电子科技大学 _网络安全技术.ppt

资源描述

《电子科技大学 _网络安全技术.ppt》由会员分享，可在线阅读，更多相关《电子科技大学 _网络安全技术.ppt（145页珍藏版）》请在三一文库上搜索。

1、信息安全概论,第三部分网络安全技术,国家示范软件学院,主讲：赵洋,E-mail：,2019/9/19,主讲：赵洋课程：信息安全概论,2,内容提要,典型的安全攻击,2019/9/19,主讲：赵洋课程：信息安全概论,4,引言,INTERNET的美妙之处在于你和每个人都能互相连接 INTERNET的可怕之处在于每个人都能和你互相连接,2019/9/19,主讲：赵洋课程：信息安全概论,5,一、社会工程学攻击,社会工程学攻击就是利用人们的心理特征，骗取用户的信任，获取机密信息、系统设置等等不公开资料，为黑客攻击和病毒感染创造有利条件。典型的攻击方式电话请求密码伪造

2、E-mail 钓鱼网站,2019/9/19,主讲：赵洋课程：信息安全概论,6,二、物理攻击,物理攻击是通过物理途径实施的攻击行为入侵者利用管理缺陷或人们的疏忽大意，乘虚而入，侵入目标主机，或企图登录系统，或偷窃重要资源进行研究分析。物理攻击往往来源于内部能够接触到物理设备的用户，因此保护重要的设备不被非授权使用是防范物理攻击的关键。,2019/9/19,主讲：赵洋课程：信息安全概论,7,案例得到管理员密码,用户登录以后，所有的用户信息都存储在系统的一个进程中，这个进程是：“winlogon.exe”，可以利用程序将当前登录用户的密码解码出来，如图所示。,2019/9/19,主讲：

3、赵洋课程：信息安全概论,8,案例得到管理员密码,使用FindPass等工具可以对该进程进行解码，然后将当前用户的密码显示出来。将FindPass.exe拷贝到C盘根目录，执行该程序，将得到当前用户得登录名，如图所示。,2019/9/19,主讲：赵洋课程：信息安全概论,9,三、暴力攻击,暴力攻击的一个具体例子是，一个黑客试图使用计算机和信息去破解一个密码。一个黑客需要破解段单一的被用非对称密钥加密的信息，为了破解这种算法，一个黑客需要求助于非常精密复杂的方法，它使用120个工作站，两个超级计算机利用从三个主要的研究中心获得的信息，即使拥有这种配备，它也将花掉八天的时间去破解加密算法，

4、实际上破解加密过程八天已是非常短暂的时间了。,2019/9/19,主讲：赵洋课程：信息安全概论,10,字典文件,一次字典攻击能否成功，很大因素上决定与字典文件。一个好的字典文件可以高效快速的得到系统的密码。攻击不同的公司、不通地域的计算机，可以根据公司管理员的姓氏以及家人的生日，可以作为字典文件的一部分，公司以及部门的简称一般也可以作为字典文件的一部分，这样可以大大的提高破解效率。一个字典文件本身就是一个标准的文本文件，其中的每一行就代表一个可能的密码。目前有很多工具软件专门来创建字典文件，图是一个简单的字典文件。,2019/9/19,主讲：赵洋课程：信息安全概论,11,暴力破解操

5、作系统密码,字典文件为暴力破解提供了一条捷径，程序首先通过扫描得到系统的用户，然后利用字典中每一个密码来登录系统，看是否成功，如果成功则将密码显示案例暴力破解操作系统密码比如使用GetNTUser依然可以将管理员密码破解出来，如图所示。,2019/9/19,主讲：赵洋课程：信息安全概论,12,暴力破解邮箱密码,邮箱的密码一般需要设置到八位以上，否则七位以下的密码容易被破解。尤其七位全部是数字，更容易被破解。案例电子邮箱暴力破解破解电子邮箱密码，一个比较著名的工具软件是：黑雨POP3邮箱密码暴力破解器，比较稳定的版本是2.3.1，主界面如图所示。,2019/9/19,主讲：

