计算机网络安全总结

1、.一、 windows审核所谓的审核就是跟踪，启用相应的审核功能后系统就会跟踪并记录事件的过程，方便管理员查看。利用审核功能，我们不仅可以监视用户在计算机上进行的操作，还可以根据系统运行状态对故障进行排除。但是，开启了审核就会降低系统的性能，因为系统为此需要耗费一部分资源用于记录和存储事件。因此，我们在启用审核时要根据需要制订审核策略。在建立审核策略时，需要确定网络中那些计算机需要实施审核功能以及在其上要审核的事件类型。因为过多类型的审核事件会造成系统过量的开销，从而降低了系统性能。所以在一般情况下，只需针对有一定系统安全要求级别的计算机实施审核策略，而且在实施过程中只审核哪些与系统安全性密切

2、相关的某些特定事件，并确定审核成功还是失败的事件。如果需要使用情况的发展趋势，则还需要编制事件日志的归档计划，以便定期或当安全事件发生后进行查阅和分析。开启审核功能的方法是：依次单击“开始”“控制面板”“系统和维护”“管理工具”，打开“本地安全策略”控制台。然后在“本地策略”“审核策略”中找到相应的审核策略。精品. 查看审核报告 在启用了审核策略后，系统就会在系统的日志中记录相关的事件。如果要查看日志，就需要通过“事件查看器”来进行查看，依次单击“开始”“控制面板”“系统和维护”“管理工具”，打开“事件查看器”控制台，在“windows 日志”下分别有“应用程序”、“安全”、“安装程序”、“系

3、统”、“转发事件”等多个类别，单击不同类别可以在中间的窗格中查看到所有该类别的事件记录。双击某个事件记录，可以打开该记录的详细信息窗口，用户便可以了解该事件的来源和发生事件、事件id等。精品.这里我断开了锐捷客户端认证，导致计算机与dns服务器断开，计算机不能正常计入网络。windows日志里可记录了它，并提出警告。右击某一类的事件日志，可以对其日志进行一些操作。例如，我们可以选择“将事件另存为”来导出该类别的事件日志;选择“打开保存的日志”，用于导入已存在的事件日志;如果日志记录太多，为了释放更多的空间，我们可以选择“清除日志”选项来清除所有记录;而管理员需要在众多的记录中找到自己所需的信息

4、，可以借助“筛选当前日志”功能，根据事件级别、事件id、关键字、用户等信息进行筛选。精品.4、监控文件访问文件监控在现实环境中非常实用，比如管理员设置了一个共享文件夹，但被人改得面目全非，我们就可以通过文件夹监控来确定到底是哪些用户对文件夹进行了操作，然后进一步确定是哪个用户做的。需要说明的是，文件或者文件夹的监控是基于ntfs文件系统，所以分区格式必须是这种格式。首先在“本地安全策略”中启用“审核对象访问”策略，为了准确定位，我们可以只对“成功”事件进行记录。然后定位到需要监控的文件夹，右键点击选择“属性”，在“安全”选项卡中单击“高级”按钮，接着选择“审核”选项卡单击“继续”按钮，在打开的

5、窗口中单击“添加”按钮，输入要添加审核的用户帐户或用户组的名称。然后在“审核项目”面板中勾选需要监控的操作，包括创建文件/写入数据、删除等。如果要监控用户的所有操作可以选择“完全控制”。最后单击“确定”按钮，即可完成审核的设置。这样系统会将指定的事件记录在系统日志中，我们可以通过“时间查看器”的“windows 日志”“安全”中查看到相关的记录。当然，此时的事件记录是非常多的，我们可以通过“筛选器”进行筛选。右键点击左侧的“安全”选择“筛选当前日志”打开筛选窗口。在“筛选器”选项卡下进行筛选设置，因为我们要查看是拷贝的文件“事件来源选择”就选择“security-auditing”，“任务类别

6、”选择“文件系统”，“事件id”输入“4656”所示，然后“确定”退出。这时候，在“事件查看器”右边列出的就是每一次读取数据的信息了。双击每一项目可查看详细信息，注意带有 object type: file 的项目才是对文件的访问。我们双击打开就可以看到hacker用户就fr文件夹进行的拷贝操作精品.二、加密、解密总结任何一个加密系统至少包含四个组成部分：明文，密文 ，加解密算法，加解密密钥，在计算机通信中，发送方用加密密钥，通过加密算法，将信息屏蔽起来，再将隐蔽后的信息传送出去，接收方在收到密文后，用解密密钥将密文解密，恢复为明文。信息在传输过程中即使被窃取，窃取者也只能得到无法理解的密文，

