06第六章網(wǎng)絡(luò)安全防護技術(shù)

1、第六章第六章 網(wǎng)絡(luò)安全防護技術(shù)網(wǎng)絡(luò)安全防護技術(shù) ? 6.1 網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)安全基礎(chǔ) 網(wǎng)絡(luò)安全問題自有網(wǎng)絡(luò)那天起就存在了，只是當(dāng)時人們并沒有網(wǎng)絡(luò)安全問題自有網(wǎng)絡(luò)那天起就存在了，只是當(dāng)時人們并沒有充分重視，隨著計算機網(wǎng)絡(luò)的發(fā)展壯大，人們對它的依賴程度也越充分重視，隨著計算機網(wǎng)絡(luò)的發(fā)展壯大，人們對它的依賴程度也越來越大，網(wǎng)絡(luò)安全問題變得日益明顯。開放互聯(lián)網(wǎng)絡(luò)具有國際統(tǒng)一來越大，網(wǎng)絡(luò)安全問題變得日益明顯。開放互聯(lián)網(wǎng)絡(luò)具有國際統(tǒng)一的標(biāo)準(zhǔn)和訪問方法，容易互連、互通與互操作，而且為使善良的人的標(biāo)準(zhǔn)和訪問方法，容易互連、互通與互操作，而且為使善良的人們能夠充分的利用網(wǎng)上的資源，網(wǎng)絡(luò)被設(shè)計成非常容易進入。這就

2、們能夠充分的利用網(wǎng)上的資源，網(wǎng)絡(luò)被設(shè)計成非常容易進入。這就造成了開放性網(wǎng)絡(luò)系統(tǒng)節(jié)點分散、難于管理。造成了開放性網(wǎng)絡(luò)系統(tǒng)節(jié)點分散、難于管理。 對網(wǎng)絡(luò)的侵害手段多種多樣，主要表現(xiàn)在：非授權(quán)訪問、冒充對網(wǎng)絡(luò)的侵害手段多種多樣，主要表現(xiàn)在：非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行，利用網(wǎng)絡(luò)傳播病合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行，利用網(wǎng)絡(luò)傳播病毒、線路竊聽等。毒、線路竊聽等。 隨著經(jīng)濟信息化的迅速發(fā)展，計算機網(wǎng)絡(luò)對安全要求越來越高，隨著經(jīng)濟信息化的迅速發(fā)展，計算機網(wǎng)絡(luò)對安全要求越來越高，尤其自尤其自InternetIntranet應(yīng)用發(fā)展以來，網(wǎng)絡(luò)的安全已經(jīng)涉及到應(yīng)用發(fā)展以來

3、，網(wǎng)絡(luò)的安全已經(jīng)涉及到國家主權(quán)等許多重大問題。隨著國家主權(quán)等許多重大問題。隨著“黑客黑客”工具技術(shù)的日益發(fā)展，使工具技術(shù)的日益發(fā)展，使用這些工具所需具備的各種技巧和知識在不斷減少，從而造成的全用這些工具所需具備的各種技巧和知識在不斷減少，從而造成的全球范圍內(nèi)球范圍內(nèi)“黑客黑客”行為的泛濫，導(dǎo)致了一個全新戰(zhàn)爭形式的出現(xiàn)，行為的泛濫，導(dǎo)致了一個全新戰(zhàn)爭形式的出現(xiàn)，即網(wǎng)絡(luò)安全技術(shù)的大戰(zhàn)即網(wǎng)絡(luò)安全技術(shù)的大戰(zhàn)。 6.1 網(wǎng)絡(luò)安全基礎(chǔ) ? 6.1.1 網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全定義 ?網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡

4、意的原因而遭到破壞、更改、泄露，系護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。 ?與其他概念不同的是，網(wǎng)絡(luò)安全的具體定義和側(cè)重點會隨著觀與其他概念不同的是，網(wǎng)絡(luò)安全的具體定義和側(cè)重點會隨著觀察者的角度而不斷變化察者的角度而不斷變化 ?從用戶從用戶(個人用戶或者企業(yè)用戶個人用戶或者企業(yè)用戶 )的角度來說，他們最為關(guān)心的的角度來說，他們最為關(guān)心的網(wǎng)絡(luò)安全問題是如何保證他們的涉及個人隱私或商業(yè)利益的數(shù)網(wǎng)絡(luò)安全問題是如何保證他們的涉及個人隱私或商業(yè)利益的數(shù)據(jù)在傳輸過程中受到保密性、完整性和真實性的保護。據(jù)在傳輸過程中

