实用软件第章 网络安全与管理工具

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2021/2/8,#,第11章 网络安全与管理工具,Huang Xu,School of Computer Science&Technology,Soochow University,1,网络安全与管理工具,防火墙,防火墙是指安装在同时具有下列特征的两个网络之间的（硬,/,软）部件的集合：,从里到外和从外到里的所有通信都必须通过防火墙。,只有本地安全策略授权的通信才允许通过。,防火墙本身是免疫的，不会被穿透。,防火墙能够对流经它的网络通信进行扫描，这样就能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。,2,网络安全与管理工具,而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。,防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。而且户可以将防火墙配置成许多不同保护级别。,所谓保护级别，就是需要给防火墙设置合适的安全策略。所谓安全策略，是决策的集合，集中体现了一个组织对安全的态度。它对于可接受的行为以及应对违规作出何种响应确定了界限，对不同的组织是有区别的。,3,网络安全与管理工具,例如，大学里一个系的安全需求不同于一个公司的产品研发部，而后者又不同于一个军事部门。,从实现方式上来分，防火墙可以分为硬件防火墙和软件防火墙两类。,通常意义上的硬防火墙为硬件防火墙，它通过硬件和软件的结合来达到隔离内、外网络的目的，价格软较贵，但效果较好，一般小型企业和个人很难实现。,软件防火墙是通过纯软件的方式来达到隔离目的，价格便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部的目的。现在软件防火墙主要有天网防火墙个人及企业版、,Norton,的个人及企业版软件防火墙等。,4,网络安全与管理工具,端口扫描,一个端口就是一个潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息。,进行扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行。在手工进行扫描时，需要熟悉各种命令，对命令执行后的输出进行分析；而许多扫描器软件都带有分析数据的功能。通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞。,5,网络安全与管理工具,扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器可以不留痕迹地发现远程服务器的各种,TCP,端口的分配、提供的服务及其他软件版本，这就能让用户间接或直观地了解到远程主机所存在的安全问题。,扫描器的基本工作原理是，选用远程,TCP/IP,不同端口的服务，并记录目标给予的回答。通过这种方法，可以搜集到很多关于目标主机的各种有用的信息。比如：是否能用匿名登录；是否有可写的,FTP,目录；是否能用,Telnet;HTTPD,是用,root,还是,nobady,在运行等。,6,网络安全与管理工具,扫描器并不是一个直接的攻击网络漏洞的程序，它仅能帮助用户发现目标机的某些内在弱点。,一个好的扫描器能对它得到的数据进行分析，帮助用户查找目标主机的漏洞，但它不会提供进入一个系统的详细步骤。它应该具有三项功能：,发现一个主机或网络的能力；,一旦发现一台主机，有发现什么服务正运行在这台主机上的能力；,通过测试这些服务，发现漏洞的能力。,因此很多网管软件都带有网络扫描、端口扫描之类的功能。,7,网络安全与管理工具,DoS,（,Denial of Service,）拒绝服务攻击,DoS,广义上可以指任何导致服务器不能正常提供服务的攻击。,人们通常比较关注远程的、通过网络进行的,DoS,攻击。,DoS,的攻击方式有很多种，最基本的,DoS,攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。,8,网络安全与管理工具,网络的不断发展，网络应用的普及，使得人们的工作生活越来越离不开它。企业内部大型的,CRM,、,ERP,、供应链、,OA,等系统，极大地提高了生产运行的效率。集体的力量是惊人的，网络一方面是信息、知识的海洋，另一方面是无数虚拟的合作团队，通过它可以找到所需要的学习、生活、娱乐的资料。,DoS,攻击直接的后果可能就是用户不能访问这些服务了，对某个,DNS,服务器或者路由器、防火墙的攻击甚至导致对整个网络的的拒绝服务。