第9章 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.ppt

1、第9章 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,9.1 相關(guān)知識(shí) 9.2 計(jì)算機(jī)病毒及其防治 9.3 防火墻技術(shù) 9.4 其它安全設(shè)置 9.5 網(wǎng)絡(luò)攻擊技術(shù),2020/10/31,2,9.1 相關(guān)知識(shí),9.1.1 網(wǎng)絡(luò)安全的定義 9.1.2 網(wǎng)絡(luò)面臨的安全威脅,2020/10/31,3,9.1.1 網(wǎng)絡(luò)安全的定義,計(jì)算機(jī)安全、網(wǎng)絡(luò)安全和信息系統(tǒng)安全是信息安全的三個(gè)級(jí)別，其中計(jì)算機(jī)安全是基礎(chǔ)，網(wǎng)絡(luò)安全是核心，系統(tǒng)安全是目標(biāo)。 網(wǎng)絡(luò)安全是一個(gè)關(guān)系國(guó)家安全和社會(huì)穩(wěn)定的重要問題，它涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等多門學(xué)科。其本質(zhì)是確保網(wǎng)絡(luò)上的信息安全，具體是指確保網(wǎng)絡(luò)系

2、統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)不被偶然或者惡意的破壞、篡改和泄露，并保證網(wǎng)絡(luò)系統(tǒng)能連續(xù)穩(wěn)定正常地工作。,2020/10/31,4,網(wǎng)絡(luò)安全包括數(shù)據(jù)的保密性、數(shù)據(jù)的完整性、數(shù)據(jù)的可用性、數(shù)據(jù)的可控性和不可抵賴性5個(gè)要素。 保密性就是確保信息不暴露給未授權(quán)實(shí)體或進(jìn)程，僅允許授權(quán)用戶訪問； 完整性就是要保證數(shù)據(jù)不被未授權(quán)修改； 可用性就是指授權(quán)用戶和實(shí)體能訪問數(shù)據(jù)； 可控性是指控制授權(quán)范圍內(nèi)的信息流向和操作方式，如對(duì)信息的訪問、傳播及內(nèi)容具有控制能力； 不可抵賴性是指對(duì)出現(xiàn)的安全問題提供審查依據(jù)與手段，即所有通信參與者都不能否認(rèn)自己曾經(jīng)的操作和承諾。,2020/10/31,5,9.1.2 網(wǎng)絡(luò)面臨的

3、安全威脅,計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅有三種：硬件安全、軟件安全和數(shù)據(jù)安全。 硬件包括網(wǎng)絡(luò)中的各種設(shè)備及其元配件，接插件及線纜等； 軟件包括網(wǎng)絡(luò)操作系統(tǒng)、各種驅(qū)動(dòng)程序、通信軟件及其他應(yīng)用軟件； 數(shù)據(jù)包括系統(tǒng)的配置文件、日志文件、用戶資料、各種重要的敏感的數(shù)據(jù)庫(kù)及其網(wǎng)絡(luò)上兩臺(tái)機(jī)器之間的通信內(nèi)容等機(jī)密信息。,2020/10/31,6,影響網(wǎng)絡(luò)安全包括人為的和非人為的。 人為的因素又可以分為無意的失誤和惡意的攻擊。 人為的無意失誤包括誤操作引起的文件刪除、硬盤被格式化，或者掉電引起的系統(tǒng)中斷、崩潰；網(wǎng)絡(luò)管理員由于技術(shù)素質(zhì)不高，安全訪問權(quán)限分配不當(dāng)造成的漏洞；用戶安全意識(shí)不強(qiáng)，口令設(shè)置不妥或隨意與他人共享網(wǎng)

4、絡(luò)資源不良習(xí)慣都會(huì)對(duì)網(wǎng)絡(luò)安全帶來威脅。 人為的惡意攻擊，包括企業(yè)內(nèi)部心懷不滿的員工、企業(yè)之間的網(wǎng)絡(luò)間諜和網(wǎng)上黑客，才是計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的最大威脅。 非人為的因素包括自然災(zāi)害如地震、雷擊、洪水或其它不可抗拒的天災(zāi)。 此外非人為因素還包括網(wǎng)絡(luò)設(shè)備的自然損壞、硬盤或其它存貯設(shè)備的老化、無規(guī)則的停電引起的設(shè)備故障等，但這種安全威脅只破壞信息的完整性和可用性，無損信息的秘密性。,2020/10/31,7,9.2 計(jì)算機(jī)病毒及其防治,9.2.1 計(jì)算機(jī)病毒的定義 9.2.2 計(jì)算機(jī)感染病毒后的癥狀 9.2.3 計(jì)算機(jī)病毒的防范,2020/10/31,8,9.2.1 計(jì)算機(jī)病毒的定義,1994年2月18日

5、公布的中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中，對(duì)計(jì)算機(jī)病毒是這樣定義的：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。,2020/10/31,9,9.2.2 計(jì)算機(jī)感染病毒后的癥狀,（1）計(jì)算機(jī)系統(tǒng)運(yùn)行速度減慢 （2）計(jì)算機(jī)系統(tǒng)不穩(wěn)定 （3）文件異常 （4）磁盤異常 （5）網(wǎng)絡(luò)異常 （6）其它癥狀,2020/10/31,10,9.2.3 計(jì)算機(jī)病毒的防范, 常用的反毒病軟件 反病毒軟件的設(shè)置 計(jì)算機(jī)病毒的其它防范措施,2020/10/31,11,9.2.3.

