搜索
第6章网络安全主要内容•第一节网络安全概述•第二节威胁网络安全的因素•第三节网络遭受攻击的形式•第四节网络安全防范措施•第五节网络安全解决方案•第六节防火墙实用技术•第七节MSProxyServer的安全•第八节WindowsNT中的Web安全第一节网络安全概述主要内容•网络安全的含义•网络安全的标准•网络安全的特征•网络安全的结构层次•主要的网络安全威胁6.1.1网络安全的含义网络安全就其本质而言是网络上的信息安全。从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全的研究领域。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常的运行,网络服务不中断。6.1.2网络安全的标准1.运行系统安全,即保证信息处理及传输系统的安全。2.网络上系统信息的安全:包括口令鉴别、权限控制、病毒防治等。3.网络上信息传播的安全,即信息传播后的安全,包括信息过滤等。侧重于非法信息的传播。4.网络上信息内容的安全:侧重于信息的保密性、真实性和完整性。6.1.3网络安全的特征网络安全应具有以下四个方面的特征:l保密性:指信息不泄露给非授权的用户、实体或过程,或供其利用的特性。l完整性:指数据未经授权不能进行改变的特性,即信息在存储和传输过程中保持不被修改、不被破坏和丢失的特性。l可用性:指可被实休访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。l可控性:指对信息的传播即内容具有控制能力。6.1.5主要的网络安全威胁1.网络安全威胁的表现形式l自然灾害、意外事故。l计算机犯罪。l人为行为,例如使用不当,安全意识差等。l“黑客”行为,由于黑客的入侵或侵扰。l内部泄密。l外部泄密。l信息丢失。l电子谍报,例如信息流量分析、信息窃取等。l信息战。l网络协议中的缺陷。6.1.5主要的网络安全威胁l假冒合法用户l非授权访问l干扰系统的正常运行l破坏数据完整l传播病毒l窃听l重传l伪造l篡改l服务封锁攻击l行为否认2.网络安全威胁的特征第二节威胁网络安全的因素主要内容•内部因素•各种外部威胁•病毒简介6.2.1内部因素1.操作系统的脆弱性:a、体系结构本身就是不安全的一种因素b、可以创建进行又是一个不安全的因素c、远程过程调用服务(RPC)以及它所安排的无口令入口也是黑客的一个通道2.计算机系统的脆弱性:主要来自于操作系统的不安全性和通信协议的不安全性3.协议安全的脆弱性:网络中使用的TCP/IP协议以及FTP、E-mail、NFS等都包含着影响网络安全的因素。安全的因素。黑客经常采用SOCK、TCP预测或使用远程访问(RPC)进行直接扫描等方法对防火墙进行攻击。4.数据库管理系统安全的脆弱性:它必须与操作系统的安全配套,可见它是一个先天足儿。5.人为因素:缺少安全管理员,特别是高素质的网络管理员。缺少安全管理规范,缺少安全检查、测试,缺少安全监控等因素。6.2.2各种外部威胁1.物理威胁:指用于保护计算机硬件和存储介质的装置和工作程序。常见物理安全有偷窃、废物搜寻和间谍活动等。它是计算机安全的最重要方面。2.网络威胁:(1)电子窃听(2)拨号的安全问题(3)冒名顶替现象3.身份鉴别:是计算机判断一种是否有权使用它的过程。目前的监别一般是以口令形式的,但是它十分脆弱,却实现简单,所以仍被广泛使用。a、口令圈套,b、密码字典4.病毒感染5.系统漏洞:也被称为陷阱,它通常是由操作系统的开发者有意设置的,这样它们就能够在用户失去了对系统的所有访问权时仍能进入系统。TCP/IP中存在的很多的安全漏洞病毒简介病毒是一种暗中侵入计算机并且能够自主生存的可执行程序。多数病毒程序都有如下共同的组成部分:复制部分、破坏性代码、用于进行条件判断以确定何时执行破坏性代码。(1)病毒的分类文件病毒、引导病毒、混合型病毒、异形病毒、宏病毒(2)病毒的传播方式病毒一旦进入系统以后,通常用以下两种方式传播:l通过磁盘的关键区域:主要感染工作站。l通过可执行文件:主要感染服务器。(3)病毒的工作方式变异、触发、破坏病毒简介(6)网络病毒的特点传染方式多、传染速度快、清除难度大、破坏性强、激发形式多样、潜在性(7)常见的网络病毒电子邮件病毒、Java程序病毒、ActiveX病毒、网页病毒(8)网络对病毒的敏感性对文件病毒的敏感性、对引导病毒的敏感性、对宏病毒的敏感性病毒简介(9)网络计算机病毒的防治第一,加强网络管理人员的网络安全意识,对内部网与外界进行的数据交换进行有效的控制和管理,同时坚决抵制盗版软件;第二,以网为本,多层防御,有选择地加载保护计算机网络安全的网络防病毒产品。(10)防毒、杀毒软件的选择选购防毒软件,需要注意的指标包括:扫描速度、正确识别率、误报率、技术支持水平、升级的难易程度、可管理性和警示手段等目前常见网络病毒及处理•冲击波(Worm.Blaster)病毒•病毒介绍:•该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOMRPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。•病毒发作现象:•系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启,不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。•病毒详细说明:•1.病毒运行时会将自身复制到window目录下,并命名为:msblast.exe。•2.