第01讲-网络对抗概述

第一讲网络对抗概述吴礼发，洪征，李华波（wulifa@）2内容提纲网络安全事件2网络对抗相关概念3网络攻击概述4课程介绍1黑客53（一）授课老师

Teacher:4（二）课程含义网络攻击与防护网络：计算机网络，TCP/IP攻击：非法使用或获取网络中的信息或以破坏网络正常运行的行为、技术防护：保护计算机网络的各种技术Why？国内外所面临的严峻的网络安全形势以及信息化战争的需要国内外相关课程：网络安全，信息安全，网络对抗，密码学基础理工大学指挥自动化学院5（三）课程目标研讨内容：常见网络攻击及防护技术的基本原理与基本方法立足点：基于最基本的理论，结合最先进的技术，理解最本质的知识。理工大学指挥自动化学院6（四）先修课程计算机网络操作系统计算机程序设计导论（C语言）计算机组成原理算法与数据结构汇编程序设计微机体系结构7（五）参考书目教材：吴礼发，洪征，李华波：《网络攻防原理》，机械工业出版社胡建伟，汤建龙，杨绍全等

:《网络对抗原理》，西安电子科技大学出版社，2004.6闫宏生，王雪莉，杨军等著：《计算机网络安全与防护》，电子工业出版社，2007.88（六）课程安排总学时：50(40+10)成绩评定：100（考试）第01讲网络对抗概述9内容提纲网络安全事件2网络对抗相关概念3网络攻击概述4课程介绍1黑客510书中列出的安全事件1995年8月21日，设防严密的花旗银行（CITYBANK）被前苏联克格勃人员通过Internet侵入，损失现金高达1160万美元。而为了弄清真相并防止入侵者故伎重演，花旗银行又不得不出资580万美元的现金让入侵者讲述入侵秘密和详细步骤。1999年4月26日，台湾大同工学院资讯工程系学生陈盈豪制造的“CIH”病毒发作，震撼了全球，据保守的估计至少有6000万部电脑受害。著名的安全事件(1/4)11著名的安全事件(2/4)据美国五角大楼的一个研究小组称，美国国防部一年中遭受到的攻击就达25万次之多。1997年由于黑客入侵美国空军防务系统，迫使五角大楼把防务网络关闭24小时。1996年8月17日，黑客入侵美国司法部，将“美国司法部”的主页改成了“美国不公正部”，将司法部部长的照片换成了阿道夫·希特勒，将司法部的徽章换成了纳粹党的党徽，并加上一张色情女郎的图片作为司法部长的助手。同年的9月18日，黑客们又将美国“中央情报局”主页改成了“中央愚蠢局”。12著名的安全事件(3/4)撞机事件导致中美黑客大战，2001年4月30开始，中国黑客联盟、中国红客联盟、鹰派三大黑客组织：两天内已有超过700家中美政府及民间网站相继被“攻陷”。（张召忠教授的“网络战”一书）1998年我国一高中生在网上从某研究机关电脑中轻易获取苏27飞机技术资料。近几年通报的我军网络泄密事件。13著名的安全事件(4/4)计算机病毒与网络的结合：网络病毒，巨大的破坏性：1988年11月2日，学生RobertMorris将一个蠕虫(worm)程序从MIT放入计算机网络，疯狂传播数千台机器，使Internet陷入混乱。2000年肆虐全球的“爱神”病毒通过WEB繁殖自身，迅速在全世界各地蔓延，造成全球10多亿美元的损失、1000多万台计算机受感染，并出现29种变种病毒。2001年，红色代码(CodeRed)病毒：在迅速传播的过程中，“红色代码”蠕虫能够造成大范围的访问速度下降甚至阻断。它所造成的破坏主要是涂改网页,对网络上的其它服务器进行攻击，被攻击的服务器又可以继续攻击其它服务器。红色代码II(CodeRedII)Nimda病毒：1999年，阻塞网络。14内容提纲网络安全事件2网络对抗相关概念3网络攻击概述4课程介绍1黑客515定义一：网络战以计算机和计算机网络为主要目标，以先进的信息技术为基本手段，在整个网络空间所进行的各类网络攻击和网络防御行为的总称。可以兵不血刃地破坏敌方的指挥控制、情报信息和防空等军用网络系统以及各种民用网络系统，获取敌方的军事和民用情报特点：没有国界没有痕迹作战效果难以评估鼠标点击就是扣动板机人民战争（一）网络战16（二）网络对抗与信息战定义二：网络对抗网络对抗：在信息网络环境中，以信息网络系统为载体，以计算机或计算机网络为目标，围绕信息侦察、信息干扰、信息欺骗、信息攻（反）击，为争夺信息优势而进行的活动的总称定义三：信息战信息战：阻止、利用、扰乱或破坏敌方的信息及功能，保护已方军事信息和功能不受这些活动的影响并加以利用而采用的所有行动。换句话说，就是对敌方进行这些活动，而限制敌方进行这些活动。17（三）信息战信息战不太严谨的定义是：阻止、利用、扰乱或破坏敌方的信息及功能，保护已方军事信息和功能不受这些活动的影响并加以利用而采用的所有行动。换句话说，就是对敌方进行这些活动，而限制敌方进行这些活动。信息战是一把双刃剑18（四）网电一体战定义四：网电一体战网电一体战：网络战

