第7章 网络安全技术(1).ppt

第7章网络安全技术,,7.1网络安全概述7.2黑客7.3网络攻击7.4扫描7.5监听与嗅探7.6口令安全7.7隐藏7.8入侵攻击7.9后门和特洛伊木马,7.1网络安全概述,7.1.1网络存在的威胁目前网络存在的威胁主要表现如下几点。非授权访问信息泄漏或丢失破坏数据完整性拒绝服务攻击利用网络传播病毒,7.1.2网络安全技术简介,1．入侵检测技术入侵检测技术是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。,,2．防火墙（FireWall）技术防火墙（FireWall）是用一个或一组网络设备（计算机系统或路由器等），在两个或多个网络间加强访问控制，以保护一个网络不受来自另一个网络攻击的安全技术。防火墙的组成可以表示为防火墙过滤器＋安全策略（＋网关），它是一种非常有效的网络安全技术,,防火墙服务于以下几个目的。限制他人进入内部网络，过滤掉不安全服务和非法用户。限定人们访问特殊站点。为监视Internet安全提供方便。,,3．网络加密和认证技术网络信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。认证主要包括身份认证和消息认证。,,4．网络防病毒技术5．网络备份技术,7.2黑客,黑客一词，源于英文Hacker，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。黑客是那些检查（网络）系统完整性和安全性的人，他们通常非常精通计算机硬件和软件知识，并有能力通过创新的方法剖析系统。黑客通常会去寻找网络中漏洞，但是往往并不去破坏计算机系统。正是因为黑客的存在，人们才会不断了解计算机系统中存在的安全问题。入侵者（Cracker，有人翻译成“骇客”）是那些利用网络漏洞破坏系统的人，他们往往会通过计算机系统漏洞来入侵。他们也具备广泛的电脑知识，但与黑客不同的是他们以破坏为目的。,7.2.2黑客的历史与现状,其动向有以下几个特点。1．组织越来越扩大化2．行动越来越公开化3．案件越来越频繁化4．情况越来越复杂化,7.3网络攻击,7.3.1攻击分类1．主动攻击主动攻击包括拒绝服务攻击、信息篡改、资源使用以及欺骗等攻击方法。2．被动攻击被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察。被动攻击包括嗅探以及信息收集等攻击方法。,7.3.2攻击的步骤,1．隐藏2．探测3．找出被信任的主机4．寻找目标网中的漏洞5．攻击,7.4扫描,探测、收集目标信息的方法主要有扫描、监听和嗅探。扫描是一种主动获取信息的方法，而监听、嗅探是被动的探测方法。扫描获得的信息多、快、准，不用像监听、嗅探那样被动地等待捕获系统数据流的传输。扫描按内容可分为端口扫描、系统扫描和漏洞扫描，按扫描的范围可分为单机扫描、网段扫描。,7.4.1端口扫描,“端口扫描”通常指用同一信息对目标计算机的所有所需扫描的端口进行发送，然后根据返回的端口状态来分析目标计算机的端口是否打开、是否可用。端口扫描行为的一个重要特征是，在短时间内有很多来自相同的源地址传向不同的目的端口的包。,,端口扫描器在扫描过程中主要具有以下三个方面的能力。（1）发现一个计算机或网络的能力。（2）一旦发现一台计算机，就有发现目标计算机正在运行什么服务的能力。（3）通过测试目标计算机上的这些服务，发现存在的漏洞的能力。,,1．TCPSYN扫描2．TCPFIN扫描3．IP段扫描4．ICMP扫描7.4.2系统扫描为要了解目标的漏洞和进一步的探测，则需对目标的操作系统、提供各项服务所使用的软件、用户、系统配置信息等进行扫描，这就是系统扫描。,,图7.1系统扫描,,7.4.3漏洞扫描,漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器，系统管理员能够发现所维护服务器的各种TCP端口的分配、提供的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。