網(wǎng)絡(luò)安全技術(shù)課件

10.1網(wǎng)絡(luò)平安概述網(wǎng)絡(luò)平安的重要性 網(wǎng)絡(luò)平安的根本問題網(wǎng)絡(luò)平安效勞的主要內(nèi)容10.2防火墻概述10.2.1防火墻的定義10.2.2防火墻的分類10.2.3防火墻體系結(jié)構(gòu)10.2.3.1雙重宿主主機(jī)體系結(jié)構(gòu)10.2.3.2被屏蔽主機(jī)體系結(jié)構(gòu)10.2.3.3被屏蔽子網(wǎng)體系結(jié)構(gòu)10.3計(jì)算機(jī)病毒 10.3.1病毒的特點(diǎn) 第10章網(wǎng)絡(luò)平安技術(shù)

10.3.2病毒的分類 10.3.3病毒的開展趨勢(shì) 10.3.4病毒攻擊的防范 10.4計(jì)算機(jī)木馬 10.4.1木馬的開展歷史 10.4.2木馬的工作過程 10.4.3防止木馬 10.5黑客攻擊 10.5.1黑客行為 10.5.2拒絕效勞攻擊 緩沖區(qū)溢出攻擊 漏洞掃描 10.5.5預(yù)防黑客攻擊 10.1網(wǎng)絡(luò)平安概述計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用對(duì)社會(huì)開展正面作用的同時(shí)，也必須注意到它的負(fù)面影響。網(wǎng)絡(luò)可以使經(jīng)濟(jì)、文化、社會(huì)、科學(xué)、教育等領(lǐng)域信息的獲取、傳輸、處理與利用更加迅速和有效。那么，也必然會(huì)使個(gè)別壞人可能比較“方便〞地利用網(wǎng)絡(luò)非法獲取重要的經(jīng)濟(jì)、政治、軍事、科技情報(bào)，或進(jìn)行信息欺詐、破壞與網(wǎng)絡(luò)攻擊等犯罪活動(dòng)。同時(shí)，也會(huì)出現(xiàn)利用網(wǎng)絡(luò)發(fā)表不負(fù)責(zé)或損害他人利益的消息，涉及個(gè)人隱私法律與道德問題。計(jì)算機(jī)犯罪正在引起社會(huì)的普遍關(guān)注，而計(jì)算機(jī)網(wǎng)絡(luò)是犯罪分子攻擊的重點(diǎn)。計(jì)算機(jī)犯罪是一種高技術(shù)型犯罪，由于其犯罪的隱蔽性，因此會(huì)對(duì)網(wǎng)絡(luò)平安構(gòu)成了很大的威脅。10.1.1網(wǎng)絡(luò)平安的重要性網(wǎng)絡(luò)平安的根本問題網(wǎng)絡(luò)防攻擊問題網(wǎng)絡(luò)平安漏洞與對(duì)策問題網(wǎng)絡(luò)中的信息平安保密問題網(wǎng)絡(luò)內(nèi)部平安防范問題網(wǎng)絡(luò)防病毒問題網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)問題網(wǎng)絡(luò)平安效勞的主要內(nèi)容網(wǎng)絡(luò)平安效勞應(yīng)該提供以下這些根本的效勞功能：〔1〕保密性〔Confidentiality〕〔2〕認(rèn)證〔Authentication〕〔3〕數(shù)據(jù)完整性〔DataIntegrity〕〔4〕防抵賴〔Nonrepudiation〕〔5〕訪問控制〔AccessControl〕10.2防火墻概述防火墻是設(shè)置在兩個(gè)或多個(gè)網(wǎng)絡(luò)之間的平安阻隔，用于保證本地網(wǎng)絡(luò)資源的平安，通常是包含軟件局部和硬件局部的一個(gè)系統(tǒng)或多個(gè)系統(tǒng)的組合。防火墻的分類〔1〕基于硬件的防火墻是一個(gè)已經(jīng)預(yù)裝有軟件的硬件設(shè)備?！?〕基于軟件的防火墻是能夠安裝在操作系統(tǒng)和硬件平臺(tái)上的防火墻軟件包?！?〕嵌入式防火墻就是內(nèi)嵌于路由器或交換機(jī)的防火墻。按防火墻的軟硬件形式分類按防火墻采用的技術(shù)分類〔1〕包過濾〔PacketFiltering〕型防火墻。〔2〕應(yīng)用層網(wǎng)關(guān)防火墻。〔3〕代理效勞型防火墻。10.3防火墻體系結(jié)構(gòu)防火墻的經(jīng)典體系結(jié)構(gòu)主要有三種形式：雙重宿主主機(jī)體系結(jié)構(gòu)、被屏蔽主機(jī)體系結(jié)構(gòu)和被屏蔽子網(wǎng)體系結(jié)構(gòu)。在介紹防火墻的體系結(jié)構(gòu)之前，先介紹防火墻體系結(jié)構(gòu)中幾個(gè)常見的術(shù)語。