《TCPIP协议 - 浙江工业大学_12944》由会员分享,可在线阅读,更多相关《TCPIP协议 - 浙江工业大学_12944(108页珍藏版)》请在金锄头文库上搜索。
1、网络安全网络安全陈庆章陈庆章20112011年年1111月月2929日日上次课内容复习上次课内容复习文件传输(文件传输(FTP)FTP是什么?FTP是File Transfer Protocol的英文缩写,即“文件传输协议”。用于在计算机之间传送文件把文件从本地主机传送到远程主机称为“上载上载”Upload,Put把文件从远程主机传送到本地主机称为“下载下载”Download,GetFTP可以传输各种类型的文件:文本文件(ASCII)、二进制文件(Binary);压缩文件、非压缩文件。登录FTP服务器的用户需要注册注册才能登录,但有的FTP服务器也允许匿名(Anonymous)登录。HTML语
2、言 HTML:超文本标记语言(Hypertext Markup Language)加入了许多被称为链接标签(tag)的特殊字符串的普通文本文件。从结构上讲,HTML文件由许多种元素(element)组成,这些元素用于组织文件的内容和指导文件的输出格式。绝大多数元素是“容器”,即它有起始标记和结尾标记。元素的起始标记叫做起始链接标签(start tag),元素结束标记叫做结尾链接标签(end tag),在起始链接标签和结尾链接标签中间的部分是元素体。HTML框架 Header element body of Document 网络安全基本概念网络安全基本概念网络安全要解决的主要问题网络安全要解决
3、的主要问题网络安全主要解决数据保密和认证的问题。n数据保密数据保密就是采取复杂多样的措施对数据加以保护,以防止数据被有意或无意地泄露给无关人员。n认证认证分为信息认证和用户认证两个方面l信息认证是指信息从发送到接收整个通路中没有被第三者修改和伪造,l用户认证是指用户双方都能证实对方是这次通信的合法用户。通常在一个完备的保密系统中既要求信息认证,也要求用户认证。网络安全包括网络安全包括OSI-RM各层各层事实上,每一层都可以采取一定的措施来防止某些类型的网络入侵事件,在一定程度上保障数据的安全。物理层物理层可以在包容电缆的密封套中充入高压的氖气;链路层链路层可以进行所谓的链路加密,即将每个帧编码
4、后再发出,当到达另一端时再解码恢复出来;网络层网络层可以使用防火墙技术过滤一部分有嫌疑的数据报;在传输层传输层上甚至整个连接都可以被加密。网络安全定义网络安全定义 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 (1)运行系统安全,即保证信息处理和传输系统 的安全。 (2)网络上系统信息的安全。 (3)网络上信息传播的安全,即信息传播后果的安全。 (4)网络上信息内容的安全,即我们讨论的狭义的“信息安全”。网络安全应具备四个特征网络安全应具备四个特征保密性保密性:信息不泄露给非授权的用户、实体或
5、过程,或供其利用的特性;完整性完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性;可用性可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息,网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;可控性可控性:对信息的传播及内容具有控制能力。主要的网络安全的威胁主要的网络安全的威胁(1)非授权访问(Unauthorized Access):一个非授权的人的入侵。(2)信息泄露(Disclosure of Information):造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。(3)拒绝服务
