网络安全技术.pptx

《网络安全技术.pptx》由会员分享，可在线阅读，更多相关《网络安全技术.pptx（43页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、202X网网络安全技安全技术N e t w o r k s e c u r i t y t e c h n o l o g y主讲人：网络攻击/防 御 技术/安 全 操 作目录/CONTENTS网络攻击概述01网络攻击技术02网络攻击防御技术03安全操作系统概述04网络攻击概述第一部分01一、网一、网络黑客黑客l概念：怀有不良企图，强行闯入远程计算机系统或恶意干扰远程系统完整性，通过非授权的访问权限，盗取数据甚至破坏计算机系统的“入侵者”称为黑客。l攻击目的：窃取信息；获取口令；控制中间站点；获得超级用户权限等实例：例：0119831983年，年，“414“414黑客黑客”，6 6名名少年黑客

2、被控侵入少年黑客被控侵入6060多台多台电脑0219871987年，赫年，赫尔伯特伯特 齐恩（恩（“影子影子鹰”），），闯入没入没过电话电报公司公司0319881988年，年，罗伯特伯特 莫里斯莫里斯“蠕蠕虫程序虫程序”，造成，造成15001500万到万到1 1亿美元的美元的经济损失。失。0419901990年，年，“末日末日军团”，4 4名黑客中有名黑客中有3 3人被判有罪。人被判有罪。0519951995年，米特尼克年，米特尼克偷窃了窃了2 2万万个信用卡号，个信用卡号，80008000万美元的万美元的巨巨额损失。失。0619981998年年2 2月，德国月，德国计算机黑客算机黑客米克斯特

3、，使用美国七大网米克斯特，使用美国七大网站陷于站陷于瘫痪状状态1998年，两名加州少年黑客，以色列少年黑客分析家，查询五角大楼网站并修改了工资报表和人员数据。070808091999年4月，“CIH”病毒，保守估计全球有6千万部电脑感染。1999年，北京江民KV300杀毒软件，损失260万元。2000年2月，“雅虎”、“电子港湾”、亚马孙、微软网络等美国大型国际互联网网站，损失超过了10亿美元。102000年4月，闯入电子商务网站的威尔斯葛雷，估计导致的损失可能超过300万美元。二、网二、网络攻攻击的目的目标l目目标：系统、数据（数据占70%）l系系统型攻型攻击特点：特点：攻击发生在网络层，破

4、坏系统的可用性，使系统不能正常工作，可能留下明显的攻击痕迹。l数据型攻数据型攻击特点：特点：发生在网络的应用层，面向信息，主要目的是为了篡改和偷取信息，不会留下明显的痕迹。（注：着重加强数据安全，重点解决来自内部的非授权访问和数据的保密工作。）一一.阻塞阻塞类类攻攻击击：通过强制占有信道资源、网络连接资源及存储空间资源，使服务器崩溃或资源耗尽而无法对外继续提供服务（例如拒绝服务攻击）。常见方法：TCPSYN洪泛攻击、Land攻击、Smurf攻击及电子邮件炸弹等攻击后果：使目标系统死机；使端口处于停顿状态；在计算机屏幕上发现杂乱信息、改变文件名称、删除关键的程序文件；扭曲系统的资源状态，使系统的

5、处理速度降低。二二.探探测类测类攻攻击击：收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。包括：扫描技术（采用模拟攻击形式对可能存在的安全漏洞进行逐项检查）、体系结构刺探及系统信息服务收集等3控制控制类类攻攻击击：试图获得对目标主机控制权的。常见方法：口令攻击、特洛伊木马、缓冲区溢出攻击3欺欺骗骗类类攻攻击击：通过冒充合法网络主机或通过配置、设置一些假信息来骗取敏感信息。常见方法：ARP缓存虚构、DNS告诉缓冲污染及伪造电子邮件等3漏漏洞洞类类攻攻击击：非法用户未经授权通过系统硬件或软件存在的某中形式的安全方面的脆弱性获得访问权或提高其访问权限。4破破坏坏类类攻攻击击：指对目标主