5、受到保密性、完整性和真實性的保護。 ?從網(wǎng)絡(luò)運行和管理者角度來說，他們最為關(guān)心的網(wǎng)絡(luò)安全問題從網(wǎng)絡(luò)運行和管理者角度來說，他們最為關(guān)心的網(wǎng)絡(luò)安全問題是如何保護和控制其他人對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作。是如何保護和控制其他人對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作。?從社會教育和意識形態(tài)角度來說，人們最為關(guān)心的網(wǎng)絡(luò)安全問從社會教育和意識形態(tài)角度來說，人們最為關(guān)心的網(wǎng)絡(luò)安全問題是如何杜絕和控制網(wǎng)絡(luò)上不健康的內(nèi)容。有害的黃色內(nèi)容會題是如何杜絕和控制網(wǎng)絡(luò)上不健康的內(nèi)容。有害的黃色內(nèi)容會對社會的穩(wěn)定和人類的發(fā)展造成不良影響。對社會的穩(wěn)定和人類的發(fā)展造成不良影響。 6.1 網(wǎng)絡(luò)安全基礎(chǔ) ? 6.1.1 網(wǎng)絡(luò)安全

6、定義網(wǎng)絡(luò)安全定義 網(wǎng)絡(luò)信息安全與保密還會因為不同的應(yīng)用環(huán)境得網(wǎng)絡(luò)信息安全與保密還會因為不同的應(yīng)用環(huán)境得到不同的解釋到不同的解釋 ?運行系統(tǒng)安全，即保證網(wǎng)絡(luò)信息處理和傳輸系統(tǒng)的安全。 ?網(wǎng)絡(luò)系統(tǒng)信息的安全。比如：用戶口令鑒別、用戶存取權(quán)限控制、數(shù)據(jù)存取權(quán)限和方式控制、安全審計、安全跟蹤、計算機病毒防治、數(shù)據(jù)加密等。 ?網(wǎng)絡(luò)信息傳播的安全，即網(wǎng)絡(luò)信息傳播后果的安全。 ?網(wǎng)絡(luò)信息內(nèi)容的安全。 6.1 網(wǎng)絡(luò)安全基礎(chǔ) ? 6.1.2 網(wǎng)絡(luò)安全特征網(wǎng)絡(luò)安全特征 ?可靠性可靠性 可靠性是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成可靠性是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成規(guī)定的功能的特性?？煽?/p>

7、性是系統(tǒng)安全的最基本要求之一，是規(guī)定的功能的特性?？煽啃允窍到y(tǒng)安全的最基本要求之一，是所有網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和運行目標(biāo)。所有網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和運行目標(biāo)。 ?可用性可用性 可用性是網(wǎng)絡(luò)信息可被授權(quán)實體訪問并按需求使用的特性，即可用性是網(wǎng)絡(luò)信息可被授權(quán)實體訪問并按需求使用的特性，即網(wǎng)絡(luò)信息服務(wù)在需要時，允許授權(quán)用戶或?qū)嶓w使用的特性，或網(wǎng)絡(luò)信息服務(wù)在需要時，允許授權(quán)用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡(luò)部分受損或需要降級使用時，仍能為授權(quán)用戶提供有者是網(wǎng)絡(luò)部分受損或需要降級使用時，仍能為授權(quán)用戶提供有效服務(wù)的特性。效服務(wù)的特性。 ? 保密性保密性 保密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實體或過程，或保

8、密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性。即，防止信息泄漏給非授權(quán)個人或?qū)嶓w，信供其利用的特性。即，防止信息泄漏給非授權(quán)個人或?qū)嶓w，信息只為授權(quán)用戶使用的特性。息只為授權(quán)用戶使用的特性。 6.1 網(wǎng)絡(luò)安全基礎(chǔ) ?完整性完整性 完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進行改變的特性，即網(wǎng)絡(luò)信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。 保障網(wǎng)絡(luò)信息完整性的主要方法有： ?協(xié)議：通過各種安全協(xié)議可以有效地檢測出被復(fù)制的信息、被刪除的 字段、失效的字段和被修改的字段； ?糾錯編碼方法：由此完成糾錯和糾錯功能。最簡單和常用的糾錯編碼方法是

9、奇偶校驗法； ?密碼校驗和方法：它是抗篡改和傳輸失敗的重要手段； ?數(shù)字簽名：保障信息的真實性； ?公證：請求網(wǎng)絡(luò)管理或中介機構(gòu)證明信息的真實性。 ?不可抵賴性不可抵賴性 不可抵賴性也稱作不可否認性。在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中，確信參與者的真實同一性，即，所有參與者都不可能否認或抵賴曾經(jīng)完成的操作和承諾。 ?可控性可控性 可控性是對網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性。 6.1 網(wǎng)絡(luò)安全基礎(chǔ) ? 6.1.3 網(wǎng)絡(luò)安全模型網(wǎng)絡(luò)安全模型 ? 物理安全物理安全 ?自然災(zāi)害(地震、火災(zāi)、洪水等)、物理損壞(硬盤損壞、設(shè)備使用壽命到期、外力破損等 )、設(shè)備故障(停電斷電、電磁干擾等) ?電磁輻射(

