第十二章计算机网络安全ppt课件

1、第8章 INTERNET安全,8.0 计算机安全概述 8.1 计算机安全的级别 8.2 计算机安全的不可确定性 8.3 攻击性计算机程序 8.4 网络不安全的外部因素,网络与信息安全概论,网络与信息安全问题起源,网络不安全的原因 自身缺陷 + 开放性 + 黑客攻击,业务不安全 协议不安全,网络自身的安全缺陷,网络自身的安全缺陷 协议本身会泄漏口令 连接可成为被盗用的目标 服务器本身需要读写特权 基于地址 密码保密措施不强 某些协议经常运行一些无关的程序 业务内部可能隐藏着一些错误的信息 有些业务本身尚未完善,难于区分出错原因 有些业务设置复杂,很难完善地设立 使用CGI的业务,网络开放性 业务

2、基于公开的协议 远程访问使得各种攻击无需到现场就能得手 连接是基于主机上的社团彼此信任的原则,黑客（HACKER) 定义：“非法入侵者” 起源： 60年代 目的： 基于兴趣非法入侵 基于利益非法入侵 信息战,网络与信息安全任务,网络与信息安全的任务 网络安全：资源、实体、载体 信息安全：存储、传输、应用,网络安全的任务 保障各种网络资源 稳定、可靠地运行 受控、合法地使用,信息安全的任务 机密性（confidentiality) 完整性(integrity) 抗否认性(non-repudiation) 可用性(availability),网络与信息安全的任务 其他：病毒防治 预防内部犯罪,物理

3、因素 网络因素 系统因素 应用因素 管理因素,常见不安全因素,常见攻击分类,口令猜测 地址欺骗(Spoofing) 连接盗用(Hijacking) 窃听（Sniffing) 业务否决(Denial of Service) 对域名系统和其他基础设施的破坏 利用Web破坏数据库 社会工程(Social Engineering),安全需求分析,防护安全 运行安全 管理安全 安全评估,安全理论与技术,密码理论与技术（加密、标记） 认证识别理论与技术（I 生成某个文件; 删除或修改某个文件。,8.2.2 什么是要害问题,要害问题：一些攻击性程序可以利用现有的安全漏洞进入到用户系统中而不被发觉。并达到破坏

4、性目的。,8.2 计算机安全的不可确定性,攻击性程序：其传染特性并不重要； 安全漏洞：攻者寻找安全薄弱点，而防者则堵住安全薄弱点； 破坏性目的：与攻击性程序是同一层次 的含义，但其目的是十分明显的。,非法权限类,攻击性程序,8.3 攻击性计算机程序,攻击性计算机程序的分类,第八章 INTERNET安全,8.3.1 非法权限类,8.3 攻击性计算机程序, 特洛伊木马 陷阱入口 逻辑炸弹 网络炸弹 入侵 窃取, 特洛伊木马 陷阱入口 逻辑炸弹

5、网络炸弹 入侵 窃取,一种未经授权的程序，或在合法程序中有一段未经授权的程序代码，或在合法程序中包含有一段用户不了解的程序功能。上述程序对用户来说具有恶意的行为。,PKZIP300, 特洛伊木马,什么是特洛伊木马程序？,8.3.1 非法权限类,对一般用户正常响 应，保持原功能,识别是用户FANG， 将之赋予ROOT权限,wldfingerD,FingerD,拥有ROOT权限,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGO

6、UT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,FANG在退出前注销ROOT 权限，以免被系统人员查出,取消ROOT权限,UNIX的特洛伊木马, 特洛伊木马,对运行程序进行信息签名以识别其未被篡改。 利用TAMU之类的安全工具程序包来预防。,接收客户程序A 发来 的命令,机器被A控制,A,BO,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A

