漏洞 3 网络面临的威胁有哪些 4 系统漏洞产生的原因主要有哪些 课堂小结 计算机网络安全指保持网络中的硬件 软件系统正常运行 使它们不因各种因素受到破坏更改和泄露 网络受到的威胁来自于网络的内部和外部两个方面 计算机系统的安全评估是对系统安全性的检验和监督 在我国 常见的计算机系统安全等级的划分有两种 一种是依据美国国防部发表的评估计算机系统安全等级的桔皮书 一种是我国颁布的 计算机信息系统安全保护等级划分准则 实训项目 实训目的1 了解操作系统常见的安全漏洞 2 掌握X Scan扫描器的使用方法 3 掌握使用扫描工具X Scan检测系统漏洞的方法 实训环境搭建1 连上Internet的主机或局域网主机 2 WindowsNT 2000 XP系统 3 X Scan3 3扫描器 实训一使用扫描工具X Scan检测系统漏洞 操作步骤 第1步 运行X Scan主程序 即可