第8章 網(wǎng)絡安全技術(shù)

第8章網(wǎng)絡安全技術(shù)學習目標了解黑客的歷史理解網(wǎng)絡攻擊模型掌握常見的網(wǎng)絡攻擊技術(shù)掌握常見的防范技術(shù)第8章網(wǎng)絡安全技術(shù)8.1概述8.2常見的攻擊技術(shù)8.3常見的防范技術(shù)8.1概述8.1.1黑客的歷史黑客指那些熱衷于研究、發(fā)現(xiàn)計算機系統(tǒng)和網(wǎng)絡中存在的漏洞，并給出完善這些漏洞的方法的計算機愛好者們。黑客事件黑客文化8.1.2網(wǎng)絡攻擊模型典型的網(wǎng)絡攻擊的一般分為以下幾步：準備工作

實施攻擊

開辟后門

清除痕跡

8.2常見的攻擊技術(shù)8.2.1掃描技術(shù)端口掃描,端口掃描，顧名思義，就是逐個對一段端口或指定的端口進行掃描。端口掃描的原理：手動或用程序自動的向目標主機的各個端口發(fā)送不同的探測數(shù)據(jù)包，目標主機的端口狀態(tài)不同，對這些探測包的回應包就有所不同，分析這些回應包，就可得出遠程主機的端口開放情況。端口掃描技術(shù)有多種類型，根據(jù)所采用的協(xié)議主要可以分為：TCP掃描和UDP掃描。全連接掃描全連接掃描指在掃描主機同目標主機的目標端口之間，經(jīng)過三次握手，建立起一個完整地TCP連接，之后判斷目標端口是否開放的方法。TCPConnect()掃描、TCP反向Ident掃描半連接掃描半連接掃描指端口掃描并沒有完成一個完整的TCP連接，而是在掃描主機和目標主機建立次連接時，只完成三次握手的前兩次握手便中斷連接。TCPSYN掃描秘密掃描秘密掃描是一種審計工具所檢測不到的掃描技術(shù)。TCPFIN掃描、TCPACK掃描、NULL掃描、XMAS掃描、TCP分段掃描等。UDP掃描UDP是無連接的協(xié)議，不需要建立連接過程漏洞掃描

系統(tǒng)安全漏洞也叫系統(tǒng)脆弱性(vulnerability)，簡稱漏洞，是計算機系統(tǒng)在硬件、軟件、協(xié)議的設計和實現(xiàn)過程中或系統(tǒng)安全策略上存在的缺陷和不足。漏洞掃描技術(shù)是建立在端口掃描技術(shù)的基礎之上的，主要通過以下兩種方法來檢查目標主機是否存在漏洞：基于漏洞庫的掃描基于模擬攻擊的掃描8.2.2網(wǎng)絡監(jiān)聽網(wǎng)絡監(jiān)聽原理局域網(wǎng)的工作模式按照局域網(wǎng)中信息的交換方式分類，可分為共享式局域網(wǎng)和交換式局域網(wǎng)。網(wǎng)卡的工作模式根據(jù)網(wǎng)卡對收到的數(shù)據(jù)包的處理方式不同，可以將網(wǎng)卡的工作模式分為正常模式和混雜模式(PromiscuousMode)兩種。共享式局域網(wǎng)的網(wǎng)絡監(jiān)聽在共享式局域網(wǎng)中進行監(jiān)聽，只需將局域網(wǎng)中的一臺主機的網(wǎng)卡設置成混雜模式，并在其上面運行相應的監(jiān)聽軟件即可。交換式局域網(wǎng)的網(wǎng)絡監(jiān)聽為了實現(xiàn)監(jiān)聽交換式局域網(wǎng)的目的，可以采用MACFlooding和ARP欺騙等方法。網(wǎng)絡監(jiān)聽防范使用加密技術(shù)網(wǎng)絡分段8.2.3拒絕服務攻擊拒絕服務（DenialofService，簡稱DoS），指當系統(tǒng)崩潰或其帶寬耗盡或其存儲空間已滿，導致其不能提供正常服務的狀態(tài)。拒絕服務攻擊是指攻擊者通過某種手段，有意地造成計算機或網(wǎng)絡不能正常運轉(zhuǎn)，從而不能向合法用戶提供所需要的服務，或者使其服務質(zhì)量降低的一種攻擊行為。典型拒絕服務攻擊方法

