計算機網(wǎng)絡(luò)安全(包括網(wǎng)絡(luò)安全-防火墻應(yīng)用-計算機病毒-黑客概念和防治)幻燈片

計算機網(wǎng)絡(luò)安全1.計算機網(wǎng)絡(luò)安全概述

2.計算機病毒

3.關(guān)于黑客的了解與防范

4.防火墻的基本知識計算機網(wǎng)絡(luò)安全計算機網(wǎng)絡(luò)安全概述隨著Internet迅猛發(fā)展和網(wǎng)絡(luò)社會化的到來，網(wǎng)絡(luò)已經(jīng)無所不在地影響著社會的政治、經(jīng)濟、文化、軍事、意識形態(tài)和社會生活等各個方面。同時在全球范圍內(nèi)，針對重要信息資源和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的入侵行為和企圖入侵行為的數(shù)量仍在持續(xù)不斷增加，網(wǎng)絡(luò)攻擊與入侵行為對國家安全、經(jīng)濟和社會生活造成了極大的威脅。因此，網(wǎng)絡(luò)安全已成為世界各國當今共同關(guān)注的焦點。安全在字典中的定義是為防范間諜活動或蓄意破壞、犯罪、攻擊而采取的措施，將安全的一般含義限定在計算機網(wǎng)絡(luò)范疇，網(wǎng)絡(luò)安全就是為防范計算機網(wǎng)絡(luò)硬件、軟件、數(shù)據(jù)偶然或蓄意破壞、篡改、竊聽、假冒、泄露、非法訪問和保護網(wǎng)絡(luò)系統(tǒng)持續(xù)有效工作的措施總和網(wǎng)絡(luò)安全包括數(shù)據(jù)的保密性、數(shù)據(jù)的完整性、數(shù)據(jù)的可用性、數(shù)據(jù)的可控性和不可抵賴性5個要素。保密性就是確保信息不暴露給未授權(quán)實體或進程，僅允許授權(quán)用戶訪問；完整性就是要保證數(shù)據(jù)不被未授權(quán)修改；可用性就是指授權(quán)用戶和實體能訪問數(shù)據(jù)；可控性是指控制授權(quán)范圍內(nèi)的信息流向和操作方式，如對信息的訪問、傳播及內(nèi)容具有控制能力；不可抵賴性是指對出現(xiàn)的安全問題提供審查依據(jù)與手段，即所有通信參與者都不能否認自己曾經(jīng)的操作和承諾。網(wǎng)絡(luò)面臨的安全威脅計算機網(wǎng)絡(luò)所面臨的威脅有三種：硬件安全、軟件安全和數(shù)據(jù)安全。硬件包括網(wǎng)絡(luò)中的各種設(shè)備及其元配件，接插件及線纜等；軟件包括網(wǎng)絡(luò)操作系統(tǒng)、各種驅(qū)動程序、通信軟件及其他應(yīng)用軟件；數(shù)據(jù)包括系統(tǒng)的配置文件、日志文件、用戶資料、各種重要的敏感的數(shù)據(jù)庫及其網(wǎng)絡(luò)上兩臺機器之間的通信內(nèi)容等機密信息。08年上半年網(wǎng)絡(luò)安全報告大陸有200多萬的IP地址被植入僵尸程序僵尸網(wǎng)絡(luò)被篡改網(wǎng)站比07年上半年增加23.7%，總計為35113個網(wǎng)站網(wǎng)絡(luò)仿冒事件同比增長38%網(wǎng)頁惡意代碼事件同比增長近1倍被植入木馬主機中國大陸被控主機IP數(shù)達302526個發(fā)布單位：國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心8TOP10應(yīng)用威脅（OWASP）網(wǎng)絡(luò)安全目標網(wǎng)絡(luò)安全的最終目標就是通過各種技術(shù)與管理手段實現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)的可靠性、保密性、完整性、有效性、可控性和拒絕否認性。可靠性（reliability）是所有信息系統(tǒng)正常運行的基本前提，通常指信息系統(tǒng)能夠在規(guī)定的條件與時間內(nèi)完成規(guī)定功能的特性?？煽匦裕╟ontrollability）是指信息系統(tǒng)對信息內(nèi)容和傳輸具有控制能力的特性。拒絕否認性（no-repudiation）也稱為不可抵賴性或不可否認性，拒絕否認性是指通信雙方不能抵賴或否認已完成的操作和承諾，利用數(shù)字簽名能夠防止通信雙方否認曾經(jīng)發(fā)送和接收信息的事實。在多數(shù)情況下，網(wǎng)絡(luò)安全更側(cè)重強調(diào)網(wǎng)絡(luò)信息的保密性、完整性和有效性。1.保密性保密性（confidentiality）是指信息系統(tǒng)防止信息非法泄露的特性，信息只限于授權(quán)用戶使用，保密性主要通過信息加密、身份認證、訪問控制、安全通信協(xié)議等技術(shù)實現(xiàn)，信息加密是防止信息非法泄露的最基本手段。