网络安全资料Word格式文档下载.docx
《网络安全资料Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《网络安全资料Word格式文档下载.docx(28页珍藏版)》请在冰豆网上搜索。
自编程序、利用公开的工具。
3、网络攻击
攻击方式:
(1)试图毁掉攻击入侵的痕迹,并在受到损害的系统上建立另外的新的安全漏洞或后门,以便在先前的攻击点被发现之后,继续访问这个系统。
(2)在目标系统中安装探测器软件,包括特洛伊木马程序,用来窥探所在系统的活动,收集黑客感兴趣的一切信息,如Telnet和FTP的账号名和口令等。
(3)进一步发现受损系统在网络中的信任等级,这样黑客就可以通过该系统信任级展开对整个系统的攻击。
4.2黑客入侵
1、“被侵入”指网络遭受到非法闯入的情况。
入侵程度:
(1)入侵者只获得访问权(一个登录名和口令)
(2)入侵者获得访问权,并毁坏、侵蚀或改变数据
(3)入侵者获得访问权,并获得系统一部分或整个系统控制权,拒绝拥有特权用户的访问
(4)入侵者没有获得访问权,而是用不良的程序,引起网络持久性或暂时性的运行失败、重新启动、挂起或其它无法操作的状态。
2、对付黑客入侵
(1)发现黑客
若黑客破坏了站点的安全性,则应进行追踪。
在WindowsNT平台上,定期检查EventLog中的SecurityLog来寻找可疑行为。
(2)应急操作
①估计形势
A、黑客是否已成功闯入站点?
B、黑客是否还滞留在系统中?
若是,需尽快阻止他们。
C、可以关闭系统或停止有影响的服务(FTP、Gopher、Telnet等),甚至可能需要关闭因特网连接。
D、侵入是否有来自内部威胁的可能呢?
若如此,除授权者之外,别让其他人知道你的解决方案。
E、是否了解入侵者身份?
若想知道这些,可预先留出一些空间给入侵者,从中了解一些入侵者的信息。
②切断连接
A、能否关闭服务器?
需要关闭它吗?
若有能力,可以这样做。
若不能,可关闭一些服务。
B、是否关心追踪黑客?
若打算如此,则不要关闭因特网连接,因为这会失去入侵者的踪迹。
C、若关闭服务器,是否能承受得起失去一些必须的有用系统信息的损失?
③分析问题
必须有一个计划,合理安排时间。
当系统已被入侵时,应全盘考虑新近发生的事情,当已识别安全漏洞并将进行修补时,要保证修补不会引起另一个安全漏洞。
④采取行动
3、抓住入侵者
抓住入侵者是很困难的,特别是当他们故意掩藏行迹的时候。
机会在于你是否能准确击中黑客的攻击。
这将是偶然的,而非有把握的。
然而,尽管击中黑客需要等待机会,遵循如下原则会大有帮助。
(1)注意经常定期检查登录文件。
特别是那些由系统登录服务和wtmp文件生成的内容。
(2)注意不寻常的主机连接及连接次数通知用户。
(3)注意那些原不经常使用却突然变得活跃的账户。
应该禁止或干脆删去这些不用的账户。
(4)预计黑客经常光顾的时段里,每隔10分钟运行一次shellscript文件,记录所有的过程及网络联接。
4.3扫描器(Scanner)
扫描器:
是检测远程或本地系统安全脆弱性的软件,通过与目标主机TCP/IP端口建立连接和并请求某些服务,记录目标主机的应答,搜集目标主机相关信息,从而发现目标主机存在的安全漏洞。
Ø
安全评估工具:
管理员用来确保系统的安全性
黑客攻击工具:
黑客用来探查系统的入侵点
1、扫描器的基本工作原理
扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。
扫描器测试TCP/IP端口和服务,并记录目标的回答。
通过这种方法,可以搜集到关于目标主机的有用信息。
2、扫描器的功能
发现一个主机和网络的能力
发现系统运行的服务
通过测试这些服务,发现漏洞的能力
进一步的功能:
如操作系统辨识、应用系统识别
3、扫描器的典型扫描过程
输入:
扫描目标对象
扫描网络检验操作系统端口扫描收集服务类型/版本扫描漏洞产生报表
输出:
系统漏洞列表。
4.4网络监听
✧在一个共享式网络,可以听取所有的流量。
是一把双刃剑
✓管理员可以用来监听网络的流量情况。
✓开发网络应用的程序员可以监视程序的网络情况。
✓黑客可以用来刺探网络情报。
1、可用以下方法检测系统是否运行网络监听软件:
方法一:
对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址去ping,运行监听程序的机器会有响应。
这是因为正常的机器不接收错误的物理地址,而处于监听状态的机器则能接收。