6、1 常用的反毒病軟件,防范計(jì)算機(jī)病毒的最簡(jiǎn)單和最有效的方法就是安裝反病毒軟件，并養(yǎng)成良好的使用計(jì)算機(jī)和計(jì)算機(jī)的習(xí)慣。 1瑞星殺毒軟件 2金山毒霸 3江民殺毒軟件 4卡巴基斯 5Norton Antivirus 6Symantec Antivirus 7McAfee VirusScan 還包括Norman Virus Control、NOD32、Sophos Anti-Virus、F-Prot Antivirus、Antiunknown、熊貓衛(wèi)士、F-Secure Anti-Virus和PC-Cillin等,2020/10/31,12, 反病毒軟件的設(shè)置,以“卡巴斯基反病毒軟件7.

7、0”為例說明反病毒軟件的一些常規(guī)設(shè)置。 1保護(hù),2020/10/31,13,（1）文件反病毒,2020/10/31,14,（2）郵件反病毒,2020/10/31,15,（3）Web反病毒,2020/10/31,16,（4）主動(dòng)防御 主動(dòng)防御就是讓計(jì)算機(jī)免受已知威脅和未知新威脅的感染。卡巴斯基的主動(dòng)防御包括“程序活動(dòng)分析”、“程序完整性保護(hù)”和“注冊(cè)表防護(hù)”三個(gè)部分。 對(duì)于普通的計(jì)算機(jī)用戶，建議不使用主動(dòng)防御功能。而對(duì)有一定的計(jì)算機(jī)基礎(chǔ)，又十分在意安全的用戶，可以使用該功能。,2020/10/31,17,2掃描,2020/10/31,18,3更新,2020/10/31,19,4服務(wù),2020/1

8、0/31,20, 計(jì)算機(jī)病毒的其它防范措施,1利用硬件設(shè)置 建議啟用主板硬件病毒防護(hù)功能 建議設(shè)置計(jì)算機(jī)總是先從硬盤啟動(dòng)，這樣可防止將軟盤或光盤中的惡意程序加載到系統(tǒng)中。 2避免文件對(duì)拷 3正確使用移動(dòng)磁盤 4慎重對(duì)待下載的程序 5警惕電子郵件及其附件 6防范宏病毒 7備份與還原,2020/10/31,21,9.3 防火墻技術(shù),9.3.1 防火墻的基本類型 9.3.2 天網(wǎng)個(gè)人版防火墻及其設(shè)置,2020/10/31,22,防火墻（Firewall）一詞來源于早期歐式建筑中為了防止火災(zāi)的蔓延而在建筑物之間修建的矮墻。在計(jì)算機(jī)網(wǎng)絡(luò)中的防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系

9、統(tǒng)，是這一類防范措施的總稱。防火墻主要用于邏輯隔離外部網(wǎng)絡(luò)與受保護(hù)的內(nèi)部網(wǎng)絡(luò)，其應(yīng)用示意圖如圖9.15所示。,2020/10/31,23,9.3.1 防火墻的基本類型,1按防火墻技術(shù)分類 （1）包過濾防火墻 包過濾技術(shù)有兩種不同版本，分別為“第一代靜態(tài)包過濾”和“第二代動(dòng)態(tài)包過濾”。 第一代靜態(tài)包過濾類型防火墻 這類防火墻是根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包，確定其是否與某一條包過濾規(guī)則匹配。 第二代動(dòng)態(tài)包過濾類型防火墻 這類防火墻采用動(dòng)態(tài)設(shè)置包過濾規(guī)則的方法，這就是后來的狀態(tài)監(jiān)測(cè)（Stateful Inspection）技術(shù)。采用這種技術(shù)的防火墻對(duì)通過其建立的每一個(gè)連接都進(jìn)行跟蹤，并且根據(jù)需

