計算機網(wǎng)絡安全技術 課件 第四章 網(wǎng)絡安全技術

第四章網(wǎng)絡安全技術4.1數(shù)據(jù)包分析4.1.1數(shù)據(jù)包分析概述數(shù)據(jù)包分析1.數(shù)據(jù)包分析的意義分析數(shù)據(jù)包可以使信息傳輸不再存在秘密對數(shù)據(jù)包進行深入分析，是為了更好地了解網(wǎng)絡是如何運行，數(shù)據(jù)包是如何被轉發(fā)，應用是如何被訪問當再次出現(xiàn)網(wǎng)絡故障或網(wǎng)絡應用問題時，就能夠很快地解決2.數(shù)據(jù)包分析的內(nèi)容（1）了解網(wǎng)絡的工作原理。（2）查看網(wǎng)絡使用情況及網(wǎng)絡上的通信主體。（3）確認哪些應用占用帶寬。（4）識別網(wǎng)絡中存在的攻擊或惡意行為。（5）分析網(wǎng)絡故障和延時大小。（6）查看用戶訪問應用的速度。（7）優(yōu)化和改進應用性能。3.獲取數(shù)據(jù)包（1）通過數(shù)據(jù)鏈路層獲?。?）通過網(wǎng)絡層獲取1.Wireshark的特點（1）深入檢查數(shù)百種協(xié)議，并且不斷添加更多協(xié)議（2）實時捕獲和離線分析（3）標準三窗格數(shù)據(jù)包瀏覽器（4）多平臺：在Windows、Linux、macOS、Solaris、FreeBSD、NetBSD和其他許多平臺上運行（5）可以通過GUI或通過TTY模式的TShark實用程序瀏覽捕獲的網(wǎng)絡數(shù)據(jù)（6）業(yè)界最強大的顯示過濾器（7）豐富的VoIP分析（8）讀/寫許多不同的捕獲文件格式（9）可以動態(tài)解壓縮使用Gzip壓縮的捕獲文件（10）實時數(shù)據(jù)從以太網(wǎng)、IEEE802.11、PPP/HDLC、ATM、藍牙、USB、令牌環(huán)、幀中繼、FDDI等中讀?。ㄈQ于用戶的平臺）（11）支持對許多協(xié)議的解密，包括IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP和WPA/WPA2（12）可以將著色規(guī)則應用于數(shù)據(jù)包列表，以便進行快速、直觀的分析（13）輸出可以導出為XML、PostScript、CSV或純文本4.1.2Wireshark介紹01020304網(wǎng)絡管理員可以使用它來解決網(wǎng)絡問題網(wǎng)絡安全工程師可以使用它來檢查安全問題質(zhì)量保證工程師可以使用它來驗證網(wǎng)絡應用開發(fā)人員使用它可以來調(diào)試協(xié)議05網(wǎng)絡工程師可以使用它來學習網(wǎng)絡協(xié)議2．Wireshark的使用場景3．Wireshark的安裝（1）下載Wireshark運行→安裝向導→單擊“Next”（4）安裝中選擇默認配置，即一直單擊“Next”按鈕（2）在“ChooseInstallLocation”窗口→單擊“Browse...”→選擇軟件安裝位置→單擊“Next”（5）“Completing

