网络安全技术与应用

第 9章 网络安全技术与应用 关知识 算机病毒及其防治 火墙技术 它安全设置 络攻击技术 2016/8/9 2 关知识 络安全的定义 络面临的安全威胁 2016/8/9 3 络安全的定义 计算机安全、网络安全和信息系统安全是信息安全的三个级别，其中计算机安全是基础，网络安全是核心，系统安全是目标。 网络安全是一个关系国家安全和社会稳定的重要问题，它涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多门学科。其本质是确保网络上的信息安全，具体是指确保网络系统的硬件、软件及其系统中的数据不被偶然或者恶意的破坏、篡改和泄露，并保证网络系统能连续稳定正常地工作。 2016/8/9 4 网络安全包括数据的保密性、数据的完整性、数据的可用性、数据的可控性和不可抵赖性 5个要素。 保密性就是确保信息不暴露给未授权实体或进程，仅允许授权用户访问； 完整性就是要保证数据不被未授权修改； 可用性就是指授权用户和实体能访问数据； 可控性是指控制授权范围内的信息流向和操作方式，如对信息的访问、传播及内容具有控制能力； 不可抵赖性是指对出现的安全问题提供审查依据与手段，即所有通信参与者都不能否认自己曾经的操作和承诺。 2016/8/9 5 络面临的安全威胁 计算机网络所面临的威胁有三种：硬件安全、软件安全和数据安全。 硬件包括网络中的各种设备及其元配件，接插件及线缆等； 软件包括网络操作系统、各种驱动程序、通信软件及其他应用软件； 数据包括系统的配置文件、日志文件、用户资料、各种重要的敏感的数据库及其网络上两台机器之间的通信内容等机密信息。 2016/8/9 6 影响网络安全包括人为的和非人为的。 人为的因素又可以分为无意的失误和恶意的攻击。 人为的无意失误包括误操作引起的文件删除、硬盘被格式化，或者掉电引起的系统中断、崩溃；网络管理员由于技术素质不高，安全访问权限分配不当造成的漏洞；用户安全意识不强，口令设置不妥或随意与他人共享网络资源不良习惯都会对网络安全带来威胁。 人为的恶意攻击，包括企业内部心怀不满的员工、企业之间的网络间谍和网上黑客，才是计算机网络安全面临的最大威胁。 非人为的因素包括自然灾害如地震、雷击、洪水或其它不可抗拒的天灾。 此外非人为因素还包括网络设备的自然损坏、硬盘或其它存贮设备的老化、无规则的停电引起的设备故障等，但这种安全威胁只破坏信息的完整性和可用性，无损信息的秘密性。 2016/8/9 7 算机病毒及其防治 算机病毒的定义 算机感染病毒后的症状 算机病毒的防范 2016/8/9 8 算机病毒的定义 1994年 2月 18日公布的 中华人民共和国计算机信息系统安全保护条例 中，对计算机病毒是这样定义的：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 2016/8/9 9 算机感染病毒后的症状 （ 1）计算机系统运行速度减慢 （ 2）计算机系统不稳定 （ 3）文件异常 （ 4）磁盘异常 （ 5）网络异常 （ 6）其它症状 2016/8/9 10 算机病毒的防范 用的反毒病软件 病毒软件的设置 算机病毒的其它防范措施 2016/8/9 11 用的反毒病软件 防范计算机病毒的最简单和最有效的方法就是安装反病毒软件，并养成良好的使用计算机和计算机的习惯。 1瑞星杀毒软件 2金山毒霸 3江民杀毒软件 4卡巴基斯 5 包括 猫卫士、 2016/8/9 12 病毒软件的设置 以“卡巴斯基反病毒软件 例说明反病毒软件的一些常规设置。 1保护 2016/8/9 13 （ 1）文件反病毒 2016/8/9 14 （ 2）邮件反病毒 2016/8/9 15 （ 3） 2016/8/9 16 （ 4）主动防御 主动防御就是让计算机免受已知威胁和未知新威胁的感染。卡巴斯基的主动防御包括“程序活动分析”、“程序完整性保护”和“注册表防护”三个部分。 对于普通的计算机用户，建议不使用主动防御功能。而对有一定的计算机基础，又十分在意安全的用户，可以使用该功能。 