计算机网络安全基础

网络安全基础培训课程安氏领信2006年3月一、网络安全概述二、网络服务的安全问题三、常见黑客攻击手段四、企业网中可以选择的安全技术五、网络安全防范策略主要内容一、网络安全概述复杂程度InternetEmailWeb浏览Intranet站点电子商务电子政务电子交易时间INTERNET技术及应用的飞速发展网络发展的现状不断增加的新应用不断加入的网络互联网的广泛应用人员安全意识不足不得不面对的对手网络的攻击事件报道（1）据联邦调查局统计，美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道，世界上平均每20秒就发生一次入侵国际互联网络的计算机安全事件，三分之一的防火墙被突破。美国联邦调查局计算机犯罪组负责人吉姆•塞特尔称：给我精选10名“黑客”，组成个小组，90天内我将使美国趴下。据IDC超过50%的攻击来自内部，其次是黑客。网络的攻击事件报道（2）1996年初，法国国防部证实：法国海军参谋部计算机储备的军事机密于1995年7月被人窃走，其中包括几百艘盟军军舰的声音识别密码以及舰只航行图。美国国防部对其军用计算机网络进行安全检测后所提出的报告中指出：现用网络中，–85%的计算机可能受到侵害–15%曾有报警记录–5%曾有遭受过攻击的报告。网络的攻击事件报道（3）在海湾战争中，美国特工人员在安曼将伊拉克从德国进口的一批计算机打印设备中换上含有可控“计算机病毒”的芯片，导致伊方的计算机系统在战争初期就陷入全面瘫痪。美国已生产出第一代采用“病毒固化”技术的芯片，并开始嵌入出口的计算机产品中。一旦需要，便可遥控激活。2000年2月，Yahoo受到攻击。“黑客”所采用的攻击方法为分布式DoS攻击。2000年3月8日：山西日报国际互联网站遭到黑客数次攻击被迫关机，这是国内首例黑客攻击省级党报网站事件。2003年11月，Microsoft公司遭到来自俄罗斯的“黑客”袭击，据称造成部分源代码丢失。2003年著名的游戏公司Sierra开发的反恐精英2在未上市之前源代码被黑客从网路窃走。198019851990199520012003时间（年）高各种攻击者的综合威胁程度低对攻击者技术知识和技巧的要求黑客攻击越来越容易实现，威胁程度越来越高信息网络系统的复杂性增加脆弱性程度网络系统日益复杂，安全隐患急剧增加网络的攻击事件报道（4）网络存在的威胁操作系统本身的安全漏洞；防火墙存在安全缺陷和规则配置不合理；来自内部网用户的安全威胁;缺乏有效的手段监视、评估网络的安全性；TCP/IP协议族软件本身缺乏安全性；电子邮件病毒、Web页面中存在恶意的Java/ActiveX控件；应用服务的访问控制、安全设计存在漏洞。线路窃听。指利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。信息安全的基本特征（1）相对性–只有相对的安全，没有绝对的安全系统。–操作系统与网络管理的相对性。–安全性在系统的不同部件间可以转移（如在内部网络和外部网络之间使用堡垒主机）。信息安全的基本特征（2）时效性–新的漏洞与攻击方法不断发现（NT4.0已从SP1发展到SP6，Windows2000业发现很多漏洞，针对Outlook的病毒攻击非常普遍）配置相关性–日常管理中的不同配置会引入新的问题（安全测评只证明特定环境与特定配置下的安全）–新的系统部件会引入新的问题（新的设备的引入、防火墙配置的修改）信息安全的基本特征（3）攻击的不确定性–攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性复杂性：–信息安全是一项系统工程，需要技术的和非技术的手段，涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急反应等网络安全层次层次一：物理环境的安全性（物理层安全）层次二：操作系统的安全性（系统层安全）层次三：网络的安全性（网络层安全）层次四：应用的安全性（应用层安全）层次五：管理的安全性（管理层安全）存在安全漏洞原因网络设备种类繁多访问方式的多样化网络的不断变化用户安全专业知识的缺乏网络服务的安全问题电子邮件的安全问题UNIX平台上常用的邮件服务器sendmail常以root帐号运行，存在潜在的危险；角色欺骗：电子邮件上的地址是可以假冒的；窃听：电子邮件的题头和内容是用明文传送的，所以内容在传送过程中可能被他人偷看或修改；电子邮件炸弹：被攻击的计算机被电子邮件所淹没直到系统崩溃；针对电子邮件的病毒大量涌现。