計算機網絡安全基礎知識

計算機網絡安全基礎知識演講人：小Xx時間：20XX.XX.XXBasicKnowledgeofcomputernetworksecurity目錄真實工作任務分析技能目標知識鏈接操作步驟01020304真實工作任務分析01測試特理網絡的命令Ping（因特網包探索器）是用于測試網絡連接量的程序。它發(fā)送一個ICMP響應請求消息給目的地，并報告是否收到所希望的ICMP應答，校驗與遠程或本地計算機的連接。攻擊只需網中多臺電腦同時在Ping后加上參數-t對目標機進行長時間測試，從攻擊的意義而言就完成了一次Ping攻擊，大量的數據包將會使目標機運行速度越來越慢，甚至癱瘓。在DOS環(huán)境中完成這個命令，命令如下：格式：Ping目標IP地址–t例：Ping192.168.0.6–t系統(tǒng)內置的網絡測試工具ping-t——有這個參數時，當你ping一個主機時系統(tǒng)就不停的運行ping這個命令，直到你按下Control-C。-a——解析主機的NETBIOS主機名，如果你想知道你所ping的要機計算機名則要加上這個參數了，一般是在運用ping命令后的第一行就顯示出來。

-ncount——定義用來測試所發(fā)出的測試包的個數，缺省值為4。通過這個命令可以自己定義發(fā)送的個數，對衡量網絡速度很有幫助，比如我想測試發(fā)送20個數據包的返回的平均時間為多少，最快時間為多少，最慢時間為多少就可以通過執(zhí)行帶有這個參數的命令獲知。

-llength——定義所發(fā)送緩沖區(qū)的數據包的大小，在默認的情況下windows的ping發(fā)送的數據包大小為32byt，也可以自己定義，但有一個限制，就是最大只能發(fā)送65500byt，超過這個數時，對方就很有可能因接收的數據包太大而死機，所以微軟公司為了解決這一安全漏洞于是限制了ping的數據包大小。

-f——在數據包中發(fā)送“不要分段”標志，一般你所發(fā)送的數據包都會通過路由分段再發(fā)送給對方，加上此參數以后路由就不會再分段處理。-ittl——指定TTL值在對方的系統(tǒng)里停留的時間，此參數同樣是幫助你檢查網絡運轉情況的。

-vtos——將“服務類型”字段設置為“tos”指定的值。

-rcount——在“記錄路由”字段中記錄傳出和返回數據包的路由。一般情況下你發(fā)送的數據包是通過一個個路由才到達對方的，但到底是經過了哪些路由呢？通過此參數就可以設定你想探測經過的路由的個數，不過限制在了9個，也就是說你只能跟蹤到9個路由。

-scount——指定“count”指定的躍點數的時間戳，此參數和-r差不多，只是這個參數不記錄數據包返回所經過的路由，最多也只記錄4個。

-jhost-list——利用“computer-list”指定的計算機列表路由數據包。連續(xù)計算機可以被中間網關分隔IP允許的最大數量為9。

-khost-list——利用“computer-list”指定的計算機列表路由數據包。連續(xù)計算機不能被中間網關分隔IP允許的最大數量為9。

-wtimeout——指定超時間隔，單位為毫秒。destination-list——是指要測試的主機名或IP地址pingIP-t——連續(xù)對IP地址執(zhí)行Ping命令。pingIP-l2000——指定Ping命令中的數據長度為2000字節(jié)，而不是缺省的32字節(jié)。pingIP-n——執(zhí)行特定次數的Ping命令。Ping命令的常用參數選項-t參數—有這個參數時，當你ping一個主機時系統(tǒng)就不停的運行ping這個命令，直到你按下Control-C。C:\WINDOWS>ping192.168.1.188-tPinging192.168.1.188with32bytesofdata:Replyfrom192.168.1.188:bytes=32time<10msTTL=64Replyfrom192.168.1.188:bytes=32time<10msTTL=64Replyfrom192.168.1.188:bytes=32time<10msTTL=64Replyfrom192.168.1.188:bytes=32time<10msTTL=64Replyfrom192.168.1.188:bytes=32time<10msTTL=64Replyfrom192.168.1.188:bytes=32time<10msTTL=64Replyfrom192.168.1.188:bytes=32time<10msTTL=64Replyfrom192.168.1.188:bytes=32time<10msTTL=64Pingstatisticsfor192.168.1.188:Packets:Sent=8,Received=8,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=0ms,Average=0msControl-C

