Internet 技术与应用PPT课件.ppt

1、第9章 网络安全技术与应用,9.1 相关知识 9.2 计算机病毒及其防治 9.3 防火墙技术 9.4 其它安全设置 9.5 网络攻击技术,1,2,9.1 相关知识,9.1.1 网络安全的定义 9.1.2 网络面临的安全威胁,3,9.1.1 网络安全的定义,计算机安全、网络安全和信息系统安全是信息安全的三个级别，其中计算机安全是基础，网络安全是核心，系统安全是目标。 网络安全是一个关系国家安全和社会稳定的重要问题，它涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多门学科。其本质是确保网络上的信息安全，具体是指确保网络系统的硬件、软件及其系统中的数据不被偶然或

2、者恶意的破坏、篡改和泄露，并保证网络系统能连续稳定正常地工作。,4,网络安全包括数据的保密性、数据的完整性、数据的可用性、数据的可控性和不可抵赖性5个要素。 保密性就是确保信息不暴露给未授权实体或进程，仅允许授权用户访问； 完整性就是要保证数据不被未授权修改； 可用性就是指授权用户和实体能访问数据； 可控性是指控制授权范围内的信息流向和操作方式，如对信息的访问、传播及内容具有控制能力； 不可抵赖性是指对出现的安全问题提供审查依据与手段，即所有通信参与者都不能否认自己曾经的操作和承诺。,5,9.1.2 网络面临的安全威胁,计算机网络所面临的威胁有三种：硬件安全、软件安全和数据安全。 硬件包括网络

3、中的各种设备及其元配件，接插件及线缆等； 软件包括网络操作系统、各种驱动程序、通信软件及其他应用软件； 数据包括系统的配置文件、日志文件、用户资料、各种重要的敏感的数据库及其网络上两台机器之间的通信内容等机密信息。,6,影响网络安全包括人为的和非人为的。 人为的因素又可以分为无意的失误和恶意的攻击。 人为的无意失误包括误操作引起的文件删除、硬盘被格式化，或者掉电引起的系统中断、崩溃；网络管理员由于技术素质不高，安全访问权限分配不当造成的漏洞；用户安全意识不强，口令设置不妥或随意与他人共享网络资源不良习惯都会对网络安全带来威胁。 人为的恶意攻击，包括企业内部心怀不满的员工、企业之间的网络间谍和网

4、上黑客，才是计算机网络安全面临的最大威胁。 非人为的因素包括自然灾害如地震、雷击、洪水或其它不可抗拒的天灾。 此外非人为因素还包括网络设备的自然损坏、硬盘或其它存贮设备的老化、无规则的停电引起的设备故障等，但这种安全威胁只破坏信息的完整性和可用性，无损信息的秘密性。,7,9.2 计算机病毒及其防治,9.2.1 计算机病毒的定义 9.2.2 计算机感染病毒后的症状 9.2.3 计算机病毒的防范,8,9.2.1 计算机病毒的定义,1994年2月18日公布的中华人民共和国计算机信息系统安全保护条例中，对计算机病毒是这样定义的：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影

5、响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,9,9.2.2 计算机感染病毒后的症状,（1）计算机系统运行速度减慢 （2）计算机系统不稳定 （3）文件异常 （4）磁盘异常 （5）网络异常 （6）其它症状,10,9.2.3 计算机病毒的防范, 常用的反毒病软件 反病毒软件的设置 计算机病毒的其它防范措施,11, 常用的反毒病软件,防范计算机病毒的最简单和最有效的方法就是安装反病毒软件，并养成良好的使用计算机和计算机的习惯。 1瑞星杀毒软件 2金山毒霸 3江民杀毒软件 4卡巴基斯 5Norton Antivirus 6Sy

