网络攻防原理与技术课件版第1章

1、第 一 章 绪论第 一 章 绪论内容提纲网络空间安全2网络防护技术3网络攻击技术4课程介绍1黑客5内容提纲网络空间安全2网络防护技术3网络攻击技术4课程介绍1（一）授课老师 Teacher:Email:Phone: 办公室：（一）授课老师 Teacher:（二）课程含义网络攻防原理攻：非法使用或获取网络中的信息或以破坏网络正常运行的行为、技术 防：保护计算机网络的各种技术 Why？国内外所面临的严峻的网络安全形势以及网络战的需要国内外相关课程：网络安全，信息安全，网络对抗，密码学基础（二）课程含义网络攻防原理（三）课程目标研讨内容：常见网络攻击及防护技术的基本原理与基本方法立足点：基于最基本的

2、理论，结合最先进的技术，理解最本质的知识。（三）课程目标研讨内容：常见网络攻击及防护技术的基本原理与基（四）先修课程计算机网络操作系统计算机程序设计导论（C语言）计算机组成原理算法与数据结构汇编程序设计微机体系结构（四）先修课程计算机网络（五）参考书目教材：吴礼发，洪征，李华波：网络攻防原理与技术（第2版），机械工业出版社 （五）参考书目教材：吴礼发，洪征，李华波：网络攻防原理与技（六）课程安排总学时：成绩评定：（六）课程安排总学时：内容提纲网络空间安全2网络防护技术3网络攻击技术4课程介绍1黑客5内容提纲网络空间安全2网络防护技术3网络攻击技术4课程介绍1“网络攻防”中的“网络”指的是什么？

3、网络空间（Cyberspace)（一）网络空间“网络攻防”中的“网络”指的是什么？（一）网络空间（一）网络空间Cyberspace2001，美国防部的“官方词典”联合出版物JP1-02：数字化信息在计算机网络中通信时的一种抽象(notional)环境2003，布什政府保卫cyberspace的国家安全战略：“国家中枢神经系统”，由成千上万的计算机、服务器、路由器、交换机用光纤互联在一起，支持关键的基础设施运行2006，美参联会cyberspace行动的国家军事战略：定义为“域”(domain)，使用电子技术和电磁频谱存储、修改和交换信息，并通过网络化的信息系统和物理基础设施达此目的。该定义主要

4、强调支撑cyberspace的技术基础：电子技术和电磁频谱（一）网络空间Cyberspace（一）网络空间Cyberspace2008.1，布什签署第54号国家安全政策指令和第23号国土安全总统指令(NSPD-54/HSPD23) ：由众多相互依赖的信息技术（IT）基础设施网络组成，包括因特网、电信网、计算机系统和用于关键工业部门的嵌入式处理器、控制器。还涉及人与人之间相互影响的虚拟信息环境。这个定义首次明确指出cyberspace的范围不限于因特网或计算机网络，还包括了各种军事网络和工业网络2008.5，美国防部常务副部长戈登签署了一份备忘录，对定义作了一些修正，删去了“关键工业部门”等字样

5、，认为cyberspace是全球信息环境中的一个领域（一）网络空间Cyberspace（一）网络空间Cyberspace2008.9，美国防大学编写出版cyberpower和国家安全，对Cyberspace进行解读：它是一个可运作的(operational)空间领域，虽然是人造的，但不是某一个组织或个人所能控制的，在这个空间中有全人类的宝贵战略资源，不仅仅是用于作战，还可用于政治、经济、外交等活动，例如在这个空间中虽然没有一枚硬币流动，但每天都有成千上万美元的交易；与陆、海、空、天等物理空间相比，人类依赖电子技术和电磁频谱等手段才能进入cyberspace，才能更好地开发和利用该空间资源，正如

