计算机网络安全技术 课件 第四章 网络安全技术

第四章网络安全技术4.1数据包分析4.1.1数据包分析概述数据包分析1.数据包分析的意义分析数据包可以使信息传输不再存在秘密对数据包进行深入分析，是为了更好地了解网络是如何运行，数据包是如何被转发，应用是如何被访问当再次出现网络故障或网络应用问题时，就能够很快地解决2.数据包分析的内容（1）了解网络的工作原理。（2）查看网络使用情况及网络上的通信主体。（3）确认哪些应用占用带宽。（4）识别网络中存在的攻击或恶意行为。（5）分析网络故障和延时大小。（6）查看用户访问应用的速度。（7）优化和改进应用性能。3.获取数据包（1）通过数据链路层获取（2）通过网络层获取1.Wireshark的特点（1）深入检查数百种协议，并且不断添加更多协议（2）实时捕获和离线分析（3）标准三窗格数据包浏览器（4）多平台：在Windows、Linux、macOS、Solaris、FreeBSD、NetBSD和其他许多平台上运行（5）可以通过GUI或通过TTY模式的TShark实用程序浏览捕获的网络数据（6）业界最强大的显示过滤器（7）丰富的VoIP分析（8）读/写许多不同的捕获文件格式（9）可以动态解压缩使用Gzip压缩的捕获文件（10）实时数据从以太网、IEEE802.11、PPP/HDLC、ATM、蓝牙、USB、令牌环、帧中继、FDDI等中读取（取决于用户的平台）（11）支持对许多协议的解密，包括IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP和WPA/WPA2（12）可以将着色规则应用于数据包列表，以便进行快速、直观的分析（13）输出可以导出为XML、PostScript、CSV或纯文本4.1.2Wireshark介绍01020304网络管理员可以使用它来解决网络问题网络安全工程师可以使用它来检查安全问题质量保证工程师可以使用它来验证网络应用开发人员使用它可以来调试协议05网络工程师可以使用它来学习网络协议2．Wireshark的使用场景3．Wireshark的安装（1）下载Wireshark运行→安装向导→单击“Next”（4）安装中选择默认配置，即一直单击“Next”按钮（2）在“ChooseInstallLocation”窗口→单击“Browse...”→选择软件安装位置→单击“Next”（5）“Completing

Wireshark4.0.864-bitSetup”窗口→单击“Finish”（3）在“USBCapture”窗口→勾选“InstallUSBPcap1.5.4.0”→单击“Install”→开始安装4．Wireshark中文设置如果你选择中文，请选择合适的字体：“编辑”→“首选项设置”→“用户接口”→“字体”5．Wireshark使用说明1）确定Wireshark的位置2）选择捕获接口3）使用捕获过滤器4）使用显示过滤器5）使用着色规则6）构建图表7）重组数据4.1.3数据包分析实例数据包分析实例1．背景有一个网站被192.168.1.58恶意入侵，使用Wireshark可以抓到被攻击的流量，分析数据包，找到这次入侵的漏洞。2．步骤（1）启动网站与Wireshark（2）用漏洞扫描工具扫描网站，扫描出SQL注入漏洞（3）在Wireshark上寻找并分析SQL注入漏洞的POST请求包（4）找出SQL注入漏洞利用的关键字即可定位数据包及发生注入的参数4.2漏洞检测4.2.1漏洞检测的概念安全漏洞是指计算机系统在硬件、软件、协议的设计、具体实现及系统安全策略上存在的缺陷和不足。漏洞检测就是希望能够防患于未然，在漏洞被利用之前发现漏洞并修补漏洞。1．主机在线探测为了避免不必要的空扫描，在扫描之前一般要先探测主机是否在线其实现原理和常用的ping命令相似具体方法是向目标主机发送ICMP报文请求，根据返回值来判断主机是否在线2．端口状态探测发送1个SYN包到主机端口并等待响应如果端口打开，则响应必定是SYN+ACK信息包如果端口关闭，则会收到RST+ACK信息包这个扫描可以被称为半打开（Half-Scan）扫描4.2.2漏洞检测的原理3．操作系统探测在进行网络入侵或攻击时，了解操作系统的类型是相当重要的，因为攻击者可以由此明确利用哪种漏洞，或者由此掌握操作系统存在的弱点。4．主机漏洞检测漏洞检测是指使用漏洞检测程序对目标系统进行信息查询。一般主要通过以下两种方法来检查目标主机是否存在漏洞：

