网络安全

第十一章第十一章网络安全网络安全网络安全网络安全第一节第一节 网络安全的特殊性网络安全的特殊性网络安全的定义v网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全基础知识网络安全的特征（1）保密性：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。（2）完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（3）可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。（4）可控性：对信息的传播及内容具有控制能力。网络安全网络安全第一节第一节 网络安全的特殊性网络安全的特殊性一、网络计算引起的革命和问题一、网络计算引起的革命和问题v “网络就是计算机网络就是计算机”，“数字化地球数字化地球”，“系统就是网络、网络就是系统系统就是网络、网络就是系统”v1.世界网络化世界网络化v 世界缩小，时空缩小，高科技社会中，高世界缩小，时空缩小，高科技社会中，高科技技术的应用与高技术犯罪并存科技技术的应用与高技术犯罪并存.网络安全网络安全 第一节第一节 网络安全的特殊性网络安全的特殊性2.系统开放性系统开放性v 分散和分布式计算环境基于开放性技术，分散和分布式计算环境基于开放性技术，开放性与安全性是一对基本矛盾，系统开放开放性与安全性是一对基本矛盾，系统开放与系统保密成为矛盾中的统一。与系统保密成为矛盾中的统一。3.信息共享、资源共享信息共享、资源共享v 共享的概念，不是所有信息都共享共享的概念，不是所有信息都共享v 信息是有价值的，有价信息的拥有权信息是有价值的，有价信息的拥有权v 敏感信息、私有信息与垃圾信息敏感信息、私有信息与垃圾信息开放的、分布式协同计算环境中，原有的安全措开放的、分布式协同计算环境中，原有的安全措施很难奏效施很难奏效 结构松散，异地分散，无法有效管理结构松散，异地分散，无法有效管理 用户透明，资源共享，面临多种攻击用户透明，资源共享，面临多种攻击网络系统规模日益庞大，必然导致系统安全性、网络系统规模日益庞大，必然导致系统安全性、可靠性降低可靠性降低设计缺陷，给安全带来影响无法消除，如操作设计缺陷，给安全带来影响无法消除，如操作系统的管理员权限，系统的管理员权限，TCP/IPTCP/IP协议等协议等软件的可靠性有限，存在缺陷和后门，给攻击软件的可靠性有限，存在缺陷和后门，给攻击者机会者机会网络安全的面临挑战网络安全的面临挑战网络安全网络安全 二、网络的入侵者二、网络的入侵者 *黑客黑客(Hacker)：网络入侵者通称网络入侵者通称“黑客黑客”。黑客的原意是泛指。黑客的原意是泛指对任何计算机系统、操作系统、网络系统的奥秘对任何计算机系统、操作系统、网络系统的奥秘都具有强烈兴趣的人。都具有强烈兴趣的人。第一节第一节 网络安全的特殊性网络安全的特殊性 恶意黑客（骇客）渗入计算机系统和网络系恶意黑客（骇客）渗入计算机系统和网络系统并获取其内部工作的情况和知识，非法访问、统并获取其内部工作的情况和知识，非法访问、寻找、窃取资源和信息。恶意黑客会有目的的寻找、窃取资源和信息。恶意黑客会有目的的篡改系统数据和资源，修改系统配置，甚至远篡改系统数据和资源，修改系统配置，甚至远程控制目标系统。程控制目标系统。网络安全网络安全 *窃客窃客(Phreaker)：即即“电信黑客电信黑客”或或“电信窃客电信窃客”。他们。他们与网络黑客不同，主要与电话公司打交道。与网络黑客不同，主要与电话公司打交道。采用不同的种种采用不同的种种“手段手段”和和“诡计诡计”，如，如拦截传输信号，从而操纵电话公司，并机拦截传输信号，从而操纵电话公司，并机盗打用户移动电话，免费拨打区域和长途盗打用户移动电话，免费拨打区域和长途电话等。并从电信网站、电信传输和用户电话等。并从电信网站、电信传输和用户通信中某利，获取所需敏感信息。通信中某利，获取所需敏感信息。第一节第一节 网络安全的特殊性网络安全的特殊性网络安全网络安全*怪客怪客(Cracker)：网络上的匿名攻击者，专门进行网络入网络上的匿名攻击者，专门进行网络入侵攻击，发布干扰信息，侵攻击，发布干扰信息，传输网络垃圾等传输网络垃圾等,并以此为乐并以此为乐。第一节第一节 网络安全的特殊性网络安全的特殊性黑客概述 网络安全网络安全三、网络犯罪特点三、网络犯罪特点 网络犯罪与传统犯罪有很多不同，网络犯罪与传统犯罪有很多不同，网络犯罪有如下一些特点：网络犯罪有如下一些特点：网络犯罪高技术化、专业化。网络犯罪高技术化、专业化。犯罪者具有高智商，熟悉并掌握电犯罪者具有高智商，熟悉并掌握电脑技术、电信技术或者网络技术，了脑技术、电信技术或者网络技术，了解电子数据资料结构和数据库，作案解电子数据资料结构和数据库，作案手段复杂隐蔽，有的情况下使正常操手段复杂隐蔽，有的情况下使正常操作与犯罪活动很难区分。作与犯罪活动很难区分。第一节第一节 网络安全的特殊性网络安全的特殊性网络安全网络安全 网络犯罪动机复杂化。网络犯罪动机复杂化。它既包含了传统犯罪中的谋财害命、它既包含了传统犯罪中的谋财害命、发泄报复、恐怖暴力、欺诈拐骗等，发泄报复、恐怖暴力、欺诈拐骗等，还渗入了更深厚的政治、军事、经济、还渗入了更深厚的政治、军事、经济、宗教色彩。