《网络攻击与防范》课件-第1章-网络攻防概述

第1章

网络攻防概述1第一章网络攻防概述1.1黑客1.2网络安全概述1.3网络安全面临的威胁1.4网络攻击的一般步骤1.5网络防范措施1.6网络攻防大赛概述1.1黑客提到网络攻击，大家可能首先就会想到“黑客”。什么是黑客？什么是黑客精神？今天，人们一谈到“黑客”（Hacker）往往都带着贬斥的意思，但是“黑客”的本来含义却并非如此。一般认为，黑客起源于20世纪50年代美国著名高校的实验室中，他们智力非凡、技术高超、精力充沛，热衷于解决一个个棘手的计算机网络难题。60、70年代，“黑客”一词甚至于极富褒义，从事黑客活动意味着以计算机网络的最大潜力进行智力上的自由探索，所谓的“黑客”文化也随之产生了。美国学者StevenLevy在其《黑客电脑史》(Hackers:HerosoftheComputerRevolution)一书中提出了“黑客道德准则”，其中包括通往电脑的路不只一条，进入（访问）计算机应该是不受限制的和绝对的，总是服从于手指的命令；一切信息都应该是免费的；怀疑权威，促进分权；应该从黑客的高超技术水平角度来评价黑客，而非用什么正式组织的或者他们的不恰当的标准来判断；计算机能够使生活变得更美好。黑客精神包含了：探索、创新、求实、怀疑和自由精神等黑客道德准则并不包括为了利益而进行的敲诈、勒索或恶意的进行破坏等行为。1.1黑客然而并非所有的人都能恪守“黑客”文化的信条，专注于技术的探索。恶意的计算机网络破坏者、信息系统的窃密者随后层出不穷，人们把这部分主观上有恶意企图的人称为“骇客”（Cracker），试图区别于“黑客”。同时也诞生了诸多的黑客分类方法，如“白帽、黑帽、灰帽”等。白帽，也称“道德黑客”，指因为非恶意原因侵犯网络安全的黑客。比如受雇于公司来检测内部网络系统的安全性，也包括在合同协议允许下对公司网络进行渗透测试和漏洞评估的人。新加坡国防部2017年底曾推出漏洞悬赏计划,雇用白帽黑客“攻击”新加坡国防部八个连接互联网的重要系统。200多名海内外高手“入侵”新加坡国防部属下的网络系统,三个星期里抓到35个漏洞。2021年12月，北京冬奥组委招募500名白帽黑客作为“冬奥网络安全卫士”。1.1黑客灰帽，指行为介于白帽和黑帽之间的技术娴熟的黑客。不为恶意或个人利益攻击计算机或网络，但为了达到更高的安全性，可能会在发现漏洞过程中打破法律界限。在发现安全漏洞后，灰帽通常同时“告知黑客社区以及供应商，然后看结果”或告知供应商后收取一定的修复费用。

乔纳森·詹姆斯阿德里安·拉莫1.1黑客黑帽，就是人们常说的“黑客”或“骇客”了。指那些因为恶意（破坏、报复等）或个人利益破坏计算机安全，侵入计算机网络，或实施计算机犯罪的电脑黑客。凯文·米特尼克(KevinMitnick)被称为世界上"头号电脑黑客“巡游五角大楼，登录克里姆林宫，进出全球所有计算机系统，摧垮全球金融秩序和重建新的世界格局，谁也阻挡不了我们的进攻，我们才是世界的主宰。--凯文·米特尼克

