藍色科技網(wǎng)絡安全技術介紹關注網(wǎng)絡安全PPT模板

網(wǎng)絡完全為人民網(wǎng)絡完全靠人民匯報人：目錄網(wǎng)絡攻擊概述網(wǎng)絡攻擊技術網(wǎng)絡攻擊防御技術安全操作系統(tǒng)概述網(wǎng)絡攻擊概述TheaveragepersonisalwayswaitingforanopportunitytocomeTheaveragepersonisalwayswaitingforanTheaveragepersonisalwayswaitingforanopportunitytocomeThe第01部分一、網(wǎng)絡黑客概念懷有不良企圖，強行闖入遠程計算機系統(tǒng)或惡意干擾遠程系統(tǒng)完整性，通過非授權的訪問權限，盜取數(shù)據(jù)甚至破壞計算機系統(tǒng)的“入侵者”稱為黑客。攻擊目的竊取信息；獲取口令；控制中間站點；獲得超級用戶權限等網(wǎng)絡攻擊概述實例：1983年，“414黑客”，6名少年黑客被控侵入60多臺電腦1987年，赫爾伯特·齊恩（“影子鷹”），闖入沒過電話電報公司1988年，羅伯特·莫里斯“蠕蟲程序”，造成1500萬到1億美元的經(jīng)濟損失。1990年，“末日軍團”，4名黑客中有3人被判有罪。1995年，米特尼克偷竊了2萬個信用卡號，8000萬美元的巨額損失。1998年2月，德國計算機黑客米克斯特，使用美國七大網(wǎng)站陷于癱瘓狀態(tài)網(wǎng)絡攻擊概述1998年，兩名加州少年黑客，以色列少年黑客分析家，查詢五角大樓網(wǎng)站并修改了工資報表和人員數(shù)據(jù)。1999年4月，“CIH”病毒，保守估計全球有6千萬部電腦感染。1999年，北京江民KV300殺毒軟件，損失260萬元。2000年2月，“雅虎”、“電子港灣”、亞馬孫、微軟網(wǎng)絡等美國大型國際互聯(lián)網(wǎng)網(wǎng)站，損失超過了10億美元。2000年4月，闖入電子商務網(wǎng)站的威爾斯葛雷，估計導致的損失可能超過300萬美元。網(wǎng)絡攻擊概述二、網(wǎng)絡攻擊的目標目標：系統(tǒng)、數(shù)據(jù)（數(shù)據(jù)占70%）系統(tǒng)型攻擊特點：攻擊發(fā)生在網(wǎng)絡層，破壞系統(tǒng)的可用性，使系統(tǒng)不能正常工作，可能留下明顯的攻擊痕跡。數(shù)據(jù)型攻擊特點：發(fā)生在網(wǎng)絡的應用層，面向信息，主要目的是為了篡改和偷取信息，不會留下明顯的痕跡。（注：著重加強數(shù)據(jù)安全，重點解決來自內(nèi)部的非授權訪問和數(shù)據(jù)的保密工作。）網(wǎng)絡攻擊概述一.阻塞類攻擊通過強制占有信道資源、網(wǎng)絡連接資源及存儲空間資源，使服務器崩潰或資源耗盡而無法對外繼續(xù)提供服務（例如拒絕服務攻擊）。常見方法：TCPSYN洪泛攻擊、Land攻擊、Smurf攻擊及電子郵件炸彈等攻擊后果：使目標系統(tǒng)死機；使端口處于停頓狀態(tài)；在計算機屏幕上發(fā)現(xiàn)雜亂信息、改變文件名稱、刪除關鍵的程序文件；扭曲系統(tǒng)的資源狀態(tài)，使系統(tǒng)的處理速度降低。二.探測類攻擊收集目標系統(tǒng)的各種與網(wǎng)絡安全有關的信息，為下一步入侵提供幫助。包括：掃描技術（采用模擬攻擊形式對可能存在的安全漏洞進行逐項檢查）、體系結構刺探及系統(tǒng)信息服務收集等網(wǎng)絡攻擊概述試圖獲得對目標主機控制權的。