《第七章节网络安全课件》由会员分享,可在线阅读,更多相关《第七章节网络安全课件(57页珍藏版)》请在金锄头文库上搜索。
1、第7章 网络安全,7.1网络安全基础,7.1.1网络安全基本概念 1、网络安全基本要素 网络安全包括5个基本要素:机密性、完整性、可用性、可控性与可审查性。 机密性:确保信息不暴露给未授权的实体或进程。 完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。 可控性:可用控制授权范围内的信息流向及行为方式。 可审查性:对出现的网络安全问题提供调查的依据和手段。,2、网络安全威胁 目前网络存在的威胁主要表现在以下方面: 非授权访问:没有预先经过同意,就使用网络或计算机资源则被看作非授权访问,
2、它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。 信息泄露或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括:信息在传输中丢失或泄漏、信息在存储介质中丢失或泄漏以及通过建立隐蔽隧道等窃取敏感信息等。如黑客利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推测出有用信息如用户口令、账号等重要信息。,破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。 拒绝服务攻击:它不断对网络服务系统进行干
3、扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。,利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。 混合威胁攻击:混合威胁是新型的安全攻击,主要表现为一种病毒与黑客程序相结合的新型蠕虫病毒,可以借助多种途径和技术潜入企业、政府、银行、军队等的网络。这些利用“缓存溢出”对其他网络服务器进行传播的蠕虫病毒,还具有持续发作的特点。混合威胁的出现说明病毒编写者正在利用大量的系统漏洞将病毒传播的速度最大化。 间谍软件、广告程序和垃圾邮件攻击:近年在全球范围内最流行的攻
4、击方式是钓鱼式攻击,它利用间谍软件、广告程序和垃圾邮件将用户引入恶意网站,这些网站看起来与正常网站没有什么两样,但犯罪分子通常会以升级账户信息为由要求用户提供机密资料。,3、网络安全控制技术 为了保护网络信息的安全可靠,除了运用法律和管理手段外还需依靠技术方法来实现,网络安全控制技术目前有:防火墙技术、加密技术、用户识别技术、访问控制技术、网络反病毒技术、网络安全漏洞扫描技术、入侵检测技术、统一威胁安全管理技术等。 防火墙技术。防火墙技术是近年来维护网络安全最重要的手段。根据网络信息保密程度,实施不同的安全策略和多级保护模式。加强防火墙的使用,可以经济、有效地保证网络安全。目前已有不同功能的多
5、种防火墙,但防火墙也不是万能的,需要配合其他安全措施来协同防范。,加密技术。加密技术是网络信息安全主动的、开放型的防范手段,对于敏感数据应采用加密处理,并且在数据传输时采用加密传输,目前加密技术主要有两大类;一类是基于对称密钥的加密算法也称私钥算法;另一类是基于非对称密钥的加密算法,也称公钥算法。加密手段,一般分软件加密和硬件加密两种。软件加密成本低而且实用灵活,更换也方便,硬件加密效率高,本身安全性高。密钥管理包括密钥产生、分发、更换等,是数据保密的重要一环。,用户识别技术。用户识别和验证也是一种基本的安全技术。其核心是识别访问者是否属于系统的合法用户,目的是防止非法用户进入系统。目前一般采
6、用基于对称密钥加密或公开密钥加密的方法,采用高强度的密码技术来进行身份认证。比较著名的有Kerberos、PGP等方法 访问控制技术。访问控制是控制不同用户对信息资源的访问权限。根据安全策略,对信息资源进行集中管理,对资源的控制粒度有粗粒度和细粒度两种,可控制到文件、Web的HTML页面、图形、CCT、Java应用。,网络反病毒技术。计算机病毒从1981年首次被发现以来,在近20年的发展过程中在数目和危害性上都在飞速发展。因此计算机病毒问题越来越受到计算机用户和计算机反病毒专家的重视,并且开发出了许多防病毒的产品。 漏洞扫描技术。漏洞检测和安全风险评估技术,可预知主体受攻击的可能性和具体地指证
7、将要发生的行为和产生的后果。该技术的应用可以帮助分析资源被攻击的可能指数,了解支撑系统本身的脆弱性,评估所有存在的安全风险。网络漏洞扫描技术,主要包括网络模拟攻击、漏洞检测、报告服务进程、提取对象信息以及评测风险、提供安全建议和改进措施等功能,帮助用户控制可能发生的安全事件,最大可能地消除安全隐患。(卡卡助手,360安全卫士),入侵检测技术。入侵行为主要是指对系统资源的非授权使用。它可以造成系统数据的丢失和破坏,可以造成系统拒绝合法用户的服务等危害。入侵者可以是一个手工发出命令的人,也可以是一个基于入侵脚本或程序的自动发布命令的计算机。入侵者分为两类:外部入侵者和允许访问系统资源但又有所限制的
8、内部入侵者。内部入侵者又可分成:假扮成其他有权访问敏感数据用户的入侵者和能够关闭系统审计控制的入侵者。入侵检测是一种增强系统安全的有效技术。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。检测时,通过对系统中用户行为或系统行为的可疑程度进行评估,并根据评估结果来鉴别系统中行为的正常性,从而帮助系统管理员进行安全管理或对系统所受到的攻击采取相应的对策。,统一威胁安全管理技术。统一威胁安全管理技术(UTM)是保持威胁生态平衡的一种方法,由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能。它将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。UT
