《信息安全与职业道德-湖南第一师范学院.ppt》由会员分享,可在线阅读,更多相关《信息安全与职业道德-湖南第一师范学院.ppt(76页珍藏版)》请在金锄头文库上搜索。
1、8 8.1 .1 信息安全技术概述信息安全技术概述 8 8.2.2 .2.2 计算机病毒的预防计算机病毒的预防 8 8. .2 2. .3 3 计算机病毒的检测与清除计算机病毒的检测与清除 8 8.1.2 .1.2 信息安全面临的威胁及防范策略信息安全面临的威胁及防范策略 8 8.1.1 .1.1 信息安全的定义信息安全的定义8 8. .2 2 计计算机病毒及其防治算机病毒及其防治 8 8.2.1 .2.1 计算机病毒的基本知识计算机病毒的基本知识8 8. .3 3 网网络安全技术络安全技术 8 8.3.5 .3.5 缓冲区溢出攻击缓冲区溢出攻击 8 8. .3 3. .3 3 源路由欺骗攻击
2、源路由欺骗攻击 8 8. .3 3.2.2 源源IPIP地址地址欺骗攻击欺骗攻击 8 8. .3 3.1 .1 网网络攻击的一般步骤络攻击的一般步骤8 8. .4 4 数数据加密技术据加密技术 8 8.3.4.3.4 拒绝服务攻击拒绝服务攻击 8 8.4.2 .4.2 典型的现代密码算法介绍典型的现代密码算法介绍 8 8.4.1 .4.1 加密技术概述加密技术概述第第3333讲讲 信息安全与职业道德信息安全与职业道德( (一一) ) 了解信息安全面临的威胁及防范策略,掌握计算机病毒的基本知识和计算机病毒预防的措施,初步掌握网络攻击的一般步骤和攻击的方法,掌握数据加密技术的概念,了解几种常见的密
3、码算法。教学目标及基本要求教学目标及基本要求教学重点教学重点计算机病毒及其防治,网络攻击的步骤和方法。 教学难点教学难点网络攻击的方法。 信息安全的定义 信息安全面临的威胁及防范策略 计算机病毒及防治 网络攻击的步骤及攻击的方法 加密技术 典型的现代密码算法教学内容教学内容第第3333讲讲 信息安全与职业道德信息安全与职业道德( (一一) )1学时 教学时间教学时间第第3333讲讲 信息安全与职业道德信息安全与职业道德( (一一) )8.1.1 信息安全技术概述1 1信息的保密性信息的保密性2 2信息的完整性信息的完整性3 3信息的真实性信息的真实性8.1 信息安全技术概述 计算机网络的快速发
4、展与普及为信息的传播提供了便捷的途径,但同时也带来了极大的安全威胁。从本质上说,威胁信息安全的根源可分为两大类:8.1 信息安全技术概述8.1.2 信息安全面临的威胁及防范策略8.1.2 信息安全面临的威胁及防范策略信息系统的物理损坏信息系统的物理损坏 信息数据的破坏信息数据的破坏 作为信息系统物质基础的计算作为信息系统物质基础的计算机硬件损坏。机硬件损坏。 指在计算机硬件系统完好的情指在计算机硬件系统完好的情况下,因人们无意或恶意的操作况下,因人们无意或恶意的操作而导致的信息泄密、信息错乱以而导致的信息泄密、信息错乱以及信息被删改等及信息被删改等 。8.1.2 信息安全面临的威胁及防范策略
5、目前信息安全面临的威胁主要有以下几个方面:目前信息安全面临的威胁主要有以下几个方面:1. 1. 非授权访问非授权访问 是指没有得到系统管理员的同意,擅自使用网络是指没有得到系统管理员的同意,擅自使用网络或计算机资源。 2. 2. 信息泄漏信息泄漏 指一些敏感数据在有意或无意中被泄漏出去或丢指一些敏感数据在有意或无意中被泄漏出去或丢失。常见的信息泄漏有:信息在传输中丢失或泄漏,失。常见的信息泄漏有:信息在传输中丢失或泄漏,信息在存储介质中丢失或泄漏,通过建立隐蔽隧道信息在存储介质中丢失或泄漏,通过建立隐蔽隧道窃取敏感信息等。窃取敏感信息等。 8.1.2 信息安全面临的威胁及防范策略3. 3. 破
6、坏数据完整性破坏数据完整性 是指以非法手段窃得对数据的使用权,删除、修是指以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰用户的正者的响应;恶意添加、修改数据,以干扰用户的正常使用。常使用。 4. 4. 传播病毒传播病毒 计算机病毒的最主要传播方式就是通过计算机网络。 8.1.2 信息安全面临的威胁及防范策略 当前的网络环境中有效地保护好自己的重要信息当前的网络环境中有效地保护好自己的重要信息提出一些安全策略提出一些安全策略 做好对用户的管理做好对用户的管理及时安装操作系统的及时安