宗教色彩。第一节第一节 网络安全的特殊性网络安全的特殊性网络安全网络安全 网络犯罪的覆盖面更广，日趋网络犯罪的覆盖面更广，日趋国际化。国际化。利用网络的互联，缩短了时间和利用网络的互联，缩短了时间和空间，犯罪分子在作案、通信、交易、空间，犯罪分子在作案、通信、交易、逃匿等方面可以易地进行逃匿等方面可以易地进行 异地作案异地作案的可能性极大，使得作案隐蔽性更强，的可能性极大，使得作案隐蔽性更强，危害更大。危害更大。第一节第一节 网络安全的特殊性网络安全的特殊性网络安全网络安全 网络犯罪人员趋于年青化。网络犯罪人员趋于年青化。调查统计，电脑犯罪者的平均年龄调查统计，电脑犯罪者的平均年龄约在约在25岁左右。青年人聪明好动、虚岁左右。青年人聪明好动、虚荣心大、探索意识强，但也最容易在荣心大、探索意识强，但也最容易在网络上掉入网络陷阱，受到邪恶引诱网络上掉入网络陷阱，受到邪恶引诱而误入歧途。而误入歧途。第一节第一节 网络安全的特殊性网络安全的特殊性网络安全网络安全 网络犯罪的形式多样化。网络犯罪的形式多样化。它既具有传统犯罪中的各种形式，它既具有传统犯罪中的各种形式，还包含了更严重的犯罪教唆、展示、还包含了更严重的犯罪教唆、展示、指导、引诱、服务等等。网络色情的指导、引诱、服务等等。网络色情的泛滥、网络邪教的诱惑、没落文化和泛滥、网络邪教的诱惑、没落文化和反动文化的泛起都威胁到整个网络世反动文化的泛起都威胁到整个网络世界。界。第一节第一节 网络安全的特殊性网络安全的特殊性网络安全网络安全 四、网络安全的技术特点四、网络安全的技术特点 1.资源共享与分布资源共享与分布 这是网络的主要目的，也是网络的脆弱性，这是网络的主要目的，也是网络的脆弱性，分布的广域性增大了受攻击的可能性，单机系分布的广域性增大了受攻击的可能性，单机系统的安全控制已不足以保证网络全局的安全。统的安全控制已不足以保证网络全局的安全。2.网络系统的复杂性网络系统的复杂性 系统互连、控制分散、异构结点。任何一个系统互连、控制分散、异构结点。任何一个结点的安全漏洞都可能导致整个系统的不安全，结点的安全漏洞都可能导致整个系统的不安全，信息爆炸使存储和传输不堪重负；攻击的入口信息爆炸使存储和传输不堪重负；攻击的入口增多、破坏面增大、检测困难且开销很大。增多、破坏面增大、检测困难且开销很大。第一节第一节 网络安全的特殊性网络安全的特殊性网络安全网络安全 3.安全的可信性安全的可信性 网络的可扩展性使网络边界具有不确定网络的可扩展性使网络边界具有不确定性；网络安全的可信性随网络扩展而下降；性；网络安全的可信性随网络扩展而下降；不可信结点、恶意结点的严重威胁不可信结点、恶意结点的严重威胁 4.安全不确定性安全不确定性 网络分支广，存在多条可能的安全漏洞；网络分支广，存在多条可能的安全漏洞；不安全的路径存在不确定性；故障定位的不安全的路径存在不确定性；故障定位的不确定性。不确定性。第一节第一节 网络安全的特殊性网络安全的特殊性网络安全网络安全 5.信息安全的特殊性信息安全的特殊性 信息的真实性，网络通信只保证了无信息的真实性，网络通信只保证了无差错传输，无法保证信息的真实性、完整差错传输，无法保证信息的真实性、完整性，收发双方无法对传输信息加以控制和性，收发双方无法对传输信息加以控制和监视。监视。6.网络安全的长期性网络安全的长期性 矛盾贯穿始终，长期对抗。不可能存矛盾贯穿始终，长期对抗。不可能存在一劳永逸、绝对安全的系统安全策略和在一劳永逸、绝对安全的系统安全策略和安全机制，安全的目标和安全策略，是在安全机制，安全的目标和安全策略，是在一定条件（环境与技术）下的合理性。一定条件（环境与技术）下的合理性。第一节第一节 网络安全的特殊性网络安全的特殊性网络安全网络安全 五、网络安全性范围五、网络安全性范围 1.网络类型网络类型 电信网络、电视网络、计算机网络，重点电信网络、电视网络、计算机网络，重点在计算机网络在计算机网络 2.计算机网络的组成计算机网络的组成 计算机系统、通信系统、网络互连设备计算机系统、通信系统、网络互连设备 系统运行平台、网络管理软件系统系统运行平台、网络管理软件系统 第一节第一节 网络安全的特殊性网络安全的特殊性网络安全网络安全 3.网络安全领域网络安全领域 计算机系统安全计算机系统安全 系统硬件安全、存储系统安全、操作系统硬件安全、存储系统安全、操作系统安全、软件安全系统安全、软件安全 通信系统安全通信系统安全 通信系统与部件可靠性、无线与有线通信系统与部件可靠性、无线与有线安全、网络互连设备安全。安全、网络互连设备安全。网络系统安全网络系统安全 网管软件安全、网络协议安全性网管软件安全、网络协议安全性 网络运行环境安全、网络开发与应用网络运行环境安全、网络开发与应用安全安全第一节第一节 网络安全的特殊性网络安全的特殊性网络安全网络安全 计算机病毒与恶意程序计算机病毒与恶意程序 计算机病毒对抗、攻击与反攻击计算机病毒对抗、攻击与反攻击 网络安全的社会性网络安全的社会性 网络垃圾与信息垃圾、反动、色情、网络垃圾与信息垃圾、反动、色情、颓废文化。颓废文化。第一节第一节 网络安全的特殊性网络安全的特殊性网络安全网络安全 六、网络安全的类别六、网络安全的类别 “网络就是计算机网络就是计算机”，因此，计算机系统安，因此，计算机系统安全的几乎所有领域都在网络安全中得以体现。