+

电子战电子战：基于信号理论，比能量、比功率的耗能战，易被攻击网络战：比知识、比算法的智力战19（五）网络中心战相关定义：网络中心战将分布在广阔区域与空间内的所有侦察探测系统、通信联络系统、指挥控制系统（指挥中心）和武器系统组成一个以计算机为中心的信息网络体系，对不同性质和肩负不同任务的联合作战部队实现网络化无缝连接，对来自各种信息源的数据进行综合、分析、相关、识别和融合，得出战场态势和战术图象，传递给指挥中心和各种作战平台，达到信息共享，各级作战人员利用该网络体系交流作战信息，并使上级的作战命令在指挥员和武器平台之间快速传递，在指挥中心的统一协调和指挥下，各作战部队能进行最佳协同，高效、快速地遂行联合作战行动20(六）网络战：国内外状况美国俄罗斯印度台湾我军211、美军网络战美军积极备战网络战美军作为全球信息化水平最高的军队，未来几年将投入几十亿美元专项巨资，积极备战21世纪的计算机网络战争。美军一方面积极研发计算机网络防护技术，另一方面注重研发计算机网络攻击技术，以增强自身计算机网络攻击能力美军认为，计算机网络攻击，是进攻性信息作战类型之一，是干扰、阻止、削弱或破坏敌计算机和计算机网络上的信息流，或破坏敌计算机和计算机网络本身的作战行动，它可为美国军事力量带来巨大的利益221、美军网络战（续）网络攻击技术装备先进计算机及网络病毒技术：目前美军军用计算机病毒技术远远超过国外病毒监测技术，美军已研制出具有超强破坏能力的军用计算机病毒，计算机芯片病毒固化技术，及计算机病毒无线输送装备等技术和装备计算机及网络嗅探武器：为了进入敌计算机网络系统并成功地实施信息攻击，美国正在研究计算机网络系统分析器、软件驱动嗅探器和硬件磁感应嗅探器等计算机网络系统嗅探武器，以及服务否认、信息篡改、中途窃取和欺骗等技术装备，部分技术现已成熟计算机及网络“肌体”破坏武器：美国国防高级研究计划署正在研究用来破坏电子电路的微米／纳米机器人、能嗜食硅集成电路芯片的微生物等网络攻击武器技术，有些技术已经取得阶段性成果231、美军网络战（续）网络攻击类型模式全面体系破坏模式：美军认为，通过发送计算机病毒、逻辑炸弹等方法破坏敌计算机与计算机网络系统体系，可造成敌国家指挥控制系统的瘫痪信息误导模式：美军认为，向敌计算机与计算机网络系统传输假情报，改变敌计算机网络系统功能，可对敌决策与指挥控制产生信息误导和流程误导。例如，在科索沃战争中，美军就曾通过截取的通信链路把欺骗性材料提供给南联盟防空计算机网络系统，把制造的假雷达图像插入南联盟有关计算机网络系统综合模式：美军认为，要综合利用体系破坏和信息误导，并与其他信息战模式结合，从而造成对敌指挥控制多重杀伤功效241、美军网络战（续）网络攻击路径途径简洁通过敌接收路径进入

：美军认为，可使用战术或战略无线电系统发送带有计算机病毒、逻辑炸弹等信息，使对方战术、战役或战略信息接收系统接收，进而激活信息中潜伏的病毒，进行大量的繁殖，进行数据的删除和涂改通过敌后门攻击进入：

美军认为，可利用各种后门，采用无线输入或提前植入目标系统等方法，将病毒、逻辑炸弹等送入目标计算机系统中去。1999年美国媒体首次披露美国微软的操作系统设置后门作法，引起国际社会强烈不满和不安251、美军网络战（续）网络攻击路径途径简洁（续）通过计算机缺陷进入：