7、装操作系统的“ “补丁补丁 ” ”尽量关闭不需要的组件和服务程序尽量关闭不需要的组件和服务程序 (1 1)操作系统的安全设置)操作系统的安全设置8.1.2 信息安全面临的威胁及防范策略(2 2)控制出入网络的数据)控制出入网络的数据 (3 3)查杀计算机病毒)查杀计算机病毒 安装防病毒软件,更新病毒信息,升级防病毒安装防病毒软件,更新病毒信息,升级防病毒功能,全面查杀病毒 计算机病毒是指破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。8.2 计算机病毒及其防治8.2.1 计算机病毒的基本知识1 1计算机病毒的特征计算机病毒的特征计算机病毒的特征计算机病毒的
8、特征 传染性是计算机病毒最重要的一个特征传染性是计算机病毒最重要的一个特征, ,病毒程序病毒程序一旦侵入计算机系统就通过自我复制迅速传播。(1 1)传染性)传染性计算机病毒的特征(2 2)隐蔽性)隐蔽性 计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序,它通常总是想方设法隐藏自身,防止用户察觉。 计算机病毒具有依附于其它媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒可以悄悄隐藏起来,然后在用户不察觉的情况下进行传染。(3 3)潜伏性)潜伏性计算机病毒的特征 无论何种病毒程序一旦侵入系统,都会对操作系无论何种病毒程序一旦侵入系统,都会对操作系统及应用程序的运
9、行造成不同程度的影响。即使不直接统及应用程序的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源。而绝大多产生破坏作用的病毒程序也要占用系统资源。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,甚至摧毁整个系统和行,还有一些病毒程序删除文件,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。数据,使之无法恢复,造成无可挽回的损失。 (4 4)破坏性)破坏性计算机病毒的特征 病毒的制作技术不断提高,从病毒的检测角度看,病毒具有不可预见性,病毒对反病毒软件来讲是超前的。(5 5)不可
10、预见性)不可预见性计算机病毒的特征(6 6)寄生性)寄生性 这是病毒最基本的特征,指病毒对其他文件或系统这是病毒最基本的特征,指病毒对其他文件或系统进行一系列非法操作,使其带有这种病毒,并成为该病进行一系列非法操作,使其带有这种病毒,并成为该病毒的一个新的传染源的过程。毒的一个新的传染源的过程。 计算机病毒一般都有一个或者几个触发条件。一旦满足触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。(7 7)触发性)触发性计算机病毒的特征第一代计算机病毒第一代计算机病毒 在19861989年之间。这一期间出现的病毒称为传统病毒,是计算机病毒的萌芽和滋生期。病毒没有大量流
11、行,病毒的种类也很有限,病毒的清除工作相对比较容易。2 2计算机病毒的演变计算机病毒的演变8.2.1 计算机病毒的基本知识第一代计算机病毒特点第一代计算机病毒特点 (1 1)病毒攻击目标比较单一,或者是传染磁盘引导扇)病毒攻击目标比较单一,或者是传染磁盘引导扇区,或者是传染可执行文件。区,或者是传染可执行文件。(2 2)病毒传染目标以后特征比较明显,如可执行文件)病毒传染目标以后特征比较明显,如可执行文件长度增加、文件建立日期发生变化等。长度增加、文件建立日期发生变化等。(3 3)病毒不具备自我保护措施,容易被人们分析和解)病毒不具备自我保护措施,容易被人们分析和解剖,从而编制出相应的杀毒软件
12、。计算机病毒的演变第二代计算机病毒第二代计算机病毒 又称为又称为“ “混合型病毒混合型病毒” ”,其产生的年限可以认为在,其产生的年限可以认为在1989198919911991年之间,是计算机病毒由简单到复杂、由单年之间,是计算机病毒由简单到复杂、由单纯走向成熟的阶段。由于网络系统尚未有安全防护意识,给计算机病毒带来了第一次流行高峰。 计算机病毒的演变第二代计算机病毒特点第二代计算机病毒特点 (1 1)病毒攻击的目标趋于混合型,一种病毒既可传染)病毒攻击的目标趋于混合型,一种病毒既可传染引导扇区,又可以传染可执行文件。引导扇区,又可以传染可执行文件。(2 2)病毒感染目标后没有明显特征。)病毒
