7网络安全技术.

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,第七章 网络安全技术,网络入侵和安全防范实际上就是指网络攻防技术。攻击技术包括目标网络信息收集技术，目标网络权限提升技术，目标网络渗透技术，目标网络摧毁技术四大类。我们面对越来越多的新技术的攻击。,网络安全防护技术具体来说包括攻击检测，攻击防范，攻击后的恢复这三个大方向，每一个方向上有代表性的产品：入侵检测系统负责进展攻击检测，防火墙和强制访问掌握系统负责攻击防范，攻击后的恢复则由自动恢复系统来解决。这三大方向就说明白在网络安全防护上的多层安全防护措施。,本课学问点,网络存在的威逼、网络安全技术分类、黑客的历史与现状。,网络攻击的分类及一般步骤用,扫描、监听与嗅探。,口令破解及如何设置安全的口令。,如何实现隐蔽以及几种常见的入侵攻击方法,后门和特洛伊木马,第1小节 网络安全概述,随着网络的普及，安全日益成为影响网络效能的重要问题。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。,网络存在的威逼,网络安全技术介绍,网络存在的威逼,一般认为，目前网络存在的威逼主要表现如下几点,非授权访问，指没有预先经过同意，就使用网络或计算机资源 。,信息泄漏或丧失，指敏感数据在有意或无意中被泄漏出去或丧失,破坏数据完整性，指以非法手段窃得对数据的使用权,拒绝效劳攻击，指它不断对网络效劳系统进展干扰,利用网络传播病毒，指通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。,网络安全技术简介,入侵检测技术,目的是供给实时的入侵检测及实行相应的防护手段,防火墙FireWall技术,防火墙FireWall是用一个或一组网络设备计算机系统或路由器等，在两个或多个网络间加强访问掌握，以爱护一个网络不受来自另一个网络攻击的安全技术,网络加密和认证技术,网络防病毒技术 。,网络备份技术,第2小节 黑客,黑客与入侵者,什么是黑客呢？黑客一词，源于英文Hacker，原指热心于计算机技术，水平超群的电脑专家，尤其是程序设计人员。,入侵者Cracker，有人翻译成“骇客”是那些利用网络漏洞破坏系统的人，他们往往会通过计算机系统漏洞来入侵。,黑客的历史与现状,黑客动向有以下几个特点：,组织越来越扩大化 行动越来越公开化,案件越来越频繁化 状况越来越简单化,第3小节 网络攻击,在最高层次，攻击可被分为如下两类 ：,主动攻击,主动攻击包含攻击者访问他所需信息的有意行为,被动攻击,被动攻击主要是收集信息而不是进展访问，数据的合法用户对这种活动一点也不会觉察。,攻击的步骤 ：,隐蔽 探测 找出被信任的主机,查找目标网中的漏洞攻击,第4小节,扫描,探测、收集目标信息的方法主要有扫描、监听和嗅探。扫描是一种主动猎取信息的方法，而监听、嗅探是被动的探测方法。,扫描按内容可分为 :,端口扫描 系统扫描 漏洞扫描,扫描的范围可分为,单机扫描 网段扫描,端口扫描,“端口扫描”通常指用同一信息对目标计算机的全部所需扫描的端口进展发送，然后依据返回的端口状态来分析目标计算机的端口是否翻开、是否可用。,端口扫描器在扫描过程中主要具有以下三个方面的力量。,1觉察一个计算机或网络的力量。,2一旦觉察一台计算机，就有觉察目标计算机正在运行什么效劳的力量。,3通过测试目标计算机上的这些效劳，觉察存在的漏洞的力量。,利用原始套接字编程进展扫描可以制定特定的数据格式实现更为隐蔽的扫描如 :,TCP SYN扫描 TCP FIN扫描 IP段扫描 ICMP扫描,ICMP,扫描,ICMPInternet Control Message Protocol，Internet掌握信息协议为IP堆栈发送简洁的信息，其中也包括错误信息。,1Ping操作是最常用的ICMP应用。,2ICMP的时间戳Timestamp，类型13会产生一个时间戳应答TimestampReply，类型14，但是只有在UNIX系统中才消失这种状况，微软的IP堆栈中没有此项功能。