LAND攻擊SYN洪水攻擊UDP洪水攻擊Fraggle攻擊TearDrop（淚滴）攻擊Ping-of-deathSmurf分布式拒絕服務攻擊8.2.4身份欺騙技術(shù)IP欺騙IP欺騙的防范禁止基于IP地址的信任關系使用復雜的序列號變換算法ARP欺騙

ARP協(xié)議工作原理ARP欺騙過程ARP欺騙防范8.2.5計算機病毒計算機病毒是一種人為制造的、在計算機運行中對計算機信息或系統(tǒng)起破壞作用的程序。計算機病毒的結(jié)構(gòu)引導模塊感染模塊破壞模塊病毒的種類

按感染的系統(tǒng)分類按感染的對象分類按感染的方式分類按傳播介質(zhì)分類8.2.6木馬木馬一般由客戶端和服務器端兩部分組成。木馬的特征

隱蔽性自動運行性自動恢復性功能的特殊性木馬的分類

遠程訪問型木馬密碼發(fā)送型木馬鍵盤記錄型木馬破壞型木馬FTP型木馬代理木馬病毒和木馬的防范不要打開來歷不明的郵件不要執(zhí)行來歷不明的軟件或程序到正規(guī)的網(wǎng)站下載軟件安裝殺毒軟件和防火墻查殺可移動存儲設備后再打開定時升級系統(tǒng)、殺毒軟件定時殺毒8.3常見的防范技術(shù)8.3.1密碼及認證技術(shù)密碼技術(shù)根據(jù)算法加密和解密過程中所采用的密鑰是否相同或可逆，可將密碼技術(shù)分為對稱密碼技術(shù)和非對稱密碼技術(shù)。數(shù)字簽名Hash函數(shù)Hash函數(shù)是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數(shù)。結(jié)合Hash函數(shù)的數(shù)字簽名流程身份認證技術(shù)

帳號密碼認證磁卡認證生物特征認證USBKey認證8.3.2防火墻防火墻是指設置在受保護網(wǎng)絡和外部網(wǎng)絡之間的一系列部件的組合，防止外部網(wǎng)絡用戶以非法手段進入受保護網(wǎng)絡內(nèi)部訪問資源。防火墻的作用

防火墻是安檢口防火墻是隔離帶防火墻是審計員防火墻的缺點不能防止不經(jīng)過防火墻的攻擊；不能完全防止感染病毒的文件的傳輸；不能防止數(shù)據(jù)驅(qū)動式攻擊。防火墻的種類

包過濾防火墻應用級防火墻防火墻的體系結(jié)構(gòu)雙宿主機模式屏蔽主機模式屏蔽子網(wǎng)模式8.3.3入侵檢測入侵檢測（IntrusionDetectionSystem，簡稱IDS）是一種積極主動地安全防護技術(shù)，通過實時收集和分析計算機網(wǎng)絡中的信息，來檢測是否出現(xiàn)違反安全策略的行為，或出現(xiàn)受到攻擊的跡象，并采取相應的保護措施。入侵檢測系統(tǒng)的功能

監(jiān)控并分析用戶和系統(tǒng)的活動審計系統(tǒng)的配置和漏洞評估關鍵系統(tǒng)資源和數(shù)據(jù)文件的完整性識別已知的攻擊行為統(tǒng)計分析異常行為記錄相關日志實時報警和主動響應入侵檢測系統(tǒng)模型

入侵檢測系統(tǒng)分類

基于主機的IDS基于網(wǎng)絡的IDS8.3.4蜜罐技術(shù)蜜罐技術(shù)原理

欺騙技術(shù)數(shù)據(jù)包捕獲數(shù)據(jù)分析數(shù)據(jù)控制蜜罐的優(yōu)缺點蜜罐技術(shù)的優(yōu)點主要包括：收集到的數(shù)據(jù)絕對真實；蜜罐技術(shù)比較簡單；善于發(fā)現(xiàn)新攻擊方法；低成本。蜜罐技術(shù)的缺點主要包括：需要投入較多的時間和精力；蜜罐技術(shù)不能直接防護有漏洞的系統(tǒng)；蜜罐會帶來一定的安全風險。8.3.5數(shù)據(jù)備份與恢復數(shù)據(jù)備份是指將數(shù)據(jù)以某種方式多保存幾份，在系統(tǒng)遭受破壞或其它特定情況下，重新利用保存的數(shù)據(jù)的