病毒运行时会在系统中建立一个名为:“BILLY”的互斥量,目的是病毒只保证在内存中有一份病毒体,为了避免用户发现。目前常见网络病毒及处理目前常见网络病毒及处理•3.病毒运行时会在内存中建立一个名为:“msblast.exe”的进程,该进程就是活的病毒体。•4.病毒会修改注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:windowsautoupdate=msblast.exe,以便每次启动系统时,病毒都会运行。•5.病毒体内隐藏有一段文本信息:•IjustwanttosayLOVEYOUSAN!!•billygateswhydoyoumakethispossible?Stopmakingmoneyandfixyoursoftware!!•6.病毒会以20秒为间隔,每20秒检测一次网络状态,当网络可用时,病毒会在本地的UDP/69端口上建立一个tftp服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,进行攻击,另外该病毒攻击时,会首先搜索子网的IP地址,以便就近攻击。•7.当病毒扫描到计算机后,就会向目标计算机的TCP/135端口发送攻击数据。•8.当病毒攻击成功后,便会监听目标计算机的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标计算机上并运行。•9.当病毒攻击失败时,可能会造成没有打补丁的Windows系统RPC服务崩溃,WindowsXP系统可能会自动重启计算机。该蠕虫不能成功攻击WindowsServer2019,但是可以造成WindowsServer2019系统的RPC服务崩溃,默认情况下是系统反复重启。•10.病毒检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点windowsupdate发动拒绝服务攻击,使微软网站的更新站点无法为用户提供服务。•手工清除方案:•一、DOS环境下清除该病毒:•1.当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录.•CDC:\windows(或CDc:\winnt)•2.查找目录中的“msblast.exe”病毒文件。•dirmsblast.exe/s/p•3.找到后进入病毒所在的子目录,然后直接将该病毒文件删除。•Delmsblast.exe目前常见网络病毒及处理•二、在安全模式下清除病毒•如果用户手头没有DOS启动盘,还有一个方法,就是启动系统后进入安全模式,然后搜索C盘,查找msblast.exe文件,找到后直接将该文件删除,然后再次正常启动计算机即可。•给系统打补丁方案:•当用户手工清除了病毒体后,应上网下载相应的补丁程序,用户可以先进入微软网站,下载相应的系统补丁,给系统打上补丁。目前常见网络病毒及处理目前常见网络病毒及处理•“硬盘杀手”病毒•“硬盘杀手”病毒的破坏力全面超越CIH病毒:它利用网络漏洞和共享目录进行网络感染,传播能力也远远超过CIH!运行时会首先将自己复制到系统目录下,然后修改注册表进行自启动。病毒会通过9X系统的漏洞和共享文件夹进行疯狂网络传播,即使网络共享文件夹有共享密码,病毒也能传染。如果是NT系列系统,则病毒会通过共享文件夹感染网络。病毒会获取当前时间,如果病毒已经运行两天,则病毒会在C盘下写入病毒文件,此文件会改写硬盘分区表,当系统重启时,会出现病毒信息,并将硬盘上所有数据都破坏掉。1、由于该病毒在局域网内发播速度极快,所以局域网用户最好使用网络版杀毒软件,并进行全网查杀。2、检查注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是否存在键值mqbkup或者mqbkupdbs,如果存在请删除此键值。3、如果用户的机器操作系统是Windows9X,请用户打开Windows系统目录下的Win.ini文件,删除run=c:\windows\mqbkup.exe所在的行。4、在程序任务列表中删除mqbkup.exe。5、如果系统已经重新启动,请立即关闭机器,切断电源,以免硬盘数据进一步丢失。•特洛伊Win32.Revcuss.H•破坏性:中04年11月15•病毒特性:•Win32.Revcuss.H是尝试盗取用户网络银行信息的特洛伊。这个变体病毒针对英国的几个金融机构,它是大小为27,136字节的Win32可执行文件。•感染方式:•运行时,Win32.Revcuss.H把自己拷贝到:•%System%\userhandler.exe•%Windows%\winuser.exe•病毒修改注册键值来确保每次系统运行时都执行userhandler.exe:•HKLM\Software\Microsoft\Windows\CurrentVersion\Run\UserHandler=%System%\userhandler.exe目前常见网络病毒及处理危害:盗取敏感信息最初,运行时,Revcuss利用系统Inter资源管理器PHP文件发送请求:vb-ausputerpaul.co.uk用这个IP地址:67.15.72.14病毒会隐藏它的特性,并创建新的'Desktop',名称是'Default000'。它阻止的所有资源管理器有下列标题:AbbeyankingBarclaysIbank.....Transfertoanotherorganisation–Createwelcometosmilebanking一旦建立,它使用下列地址核对用户的银行帐户:://membershipdetailsbelow://