全的几乎所有领域都在网络安全中得以体现。网络系统安全的主要威胁也来源于各个方面，网络系统安全的主要威胁也来源于各个方面，有自然的、硬件的、软件的、也有人为的疏忽、有自然的、硬件的、软件的、也有人为的疏忽、失误等。失误等。第一节第一节 网络安全的特殊性网络安全的特殊性网络安全网络安全 网络可信网络可信：保证网络可靠运行，防：保证网络可靠运行，防止系统崩溃，主要解决硬件故障和软件故止系统崩溃，主要解决硬件故障和软件故障。障。网络阻塞网络阻塞：主要解决网络配置、网：主要解决网络配置、网络调度不合理，防止网络广播风暴和噪声。络调度不合理，防止网络广播风暴和噪声。网络滥用网络滥用：合法用户超越权限使用：合法用户超越权限使用计算机，获取网络资源。计算机，获取网络资源。网络入侵网络入侵：非法用户非法进入系统：非法用户非法进入系统和网络，获取控制权和网络资源。和网络，获取控制权和网络资源。第一节第一节 网络安全的特殊性网络安全的特殊性网络安全网络安全 网络干扰网络干扰：出于某种目的对计：出于某种目的对计算机和网络系统运行进行干扰，干扰算机和网络系统运行进行干扰，干扰方式多种，使系统不可信、操作员和方式多种，使系统不可信、操作员和系统管理员心理压力增加、心理战。系统管理员心理压力增加、心理战。施放各种假的和期骗信息，扰乱社会、施放各种假的和期骗信息，扰乱社会、经济、金融等。经济、金融等。网络破坏网络破坏:系统攻击、删除数据、系统攻击、删除数据、毁坏系统。非法窃取、盗用、复制系毁坏系统。非法窃取、盗用、复制系统文件、数据、资料、信息，造成泄统文件、数据、资料、信息，造成泄密。密。第一节第一节 网络安全的特殊性网络安全的特殊性威胁网络安全的因素v物理威胁偷窃：包括设备偷窃、信息偷窃和服务偷窃。废物搜寻：指在被扔掉的打印材料、废弃软盘等废物中搜寻所需要的信息。身份识别错误：非法建立文件或记录，企图把它们作为正式生产的文件和记录。间谍行为：为了获取有价值的机密，采用不道德的手段来获取信息的一种行为。威胁网络安全的因素v漏洞威胁不安全服务：由于缺陷或错误使系统本身存在漏洞，这些问题可能导致一些服务程序绕过安全系统，从而对信息系统造成不可预料的损失。配置和初始化错误：服务器启动时系统要初始化，如果安全系统没有随之正确的初始化，就会留下安全漏洞而被人利用。乘虚而入：例如在FTP服务中，用户暂时停止了与某系统的通信，但由于端口仍处于激活状态，那么其他用户就可乘虚而入，利用这个端口与这个系统通信。威胁网络安全的因素v身份识别威胁口令圈套：口令圈套是网络安全的一种诡计，与冒名顶替有关。口令破解：通过某种策略对口令进行分析和猜测。编辑口令：这需要依靠操作系统漏洞。算法考虑不周：口令验证系统必须在满足一定条件下才能正常工作，这个验证过程需要通过某种算法来实现。若算法考虑不周全，验证过程和结果就不可靠。威胁网络安全的因素v恶意程序威胁病毒：病毒是一种把自己的拷贝附着于其他正常程序上的一段代码。特洛伊木马：这是一种远程控制工具，一旦被安装到某台主机上，该主机便可以被监视和控制。代码炸弹：代码炸弹是一种具有杀伤力的代码，当预设条件满足时，代码炸弹就被猝发并产生破坏性结果。威胁网络安全的因素v网络连接威胁窃听：对通信过程进行窃听可达到收集信息的目的，通过检测从连线上发射出来的电磁辐射就能得到所要的信号。冒充：通过使用别人的密码和帐号，获得对网络及其数据、程序的使用能力。拨号进入：拥有一个调制解调器和一个电话号码，每个人都可以试图通过远程拨号访问网络，这种方法可以使防火墙失去作用。网络信息安全技术v主动防御技术数据加密CA认证访问控制虚拟网络技术入侵检测技术网络信息安全技术v被动防御技术防火墙技术安全扫描密码检查器安全审计路由器过滤安全管理技术第二节网络攻击与入侵1、攻击的位置、攻击的位置一、攻击的一些基本概念（1）远程攻击：从该子网以外的地方向该子）远程攻击：从该子网以外的地方向该子网或者该子网内的系统发动攻击。网或者该子网内的系统发动攻击。（2）本地攻击：通过所在的局域网，向本单）本地攻击：通过所在的局域网，向本单位的其他系统发动攻击，在本机上进行非法位的其他系统发动攻击，在本机上进行非法越权访问也是本地攻击。越权访问也是本地攻击。（3）伪远程攻击：指内部人员为了掩盖攻击）伪远程攻击：指内部人员为了掩盖攻击者的身份，从本地获取目标的一些必要信息者的身份，从本地获取目标的一些必要信息后，攻击过程从外部远程发起，造成外部入后，攻击过程从外部远程发起，造成外部入侵的现象。侵的现象。2、攻击的层次、攻击的层次一、攻击的一些基本概念1）简单拒绝服务（如邮件炸弹攻击）简单拒绝服务（如邮件炸弹攻击）.2）本地用户获得非授权读或者写权限）本地用户获得非授权读或者写权限3）远程用户获得了非授权的帐号）远程用户获得了非授权的帐号4）远程用户获得了特权文件的读写权限）远程用户获得了特权文件的读写权限5）远程用户拥有了根（）远程用户拥有了根（root）权限）权限）3、攻击的目的、攻击的目的一、攻击的一些基本概念1）进程的执行）进程的执行2）获取文件和传输中的数据）获取文件和传输中的数据3）获得超级用户权限）获得超级用户权限4）对系统的非法访问）对系统的非法访问5）进行不许可的操作）进行不许可的操作6）拒绝服务）拒绝服务7）涂改信息）涂改信息8）暴露信息）暴露信息9）挑战）挑战10）政治意图）政治意图11）经济利益）经济利益12）破坏）破坏4、攻击的人员、攻击的人员一、攻击的一些基本概念一、攻击的一些基本概念1）黑客：为了挑战和获取访问权限）黑客：为了挑战和获取访问权限2）间谍：为了政治情报信息）间谍：为了政治情报信息3）恐怖主义者：为了政治目的而制造恐怖）恐怖主义者：为了政治目的而制造恐怖4）公司雇佣者：为了竞争经济利益）公司雇佣者：为了竞争经济利益5）职业犯罪：为了个人的经济利益）职业犯罪：为了个人的经济利益6）破坏者：为了实现破坏）破坏者：为了实现破坏1、扫描技术、扫描技术二、扫描器扫描技术是主要的一种信息收集型攻击。