第9章-計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)課件

第9章計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)12.1網(wǎng)絡(luò)安全基礎(chǔ)計(jì)算機(jī)網(wǎng)絡(luò)對(duì)于整個(gè)社會(huì)帶來的便利的同時(shí)也帶來了巨大的安全問題。網(wǎng)絡(luò)系統(tǒng)提供了資源的共享性，同時(shí)也增加了收來網(wǎng)絡(luò)威脅和攻擊的可能性。資源共享和信息安全是一對(duì)矛盾。網(wǎng)絡(luò)安全的概念和特征網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不會(huì)因偶然的或惡意的原因而遭到破壞、更改和泄露，網(wǎng)絡(luò)系統(tǒng)可以連續(xù)、可靠、正常地運(yùn)行，并提供相應(yīng)的網(wǎng)絡(luò)服務(wù)。一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)的特征1.網(wǎng)絡(luò)系統(tǒng)的可靠網(wǎng)絡(luò)系統(tǒng)不因各種因素的影響而中斷正常工作2.軟件和數(shù)據(jù)的完整性保護(hù)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)和傳輸?shù)能浖c數(shù)據(jù)不被非法操作，即保證數(shù)據(jù)不被插入、替換和刪除，數(shù)據(jù)分組不丟失、亂序，數(shù)據(jù)庫中的數(shù)據(jù)或系統(tǒng)中的程序不被破壞等。3.軟件和數(shù)據(jù)的可用性是指在保證軟件和數(shù)據(jù)完整的同時(shí)，還要能使其被正常利用和操作4.軟件和數(shù)據(jù)的保密性主要是利用密碼技術(shù)對(duì)軟件和數(shù)據(jù)進(jìn)行加密處理，保證在系統(tǒng)中存儲(chǔ)和網(wǎng)絡(luò)上傳輸?shù)能浖蛿?shù)據(jù)不被無關(guān)人員識(shí)別12.1.3威脅網(wǎng)絡(luò)安全的原因網(wǎng)絡(luò)的開放性以及黑客惡意的攻擊時(shí)威脅網(wǎng)絡(luò)安全的根本原因。1.網(wǎng)絡(luò)自身的安全缺陷2.網(wǎng)絡(luò)開放性3.黑客攻擊12.2網(wǎng)絡(luò)的安全威脅1.網(wǎng)絡(luò)安全威脅分類主動(dòng)攻擊中斷中斷網(wǎng)絡(luò)上用戶之間的通信篡改當(dāng)網(wǎng)絡(luò)用戶甲在向乙發(fā)送報(bào)文時(shí)，報(bào)文在轉(zhuǎn)發(fā)的過程中被丙更改偽造網(wǎng)絡(luò)用戶丙非法獲取用戶乙的權(quán)限并以乙的名義與甲進(jìn)行通信被動(dòng)攻擊截獲網(wǎng)絡(luò)用戶之間的通信信息被其他人獲取查看。惡意程序攻擊計(jì)算機(jī)病毒一種會(huì)“傳染”其他程序的程序，“傳染”是通過修改其他程序來把自身或其變種復(fù)制進(jìn)去完成的。計(jì)算機(jī)蠕蟲一種通過網(wǎng)絡(luò)的通信功能將自身從一個(gè)結(jié)點(diǎn)發(fā)送到另一個(gè)結(jié)點(diǎn)并啟動(dòng)的程序。特洛伊木馬一種執(zhí)行的功能超出其所聲稱的功能的程序邏輯炸彈一種當(dāng)運(yùn)行環(huán)境滿足某種特定條件時(shí)執(zhí)行其他特殊功能的程序2.網(wǎng)絡(luò)系統(tǒng)的脆弱性（1）操作系統(tǒng)的脆弱性（2）計(jì)算機(jī)系統(tǒng)本身的脆弱性（3）電磁泄漏（4）數(shù)據(jù)的可訪問性（5）通信系統(tǒng)和通信協(xié)議的弱點(diǎn)（6）數(shù)據(jù)庫系統(tǒng)的脆弱性（7）網(wǎng)絡(luò)存儲(chǔ)介質(zhì)的脆弱12.3網(wǎng)絡(luò)安全策略1.