〔1〕堡壘主機(jī)〔2〕雙重宿主主機(jī)〔3〕周邊網(wǎng)絡(luò)雙重宿主主機(jī)體系結(jié)構(gòu)防火墻的雙重宿主主機(jī)體系結(jié)構(gòu)是指以一臺(tái)雙重宿主主機(jī)作為防火墻系統(tǒng)的主體，執(zhí)行別離外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的任務(wù)。被屏蔽主機(jī)體系結(jié)構(gòu)被屏蔽主機(jī)體系結(jié)構(gòu)是指通過一個(gè)單獨(dú)的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機(jī)共同構(gòu)成防火墻，主要通過數(shù)據(jù)包過濾實(shí)現(xiàn)內(nèi)部、外部網(wǎng)絡(luò)的隔離和對(duì)內(nèi)網(wǎng)的保護(hù)。被屏蔽子網(wǎng)體系結(jié)構(gòu)被屏蔽子網(wǎng)體系結(jié)構(gòu)將防火墻的概念擴(kuò)充至一個(gè)由兩臺(tái)路由器包圍起來的特殊網(wǎng)絡(luò)——周邊網(wǎng)絡(luò)，并且將容易受到攻擊的堡壘主機(jī)都置于這個(gè)周邊網(wǎng)絡(luò)中。10.3計(jì)算機(jī)病毒1994年2月18日，我國(guó)正式公布實(shí)施了?中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)平安保護(hù)條例?。在該條例的第二十八條中明確指出：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。〞這個(gè)定義具有法律性、權(quán)威性。根據(jù)這個(gè)定義，計(jì)算機(jī)病毒是一種計(jì)算機(jī)程序，它不僅能破壞計(jì)算機(jī)系統(tǒng)，而且還能傳染到其他系統(tǒng)。計(jì)算機(jī)病毒通常隱藏在其他正常程序中，能生成自身的副本并將其插入其他的程序中，對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行惡意的破壞。病毒的特點(diǎn)傳統(tǒng)意義上的計(jì)算機(jī)病毒一般具有破壞性、隱蔽性、潛伏性、傳染性等特點(diǎn)。隨著計(jì)算機(jī)軟件和網(wǎng)絡(luò)技術(shù)的開展，在今天的網(wǎng)絡(luò)時(shí)代，計(jì)算機(jī)病毒又有了很多新的特點(diǎn)：〔1〕主動(dòng)通過網(wǎng)絡(luò)和郵件系統(tǒng)傳播?！?〕傳播速度極快。〔3〕變種多。〔4〕具有病毒、蠕蟲和黑客程序的功能。病毒的分類〔1〕文件型病毒〔2〕引導(dǎo)扇區(qū)病毒〔3〕混合型病毒〔4〕變形病毒〔5〕宏病毒病毒的開展趨勢(shì)隨著Internet的開展和計(jì)算機(jī)網(wǎng)絡(luò)的日益普及，計(jì)算機(jī)病毒出現(xiàn)了一系列新的開展趨勢(shì)。〔1〕無國(guó)界〔2〕多樣化〔3〕破壞性更強(qiáng)〔4〕智能化〔5〕更加隱蔽化病毒攻擊的防范病毒危害固然很大，但是只要掌握了一些防病毒的常識(shí)就能很好的進(jìn)行防范。網(wǎng)絡(luò)規(guī)劃師經(jīng)常向用戶灌輸一些防毒常識(shí)，這樣單位整體的平安意識(shí)就會(huì)大大提高?！?〕用常識(shí)進(jìn)行判斷?！?〕安裝防病毒產(chǎn)品并保證更新最新的病毒庫?！?〕不要從任何不可靠的渠道下載任何軟件?！?〕使用其他形式的文檔?！?〕不要用共享的磁盤安裝軟件，或者是復(fù)制共享的磁盤?！?〕使用基于客戶端的防火墻或過濾措施。〔7〕系統(tǒng)軟件經(jīng)常打好補(bǔ)丁?！?〕重要資料，必須備份。10.4計(jì)算機(jī)木馬在計(jì)算機(jī)領(lǐng)域中，木馬是一類惡意程序。木馬是有隱藏性的、自發(fā)性的可被用來進(jìn)行惡意行為的程序，多不會(huì)直接對(duì)電腦產(chǎn)生危害，而是以控制為主。木馬的開展歷史〔1〕第一代木馬——偽裝型木馬〔2〕第二代木馬——AIDS型木馬〔3〕第三代木馬——網(wǎng)絡(luò)傳播性木馬第一，添加了“后門〞功能。第二，添加了鍵盤記錄功能。木馬的工作過程一個(gè)完整的木馬系統(tǒng)由硬件局部，軟件局部和具體連接局部組成。