2.完整性完整性（integrity）是指信息未經(jīng)授權(quán)不能改變的特性，完整性與保密性強調(diào)的側(cè)重點不同。保密性強調(diào)信息不能非法泄露，而完整性強調(diào)信息在存儲和傳輸過程中不能被偶然或蓄意修改、刪除、偽造、添加、破壞或丟失，信息在存儲和傳輸過程中必須保持原樣。信息完整性表明了信息的可靠性、正確性、有效性和一致性，只有完整的信息才是可信任的信息。3.有效性有效性（Availability）是指信息資源容許授權(quán)用戶按需訪問的特性，有效性是信息系統(tǒng)面向用戶服務(wù)的安全特性。信息系統(tǒng)只有持續(xù)有效，授權(quán)用戶才能隨時、隨地根據(jù)自己的需要訪問信息系統(tǒng)提供的服務(wù)。網(wǎng)絡(luò)安全模型為了實現(xiàn)網(wǎng)絡(luò)安全目標，安全研究人員希望通過構(gòu)造網(wǎng)絡(luò)安全理論模型獲得完整的網(wǎng)絡(luò)安全解決方案。早期的網(wǎng)絡(luò)安全模型主要從安全操作系統(tǒng)、信息加密、身份認證、訪問控制和服務(wù)安全訪問等方面來保障網(wǎng)絡(luò)系統(tǒng)的安全性，但網(wǎng)絡(luò)安全解決方案是一個涉及法律、法規(guī)、管理、技術(shù)和教育等多個因素的復(fù)雜系統(tǒng)工程，單憑幾個安全技術(shù)不可能保障網(wǎng)絡(luò)系統(tǒng)的安全性。事實上，安全只具有相對意義，絕對的安全只是一個理念，任何安全模型都不可能將所有可能的安全隱患都考慮周全。因此，理想的網(wǎng)絡(luò)安全模型永遠不會存在。網(wǎng)絡(luò)安全模型安全策略保護檢測響應(yīng)PPDR網(wǎng)絡(luò)安全模型網(wǎng)絡(luò)安全模型安全保護是網(wǎng)絡(luò)安全的第一道防線，包括安全細則、安全配置和各種安全防御措施，能夠阻止絕大多數(shù)網(wǎng)絡(luò)入侵和危害行為。入侵檢測是網(wǎng)絡(luò)安全的第二道防線，目的是采用主動出擊方式實時檢測合法用戶濫用特權(quán)、第一道防線遺漏的攻擊、未知攻擊和各種威脅網(wǎng)絡(luò)安全的異常行為，通過安全監(jiān)控中心掌握整個網(wǎng)絡(luò)的運行狀態(tài)，采用與安全防御措施聯(lián)動方式盡可能降低威脅網(wǎng)絡(luò)安全的風險。網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全策略是保障機構(gòu)網(wǎng)絡(luò)安全的指導(dǎo)文件，一般而言，網(wǎng)絡(luò)安全策略包括總體安全策略和具體安全管理實施細則?？傮w安全策略用于構(gòu)建機構(gòu)網(wǎng)絡(luò)安全框架和戰(zhàn)略指導(dǎo)方針，包括分析安全需求、分析安全威脅、定義安全目標、確定安全保護范圍、分配部門責任、配備人力物力、確認違反策略的行為和相應(yīng)的制裁措施?？傮w安全策略只是一個安全指導(dǎo)思想，還不能具體實施，在總體安全策略框架下針對特定應(yīng)用制定的安全管理細則才規(guī)定了具體的實施方法和內(nèi)容。安全策略總則（1）均衡性原則網(wǎng)絡(luò)安全策略需要在安全需求、易用性、效能和安全成本之間保持相對平衡，科學(xué)制定均衡的網(wǎng)絡(luò)安全策略是提高投資回報和充分發(fā)揮網(wǎng)絡(luò)效能的關(guān)鍵。（2）時效性原則由于影響網(wǎng)絡(luò)安全的因素隨時間有所變化，導(dǎo)致網(wǎng)絡(luò)安全問題具有顯著的時效性。（3）最小化原則網(wǎng)絡(luò)系統(tǒng)提供的服務(wù)越多，安全漏洞和威脅也就越多。因此，應(yīng)當關(guān)閉網(wǎng)絡(luò)安全策略中沒有規(guī)定的網(wǎng)絡(luò)服務(wù)；以最小限度原則配置滿足安全策略定義的用戶權(quán)限；及時刪除無用賬號和主機信任關(guān)系，將威脅網(wǎng)絡(luò)安全的風險降至最低。安全策略內(nèi)容（1）網(wǎng)絡(luò)硬件物理安全（2）網(wǎng)絡(luò)連接安全（3）操作系統(tǒng)安全（4）網(wǎng)絡(luò)服務(wù)安全（5）數(shù)據(jù)安全（6）安全管理責任（7）網(wǎng)絡(luò)用戶安全責任網(wǎng)絡(luò)安全漏洞與威脅