FTP文件传输的安全问题多数FTP服务器可以用anonymous用户名登录，这样存在让用户破坏系统和文件可能。上载的软件可能有破坏性，大量上载的文件会耗费机时及磁盘空间。建立匿名服务器时，应当确保用户不能访问系统的重要部分，尤其是包含系统配置信息的文件目录。注意不要让用户获得SHELL级的用户访问权限。普通文件传输协议（TFTP）支持无认证操作，应屏蔽掉。Telnet服务和登录时要输入帐号和密码，但帐号和密码是以明文方式传输的，易被监听到。SSH(SecureShell)Web浏览器和服务器难以保证安全。Web浏览器比FTP更易于传送和执行正常的程序，所以它也更易于传送和执行病毒程序。服务器端的安全问题主要来自于CGI（公共网关接口）程序，网上很多的CGI程序并不是由有经验、了解系统安全的程序员编写的，所以存在着大量的安全漏洞。JavaScript,JavaApplet,ActiveX都会带来安全问题网络管理服务及NFS的安全问题Ping、traceroute/tracert经常被用来测试网络上的计算机，以此作为攻击计算机的最初的手段。简单网络管理协议（SNMP）可以用来集中管理网络上的设备，SNMP的安全问题是别人可能控制并重新配置你的网络设备以达到危险的目的：取消数据包过滤功能、改变路径、废弃网络设备的配置文件等。NFS可以让你使用远程文件系统，不恰当的配置NFS，侵袭者可以很容易用NFS安装你的文件系统。NFS使用的是主机认证，黑客可以冒充合法的主机。黑客常见攻击手段主要内容日益增长的网络安全威胁状况常见的网络攻击方式解析–口令攻击–特洛伊木马–网络监听sniffer–扫描器–病毒技术–拒绝服务攻击(DDOS)日益增长的网络安全威胁日益增长的网络安全威胁黑客和病毒技术的统一自动，智能，普及,分布,大范围黑客文化:从个人目的到政治，社会，军事，工业等目的网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁蠕虫常见的黑客攻击方式常见网络攻击方式口令攻击特洛伊木马网络监听sniffer扫描器病毒技术拒绝服务攻击(DDOS)口令攻击口令攻击类型–字典攻击–强行攻击–组合攻击–其他攻击类型社会工程学偷窥搜索垃圾箱实施入侵（9）口令攻击工具Windows下常见的工具L0phtcrackNTSweepNTCrackPWDump2CainUnix下常见的工具CrackJohntheRipperSlurpie特洛伊木马（1）特洛伊木马–简单地说，特洛伊木马就是攻击者再次进入网络或者是系统而不被发现的隐蔽通道。特洛伊木马（2）在大多数情况下，攻击者入侵一个系统后，他可能还想在适当的时候再次进入系统。比如说，如果攻击者入侵了一个站点，将它作为一个对其他系统进行攻击的平台或者是跳板，他就会想在适当的时候登录到这个站点取回他以前存放在系统里面的工具进行新的攻击。很容易想到的方法就是在这个已经被入侵的系统中留一个特洛依木马。特洛伊木马（3）木马程序举例–QAZQAZ是一个典型的通过电子邮件传送的特洛伊木马程序。它通常隐藏在notepad.exe程序中。–木马监听代理木马监听程序在受害者系统中打开一个端口并且对所有试图与这个端口相连接的行为进行监听。当有人通过这个端口进行连接时，它要么运行一个三方程序，要么将命令发送给攻击者。–Netcat–Tini–Rootkit特洛伊木马（4）关于Rootkit–Rootkit对于UNIX系统来说是相当普遍的，NT系统的也有。