6、mantec Antivirus 7McAfee VirusScan 还包括Norman Virus Control、NOD32、Sophos Anti-Virus、F-Prot Antivirus、Antiunknown、熊猫卫士、F-Secure Anti-Virus和PC-Cillin等,12, 反病毒软件的设置,以“卡巴斯基反病毒软件7.0”为例说明反病毒软件的一些常规设置。 1保护,13,（1）文件反病毒,14,（2）邮件反病毒,15,（3）Web反病毒,16,（4）主动防御 主动防御就是让计算机免受已知威胁和未知新威胁的感染。卡巴斯基的主动防御包括“程序活动分析”、“

7、程序完整性保护”和“注册表防护”三个部分。 对于普通的计算机用户，建议不使用主动防御功能。而对有一定的计算机基础，又十分在意安全的用户，可以使用该功能。,17,2扫描,18,3更新,19,4服务,20, 计算机病毒的其它防范措施,1利用硬件设置 建议启用主板硬件病毒防护功能 建议设置计算机总是先从硬盘启动，这样可防止将软盘或光盘中的恶意程序加载到系统中。 2避免文件对拷 3正确使用移动磁盘 4慎重对待下载的程序 5警惕电子邮件及其附件 6防范宏病毒 7备份与还原,21,9.3 防火墙技术,9.3.1 防火墙的基本类型 9.3.2 天网个人版防火墙及其设置,22,防火墙（Firew

8、all）一词来源于早期欧式建筑中为了防止火灾的蔓延而在建筑物之间修建的矮墙。在计算机网络中的防火墙是指隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。防火墙主要用于逻辑隔离外部网络与受保护的内部网络，其应用示意图如图9.15所示。,23,9.3.1 防火墙的基本类型,1按防火墙技术分类 （1）包过滤防火墙 包过滤技术有两种不同版本，分别为“第一代静态包过滤”和“第二代动态包过滤”。 第一代静态包过滤类型防火墙 这类防火墙是根据定义好的过滤规则审查每个数据包，确定其是否与某一条包过滤规则匹配。 第二代动态包过滤类型防火墙 这类防火墙采用动态设置包过滤规则的方法，这就是后来的状

9、态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。,24,（2）应用代理防火墙 应用代理型防火墙工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 代理型防火墙也有两个不同的版本，即“第一代应用网关型代理防火墙”和“第二代自适应代理防火墙”。,25,第一代应用网关型防火墙 这类防火墙是通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是防火墙的

10、外部网卡与外部网络建立连接一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙的核心技术就是代理服务器技术。 第二代自适应代理(Adaptive proxy)型防火墙 自适应代理根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。,26,2按防火墙的应用部署位置分类 （1）边界防火墙 边界防火墙是最为传统的防火墙，它们位于内、外部网络的边界，所起的作用是对内、外部网络实施隔离，保护边界内部网络。这类防火墙一般都是硬件类型的，价格较贵，性能较好。 （2）个人防火墙 个人防火墙安装于单台主机

11、中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常是一个应用软件，价格最便宜，性能也最差。 天网个人版防火墙是国内个人防火墙的优秀品牌产品之一，Windows XP/2003集成的Windows防火墙和各反病毒软件配套的个人防火墙如金山网镖、瑞星防火墙、诺顿防火墙或Symantec Client Firewall和卡巴斯基防火墙等,27,（3）混合式防火墙 混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”，它是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新

12、的防火墙技术之一，性能最好，价格也最贵。,28,9.3.2 天网个人版防火墙及其设置,29,1系统设置,30,2安全级别设置 低：计算机将完全信任局域网，允许局域网内部的机器访问自己提供的各种服务，但禁止互联网上的机器访问这些服务。该级别适用于在局域网中提供服务的用户。 中：禁止访问系统级别的服务（如HTTP和FTP等）。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的服务。适用于普通个人上网用户。 高：禁止局域网内部和互联网的机器访问自己提供的网络共享服务，局域网和互联网上的机器将无法看到本机器。除了已

