網(wǎng)絡安全技術 模塊5：網(wǎng)絡攻擊與安全防御（1） 學習資料

項目5

網(wǎng)絡攻擊與安全防御

(1)

項目背景國內(nèi)安全漏洞監(jiān)測機構近日發(fā)布報告，稱如家、漢庭等大批酒店開房記錄被第三方存儲，并且因為漏洞而泄露。該漏洞早在8月份已被發(fā)現(xiàn)并確認，隨后按標準流程通知廠商。漏洞發(fā)現(xiàn)者稱，如家、漢庭、驛家365快捷酒店等酒店全部或者部分使用了浙江XXXX網(wǎng)絡有限公司開發(fā)酒店Wi-Fi管理、認證管理系統(tǒng)，而該公司在其服務器上，實時存儲了這些酒店客戶的大量敏感、隱私信息。結果因為某種原因，浙江XXXX網(wǎng)絡有限公司的服務器被黑客攻破，造成泄密。任務一：查看開放端口，監(jiān)控網(wǎng)絡服務安全 任務二：關閉開放端口，禁止入侵檢測任務三：使用Wireshark工具，查看ARP攻擊任務四：設置360防火墻，防御網(wǎng)絡攻擊 項目組成項目分解任務1：查看開放端口，監(jiān)控網(wǎng)絡服務安全任務描述小明是網(wǎng)絡中心的管理員，最近網(wǎng)絡中心對外Web服務器，不斷出現(xiàn)掉線現(xiàn)象，嚴重地影響網(wǎng)站的訪問。使用數(shù)據(jù)包分析軟件捕獲數(shù)據(jù)發(fā)現(xiàn)，網(wǎng)絡中有很多異常數(shù)據(jù)包，攻擊Web服務器，初步判斷有病毒在網(wǎng)絡中傳播。因此，小明想確認下是什么類型的病毒在攻擊Web服務器，以便采用有針對性病毒解決策略，保護Web服務器安全。任務分析如果希望查看是什么病毒攻擊網(wǎng)絡服務器，可以通過查看服務器的端口信息，了解進出服務器的端口的服務信息，從而判斷出病毒的類型。查看計算機或者服務器的端口信息，可以通過專業(yè)的端口監(jiān)控軟件來查看；也可以通過Windows操作系統(tǒng)提供Netstat命令，而且使用Netstat命令提供了豐富的查看方式，使用起來更加簡單、方便。知識準備5.1.1什么是端口計算機“端口”是英文port的意譯，可以認為是計算機與網(wǎng)絡中其它設備通信交流的出口。在互聯(lián)網(wǎng)上，各臺主機之間通過TCP/TP協(xié)議，發(fā)送和接收數(shù)據(jù)信息，按照目標主機的IP地址，數(shù)據(jù)能被準確傳輸目的地。由于接受計算機的操作系統(tǒng)支持多任務工作方式，機器上可能有多個軟件程序（進程）在同時運行：如使用IE瀏覽器軟件在訪問網(wǎng)頁、QQ軟件在聊天、迅雷軟件在下載電影、Outlook軟件在收發(fā)郵件等…，那么目的計算機從網(wǎng)絡上接收到的數(shù)據(jù)包后，應該傳送給計算機上正在運行的哪一個軟件程序（進程）進行處理？知識準備5.1.2端口的作用為規(guī)范端口標準，國際標準組織規(guī)定：標準化端口號的范圍從0到1023，提供常見的服務。如：上傳下載（FTP）服務號為：20，21；遠程登錄（Telnet）服務號為23；發(fā)送電子郵件（Smtp）服務號為25；訪問網(wǎng)頁（Http）的服務號為80等，如圖5-1-1所示。知識準備5.1.3端口在入侵中的作用網(wǎng)絡入侵者通常會用掃描器軟件，對目標主機的端口進行掃描，以確定哪些端口是開放的（門戶大開）。從開放的端口，入侵者可以知道目標計算機大致提供了哪些服務，進而猜測可能存在的漏洞。知識準備5.1.4查看端口命令微軟的Windows操作系統(tǒng)提供的端口查看Netstat命令是控制臺命令，該命令可以幫助用戶方便地查看本機端口的使用狀態(tài)，監(jiān)控網(wǎng)絡服務的運行狀態(tài)。通過Netstat命令，可以顯示當前網(wǎng)絡的路由表、實際的網(wǎng)絡連接，以及每一個網(wǎng)絡接口設備的狀態(tài)信息，如圖5-1-3所示。