计算机网络安全导论55-7章.ppt

资源描述

《计算机网络安全导论55-7章.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全导论55-7章.ppt（146页珍藏版）》请在三一文库上搜索。

1、第5章网络攻击技术,攻击五步曲网络踩点网络扫描网络监听网络入侵社会工程学攻击物理攻击暴力攻击漏洞攻击拒绝服务攻击网络后门网络隐身,黑客守则,任何职业都有相关的职业道德，一名黑客同样有职业道德，一些守则是必须遵守的，不让会给自己招来麻烦。归纳起来就是“黑客十二条守则”。 1、不要恶意破坏任何的系统，这样做只会给你带来麻烦。 2、不要破坏别人的软件和资料。 3、不要修改任何系统文件，如果是因为进入系统的需要而修改了系统文件，请在目的达到后将他改回原状。 4、不要轻易的将你要黑的或者黑过的站点告诉你不信任的朋友。 5、在发表黑客文章时不要用你的真实名字。 6、正在入侵的时候，

2、不要随意离开你的电脑。 7、不要入侵或破坏政府机关的主机。 8、将你的笔记放在安全的地方。 9、已侵入的电脑中的账号不得清除或修改。 10、可以为隐藏自己的侵入而作一些修改，但要尽量保持原系统的安全性，不能因为得到系统的控制权而将门户大开。 11、不要做一些无聊、单调并且愚蠢的重复性工作。 12、做真正的黑客，读遍所有有关系统安全或系统漏洞的书。,一、攻击五步曲,隐藏IP 肉鸡多级Sock跳板代理踩点扫描对攻击目标进行全方位的了解扫描计算机以寻找漏洞获得系统或管理员权限种植后门在网络中隐身清除相关登录日志清除入侵痕迹,1、隐藏IP,这一步必须做，因为如果自己的入侵的痕迹被发现

3、了，当FBI、CyberPolice找上门的时候就一切都晚了。通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。比如攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”，这样跨国度的攻击，一般很难被侦破。,2、踩点和扫描,踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标

4、的IP地址或地址段的主机上寻找漏洞。,3、获得系统或管理员权限,得到管理员权限的目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得系统及管理员权限的方法有：通过系统漏洞获得系统权限通过管理漏洞获得管理员权限通过软件漏洞得到系统权限通过监听获得敏感信息进一步获得相应权限通过弱口令获得远程管理员的用户密码通过穷举法获得远程管理员的用户密码通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权通过欺骗获得权限以及其他有效的方法。,4、种植后门,为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。,5、在网络中隐身,一次成功入侵之后，一般在对

5、方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现。在入侵完毕后需要清除登录日志已经其他相关的日志。,二、网络踩点,踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确）。常见的踩点方法包括：在域名及其注册机构的查询公司性质的了解对主页进行分析邮件地址的搜集目标IP地址范围查询。踩点的目的就是探察对方的各方面情况，确定攻击的时机。模清除对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略。,三、网络扫描,扫描一般可以分成： 1、活动主机探测；2、ICMP查询；3、网络PING扫描；4、端口扫描；5、标识UDP和

6、TCP服务；6、指定漏洞扫描；7、综合扫描。扫描方式可以分成两大类：慢速扫描和乱序扫描。 1、慢速扫描：对非连续端口进行扫描，并且源地址不一致、时间间隔长没有规律的扫描。 2、乱序扫描：对连续的端口进行扫描，源地址一致，时间间隔短的扫描。,扫描的基本注意事项,XP下扫描：一定要打上最大连接数破解补丁运行使用专门的最大连接数破解补丁程序，FTP可下载使用迅雷、PPLIVE等进行破解关闭防火墙使用网络：校园网/电信宽带，扫描的目标网络：校园网/电信公网扫描弱口令计算机软件NT SCAN：用校园网扫校园网，用以扫描2K、或被人为修改系统存在漏洞的XP系统中用户账号为空口令或者弱口令的

