《计算机网络技术第9章网络安全.ppt》由会员分享,可在线阅读,更多相关《计算机网络技术第9章网络安全.ppt(42页珍藏版)》请在课桌文档上搜索。
1、主要内容,9.1 网络安全简介,网络安全从其本质上来讲就是网络上的信息安全。网络通信面临着各种各样的威胁,消除安全威胁,才能达到网络及信息安全的目标。本节主要讲述:1、网络安全的定义2、网络面临的安全威胁3、计算机网络及信息安全的目标,9.1 网络安全简介,9.1.1 网络安全的定义网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。,9.1 网络安全简介,9.1.2 网络面临的安全
2、威胁(1)截获(Interception)。攻击者从网络上窃听他人的通信内容。(2)中断(Interruption)。攻击者有意中断他人在网络上的通信。(3)篡改(Modification)。攻击者故意篡改网络上传送的报文。(4)伪造(Fabrication)。攻击者伪造信息在网络上传送。,网络的被动攻击和主动攻击,9.1 网络安全简介,9.1.3 计算机网络及信息安全的目标1机密性机密性是指保证信息不能被非授权访问,即非授权用户得到信息也无法知晓信息内容,因而不能使用。2完整性完整性是只有得到允许的人才能修改实体或者进程,并且能够判别出实体或者进程是否已被修改。3可用性可用性是信息资源服务功
3、能和性能可靠性的度量,涉及到物理、网络、系统、数据、应用和用户等多方面的因素,是对信息网络总体可靠性的要求。,9.1 网络安全简介,4可控性可控性主要指对危害国家信息(包括利用加密的非法通信活动)的监视审计。5不可否认性不可否认性是对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“逃不脱”,并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性,一般通过数字签名等技术来实现不可否认性。,9.2 网络安全基础知识,随着网络应用的普及,黑客发起的网络攻击也越来越多,攻击的方式和手段也不断更新,研究黑客入侵过程,是为了做好网络安全的防
4、范工作。本节主要讲述:1、黑客入侵攻击的一般过程,9.2 网络安全基础知识,黑客入侵攻击的一般过程如下所述:(1)确定攻击的目标。(2)收集被攻击对象的有关信息。(3)利用适当的工具进行扫描。(4)建立模拟环境,进行模拟攻击。(5)实施攻击。(6)清除痕迹。,9.3 网络扫描工具,扫描器对于攻击者来说是必不可少的工具,但它也是网络管理员在网络安全维护中的重要工具。扫描器的定义比较广泛,不限于一般的端口扫描,也不限于针对漏洞的扫描,它也可以是某种服务、某个协议。本节主要讲述:1、X-scan扫描器的使用2、端口扫描程序Nmap使用,9.3 网络扫描工具,9.3.1 扫描器的作用(1)检测主机是否
5、在线。(2)扫描目标系统开放的端口,有的还可以测试端口的服务信息。(3)获取目标操作系统的敏感信息。(4)破解系统口令。(5)扫描其他系统敏感信息。一个优秀的扫描器能检测整个系统各个部分的安全性,能获取各种敏感的信息,并能试图通过攻击以观察系统反应等。扫描的种类和方法不尽相同,有的扫描方式甚至相当怪异且很难被发觉,但却相当有效。,9.3 网络扫描工具,9.3.2 X-scan扫描器概述X-scan采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式。扫描内容包括:远程服务类型、操作系统类型及版本、各种弱口令漏洞、后门、应用服务漏洞、网络设备
6、漏洞、拒绝服务漏洞等20多个大类。,设置扫描参数,9.3 网络扫描工具,9.3.3 端口扫描程序Nmap在诸多端口扫描器中,Nmap是其中的佼佼者,它提供了大量的基于DOS的命令行选项,还提供了支持Windows的GUI(图形用户界面),能够灵活地满足各种扫描要求,而且输出格式丰富。,nmap参数扫描结果,9.4 网络监听原理与工具使用,网络监听是黑客在局域网中常用的一种技术,它在网络中监听别人的数据包,监听的目的就是分析数据包,从而获得一些敏感信息,如账号和密码等。其实网络监听也是网络管理员经常使用的一个工具,主要用来监视网络的流量、状态、数据等信息,比如Wireshark就是许多系统管理员