扫描技术是主要的一种信息收集型攻击。地址扫描：运用地址扫描：运用ping这样的程序探测目标地址这样的程序探测目标地址端口扫描：向大范围的主机连接一系列的端口扫描：向大范围的主机连接一系列的TCP端口，扫描软端口，扫描软件报告它成功的建立了连接的主机所开的端口。件报告它成功的建立了连接的主机所开的端口。反响映射：黑客向主机发送虚假消息，然后根据返回反响映射：黑客向主机发送虚假消息，然后根据返回host unreachable这一消息特征判断出哪些主机是存在的。这一消息特征判断出哪些主机是存在的。慢速扫描：由于一般扫描侦测器的实现是通过监视某个时间慢速扫描：由于一般扫描侦测器的实现是通过监视某个时间里一台特定主机发起的连接的数目（例如每秒里一台特定主机发起的连接的数目（例如每秒10次）来决定次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。描软件进行扫描。2、什么是扫描器、什么是扫描器 二、扫描器扫描器是一种自动检测远程或本地主机安全性弱扫描器是一种自动检测远程或本地主机安全性弱点的程序。点的程序。通过使用扫描器可不留痕迹的发现远程服务器的通过使用扫描器可不留痕迹的发现远程服务器的各种各种TCP端口的分配、提供的服务、使用的软件端口的分配、提供的服务、使用的软件版本！这就能间接的或直观的了解到远程主机所版本！这就能间接的或直观的了解到远程主机所存在的安全问题。存在的安全问题。网络安全扫描技术在网络安全行业中扮演的角色网络安全扫描技术在网络安全行业中扮演的角色（1）扫描软件是入侵者分析将被入侵系统的必备工具（2）扫描软件是系统管理员掌握系统安全状况的必备工具（3）扫描软件是网络安全工程师修复系统漏洞的主要工具（4）扫描软件在网络安全的家族中可以说是扮演着医生的角色 1.合法使用：检测自己服务器端口，以便给自己提供更好的服务；2.非法使用：查找服务器的端口，选取最快的攻击端口 （1）速度 （2）对系统的负面影响 （3）能够发现的漏洞数量 （4）清晰性和解决方案的可行性 （5）更新周期 （6）所需软硬件环境要求 （7）界面的直观性和易用性 （8）覆盖范围二、扫描器安全扫描工具分类安全扫描工具分类基于服务器和基于网络的扫描器。基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞，基于服务器的扫描器主要扫描服务器相关的安全漏洞，如如password文件，目录和文件权限，共享文件系统，文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。法建议。通常与相应的服务器操作系统紧密相关。基于网络的安全扫描主要扫描设定网络内的服务器、基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围能力。通常该类扫描器限制使用范围(IP地址或路由器地址或路由器跳数跳数)。v扫描器分类扫描器分类v端口扫描器端口扫描器 (如：如：NMAP，PORTSCAN)扫描目标机开放的服务端口及其有关信息扫描目标机开放的服务端口及其有关信息v漏洞扫描器漏洞扫描器(如：如：ISS、NESSUS、SATAN等等)对于重视安全的网站进行漏洞扫描，可能一无对于重视安全的网站进行漏洞扫描，可能一无所获，因为流行的漏洞早已打补丁了。因此端所获，因为流行的漏洞早已打补丁了。因此端口扫描器对黑客或许更有用。口扫描器对黑客或许更有用。3、扫描器的工作原理、扫描器的工作原理 二、扫描器扫描器通过选用远程扫描器通过选用远程TCP/IP不同的端口的服务，并不同的端口的服务，并记录目标给予的回答，通过这种方法，可以搜集到记录目标给予的回答，通过这种方法，可以搜集到很多关于目标主机的各种有用的信息很多关于目标主机的各种有用的信息 扫描器能够发现目标主机某些内在的弱点，这些弱扫描器能够发现目标主机某些内在的弱点，这些弱点可能是破坏目标主机安全性的关键性因素。但是，点可能是破坏目标主机安全性的关键性因素。但是，要做到这一点，必须了解如何识别漏洞。扫描器对要做到这一点，必须了解如何识别漏洞。扫描器对于于Internet安全性之所以重要，是因为它们能发现安全性之所以重要，是因为它们能发现网络的弱点。网络的弱点。4、扫描器的功能、扫描器的功能 二、扫描器扫描器并不是一个直接的攻击网络漏洞的程序，它仅扫描器并不是一个直接的攻击网络漏洞的程序，它仅仅能帮助我们发现目标机的某些内在的弱点。一个好仅能帮助我们发现目标机的某些内在的弱点。