6、机的各种数据与软件实施破坏的一类攻击。常见方法：计算机病毒、逻辑炸弹网络攻击技术第二部分02一、网一、网络攻攻击的一般模型概述的一般模型概述01020304搜索信息获取权限消除痕迹深入攻击网络攻击一般模型：经历四个阶段1、搜集信息（攻击的侦查阶段）l隐藏地址：寻找“傀儡机”,隐藏真实IP地址。l锁定目标：寻找、确定攻击目标。l了解目标的网络结构、网络容量、目录及安全状态l搜索系统信息：分析信息，找到弱点攻击。3、消除痕迹清除事件日记、隐藏遗留下的文件、更改某些系统设置 4、深入攻击进行信息的窃取或系统的破坏等操作。2、获取权限利用探测到的信息分析目标系统存在的弱点和漏洞，选择合适的攻击方式，最

7、终获取访问权限或提升现有访问权限。二、常用网二、常用网络攻攻击的关的关键技技术1、端口、端口扫扫描技描技术术通过端口扫描可以搜集目标主机的系统服务端口的开放情况，进行判断目标的功能使用情况，一旦入侵成功后将后门设置在高端口或不常用的端口，入侵者通过这些端口可以任意使用系统的资源。（1）常用的端口扫描技术1 1TCPTCPconnectconnect（）扫描描：使用connect（），建立与目标主机端口的连接。若端口正在监听，connect（）成功返回；否则说明端口不可访问。任何用户都可以使用connect（）。2 2TCPTCPSYNSYN扫描描：即半连接扫描。扫描程序发送SYN数据包，若发回

8、的响应是SYN/ACK表明该端口正在被监听，RST响应表明该端口没有被监听。若接收到的是SYN/ACK，则发送RST断开连接。（主机不会记录这样的连接请求，但只有超级用户才能建立这样的SYN数据包）。3TCP FIN扫扫描：描：关闭的端口用正确的RST应答发送的对方发送的FIN探测数据包，相反，打开的端口往往忽略这些请求。4Fragmentation扫扫描描：将发送的探测数据包分成一组很小的IP包，接收方的包过滤程序难以过滤。5UDP recfrom（）和（）和write（）（）扫扫描描6ICMP echo扫扫描：描：使用ping命令，得到目标主机是否正在运行的信息。7TCP反向反向Ident

9、扫扫描描：8FTP返回攻返回攻击击9UDP ICMP端口不能到达端口不能到达扫扫描描（2）扫描器l定定义：一种自动检测远程或本地主机安全弱点的程序，可以不留痕迹地发现远程服务器的各种TCP端口的发配及提供的服务。l工工作作原原理理：通过选用远程TCP/IP不同的端口服务，记录目标给予的回答。l三三项功功能能：发现一个主机或网络的功能；一旦发现主机，发现什么服务正在运行在主机上的功能；测试这些服务发现漏洞的功能。2、网网络监络监听技听技术术l网络监听技术是指截获和复制系统、服务器、路由器或防火墙等网络设备中所有网络通信信息。l网网卡卡接接收收数数据据方方式式：广播方式、组播方式、直接方式、混杂模

10、式l基基本本原原理理：数据包发送给源主机连接在一起的所有主机，但是只有与数据包中包含的目的地址一致的主机才能接收数据包。若主机工作在监听模式下，则可监听或记录下同一网段上的所有数据包。3、网、网络络欺欺骗骗技技术术定义：是利用TCP/IP协议本身的缺陷对TCP/IP网络进行攻击的技术。1.IP欺欺骗骗：选定目标，发现主机间的信任模式，使目标信任的主机丧失工作能力，TCP序列号的取样和预测，冒充被信任主机进入目标系统，实施破坏并留下后门。2.2.ARPARP欺欺骗对路由器ARP表的欺骗：原理是截获网关数据。对局域网内个人计算机的网络欺骗：原理是伪造网关。后果：影响局域网正常运行；泄露用户敏感信息

11、4、密、密码码破解技破解技术术指通过猜测或其他手段获取合法用户的账号和密码，获得主机或网络的访问权，并能访问到用户能访问的任何资源的技术。密密码攻攻击的方法：的方法：（1）通过网络监听非法得到用户密码：采用中途截获的方法获取用户账户和密码。（2）密码穷举破解：在获取用户的账号后使用专门软件强行破解用户密码。（口令猜解、字典攻击、暴力猜解）5、拒、拒绝绝服服务务技技术术l定定义义：简称DoS技术，是针对TCP/IP协议的缺陷来进行网络攻击的手段。通过向服务器传送大量服务要求，使服务器充斥着这种要求恢复的信息，耗尽网络带宽或系统资源，最终导致网络或系统瘫痪、停止正常工作。l常常见见攻攻击击模模式式