7、手中的必备工具。本节主要讲述:1、网络监听原理2、网络监听工具Wireshark的使用,9.4 网络监听原理与工具使用,9.4.1 网络监听原理网络监听是黑客在局域网中常用的一种技术,它在网络中监听别人的数据包,监听的目的就是分析数据包,从而获得一些敏感信息,如账号和密码等。其实网络监听原本是网络管理员经常使用的一个工具,主要用来监视网络的流量、状态、数据等信息,比如Wireshark就是许多系统管理员手中的必备工具。,Wireshark捕获数据包,9.4 网络监听原理与工具使用,9.4.2 网络监听工具Wireshark的使用 Wireshark是网络包分析工具。网络包分析工具的主要作用是尝
8、试捕获网络包,并尝试显示包的尽可能详细的情况。与很多其他网络工具一样,wireshark也使用pcap network library来进行封包捕捉。分析数据包有3个步骤:选择数据包、分析协议、分析数据包内容。(1)选择数据包每次捕获的数据包的数量成百上千,首先,根据时间、地址、协议、具体信息等来对需要的数据进行简单的手工筛选,在这么多数据中选出所要分析的那一个。(2)分析协议,我们在协议窗口直接获得的信息是,以太帧头、IP头、TCP头和应用层协议中的内容。(3)分析数据包内容一次完整的嗅探过程并不是只分析一个数据包,可能是在几百或上万个数据包中找出有用的几个或几十个来分析,理解数据包,对于网
9、络安全具有至关重要的意义。,9.5 木马的配置与防范,特洛伊木马(其名称取自希腊神话的特洛伊木马记,以下简称木马),英文叫做“Trojan Horse”,它是一种基于远程控制的黑客工具。木马是常见的计算机安全隐患,作为网管员要格外重视木马的御防与处理。本节主要讲述:1、木马的工作原理2、木马的种类3、木马的工作过程4、木马的检测5、木马的清除与防御,9.5 木马的配置与防范,9.5.1木马的工作原理特洛伊木马,英文叫做“Trojan Horse”,它是一种基于远程控制的黑客工具(病毒程序)。常见的普通木马一般是客户端/服务端(C/S)模式,客户端/服务端之间采用TCP/UDP的通信方式,攻击者
10、控制的是相应的客户端程序,服务器端程序是木马程序,木马程序被植入了毫不知情的用户的计算机中。以“里应外合”的工作方式,服务程序通过打开特定的端口并进行监听(Listen),这些端口好像“后门”一样,所以,也有人把特洛伊木马叫做后门工具。攻击者所掌握的客户端程序向该端口发出请求(Connect Request),木马便和它连接起来了,攻击者就可以使用控制器进入计算机,通过客户端程序命令达到控制服务器端的目的。,木马工作原理,9.5 木马的配置与防范,9.5.2 木马的种类(1)网络游戏木马(2)网银木马(3)即时通讯软件木马发送消息型 盗号型传播自身型(4)网页点击类木马(5)下载类木马(6)代
11、理类木马,9.5 木马的配置与防范,9.5.3 木马的工作过程1配置木马(1)木马伪装(2)信息反馈2传播木马3启动木马4建立连接5远程控制,9.5 木马的配置与防范,9.5.4 木马的检测1查看端口(1)netstat命令(2)专用工具 2检查账户3检查注册表4检查配置文件,9.5 木马的配置与防范,9.5.5 木马的防御与清除木马一般都是通过E-mail和文件下载传播来的。因此要提高防范意识,不要打开陌生人信中的附件。另外,建议大家最好到正规网站去下载软件,这些网站的软件更新快,且大部分都经过测试,可以放心使用。一旦发现了木马,最简单的方法就是使用杀毒软件。同时新的木马不断出现,旧的木马变
12、种也很快,有些要手工查找并清除。,9.6拒绝服务攻击,DoS攻击的目的就是拒绝服务访问,破坏组织的正常运行,最终它会使部分Internet连接和网络系统失效。本节主要讲述:1、拒绝服务攻击的定义2、拒绝服务攻击分类3、分布式拒绝服务攻击,9.6拒绝服务攻击,9.6.1 拒绝服务攻击的定义拒绝服务(Denial of Service,DoS)攻击广义上可以指任何导致网络设备(服务器、防火墙、交换机、路由器等)不能正常提供服务的攻击,现在一般指的是针对服务器的DoS攻击。这种攻击可能就使网线被拔下,或者网络的堵塞等,最终的结果是正常用户不能使用他所需要的服务。黑客使用DoS攻击有以下的目的:(1)