13、感染目标后没有明显特征。(3 3)病毒采取了自我保护措施。)病毒采取了自我保护措施。(4 4)出现许多病毒的变种,这些变种较原病毒的传染)出现许多病毒的变种,这些变种较原病毒的传染性更隐蔽,破坏性更大。计算机病毒的演变第三代计算机病毒第三代计算机病毒 在在1992199219951995年之间,常称为年之间,常称为“ “多态性多态性” ”病毒或病毒或“ “自我变形自我变形” ”病毒。这种病毒每次传染目标时,放入宿主程病毒。这种病毒每次传染目标时,放入宿主程序中的病毒程序大部分都是可变的序中的病毒程序大部分都是可变的。计算机病毒的演变第四代计算机病毒第四代计算机病毒 出现于出现于2020世纪世纪
14、9090年代中后期,随着远程网、远程访问年代中后期,随着远程网、远程访问服务的开通,病毒的流行面更加广泛,病毒的流行迅速突服务的开通,病毒的流行面更加广泛,病毒的流行迅速突破地域的限制,首先通过广域网传播至局域网内,再在局破地域的限制,首先通过广域网传播至局域网内,再在局域网内传播扩散。随着域网内传播扩散。随着InternetInternet的大量普及和的大量普及和E-mailE-mail的广的广泛使用,夹杂于电子邮件内的泛使用,夹杂于电子邮件内的WordWord宏病毒、网页脚本病宏病毒、网页脚本病毒及木马病毒等已经成为计算机病毒新的流行趋势毒及木马病毒等已经成为计算机病毒新的流行趋势 。计算
15、机病毒的演变3. 3. 计算机病毒的分类计算机病毒的分类 该病毒攻击高级语言编写的程序,在该病毒攻击高级语言编写的程序,在程序编译前插入到源程序中,经编译成程序编译前插入到源程序中,经编译成为合法程序的一部分。为合法程序的一部分。 (1 1) 按照计算机病毒的链接方式分类按照计算机病毒的链接方式分类 源码型病毒8.2.1 计算机病毒的基本知识 嵌入型病毒 该病毒是将自身嵌入到现有程序中,该病毒是将自身嵌入到现有程序中,把计算机病毒的主题程序与其攻击的对把计算机病毒的主题程序与其攻击的对象以插入的方式链接。象以插入的方式链接。 操作系统型病毒 将其自身包裹在主程序周围,对原来的程序不作修改。这种
16、病毒最为常见,易于编写,也易于发现,一般只要测试文件的大小即可发现病毒。 用它自己的程序意图加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统瘫痪。 外壳型病毒按照计算机病毒的链接方式分类 用病毒的全部或部分逻辑取代正常的引导记录,而将用病毒的全部或部分逻辑取代正常的引导记录,而将正常的引导扇区隐藏在磁盘的其他地方,这种病毒在系统正常的引导扇区隐藏在磁盘的其他地方,这种病毒在系统启动时就能获得系统的控制权,其传染性较大。启动时就能获得系统的控制权,其传染性较大。 (2 2) 按照计算机病毒的寄生部位或传染对象分类按照计算机病毒的寄生部位或传染对象分类 感染磁盘引导扇区的计算机病
17、毒计算机病毒的分类 感染操作系统的计算机病毒感染操作系统的计算机病毒 计算机病毒的分类 该类病毒是利用操作系统所提供的一些程序及程序模该类病毒是利用操作系统所提供的一些程序及程序模块寄生并传染的。通常,这类病毒作为操作系统的一部分,块寄生并传染的。通常,这类病毒作为操作系统的一部分,只要计算机开始工作,病毒就随时处在被触发状态。而操只要计算机开始工作,病毒就随时处在被触发状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能性作系统的开放性和不绝对完善性给这类病毒出现的可能性和传染性提供了方便和传染性提供了方便。 感染可执行文件的计算机病毒感染可执行文件的计算机病毒 计算机病毒的分类 这类
18、病毒通常寄生在可执行文件中,一旦程序被执行,这类病毒通常寄生在可执行文件中,一旦程序被执行,病毒也就被激活。病毒抢先执行,并将自身驻留内存,然病毒也就被激活。病毒抢先执行,并将自身驻留内存,然后设置触发条件,进行传染。后设置触发条件,进行传染。 混合型病毒混合型病毒 计算机病毒的分类 既具有操作系统型病毒的特点,又具有文件型病毒的既具有操作系统型病毒的特点,又具有文件型病毒的特点。这种病毒既可以感染引导扇区,又可以感染可执行特点。这种病毒既可以感染引导扇区,又可以感染可执行文件,因此危害极大文件,因此危害极大。 蠕虫病毒蠕虫病毒 计算机病毒的分类 是一种独立运行的程序,采用主动攻击的传染机制对