Wireshark4.0.864-bitSetup”窗口→單擊“Finish”（3）在“USBCapture”窗口→勾選“InstallUSBPcap1.5.4.0”→單擊“Install”→開始安裝4．Wireshark中文設置如果你選擇中文，請選擇合適的字體：“編輯”→“首選項設置”→“用戶接口”→“字體”5．Wireshark使用說明1）確定Wireshark的位置2）選擇捕獲接口3）使用捕獲過濾器4）使用顯示過濾器5）使用著色規(guī)則6）構建圖表7）重組數(shù)據(jù)4.1.3數(shù)據(jù)包分析實例數(shù)據(jù)包分析實例1．背景有一個網(wǎng)站被192.168.1.58惡意入侵，使用Wireshark可以抓到被攻擊的流量，分析數(shù)據(jù)包，找到這次入侵的漏洞。2．步驟（1）啟動網(wǎng)站與Wireshark（2）用漏洞掃描工具掃描網(wǎng)站，掃描出SQL注入漏洞（3）在Wireshark上尋找并分析SQL注入漏洞的POST請求包（4）找出SQL注入漏洞利用的關鍵字即可定位數(shù)據(jù)包及發(fā)生注入的參數(shù)4.2漏洞檢測4.2.1漏洞檢測的概念安全漏洞是指計算機系統(tǒng)在硬件、軟件、協(xié)議的設計、具體實現(xiàn)及系統(tǒng)安全策略上存在的缺陷和不足。漏洞檢測就是希望能夠防患于未然，在漏洞被利用之前發(fā)現(xiàn)漏洞并修補漏洞。1．主機在線探測為了避免不必要的空掃描，在掃描之前一般要先探測主機是否在線其實現(xiàn)原理和常用的ping命令相似具體方法是向目標主機發(fā)送ICMP報文請求，根據(jù)返回值來判斷主機是否在線2．端口狀態(tài)探測發(fā)送1個SYN包到主機端口并等待響應如果端口打開，則響應必定是SYN+ACK信息包如果端口關閉，則會收到RST+ACK信息包這個掃描可以被稱為半打開（Half-Scan）掃描4.2.2漏洞檢測的原理3．操作系統(tǒng)探測在進行網(wǎng)絡入侵或攻擊時，了解操作系統(tǒng)的類型是相當重要的，因為攻擊者可以由此明確利用哪種漏洞，或者由此掌握操作系統(tǒng)存在的弱點。4．主機漏洞檢測漏洞檢測是指使用漏洞檢測程序對目標系統(tǒng)進行信息查詢。一般主要通過以下兩種方法來檢查目標主機是否存在漏洞：

基于漏洞庫的規(guī)則匹配和基于模擬攻擊。4.2.3漏洞檢測技術1．安全掃描3．反匯編掃描4．環(huán)境錯誤注入2．源代碼掃描4.2.4漏洞檢測工具（1）Nessus：可以同時在本機或遠端上遙控，進行系統(tǒng)的漏洞分析掃描。（2）OpenVAS：一個開源的漏洞掃描器，用于評估網(wǎng)絡的安全性。（3）QualysGuard：一個云計算安全評估工具，用于評估網(wǎng)絡、Web應用程序和移動應用程序的安全性。（4）BurpSuite：一個專業(yè)級的Web應用程序安全測試工具，用于檢測Web應用程序中的安全漏洞。4.2.5漏洞檢測實例實例1：目標及要求（1）掌握漏洞掃描器Nessus的安裝及使用。（2）對掃描出的漏洞進行了解。實例2：目標及要求（1）掌握Web漏洞掃描器AWVS的安裝及使用。（2）對掃到的漏洞進行了解或進一步利用獲得的權限。實例3：目標及要求（1）掌握Web安全掃描工具AppScan的安裝及使用。（2）對掃描到的漏洞進行了解或進一步利用獲得的權限。4.3密碼破解密碼破解是指使用技術手段破譯或猜測密碼的過程。密碼是用來保護信息安全的數(shù)字賬戶，如電子郵件賬戶、社交媒體賬戶、銀行賬戶等的重要信息和數(shù)據(jù)的一種安全措施。4.3.1數(shù)據(jù)加密技術數(shù)據(jù)加密技術又被稱為密碼技術或密碼學，它是一門既古老又年輕的學科。隨著互聯(lián)網(wǎng)的發(fā)展，現(xiàn)代密碼學的應用從政治、軍事、外交等傳統(tǒng)領域開始進入商業(yè)、金融、娛樂等領域，它的商業(yè)價值和社會價值得到了充分肯定也極大地推動了現(xiàn)代數(shù)據(jù)加密技術的應用和發(fā)展。1.數(shù)據(jù)加密技術概述1）保護信息的機密性2）保護信息的完整性3）認證4）訪問控制2.數(shù)據(jù)加密技術的功能3.數(shù)據(jù)加密算法現(xiàn)代加密算法簡介實現(xiàn)數(shù)據(jù)加密（1）對稱加密算法（2）非對稱密鑰算法（3）單向加密算法（1）尋找在線加密的網(wǎng)站（2）手動編寫加密程序4.3.2密碼破解方法字典攻擊社會工程攻擊強行攻擊密碼破解方法4.3.3密碼破解實例——使用JohntheRipper破解Linux操作系統(tǒng)密碼內(nèi)容JohntheRipper是免費的開源軟件，支持目前大多數(shù)的加密算法，如DES、MD4、MD5等。它支持多種不同類型的系統(tǒng)架構，包括UNIX、Linux、Windows、DOS、BeOS和OpenVMS，主要目的是破解不夠牢固的UNIX/Linux操作系統(tǒng)密碼。在本實驗中，我們事先登錄Linux操作系統(tǒng)并切換為管理員權限，以便獲取/etc/passwd和/etc/shadow文件。步驟（1）登錄Linux操作系統(tǒng)，以超級用戶權限執(zhí)行