10、如偵聽微機操作過程)，乘機而入(如合法用戶進入安全進程后半途離開)，痕跡泄露(如口令密鑰等保管不善，被非法用戶獲得)等 ?操作失誤(偶然刪除文件、格式化硬盤、線路拆除等 )，意外疏漏(系統(tǒng)掉電、“死機”等系統(tǒng)崩潰)。 ? 安全控制安全控制 ?操作系統(tǒng)的安全控制 ?網(wǎng)絡(luò)接口模塊的安全控制 ?網(wǎng)絡(luò)互連設(shè)備的安全控制 6.1 網(wǎng)絡(luò)安全基礎(chǔ) ? 安全服務(wù)安全服務(wù) ?安全機制是利用密碼算法對重要而敏感的數(shù)據(jù)進行處理?安全連接是在安全處理前與網(wǎng)絡(luò)通信方之間的連接過程?安全協(xié)議 ?安全策略 6.1 網(wǎng)絡(luò)安全基礎(chǔ) ? 6.1.4 網(wǎng)絡(luò)安全機制網(wǎng)絡(luò)安全機制 ? 計算機網(wǎng)絡(luò)面臨的威脅計算機網(wǎng)絡(luò)面臨的威脅 ?內(nèi)部泄

11、密和破壞 ?截收 6.1 網(wǎng)絡(luò)安全基礎(chǔ) ?冒充 冒充領(lǐng)導(dǎo)發(fā)布命令、調(diào)閱密件；冒充主機欺騙合法主機及合法用戶；冒充網(wǎng)絡(luò)控制程序套取或修改使用權(quán)限、口令、密鑰等信息，越權(quán)使用網(wǎng)絡(luò)設(shè)備和資源；接管合法用戶，欺騙系統(tǒng)，占用合法用戶的資源。 破壞系統(tǒng)的可用性 使合法用戶不能正常訪問網(wǎng)絡(luò)資源；使有嚴格時間要求的服務(wù)不能及時得到響應(yīng)；摧毀系統(tǒng)等 ? 6.1 網(wǎng)絡(luò)安全基礎(chǔ) ?非法訪問 非法用戶（通常稱為黑客）進入網(wǎng)絡(luò)或系統(tǒng)，進行違法操作；合法用戶以未授權(quán)的方式進行操作。 ?破壞信息的完整性 篡改改變信息流的次序、時序、流向，更改信息的內(nèi)容和形式；如圖如圖63所示所示： 刪除刪除某個消息或消息的某些部分； 插入

12、在消息中插入一些信息，讓接收方讀不懂或接收錯誤的信息。 6.1 網(wǎng)絡(luò)安全基礎(chǔ) ?重演 重演指的是攻擊者截收并錄制信息，然后在必要的時候重發(fā)或反復(fù)發(fā)送這些 信息。 ?抵賴 發(fā)送信息者事后否認曾經(jīng)發(fā)送過某條消息；發(fā)送信息者事后否認曾經(jīng)發(fā)送過某條消息的內(nèi)容；接收信息者事后否認曾經(jīng)收到過某條消息；接收信息者事后否認曾經(jīng)收到過某條消息的內(nèi)容。 ?其他威脅 計算機病毒 電磁泄漏 各種災(zāi)害 操作失誤 6.1 網(wǎng)絡(luò)安全基礎(chǔ) ? OSI安全體系結(jié)構(gòu)和安全體系結(jié)構(gòu)和Internet安全策略安全策略 1 2 3 4 5 6 7 OSI OSI層次安全服務(wù)層次安全服務(wù) 對等協(xié)議實體鑒別 數(shù)據(jù)源鑒別 訪問控制服務(wù) 連接

13、保密 無連接保密 選擇字段保密 分組流保密 可恢復(fù)連接完整性 無恢復(fù)連接完整性 選擇字段連接完整性 無連接完整性 選擇字段無連接完整性 數(shù)字簽名 6.1 網(wǎng)絡(luò)安全基礎(chǔ) ?從整體上看， Internet網(wǎng)絡(luò)安全策略可分為以下幾個層次： 即操作系統(tǒng)層 用戶層、應(yīng)用層 網(wǎng)絡(luò)層（路由器） 數(shù)據(jù)鏈路層 6.1 網(wǎng)絡(luò)安全基礎(chǔ) ?安全服務(wù)安全服務(wù) ?對象認證安全服務(wù)對象認證安全服務(wù) 防止主動攻擊的主要技術(shù)，認證就是識別和證實。識別是辯明一防止主動攻擊的主要技術(shù)，認證就是識別和證實。識別是辯明一個對象的身份的過程，證實是證明該對象的身份就是其聲明的身個對象的身份的過程，證實是證明該對象的身份就是其聲明的身份的