防護(hù)2.檢測(cè)3.響應(yīng)4.恢復(fù)12.4網(wǎng)絡(luò)安全機(jī)制與措施1.網(wǎng)絡(luò)安全機(jī)制（1）加密機(jī)制（2）數(shù)字簽名機(jī)制（3）訪問控制機(jī)制（4）數(shù)據(jù)完整機(jī)制（5）認(rèn)證交換機(jī)制（6）防業(yè)務(wù)流分析機(jī)制（7）路由控制機(jī)制（8）公證機(jī)制2.網(wǎng)絡(luò)安全措施（1）安全立法（2）安全管理（3）網(wǎng)絡(luò)實(shí)體安全保護(hù)（4）系統(tǒng)訪問控制（5）數(shù)據(jù)加密保護(hù)12.5數(shù)據(jù)加密采用密碼技術(shù)保護(hù)網(wǎng)絡(luò)中存儲(chǔ)和傳輸中的數(shù)據(jù)，是一種非常實(shí)用、經(jīng)濟(jì)、有效的方法。數(shù)據(jù)加密的目的是，確保通信雙方相互交換的數(shù)據(jù)時(shí)保密的，即使這些數(shù)據(jù)在半路上被第三方截獲，也會(huì)由于不知道密碼而無法了解該信息的真實(shí)含義。常見的數(shù)據(jù)加密算法美國的DES（DataEncryptionStandard）算法RSA非對(duì)稱公開密鑰算法瑞典開發(fā)的IDEA加密算法12.6防火墻防火墻（Firewall）是在網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，它包括硬件和軟件部分。防火墻的主要功能包括：檢查所有從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包；檢查所有從內(nèi)部網(wǎng)絡(luò)流出到外部網(wǎng)絡(luò)的數(shù)據(jù)包執(zhí)行安全策略，限制所有不符合安全策略要求的分組通過；具有防攻擊能力，保證自身的安全性防火墻的基本類型包過濾防火墻包過濾防火墻對(duì)收到的所有IP包進(jìn)行檢查，依據(jù)已經(jīng)制定的一組過濾規(guī)則來判斷該IP包的源或目的地址，以決定是否允許該包通過。符合規(guī)定的數(shù)據(jù)包被正常轉(zhuǎn)發(fā)，不能通過檢查的則被丟棄。應(yīng)用網(wǎng)關(guān)即ApplicationGateway，也就是我們通常提高的代理服務(wù)器Proxy，它適用于特定的互聯(lián)網(wǎng)應(yīng)用服務(wù)，如超文本傳輸HTTP、遠(yuǎn)程文件傳輸FTP等。代理服務(wù)器通常工作在兩個(gè)不同類型的網(wǎng)絡(luò)之間，它對(duì)于內(nèi)部網(wǎng)絡(luò)的客戶來說是一臺(tái)服務(wù)器，對(duì)于外部網(wǎng)絡(luò)客戶來說又是一臺(tái)客戶機(jī)。在線代理網(wǎng)絡(luò)上提供Proxy服務(wù)的主機(jī)提供代理訪問服務(wù)//12.7防范計(jì)算機(jī)病毒計(jì)算機(jī)病毒是指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。1.按病毒寄生方式分類（1）引導(dǎo)型病毒（2）文件型病毒（3）宏病毒（4）混合型病毒2.按連接方式分類（1）源碼計(jì)算機(jī)病毒（2）入侵型計(jì)算機(jī)病毒（3）操作系統(tǒng)型病毒（4）外殼病毒3.按感染形態(tài)分類（1）文件型病毒（2）千面人病毒（3）特洛伊木馬病毒與計(jì)算機(jī)蠕蟲（4）黑客型病毒木馬和病毒的危害木馬和病毒經(jīng)常利用系統(tǒng)漏洞進(jìn)行攻擊2003年的重大漏洞2003.3RPC漏洞

