网络安全介绍

内容提纲我国网络现状一网络攻击方法及原理二网络安全防御技术三未来的展望四一、我国网络现状1、上网人数激增中国网民人数增长情况2、网络安全事件频发3、攻击手段多样二、网络攻击方法及原理1、黑客简史（1）影视中的黑客※《黑客帝国》浪漫主义的黑客电影浪漫主义的黑客电影※《箭鱼行动》写实主义的黑客电影※《虎胆龙威4》恐怖主义的黑客电影※《黑客悲情》中国特色黑客电影（2）黑客起源的背景起源地：美国精神支柱：对技术的渴求对自由的渴求历史背景：越战与反战活动马丁·路德金与自由嬉皮士与非主流文化电话飞客与计算机革命（3）著名黑客罗伯特•莫里斯1988年，莫里斯蠕虫病毒震撼了整个世界。由原本寂寂无名的大学生罗伯特·莫里斯制造的这个蠕虫病毒入侵了大约6000个大学和军事机构的计算机，使之瘫痪。此后，从CIH到美丽杀病毒，从尼姆达到红色代码，病毒、蠕虫的发展愈演愈烈凯文•米特尼克※美国20世纪最著名的黑客之一，《社会工程学》的创始人※1979年他和他的伙伴侵入了北美空防指挥部。※1983年的电影《战争游戏》演绎了同样的故事，在片中，以凯文为原型的少年黑客几乎引发了第三次世界大战（4）中国的“黑客文化”中国缺乏欧美抚育黑客文化的土壤缺少庞大的中产阶层缺少丰富的技术积累中国的黑客文化的“侠”侠之大者，为国为民侠之小者，除暴安良（5）中国“黑客”重要历史事件1998年印尼事件※以八至六人为单位，向印尼政府网站的信箱中发送垃圾邮件※用Ping的方式攻击印尼网站※中国黑客最初的团结与坚强的精神，为后来的中国红客的形成铺垫了基础※技术性黑客牵头组建了“中国黑客紧急会议中心”负责对印尼网站攻击期间的协调工作1999年南联盟事件※中国黑客袭击了美国能源部、内政部及其所属的美国家公园管理处的网站※大规模的攻击致使白宫网站三天失灵绿色兵团南北分拆事件※1997年，中国最老牌的黑客组织“绿色兵团”成立，黑客从此有了自己的江湖※2000年3月，“绿色兵团”与中联公司合作投资，并在北京招募成员注册了北京中联绿盟信息技术公司※同年7月，由于商业问题，北京绿盟与上海绿盟因内部原因合作破裂中美五一黑客大战事件※04年初，四川站开始负责美国IP段的收集，扫描NT主机与UNIX主机，并启动的四十多台跳板主机全速扫描一些美国IP段的网站。※使用一些常见的系统漏洞，在三个小时之内入侵了五个网站，其中三个被更换了页面，另外两个作了跳板※5月1日，中国鹰派“‘五月之鹰’行动指挥中心”正式成立※晚11时，山东站成员扫描出IP段的美国主机漏洞，然后，上传木马和被黑页面。几小时后，这些主机“都见上帝去了”※美黑客以嚣张的气焰攻击国内的网站。至5月3日，国内已有400多个网站沦陷。入侵者破坏手段已不是停留在修改页面上，而是删除重要数据，使服务器彻底瘫痪※使用飘叶邮件炸弹及PING不断地向白宫等重点网站发数据包，使美国黑客陷入了“人民战争的汪洋大海”中去※5月8日，红客联盟和中国鹰派共同宣布停止对美攻击，四川站也停火※直至5月8日战斗结束，美国共有1600多个网站遭到了不同程度的破坏，包括美国劳工部、美国加利福尼亚能源部、日美社会文化交流会、白宫历史协会、UPI新闻服务网、华盛顿海军通信站等。连安全性很强的美国白宫网站，都被DDOS(分布式拒绝服务)被迫关闭了2小时（6）黑客的分类灰帽子破解者•破解已有系统•发现问题/漏洞•突破极限/禁制•展现自我计算机为人民服务漏洞发现-Flashsky软件破解-0Day工具提供-Glacier白帽子创新者•设计新系统•打破常规•精研技术•勇于创新没有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破坏者•随意使用资源•恶意破坏•散播蠕虫病毒•商业间谍人不为己，天诛地灭入侵者-K.米特尼克CIH-陈盈豪攻击Yahoo者-匿名恶渴求自由（7）所谓黑客语言常见替换A=4B=8E=3G=9l=1O=0S=5t=7Z=2常见缩写CK=xYou=uAre=rSee=cAnd=n/&Not=!2、攻击阶段划分和思路及操作预攻击内容：获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的：收集信息，进行进一步攻击决策攻击内容：获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的：进行攻击，获得系统的一定权限后攻击内容：删除日志修补明显的漏洞植入后门木马进一步渗透扩展进入潜伏状态目的：消除痕迹，长期维持一定的权限2、常见攻击及原理（1）端口扫描①扫描原理扫描程序是自动检测远端主机或者本地主机安全脆弱性的程序。②扫描的一般步骤※获取主机名与IP地址：使用whois与nslookup等工具※获得操作系统类型信息：最快方法是试图telnet该系统※FTP信息：攻击者将测试是否开放FTP服务，匿名FTP是否可用，若可用，则试图发掘更多的潜在问题※TCP/UDP扫描：对于TCP，telnet可以用来试图与某一特定端口连接，这也是手工扫描的基本方法。从中再分析系统是否开放了rpc服务、finger、rusers和rwho等比较危险的服务③扫描程序收集的目标主机的信息※当前主机正在进行什么服务？※哪些用户拥有这些服务？※是否支持匿名登录？※是否有某些网络服务需要鉴别？④常用扫描软件※Nmap()※Superscan()※Sl()口令攻击程序有很多，用于攻击UNIX平台的有Crack、CrackerJack、PaceCrack95、Qcrack、JohntheRipper、Hades等等；用于攻击Windows平台的有10phtCrack2.0、ScanNT、NTCrack、PasswdNT等等。