7、计算机。冬陵ADSL密码终结者：任意，用以扫描ADSL账号和密码 SSPORT：任意，快速端口扫描软件,使用TCPZ进行破解,用迅雷去除系统最大连接数限制,例1：扫描获取宽带账号,具体见录像。,关于宽带上网密码的盗取和保护,什么情况下可能被盗取：使用宽带路由器或者设置ADSL猫工作于路由方式，使得单位或家庭的多台内网计算机实现共享上网的用户。盗取工具：冬陵ADSL密码终结者。不使用共享上网方式，而是电脑直接PPPOE拨号上网的用户，如果电脑被人入侵，使用DialPass也可得到预存在电脑中的拨号密码。上网密码被盗取的危害：可能造成经济损失账号被盗用上网，但现在基本上绑定账号电话号码，

8、或账号端口。账号被盗用在互联星空消费，如看影视、学外语、充Q币等。账号被盗用到电信WLAN天翼通无线热点区域无线上网。厦门电信无线校园：http:/218.85.135.187/index.jsp 如何防范：使用宽带路由器或者让ADSL猫工作于路由方式，使得单位或家庭的多台内网计算机实现共享上网的用户：更改上述设备的远程管理使用的WEB服务器端口80为其它端口；关闭上述设备的远程管理功能；一定要修改进入路由器设置页面的默认出厂账号对应的密码。不使用共享上网方式，而是电脑直接拨号上网的用户：电脑不被人入侵。,若使用电信ADSL上网：若使用宽带路由器或让ADSL MODEM工作在路由方

9、式下( 建议使用，使计算机处于内网，提高安全性)，则应修改进入宽带路由器或ADSL MODEM的管理页面的出厂默认密码，否则宽带上网账号可能被盗。福建电信宽带用户可上网到电信自服务网站（福建电信网上自服务网站 http:/或http:/218.85.157.204/或）更改申请开户时的初始密码、查询上网记录、查询互联星空的消费记录。,例2：端口扫描：ssport软件,可以扫描一台计算机打开的端口有哪些，进而判断该计算机启用了哪些网络服务或正在运行哪些网络应用程序。如扫描到目标计算机开启21端口，按照默认情况说明该计算机开启了FTP服务，是一台FTP服务器。可以扫描一段IP地址范围内的一片计

10、算机中，有哪些计算机已经打开了相应的端口，启用了相应的服务。如要想知道哪些计算机是WEB网站服务器只要扫描其80端口。,例3：远程桌面入侵,前提条件：早期的盗版系统安装光盘安装系统时将XP默认安全选项修改为不安全。如电脑公司特别版。方法：扫描目标计算机的3389端口，若开放，则用远程桌面连接目标计算机。若目标计算机为XP，试探用new或administrator账号和空密码登录。,例如：电脑公司特别版低版本,电脑公司特别版V4.X和5.X版本，存在安全漏洞,电脑公司特别版高版本,电脑公司特别版V6.X及以上的高版本已修正，无此安全漏洞,非电脑公司版本的手工检查： 1.关闭远程桌面 2.防火墙

11、拦截远程桌面服务端程序 3.禁止空密码账户网络登录,分组入侵练习,两个学生一组，A作为入侵者，B作为被入侵者。 B电脑XP默认是安全的逐步将其修改成不安全。然后B将自己电脑上的账号和IP告知A。 A用Windows自带的远程桌面客户端程序连接B电脑。若A连上B并登录后，B电脑返回登录画面。若B重新登录，A被强制断线。A、B两人抢B电脑的桌面。用途：入侵（目前不实用）；用电脑甚至手机远程控制自己的远程计算机。,B电脑操作之1：启用远程桌面,默认不启用，现在启用,B电脑操作之2：设置防火墙,Win自带防火墙对远程桌面服务端程序默认拦截，现在改为放行,B电脑操作之3：利用GPEDIT.MSC命令