6、人类需要籍助车、船、飞机、飞船才能进入陆、海、空、天空间一样；（一）网络空间Cyberspace（一）网络空间Cyberspace2008.9，美国防大学编写出版cyberpower和国家安全，对Cyberspace进行解读：开发cyberspace的目的是创建、存储、修改、交换和利用信息，cyberspace中如果没有信息的流通，就好比电网中没有电流，公路网上没有汽车一样，虽然信息的流动是不可见的，但信息交换的效果是不言自明的；构建cyberspace的物质基础是网络化的、基于信息通信技术(ICT)的基础设施，包括联网的各种信息系统和信息设备，所以网络化是cyberspace的基本特征和必要

7、前提（一）网络空间Cyberspace（一）网络空间Cyberspace美国民间对cyberspace的理解也不尽相同。是由计算机网、信息系统、电信基础设施共同构建的、无时空连续特征的信息环境；是因特网和万维网(WWW)的代名词；Cyberspace不限于计算机网络，还应包括蜂窝移动通信、天基信息系统等。Cyberspace是一种隐喻(metaphor)，是概念上的虚拟信息空间；这个空间是社会交互作用的产物，包括从认知到信息到物理设施三个层次（一）网络空间Cyberspace（一）网络空间网络空间（方滨兴）是人运用信息通信技术系统进行数据交互的虚拟空间。其中，“信息通信技术系统”包括各类互联网

8、、电信网、广电网、物联网、在线社交网络、计算系统、通信系统、控制系统等电磁或数字信息处理设施；“数据交互”是指网民运用电磁或数字信息等形式所进行的信息通信技术活动。 （一）网络空间网络空间（方滨兴）（一）网络空间网络空间安全（方滨兴）涉及到网络空间中电磁设备、电子信息系统、运行数据、系统应用中所存在的安全问题，既要防止、保护、处置“信息通信技术系统”及其所承载的数据受到损害；也要防止对这些信息通信技术系统所引发的政治安全、经济安全、文化安全、社会安全与国防安全。针对上述风险，需要采取法律、管理、技术、自律等综合手段来应对，确保机密性、可用性、可控性得到保障。 （一）网络空间网络空间安全（方滨兴

9、）（一）网络空间（一）网络空间（一）网络空间美国NICE列出的网络空间安全知识体系（一）网络空间美国NICE列出的网络空间安全知识体系内容提纲网络空间安全2网络防护技术3网络攻击技术4课程介绍1黑客5内容提纲网络空间安全2网络防护技术3网络攻击技术4课程介绍1（一）网络安全属性 如何评估信息、网络或系统的安全程度？保密性（Confidentiality或Security）完整性（Integrity），包括：系统完整性和数据完整性可用性（Availability）不可否认性（Non-repudiation）或不可抵赖性可靠性（Reliability）、可信性（Dependability or T

10、rusty）（一）网络安全属性 如何评估信息、网络或系统的安全程度？（二）构成威胁的因素(1/2) 广义上的网络安全概念威胁因素环境和灾害因素温度、湿度、供电、火灾、水灾、地震、静电、灰尘、雷电、强电磁场、电磁脉冲等，均会破坏数据和影响信息系统的正常工作人为因素：多数安全事件是由于人员的疏忽、恶意程序、黑客的主动攻击造成的有意：人为的恶意攻击、违纪、违法和犯罪无意：工作疏忽造成失误（配置不当等），会对系统造成严重的不良后果（二）构成威胁的因素(1/2) 广义上的网络安全概念（二）构成威胁的因素(2/2)威胁因素(Cont.)系统自身因素计算机系统硬件系统的故障软件组件：操作平台软件、应用平台软