2016/8/9 17 2扫描 2016/8/9 18 3更新 2016/8/9 19 4服务 2016/8/9 20 算机病毒的其它防范措施 1利用硬件设置 建议启用主板硬件病毒防护功能 建议设置计算机总是先从硬盘启动，这样可防止将软盘或光盘中的恶意程序加载到系统中。 2避免文件对拷 3正确使用移动磁盘 4慎重对待下载的程序 5警惕电子邮件及其附件 6防范宏病毒 7备份与还原 2016/8/9 21 火墙技术 火墙的基本类型 网个人版防火墙及其设置 2016/8/9 22 防火墙（ 词来源于早期欧式建筑中为了防止火灾的蔓延而在建筑物之间修建的矮墙。在计算机网络中的防火墙是指隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。防火墙主要用于逻辑隔离外部网络与受保护的内部网络，其应用示意图如图 受 保 护 的内 部 网 络外 部 网 络防 火 墙2016/8/9 23 火墙的基本类型 1按防火墙技术分类 （ 1）包过滤防火墙 包过滤技术有两种不同版本，分别为“第一代静态包过滤”和“第二代动态包过滤”。 第一代静态包过滤类型防火墙 这类防火墙是根据定义好的过滤规则审查每个数据包，确定其是否与某一条包过滤规则匹配。 第二代动态包过滤类型防火墙 这类防火墙采用动态设置包过滤规则的方法，这就是后来的状态监测（ 术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。 2016/8/9 24 （ 2）应用代理防火墙 应用代理型防火墙工作在 应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 代理型防火墙也有两个不同的版本，即“第一代应用网关型代理防火墙”和“第二代自适应代理防火墙”。 2016/8/9 25 第一代应用网关型防火墙 这类防火墙是通过一种代理（ 术参与到一个 内部发出的数据包经过这样的防火墙处理后，就好像是防火墙的外部网卡与外部网络建立连接一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙的核心技术就是代理服务器技术。 第二代自适应代理 (防火墙 自适应代理根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。 2016/8/9 26 2按防火墙的应用部署位置分类 （ 1）边界防火墙 边界防火墙是最为传统的防火墙，它们位于内、外部网络的边界，所起的作用是对内、外部网络实施隔离，保护边界内部网络。这类防火墙一般都是硬件类型的，价格较贵，性能较好。 （ 2）个人防火墙 个人防火墙安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常是一个应用软件，价格最便宜，性能也最差。 天网个人版防火墙是国内个人防火墙的优秀品牌产品之一， P/2003集成的 星防火墙、诺顿防火墙或 2016/8/9 27 （ 3）混合式防火墙 混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”，它是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。 2016/8/9 28 网个人版防火墙及其设置 应用程序规则 系统设置 理规则 当前系统中所有应用程序网络使用状况 日志 接通 /断开网络 安全级别 2016/8/9 29 1系统设置 2016/8/9 30 2安全级别设置 低：计算机将完全信任局域网，允许局域网内部的机器访问自己提供的各种服务，但禁止互联网上的机器访问这些服务。该级别适用于在局域网中提供服务的用户。 中：禁止访问系统级别的服务（如 局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的服务。适用于普通个人上网用户。 