阿德里安·拉莫（左）和凯文·米特尼克（中）、凯文·鲍尔森（右）1.1黑客灰帽子破解者破解已有系统发现问题/漏洞突破极限/禁制展现自我计算机为人民服务漏洞发现-Flashsky软件破解-0Day工具提供-Glacier白帽子创新者设计新系统打破常规精研技术勇于创新没有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破坏者随意使用资源恶意破坏散播蠕虫病毒商业间谍人不为己，天诛地灭入侵者-K.米特尼克CIH-陈盈豪攻击Yahoo-匿名恶渴求自由1.1黑客不论主观意图如何，“黑客”的攻击行为在客观上会造成计算机网络极大的破坏，同时也是对隐私权的极大侵犯，所以在今天人们把那些侵入计算机网络的不速之客都称为“黑客”。1.1黑客从系统安全的角度可以把网络安全的研究内容分为两大体系：网络攻击和网络防御。1.1黑客网络安全定义网络安全指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的原因而遭到破坏、更改或泄露，系统连续、可靠地运行，服务不中断。BruceSchneier布鲁斯·施奈尔“如果把一封信锁在保险柜中，把保险柜藏起来，然后告诉你去看这封信，这并不是安全，而是隐藏；相反，如果把一封信锁在保险柜中，然后把保险柜及其设计规范和许多同样的保险柜给你，以便你和世界上最好的开保险柜的专家能够研究锁的装置，而你还是无法打开保险柜去读这封信，这才是安全…”--------安全的概念1.2网络安全概述网络安全定义网络安全简单的说是在网络环境下能够识别和消除不安全因素的能力。对用户（个人、企业等）个人隐私和商业数据安全对网络运行和管理者本地网络环境安全对安全保密部门防止泄密，避免损失，维护社会稳定和国家安全网络安全的基本要素保密性完整性抗抵赖性…可用性指信息不泄露给非授权用户、实体、过程或供其利用的特性。指数据未经授权不能进行改变的特性。指可被授权实体访问并按需求使用的特性。网络安全的基本要素包括保密性、完整性和可用性，此外还包括其他一些要素如可控性、不可否认性等完整性可用性可控性不可抵赖性......保密性2015.6，高校设立网络空间安全一级学科，加快网络空间安全高层次人才培养;2015.7.1，《国家安全法》正式颁布，明确提出国家建设网络与信息安全保障体系;2015.11，《刑法修正案(九)》表决通过，加大打击网络犯罪力度;2015.12.27，《反恐怖主义法》正式通过，规定了电信业务经营者、互联网服务提供者在反恐中应承担的义务;2015.7.6，《网络安全法(草案)》向社会各界公开征求意见;2016.11.7，十二届全国人大常委会第二十四次会议经表决，通过了《中华人民共和国网络安全法》；2017年6月1日起施行;

