网络安全Word文档下载推荐.docx
《网络安全Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《网络安全Word文档下载推荐.docx(67页珍藏版)》请在冰豆网上搜索。
(2)不设防的网络空间(根源)
任何人在任何时候、任何地方都可访问网络,法律约束脆弱
(3)跨国协调困难
(4)网络和系统的自身缺陷与脆弱性
TCP/IP协议设计上是有缺陷性的
(5)国家、民族、政治、商业和个人利益冲突
1.2网络安全威胁的类型
网络安全威胁指网络中对存在缺陷的潜在利用,这些缺陷可能导致信息泄露、系统资源耗尽、非法访问、资源被盗、系统或数据被破坏等
1.物理威胁
(1)自然灾害:
地震、火灾、雷击、静电等
(2)人为灾害:
防盗(网络设备)、防电磁泄漏和搭线窃听(信息)、防人为破坏
(3)设备故障:
硬盘损坏、电源故障、设备老化等
(4)废物搜寻:
从报废的设备中搜寻可利用的信息
2.系统漏洞威胁
(1)系统软件漏洞:
如操作系统漏洞、网络协议本身的缺陷
(2)应用软件漏洞:
如IIS、SQLServer漏洞、程序编写者设计上的缺陷(如SQL注入漏洞、溢出漏洞)
3.身份鉴别威胁
(1)口令圈套:
模仿真正的登陆界面骗取密码
(2)口令破解:
如字典攻击、暴力破解等
(3)程序、算法考虑不周:
入侵者采用超长的字符串造成缓冲区溢出,破坏密码算法
(4)编辑口令:
编辑口令一般需要内部漏洞,如某单位内部的人建立了一个虚设的账户或修改了一个隐含账户的口令,这样知道那个账户的用户名和口令的人便可以访问该机器了
4.恶意代码威胁
(1)病毒:
自我复制、直接破坏系统
(2)逻辑炸弹:
特定逻辑条件满足时实施破坏,如江民逻辑炸弹
(3)特洛伊木马:
为黑客留后门、盗取密码
(4)间谍软件:
监视用户活动,记录敏感信息。
5.用户使用的缺陷
(1)软件使用错误:
默认安装了不需要的带漏洞的组件
(2)系统备份不完整
(3)密码易于被破解
强壮密码应符合的规则
1.3网络安全管理技术
针对以上所提到的网络安全问题,为了保护网络信息的安全可靠,在运用法律和管理手段的同时,还需要相应的技术来加强对网络的安全管理
1.3.1加密策略
1.数据链路层加密
通信链路两端配置专用的链路加密设备。
如VPN(VirtualPrivateNetwork,虚拟专用网)可以实现链路层加密
VPN可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。
VPN主要采用四项安全保证技术:
隧道技术、加解密技术、密钥管理技术和身份认证技术。
2.网络层加密
网络层加密可以通过网络层VPN技术来实现,最典型的就是IPSec。
现在许多提供VPN功能的防火墙设备中都支持IPSec
3.传输层加密
传输层加密可以采用SSL(SecureSocketLayer,安全套接层)和TLS(TransportLayerSecurity,传输层安全)技术。
4.应用层加密
应用层加密与具体的应用类型结合紧密,典型的有SHTTP(SecureHyperTextTransferProtocal,安全超文本传输协议)和SMIME(SecureMultipurposeinternetMailExtensions,加密多用途Internet邮件扩展)
利用各种加密算法开发的加密程序
1.3.2访问控制技术
1.访问控制作用:
防止XX的用户非法使用系统资源
2.访问控制的手段:
用户识别代码、口令、登录控制、资源授权、授权检查、日志和审计等
3.访问控制的实现:
通过防火墙、交换机或路由器的使用来实现
1.3.3入侵检测技术
防火墙防外不防内,且对实时入侵行为识别及反应能力有限
入侵检测技术:
即通过在计算机网络或计算机系统的关键点采集信息进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测所使用的软件与硬件的结合便是入侵检测系统(IDS)
基于网络的入侵检测技术(NIDS)是最长用的一种入侵检测系统,通过Sniffer技术采集数据,通过模式匹配等算法进行分析。
1.3.4入侵保护技术
1.定义:
IPS(IntrusionPreventionSystem,入侵保护系统)被看作是增加了主动阻断功能的IDS,并且在性能和数据包的分析能力方面都比IDS有了质的提升