軟件漏洞

軟件漏洞（flaw）是指在設(shè)計與編制軟件時沒有考慮對非正常輸入進行處理或錯誤代碼而造成的安全隱患，軟件漏洞也稱為軟件脆弱性（vulnerability）或軟件隱錯（bug）。軟件漏洞產(chǎn)生的主要原因是軟件設(shè)計人員不可能將所有輸入都考慮周全，因此，軟件漏洞是任何軟件存在的客觀事實。軟件產(chǎn)品通常在正式發(fā)布之前，一般都要相繼發(fā)布α版本、β版本和γ版本供反復(fù)測試使用，目的就是為了盡可能減少軟件漏洞。軟件漏洞圖1.4攻擊事件趨勢圖圖1.3軟件漏洞趨勢圖網(wǎng)絡(luò)協(xié)議漏洞網(wǎng)絡(luò)協(xié)議漏洞類似于軟件漏洞，是指網(wǎng)絡(luò)通信協(xié)議不完善而導(dǎo)致的安全隱患。截止到目前，Internet上廣泛使用的TCP/IP協(xié)議族幾乎所有協(xié)議都發(fā)現(xiàn)存在安全隱患安全管理漏洞網(wǎng)絡(luò)安全技術(shù)只是保證網(wǎng)絡(luò)安全的基礎(chǔ)，網(wǎng)絡(luò)安全管理才是發(fā)揮網(wǎng)絡(luò)安全技術(shù)的根本保證。因此，網(wǎng)絡(luò)安全問題并不是一個純技術(shù)問題，從網(wǎng)絡(luò)安全管理角度看，網(wǎng)絡(luò)安全首先應(yīng)當是管理問題。許多安全管理漏洞只要提高安全管理意識完全可以避免，如常見的系統(tǒng)缺省配置、脆弱性口令等。系統(tǒng)缺省配置主要考慮的是用戶友好性，但方便使用的同時也就意味著更多的安全隱患。計算機病毒1、計算機病毒的定義可以從不同角度給出計算機病毒的定義。一種定義是通過磁盤、磁帶和網(wǎng)絡(luò)等作為媒介傳播擴散,能“傳染”其他程序的程序。另一種是能夠?qū)崿F(xiàn)自身復(fù)制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為制造的程序,它通過不同的途徑潛伏或寄生在存儲媒體（如磁盤、內(nèi)存）或程序里。當某種條件或時機成熟時,它會自生復(fù)制并傳播,使計算機的資源受到不同程序的破壞等等。簡單地說，計算機病毒是一種特殊的計算機程序，這種程序像微生物學(xué)中所稱的病毒一樣在計算機系統(tǒng)中繁殖、生存和傳播；也像微生物學(xué)中的病毒給動植物帶來病毒那樣對計算機資源造成嚴重的破壞。因此人們借用這個微生物學(xué)名詞來形象地描述這種具有危害性的程序為“計算機病毒”。舉例一:莫里斯的蠕蟲病毒1988年11月2日，美國重要的計算機網(wǎng)絡(luò)——Internet中約6000臺電腦系統(tǒng)遭到了計算機病毒的攻擊，造成了整個網(wǎng)絡(luò)的癱瘓，直接經(jīng)濟損失近億美元。這次事件的病毒制造者是美國康奈爾大學(xué)研究生羅伯特·莫里斯，他向互聯(lián)網(wǎng)上傳了一個“蠕蟲”程序，其本意是要檢驗網(wǎng)絡(luò)的安全狀況。然而，由于程序中一個小小的錯誤，使“蠕蟲”的運行失去了控制，上網(wǎng)后12個小時這只“蠕蟲”迅速感染了6200多個系統(tǒng)。在被感染的電腦里，“蠕蟲”高速自我復(fù)制，高速擠占電腦系統(tǒng)里的硬盤空間和內(nèi)存空間，最終導(dǎo)致其不堪重負而癱瘓。由于它占用了大量的系統(tǒng)資源，實際上使網(wǎng)絡(luò)陷入癱瘓，大量的數(shù)據(jù)和資料毀于一旦。舉例二：“熊貓燒香”病毒“熊貓燒香”是一個蠕蟲病毒，會終止大量的反病毒軟件和防火墻軟件進程，病毒會刪除系統(tǒng)備份文件，使用戶無法使恢復(fù)操作系統(tǒng)。

“熊貓燒香”感染系統(tǒng)的眾多文件，添加病毒網(wǎng)址，導(dǎo)致用戶一打開這些網(wǎng)頁文件，IE就會自動連接到指定的病毒網(wǎng)址中下載病毒。感染后的文件圖標變成右邊圖片上面的“熊貓燒香”圖案。熊貓燒香，所有exe文件變成熊貓燒香圖標，無限復(fù)制，系統(tǒng)崩潰。2、計算機病毒的特點計算機病毒具有以下特點：（1）破壞性（2）寄生性（3）傳染性（4）潛伏性（5）隱蔽性（7）不可預(yù)知性（6）未經(jīng)授權(quán)而執(zhí)行3、計算機病毒的分類及危害計算機病毒的分類有以下：1.傳染方式：引導(dǎo)型病毒、文件型病毒、混合型病毒。2.連接方式：源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、外殼型病毒。3.破壞性：惡性病毒、良性病毒。4.宏病毒。4.計算機病毒及其防治計算機病毒的分類傳統(tǒng)病毒（單機環(huán)境下）引導(dǎo)型病毒：就是用病毒的全部或部分邏輯取代正常的引導(dǎo)記錄，而將正常的引導(dǎo)記錄隱藏在磁盤的其它地方，這樣系統(tǒng)一啟動病毒就獲得了控制權(quán)。