〔1〕硬件局部：建立木馬連接所必須的硬件實(shí)體。控制端：對(duì)效勞端進(jìn)行遠(yuǎn)程控制的一方。效勞端：被控制端遠(yuǎn)程控制的一方。Internet：控制端對(duì)效勞端進(jìn)行遠(yuǎn)程控制，數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)載體?！?〕軟件局部：實(shí)現(xiàn)遠(yuǎn)程控制所必須的軟件程序。控制端程序：控制端用以遠(yuǎn)程控制效勞端的程序。木馬程序：潛入效勞端內(nèi)部，獲取其操作權(quán)限的程序。木馬配置程序：設(shè)置木馬程序的端口號(hào)，觸發(fā)條件，木馬名稱等，使其在效勞端藏得更隱蔽的程序?！?〕具體連接局部：通過Internet在效勞端和控制端之間建立一條木馬通道所必須的元素。木馬的組成配置木馬一般來說一個(gè)設(shè)計(jì)成熟的木馬都有木馬配置程序，從具體的配置內(nèi)容看，主要是為了實(shí)現(xiàn)以下兩方面功能：〔1〕木馬偽裝。木馬配置程序?yàn)榱嗽谛诙吮M可能的好的隱藏木馬，會(huì)采用多種偽裝手段，如修改圖標(biāo)，捆綁文件，定制端口，自我銷毀?！?〕信息反響。木馬配置程序?qū)⒕托畔⒎错懙姆绞交虻刂愤M(jìn)行設(shè)置，如設(shè)置信息反響的郵件地址、IRC號(hào)、QQ號(hào)等等。傳播木馬〔1〕傳播方式木馬的傳播方式主要有兩種：一種是通過E-mail，控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要翻開附件系統(tǒng)就會(huì)感染木馬；另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。修改圖標(biāo)捆綁文件出錯(cuò)顯示定制端口自我銷毀木馬更名

〔2〕偽裝方式鑒于木馬的危害性，很多人對(duì)木馬知識(shí)還是有一定了解的，這對(duì)木馬的傳播起了一定的抑制作用，這是木馬設(shè)計(jì)者所不愿見到的，因此他們開發(fā)了多種功能來偽裝木馬，以到達(dá)降低用戶警覺，欺騙用戶的目的。運(yùn)行木馬效勞端用戶運(yùn)行木馬或捆綁木馬的程序后，木馬就會(huì)自動(dòng)進(jìn)行安裝。首先將自身拷貝到WINDOWS的系統(tǒng)文件夾中〔C:\windows或C:\windows\system目錄下〕，然后在注冊(cè)表\啟動(dòng)組\非啟動(dòng)組中設(shè)置好木馬的觸發(fā)條件，這樣木馬的安裝就完成了。安裝后就可以啟動(dòng)木馬了，木馬的啟動(dòng)方式包括自動(dòng)激活和觸發(fā)式激活。信息泄露一般來說，設(shè)計(jì)成熟的木馬都有一個(gè)信息反響機(jī)制。所謂信息反響機(jī)制是指木馬成功安裝后會(huì)收集一些效勞端的軟硬件信息，并通過E-mail、IRC或QQ的方式告知控制端用戶。從反響信息中控制端可以知道效勞端的一些軟硬件信息，包括使用的操作系統(tǒng)，系統(tǒng)目錄，硬盤分區(qū)況，系統(tǒng)口令等，在這些信息中，最重要的是效勞端IP，因?yàn)橹挥械玫竭@個(gè)參數(shù)，控制端才能與效勞端建立連接。建立連接一個(gè)木馬連接的建立首先必須滿足兩個(gè)條件：一是效勞端已安裝了木馬程序；二是控制端，效勞端都要在線。在此根底上控制端可以通過木馬端口與效勞端建立連接。遠(yuǎn)程控制木馬連接建立后，控制端端口和木馬端口之間將會(huì)出現(xiàn)一條通道?？刂贫松系目刂贫顺绦蚩山暹@條通道與效勞端上的木馬程序取得聯(lián)系，并通過木馬程序?qū)π诙诉M(jìn)行遠(yuǎn)程控制?！?〕竊取密碼。〔2〕文件操作?！?〕修改注冊(cè)表。〔4〕系統(tǒng)操作。防止木馬防治木馬的危害，應(yīng)該采取以下措施：〔1〕安裝殺毒軟件和個(gè)人防火墻，并及時(shí)升級(jí)?！?〕把個(gè)人防火墻設(shè)置好平安等級(jí)，防止未知程序向外傳送數(shù)據(jù)。〔3〕可以考慮使用平安性比較好的瀏覽器和電子郵件客戶端工具?！?〕經(jīng)常查看自己電腦上的插件，防止惡意網(wǎng)站在自己電腦上安裝不明軟件和瀏覽器插件，以免被木馬趁機(jī)侵入。10.5黑客攻擊黑客最早源白英文Hacker，是指熱心于計(jì)算機(jī)技術(shù)，水平高超的計(jì)算機(jī)專家，尤其是程序設(shè)計(jì)人員。