《第五章信息传输安全技术》由会员分享,可在线阅读,更多相关《第五章信息传输安全技术(101页珍藏版)》请在金锄头文库上搜索。
1、第5章 信息传输安全技术,主编:彭波,第5章 信息传输安全技术,知识教学目标: 了解黑客攻击的目的及步骤、常用的黑客攻击方法 掌握防黑措施 了解信息加密技术 熟悉防火墙技术、掌握防火墙创建步骤 技能培养目标: 能够掌握X-scan 3.3扫描工具的使用 能够掌握PGP加密软件的使用 能够掌握ISA Server 2004防火墙的使用,5.1 黑客攻击常用的步骤,5.1.1网络黑客概述 黑客,英文名为Hacker,是指对计算机信息系统进行非授权访问的人员。 人们通常认为黑客是指在计算机技术上有一定特长,并凭借自己掌握的技术知识,采用非法的手段逃过计算机网络系统的存取控制,而获得进入计算机网络进行
2、未授权的或非法的访问的人。,5.1.2 黑客攻击的目的及步骤,1. 黑客攻击的目的 (1)窃取信息。 (2)获取口令。 (3)控制中间站点。 (4)获得超级用户权限。,2. 黑客攻击的步骤,(1)攻击前奏:锁定目标、了解目标的网络结构、搜集系统信息、利用信息服务 (2)实施攻击:控制目标系统、拒绝服务攻击 (3)巩固控制:清除记录和留下后门。 (4)继续深入:窃取主机上的各种敏感信息,5.1.3 常用的黑客攻击方法,1. 端口扫描 (1)扫描器的定义 (2)扫描器的工作原理 (3)扫描器的功能,2. 口令破解 (1)猜解简单口令 (2)字典攻击 (3)暴力猜解,3. 特洛伊木马,先通过一定的方
3、法把木马执行文件复制到被攻击者的电脑系统里 当服务端程序在被感染的机器上成功运行以后,攻击者就可以使用客户端与服务端建立连接,并进一步控制被感染的机器。,(1) 特洛伊木马的工作原理,木马服务端程序的植入。 木马将入侵主机信息发送给攻击者。 木马程序启动并发挥作用。,(2)特洛伊木马程序的存在形式,1)Win.ini:run=、load=项目中的程序名。 2)System.ini:Shell=Explorer.exe项后的程序名。 3)注册表:Run项中的程序。,(3) 特洛伊木马的特性,1)隐蔽性 2)自动运行性 3)功能的特殊性 4)自动恢复功能 5)能自动打开特别的端口,(4)特洛伊木马
4、的入侵,1)集成到程序中 2)隐藏在配置文件中 3)潜伏在Win.ini中 4)伪装在普通文件中 5)内置到注册表中 6)在System.ini中藏身 7)隐形于启动组中 8)隐蔽在Winstart.bat中 9)捆绑在启动文件中 10)设置在超链接中,4. 缓冲区溢出攻击,(1) 缓冲溢出攻击的原理 指的是一种系统攻击的手段,通过往程序的缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击的目的。,(2)缓冲区溢出攻击的方法 1)植入法 2)利用已经存在的代码,(3)缓冲区溢出攻击的防范技术,1)编写正确的代码 2)非执行的缓冲区 3)数组边界
5、检查 4) 程序指针完整性检查,5. 拒绝服务攻击,(1)拒绝服务攻击原理 利用TCP/IP中的某种漏洞,或者系统存在的某些漏洞,对目标系统发起大规模的攻击,使攻击目标失去工作能力,使系统不可访问因而合法用户不能及时得到应得的服务或系统资源,(2)拒绝服务攻击分类,1)死亡之Ping 2)SYN Flood 3)land攻击 4)Smurf攻击 5)Teardrop攻击 6)UKP Flood拒绝服务攻击,(3)分布式拒绝服务攻击,1)分布式拒绝服务攻击概述 2)被分布式拒绝服务攻击时的现象 3)分布式拒绝服务攻击的原理,(4) 分布式拒绝服务攻击的防范,1) 在服务上关闭不必要的服务 2)在