7、从而保证信息的安全传输，对信息起到保密作用。密码编制原理可分为移位，替代和置换三种以及他们的组合形式。计算机中的登录密码保存在c:windowssystem32configsam这个文件中，一般计算机采用md5 算法，生成散列值，文件存储的也是散列值，计算机通过把用户输入的密码影射成散列值予以保存的散列值相对比，若完全符合则密码正确。解密算法存在但计算量巨大，耗时长。移位密码:每个字母右移k位，i love you （k=3）时变成 l oryh brx.数据位没变乘数密码：每个字母乘以一个密钥k，ek(m)=km mod q，则i love you （k = 3）变成a jsno wsk仿射

8、密码：是替换密码的另一个特例，加密的形式为 ek(m)=(k1m+k2) mod q =c mod q； 其中k1和q是互素的精品.明文用m（消息）或p（明文）表示，它可能是比特流（文本文件、位图、数字化的语音流或数字化的视频图像）。至于涉及到计算机，p是简单的二进制数据。明文可被传送或存储，无论在哪种情况，m指待加密的消息。密文用c表示，它也是二进制数据，有时和m一样大，有时稍大（通过压缩和加密的结合，c有可能比p小些。然而，单单加密通常达不到这一点）。加密函数e作用于m得到密文c，用数学表示为：e（m）=c.相反地，解密函数d作用于c产生md（c）=m.先加密后再解密消息，原始的明文将恢复

9、出来，下面的等式必须成立：d（e（m）=m(3) 鉴别、完整性和抗抵赖除了提供机密性外，密码学通常有其它的作用：.(a) 鉴别消息的接收者应该能够确认消息的来源；入侵者不可能伪装成他人。(b) 完整性检验消息的接收者应该能够验证在传送过程中消息没有被修改；入侵者不可能用假消息代替合法消息。(c) 抗抵赖发送者事后不可能虚假地否认他发送的消息。(4) 算法和密钥精品.密码算法也叫密码，是用于加密和解密的数学函数。（通常情况下，有两个相关的函数：一个用作加密，另一个用作解密）如果算法的保密性是基于保持算法的秘密，这种算法称为受限制的算法。受限制的算法具有历史意义，但按现在的标准，它们的保密性已远远

10、不够。大的或经常变换的用户组织不能使用它们，因为每有一个用户离开这个组织，其它的用户就必须改换另外不同的算法。如果有人无意暴露了这个秘密，所有人都必须改变他们的算法。更糟的是，受限制的密码算法不可能进行质量控制或标准化。每个用户组织必须有他们自己的唯一算法。这样的组织不可能采用流行的硬件或软件产品。但窃听者却可以买到这些流行产品并学习算法，于是用户不得不自己编写算法并予以实现，如果这个组织中没有好的密码学家，那么他们就无法知道他们是否拥有安全的算法。尽管有这些主要缺陷，受限制的算法对低密级的应用来说还是很流行的，用户或者没有认识到或者不在乎他们系统中内在的问题。现代密码学用密钥解决了这个问题，

11、密钥用k表示。k可以是很多数值里的任意值。密钥k的可能值的范围叫做密钥空间。加密和解密运算都使用这个密钥（即运算都依赖于密钥，并用k作为下标表示），这样，加/解密函数现在变成：ek(m)=cdk(c)=m.这些函数具有下面的特性：dk（ek（m）=m.精品.使用一个密钥的加/解密有些算法使用不同的加密密钥和解密密钥， 也就是说加密密钥k1与相应的解密密钥k2不同，在这种情况下：ek1(m)=cdk2(c)=mdk2 (ek1(m)=m所有这些算法的安全性都基于密钥的安全性；而不是基于算法的细节的安全性。这就意味着算法可以公开，也可以被分析，可以大量生产使用算法的产品，即使偷听者知道你的算法也没

12、有关系；如果他不知道你使用的具体密钥，他就不可能阅读你的消息。密码系统由算法、以及所有可能的明文、密文和密钥组成的。基于密钥的算法通常有两类：对称算法和公开密钥算法。下面将分别介绍：1,对称密码算法对称算法有时又叫传统密码算法，就是加密密钥能够从解密密钥中推算出来，反过来也成立。在大多数对称算法中，加/解密密钥是相同的。这些算法也叫秘密密钥算法或单密钥算法，它要求发送者和接收者在安全通信之前，商定一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加/解密。只要通信需要保密，密钥就必须保密。对称算法的加密和解密表示为：ek（m）=cdk（c）=m精品. 对称算法可分为两类