高：禁止局域网内部和互联网的机器访问自己提供的网络共享服务，局域网和互联网上的机器将无法看到本机器。除了已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。也是最严密的安全级别。 扩展：该安全等级是基于“中”安全级别再配合一系列专门针对木马和间谍程序的扩展规则，可以防止木马和间谍程序打开 自定义：用户如果了解各种网络协议，则可以自己设置规则。适用于对网络有一定了解并需要自行设置规则的用户。 2016/8/9 31 3设置 2016/8/9 32 4应用程序规则设置 2016/8/9 33 5查看日志 2016/8/9 34 6查看应用程序网络状态 2016/8/9 35 7断开 /接通网络 单击天网防火墙主界面上的“接通 /断开网络开关”按钮，可以将网络置于连通状态或断开状态。如果计算机受到频繁攻击时，单击此按钮断开网络是最有效的应对方法。 2016/8/9 36 它安全设置 统安全设置 户及密码管理 据文件安全设置 闭无用的端口 2016/8/9 37 统安全设置 1安装系统补丁 客户部署更新 大多数攻击发生这个阶段 发布 更新 漏洞被公开 漏洞被发现 产品发行 2016/8/9 38 （ 1）手动更新 2016/8/9 39 （ 2）自动更新 2016/8/9 40 2使用 3维护注册表安全 4开启审核策略 2016/8/9 41 户及密码管理 1禁用 2限制帐户的个数 3更改 4开启用户策略 5禁止显示上次登录用户名 6设置屏幕保护密码 2016/8/9 42 据文件安全设置 1禁用默认共享 2经常备份 3正确设置文件的共享权限 4防止文件名欺骗 2016/8/9 43 闭无用的端口 用户可以对自己计算机的端口进行安全性的检查，比如可以使用 果可以确认某个端口不安全或者不需要，则可以关闭这些端口。对于普通用户来说可以利用 35、139、 445、 593、 1025 端口和 35、 137、138、 445 端口，还有一些流行病毒的后门端口（如 745、 3127、 6129 端口），以及远程服务访问端口 3389等。 2016/8/9 44 络攻击技术 关基础知识 息收集型攻击 坏型攻击 用型攻击 络欺骗攻击 圾信息攻击 2016/8/9 45 关基础知识 络攻击的本质 络攻击的动机与目的 络攻击的一般步骤 2016/8/9 46 络攻击的本质 无论是何种动机，攻击者实际上是希望完成以下四件事中的一件或多件：破坏目标工作、窃取目标信息、控制目标计算机和利用假消息欺骗对方，这四件事的本质就是入侵与破坏。 （ 1）破坏 所谓破坏，指的是破坏攻击目标，使之不能正常工作，但不能随意控制目标系统。 （ 2）入侵 以入侵为目的的攻击方式，需要获得一定的权限来达到控制攻击目标的目的。这类攻击通常是利用服务器操作系统、应用软件或者网络协议存在的漏洞进行的。 2016/8/9 47 络攻击的动机与目的 1政治和军事目的 2集体或个人的商业目的 3无恶意的恶作剧 4以恶意破坏为目的 2016/8/9 48 络攻击的一般步骤 1攻击的准备阶段 确定攻击目的：确定攻击目的就是要确定攻击要达到的效果，并以此选择好攻击所需要的工具； 收集目标信息：要收集的目标信息包括操作系统类型及版本、目标提供哪些服务、各服务的类型、版本及其相关的信息等。 2016/8/9 49 2攻击的实施阶段 作为破坏性攻击，只需要利用工具发动攻击即可；而作入侵性攻击，往往需要利用收集到的信息，找到其系统漏洞，然后利用该漏洞获取一定的权限。所以对于入侵攻击来讲，漏洞至关重要。能够被攻击者利用的漏洞不仅包括系统软件设计上的安全漏洞，也包括由于管理配置不当而造成的漏洞。 攻击实施阶段的一般可分为以下三个过程： 第一步，隐藏自己的位置，以便不会被追查到或被报复。 第二步，利用收集到的信息获取账号和密码，登录主机。 第三步，利用漏洞或者其它方法获得控制权并窃取网络资源和特权。 2016/8/9 50 3攻击的善后阶段 完成攻击目的之后，如果忽略了善后工作，那么这种攻击很有可能会被追查到并追究相关责任甚至遭受更疯狂的报复。