11、件和应用软件网络和通信协议系统自身的脆弱和不足是造成信息系统安全问题的内部根源，攻击者正是利用系统的脆弱性使各种威胁变成现实（二）构成威胁的因素(2/2)威胁因素(Cont.)（三）漏洞产生的原因分析在系统的设计、开发过程中有如下因素会导致系统、软件漏洞：系统基础设计错误导致漏洞 编码错误导致漏洞 安全策略实施错误导致漏洞 实施安全策略对象歧义导致漏洞 系统设计实施时相关人员刻意留下后门 （三）漏洞产生的原因分析在系统的设计、开发过程中有如下因素会（四）漏洞多的原因漏洞不仅存在，而且层出不穷，Why?方案的设计可能存在缺陷 从理论上证明一个程序的正确性是非常困难的 一些产品测试不足，匆匆投入市

12、场 为了缩短研制时间，厂商常常将安全性置于次要地位 系统中运行的应用程序越来越多，相应的漏洞也就不可避免地越来越多 （四）漏洞多的原因漏洞不仅存在，而且层出不穷，Why?（五）补丁不是万能的(1/2)打补丁不是万能的，Why?由于漏洞太多，相应的补丁也太多，补不胜补 有的补丁会使某些已有功能不能使用，导致拒绝服务 有时补丁并非厂商们所宣称的那样解决问题 很多补丁一经打上，就不能卸载，如果发现补丁因为这样或那样的原因不合适，就只好把整个软件卸载，然后重新安装，非常麻烦 漏洞的发现到补丁的发布有一段时间差，此外，漏洞也可能被某些人发现而未被公开，这样就没有相应的补丁可用 （五）补丁不是万能的(1/

13、2)打补丁不是万能的，Why?（五）补丁不是万能的(2/2)打补丁不是万能的，Why?（Cont.）网络、网站增长太快，没有足够的合格的补丁管理员 有时候打补丁需要离线操作，这就意味着关闭该机器上的服务，这对很多关键的服务来说也许是致命的 有时补丁并非总是可以获得，特别是对于那些应用范围不广的系统，生产厂商可能没有足够的时间、精力和动机去开发补丁程序 厂商通常可能在补丁中除解决已有问题之外添加很多的其他功能，这些额外的功能可能导致新漏洞的出现、性能下降、服务中断或者出现集成问题和安全功能的暂时中断等 补丁的成熟也需要一个过程，仓促而就的补丁常常会有问题 自动安装补丁也有它的问题，很多自动安装程

14、序不能正常运行 （五）补丁不是万能的(2/2)打补丁不是万能的，Why?（C（六）因特网问题小结(1/5)问题一：资源共享与分组交换Internet的设计目的是提供一个信息资源共享的公共基础实施：潜在的受害者（如Web服务器）为了提供公开服务必须与Internet连接并且对公众是开放的，这种可见性通过全球可路由的IP地址来实现Internet是基于分组交换的，这使得它比电信网（采用电路交换）更容易受攻击：所有用户共享所有资源，给予一个用户的服务会受到其它用户的影响；攻击数据包在被判断为是否恶意之前都会被转发到受害者！(很容易被DoS攻击)；路由分散决策，流量无序。（六）因特网问题小结(1/5)

15、问题一：资源共享与分组交换（六）因特网问题小结(2/5)问题二：认证与可追踪性Internet 没有认证机制，任何一个终端接入即可访问全网（而电信网则不是，有UNI、NNI接口之分），这导致一个严重的问题就是IP欺骗：攻击者可以伪造数据包中的任何区域的内容然后发送数据包到Internet中。通常情况下，路由器不具备数据追踪功能（如保持连接记录，Why？不保持），因此没有现实的方法验证一个数据包是否来自于其所声称的地方。通过IP欺骗隐藏来源，攻击者就可以发起攻击而无须担心对由此造成的损失负责（六）因特网问题小结(2/5)问题二：认证与可追踪性（六）因特网问题小结(3/5)问题三：尽力而为(bes