常見方法：口令攻擊、特洛伊木馬、緩沖區(qū)溢出攻擊控制類攻擊通過冒充合法網(wǎng)絡主機或通過配置、設置一些假信息來騙取敏感信息。常見方法：ARP緩存虛構、DNS告訴緩沖污染及偽造電子郵件等欺騙類攻擊非法用戶未經(jīng)授權通過系統(tǒng)硬件或軟件存在的某中形式的安全方面的脆弱性獲得訪問權或提高其訪問權限。漏洞類攻擊指對目標主機的各種數(shù)據(jù)與軟件實施破壞的一類攻擊。常見方法：計算機病毒、邏輯炸彈破壞類攻擊網(wǎng)絡攻擊概述網(wǎng)絡攻擊技術TheaveragepersonisalwayswaitingforanopportunitytocomeTheaveragepersonisalwayswaitingforanTheaveragepersonisalwayswaitingforanopportunitytocomeThe第02部分一、網(wǎng)絡攻擊的一般模型概述網(wǎng)絡攻擊一般模型：經(jīng)歷四個階段搜索信息獲取權限消除痕跡深入攻擊網(wǎng)絡攻擊技術1、搜集信息（攻擊的偵查階段）隱藏地址：尋找“傀儡機”,隱藏真實IP地址。鎖定目標：尋找、確定攻擊目標。了解目標的網(wǎng)絡結構、網(wǎng)絡容量、目錄及安全狀態(tài)搜索系統(tǒng)信息：分析信息，找到弱點攻擊。網(wǎng)絡攻擊技術2、獲取權限利用探測到的信息分析目標系統(tǒng)存在的弱點和漏洞，選擇合適的攻擊方式，最終獲取訪問權限或提升現(xiàn)有訪問權限。3、消除痕跡清除事件日記、隱藏遺留下的文件、更改某些系統(tǒng)設置4、深入攻擊進行信息的竊取或系統(tǒng)的破壞等操作。網(wǎng)絡攻擊技術二、常用網(wǎng)絡攻擊的關鍵技術通過端口掃描可以搜集目標主機的系統(tǒng)服務端口的開放情況，進行判斷目標的功能使用情況，一旦入侵成功后將后門設置在高端口或不常用的端口，入侵者通過這些端口可以任意使用系統(tǒng)的資源。1、端口掃描技術網(wǎng)絡攻擊技術（1）常用的端口掃描技術TCPconnect（）掃描：使用connect（），建立與目標主機端口的連接。若端口正在監(jiān)聽，connect（）成功返回；否則說明端口不可訪問。任何用戶都可以使用connect（）。TCPSYN掃描：即半連接掃描。掃描程序發(fā)送SYN數(shù)據(jù)包，若發(fā)回的響應是SYN/ACK表明該端口正在被監(jiān)聽，RST響應表明該端口沒有被監(jiān)聽。若接收到的是SYN/ACK，則發(fā)送RST斷開連接。（主機不會記錄這樣的連接請求，但只有超級用戶才能建立這樣的SYN數(shù)據(jù)包）。網(wǎng)絡攻擊技術TCPFIN掃描：關閉的端口用正確的RST應答發(fā)送的對方發(fā)送的FIN探測數(shù)據(jù)包，相反，打開的端口往往忽略這些請求。Fragmentation掃描：將發(fā)送的探測數(shù)據(jù)包分成一組很小的IP包，接收方的包過濾程序難以過濾。UDPrecfrom（）和write（）掃描ICMPecho掃描：使用ping命令，得到目標主機是否正在運行的信息。TCP反向Ident掃描：FTP返回攻擊UDPICMP端口不能到達掃描網(wǎng)絡攻擊技術定義一種自動檢測遠程或本地主機安全弱點的程序，可以不留痕跡地發(fā)現(xiàn)遠程服務器的各種TCP端口的發(fā)配及提供的服務。（2）掃描器工作原理通過選用遠程TCP/IP不同的端口服務，記錄目標給予的回答。