10、要可動(dòng)態(tài)地在過濾規(guī)則中增加或更新條目。,2020/10/31,24,（2）應(yīng)用代理防火墻 應(yīng)用代理型防火墻工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。 代理型防火墻也有兩個(gè)不同的版本，即“第一代應(yīng)用網(wǎng)關(guān)型代理防火墻”和“第二代自適應(yīng)代理防火墻”。,2020/10/31,25,第一代應(yīng)用網(wǎng)關(guān)型防火墻 這類防火墻是通過一種代理（Proxy）技術(shù)參與到一個(gè)TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是防火墻的外部網(wǎng)卡與外部網(wǎng)絡(luò)建立連接一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的

11、防火墻的核心技術(shù)就是代理服務(wù)器技術(shù)。 第二代自適應(yīng)代理(Adaptive proxy)型防火墻 自適應(yīng)代理根據(jù)用戶的配置信息，決定是使用代理服務(wù)從應(yīng)用層代理請(qǐng)求還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者，它將動(dòng)態(tài)地通知包過濾器增減過濾規(guī)則，滿足用戶對(duì)速度和安全性的雙重要求。,2020/10/31,26,2按防火墻的應(yīng)用部署位置分類 （1）邊界防火墻 邊界防火墻是最為傳統(tǒng)的防火墻，它們位于內(nèi)、外部網(wǎng)絡(luò)的邊界，所起的作用是對(duì)內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離，保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都是硬件類型的，價(jià)格較貴，性能較好。 （2）個(gè)人防火墻 個(gè)人防火墻安裝于單臺(tái)主機(jī)中，防護(hù)的也只是單臺(tái)主機(jī)。這類防火墻應(yīng)用于廣大的個(gè)人用

12、戶，通常是一個(gè)應(yīng)用軟件，價(jià)格最便宜，性能也最差。 天網(wǎng)個(gè)人版防火墻是國(guó)內(nèi)個(gè)人防火墻的優(yōu)秀品牌產(chǎn)品之一，Windows XP/2003集成的Windows防火墻和各反病毒軟件配套的個(gè)人防火墻如金山網(wǎng)鏢、瑞星防火墻、諾頓防火墻或Symantec Client Firewall和卡巴斯基防火墻等,2020/10/31,27,（3）混合式防火墻 混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統(tǒng)，由若干個(gè)軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間，既對(duì)內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過濾，又對(duì)網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價(jià)格

13、也最貴。,2020/10/31,28,9.3.2 天網(wǎng)個(gè)人版防火墻及其設(shè)置,2020/10/31,29,1系統(tǒng)設(shè)置,2020/10/31,30,2安全級(jí)別設(shè)置 低：計(jì)算機(jī)將完全信任局域網(wǎng)，允許局域網(wǎng)內(nèi)部的機(jī)器訪問自己提供的各種服務(wù)，但禁止互聯(lián)網(wǎng)上的機(jī)器訪問這些服務(wù)。該級(jí)別適用于在局域網(wǎng)中提供服務(wù)的用戶。 中：禁止訪問系統(tǒng)級(jí)別的服務(wù)（如HTTP和FTP等）。局域網(wǎng)內(nèi)部的機(jī)器只允許訪問文件、打印機(jī)共享服務(wù)。使用動(dòng)態(tài)規(guī)則管理，允許授權(quán)運(yùn)行的程序開放的端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語音電話軟件提供的服務(wù)。適用于普通個(gè)人上網(wǎng)用戶。 高：禁止局域網(wǎng)內(nèi)部和互聯(lián)網(wǎng)的機(jī)器訪問自己提供的網(wǎng)絡(luò)共享服務(wù)，局域網(wǎng)和互聯(lián)

14、網(wǎng)上的機(jī)器將無法看到本機(jī)器。除了已經(jīng)被認(rèn)可的程序打開的端口，系統(tǒng)會(huì)屏蔽掉向外部開放的所有端口。也是最嚴(yán)密的安全級(jí)別。 擴(kuò)展：該安全等級(jí)是基于“中”安全級(jí)別再配合一系列專門針對(duì)木馬和間諜程序的擴(kuò)展規(guī)則，可以防止木馬和間諜程序打開TCP或UDP端口監(jiān)聽甚至開放未許可的服務(wù)。 自定義：用戶如果了解各種網(wǎng)絡(luò)協(xié)議，則可以自己設(shè)置規(guī)則。適用于對(duì)網(wǎng)絡(luò)有一定了解并需要自行設(shè)置規(guī)則的用戶。,2020/10/31,31,3設(shè)置IP規(guī)則,2020/10/31,32,4應(yīng)用程序規(guī)則設(shè)置,2020/10/31,33,5查看日志,2020/10/31,34,6查看應(yīng)用程序網(wǎng)絡(luò)狀態(tài),2020/10/31,35,7斷開/接通