,3ICMP地址掩码恳求AddressMaskRequest，类型16只会被路由器通过地址掩码应AddressMaskReply，类型17来答复。,4重定向报文Redirect，类型5用于调整路由表。,5超时报文Time Exceeded，类型11通常用于错误处理，也可以用于定位网络。,系统扫描,漏洞扫描,通过端口扫描，初步确定了系统供给的效劳和存在的后门。但这种确定是选取默认值，即认定某一端口供给某种效劳，例如80端口便认定为供给HTTP效劳，这种认定是不准确的。另外为要了解目标的漏洞和进一步的探测，则需对目标的操作系统、供给各项效劳所使用的软件、用户、系统配置信息等进展扫描，这就是系统扫描。,漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器，系统治理员能够觉察所维护效劳器的各种TCP端口的安排、供给的效劳、Web效劳软件版本和这些效劳及软件呈现在Internet上的安全漏洞。,扫描器实例,在国外比较常用的有Nmap、Cerberus Internet Scanner简称CIS以及SATAN；,国内的有安全焦点的X-Scanner与小榕的流光。,Nmap,安装Nmap,常用扫描类型常用扫描类型,下面是Nmap支持的四种最根本的扫描方式。,1TCP connect端口扫描-sT参数。,2TCP同步SYN端口扫描-sS参数。,3UDP端口扫描-sU参数。,4Ping扫描-sP参数,X-Scanner,扫描设置,扫描过程及结果,X-Scanner会将扫描结果保存在/log/名目中，index_*.htm为扫描结果索引文件,并对于一些漏洞，X-Scanner给出了相应的漏洞描述，利用程序及解决方案。,X-Scanner扫描的内容是绝大多数的效劳器简洁消失的漏洞和安全设置问题。最常用的还是其中的SQL默认账户、FTP弱口令和共享扫描，他们能提醒出很多麻痹大意的网管简洁犯的一些低级错误。,第5小节,监听与嗅探,监听与嗅探是用于捕获流过嗅探器位置的网络数据包，并对其进展分析。,由于流过的数据量特别大，因而必需有针对性的对数据过滤和分析，按分析的数据划分可分为本机监听、网段监听和密文嗅探。,通过网络监听、嗅探可了解网络中通信状况，截获传输的信息，提取与口令相关的数据。监听、嗅探的实施受网络物理构造的限制，它们是将网卡设置为混杂promiscuous模式，即对流经网卡的全部数据全部接收。,本机监听,网段监听,本机监听多用于安全防范，查看是否有非法连接和后门程序的存在。,进展网段监听可以觉察哪些主机之间正在进展频繁、大量的数据传输，以此来推想网段中主机之间的相互信任关系。通过监听得悉网络通信状况，分析网络中的数据流量，确定网络中通信、掌握中枢。,嗅探器及其防范,嗅探器可以捕获网络上全部的报文，但实际上嗅探必需对报文进展选择，可以依据以下几点:,地址 协议 关键字 报文大小,通常防范嗅探器主要有以下几种方法:,安全的拓扑构造,用静态的ARP或者IPMAC对应表代替动态的ARP或者IPMAC对应表,会话加密,第6小节,口,令,安,全,口令破解,口令破解中最快的是利用系统漏洞进展破解，其次利用字典破解，最慢的是利用加密算法的逆运算进展破解。,设置安全的口令,选择有效的口令可从以下几个方面入手 :,千万不要使用你的用户名或真名做口令。,不要认为口令只能是数字，或只能是字母，口令可以使用：262大小写字母+10数字+33标点符号=95个字符。,不要使用对称性密码，如 !dfd! 。,第6小节,口,令,安,全,4. 口令越长，“暴力搜寻”需要的时间就越长。,5.不要使用你的配偶、孩子、宠物、朋友或所在地的名字，以及生日、证件号码、 号码等有关你的任何信息做口令。,6.不要使用任何语言的单词或单词的变形作口令。,7.千万不要将口令告知他人，无论他是谁或声称是谁。,8.在不同的登录中不要使用同一个口令。,9.永久不要对你的口令过于自信，要定期更换口令。,10.