三項功能發(fā)現(xiàn)一個主機或網(wǎng)絡的功能；一旦發(fā)現(xiàn)主機，發(fā)現(xiàn)什么服務正在運行在主機上的功能；測試這些服務發(fā)現(xiàn)漏洞的功能。網(wǎng)絡攻擊技術1網(wǎng)絡監(jiān)聽技術是指截獲和復制系統(tǒng)、服務器、路由器或防火墻等網(wǎng)絡設備中所有網(wǎng)絡通信信息。2、網(wǎng)絡監(jiān)聽技術2網(wǎng)卡接收數(shù)據(jù)方式：廣播方式、組播方式、直接方式、混雜模式3基本原理：數(shù)據(jù)包發(fā)送給源主機連接在一起的所有主機，但是只有與數(shù)據(jù)包中包含的目的地址一致的主機才能接收數(shù)據(jù)包。若主機工作在監(jiān)聽模式下，則可監(jiān)聽或記錄下同一網(wǎng)段上的所有數(shù)據(jù)包。網(wǎng)絡攻擊技術3、網(wǎng)絡欺騙技術定義：是利用TCP/IP協(xié)議本身的缺陷對TCP/IP網(wǎng)絡進行攻擊的技術。IP欺騙：選定目標，發(fā)現(xiàn)主機間的信任模式，使目標信任的主機喪失工作能力，TCP序列號的取樣和預測，冒充被信任主機進入目標系統(tǒng)，實施破壞并留下后門。ARP欺騙對路由器ARP表的欺騙：原理是截獲網(wǎng)關數(shù)據(jù)。對局域網(wǎng)內(nèi)個人計算機的網(wǎng)絡欺騙：原理是偽造網(wǎng)關。后果：影響局域網(wǎng)正常運行；泄露用戶敏感信息網(wǎng)絡攻擊技術密碼攻擊的方法：（1）通過網(wǎng)絡監(jiān)聽非法得到用戶密碼：采用中途截獲的方法獲取用戶賬戶和密碼。（2）密碼窮舉破解：在獲取用戶的賬號后使用專門軟件強行破解用戶密碼。（口令猜解、字典攻擊、暴力猜解）4、密碼破解技術指通過猜測或其他手段獲取合法用戶的賬號和密碼，獲得主機或網(wǎng)絡的訪問權，并能訪問到用戶能訪問的任何資源的技術。網(wǎng)絡攻擊技術定義：簡稱DoS技術，是針對TCP/IP協(xié)議的缺陷來進行網(wǎng)絡攻擊的手段。通過向服務器傳送大量服務要求，使服務器充斥著這種要求恢復的信息，耗盡網(wǎng)絡帶寬或系統(tǒng)資源，最終導致網(wǎng)絡或系統(tǒng)癱瘓、停止正常工作。5、拒絕服務技術常見攻擊模式：資源消耗型、配置修改型、服務利用型新型拒絕服務攻擊技術：分布式拒絕服務攻擊、分布式反射拒絕服務攻擊網(wǎng)絡攻擊技術三、常用網(wǎng)絡攻擊工具端口掃描工具網(wǎng)絡安全掃描器NSS、安全管理員的網(wǎng)絡分析工具SATAN、SuperScan網(wǎng)絡監(jiān)聽工具：X-Scan、Sniffer、NetXray、tcpdump、winpcap等密碼破解工具是能將口令解譯出來，或者讓口令保護失效的程序。拒絕服務攻擊工具DoS工具：死亡之ping、Teardrop、TCPSYN洪水、Land、SmurfDDoS工具：TFN、TFN2k、Trinoo、mstream、shaft等網(wǎng)絡攻擊技術網(wǎng)絡攻擊防御技術TheaveragepersonisalwayswaitingforanopportunitytocomeTheaveragepersonisalwayswaitingforanTheaveragepersonisalwayswaitingforanopportunitytocomeThe第03部分一、網(wǎng)絡攻擊的防范策略提高安全意識：從使用者自身出發(fā)，加強使用者的自身素質(zhì)和網(wǎng)絡安全意識。