19、整个网络的计算机进行攻击,使网络造成拒绝服务。可以在短时间内造成网络瘫痪。此病毒通常可分两类: 一类是针对企业用户和局域网的,这类病毒利用系统漏洞,主动进行攻击,可以对整个互联网造成瘫痪性后果。 另一种是针对个人用户的,通过网络(主要是电子邮件、另一种是针对个人用户的,通过网络(主要是电子邮件、恶意网页等形式)迅速传播蠕虫病毒。恶意网页等形式)迅速传播蠕虫病毒。 宏病毒宏病毒 按照计算机病毒的寄生部位或传染对象分类 该病毒是一种寄存在该病毒是一种寄存在OfficeOffice文档或模板的宏中的计算机文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,宏病病毒。一旦打开这样的文
20、档,其中的宏就会被执行,宏病毒就会被激活,转移到计算机上,并驻留在毒就会被激活,转移到计算机上,并驻留在NormalNormal模板上。模板上。从此以后,所有自动保存的文档都会感染上这种宏病毒,从此以后,所有自动保存的文档都会感染上这种宏病毒,其他计算机上的用户打开了感染病毒的文档,宏病毒就会其他计算机上的用户打开了感染病毒的文档,宏病毒就会传染到此计算机上。传染到此计算机上。 脚本病毒脚本病毒 按照计算机病毒的寄生部位或传染对象分类 类似于宏病毒,不过它执行的环境不再限于类似于宏病毒,不过它执行的环境不再限于Microsoft Microsoft OfficeOffice应用程序,而是将脚本
21、语言和视窗操作系统日益紧应用程序,而是将脚本语言和视窗操作系统日益紧密的结合扩展到网页,甚至是文本文件中密的结合扩展到网页,甚至是文本文件中。 木马病毒木马病毒 按照计算机病毒的寄生部位或传染对象分类 又称特洛伊木马病毒。随着网络的普及,木马病毒的又称特洛伊木马病毒。随着网络的普及,木马病毒的危害变得十分强大,它像间谍一样潜入用户的计算机,使危害变得十分强大,它像间谍一样潜入用户的计算机,使远程计算机可以通过网络控制用户的计算机远程计算机可以通过网络控制用户的计算机。4. 4. 计算机病毒的危害计算机病毒的危害 (1 1)硬盘无法启动,数据丢失。)硬盘无法启动,数据丢失。(2 2)系统文件丢失
22、或被破坏。)系统文件丢失或被破坏。(3 3)文件目录发生混乱。)文件目录发生混乱。(4 4)部分文档丢失或被破坏。)部分文档丢失或被破坏。(5 5)部分文档自动加密。)部分文档自动加密。(6 6)系统主板的)系统主板的BIOSBIOS程序混乱,主板被破坏。程序混乱,主板被破坏。(7 7)网络瘫痪,无法提供正常服务。)网络瘫痪,无法提供正常服务。8.2.1 计算机病毒的基本知识网络8.2 计算机病毒及其防治8.2.2 计算机病毒的预防1 1病毒的传播渠道病毒的传播渠道病毒的传播渠道病毒的传播渠道 接收电子邮件、下载软件、浏览网页以及使用QQ等即时通信软件,还有利用未关闭的端口进行入侵的后门程序。
23、 可移动硬盘 软盘、U盘、移动硬盘以及光盘等可移动存储设备 2 2系统的预防措施系统的预防措施系统的预防措施系统的预防措施8.2.2 计算机病毒的预防 对于个人计算机来说,安装好操作系统后,在没有连对于个人计算机来说,安装好操作系统后,在没有连接网络的情况下,应该紧接着安装有效的防杀毒软件和防火墙软件,并对其进行合理设置。连接网络后,上网安装操作系统补丁,然后启动防火墙。 3 3宏病毒的预防宏病毒的预防宏病毒的预防宏病毒的预防8.2.2 计算机病毒的预防 设置宏的安全级别,为宏添加数字签名。4 4邮件及脚本病毒的预防邮件及脚本病毒的预防邮件及脚本病毒的预防邮件及脚本病毒的预防 对邮件要先用文本
24、方式查看,并限制脚本运行,禁对邮件要先用文本方式查看,并限制脚本运行,禁止未签名的止未签名的ActiveX执行。执行。5 5重要的数据文件要有备份重要的数据文件要有备份重要的数据文件要有备份重要的数据文件要有备份8.2 计算机病毒及其防治8.2.3 计算机病毒的检测与清除1 1计算机病毒的检测方法计算机病毒的检测方法计算机病毒的检测方法计算机病毒的检测方法 根据计算机病毒具有潜伏期的特点,如果能在病毒的根据计算机病毒具有潜伏期的特点,如果能在病毒的潜伏期发现病毒,就可以尽早对计算机系统进行处理,从潜伏期发现病毒,就可以尽早对计算机系统进行处理,从而减少甚至避免损失。因此,计算机病毒的检测在计算