13、经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。也是最严密的安全级别。 扩展：该安全等级是基于“中”安全级别再配合一系列专门针对木马和间谍程序的扩展规则，可以防止木马和间谍程序打开TCP或UDP端口监听甚至开放未许可的服务。 自定义：用户如果了解各种网络协议，则可以自己设置规则。适用于对网络有一定了解并需要自行设置规则的用户。,31,3设置IP规则,32,4应用程序规则设置,33,5查看日志,34,6查看应用程序网络状态,35,7断开/接通网络 单击天网防火墙主界面上的“接通/断开网络开关”按钮，可以将网络置于连通状态或断开状态。如果计算机受到频繁攻击时，单击此按钮断开网络是最有效

14、的应对方法。,36,9.4 其它安全设置,9.4.1 系统安全设置 9.4.2 帐户及密码管理 9.4.3 数据文件安全设置 9.4.4 关闭无用的端口,37,9.4.1 系统安全设置,1安装系统补丁,38,（1）手动更新,39,（2）自动更新,40,2使用NTFS格式分区 3维护注册表安全 4开启审核策略,41,9.4.2 帐户及密码管理,1禁用Guest帐户 2限制帐户的个数 3更改Administrator帐户名 4开启用户策略 5禁止显示上次登录用户名 6设置屏幕保护密码,42,9.4.3 数据文件安全设置,1禁用默认共享 2经常备份 3正确设置文件的共享权限 4防止文件名欺骗,43,

15、9.4.4 关闭无用的端口,用户可以对自己计算机的端口进行安全性的检查，比如可以使用SuperScan对自己的计算机进行端口扫描。如果可以确认某个端口不安全或者不需要，则可以关闭这些端口。对于普通用户来说可以利用IP安全策略关闭以下这些端口：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，还有一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389等。,44,9.5 网络攻击技术,9.5.1 相关基础知识 9.5.2 信息收集型攻击 9.5.3 破坏型攻击 9.5.4 利用型攻击 9.5.5

16、网络欺骗攻击 9.5.6 垃圾信息攻击,45,9.5.1 相关基础知识, 网络攻击的本质 网络攻击的动机与目的 网络攻击的一般步骤,46, 网络攻击的本质,无论是何种动机，攻击者实际上是希望完成以下四件事中的一件或多件：破坏目标工作、窃取目标信息、控制目标计算机和利用假消息欺骗对方，这四件事的本质就是入侵与破坏。 （1）破坏 所谓破坏，指的是破坏攻击目标，使之不能正常工作，但不能随意控制目标系统。 （2）入侵 以入侵为目的的攻击方式，需要获得一定的权限来达到控制攻击目标的目的。这类攻击通常是利用服务器操作系统、应用软件或者网络协议存在

17、的漏洞进行的。,47, 网络攻击的动机与目的,1政治和军事目的 2集体或个人的商业目的 3无恶意的恶作剧 4以恶意破坏为目的,48, 网络攻击的一般步骤,1攻击的准备阶段 确定攻击目的：确定攻击目的就是要确定攻击要达到的效果，并以此选择好攻击所需要的工具； 收集目标信息：要收集的目标信息包括操作系统类型及版本、目标提供哪些服务、各服务的类型、版本及其相关的信息等。,49,2攻击的实施阶段 作为破坏性攻击，只需要利用工具发动攻击即可；而作入侵性攻击，往往需要利用收集到的信息，找到其系统漏洞，然后利用该漏洞获取一定的权限。所以对于入侵攻击来讲，漏洞至关重要。能够被攻击者

18、利用的漏洞不仅包括系统软件设计上的安全漏洞，也包括由于管理配置不当而造成的漏洞。 攻击实施阶段的一般可分为以下三个过程： 第一步，隐藏自己的位置，以便不会被追查到或被报复。 第二步，利用收集到的信息获取账号和密码，登录主机。 第三步，利用漏洞或者其它方法获得控制权并窃取网络资源和特权。,50,3攻击的善后阶段 完成攻击目的之后，如果忽略了善后工作，那么这种攻击很有可能会被追查到并追究相关责任甚至遭受更疯狂的报复。这里要做的善后工作主要是指清除攻击的痕迹，包括各种日志记录，如Web服务器日志和事件日志等。,51,9.5.2 信息收集型攻击, 网络扫描 体系结构探测