訪問控制策略：保證網(wǎng)絡安全的最核心策略之一，主要任務是保證網(wǎng)絡資源不被非法使用和非法訪問。數(shù)據(jù)加密策略：最有效的技術之一，通過對網(wǎng)內(nèi)數(shù)據(jù)、文件、口令和控制信息進行加密從而達到保護網(wǎng)上傳輸?shù)臄?shù)據(jù)的目的。網(wǎng)絡安全管理策略：確定安全管理登記和安全管理范圍；指定有關網(wǎng)絡操作實驗規(guī)程和人員管理制度；指定網(wǎng)絡系統(tǒng)的維護制度和應急措施。網(wǎng)絡攻擊防御技術二、常見的網(wǎng)絡攻擊防御方法1、端口掃描的防范方法關閉閑置和有潛在危險的端口發(fā)現(xiàn)有端口掃描的癥狀時，立即屏蔽該端口：可使用防火墻實現(xiàn)網(wǎng)絡攻擊防御技術2、網(wǎng)絡監(jiān)聽的防范方法對網(wǎng)絡監(jiān)聽攻擊采取的防范措施：網(wǎng)絡分段：將IP地址按節(jié)點計算機所在網(wǎng)絡的規(guī)模的大小分段，可以對數(shù)據(jù)流進行限制。加密：可對數(shù)據(jù)的重要部分進行加密，也可對應用層加密一次性密碼技術劃分VLAN：使用虛擬局域網(wǎng)技術，將以太網(wǎng)通信變成點到點的通信。對可能存在的網(wǎng)絡監(jiān)聽的檢測方法：用正確的IP地址和錯誤的物理地址ping可能正在運行監(jiān)聽程序的主機。向網(wǎng)上發(fā)送大量不存在的物理地址的包，用于降低主機性能。使用反監(jiān)聽工具進行檢測。網(wǎng)絡攻擊防御技術3、IP欺騙的防范方法進行包過濾：只在內(nèi)網(wǎng)之間使用信任關系，對于外網(wǎng)主機的連接請求可疑的直接過濾掉。使用加密技術：對信息進行加密傳輸和驗證拋棄IP信任驗證：放棄以IP地址為基礎的驗證。網(wǎng)絡攻擊防御技術4、密碼破解的防范方法密碼不要寫下來不要將密碼保存在計算機文件中不要選取顯而易見的信息做密碼不要再不同系統(tǒng)中使用同一密碼定期改變密碼設定密碼不宜過短，最好使用字母、數(shù)字、標點符號、字符混合網(wǎng)絡攻擊防御技術5、拒絕服務的防范方法（1）拒絕服務的防御策略：建立邊界安全界限，確保輸出的數(shù)據(jù)包收到正確限制。經(jīng)常檢測系統(tǒng)配置信息，并建立完整的安全日志。利用網(wǎng)絡安全設備加固網(wǎng)絡的安全性，配置好設備的安全規(guī)則，過濾所有可能的偽造數(shù)據(jù)包。網(wǎng)絡攻擊防御技術死亡之ping的防范方法：設置防火墻，阻斷ICMP以及任何未知協(xié)議。、Teardrop的防范方法：在服務器上應用最新的服務包，設置防火墻對分段進行重組，不轉發(fā)它們。TCPSYN洪水的防范方法：關掉不必要的TCP/IP服務，或配置防火墻過濾來自同一主機的后續(xù)連接。Land的防范方法：配置防火墻，過濾掉外部結構上入棧的含有內(nèi)部源地址的數(shù)據(jù)包。Smurf的防范方法：關閉外部路由器或防火墻的廣播地址特征，或通過在防火墻上設置規(guī)則，丟棄ICMP包。（2）具體DOS防范方法：網(wǎng)絡攻擊防御技術三、入侵檢測技術通過從計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，以發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。