我国互联网网络安全环境2019年，我国网络安全顶层设计不断完善，《中华人民共和国密码法》、《信息安全技术网络安全等级保护基本要求》（网络安全等级保护2.0）等多项网络安全相关法律法规、配套制度及有关标准陆续向社会发布。政府部门或行业组织围绕网络安全举办的会议、赛事、宣传活动等丰富多样，反映了国家、社会和企业对信息安全的重视。XCTF联赛全称XCTF全国网络安全技术对抗联赛由360举办的世界黑客大师赛(WCTF)信息安全铁人三项赛分为“个人计算环境安全对抗”、“企业计算环境安全对抗”和“信息安全数据分析对抗”腾讯信息安全争霸赛(TCTF)我国互联网网络安全环境《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，是依法治网、化解网络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障。中华人民共和国网络安全法为反映我国网络安全的整体态势，国家计算机网络应急技术处理协调中心，简称国家互联网应急中心（NationalInternetEmergencyCenter，CNCERT或CNCERT/CC），在其官方网站（）的态势报告中以安全报告形式发布“网络安全信息与动态周报”和“国家信息安全漏洞共享平台（CNVD）周报”，以反映每周网络安全基本态势和信息安全漏洞威胁整体情况，对我国党政机关、行业企业及社会了解我国网络安全形势，提高网络安全意识，做好网络安全工作提供了有力参考。我国互联网网络安全环境由CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家信息安全漏洞共享平台（ChinaNationalVulnerabilityDatabase，CNVD），其主要目标即建立软件安全漏洞统一收集验证、预警发布及应急处置体系，切实提升我国在安全漏洞方面的整体研究水平和及时预防能力，进而提高我国信息系统及国产软件的安全性，带动国内相关安全产品的发展。/我国互联网网络安全环境1.3网络安全面临的威胁网络安全威胁是指任何可能对网络造成潜在破坏的人、对象或事件。最大威胁网络攻击的类型和方式网络攻击是指任何非授权进入或试图进入他人计算机网络的行为。根据攻击行为发起方式的不同，可将网络攻击分为主动攻击和被动攻击两大类型。主动攻击是一种具有破坏性的攻击行为，攻击者主动对需要访问的信息进行非授权的访问行为。针对信息安全的可用性、完整性和真实性，主动攻击按照攻击方法不同，可分为中断、篡改和伪造。中断是指截获由源站发送的数据，将有效数据中断，使目的站无法接收到源站发送的数据。主要通过破坏计算机硬件、网络和文件管理系统来实现。问题：中断是针对信息安全的哪个要素进行的攻击方法？网络攻击的类型和方式篡改是指将源站发送到目的站的数据进行篡改（修改、插入、删除等），从而影响目的站接收的信息。伪造是指在源站未发送数据的情况下，伪造数据发送到目的站，从而影响目的站。伪造是针对信息安全的真实性。伪造主要用于对身份认证和资源授权的攻击，攻击者在获得合法用户的账户信息后，冒充成合法用户非法访问授权资源或进行非法操作。例如，重放攻击就属于伪造。问题：篡改是针对信息安全的哪个要素进行的攻击方法？网络攻击的类型和方式被动攻击是一种在不影响正常数据通信的情况下，获取由源站发送到目的站的有效数据，通过监听到的有效数据，从而对网络造成间接的影响。被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动难以觉察，检测困难。被动攻击主要包括嗅探和流量分析两种方式。问题：被动攻击是针对信息安全的哪个要素进行的攻击？嗅探(或窃听、监听)具有被动攻击的特性，攻击者的目的是获取正在传输的信息。嗅探的实现需要打破原有的工作机制，还可以用无线截获方式得到信息。流量分析攻击可以针对分层结构的每一层分析，获取相关信息。网络攻击的主要手段网络系统日益复杂，安全隐患（脆弱性）急剧增加，为黑客创造了客观条件。网络黑客的主要攻击手法有：获取口令放置木马Web欺骗技术电子邮件攻击网络监听利用黑客软件攻击安全漏洞攻击缓冲区溢出攻击高级持续性威胁APT社会工程学网络系统的复杂性增加脆弱性程度24

常见的黑客攻击及入侵技术的发展19801985199019952000密码猜测可自动复制的代码密码破解利用已知的漏洞破坏审计系统后门会话劫持擦除痕迹嗅探包欺骗GUI远程控制自动探测扫描拒绝服务www攻击工具攻击者入侵者水平攻击手法半开放隐蔽扫描控制台入侵检测网络管理DDOS攻击2005高251.4网络攻击的一般步骤网络攻击过程一般可以分为本地攻击和远程攻击。本地攻击：内部人员利用自己的工作机会和权限来获取不应该获取的权限而进行的攻击，攻击者可以直接物理接触到攻击目标。方法：利用盘载操作系统破解或绕过系统登录口令。如内部人员利用自己的工作机会和权限来获得不应该获取的权限进行攻击，即来源于内部网络的攻击。在这里主要介绍远程攻击的一般过程

