《计算机基础课件 第6部分 网络安全介绍》由会员分享,可在线阅读,更多相关《计算机基础课件 第6部分 网络安全介绍(72页珍藏版)》请在金锄头文库上搜索。
1、网络信息安全技术内容提纲我国网络现状一网络攻击方法及原理二网络安全防御技术三未来的展望四一、我国网络现状1、上网人数激增中国网民人数增长情况2、网络安全事件频发3、攻击手段多样二、网络攻击方法及原理1、黑客简史(1)影视中的黑客黑客帝国浪漫主义的黑客电影浪漫主义的黑客电影箭鱼行动写实主义的黑客电影虎胆龙威4恐怖主义的黑客电影黑客悲情中国特色黑客电影(2)黑客起源的背景v起源地: 美国 v精神支柱: 对技术的渴求 对自由的渴求 v历史背景: 越战与反战活动 马丁路德金与自由 嬉皮士与非主流文化 电话飞客与计算机革命(3)著名黑客v罗伯特莫里斯1988年,莫里斯蠕 虫病毒震撼了整个世界 。由原本寂
2、寂无名的大 学生罗伯特莫里斯制 造的这个蠕虫病毒入侵 了大约6000个大学和军 事机构的计算机,使之 瘫痪。此后,从CIH到美 丽杀病毒,从尼姆达到 红色代码,病毒、蠕虫 的发展愈演愈烈v凯文米特尼克 美国20世纪最著名的 黑客之一,社会工 程学的创始人 1979年他和他的伙伴 侵入了北美空防指挥 部。 1983年的电影战争 游戏演绎了同样的 故事,在片中,以凯 文为原型的少年黑客 几乎引发了第三次世 界大战(4)中国的“黑客文化”v中国缺乏欧美抚育黑客文化的土壤 缺少庞大的中产阶层 缺少丰富的技术积累 v中国的黑客文化的“侠” 侠之大者,为国为民 侠之小者,除暴安良(5)中国“黑客”重要历史
3、事件v1998年印尼事件 以八至六人为单位,向印尼政府网站的信箱 中发送垃圾邮件 用Ping的方式攻击印尼网站 中国黑客最初的团结与坚强的精神,为后来 的中国红客的形成铺垫了基础 技术性黑客牵头组建了“中国黑客紧急会议中 心”负责对印尼网站攻击期间的协调工作 v1999年南联盟事件 中国黑客袭击了美国能源部、内政部及其所 属的美国家公园管理处的网站 大规模的攻击致使白宫网站三天失灵 v绿色兵团南北分拆事件 1997年,中国最老牌的黑客组织“绿色兵团 ”成立,黑客从此有了自己的江湖 2000年3月,“绿色兵团”与中联公司合作投 资,并在北京招募成员注册了北京中联绿盟 信息技术公司 同年7月,由于
4、商业问题,北京绿盟与上海绿 盟因内部原因合作破裂v中美五一黑客大战事件 04年初,四川站开始负责美国IP段的收集,扫描NT主机与UNIX主机, 并启动的四十多台跳板主机全速扫描一些美国IP段的网站。 使用一些常见的系统漏洞,在三个小时之内入侵了五个网站,其中三 个被更换了页面,另外两个作了跳板 5月1日,中国鹰派“五月之鹰行动指挥中心”正式成立 晚11时,山东站成员扫描出IP段的美国主机漏洞,然后,上传木马和 被黑页面。几小时后,这些主机“都见上帝去了” 美黑客以嚣张的气焰攻击国内的网站。至5月3日,国内已有400多个网 站沦陷。入侵者破坏手段已不是停留在修改页面上,而是删除重要数 据,使服务
5、器彻底瘫痪 使用飘叶邮件炸弹及PING不断地向白宫等重点网站发数据包,使美国 黑客陷入了“人民战争的汪洋大海”中去 5月8日,红客联盟和中国鹰派共同宣布停止对美攻击,四川站也停火 直至5月8日战斗结束,美国共有1600多个网站遭到了不同程度的破坏 ,包括美国劳工部、美国加利福尼亚能源部、日美社会文化交流会、 白宫历史协会、UPI新闻服务网、华盛顿海军通信站等。 连安全性很 强的美国白宫网站,都被DDOS(分布式拒绝服务)被迫关闭了2小时(6)黑客的分类灰帽子破解者 破解已有系统 发现问题/漏洞 突破极限/禁制 展现自我 计算机为人民服务 漏洞发现 - Flashsky 软件破解 - 0 Day