12、：资源消耗型、配置修改型、服务利用型l新新型型拒拒绝绝服服务务攻攻击击技技术术：分布式拒绝服务攻击、分布式反射拒绝服务攻击三、常用网三、常用网络攻攻击工具工具1端端口口扫扫描描工工具具：网络安全扫描器NSS、安全管理员的网络分析工具SATAN、SuperScan2网网 络络 监监 听听 工工 具具：X-Scan、Sniffer、NetXray、tcpdump、winpcap等3密密码码破破解解工工具具：是能将口令解译出来，或者让口令保护失效的程序。4拒拒绝绝服服务务攻攻击击工具工具DoS工 具：死 亡 之 ping、Teardrop、TCP SYN洪 水、Land、SmurfDDoS工具：TF

13、N、TFN2k、Trinoo、mstream、shaft等网络攻击防御技术第三部分03一、网一、网络攻攻击的防范策略的防范策略提高安全意识：从使用者自身出发，加强使用者的自身素质和网络安全意识。01访问控制策略：保证网络安全的最核心策略之一，主要任务是保证网络资源不被非法使用和非法访问。02数据加密策略：最有效的技术之一，通过对网内数据、文件、口令和控制信息进行加密从而达到保护网上传输的数据的目的。03网络安全管理策略：确定安全管理登记和安全管理范围；指定有关网络操作实验规程和人员管理制度；指定网络系统的维护制度和应急措施。04二、常二、常见的网的网络攻攻击防御方法防御方法1、端口、端口扫扫描

14、的防范方法描的防范方法1关闭闲置和有潜在危险的端口2发现有端口扫描的症状时，立即屏蔽该端口：可使用防火墙实现2、网、网络监络监听的防范方法听的防范方法1.对对网网络监络监听攻听攻击击采取的防范措施：采取的防范措施：网络分段：将IP地址按节点计算机所在网络的规模的大小分段，可以对数据流进行限制。加密：可对数据的重要部分进行加密，也可对应用层加密一次性密码技术划分VLAN：使用虚拟局域网技术，将以太网通信变成点到点的通信。2.2.对可能存在的网可能存在的网络监听的听的检测方法：方法：用正确的IP地址和错误的物理地址ping可能正在运行监听程序的主机。向网上发送大量不存在的物理地址的包，用于降低主机

15、性能。使用反监听工具进行检测。13、IP欺欺骗骗的防范方法的防范方法1进行包过滤：只在内网之间使用信任关系，对于外网主机的连接请求可疑的直接过滤掉。2使用加密技术：对信息进行加密传输和验证3抛弃IP信任验证：放弃以IP地址为基础的验证。4、密、密码码破解的防范方法破解的防范方法l密码不要写下来l不要将密码保存在计算机文件中l不要选取显而易见的信息做密码l不要再不同系统中使用同一密码l定期改变密码l设定密码不宜过短，最好使用字母、数字、标点符号、字符混合5、拒、拒绝绝服服务务的防范方法的防范方法（1）拒绝服务的防御策略：l建立边界安全界限，确保输出的数据包收到正确限制。经常检测系统配置信息，并建

16、立完整的安全日志。l利用网络安全设备加固网络的安全性，配置好设备的安全规则，过滤所有可能的伪造数据包。（2）具体DOS防范方法：l死亡之ping的防范方法：设置防火墙，阻断ICMP以及任何未知协议。、lTeardrop的防范方法：在服务器上应用最新的服务包，设置防火墙对分段进行重组，不转发它们。lTCPSYN洪水的防范方法：关掉不必要的TCP/IP服务，或配置防火墙过滤来自同一主机的后续连接。lLand的防范方法：配置防火墙，过滤掉外部结构上入栈的含有内部源地址的数据包。lSmurf的防范方法：关闭外部路由器或防火墙的广播地址特征，或通过在防火墙上设置规则，丢弃ICMP包。三、入侵三、入侵检测