一个好的扫描器能对它得到的数据进行分析，帮助我们查找的扫描器能对它得到的数据进行分析，帮助我们查找目标主机的漏洞。但它不会提供进入一个系统的详细目标主机的漏洞。但它不会提供进入一个系统的详细步骤。步骤。扫描器应该有三项功能：扫描器应该有三项功能：1）发现一个主机或网络的能力；）发现一个主机或网络的能力；2）一旦发现一台主机，有发现什么服务正运行在这）一旦发现一台主机，有发现什么服务正运行在这台主机上的能力；台主机上的能力；3）通过测试这些服务，发现漏洞的能力。）通过测试这些服务，发现漏洞的能力。5、常用的端口扫描技术、常用的端口扫描技术 二、扫描器vTCP connect()扫描扫描v这是最基本的这是最基本的TCP扫描。操作系统提供的扫描。操作系统提供的connect()系统调用，用来与目标计算机的端口进行连接。如系统调用，用来与目标计算机的端口进行连接。如果端口处于侦听状态，那么果端口处于侦听状态，那么connect()就能成功。就能成功。否则，这个端口是不能用的，即没有提供服务。否则，这个端口是不能用的，即没有提供服务。v不需要任何权限。系统中的任何用户都有权利使用不需要任何权限。系统中的任何用户都有权利使用这个调用。这个调用。v另一个好处就是速度。如果对每个目标端口以线性另一个好处就是速度。如果对每个目标端口以线性的方式，使用单独的的方式，使用单独的connect()调用，那么将会花调用，那么将会花费相当长的时间，你可以通过同时打开多个套接字，费相当长的时间，你可以通过同时打开多个套接字，从而加速扫描。从而加速扫描。v这种方法的缺点是容易被发觉，并且被过滤掉。目这种方法的缺点是容易被发觉，并且被过滤掉。目标计算机的标计算机的logs文件会显示一连串的连接和连接是文件会显示一连串的连接和连接是出错的服务消息，并且能很快的使它关闭。出错的服务消息，并且能很快的使它关闭。5、常用的端口扫描技术、常用的端口扫描技术 二、扫描器TCP SYN扫描扫描“半开放半开放”扫描，这是因为扫描程序不必要打开一个扫描，这是因为扫描程序不必要打开一个完全的完全的TCP连接。扫描程序发送的是一个连接。扫描程序发送的是一个SYN数据包，数据包，好象准备打开一个实际的连接并等待反应一样（参考好象准备打开一个实际的连接并等待反应一样（参考TCP的三次握手建立一个的三次握手建立一个TCP连接的过程）。一个连接的过程）。一个SYN|ACK的返回信息表示端口处于侦听状态。一个的返回信息表示端口处于侦听状态。一个RST返回，表示端口没有处于侦听态。如果收到一个返回，表示端口没有处于侦听态。如果收到一个SYN|ACK，则扫描程序必须再发送一个，则扫描程序必须再发送一个RST信号，来信号，来关闭这个连接过程。这种扫描技术的优点在于一般不关闭这个连接过程。这种扫描技术的优点在于一般不会在目标计算机上留下记录。会在目标计算机上留下记录。5、常用的端口扫描技术、常用的端口扫描技术 一、扫描器TCP FIN 扫描扫描 按照按照RFC793标准，关闭的端口应返回标准，关闭的端口应返回RST来回复来回复FIN数据包。数据包。另一方面，打开的端口会忽略对另一方面，打开的端口会忽略对FIN数据包的回复。数据包的回复。这种方法和系统的实现有一定的关系。有的系统不这种方法和系统的实现有一定的关系。有的系统不管端口是否打开，都回复管端口是否打开，都回复RST，如，如NT.这样，这种这样，这种扫描方法就不适用了。扫描方法就不适用了。用这种方法区分用这种方法区分Unix和和NT，是十分有用的。，是十分有用的。5、常用的端口扫描技术、常用的端口扫描技术 一、扫描器UDP ICMP扫描扫描 使用使用UDP协议。协议。由于这个协议很简单，所以扫描变得相对比较困难。由于这个协议很简单，所以扫描变得相对比较困难。这是由于打开的端口对扫描探测并不发送一个确认，这是由于打开的端口对扫描探测并不发送一个确认，关闭的端口也并不需要发送一个错误数据包。关闭的端口也并不需要发送一个错误数据包。如端口关闭，应返回一个如端口关闭，应返回一个ICMP_PORT_UNREACH错误。错误。UDP和和ICMP错误都不保证能到达。错误都不保证能到达。这种扫描方法是很慢的，因为这种扫描方法是很慢的，因为RFC对对ICMP错误消息错误消息的产生速率做了规定。的产生速率做了规定。6、网络扫描的防范网络扫描的防范v关闭所有限制的和有潜在威胁的端口。v通过防火墙或其他安全系统检查各端口，如果有端口扫描症状时就立即屏蔽该端口。v利用特殊软件在一些端口上欺骗黑客，让其扫描和攻击“陷阱”端口。网络监听v网络监听也称为网络嗅探（Sniffer）。它工作在网络的底层，能够把网络传输的全部数据记录下来，黑客一般都是利用这种技术来截取用户口令。v特点：隐蔽性强手段灵活三、网络监听Sniffer原理原理vSniffer，中文可以翻译为嗅探器,也就是我们所说的数据包捕获器。v采用这种技术，我们可以监视网络的状态、数据流动情况以及网络上传输的信息等等。三、网络监听网卡的工作模式网卡的工作模式v普通方式：只有本地地址的数据包火广播才会被网卡提交给系统中心，否则这些数据包就直接被网卡抛弃。v混杂模式（promiscuous）：够接收到一切通过它的数据。