unshadow/etc/passwd/etc/shadow>shadow（2）在剛剛寫入的shadow文件目錄執(zhí)行

john--format=cryptshadow4.3.4密碼破解實例——使用Hydra暴力破解SSH密碼內(nèi)容Hydra是一種強大的網(wǎng)絡安全測試工具，旨在測試網(wǎng)絡的安全性和漏洞。它是一個魚叉攻擊工具，通過嘗試不同的用戶名和密碼組合，以及暴力破解攻擊等方法，來測試系統(tǒng)的弱點。本次攻擊機的IP地址為192.168.116.128，靶機的IP地址192.168.116.131。步驟在攻擊機上安裝Hydra并執(zhí)行命令hydra-Luser.txt-Ptop100_ssh_vps.txt192.168.116.131ssh-vV4.4Web滲透4.4.1Web架構1．靜態(tài)網(wǎng)頁請求——HTML3．動態(tài)數(shù)據(jù)訪問——數(shù)據(jù)庫服務器2．動態(tài)網(wǎng)頁請求——小程序4．用戶狀態(tài)信息的保存4.4.2Web安全需求Web安全需求1．Web服務器的安全需求1）維護公布信息的真實性和完整性2）維持Web服務的安全可用3）保護Web訪問者的隱私4）保證Web服務器不被入侵者作為“跳板”2．Web瀏覽器的安全需求（1）確保運行Web瀏覽器的系統(tǒng)不被計算機病毒、木馬或其他惡意程序侵害而被破壞。（2）確保個人安全信息不外泄。（3）確保所交互的站點的真實性，以免被騙，遭受損失。3．Web傳輸?shù)陌踩枨螅?）保證發(fā)送方（信息）的真實性。（2）保證傳輸信息的完整性。（3）特殊的安全性較高的Web要求傳輸具有保密性。（4）認證應用的Web要求信息具有不可抵賴性。（5）防偽要求較高的Web應用需要保證信息的不可重用性。4.4.3Web滲透測試名詞介紹測試方法工具介紹1.黑盒測試Metasploit蟻劍（AntSword）Webshell