12、修改组策略安全选项,默认禁止空密码的账户从网络访问，现在改为允许访问,附：利用注册表修改远程桌面服务端默认端口3389为其它端口,开始/运行/REGEDIT，进入注册表编辑器打开注册表项目 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server WdsrdpwdTdstcp，看见PortNamber值了吗？其默认值是3389，修改成所希望的端口即可，例如6789。注意选十进制值。再打开HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinS

13、tationsRDPTcp，其默认值也是3389，修改成所希望的端口即可，例如6789 。修改完毕，重新启动电脑。以后远程登录的时候连接已启用远程桌面功能的远程电脑的6789端口。,将默认的3389修改为其它端口如6789，但不能和其它已打开端口冲突,将默认的3389修改为其它端口如6789，但不能和其它已打开端口冲突,四、网络监听,网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。Sniffer pro就是一个完善的网络监听工具。监听器Sniffer的原理：在局域网中与其他计算机进行数据交换的时候，发送的数据包发往所有的连在一起的主机，也就是广播，在报头中包含目标机的正确地址。

14、因此只有与数据包中目标地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目标地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数据包，不能监听不同网段的计算机传输的信息。,监听软件,防止监听的手段是：建设交换网络、使用加密技术和使用一次性口令技术。除了非常著名的监听软件Sniffer Pro以外，还有一些常用的监听软件：嗅探经典Iris 密码监听工具Win Sniffer 密码监听工具pswmonitor和非交换环境局域网的fssniffer等等 Sniffer Pr

15、o是一款非常著名监听的工具，但是Sniffer Pro不能有效的提取有效的信息。,五、网络攻击,常用的网络攻击手段：社会工程学攻击物理攻击暴力攻击漏洞攻击 DOS攻击 ,1、社会工程学攻击,社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成的黑客说这种简单的调查是他们社会研究

16、工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。,2、物理攻击与防范,物理安全是保护一些比较重要的设备不被接触。物理安全比较难防，因为攻击往往来自能够接触到物理设备的用户。,3、暴力攻击,暴力攻击的一个具体例子是，一个黑客试图使用计算机和网络去破解一个密码。一个黑客需要破解段单一的被用非对称密钥加密的信息，为了破解这种算法，一个黑客需要求助于非常精密复杂的方法，它使用120个工作站，两个超级计算机利用从三个主要的研究中心获得的信息，即使拥有这种配备，它也将花掉八天的时间去破解加密算法，实际上破解加密过程八天已是非常短暂的时间了。,

17、4、漏洞攻击,从安全站点了解最新操作系统和各种软件漏洞从网上下载相应的漏洞攻击程序利用该漏洞攻击程序进行入侵攻击,1. 安全中国,2、黑客防线,5、拒绝服务攻击,拒绝服务攻击的简称是：DoS（Denial of Service）攻击，凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击，其目的是使目标计算机或网络无法提供正常的服务。最常见的DoS攻击是：计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。,第6章网络安全技术,手工

18、安全检查步骤：5查查进程查端口查连接查服务查启动项操作系统安全配置初级中级高级防火墙的正确使用,一、手工安全检查方法,查进程查端口查连接查服务查启动项,1. 查进程,查看当前进程哪些是正常的，哪些是可疑的，哪些是非法进程。了解、熟悉自己电脑中的进程，逐步积累、熟悉各种进程。假进程将自己伪装成和系统、正常文件尽量相似或相近，甚至完全相同。伪装方法：将正常进程文件中的一个字符修改为相似的字母或数字，如svchost.exesvohost.exe(假)，winlogon.exe win1ogon.exe (假) 。在正常进程文件名中增加/减少一个字符如字母或数字

19、。如explorer.exe explore.exe (假) ，iexplore.exe iexplorer.exe (假) 。假进程和真进程文件名完全相同，但在磁盘中的位置不同。如C:WINDOWSexplorer.exe和C:WINDOWSsystem32svchost.exe是正常的，而其它位置出现的同名文件是假冒的。隐藏进程。进程文件检查方法：查文件名查文件路径查文件图标（注意文件图标可能更换）查文件的版本信息、日期（注意可能更改伪装）查MD5值用冰刃显示、查看隐藏的进程,查看和结束进程工具：,任务管理器安全辅助工具，如360安全卫士专门的进程管理工具软件，如P