但到了今天，黑客一詞又被用于泛指那些專門利用計(jì)算機(jī)搞破壞或惡作劇的家伙。對(duì)這些人的正確英文叫法是Cracker，有人翻譯成“駭客〞。黑客行為黑客的行為主要有以下幾種：〔1〕學(xué)習(xí)技術(shù)?！?〕偽裝自己?！?〕發(fā)現(xiàn)漏洞?！?〕利用漏洞。拒絕效勞攻擊DoS是指攻擊者想方法讓目標(biāo)機(jī)器停止提供效勞或資源訪問，是黑客常用的攻擊手段之一。這些資源包括磁盤空間、內(nèi)存、進(jìn)程甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的訪問。其實(shí)對(duì)網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊只是拒絕效勞攻擊的一小局部，只要能夠?qū)δ繕?biāo)造成麻煩，使某些效勞被暫停甚至主機(jī)死機(jī)，都屬于拒絕效勞攻擊。拒絕效勞攻擊的方式〔1〕SYNFlood〔2〕IP欺騙DOS攻擊〔3〕UDP洪水攻擊〔4〕Ping洪流攻擊〔5〕淚滴〔Teardrop〕攻擊〔6〕Land攻擊〔7〕Smurf攻擊〔8〕Fraggle攻擊分布式拒絕效勞分布式拒絕效勞〔DistributedDenialofService，DDoS〕攻擊指借助于客戶/效勞器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕效勞攻擊的威力。緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊是利用緩沖區(qū)溢出漏洞所進(jìn)行的攻擊行動(dòng)。緩沖區(qū)溢出是一種非常普遍、非常危險(xiǎn)的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。利用緩沖區(qū)溢出攻擊，可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)當(dāng)機(jī)、重新啟動(dòng)等后果。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。漏洞掃描漏洞掃描主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)效勞，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的平安漏洞掃描，如測(cè)試弱勢(shì)口令等。假設(shè)模擬攻擊成功，那么說明目標(biāo)主機(jī)系統(tǒng)存在平安漏洞。端口掃描網(wǎng)絡(luò)中的每一臺(tái)計(jì)算機(jī)如同一座城堡，在這些城堡中，有的對(duì)外完全開放，有的卻是緊鎖城門。在網(wǎng)絡(luò)技術(shù)中，把這些城堡的城門稱之為計(jì)算機(jī)的“端口〞。端口掃描是入侵者搜集信息的幾種常用手法之一，也正是這一過程最容易使入侵者暴露自己的身份和意圖。一般來說，掃描端口有如下目的?！?〕判斷目標(biāo)主機(jī)上開放了哪些效勞?！?〕判斷目標(biāo)主機(jī)的操作系統(tǒng)。如果入侵者掌握了目標(biāo)主機(jī)開放了哪些效勞，運(yùn)行何種操作系統(tǒng)，他們就能夠使用相應(yīng)的手段實(shí)現(xiàn)入侵。端口掃描原理端口是由計(jì)算機(jī)的通信協(xié)議TCP/IP協(xié)議定義的。其中規(guī)定，用口地址和端口作為套接字，它代表TCP連接的一個(gè)連接端，一般稱為Socket。具體來說，就是用“IP+端口〞來定位一臺(tái)主機(jī)中的進(jìn)程?？梢宰鲞@樣的比喻，端口相當(dāng)于兩臺(tái)計(jì)算機(jī)進(jìn)程間的大門，可以隨便定義，其目的只是為了讓兩臺(tái)計(jì)算機(jī)能夠找到對(duì)方的進(jìn)程。計(jì)算機(jī)就像一座大樓，這個(gè)大樓有好多入口〔端口〕，進(jìn)到不同的入口中就可以找到不同的公司〔進(jìn)程〕。如果要和遠(yuǎn)程主機(jī)A的程序通信，那么只要把數(shù)據(jù)發(fā)向“A：端口〞就可以實(shí)現(xiàn)通信了。端口掃描就是嘗試與目標(biāo)主機(jī)的某些端口建立連接，如果目標(biāo)主機(jī)該端口有回復(fù)，那么說明該端口開放，即為“活動(dòng)端口〞。端口掃描分類