一句話木馬RCE

（RemoteCodeExecution，遠程代碼執(zhí)行）SQL

注入XSS

（Cross-SiteScripting）注入SSI

（ServerSideInclude）注入SSRF（Server-SideRequestForgery）任意文件讀取等價類劃分法邊界值分析法錯誤推測法因果圖法白盒測試的優(yōu)點：（1）迫使測試人員仔細思考軟件的實現(xiàn)。（2）可以檢測代碼中的每條分支和路徑。（3）揭示隱藏在代碼中的錯誤。（4）對代碼的測試比較徹底。（5）最優(yōu)化。白盒測試的缺點：（1）昂貴。（2）無法檢測代碼中遺漏的路徑和數(shù)據(jù)敏感性錯誤。（3）不驗證規(guī)格的正確性。白盒測試的優(yōu)缺點白盒測試的測試方法有代碼檢查法、靜態(tài)結構分析法、靜態(tài)質(zhì)量度量法、邏輯覆蓋法、基本路徑測試法、域測試、符號測試、路徑覆蓋和程序變異。白盒測試的覆蓋標準有語句覆蓋、判定覆蓋、條件覆蓋、判定/條件覆蓋、條件組合覆蓋和路徑覆蓋，發(fā)現(xiàn)錯誤的能力由弱至強。測試方法及覆蓋標準2.白盒測試1.黑盒測試實例（1）準備ThinkPHP5.0.22遠程代碼執(zhí)行的Payload（攻擊載荷）（2）使用BurpSuite發(fā)送Payload（3）成功執(zhí)行phpinfo()使用BurpSuite攻擊ThinkPHP5.0.22的Web應用程序（1）利用漏洞在網(wǎng)站根目錄寫入shell.php（2）使用蟻劍工具進行連接（3）連接之后可以在被攻擊的目標上執(zhí)行命令，以及上傳和下載文件使用蟻劍連接Webshell4.4.4Web滲透實例2.白盒測試實例（1）從Web應用程序的代碼中尋找可能存在的漏洞（2）使用MySQLMonitor來監(jiān)控數(shù)據(jù)庫執(zhí)行語句（3）使用FileMonitor來監(jiān)控網(wǎng)站根路徑下的文件4.5惡意代碼RogerA.Grimes將惡意代碼定義為：經(jīng)過存儲介質(zhì)和網(wǎng)絡進行傳播，從一臺計算機系統(tǒng)到另外一臺計算機系統(tǒng)，未經(jīng)授權認證破壞計算機系統(tǒng)完整性的程序或代碼。它包括計算機病毒、蠕蟲、特洛伊木馬、邏輯炸彈、病菌、用戶級RootKit、核心級RootKit、腳本惡意代碼和惡意ActiveX控件等。4.5.1計算機病毒1.計算機病毒的定義計算機病毒是人為制造的、能夠進行自我復制的、破壞計算機資源的一組程序或命令的集合。3.典型的計算機病毒1）腳本病毒2）宏病毒3）HTML病毒2.計算機病毒的工作原理1）感染2）潛伏3）傳播4）發(fā)作4.5.2蠕蟲2.蠕蟲的傳播過程1）掃描2）攻擊3）復制1.蠕蟲的定義蠕蟲是一種特殊的計算機病毒。蠕蟲不需要用戶的操作，只要駐留在內(nèi)存中，它就會主動向其他的計算機進行傳播。1.木馬概述木馬是目前比較流行的病毒文件，與一般的計算機病毒不同，木馬的作用是偷偷監(jiān)視和盜竊密碼、數(shù)據(jù)等。2.木馬的特性1）隱蔽性2）自動運行性3）欺騙性4）自動恢復5）自動打開特別的端口6）功能的特殊性3.木馬類型1）后門木馬2）鏈接木馬3）下載木馬4）蠕蟲木馬4.防范和清除木馬1）不隨意下載軟件2）不隨意打開附件3）使用防毒軟件并經(jīng)常更新病毒庫4）查看文件擴展名5）安裝木馬查殺工具4.5.3木馬4.5.4惡意代碼實例——CobaltStrike遠控木馬實驗工具CobaltStrike（以下簡稱CS）是一款以Metasploit為基礎的GUI的框架式滲