14、過程。份的過程。 ?訪問控制安全服務(wù)訪問控制安全服務(wù) 防止超權(quán)使用資源。訪問控制大體可分為自主訪問控制和強制訪防止超權(quán)使用資源。訪問控制大體可分為自主訪問控制和強制訪問控制。問控制。 ?數(shù)據(jù)機密性安全服務(wù)數(shù)據(jù)機密性安全服務(wù) 防止信息泄漏。這組安全服務(wù)又細分為：信息機密性、選擇段機防止信息泄漏。這組安全服務(wù)又細分為：信息機密性、選擇段機密性、業(yè)務(wù)流機密性。密性、業(yè)務(wù)流機密性。 ?數(shù)據(jù)完整性安全服務(wù)數(shù)據(jù)完整性安全服務(wù) 防止非法地篡改信息、文件和業(yè)務(wù)流。這組安全服務(wù)又分為：聯(lián)防止非法地篡改信息、文件和業(yè)務(wù)流。這組安全服務(wù)又分為：聯(lián)接完整性接完整性(有恢復(fù)或無恢復(fù)有恢復(fù)或無恢復(fù) )、選擇段有聯(lián)接完整性

15、、選擇段無聯(lián)、選擇段有聯(lián)接完整性、選擇段無聯(lián)接完整性。接完整性。 ?防抵賴安全服務(wù)防抵賴安全服務(wù) 證實己發(fā)生的操作。它包括對發(fā)送防抵賴、對遞交防抵賴和公證。證實己發(fā)生的操作。它包括對發(fā)送防抵賴、對遞交防抵賴和公證。 6.1 網(wǎng)絡(luò)安全基礎(chǔ) ? 安全機制安全機制 ?與安全服務(wù)有關(guān)的機制與安全服務(wù)有關(guān)的機制 加密機制加密機制 數(shù)字簽名機制數(shù)字簽名機制 訪問控制機制訪問控制機制 數(shù)據(jù)完整性機制數(shù)據(jù)完整性機制 認證交換機制認證交換機制 防業(yè)務(wù)流分析機制防業(yè)務(wù)流分析機制 路由控制機制路由控制機制 公證機制公證機制 6.1 網(wǎng)絡(luò)安全基礎(chǔ) ?與管理有關(guān)的安全機制與管理有關(guān)的安全機制 可信功能機制：擴充其它安全

16、機制的應(yīng)用范圍，既可以可信功能機制：擴充其它安全機制的應(yīng)用范圍，既可以可信地直接提供安全機制，也可以可信地提供對其它安可信地直接提供安全機制，也可以可信地提供對其它安全機制的訪問。全機制的訪問。 安全標(biāo)簽機制：標(biāo)明安全對象的敏感程度或保護級。安全標(biāo)簽機制：標(biāo)明安全對象的敏感程度或保護級。 事件探測機制：探測與安全性有關(guān)的事件。事件探測機制：探測與安全性有關(guān)的事件。 安全審核機制：獨立地對安全系統(tǒng)的記錄和活動進行檢安全審核機制：獨立地對安全系統(tǒng)的記錄和活動進行檢查，測試系統(tǒng)控制信息是否正常，確保安全政策的正常查，測試系統(tǒng)控制信息是否正常，確保安全政策的正常實施。實施。 安全恢復(fù)機制：從安全性破壞

17、的狀態(tài)中恢復(fù)到安全狀態(tài)。安全恢復(fù)機制：從安全性破壞的狀態(tài)中恢復(fù)到安全狀態(tài)。安全服務(wù)與安全機制有著密切的關(guān)系：安全服務(wù)體現(xiàn)了安全服務(wù)與安全機制有著密切的關(guān)系：安全服務(wù)體現(xiàn)了安全系統(tǒng)的功能，它是由一個或多個安全機制來實現(xiàn)的，安全系統(tǒng)的功能，它是由一個或多個安全機制來實現(xiàn)的，同樣，一個安全機制也可用于實現(xiàn)不同的安全服務(wù)中。同樣，一個安全機制也可用于實現(xiàn)不同的安全服務(wù)中。 6.1 網(wǎng)絡(luò)安全基礎(chǔ) ? 6.1.5 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) ? 防火墻防火墻(Firewall)技術(shù)技術(shù) ?分組過濾分組過濾 這是一種基于路由器的防火墻。它是在網(wǎng)間的路由器中按網(wǎng)絡(luò)安全策略設(shè)置一張訪問表或黑名單。防火

18、墻的職責(zé)就是根據(jù)訪問表 (或黑名單)對進出路由器的分組進行檢查和過濾、凡符合要求的放行，不符合的拒之門外。這種防火墻簡單易行，但不能完全有效地防范非法攻擊。 ?代理服務(wù) 是一種基于代理服務(wù)的防火墻，它的安全性高，增加了身份認證與審計跟蹤功能，但速度較慢。 6.1 網(wǎng)絡(luò)安全基礎(chǔ) ? 訪問控制技術(shù)訪問控制技術(shù) 除了計算機網(wǎng)絡(luò)硬設(shè)備之外，網(wǎng)絡(luò)操作系統(tǒng)是確保計算機網(wǎng)絡(luò)安全的最基本部件。它是計算機網(wǎng)絡(luò)資源的管理者，如果它具有安全的控制策略和保護機制，便可以將非法人侵者拒之門外。否則，非法人侵者便可攻破設(shè)防而非法獲取資源。網(wǎng)絡(luò)操作系統(tǒng)安全保密的核心是訪問控制，即確保主體對客體的訪問只能是授權(quán)的，未經(jīng)授權(quán)的

