《网络安全技术-精品ppt课件》由会员分享,可在线阅读,更多相关《网络安全技术-精品ppt课件(178页珍藏版)》请在金锄头文库上搜索。
1、更安全的使用计算机,计算机网络安全技术,M,提纲,如何显示电脑的所有文件 如何关闭系统还原(删除系统还原文件中的病毒) 如何删除系统临时文件 如何删除杀毒软件无法删除的文件 如何查看系统服务及运行注册表,任务管理器 如何关闭启动项 怎样分辩自己电脑是否中毒,M,网络安全相关领域,破解 脱壳 病毒、木马编写 流氓软件,广告软件编写 后门 系统保护、提速、优化 数据恢复 安全保障 攻击 钓鱼,M,M,认识这些,飞客 “phreak” 早期攻击电话网的青少年,研究各种盗打电话而不用付费的技术。 黑客 “Hacker”一个给予喜欢发现和解决技术挑战、攻击计算机网络系统的精通计算机技能的人的称号,与闯入
2、计算机网络系统目的在于破坏和偷窃信息的骇客不同。 骇客 “Cracker” 一个闯入计算机系统和网络试图破坏和偷窃个人信息的个体,与没有兴趣做破坏只是对技术上的挑战感兴趣的黑客相对应。 快客 “Whacker” 从事黑客活动但没有黑客技能的人,whacker是穿透系统的人中,在技术和能力上最不复杂的一类。入侵者(Intruder),他们是有目的的破坏者。,黑客、飞客、黑客、骇客、快客、闪客、下客、拍客。,M,黑客,安全攻防技术 黑客简史,M,国内黑客分类,目前国内将黑客的分成三类: 第一类:破坏者; 第二类:红客; 第三类:间谍,M,黑客入侵的行为模型,M,黑客攻击流程图,M,防 黑 措 施,
3、1. 防范黑客入侵的措施 2. 防范黑客入侵的步骤 1) 第一步:选好操作系统 2) 第二步:补丁升级 3) 第三步:关闭无用的服务 4) 第四步:隐藏IP地址 5) 第五步:查找本机漏洞 6) 第六步:防火墙软件保平安,M,入侵技术威胁,M,踩点扫描,踩点就是通过各种途径对所要攻击的目标进行多方面的了解(包括任何可得到的蛛丝马迹,但要确保信息的准确),确定攻击的时间和地点。 扫描的目的就是利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。 扫描可以分为两种策略: 一种是主动式策略(扫描): 基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞;
4、 另一种是被动式策略(监听): 基于主机之上,对系统中不合适的设置,脆弱的口令以及其他同安全规则抵触的对象进行检查,M,网络监听,网络监听的目的是截获通信的内容,监听的手段是对协议进行分析。Sniffer pro就是一个完善的网络监听工具。监听器Sniffer的原理: 在局域网中与其他计算机进行数据交换的时候,发送的数据包发往所有的连在一起的主机,也就是广播,在报头中包含目标机的正确地址。因此只有与数据包中目标地址一致的那台主机才会接收数据包,其他的机器都会将包丢弃。 但是,当主机工作在监听模式下时,无论接收到的数据包中目标地址是什么,主机都将其接收下来。然后对数据包进行分析,就得到了局域网中
5、通信的数据。 网络监听使得进行监听的机器响应速度变得非常慢。 一台计算机可以监听同一网段所有的数据包,不能监听不同网段的计算机传输的信息。,M,可以截获用户口令 可以截获秘密的或专用的信息 可以用来攻击相邻的网络 可以对数据包进行详细的分析 可以分析出目标主机采用了哪些协议,网络监听的作用,M,利用密码字典中的密码进行系统破解,选择菜单栏工具下的菜单项“字典测试”,程序将按照字典的设置进行逐一的匹配,如图所示,暴力破解,M,安装防火墙,禁止访问不该访问的服务端口,使用NAT隐藏内部网络结构 安装入侵检测系统,检测漏洞攻击行为 安装安全评估系统,先于入侵者进行模拟漏洞攻击,以便及早发现漏洞并解决
6、 提高安全意识,经常给操作系统和应用软件打补丁,漏洞攻击的防范措施,M,种植后门,从后门的整体特点来分可分为两大类:主动后门和被动后门。 主动后门就是后门程序会主动的监听某个端口或进程,随时等待连接,后门的特征非常明显。 被动后门不会做任何的工作,只有连接者去连接的时候才能表现出后门的特征。 从开放端口情况上来分分为:开放端口的后门、不开放端口的后门、利用系统已经开放的端口的后门。 从工作模式上来分分为:命令模式的后门、图形界面的后门、B/S结构基于浏览器的后门。 从连接模式上分为:正向连接后门、反向连接后门。,M,拒绝服务攻击,拒绝服务攻击的简称是:DoS(Denial of Service
7、)攻击,凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击,其目的是使目标计算机或网络无法提供正常的服务。最常见的DoS攻击是:计算机网络带宽攻击和连通性攻击。 带宽攻击是以极大的通信量冲击网络,使网络所有可用的带宽都被消耗掉,最后导致合法用户的请求无法通过。 连通性攻击指用大量的连接请求冲击计算机,最终导致计算机无法再处理合法用户的请求。,M,带宽阻塞攻击,拥有宽带连接的计算机还可以对窄带接入的计算机发起带宽阻塞攻击,造成其由于接收了过多的连接请求或过量的数据包而导致网络带宽耗尽而阻塞。,M,炸弹攻击,七、拒绝服务攻击,炸弹攻击的基本原理是利用工具软件,集中在一段时间内,向目标机发送大量垃