美军认为，黑客们利用当前计算机开放结构的缺陷，使用二进制的基本原理，在军队普遍使用军用和民用相同的编程语言的情况下，掌握语言的高级编写技术，从语言的缺陷处下手，即可从计算机操作程序的缺陷中找出漏洞，再使用专门的破译软件，在系统内部破译超级用户的口令，值得借鉴。为此，美国国防部专门成立“红色小组”，使用网上黑客们常用的破密技术对国防部计算机系统进行破密试验，以便找出计算机系统的缺陷，同时演练网络攻击战术。261、美军网络战（续）网络攻击路径途径简洁（续）通过计算机芯片进入：

美国是计算机的核心——“中央处理器”生产大国，也是其他组件如主板、内置式调制解调器的生产大国。全球销售的约90％的计算机使用了美制芯片等组件。美军认为，这为美国将带有病毒的计算机系统直接或间接卖给目标国家，创造了有利条件。当这些国家与美国为敌时，便可激活隐藏在计算机内部的具有特殊功能的“芯片”，将直接或间接地对敌方国家和军队的计算机系统造成许多麻烦271、美军网络战（续）网络攻击战法运用灵活使用特种部队进行作战：据悉，美军已成立了专门网络联合特种作战部队，专职网络攻击和防护任务，如美国空军609信息战中队，美国防部“红色小组”等。此外，美军常规特种部队，也可利用专门设备执行计算机网络攻击任务。特种部队装备计算机网络攻击设备将极大增强网络攻击的灵活性和可行性。使用无线遥控手段激活病毒：美军认为，鉴于在和平时期，美军利用病毒固化技术已经将大量病毒输入敌方计算机网络系统中，在战时美军只需要使用特殊无线电装置，激活潜伏病毒，即可实现对敌方计算机网络的破坏。281、美军网络战（续）网络攻击战法运用灵活（续）使用专用设备进行作战：美军认为，在与敌方面对面的战斗中，可以使用专用的电脑病毒发射装置，可致使敌方的飞机、导弹、坦克等带有电脑的武器装备系统因电脑程序错误，而发生自我爆炸，自我摧毁或相互残杀等，从而影响战斗的进程。还可以根据传感器原理，在对方纵深投送特殊的传感系统，在对方的眼皮底下，悄悄进行干扰和破坏。使用诱骗手段进行作战：美军认为，可利用技术级差原理，故意发送一些毫无价值的信息，让敌方尽可能侦测到，待对方接收正常后，发送带有病毒信息，再采用激活或潜伏发作的方法，使其发挥作用。或是利用对方人员对游戏的喜欢，通过居民或其他手段送交，提前预植，而使其不可删除，待交战时，再行发挥。291、美军网络战（续）网络攻击战法运用灵活（续）使用“灰色系统”作战：所谓“灰色系统”就是指介于交战双方的大量民用或第三国信息系统，如民用电话设施，国际互联网，民用手提电话和无线电报等。美军认为，未来计算机网络攻击作战中，美军无法阻止敌方使用“灰色系统”，但美军也可利用“灰色系统”。这既是一种途径，也是一种手段，因为在作战中无论美军还是敌军，都或多或少地使用这类系统302、俄军网络战俄军谋打赢“第六代战争”俄军将网络—信息战称为“第六代战争”，俄军认为在未来战争中，要夺取并掌握制信息权和制电磁权，就必须打赢网络—信息战俄军对网络—信息战的理论研究起步较早，并且在实战中使一些理论得到了检验。例如，在1999年12月10日—20日解放格罗兹尼的行动中，俄军实施无线电干扰的电台官兵成功地破译了匪徒在车臣首府东南部的防御系统内发出的密码。在对监听到的情报进行分析之后，不仅及时确定了匪徒盘踞的据点和指挥系统的位置，而且弄清了匪徒的人数312、俄军网络战（续）俄军谋打赢“第六代战争”2000年9月9日，俄罗斯总统普京批准了《俄联邦信息安全法》。近几年来，在俄报刊上发表了一大批关于网络—信息战的文章，对俄军的网络—信息战研究起到了极大的推动作用。俄军把防御网络—信息战攻击视为保卫国家利益的重大问题，并针对俄的实际情况，研究和制定了一些行之有效的对策322、俄军网络战（续）俄军对策：加强侦察：对主要国家的网络信息武器及其使用方法从质量和数量上做出可靠的评估。定期分析地缘战略局势，预测全球性和地区性含有网络—信息战成分的矛盾和冲突，以此作为国家防止信息战威胁的基础开展理论研究：