20、rocessExplorer，冰刃IceSword等。后者结束进程的能力更强,1.任务管理器,电脑刚启动以后和正常运行时进程数越多，运行速度越慢,CPU使用率越高，电脑运行速度越慢,可按CPU使用率降序排列，查看哪个进程占用大量CPU资源，使电脑变慢，检查其是否正常,左边数值代表当前内存使用量,刚启动后或正常运行时其值越大，运行速度越慢。如果大于物理内存则需升级内存。右边数值代表电脑可用总内存（物理内存和硬盘上的虚拟内存之和）,可按内存使用率降序排列，查看哪个进程占用大量内存资源，使电脑变慢，检查其是否正常,r_server.exe进程为远控软件Remote Administrator的服

21、务端进程， R2PCServ.exe和R2PCSH.exe为远控软件R2PC的服务端进程,svchost.exe进程数量不一定，取决于开启的系统服务多少。要么全大写，要么全小写。,2.进程浏览器ProcessEXP,可显示进程文件的图标、描述、出品公司、版本号、日期时间,显示进程文件在磁盘中的位置或路径,结束进程的能力比任务管理器强,可对文件进行数字签名校验，检查、判断其真伪,360和搜狗的文件也可通过校验,ATI显卡和WINRAR的文件无法校验。不能校验并不意味着文件一定就是假的,灰色按钮,该进程文件对应的服务有哪些，加载的是哪个DLL文件,可以查看该进程打开的端口和连接情况,向右缩

22、进的进程为左边左边上级的子进程，可以查看病毒木马进程的父进程，即是哪个进程创建的病毒木马进程,2. 查端口,查看当前打开端口哪些是正常的，哪些是可疑的，哪些是非法进打开的端口。了解、熟悉自己电脑中的端口，逐步积累、熟悉各种端口。假端口伪装方法：病毒木马程序将自己打开的端口伪装成系统正常打开的端口，如445端口、3389端口。隐藏端口，如灰鸽子。端口检查方法：查看端口号。查看打开该端口的进程。用冰刃显示、查看隐藏的端口。查看端口工具 DOS下：NETSTAT AN命令图形界面下：aports等软件,远控软件Remote Administrator的服务端打开的端口,远控软件Z

23、2 R2PC的服务端作为反弹连接主动连接控制端（上一行），也打开端口等待控制端连接（下一行）,3. 查连接,查看当前已建立的连接哪些是正常的，哪些是可疑的，哪些是非法连接。了解、熟悉自己电脑中的连接，逐步积累、熟悉各种连接。假连接伪装方法： DLL木马由系统或正常进程如IEXPLORE.EXE、EXPLORER.EXE进程加载，这时看到的连接是这些系统或正常进程的连接。隐藏连接，如灰鸽子。连接检查方法：查看当前连接。查看当前连接对应的进程是否自己打开的。检查进程加载的DLL文件。使用能监控DLL文件访问网络，当试图访问网络时能给出提示的防火墙。用冰刃等显示、查看隐藏的连接。

24、查看连接工具 DOS下：NETSTAT AN命令图形界面下：aports等软件用冰刃显示、查看隐藏的连接对于利用UDP端口进行数据传输的木马程序，不能用上述方法查看连接情况，则可用防火墙、监听嗅探软件查看数据传输情况。通过查看连接有可能查出入侵者的IP。,当控制端利用远控软件客户端程序连接上被控电脑时，被控服务端电脑上可查得已经建立连接，还可能查得控制端IP,360进程查看工具可查到一个进程加载的所有DLL文件。DLL文件数量多，手工检查较为困难，可依靠杀毒软件,防火墙程序规则,已经放行并允许其访问网络的应用程序列表,防火墙模块规则,已经放行并允许其访问网络的模块列表,瑞星防火墙也能检