6、防火墙方面,禁止对主机的非开放服务的访问 3)在路由器方面,使用访问控制列表(ACL)过滤 4)SP/ICP要注意自己管理范围内的客户托管主机不要成为傀儡机 5)骨干网络运营商在自己的出口路由器上进行源IP地址的验证,6. 网络监听,(1)网络监听的基本原理 1)网络监听 用来监视网络的状态、数据流动情况以及网络上传输的信息等 2)在局域网实现监听的基本原理,(2)网络监听的简单实现 (3)网络监听的检测 1)用正确的IP地址和错误的物理地址Ping 2)向网上发大量不存在的物理地址的包 3)使用反监听工具如Antisniffer等进行检测,(4) 对网络监听的防范措施,1)从逻辑或物理上对网
7、络分段 2)以交换式集线器代替共享式集线器 3)使用加密技术 4)划分VLAN,5.1.4 防黑措施,1. 防范黑客入侵的措施 (1) 安全口令 (2) 实施存取控制 (3) 确保数据的安全 (4) 定期分析系统日志 (5) 不断完善服务器系统的安全性能 (6) 进行动态站点监控 (7) 用安全管理软件测试自己的站点 (8) 做好数据的备份工作 (9) 使用防火墙,2. 防范黑客入侵的步骤,(1)选好操作系统 (2)补丁升级 (3)关闭无用的服务 (4)隐藏IP地址 (5)查找本机漏洞 (6)防火墙软件保平安,5.2信息加密技术,5.2.1 加密技术概述,图5-2 加密技术示意图,图5-3 加
8、密和解密的一般过程,5.2.2对称加密技术,加密密钥与解密密钥是相同的 计算开销小,加密速度快。 确保密钥安全交换的问题,无法鉴别贸易发起方或贸易最终方,也不能保证信息传递的完整性。,图5-4对称密码技术图,5.2.3 非对称加密技术,加密密钥可以公开,而只需秘密保存解密密钥即可 缺点是计算量大,加密速度慢。,图5-5非对称密码技术如图,表5-1对称加密技术与非对称加密技术对比表,5.2.4 PGP加密软件,基于RSA公匙加密体系的邮件加密软件 PGP包含:一个对称加密算法(IDEA)、一个非对称加密算法 (RSA)、一个单向散列算法(MD5)以及一个随机数产生器(从用户击键频率产生伪 随机数
9、序列的种子)。,5.3 防火墙技术,1. 网络防火墙基本概念 (1)什么是防火墙 为了防止林中的山火把房子烧毁,每座房子在其周围用石头砌一座墙作为隔离带,这就是本意上的防火墙。,网络防火墙,指在两个网络之间加强访问控制的一整套装置,即防火墙是构造在一个可信网络(一般指内部网)和不可信网络(一般指外部网)之间的保护装置,强制所有的访问和连接都必须经过这个保护层,并在此进行连接和安全检查。只有合法的数据包才能通过此保护层,从而保护内部网资源免遭非法入侵。,(2)与防火墙相关概念,1)主机: 2)堡垒主机: 3)双宿主主机: 4)包: 5)包过滤: 6)参数网络: 7)代理服务器:,2网络防火墙的目
10、的与作用,(1)构建网络防火墙的主要目的 1)限制访问者进入一个被严格控制的点。 2)防止进攻者接近防御设备。 3)限制访问者离开一个被严格控制的点。 4)检查、筛选、过滤和屏蔽信息流中的有害服务,防止对计算机系统进行蓄意破坏。,(2)网络防火墙的主要作用 1)有效地收集和记录互联网上的活动和网络误用情况。 2)能有效隔离网络中的多个网段,防止一个网段的问题传播到另外网段。 3)防火墙作为一个安全检查站,能有效地过滤、筛选和屏蔽有害的信息和服务。 4)防火墙作为一个防止不良现象发生的“警察”,能执行和强化网络的安全策略。,5.3.1 防火墙的类型,包过滤型; 代理服务器型; 电路层网关; 混合
11、型; 应用层网关; 自适应代理技术,1. 包过滤型防火墙,一般安装在路由器上,工作在网络层 一般允许网络内部的主机直接访问外部网络,而外部网络上的主机对内部网络的访问则要受到限制。 简单、方便、速度快、透明性好,对网络性能影响不大 安全性较差。,2. IP级包过滤型防火墙,对每一个到来的报文根据其报头进行过滤,按一组预定义的规则来判断该报文是否可以继续转发,不考虑报文之间的前后关系。这些过滤规则称为Packet Profile。,案例:,设网络123.45.0.0/16不愿其他因特网主机访问其站点;但它的一个子网123.45.6.0/24和某大学135.79.0.0/16有合作项目,因此允许该