7、,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,机器被A监视, 特洛伊木马,WINDOWS的特洛伊木马,用netstat对系统的守护进程端口号进行扫描，以检测是否存在未知的守护进程。 利用ISS之类的扫描器进行检测。,指示输入 帐号及口令,伪造登 录现场,指示输入错 误，重输入,捕获口 令退出,真实登 录现场,Pale Rider,密码被窃取,采用TSR技术也可达到同样的目的,输入正确 进入系统,欺骗类特洛伊木马, 特洛伊木马,LOGIN特洛伊木马,伪造ATM是典型的欺骗类特洛伊木马案件。,利用TAMU之类的

8、安全工具程序包来预防,所用的网络相对封闭，轻易不 与外界联系,检查自己的文件，采用数字签 名技术,防住第一次进入是至关重要的,对特洛伊木马程序的防范, 特洛伊木马, 陷阱入口,陷阱入口是利用程序所提供的合法功能来达到破坏系统的目的。包括采用自陷、外形欺骗及功能欺骗的方法。,8.3.1 非法权限类,防范型陷阱入口,防范方法： 黑盒测试, 陷阱入口,防分析破译的软件对中断INT1、INT3的修改； 扬基病毒的自我保护体系。,外形欺骗型陷阱入口,欺骗者,防范方法： 认证技术, 陷阱入口,关机 不响应,认证 不通过,关机 不响应,功能欺骗性陷阱入

9、口,ActiveX的强大功能：下载的结果可能是 格式化你的硬盘 关闭你的机器 预防方法：数字签名 由签名者保证所提供的控件不具有安全方面的破坏性 由IE负责警告用户是否要下载一个无数 字签名的控件, 陷阱入口, 逻辑炸弹,逻辑炸弹是程序中的一部分，满足一定条件时激活某种特定的程序，并产生系统自毁，并附带破坏。,8.3.1 非法权限类, 逻辑炸弹,潜伏代码,满足条 件否？,满足而 爆炸,防护方法：软件黑盒测试,满足而 爆炸,伊拉克的打印机 香港的银行系统 上海的控制系统 KV300 .,系统仿真,以利用计算机协议处理的漏洞来攻击网上计算机使之死机为目的的

10、网络程序。, 网络炸弹,8.3.1 非法权限类,攻击IP协议的网络炸弹,IP协议处理,死机,假长度攻击,防范方法：堵住协议处理的漏洞,newtear,boink,nestea,更新IP处理,用Telnet向80口发也可摧毁Windows NT,向139端口发0字节也可摧毁Windows95/NT, 网络炸弹,必须对恶意攻击的情况作假设,以利用计算机协议处理的漏洞来非法获得本机ROOT权限或通过特殊方法来分析他人（包括系统员）的口令以达到非法操作的目的的操作过程。, 入侵,8.3.1 非法权限类,诱骗式入侵方法,很多系统命令(如EJECT)是具有ROOT

11、 .权限的，即在ROOT权限下来执行。利 .用操作系统的漏洞，通过导致这类操作 出现异常终止，便获得ROOT 权限(此时并不知道系统口令)。, 入侵,返回出口,缓冲区溢出的入侵方法,程序区,数据区,Shell 程序,Shell 入口,mount,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 入口,缓冲区溢出,进入操作系统 获得系统权限,转SHELL入口指定地址,通过造成缓冲区溢出并用

12、指定地址覆盖返回地址而进入指定程序的方式来获得系统权限。, 入侵,更新操作 系统版本,基于口令的入侵方法,采用“蛮力”的方法来分析指定用户的口令。,CRACK程序,加密系统,比较,成功,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,不同,找到, 入侵,基于口令的入侵方

13、法,借助字典采用“蛮力”的方法来分析指定用户的口令。,CRACK程序,加密系统,比较,成功,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,不同,找到, 入侵,40 78秒 48 5小时 56 59天 64 41年 72 10696年 80 2,738,199年,DESCHALL小组

