搜索
网络安全体系结构概述•1.安全体系的需求•2.常见的网络安全问题•3.网络攻击的手段•4.网络安全技术•5.安全方案与实施•6.安全标准及安全管理EmailWebISP门户网站E-Commerce电子交易复杂程度时间Internet变得越来越重要Internet变得越来越糟糕•网络无处不在的特性使进攻随时随地可以发起;•网络本身就蓄积了大量的攻击技巧(大概有26万个站点提供此类知识);•攻击软件层出不穷。网络安全问题日益突出混合型威胁(CodeRed,Nimda)拒绝服务攻击(Yahoo!,eBay)发送大量邮件的病毒(LoveLetter/Melissa)多变形病毒(Tequila)特洛伊木马病毒网络入侵70,00060,00050,00040,00030,00020,00010,000已知威胁的数量•开放的网络外部环境–越来越多的基于网络的应用–企业的业务要求网络连接的不间断性•来自内部的安全隐患•有限的防御措施•错误的实现、错误的安全配置•糟糕的管理和培训•黑客的攻击网络风险难以消除?网络攻击的后果•设备、系统损坏•服务不可得•财务损失•数据丢失•信息泄漏•遭受篡改的信息造成误动作•集体凝聚力下降、相互信任感受损常见网络攻击的分类•针对通讯层以下•针对OS的攻击•针对通用的服务协议•针对特定的应用程序网络安全体系结构概述•1.安全体系的需求•2.常见的网络安全问题•3.网络攻击的手段•4.网络安全技术•5.安全方案与实施•6.安全标准及安全管理常见的网络安全问题•垃圾邮件•网络扫描和拒绝服务攻击–端口扫描和缺陷扫描–DDOS、DOS•入侵和蠕虫–蠕虫:nimda、CRII–系统缺陷垃圾邮件危害•网络资源的浪费–欧洲委员会公布的一份报告,垃圾邮件消耗的网络费用每年高达100亿美元•资源盗用–利用他人的服务器进行垃圾邮件转发•威胁网络安全DOS、扫描危害•占用资源–占用大量带宽–服务器性能下降•影响系统和网络的可用性–网络瘫痪–服务器瘫痪•往往与入侵或蠕虫伴随–缺陷扫描–DDOS入侵、蠕虫造成的危害•信息安全–机密或个人隐私信息的泄漏–信息篡改–可信性的破坏•系统安全–后门的存在–资源的丧失–信息的暴露•网络安全–基础设施的瘫痪垃圾邮件的预防•垃圾邮件特点•邮件转发原理•配置Sendmail关闭转发•配置Exchange关闭转发垃圾邮件定义•定义1:垃圾邮件就是相同的信息,在互联网中被复制了无数遍,并且一直试图着强加给那些不乐意接受它们的人群。•定义2:垃圾邮件是一种最令人头疼而又让人束手无策的推销传单。•定义3:垃圾邮件是指与内容无关,而且收件人并没有明确要求接受该邮件的发送给多个收件人的信件或张贴物。也可以是发送给与信件主题不相关的新闻组或者列表服务器的同一信件的重复张贴物。–UCE(UnsolicitedCommercialEmail,不请自来的商业电子邮件)–UBE(UnsolicitedBulkEmail,不请自来的批量电子邮件)•定义4:垃圾邮件泛指未经请求而发送的电子邮件,如未经发件人请求而发送的商业广告或非法的电子邮件垃圾邮件定义垃圾邮件特点•内容:–商业广告–宗教或个别团体的宣传资料–发财之道,连锁信等•接收者–无因接受–被迫接受•发送手段–信头或其它表明身份的信息进行了伪装或篡改–通常使用第三方邮件转发来发送配置Sendmail关闭转发•Sendmail8.9以上版本–etc/mail/relay-domains(控制容许邮件转发)–/etc/mail/access•Sendmail8.8以下版本–升级Sendmail•其它版本–配置Sendmail缺省不允许转发–编辑相应的允许转发IP列表如何防止收到垃圾邮件?1)不要把您的邮件地址在INTERNET页面上到处登记;2)不要把您的邮件地址告诉您不太信任的一些人;3)不要订阅一些非正式的不键康的电子杂志,以防止被垃圾邮件收集者收集;4)不要在某些收集垃圾邮件的网页上登记您的邮件地址;5)发现收集或出售电子邮件地址的网站或消息,请告诉相应的主页提供商或主页管理员,将您删除,以避免邮件地址被他们利用,卖给许多商业及非法反动用户;6)建议您用专门的邮箱进行私人通信,而用其他邮箱订阅电子杂志。