从而在计算机网络系统安全保卫战中做到“有的放矢”，及时修补漏洞，构筑坚固的安全长城。,,图7.2Unicode漏洞扫描,,图7.2Unicode漏洞扫描,7.4.4扫描器实例,7.4.4.1Nmap1．安装Nmap,,图7.3GUI版Nmap的运行界面,图7.3GUI版Nmap的运行界面,2．常用扫描类型下面是Nmap支持的四种最基本的扫描方式。（1）TCPconnect端口扫描（-sT参数）。（2）TCP同步（SYN）端口扫描（-sS参数）。（3）UDP端口扫描（-sU参数）。（4）Ping扫描（-sP参数）。,,图7.4命令行版Nmap的运行界面,,,图7.5LAN环境下扫描一个主机,,图7.5LAN环境下扫描一个主机,7.4.4.2X-Scanner,X-Scanner是国内的著名安全网站“安全焦点”的大作，最新的版本是2.30，可以从,1．扫描设置,,图7.6X-scanner扫描设置,2．扫描过程及结果,,图7.7X-scanner的扫描过程,,,,图7.8X-scanner的扫描结果,7.5监听与嗅探,监听与嗅探是用于捕获流过嗅探器位置的网络数据包，并对其进行分析。由于流过的数据量非常大，因而必须有针对性的对数据过滤和分析，按分析的数据划分可分为本机监听、网段监听和密文嗅探。本机监听是对从本机网卡流入流出的数据进行监听；网段监听是通过获取流过的数据包来分析网络通信状态；密文嗅探则是根据一定的过滤规则获取密文。,,通过网络监听、嗅探可了解网络中通信状况，截获传输的信息，提取与口令相关的数据。监听、嗅探的实施受网络物理结构的限制，它们是将网卡设置为混杂（promiscuous）模式，即对流经网卡的所有数据全部接收。网络经物理设备如交换机、路由器等划分为多段后，A、B两个网段除了相互间的访问，A段中的主机访问其他网络的数据一般不会流到B网段中，从而在B网段内攻击者不能对A网段进行监听、嗅探。要对A实施监听、嗅探可将嗅探程序运行在A、B相连接的路由器或有路由器功能的主机上，或攻击进入A网段的某台主机，在其上运行嗅探程序，或利用ARP欺骗。,7.5.1本机监听,本机监听多用于安全防范，查看是否有非法连接和后门程序的存在。,7.5.2网段监听,通过监听获悉网络通信状况，分析网络中的数据流量，确定网络中通信、控制中枢。,图7.9天网防火墙监听系统运行状态,,,,图7.10网段监听,7.5.3嗅探器及其防范,通过截获网络流过的数据，获取传输的机要文件、密码、电子邮件等。,,图7.11截获HTTP连接数据流,,在实施网络监听、嗅探时专用的软件被称为嗅探器（Sniffer）软件，利用嗅探器可以捕获口令，捕获机密的或者专用的信息，获取嗅探器所在网络的拓扑信息。,,由于监听、嗅探是一种被动的网络侦测手段，因而隐蔽性较好，非常难以发现。通常防范嗅探器主要有以下几种方法。（1）安全的拓扑结构（2）用静态的ARP或者IP－MAC对应表代替动态的ARP或者IP－MAC对应表（3）会话加密,7.6口令安全,7.6.1口令破解口令破解中最快的是利用系统漏洞进行破解，其次利用字典破解，最慢的是利用加密算法的逆运算进行破解。,1．利用系统漏洞破解,,,图7.13破解共享目录图7.14破解共享目录,2．利用字典破解,7.6.2设置安全的口令,,7.7隐藏,7.7.1通过跳板、代理实现隐藏首先监听自身网络安全性，若发现被追踪迹象如被扫描或攻击，则立即暂停或离线，接着寻找防止被跟踪（即达到隐藏目的）的方法和途径。实现隐藏则要使对方不产生记录或记录错误；若控制权限较高或利用漏洞可清除记录，还可搜寻可用于作为中转跳板的主机。这些主机主要有免费的代理服务器、防护较弱的主机、漏洞较明显的主机，利用这些主机提供的代理服务或在其上安装代理程序便可实现中转的目的。,,,,图7.15Snake代理跳板,,,,图7.16proxyhunter搜索过程,7.7.2清除记录,日志文件详细记录了系统中任何人所做的任何事情。这对于系统监测来说是非常重要的资料。在利用日志文件监测之前，必须先做两件事第一，必须将系统的日志记录功能打开；第二，对日志文件内容进行详细阅读。很多管理员没有将记录日志文件的功能选项打开，而且即使打开了，也没有对它进行定期阅读。