25、查试图访问网络的DLL文件,瑞星防火墙可对DLL文件试图访问网络时进行检查并给出警告提示，但默认未启用此功能,瑞星防火墙检测到可信任的应用程序试图访问网络时自动放行，并将其添加至允许访问网络的程序列表中,自动放行的网络应用程序被添加至允许访问网络的程序列表中，下次该应用程序试图访问网络时不再提示,当瑞星防火墙检测到无法自动验证的的应用程序试图访问网络时给出警告提示，由用户自己决定是否放行并加入允许访问网络的程序列表中,当瑞星防火墙检测到DLL文件试图访问网络时也给出警告提示，由用户自己决定是否放行并将其加入到允许访问网络的模块列表中,4. 查服务,所谓服务，指的是在系统启动过程中随着系统启动而

26、自动加载到内存并运行的程序，而且在登录系统、出现桌面前即已加载运行。查看系统当前已安装尤其是已启动的服务哪些是正常的，哪些是可疑的，哪些是非法服务。了解、熟悉自己电脑中的服务，逐步积累、熟悉各种服务。假服务伪装方法：冒充系统或者正常服务。隐藏服务，如灰鸽子。服务检查方法：查看系统系统当前安装的服务。重点查看系统当前已经启动的服务。查看服务名称、描述、状态、启动类型。更要通过查看服务对应的EXE文件及其路径查看服务是否有伪装。用冰刃等显示、查看隐藏的服务。查看服务工具系统自带的工具 DOS命令：MSCONFIG 我的电脑-右键管理-服务和应用程序-服务进程浏览器Pro

27、cessExplorer。 360安全卫士等辅助安全工具。减少、禁用无关服务将加快系统启动速度，提高安全性。,开始/运行/MSCONFIG，切换到服务标签,显示的非微软的其它服务数量大大减少，可减少服务检查的工作量,隐藏所有微软的系统服务，只显示非微软的其它服务,开始/运行/SERVICES.MSC,可查看服务相关情况，如名称、描述、状态和启动类型等,360等杀毒软件以服务方式启动，启动时机较早，使其较早具有实时监控能力,远控软件Remote Admnistrator服务端程序对应的服务,虽然可以修改、伪装服务名称、显示名称和描述等，但可以通过其对应的可执行文件名称和路径来检查其真伪,远控软

28、件R2PC服务端对应的服务,对确认为可疑和非法的服务，可将其禁用,最好用windows自带的SC命令将该服务删除。该命令也可修改服务名称、显示名称、描述等用于伪装服务,5. 查启动项,病毒、木马程序要进入系统，必须随着系统的启动而自动加载到内存并运行。查看系统当前的自启动项哪些是正常的，哪些是可疑的，哪些是非法的。了解、熟悉自己电脑中的服自启动项，逐步积累、熟悉各种自启动项。除了以服务方式自动加载外，其它形式自启动项的查看方法和工具：系统自带的工具开始程序启动 DOS命令：MSCONFIG 查看注册表中的自启动项：REGEDIT，即HLMsoftwareMicrosoftwindo

29、wsCurrentVersionRun 360安全卫士等安全辅助工具专门的启动项查看工具软件，如AutoRuns 减少自启动项将加快系统启动速度，不建议将一般软件随系统启动而自动加载，可以禁用其自动加载功能。,最简单明显的自启动项，不需要的可直接删除,MSCONFIG打开系统配置实用程序,注册表启动项,AUTORUNS，显示启动项目最全，但检查起来也最困难,例1：取消暴风影音自启动，可以加快系统启动速度。其它软件也有类似设置,例2：禁止快车FashGet的自启动,或者在“选项”中禁止,例1：网灵一号远控服务端之进程，文件名有伪装,进程文件在磁盘的位置和路径，文件夹伪装成“Real Live