6、赵洋课程：信息安全概论,13,暴力破解软件密码,许多软件都具有加密的功能，比如Office文档、Winzip文档和Winrar文档等等。这些文档密码可以有效的防止文档被他人使用和阅读。但是如果密码位数不够长的话，同样容易被破解。案例 Office文档暴力破解,2019/9/19,主讲：赵洋课程：信息安全概论,14,修改权限密码,在对话框中选择选项卡“安全性”，在打开权限密码和修改权限密码的两个文本框中都输入“999”，如图所示。,2019/9/19,主讲：赵洋课程：信息安全概论,15,输入密码,保存并关闭该文档，然后再打开，就需要输入密码了，如图所示。,2019/9/19,主

7、讲：赵洋课程：信息安全概论,16,破解Word文档密码,该密码是三位的，使用工具软件，Advanced Office XP Password Recovery可以快速破解Word文档密码，主界面如图所示。,2019/9/19,主讲：赵洋课程：信息安全概论,17,破解Word文档密码,点击工具栏按钮“Open File”，打开刚才建立的Word文档，程序打开成功后会在Log Window中显示成功打开的消息，如图所示。,2019/9/19,主讲：赵洋课程：信息安全概论,18,破解Word文档密码,设置密码长度最短是一位，最长是三位，点击工具栏开始的图标，开始破解密码，大约两秒钟后

8、，密码被破解了，如图所示。,2019/9/19,主讲：赵洋课程：信息安全概论,19,什么是好的密码？,避免使用字典词句，专有名词或外国语的词句密码破解工具一般是在处理大量由字母和数字组合体直到他匹配到一个密码，这往往是很有效，因此应该避免使用传统的词句作密码。避免使用个人信息通过社会工程学，黑客容易获取预定目标的个人信息。因此不推荐密码中含有此类信息。也就是说密码里不应该包含任何有关于用户的名字，呢称或家庭成员或宠物的名字。而且，密码也不应该含有任何容易被认出的数字，像电话号码、地址或者其他的一些可以从你的邮件上猜测出的信息，如邮政编码。长度，广度和深度实例： Helloword

9、，19831205，1356688934，zhaoyang，!gowyqsrw,2019/9/19,主讲：赵洋课程：信息安全概论,20,四、系统漏洞攻击,系统漏洞又称安全缺陷，即某个程序(包括操作系统)在设计时未考虑周全，当程序遇到一个看似合理，但实际无法处理的问题时，引发的不可预见的错误。漏洞的产生大致有三个原因，具体如下所述：编程人员的人为因素，在程序编写过程，为实现不可告人的目的，在程序代码的隐蔽处保留后门。受编程人员的能力、经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升。由于系统开发环境原因，使编程人员无法弥补系统环境中的漏

10、洞，从而使问题通过软件表现。,2019/9/19,主讲：赵洋课程：信息安全概论,21,缓冲区溢出攻击,目前最流行的一种攻击技术就是缓冲区溢出攻击。当目标操作系统收到了超过了它的最大能接收的信息量的时候，将发生缓冲区溢出。这些多余的数据将使程序的缓冲区溢出，然后覆盖了实际的程序数据，缓冲区溢出使目标系统的程序被修改，经过这种修改的结果使在系统上产生一个后门。这项攻击对技术要求比较高，但是攻击的过程却非常简单。缓冲区溢出原理很简单，比如程序：,2019/9/19,主讲：赵洋课程：信息安全概论,22,缓冲区溢出攻击,void function(char * szPara1) char bu

11、ff16; strcpy(buffer, szPara1); 程序中利用strcpy函数将szPara1中的内容拷贝到buff中，只要szPara1的长度大于16，就会造成缓冲区溢出。存在strcpy函数这样问题的C语言函数还有：strcat()、gets()、scanf()等。,2019/9/19,主讲：赵洋课程：信息安全概论,23,利用IIS溢出进行攻击,案例利用IIS溢出入侵系统利用软件Snake IIS溢出工具可以让对方的IIS溢出，还可以捆绑执行的命令和在对方计算机上开辟端口，工具软件的主界面如图所示。,2019/9/19,主讲：赵洋课程：信息安全概论,24,五、网络监听

12、,网络监听是黑客在局域网或路由器上进行的一项黑客技术，他可以很容易地获得用户的密码和账号。网络监听原本是网络管理员使用的一个工具，主要用来监视网络的流量、状态、数据等信息。它对网络上流经自己网段的所有数据进行接收，从中发现用户的有用信息。网络监听是采用被动的方式，它不与其他主机交换信息，也不修改密码，这就使对监听者的追踪变得十分困难。,2019/9/19,主讲：赵洋课程：信息安全概论,25,共享环境下的嗅探技术,原理在以太网中是基于广播方式传送数据; 网卡置于混杂模式下可以接收所有经过的数据。工具 Sniffer pro、IRIS、netxray、ethereal tcpdump、