-a——解析主機的NETBIOS主機名，如果你想知道你所ping的計算機名則要加上這個參數了，一般是在運用ping命令后的第一行就顯示出來。C:\WINDOWS>ping-a192.168.1.100

Pinging000[192.168.1.100]with32bytesofdata:

Replyfrom192.168.1.100:bytes=32time<10msTTL=128Replyfrom192.168.1.100:bytes=32time<10msTTL=128Replyfrom192.168.1.100:bytes=32time<10msTTL=128Replyfrom192.168.1.100:bytes=32time<10msTTL=128

Pingstatisticsfor192.168.1.100:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=0ms,Average=0ms可以得知：ip為192.168.1.100的計算機，NETBIOS名為000-ncount——定義用來測試所發(fā)出的測試包的個數，缺省值為4。

通過這個命令可以自己定義發(fā)送的個數，對衡量網絡速度很有幫助，比如我想測試發(fā)送20個數據包的返回的平均時間為多少，最快時間為多少，最慢時間為多少就可以通過執(zhí)行帶有這個參數的命令獲知。

C:\WINDOWS>ping-n10192.168.1.188Pinging192.168.1.188with32bytesofdata:Replyfrom192.168.1.188:bytes=32time<10msTTL=64Replyfrom192.168.1.188:bytes=32time<10msTTL=64Replyfrom192.168.1.188:bytes=32time<10msTTL=64Replyfrom192.168.1.188:bytes=32time<10msTTL=64Replyfrom192.168.1.188:bytes=32time<10msTTL=64Replyfrom192.168.1.188:bytes=32time<10msTTL=64Replyfrom192.168.1.188:bytes=32time<10msTTL=64Replyfrom192.168.1.188:bytes=32time<10msTTL=64Replyfrom192.168.1.188:bytes=32time<10msTTL=64Replyfrom192.168.1.188:bytes=32time<10msTTL=64Pingstatisticsfor192.168.1.188:Packets:Sent=10,Received=10,Lost=0(0%loss)Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=

0ms,Average=0ms向IP為192.168.1.188的計算機，發(fā)送10個數據包，發(fā)送10個，返回10個，沒有丟包。C:\>ping-l65500-t192.168.1.21

Pinging192.168.1.21with65500bytesofdata:

Replyfrom192.168.1.21:bytes=65500time<10msTTL=254

Replyfrom192.168.1.21:bytes=65500time<10msTTL=254

………………這樣它就會不停的向192.168.1.21計算機發(fā)送大小為65500byt的數據包，如果你只有一臺計算機也許沒有什么效果，但如果有很多計算機那么就可以使對方完全癱瘓。技能目標02掌握利用工具軟件檢測系統(tǒng)漏洞的方法掌握Ping攻擊與防范方法0201知識鏈接03計算機網絡安全特征網絡面臨的威脅計算機網絡安全定義010203網絡安全定義隨著網絡技術的不斷發(fā)展,網絡在人們的生活中已經占有一席之地,為人們的生活帶來了很大方便。然而，網絡也不是完美無缺的，它在給人們帶來驚喜的同時，也帶來了威脅。計算機犯罪、黑客、有害程序和后門問題等嚴重威脅著網絡的安全。目前，網絡安全問題等嚴重威脅著網絡的安全。網絡的安全策略一般分為三類：邏輯上的，物理上的和政策上的。邏輯上的措施，即研究開發(fā)有效的網絡安全技術，例如，安全協(xié)議、密碼技術、數字簽名、防火墻、安全管理、安全審計等。網絡安全定義計算機網絡安全是指保持網絡中的硬件、軟件系統(tǒng)正常運行，使它們不因自然和人為的因素而受到破壞更改和泄露。網絡安全主要包括物理安全、軟件安全、數據安全和運行安全等4個方面。網絡安全定義計算機網絡安全的特征

由于網絡安全威脅的多樣性、復雜性及網絡信息、數據的重要性，在設計網絡系統(tǒng)的安全時，應該努力達到安全目標。一個安全的網絡具有下面五個特征：可靠性、可用性、保密性、完整性和不可低賴性。1）可靠性可靠性是網絡安全最基本的要求之一，是指系統(tǒng)在規(guī)定條件下和規(guī)定時間內完成規(guī)定功能的概率。

(2)可用性是指信息和通信服務在需要時允許授權人或實體使用。（3）保密性保密性指防止信息泄漏給非授權個人或實體,信息只為授權用戶使用.保密性是面向信息的安全要求。