6、(Denial of Service):使得系统难以或不可能继续执行任务的所有问题。 计算机安全的分类计算机安全的分类根据中国国家计算机安全规范,计算机的安全大致可分为三类:1)实体安全。包括机房、线路、主机等;2)网络安全。包括网络的畅通、准确以及网上信息的安全;3)应用安全。包括程序开发运行、I/O、数据库等的安全。安全威胁的常见现象安全威胁的常见现象非授权访问假冒合法用户数据完整性受破坏病毒通信线路被窃听干扰系统的正常运行,改变系统正常运行的方向,以及延时系统的响应时间数据安全数据安全密码分析和密码学密码分析和密码学P=Dk(Ek(P)破译密码的技术叫做密码分析设计密码和破译密码的技术统
7、称为密码学 密码学的一条基本原则是:必须假定破译者知道通用的加密方法,也就是说加密算法E是公开的。基本加密模型:加密算法是公开的和相对稳定的,而作为参数的密钥是保密的,并且是易于更换的。基本加密模型基本加密模型XOR加密 定义:替代密码就用一组密文字母来代替一组明文字母以隐藏明文,但保持明文字母的位置不变。传统的加密方法:替代密码传统的加密方法:替代密码凯撒密码最古老的地带密码凯撒密码,它用D表示a,用E表示b,用F表示c,用C表示z,也就是说密文字母相对明文字母左移了3位。更一般地,可以让密文字母相对明文字母左移k位,这样k就成了加密和解密的密钥。缺点:容易破译,因为最多只需尝试25次(k=
8、125)即可轻松破译密码。记法约定:用小写表示明文,用大写表示密文替代密码 使用一种符号来替代另一种,例如单字符密码: 用一个字母来替换另一个明文明文: abcdefghijklmnopqrstuvwxyz密文密文: mnbvcxzasdfghjklpoiuytrewq明文明文: bob. i love you. alice密文密文: nkn. s gktc wky. mgsbc例如:例如:XOR是最简单和有效的加密方法?规则规则换位密码换位密码换位有时也称为排列,它不对明文字母进行变换,只是将明文字母的次序进行重新排列。例: COMPUTER明文 pleaseexecutethelatest
9、Scheme14358726p1easeexecutethe密文PELHEHSCEUTMLCAEATEEXECDETTBSESA1atestschemeabcd密钥分发问题密钥分发问题秘密密钥的一个弱点是解密密钥必须和加密密钥相同,这就产生了如何安全地分发密钥的问题。传统上是由一个中心密钥生成设备产生一个相同的密钥对,并由人工信使将其传送到各自的目的地。对于一个拥有许多部门的组织来说,这种分发方式是不能令人满意的,尤其是出于安全方面的考虑需要经常更换密钥时更是如此。公开密钥算法公开密钥算法在公开密钥算法中,加密密钥和解密密钥是不同的,并且从加密密钥不能得到解密密钥。为此,加密算法E和解密算法D
10、必须满足以下的三个条件: D(E(P)=P; 从E导出D非常困难; 使用“选择明文”攻击不能攻破E。如果能够满足以上三个条件,则加密算法完全可以公开。 公开密钥算法的基本思想公开密钥算法的基本思想如果某个用户希望接收秘密报文,他必须设计两个算法:加密算法E和解密算法D,然后将加密算法放于任何一个公开的文件中广而告知,这也是公开密钥算法名称的由来,他甚至也可以公开他的解密方法,只要他妥善保存解密密钥即可。当两个完全陌生的用户A和B希望进行秘密通信时,各自可以从公开的文件中查到对方的加密算法。若A需要将秘密报文发给B, 则A用B的加密算法EB对报文进行加密,然后将密文发给B,B使用解密算法DB进行
11、解密,而除B以外的任何人都无法读懂这个报文;当B需要向A发送消息时,B使用A的加密算法EA对报文进行加密,然后发给A,A利用DA进行解密。在这种算法中,每个用户都使用两个密钥:加密密钥是供其他人向他发送报文用的,这是公开的;解密密钥是用于对收到的密文进行解密的,这是保密的。通常用公开密钥和私人密钥分别称呼公开密钥算法中的加密密钥和解密密钥,以同传统密码学中的秘密密钥相区分。由于私人密钥只由用户自己掌握,不需要分发给别人,也就不用担心在传输的过程中或被其他用户泄密,因而是极其安全的。著名算法: RSA算法算法公钥私钥体制用户认证用户认证用户认证概念用户认证概念定义:通信双方在进行重要的数据交换前