2.作用:
旨在预先对入侵活动和攻击性网络流量进行拦截,而不仅仅是报警
3.原理:
通过一个网络端口接收来自外部的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。
1.3.5蜜罐技术
1.蜜罐(honeypot):
是一种计算机网络中专门为吸引并“诱骗”那些试图非法入侵他人计算机系统的人而设计的“陷阱”系统
可以转移入侵者的攻击,保护用户的主机和网络安全;
为入侵的取证提供重要的线索和信息
3.成熟的蜜罐产品:
DTK(DeceptionToolKit)、BOF(BackOrificeFriendly)、Specter、Home-made
1.3.6网络隔离技术
网络隔离技术的目标是确保把有害的攻击隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。
1.物理隔离
物理隔离是指公共网络和专网在网络物理连线上是完全隔离的,且没有任何公用的存储信息,从而把公网和专网数据侧地隔离。
2.逻辑隔离
逻辑隔离是指公共网络和专网在物理上是有连线的,通过技术手段保证在逻辑上是隔离的。
1.3.7数据备份与灾难恢复
1.导致数据失效的原因
(1)计算机软硬件故障
(2)人为原因
(3)资源不足引起的计划性停机
(4)生产地点的灾难
2.数据备份策略
(1)完全备份:
备份系统中所有的数据
(2)增量备份
备份自上一次备份(包含完全备份、差异备份、增量备份)之后有变化的数据。
(3)差异备份
备份自上一次完全备份之后有变化的数据。
3.灾难恢复
(1)全盘恢复
(2)个别文件恢复
(3)重定向恢复
4.完整的灾难备份及恢复方案
应包括:
备份硬件(硬盘、磁带机、磁带库)、备份软件(用于数据备份和恢复的软件)、备份制度和灾难恢复计划(广义上讲,灾难恢复计划的实施包括日常维护、灾难恢复、恢复后三个阶段)四个部分
第二章网络协议与安全
2.1网络体系结构及协议基础
2.1.3TCP/IP参考模型及主要协议
ARP协议(地址解析协议):
用于已知本端IP地址和硬件地址以及对端IP地址的情况下,求解对端的硬件地址
RARP协议(逆向地址解析协议):
用于已知硬件地址,而IP地址未知的情况
ICMP协议:
英文全称(InternetControlMessageProtocol),就是网际控制信息协议。
主要是用于补充IP传输数据报的过程中,发送主机无法确定数据报是否到达目标主机。
ICMP报文分为出错报告报文和查询报文两种。
若数据报不能到达目标主机,ICMP出错报告报文可以以回送信息的方式,向源主机发去信息,并不能纠正数据报中的任何出错。
除了出错报告,ICMP还可以诊断出某些网络问题,这就是ICMP的查询报文。
IGMP协议:
英文全称(InternetGroupManagementProtocol),网络组管理协议。
主要用于建立和管理多播组,对IP分组广播进行控制。
SNMP:
(SimpleNetworkManagementProtocol,简单网络管理协议),SNMP的目标是管理互联网上众多厂家生产的软硬件平台
DNS:
域名系统,用于域名解析
NTP协议:
网络时间协议,它的目的是在国际互联网上传递统一、标准的时间。
具体的实现方案是在网络上指定若干时钟源网站(如),为用户提供授时服务,并且这些网站间应该能够相互比对,提高准确度。
符合UDP传输协议格式,拥有专用端口123。
2.2TCP/IP协议安全缺陷
2.2.1网络层和传输层协议缺陷
1.网络层协议缺陷
(1)ARP协议缺陷
ARP(AddressResolutionProtocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,负责将某个IP地址解析成对应的MAC地址。
ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。
它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到发向自己的ARPreply包或arp广播包,都会接受并缓存。
ARP协议缺陷最终会导致ARP攻击的出现。
ARP攻击:
针对以太网地址解析协议的一种攻击技术。
此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。
ARP攻击原理:
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
如果将伪造的数据包中的IP地址修改成网关的IP地址,而把其对应的MAC地址改成局域网内任意机器(如机器A)的MAC地址,这样局域网内任意机器访问外网时的请求数据包都会发到机器A上,导致无法上网。
(2)IP协议缺陷
①IP通信不需要进行身份认证
②IP数据传输没有加密
③IP的分组和重组机制不完善(分片攻击)
④IP地址的表示不需要证实和确认
IP协议缺陷可以造成IP地址欺骗等攻击攻击。
IP协议根据IP头中的目的地址项来发送IP数据包。
也就是说,IP路由IP包时,对IP头中提供的源地址不作任何检查,并且认为IP头中的源地址即为发送该包的机器的IP地址。
这样,许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。
其中最重要的就是利用IP欺骗引起的各种攻击。
2.传输层协议缺陷
1TCP建立连接时需三次握手
2从IP包头开始用户可以填入自己想要的任意数据
3UDP不能确保数据的发送和接收顺序
4UDP协议的无连接性
2.2.2应用层协议缺陷
1.HTTP的安全问题
(1)HTTP客户端
用户浏览网站会导致下载有破坏性的ActiveX控件和javaapplet等包含病毒或木马的程序
(2)HTTP服务器端
服务器软件漏洞或ASP、PHP等交互式页面漏洞会导致黑客入侵及病毒、木马的传播
2.FTP的安全问题
(1)允许匿名方式登录
(2)缺乏有效的访问控制机制
(3)口令和密码的传输都采用明文方式
3.TELNET的安全问题
(1)没有完整性检查。
传送的数据没有办法知道是否完整的,而不是被篡改过的数据
(2)无强力认证过程。
只是验证连接者的帐户和密码,还需要智能卡设备、数字证书、特征识别等。
(4)传送的数据都没有加密
4.SMTP和POP3的安全问题
pop3协议主要用于客户端程序接收电子邮件(比如outlookexpress),而smtp协议只要用于不同的邮件服务器以及不同邮件域之间电子邮件的转发
(1)传送的数据没有加密
(2)E-mail服务器不检查传送信息的内容
(3)无认证机制
利用telnetsmtp.***.***25连接上邮件发送服务器后就可匿名发送邮件而不受限制,其结果是导致垃圾邮件泛滥。
5.DNS的安全问题
(1)无认证与存取授权机制
(2)对53端口无监督机制
DNS的发展可以追溯到1980年,那时Internet尚不普及。
在当时的Internet上,主机的名称和它所对应的IP地址被放在一个称为Hosts的文件(windows系统下其所在路径为C:
\WINDOWS\system32\drivers\etc)中。
随着Internet的发展,其所连结的主机数增加非常快,使得这种以Hosts文件为主的管理方式变得越来越难以维护。
并不是每一个防火墙供应商都能好好地处理有关DNS方面的问题,甚至有些防火墙还未把DNS的安全问题考虑进去,因此在选购防火墙时要特别注意这一点。
一般说来,53端口是给DNS使用的,但如果你的系统不用作DNSservice,那你可以将此端口转给其它服务器使调用,这就成为了黑客攻击的途径之一——对那些没有考虑DNS安全的防火墙来说,53端口就相当于防火墙的后门。
某些防火墙就允许各种包自由通过此端口
要保护DNS的方法最基本的还是得从认证与存取授权方面着手,并对DNS用来通讯的53端口进行监督或是限制存取,这样才能确保你的网络主机资料不会外泄
(3)人们对DNS服务器的安全性没有足够重视
全球所有对外开放的DNS服务器当中,竟有将近25%比例疏于安装修补程序
DNS欺骗
比如我们要攻击.首先向目的DNS服务器查询根本不存在的二级域名,比如:
.DNS服务器在缓存中查找,没有找到,则会向上级DNS或者权威DNS查询。
这时我们可以生成伪造的DNSResponse数据包并发送这些的伪造DNSResponse数据包给目的服务器。
让目的DNS在上级DNS或者权威DNS服务器响应到达之前,接受到恶意的应答,同时更新自己的缓存,欺骗成功。