（4）完整性完整性也是面向信息的安全要求。它是指信息不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞的特性。（5）不可抵賴性不可抵賴性也稱作不可否認性，是面向通信雙方（人、實體或進程）信息真實的安全要求。

網絡面臨的內部威脅

1．計算機系統(tǒng)的脆弱性計算機系統(tǒng)的脆弱性主要來自計算機操作系統(tǒng)的不安全性，在網絡環(huán)境下，還來源于網絡通信協(xié)議的不安全性。

2．網絡內部的威脅對網絡內部的威脅主要是來自網絡內部的用戶，這些用戶試圖訪問那些不允許使用的資源和服務器。可以分為兩種情況：一種是有意的安全破壞，第二種是由于用戶安全意識差造成的無意識的操作失誤，使得系統(tǒng)或網絡誤操作或崩潰。網絡面臨的外部威脅除了受到來自網絡內部的安全威脅外，網絡還受到來自外界的各種各樣的威脅。網絡系統(tǒng)的威脅是多樣的，因為在網絡系統(tǒng)中可能存在許多種類的計算機和操作系統(tǒng)，采用統(tǒng)一的安全措施是不容易的，也是不可能的，而對網絡進行集中安全管理則是一種好的方案。安全威脅主要可以歸結為物理威脅、網絡威脅、身份鑒別、編程、系統(tǒng)漏洞等方面。操作步驟04第1步：添加IP安全策略。我們首先要做的就是，在控制臺中添加IP安全策略單元，添加步驟如下：（1）依次點擊【開始】→【運行】，然后在【運行】窗口中輸入“mmc”并回車，此時將會打開【控制臺1】窗口，如下圖所示。

【操作步驟】（2）在圖1-1所示窗口依次點擊【文件】→【添加/刪除管理單元】→【添加】，此時將會打開【添加/刪除管理單元】窗口，我們在此窗口下的列表中雙擊“IP安全策略管理”，如圖下所示。

（3）這時將會彈出【選擇計算機域】窗口，在此我們選中【本地計算機】，然后點擊【完成】按鈕，最后依次點擊【關閉】→【確定】，返回【控制臺1】主界面，此時我們將會發(fā)現(xiàn)在【控制臺根節(jié)點】下多了【IP安全策略，在本地計算機】（如圖1-3所示）項，此時可以說明控制臺中已經添加了IP安全策略項。

第2步：創(chuàng)建IP安全策略。在我們添加了IP安全策略后，還要創(chuàng)建一個新的IP安全策略，步驟如下：（1）在圖1-3中右鍵點擊【IP安全策略，在本地機器】選項，執(zhí)行【創(chuàng)建IP安全策略】命令，此時將會打開【IP安全策略向導】窗口。（2）單擊【下一步】按鈕，此時將會出現(xiàn)要求指定IP安全策略名稱及描述向導頁面，我們可以在【描述】下輸入一個策略描述，比如【禁止Ping】，如圖1-4所示。

（3）點擊【下一步】，然后在出現(xiàn)的頁面中確保選中了【激活默認相應規(guī)則】項，然后單擊【下一步】。（4）在出現(xiàn)的【默認響應規(guī)則身份驗證方法】對話框中選中【此字符串用來保護密鑰交換（預共享密鑰）】選項，然后在下面的文字框中任意鍵入一段字符串（如“禁止Ping”），如圖1-5所示。（5）單擊【下一步】，此時將會出現(xiàn)完成IP安全策略向導頁面窗口，最后單擊【完成】按鈕即完成了IP安全策略的創(chuàng)建工作。在以上IP安全策略創(chuàng)建后，在控制臺中就會看到剛剛創(chuàng)建好的【新IP安全策略】項，下面還要對其屬性進行編輯修改，步驟如下；（1）在控制臺中雙擊創(chuàng)建好的新IP安全策略，此時將會彈出【新IP安全策略屬性】窗口，如圖1-6所示。第3步：編輯IP安全策略屬性。（2）單擊【添加】按鈕，此時將會彈出【安全規(guī)則向導】窗口，直接點擊【下一步】則進入【隧道終結點】頁面，在此點選【此規(guī)則不指定隧道】。（3）單擊【下一步】此時將會出現(xiàn)【網絡類型】頁面，在該頁面中我們點選【所有網絡連接】項，這樣就能保證所有的計算機都Ping不通該主機了，如圖1-7所示。