三、网络监听Username:herma009Password:hiHKK234 以太网（以太网（HUB）v FTPv Loginv Mail普通用户A服务器C嗅探者B网网络络监监听听原原理理Username:herma009Password:hiHKK234 三、网络监听网络监听原理网络监听原理一个sniffer需要作的：1.把网卡置于混杂模式。2.捕获数据包。3.分析数据包三、网络监听网络监听的检测与防范网络监听的检测与防范v1简单的检测方法简单的检测方法v（1）方法一）方法一v 对于怀疑运行监听程序的机器，用正确的对于怀疑运行监听程序的机器，用正确的IP地址和错误的地址和错误的物理地址去物理地址去ping，运行监听程序的机器会有响应。这是因为，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处于监听状态的机器能正常的机器不接收错误的物理地址，处于监听状态的机器能接收。接收。v（2）方法二）方法二v 往网上发大量不存在的物理地址的包，由于监听程序将处往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，会导致性能下降。通过比较前后该机器性能理这些包，会导致性能下降。通过比较前后该机器性能（icmp echo delay等方法）加以判断。等方法）加以判断。三、网络监听v2.主动防御网络嗅探采取安全的拓扑结构：将网络分段工作进行得越细，嗅探器能够收集到的信息就越少。通信会话加密：可采用SSH把所有传输的数据加密。采用静态的ARP或IP-MAC对应表。三、网络监听1、口令攻击v弱口令带来安全隐患v可被敌手暴力破解v安全口令的设置安全口令的设置保证足够的口令长度保证足够的口令长度保证口令的复杂性保证口令的复杂性四、网络欺骗2、恶意代码v木马程序、邮件病毒、网页病毒等v木马和病毒的主要区别：木马并不像病毒那样复制自身。木马包含能够在触发时导致数据丢失甚至被窃的恶意代码。要使木马传播，必须在计算机上有效地启用这些程序。四、网络欺骗v什么是木马？特洛伊木马的名称取自于希腊神话中的特洛伊木马。在希腊神话当中，特洛伊木马表面上是“礼物”，但实际上却藏匿了大量袭击特洛伊城的希腊士兵。木马程序也一样，它是具有欺骗性的文件，即表面是良性的，但实际上是恶意的。v木马的传播途径：电子邮件：一旦用户打开了自认为安全的电子邮件附件，木马就会趁机传播。文件下载：木马很有可能包含在免费下载软件中，所以用户下载了软件后，在安装之前一定要进行安全检查。四、网络欺骗木马的特征v木马程序一般包括客户端和服务器端。客户端是指攻击者用于进行攻击的本地计算机，客户端是控制者。服务器端则是指被植入木马的远程计算机，服务器端是被控制者。v木马通常采取以下方式实施攻击：配置木马（伪装木马）传播木马运行木马信息泄露建立连接远程控制。四、网络欺骗3、Web欺骗v概念：Web欺骗是指攻击者建立一个使人相信的Web站点“拷贝”，这个Web站点“拷贝”就像真的一样，它具有原页面几乎所有的页面元素。攻击者控制了这个Web站点的“拷贝”，被攻击对象和真的Web站点之间的所有信息流动都被攻击者所控制。四、网络欺骗Web欺骗的原理v其原理是打断从被攻击者主机到目标服务器之间的正常连接，并建立一条从被攻击者主机到攻击主机再到目标服务器的连接。四、网络欺骗改写URL：即将页面上的所有URL都加上攻击者的URL。浏览者请求一个Web页面，发生了下面这些事情：v浏览者请求来自于攻击者服务器的页面v攻击者服务器请求真正的服务器的相应页面v攻击者服务器重写页面v攻击者服务器向浏览者提供一个经过改写后的页面四、网络欺骗开始攻击：为了开始攻击，攻击者必须诱惑被攻击对象连到攻击者的假的Web页上。v攻击者把一个假的Web链接到一个流行的Web页面上去v攻击者向被攻击对象发送电子邮件四、网络欺骗制造假象v伪装状态行。可通过JavaScript程序来消除状态行里的痕迹。v伪装地址行。v伪装源文件。v伪装文档信息。用户可查看页面信息，因此也需要伪装不让被攻击者发现。四、网络欺骗Web欺骗的防范v解决办法：上网浏览时，最好关掉浏览器的JavaScript，只有访问熟悉的网站是才打开它，目的是让攻击者不能隐藏攻击的迹象。不从自己不熟悉的网站上链接到其它网站，特别是链接那些需要输入个人账户名和密码的有关电子商务的网站。要养成从地址栏中直接输入网址来实现浏览网站的好习惯。四、网络欺骗4、IP地址欺骗vIP地址的盗用IP地址盗用指得是一台主机有目的地使用他人合法的IP地址，而不用自己的IP地址的行为。同一个子网内盗用可绑定IP和物理地址来防止IP盗用。四、网络欺骗vIP地址欺骗就是伪造某台主机IP地址的技术通常通过编程实现其实质是伪装成另一台机器来获得被伪装的机器的某种特权或做一些破坏性行为来达到自己的目的四、网络欺骗5、ARP欺骗vARP（Addre Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。v每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。主机 IP地址 MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 四、网络欺骗ARP欺骗v从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。