19、 服务信息收集 Sniffer,52,信息收集型攻击就是收集目标网络系统中的各种有用信息，收集的手段可以是扫描、侦察和盗取等。这种攻击存在于攻击目标网络系统的各个流程环节中，它可能是攻击的最终目标，也可能是整个攻击的开始。但这种攻击一般不会对目标系统及其数据产生破坏作用。,53, 网络扫描,扫描就是通过向目标主机发送数据包，然后根据响应来获得目标主机的情况的一种技术，根据扫描的方式不同，主要有地址扫描、端口扫描和漏洞扫描三种方式。 1地址扫描 2端口扫描 3漏洞扫描 Superscan是一款典型的免费的地址扫描和端口扫描工具，Fluxay、Nessu

20、s和X-Scan都是典型的漏洞扫描工具,54, 体系结构探测,体系结构探测又叫系统扫描，攻击者使用具有已知响应类型的数据库的自动工具，对来自目标主机、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法，通过将此独特的响应与数据库中的已知响应进行对比，攻击者经常能够确定出目标主机所运行的操作系统，甚至可以了解到目标的系统配置，确定目标所使用的软件。Lan scanner就是一个常用的体系结构探测软件。,55, 服务信息收集,攻击者可以利用一些现有的信息服务或漏洞来对目标系统进行攻击。 1DNS域名转换 2Finger服务 3LDAP服务,56,9

21、.5.2.4 Sniffer,Sniffer即网络嗅探器，用于监听网络中的数据包，Sniffer的工作原理就是将网络接口设置为“混杂”（Promiscuous）模式。在这种模式下，网络接口处于一个对网络进行“监听”的状态，它可以监听此网络中传输的所有数据帧，并实时分析数据帧中包含的内容。攻击者可以通过分析截获的数据帧找到感兴趣的内容，包括用户帐号和口令等敏感信息，从而为下一步攻击做好准备。 Sniffer攻击的程序有很多，如NetXray和Sniffer Pro等。,57,9.5.3 破坏型攻击,破坏型攻击以破坏对方系统为主要目标，破坏的方式包括使对方系统拒绝服务、删除有用数据甚至破坏操作系统

22、和硬件（比如CIH病毒）等。其中病毒攻击、拒绝服务攻击（Denial of Service，简称DoS攻击）是最常见的破坏性攻击。 DoS攻击是利用TCP/IP协议的弱点或者系统存在的某些漏洞，对目标计算机发起大规模的进攻，以致被攻击的计算机崩溃或消耗它的大部分资源来阻止其对合法用户提供服务。但一般不对目标计算机中的信息进行修改。,58,DoS攻击是目前黑客常用的攻击手法，可使用一些公开的软件进行攻击，发动这种攻击较为简单而且在较短的时间内即可达到明显的效果，但要防止这类攻击是非常困难的，从技术上看，目前还没有根本的解决办法。 常见的DoS攻击手段主要包括： 1Ping of Death 这是

23、利用ICMP协议的一种碎片攻击，它通过向目标端口发送大量的超大尺寸的ICMP包来实现。当目标收到这些ICMP碎片包后，会在缓冲区里重新组合它们，由于这些包的尺寸太大，造成事先分配的缓冲区溢出，这时系统通常会崩溃或挂起。 在Windows环境下实现这种攻击只需要在命令提示符下输入以下命令即可： Ping -l 65535 t ,59,2Teardrop Teardrop是一种利用碎片的攻击方式，它利用那些在TCP/IP堆栈实现中所信任的IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包中的哪一段的信息，某些系统在收到含有重叠偏移的伪造分段时会崩溃。 应对这种