30、Update”,网灵一号的三个进程分别打开了TCP端口3476、5900和22。,服务：名称和描述有伪装,查看服务详细信息根据文件名和路径使其原形毕露,启动项,三个远控软件服务端程序在屏幕底部托盘位置显示的图标,RA和R2PC两个图标均可设置为隐藏不显示，隐蔽性强,网灵一号不可隐藏图标易暴露,例2，灰鸽子和冰刃服务端配置：文件名伪装,服务伪装,插入IE进程,服务端程序图标伪装,配置好以后的服务端程序，虽为WORD DOC图标但实际上是EXE程序文件,运行服务端程序后，任务管理器里看不到任何灰鸽子的异常进程,电脑根本没有打开IE浏览器，但在冰刃下红色显示隐藏的IE进程,Windows自带的服务

31、管理器里也查不到任何灰鸽子的服务,但灰鸽子的服务在冰刃下以红色显示，原形毕露。上面一个为系统正常进程，下面一个为灰鸽子的隐藏进程,即使设置了显示隐藏文件和系统文件，但在资源管理器下根本看不到灰鸽子的相关隐藏文件,系统文件夹下灰鸽子伪装过的隐藏文件在冰刃下原形毕露。灰鸽子文件是在自己伪装文件名的基础上加_hook等，可据此查找并删除。,灰鸽子客户端，即控制端界面,灰鸽子的危害,远程监视远程控制远程静默打开摄像头，可录像键盘记录，窃取账号/密码上传下载文件其它危害操作,手工查杀病毒方法：,找出并结束病毒/木马进程。对于一些顽固进程可用冰刃等清除。有些病毒/木马进程有保护进程，需要将该

32、进程和保护进程同时结束，也可用冰刃结束。删除病毒/木马程序文件。禁用，最好删除病毒/木马程序对应的服务。删除病毒/木马程序的自启动项。删除残余文件。,冰刃的优点,能使隐藏的进程、服务、文件等原形毕露结束进程、删除文件的能力较强在注册表被禁用的情况下可对注册表进行编辑，修复注册表使得可以利用REGEDIT打开注册表编辑器若病毒木马程序禁止了冰刃的运行，只需对冰刃ICESWORD.EXE文件主名进行修改即可运行。,二、OS 安全配置,目前服务器常用的操作系统有三类： Unix Linux Windows NT/2000/XP/2003/VISTA/2008/Win 7。这些操作系统

33、都是符合C2级安全级别的操作系统。但是都存在不少漏洞，如果对这些漏洞不了解，不采取相应的措施，就会使操作系统完全暴露给入侵者。,(一) 初级篇,安全配置方案初级篇主要介绍常规的操作系统安全配置，包括十二条基本配置原则：物理安全、停止Guest帐号、限制用户数量创建多个管理员帐号、管理员帐号改名陷阱帐号、更改默认权限、设置安全密码屏幕保护密码、使用NTFS分区运行防毒软件、确保备份盘安全。,查看系统账户1：控制面板-用户账户（或control userpasswords命令），显示用户数量少,查看系统账户2：命令control userpasswords2,查看系统账户3：我的电脑右键

34、-属性，即计算机管理，显示账户最全,(二) 中级篇,安全配置方案中级篇主要介绍操作系统的安全策略配置，包括十条基本配置原则：操作系统安全策略、关闭不必要的服务关闭不必要的端口、开启审核策略开启密码策略、开启帐户策略、备份敏感文件不显示上次登陆名、禁止建立空连接和下载最新的补丁,关闭139端口的方法:,“网络连接”“属性”“TCP/IP”“属性”“选择WINS设置、禁用TCP/IP的NETBLOS”选择之后便关闭了139端口了关闭445端口的方法： (1)运行注册表编辑程序(regedit) (2)HKEY_LOCAL_MACHINEsystemcurrentcontrolsetser