13、snoop、dsniff 密码监听工具 Win Snifferp、pswmonitor、swmonitor、fssniffer,2019/9/19,主讲：赵洋课程：信息安全概论,26,密码嗅探器Win Sniffer,Win Sniffer专门用来截取局域网内的密码，比如登录FTP，登录Email等的密码。,2019/9/19,主讲：赵洋课程：信息安全概论,27,设置,只要做简单的设置就可以进行密码抓取了，点击工具栏图标“Adapter”，设置网卡，这里设置为本机的物理网卡就可以。,2019/9/19,主讲：赵洋课程：信息安全概论,28,抓取密码,这样就可以抓取密码了，使用DOS命

14、令行连接远程的FTP服务。,2019/9/19,主讲：赵洋课程：信息安全概论,29,会话过程,打开Win Sniffer，看到刚才的会话过程已经被记录下来了，显示了会话的一些基本信息。,2019/9/19,主讲：赵洋课程：信息安全概论,30,监听工具-pswmonitor,监听器pswmonitor用于监听基于WEB的邮箱密码、POP3收信密码和FTP登录密码等等，只需在一台电脑上运行，就可以监听局域网内任意一台电脑登录的用户名和密码，并将密码显示、保存，或发送到用户指定的邮箱。,2019/9/19,主讲：赵洋课程：信息安全概论,31,监听工具-pswmonitor,该工具软件功能

15、比较强大，可以监听的一个网段所有的用户名和密码，而且还可以指定发送的邮箱。,2019/9/19,主讲：赵洋课程：信息安全概论,32,交换环境下的嗅探技术,利用arp欺骗 arpspoof，fragroute，dsniff,恶意代码与病毒,2019/9/19,主讲：赵洋课程：信息安全概论,34,恶意代码概述,恶意代码（Malicious code）或者叫恶意软件Malware（Malicious Software）具有如下共同特征：恶意的目的本身是程序通过执行发生作用,2019/9/19,主讲：赵洋课程：信息安全概论,35,研究恶意代码的必要性,在Internet安

16、全事件中，恶意代码造成的经济损失占有最大的比例。恶意代码主要包括计算机病毒（Virus）、蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等等。与此同时，恶意代码成为信息战、网络战的重要手段。日益严重的恶意代码问题，不仅使企业及用户蒙受了巨大经济损失，而且使国家的安全面临着严重威胁。恶意代码攻击成为信息战、网络战最重要的入侵手段之一。一个典型的例子是在电影独立日中，美国空军对外星飞船进行核轰炸没有效果，最后给敌人飞船系统注入恶意代码，使敌人飞船的保护层失效，从而拯救了地球，从中可以看出恶意代码研究的重要性。,2019/9/

17、19,主讲：赵洋课程：信息安全概论,36,恶意代码的发展史,恶意代码经过20多年的发展，破坏性、种类和感染性都得到增强。随着计算机的网络化程度逐步提高，网络传播的恶意代码对人们日常生活影响越来越大。 1988 年11 月泛滥的Morris蠕虫，顷刻之间使得6000 多台计算机（占当时Internet 上计算机总数的10%多）瘫痪，造成严重的后果，并因此引起世界范围内关注。 1998 年CIH病毒造成数十万台计算机受到破坏。1999 年Happy 99、Melissa 病毒大爆发，Melissa 病毒通过E-mail 附件快速传播而使E-mail 服务器和网络负载过重，它还将敏感的文档在用户

18、不知情的情况下按地址簿中的地址发出。 2000 年5 月爆发的“爱虫”病毒及其以后出现的50 多个变种病毒，是近年来让计算机信息界付出极大代价的病毒，仅一年时间共感染了4000 多万台计算机，造成大约87 亿美元的经济损失。,2019/9/19,主讲：赵洋课程：信息安全概论,37,恶意代码的发展史,2001 年，国信安办与公安部共同主办了我国首次计算机病毒疫情网上调查工作。结果感染过计算机病毒的用户高达73，其中，感染三次以上的用户又占59多，网络安全存在大量隐患。 2001 年8月，“红色代码”蠕虫利用微软Web 服务器IIS 4.0 或5.0 中Index服务的安全漏洞，攻破目标机器，