12、,常常需要验证对方的身份,这种技术称为用户认证。在实际的操作中,除了认证对方的身份外,同时还要在双方间建立一个秘密的会话密钥,该会话密钥用于对其后的会话进行加密。每次连接都使用一个新的随机选择的密钥基于共享秘密密钥的用户认证基于共享秘密密钥的用户认证 假设在A和B之间有一个共享的秘密密钥KAB 。某个时候A希望和B进行通信,于是双方采用如图所示的过程进行用户认证。使用共享秘密密钥进行用户认证使用密钥分发中心的用户认证使用密钥分发中心的用户认证要求通信的双方具有共享的秘密密钥有时是做不到的,另外如果某个用户要和n个用户进行通信,就需要有n个不同的密钥,这给密钥的管理也带来很大的麻烦。解决的办法是
13、引进一个密钥分发中心(Key Distribution Center,KDC)。KDC是可以信赖的,并且每个用户和KDC间有一个共享的秘密密钥,用户认证和会话密钥的管理都通过KDC来进行。KDC举例举例如图所示,A希望和B进行通信 一个用KDC进行用户认证的协议使用公开密钥算法的用户认证协议使用公开密钥算法的用户认证协议 使用公开密钥进行用户认证数字签名数字签名数字签名概念数字签名概念一个可以替代手迹签名的系统必须满足以下三个条件: 接收方通过文件中的签名能认证发送方的身份; 发送方以后不能否认发送过签名文件; 接收方不可能伪造文件内容。使用秘密密钥算法的数字签名使用秘密密钥算法的数字签名这种
14、方式需要一个可以信赖的中央权威机构(Centra1 Authority,以下简称CA)的参与,每个用户事先选择好一个与CA共享的秘密密钥并亲自交到CA,以保证只有用户和CA知道这个密钥。除此以外,CA还有一个对所有用户都保密的秘密密钥KCA。使用秘密密钥算法的数字签名使用秘密密钥算法的数字签名当A想向B发送一个签名的报文P时,它向CA发出KA(B,RA,t,P),其中RA为报文的随机编号,t为时间戳;CA将其解密后,重新组织成一个新的密文KB(A,RA,t,P,KCA(A,t,P)发给B,因为只有CA知道密钥KCA,因此其他任何人都无法产生和解开密文KCA(A,t,P);B用密钥KB解开密文后
15、,首先将KCA(A,t,P)放在一个安全的地方,然后阅读和执行P。验证验证当过后A试图否认给B发过报文P时,B可以出示KCA(A,t,P)来证明A确实发过P,因为B自己无法伪造出KCA(A,t,P),它是由CA发来的,而CA是可以信赖的,如果A没有给CA发过P,CA就不会将P发给B,这只要用KCA对KCA(A,t,P)进行解密,一切就可真相大白。为了避免重复攻击,协议中使用了随机报文编号RA和时间戳t。B能记住最近收到的所有报文编号,如果RA和其中的某个编号相同,则P就被当成是一个复制品而丢弃,另外B也根据时间戳t丢弃旧报文,以防止攻击者经过很长一段时间后,再用旧报文来重复攻击。加密技术应用案
16、例加密技术应用案例防火墙防火墙防火墙技术防火墙技术防火墙(Firewall)是在两个网络之间执行访问控制策略的硬件或软件系统,目的是保护网络不被他人侵扰。本质上,它遵循的是一种数据进行过滤的网络通信安全机制,只允许授权的通信,而禁止非授权的通信。通常,防火墙就是位于内部网或Web站点与因特网之间的一台路由器或计算机。通常,部署防火墙的理由包括:防止入侵者干扰内部网络的正常运行;防止入侵者删除或修改存储再内部网络中的信息;防止入侵者偷窃内部的秘密信息。防火墙应该有以下功能:所有进出网络的通信流都应该通过防火墙。所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。理论上说,防火墙是穿不透的
