《计算机网络技术 教育部高职高专计算机类专业教学指导委员会优秀教材 教学课件 徐立新 第9章 网络安全技术》由会员分享,可在线阅读,更多相关《计算机网络技术 教育部高职高专计算机类专业教学指导委员会优秀教材 教学课件 徐立新 第9章 网络安全技术(32页珍藏版)》请在金锄头文库上搜索。
1、在线教务辅导网:http:/,教材其余课件及动画素材请查阅在线教务辅导网,QQ:349134187 或者直接输入下面地址:,http:/,第9章 网络安全,主要内容,9.1 网络安全简介,9.1.1 网络安全的定义,网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。,9.1 网络安全简介,9.1.2 网络面临的安全威胁,(1)截获(Interception)。攻击者从网络上窃听他人
2、的通信内容。 (2)中断(Interruption)。攻击者有意中断他人在网络上的通信。 (3)篡改(Modification)。攻击者故意篡改网络上传送的报文。 (4)伪造(Fabrication)。攻击者伪造信息在网络上传送。,9.1 网络安全简介,9.1.3 计算机网络及信息安全的目标,1机密性机密性是指保证信息不能被非授权访问,即非授权用户得到信息也无法知晓信息内容,因而不能使用。 2完整性完整性是只有得到允许的人才能修改实体或者进程,并且能够判别出实体或者进程是否已被修改。 3可用性可用性是信息资源服务功能和性能可靠性的度量,涉及到物理、网络、系统、数据、应用和用户等多方面的因素,是
3、对信息网络总体可靠性的要求。,9.1 网络安全简介,4可控性可控性主要指对危害国家信息(包括利用加密的非法通信活动)的监视审计。 5不可否认性不可否认性是对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“逃不脱”,并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性,一般通过数字签名等技术来实现不可否认性。,9.2 黑客入侵攻击的一般过程,黑客入侵攻击的一般过程如下所述: (1)确定攻击的目标。 (2)收集被攻击对象的有关信息。 (3)利用适当的工具进行扫描。 (4)建立模拟环境,进行模拟攻击。 (5)实施攻击。 (6)清除痕
4、迹。,9.3 网络扫描工具,9.3.1 扫描器的作用,(1)检测主机是否在线。 (2)扫描目标系统开放的端口,有的还可以测试端口的服务信息。 (3)获取目标操作系统的敏感信息。 (4)破解系统口令。 (5)扫描其他系统敏感信息。一个优秀的扫描器能检测整个系统各个部分的安全性,能获取各种敏感的信息,并能试图通过攻击以观察系统反应等。扫描的种类和方法不尽相同,有的扫描方式甚至相当怪异且很难被发觉,但却相当有效。,9.3 网络扫描工具,9.3.2 X-scan扫描器概述,X-scan采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式。扫描内容包
5、括:远程服务类型、操作系统类型及版本、各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等20多个大类。,9.3 网络扫描工具,9.3.3 端口扫描程序Nmap,在诸多端口扫描器中,Nmap是其中的佼佼者,它提供了大量的基于DOS的命令行选项,还提供了支持Win2K/XP的GUI(图形用户界面),能够灵活地满足各种扫描要求,而且输出格式丰富。,9.4 网络监听原理与工具使用,9.4.1 网络监听原理网络监听是黑客在局域网中常用的一种技术,它在网络中监听别人的数据包,监听的目的就是分析数据包,从而获得一些敏感信息,如账号和密码等。其实网络监听原本是网络管理员经常使用的一个工具,主要用
6、来监视网络的流量、状态、数据等信息,比如Wireshark就是许多系统管理员手中的必备工具。,9.4 网络监听原理与工具使用,9.4.2 网络监听工具Wireshark的使用 Wireshark是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。与很多其他网络工具一样,wireshark也使用pcap network library来进行封包捕捉。分析数据包有3个步骤:选择数据包、分析协议、分析数据包内容。 (1)选择数据包每次捕获的数据包的数量成百上千,首先,根据时间、地址、协议、具体信息等来对需要的数据进行简单的手工筛选,在这么多数据中选出所要分析的
7、那一个。 (2)分析协议,我们在协议窗口直接获得的信息是,以太帧头、IP头、TCP头和应用层协议中的内容。 (3)分析数据包内容一次完整的嗅探过程并不是只分析一个数据包,可能是在几百或上万个数据包中找出有用的几个或几十个来分析,理解数据包,对于网络安全具有至关重要的意义。,9.5 木马的检测与防范,9.5.1木马的工作原理特洛伊木马,英文叫做“Trojan Horse”,它是一种基于远程控制的黑客工具(病毒程序)。常见的普通木马一般是客户端/服务端(C/S)模式,客户端/服务端之间采用TCP/UDP的通信方式,攻击者控制的是相应的客户端程序,服务器端程序是木马程序,木马程序被植入了毫不知情的用
8、户的计算机中。以“里应外合”的工作方式,服务程序通过打开特定的端口并进行监听(Listen),这些端口好像“后门”一样,所以,也有人把特洛伊木马叫做后门工具。攻击者所掌握的客户端程序向该端口发出请求(Connect Request),木马便和它连接起来了,攻击者就可以使用控制器进入计算机,通过客户端程序命令达到控制服务器端的目的。,9.5 木马的检测与防范,9.5.2 木马的种类 (1)网络游戏木马 (2)网银木马 (3)即时通讯软件木马发送消息型 盗号型传播自身型 (4)网页点击类木马 (5)下载类木马 (6)代理类木马,9.5 木马的检测与防范,9.5.3 木马的工作过程 1配置木马 (1