防止收到垃圾邮件扫描技术•Portscanning:找出网络中开放的服务•基于TCP/IP协议,对各种网络服务,无论是主机或者防火墙、路由器都适用•端口扫描可以确认各种配置的正确性,避免遭受不必要的攻击•用途,双刃剑–管理员可以用来确保自己系统的安全性–黑客用来探查系统的入侵点•端口扫描的技术已经非常成熟,目前有大量的商业、非商业的扫描器扫描简介•缺陷扫描–目的是发现可用的缺陷–Satan、SSCAN•服务扫描–目的是为了发现可用的服务––ftpscan–Proxyscan扫描器的重要性•扫描器能够暴露网络上潜在的脆弱性•无论扫描器被管理员利用,或者被黑客利用,都有助于加强系统的安全性–它能使得漏洞被及早发现,而漏洞迟早会被发现的•扫描器可以满足很多人的好奇心•扫描器除了能扫描端口,往往还能够–发现系统存活情况,以及哪些服务在运行–用已知的漏洞测试这些系统–对一批机器进行测试,简单的迭代过程–有进一步的功能,包括操作系统辨识、应用系统识别拒绝服务攻击简介•DoS的英文全称是DenialofService,也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看,DoS算是一种很简单但又很有效的进攻方式。它的目的就是拒绝你的服务访问,破坏组织的正常运行,最终它会使你的部分Internet连接和网络系统失效。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。拒绝服务(DenialofService)•回顾信息安全的三个主要需求:–保密性、完整性、可用性(availability)–DoS是针对可用性发起的攻击•关于DoS–技术和原理都非常简单,并且已经工具化–难以防范,有些DoS可以通过管理的手段防止•DoS的动机–受挫折,无法攻入目标系统,最后一招:DOS–强行对方重启机器–恶意的破坏、或者报复–网络恐怖主义–……DoS攻击的基本过程•我们可以看出DoS攻击的基本过程:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。DoS的危害•使得正常的服务不能提供–案例:1996年9月,一家ISP(PublicAccessNetworks)公司遭受拒绝服务达一周一上,拒绝对约6000多人和1000家公司提供Internet服务•政府网站–美国白宫的网站曾经遭受拒绝服务攻击•分布式拒绝服务–2000年2月,一批商业性质的Web站点收到了DDoS的攻击DoS的形式•粗略来看,分为三种形式–消耗有限的物理资源•网络连接•带宽资源•其他资源,如磁盘空间、进程数–合法用户可登录尝试的次数有限,攻击者可以用掉这些尝试次数–修改配置信息造成DoS•比如,修改路由器信息,造成不能访问网络;修改NT注册表,也可以关掉某些功能–物理部件的移除,或破坏DoS的技术分类•从表现形式来看–带宽消耗•用足够的资源消耗掉有限的资源•利用网络上的其他资源(恶意利用Internet共享资源),达到消耗目标系统或网络的目的–系统资源消耗,针对操作系统中有限的资源,如进程数、磁盘、CPU、内存、文件句柄,等等–程序实现上的缺陷,异常行为处理不正确,比如PingofDeath–修改(篡改)系统策略,使得它不能提供正常的服务•从攻击原理来看–通用类型的DoS攻击,这类攻击往往是与具体系统无关的,比如针对协议设计上的缺陷的攻击–系统相关的攻击,这类攻击往往与具体的实现有关–说明:最终,所有的攻击都是系统相关的,因为有些系统可以针对协议的缺陷提供一些补救措施,从而