17、。内部网需要防范的三种攻击内部网需要防范的三种攻击 间谍、试图偷走敏感信息的黑客、入侵者和闯入者。盗窃,盗窃对象包括数据、Web表格、磁盘空间和CPU资源等。破坏系统:通过路由器或主机服务器蓄意破坏文件系统或阻止授权用户访问内部网(外部网)和服务器。防火墙在因特网与内部网中的位置防火墙在因特网与内部网中的位置 防火墙类型防火墙类型 1)从软、硬件形式上分为:软件防火墙和硬件防火墙以及芯片级防火墙。2)从防火墙技术分为:“包过滤型”、“状态检测型”和“应用代理型”三大类。3)从防火墙结构分为:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。4)按防火墙的应用部署位置分为: 边界防火墙、个人
18、防火墙和混合防火墙三大类。5)按防火墙性能分为:百兆级防火墙和千兆级防火墙两类。包(分组)过滤型防火墙包(分组)过滤型防火墙 包过滤(Packet Filtering)是防火墙最基本的实现形式,它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。包过滤防火墙通常是放置在因特网与内部网络之间的一个具备包过滤功能的简单路由器,这是因为包过滤是路由器的固有属性。包过滤可依据以下三类条件允许或阻止数据包通过路由器:包的源地址及源端口;包的目的地址及目的端口;包的传送协议,如FTP、SMTP、rlogin等。包过滤的优点包过滤的优点简单、易于实现、对用户透明、路由器免费提供此功能。仅用一个放置在内部网
19、与因特网边界上的包过滤路由器就可保护整个内部网络。包过滤的缺点包过滤的缺点编制逻辑上严密无漏洞的包过滤规则比较困难,对编制好的规则进行测试维护也较麻烦。维护复杂的包过滤规则也是一件很麻烦的事情包过滤规则的判别会降低路由器的转发速度对包中的应用数据无法过滤 它总是假定包头部信息是合法有效的。以上这些缺点使得包过滤技术通常不单独使用,而是作为其他安全技术的一种补充。包过滤规则包过滤规则在配置包过滤路由器时,首先要确定哪些服务允许通过而哪些服务应被拒绝,并将这些规定翻译成有关的包过滤规则(在路由器中,包过滤规则又被称为访问控制表(Access List)。包过滤处理流程包过滤处理流程 包过滤规则设计
20、示例包过滤规则设计示例假设网络策略安全规则确定:从外部主机发来的因特网邮件由特定网关“Mail-GW”接收,并且要拒绝从不信任的主机“CREE-PHOST”发来的数据流。在这个例子中,SMTP使用的网络安全策略必须翻译成包过滤规则。为便于理解,把网络安全规则翻译成下列中文形式:过滤器规则1:不相信从CREE-PHOST来的连接。过滤器规则2:允许与邮件网关Mail-GW的连接。以上规则被编成如下表的形式。其中星号(*)表明它可以匹配该列的任何值。这些规则应用的顺序与它们在表中的顺序相同。如果一个包不与任何规则匹配,它就会遭到拒绝。序序号号动作动作 内部主机内部主机 内内外部主机外部主机外外说明
21、说明1阻塞阻塞* * *Cree-phost* *阻塞来自阻塞来自Cree-phost的的流量流量2允许允许Mail-GW25* * *允许邮件网关允许邮件网关Mail-GW的连接的连接3允许允许* * * *25允许输出允许输出SMTP至远程至远程邮件网关邮件网关状态监测型防火墙状态监测型防火墙 采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。 采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。 应用代理型防火墙应用代理型防火墙 应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用