四、网络欺骗第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。四、网络欺骗拒绝服务攻击(DoS)vDoS-Denial of ServicevDoS攻击的事件：2000年2月份的Yahoo、亚马逊、CNN被DoS攻击 2002年10月全世界13台DNS服务器同时受到了DDoS（分布式拒绝服务）攻击。2003年1月25日的“2003蠕虫王”病毒2004年8月，共同社报道：日本近期共有上百网站遭到黑客袭击。五、拒绝服务攻击者 目标主机目标主机SYNSYN/ACKSYN/ACK等待应答等待应答SYN：同步SYN/ACK:同步/确认(DoS):五、拒绝服务拒绝服务攻击(DoS)(控制).SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻击者目标主机目标主机SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK.等待应答等待应答SYN/ACK.五、拒绝服务v死亡之ping：利用ICMP协议上限vIP碎片攻击：泪珠（Teardrop）攻击 vSYN FloodvUDP洪水攻击vLand攻击v邮件炸弹vSmurf攻击行行色色的行行色色的DOSDOS攻击攻击五、拒绝服务1)1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。攻击者攻击者各种客户主机各种客户主机目标系统目标系统2)攻击者进入其已经发现的最弱的客户主机之内攻击者进入其已经发现的最弱的客户主机之内(“(“肉机肉机”)”)，并且秘密地，并且秘密地安置一个其可远程控制的代理程序安置一个其可远程控制的代理程序(端口监督程序端口监督程序demon)demon)。攻击准备：攻击准备：安置代理代理程序代理程序DDoS攻击时序(分布式拒绝服务)五、拒绝服务 3)3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。求送至目标系统。攻击者目标系统目标系统发起攻击：发起攻击：指令指令攻击的代理程序4)4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞而崩溃。导致它因通信淤塞而崩溃。虚假的连接请求虚假的连接请求DDoS攻击时序(分布式拒绝服务)五、拒绝服务数据驱动攻击v数据驱动攻击指的是通过向某个程序发送数据，以产生非预期结果的攻击，通常给攻击者访问目标的权限。六、数据驱动攻击v缓冲区溢出攻击v缓冲区溢出攻击的原理是向程序程序缓冲区写入超出其边界的内容，造成缓冲区的溢出，使得程序转而执行其他攻击者指定的代码，通常是为攻击者打开远程连接的ShellCode，以达到攻击目标。v近年来著名的蠕虫如Code-Red、SQL.Slammer、Blaster 和Sasser 等，都是通过缓冲区溢出攻击获得系统权限后进行传播。六、数据驱动攻击void function(char*szPara1)char buff16;strcpy(buffer,szPara1);六、数据驱动攻击v格式化字符串攻击v利用由于格式化函数的代码编写错误造成的安全漏洞，通过传递精心编制的含有格式化指令的文本字符串，以使目标程序执行任意命令。六、数据驱动攻击v输入验证攻击v针对程序未能对输入进行有效验证的安全漏洞，使得攻击者能够让程序执行制定的命令。六、数据驱动攻击v同步漏洞攻击v这种方法主要是利用程序程序在处理同步操作时的缺陷，如竞争状态、信号处理等问题，以获取更高权限的访问。六、数据驱动攻击第三节 网络安全技术1、常规安全技术v用户认证v访问控制v数据保密与完整性v管理审计2、防火墙技术v防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋，如图所示。v这里防火墙指隔离在本地网络与外界网络之间的一道防御系统。防火墙的定义v在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问，网络防火墙结构如图所示。防火墙服务器工作站台式PC打印机服务器安全区域服务器工作站台式PC打印机服务器安全区域Internet网络防火墙的功能 v根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户防止入侵者接近网络防御设施限制内部用户访问特殊站点防火墙的发展简史v第一代防火墙 第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。v第二、三代防火墙 1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙应用层防火墙（代理防火墙）的初步结构。v第四代防火墙 1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。v第五代防火墙 1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。v包过滤（Packet Filtering）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。