口令防御：用户登录失败的次数；特殊字符的8字节以上的长口令，并且要定期更换口令；要保证口令文件的存储安全。口令分析方法※穷举法※分析破译法：数学归纳分析或统计密码破解※John()※L0phtCrack5()※Word密码破解※AdvancedOfficeXPPasswordRecovery（2）获取口令（3）放置特洛伊木马程序特洛伊木马源自于希腊神话，在网络安全领域专指一种黑客程序，它可以直接侵入用户的电脑并进行破坏它一般包括两个部分，控制端软件和被控端软件。被控端软件常被伪装成工具程序或者游戏等，诱使用户打开带有该软件的邮件附件或从网上直接下载。一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会在目标计算机系统中隐藏一个可以在系统启动时悄悄执行的程序。当用户连接到因特网上时，这个程序可以通知攻击者，报告用户的IP地址以及预先设定的端口。攻击者在收到这些信息后，再利用事先潜伏在其中的程序，任意地修改用户的计算机的参数设定、复制文件、窥视用户整个硬盘中的内容等，从而达到控制用户的计算机的目的。冰河Wollf（)winshell（4）网络钓鱼网络钓鱼(Phishing)“Fishing”和“Phone”的综合词，它利用欺骗性的E-mail和伪造的Web站点来进行诈骗活动，使受骗者泄露自己的重要数据，如信用卡号、用户名和口令等实例一恶意网站，伪装成中国工商银行主页QQ欺骗原理由大量能够实现恶意功能的Bot（主机感染bot程序，僵尸程序）、Command&ControlServer和控制者组成，能够受攻击者控制的网络。攻击者在公开或秘密的IRC服务器上开辟私有的聊天频道作为控制频道，僵尸程序中预先已经设定好这些信息，当僵尸计算机运行时，僵尸程序就自动搜索并连接到这些控制频道，接收频道中的所有信息，这样就构成了一个IRC协议的僵尸网络。攻击者通过IRC服务器，向整个僵尸网络内的受控节点发送控制命令，操纵这些“僵尸”进行破坏或者窃取行为。（5）僵尸网络（6）DDoS攻击分布式拒绝服务(DDoS)攻击是DoS攻击的演进。它的主要特征是利用可能广泛分布于不同网络中的多台主机针对一台目标主机进行有组织的DoS攻击。多个攻击源的分布式特性使得DDoS攻击较传统的DoS攻击有着更强的破坏性通常情况下，攻击者通过多级跳板登录到一个或多个主控端(即客户机)，主控端以多对多的形式控制了大量的傀儡主机（即服务器）。攻击者通过主控端主机，控制傀儡机。傀儡机上运行的服务器程序接收来自主控端的指令并向受害主机发动攻击DDoS攻击工具※Trinoo：较早期的DDoS攻击工具，向受害主机随机端口发送大量全零4字节长度的UDP包，处理这些垃圾数据包的过程中，受害主机的网络性能不断下降，直至发生拒绝服务，乃至崩溃。Trinoo并不伪造源IP地址，不使用主控端※TFN：由主控端和傀儡机两部分组成，主要攻击方式有：TCPSYN洪泛攻击、ICMP洪泛攻击、UDP攻击和类Smurf型的攻击，能够伪造源地址。※TFN2K：是由TFN发展而来的，新增了一些特性，它的主控端和傀儡机的通信是经过加密的※Stacheldraht：也是从TFN派生出来的，增加了主控端与傀儡机的加密通信能力。可以防范一些基于路由器的过滤机制，且存在内嵌傀儡机升级模块※Smurf型攻击：是一类攻击形式的总称，一般使用了ping请求数据包来进行，傀儡机在对受害主机发动攻击时，将攻击数据包的源地址伪装成受害主机的IP地址，每台主机会对收到的源地址为受害者IP的ping请求进行应答，从而形成攻击数据流常用攻击方法网络层SYNFloodICMPFloodUDPFloodPingofDeath应用层垃圾邮件CGI资源耗尽针对操作系统winnuke解剖SYNFloodSYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接正常tcpconnect攻击者受害者大量的tcpconnection这么多需要处理？不能建立正常的连接正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常用户正常tcpconnect（7）中间人攻击当攻击者位于一个可以观察或截获两个机器之间的通信的位置时，就可以认为攻击者处于中间人方式。因为很多时候主机之间以明文方式传输有价值的信息，因此攻击者可以很容易地攻入其他机器。对于某些公钥加密的实现，攻击者可以截获并取代密钥，伪装成网络上的两个节点来绕过这种限制。主机主机通信窃听或篡改（8）漏洞扫描工具NessusX-Scan（9）病毒引导区病毒文件病毒硬件病毒蠕虫实例武汉男孩步行者（10）嗅探Ethereal()Windump()Xsniff()（11）Arp欺骗Xspoof（12）其它攻击技术电子邮件攻击网络监听缓冲区溢出三、网络安全防御技术1、防火墙技术(1)网络防火墙是借鉴了真正用于防火的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使企业内部局域网（LAN）网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络，防止发生不可预测的、潜在破坏性的侵入。(2)防火墙具有的基本特性内部网络和外部网络之间的所有网络数据流都必须经过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身应具有非常强的抗攻击能力（3）防火墙结构双宿主机防火墙InternetInnernetworkTerminalWorkstationServerDual-homedhost(ga