19、訪問是不允許的，而且操作是無效的。因此，授權(quán)策略和授權(quán)機制的安全性顯得特別重要。 ?物理隔離：使必須隔離的進程使用不同的物理客體。 ?時間隔離：使具有不同安全要求的進程在不同的時間運行。 ?邏輯隔離：實施存取控制，使進程不能存取允許范圍以外的客體。 ?密碼隔離：使進程以一種其它進程不能解密的方式險蔽數(shù)據(jù)以及計算。 6.1 網(wǎng)絡(luò)安全基礎(chǔ) ? 網(wǎng)絡(luò)安全協(xié)議控制網(wǎng)絡(luò)安全協(xié)議控制 ? ssl ? shttp ? 其他技術(shù)其他技術(shù) ?智能卡技術(shù)智能卡技術(shù) ?網(wǎng)絡(luò)分段網(wǎng)絡(luò)分段 6.2 網(wǎng)絡(luò)操作系統(tǒng)安全網(wǎng)絡(luò)操作系統(tǒng)安全 ? 目前服務(wù)器常用的操作系統(tǒng)有三類：目前服務(wù)器常用的操作系統(tǒng)有三類： ? Unix ?

20、Linux ? Windows NT/2000/2003 Server 。 ? UNIX系統(tǒng)系統(tǒng) ?（1）可靠性高）可靠性高 ?（2）極強的伸縮性）極強的伸縮性 ?（3）網(wǎng)絡(luò)功能強）網(wǎng)絡(luò)功能強 ?（4）強大的數(shù)據(jù)庫支持功能）強大的數(shù)據(jù)庫支持功能 ?（5）開放性好）開放性好 ? Linux系統(tǒng)系統(tǒng) 6.2 網(wǎng)絡(luò)操作系統(tǒng)安全網(wǎng)絡(luò)操作系統(tǒng)安全 ? Linux系統(tǒng)系統(tǒng) ?完全免費完全免費 ?完全兼容完全兼容POSIX 1.0標(biāo)準(zhǔn)標(biāo)準(zhǔn) ?多用戶、多任務(wù)多用戶、多任務(wù) ?良好的界面良好的界面 ?豐富的網(wǎng)絡(luò)功能豐富的網(wǎng)絡(luò)功能 ?可靠的安全、穩(wěn)定性能可靠的安全、穩(wěn)定性能 ?支持多種平臺支持多種平臺 ? Win

21、dows系統(tǒng)系統(tǒng) ?支持多種網(wǎng)絡(luò)協(xié)議支持多種網(wǎng)絡(luò)協(xié)議 ?內(nèi)置內(nèi)置Internet功能功能 ?支持支持NTFS文件系統(tǒng)文件系統(tǒng) 6.3 常見網(wǎng)絡(luò)攻擊與防范 ? 6.3.1 攻擊五部曲攻擊五部曲 ? 隱藏隱藏IP ?首先入侵互聯(lián)網(wǎng)上的一臺電腦（俗稱首先入侵互聯(lián)網(wǎng)上的一臺電腦（俗稱“肉雞肉雞”），利用這），利用這臺電腦進行攻擊，這樣即使被發(fā)現(xiàn)了，也是臺電腦進行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞肉雞”的的 IP地址。地址。 ?做多級跳板做多級跳板“Sock代理代理”，這樣在入侵的電腦上留下的是，這樣在入侵的電腦上留下的是代理計算機的代理計算機的IP地址地址。 ? 踩點掃描、踩點掃描踩點掃描、踩點掃描

22、?踩點是通過各種途徑對所要攻擊的目標(biāo)進行多方面的了解踩點是通過各種途徑對所要攻擊的目標(biāo)進行多方面的了解（包括任何可得到的蛛絲馬跡，但要確保信息的準(zhǔn)確），（包括任何可得到的蛛絲馬跡，但要確保信息的準(zhǔn)確），確定攻擊的時間和地點。確定攻擊的時間和地點。 ?掃描的目的是利用各種工具在攻擊目標(biāo)的掃描的目的是利用各種工具在攻擊目標(biāo)的IP地址或地址段地址或地址段的主機上尋找漏洞。的主機上尋找漏洞。 ?掃描分成兩種策略：被動式策略和主動式策略。掃描分成兩種策略：被動式策略和主動式策略。 6.3 常見網(wǎng)絡(luò)攻擊與防范常見網(wǎng)絡(luò)攻擊與防范 ? 獲得系統(tǒng)或管理員權(quán)限獲得系統(tǒng)或管理員權(quán)限 ?通過系統(tǒng)漏洞獲得系統(tǒng)權(quán)限通過系