“大麻”病毒和“小球”病毒。文件型病毒：病毒寄生在可執(zhí)行程序體內(nèi)，只要程序被執(zhí)行，病毒也就被激活，病毒程序會首先被執(zhí)行，并將自身駐留在內(nèi)存，然后設(shè)置觸發(fā)條件，進行傳染。如“CIH病毒”。4.計算機病毒及其防治如“TaiwanNO.1”宏病毒?；旌闲筒《荆杭雀腥究蓤?zhí)行文件又感染磁盤引導(dǎo)記錄的病毒?；旌闲筒《颈灰栏皆诳蓤?zhí)行文件上，當病毒文件執(zhí)行時，首先感染硬盤的主引導(dǎo)扇區(qū)，并駐留在系統(tǒng)內(nèi)存中，又對系統(tǒng)中的可執(zhí)行文件進行感染。就這樣重復(fù)上述過程，導(dǎo)致病毒的傳播。計算機病毒檢測當發(fā)生了下列現(xiàn)象時，應(yīng)該想到計算機有可能感染了病毒：顯示器上出現(xiàn)了莫名其妙的數(shù)據(jù)或圖案；數(shù)據(jù)或文件發(fā)生了丟失；程序的長度發(fā)生了改變；程序運行發(fā)生異常；4.計算機病毒及其防治磁盤的空間發(fā)生了改變，明顯縮小；系統(tǒng)運行速度明顯減慢；經(jīng)常發(fā)生死機現(xiàn)象；訪問外設(shè)時發(fā)生異常，如不能正確打印等。如果發(fā)現(xiàn)計算機病毒感染的跡象，應(yīng)及時用反病毒軟件進行檢測，及時清除病毒。4.計算機病毒及其防治日常防毒措施計算機一旦感染上病毒，輕者影響計算機系統(tǒng)運行速度、重者破壞系統(tǒng)數(shù)據(jù)甚至硬件設(shè)備，造成整個計算機系統(tǒng)癱瘓。硬件有價，數(shù)據(jù)無價，計算機病毒對計算機系統(tǒng)造成的損失很難用金錢估算。為了預(yù)防計算機病毒的侵害，平時應(yīng)注意以下幾點：“預(yù)防為主，防治結(jié)合”

4.計算機病毒及其防治安裝實時監(jiān)控的殺毒軟件或防毒卡，定期更新病毒庫；定期查殺病毒，以便查殺新出現(xiàn)的病毒。經(jīng)常運行WindowsUpdate，安裝操作系統(tǒng)的補丁程序；安裝防火墻工具，設(shè)置相應(yīng)的訪問規(guī)則，過濾不安全的站點訪問；使用外來磁盤之前，要先用殺毒軟件掃描，確認無毒后再使用。不隨意打開來歷不明的電子郵件及附件；以防其中帶有病毒程序而感染計算機。4.計算機病毒及其防治從Internet下載軟件時，要選擇正規(guī)的、有名氣的下載站點下載，軟件下載后要及時用殺毒軟件進行查毒。不隨意安裝來歷不明的插件程序；不隨意打開陌生人傳來的頁面鏈接，謹防惡意網(wǎng)頁中隱藏的木馬程序；不使用盜版的游戲軟件；4.計算機病毒及其防治病毒的傳染途徑——

磁盤、光盤、網(wǎng)絡(luò)預(yù)防

(1)不要用來歷不明的磁盤和軟件。

(2)經(jīng)常殺毒：用清潔的啟動盤啟動計算機，再用殺毒軟件清除病毒?？共《炯夹g(shù)硬件技術(shù)：計算機防病毒卡

軟件技術(shù)：使用常用的殺毒軟件

瑞星、金山毒霸、3604.計算機病毒及其防治計算機黑客1、計算機黑客計算機黑客是指那些在計算機技術(shù)上有特長的人，或是對計算機系統(tǒng)、軟硬件、通信系統(tǒng)的程序設(shè)計入迷的人。憑借自己掌握的技術(shù)知識，采用非法的手段逃過計算機網(wǎng)絡(luò)系統(tǒng)的存取控制而獲得進入計算機網(wǎng)絡(luò)，進行末經(jīng)授權(quán)的或非法的訪問的人?！昂诳汀币辉~來源于英語動詞hack，意為“劈，砍”，也就意味著“辟出，開辟”.目前黑客這一群體包括各種各樣的人，起初的“黑客”并沒有貶義成分，直到后來，少數(shù)懷有不良企圖的，為了個人利益的計算機技術(shù)人員非法侵入他人網(wǎng)站，竊取他人資料等進行計算機犯罪活動，這就是我們所說的駭客“Cracker”。還有一類是中國最多的人叫做朋客，惡作劇者，他未必具有很高的技術(shù)，只能憑借傻瓜型的黑客工具完成對個人電腦的工具，喜歡跟你開玩笑，通常用一些簡單的攻擊手段去搞一搞BBS、聊天室等。