13、使服务器崩溃并让其他人也无法访问。(2)黑客为了冒充某个服务器,就对它进行DoS攻击,使其瘫痪。(3)黑客为了安装的木马启动,要求系统重启,DoS攻击可以用于强制服务器重启。,9.6拒绝服务攻击,9.6.2拒绝服务攻击分类DoS 的攻击方式有很多种,根据其攻击的手法和目的不同,有两种不同的存在形式。一种是以消耗目标主机的可用资源为目的,使目标服务器忙于应付大量非法的、无用的连接请求,占用了服务器所有的资源,造成服务器对正常的请求无法再做出及时响应,从而形成事实上的服务中断,这也是最常见的拒绝服务攻击形式。这种攻击主要利用的是网络协议或者是系统的一些特点和漏洞进行攻击,主要的攻击方法有死亡之 p
14、ing、SYN Flood、UDP Flood、ICMP Flood、Land、Teardrop 等等,针对这些漏洞的攻击,目前在网络中都有大量的现成工具可以利用。另一种拒绝服务攻击是以消耗服务器链路的有效带宽为目的,攻击者通过发送大量的有用或无用数据包,将整条链路的带宽全部占用,从而使合法用户请求无法通过链路到达服务器。例如蠕虫对网络的影响。,9.6拒绝服务攻击,几种常见的拒绝服务攻击:1死亡之 Ping通过发送畸形的、超大尺寸的 ICMP 数据包,如果 ICMP 数据包的尺寸超过64KB上限时,主机就会出现内存分配错误,导致 TCP/IP 堆栈崩溃,致使主机死机。2UDP Flood 攻击
15、攻击者利用简单的TCP/IP服务,如Chargen(Character Generator Protocol字符发生器协议)和Echo来传送毫无用处的占满带宽的数据。3Land 攻击Land攻击原理是:用一个特别打造的SYN包,它的原地址和目标地址都被设置成某一个服务器地址。此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接。4泪滴攻击泪滴(Teardrop)攻击是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。,9.6拒绝服务攻击,9.6.3分布式拒绝服务攻击分布式拒绝服务(Distributed Den
16、ial of Service)是一种基于DoS的特殊形式的攻击,是一种分布、协作的大规模攻击方式,主要攻击比较大的站点,例如商业公司、搜索引擎和政府部门的站点。,DDos攻击示意图,9.6拒绝服务攻击,分布式拒绝服务攻击的防范:1如何发现攻击2攻击前的防御准备3攻击期间的防御4攻击结束的防范5冰盾抗DDoS防火墙,9.7 计算机病毒,由于网络环境下的计算机病毒是网络系统的最大攻击者,具有强大的传染性和破坏性,因此,网络防病毒技术已成为网络安全防御技术的重要研究课题。网络防毒技术可以直观地分为病毒预防技术、病毒检测技术及病毒清除技术。本节主要讲述:1、网络防病毒技术2、网络安全防御实例,9.7
17、计算机病毒,9.7.1 网络防病毒技术网络防毒技术可以直观地分为病毒预防技术、病毒检测技术及病毒清除技术。(1)病毒预防技术 计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统传染和破坏。实际上这是一种动态判定技术,即一种行为规则判定技术。(2)病毒检测技术计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种,一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。(3)病毒清除技术目前,清除病毒大都是在某种病毒出现后,通过对其进行分析研究而研制出
18、来的具有相应杀毒功能的软件。,9.7 计算机病毒,9.7.2 网络安全防御实例实例一:校园网安全防御高校校园网以服务于教学、科研为的宗旨,这决定其必然是一个管理相对宽松的开放式系统,无法做到像企业网一样进行严格统一的管理,这使得保障校园网安全成为一个大挑战。某高校从自身情况出发,其安全方案主要包括以下6个方面。1网络关键路由交换设备的安全配置2采取静态IP地址管理模式3中央集中控制病毒4积极防范网络攻击5统一身份认证6鼓励学生当网管,9.7 计算机病毒,实例二:个人电脑安全防御1杀毒软件不可少2个人防火墙不可替代3分类设置密码并使密码设置尽可能复杂 4不下载来路不明的软件及程序,不打开来历不明