所以，即使黑客没有对自己的踪迹进行任何的消隐，也有很大的可能不被发现。,7.8入侵攻击,7.8.1拒绝服务攻击拒绝服务攻击（DenialofService，DoS）是一种最常见的攻击形式。严格来说，拒绝服务攻击并不是某一种具体的攻击方式，而是攻击所表现出来的结果，最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务，甚至导致物理上的瘫痪或崩溃。第一种是使一个系统或网络瘫痪。第二种攻击是向系统或网络发送大量信息，使系统或网络不能响应。,1．拒绝服务攻击类型（1）PingofDeath（2）TearDrop（3）Land（4）Smurf（5）SYNflood（6）WinNuke（7）RPCLocator,2．分布式拒绝服务攻击分布式拒绝服务攻击（DDoS）是攻击者经常采用而且难以防范的攻击手段。DDoS攻击是在传统的DoS攻击基础之上产生的一类攻击方式。一个比较完善的DDoS攻击体系分成以下四大部分。攻击者所在机控制机（用来控制傀儡机）傀儡机受害者,7.8.2缓冲区溢出攻击,缓冲区溢出（又称堆栈溢出）攻击已成为最常用的黑客技术之一。当程序写入超过缓冲区的边界时，这就是所谓的“缓冲区溢出”。发生缓冲区溢出时，会覆盖下一个相邻的内存块。一般情况下，覆盖其他数据区的数据是没有意义的，最多造成应用程序错误，但是，如果输入的数据是经过“黑客”精心设计的，覆盖缓冲区的数据恰恰是黑客的入侵程序代码，黑客就获取了程序的控制权。缓冲区溢出导致安全性问题的另一个方法是通过摧毁堆栈。,,缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击，可能导致程序运行失败、系统死机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。,,目前主要有以下四种基本的方法保护缓冲区免受缓冲区溢出的攻击和影响。（1）非执行的缓冲区（2）编写正确的代码（3）数组边界检查（4）程序指针完整性检查,7.8.3欺骗攻击,1．ARP数据包欺骗2．DNS欺骗3．WEB欺骗（1）基本的网站欺骗（2）man-in-the-middle攻击（3）URL重写,,4．电子邮件欺骗（1）相似的电子邮件地址（2）修改邮件客户身份（3）登录SMTP服务器,7.9后门和特洛伊木马,7.9.1什么是后门和木马后门（backdoor）就是攻击者再次进入网络或者是系统而不被发现的隐蔽通道。,特洛伊木马是一个包含在一个合法程序中的非法的程序。该非法程序被用户在不知情的情况下执行。其名称源于古希腊的特洛伊木马神话。一般的木马都有客户端和服务器端两个执行程序，其中客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击目的系统，他所做的第一步是要把木马的服务器端程序植入到目的计算机里。目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里，如邮件、下载等；然后通过一定的提示故意误导被攻击者打开执行文件，比如故意谎称这个木马执行文件是你朋友送给你的贺卡，可能你打开这个文件后，确实有贺卡的画面出现，但这时可能木马已经悄悄在你的后台运行了。,7.9.2几个常见的木马,1．BO20002．冰河,,图7.17冰河客户端,,3．Netspy4．Happy99,7.9.3怎样检测与清除木马,（1）不要养成随意下载一些可执行的程序并执行它的习惯。（2）尽量不要共享磁盘。如果真的要共享文件夹，别忘了一定要加上密码。（3）给系统加上个人网络防火墙和反病毒软件，Norton、瑞星和金山等都是不错的品牌。当然要记住及时升级病毒库，再好的品牌不升级也不行。,1．木马程序的检测（1）查看system.ini文件（2）查看win.ini文件,,,图7.18system.ini对话框,,图7.19win.ini对话框,（3）查看启动组,,图7.20启动组对话框,,,,图7.21注册表编辑器,2．清除木马（1）BO2000（2）Netspy（3）冰河（4）NetBus（5）Asylum,