24、攻击的最有效方式就是安装最新服务补丁。,60,3UDP flood UDP flood通过伪造与某一主机的Chargen服务之间的一次UDP通信，回复地址指向开着Echo服务的一台主机，这样就在两台主机之间生成足够多的无用数据流，导致带宽被占满。 应对这种攻击的方法是关闭不必要的TCP/IP服务，或者配置防火墙阻断来自Internet的对这些服务的UDP请求。,61,4SYN flood 两台主机之间建立TCP连接时，需要发送设置了SYN标志的TCP报文，完成三次握手过程。如果向某一主机发送大量建立连接的请求，但不应答目标主机返回的ACK消息，于是这些连接请求在队列中排队等候攻击方的应答。因收

25、不到攻击方的应答从而导致队列填满，最终将不能接收正常的连接请求。 对于SYN Flood攻击，可以在防火墙上过滤来自同一主机的后续连接。但这种方式并不十分有效，特别是应对分布式的SYN Flood攻击。,62,5Land攻击 在Land攻击中，将构造一个特别的SYN包，将它的源地址和目的地址都设置成被攻击目标服务器的地址，此举将导致接收服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到其超时。对Land攻击，许多UNIX系统将崩溃，而Windows NT系统将变得极其缓慢（大约持续5分钟）。 应对这种攻击的方法是安装最新补丁，

26、或者配置防火墙过滤掉源地址与目的地址均相同的数据包，或者传入的数据包的源地址为内部地址的数据包。,63,6Smurf攻击 Smurf攻击的基本原理是将ICMP应答请求（Ping）数据包中的回复地址设置成受害网络的广播地址，受害网络中的所有主机都对此ICMP应答请求作出回复，最终导致网络阻塞，这种攻击方式比Ping of death扩散的流量高出12个数量级，更加复杂的Smurf攻击将源地址改为第三方的地址，最终导致第三方崩溃。,64,7Fraggle攻击 Fraggle攻击是Smurf攻击的改进方法，它是通过UDP协议发送伪造来源的UDP广播到目标网络，当目标网络中的众多主机回应后，便可以造成

27、网络的阻塞，即使某些IP地址没有回应，其产生的ICMP包仍然可以达到DoS攻击的效果。 为了防止黑客利用自己的网络攻击别人，可以关闭外部路由器或防火墙的广播地址特性。为了防止受到这种攻击，可以配置防火墙丢弃ICMP包。,65,8畸形消息攻击 畸形消息攻击也可叫做系统漏洞攻击，由于现在的各类操作系统上的许多服务都存在安全隐患，这些服务在处理信息之前没有进行适当正确的错误校验，导致其在接收到畸形的信息之后可能会崩溃。 应对这种攻击的最有效方式就是安装最新服务补丁。 9电子邮件炸弹 通过设置一台计算机不断地向同一地址发送大量的电子邮件，这样将可能导致接受者网络的带宽被消耗殆尽。 对应这种攻击的有效方

28、式就是配置邮件服务器自动删除来自同一主机的过量或重复的消息。,66,10分布式拒绝服务攻击 分布式拒绝服务攻击DDoS（Distributed Denial of Service）采用了一种比较特别的体系结构，攻击者通过控制许多其它的主机，把它们作为跳板，利用这些主机同时攻击目标计算机，从而导致目标计算机瘫痪，这种攻击方式使得攻击者可以很容易地隐藏自己的真实身份。 对于DDoS攻击，目前还没有十分有效的防范措施。,67,9.5.4 利用型攻击, 口令破解 特洛伊木马 缓冲区溢出攻击,68,利用型攻击以控制对方系统为我所用为主要目标。目标计算机一旦被