據(jù)統(tǒng)計，全球每20秒就有一起系統(tǒng)入侵事件發(fā)生，僅美國一年所造成的經(jīng)濟損失就超過100億美元。由于在大多數(shù)人眼里的黑客就是指入侵者，因而這里也將黑客理解為“入侵者”或“攻擊者”。黑客攻擊的步驟1、收集信息和系統(tǒng)掃描1)收集要攻擊目標系統(tǒng)的相關(guān)信息這些信息包括目標系統(tǒng)的位置、路由、目標系統(tǒng)的結(jié)構(gòu)及技術(shù)細節(jié)等?？梢杂靡韵碌墓ぞ呋騾f(xié)議來完成信息收集。Ping程序、Tracert程序、Finger協(xié)議、DNS服務(wù)器、SNMP協(xié)議、whois協(xié)議。2)系統(tǒng)掃描 為進一步獲取系統(tǒng)及網(wǎng)絡(luò)信息，使用以下工具進行有針對性地窺探。Nmap：判斷OS類型及版本，嗅探系統(tǒng)開放的Service。Cheops：圖形化的網(wǎng)絡(luò)嗅探工具，能夠管理Linux異構(gòu)網(wǎng)絡(luò)，獲取系統(tǒng)漏洞信息。

2、探測系統(tǒng)安全弱點入侵者根據(jù)收集到的目標網(wǎng)絡(luò)的有關(guān)信息，對目標網(wǎng)絡(luò)上的主機進行探測，以發(fā)現(xiàn)系統(tǒng)的弱點和安全漏洞。發(fā)現(xiàn)系統(tǒng)弱點和漏洞的主要方法有：1)利用“補丁”找到突破口攻擊者通過分析“補丁”程序的接口，自己編寫程序通過該接口入侵目標系統(tǒng)。2)利用掃描器發(fā)現(xiàn)安全漏洞可以對整個網(wǎng)絡(luò)或子網(wǎng)進行掃描，尋找安全漏洞。系統(tǒng)管理員使用掃描器可以及時發(fā)現(xiàn)系統(tǒng)存在的安全隱患，從而完善系統(tǒng)的安全防御體系；而攻擊者使用此類工具，用于發(fā)現(xiàn)系統(tǒng)漏洞。目前比較流行的掃描器有因特網(wǎng)安全掃描程序ISS(InternetSecurityScanner)，安全管理員網(wǎng)絡(luò)分析工具SATAN(SecurityAdministratorToolforAnalyzingNetworks)、NSS、Nessus等。3、實施攻擊攻擊者通過上述方法找到系統(tǒng)的弱點后，就可以對系統(tǒng)實施攻擊。攻擊者的攻擊行為一般可以分為以下3種表現(xiàn)形式：1)掩蓋行跡，預(yù)留后門攻擊者潛入系統(tǒng)后，會盡量銷毀可能留下的痕跡，并在受損害系統(tǒng)中找到新的漏洞或留下后門，以備下次光顧時使用。2)安裝探測程序攻擊者可能在系統(tǒng)中安裝探測軟件，即使攻擊者退出去以后，探測軟件仍可以窺探所在系統(tǒng)的活動，收集攻擊者感興趣的信息，如：用戶名、賬號、口令等，并源源不斷地把這些秘密傳給幕后的攻擊者。3)取得特權(quán)，擴大攻擊范圍攻擊者可能進一步發(fā)現(xiàn)受損害系統(tǒng)在網(wǎng)絡(luò)中的信任等級，然后利用該信任等級所具有的權(quán)限，對整個系統(tǒng)展開攻擊。如果攻擊者獲得根用戶或管理員的權(quán)限，后果將不堪設(shè)想。黑客攻擊策略步驟主要攻擊方法1、獲取口令獲取口令一般有3種方法：1)通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令。監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶賬號和口令；2)知道用戶的賬號后，利用一些專門軟件暴力破解用戶口令。3)在獲得一個服務(wù)器上的用戶口令文件(在Unix中此文件稱為Shadow文件)后，用暴力破解程序破解用戶口令。是在本地將加密后的口令與Shadow文件中的口令相比較就能非常容易地破獲用戶密碼，尤其對那些弱口令(如：123456，666666，hello，admin等)，在極短的時間內(nèi)就會被破解。主要攻擊方法2、WWW欺騙技術(shù)用戶可以利用IE瀏覽器進行各種各樣的Web站點的訪問，正在訪問的網(wǎng)頁可能被黑客篡改，網(wǎng)頁上的信息是虛假的。例如，攻擊者將用戶要瀏覽的網(wǎng)頁的URL改寫為指向攻擊者自己的服務(wù)器，當用戶瀏覽目標網(wǎng)頁的時候，實際上是向攻擊者的服務(wù)器發(fā)出請求，那么黑客就可以達到欺騙的目的。主要攻擊方法3、電子郵件攻擊電子郵件攻擊上要表現(xiàn)為兩種方式：1)郵件炸彈，指的是用偽造的IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計、萬計甚至無窮多次的內(nèi)容相同的垃圾郵件，致使受害人郵箱被“炸”，嚴重者可能會給電子郵件服務(wù)器操作系統(tǒng)帶來危險，甚至癱瘓；2)攻擊者佯稱作系統(tǒng)管理員(郵件地址和系統(tǒng)管理員完全相同)，給用戶發(fā)送郵件要求用戶修改口令(口令可能為指定字符串)或在看似正常的附件中加載病毒或其他木馬程序，這類欺騙只要用戶提高警惕，一般危害性不大。主要攻擊方法4、網(wǎng)絡(luò)嗅探網(wǎng)絡(luò)嗅探是將網(wǎng)卡置于一種混雜模式(Promiscuous)的工作模式，在這種模式下，主機可以接收到本網(wǎng)段同一條物理通道上傳輸?shù)乃行畔ⅲ还苓@些信息的接受方是誰。此時，如果兩臺主機進行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具(例如Sniffer、NetXray等工具)就可以輕而易舉地截取包括口令和賬號在內(nèi)的信息資料。5、尋找系統(tǒng)漏洞現(xiàn)有的操作系統(tǒng)或應(yīng)用軟件，大多會存在一些設(shè)計上的Bug，這些Bug通常也被看作是系統(tǒng)的漏洞，在補丁程序沒有被開發(fā)和公開之前，這樣的系統(tǒng)一般很難防御黑客的破壞。此外，還有一些漏洞是出于系統(tǒng)管理員配置錯誤引起的，這也會給攻擊者帶來可乘之機，因此系統(tǒng)在有效使用前，應(yīng)正確配置和初始化，遇到問題及時加以修正。主要攻擊方法6、DoS（DenialofService）攻擊DoS攻擊，即拒絕服務(wù)攻擊，是指一個用戶占據(jù)了大量的共享資源，使系統(tǒng)沒有剩余的資源給其他用戶提供服務(wù)的一種攻擊力式。拒絕服務(wù)攻擊的結(jié)果可以降低系統(tǒng)資源的可用性，這些資源可以是網(wǎng)絡(luò)帶寬、CPU時間、磁盤空間、打印機，甚至是系統(tǒng)管理員的時間。7、緩沖區(qū)溢出攻擊利用緩沖區(qū)溢出攻擊可以導(dǎo)致程序運行失敗、系統(tǒng)崩潰等后果。更為嚴重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進而進行各種非法操作。緩沖區(qū)溢出攻擊之所以成為一種常見安全攻擊手段，攻擊者可以植入并且執(zhí)行攻擊代碼。被植入的攻擊代碼以一定的權(quán)限運行有緩沖區(qū)溢出漏洞的程序，從而得到被攻擊主機的控制權(quán)。19801985199019952000密碼猜測可自動復(fù)制的代碼密碼破解利用已知的漏洞破壞審計系統(tǒng)后門會話劫持擦除痕跡嗅探包欺騙GUI遠程控制自動探測掃描拒絕服務(wù)www攻擊工具攻擊者入侵者水平攻擊手法半開放隱蔽掃描控制臺入侵檢測網(wǎng)絡(luò)管理DDOS攻擊2002高１.4常見的攻擊方法及技術(shù)的發(fā)展2005黑客產(chǎn)業(yè)鏈入侵者入侵服務(wù)器竊取機密信息、商業(yè)信息、虛擬資產(chǎn)出售收費傳播流氓軟件獲取金錢拒絕服務(wù)攻擊發(fā)送垃圾郵件批量入侵網(wǎng)站盜取銀行帳號盜取信用卡帳號盜取證券交易帳號盜取虛擬財產(chǎn)組建僵尸網(wǎng)絡(luò)洗錢主動攻擊勒索網(wǎng)站受雇攻擊收取傭金發(fā)現(xiàn)黑客入侵后的對策