假设登录过程中消失了令人意外的现象，要考虑到是否有“特洛伊木马”伪装的登录屏正在套取你的口令或用户名？,去除记录,日志文件具体记录了系统中任何人所做的任何事情。很多治理员没有将记录日志文件的功能选项翻开，而且即使翻开了，也没有对它进展定期阅读。,除了系统自带的安全审计外，网络治理人员还可能安装了第三方监测程序，对于查找这些程序产生的记录可以通过以下方法:,1检查已经安装的安全程序。,2检查SYSLOG配置和记录。,3搜寻全部在登录后有变化的文件。,4查找全部翻开的文件、程序。,第7小节,隐藏, 通过跳板、代理实现隐蔽,假设获得了用户登录口令，则可进一步登录到系统中；假设没能获得口令，则实行其他的方法如测试系统可能存在的漏洞，如利用监听、嗅探捕获密文，暴力攻击等方法，但在进展这些行动之前最好先完成必要的防范措施。,首先监听自身网络安全性，假设觉察被追踪迹象则马上暂停或离线，接着查找防止被跟踪即到达隐蔽目的的方法和途径。,实现隐蔽则要使对方不产生记录或记录错误；假设掌握权限较高或利用漏洞可去除记录，还可搜寻可用于作为中转跳板的主机。,第8小节,入 侵 攻 击,拒绝效劳攻击,缓冲区溢出攻击,哄骗攻击,拒绝效劳攻击,通常拒绝效劳攻击可分为以下两种类型,第一种是使一个系统或网络瘫痪,其次种攻击是向系统或网络发送大量信息，使系统或网络不能响应,拒绝效劳攻击类型 :,Ping of Death TearDrop Land Smurf,SYN flood Win Nuke RPC Locator,分布式拒绝效劳攻击,一个比较完善的DDoS攻击体系分成以下四大局部。,攻击者所在机 掌握机用来掌握傀儡机,傀儡机 受害者,缓冲区溢出攻击,其中最著名的例子是：1988年，Internet蠕虫程序在finger中利用缓冲区溢出感染了Internet中的数千台机器。,目前主要有以下四种根本的方法爱护缓冲区免受缓冲区溢出的攻击和影响,非执行的缓冲区,编写正确的代码,数组边界检查,程序指针完整性检查,哄骗攻击,ARP数据包哄骗,DNS哄骗,WEB哄骗,根本的网站哄骗,man-in-the-middle攻击,URL重写,电子邮件哄骗,相像的电子邮件地址,修改邮件客户身份,登录SMTP效劳器,第9小节,后门和特洛伊木马,什么是后门和木马,几个常见的木马,怎样检测与去除木马,什么是后门和木马,简洁地说，后门backdoor就是攻击者再次进入网络或者是系统而不被觉察的隐蔽通道。,特洛伊木马是一个包含在一个合法程序中的非法的程序。该非法程序被用户在不知情的状况下执行。其名称源于古希腊的特洛伊木马神话。,一般的木马都有客户端和效劳器端两个执行程序，其中客户端是用于攻击者远程掌握植入木马的机器，效劳器端程序即是木马程序。,攻击OICQ密码的GOP木马,几个常见的木马,BO2023,BO的全称是BackOrifice文雅一点的中文译名应当叫后门。它是一个可以搜集信息、 执行系统命令、重设置机器、重定向网络的客户机效劳器应用程序。,冰河,冰河是一个免费软件，主要用于远程监控。,Net spy,Netspy是国内高手编写的一个Windows 9598下运行的客户机/效劳器模式的远程掌握软件，它由客户程序和效劳器程序两局部组成,Happy99,Happy99是一个在Internet上传播的蠕虫程序，主要以邮件的形式传递。,怎样检测与去除木马,1木马程序的检测鼠标操作,首先，查看system.ini、win.ini、启动组中的启开工程。,其次，查看注册表。,2去除木马,本,章,总结.,习题,:,1.网络面临的威逼有哪些？,2.简述主要的网络安全技术。,3.有哪些网络攻击类型？简述黑客攻击一般步骤？,4.简述扫描的目的及分类？说出它们的典型例如？,5.什么是监听与嗅探？如何进展防范？,6.口令破解的手段有哪些？如何设置安全的口令？,7.如何实现跳板攻击？,8.简述常见的入侵攻击方法及其原理。,9.简述特洛伊木马的攻击原理及防范措施。,10上机练习：娴熟使用“X-Scanner”安全漏洞扫描工具,娴熟使用“NetXRay”,练习手工检测及去除木马。,