任務實施【任務實施】1、轉到Windows操作系統(tǒng)的DOS后臺狀態(tài)打開Windows操作系統(tǒng)的開始菜單：“開始”–>“運行”，在打開的對話框中輸入“CMD”，轉到Windows操作系統(tǒng)的DOS后臺工作狀態(tài)。任務實施【任務實施】2、使用Netstat命令查看端口狀態(tài)在系統(tǒng)的DOS的命令工作狀態(tài)，輸入“netstat－a”，顯示系統(tǒng)目前所有連接和偵聽的端口信息，如圖5-1-4所示。其中后面的“-a”參數(shù)，常用于獲得本地系統(tǒng)開放的端口，用它可以檢查系統(tǒng)上有沒有被安裝木馬。任務實施【任務實施】3、使用Netstat命令檢查端口使用情況針對網(wǎng)絡運行故障，網(wǎng)絡管理員如果想更清楚如何檢查端口使用情況，排除端口沖突的問題，如查看“80端口是否被占用？端口檢查如何解決？”等問題，可以通過使用“netstat”命令中的“ano”參數(shù)，該參數(shù)信息可以幫助用戶獲取目前都有哪些網(wǎng)絡連接正在運作。任務實施【任務實施】4、檢查端口PID信息在MS-DOS的操作環(huán)境下，使用“netstat－ano”命令操作，顯示計算機系統(tǒng)進程工作狀態(tài)中，如圖5-1-6所示，和“netstat”命令操作顯示結果相比，增加了“PID”號選項。計算機操作系統(tǒng)中PID號，代表了系統(tǒng)中正在運行的各進程的進程ID。PID號就象生活中的身份證號碼一樣，代表了正在計算機CPU中運行的各項服務程序，代表了某一項進程，在計算機的操作系統(tǒng)中正在運行某一個進程只有一個PID號。任務實施【任務實施】4、檢查端口PID信息任務實施【任務實施】可以選擇“進程”-->“查看”-->“選擇列”，可以查看到PID號對應的占用服務，還能看到進程中的PID值，如圖5-1-9所示。項目分解任務2：關閉開放端口，禁止入侵檢測任務描述網(wǎng)絡管理員小明發(fā)現(xiàn)：最近網(wǎng)絡中心的數(shù)據(jù)庫服務器，不斷出現(xiàn)掉線的現(xiàn)象。通過數(shù)據(jù)包分析軟件捕獲數(shù)據(jù)包發(fā)現(xiàn)，網(wǎng)絡中有很多異常的數(shù)據(jù)包，攻擊網(wǎng)絡中心的數(shù)據(jù)庫服務器，特別是數(shù)據(jù)庫服務器的連接端口，不斷受到異常的數(shù)據(jù)包，初步判斷有來自互聯(lián)網(wǎng)上攻擊數(shù)據(jù)包特征。為了避免病毒程序侵入計算機，小明決定封閉網(wǎng)絡中心部分重要計算機上一些常用的開放端口，如TCP135、139、445、593等，避免網(wǎng)絡病毒，通過這些開放的端口，嘗試連接、侵入電腦，造成信息系統(tǒng)破壞。任務分析為了避免病毒程序侵入電腦，可以關閉計算機中絕大多數(shù)系統(tǒng)默認開啟，卻又應用頻率很低端口，可以大大提高計算機的安全。通常計算機上一些常用的開放端口，如TCP135、139、445、593等端口，都是一些流行病毒，以及黑客希望利用的端口，通過這些端口提供的“后門”順利侵入計算機系統(tǒng)。知識準備5.2.1什么是遠程登錄計算機操作系統(tǒng)都提供多任務工作模式，在同一時間內(nèi)，允許多個用戶同時使用一臺計算機。但為了保證系統(tǒng)的安全，系統(tǒng)要求每個用戶，使用單獨帳號作為登錄標識，使用口令作為登錄權限，這個過程被稱為“登錄”。遠程登錄Telnet服務是一種網(wǎng)絡工作模式，Telnet協(xié)議提供了互聯(lián)網(wǎng)遠程登錄，通過網(wǎng)絡協(xié)同工作的模式。該協(xié)議是TCP/IP協(xié)議族中的一員，是互聯(lián)網(wǎng)遠程登錄服務的標準協(xié)議，它為用戶提供了在本地計算機上，完成操縱遠程計算機協(xié)同工作的能力，如圖5-2-1所示。