25、机而减少甚至避免损失。因此,计算机病毒的检测在计算机病毒防治系统中有着非常重要的地位。使用计算机时常通病毒防治系统中有着非常重要的地位。使用计算机时常通过手动查毒和软件查毒两种方式进行病毒检查。过手动查毒和软件查毒两种方式进行病毒检查。 (1 1)通过杀毒软件进行查毒)通过杀毒软件进行查毒 安装最新的杀毒软件通常是检查计算机病毒的必备手段。杀毒软件的技术和功能不断更新,用户只要随着杀毒软件不断升级就可以完成对多数病毒的检查。(2 2)手动方式进行查毒)手动方式进行查毒 杀毒软件并不会解决所有的病毒问题。尤其是对目前常见的病毒类型,采用手动检查方式更为有效。如宏病毒、脚本病毒、邮件病毒及木马等。
26、计算机病毒的检测方法 宏病毒检查 由于宏病毒离不开其运行的系统软件(由于宏病毒离不开其运行的系统软件(Word、Power Point等等Office软件),所以检测非常容易。软件),所以检测非常容易。 脚本病毒、邮件病毒及木马病毒的检查 脚本病毒或邮件病毒多种多样,都是以某些方式启动脚本病毒或邮件病毒多种多样,都是以某些方式启动自己,以达到感染和破坏的目的。木马病毒也常常采用这自己,以达到感染和破坏的目的。木马病毒也常常采用这种方式。所以可以通过检查注册表的方法发现病毒的踪迹。种方式。所以可以通过检查注册表的方法发现病毒的踪迹。 手动方式进行查毒2 2计算机病毒的清除及系统的修复计算机病毒的
27、清除及系统的修复计算机病毒的清除及系统的修复计算机病毒的清除及系统的修复8.2.3 计算机病毒的检测与清除 发现系统感染病毒后首先应对系统遭受破坏程度有一发现系统感染病毒后首先应对系统遭受破坏程度有一个全面了解,根据破坏的程度采用有效的办法和对策。个全面了解,根据破坏的程度采用有效的办法和对策。 修复前,尽可能再次备份重要的数据文件。修复前,尽可能再次备份重要的数据文件。 利用防杀病毒软件清除病毒,如果病毒不能被清除,利用防杀病毒软件清除病毒,如果病毒不能被清除,应将其删除,然后再重新安装相应的应用程序。应将其删除,然后再重新安装相应的应用程序。 杀毒完成后,重启计算机,再次用杀病毒软件检查系
28、杀毒完成后,重启计算机,再次用杀病毒软件检查系统,并确认被感染破坏的数据确实被完全恢复。8.3 网络安全技术 基本信息的收集并不对目标产生危害,只是为进一步的入侵提供有用信息。攻击者可能会利用下列的公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息。8.3.1 网络攻击的一般步骤1 1攻击者在实施攻击之前,必须花大量的时间去攻击者在实施攻击之前,必须花大量的时间去收集目标的信息收集目标的信息 (1)Ping实用程序 可以用来确定一个指定的主机的位置或网线是否连通。(2)TraceRoute程序 能够用该程序获得到达目标主机所要经过的网络数和路由器数。利用公开协议或工具(3)SNMP协
29、议 用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。(4)Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数。 利用公开协议或工具(1 1)慢速扫描)慢速扫描 由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描,这样攻击者可以通过使用扫描速度慢一些的扫描软件进行扫描。主要的探测方式(2 2)体系结构探测)体系结构探测 攻击者利用一些特殊的数据包传送给目标主机,使其作出相对应的响应。由于每种操作系统的响应时间和方式都不一样,攻击者利用这种特征把得到的结果与准备好的数据库中的资料相对照,从中便可轻而易举
30、地判断出目标主机操作系统所用的版本及其他相关信息。主要的探测方式(3 3)利用公开的工具软件)利用公开的工具软件 如利用审计网络用的安全分析工具如利用审计网络用的安全分析工具SATANSATAN、InternetInternet的电子安全扫描程序的电子安全扫描程序IISIIS等工具对整个网络或子等工具对整个网络或子网进行扫描,寻找安全方面的漏洞。主要的探测方式 攻击者根据前一步所获得的信息,同时结合自身的水平及经验总结出相应的攻击方法,在合适的时机,对目标主机实施攻击。2 2具体实施网络攻击具体实施网络攻击具体实施网络攻击具体实施网络攻击 8.3.1 网络攻击的一般步骤3 3留后门与清除脚印留