这里要做的善后工作主要是指清除攻击的痕迹，包括各种日志记录，如 2016/8/9 51 息收集型攻击 络扫描 系结构探测 务信息收集 016/8/9 52 信息收集型攻击就是收集目标网络系统中的各种有用信息，收集的手段可以是扫描、侦察和盗取等。这种攻击存在于攻击目标网络系统的各个流程环节中，它可能是攻击的最终目标，也可能是整个攻击的开始。但这种攻击一般不会对目标系统及其数据产生破坏作用。 2016/8/9 53 络扫描 扫描就是通过向目标主机发送数据包，然后根据响应来获得目标主机的情况的一种技术，根据扫描的方式不同，主要有地址扫描、端口扫描和漏洞扫描三种方式。 1地址扫描 2端口扫描 3漏洞扫描 2016/8/9 54 系结构探测 体系结构探测又叫系统扫描，攻击者使用具有已知响应类型的数据库的自动工具，对来自目标主机、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法，通过将此独特的响应与数据库中的已知响应进行对比，攻击者经常能够确定出目标主机所运行的操作系统，甚至可以了解到目标的系统配置，确定目标所使用的软件。 2016/8/9 55 务信息收集 攻击者可以利用一些现有的信息服务或漏洞来对目标系统进行攻击。 1 2 3 2016/8/9 56 于监听网络中的数据包， 杂”（ 式。在这种模式下，网络接口处于一个对网络进行“监听”的状态，它可以监听此网络中传输的所有数据帧，并实时分析数据帧中包含的内容。攻击者可以通过分析截获的数据帧找到感兴趣的内容，包括用户帐号和口令等敏感信息，从而为下一步攻击做好准备。 2016/8/9 57 坏型攻击 破坏型攻击以破坏对方系统为主要目标，破坏的方式包括使对方系统拒绝服务、删除有用数据甚至破坏操作系统和硬件（比如 。其中病毒攻击、拒绝服务攻击（ 称 最常见的破坏性攻击。 目标计算机发起大规模的进攻，以致被攻击的计算机崩溃或消耗它的大部分资源来阻止其对合法用户提供服务。但一般不对目标计算机中的信息进行修改。 2016/8/9 58 使用一些公开的软件进行攻击，发动这种攻击较为简单而且在较短的时间内即可达到明显的效果，但要防止这类攻击是非常困难的，从技术上看，目前还没有根本的解决办法。 常见的 1 这是利用 通过向目标端口发送大量的超大尺寸的 目标收到这些在缓冲区里重新组合它们，由于这些包的尺寸太大，造成事先分配的缓冲区溢出，这时系统通常会崩溃或挂起。 在 l 65535 t 2016/8/9 59 2 利用那些在 些系统在收到含有重叠偏移的伪造分段时会崩溃。 应对这种攻击的最有效方式就是安装最新服务补丁。 2016/8/9 60 3 DP 复地址指向开着 样就在两台主机之间生成足够多的无用数据流，导致带宽被占满。 应对这种攻击的方法是关闭不必要的 者配置防火墙阻断来自 2016/8/9 61 4 台主机之间建立 要发送设置了 成三次握手过程。如果向某一主机发送大量建立连接的请求，但不应答目标主机返回的 是这些连接请求在队列中排队等候攻击方的应答。因收不到攻击方的应答从而导致队列填满，最终将不能接收正常的连接请求。 对于 以在防火墙上过滤来自同一主机的后续连接。但这种方式并不十分有效，特别是应对分布式的 2016/8/9 62 5 在 构造一个特别的 它的源地址和目的地址都设置成被攻击目标服务器的地址，此举将导致接收服务器向它自己的地址发送 果这个地址又发回 一个这样的连接都将保留直到其超时。对 多 约持续 5分钟）。 应对这种攻击的方法是安装最新补丁，或者配置防火墙过滤掉源地址与目的地址均相同的数据包，或者传入的数据包的源地址为内部地址的数据包。 2016/8/9 63 6 据包中的回复地址设置成受害网络的广播地址，受害网络中的所有主机都对此 终导致网络阻塞，这种攻击方式比 of 2个数量级，更加复杂的 终导致第三方崩溃。 2016/8/9 64 7 是通过 目标网络中的众多主机回应后，便可以造成网络的阻塞，即使某些 产生的 为了防止黑客利用自己的网络攻击别人，可以关闭外部路由器或防火墙的广播地址特性。