1.估計形勢當證實遭到入侵時，采取的第一步行動是盡可能快地估計入侵造成的破壞程度。

2.采取措施（1）殺死這個進程來切斷黑客與系統(tǒng)的連接。

（2）使用工具詢問他們究竟想要做什么。（3）跟蹤這個連接，找出黑客的來路和身份。

（4）管理員可以使用一些工具來監(jiān)視黑客，觀察他們在做什么。這些工具包括snoop、ps、lastcomm和ttywatch等。（5）ps、w和who這些命令可以報告每一個用戶使用的終端。如果黑客是從一個終端訪問系統(tǒng)，這種情況不太好，因為這需要事先與電話公司聯(lián)系。（6）使用who和netstat可以發(fā)現(xiàn)入侵者從哪個主機上過來，然后可以使用finger命令來查看哪些用戶登錄進遠程系統(tǒng)。（7）修復(fù)安全漏洞并恢復(fù)系統(tǒng)，不給黑客留有可乘之機。防火墻1、防火墻的概念防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，其越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互連環(huán)境之中，尤其以接入Internet網(wǎng)絡(luò)為最甚。它是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實現(xiàn)網(wǎng)絡(luò)的安全保護，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。防火墻本身具有較強的抗攻擊能力，它是提供信息安全服務(wù)、實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻的發(fā)展第一代防火墻：第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，主要基于包過濾技術(shù)（PacketFilter），是依附于路由器的包過濾功能實現(xiàn)的防火墻。第二代防火墻：1989年，貝爾實驗室的DavePresotto和HowardTrickey最早推出了第二代防火墻，即電路層防火墻。第三代防火墻：到20世紀90年代初，開始推出第三代防火墻，即應(yīng)用層防火墻（或者叫做代理防火墻）。第四代防火墻：到1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾（DynamicPacketFilter）技術(shù)的的第四代防火墻。第五代防火墻：到了1998年，NAI公司推出了一種自適應(yīng)代理（AdaptiveProxy）技術(shù)，可以稱之為第五代防火墻。防火墻的發(fā)展趨勢高安全性和高效率對數(shù)據(jù)包的全方位檢查分布式防火墻技術(shù)建立與部署適用于IPV6協(xié)議下的防火墻體系架構(gòu)防火墻的功能對防火墻有兩個基本需求：一是保證內(nèi)部網(wǎng)的安全性；二是保證內(nèi)部網(wǎng)與外部網(wǎng)之間的連通性。（1）過濾不安全數(shù)據(jù)和非法用戶。（2）報警與審計。（3）透明代理。（4）抗攻擊能力。（5）VPN功能。（6）路由管理。