（4）單擊【下一步】，此時將會出現(xiàn)【身份驗證方法】頁面，我們繼續(xù)選中【此字符串用來保護密鑰交換（預共享密鑰）】項，然后在下面的輸入框中輸入“禁止Ping”的文字，如下圖所示。

（5）單擊【下一步】，然后在打開的【IP篩選器列表】頁面中單擊【添加】按鈕，此時將會打開【IP篩選器列表】窗口，如下圖所示。

（6）在【IP篩選器列表】窗口中單擊【添加】按鈕，此時將會彈出【IP篩選器向導】窗口，我們單擊【下一步】，此時將會彈出【IP通信源】頁面，在該頁面中設置【源地址】為“我的IP地址”，如圖1-10所示。

（7）單擊【下一步】按鈕，我們在彈出的頁面中設置【目標地址】為【任何IP地址】，任何IP地址的計算機都不能Ping你的機器，如圖1-11所示。

（8）點擊【下一步】，然后在出現(xiàn)的【IP協(xié)議類型】頁面中設置【選擇協(xié)議類型】為“ICMP”，如圖1-12所示。

（9）依次單擊【下一步】→【完成】，此時，你將會在【IP篩選器列表】看到剛創(chuàng)建的篩選器，將其選中后單擊【下一步】，在出現(xiàn)的【篩選器操作】頁面中設置篩選器操作為【需要安全】選項，如圖1-13所示。（10）點擊【下一步】，然后依次點擊【完成】→【確定】→【關閉】按鈕，保存相關的設置返回控制臺即可。

安全策略創(chuàng)建完畢后并不能馬上生效，我們還需通過【指派】功能令其發(fā)揮作用。方法是：在【控制臺根節(jié)點】中右擊【新的IP安全策略】項，然后在彈出的右鍵菜單中執(zhí)行【指派】命令，即可啟用該策略，如圖1-14所示。第4步：指派IP安全策略。

至此，這臺主機已經具備了拒絕其他任何機器Ping自己IP地址的功能，不過在本地仍然能夠Ping通自己。經過這樣的設置之后，所有用戶（包括管理員）都不能在其他機器上對此服務器進行Ping操作，不用擔心被Ping威脅了。系統(tǒng)安全評估計算機系統(tǒng)的安全評估是對系統(tǒng)安全性的檢驗和監(jiān)督。系統(tǒng)安全評估包括了構成計算機系統(tǒng)的物理網絡和系統(tǒng)的運行過程、系統(tǒng)提供的服務以及這種過程與服務中的管理、保證能力的安全評估安全評估標準的重要性在于：1）用戶可依據標準，選用符合自己應用安全級別的、評定了安全等級的計算機系統(tǒng)，然后，在此基礎上再采取安全措施。2）一個計算機系統(tǒng)是建立在相應的操作系統(tǒng)之上的，離開了操作系統(tǒng)的安全，也就無法保證整個計算機系統(tǒng)的安全。所以，軟件生產廠商應該滿足用戶的需求，提供各種安全等級的操作系統(tǒng)。3）建立系統(tǒng)中其他部件（如數據庫系統(tǒng)、應用軟件、計算機網絡等）的安全評估標準，可以使它們配合并適應相應的操作系統(tǒng)，以實現(xiàn)更完善的安全性能。課堂小結:計算機網絡安全指保持網絡中的硬件、軟件系統(tǒng)正常運行，使它們不因各種因素受到破壞更改和泄露。網絡受到的威脅來自于網絡的內部和外部兩個方面。計算機系統(tǒng)的安全評估是對系統(tǒng)安全性的檢驗和監(jiān)督。在我國，常見的計算機系統(tǒng)安全等級的劃分有兩種：一種是依據美國國防部發(fā)表的評估計算機系統(tǒng)安全等級的桔皮書；一種是我國頒布的《計算機信息系統(tǒng)安全保護等級劃分準則》。

第1步：運行X-Scan主程序，即可打開其操作窗口，如圖1-15所示。

第2步：選擇【設置】→【掃描參數】菜單項，即可打開【掃描參數】窗口，在【檢測范圍】模塊的【指定IP范圍】文本框中，輸入要檢測的目標主機的域名或IP地址，也可以對多個IP進行檢測（例如輸入“192.168.0.1-192.168.0.255”來對處于這個網段的所有主機進行檢測），如圖1-16所示。

第3步：在【全局設置】模塊中，可以對要掃描的模塊、端口等進行設置，【掃描模塊】