12、大学访问该子网;然而135.79.99.0/24是黑客天堂,需要禁止,为此在网络防火墙上设置表5-3所示规则。,注:指任何任意(如所指的表示为任意的协议类型),其他的类推。 注意这些规则之间并不是互斥的,因此要考虑顺序。另外这里建议的规则只用于讨论原理,因此在形式上并非是最佳的。,表5-3 规则一,(2)SMTP处理,SMTP是一个基于TCP的服务,服务器使用端口25,客户机使用任何大于1023的端口。如果防火墙允许电子邮件穿越网络边界,(3) HTTP处理,HTTP是一个基于TCP的服务,大多数服务器使用端口80,也可使用其他非标准端口,客户机使用任何大于1023的端口。如果防火墙允许WWW
13、穿越网络边界,3. 代理服务器型防火墙,一个代理服务器和一个代理客户。 代理服务器是一个运行代理服务程序的双宿主主机 代理客户是普通客户程序,4. 其他类型的防火墙,(1)电路层网关 (2)混合型防火墙 (3)应用层网关 (4)自适应代理技术,表5-6 各种防火墙性能比较,5.3.2 防火墙设计的安全要求与准则,1. 防火墙设计的安全要求 (1)应由多个构件组成 (2)能抵抗网络黑客的攻击 (3)一旦失效、重启动或崩溃,则应完全阻断内、外部网络站点的连接 (4)应提供强制认证服务 (5)对内部网络应起到屏蔽作用,2. 防火墙安全策略基本准则,(1)一切未被允许的访问就是禁止的。 (2)一切未被
14、禁止的访问就是允许的。,5.3.3典型的防火墙结构,(1)使用多堡垒主机。 (2)合并内部路由器与外部路由器。 (3)合并堡垒主机与外部路由器。 (4)合并堡垒主机与内部路由器。 (5)使用多台内部路由器。 (6)使用多台外部路由器。 (7)使用多个周边网络。 (8)使用双重宿主主机与屏蔽子网。,目前典型的防火墙结构,图5-6 典型防火墙结构,5.3.4 创建防火墙步骤,1. 制定安全策略 2. 搭建安全体系结构 3. 制定规则次序 4. 落实规则集 5. 注意更换控制 6. 做好审计工作,实训一 X-scan 3.3扫描工具的使用,【实训条件】 1. 硬件环境要求: CPU:至少550 MH
15、z,最多支持四个CPU; 内存:至少256 MB; 硬盘空间:150 MB以上,不含缓存使用的磁盘空间。 2. 软件环境要求: 操作系统:Windows Server 2003 或 Windows 2000 Server 操作系统。 X-scan3.3软件。 3. 网络环境: 每台主机联入局域网;局域网内必须有一台服务器模拟为电子商务网站。,【实训内容】,1. 使用X-scan3.3检测系统漏洞。 2. 使用X-scan3.3扫描系统端口。 3. 使用X-scan3.3检测系统用户以及共享信息。,【实训步骤】,1. 使用X-scan3.3检测系统漏洞 1)打开Xscan_gui.exe,在菜单
16、栏中选择设置,首先在检测范围中设置要扫描的主机IP地址,也可以设置IP地址范围,如图5-7所示。,图5-7 设置检测范围,(2)选择扫描参数,弹出扫描参数设置框,然后在全局设置中选择扫描模块,在扫描模块选中“IIS编码/解码漏洞”和“漏洞检测脚本”,如图5-8所示。,图5-8 选择扫描模块,(3)全局设置中的其它选项可以按照默认,然后展开插件设置,选择“漏洞检测脚本设置”,如图5-9所示。 (4)用户可以根据自己需要扫描的信息来选择脚本,所以取消全选,然后点击选择脚本,在出现的脚本选择框中选择需要检测的脚本,如图5-10所示。,图5-9设置插件,图5-10 选择漏洞脚本文件,(5)选择好后点击两次确定退出扫描设置。然后点击开始扫描,如图5-11所示。 (6)扫描完成后会生成一个报告并以网页形式显示在IE浏览器中,如图5-12所示。,图5-11 检测过程,图5-12检测报告,2. 使用X-scan3.3扫描开放的端口,(1)打开X-scan3.3主界面,选择设置-扫描参数,在弹出的设置框中选择检测范围,然后输入要检测的