31、后门与清除脚印留后门与清除脚印留后门与清除脚印 8.3.1 网络攻击的一般步骤 对于某些攻击,在攻击者成功入侵目标主机并取得目标主机的控制权后,他们会做两件事:清除记录和留下后门。更改某些系统设置,在系统中置入特洛伊木马或其他一些远程操纵程序,以便日后可以不被觉察地再次进入系统。大多数后门程序是预先编译好的,只需设法修改时间和权限就可以使用了。在完成这些工作后,攻击者最后会清除日志,删除一些备份文件,以防止管理员发现自己的行踪。8.3.2 源IP地址欺骗攻击8.3 网络安全技术 许多应用程序认为若数据包可以使其自身沿着路由许多应用程序认为若数据包可以使其自身沿着路由到达目的地,并且应答包也可回
32、到源地,那么源到达目的地,并且应答包也可回到源地,那么源IPIP地址地址一定是有效的,而这正是使源一定是有效的,而这正是使源IPIP地址欺骗攻击成为可能地址欺骗攻击成为可能的一个重要前提。的一个重要前提。 假设同一网段内有两台主机假设同一网段内有两台主机A A和和B B,另一网段内有主另一网段内有主机机X X。B B授予授予A A某些特权。某些特权。X X为获得与为获得与A A相同的特权,必做相同的特权,必做欺骗攻击。 保护系统免受源IP地址欺骗攻击的措施(1 1)抛弃基于地址的信任策略抛弃基于地址的信任策略 阻止这类攻击的一种十分简单的办法就是放弃以地阻止这类攻击的一种十分简单的办法就是放弃
33、以地址为基础的验证。不允许址为基础的验证。不允许r r类远程调用命令的使用;删除类远程调用命令的使用;删除. .rhostsrhosts文件;清空文件;清空/etc/hosts.equiv/etc/hosts.equiv文件。这将迫使所文件。这将迫使所有用户使用其他远程通信手段。 保护系统免受源IP地址欺骗攻击的措施(2 2)使用加密方法)使用加密方法 在包发送到网络上之前,可以对它进行加密。虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完整性、真实性和保密性。保护系统免受源IP地址欺骗攻击的措施(3 3)进行包过滤)进行包过滤 可可以以配配置置路路由由器器使使其其能能够够拒拒绝绝网
34、网络络外外部部与与本本网网内内具具有有相相同同IPIP地地址址的的连连接接请请求求。而而且且,当当包包的的IPIP地地址址不不在在本本网网内内时时,路路由由器器不不应应把把本本网网主主机机的的包包发发送送出出去去。路路由由器器虽虽然然可可以以封封锁锁试试图图到到达达内内部部网网络络的的特特定定类类型型的的包包,但但也也是是通通过过分分析析测测试试源源地地址址来来实实现现的的。所所以以它它们们仅仅能能对对声声称称是是来来自自于于内内部部网网络络的的外外来来包包进进行行过过滤滤,若若网网络络存存在在外外部部可可信信任任主主机机,那那么么路路由由器器将将无无法法防防止止别别人人冒冒充充这这些些主主机
35、机进进行行IPIP欺骗。欺骗。 在通常情况下,信息包从起点到终点所走的路是由位在通常情况下,信息包从起点到终点所走的路是由位于此两点间的路由器决定的,数据包本身只知道去往何处,于此两点间的路由器决定的,数据包本身只知道去往何处,而不知道该如何去。源路由可使信息包的发送者将此数据而不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里,使数据包循着一个对方不包要经过的路径写在数据包里,使数据包循着一个对方不可预料的路径到达目的主机。可预料的路径到达目的主机。 8.3.3 源路由欺骗攻击8.3 网络安全技术防范源路由欺骗攻击措施 (1 1)对付这种攻击最好的办法是配置好路由器,
36、使它抛)对付这种攻击最好的办法是配置好路由器,使它抛弃那些由外部网进来的却声称是内部主机的报文。弃那些由外部网进来的却声称是内部主机的报文。(2 2)在路由器上关闭源路由。用命令)在路由器上关闭源路由。用命令no no ipip source-route source-route。 拒绝服务攻击是最容易实施的一种网络攻击,攻击者通过加载过多的服务将目标系统的资源全部使用,使得目标系统没有多余资源供其他用户使用,从而达到使目标系统瘫痪的目的。SYN Flood攻击就是一种典型的拒绝服务攻击。8.3.4 拒绝服务攻击8.3 网络安全技术为了防止拒绝服务攻击,可以采取以下的预防措施: (1)建议在该