13、。一次只对明文中的单个比特（有时对字节）运算的算法称为序列算法或序列密码。另一类算法是对明文的一组比特亚行运算，这些比特组称为分组，相应的算法称为分组算法或分组密码。现代计算机密码算法的典型分组长度为64比特-这个长度大到足以防止分析破译，但又小到足以方便使用（在计算机出现前，算法普遍地每次只对明文的一个字符运算，可认为是序列密码对字符序列的运算）。2,公开密码算法公开密钥算法（也叫非对称算法）是这样设计的：用作加密的密钥不同于用作解密的密钥，而且解密密钥不能根据加密密钥计算出来（至少在合理假定的长时间内）。之所以叫做公开密钥算法，是因为加密密钥能够公开，即陌生者能用加密密钥加密信息，但只有用

14、相应的解密密钥才能解密信息。在这些系统中，加密密钥叫做公开密钥（简称公钥），解密密钥叫做私人密钥（简称私钥）。私人密钥有时也叫秘密密钥。为了避免与对称算法混淆，此处不用秘密密钥这个名字。用公开密钥k加密表示为ek(m)=c.虽然公开密钥和私人密钥是不同的，但用相应的私人密钥解密可表示为：dk(c)=m 有时消息用私人密钥加密而用公开密钥解密，这用于数字签名（后面将详细介绍），尽管可能产生混淆，但这些运算可分别表示为：ek(m)=cdk(c)=m精品.当前的公开密码算法的速度，比起对称密码算法，要慢的多，这使得公开密码算法在大数据量的加密中应用有限。3,单向散列函数 单向散列函数 h(m) 作用

15、于一个任意长度的消息 m，它返回一个固定长度的散列值 h，其中 h 的长度为 m 。输入为任意长度且输出为固定长度的函数有很多种，但单向散列函数还有使其单向的其它特性：(1) 给定 m ，很容易计算 h ；(2) 给定 h ，根据 h(m) = h 计算 m 很难 ；(3) 给定 m ，要找到另一个消息 m 并满足 h(m) = h(m) 很难。在许多应用中，仅有单向性是不够的，还需要称之为抗碰撞的条件：要找出两个随机的消息 m 和 m，使 h(m) = h(m) 满足很难。由于散列函数的这些特性，由于公开密码算法的计算速度往往很慢，所以，在一些密码协议中，它可以作为一个消息 m 的摘要，代替

16、原始消息 m，让发送者为 h(m) 签名而不是对 m 签名 。如 sha 散列算法用于数字签名协议 dsa中。4,数字签名 提到数字签名就离不开公开密码系统和散列技术。有几种公钥算法能用作数字签名。在一些算法中，例如rsa，公钥或者私钥都可用作加密。用你的私钥加密文件，你就拥有安全的数字签名。在其它情况下，如dsa，算法便区分开来了?数字签名算法不能用于加密。这种思想首先由diffie和hellman提出 。精品.基本协议是简单的 ：(1) a 用她的私钥对文件加密，从而对文件签名。(2) a 将签名的文件传给b。(3) b用a的公钥解密文件，从而验证签名。这个协议中，只需要证明a的公钥的确是

17、她的。如果b不能完成第（3）步，那么他知道签名是无效的。这个协议也满足以下特征：(1) 签名是可信的。当b用a的公钥验证信息时，他知道是由a签名的。(2) 签名是不可伪造的。只有a知道她的私钥。(3) 签名是不可重用的。签名是文件的函数，并且不可能转换成另外的文件。(4) 被签名的文件是不可改变的。如果文件有任何改变，文件就不可能用a的公钥验证。(5) 签名是不可抵赖的。b不用a的帮助就能验证a的签名。在实际应用中，因为公共密码算法的速度太慢，签名者往往是对消息的散列签名而不是对消息本身签名。这样做并不会降低签名的可信性。三、 sniffer软件应用 网络性能急剧下降，网络服务不能正常提供，服