22、服务编制专门的代理程序,实现监视和控制应用层通信流的作用。代理服务就是指定一台有访问因特网能力的主机作为网络中客户端的代理去与因特网中的主机进行通信。 安全问题来自何方?安全问题来自何方?黑客入侵 国家利益、商业利益、个人谋利内部攻击病毒侵入秘密信息泄露 硬件和软件后门安全的威胁安全的威胁黑客概念黑客概念英文:HackerHacker、Intruder(Intruder(入侵者入侵者) )、Cracker(Cracker(破坏者破坏者) )简单理解:是资料的窃取者或信息系统入侵者是资料的窃取者或信息系统入侵者原意:熟熟悉悉某某种种电电脑脑系系统统,并并具具有有极极高高的的技技术术能能力力,长长
23、时时间间将将心心力力投投注注在在信信息息系系统统的的研研发发,并并且且乐乐此此不不疲疲的人。的人。当前共识:在在信信息息/网网络络世世界界中中,仰仰仗仗着着自自己己的的技技术术能能力力,咨咨意意非非法法进进出出他他人人信信息息系系统统,视视法法律律与与社社会会规规范范于不顾的角色于不顾的角色。谁是黑客谁是黑客业余电脑爱好者。多多半半是是对对网网络络技技术术有有兴兴趣趣的的学学生生,也也许是信息技术相关行业的从业人员。许是信息技术相关行业的从业人员。职业的入侵者。这这些些人人把把入入侵侵当当成成事事业业,认认真真系系统统地地整整理理所所有有可可能能发发生生的的系系统统弱弱点点,熟熟悉悉各各种种信
24、信息息安安全全攻攻防防工工具。具。电脑高手。可可能能是是天天才才的的学学生生,也也可可能能是是熟熟练练的的电电脑脑工工程师,他们对网络、操作系统的运作了若指掌。程师,他们对网络、操作系统的运作了若指掌。Hacker级的Cracker。也也许许你你所所使使用用的的操操作作系系统统就就是是出出自自他的设计,也许你使用的系统安全工具就是他开发的。他的设计,也许你使用的系统安全工具就是他开发的。黑客的目的黑客的目的+信息战信息战- 国家利益国家利益+商业对手商业对手-窃取机密资料窃取机密资料+个人谋利个人谋利-盗用别人钱财盗用别人钱财+好奇心与成就感好奇心与成就感+盗用系统资源盗用系统资源危害实例危害
25、实例诋毁政府诋毁政府- -公司形象公司形象商业机密泄露商业机密泄露电子欺骗抵赖电子欺骗抵赖破坏主机破坏主机联邦调查局的主页被修改当当书店遭遇黑客入侵破坏,状告8848网站Bill Gates信用卡在利用电子商务登记会员时被盗用 Love病毒 当天感染用户40万, 全球损失$100 million 危害危害内部攻击内部攻击+计计算算机机犯犯罪罪、黑黑客客攻攻击击等等非非法法攻攻击击行行为为70%来来自自于于内内部部网络网络;+内部攻击频发的原因:内部攻击频发的原因: 局域网是黑客和计算机迷学习练习的最好场所;局域网是黑客和计算机迷学习练习的最好场所; 被害单位的财富和信息过于集中而又被害单位的财
26、富和信息过于集中而又疏于内部管理疏于内部管理; 个别个别品质低下的内部人员品质低下的内部人员对本单位信息环境熟悉又加剧对本单位信息环境熟悉又加剧 了其作案和被外部人勾结引诱的可能性;了其作案和被外部人勾结引诱的可能性; 管理者信息安全意识不强,管理者信息安全意识不强,缺乏对职员的信息安全教育缺乏对职员的信息安全教育;+内内部部攻攻击击的的主主要要手手段段有有:冒冒名名顶顶替替、修修改改网网卡卡内内码码、使使用黑客工具等。用黑客工具等。病毒感染:计算机病毒定义计算机病毒定义计算机病毒,是指编制或者在计算机程计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者数据,序中插入的破坏计算机功