37、网段的路由器上做些配置的调整,这些调整包括限制SYN半开数据包的流量和个数。(2)要防止SYN数据段攻击,应对系统设置相应的内核参数,使得系统强制对超时的SYN请求连接数据包复位,同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的SYN请求数据包。8.3.4 拒绝服务攻击8.3.4 拒绝服务攻击(3)建议在路由器的前端做必要的TCP拦截,使得只有完成TCP三次握手过程的数据包才可进入该网段,这样可以有效地保护本网段内的服务器不受此类攻击(4)对于信息淹没攻击,应关掉可能产生无限序列的服务来防止这种攻击。比如可以在服务器端拒绝所有的ICMP包,或者在该网段路由器上对ICMP包进行带宽方面
38、的限制,控制其在一定的范围内。 缓冲区溢出攻击属于系统攻击的手段,通过往程序的缓冲区溢出攻击属于系统攻击的手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击的坏程序的堆栈,使程序转而执行其他指令,以达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户个用户shellshell,再通过再通过shellshell执行其他命令。执行其他命令。 8.3.5 缓冲区溢出攻击8.3 网络安全技术8.3.5 缓冲区溢出攻击 缓冲区
39、溢出对网络系统带来了巨大的危害,要有效地防止这种攻击,应该做到以下几点:(1)程序指针完整性检查 在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针,由于系统事先检测到了指针的改变,因此,这个指针将不会被使用。8.3.5 缓冲区溢出攻击 (2 2)堆栈的保护)堆栈的保护 这是一种提供程序指针完整性检查的编译器技术,通过检查函数活动记录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节,而在函数返回时,首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击,那么这种攻击很容易在函数返回前被检测到。8.3.5 缓冲区溢出攻击 (3 3)数组边界检查)数组边
40、界检查 所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内进行。最直接的方法是检查所有的数组操作,通常可以采用一些优化技术来减少检查次数。 数据加密技术是一种用于信息保密的技术,它防止信息的非授权用户使用信息。数据加密技术是信息安全领域的核心技术,通常直接用于对数据的传输和存储过程中,而且任何级别的安全防护技术都可以引入加密概念。它能起到数据保密、身份验证、保持数据的完整性和抗否认性等作用。8.4.1 加密技术概述8.4 数据加密技术 数据加密技术的基本思想是通过变换信息的表示形式数据加密技术的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非授权用户不能看到被保护
41、的信息内容。8.4.1 加密技术概述 现代计算机技术和通信技术的发展,对加密技术提出现代计算机技术和通信技术的发展,对加密技术提出更多的要求。对于现代密码学者来说,基本原则是一切秘更多的要求。对于现代密码学者来说,基本原则是一切秘密应该包含于密钥之中,即在设计加密系统时,总是假设密应该包含于密钥之中,即在设计加密系统时,总是假设密码算法是公开的,真正需要保密的是密钥。密码算法的密码算法是公开的,真正需要保密的是密钥。密码算法的基本特点是已知密钥条件下的计算应该是简洁有效,而在基本特点是已知密钥条件下的计算应该是简洁有效,而在不知道密钥条件下的解密计算是不可行的。不知道密钥条件下的解密计算是不可
42、行的。 8.4.1 加密技术概述8.4.1 加密技术概述 根据密码算法所使用加密密钥和解密密钥是否相同可将密码体制分为对称密码体制和非对称密码体制。其中,非对称密码体制也称为公开密钥体制。 对称密码体制在对信息进行明文/密文变换时,加密与解密使用相同的密钥。 8.4.1 加密技术概述 传统的密码体制均属于对称密码体制。它的特点是,通信双方必须事先共同约定一个密钥。 对称密码体制的保密强度高,但开放性差,需要有可靠的密钥传输渠道。 非对称密码体制,每个用户都有一对密钥,一个用于加密,一个用于解密。其中加密密钥一般为公开密钥,而解密密钥则属于用户私有。 8.4.2 典型的现代密码算法介绍8.4 数