35、vicesNetBTparameters或查找 parameters (3)在编辑窗口的右边空白处点击鼠标右键，出现的“新建”菜单中选择“DWORD值”将新建的DWORD参数名为“SMBDDeviceEnable”数值为缺省的“0” (4)重新启动计算机 (5)运行netstat -a 此时发现445端口不再listening,关闭默认共享和禁止空连接,关闭默认共享C$、D$、E$ 禁用server服务或者：卸载“文件和打印机共享”法禁止建立空连接通过修改注册表来禁止建立空连接： HKEY_Local_MachineSystemCurrentControlSetControlLSA-R

36、estrictAnonymous 的值改成”1”即可,(三) 高级篇,高级篇介绍操作系统安全信息通信配置，包括十四条配置原则：关闭DirectDraw、关闭默认共享禁用Dump File、文件加密系统加密Temp文件夹、锁住注册表、关机时清除文件禁止软盘光盘启动、使用智能卡、使用IPSec 禁止判断主机类型、抵抗DDOS 禁止Guest访问日志、数据恢复软件,三、网络防火墙的正确使用,要仔细阅读防火墙的使用说明，并应该正确配置和使用。可能需要修改默认的设置选项。保安防火墙保安检查人员进出防火墙检测网络应用程序(进程)EXE文件试图访问网络保安检查进出人员的行李防火墙检测EXE文件

37、加载的DLL动态链接库文件试图访问网络模块检查保安检查窗户防火墙检查端口打开窗户等待别人来访，如教秘传入连接，自己电脑打开端口等待网络上其它电脑主动发起的连接打开窗户去访问别人，如学生传出连接，自己电脑去连接网络上其它电脑已经打开且在等待连接的端口防火墙可设置自己电脑允许/禁止通过哪个(些)端口访问哪台(些)目标计算机，以及它们的那(些)端口。防火墙也可设置网络上的那台(些)计算机，以及通过它们的哪个(些)端口来访问自己电脑，以及自己电脑的那个(些)端口。,第7章无线安全技术,无线技术：WLAN或者WIFI。无线AP或无线路由器的作用脱离网线束缚，随地上网可以实现共享上网可能

38、存在的隐患自己的无线网络信号可能被人盗用即被蹭网别人可能利用无线网络对自己计算机进行攻击、入侵自己电脑通过无线网络传输的数据可能被人嗅探窃听，账号/密码可能被窃取,路由器共享上网,路由器的WAN接口接宽带线路，只使用ISP分配的一个外部IP,路由器的LAN接口使用内部IP，如192.168.0.1,内网,外网,因特网,攻击者,内网的多台计算机可以使用内部IP，如192.168.0.2-254,防火墙,无线网络安全防范,1. 修改进入无线路由器管理页面的出厂默认的管理员账号和密码。 2. 修改无线路由器的 LAN 默认地址(默认192.168.0/1.1)。 3. 关闭DHCP，LAN内

39、电脑手动分配IP。 4.设置IPMAC地址绑定，即使关闭DHCP也可为电脑分配固定的IP地址，且可防止内网电脑擅自修改IP。 5. 设置、启用MAC地址过滤，阻止非法MAC地址访问无线网络。 6. 隐藏SSID。 7. 设置无线加密传输。 WEP加密可靠性低，容易被BT3/BT4等软件破解。尽量启用WPA2加密，极难被破解。,登录界面,路由器的LAN IP已经修改，端口也由默认的80改为8008,进入路由器设置页面所需的账号密码已由默认的admin/admin修改成自己的账号密码,进入路由器后的初始页面,网络参数之LAN设置：LAN内网网卡IP已由默认的192.168.0/1.1修改为192