v应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。v状态检测（Status Detection）：直接对数据包里的数据进行处理，并且结合前后数据包里的数据进行综合判断，然后决定是否允许该数据包通过。v自适应代理（Adaptive Proxy）：结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，在不损失安全性的基础上将代理防火墙的性能提高了 10 倍。包过滤防火墙（Packet filtering）v（1）数据包过滤技术的发展：静态包过滤、动态包过滤。v（2）包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。过滤规则-ACLv包过滤规则一般基于部分的或全部的包头信息：v 1IP协议类型v 2IP源地址v 3IP目标地址v 4 TCP（UDP）源端口号v 5 TCP（UDP）目标端口号v 6 TCP ACK标识，指出这个包是否是联接中的第一个包，是否是对另一个包的响应。v优点：v 保护整个网络；对用户透明；可用路由器，不需要其他设备。v缺点：v1.包过滤的一个重要的局限是它不能分辨好的和坏的用户，只能区分好的包和坏的包。v2.包过滤规则难配置。v3.新的协议的威胁。v4.IP欺骗v5.不提供授权和认证包过滤防火墙的特点默认安全策略v没有明确禁止的行为都是允许的 举例：华为的ACLv 没有明确允许的行为都是禁止的举例：思科的ACL动态包过滤v这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。v代理防火墙（应用层网关型防火墙）v应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。代理防火墙的原理 Proxy Server 代理防火墙的原理代理防火墙的工作过程代理技术的优点v1）代理易于配置。v2）代理能生成各项记录。v 3）代理能灵活、完全地控制进出流量、内容。v4）代理能过滤数据内容。v 5）代理能为用户提供透明的加密机制。v 6）代理可以方便地与其他安全手段集成。代理技术的缺点v1）代理速度较路由器慢。v 2）代理对用户不透明。v 3）对于每项服务代理可能要求不同的服务器。v4）代理服务不能保证免受所有协议弱点的限制。v 5）代理防火墙提供应用保护的协议范围是有限的 自适应代理防火墙v自适应代理技术（Adaptive proxy）是最近在商业应用防火墙中实现的一种革命性的技术。组成这种类型防火墙的基本要素有两个：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet filter）。v在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置。v自适应代理根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。智能防火墙v传统防火墙的缺陷：安全性越高，效率越低v未解决的问题：以拒绝访问为主要目的的网络攻击以蠕虫为主要代表的病毒传播以垃圾邮件文代表的内容控制v智能防火墙从技术特征上，利用统计、记忆、概率和决策的智能方法对数据进行识别，并达到访问控制的目的。v主要应用领域：防范恶意数据攻击防范黑客攻击防范MAC欺骗和IP欺骗入侵防御防范潜在风险 防火墙的局限性 v没有万能的网络安全技术，防火墙也不例外。防火墙有以下三方面的局限：v防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。v防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。v防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。3、入侵检测技术v入侵行为：主要是指对系统资源的非授权使用，它可以造成系统数据的丢失和破坏、可以造成系统拒绝为合法用户服务等危害入侵检测（IDS，Intrusion Detection System）v入侵检测是对入侵行为的发觉。v通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。外部访问入侵检测系统的类型v根据入侵检测的信息来源不同，可以将入侵检测系统分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。1、基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件：来检测入侵。2、基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。v一个实用的入侵监测系统应该具有以下特性：自治性：能够持续运行而不需要人为的干预容错性：系统崩溃后能够自动恢复抗攻击：能发现自身是否被攻击者修改可配置：能够根据系统的安全策略而改变自身的配置可扩展性：被监控的主机数目增加时，仍能快速准确地运行可靠性：如果系统中某些组件因故停止，其他组建仍能正常运行，并尽可能减少故障带来的损失。