29、攻击者控制，其上的信息就可能被窃取，文件可能被修改，甚至还可以利用目标计算机作为跳板来攻击其它计算机，一旦被对方追踪，目标计算机则成为了替罪羊。前面介绍的DDoS攻击也是利用了这种攻击中的部分技术才得以实现的。 典型的利用型攻击手段有以下三种：,69, 口令破解,口令也叫密码（Password），口令攻击是网络攻击最简单，最基本的一种形式，黑客攻击目标时，常将破译普通用户的口令作为攻击的开始。 1字典文件 2口令攻击的方法 （1）字典攻击 （2）强行攻击 （3）组合攻击,70, 特洛伊木马,1特洛伊木马的概念 特洛伊木马（Trojan Horse，简称木马）一词来源

30、于古希腊的神话故事。在计算机安全学中，特指一种计算机程序，该程序由攻击者或者通过欺骗方式安装到目标系统上。一旦安装成功，攻击者就可以直接远程控制目标系统。当目标系统启动时，木马程序根据命令在目标计算机上执行一些操作，如传送或删除文件，窃取口令，重新启动计算机等。 NetCat、Back Orifice、NetBus、冰河和广外男生等都是典型的木马程序，它们能巧妙地运行在目标计算机系统中，而且不容易被发现。,71,2木马的工作方式 木马程序一般利用TCP/IP协议，采用C/S结构，分为客户端和服务器端两个部分。服务器端程序运行在被攻击的计算机上，而客户端程序运行在攻击者的计算机上。客户端程序可以

31、同时向很多服务端程序发送命令以控制这些计算机。木马服务器端程序可能会隐藏于网页中，并在用户浏览网页时下载到计算机上运行；也可能是附在邮件附件中，如果用户运行了该邮件附件中的程序，则服务器端程序将被运行；还有可能通过QQ、MSN和文件下载等方式传播，一些恶意网站可能是传播特洛伊木马的一个主要途径。,72,3木马的分类 （1）按照对计算机的破坏方式分类 远程访问型木马：如BO 2000，NetSpy，冰河等都属于这类木马。 密码发送型木马：记录输入的各种密码并发送给客户端的控制程序。 键盘记录型木马：记录所有键盘事件包括输入的用户名和密码并生成Log文件，最后发送给控制者。 毁坏型木马：以破坏对方

32、计算机为主要目的 FTP型木马：这类木马一般在被攻击的计算机上开启FTP服务端口（21），使攻击者不经过密码验证就可以登录对方计算机，进行文件的上传与下载。,73,（2）按传输方式分类 主动型木马：客户端程序可以扫描到被攻击者，并由客户端主动连接到服务器端，实施对服务器端计算机的控制。 如冰河 反弹式木马：利用防火墙对内部发起的连接请求无条件信任的特点，假冒是系统的合法网络请求来取得对外的端口，再通过某些方式连接到木马的客户端，从而窃取用户计算机的资料，同时遥控计算机本身。如网络神偷 嵌入式木马：嵌入式木马隐藏于一些已有的常用的网络程序中，并利用宿主程序转发木马命令。 如广外男生,74,9.5

33、.4.3 缓冲区溢出攻击,由于C语言中的strcpy（），strcat（）之类的函数不进行长度有效性检查，因此，用户可以往缓冲区写入超出其长度的内容，造成缓冲区溢出，从而破坏程序的堆栈，使程序转向执行其它程序预设的指令，从而获得控制权限，最终达到入侵的目的。 1988年，美国康奈尔大学的计算机科学系研究生、23岁的莫里斯利用UNIX fingered程序不限制输入长度的漏洞编写了一个莫里斯（Morris）蠕虫，它曾造成全世界6000多台网络服务器瘫痪。这就是一个典型的缓冲区溢出攻击例子。,75,9.5.5 网络欺骗攻击, DNS欺骗攻击 电子邮件欺骗 Web欺骗 IP欺骗,76, DNS欺骗攻击,由于DNS服务器与其它名称的服务器交换信息时并不进行身份验证，这就使得攻击者可以将不正确的信息掺进来并把用户引向攻击者自己的主机。 从第2章中关于DNS的域名解析过程不难想象，假设当提交给某个域名服务