15、網(wǎng)絡(luò) 單擊天網(wǎng)防火墻主界面上的“接通/斷開網(wǎng)絡(luò)開關(guān)”按鈕，可以將網(wǎng)絡(luò)置于連通狀態(tài)或斷開狀態(tài)。如果計(jì)算機(jī)受到頻繁攻擊時(shí)，單擊此按鈕斷開網(wǎng)絡(luò)是最有效的應(yīng)對(duì)方法。,2020/10/31,36,9.4 其它安全設(shè)置,9.4.1 系統(tǒng)安全設(shè)置 9.4.2 帳戶及密碼管理 9.4.3 數(shù)據(jù)文件安全設(shè)置 9.4.4 關(guān)閉無用的端口,2020/10/31,37,9.4.1 系統(tǒng)安全設(shè)置,1安裝系統(tǒng)補(bǔ)丁,2020/10/31,38,（1）手動(dòng)更新,2020/10/31,39,（2）自動(dòng)更新,2020/10/31,40,2使用NTFS格式分區(qū) 3維護(hù)注冊(cè)表安全 4開啟審核策略,2020/10/31,41,9.4.

16、2 帳戶及密碼管理,1禁用Guest帳戶 2限制帳戶的個(gè)數(shù) 3更改Administrator帳戶名 4開啟用戶策略 5禁止顯示上次登錄用戶名 6設(shè)置屏幕保護(hù)密碼,2020/10/31,42,9.4.3 數(shù)據(jù)文件安全設(shè)置,1禁用默認(rèn)共享 2經(jīng)常備份 3正確設(shè)置文件的共享權(quán)限 4防止文件名欺騙,2020/10/31,43,9.4.4 關(guān)閉無用的端口,用戶可以對(duì)自己計(jì)算機(jī)的端口進(jìn)行安全性的檢查，比如可以使用SuperScan對(duì)自己的計(jì)算機(jī)進(jìn)行端口掃描。如果可以確認(rèn)某個(gè)端口不安全或者不需要，則可以關(guān)閉這些端口。對(duì)于普通用戶來說可以利用IP安全策略關(guān)閉以下這些端口：TCP 135、139、445、593

17、、1025 端口和 UDP 135、137、138、445 端口，還有一些流行病毒的后門端口（如 TCP 2745、3127、6129 端口），以及遠(yuǎn)程服務(wù)訪問端口3389等。,2020/10/31,44,9.5 網(wǎng)絡(luò)攻擊技術(shù),9.5.1 相關(guān)基礎(chǔ)知識(shí) 9.5.2 信息收集型攻擊 9.5.3 破壞型攻擊 9.5.4 利用型攻擊 9.5.5 網(wǎng)絡(luò)欺騙攻擊 9.5.6 垃圾信息攻擊,2020/10/31,45,9.5.1 相關(guān)基礎(chǔ)知識(shí), 網(wǎng)絡(luò)攻擊的本質(zhì) 網(wǎng)絡(luò)攻擊的動(dòng)機(jī)與目的 網(wǎng)絡(luò)攻擊的一般步驟,2020/10/31,46, 網(wǎng)絡(luò)攻擊的本質(zhì)

18、,無論是何種動(dòng)機(jī)，攻擊者實(shí)際上是希望完成以下四件事中的一件或多件：破壞目標(biāo)工作、竊取目標(biāo)信息、控制目標(biāo)計(jì)算機(jī)和利用假消息欺騙對(duì)方，這四件事的本質(zhì)就是入侵與破壞。 （1）破壞 所謂破壞，指的是破壞攻擊目標(biāo)，使之不能正常工作，但不能隨意控制目標(biāo)系統(tǒng)。 （2）入侵 以入侵為目的的攻擊方式，需要獲得一定的權(quán)限來達(dá)到控制攻擊目標(biāo)的目的。這類攻擊通常是利用服務(wù)器操作系統(tǒng)、應(yīng)用軟件或者網(wǎng)絡(luò)協(xié)議存在的漏洞進(jìn)行的。,2020/10/31,47, 網(wǎng)絡(luò)攻擊的動(dòng)機(jī)與目的,1政治和軍事目的 2集體或個(gè)人的商業(yè)目的 3無惡意的惡作劇 4以惡意破壞為目的,2020/10/31,48, 網(wǎng)絡(luò)攻擊

19、的一般步驟,1攻擊的準(zhǔn)備階段 確定攻擊目的：確定攻擊目的就是要確定攻擊要達(dá)到的效果，并以此選擇好攻擊所需要的工具； 收集目標(biāo)信息：要收集的目標(biāo)信息包括操作系統(tǒng)類型及版本、目標(biāo)提供哪些服務(wù)、各服務(wù)的類型、版本及其相關(guān)的信息等。,2020/10/31,49,2攻擊的實(shí)施階段 作為破壞性攻擊，只需要利用工具發(fā)動(dòng)攻擊即可；而作入侵性攻擊，往往需要利用收集到的信息，找到其系統(tǒng)漏洞，然后利用該漏洞獲取一定的權(quán)限。所以對(duì)于入侵攻擊來講，漏洞至關(guān)重要。能夠被攻擊者利用的漏洞不僅包括系統(tǒng)軟件設(shè)計(jì)上的安全漏洞，也包括由于管理配置不當(dāng)而造成的漏洞。 攻擊實(shí)施階段的一般可分為以下三個(gè)過程： 第一步，隱藏自己的位置，以