,9,网络安全,与,与管理工,具,具,具体的,DoS,攻击方法,很,很多，可,归,归为如下,几,几类：,利用软件,实,实现的缺,陷,陷进行攻,击,击,OOB,攻击（常,用,用工具,winnuke,）、,teardrop,攻击（常,用,用工具,teardrop.c,、,boink.c,、,bonk.c),、,land,攻击、,IGMP,碎片包攻,击,击、,jolt,攻击、,Cisco2600,路由器,IOSversion12.0(10),远程拒绝,服,服务攻击,等,等都是利,用,用了被攻,击,击软件实,现,现上的缺,陷,陷完成的,。,。通常这,些,些攻击工,具,具向被攻,击,击系统发,送,送特定类,型,型的一个,或,或多个报,文,文，这些,攻,攻击通常,都,都是致命,的,的，一般,都,都是一击,致,致死。,很多攻击,是,是可以伪,造,造源地址,的,的，所以,即,即使通过,IDS,或者别的,sniffer,软件记录,到,到攻击报,文,文，也不,能,能找到是,谁,谁发动的,攻,攻击，而,且,且这类攻,击,击多数是,特,特定类型,的,的几个报,文,文，如果,伪,伪造源,IP,地址的话,，,，几乎是,不,不可能追,查,查的。,10,网络安全,与,与管理工,具,具,这种攻击,行,行为威力,很,很大，而,且,且难于侦,察,察。但真,实,实情况中,，,，它的危,害,害仅限于,漏,漏洞发布,后,后不长的,时,时间段内,，,，相关厂,商,商会很快,发,发布补丁,修,修补这种,漏,漏洞。因,此,此，用户,要,要做的是,关,关注安全,漏,漏洞的发,布,布，及时,打,打上新的,补,补丁。,利用协议,的,的漏洞,如果说上,述,述漏洞危,害,害的时间,不,不是很长,，,，那么利,用,用协议漏,洞,洞进行攻,击,击的生存,能,能力却非,常,常强。为,了,了能够在,网,网络上进,行,行互通、,互,互联，所,有,有的软件,实,实现都必,须,须遵循既,有,有的协议,，,，而如果,这,这种协议,存,存在漏洞,的,的话，所,有,有遵循此,协,协议的软,件,件都会受,到,到影响。,最经典的,攻,攻击是,synflood,攻击，它,利,利用,TCP/IP,协议的漏,洞,洞完成攻,击,击。,11,网络安全,与,与管理工,具,具,通常一次,TCP,连接的建,立,立包括三,个,个步骤：,客户端发,送,送,SYN,包给服务,器,器端。,服务器分,配,配一定的,资,资源便于,连,连接并返,回,回,SYN/ACK,包，等待,连,连接建立,的,的最后的,ACK,包。,客户端发,送,送,ACK,报文，这,样,样两者之,间,间的连接,建,建立起来,，,，并可以,通,通过连接,传,传送数据,。,。,而攻击的,过,过程就是,疯,疯狂发送,SYN,报文，而,不,不返回,ACK,报文，导,致,致系统资,源,源占用过,多,多，没有,能,能力响应,别,别的操作,，,，或者不,能,能响应正,常,常的网络,请,请求。,12,网络安全,与,与管理工,具,具,这个攻击,是,是经典的,以,以小博大,的,的攻击，,自,自己使用,少,少量资源,占,占用对方,大,大量资源,。,。,一台,P4,的,Linux,系统大约,能,能发,3040M,的,64,字节的,synflood,报文，而,对,对于一台,普,普通的服,务,务器,20M,的流量就,基,基本没有,任,任何响应,了,了（包括,鼠,鼠标、键,盘,盘）。,synflood,不仅可以,远,远程进行,，,，而且可,以,以伪造源,IP,地址，给,追,追查造成,很,很大困难,，,，要查找,必,必须通过,所,所有骨干,网,网络运营,商,商，由路,由,由器一级,一,一级向上,查,查找。,由于,TCP/IP,协议相信,报,报文的源,地,地址，另,一,一种攻击,方,方式是反,射,射拒绝服,务,务攻击，,利,利用广播,地,地址、组,播,播协议来,辅,辅助反射,拒,拒绝服务,攻,攻击效果,更,更好。不,好,好大多数,路,路由器都,禁,禁止广播,地,地址和组,播,播协议的,地,地址。,13,网络安全,与,与管理工,具,具,进行资源,比,比拼,这种攻击,方,方式属于,“,“无赖打,法,法”，就,是,是凭借手,中,中的丰富,资,资源，发,送,送大量的,垃,垃圾数据,侵,侵占完用,户,户资源，,导,导致,DoS,。,比如：,ICMPflood,、,mstreamflood,、,Connection flood,都属于这,种,种攻击方,式,式。为了,获,获得比目,标,标系统更,多,多的资源,，,，通常攻,击,击者会发,动,动,DDoS,（,DistributedDos,，分布式,拒,拒绝服务,）,），攻击,者,者控制多,个,个攻击傀,儡,儡发动攻,击,击，这样,才,才能产生,预,预期的效,果,果。,前两种攻,击,击可以伪,造,造,IP,地址，追,查,查非常困,难,难；而该,种,种攻击由,于,于需要建,立,立连接，,可,可能会暴,露,露攻击傀,儡,儡的,IP,地址，通,过,过防火墙,禁,禁止这些,IP,就可以了,。,。,14,网络安全,与,与管理工,具,具,天网防火,墙,墙的基本,使,使用,系统设置,IP,规则设置,常见的日,志,志分析,查看应用,程,程序网络,使,使用情况,15,参考文献,王民,.,计算机实,用,用软件,.,苏州大学,出,出版社,.2005,网络资源,16,谢谢！,17,