19、的邮件及附件5警惕“网络钓鱼”6防范间谍软件7只在必要时共享文件夹8不要随意浏览黑客网站、色情网站 9定期备份重要数据,9.8 PGP加密系统,加密技术是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。本节主要讲述:1、加密技术2、PGP软件包的安装和使用,9.8 PGP加密系统,9.8.1 加密技术数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非授权者不能了解被保护信息的内容。加密的基本思想是伪装明文以隐蔽其真实内容,即将明文伪装成密文。伪装明文的操作称为加密,加密时所使用的信息变换规则称为加密算法。由
20、密文恢复出原明文的过程称为解密。解密时所采用的信息变换规则称作解密算法。,加密和解密过程示意图,9.8 PGP加密系统,9.8.2 PGP软件包的安装和使用PGP加密软件是美国Network Associate Inc.出产的免费软件,可用它对文件、邮件进行加密。使用PGP软件对Outlook Express邮件加密并签名后发送给接收方;接收方验证签名并解密邮件。(1)安装PGP(2)生成用户密钥对(3)用PGP对Outlook Express邮件进行加密操作(4)接收方用私钥解密邮件,9.9 防火墙技术,防火墙系统是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一
21、系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,它是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。本节主要讲述:1、防火墙原理2、防火墙的发展历程3、代理防火墙应用,9.9 防火墙技术,9.9.1防火墙原理保护网络安全的最主要手段之一是构筑防火墙(Firewall)。防火墙是一种网络安全防护系统,是由硬件和软件构成的用来在网络之间执行控制策略的系统。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户
22、的攻击。防火墙安装的位置一定是在内部网络与外部网络之间。,防火墙原理图,9.9 防火墙技术,9.9.1防火墙原理防火墙的主要功能如下:(1)检查所有从外部网络进入内部网络的数据包。(2)检查所有从内部网络流出到外部网络的数据包。(3)执行安全策略,限制所有不符合安全策略要求的分组通过。(4)具有防攻击能力,保证自身的安全性。,9.9 防火墙技术,9.9.2 防火墙的发展历程综观防火墙技术的发展史,防火墙的过滤引擎技术经历了以下三个阶段:第一阶段:包过滤技术。包过滤防火墙工作在网络层,对数据包的源及目地IP具有识别和控制作用,包过滤的优点是工作层次低,速度快,但缺陷是不能跟踪会话状态,第二阶段:
23、应用代理网关技术。应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。第三阶段:状态检测技术。状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址、端口等几个参数,而不关心数据包连接状态变化的缺点,在防火墙内部建立状态表,利用状态表跟踪每一个会话状态,对于UDP、IP、ICMP等非面向连接的协议,防火墙也会为其建立和维持虚拟的状态项。,9.9 防火墙技术,9.9.3代理防火墙应用代理防火墙也叫应用层网关(Application Gateway)防火墙。这种防火墙通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从
24、内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用,它的核心技术就是代理服务器技术。CCProxy是国内流行的、下载量很大的国产代理服务器软件。主要用于局域网内共享Modem代理上网、ADSL代理共享、宽带代理共享、专线代理共享、ISDN代理共享、蓝牙代理共享和二级代理等共享代理上网。,9.9 防火墙技术,使用CCProxy完成共享上网:使用两台PC机,其中一台做CCProxy代理服务器,假设IP地址是192.168.0.1,另一台设置为通过代理访问Internet的客户机,假设IP地址是192.168.0.2。(1)在192.168.0.1上安装CCProxy代理服务器(2)客户机设置IE浏览器代理方法,Thank You!,