16、t-effort)因特网采取的是尽力而为策略：把网络资源的分配和公平性完全寄托在终端的自律上是不现实的（DDoS利用的就是这一点）（六）因特网问题小结(3/5)问题三：尽力而为(best-e（六）因特网问题小结(4/5)问题四：匿名与隐私普通用户无法知道对方的真实身份，也无法拒绝来路不明的信息（如邮件）有人提出新的体系：终端名字与地址分离On the Internet, nobody knows you are a dog;On the Internet, all knows you are not a dog!（六）因特网问题小结(4/5)问题四：匿名与隐私On the（六）因特网问题小结(

17、4/5)（六）因特网问题小结(4/5)（六）因特网问题小结(4/5)（六）因特网问题小结(4/5)（六）因特网问题小结(5/5)问题五：对全球网络基础实施的依赖全球网络基础设施不提供可靠性、安全性保证，这使得攻击者可以放大其攻击效力：首先，一些不恰当的协议设计导致一些（尤其是畸形的）数据包比其它数据包耗费更多的资源（如TCP SYN包比其它的TCP包占用的目标资料更多）；其次，Internet是一个大“集体”，其中有很多的不安全的系统（六）因特网问题小结(5/5)问题五：对全球网络基础实施的依（七）网络防护技术发展过程（七）网络防护技术发展过程1、安全技术发展的三个阶段第 1 代安全技术（阻止

18、入侵） 第 2 代安全技术（入侵检测，限制破坏） 第 3 代安全技术（入侵容忍）入侵将出现 一些攻击将成功 访问控制及物理安全 密码技术 防火墙(Firewalls) 入侵检测系统 (IDS) 虚拟专用网 (VPN) 公钥基础结构 (PKI) 实时状况感知及响应 实时性能、功能、安全调整 容侵技术 1、安全技术发展的三个阶段第 1 代安全技术第 2 代安全技第一代安全技术目的：以“保护”为目的的第一代网络安全技术，主要针对系统的保密性和完整性。方法：通过划分明确的网络边界，利用各种保护和隔离技术手段，如用户鉴别和认证，访问控制、权限管理和信息加解密等，试图在网络边界上阻止非法入侵，达到信息安全

19、的目的。 第一代安全技术目的：以“保护”为目的的第一代网络安全技术，主第一代安全技术（续） 问题：通用的商用产品对安全技术的支持不够（特别是在操作系统这一层次），因而也限制了安全技术在军事中的应用。对一些攻击行为如计算机病毒、用户身份假冒、系统漏洞攻击等显得无能为力，于是出现了第二代安全技术。 第一代安全技术（续） 问题：第二代安全技术目的：以检测技术为核心，以恢复技术为后盾，融合了保护、检测、响应、恢复四大技术。它通过检测和恢复技术，发现网络系统中异常的用户行为，根据事件的严重等级，提示系统管理员，采取相应的措施。基本假定：如果挡不住敌人，至少要能发现敌人和敌人的破坏。例如，能够发现系统死机

20、，发现有人扫描网络，发现网络流量异常。通过发现，可以采取一定的响应措施，当发现严重情况时，可以采用恢复技术，恢复系统原始的状态。 第二代安全技术目的：以检测技术为核心，以恢复技术为后盾，融合第二代安全技术(续) 技术：防火墙入侵检测系统虚拟专用网公钥基础设施安全操作系统其他技术：审计系统，漏洞扫描，防病毒等 第二代安全技术(续) 技术：第二代安全技术(续) 广泛应用于军民各领域问题：依赖于检测结论，检测系统的性能就成为信息保障技术中最为关键的部分。挑战：检测系统能否检测到全部的攻击？要发现全部的攻击不可能准确区分正确数据和攻击数据不可能准确区分正常系统和有木马的系统不可能准确区分有漏洞的系统和