防火墻的作用（1）防火墻是網(wǎng)絡(luò)安全的屏障（2）防火墻可以強化網(wǎng)絡(luò)安全策略（3）對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計（4）防止內(nèi)部信息的外泄防火墻防火墻示意圖7/10/202359防火墻局限性防火墻局限性1.對某些正常服務(wù)的限制2.無法抵御來自內(nèi)網(wǎng)的威脅3.無法阻擋旁路攻擊及潛在后門4.無法控制對病毒文件的傳輸5.內(nèi)網(wǎng)瓶頸問題

7/10/202360防火墻技術(shù)與分類包過濾防火墻技術(shù)1.簡單包過濾技術(shù)2.狀態(tài)檢測包過濾技術(shù)代理服務(wù)防火墻技術(shù)1.電路級網(wǎng)關(guān)2.應(yīng)用級網(wǎng)關(guān)3.自適應(yīng)代理包過濾防火墻技術(shù)包過濾(PacketFilter)是所有防火墻中最核心的功能，與代理服務(wù)器技術(shù)相比，其優(yōu)勢是傳輸信息時不占用網(wǎng)絡(luò)帶寬。包過濾路由器在網(wǎng)絡(luò)上的物理位置和邏輯位置如圖所示。包過濾型防火墻根據(jù)一組過濾規(guī)則集合，逐個檢查IP數(shù)據(jù)包，確定是否允許該數(shù)據(jù)包通過。

包過濾路由器的物理位置包過濾路由器的邏輯位置兩類包過濾防火墻技術(shù)包過濾防火墻技術(shù)根據(jù)所使用的過濾方法又具體可分為：簡單包過濾技術(shù)和狀態(tài)檢測包過濾技術(shù)。1.簡單包過濾技術(shù)也稱作稱靜態(tài)包過濾。簡單包過濾防火墻在檢查數(shù)據(jù)包報頭時，只是根據(jù)定義好的過濾規(guī)則集來檢查所有進出防火墻的數(shù)據(jù)包報頭信息，并根據(jù)檢查結(jié)果允許或者拒絕數(shù)據(jù)包，并不關(guān)心服務(wù)器和客戶機之間的連接狀態(tài)。2.狀態(tài)檢測包過濾技術(shù)也稱動態(tài)包過濾，是包過濾器和應(yīng)用級網(wǎng)關(guān)的一種折衷方案。該技術(shù)具有包過濾機制的高速和靈活性，也有應(yīng)用級網(wǎng)關(guān)的應(yīng)用層安全的優(yōu)點。狀態(tài)檢測包過濾防火墻除了有一個過濾規(guī)則集外，還要跟蹤通過自身的每一個連接，提取有關(guān)的通信和應(yīng)用程序的狀態(tài)信息，構(gòu)成當前連接的狀態(tài)列表。代理服務(wù)防火墻技術(shù)代理服務(wù)（ProxyService）是指運行于內(nèi)部網(wǎng)絡(luò)與外網(wǎng)之間的主機(堡壘主機)上的一種應(yīng)用。當用戶需要訪問代理服務(wù)器另一側(cè)主機時，代理服務(wù)器對于符合安全規(guī)則的連接，會代替主機響應(yīng)訪問請求，并重新向主機發(fā)出一個相同的請求。當此連接請求得到回應(yīng)并建立起連接之后，內(nèi)部主機同外部主機之間的通信將通過代理程序的相應(yīng)連接映射來實現(xiàn)。代理既是客戶端（Client），也是服務(wù)器端（Server）。代理服務(wù)防火墻的工作原理如圖應(yīng)用代理防火墻的原理圖代理服務(wù)防火墻主要包含以下三類：1.電路級網(wǎng)關(guān)也稱線路級網(wǎng)關(guān)，工作在會話層，在兩主機首次建立TCP連接時建立通信屏障。它作為服務(wù)器接收外來請求，轉(zhuǎn)發(fā)請求；與被保護的主機連接時則扮演客戶機角色、起到代理服務(wù)的作用。它監(jiān)視兩主機建立連接時的握手信息，如SYN，ACK和序列數(shù)據(jù)等是否合乎邏輯，然后由網(wǎng)關(guān)復(fù)制、傳遞數(shù)據(jù)，而不進行數(shù)據(jù)包過濾。電路級網(wǎng)關(guān)中特殊的客戶程序只在初次連接時進行安全協(xié)商控制，此后則不再參與內(nèi)外網(wǎng)之間的通信控制。2.應(yīng)用級網(wǎng)關(guān)應(yīng)用級網(wǎng)關(guān)使用軟件來轉(zhuǎn)發(fā)和過濾特定的應(yīng)用服務(wù)，如TELNET，F(xiàn)TP服務(wù)等。這也是一種代理服務(wù)，只允許被認為是可信的服務(wù)通過防火墻。此外，代理服務(wù)也可以過濾協(xié)議，如過濾FTP連接、拒絕使用FTP命令等。3.自適應(yīng)代理自適應(yīng)代理(AdaptiveProxy)技術(shù)結(jié)合了代理服務(wù)器防火墻的安全性和包過濾防火墻的高速度等優(yōu)點。組成自適應(yīng)代理防火墻的基本要素有兩個：自適應(yīng)代理服務(wù)器(AdaptiveProxyServer)與動態(tài)包過濾器。在自適應(yīng)代理防火墻中，初始的安全檢查仍在應(yīng)用層中進行，保證實現(xiàn)傳統(tǒng)防火墻的最大安全性。而一旦可信任身份得到認證，建立了安全通道，隨后的數(shù)據(jù)包就可以重新定向到網(wǎng)絡(luò)層。這種技術(shù)能夠在確保安全性的基礎(chǔ)上提高代理服務(wù)器防火墻的性能。7/10/202370防火墻常見分類防火墻常見分類1.按照實現(xiàn)方法分類