17、技技术一、概述通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。二、功能1.监控、分析用户和系统的活动2.对系统配置和漏洞的审计3.估计关键系统和数据文件的完整性4.识别和反应入侵活动的模式并向网络管理员报警5.对异常行为模式的统计分析6.操作系统审计跟踪管理，识别违反策略的用户活动三、入侵检测技术入侵行为与用户的正常行为存在可量化的差别，通过检测当前用户行为的相关记录，从而判断攻击行为是否发生。1统计统计异常异常检测检测技技术术对合法用户在一段时间内的用户数据收集，然后利用统计学测试方法分析用户行为，以判断用户行为是

18、否合法。分为基于行为剖面的检测和阈值检测。2规则规则的的检测检测技技术术通过观察系统里发生的事件并将该时间与系统的规则进行匹配，来判断该事件是否与某条规则所代表的入侵行为相对应。分为基于规则的异常检测和基于规则的渗透检测。四、入侵检测过程1信息收集：信息收集：在网络系统中的不同网段、不同主机收集系统、网络、数据及用户活动的状态和行为等相关数据。2信息分析信息分析匹配模式：将收集到的信息与已知的网络入侵和系统已有的模式数据库进行匹配，进而发现违反安全策略的行为。l统计分分析析：首先给系统对象创建一个统计描述，统计正常使用时的一些测量属性。这个测量属性的平均值将与网络、系统的行为进行比较，是否处于

19、正常范围之内。l完完整整性性分分析析：关注某个固定的对象是否被更改。五、入侵检测系统的基本类型1.基于主机的入侵检测系统使用操作系统的审计日志作为数据源输入，根据主机的审计数据和系统日志发现可疑事件。依赖于审计数据和系统日志的准确性、完整性以及安全事件的定义。2.基于网络的入侵检测系统使用整个网络上传输的信息流作为输入，通过被动地监听捕获网络数据包，并分析、检测网络上发生的网络入侵行为。但只能检测直接连接网络的通信，不能检测不同网段的网络包。3.分布式入侵检测系统（混合型）1.入侵响入侵响应应当检测到入侵或攻击时，采取适当的措施阻止入侵和攻击的进行。2.入侵跟踪技入侵跟踪技术术知道对方的物理地

20、址、IP地址、域名、应用程序地址等就可以跟踪对方。六、入侵检测系统应对攻击的技术四、蜜罐技四、蜜罐技术 1蜜罐技蜜罐技术术l蜜罐系统是互联网上运行的计算机系统，可以被攻击，对于攻击方入侵的过程和行为进行监视、检测和分析，进而追踪入侵者。l蜜罐系统是一个包含漏洞的诱骗系统，是一种被监听、被攻击或已被入侵的资源，通过模拟一个或多个易被攻击的主机，给攻击者提供一个容易攻击的目标，而拖延攻击者对真正目标的攻击，让其在蜜罐上浪费时间。l蜜罐系蜜罐系统统关关键键技技术术：服务伪装、漏洞提供l蜜罐技蜜罐技术术缺陷：缺陷：只能对针对蜜罐的攻击行为进行监视和分析，不能像入侵检测系统一样能够通过旁路侦听等技术队整

21、个网络进行监控。2蜜网技蜜网技术术l蜜网技术又称为诱捕网络，它构成一个黑客诱捕网络体系架构，其上包含一个或多个蜜罐，同时保证了网络的高度可控性，以及提供多种工具一方便对攻击信息采集和分析。l蜜网核心需求：蜜网核心需求：数据控制、数据捕获、数据分析安全操作系统概述第四部分04一、安全操作系一、安全操作系统的定的定义1.操作系统的安全现状2.安全操作系统的定义系统能够控制外部对系统信息的访问，即只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。包含有：包含有：1操作系统在设计时通过权限访问控制、信息加密性保护和完整性鉴定等一些机制实现的安全防护。2操作系统在使用时，通过配置保证系统避免由于实现时的缺陷或是应用环境因素产生的不安全。二、安全操作系二、安全操作系统的特征的特征E安全域隔离A最小特权原则C强制访问控制：制定一个固定的安全属性，来决定一个用户是否可以访问资源。安全属性可由系统自动分配也可由系统管理员手动分配。F可信路径B有ACL的自主访问控制D安全审计和审计管理202X感感谢您的您的倾听听N e t w o r k s e c u r i t y t e c h n o l o g y主讲人：网络攻击/防 御 技术/安 全 操 作