9、M设备应该具备的基本功能包括网络防火墙、网络入侵检测防御和网关防病毒功能该项技术需要一定的技术过渡期。,7.1.2黑客的攻击手段 黑客在世界各地四处出击,寻找机会袭击网络,几乎到了无孔不入的地步有不少黑客袭击网络时并不是怀有恶意他们多数情况下只是为了表现和证实自己在计算机方面的天分与才华,但也有一些黑客的网络袭击行为是有意地对网络进行破坏。 黑客(Hacker)指那些利用技术手段进入其权限以外计算机系统的人。在虚拟的网络世界里,活跃着这批特殊的人,他们是真正的程序员,有过人的才能和乐此不疲的创造欲。技术的进步给了他们充分表现自我的天地,同时也使汁算机网络世界多了一份灾难,一般人们把他们称之为黑
10、客(Hacker)或骇客(Cracker),前者更多指的是具有反传统精神的程序员,后者更多指的是利用工具攻击别人的攻击者,具有明显贬义。但无论是黑客还是骇客,都是具备高超的计算机知识的人。,目前世界最著名的黑客组织有美国的大屠杀2600(Genocide2600)、德国的混沌计算机俱乐部(Chaos Computer Club)、北美洲的地下兵团(The Legion of the Underground)等。在国外,更多的黑客是无政府主义者、自由主义者,而在国内,大部分黑客表现为民族主义者。近年来,国内陆续出现了一些自发组织的黑客团体,有“中国鹰派”、“绿色兵团”、“中华黑客联盟”等,其中的
11、典型代表是“中国红客网络安全技术联盟(Honker Union of China)”,简称H.U.C.网址为honker.corn。,黑客的攻击手段 1、口令入侵 所谓口令人侵是指使用某些合法用户的账号和口令登录到目的主机然后再实施攻击活动。使用这种方法的前提是必须先得到该主机上的某个合法用户的账号,然后再进行合法用户口令的破译。 通常黑客会利用一些系统使用习惯性的账号的特点,采用字典穷举法(或称暴力法)来破解用户的密码。 采用中途截击的方法也是获取用户账户和密码的一条有效途径。,2、放置特洛伊木马程序 在计算机领域里,有一类特殊的程序,黑客通过它来远程控制别人的计算机,把这类程序称为特洛伊木
12、马程序。从严格的定义来讲,凡是非法驻留在目标计算机里,在目标计算机系统启动的时候自动运行,并在目标计算机上执行一些事先约定的操作,比如窃取口令等,这类程序都可以称为特洛伊木马程序。,特洛伊木马程序一般分为服务器端(Server)和客户端(Client),服务器端是攻击者传到目标机器上的部分,用来在目标机上监听等待客户端连接过来。客户端是用来控制目标机器的部分,放在攻击者的机器上。 现在有许多这样的程序,国外的此类软件有Back Office、Netbus等,国内的此类软件有Netspy、YAI、SubSeven、冰河、“广外女生”等。,3、DoS攻击 DoS是Denial of Service
13、的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。连通性攻击是指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。 分布式拒绝服务(DDoS,Distributed Denial of Service)攻击指借助于客户服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。,4、端口扫描
14、 所谓端口扫描,就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等。常用的扫描方式有:TCP connect()扫描、TCP SYN扫描、TCP FIN扫描、lP段扫描和FTP返回攻击等。 扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用扫描器可以不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本。 扫描器应该有3项功能:发现一个主机或网络的能力;一旦发现一台主机,有发现什么服务正运行在这台主机上的能力;通过测试这些服务,发现漏洞的能
15、力。,5、网络监听 网络监听,在网络安全上一直是一个比较敏感的话题,作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据、排除网络故障等方面具有不可替代的作用,因而一直备受网络管理员的青睐。然而,在另一方面网络监听也给以太网的安全带来了极大的隐患,许多的网络入侵往往都伴随着以太网内的网络监听行为,从而造成口令失窃、敏感数据被截获等连锁性安全事件。 网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具就可轻而易举地截取包括口令和账号在内的信息
16、资料。 Sniffer是一个著名的监听工具,它可以监听到网上传输的所有信息。还有EtherPeek, WireShark,6、欺骗攻击 欺骗攻击是攻击者创造一个易于误解的上下文环境,以诱使受攻击者进入并且作出缺乏安全考虑的决策。欺骗攻击就像是一场虚拟游戏:攻击者在受攻击者的周围建立起一个错误但是令人信服的世界。如果该虚拟世界是真实的话,那么受攻击者所做的一切都是无可厚非的。但遗憾的是,在错误的世界中似乎是合理的活动可能会在现实的世界中导致灾难性的后果。常见的欺骗攻击有: (1)Web欺骗。Web欺骗允许攻击者创造整个WWW世界的影像复制。影像Web的入口进入到攻击者的Web服务器,经过攻击者机器的过滤作用,允许攻击者监控受攻击者的任何活动,包括账户和口令。,(2)ARP欺骗。通常源主机在发送一个IP包之前,它要到该转换表中寻找和IP包对应的MAC地址。此时,若入侵者强制目的主机Down掉(比如发洪水包),同时把自己主机的IP地址改为合法目的主机的IP地址,然后他发一个pi
