网络安全PPT课件.ppt

2020 3 21 可编辑 1 第九章黑客攻击与防范 本章主要内容 第一节黑客概述第二节个人计算机的网络安全第三节黑客攻击常用工具和防御第四节入侵检测系统 2020 3 21 可编辑 2 知识点 黑客攻击的目的 黑客攻击的三个阶段黑客攻击的常用工具 黑客攻击的防备网络监听及其检测扫描器及其使用来自E mail的攻击 E mail的安全策略特洛伊木马程序及其检测 删除 2020 3 21 可编辑 3 难点 黑客攻击的防备网络监听及其检测特洛伊木马程序及其检测 删除 2020 3 21 可编辑 4 要求 熟练掌握以下内容 什么是黑客 黑客攻击的目的 常用工具及攻击的防备网络监听及其检测方法来自E mail的攻击 E mail的安全策略特洛伊木马程序及其检测 删除了解以下内容 E mail的安全漏洞特洛伊木马的存在形式 2020 3 21 可编辑 5 第一节黑客概述 黑客与入侵者黑客攻击的目的黑客攻击的三个阶段黑客攻击手段 2020 3 21 可编辑 6 9 1 1黑客文化简史 1 早期黑客 真正的程序员2 程序员群体的扩大3 现代黑客 寻找漏洞 表现自我4 发展的新变化 2020 3 21 可编辑 7 9 1 1黑客与入侵者 黑客的行为没有恶意 而入侵者的行为具有恶意 在网络世界里 要想区分开谁是真正意义上的黑客 谁是真正意义上的入侵者并不容易 因为有些人可能既是黑客 也是入侵者 而且在大多数人的眼里 黑客就是入侵者 所以 在以后的讨论中不再区分黑客 入侵者 将他们视为同一类 2020 3 21 可编辑 8 9 1 2黑客攻击的目的 1 窃取信息2 获取口令3 控制中间站点4 获得超级用户权限 2020 3 21 可编辑 9 9 1 3黑客攻击的3个阶段 1 确定目标2 搜集与攻击目标相关的信息 并找出系统的安全漏洞3 实施攻击 2020 3 21 可编辑 10 9 1 4黑客攻击手段 1 黑客往往使用扫描器2 黑客经常利用一些别人使用过的并在安全领域广为人知的技术和工具 3 黑客利用Internet站点上的有关文章4 黑客利用监听程序5 黑客利用网络工具进行侦察6 黑客自己编写工具 2020 3 21 可编辑 11 第二节个人计算机的网络安全 口令安全1 口令破解器2 选择口令的规则 2020 3 21 可编辑 12 第二节个人计算机的网络安全 特洛伊木马是一种基于远程控制的黑客工具 具有隐蔽性和非授权性等特点 2020 3 21 可编辑 13 第二节个人计算机的网络安全 特洛伊木马的组成部分一般一个木马程序的组成包括控制端程序 木马程序和木马配置程序三部分 2020 3 21 可编辑 14 第二节个人计算机的网络安全 特洛伊木马的传播攻击过程1 配置木马2 传播木马3 运行木马4 信息泄露5 建立连接6 远程控制 2020 3 21 可编辑 15 第二节个人计算机的网络安全 Windows2000的安全安全级别登录过程用户名密码NTFS文件系统默认共享 2020 3 21 可编辑 16 第二节个人计算机的网络安全 QQ的安全1 在QQ中显示对方的IP地址2 QQ密码3 QQ消息炸弹 2020 3 21 可编辑 17 第二节个人计算机的网络安全 电子邮件的安全1 邮箱密码2 邮件炸弹3 垃圾邮件 2020 3 21 可编辑 18 第三节黑客常用工具和防御 监听与扫描Sniffer拒绝服务 2020 3 21 可编辑 19 9 3 1网络监听 1 网络监听简介所谓网络监听就是获取在网络上传输的信息 通常 这种信息并不是特定发给自己计算机的 一般情况下 系统管理员为了有效地管理网络 诊断网络问题而进行网络监听 然而 黑客为了达到其不可告人的目的 也进行网络监听 2020 3 21 可编辑 20 2 在以太网中的监听 1 以太网中信息传输的原理 以太网协议的工作方式 发送信息时 发送方将对所有的主机进行广播 广播包的包头含有目的主机的物理地址 如果地址与主机不符 则该主机对数据包不予理睬 