14、破译能力,口令设置的特别方法 口令中加空格 不要用字头加号码的方法 基于语句的口令：我是工大学人 Ws Gd Xr，wH gA xE 基于键盘的口令：6413714 Yrq Euqr，Hfa Djaf,扫描器常规的入侵工具,用于检查系统中可能存在的缺陷和服务及设置管理方面的弱点。可查出OS类型、开 放的端口，可搜集本网段的IP地址，再对这些地址进行扫描来报告出FTPD脆弱性、NFS脆弱性、sendmail脆弱性、rexd如何等。,法律上禁止使用,SATAN，ISS, 入侵,入侵的目的,破坏数据完整性或非授权对其它资源的改动； 设置并启动特洛伊木马程序； 非法登录或非法操作； 非授

15、权访问或享用系统资源； 破坏系统可用性或其它各种不安全行为； 以系统名义欺骗； 伪造信息； 篡改信息。,身份认证技术,定时检查TSR,审计技术,服务认证技术,系统认证技术,数字签名,信息签名, 入侵,防火墙技术,防火墙防止攻击的屏障,防火墙是作为Intranet的 D第一道防线，是把内部网 和公共网分隔的特殊网络互连设备，可以用于网络 用户访问控制、认证服 DD务、数据过滤等。, 入侵,防火墙的分类,报文分组过滤网关 应用级网关 信息级网关, 入侵,防火墙之报文过滤网关,一般是基于路由器来实现。例如，商用的CISCO、BAY公司等路由器都在不同程度上支

16、持诸如基于TCP/IP协议集的分组的源、目地址进出路由器的过滤，即让某些地址发生的分组穿越路由器到达目的地。,非特定IP地址,3,3,3,3,3,3,3,3,3,3,3,3,3,3,3,3,3,3,190

17、.11.12.33,3,3,3,3,3,3,特定源IP地址,8,8,8,8,8,8,8,8,8,8,禁止,8,8,8,202.11

18、8.228.68,8,8,8,8,8,8,8,8,8,特定目的IP地址,00,3,3,3,3,3,3,3,3,3,3,1

19、3,3,3,3,禁止,3,3,3,3,3,3,3,3,3,3,3,3,3,3,3,3,禁止,禁止,8,8,禁止

20、,禁止,3,3,IP欺骗是黑克常用的手法, 入侵,防火墙之应用级网关,应用级网关是为专门的应用设计专用代码，用于对某些具体的应用进行防范。这种精心设计的专用代码将比通用代码更安全些。例如DEC公司生产的SEAL软件包就具有对出境的FTP进行个人身份认证，并对其使用带宽进行限制。,FTP服务器,访问Emial,合法访问FTP,非法访问FTP,访问Emial,访问Emial,访问Emial,访问Emial,访问Emial,访问Emial,访问Emial,访问Emial,访问Emial,访问Emial,访问Emial,访问Emial,访问Em

21、ial,访问Emial,访问Emial,访问Emial,访问Emial,访问Emial,访问Emial,访问Emial,访问Emial,合法访问FTP,合法访问FTP,合法访问FTP,合法访问FTP,合法访问FTP,合法访问FTP,合法访问FTP,合法访问FTP,合法访问FTP,合法访问FTP,合法访问FTP,合法访问FTP,合法访问FTP,合法访问FTP,合法访问FTP,合法访问FTP,认证合法,合法访问FTP,合法访问FTP,合法访问FTP,合法访问FTP,合法访问FTP,合法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访

22、问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,认证非法,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP,非法访问FTP, 入侵,防火墙之信息级网关,信息级网关是用于进行信息过滤的。其基本思想是限制含有指定敏感词汇的信息包进入系统。显然这种

23、方法对图象、声音、影像、加密信息是难以起作用的，但对不应进入的公开资料的流入可以起限制性作用。,.like.,.like.,.like.,.like.,.like.,.like.,.like.,.like.,.like.,.like.,.like.,.like.,.like.,.like.,.like.,正常通过,.like.,.like.,.like.,.like.,.like.,.like.,.like.,.like.,.like.,.like.,.like.,.like.,“64”.,“64”.,“64”.,“64”.,“64”.,“64”.,“64”.,“64”.,“64”.,“64”