9、)木马伪装 (2)信息反馈 2传播木马 3启动木马 4建立连接 5远程控制,9.5 木马的检测与防范,9.5.4 木马的检测 1查看端口 (1)netstat命令 (2)专用工具 2检查账户 3检查注册表 4检查配置文件,9.5 木马的检测与防范,9.5.5 木马的防御与清除木马一般都是通过E-mail和文件下载传播来的。因此要提高防范意识,不要打开陌生人信中的附件。另外,建议大家最好到正规网站去下载软件,这些网站的软件更新快,且大部分都经过测试,可以放心使用。一旦发现了木马,最简单的方法就是使用杀毒软件。同时新的木马不断出现,旧的木马变种也很快,有些要手工查找并清除。,9.6 拒绝服务攻击,
10、9.6.1 拒绝服务攻击的定义,拒绝服务(Denial of Service,DoS)攻击广义上可以指任何导致网络设备(服务器、防火墙、交换机、路由器等)不能正常提供服务的攻击,现在一般指的是针对服务器的DoS攻击。这种攻击可能就使网线被拔下,或者网络的堵塞等,最终的结果是正常用户不能使用他所需要的服务。黑客使用DoS攻击有以下的目的: (1)使服务器崩溃并让其他人也无法访问。 (2)黑客为了冒充某个服务器,就对它进行DoS攻击,使其瘫痪。 (3)黑客为了安装的木马启动,要求系统重启,DoS攻击可以用于强制服务器重启。,9.6 拒绝服务攻击,9.6.2 拒绝服务攻击分类DoS 的攻击方式有很多
11、种,根据其攻击的手法和目的不同,有两种不同的存在形式。一种是以消耗目标主机的可用资源为目的,使目标服务器忙于应付大量非法的、无用的连接请求,占用了服务器所有的资源,造成服务器对正常的请求无法再做出及时响应,从而形成事实上的服务中断,这也是最常见的拒绝服务攻击形式。这种攻击主要利用的是网络协议或者是系统的一些特点和漏洞进行攻击,主要的攻击方法有死亡之 ping、SYN Flood、UDP Flood、 ICMP Flood、Land、Teardrop 等等,针对这些漏洞的攻击,目前在网络中都有大量的现成工具可以利用。 另一种拒绝服务攻击是以消耗服务器链路的有效带宽为目的,攻击者通过发送大量的有用
12、或无用数据包,将整条链路的带宽全部占用,从而使合法用户请求无法通过链路到达服务器。例如蠕虫对网络的影响。,9.6 拒绝服务攻击,几种常见的拒绝服务攻击:,1死亡之 Ping通过发送畸形的、超大尺寸的 ICMP 数据包,如果 ICMP 数据包的尺寸超过64KB上限时,主机就会出现内存分配错误,导致 TCP/IP 堆栈崩溃,致使主机死机。 2UDP Flood 攻击攻击者利用简单的TCP/IP服务,如Chargen(Character Generator Protocol字符发生器协议)和Echo来传送毫无用处的占满带宽的数据。 3Land 攻击Land攻击原理是:用一个特别打造的SYN包,它的原
13、地址和目标地址都被设置成某一个服务器地址。此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接。 4泪滴攻击泪滴(Teardrop)攻击是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。,9.6 拒绝服务攻击,9.6.3 分布式拒绝服务攻击,分布式拒绝服务(Distributed Denial of Service)是一种基于DoS的特殊形式的攻击,是一种分布、协作的大规模攻击方式,主要攻击比较大的站点,例如商业公司、搜索引擎和政府部门的站点。,9.7 计算机病毒,9.7.1 网络防病毒技术网络防毒技术可以直
14、观地分为病毒预防技术、病毒检测技术及病毒清除技术。 (1)病毒预防技术。 计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统传染和破坏。实际上这是一种动态判定技术,即一种行为规则判定技术。 (2)病毒检测技术。计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种,一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。 (3)病毒清除技术。目前,清除病毒大都是在某种病毒出现后,通过对其进行分析研究而研制出来的具有相应解毒功能的软件。,9.7 计算机
15、病毒,9.7.2 网络安全防御实例 实例一:校园网安全防御高校校园网以服务于教学、科研为的宗旨,这决定其必然是一个管理相对宽松的开放式系统,无法做到像企业网一样进行严格统一的管理,这使得保障校园网安全成为一个大挑战。 上海交通大学从自身情况出发,其安全方案主要包括以下6个方面。 1网络关键路由交换设备的安全配置 2采取静态IP地址管理模式 3中央集中控制病毒 4积极防范网络攻击 5统一身份认证 6鼓励学生当网管,9.7 计算机病毒,实例二:个人电脑安全防御 1杀毒软件不可少 2个人防火墙不可替代 3分类设置密码并使密码设置尽可能复杂 4不下载来路不明的软件及程序,不打开来历不明的邮件及附件 5
16、警惕“网络钓鱼” 6防范间谍软件 7只在必要时共享文件夹 8不要随意浏览黑客网站、色情网站 9定期备份重要数据,9.8 PGP加密系统,9.8.1 加密技术,数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非授权者不能了解被保护信息的内容。加密的基本思想是伪装明文以隐蔽其真实内容,即将明文伪装成密文 伪装明文的操作称为加密,加密时所使用的信息变换规则称为加密算法。由密文恢复出原明文的过程称为解密。解密时所采用的信息变换规则称作解密算法。,9.8 PGP加密系统,9.8.2 PGP软件包的安装和使用PGP加密软件是美国Network Associate Inc.出产的免费软件,可用它对文件、邮件进行加密。 使用PGP软件对Outlook Express邮件加密并签名后发送给接收方;接收方验证签名并解密邮件。 (1)安装PGP (2)生成用户密钥对 (3)用PGP对Outlook Express邮件进行加密操作 (4)接收方用私钥解密邮件,