只有当地址与主机自己的地址相同时主机才会接受该数据包 但网络监听程序可以使得主机对所有通过它的数据进行接受或改变 2020 3 21 可编辑 21 2 监听模式的设置要使主机工作在监听模式下 需要向网络接口发送I O控制命令 将其设置为监听模式 在UNIX系统中 发送这些命令需要超级用户的权限 在UNIX系统中普通用户是不能进行网络监听的 但是 在上网的Windows95中 则没有这个限制 只要运行这一类的监听软件即可 而且具有操作方便 对监听到信息的综合能力强的特点 2020 3 21 可编辑 22 3 网络监听所造成的影响网络监听使得进行监听的机器响应速度变得非常慢 2020 3 21 可编辑 23 3 常用的监听工具 1 snoopsnoop可以截获网络上传输的数据包 并显示这些包中的内容 它使用网络包过滤功能和缓冲技术来提供有效的对网络通信过滤的功能 那些截获的数据包中的信息可以在它们被截获时显示出来 也可以存储在文件中 用于以后的检查 Snoop可以以单行的形式只输出数据包的总结信息 也可以以多行的形式对包中信息详细说明 2020 3 21 可编辑 24 2 Sniffit软件Sniffit是由LawrenceBerkeley实验室开发的 运行于Solaris SGI和Linux等平台的一种免费网络监听软件 具有功能强大且使用方便的特点 使用时 用户可以选择源 目标地址或地址集合 还可以选择监听的端口 协议和网络接口等 2020 3 21 可编辑 25 4 网络监听的检测 方法一 对于怀疑运行监听程序的机器 用正确的IP地址和错误的物理地址去ping 运行监听程序的机器会有响应 这是因为正常的机器不接收错误的物理地址 处于监听状态的机器能接收 如果他的IPstack不再次反向检查的话 就会响应 这种方法依赖于系统的IPstack 对一些系统可能行不通 2020 3 21 可编辑 26 方法二 往网上发大量不存在的物理地址的包 由于监听程序将处理这些包 将导致性能下降 通过比较前后该机器性能 icmpechodelay等方法 加以判断 这种方法难度比较大 方法三 一个看起来可行的检查监听程序的方法是搜索所有主机上运行的进程 那些使用DOS WindowsforWorkgroup或者Windows95的机器很难做到这一点 而使用UNIX和WindowsNT的机器可以很容易地得到当前进程的清单 2020 3 21 可编辑 27 方法四 另外一个办法就是去搜索监听程序 入侵者很可能使用的是一个免费软件 管理员就可以检查目录 找出监听程序 但这很困难而且很费时间 在UNIX系统上 人们可能不得不自己编写一个程序 另外 如果监听程序被换成另一个名字 管理员也不可能找到这个监听程序 2020 3 21 可编辑 28 9 3 2扫描器 1 扫描器简介扫描器是自动检测远程或本地主机安全性漏洞的程序包 使用扫描器 不仅可以很快地发现本地主机系统配置和软件上存在的安全隐患 而且还可以不留痕迹地发现远在另一个半球的一台主机的安全性漏洞 这种自动检测功能快速而准确 扫描器和监听工具一样 不同的人使用会有不同的结果 如果系统管理员使用了扫描器 它将直接有助于加强系统安全性 而对于黑客来说 扫描器是他们进行攻击入手点 不过 由于扫描器不能直接攻击网络漏洞 所以黑客使用扫描器找出目标主机上各种各样的安全漏洞后 利用其他方法进行恶意攻击 2020 3 21 可编辑 29 2 端口扫描 端口许多TCP IP程序可以通过Internet启动 这些程序大都是面向客户 服务器的程序 当inetd接收到一个连接请求时 它便启动一个服务 与请求客户服务的机器通讯 为简化这一过程 每个应用程序 比如FTP Telnet 被赋予一个唯一的地址 这个地址称为端口 在一般的Internet服务器上都有数千个端口 为了简便和高效 为每个指定端口都设计了一个标准的数据帧 换句话说 尽管系统管理员可以把服务绑定 bind 到他选定的端口上 但服务一般都被绑定到指定的端口上 