27、能或者数据,影响计算机使用,并能自我复制的一组影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机指令或者程序代码。摘自中华人民共和国计算机信息系统安全保护条例第28条病毒感染:典型的现象典型的现象WordWord、ExcelExcel文件打不开;文件打不开;重要文件被破坏或丢失;重要文件被破坏或丢失;打开邮件后,系统死机;打开邮件后,系统死机;计算机莫迷奇妙奏起音乐;计算机莫迷奇妙奏起音乐;计算机分区丢失;计算机分区丢失;内存不足、速度越来越慢;内存不足、速度越来越慢;病毒感染:感染现象举例WIN95.HPS病病毒发作毒发作现象现象病毒感染:感染现象举例现在BO黑客工具只要你在网
28、上,你的机器内部的重要文件随时有可能被 其它怀有不良企图的人所窃取。WIN95.Murburg病毒发作病毒发作现象现象病毒感染:传播过程示意病毒病毒1 创造创造2 感染感染3 传播传播4 发病发病5 发现发现6 解决方法解决方法7 灭绝灭绝秘密信息泄露秘密信息泄露各类电磁辐射:显示设备、通信线路等;涉密设备或网络连入因特网;存储介质和设备硬件;设备和软件的漏洞硬件和软件后门硬件和软件后门国内流行操作系统:例Win98计算机主要集成电路芯片:例PIII CPU一些国外进口的应用软件;主要的网络互连设备,如路由器隐患成因隐患成因难以控制知识产权;如难以控制知识产权;如路由器、路由器、OSOS、集、
29、集成电路成电路高端网络安全产品国外厂商一统天下:高端网络安全产品国外厂商一统天下:如防火墙如防火墙信息安全意识淡薄,疏于防范;信息安全意识淡薄,疏于防范;信息社会的职业道德教育内容和体系不信息社会的职业道德教育内容和体系不健全;健全;对信息安全技术的研究缺乏和浮躁对信息安全技术的研究缺乏和浮躁Fast SwitcHub-8mi30+201051100MTx/RxFull DuplexSelect/LinkPWRCollisionStatusUtil%Forward%Filter%DemoDiagFull/HalfConfig1 2 3 4 5 6 7 890+705035201051LinkR
30、ate %SNMP 1 X 2X 3X 4X 5X 6X 7X 8MDI-X-or-8MDI10 M/ 100 M迫切要解决的问题 认证认证XIP IP 数据包数据包IP IP 数据包数据包IP IP 数据包数据包IP IP 数据包数据包IP IP 数据包数据包IP IP 数据包数据包是谁在网络是谁在网络的另一端?的另一端?InternetIP IP 数据包数据包关于安全的解决方案关于安全的解决方案网络安全的基本要求网络安全的基本要求通信的保密性要求通信双方的通信内容是保密的。这一方面要求通信的内容不能被第三方所窃取;也要求万一被别人窃取后,也不能得到信息的具体内容。网络安全的基本要求网络安全
31、的基本要求数据的完整性要保证接收到的信息是完整的。这不是指收到的信息是不是有完整的意义,而是说在传输的过程中数据没有被修改。要求接收到的信息或数据和发送方所发出的信息是完全一致的。 如果发出的信息是“请付给甲100元”,收到的信息是“请付给甲10000元”,数据的完整性就被破坏了。网络安全的基本要求网络安全的基本要求身份的确认性在网络的通信中如何确定通信者的身份也是一个重要的问题。打电话可以从语音识别身份,写信可以从笔迹识别身份,网络通信中如何识别身份?(生理特征?持有物?) 如果收到总经理的邮件:“请付给乙方10000元”。如何确认此信一定是总经理发来的?网络安全的基本要求网络安全的基本要求
32、通信的不可抵赖性网络通信全部是电子形式的文档。收到的信息经打印机打印出来后和一般的文档没有什么不同。 甲给乙一份邮件,“请发货100件”。等乙发完货向甲收款时,甲说我没有要你发货。有什么办法使甲不能抵赖所发的信息?安全对策安全对策对网站的攻击对网站的攻击修改主页,拒绝服务修改主页,拒绝服务商业机密泄露商业机密泄露电子欺骗电子欺骗破坏主机系统破坏主机系统窃取信息窃取信息防火墙产品防火墙产品入侵检测产品入侵检测产品 数据加密数据加密 VPNPKI认证机构认证机构CA安全支付网关安全支付网关电子商务电子商务安全软件安全软件网络防病毒网关网络防病毒网关安全对策安全对策系统后门系统后门政府政府-企业上网