43、据加密技术 1 1DESDES算法算法 DES(Data Encrytion Standard)是一种著名的分组解密对称式加密算法。它是由IBM公司开发的,并于1997年被美国政府正式采纳。它的应用非常广泛,尤其是在金融领域。它的基本思想是将信息分解为64位分组进行加密,所有的分组都用相同的密钥加密。解密密钥与加密密钥相同。用长度为64位的密钥对每个分组进行16轮代换和移位运算,形成密文。 DESDES的优点:在制造的优点:在制造DESDES芯片的时候,易于实现标准芯片的时候,易于实现标准化和通用化;随机特性好;线性复杂度高;易于实现。不化和通用化;随机特性好;线性复杂度高;易于实现。不过已经
44、有人用穷举法借助网络计算在过已经有人用穷举法借助网络计算在2020多小时就攻破了弱多小时就攻破了弱密钥的密钥的DESDES。所谓弱密钥是指在所有可能的密钥中,有某所谓弱密钥是指在所有可能的密钥中,有某几个特别的密钥会降低几个特别的密钥会降低DESDES算法的安全性,所以使用者一算法的安全性,所以使用者一定要避免使用这几个弱密钥。DES算法8.4.2 典型的现代密码算法介绍 2 2RSARSA算法算法 在Diffe和 Hellman的密码学新方向这篇文章提出公钥设想后两年,麻省理工学院(MIT)的Rivest、Shamir以及Adleman于1977年研制出了一种非对称密码算法,并以其三人名字的
45、第一个字母命名为RSA算法。从此,RSA算法作为唯一被广泛接受并实现的通用公开密钥加密方式受到推崇。该算法的基础是数论中的欧拉定理,它的安全性依赖于对大数的因数分解的困难性。 8.4.2 典型的现代密码算法介绍 RSA算法分析 (1)选择两个大的质数p、q。 (2)计算n=pq,z=(p1)(q1)。 (3)选一个比n小的数e,要求e与z互为质数。 (4)找到另一个数d,使(ed1)可以被z整除。 (5)这样就获得了一个公钥数对(n,e)和一个私钥数对(n,d)。 (6)发送方随即将公钥(n,e)发给接收方。8.4.2 典型的现代密码算法介绍 在不知道私钥的情况下,要想从公开的密钥(n,e)中
46、计算出私钥,只有分解大整数n的因子。大数分解是十分困难的数学问题。 RSA算法的保密强度随其密钥的长度增加而增加。但密钥越长,其解密所消耗的时间也越长。因此,要根据保密信息的敏感程度与攻击者所要花的代价值不值,以及系统所要求的反映时间来综合考虑。小 结信息作为一种新的资源,其重要性已越来越被人们所信息作为一种新的资源,其重要性已越来越被人们所认识,而信息安全问题也成为一个不容忽视、影响国民经认识,而信息安全问题也成为一个不容忽视、影响国民经济的重要问题,信息安全主要涉及到信息的济的重要问题,信息安全主要涉及到信息的保密性、完整保密性、完整性和真实性性和真实性3 3个方面;信息安全的威胁主要表现
47、在个方面;信息安全的威胁主要表现在非授权访非授权访问、信息泄漏、破坏数据完整性、传播病毒问、信息泄漏、破坏数据完整性、传播病毒这几个方面。这几个方面。计算机病毒是指破坏计算机功能或者毁坏数据,影响计算机病毒是指破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机病毒具有码。计算机病毒具有传染性、隐蔽性、潜伏性、破坏性、传染性、隐蔽性、潜伏性、破坏性、 小 结不同预见性、寄生性不同预见性、寄生性和和触发性触发性等特征;计算机病毒的分类等特征;计算机病毒的分类按按计算机病毒的链接方式计算机病毒的链接方式可分为:可分为:源码型病毒、嵌入式病源码型病毒、嵌入式病毒、外壳型病毒毒、外壳型病毒和和操作系统型病毒操作系统型病毒,按照,按照计算机病毒的寄计算机病毒的寄生部位或传染对象生部位或传染对象可分为:可分为:感染磁盘引导扇区的计算机病感染磁盘引导扇区的计算机病毒、感染操作系统的计算机病毒、感染可执行文件的计算毒、感染操作系统的计算机病毒、感染可执行文件的计算机病毒、混合型病毒、蠕虫病毒、宏病毒、脚本病毒机病毒、混合型病毒、蠕虫病毒、宏病毒、脚本病毒和和木木马病毒。马病毒。作 业1什么是计算机病毒,计算机病毒有何特征?2何为木马病毒?应该如何有效地清楚木马病毒?3计算机杀毒软件与防火墙有何异同?