为了防止受到这种攻击，可以配置防火墙丢弃 2016/8/9 65 8畸形消息攻击 畸形消息攻击也可叫做系统漏洞攻击，由于现在的各类操作系统上的许多服务都存在安全隐患，这些服务在处理信息之前没有进行适当正确的错误校验，导致其在接收到畸形的信息之后可能会崩溃。 应对这种攻击的最有效方式就是安装最新服务补丁。 9电子邮件炸弹 通过设置一台计算机不断地向同一地址发送大量的电子邮件，这样将可能导致接受者网络的带宽被消耗殆尽。 对应这种攻击的有效方式就是配置邮件服务器自动删除来自同一主机的过量或重复的消息。 2016/8/9 66 10分布式拒绝服务攻击 分布式拒绝服务攻击 用了一种比较特别的体系结构，攻击者通过控制许多其它的主机，把它们作为跳板，利用这些主机同时攻击目标计算机，从而导致目标计算机瘫痪，这种攻击方式使得攻击者可以很容易地隐藏自己的真实身份。 对于 前还没有十分有效的防范措施。 2016/8/9 67 用型攻击 令破解 洛伊木马 冲区溢出攻击 2016/8/9 68 利用型攻击以控制对方系统为我所用为主要目标。目标计算机一旦被攻击者控制，其上的信息就可能被窃取，文件可能被修改，甚至还可以利用目标计算机作为跳板来攻击其它计算机，一旦被对方追踪，目标计算机则成为了替罪羊。前面介绍的 典型的利用型攻击手段有以下三种： 2016/8/9 69 令破解 口令也叫密码（ 口令攻击是网络攻击最简单，最基本的一种形式，黑客攻击目标时，常将破译普通用户的口令作为攻击的开始。 1字典文件 2口令攻击的方法 （ 1）字典攻击 （ 2）强行攻击 （ 3）组合攻击 2016/8/9 70 洛伊木马 1特洛伊木马的概念 特洛伊木马（ 称木马）一词来源于古希腊的神话故事。在计算机安全学中，特指一种计算机程序，该程序由攻击者或者通过欺骗方式安装到目标系统上。一旦安装成功，攻击者就可以直接远程控制目标系统。当目标系统启动时，木马程序根据命令在目标计算机上执行一些操作，如传送或删除文件，窃取口令，重新启动计算机等。 河和广外男生等都是典型的木马程序，它们能巧妙地运行在目标计算机系统中，而且不容易被发现。 2016/8/9 71 2木马的工作方式 木马程序一般利用 用 C/为客户端和服务器端两个部分。服务器端程序运行在被攻击的计算机上，而客户端程序运行在攻击者的计算机上。客户端程序可以同时向很多服务端程序发送命令以控制这些计算机。木马服务器端程序可能会隐藏于网页中，并在用户浏览网页时下载到计算机上运行；也可能是附在邮件附件中，如果用户运行了该邮件附件中的程序，则服务器端程序将被运行；还有可能通过 些恶意网站可能是传播特洛伊木马的一个主要途径。 2016/8/9 72 3木马的分类 （ 1）按照对计算机的破坏方式分类 远程访问型木马：如 000， 河等都属于这类木马。 密码发送型木马：记录输入的各种密码并发送给客户端的控制程序。 键盘记录型木马：记录所有键盘事件包括输入的用户名和密码并生成 后发送给控制者。 毁坏型木马：以破坏对方计算机为主要目的 类木马一般在被攻击的计算机上开启21），使攻击者不经过密码验证就可以登录对方计算机，进行文件的上传与下载。 2016/8/9 73 （ 2）按传输方式分类 主动型木马：客户端程序可以扫描到被攻击者，并由客户端主动连接到服务器端，实施对服务器端计算机的控制。 如冰河 反弹式木马：利用防火墙对内部发起的连接请求无条件信任的特点，假冒是系统的合法网络请求来取得对外的端口，再通过某些方式连接到木马的客户端，从而窃取用户计算机的资料，同时遥控计算机本身。如网络神偷 嵌入式木马：嵌入式木马隐藏于一些已有的常用的网络程序中，并利用宿主程序转发木马命令。 如广外男生 2016/8/9 74 冲区溢出攻击 由于 ， 之类的函数不进行长度有效性检查，因此，用户可以往缓冲区写入超出其长度的内容，造成缓冲区溢出，从而破坏程序的堆栈，使程序转向执行其它程序预设的指令，从而获得控制权限，最终达到入侵的目的。 1988年，美国康奈尔大