20、便不會(huì)被追查到或被報(bào)復(fù)。 第二步，利用收集到的信息獲取賬號(hào)和密碼，登錄主機(jī)。 第三步，利用漏洞或者其它方法獲得控制權(quán)并竊取網(wǎng)絡(luò)資源和特權(quán)。,2020/10/31,50,3攻擊的善后階段 完成攻擊目的之后，如果忽略了善后工作，那么這種攻擊很有可能會(huì)被追查到并追究相關(guān)責(zé)任甚至遭受更瘋狂的報(bào)復(fù)。這里要做的善后工作主要是指清除攻擊的痕跡，包括各種日志記錄，如Web服務(wù)器日志和事件日志等。,2020/10/31,51,9.5.2 信息收集型攻擊, 網(wǎng)絡(luò)掃描 體系結(jié)構(gòu)探測(cè) 服務(wù)信息收集 Sniffer,2020/10/31,52,信息收集型攻擊

21、就是收集目標(biāo)網(wǎng)絡(luò)系統(tǒng)中的各種有用信息，收集的手段可以是掃描、偵察和盜取等。這種攻擊存在于攻擊目標(biāo)網(wǎng)絡(luò)系統(tǒng)的各個(gè)流程環(huán)節(jié)中，它可能是攻擊的最終目標(biāo)，也可能是整個(gè)攻擊的開始。但這種攻擊一般不會(huì)對(duì)目標(biāo)系統(tǒng)及其數(shù)據(jù)產(chǎn)生破壞作用。,2020/10/31,53, 網(wǎng)絡(luò)掃描,掃描就是通過向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包，然后根據(jù)響應(yīng)來獲得目標(biāo)主機(jī)的情況的一種技術(shù)，根據(jù)掃描的方式不同，主要有地址掃描、端口掃描和漏洞掃描三種方式。 1地址掃描 2端口掃描 3漏洞掃描 Superscan是一款典型的免費(fèi)的地址掃描和端口掃描工具，F(xiàn)luxay、Nessus和X-Scan都是典型的漏洞掃描工具,2020/10/31

22、,54, 體系結(jié)構(gòu)探測(cè),體系結(jié)構(gòu)探測(cè)又叫系統(tǒng)掃描，攻擊者使用具有已知響應(yīng)類型的數(shù)據(jù)庫(kù)的自動(dòng)工具，對(duì)來自目標(biāo)主機(jī)、對(duì)壞數(shù)據(jù)包傳送所作出的響應(yīng)進(jìn)行檢查。由于每種操作系統(tǒng)都有其獨(dú)特的響應(yīng)方法，通過將此獨(dú)特的響應(yīng)與數(shù)據(jù)庫(kù)中的已知響應(yīng)進(jìn)行對(duì)比，攻擊者經(jīng)常能夠確定出目標(biāo)主機(jī)所運(yùn)行的操作系統(tǒng)，甚至可以了解到目標(biāo)的系統(tǒng)配置，確定目標(biāo)所使用的軟件。Lan scanner就是一個(gè)常用的體系結(jié)構(gòu)探測(cè)軟件。,2020/10/31,55, 服務(wù)信息收集,攻擊者可以利用一些現(xiàn)有的信息服務(wù)或漏洞來對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊。 1DNS域名轉(zhuǎn)換 2Finger服務(wù) 3LDAP服務(wù),2020/10/31,5

23、6, Sniffer,Sniffer即網(wǎng)絡(luò)嗅探器，用于監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)包，Sniffer的工作原理就是將網(wǎng)絡(luò)接口設(shè)置為“混雜”（Promiscuous）模式。在這種模式下，網(wǎng)絡(luò)接口處于一個(gè)對(duì)網(wǎng)絡(luò)進(jìn)行“監(jiān)聽”的狀態(tài)，它可以監(jiān)聽此網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)幀，并實(shí)時(shí)分析數(shù)據(jù)幀中包含的內(nèi)容。攻擊者可以通過分析截獲的數(shù)據(jù)幀找到感興趣的內(nèi)容，包括用戶帳號(hào)和口令等敏感信息，從而為下一步攻擊做好準(zhǔn)備。 Sniffer攻擊的程序有很多，如NetXray和Sniffer Pro等。,2020/10/31,57,9.5.3 破壞型攻擊,破壞型攻擊以破壞對(duì)方系統(tǒng)為主要目標(biāo)，破壞的方式包括使對(duì)方系統(tǒng)拒絕服務(wù)、