——沖擊波WormBlaster、Worm.SdBotRPC、Worm.AutoRooter（8月）等5月SendMail被發(fā)現(xiàn)存在嚴(yán)重安全漏洞6月IIS被發(fā)現(xiàn)存在4個(gè)嚴(yán)重漏洞7月針對(duì)Cisco路由設(shè)備的攻擊漏洞10月WindowsMessage服務(wù)被發(fā)現(xiàn)存在嚴(yán)重漏洞…………2004.4微軟MS04-011、012、013遠(yuǎn)程執(zhí)行代碼漏洞

——“震蕩波”及變種（I-Worm/Sasser）2004.6CiscoIOS拒絕服務(wù)漏洞蘋果Mac系統(tǒng)首發(fā)重大漏洞2004.7MicrosoftTaskScheduler和HTML幫助遠(yuǎn)程控制漏洞2004.8Oracle發(fā)現(xiàn)多個(gè)重大安全漏洞攻擊方式利用郵件附件，誘騙受害者打開構(gòu)建惡意網(wǎng)站，并誘使受害者訪問。利用系統(tǒng)漏洞如震蕩波Worm.sasser，利用微軟MS04-011公告lsass.exe緩沖區(qū)溢出漏洞。系統(tǒng)中病毒后TCP的1068端口開始搜尋可能傳播的IP地址，系統(tǒng)將開啟上百個(gè)線程去攻擊他人，如果發(fā)現(xiàn)開放了445、5554等端口，并且沒有打補(bǔ)丁的機(jī)器就會(huì)中病毒。震蕩波病毒面對(duì)漏洞我們應(yīng)該怎么做？打補(bǔ)丁。以往的統(tǒng)計(jì)數(shù)字表明，及時(shí)打補(bǔ)丁能有效防止大多數(shù)病毒爆發(fā)。攻擊名稱補(bǔ)丁發(fā)布日期攻擊開始日期我們可利用的時(shí)間Worm.sasser2004年4月13日2004年5月1日18天MSBlaster2003年7月15日2003年8月10日26天Trojan.Kaht2003年3月17日2003年5月5日49天SQLSlammer2002年7月24日2003年1月24日184天Klez-E2001年3月29日2002年1月17日294天Nimda2000年10月17日2001年9月18日336天怎樣打補(bǔ)?。啃纬啥ㄆ诟孪到y(tǒng)的習(xí)慣。Windows系統(tǒng)盡量開啟自動(dòng)定時(shí)更新，以減少網(wǎng)絡(luò)管理人員的工作量。對(duì)重要系統(tǒng)實(shí)行手動(dòng)更新，更新前做好備份和記錄工作。在需要打補(bǔ)丁的系統(tǒng)數(shù)量多的情況下，使用補(bǔ)丁管理系統(tǒng)，實(shí)現(xiàn)補(bǔ)丁的掃描、分發(fā)和安裝。

引導(dǎo)區(qū)病毒

DOS病毒

Windows病毒

宏病毒

Script病毒

Java病毒1995年以前1996-1998年1999年以後

特洛伊木馬

蠕蟲

惡作劇程序

黑客工具當(dāng)今病毒演化趨勢(shì)攻擊和威脅轉(zhuǎn)移到服務(wù)器和互連網(wǎng)網(wǎng)關(guān)，對(duì)之提出新的安全挑戰(zhàn)IDC,2002郵件/互聯(lián)網(wǎng)CodeRedNimdaGoner20012002郵件BubbleboyMelissa19992000LoveLetter1981物理介質(zhì)Apple1,2,3Brain19861994GoodTimes病毒演化趨勢(shì)病毒更新?lián)Q代向多元化發(fā)展依賴網(wǎng)絡(luò)進(jìn)行傳播攻擊方式多樣（郵件87%，網(wǎng)頁，局域網(wǎng)等）利用系統(tǒng)漏洞成為病毒有力的傳播方式病毒與黑客技術(shù)相融合偽裝的更巧妙。

“網(wǎng)絡(luò)天空”及變種（I-Worm/NetSky）甚至充當(dāng)震蕩波變種b的專殺工具。同時(shí)也還能偽裝成一些非常流行的病毒的專殺工具，它們是大名鼎鼎的：沖擊波、MYDOOM、雛鷹等網(wǎng)絡(luò)蠕蟲。病毒傳播速度越來越快病毒散布有“多快”（從最初被發(fā)現(xiàn)到大量主機(jī)被感染）1997:WM/Cap :2個(gè)月1999:WM/Melissa :1天2000:VBS/Loveletter:4小時(shí)2001:CodeRed :1小時(shí)2004:worm.witty:半小時(shí)危害越來越大占用系統(tǒng)資源，使被感染主機(jī)運(yùn)行速度變得極為緩慢甚至崩潰，正常應(yīng)用無法運(yùn)行。占用大量網(wǎng)絡(luò)帶寬，甚至使網(wǎng)絡(luò)癱瘓。對(duì)特定著名服務(wù)器發(fā)動(dòng)DOS攻擊。如微軟、yahoo、google等。反復(fù)重啟系統(tǒng)，如沖擊波、震蕩波等攻擊防病毒軟件。放置木馬、后門，偷取商業(yè)信息及個(gè)人、企業(yè)用戶的隱私。其他熊貓燒香病毒