6、 工具提供 - Glacier白帽子创新者 设计新系统 打破常规 精研技术 勇于创新 没有最好,只有更好 MS -Bill Gates GNU -R.Stallman Linux -Linus善黑帽子破坏者 随意使用资源 恶意破坏 散播蠕虫病毒 商业间谍 人不为己,天诛地灭 入侵者-K.米特尼克 CIH - 陈盈豪 攻击Yahoo者 -匿名恶渴求自由(7)所谓黑客语言H4x3r 14n9u493 i5 4 diff3r3n7 14n9u493 fr0m 3n91i5h.w3 c4n find 7hi5 14n9u493 in h4x3r5 885, IRC 0r 07h3r Ch477in9
7、p14c3.v常见替换 A = 4 B = 8 E = 3 G =9 l = 1 O = 0 S = 5 t = 7 Z = 2 常见缩写 CK = x You = u Are = r See = c And = n / & Not = !2、攻击阶段划分和思路及操作预攻击内容:获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的:收集信息,进行进 一步攻击决策攻击内容:获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的:进行攻击,获得系 统的一定权限后攻击内容:删除日志修补明显的漏洞植入后门木马进一步渗透扩展进入潜伏状态目的:消除痕迹,长期维
8、持一定的权限2、常见攻击及原理(1)端口扫描 扫描原理扫描程序是自动检 测远端主机或者本地主 机安全脆弱性的程序。v扫描的一般步骤 获取主机名与IP 地址:使用whois与nslookup等工具 获得操作系统类型信息:最快方法是试图telnet该系 统 FTP 信息:攻击者将测试是否开放FTP 服务,匿名FTP 是否可用,若可用,则试图发掘更多的潜在问题 TCP/UDP扫描:对于TCP,telnet可以用来试图与某一特 定端口连接,这也是手工扫描的基本方法。从中再分析 系统是否开放了rpc 服务、finger、rusers 和rwho等 比较危险的服务 扫描程序收集的目标主机的信息 当前主机正
9、在进行什么服务? 哪些用户拥有这些服务? 是否支持匿名登录? 是否有某些网络服务需要鉴别? 常用扫描软件 Nmap (http:/www.nmap.org) Superscan (http:/) Sl (http:/)v 口令攻击程序有很多,用于攻击UNIX平台的有Crack、CrackerJack 、PaceCrack95、Qcrack、John the Ripper、Hades等等;用于攻 击Windows 平台的有10phtCrack2.0、ScanNT、NTCrack、Passwd NT等等。 v 口令防御:用户登录失败的次数;特殊字符的8字节以上的长口令 ,并且要定期更换口令;要保证
10、口令文件的存储安全。 v 口令分析方法 穷举法 分析破译法:数学归纳分析或统计 v 密码破解 John (http:/ L0pht Crack5 (http:/) Word 密码破解 Advanced Office XP Password Recovery(2)获取口令(3)放置特洛伊木马程序v 特洛伊木马源自于希腊神话,在网络安全领域专指一种 黑客程序,它可以直接侵入用户的电脑并进行破坏 v 它一般包括两个部分,控制端软件和被控端软件。被控 端软件常被伪装成工具程序或者游戏等,诱使用户打开 带有该软件的邮件附件或从网上直接下载。一旦用户打 开了这些邮件的附件或者执行了这些程序之后,它们就 会