26远程攻击的一般过程：远程攻击的准备阶段远程攻击的实施阶段远程攻击的善后阶段确定攻击目的、准备攻击工具和收集目标信息。实施具体的攻击行动，实现对目标的破坏或入侵。消除攻击的痕迹、植入后门，并退出。1.4网络攻击的一般步骤27远程攻击的准备阶段网络攻击的准备阶段是为攻击实施阶段做准备，该阶段的主要任务是收集目标信息，具体工作如下：确定攻击目的信息收集28攻击准备1—确定攻击目的攻击者在进行一次完整的攻击之前，首先要确定攻击要达到什么样的目的，即给受侵者造成什么样的后果。常见的攻击目的有破坏型和入侵型两种。入侵型攻击要获得一定的权限才能达到控制攻击目标的目的。破坏型攻击是指只破坏攻击目标，使之不能正常工作，而不能随意控制目标上的系统运行。29攻击准备2—信息收集黑客一般会利用下列的公开协议或工具收集相关信息：Ping实用程序可以探测目标主机是否连接在Internet中TraceRoute、Tracert、X-firewalk程序获得到达目标主机要经过的网络节点数和路由器数Whois协议（中国互联网络信息中心/）提供所有有关的DNS域和相关的管理参数Finger协议获取一个指定主机上的所有用户的详细信息SNMP协议查阅路由器的路由表，了解网络拓扑结构等收集的信息主要包括目标的操作系统类型及版本、相关软件的类型、版本及相关的社会信息。30攻击准备2-1—找到初始信息攻击者危害一台机器需要有初始信息，比如一个IP地址或一个域名。搜集初始信息的一些方法：利用开放来源信息，如公司新闻信息、姓名地址簿等；Whois，用来查询域名是否已经被注册，以及注册域名的详细信息；简单方法是ping域名。31在网络中主机一般以IP地址进行标识。例如选定50这台主机为攻击目标，使用ping命令可以探测目标主机是否连接在Internet中。在Windows下使用ping命令测试：ping50测试结果如下页图所示。攻击准备2-1—找到初始信息2025/10/17网络入侵与防范讲义322025/10/17网络入侵与防范讲义32说明此主机处于活动状态，可能是一个可以被攻击成功的目标。33攻击准备2-2－找到网络地址范围当攻击者获取了一些机器的IP地址，下一步需要找出网络的地址范围或者子网掩码。有两种方法：IANAWHOISService逐级查询/whois///https://who.is/https://www.whois.com/whois/https://whois./使用traceroute解析结果34攻击准备2-3－找到活动的机器在知道了IP地址范围后，攻击者需要确定哪些机器是活动的，哪些不是。最简单的方法就是使用ping命令，但是ping有一个缺点，即一次只能ping一台机器。如果要同时ping多台机器，看哪些有反应，这种技术被称为ping扫射（pingsweeping）。网络扫描器一般就具备这样的功能，如Nmap。攻击准备2-4－找到开放端口和入口点每个服务通常都对应一个或多个端口，可以根据目标系统所开放的端口号来观察其所开放的服务。端口扫描战争拨号器端口扫描仪在一系列端口上运行以找出哪些是开放的。利用端口扫描仪能一次扫描一个地址范围，并能设定程序扫描的端口范围，常用端口扫描程序如ScanPort、Nmap进入网络的另一个普通入口点是调制解调器，用来找到网络上的Modem的程序被称为战争拨号器（WarDialer）战争拨号器可以自动的拨叫一定范围内的电话号码，并且将那些成功连接到调制解调器的号码记录并存入一个数据库中。36攻击准备2-5－操作系统分析确定目标主机采用何种操作系统例如在Windows下安装Nmap扫描工具，此工具含OSDetection的功能（使用-O选项）。打开cmd.exe，输入命令：nmap–O50探测结果如下页图所示说明操作系统是Windows2000SP1、SP2或者SP32025/10/17网络入侵与防范讲义372025/10/17网络入侵与防范讲义37Nmap7.0运行示例Nmap7.0运行示例Nmap7.0运行示例41攻击准备2-6－漏洞分析分析确认目标主机中可以被利用的漏洞，黑客的攻击往往就是利用漏洞实现的。手动分析过程复杂、技术含量高、效率较低借助软件自动分析需要的人为干预过程少，效率高。如Nessus、X-Scan等综合型漏洞检测工具、eEye等专用型漏洞检测工具等。42攻击准备2-7－画出网络图攻击者收集到了目标的各种信息，可以画出网络图以便找出最好的入侵方法。可以使用traceroute或者ping来找到这个信息，也可以使用Nmap，它可以自动地画出网络图。Traceroute用来确定从源到目的的路径，结合这个信息，攻击者可确定网络的布局图和每一个部件的位置。VisualPing是一个可真实展示包经过网络路线的程序，它不仅展示了经过的系统，也展示了系统的地理位置。Nmap也提供图形界面窗口Zenmap，能够显示网络图。43远程攻击的实施阶段作为破坏性攻击，可以利用工具发动攻击即可。作为入侵性攻击，往往需要利用收集到的信息，找到其系统漏洞，然后利用漏洞获取尽可能高的权限。攻击实施阶段的一般步骤如下：隐藏自己的位置利用收集到的信息获取帐号和密码，登录主机；或利用某些工具或系统漏洞登录主机也是攻击者常用方法。利用漏洞或者其他方法获得控制权并窃取网络资源和特权44远程攻击的善后阶段攻击者进入目标主机系统获得控制权后，为长久享有攻击成果，不被管理员发现，就会做两件事：清除记录和留下后门。攻击者会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操控程序，以便日后能不被觉察地再次进入系统。攻击者还会删除系统的日志文件，以便隐藏入侵过的踪迹。删除日志文件虽然避免了系统管理员追踪到自己，但同时也告诉了管理员系统已经被入侵。最好的方法是只对日志文件中有关攻击的那一部分做修改，可以借助日志修改工具实现。45入侵系统的常用步骤