Ｗｏｒｍ．Ｎｉｍａｙａ“熊貓燒香”病毒是一個(gè)能在ＷＩＮ９Ｘ／ＮＴ／２０００／ＸＰ／２００３系統(tǒng)上運(yùn)行的蠕蟲病毒。這一病毒采用“熊貓燒香”頭像作為圖標(biāo)，誘使計(jì)算機(jī)用戶運(yùn)行。它的變種會(huì)感染計(jì)算機(jī)上的ＥＸＥ可執(zhí)行文件，被病毒感染的文件圖標(biāo)均變?yōu)椤靶茇垷恪?。同時(shí)，受感染的計(jì)算機(jī)還會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。該病毒會(huì)在中毒電腦中所有的網(wǎng)頁文件尾部添加病毒代碼。一些網(wǎng)站編輯人員的電腦如果被該病毒感染，上傳網(wǎng)頁到網(wǎng)站后，就會(huì)導(dǎo)致用戶瀏覽這些網(wǎng)站時(shí)也被病毒感染。熊貓燒香病毒有安裝防毒軟件的用戶機(jī)

RouterFirewallInternet/HTTP中毒的網(wǎng)站主機(jī)網(wǎng)頁夾帶HTTP病毒指令用戶機(jī)雖已經(jīng)安裝防病毒軟件,但病毒(HTTP指令格式)經(jīng)由網(wǎng)頁瀏覽,透過IE的安全性漏洞,直接感染用戶機(jī)有安裝防毒軟件的用戶機(jī)