知識準備5.2.1什么是遠程登錄遠程登錄Telnet服務是一種網(wǎng)絡工作模式，Telnet協(xié)議提供了互聯(lián)網(wǎng)遠程登錄，通過網(wǎng)絡協(xié)同工作的模式。該協(xié)議是TCP/IP協(xié)議族中的一員，是互聯(lián)網(wǎng)遠程登錄服務的標準協(xié)議，它為用戶提供了在本地計算機上，完成操縱遠程計算機協(xié)同工作的能力，如圖5-2-1所示。知識準備5.2.2遠程登錄安全問題通過互聯(lián)網(wǎng)進行遠程登錄Telnet程序，本身沒有很好的保護機制。在互聯(lián)網(wǎng)中遠程登錄Telnet過程，主要面臨的主要安全問題是沒有口令保護。遠程用戶的登錄傳送的帳號和密碼，在互聯(lián)網(wǎng)上傳輸過程中，都是明文傳輸，使用普通的Sniffer數(shù)據(jù)包捕獲器軟件都可以被截獲，因此沒有很好的安全性，所以要借助其他外部的保護才能確保安全。知識準備5.2.3非法入侵的方式網(wǎng)絡黑客在入侵網(wǎng)絡時，一般首先都利用端口掃描工具，搜集目標計算機所在的網(wǎng)絡和目標計算機的端口信息，進而發(fā)現(xiàn)目標系統(tǒng)的脆弱點。然后根據(jù)脆弱點展開攻擊；或者采用遠程登錄工具，不斷嘗試和遠程主機連接，探測遠程登錄遠程主機的賬戶和密碼，侵入網(wǎng)絡中的主機系統(tǒng)。知識準備5.2.4常用開放端口安全為了讓網(wǎng)絡中的計算機系統(tǒng)變成銅墻鐵壁，應該封閉這些常用的開放端口。Windows操作系統(tǒng)上容易形成漏洞的端口主要有：提供TCP服務的135、139、445、593、1025端口和提供UDP服務的135、137、138、445端口，一些流行病毒的后門端口（如TCP2745、3127、6129端口），以及遠程服務訪問端口3389。知識準備5.2.5常用開放端口安全漏洞相信很多使用微軟的Windows操作系統(tǒng)的用戶都中過“沖擊波”病毒，該病毒就是利用遠程過程，調(diào)用協(xié)議RPC（它是一種通過網(wǎng)絡從遠程計算機程序上請求服務）協(xié)議的漏洞，來攻擊網(wǎng)絡中的計算機。Windows操作系統(tǒng)提供RPC服務，本身在處理通過互聯(lián)網(wǎng)通信TCP/IP的消息交換時，存在部分安全漏洞，該漏洞是由于錯誤地處理格式不正確的消息造成的，也是Windows操作系統(tǒng)設計過程中BUG。網(wǎng)絡中的黑客利用了該漏洞，大肆侵入Windows操作系統(tǒng)的計算機用戶。因此，針對常用開放端口安全漏洞的安全的操作建議是：為了避免“沖擊波”病毒的攻擊，建議關閉這些開放端口。任務實施【實施過程】1、啟動電腦的“本地安全策略”點擊電腦系統(tǒng)的“開始”菜單，依次選擇：“開始”->“控制面板”->“管理工具”，打開系統(tǒng)的“管理工具”窗口，雙擊打開“本地安全策略”制訂窗口，如圖5-2-2所示。任務實施【實施過程】2、創(chuàng)建“新IP安全策略”名稱在“本地安全策略”窗口中，選中左側“安全設置”列表欄中的“IP安全策略，在本地計算機”選項；再在右欄的空白處，右擊鼠標，選中快捷菜單中選擇“創(chuàng)建IP安全策略…”，啟動“IP安全策略向導”，如圖5-2-3所示。任務實施【實施過程】3、添加新的規(guī)則返回圖5-2-2所示“本地安全策略”窗口，選中新創(chuàng)建的“封閉開放端口安全策略”，右擊打開快捷菜單，選擇“屬性”菜單，編輯“封閉開放端口安全策略”新IP安全策略屬性。任務實施第二步，在彈出“新規(guī)則屬性”對話框中，在畫面上點擊“添加…”按鈕，彈出“新IP篩選器列表”窗口，如圖5-2-6所示。任務實施第三步，進入“篩選器屬性”對話框中進行如下配置：