不仅对网络—信息战本身，更重要的是对建立自己的网络—信息防护范围等问题，展开系统的、有针对性的理论研究加强安全检查：在国家机关特别是军事机关中，俄军组织力量对进口的网络信息设备进行仔细的检查和改造，以找出并堵塞“安全漏洞”，发现并清除破坏性的病毒程序。支持国内网络信息安全技术开发者，保护国内市场，防止潜在的网络—信息武器对国内市场的渗透。332、俄军网络战（续）俄军对策（续）：研制自己的网络—信息武器：这对于俄罗斯武装力量而言是特别优先的任务，作为军事技术不可分割的一部分，作为国家军事政治和战略潜力的组成部分，国家安全也要求在网络—信息武器方面实现力量的平衡。这就要求详细研究外国各类网络—信息武器的全部现有数据，及时掌握有关网络—信息武器的性能和使用方法严格遵守网络—信息安全法规：要求全体公民严格遵守国家制订的各项网络—信息安全方面的政策和法规，任何破坏网络—信息安全政策法规的行为都被视为严重的犯罪343、印军网络战印军打响虚拟空间争夺战：印军前陆军参谋长马立克指出：“如果说20世纪是闪电战的世纪，21世纪则是电脑战的世纪”，战争中杀伤敌人的不再是子弹，而是计算机病毒2004年5月5日，在印度西部拉贾斯坦浩瀚大漠中，印军开始了13年来规模最大的“全胜”联合演习。印军司令部通过高空卫星将地面部队与装备部署、敌我作战态势图等图文数据实时地发送给师、旅、团、营，甚至坦克车长。空中远程遥控无人驾驶侦察飞机实时传送“敌方”前沿阵地部署的图像、数据等信息353、印军网络战（续）印军对策：组建网络应急作战分队：为了能够及时处理敌方对印军网络的攻击和非法入侵，印军组建了陆海空三军联合计算机应急分队。与此同时，印军还积极同印度科学院、印度技术学院等地方信息技术专业机构在网络方面进行技术合作，以确保军队网络系统的正常运行加强网络信息的安全防护：随着印军中在作战与后勤管理等方面广泛运用计算机和现代通信技术，其网络与信息的安全防护问题变得愈加突出。印军采取的主要措施包括对指挥控制系统的各个信息单元，如武器制导系统和监视系统定时更换内置密码，以防止敌人识别并利用诱导控制信号操纵己方网络；杜绝高级平台用主动方式收集和传递信息，以避免暴露己方平台；在信号编制和线路设计时采取抗干扰措施，以避免敌方刺探己方网络。其他措施还包括引进防火墙技术以保护网络和系统，建议使用印度古代梵文设计密码等363、印军网络战（续）印军对策（续）：大力培养军队网络与信息技术人才：印陆军制定的“2000年信息技术发展规划”要求所有军官在2002年以前必须掌握计算机应用技术，并成立了信息技术学院，专门为作战部队指挥官教授信息战基础知识。三军许多军事院校先后开设了与信息战相关的专业课程，其中包括黑客技术培训课程。军队还表示欢迎地方网络专家长期为军队服务，有消息称，印军已计划征招“黑客”入伍积极开展网络战运用的研究：印军认为，网络作为数字时代的一种新型媒体，是进行心理战的有效工具。它可以起到动摇敌人军心，赢得公众舆论的作用。1999年的卡吉尔冲突中，印度在包括互联网在内的媒体战中就占了上风。今后印军还将发挥自身在软件开发等方面的长处，加强对网络进攻与防御手段的研究374、台军网络战台军依托其强大的电子信息技术基础实力，在2001年度《国防预算报告》中，将强化信息战能力作为国防建设的优先项目，采取了制定信息战发展战略、增加有关预算等多项措施。2002年5月，台军将原来的战略构想“制空、制海、反登陆”修正为“资通先导、扼制超限，联合制空、制海、地面防卫，全民防卫”，把信息战摆在了首位。与此相应，台军加紧组建了信息战机构和部队。384、台军网络战（续）台军网络战部队早在1998年，台军就开始着手规划网络战部队。经过两年时间的准备，台湾决定以原“国防部”统一通信指挥部为基础，打造一支专业网络信息作战部队。2001年1月1日，台军正式建立了第一支网络信息战部队——“国防部”通信信息指挥部。这支部队被称为“老虎部队”。台军“老虎部队”的规模与编制完全模仿美国和以色列等国家。