它们被称为公认端口 2020 3 21 可编辑 30 端口扫描简介 端口扫描是一种获取主机信息的好方法 端口扫描程序对于系统管理人员 是一个非常简便实用的工具 如果扫描到一些标准端口之外的端口 系统管理员必须清楚这些端口提供了一些什么服务 是不是允许的 2020 3 21 可编辑 31 3 常用的扫描工具 网络分析工具SATANSATAN是一个分析网络的安全管理和测试 报告工具 它用来收集网络上主机的许多信息 并可以识别且自动报告与网络相关的安全问题 对所发现的每种问题类型 SATAN都提供对这个问题的解释以及它可能对系统和网络安全造成的影响的程度 通过所附的资料 它还解释如何处理这些问题 2020 3 21 可编辑 32 网络安全扫描器NSS网络安全扫描器是一个非常隐蔽的扫描器 如果你用流行的搜索程序搜索它 你所能发现的入口不超过20个 这并非意味着NSS使用不广泛 而是意味着多数载有该扫描器的FTP的站点处在暗处 或无法通过WWW搜索器找到它们 2020 3 21 可编辑 33 Strobe超级优化TCP端口检测程序Strobe是一个TCP端口扫描器 它具有在最大带宽利用率和最小进程资源需求下 迅速地定位和扫描一台远程目标主机或许多台主机的所有TCP 监听 端口的能力 2020 3 21 可编辑 34 4 InternetScannerInternetScanner可以说是可得到的最快和功能最全的安全扫描工具 用于UNIX和WindowsNT 它容易配置 扫描速度快 并且能产生综合报告 2020 3 21 可编辑 35 5 PortScannerPortScanner是一个运行于Windows95和WindowsNT上的端口扫描工具 其开始界面上显示了两个输入框 上面的输入框用于要扫描的开始主机IP地址 下面的输入框用于输入要扫描的结束主机IP地址 在这两个IP地址之间的主机将被扫描 2020 3 21 可编辑 36 9 3 3拒绝服务 基本概念拒绝服务DoS 其目的是使计算机或网络无法提供正常的服务 分布式拒绝服务DDoS 2020 3 21 可编辑 37 发现黑客发现黑客入侵后的对策 黑客攻击的防范 2020 3 21 可编辑 38 发现黑客 1 在黑客正在活动时 捉住他2 根据系统发生的一些改变推断系统已被入侵3 根据系统中一些奇怪的现象判断4 一个用户登录进来许多次5 一个用户大量地进行网络活动 或者其他一些很不正常的网络操作6 一些原本不经常使用的账户 突然变得活跃起来 2020 3 21 可编辑 39 发现黑客入侵后的对策 1 估计形势当证实遭到入侵时 采取的第一步行动是尽可能快地估计入侵造成的破坏程度 2 采取措施 1 杀死这个进程来切断黑客与系统的连接 2 使用write或者talk工具询问他们究竟想要做什么 3 跟踪这个连接 找出黑客的来路和身份 这时候 nslookup finger等工具很有用 2020 3 21 可编辑 40 4 管理员可以使用一些工具来监视黑客 观察他们在做什么 这些工具包括snoop ps lastcomm和ttywatch等 5 ps w和who这些命令可以报告每一个用户使用的终端 如果黑客是从一个终端访问系统 这种情况不太好 因为这需要事先与电话公司联系 6 使用who和netstat可以发现入侵者从哪个主机上过来 然后可以使用finger命令来查看哪些用户登录进远程系统 7 修复安全漏洞并恢复系统 不给黑客留有可乘之机 2020 3 21 可编辑 41 第四节入侵检测系统 IDS存在与发展的必然性一 网络攻击的破坏性 损失的严重性二 日益增长的网络安全威胁三 单纯的防火墙无法防范复杂多变的攻击 2020 3 21 可编辑 42 传统的信息安全方法采用严格的访问控制和数据加密策略来防护 但在复杂系统中 这些策略是不充分的 它们是系统安全不可缺的部分但不能完全保证系统的安全入侵检测 是对入侵行为的检测 它通过收集和分析计算机网络或计算机系统中若干关键点的信息 