方法二:
往网上发送大量不存在的物理地址的信息包,由于监听程序处理这些包,将导致性能下降。
通过比较该机器前后的性能加以判断。
但这种方法难度比较大。
方法三:
使用反监听工具(如antisniffer等)进行检测。
2、网络嗅探器(sniffer)
⏹sniffer(网络嗅探器,也叫网络分析仪)是一种常用的收集和分析网络数据的工具(程序)。
它接收和分析的数据可以是用户的账号和密码,也可以是一些商用机密数据等。
随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。
在Internet安全隐患中扮演重要角色之一的sniffer已受到人们越来越多的关注。
⏹网络监听的目的是截获通信的内容,监听的手段是对协议进行分析。
⏹监听器Sniffer的原理:
在局域网中与其他计算机进行数据交换的时候,发送的数据包发往所有的连在一起的主机,也就是广播,在报头中包含目标机的正确地址。
因此只有与数据包中目标地址一致的那台主机才会接收数据包,其他的机器都会将包丢弃。
但是,当主机工作在监听模式下时,无论接收到的数据包中目标地址是什么,主机都将其接收下来。
然后对数据包进行分析,就得到了局域网中通信的数据。
一台计算机可以监听同一网段所有的数据包,不能监听不同网段的计算机传输的信息。
第五章网络入侵
34-37=4
5.1社会工程学攻击
社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学。
2、攻击的两种方式:
打电话请求密码和伪造Email。
5.2物理攻击与防范
⏹物理安全:
保护一些比较重要的设备不被接触。
⏹物理安全比较难防止,因为攻击往往来自能够接触到物理设备的用户。
5.3缓冲区溢出攻击的原理
通过制造缓冲区溢出使程序运行一个用户shell,在通过shell执行其他命令,有管理员权限的shell能对系统进行任意操作。
第六章网络后门与网络隐身
38-45=8
6.1入侵过程的三个重要步骤
1、隐藏IP、2、种植后门、3、在网络中隐身
◇恶意代码:
是一种程序,通过将代码在不被察觉的情况下寄宿到另一段程序中,从而达到破坏被感染计算机数据、运行入侵性或破坏性的程序、破坏被感染的系统数据的安全性和完整性的目的。
按工作机理和传播方式区分有:
普通病毒、木马、蠕虫、移动代码和复合型病毒五类。
6.2木马
1、特洛伊木马概述
一种秘密潜伏的能够通过远程网络进行控制的恶意程序。
2、木马的特性:
隐蔽性、潜伏性、再生性。
3、木马的原理
木马程序运行时会隐藏行踪。
大多数木马程序都有一个独立的可执行文件。
木马通常不容易被发现,因为它以一个正常应用的身份在系统中运行的。
木马也采用客户机/服务器工作模式。
客户端放在木马控制者的计算机中,服务器端放置在被入侵的计算机中,木马控制者通过客户端与被入侵计算机的服务器端建立远程连接。
一旦连接建立,木马控制者就可通过向被入侵计算机发送指令来传输和修改文件。
攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使用户运行合法软件。
6.3蠕虫
⏹蠕虫病毒以计算机为载体,以网络为攻击对象。
⏹蠕虫病毒与一般病毒的区别
补充一计算机病毒
46-66=21
+1.1计算机病毒概述
1、计算机病毒的概念
《计算机信息系统安全保护条例》明确定义:
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
2、计算机病毒的特征
破坏性、传染性、隐蔽性、潜伏性、不可预见性、针对性。
3、计算机病毒的分类
✓按破坏强弱程度分:
良性病毒和恶性病毒。
✓按传染方式分:
文件型病毒、引导型病毒和混合型病毒。
✓按连接方式分:
源码型病毒、嵌入型病毒、操作系统型病毒和外壳型病毒。
+1.2计算机病毒的原理
计算机病毒的逻辑结构(3个功能模块)
1、传统病毒
传统病毒一般指早期的DOS病毒,通常分为引导类型、文件型和混合型。
引导型病毒的工作流程
文件型病毒的工作流程
2、宏病毒
宏:
一些列组合在一起的命令和指令,形成一个命令,以实现任务执行的自动化。
宏病毒:
是一种存储于文档、模块或加载宏程序中的计算机病毒。
特点:
只感染微软数据(文档)文件
机制:
用VB高级语言编写的病毒代码,直接混杂在文件中,并加以传播,当打开受感染的文件或执行触发宏病毒的操作时,病毒就会被激活,并存储到Normal.dt模版或Personal.xls文件中,以后保存的每个文档都会自动被病毒感染。