免受此类攻击DoS的技术历史•早期的Internet蠕虫病毒•消耗网络资源–非法的TCP标志,SYNFlood,等•利用系统实现上的缺陷,点对点形式–PingofDeath,IP分片重叠•分布式DoS(DDoS)攻击一些典型的DoS攻击•PingofDeath–发送异常的(长度超过IP包的最大值)•SYNFlood–快速发送多个SYN包•UDPFlood•Teardrop–IP包的分片装配•Smurf–给广播地址发送ICMPEcho包,造成网络阻塞•……PingofDeath•原理:直接利用ping包,即ICMPEcho包,有些系统在收到大量比最大包还要长的数据包,会挂起或者死机•受影响的系统:许多操作系统受影响•攻击做法–直接利用ping工具,发送超大的ping数据包•防止措施–打补丁–防火墙阻止这样的ping包防止DoS•对于网络–路由器和防火墙配置得当,可以减少受DoS攻击的危险•比如,禁止IP欺骗可以避免许多DoS攻击–入侵检测系统,检测异常行为•对于系统–升级系统内核,打上必要的补丁,特别是一些简单的DoS攻击,例如SYNFlooding–关掉不必要的服务和网络组件–如果有配额功能的话,正确地设置这些配额–监视系统的运行,避免降低到基线以下–检测系统配置信息的变化情况•保证物理安全•建立备份和恢复机制网络安全体系结构概述•1.安全体系的需求•2.常见的网络安全问题•3.网络攻击的手段•4.网络安全技术•5.安全方案与实施•6.安全标准及安全管理网络攻击的手段病毒特洛伊木马口令入侵网络欺骗邮件炸弹Sniffer(网络监听)入侵攻击伪装计算机病毒“为什么叫做病毒。首先,与医学上的”病毒“不同,它不是天然存在的,是某些人利用计算机软、硬件,编制具有特殊功能的程序。由于它与生物医学上的病毒同样有传染和破坏的特性,因此这一名词是由生物医学上的病毒概念引申而来计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机病毒定义那么究竟它是如何产生的呢?其过程可分为:程序设计--传播--潜伏--触发、运行--实行攻击。究其产生的原因不外乎以下几种:•开个玩笑,一个恶作剧。•产生于个别人的报复心理。•用于版权保护。•用于特殊目的。病毒的产生计算机病毒的特点•1、传染性这是计算机病毒的重要特征.计算机病毒进入计算机系统后,就会自动地开始寻找传染对象,并迅速传染给它,这里的对象可以是程序、磁盘或网络中的一个计算机系统。•2、隐蔽性病毒程序一般技巧性较高,它可用附加或插入的方法隐蔽在操作系统或可执行文件中,很难被发现.计算机病毒的特点•3、潜伏性病毒进入计算机后一般不会立即发作,但在此期间,只要计算机系统工作就可以传染病毒。一旦发作的条件成熟,这种潜伏性就会立即转化为破坏性。•4、破坏性这也是机算机病毒的重要特征,即降低计算机系统的工作效率,占用系统资源,其具体情况取决于入侵系统的病毒程序。这也是它的最终目的。典型病毒•CRII蠕虫–感染主机全球超过30万台–导致大量网络设备瘫痪•Nimda蠕虫病毒即尼姆达病毒,又叫概念(Concept)病毒,是一种通过网络传播的计算机病毒,它能利用多种传播途径对几乎所有Windows系统操作系统(包括Windows95/98/ME,NT和2000等)发动攻击。而且染毒的机器会自动向其他机器发动攻击和发送带毒的email,并造成网络堵塞。特征码扫描法特征码扫描法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中,在扫描时将扫描对象与特征代码库比较,如有吻合则判断为染上病毒。该技术实现简单有效,安全彻底;但查杀病毒滞后,并且庞大的特征码库会造成查毒速度下降;目前广泛应用的3种病毒防治技术虚拟执行技术该技术通过虚拟执行方法查杀病毒,可以对付加密、变形、异型及病毒生产机生产的病毒,具有如下特点:在