19、并通过自动扫描方式传播蠕虫，在互联网上大规模泛滥。 2003 年，SLammer 蠕虫在10 分钟内导致互联网90脆弱主机受到感染。同年8月，“冲击波”蠕虫爆发，8天内导致全球电脑用户损失高达20亿美元之多。 2004年到2006年，振荡波蠕虫、爱情后门、波特后门等恶意代码利用电子邮件和系统漏洞对网络主机进行疯狂传播，给国家和社会造成了巨大的经济损失。目前，恶意代码问题成为信息安全需要解决的，迫在眉睫的、刻不容缓的安全问题。,2019/9/19,主讲：赵洋课程：信息安全概论,38,恶意代码的发展,2019/9/19,主讲：赵洋课程：信息安全概论,39,恶意代码的相关定义,2019/9

20、/19,主讲：赵洋课程：信息安全概论,40,Internet,染毒电脑,未修补漏洞的系统,已修补漏洞的系统,被感染,不被感染,不被感染,被感染,被感染,不被感染,不被感染,网络病毒的传播方式,2019/9/19,主讲：赵洋课程：信息安全概论,41,CIH病毒的签名,CIH作者陈盈豪,CIH病毒,2019/9/19,主讲：赵洋课程：信息安全概论,42,恐怖的图片和音乐,女鬼病毒,2019/9/19,主讲：赵洋课程：信息安全概论,43,巨大的黑白螺旋占据了屏幕位置，使计算机使用者无法进行任何操作！,白雪公主病毒,2019/9/19,主讲：赵洋课程：信息安全概论,44,熊猫烧香,

21、2019/9/19,主讲：赵洋课程：信息安全概论,45,七、网络扫描,扫描的目的就是利用各种手段对目标IP地址或地址段的主机进行探测，掌握主机的相关信息，以及查找漏洞。扫描的类型活动主机探测；端口扫描；指定漏洞扫描；综合扫描。,2019/9/19,主讲：赵洋课程：信息安全概论,46,扫描的方式,手动扫描 Ping、Tracert、pathing、nslookup、Host 使用工具软件 SSS （Shadow Security Scanner）、X-Scan、 PortScan、Shed,2019/9/19,主讲：赵洋课程：信息安全概论,47,扫描策略,慢速扫描和乱序扫描

22、。慢速扫描：对非连续端口进行扫描，并且源地址不一致、时间间隔长没有规律的扫描。乱序扫描：对连续的端口进行扫描，源地址一致，时间间隔短的扫描。被动式扫描和主动式扫描被动式扫描是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查。主动式扫描对系统进行模拟攻击，可能会对系统造成破坏。,2019/9/19,主讲：赵洋课程：信息安全概论,48,端口扫描PortScan,在Scan文本框中输入IP地址，点击按钮“START”，开始扫描。,2019/9/19,主讲：赵洋课程：信息安全概论,49,共享扫描Shed,该软件可以扫描一个IP地址段的共享信息。,20

23、19/9/19,主讲：赵洋课程：信息安全概论,50,漏洞扫描X-Scan-v2.3,该软件的系统要求为：Windows 9x/NT4/2000。该软件采用多线程方式对指定IP地址段(（或单机）进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式扫描内容包括：远程操作系统类型及版本标准端口状态及端口Banner信息 SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞 SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER NT-SERVER弱口令用户，NT服务器NETBIOS信息注册表信息等。,2019/9/19,主讲：赵

24、洋课程：信息安全概论,51,X-Scan-v2.3主界面,扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。,2019/9/19,主讲：赵洋课程：信息安全概论,52,X-Scan-v2.3扫描参数,可以利用该软件对系统存在的一些漏洞进行扫描，选择菜单栏设置下的菜单项“扫描参数”。,2019/9/19,主讲：赵洋课程：信息安全概论,53,设定扫描对象,确定要扫描主机的IP地址或者IP地址段，选择菜单栏设置下的菜单项“扫描参数”，扫描一台主机。,2019/9/19,主讲：赵洋课程：信息安全概论,54,八、漏洞扫描,设置完毕后，进行漏洞扫描，点击工具栏上的图标“