24、刪除有用數(shù)據(jù)甚至破壞操作系統(tǒng)和硬件（比如CIH病毒）等。其中病毒攻擊、拒絕服務(wù)攻擊（Denial of Service，簡(jiǎn)稱DoS攻擊）是最常見的破壞性攻擊。 DoS攻擊是利用TCP/IP協(xié)議的弱點(diǎn)或者系統(tǒng)存在的某些漏洞，對(duì)目標(biāo)計(jì)算機(jī)發(fā)起大規(guī)模的進(jìn)攻，以致被攻擊的計(jì)算機(jī)崩潰或消耗它的大部分資源來阻止其對(duì)合法用戶提供服務(wù)。但一般不對(duì)目標(biāo)計(jì)算機(jī)中的信息進(jìn)行修改。,2020/10/31,58,DoS攻擊是目前黑客常用的攻擊手法，可使用一些公開的軟件進(jìn)行攻擊，發(fā)動(dòng)這種攻擊較為簡(jiǎn)單而且在較短的時(shí)間內(nèi)即可達(dá)到明顯的效果，但要防止這類攻擊是非常困難的，從技術(shù)上看，目前還沒有根本的解決辦法。 常見的DoS攻擊

25、手段主要包括： 1Ping of Death 這是利用ICMP協(xié)議的一種碎片攻擊，它通過向目標(biāo)端口發(fā)送大量的超大尺寸的ICMP包來實(shí)現(xiàn)。當(dāng)目標(biāo)收到這些ICMP碎片包后，會(huì)在緩沖區(qū)里重新組合它們，由于這些包的尺寸太大，造成事先分配的緩沖區(qū)溢出，這時(shí)系統(tǒng)通常會(huì)崩潰或掛起。 在Windows環(huán)境下實(shí)現(xiàn)這種攻擊只需要在命令提示符下輸入以下命令即可： Ping -l 65535 t ,2020/10/31,59,2Teardrop Teardrop是一種利用碎片的攻擊方式，它利用那些在TCP/IP堆棧實(shí)現(xiàn)中所信任的IP碎片中的包的標(biāo)題頭所包含的信息來實(shí)現(xiàn)自己的攻擊。IP分段含有指示該分段所包含的是原包中

26、的哪一段的信息，某些系統(tǒng)在收到含有重疊偏移的偽造分段時(shí)會(huì)崩潰。 應(yīng)對(duì)這種攻擊的最有效方式就是安裝最新服務(wù)補(bǔ)丁。,2020/10/31,60,3UDP flood UDP flood通過偽造與某一主機(jī)的Chargen服務(wù)之間的一次UDP通信，回復(fù)地址指向開著Echo服務(wù)的一臺(tái)主機(jī)，這樣就在兩臺(tái)主機(jī)之間生成足夠多的無用數(shù)據(jù)流，導(dǎo)致帶寬被占滿。 應(yīng)對(duì)這種攻擊的方法是關(guān)閉不必要的TCP/IP服務(wù)，或者配置防火墻阻斷來自Internet的對(duì)這些服務(wù)的UDP請(qǐng)求。,2020/10/31,61,4SYN flood 兩臺(tái)主機(jī)之間建立TCP連接時(shí)，需要發(fā)送設(shè)置了SYN標(biāo)志的TCP報(bào)文，完成三次握手過程。如果向

27、某一主機(jī)發(fā)送大量建立連接的請(qǐng)求，但不應(yīng)答目標(biāo)主機(jī)返回的ACK消息，于是這些連接請(qǐng)求在隊(duì)列中排隊(duì)等候攻擊方的應(yīng)答。因收不到攻擊方的應(yīng)答從而導(dǎo)致隊(duì)列填滿，最終將不能接收正常的連接請(qǐng)求。 對(duì)于SYN Flood攻擊，可以在防火墻上過濾來自同一主機(jī)的后續(xù)連接。但這種方式并不十分有效，特別是應(yīng)對(duì)分布式的SYN Flood攻擊。,2020/10/31,62,5Land攻擊 在Land攻擊中，將構(gòu)造一個(gè)特別的SYN包，將它的源地址和目的地址都設(shè)置成被攻擊目標(biāo)服務(wù)器的地址，此舉將導(dǎo)致接收服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直到其超時(shí)

28、。對(duì)Land攻擊，許多UNIX系統(tǒng)將崩潰，而Windows NT系統(tǒng)將變得極其緩慢（大約持續(xù)5分鐘）。 應(yīng)對(duì)這種攻擊的方法是安裝最新補(bǔ)丁，或者配置防火墻過濾掉源地址與目的地址均相同的數(shù)據(jù)包，或者傳入的數(shù)據(jù)包的源地址為內(nèi)部地址的數(shù)據(jù)包。,2020/10/31,63,6Smurf攻擊 Smurf攻擊的基本原理是將ICMP應(yīng)答請(qǐng)求（Ping）數(shù)據(jù)包中的回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址，受害網(wǎng)絡(luò)中的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求作出回復(fù)，最終導(dǎo)致網(wǎng)絡(luò)阻塞，這種攻擊方式比Ping of death擴(kuò)散的流量高出12個(gè)數(shù)量級(jí)，更加復(fù)雜的Smurf攻擊將源地址改為第三方的地址，最終導(dǎo)致第三方崩潰。,2020