根据台军规划，“老虎部队”直属台军参谋本部，其组成人员包括原“国防部”通资局里从事相关信息任务的军官，陆海空三军中的网络高手与擅长编写程序、破解程序、破坏程序、瘫痪网络的各路地方专业人员2001年4月，刚刚组建仅3个多月的“老虎部队”就参加了台军于本岛北部及南部地区实施的“汉光”军演。在这次演习中，“老虎部队”使用了不下2000种的电脑病毒在网络上向假想敌发动病毒战进攻，演练瘫痪对手的信息系统。此后，在台军每年的“汉光”军演中，“老虎部队”的“黑客大战”都是其中重要科目39内容提纲网络安全事件2网络对抗相关概念3网络攻击概述4课程介绍1黑客540黑客入侵流程(1/8)足迹追踪：TargetFootprinting远端扫描：RemoteScaning资源列举：ResourceEnumerating权限获取：AccessGaining权限提升：PrivilegeEscalating设置后门：BackdoorsCreating毁踪灭迹：TracksCovering41黑客入侵流程(2/8)Step1足迹追踪即踩点，Footprinting，Fingerprinting。获取有关目标计算机网络和主机系统安全态势的信息。目的：在网络中发现有价值的和可能的组织的网点，即目标。内容：收集目标系统的资料，包括各种联系信息，IP地址范围，DNS以及各种服务器。42黑客入侵流程(3/8)Step2远端扫描使用各种扫描技术检测目标系统是否同互联网相接、所提供的网络服务类型等等。目的：探测进入目标系统的途径。内容：扫描系统运行的服务（TCP/IP）系统的体系结构（x86，Alpha）；（互联网可访问的）IP地址，名字或域；操作系统类型43黑客入侵流程(4/8)Step3资源列举即查点：提取系统的有效帐号或输出资源名。目的：寻找系统中可攻击的薄弱环节，确定对系统的攻击点。内容：用户名和组名信息；系统类型信息；路由表信息以及SNMP信息等44黑客入侵流程(5/8)Step4权限获取设法进入目标系统，获取系统访问权。首先设法获取一个普通帐号，再攻击其口令，以合法身份进入系统或利用漏洞强行进入。例如：利用Win2000上的ISS4.0中的一个缓冲区溢出的漏洞，可以以管理员的身份强行打开Win2000上的telnet服务，进入系统。45黑客入侵流程(6/8)Step5权限提升如把读权升为写权，扩大可浏览目录的范围、提高读写文件的等级。从普通用户到特权用户、根用户或administrator。方法有利用漏洞、管理员配置缺陷、解密口令文件、猜测、窃听等。例如在Pack3补丁之前的Win2000上就存在gateadmin漏洞，用户可利用它获取administrator帐号。46黑客入侵流程(7/8)Step6设置后门安装后门、获取对方信息或破坏。安装特洛伊木马、逻辑炸弹、病毒、嗅探器等为不同目的所用。但平时应该以获取信息为主，不应无故实施破坏。疯狂获取对方信息敏感数据文件详细了解系统的安全性信息，为进一步扩大攻击范围做准备。如主机间的信息关系、域间联系、全部帐户与口令信息等。47黑客入侵流程(8/8)Step7毁踪灭迹设法禁止审计，不允许记录入侵过程。清除有关日志内容。隐藏文件与进程。采用附着、隐形等手段在对方系统上保留后门。不留踪迹还包括信息回送不留混迹。48攻击技术分类(1/2)分类方法众多Icove分类：基于经验术语分类方法病毒和蠕虫资料欺骗拒绝服务非授权资料拷贝侵扰软件盗版特洛伊木马隐蔽信道搭线窃听会话截持

IP欺骗口令窃听越权访问扫描逻辑炸弹陷门攻击隧道伪装电磁泄露服务干扰

49攻击技术分类(2/2)Stallings：基于攻击实施手段的网络攻击分类中断拦截窃听篡改伪造50内容提纲网络安全事件2网络对抗相关概念3网络攻击概述4课程介绍1黑客551（一）认识“黑客”(1/4)试图闯入计算机并试图造成破坏的人？52（一）认识“黑客”(2/4)黑客（hacker）Hack:“劈，砍”，引伸为“干了一件非常漂亮的工作”Hacker:apersonwhousescomputersfora