8、圾信息,或是发送超出系统接收范围的信息,使对方出现负载过重、网络堵塞等状况,从而造成目标的系统崩溃及拒绝服务。常见的炸弹攻击有邮件炸弹、聊天室炸弹等。 防御:对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。,M,邮箱炸弹,邮箱炸弹就是向受害者的信箱发送大批量的垃圾邮件,塞满整个信箱,使正常的Mail通信无法进行。 早期的ISP提供的收费信箱常常不限制信箱大小,在遭受垃圾邮件的轰炸后,受害者不仅Mail通信受到阻塞,而且在经济上也会受到巨大的损失。,M,M,Land攻击,由著名黑客组织RootShell发现,原理比较简单:就是向目标机发送源地址与目的地址一样的数据包,造成目标机解析L
9、and包占用太多资源,从而使网络瘫痪。 具体的讲,Land攻击打造一个特别的SYN包中,其原地址和目标地址都被设置成同一个地址,这将导致该计算机向它自己的地址发送SYN一ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时。,M,SYN Flood攻击,SYN Flood攻击也是一种常见的拒绝服务攻击。正常的一个TCP连接需要连接双方进行三个动作,即“三次握手”, SYN flood攻击的手法是攻击者有意不完成TCP的三次握手过程,其目的是让等待建立某种特定服务的连接数量超过系统所能承受的数量,从而使系统不能建立新的连接。 所有的操作系统对每个连接都设置了
10、一个计时器,如果计时器超时就释放资源,但是攻击者可以持续建立大量的SYN连接来消耗系统资源。显然,由于攻击者并不想完成三次握手过程,所以无须接收SYN/ACK,因此就没有必要使用真实的IP地址。,M,Smurf攻击,Smurf是一种很古老的DoS攻击,这种方法使用了广播地址。 如果A 发送1K大小的ICMP Echo Request到广播地址,那么A将收到1K*N 的ICMP reply,其中N为网络中计算机的总数。这将会消耗大量的网络资源。,M,M,计算机病毒,病毒概述 计算机病毒概述 计算机病毒的表现 病毒的起源与发展 病毒产生的背景 病毒发展 病毒分类 病毒分析 病毒特征 病毒程序结构及
11、机制,M,9.3 反病毒技术,8.3.1 反病毒技术的发展阶段 一个合理的反病毒方法,应包括以下几个措施: l 检测:就是能够确定一个系统是否已发生病毒感染,并能正确确定病毒的位置。 l 识别:检测到病毒后,能够辩别出病毒的种类。 清除:识别病毒之后,对感染病毒的程序进行检查,清除病毒并使程序还原到感染之前的状态,从系统中清除病毒以保证病毒不会继续传播。如果检测到病毒感染,但无法识别或清除病毒,解决方法是删除被病毒感染的文件,重载未被感染的版本。,M,反病毒软件可以划分为四代: l 第一代:简单的扫描器 l 第二代:启发式扫描器 l 第三代:行为陷阱 l 第四代:全部特征保护,M,9.3.2
12、高级反病毒技术,1通用解密 (1)CPU仿真器:一种基于软件的虚拟计算机。一个可执行文件中的指令由仿真器来解释,而不是由底层的处理器解释。仿真器包括所有的寄存器和其它处理器硬件的软件版本,由于程序由仿真器解释,就可以保持底层处理器不受感染。 (2)病毒特征扫描:是在目标代码中寻找已知病毒特征的模块。 (3)仿真控制模块:控制目标代码的执行。,M,2数字免疫系统,M,3行为阻断软件,行为阻断软件要监控的行为包括: (1)试图打开、浏览、删除、修改文件; (2)试图格式化磁盘或者其他不可恢复的磁盘操作; (3)试图修改可执行文件、脚本、宏; (4)试图修改关键的系统设置,如启动设置; (5)电子邮
13、件脚本、及时消息客户发送的可执行内容; (6)可疑的初始化网络连接。,M,9.4 病毒防范措施,8.4.1 防病毒措施 1服务器的防病毒措施 (1)安装正版的杀毒软件 (2)拦截受感染的附件 (3)合理设置权限 (4)取消不必要的共享 (5)重要数据定期存档,M,2终端用户防病毒措施 (1)安装杀毒软件和个人防火墙 (2)禁用预览窗口功能 (3)删除可疑的电子邮件 (4)不要随便下载文件 (5)定期更改密码,M,9.4.2 常用杀毒软件,杀毒软件市场潜力巨大,世界杀毒软件巨头之一的赛门铁克(Symantec)公司2004年的收入已经达到了18.7亿美元,其产品包括了网络安全的各个方面,杀毒产品
14、为诺顿(Norton Antivirus)。国内的杀毒软件市场基本形成瑞星、江民、金山三足鼎立的局面。 瑞星是北京瑞星科技股份有限公司的产品,在国内市场占据率为60%。 江民杀毒软件KV2005是江民科技公司的最新产品,在国内市场占据率为15%。 金山毒霸是金山软件股份有限公司的产品,在国内市场占据率为15%。,M,9.4.3 在线杀毒,在线杀毒利用浏览器支持ActiveX标准的特性,通过用户浏览网页并且下载杀毒引擎控件,直接对本地硬盘查杀病毒。杀毒引擎一般很小,只需在首次访问时下载一次,需要经常更新的病毒代码库则不必用户参与,在线杀毒会自动保持与最新版本完全同步。 网络在线杀毒的优点是: (1)使用方便。用户只需上网浏览并点击,就可使用。 (2)在线查毒是免费的,对用户来讲非常实惠,但在线杀毒一般都是收费的。 (3)网站提供了最新的软件版本,用户无需升级。,M,年月日凌晨,