一、概述監(jiān)控、分析用戶和系統(tǒng)的活動對系統(tǒng)配置和漏洞的審計估計關鍵系統(tǒng)和數(shù)據(jù)文件的完整性識別和反應入侵活動的模式并向網(wǎng)絡管理員報警對異常行為模式的統(tǒng)計分析操作系統(tǒng)審計跟蹤管理，識別違反策略的用戶活動二、功能網(wǎng)絡攻擊防御技術三、入侵檢測技術入侵行為與用戶的正常行為存在可量化的差別，通過檢測當前用戶行為的相關記錄，從而判斷攻擊行為是否發(fā)生。統(tǒng)計異常檢測技術1對合法用戶在一段時間內(nèi)的用戶數(shù)據(jù)收集，然后利用統(tǒng)計學測試方法分析用戶行為，以判斷用戶行為是否合法。分為基于行為剖面的檢測和閾值檢測。規(guī)則的檢測技術2通過觀察系統(tǒng)里發(fā)生的事件并將該時間與系統(tǒng)的規(guī)則進行匹配，來判斷該事件是否與某條規(guī)則所代表的入侵行為相對應。分為基于規(guī)則的異常檢測和基于規(guī)則的滲透檢測網(wǎng)絡攻擊防御技術四、入侵檢測過程信息收集在網(wǎng)絡系統(tǒng)中的不同網(wǎng)段、不同主機收集系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為等相關數(shù)據(jù)信息分析匹配模式：將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)已有的模式數(shù)據(jù)庫進行匹配，進而發(fā)現(xiàn)違反安全策略的行為。網(wǎng)絡攻擊防御技術統(tǒng)計分析首先給系統(tǒng)對象創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性。這個測量屬性的平均值將與網(wǎng)絡、系統(tǒng)的行為進行比較，是否處于正常范圍之內(nèi)。完整性分析關注某個固定的對象是否被更改。網(wǎng)絡攻擊防御技術五、入侵檢測系統(tǒng)的基本類型基于主機的入侵檢測系統(tǒng)使用操作系統(tǒng)的審計日志作為數(shù)據(jù)源輸入，根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件。依賴于審計數(shù)據(jù)和系統(tǒng)日志的準確性、完整性以及安全事件的定義?；诰W(wǎng)絡的入侵檢測系統(tǒng)使用整個網(wǎng)絡上傳輸?shù)男畔⒘髯鳛檩斎?，通過被動地監(jiān)聽捕獲網(wǎng)絡數(shù)據(jù)包，并分析、檢測網(wǎng)絡上發(fā)生的網(wǎng)絡入侵行為。但只能檢測直接連接網(wǎng)絡的通信，不能檢測不同網(wǎng)段的網(wǎng)絡包。分布式入侵檢測系統(tǒng)（混合型）網(wǎng)絡攻擊防御技術六、入侵檢測系統(tǒng)應對攻擊的技術當檢測到入侵或攻擊時，采取適當?shù)拇胧┳柚谷肭趾凸舻倪M行。入侵響應知道對方的物理地址、IP地址、域名、應用程序地址等就可以跟蹤對方。入侵跟蹤技術網(wǎng)絡攻擊防御技術四、蜜罐技術蜜罐系統(tǒng)是互聯(lián)網(wǎng)上運行的計算機系統(tǒng)，可以被攻擊，對于攻擊方入侵的過程和行為進行監(jiān)視、檢測和分析，進而追蹤入侵者。蜜罐系統(tǒng)是一個包含漏洞的誘騙系統(tǒng)，是一種被監(jiān)聽、被攻擊或已被入侵的資源，通過模擬一個或多個易被攻擊的主機，給攻擊者提供一個容易攻擊的目標，而拖延攻擊者對真正目標的攻擊，讓其在蜜罐上浪費時間。蜜罐系統(tǒng)關鍵技術：服務偽裝、漏洞提供蜜罐技術缺陷：