采用漏洞扫描工具选择会用的方式入侵获取系统一定权限提升为最高权限安装系统后门获取敏感信息或者其他攻击目的46较高明的入侵步骤

端口判断判断系统选择最简方式入侵分析可能有漏洞的服务获取系统一定权限提升为最高权限安装多个系统后门清除入侵脚印攻击其他系统获取敏感信息作为其他用途1.5网络防范措施网络防范措施主要包括网络安全防护技术和系统管理网络防范网络安全防护技术系统管理访问控制技术身份认证技术加密技术日志审计技术入侵检测技术防火墙技术取证技术蜜罐技术虚拟专用网技术管理制度的建立安全意识的培养操作习惯的规范人员的合理安排1

加密技术加密技术是用来保证信息安全的基本技术之一，其本质就是利用技术手段把重要的数据变为密文传输，到达目的地后再用相同或不同的手段解密。加密技术包括两个元素：算法和密钥。加密技术的应用是多方面的，主要应用在数据保密、身份验证、保持数据完整性和数字签名（防抵赖）等领域。对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。对称加密以数据加密标准（DES）算法为典型代表，非对称加密通常以RSA算法为代表。2身份认证技术如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，即保证操作者的物理身份与数字身份相对应，身份认证技术就是为了解决这个问题。身份认证是网络防护的第一道关口。基于生物特征的身份认证：直接根据独一无二的身体特征来证明你的身份（你是谁），比如指纹、面貌等。对用户的身份认证基本方法分为三种：基于秘密信息的身份认证：根据你所知道的信息来证明你的身份（你知道什么），比如用户密码。基于智能卡的身份认证：根据你所拥有的东西来证明你的身份（你有什么），比如USBKey。为了达到更高的身份认证安全性，在某些场景会从上面3种挑选2种混合使用，即所谓的双因素认证，如动态口令牌+静态密码、USBKey+静态密码、二层静态密码等。3访问控制技术访问控制技术是指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。该技术通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。主要的访问控制类型有3种模式：自主访问控制强制访问控制基于角色访问控制访问控制包括三个要素：主体、客体和控制策略。访问控制的主要功能包括：保证合法用户访问授权保护的网络资源，防止非法的主体进入受保护的网络资源，防止合法用户对受保护的网络资源进行非授权的访问。4防火墙技术防火墙是一个由软件和硬件设备组合而成、在内部网和外部网、专用网与公共网的边界上构造的保护屏障。它是一个系统，位于被保护网络和其它网络之间，进行访问控制，阻止非法的信息访问和传递。应用级网关防火墙：能够检查进出的数据包，通过网关复制传递数据，防止与不受信任的主机直接建立联系。防火墙按照不同的使用场景主要可以分成以下四类：网络级防火墙（包过滤型防火墙）：一般基于源和目的地址、应用、协议以及IP包的端口来作出通过与否的判断。电路级网关防火墙：监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，决定该会话是否合法。