40、.168.X.Y(X和Y为1-254间的任意值)，甚至修改为10.X.Y.Z，使得他人不易猜测,网络参数之MAC地址克隆：将路由器外网WAN网卡的MAC地址由出厂默认值修改为其它值以突破ISP对多台电脑共享上网的封锁,SSID作为该无线路由器区别于其它无线路由器的身份证别标志，已由默认的TP-Link改为自己命名的名字。且设置为不允许广播，以免被他人看到,开启安全设置，设置无线数据加密传输，防止被蹭网、窃听/嗅探。WEP加密强度低易被破解，尽量选后面的加密方式,网络参数之MAC地址过滤：启用无线路由器的MAC地址过滤功能并将自己所有无线设备的MAC地址加入到允许访问本无线路由器的列表中，禁止

41、他人的无线设备访问此无线路由器,需经常查看当前已无线连接到此无线路由器的无线设备的MAC地址,检查其中有无非自己设备的MAC地址。若有则说明被蹭网盗用,启用DHCP服务器使得路由器可为内网计算机自动分配IP地址,尽量减少IP地址池可分配IP数量，够自己使用即可,可查看当前已为其自动分配IP地址的客户端设备的 MAC地址、IP地址、计算机名等,即使内网计算机设置为(从路由器)自动获取IP，但路由器根据内网电脑的MAC地址每次总是为其分配固定、相同的IP。,路由器下的内网电脑可主动访问外网，但不能被外网电脑所访问。,为使外网电脑能访问到内网电脑，需进行端口映射或转发。该款路由器只能设置服务端口，

42、内网IP，这时外部端口和内部端口只能取相同值。,开启路由器的UPnP功能后，当内网电脑使用支持UPnP功能的网络软件(如迅雷等bt下载软件)时，路由器自动进行端口映射让外网计算机可以访问到内网电脑，使得内网电脑P2P下载网速大大加快,下载快，看视频不卡,安全设置(防火墙设置)总页面,利用IP地址过滤设置规则，可设置时间段是否允许或禁止内网电脑访问内网或外网，如上班时间只能访问内网，下班时间可访问内外网，再如允许或禁止内网电脑访问FTP服务器等。,利用域名地址过滤设置规则，可设置时间段是否允许或禁止内网电脑访问特定网站，如上班时间不能访问股票站点、淘宝站点等,利用MAC地址过滤设置规则，可设置内

43、网电脑是否允许其访问外网因特网，如领导电脑可以访问外网，而普通员工只能访问内网,禁止外网电脑ping路由器的外部IP，防止他人探测路由器是否在线,禁止内网电脑ping 外网电脑,利用IP带宽控制功能可为内网电脑设置带宽以限速，避免因某些内网电脑因下载文件占用大量带宽而造成其它内网电脑网速极慢,利用静态ARP绑定设置，将内网电脑的MAC地址绑定，则该内网电脑只能使用绑定的IP而不能使用其它IP，有利于对其进行上网权限设置和控制。,通过ARP映射表可查看当前连接到无线路由器的所有内网电脑(包括有线连接和无线连接)的IP及其MAC地址。,利用无线路由器内置的动态DNS,可自动将自己申请的免费动态域名

44、和路由器当前外部IP进行绑定,只需ping相对固定的免费域名即可找到该路由器的当前外部IP而不必去查询记忆路由器当前外部IP,一定要修改出厂默认的系统管理员的用户名和密码admin/admin，否则前功尽弃！,最好设置路由器只能从内网电脑进入路由器设置页面对其进行管理，而不能从外网进行管理。若需开启外网管理功能，则最好修改默认端口80为其它端口。若可能且指定外网管理电脑之IP。,利用流量统计功能可查看内网各电脑的流量和流速，确定哪些内网电脑占用大量外网宽带的带宽,无线路由器功能强大，方便实用,以上详细介绍了宽带路由器的各种功能设置，需要在实际使用过程中了解、熟悉并熟练掌握。,本课程总结,介绍了网络安全的基本知识、基本原理。介绍了网络攻击和防御技术的基本知识和基本方法，重点在于网络防御。万里长征第一步，任重而道远。继续学习，永无止境。祝大家今后上网尽可能一帆风顺！期末考试顺利！感谢大家的支持和配合！,

展开阅读全文