21、没有漏洞的系统不可能 第二代安全技术(续) 广泛应用于军民各领域第三代安全技术第三代安全技术是一种信息生存技术，即系统在攻击、故障和意外事故已发生的情况下，在限定时间内完成全部或关键使命的能力。第三代安全技术与前两代安全技术的最重要差别在于设计理念上：它假定我们不能完全正确地检测、阻止对系统的入侵行为。核心：入侵容忍技术第三代安全技术第三代安全技术是一种信息生存技术，即系统在攻击第三代安全技术(续) 由于安全漏洞是因系统中的程序存在错误所致，而人们又不可能发现并修正系统中存在的所有错误，因此，必须设计一种能够容忍漏洞存在的系统体系结构（称为顽存系统体系结构），当入侵和故障突然发生时，能够利用“

22、容忍”技术来解决系统的“生存”问题，以确保信息系统的机密性、完整性、可用性 第三代安全技术(续) 由于安全漏洞是因系统中的程序存在错误现在呢？现在呢？现在呢？现在呢？内容提纲网络空间安全2网络防护技术3网络攻击技术4课程介绍1黑客5内容提纲网络空间安全2网络防护技术3网络攻击技术4课程介绍1Stallings ：基于攻击实施手段的网络攻击分类 攻击技术截获篡改伪造中断消极攻击积极攻击目的站源站源站源站源站目的站目的站目的站被动攻击主动攻击Stallings ：基于攻击实施手段的网络攻击分类 攻击技Icove分类：基于经验术语分类方法攻击技术 病毒和蠕虫 资料欺骗 拒绝服务 非授权资料拷贝 侵扰

23、 软件盗版 特洛伊木马 隐蔽信道 搭线窃听 会话截持 IP欺骗 口令窃听 越权访问 扫描 逻辑炸弹 陷门攻击 隧道 伪装 电磁泄露 服务干扰 Icove分类：基于经验术语分类方法攻击技术 病毒和蠕虫 I一般攻击过程足迹追踪：Target Footprinting远端扫描：Remote Scaning资源列举： Resource Enumerating权限获取： Access Gaining权限提升： Privilege Escalating设置后门： Backdoors Creating毁踪灭迹： Tracks Covering一般攻击过程足迹追踪：Target Footprinting一般攻

24、击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程一般攻击过程APT攻击APT攻击内容提纲网络空间安全2网络防护技术3网络攻击技术4课程介绍1黑客5内容提纲网络空间安全2网络防护技术3网络攻击技术4课程介绍1（一）认识 “黑客”(1/4)试图闯入计算机并试图造成破坏的人？（一）认识 “黑客”(1/4)试图闯入计算机并试图造成破坏的（一）认识 “黑客”(2/4)黑客（hacker）Hack: “劈，砍”

25、，引伸为“干了一件非常漂亮工作”Hacker: a person who uses computers for a hobby, esp. to gain unauthorized access to data.起源：20世纪50年代MIT的实验室：早期MIT俚语：“恶作剧”，尤指手法巧妙、技术高明的恶作剧。60年代，极富褒义：独立思考、智力超群、奉公守法的计算机迷，“熟悉操作系统知识、具有较高的编程水平、热衷于发现系统漏洞并将漏洞公开与他人共享的一类人”日本的新黑客字典：“喜欢探索软件程序奥秘、并从中增长其个人才干的人。”现指：电脑系统的非法入侵者。（一）认识 “黑客”(2/4)黑客（hac

26、ker）（一）认识 “黑客”(3/4)其它相关词汇：飞客 （Phreak）：早期攻击电话网的青少年，研究各种盗打电话而不用付费的技术。骇客（Cracker）：闯入计算机系统和网络试图破坏和偷窃个人信息的个体，与没有兴趣做破坏只是对技术上的挑战感兴趣的黑客相对应。快客（Whacker）：从事黑客活动但没有黑客技能的人，whacker是穿透系统的人中，在技术和能力上最不复杂的一类。武士（Samurai）：被他人雇佣的帮助他人提高网络安全的黑客，武士通常被公司付给薪金来攻击网络。幼虫（Lara）：一个崇拜真正黑客的初级黑客（一）认识 “黑客”(3/4)其它相关词汇：（一）认识 “黑客”(4/4)其它相关词汇（Cont.）