基于漏洞库的规则匹配和基于模拟攻击。4.2.3漏洞检测技术1．安全扫描3．反汇编扫描4．环境错误注入2．源代码扫描4.2.4漏洞检测工具（1）Nessus：可以同时在本机或远端上遥控，进行系统的漏洞分析扫描。（2）OpenVAS：一个开源的漏洞扫描器，用于评估网络的安全性。（3）QualysGuard：一个云计算安全评估工具，用于评估网络、Web应用程序和移动应用程序的安全性。（4）BurpSuite：一个专业级的Web应用程序安全测试工具，用于检测Web应用程序中的安全漏洞。4.2.5漏洞检测实例实例1：目标及要求（1）掌握漏洞扫描器Nessus的安装及使用。（2）对扫描出的漏洞进行了解。实例2：目标及要求（1）掌握Web漏洞扫描器AWVS的安装及使用。（2）对扫到的漏洞进行了解或进一步利用获得的权限。实例3：目标及要求（1）掌握Web安全扫描工具AppScan的安装及使用。（2）对扫描到的漏洞进行了解或进一步利用获得的权限。4.3密码破解密码破解是指使用技术手段破译或猜测密码的过程。密码是用来保护信息安全的数字账户，如电子邮件账户、社交媒体账户、银行账户等的重要信息和数据的一种安全措施。4.3.1数据加密技术数据加密技术又被称为密码技术或密码学，它是一门既古老又年轻的学科。随着互联网的发展，现代密码学的应用从政治、军事、外交等传统领域开始进入商业、金融、娱乐等领域，它的商业价值和社会价值得到了充分肯定也极大地推动了现代数据加密技术的应用和发展。1.数据加密技术概述1）保护信息的机密性2）保护信息的完整性3）认证4）访问控制2.数据加密技术的功能3.数据加密算法现代加密算法简介实现数据加密（1）对称加密算法（2）非对称密钥算法（3）单向加密算法（1）寻找在线加密的网站（2）手动编写加密程序4.3.2密码破解方法字典攻击社会工程攻击强行攻击密码破解方法4.3.3密码破解实例——使用JohntheRipper破解Linux操作系统密码内容JohntheRipper是免费的开源软件，支持目前大多数的加密算法，如DES、MD4、MD5等。它支持多种不同类型的系统架构，包括UNIX、Linux、Windows、DOS、BeOS和OpenVMS，主要目的是破解不够牢固的UNIX/Linux操作系统密码。在本实验中，我们事先登录Linux操作系统并切换为管理员权限，以便获取/etc/passwd和/etc/shadow文件。步骤（1）登录Linux操作系统，以超级用户权限执行

unshadow/etc/passwd/etc/shadow>shadow（2）在刚刚写入的shadow文件目录执行

john--format=cryptshadow4.3.4密码破解实例——使用Hydra暴力破解SSH密码内容Hydra是一种强大的网络安全测试工具，旨在测试网络的安全性和漏洞。它是一个鱼叉攻击工具，通过尝试不同的用户名和密码组合，以及暴力破解攻击等方法，来测试系统的弱点。本次攻击机的IP地址为192.168.116.128，靶机的IP地址192.168.116.131。步骤在攻击机上安装Hydra并执行命令hydra-Luser.txt-Ptop100_ssh_vps.txt192.168.116.131ssh-vV4.4Web渗透4.4.1Web架构1．静态网页请求——HTML3．动态数据访问——数据库服务器2．动态网页请求——小程序4．用户状态信息的保存4.4.2Web安全需求Web安全需求1．Web服务器的安全需求1）维护公布信息的真实性和完整性2）维持Web服务的安全可用3）保护Web访问者的隐私4）保证Web服务器不被入侵者作为“跳板”2．Web浏览器的安全需求（1）确保运行Web浏览器的系统不被计算机病毒、木马或其他恶意程序侵害而被破坏。（2）确保个人安全信息不外泄。（3）确保所交互的站点的真实性，以免被骗，遭受损失。3．Web传输的安全需求（1）保证发送方（信息）的真实性。（2）保证传输信息的完整性。（3）特殊的安全性较高的Web要求传输具有保密性。（4）认证应用的Web要求信息具有不可抵赖性。（5）防伪要求较高的Web应用需要保证信息的不可重用性。4.4.3Web渗透测试名词介绍测试方法工具介绍1.黑盒测试Metasploit蚁剑（AntSword）Webshell