18、务器访问速度极慢甚至不能访问，网络交换机端口指示灯疯狂地闪烁、网络出口处的路由器已经处于满负荷的工作状态、路由器cpu已经到了百分之百的负荷重启动后没有几分钟现象又重新出现了。一定是有什么大流量的数据文件，耗尽了网络设备的资源，这时就可以用局域网抓包精品.工具来分析一下。我下载的是spynet3.121：大体介绍流程启动软件，选择正确网卡。设置好网卡后，点modify filter按钮，选择arp；如果不选arp，就默认抓所有协议的包了精品.3、点start capture开始抓包。抓包界面因为我这里没有arp欺骗行为，所以图中并不明显，如果有arp攻击的话，你会发现mac sourec ad

19、dr会有n多相同的mac地址向addr.ip dest列的ip发起攻击。精品.spynet sniffer是个极好的网络监听工具，包含telnet, pop, icq, http, login等等。可以告诉你不仅谁连接到你的系统,而且告诉你他们正在做什么，如果有人攻击你的系统, spynet sniffer可以攫取证据。二：模拟存在arp欺骗的情况开始抓包。抓包主机已经设置好了，网络里的数据包也已经送过来了，那么我们看看网络里传输的到底是些什么。打开spynet 点击capture 你会看到好多的数据显示出来，这些就是被捕获的数据包（如图）。图中的主体窗口里显示了抓包的情况。列出了抓到数据包的

20、序号、时间、源目的mac地址、源目的ip地址、协议类型、源目的端口号等内容。很容易看出ip地址为1的主机在极短的时间内向大量的不同主机发出了访问请求，并且目的端口都是445。 从抓包的情况看，主机1值得怀疑。首先我们看一下目的ip地址，这些地址我们网络里存在吗？很可能网络里根本就没有这些网段。其次，正常情况下访问主机有可能在这么短的时间里发起这么多的访问请求吗？在毫秒级的时间内发出几十甚至几百个连接请求，正常吗？显然这台1的主机肯定有问题。再了解一下microsoft-ds协议，该协议存在拒绝服务攻击的漏洞，连接端口是445，从而进一

21、步证实了我们的判断。这样我们就很容易地找到了染毒主机的ip地址。剩下的工作就是给该主机操作系统打补丁杀病毒了。精品. （端口445：445端口是一个毁誉参半的端口，有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机，黑客们也能通过该端口偷偷共享你的硬盘，甚至会在将你的硬盘格式化掉！我们所能做的就是封堵住445端口漏洞。） 既然抓到了病毒包，我们看一下这个数据包二进制的解码内容：这些数据包的长度都是62个字节。数据包前12个字节包括了目的mac和源mac的地址信息，紧跟着的2字节指出了数据包的类型，0800代表的是ip包格式，0806代表arp包格式。接着的20个字节是封装的ip包头，包

22、括了源、目的ip地址、ip版本号等信息。剩下的28个字节封装的是tcp包头，包括了源、目的端口，tcp链接的状态信息等。这就构成了一个62字节的包。可以看出除了这些包头数据之外，这个包没有携带其他任何的有效数据负荷，所以这是一个tcp要求445端口同步的空包，也就是病毒主机在扫描445端口。一旦染毒主机同步上没有采取防护措施的主机445端口，便会利用系统漏洞传播感染。 关闭445端口： 一、单击“开始”“运行”，输入“regedit”，单击“确定”按钮，打开注册表。 精品.二、找到注册表项“hkey_local_machinesystemcontrolsetservicesnetbtparam

23、eters”。 三、选择“parameters”项，右键单击，选择“新建”“dword值”。 四、将dword值命名为“smbdeviceenabled”。 五、右键单击“smbdeviceenabled”值，选择“修改”。 六、在出现的“编辑dword值”对话框中，在“数值数据”下，输入“0”，单击“确定”按钮，完成设置。四、防火墙与入侵检测 所谓入侵检测其实就是指试图监视和尽可能阻止有害信息的入侵，或者其他能够对用户的系统和网络资源产生危害的行为入侵检测分为三种：1.基于网络的入侵检测系统2.基于主机的入侵检测系统3.基于漏洞的入侵检测系统所谓防火墙指的是一个有软件和硬件设备组合而成、在内

24、部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使internet与intranet之间建立起一个安全网关（security gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所 有网络通信均要经过此防火墙。 精品.防火墙功能：防火墙可以强化网络安全策略；对网络存取和访问进行监控审计；防止内部信息的外泄；除了安全作用，