2.3安全协议及IPv6
2.3.3IPSec协议
SSL与IPSEC在很多地方上是非常相似的。
两种协议都有密钥协商,加密握手阶段,之后加密数据的传输阶段。
IPSec:
协议不是一个单独的协议,他给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AuthenticationHeader(AH)、封装安全载荷协议EncapsulatingSecurityPayload(ESP)、密钥管理协议InternetKeyExchange(IKE)和用于网络认证及加密的一些算法等。
SSL与IPSEC的不同点:
(1)SSL用来保护在传输层(TCP)上通信的数据的安全,而IPSEC除此之外还用来保护在IP层上的数据包的安全,如UDP包。
(2)对一个已经在使用的系统,SSL不需要改动协议栈但需要改变应用层;
与此相反,IPSEC不需要改变应用层但需要改变协议栈。
(3)SSL可以单向认证(仅认证服务器),但IPSEC要求双方认证。
(4)当涉及应用层中间节点,IPSEC只能提供链接保护,而SSL提供端到端保护。
(5)IPSEC受NAT影响较为严重,而SSL可以穿过NAT而毫无影响。
2.3.4IPv6
与IPV4相比,IPV6具有以下几个优势:
1.IPv6具有更大的地址空间。
IPv4中规定IP地址长度为32,即有2^32-1(符号^表示升幂,下同)个地址;
而IPv6中IP地址的长度为128,即有2^128-1个地址。
2.IPv6使用更小的路由表。
IPv6的地址分配一开始就遵循聚类(Aggregation)的原则,这使得路由器能在路由表中用一条记录(Entry)表示一片子网,大大减小了路由器中路由表的长度,提高了路由器转发数据包的速度。
3.IPv6增加了增强的组播(Multicast)支持以及对流的支持(FlowControl),这使得网络上的多媒体应用有了长足发展的机会,为服务质量(QoS,QualityofService)控制提供了良好的网络平台。
4.IPv6加入了对自动配置(AutoConfiguration)的支持。
这是对DHCP协议的改进和扩展,使得网络(尤其是局域网)的管理更加方便和快捷。
5.IPv6具有更高的安全性。
要求强制实现IPSec在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验,极大的增强了网络的安全性。
2.4常用网络服务
2.4.1FTP服务
1.FTP的缺省端口是20(用于数据传输)和21(用于命令传输)
2.在TCP/IP中FTP是非常独特的,因为命令和数据能够同时传输,而数据传输是实时的,其他协议不具有这个特性
3.FTP客户端可以是命令界面的也可以是图形界面的(FlashFXP,CuteFTP)
2.4.2Telnet服务
Telnet给用户提供了一种通过网络登录远程服务器的方式。
Telnet通过端口23工作
2.4.3Email服务
目前Email服务用的两个主要的协议是:
简单邮件传输协议SMTP(SimpleMailTransferProtocol)和邮局协议POP3(PostOfficeProtocol)。
SMTP默认占用25端口,用来发送邮件,POP3占用110端口,用来接收邮件。
在Windows平台下,主要利用MicrosoftExchangeServer作为电子邮件服务器。
2.4.4Web服务
Web服务是目前最常用的服务,使用HTTP协议,默认Web服务占用80端口
在Windows平台下一般使用IIS(InternetInformationServer)作为Web服务器。
2,4.5常用的网络服务端口
端口
协议
服务
21
TCP
FTP服务
25
SMTP服务
53
TCP/UDP
DNS服务
80
Web服务
135
RPC服务
137
UDP
NetBIOS域名服务
138
NetBIOS数据报服务
139
NetBIOS会话服务
443
基于SSL的HTTP服务
445
MicrosoftSMB服务
3389
Windows终端服务
在互联网中使用TCP/IP协议来进行网络之间的通信。
NetBIOS位于TCP/IP之上,定义了多个TCP和UDP端口。
1.