检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象 进行入侵检测的软件与硬件的组合便是入侵检测系统 2020 3 21 可编辑 43 入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术 是防火墙技术的合理补充 主要有以下几方面功能 监视 分析用户及系统活动 系统构造和弱点的审计 识别反映已知进攻的活动模式并及时报警 异常行为模式的统计分析 评估重要系统和数据文件的完整性 操作系统的审计跟踪管理 2020 3 21 可编辑 44 入侵检测系统包括三个功能部件 1 信息收集 2 信息分析 3 结果处理 2020 3 21 可编辑 45 信息收集 入侵检测的第一步是信息收集 收集内容包括系统 网络 数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点 不同网段和不同主机 收集信息尽可能扩大检测范围从一个源来的信息有可能看不出疑点 2020 3 21 可编辑 46 信息收集 入侵检测很大程度上依赖于收集信息的可靠性和正确性要保证用来检测网络系统的软件的完整性特别是入侵检测系统软件本身应具有相当强的坚固性 防止被篡改而收集到错误的信息 2020 3 21 可编辑 47 信息收集的来源 系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为 2020 3 21 可编辑 48 系统或网络的日志文件 攻击者常在系统日志文件中留下他们的踪迹 因此 充分利用系统和网络日志文件信息是检测入侵的必要条件日志文件中记录了各种行为类型 每种类型又包含不同的信息 例如记录 用户活动 类型的日志 就包含登录 用户ID改变 用户对文件的访问 授权和认证信息等内容显然 对用户活动来讲 不正常的或不期望的行为就是重复登录失败 登录到不期望的位置以及非授权的企图访问重要文件等等 2020 3 21 可编辑 49 系统目录和文件的异常变化 网络环境中的文件系统包含很多软件和数据文件 包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标目录和文件中的不期望的改变 包括修改 创建和删除 特别是那些正常情况下限制访问的 很可能就是一种入侵产生的指示和信号入侵者经常替换 修改和破坏他们获得访问权的系统上的文件 同时为了隐藏系统中他们的表现及活动痕迹 都会尽力去替换系统程序或修改系统日志文件 2020 3 21 可编辑 50 信息分析 模式匹配统计分析完整性分析 往往用于事后分析 2020 3 21 可编辑 51 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较 从而发现违背安全策略的行为一般来讲 一种攻击模式可以用一个过程 如执行一条指令 或一个输出 如获得权限 来表示 该过程可以很简单 如通过字符串匹配以寻找一个简单的条目或指令 也可以很复杂 如利用正规的数学表达式来表示安全状态的变化 2020 3 21 可编辑 52 统计分析 统计分析方法首先给系统对象 如用户 文件 目录和设备等 创建一个统计描述 统计正常使用时的一些测量属性 如访问次数 操作失败次数和延时等 测量属性的平均值和偏差将被用来与网络 系统的行为进行比较 任何观察值在正常值范围之外时 就认为有入侵发生 2020 3 21 可编辑 53 完整性分析 完整性分析主要关注某个文件或对象是否被更改这经常包括文件和目录的内容及属性在发现被更改的 被安装木马的应用程序方面特别有效 2020 3 21 可编辑 54 入侵检测性能关键参数 误报 falsepositive 如果系统错误地将异常活动定义为入侵漏报 falsenegative 如果系统未能检测出真正的入侵行为 2020 3 21 可编辑 55 入侵检测的分类 按照数据来源 基于主机 系统获取数据的依据是系统运行所在的主机 保