和它的名字正好相反，这种工具并不能使我们获得ROOT权限，但是当一个攻击者已经获得了ROOT的身份后，它就能使攻击者在任何时候都可以以ROOT身份登录到系统。它们经常采用的方法是将自己隐藏在一些重要的文件里。–Rootkit有两个主要的类型：文件级别系统级别特洛伊木马（5）文件级别–Rootkit威力很强大，可以轻而易举地在系统中建立后门。最一般的情况就是它们首先进入系统然后修改系统的重要文件来达到隐藏自己的目的。合法的文件被木马程序替代。通常情况下，合法的程序变成了外壳程序，而其内部就是隐藏着的后门程序。下面列出的程序就是经常被木马程序利用掩护自己的UNIXRootkit。LOGINLSPSFINDWHONETSTAT特洛伊木马（6）系统级别（内核级）–对于工作在文件级的Rootkit来说，它们非常容易被检测到。而内核级Rootkit工作在一个很低的级别上--内核级。它们经常依附在内核上，并没有修改系统的任何文件，于是tripwire工具就不能检测到它的使用。因为它并没有对系统的任何文件进行修改，攻击者可以对系统为所欲为而不被发现。系统级Rootkit为攻击者提供了很大的便利，并且修复了文件级Rootkit的一些错误。特洛伊木马（7）Unix下常见的后门程序–文件级RootkitTrojanITLrk5ArkRootkitTK–内核级KnarkAdore特洛伊木马（8）Windows下常见的后门程序–BrownOrifice–DonaldDick–SubSeven–BackOrifice–广外女生–黑暗天使–冰河–灰鸽子–流莺特洛伊木（9）木马的清除：–TheCleaner–杀毒软件–手动清除木马的防范：不要下载和执行来历不明的程序网络监听网络监听的作用：–可以截获用户口令；–可以截获秘密的或专用的信息；–可以用来攻击相邻的网络；–可以对数据包进行详细的分析；–可以分析出目标主机采用了哪些协议常用网络监听工具工具名称操作系统功能简介SniffitSunOS,Solaris针对TCP/IP协议的不安全性进行监听TcpdumpUnix,FreeBSD可以从以太网上监听并截获数据包nfswatchHP/UX,SunOS监控在以太网上传输的NFS数据包ethermanSGIIrix监听以太网上的通信SnoopSunOS,Solaris用来侦听本网段数据包，常用作错误诊断NetstatUNIX、WinNT显示当前的TCP/IP连接和协议统计etherfindSunOS监听局域网上的通信的主机LanwatchDOS监听外部主机对本机的访问扫描器定义：自动检测本地或远程主机安全弱点的程序功能：帮助发现弱点而不是用来攻击系统分类：本地扫描器和网络扫描器；端口扫描器和漏洞扫描器常见扫描器：如ISS(InternetSecurityScanner,Internet安全扫描程序），SATAN(SecurityAnalysisToolforAuditingNetworks，审计网络用的安全分析工具），NESSUS等可以对整个域或子网进行扫描并寻找安全上的漏洞这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集来的信息去获得对目标系统的非法访问权。国际互联网络服务器服务器防火墙其它网络广域网电话网企业网内域网互联网扫描器拒绝服务攻击DoS攻击–LAND–Teardrop,–SYNflood–ICMP:smurf–Router:remotereset,UDPport7,–Windows:Port135,137,139(OOB),terminalserver–Solaris:–Linux:–其他...攻击者172.18.1.1InternetCode目标204.241.161.12欺骗性的IP包源地址204.241.161.12Port139目的地址204.241.161.12Port139TCPOpenG.MarkHardy拒绝服务攻击:LAND攻击攻击者172.18.1.1InternetCode目标204.241.161.12IP包欺骗源地址204.2