33、企业上网单机上网产品单机上网产品内外网安全隔离卡内外网安全隔离卡安全主机安全主机防火墙防火墙安全路由器安全路由器安全服务器安全服务器Linux方案方案屏蔽与干扰屏蔽与干扰从信号源上防护从信号源上防护防幅射(主机、显示器)通信线路输入与输出设备防病毒产品可查出各类文件形式中的病毒拥有较好的启发式扫描技术通过安全认证安装前先对系统进行查毒良好的清除病毒能力快速的查毒速度实时的监控功能完善的升级设计加密传输加密传输密钥技术加密设备 网络层、链路层加密机身份认证访问控制访问控制物理隔离设备 硬盘隔离卡、网闸访问控制权设置防火墙在不安全的网络在不安全的网络环境中构造一个环境中构造一个相对安全的子网相对安
34、全的子网环境环境路由器客户端国际互联网FTP/HTTP代理 服务器应用服务器SMTP 服务器FTP 服务器防火墙防火墙防火墙防火墙安全检测和监控漏洞扫描 OS漏洞、应用服务漏洞、木马侦测 网络配置漏洞、口令漏洞等在线入侵检测系统 IDS备份备份数据备份设备备份电源异地备份 冗灾管理人员备份目前的有效途径目前的有效途径IP IP 数据包数据包IP IP 数据包数据包IP IP 数据包数据包IP IP 数据包数据包IP IP 数据包数据包IP IP 数据包数据包是谁读到了是谁读到了我的信?我的信?internetIP IP 数据包数据包加密加密我截获了无数个我截获了无数个passwordpassw
35、ord网络攻击网络攻击攻防技术的发展背景攻防技术的发展背景信息技术的迅猛发展,是黑客产生的基础信息技术的迅猛发展,是黑客产生的基础 - 个人计算机性能的提高个人计算机性能的提高 - 应用软件,应用水平的提高应用软件,应用水平的提高 - 互联网成为人们从事各项活动的主要舞台互联网成为人们从事各项活动的主要舞台互联网缺乏安全控制机制,互联网缺乏安全控制机制, 是黑客存在的条件是黑客存在的条件 - 互联网不为某个政府或组织所控制互联网不为某个政府或组织所控制 - 最初的考虑主要是网络的连接,而不是网络安全最初的考虑主要是网络的连接,而不是网络安全 - 互联网缺乏必要的安全控制机制互联网缺乏必要的安全
36、控制机制互联网资源为黑客滋生提供了技术条件互联网资源为黑客滋生提供了技术条件 - 互联网上很容易查找到黑客网址。互联网上很容易查找到黑客网址。 - 免费下载各种黑客软件,网上阅读及交流免费下载各种黑客软件,网上阅读及交流 现代攻击者的特点现代攻击者的特点技术化 - 掌握网络技术进行网络攻击的前提 - 一些黑客甚至是 “高手”年轻化 - 1998年7年江西省169信息网全线瘫痪,嫌疑人仅19岁 - ISS创始人16岁便攻入联邦调查局网络社会化 - 来自于各个层次、来自于不同年龄段 - 动机各自不同地点复杂化 - 上网途径复杂化、可能是世界上的任何一个地方 - 追查攻击来源十分困难 网络攻击的防范
37、网络攻击的防范 提高网络安全意识提高网络安全意识 - 采取必要的防范措施 依法强化管理依法强化管理 - 健全完善的发规,强化网络管理 加强网络出口管理加强网络出口管理 - 网络边界采取必要的访问控制机制 防火墙 - 完善的加密,身份认证体制 开发先进的网络安全产品开发先进的网络安全产品 - 不依靠进口产品 - 大力开发自主知识版权的信息安全产品 加强国际合作加强国际合作典型网络攻击典型网络攻击 拒绝服务攻击拒绝服务攻击 IP炸弹、邮件炸弹 恶意程序码恶意程序码 病毒(Virus)和后门程序(Backdoor) BO (BO (Back OrificeBack Orifice) )攻击攻击 网络