一句话木马RCE

（RemoteCodeExecution，远程代码执行）SQL

注入XSS

（Cross-SiteScripting）注入SSI

（ServerSideInclude）注入SSRF（Server-SideRequestForgery）任意文件读取等价类划分法边界值分析法错误推测法因果图法白盒测试的优点：（1）迫使测试人员仔细思考软件的实现。（2）可以检测代码中的每条分支和路径。（3）揭示隐藏在代码中的错误。（4）对代码的测试比较彻底。（5）最优化。白盒测试的缺点：（1）昂贵。（2）无法检测代码中遗漏的路径和数据敏感性错误。（3）不验证规格的正确性。白盒测试的优缺点白盒测试的测试方法有代码检查法、静态结构分析法、静态质量度量法、逻辑覆盖法、基本路径测试法、域测试、符号测试、路径覆盖和程序变异。白盒测试的覆盖标准有语句覆盖、判定覆盖、条件覆盖、判定/条件覆盖、条件组合覆盖和路径覆盖，发现错误的能力由弱至强。测试方法及覆盖标准2.白盒测试1.黑盒测试实例（1）准备ThinkPHP5.0.22远程代码执行的Payload（攻击载荷）（2）使用BurpSuite发送Payload（3）成功执行phpinfo()使用BurpSuite攻击ThinkPHP5.0.22的Web应用程序（1）利用漏洞在网站根目录写入shell.php（2）使用蚁剑工具进行连接（3）连接之后可以在被攻击的目标上执行命令，以及上传和下载文件使用蚁剑连接Webshell4.4.4Web渗透实例2.白盒测试实例（1）从Web应用程序的代码中寻找可能存在的漏洞（2）使用MySQLMonitor来监控数据库执行语句（3）使用FileMonitor来监控网站根路径下的文件4.5恶意代码RogerA.Grimes将恶意代码定义为：经过存储介质和网络进行传播，从一台计算机系统到另外一台计算机系统，未经授权认证破坏计算机系统完整性的程序或代码。它包括计算机病毒、蠕虫、特洛伊木马、逻辑炸弹、病菌、用户级RootKit、核心级RootKit、脚本恶意代码和恶意ActiveX控件等。4.5.1计算机病毒1.计算机病毒的定义计算机病毒是人为制造的、能够进行自我复制的、破坏计算机资源的一组程序或命令的集合。3.典型的计算机病毒1）脚本病毒2）宏病毒3）HTML病毒2.计算机病毒的工作原理1）感染2）潜伏3）传播4）发作4.5.2蠕虫2.蠕虫的传播过程1）扫描2）攻击3）复制1.蠕虫的定义蠕虫是一种特殊的计算机病毒。蠕虫不需要用户的操作，只要驻留在内存中，它就会主动向其他的计算机进行传播。1.木马概述木马是目前比较流行的病毒文件，与一般的计算机病毒不同，木马的作用是偷偷监视和盗窃密码、数据等。2.木马的特性1）隐蔽性2）自动运行性3）欺骗性4）自动恢复5）自动打开特别的端口6）功能的特殊性3.木马类型1）后门木马2）链接木马3）下载木马4）蠕虫木马4.防范和清除木马1）不随意下载软件2）不随意打开附件3）使用防毒软件并经常更新病毒库4）查看文件扩展名5）安装木马查杀工具4.5.3木马4.5.4恶意代码实例——CobaltStrike远控木马实验工具CobaltStrike（以下简称CS）是一款以Metasploit为基础的GUI的框架式渗