24、.,“64”.,“64”.,“64”.,“64”.,.“64”.,.“64”.,敏感禁入,.“64”.,.“64”.,.“64”.,.“64”.,.“64”.,.“64”.,.“64”.,.“64”.,.“64”.,.“64”.,.“64”.,.like.,.like.,正常通过,正常通过,敏感禁入,敏感禁入,.“64”.,.“64”., 入侵,防火墙的目标,1.确保内部网向外部网的全功能互联和内部网的安全； 2.所有内部网络与外部网的信息交流必须经过防火墙； 3.只有按本地的安全策略被授权的信息才允许通过； 4.防火墙本身具有防止被穿透的能力。, 入侵,入侵检测系

25、统(IDS)的分类,基于主机 基于网络 混合分布式, 入侵, 窃取,以搭线窃听、电磁泄露捕获、信息流分析等为手段进行信息的非法获取的行为。,8.3.1 非法权限类,搭线 窃听 捕包,信息窃取,linsniff,sniffit,tcpdump,收音机+MODEM,建立屏蔽措施，防止硬件窃听,数据加密，防止破译,特定软件可查获窃听者, 窃取,数据加密防信息窃取技术,数据加密分为私钥及公钥密码体制两种，其中私钥密码体制用于存储和传输安全信息（如口令、密钥、权限表和认证结果等）和文件内容（如电子邮件、数据传输、图形声音等）的加密解密等。公钥密码体制用于进行密钥

26、分配、身份认证等。,安全的加密方法是指对手找不到更好的攻击方法，只能通过穷举密钥的手段进行解密，即解密的难度与密钥空间成正比。, 窃取,什么是公开密钥加密技术,加密密钥是公开的，不 可进行解密，解密密钥为 私钥，是保密的，且解密密钥不可被推算出来的单向函数算法称公开密钥算法。所有的通信仅涉及公钥，而任何私钥不会被传输。, 窃取,公钥密码体制（RSA）,公钥（m,n=pq),私钥(r,p,q),原文 ABCD,原文 ABCD,密文 %#%￥,公钥(m,n=pq),乱文 ;,互连网络,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文

27、%#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,

28、乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,乱文 ;,密文 %#%￥,乱文 ;,原文 ABCD,原文 ABCD,密文 %#%￥,密文 %#%￥,原文 ABCD,密文 %#%￥, 窃取,数字签名技术,公钥(m,n=pq),私钥(r,p,q),原文 ABCD,原文 ABCD,密文 %#%￥,公钥(m,n=pq),互连网络,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文

29、%#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,原文 ABCD,原文 ABCD,原文 ABCD,原文 ABCD,原文 ABCD,原文 ABCD,原文 ABCD,原文 ABCD,原文 ABCD,原文 ABCD,原文 ABCD,原文 ABCD,原文 ABCD,原文 ABCD,原文 ABCD,原文 ABCD

30、,原文 ABCD,原文 ABCD,原文 ABCD,原文 ABCD,原文 ABCD,原文 ABCD,原文 ABCD,密文 %#%￥,原文 ABCD,原文 ABCD,密文 %#%￥,密文 %#%￥,原文 ABCD,原文 ABCD,密文 %#%￥, 窃取,什么是秘密密钥加密技术,加密算法与解密算法是 .相同的且是公开的，加 .密密钥与解密密钥是同 .一个且不可被推算出来 的单向函数算法。密钥的 生成与发送需严格管理。, 窃取,DES密码体制,密钥,原文 ABCD,原文 ABCD,密文 %#%￥,密钥,生成与分发密钥,互连网络,密文 %#%￥,密文 %#%￥,密文 %#%￥

31、,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,密文 %#%￥,原文 ABCD,原文 ABCD,密文 %#%￥,密文 %#%￥,原文 ABCD,密文 %#%￥,40 78秒 48 5小时 56 59天 64 41年 72 10696年 80 2,738,199年,DESCHALL小组破译能力,PASSWORD通 常用DES算法, 窃取,侵占资源是以最大限度地