23、統(tǒng)漏洞獲得系統(tǒng)權(quán)限 ? 通過管理漏洞獲得管理員權(quán)限通過管理漏洞獲得管理員權(quán)限 ? 通過軟件漏洞得到系統(tǒng)權(quán)限通過軟件漏洞得到系統(tǒng)權(quán)限 ? 通過監(jiān)聽獲得敏感信息進一步獲得相應(yīng)權(quán)限通過監(jiān)聽獲得敏感信息進一步獲得相應(yīng)權(quán)限 ? 通過弱口令獲得遠程管理員的用戶密碼通過弱口令獲得遠程管理員的用戶密碼 ? 通過窮舉法獲得遠程管理員的用戶密碼通過窮舉法獲得遠程管理員的用戶密碼 ? 通過攻破與目標(biāo)機有信任關(guān)系另一臺機器進而得到目標(biāo)通過攻破與目標(biāo)機有信任關(guān)系另一臺機器進而得到目標(biāo)機的控制權(quán)機的控制權(quán) ? 通過欺騙獲得權(quán)限以及其他有效的方法。通過欺騙獲得權(quán)限以及其他有效的方法。 6.3 常見網(wǎng)絡(luò)攻擊與防范常見網(wǎng)絡(luò)攻擊

24、與防范 ? 種植后門種植后門 ?為了保持長期對自己勝利果實的訪問權(quán)，在已經(jīng)攻破為了保持長期對自己勝利果實的訪問權(quán)，在已經(jīng)攻破的計算機上種植一些供自己訪問的后門。的計算機上種植一些供自己訪問的后門。 ? 在網(wǎng)絡(luò)中隱身在網(wǎng)絡(luò)中隱身 ?一次成功入侵之后，一般在對方的計算機上已經(jīng)存儲一次成功入侵之后，一般在對方的計算機上已經(jīng)存儲了相關(guān)的登錄日志，這樣就容易被管理員發(fā)現(xiàn)。在入了相關(guān)的登錄日志，這樣就容易被管理員發(fā)現(xiàn)。在入侵完畢后需要清除登錄日志已經(jīng)其他相關(guān)的日志。侵完畢后需要清除登錄日志已經(jīng)其他相關(guān)的日志。 6.3 常見網(wǎng)絡(luò)攻擊與防范常見網(wǎng)絡(luò)攻擊與防范 ? 6.3.2 網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)監(jiān)

25、聽 ? 網(wǎng)絡(luò)踩點網(wǎng)絡(luò)踩點 ?在域名及其注冊機構(gòu)的查詢在域名及其注冊機構(gòu)的查詢 ?公司性質(zhì)的了解公司性質(zhì)的了解 ?對主頁進行分析對主頁進行分析 ?郵件地址的搜集郵件地址的搜集 ?目標(biāo)目標(biāo)IP地址范圍查詢。地址范圍查詢。 ? 網(wǎng)絡(luò)掃描策略網(wǎng)絡(luò)掃描策略 ?被動式策略被動式策略 是基于主機之上，對系統(tǒng)中不合適的設(shè)置，脆弱的口令是基于主機之上，對系統(tǒng)中不合適的設(shè)置，脆弱的口令以及其他同安全規(guī)則抵觸的對象進行檢查。被動式掃以及其他同安全規(guī)則抵觸的對象進行檢查。被動式掃描不會對系統(tǒng)造成破壞。描不會對系統(tǒng)造成破壞。 6.3 常見網(wǎng)絡(luò)攻擊與防范常見網(wǎng)絡(luò)攻擊與防范 ?主動式策略主動式策略 活動主機探測；活動主機探

26、測； ICMP查詢；查詢； 網(wǎng)絡(luò)網(wǎng)絡(luò)PING掃描；掃描； 端口掃描；端口掃描； 標(biāo)識標(biāo)識UDP和和TCP服務(wù)；服務(wù)； 指定漏洞掃描；指定漏洞掃描； 綜合掃描。綜合掃描。 掃描方式掃描方式 ?慢速掃描慢速掃描 對非連續(xù)端口進行掃描，并且源地址不一致、時間間隔長沒對非連續(xù)端口進行掃描，并且源地址不一致、時間間隔長沒有規(guī)律的掃描。有規(guī)律的掃描。 ?亂序掃描亂序掃描 對連續(xù)的端口進行掃描，源地址一致，時間間隔短的掃描。對連續(xù)的端口進行掃描，源地址一致，時間間隔短的掃描。? ?6.3 常見網(wǎng)絡(luò)攻擊與防范常見網(wǎng)絡(luò)攻擊與防范 網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽 ?局域網(wǎng)數(shù)據(jù)交換過程局域網(wǎng)數(shù)據(jù)交換過程 在局域網(wǎng)中與其他計算機進