25、开始”，开始对目标主机进行扫描。,2019/9/19,主讲：赵洋课程：信息安全概论,55,综合扫描Shadow Security Scanner,SSS是俄罗斯的一套非常专业的安全漏洞扫描软件，主要功能包括：扫描远程主机开放端口扫描操作系统识别主机漏洞分析,2019/9/19,主讲：赵洋课程：信息安全概论,56,拒绝服务攻击,定义 DoS （Denial of Service ）:拒绝服务攻击是用来显著降低系统提供服务的质量或可用性的一种有目的行为; DDoS （Distributed Denial of service）:分布式拒绝服务攻击使用了分布式客户服务器功能，加密技术

26、及其它类的功能，它能被用于控制任意数量的远程机器，以产生随机匿名的拒绝服务攻击和远程访问。攻击的原理：耗尽被攻击主机的某类资源：网络带宽、CUP，内存等。,2019/9/19,主讲：赵洋课程：信息安全概论,57,DDoS攻击示意图,攻击者,中间人,代理,目标,洪流,2019/9/19,主讲：赵洋课程：信息安全概论,58,DoS攻击举例,Syn Flood Icmp Smurf（directed broadcast） Udp Flood Icmp Ping Flood TARGA3(堆栈突破) 操作系统级别的拒绝服务（SMBDie）应用级别的拒绝服务（pcanywhere）,2019

27、/9/19,主讲：赵洋课程：信息安全概论,59,Syn Flood,SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。,2019/9/19,主讲：赵洋课程：信息安全概论,60,Syn Flood原理示意图正常的TCP连接,发起方,应答方,正常的三次握手建立通讯的过程,2019/9/19,主讲：赵洋课程：信息安全概论,61,Syn Flood原理图攻击过程,攻击者,受害者,伪造地址进行SYN请求,不能建立正常的连接,2

28、019/9/19,主讲：赵洋课程：信息安全概论,62,Icmp Smurf,Smurf攻击是以最初发动这种攻击的程序名Smurf来命名。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。攻击的过程是这样的：Attacker向一个具有大量主机和因特网连接的网络的广播地址发送一个欺骗性Ping分组（echo 请求），这个目标网络被称为反弹站点，而欺骗性Ping分组的源地址就是攻击者希望攻击的系统。这种攻击的前提是，路由器接收到这个发送给IP广播地址（如206.121.73.255）的分组后，会认为这就是广播分组，并且把以太网广播

29、地址FF:FF:FF:FF:FF:FF:映射过来。这样路由器在因特网上接收到该分组，会对本地网段中的所有主机进行广播。,2019/9/19,主讲：赵洋课程：信息安全概论,63,Icmp Smurf示意图,2019/9/19,主讲：赵洋课程：信息安全概论,64,Ping Flood,Ping是通过发送ICMP报文(类型8代码0)探寻网络主机是否存在的一个工具。部分操作系统（例如win95），不能很好处理过大的Ping包，导致出现了Ping to Death的攻击方式（用大Ping包搞垮对方或者塞满网络），由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在

30、ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。如果对方的操作系统已经可以防御堆栈崩溃，也占去许多带宽。,2019/9/19,主讲：赵洋课程：信息安全概论,65,Ping Flood,攻击者,被攻击者,重组碎片,Internet,buffer 65535 bytes,2019/9/19,主讲：赵洋课程：信息安全概论,66,如何防范安全攻击,核心是提高安全意识不要随意打开来历不明

31、的电子邮件及文件，不要随便运行不太了解的人给你的程序，比如“特洛伊”类黑客程序就需要骗你运行。尽量避免从Internet下载不知名的软件、游戏程序。即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。密码设置尽可能使用字母数字混排，单纯的英文或者数字很容易穷举。将常用的密码设置不同，防止被人查出一个，连带到重要密码。及时下载安装系统补丁程序。不随便运行黑客程序，不少这类程序运行时会发出你的个人信息。使用防病毒和防护墙等安全软件。,防火墙技术,2019/9/19,主讲：赵洋课程：信息安全概论,68,防火墙的定义,防火墙的本义原是指古代人们房屋之

32、间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。,2019/9/19,主讲：赵洋课程：信息安全概论,69,防火墙的功能,根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户防止入侵者接近网络防御设施限制内部用户访问特殊站点由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等种类相对集中的网络。Internet上的Web网站中，超过三分之一的站点都是有某种防火墙保护的，任何关