规则检查防火墙：该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。5入侵检测技术对入侵行为作出记录和预测的技术称之为入侵检测技术，入侵是对信息系统的非授权访问以及（或者）未经许可在信息系统中进行的操作。入侵检测技术作为一种主动防御技术，是信息安全技术的重要组成部分。异常检测模型：检测用户或系统的行为与可接受行为之间的偏差。漏报率低，误报率高。入侵检测系统按技术特点可以划分异常检测模型和误用检测模型两类。误用检测模型：检测用户或系统的行为与已知的不可接受行为之间的匹配程度。误报率低、漏报率高。根据数据分析对象的不同，入侵检测系统可以分三类：基于主机、网络和混合型入侵检测系统。6日志审计技术日志审计技术是通过日志审计系统对日志文件进行审计和检查，对重要的信息记录的真实性和完整性进行考量。对于一个日志审计系统，从功能组成上至少应该包括信息采集、信息分析、信息存储和信息展示四个基本功能。日志分析功能：对于采集上来的信息进行分析、审计，是日志审计系统的核心。日志采集功能：系统能够通过某种技术手段获取需要审计的日志信息。日志存储功能：对于采集的原始信息，以及审计后的信息都要进行保存备查，并可以作为取证的依据。信息展示功能：包括审计结果展示界面、统计分析报表功能、告警响应功能、设备联动功能等。1.5.2

系统管理网络安全是“三分技术，七分管理”，单靠技术或单靠管理都是无法实现的。加强系统管理，可从以下方面着手。完善安全管理制度安全管理包括：网络安全事故在很大程度上都是由于管理的失误造成的，所以保持忧患意识和高度警觉、建立完善的计算机网络安全的各项制度和管理措施，可以极大地提高网络的安全性。人员的组织管理；安全设备的管理；安全设备的访问控制措施；机房管理制度；软件的管理及操作的管理，建立完善的安全培训制度。做到不让外人随意接触重要部门的计算机系统；不要使用盗版的计算机软件；不要随意访问非官方的软件、下载网站；不要随意打开来历不明的电子邮件。1.5.2

系统管理网络安全是“三分技术，七分管理”，单靠技术或单靠管理都是无法实现的。加强系统管理，可从以下方面着手。建立良好的安全意识不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人传送的程序良好的网络安全意识是保证网络安全的重要前提，提高安全意识表现在：尽量避免从Internet下载不知名的软件、游戏程序密码设置尽可能使用字母数字混排及时下载安装系统补丁程序不随便运行黑客程序，这类程序运行时会窃取个人信息使用防毒、防黑等防火墙软件1.5.2

系统管理网络安全是“三分技术，七分管理”，单靠技术或单靠管理都是无法实现的。加强系统管理，可从以下方面着手。规范操作习惯对于重要的个人资料做好严密的保护，并养成及时备份资料的习惯。将防毒、防黑当成日常例行工作，定时更新防毒组件，将防毒软件保持在常驻状态，以彻底防毒。合理配置人员网络安全的实现，必须得到各个层次人员的支持涉及的人员类型包括站点管理员、信息技术人员、公司的大型用户管理员、安全事件相应小组、相关责任部门等。1.6网络攻防大赛概述CTF（CaptureTheFlag）夺旗赛CTF是网络安全技术人员间进行技术竞技的一种比赛形式。CTF为团队赛，通常以三人为限，要想在比赛中取得胜利，就要求团队中每个人在各种类别的