29、/10/31,64,7Fraggle攻擊 Fraggle攻擊是Smurf攻擊的改進(jìn)方法，它是通過UDP協(xié)議發(fā)送偽造來源的UDP廣播到目標(biāo)網(wǎng)絡(luò)，當(dāng)目標(biāo)網(wǎng)絡(luò)中的眾多主機(jī)回應(yīng)后，便可以造成網(wǎng)絡(luò)的阻塞，即使某些IP地址沒有回應(yīng)，其產(chǎn)生的ICMP包仍然可以達(dá)到DoS攻擊的效果。 為了防止黑客利用自己的網(wǎng)絡(luò)攻擊別人，可以關(guān)閉外部路由器或防火墻的廣播地址特性。為了防止受到這種攻擊，可以配置防火墻丟棄ICMP包。,2020/10/31,65,8畸形消息攻擊 畸形消息攻擊也可叫做系統(tǒng)漏洞攻擊，由于現(xiàn)在的各類操作系統(tǒng)上的許多服務(wù)都存在安全隱患，這些服務(wù)在處理信息之前沒有進(jìn)行適當(dāng)正確的錯(cuò)誤校驗(yàn)，導(dǎo)致其在接收到畸形的

30、信息之后可能會(huì)崩潰。 應(yīng)對(duì)這種攻擊的最有效方式就是安裝最新服務(wù)補(bǔ)丁。 9電子郵件炸彈 通過設(shè)置一臺(tái)計(jì)算機(jī)不斷地向同一地址發(fā)送大量的電子郵件，這樣將可能導(dǎo)致接受者網(wǎng)絡(luò)的帶寬被消耗殆盡。 對(duì)應(yīng)這種攻擊的有效方式就是配置郵件服務(wù)器自動(dòng)刪除來自同一主機(jī)的過量或重復(fù)的消息。,2020/10/31,66,10分布式拒絕服務(wù)攻擊 分布式拒絕服務(wù)攻擊DDoS（Distributed Denial of Service）采用了一種比較特別的體系結(jié)構(gòu)，攻擊者通過控制許多其它的主機(jī)，把它們作為跳板，利用這些主機(jī)同時(shí)攻擊目標(biāo)計(jì)算機(jī)，從而導(dǎo)致目標(biāo)計(jì)算機(jī)癱瘓，這種攻擊方式使得攻擊者可以很容易地隱藏自己的真實(shí)身份。 對(duì)于D

31、DoS攻擊，目前還沒有十分有效的防范措施。,2020/10/31,67,9.5.4 利用型攻擊, 口令破解 特洛伊木馬 緩沖區(qū)溢出攻擊,2020/10/31,68,利用型攻擊以控制對(duì)方系統(tǒng)為我所用為主要目標(biāo)。目標(biāo)計(jì)算機(jī)一旦被攻擊者控制，其上的信息就可能被竊取，文件可能被修改，甚至還可以利用目標(biāo)計(jì)算機(jī)作為跳板來攻擊其它計(jì)算機(jī)，一旦被對(duì)方追蹤，目標(biāo)計(jì)算機(jī)則成為了替罪羊。前面介紹的DDoS攻擊也是利用了這種攻擊中的部分技術(shù)才得以實(shí)現(xiàn)的。 典型的利用型攻擊手段有以下三種：,2020/10/31,69, 口令破解,口令也叫密碼（Password

32、），口令攻擊是網(wǎng)絡(luò)攻擊最簡(jiǎn)單，最基本的一種形式，黑客攻擊目標(biāo)時(shí)，常將破譯普通用戶的口令作為攻擊的開始。 1字典文件 2口令攻擊的方法 （1）字典攻擊 （2）強(qiáng)行攻擊 （3）組合攻擊,2020/10/31,70, 特洛伊木馬,1特洛伊木馬的概念 特洛伊木馬（Trojan Horse，簡(jiǎn)稱木馬）一詞來源于古希臘的神話故事。在計(jì)算機(jī)安全學(xué)中，特指一種計(jì)算機(jī)程序，該程序由攻擊者或者通過欺騙方式安裝到目標(biāo)系統(tǒng)上。一旦安裝成功，攻擊者就可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)。當(dāng)目標(biāo)系統(tǒng)啟動(dòng)時(shí)，木馬程序根據(jù)命令在目標(biāo)計(jì)算機(jī)上執(zhí)行一些操作，如傳送或刪除文件，竊取口令，重新啟動(dòng)計(jì)算機(jī)等。 NetCat、Back