33、键性的服务器，都应该放在防火墙之后。,2019/9/19,主讲：赵洋课程：信息安全概论,70,防火墙的局限性,没有万能的网络安全技术，防火墙也不例外。防火墙有以下三方面的局限：防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。,2019/9/19,主讲：赵洋课程：信息安全概论,71,防火墙的分类,常见的放火墙有三种类型：分组过滤（

34、Packet Filtering）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。状态检测（Status Detection）：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判

35、断，然后决定是否允许该数据包通过。,2019/9/19,主讲：赵洋课程：信息安全概论,72,分组过滤防火墙,数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃。,2019/9/19,主讲：赵洋课程：信息安全概论,73,分组过滤规则集,一个可靠的分组过滤防火墙依赖于规则集，表中列出了几条典型的规则集。第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机10.1.1.1的任何端口，基于TCP协议的数据包允许

36、通过。第三条规则：任何主机的20端口访问主机10.1.1.1小于1024的端口，如果基于TCP协议的数据包都禁止通过。,分组过滤,2019/9/19,主讲：赵洋课程：信息安全概论,74,分组过滤的优点,容易实现，费用少，如果被保护网络与外界之间已经有一个独立的路由器，那么只需简单地加一个分组过滤软件便可保护整个网络。分组过滤在网络层实现，不要求改动应用程序，对用户透明，用户感觉不到过滤服务器的存在，因而使用方便。,2019/9/19,主讲：赵洋课程：信息安全概论,75,分组过滤的缺点,没有或有很少的日志记录能力，因此网络管理员很难确定系统是否正在被入侵或已经被入侵了。规则表随着应

37、用的深化会很快变得很大而且复杂，这样不仅规则难以测试，而且规则结构出现漏洞的可能性也会增加。这种防火墙的最大弱点是依靠一个单一的部件来保护系统，一旦部件出现问题，会使网络的大门敞开，而用户可能还不知道。另一个重要的局限是它不能分辨好的和坏的用户，只能区分好的数据包和坏的数据包。包过滤只能工作在有黑白分明安全策略的网络环境中。,2019/9/19,主讲：赵洋课程：信息安全概论,76,应用代理防火墙,应用代理（Application Proxy）是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务

38、器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层，因此又被称为“应用网关”。,2019/9/19,主讲：赵洋课程：信息安全概论,77,常见防火墙系统模型,常见防火墙系统一般按照四种模型构建：筛选路由器模型、单宿主堡垒主机（屏蔽主机防火墙）模型、双宿主堡垒主机模型（屏蔽防火墙系统模型）和屏蔽子网模型。,2019/9/19,主讲：赵洋课程：信息安全概论,78,筛选路由器模型,筛选路由器模型是网络的第一道防线，功能是实施包过滤。创建相应的过滤策略时对工作人员的TCP/IP的知识有相当的要求，如果筛选路由器被黑客攻破那么内部网络将变的

39、十分的危险。该防火墙不能够隐藏你的内部网络的信息、不具备监视和日志记录功能。典型的筛选路由器模型如图所示。,2019/9/19,主讲：赵洋课程：信息安全概论,79,单宿主堡垒主机模型,单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。单宿主堡垒主机的模型如图所示。,2019/9/19,主讲：赵洋课程：信息安全概论,80,双宿主堡垒主机模型,双宿主堡垒主机模型（屏蔽防火墙系统）可以构造更加安全的防

40、火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。双宿主堡垒主机模型如图所示。,2019/9/19,主讲：赵洋课程：信息安全概论,81,屏蔽子网模型,屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了“中立区”(DMZ，Demilitarized Zone)网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组，以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备，模型如图所示。,2019/9/1

41、9,主讲：赵洋课程：信息安全概论,82,创建防火墙的步骤,成功的创建一个防火墙系统一般需要六步：第一步：制定安全策略；第二步：搭建安全体系结构；第三步：制定规则次序；第四步：落实规则集；第五步：注意更换控制；第六步：做好审计工作。,入侵检测技术,2019/9/19,主讲：赵洋课程：信息安全概论,84,入侵检测系统的概念,入侵检测系统IDS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。,2019/9/19,主讲：赵洋课程：信息安全概论,85,入侵检测系统的类型和性能

42、比较,根据入侵检测的信息来源不同，可以将入侵检测系统分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件：来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。,2019/9/19,主讲：赵洋课程：信息安全概论,86,入侵检测的方法,常用的方法