38、监听网络监听 网络信息包监听、电脑系统监听 密码破解密码破解网络中常见的攻击网络中常见的攻击特洛伊木马(Trojan horse) 一种执行超出程序定义之外的程序。如一个编译程序除了执行编译任务以外,还把用户的源程序偷偷地copy下来,这种编译程序就是一种特洛伊木马。网络中常见的攻击网络中常见的攻击 逻辑炸弹(logic bomb)一种当运行环境满足某种特定条件时执行其他特殊功能的程序。如CIH,每当系统时间为26日的时候,便在BIOS中写入一大堆垃圾信息,造成系统瘫痪。 逻辑炸弹是计算机病毒的一种。计算机病毒(computer virus),一种会“传染”和起破坏作用的程序。网络中常见的攻击
39、网络中常见的攻击主机欺骗黑客可以发送虚假的路由信息到他想进行欺骗的一台主机,如主机A。这种假冒的信息也将发送到目标主机A的路径上的所有网关。主机A和这些网关收到的虚假路由信息经常表示到网络上的一台不工作或没有使用的主机,如主机B。这样,任何要发送到主机B的信息都会转送到黑客的计算机,而主机A和网关还认为信息是流向了主机B。一旦黑客成功地将他或她的计算机取代了网络上的一台实际主机,就实现了主机欺骗。网络中常见的攻击网络中常见的攻击Java和ActiveX攻击黑客会将“特洛伊木马”程序插入到Java对象库。当一个用户的浏览器下载Java对象库时,隐藏的“特洛伊木马”程序就会和类库一起进入用户的系统
40、并伺机发作。当某种键入的组合或鼠标点击的组合发生时,“特洛伊木马”程序就会发作和起作用。一旦“特洛伊木马”窃取了用户的口令并将他传送到黑客所在的机器网络中常见的攻击网络中常见的攻击使用探视软件几乎有网络路由器的地方都有探视程序(Sniffer Program)。探视程序是一种分析网络流量的网络应用程序。一般来说,这种软件收集的数据太多,对黑客不是很有用。但是,这种软件对黑客仍然是有吸引力的,因为黑客可以再加一个应用程序接口(API)。通过这个API,可以控制探视程序只是收集和管理具有某种格式的数据,例如口令。网络中常见的攻击网络中常见的攻击SMTP攻击:缓冲器过载(buffer overrun
41、)攻击。缓冲器过载是一种常见的email攻击,此时,有些人的电子邮件信箱会塞满垃圾邮件,直到系统瘫痪。秘密命令攻击(Backdoor Command Raids)通常是通过邮件的附件来发动的。特洛伊木马程序将秘密地隐藏在电子邮件中,当你双击邮件列表时,此特洛伊木马将从附件中滑出BO BO 攻击演示攻击演示攻击演示攻击演示 特洛伊木马攻击的原理是利用用户的大意或系统的漏洞,在被攻击主机上放置特殊的程序 这个特殊的程序作为一个服务运行于被攻击的主机上,开放一个自定义的端口, 攻击者可以利用客户端软件连接到该端口,这样就可以象在目标主机上操作一样达到控制被攻击主机的目的 典型的特洛伊木马攻击软件有B
42、O2000、冰河等 冰河攻击实例冰河攻击实例 目的:网络上某个黑客通过网络取某公司一名员工电脑中 的重要资料。冰河攻击实例1在网络上下载一黑客工具:冰河。 冰河攻击实例冰河攻击实例2上传客户端程序到目标主机。冰河攻击实例 3打开附件后木马程序的客户端程序加载到目标主机的 进程中。 并打开7626的端口。 TCP 0.0.0.0:1206 0.0.0.0:0 LISTENING TCP 0.0.0.0:1222 0.0.0.0:0 LISTENING TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING TCP 0.0.0.0:1241 0.0.0.0:0 LISTENING TCP 0.0.0.0:8431 0.0.0.0:0 LISTENING冰河攻击实例4开始攻击!41 远程连结冰河攻击实例42 找出文件冰河攻击实例43 下在文件到本地 冰河攻击实例44 大功告成小结和课后思考小结和课后思考网络安全威胁来自何方?网络安全威胁来自何方?如何应对各种安全威胁?如何应对各种安全威胁?如何利用公钥和私钥建立安全机制?如何利用公钥和私钥建立安全机制?小小 结结 文件传输(FTP)电子邮件(E-mial)万维网(WWW)网络安全预习:HTML语言和网页设计