32、占用被攻击的对象的资源以达到使之瘫痪为目的的行为。,8.3 攻击性计算机程序,8.3.2 侵占资源类, 一对一式攻击 兑变式攻击, 一对一式攻击 兑变式攻击, 一对一式攻击,pong,synk4,这类攻击通常都设置假IP地址,8.3.2 侵占资源类,在TCP包中通过将同步位设为1 的方式来请求连接，如果得到连接 确认后不予理会，而是继续发出申 请，将有可能耗尽服务器端的有限 的响应连接的资源,修改协议 判断频繁连接 通知系统员,内存溢出攻击,对FTP服务器的攻击,FTP服务处理,停止服务,防范方法：堵住协议处理的漏洞,b

33、rute-force,更新FTP处理,大量的链接请求阻碍信道, 一对一式攻击,对MAIL服务器的攻击,服务阻塞攻击,MAIL服务处理,停止服务,大量的Mail请求阻碍服务器,MailBomb，KaBoom！,防范方法：返回同样的信息,返回类似MAIL信息,返回相应的Mail信息, 一对一式攻击,兑变式攻击是一 种典型的蠕虫式模 式其通过某种手段 使得网上用户为攻 击者派生新的攻击 源并适时发出去。, 兑变式攻击,8.3.2 侵占资源类,兑变攻击式侵占资源,让对方接收并运行,拷贝， 向外发送,修改协议，堵住漏洞, 兑变式攻击,著名的莫利斯事

34、件,让Sendmail接收并执行,查通信簿 向外发送,Sendmail,查通信簿 向外发送,查通信簿 向外发送,FingerD,缓冲溢出 向外攻击,缓冲溢出 向外攻击,缓冲溢出 向外攻击,利用Finger的漏洞获得控制权,Sendmail Fingerd rsh/rexe, 兑变式攻击,8.3.3 传染类计算机病毒,8.3 攻击性计算机程序, 计算机病毒的分类 源码类病毒 目标码类病毒 计算机病毒的检查与预防, 计算机病毒的分类 源码类病毒 目标码类病毒 计

35、算机病毒的检查与预防, 计算机病毒的分类,1、按攻击对象分为类 攻击Intel系列指令系统的依托机型 攻击Motorola系列指令系统的依托机型 攻击源语言的依托机型 2、按照依附方式进行分类 操作系统类病毒 嵌入型文件类病毒 文件类外壳型病毒,8.3.3 传染类计算机病毒, 计算机病毒的分类,3、按照环境进行分类 DOS病毒 Windows病毒 UNIX病毒 网络病毒 Macintosh-DOS病毒等。 4、按破坏情况分类 良性病毒 中性病毒 恶性病毒 5、按结果方式分类(以DOS系统为例) 引导区类病毒 文件类驻留型病毒 文件类不驻留型病毒, 源码

36、类病毒,与CPU指令系统无关的病毒程序，不通过改造被传染的源程序来获取控制权，而是利用一些应用程序所留出的入口来进入系统，典型的方式是宏命令。,8.3.3 传染类计算机病毒,宏病毒工作机理,有毒文件.doc,Normal.dot,无毒文件.doc,Normal.dot,1）按住shift启动word，防止宏进入 2）删除可能进入的宏 3）在Normal模版中创建Autoexec宏 Sub Main Disable AutoMacros 1 End Sub, 源码类病毒, 目标码类病毒,传染期,发作期,截获控制权,感染期,操作,动作,8.3.3 传染类计算机病毒,.1 操作系统类病毒 .2 文件类病毒,.1 操作系统类病毒 .2 文件类病毒,.1 操作系统类病毒,操作系统病毒是那种仅感染操作系统程序文件的病毒，其特点是常常先于操作系统的安装进入系统。与文件类病毒的最大差别是感染区域固定而容易预防。,8