（1）軟件防火墻運行于特定的計算機上，一般來說這臺計算機就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。（2）硬件防火墻

由計算機硬件、通用操作系統(tǒng)和防火墻軟件組成。（3）專用防火墻采用特別優(yōu)化設(shè)計的硬件體系結(jié)構(gòu)，使用專用的操作系統(tǒng)。

2.按照體系結(jié)構(gòu)分類（1）個人防火墻安裝在計算機系統(tǒng)里的軟件防火墻，該軟件檢查到達防火墻兩端的所有數(shù)據(jù)包，無論是進入還是發(fā)出，從而決定該攔截數(shù)據(jù)包還是允許其通過。（2）分布式防火墻分布式防火墻負責對網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各結(jié)點之間的安全防護。分布式防火墻是一個完整的系統(tǒng)，而不是單一的產(chǎn)品。7/10/202372防火墻體系結(jié)構(gòu)目前，防火墻的體系結(jié)構(gòu)，一般主要有以下幾種雙宿主主機結(jié)構(gòu)屏蔽主機結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)雙宿主主機結(jié)構(gòu)雙宿主主機防火墻體系結(jié)構(gòu)是圍繞著至少具有兩個網(wǎng)絡(luò)接口、帶有兩塊網(wǎng)卡的堡壘主機構(gòu)成，主機上的兩塊網(wǎng)卡分別與外部網(wǎng)以及內(nèi)部受保護網(wǎng)相連。堡壘主機上運行防火墻軟件，可以轉(zhuǎn)發(fā)數(shù)據(jù)，提供服務(wù)等，這種主機可以充當與其接口相連的網(wǎng)絡(luò)之間的路由器，它能夠從一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。雙宿主主機結(jié)構(gòu)屏蔽主機結(jié)構(gòu)雙宿主主機防火墻是由一臺同時連接在內(nèi)外部網(wǎng)絡(luò)的堡壘主機來提供安全保障，而屏蔽主機結(jié)構(gòu)中提供安全保護的主機僅僅與內(nèi)部網(wǎng)相連。此外還有一臺單獨的包過濾路由器，它的作用是避免用戶直接與內(nèi)部網(wǎng)絡(luò)相連。屏蔽主機結(jié)構(gòu)如圖所示。屏蔽主機結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)在屏蔽子網(wǎng)結(jié)構(gòu)中，有二臺與邊界網(wǎng)絡(luò)直接相連的過濾路由器，一臺位于邊界網(wǎng)絡(luò)與外部網(wǎng)之間，我們稱之為外部路由器；另一臺位于邊界網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間，我們稱之為內(nèi)部路由器；在這種結(jié)構(gòu)下，黑客要攻擊到內(nèi)部網(wǎng)必須通過二臺路由器的安全控制，即使入侵者通過了堡壘主機，他還必須通過內(nèi)部路由器才能抵達內(nèi)部網(wǎng)。屏蔽子網(wǎng)結(jié)構(gòu)7/10/202379防火墻安全規(guī)則通常情況下，網(wǎng)絡(luò)管理員在防火墻設(shè)備的訪問控制列表ACL（AccessControlList）中設(shè)定包過濾規(guī)則，以此來表明是否允許或者拒絕數(shù)據(jù)包通過。包過濾防火墻檢查數(shù)據(jù)流中每個數(shù)據(jù)包的報頭信息，例如源地址、目標地址、協(xié)議類型、協(xié)議標志、服務(wù)類型等，并與過濾規(guī)則進行匹配，從而在內(nèi)外網(wǎng)絡(luò)之間實施訪問控制功能.包過濾防火墻的安全規(guī)則防火墻規(guī)則設(shè)置中所涉及的動作主要有以下幾種：允許:允許數(shù)據(jù)包通過防火墻傳輸，并按照路由表中的信息被轉(zhuǎn)發(fā)。放棄:不允許數(shù)據(jù)包通過防火墻傳輸，但僅丟棄，不發(fā)任何相應(yīng)數(shù)據(jù)包。拒絕:不允許數(shù)據(jù)包通過防火墻傳輸，并向