11、在目标计算机系统中隐藏一个可以在系统启动时悄悄 执行的程序。当用户连接到因特网上时,这个程序可以 通知攻击者,报告用户的IP地址以及预先设定的端口。 攻击者在收到这些信息后,再利用事先潜伏在其中的程 序,任意地修改用户的计算机的参数设定、复制文件、 窥视用户整个硬盘中的内容等,从而达到控制用户的计 算机的目的。 v 冰河 v Wollf () v winshell(4)网络钓鱼v网络钓鱼(Phishing)“Fishing”和“Phone”的综合词,它利 用欺骗性的E-mail和伪造的Web站点来进行诈骗 活动,使受骗者泄露自己的重要数据,如信用 卡号、用户名和口令等 v实例 一恶意网站,伪装
12、成中 国工商银行主页 QQ欺骗v原理由大量能够实现恶意功能的Bot(主机感染 bot程序,僵尸程序) 、Command & Control Server和控制者组成,能够受攻击者控制的网 络。攻击者在公开或秘密的IRC服务器上开辟私 有的聊天频道作为控制频道,僵尸程序中预先 已经设定好这些信息,当僵尸计算机运行时, 僵尸程序就自动搜索并连接到这些控制频道, 接收频道中的所有信息,这样就构成了一个IRC 协议的僵尸网络。攻击者通过IRC服务器,向整 个僵尸网络内的受控节点发送控制命令,操纵 这些“僵尸”进行破坏或者窃取行为。 (5)僵尸网络(6)DDoS攻击v分布式拒绝服务(DDoS)攻击是Do
13、S 攻击的演进 。它的主要特征是利用可能广泛分布于不同网 络中的多台主机针对一台目标主机进行有组织 的DoS 攻击。多个攻击源的分布式特性使得 DDoS攻击较传统的DoS 攻击有着更强的破坏性 v通常情况下,攻击者通过多级跳板登录到一个 或多个主控端(即客户机),主控端以多对多的 形式控制了大量的傀儡主机(即服务器)。攻 击者通过主控端主机,控制傀儡机。傀儡机上 运行的服务器程序接收来自主控端的指令并向 受害主机发动攻击vDDoS 攻击工具Trinoo:较早期的DDoS攻击工具,向受害主机随机端口发送 大量全零4字节长度的UDP包,处理这些垃圾数据包的过程中 ,受害主机的网络性能不断下降,直至
14、发生拒绝服务,乃至 崩溃。Trinoo 并不伪造源IP 地址,不使用主控端 TFN:由主控端和傀儡机两部分组成,主要攻击方式有:TCP SYN 洪泛攻击、ICMP 洪泛攻击、UDP 攻击和类Smurf 型的攻 击,能够伪造源地址。 TFN2K:是由TFN 发展而来的,新增了一些特性,它的主控端 和傀儡机的通信是经过加密的 Stacheldraht:也是从TFN 派生出来的,增加了主控端与傀 儡机的加密通信能力。可以防范一些基于路由器的过滤机制 ,且存在内嵌傀儡机升级模块 Smurf 型攻击:是一类攻击形式的总称,一般使用了ping 请 求数据包来进行,傀儡机在对受害主机发动攻击时,将攻击 数据
15、包的源地址伪装成受害主机的IP 地址,每台主机会对收 到的源地址为受害者IP 的ping 请求进行应答,从而形成攻 击数据流v常用攻击方法n 网络层 SYN Flood ICMP Flood UDP Flood Ping of Death n 应用层 垃圾邮件 CGI资源耗尽 针对操作系统 winnukev解剖SYN FloodSYN (我可以连接吗?)ACK (可以)/SYN(请确认!)攻击者受害者伪造地址进行SYN请求为何还 没回应就是让 你白等不能建立正常的连接正常tcp connect攻击者受害者大量的tcp connection这么多 需要处 理?不能建立正常的连接正常tcp connect 正常tcp connect 正常tcp connect正常tcp connect正常用户正常tcp connect(7)中间人攻击v 当攻击者位于一个可以观察或截获两个机器之间 的通信的位置时,就可以认为攻击者处于中间人 方式。因为很多时候主机之间以明文方式传输有 价值的信息,因此攻击者可以很容易地攻入其他 机器。对于某些公钥加密的实现,攻击者