TCP端口
(1)
139:
nbsession:
NetBIOS会话。
例如Netuse\\123.123.123.123\ipc$”“/user:
”“。
(2)
42:
WINS:
WindowsInternet名字系统(UDP端口号也是42)。
2.
UDP端口
(1)
137:
nbname:
名字查询。
例如:
nbtstat-A123.123.123.123
138:
nbdatagram:
UDP数据报服务。
例如Netsend/d:
domain-name”HELLO”。
大多数涉及NetBIOS的攻击都是瞄准TCP端口139号,也就是著名的nbsession端口——NetBIOS会话端口。
但是千万不要漠视其他端口,不管是TCP还是UDP都可以达到很好的攻击效果。
SMB服务使运行linux系统的电脑能像windows那样方便的访问局域网并共享本机数据给windows系统
Windows终端服务:
即远程桌面连接
第三章网络攻击与入侵
3.1网络攻击概述
3.1.2攻击的目的
1.窃取信息
(1)如涉及国家机密的信息等
(2)获取口令:
如盗取QQ密码、取得管理员口令等
(3)获得超级用户权限:
例如通过获得的普通用户权限进行提权进而获得超级用户权限。
2.控制或破坏电脑及网络系统
拒绝服务
安装(或上传)木马:
如安装“海阳顶端”等webshell木马
网站篡改
3.窃取服务
未授权使用计算机或网络服务:
如FTP服务、TELNET服务等
3.1.3攻击工具
Ø
用户命令:
攻击者在命令行状态下或者以图形用户接口方式输入攻击命令。
例如通过telnet运行net命令和通过webshell客户端上传攻击指令。
脚本或程序:
利用脚本或程序挖掘和利用系统漏洞
如上面介绍的能够提权的vbscript脚本
自治主体:
能独立工作的小软件,执行弱点挖掘和攻击
如3389扫描器专门扫描3389漏洞,探测3389空口令
工具包:
软件包中可能包括进行弱点开发、攻击和破坏的多个工具
分布式工具:
攻击者分发攻击工具到多台主机,通过协议方式执行攻击
如Autocrat
(独裁者DDoS攻击器)
电磁泄露工具:
通过Tempest(瞬时电磁脉冲发射监测技术)方法实施电磁泄露攻击
搭线窃听工具:
搭线接上相应的接收或窃听设备
3.1.4攻击手段
☆口令破解(猜测简单口令+字典攻击+暴力破解)
☆用扫描器寻找到系统漏洞后进入主机(如利用远程登录漏洞远程登陆进系统)
☆网络欺骗技术(IP欺骗、DNS欺骗、Web欺骗)
☆网络监听(用sniffer等工具截获并修改数据流、获取敏感信息)
☆特洛伊木马(入侵+网页木马+软件中夹带)
3.1.5攻击的三个阶段
1.攻击前奏:
攻击必备信息的准备
(1)确定攻击目的
(2)搜集汇总与攻击目标相关的信息
踩点:
获取公司信息、用户信息、服务器信息等有价值信息,如操作系统版本、web服务器和数据库服务器版本等,不同的版本会对应有不同的漏洞。
扫描:
端口扫描+漏洞扫描,发现开放了那些端口就证明开放了哪些服务
嗅探:
以非常隐蔽的方式获得网络上大量敏感信息:
如获得FTP和telnet用户名和密码;
截获包含游戏账号和密码的敏感信息包等。
2.实施攻击
(1)破坏性攻击:
如拒绝服务攻击、网页篡改等
(2)获取访问权攻击
获取一定的非法权限
获取最高管理员权限
盗取游戏和网银的用户名和密码
(3)“网络钓鱼”(Phishing)式攻击
3.善后处理
(1)清理日志
Windows2000的日志文件通常有应用程序日志,安全日志、系统日志