27、行數(shù)據(jù)交換的時候，發(fā)送的數(shù)據(jù)包在局域網(wǎng)中與其他計算機進行數(shù)據(jù)交換的時候，發(fā)送的數(shù)據(jù)包發(fā)往所有的連在一起的主機，也就是廣播，在報頭中包含目標(biāo)機發(fā)往所有的連在一起的主機，也就是廣播，在報頭中包含目標(biāo)機的正確地址。因此只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺主機才會的正確地址。因此只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺主機才會接收數(shù)據(jù)包，其他的機器都會將包丟棄。接收數(shù)據(jù)包，其他的機器都會將包丟棄。 ?監(jiān)聽工具的原理監(jiān)聽工具的原理 當(dāng)主機工作在監(jiān)聽模式下時，無論接收到的數(shù)據(jù)包中目標(biāo)地址當(dāng)主機工作在監(jiān)聽模式下時，無論接收到的數(shù)據(jù)包中目標(biāo)地址是什么，主機都將其接收下來。然后對數(shù)據(jù)包進行分析，就得到是什么，主機都將其接收

28、下來。然后對數(shù)據(jù)包進行分析，就得到了局域網(wǎng)中通信的數(shù)據(jù)。了局域網(wǎng)中通信的數(shù)據(jù)。 ?監(jiān)聽軟件監(jiān)聽軟件 嗅探經(jīng)典嗅探經(jīng)典Iris 密碼監(jiān)聽工具密碼監(jiān)聽工具Win Sniffer 密碼監(jiān)聽工具密碼監(jiān)聽工具pswmonitor和非交換環(huán)境局域網(wǎng)的和非交換環(huán)境局域網(wǎng)的fssniffer等等等等 ?防止監(jiān)聽的手段有建設(shè)交換網(wǎng)絡(luò)、使用加密技術(shù)和使用一防止監(jiān)聽的手段有建設(shè)交換網(wǎng)絡(luò)、使用加密技術(shù)和使用一次性口令技術(shù)次性口令技術(shù) 6.3 常見網(wǎng)絡(luò)攻擊與防范常見網(wǎng)絡(luò)攻擊與防范 ? 6.3.3 網(wǎng)絡(luò)入侵網(wǎng)絡(luò)入侵 ? 社會工程學(xué)攻擊社會工程學(xué)攻擊 ?打電話請求密碼打電話請求密碼 ?偽造偽造Email ? 物理攻擊與防范

29、物理攻擊與防范 ? 權(quán)限提升權(quán)限提升 ? 暴力攻擊暴力攻擊 ?字典文件字典文件 一次字典攻擊能否成功，很大因素上決定于字典文件。一個好的字典文件可以高效快速的得到系統(tǒng)的密碼。 6.3 常見網(wǎng)絡(luò)攻擊與防范常見網(wǎng)絡(luò)攻擊與防范 一個簡單的字典文件 6.3 常見網(wǎng)絡(luò)攻擊與防范常見網(wǎng)絡(luò)攻擊與防范 ?暴力破解操作系統(tǒng)密碼暴力破解操作系統(tǒng)密碼 程序首先通過掃描得到系統(tǒng)的用戶，然后利用字典中每一個密碼來登錄系統(tǒng)，看是否成功，如果成功則顯示密碼比如使用字典文件，利用工具軟件可以將管理員密碼破解出來。 ?暴力破解郵箱密碼暴力破解郵箱密碼 郵箱的密碼一般需要設(shè)置到八位以上，否則七位以下的密碼容易被破解。尤其七位全部

30、是數(shù)字，更容易被破解。 ?暴力破解軟件密碼暴力破解軟件密碼 許多軟件都具有加密的功能，比如 Office文檔、Winzip文檔和Winrar文檔等等。這些文檔密碼可以有效的防止文檔被他人使用和閱讀。 6.3 常見網(wǎng)絡(luò)攻擊與防范常見網(wǎng)絡(luò)攻擊與防范 ? SMB致命攻擊致命攻擊 SMB（Session Message Block，會話消息塊協(xié)議）又叫做NetBIOS或LanManager協(xié)議，用于不同計算機之間文件、打印機、串口和通訊的共享和用于Windows平臺上提供磁盤 ? 緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊 ?原理原理 緩沖區(qū)溢出原理很簡單，比如緩沖區(qū)溢出原理很簡單，比如 C語言程序：語言程序： v

31、oid function(char * szPara1) char buff16; strcpy(buffer, szPara1); 6.3 常見網(wǎng)絡(luò)攻擊與防范常見網(wǎng)絡(luò)攻擊與防范 ?RPC漏洞溢出漏洞溢出 遠程過程調(diào)用遠程過程調(diào)用RPC（Remote Procedure Call），是操），是操作系統(tǒng)的一種消息傳遞功能，允許應(yīng)用程序呼叫網(wǎng)絡(luò)上的作系統(tǒng)的一種消息傳遞功能，允許應(yīng)用程序呼叫網(wǎng)絡(luò)上的計算機。當(dāng)系統(tǒng)啟動的時候，自動加載計算機。當(dāng)系統(tǒng)啟動的時候，自動加載RPC服務(wù)?？梢栽诜?wù)?？梢栽诜?wù)列表中看到系統(tǒng)的服務(wù)列表中看到系統(tǒng)的RPC服務(wù)服務(wù) 6.3 常見網(wǎng)絡(luò)攻擊與防范常見網(wǎng)絡(luò)攻擊與防范 拒絕