25、防火墙还支持具有internet服务特性的企业内部网络技术体系vpn（虚拟专用网）。但是网络日趋复杂，传统防火墙暴露出了很多不足和弱点。首先，传统的防火墙在工作时，就像深宅大院，虽有高大院墙，却不能挡住小老鼠和家贼，因此入侵者可以找到防火墙背后可能敞开的后门。其次，防火墙完全不能阻止来自内部的攻击。我们通过调查发现，70%的攻击都将来自于内部，对于局域网内部个别别有用心的人来说，防火墙形同虚设。再者，由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于现在层出不穷的攻击来说是至关重要的。第四，防火墙对于病毒也束手无策，因此，以为在internet入口部署防火墙系统就能足够安全的想法是不切

26、实际的。入侵检测系统（ids）可以弥补防火墙的不足，为网络安全提供实时的入口检测及采取相应的防御手段，如及时记录证据用于跟踪、切断网络连接，执行用户的安全策略等。设置防火墙：包括出站规则，进站规则，连接安全规则和监视四个方面双击选项可更改防火墙安全策略，选择允许访问或阻止精品.精品.防火墙还有记录日志，方便网管及时查询网络安全运行状况，是否有非法数据包企图越过防火墙，以及如何改进设置。对于一般用户来说，需要的只是连接网络来获得资源，而不是被链接来提交资源，所以在防火墙属性上，入站连接写为阻止，出站连接写为允许。关闭特定端口，即关闭特定服务，控制面板-管理工具-服务，双击更改启动或关闭服务。手工

27、在windows里面设置的方法 ：本地连接状态属性tcp/ip协议属性高级选项属性启用tcp/ip删选。只把你需要的端口填上去。其余都不要就可以了 还有一些默认的端口需要手工去修改注册表 1.关闭139端口：139端口是netbios session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“internet协议(tcp/ip)”属性，进入“高级tcp/ip设置”“wins设置”里面有一项“禁用tcp/ip的netbios”，打勾就关闭了139端口。 精品.2.关闭445端口：修改注册

28、表，添加一个键值 hkey_local_machinesystemcurrentcontrolsetservicesnetbtparameters smbdeviceenabled=dword:00000000。五、tcp三次握手tcp的三次握手，发生在建立连接时，因为tcp是ip基础上实现的可靠传输，是面向连接的协议，所以计算机通信前需要通过三次握手实现双向可靠连接。第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入syn_send状态，等待服务器确认；第二次握手：服务器收到syn包，必须确认客户的syn（ack=j+1），同时自己也发送一个syn包（syn=k），即s

29、yn+ack包，此时服务器进入syn_recv状态；精品.第三次握手：客户端收到服务器的synack包，向服务器发送确认包ack(ack=k+1)，此包发送完毕，客户端和服务器进入established状态，完成三次握手。tcp三次握手：精品.未连接队列：在三次握手协议中，服务器维护一个未连接队列，该队列为每个客户端的syn包（syn=j）开设一个条目，该条目表明服务器已收到syn包，并向客户发出确认，正在等待客户的确认包。这些条目所标识的连接在服务器处于 syn_recv状态，当服务器收到客户的确认包时，删除该条目，服务器进入established状态。backlog参数：表示未连接队列的最

30、大容纳数目。syn-ack重传次数服务器发送完synack包，如果未收到客户确认包，服务器进行首次重传，等待一段时间仍未收到客户确认包，进行第二次重传，如果重传次数超过系统规定的最大重传次数，系统将该连接信息从半连接队列中删除。注意，每次重传等待的时间不一定相同。半连接存活时间：是指半连接队列的条目存活的最长时间，也即服务从收到syn包到确认这个报文无效的最长时间，该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为timeout时间、syn_recv存活时间精品.用三台电脑模拟tcp三次握手：建设一个小型的模仿环境假设有3台接入互联网的机器。a为攻击者操纵的攻击机。b为中介跳板机器（受信任的服务器）。c为受害者使用的机器（多是服务器），这里把c机器锁定为目标机器。a机器向b机器发送syn包，请求建立连接，这时已经响应请求的b机器会向a机器回应syn/ack表明同意建立连接，当a机器接受到b机器发送的syn/ack回应时，发送应答ack建立a机器与b机器的网络连接。这样一个两台机器之间的tcp通话信道就建立成功了。b终端受信任的服务器向c机器发起tcp连接，a机器对服务器发起syn信息，使c机器不能响应b机器。在同时a机器也向b机器发送