RouterFirewallInternet/HTTP中毒的網(wǎng)站主機(jī)網(wǎng)頁夾帶HTTP病毒指令用戶機(jī)雖已經(jīng)安裝防病毒軟件,但病毒(HTTP指令格式)經(jīng)由網(wǎng)頁瀏覽,透過IE的安全性漏洞,直接感染用戶機(jī)防范網(wǎng)絡(luò)病毒客戶端、PC安裝反病毒防火墻去掉服務(wù)器中不必要的共享和服務(wù)養(yǎng)成不打開來歷不明的郵件的習(xí)慣。尤其不要打開附件。選擇最快的升級(jí)途徑，包括對(duì)操作系統(tǒng)和反病毒軟件的升級(jí)。最危險(xiǎn)的敵人－－木馬木馬，其實(shí)質(zhì)只是一個(gè)非法的、未經(jīng)許可安裝和運(yùn)行的網(wǎng)絡(luò)客戶端/服務(wù)器程序。有明確的竊取敏感信息和惡意控制主機(jī)的意圖，如竊取銀行帳戶密碼。非常隱蔽，非專業(yè)人員很難發(fā)現(xiàn)其蹤跡。難以清除。對(duì)受害者造成的損失巨大木馬具有捕獲每一個(gè)用戶屏幕、每一次鍵擊事件的能力。完全的控制宿主主機(jī)?？梢源蜷_攝像頭、麥克風(fēng)，并將得到的圖像、聲音傳給木馬控制者（2004.6發(fā)現(xiàn)的蜜蜂大盜）。帶有包嗅探器，它能夠捕獲和分析流經(jīng)網(wǎng)卡的每一個(gè)數(shù)據(jù)包隨意操控PC本身資源的能力，而且還能夠冒充PC合法用戶，例如冒充合法用戶發(fā)送郵件、修改文檔，甚至進(jìn)行銀行轉(zhuǎn)帳操作。BackOrifice木馬的植入利用系統(tǒng)漏洞，遠(yuǎn)程下載并執(zhí)行木馬安裝程序。捆綁在下載的其他軟件中，用戶安裝該軟件的同時(shí)安裝木馬。偽裝為其他軟件（如破解工具、漂亮的屏保等）。利用IE漏洞可以通過Script、ActiveX及Asp、PHP、Cgi等交互腳本的方式植入。社會(huì)工程（如謊稱是朋友寄給你的賀卡）。木馬的啟動(dòng)方式自動(dòng)啟動(dòng)（注冊(cè)表、win.ini、system.ini等）捆綁到其他的程序上（如：phAse1.0版本和NetBus1.53）Dll的形式注入到系統(tǒng)服務(wù)中，隨服務(wù)的啟動(dòng)而啟動(dòng)反彈技術(shù)：由木馬服務(wù)端主動(dòng)連接客戶端，因此在互聯(lián)網(wǎng)上可以訪問到局域網(wǎng)里通過NAT代理(透明代理)上網(wǎng)的電腦，并且可以穿過防火墻。一個(gè)木馬同時(shí)運(yùn)行多個(gè)線程。例如：三個(gè)線程，其中一個(gè)為主線程，負(fù)責(zé)遠(yuǎn)程控制的工作。另外兩個(gè)為輔助線程，其中一個(gè)輔助線程稱為監(jiān)視線程，它負(fù)責(zé)檢查木馬程序是否被刪除和是否被停止自啟動(dòng)。我中了木馬了嗎？留意系統(tǒng)一些可疑狀況，如系統(tǒng)速度突然變慢、CPU利用率上升、沒有進(jìn)行任何網(wǎng)絡(luò)相關(guān)操作時(shí)、網(wǎng)絡(luò)連接顯示在接收和發(fā)送數(shù)據(jù)、硬盤頻繁讀盤等。使用工具（如netstat－a、TcpView等）查看是否有可疑的連接查看c：\、c：\windows、c：\windows\system、c：\windows\system32等位置有沒有可疑文件查看注冊(cè)表特定位置有沒有可疑的信息Netstat-a發(fā)現(xiàn)木馬后立即斷開網(wǎng)絡(luò)連接所有的賬號(hào)和密碼都要馬上更改，例如網(wǎng)上銀行，撥號(hào)連接，ICQ，F(xiàn)TP，你的個(gè)人站點(diǎn)，免費(fèi)郵箱等等，凡是需要密碼的地方，你都要把密碼盡快改過來。根據(jù)發(fā)現(xiàn)的線索確定木馬的名稱版本，在備份好重要數(shù)據(jù)之后，用專殺工具或手動(dòng)清除木馬。手工清除停止木馬進(jìn)程，無法停止的話需要進(jìn)入純Dos模式。清除自啟動(dòng)的途徑，包括注冊(cè)表、autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys等刪除木馬體，如冰河的kernel32.exe、sysexplr.exe清除文件關(guān)聯(lián)啟動(dòng)任務(wù)管理器查看可疑程序VPN技術(shù)VPN的英文全稱是“Virtual

Private

Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。虛擬專用網(wǎng)（VPN）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。常見VPN：PPTP和L2TP；SSL

VPN；PPTP和L2TP

PPTP協(xié)議是微軟公司提出來的，PPTP已被嵌入到NT4操作系統(tǒng)中，并被用于Microsoft的路由和遠(yuǎn)程訪問服務(wù),它是數(shù)據(jù)鏈路層上的協(xié)議。

L2TP協(xié)議是PPTP協(xié)議和Cisco公司的L2F組合而成，可用于基于Internet的遠(yuǎn)程撥號(hào)方式訪問。它有能力為使用PPP協(xié)議的客戶端建立撥號(hào)方式的VPN連接。

PPTP/L2TP并不能解決形成大的內(nèi)部私網(wǎng)的問題，同時(shí)由于其用戶數(shù)受限。

SSL

VPN

安全套接字層(Secure

Socket

Layer,SSL)屬于高層安全機(jī)制，廣泛應(yīng)用于Web瀏覽程序和Web服務(wù)器程序。在SSL中，身份認(rèn)證是基于證書的。Windows2003系統(tǒng)中配置VPN服務(wù)器是Windows2003系統(tǒng)，2003中VPN服務(wù)叫做“路由和遠(yuǎn)程訪問”，系統(tǒng)默認(rèn)就安裝了這個(gè)服務(wù)，但是沒有啟用。在管理工具中打開“路由和遠(yuǎn)程訪問”在列