32、服務(wù)攻擊拒絕服務(wù)攻擊 凡是造成目標(biāo)計算機拒絕提供服務(wù)的攻擊都稱凡是造成目標(biāo)計算機拒絕提供服務(wù)的攻擊都稱為為DoS（Denial of Service）攻擊，其目的是使目）攻擊，其目的是使目標(biāo)計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。標(biāo)計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。 ?帶寬攻擊是以極大的通信量沖擊網(wǎng)絡(luò)，使網(wǎng)絡(luò)所有可帶寬攻擊是以極大的通信量沖擊網(wǎng)絡(luò)，使網(wǎng)絡(luò)所有可用的帶寬都被消耗掉，最后導(dǎo)致合法用戶的請求無法用的帶寬都被消耗掉，最后導(dǎo)致合法用戶的請求無法通過。通過。 ?連通性攻擊指用大量的連接請求沖擊計算機，最終導(dǎo)連通性攻擊指用大量的連接請求沖擊計算機，最終導(dǎo)致計算機無法再處理合法用戶的請求。致計算機無法再

33、處理合法用戶的請求。 ? 6.3 常見網(wǎng)絡(luò)攻擊與防范常見網(wǎng)絡(luò)攻擊與防范 6.3.4 入侵檢測入侵檢測 ? 入侵檢測系統(tǒng)入侵檢測系統(tǒng) 入侵檢測系統(tǒng)入侵檢測系統(tǒng)IDS（Intrusion Detection System）指的是一種硬件或者軟件系統(tǒng)，該系統(tǒng)對）指的是一種硬件或者軟件系統(tǒng)，該系統(tǒng)對系統(tǒng)資源的非授權(quán)使用能夠做出及時的判斷、記錄系統(tǒng)資源的非授權(quán)使用能夠做出及時的判斷、記錄和報警。和報警。 沒有一個應(yīng)用系統(tǒng)不會發(fā)生錯誤，原因主要有四個沒有一個應(yīng)用系統(tǒng)不會發(fā)生錯誤，原因主要有四個方面。方面。 ?缺乏共享數(shù)據(jù)的機制缺乏共享數(shù)據(jù)的機制 ?缺乏集中協(xié)調(diào)的機制缺乏集中協(xié)調(diào)的機制 ?缺乏揣摩數(shù)據(jù)在一段

34、時間內(nèi)變化的能力缺乏揣摩數(shù)據(jù)在一段時間內(nèi)變化的能力 ?缺乏有效的跟蹤分析缺乏有效的跟蹤分析 ?6.3 常見網(wǎng)絡(luò)攻擊與防范常見網(wǎng)絡(luò)攻擊與防范 根據(jù)入侵檢測的信息來源不同，可以分為兩類：根據(jù)入侵檢測的信息來源不同，可以分為兩類： ?基于主機的入侵檢測系統(tǒng)：基于主機的入侵檢測系統(tǒng)： 主要用于保護運行關(guān)鍵應(yīng)用的服務(wù)器。它通過監(jiān)視主要用于保護運行關(guān)鍵應(yīng)用的服務(wù)器。它通過監(jiān)視與分析主機的審計記錄和日志文件：來檢測入侵。通與分析主機的審計記錄和日志文件：來檢測入侵。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應(yīng)的應(yīng)急響應(yīng)程序。并很快地啟動相應(yīng)的

35、應(yīng)急響應(yīng)程序。 ?基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)： 主要用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，它監(jiān)聽網(wǎng)主要用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，它監(jiān)聽網(wǎng)絡(luò)上的所有分組來采集數(shù)據(jù)，分析可疑現(xiàn)象。絡(luò)上的所有分組來采集數(shù)據(jù)，分析可疑現(xiàn)象。 6.3 常見網(wǎng)絡(luò)攻擊與防范常見網(wǎng)絡(luò)攻擊與防范 入侵檢測的方法入侵檢測的方法 入侵檢測方法有三種分類依據(jù)：入侵檢測方法有三種分類依據(jù)： ?根據(jù)物理位置進行分類。根據(jù)物理位置進行分類。 ?根據(jù)建模方法進行分類。根據(jù)建模方法進行分類。 ?根據(jù)時間分析進行分類。根據(jù)時間分析進行分類。 常用的方法有三種：常用的方法有三種： ?靜態(tài)配置分析靜態(tài)配置分析 ?異常性檢測方法異常性檢測方法 ?基于行為的檢測方法。基于行為的檢測方法。 ?6.3 常見網(wǎng)絡(luò)攻擊與防范常見網(wǎng)絡(luò)攻擊與防范 入侵檢測的步驟入侵檢測的步驟 ?信息收集信息收集 ?數(shù)據(jù)分析數(shù)據(jù)分析 根據(jù)數(shù)據(jù)分