43、有三种静态配置分析异常性检测方法基于行为的检测方法,2019/9/19,主讲：赵洋课程：信息安全概论,87,静态配置分析,静态配置分析通过检查系统的配置，诸如系统文件的内容，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（比如，系统配置信息）。采用静态分析方法主要有以下几方面的原因：入侵者对系统攻击时可能会留下痕迹，可通过检查系统的状态检测出来。,2019/9/19,主讲：赵洋课程：信息安全概论,88,异常性检测方法,异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下，就可以检测入侵者的方法，同时它也是检测冒充合法用户的入侵者的有效方法。但是

44、。在许多环境中，为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。因为并不是所有入侵者的行为都能够产生明显的异常性，所以在入侵检测系统中，仅使用异常性检测技术不可能检测出所有的入侵行为。而且，有经验的入侵者还可以通过缓慢地改变他的行为，来改变入侵检测系统中的用户正常行为模式，使其入侵行为逐步变为合法，这样就可以避开使用异常性检测技术的入侵检测系统的检测。,2019/9/19,主讲：赵洋课程：信息安全概论,89,基于行为的检测方法,基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安

45、全规则的行为，来检测系统中的入侵活动。基于入侵行为的入侵检测技术的优势：如果检测器的入侵特征模式库中包含一个已知入侵行为的特征模式，就可以保证系统在受到这种入侵行为攻击时能够把它检测出来。但是，目前主要是从已知的入侵行为以及已知的系统缺陷来提取入侵行为的特征模式，加入到检测器入侵行为特征模式库中，来避免系统以后再遭受同样的入侵攻击。,2019/9/19,主讲：赵洋课程：信息安全概论,90,入侵检测系统面临的挑战,一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。误报是入侵检测系统最头疼的问题，攻击者可以

46、而且往往是利用包的结构伪造无威胁的“正常”假警报，而诱导没有警觉性的管理员人把入侵检测系统关掉。,2019/9/19,主讲：赵洋课程：信息安全概论,91,案例9-4 检测与端口关联的应用程序,网络入侵者都会连接到主机的某个非法端口，通过检查出与端口关联应用程序，可以进行入侵检测，这种方法属于静态配置分析。利用工具软件fport.exe可以检查与每一端口关联的应用程序，执行程序如图5-27所示。,2019/9/19,主讲：赵洋课程：信息安全概论,92,入侵检测的步骤,入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避免攻击的发生，或减少攻击造成的危害。由此也划分了

47、入侵检测的三个基本步骤：入侵检测的第一步就是信息收集，收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。数据分析是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能。数据分析发现入侵迹象后，入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。 1、将分析结果记录在日志文件中，并产生相应的报告。 2、触发警报：如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件等等。 3、修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。,2019/9/19,主讲：赵洋

48、课程：信息安全概论,93,案例入侵检测工具：BlackICE,BlackICE是一个小型的入侵检测工具，在计算机上安全完毕后，会在操作系统的状态栏显示一个图标，当有异常网络情况的时候，图标就会跳动。主界面如图5-31所示。,2019/9/19,主讲：赵洋课程：信息安全概论,94,案例入侵检测工具：BlackICE,可以查看主机入侵的信息，选择属性页“Intruders”，如图5-32所示。,2019/9/19,主讲：赵洋课程：信息安全概论,95,入侵检测工具：冰之眼,“冰之眼”网络入侵检测系统是NSFOCUS系列安全软件中一款专门针对网络遭受黑客攻击行为而研制的网络安全产品，该产品可最大限度地、全天候地监控企业级的安全。由于用户自身网络系统的缺陷、网络软件的漏洞以及网络管理员的疏忽等等，都可能使网络入侵者有机可乘，而系统遭受了攻击，就可能造成重要的数据、资料丢失，关键的服务器丢失控制权等。,2019/9/19,主讲：赵洋课程：信息安全概论,96,入侵检测工具：冰之眼,使用“冰之眼”，系统管理人员可以自动地监控网络的数据流、主机的日志等，对可疑的事件给予检测和响应,在内联网和外联网的主机和网络遭受破坏之前阻止非法的入侵行为，主界面如图所示。,系统和应用安全,Windows系统的安全架构,2019/9/19,98,Windows NT

展开阅读全文