33、 Orifice、NetBus、冰河和廣外男生等都是典型的木馬程序，它們能巧妙地運(yùn)行在目標(biāo)計(jì)算機(jī)系統(tǒng)中，而且不容易被發(fā)現(xiàn)。,2020/10/31,71,2木馬的工作方式 木馬程序一般利用TCP/IP協(xié)議，采用C/S結(jié)構(gòu)，分為客戶端和服務(wù)器端兩個(gè)部分。服務(wù)器端程序運(yùn)行在被攻擊的計(jì)算機(jī)上，而客戶端程序運(yùn)行在攻擊者的計(jì)算機(jī)上。客戶端程序可以同時(shí)向很多服務(wù)端程序發(fā)送命令以控制這些計(jì)算機(jī)。木馬服務(wù)器端程序可能會(huì)隱藏于網(wǎng)頁(yè)中，并在用戶瀏覽網(wǎng)頁(yè)時(shí)下載到計(jì)算機(jī)上運(yùn)行；也可能是附在郵件附件中，如果用戶運(yùn)行了該郵件附件中的程序，則服務(wù)器端程序?qū)⒈贿\(yùn)行；還有可能通過QQ、MSN和文件下載等方式傳播，一些惡意網(wǎng)站可能

34、是傳播特洛伊木馬的一個(gè)主要途徑。,2020/10/31,72,3木馬的分類 （1）按照對(duì)計(jì)算機(jī)的破壞方式分類 遠(yuǎn)程訪問型木馬：如BO 2000，NetSpy，冰河等都屬于這類木馬。 密碼發(fā)送型木馬：記錄輸入的各種密碼并發(fā)送給客戶端的控制程序。 鍵盤記錄型木馬：記錄所有鍵盤事件包括輸入的用戶名和密碼并生成Log文件，最后發(fā)送給控制者。 毀壞型木馬：以破壞對(duì)方計(jì)算機(jī)為主要目的 FTP型木馬：這類木馬一般在被攻擊的計(jì)算機(jī)上開啟FTP服務(wù)端口（21），使攻擊者不經(jīng)過密碼驗(yàn)證就可以登錄對(duì)方計(jì)算機(jī)，進(jìn)行文件的上傳與下載。,2020/10/31,73,（2）按傳輸方式分類 主動(dòng)型木馬：客戶端程序可以掃描到被

35、攻擊者，并由客戶端主動(dòng)連接到服務(wù)器端，實(shí)施對(duì)服務(wù)器端計(jì)算機(jī)的控制。 如冰河 反彈式木馬：利用防火墻對(duì)內(nèi)部發(fā)起的連接請(qǐng)求無條件信任的特點(diǎn)，假冒是系統(tǒng)的合法網(wǎng)絡(luò)請(qǐng)求來取得對(duì)外的端口，再通過某些方式連接到木馬的客戶端，從而竊取用戶計(jì)算機(jī)的資料，同時(shí)遙控計(jì)算機(jī)本身。如網(wǎng)絡(luò)神偷 嵌入式木馬：嵌入式木馬隱藏于一些已有的常用的網(wǎng)絡(luò)程序中，并利用宿主程序轉(zhuǎn)發(fā)木馬命令。 如廣外男生,2020/10/31,74, 緩沖區(qū)溢出攻擊,由于C語言中的strcpy（），strcat（）之類的函數(shù)不進(jìn)行長(zhǎng)度有效性檢查，因此，用戶可以往緩沖區(qū)寫入超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)向執(zhí)

36、行其它程序預(yù)設(shè)的指令，從而獲得控制權(quán)限，最終達(dá)到入侵的目的。 1988年，美國(guó)康奈爾大學(xué)的計(jì)算機(jī)科學(xué)系研究生、23歲的莫里斯利用UNIX fingered程序不限制輸入長(zhǎng)度的漏洞編寫了一個(gè)莫里斯（Morris）蠕蟲，它曾造成全世界6000多臺(tái)網(wǎng)絡(luò)服務(wù)器癱瘓。這就是一個(gè)典型的緩沖區(qū)溢出攻擊例子。,2020/10/31,75,9.5.5 網(wǎng)絡(luò)欺騙攻擊, DNS欺騙攻擊 電子郵件欺騙 Web欺騙 IP欺騙,2020/10/31,76, DNS欺騙攻擊,由于DNS服務(wù)器與其它名稱的服務(wù)器交換信息時(shí)并不進(jìn)行身份驗(yàn)證，這就使得攻擊者可以將不正確的信息摻進(jìn)來并把用戶引向攻擊者自己的主機(jī)。 從第2章中關(guān)于DNS的