宏病毒的工作流程:
+1.3网络病毒的检测
1、概述
⏹病毒静态时存储于磁盘,激活时驻留在内存,对计算机病毒的检测分为对内存的检测和对磁盘的检测。
2、病毒的检查方法
(1)比较法
▪比较法:
进行原始的或正常的特征与被检测对象的特征比较。
▪由于病毒的感染会引起文件长度和内容、内存以及中断向量的变化,从这些特征的比较中可以发现差异,从而判断病毒的有无。
▪优点:
简单、方便,不需专用软件。
▪缺点:
无法确认计算机病毒的种类和名称。
(2)扫描法
▪扫描法:
用每一种病毒体含有的特定字符串对被检测的对象进行扫描。
▪特征串选择的好坏,对于病毒的发现具有决定作用。
如何提取特征串,则需要足够的相关知识。
检测准确、快速,可识别病毒名称和类别,误报警率低,容易清除病毒
被扫描的文件很长时,扫描时间长;
不容易选出合适的特征串;
计算机病毒代码库未及时更新时,无法识别出新型计算机病毒;
不易识别变形计算机病毒等。
(3)特征字识别法
▪计算机病毒特征字的识别法只需从病毒体内抽取很少几个关键的特征字来组成特征字库。
它是基于特征串扫描法发展起来的一种新方法。
检测准确、速度更快,可识别病毒名称和类别,误报警率低,容易清除病毒
(4)分析法
✓本方法是运用相应技术分析被检测对象,确认是否为病毒的。
分析法的目的在于:
确认被观察的磁盘引导区和程序中是否含有病毒;
确认病毒的类型和种类,是否新病毒;
弄清病毒体的大致结构,提取字节串或特征字,用于增添到病毒代码库;
详细分析病毒代码,为制定相应的反病毒措施制定方案。
(5)校验和法
✓病毒校验和法:
对正常文件的内容,计算其校验和,将该校验和保存起来,可供被检测对象对照比较,以判断是否感染了病毒。
可侦测到各式的计算机病毒,包括未知病毒
误判率高,无法确认病毒种类
▪利用校验和法既能发现已知病毒,也能发现未知病毒,但它不能识别病毒类型和指出病毒名称。
由于病毒感染并非文件内容改变的唯一原因,文件内容改变有可能是正常程序引起的,因此,该方法经常会产生误报警,且会影响文件的运行速度。
校验和法对隐蔽型病毒无效。
因为隐蔽型病毒进入内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗。
对一个有毒文件能计算出正常的校验和。
第八章密码学与信息加密
67-97=31
8.1密码学
⏹发展阶段:
传统密码学计算机密码学。
⏹传统密码学:
靠人工进行信息加密、传输和破译。
⏹计算机密码学:
利用计算机进行自动或半自动地加密、解密和传输。
⏹1.传统方式计算机密码学
⏹2.现代方式计算机密码学
⏹对称密钥密码体制
⏹公开密钥密码体制
⏹密码学包括密码编码学和密码分析学两部分。
1、密码学的基本概念
⏹加密:
把信息从一个可理解的明文形式变换成一个错乱的、不可理解的密文形式的过程
⏹明文(PlainText):
原来的信息(报文)、消息,就是网络中所说的报文(Message)
⏹密文(CipherText):
经过加密后得到的信息
⏹解密:
将密文还原为明文的过程
⏹密钥(Key):
加密和解密时所使用的一种专门信息(工具)
⏹密码算法(Algorithm):
加密和解密变换的规则(数学函数),有加密算法和解密算法
⏹加密系统:
加密和解密的信息处理系统
⏹加密过程是通过某种算法并使用密钥来完成的信息变换
8.2传统密码技术
1、数据的表示2、替代密码3、移位密码4、一次一密钥密码
8.3对称密钥密码体制
⏹也叫传统密钥密码体制,基本思想是“加密密钥和解密密钥相同或相近”,由其中一个可推导出另一个。
使用时两个密钥均需保密。
⏹传统密钥密码算法有:
DES、IDEA、TDEA(3DES)、MD5、RC5等,典型的算法是DES算法。
⏹加密算法要达到的四个目的。
⏹提供高质量的数据保护,防止数据XX的泄露和未被察觉的修改。
⏹具有相当高的复杂性,使得破译的开销超过可能获得的利益,同时又要便于理解和掌握。
⏹DES密码体制的安全性应该不依赖于算法的保密,其安全性仅以加密密钥的保密为基础。
⏹实现经济,运行有效,并且适用于多种完全不同的应用。
8.4公开密钥密码体制
⏹加密密钥与解密密钥不同,且由其中一个不容易得到另一个,则这种密码系统是非对称密钥系统。
往往其中一个密钥是公开的,另一个是保密的。
因此,相应的密码体制叫公开密钥密码体制。
公开密钥密码体制的主要算法有RSA、背包算法、Elgamal、Rabin、DH等。
1、RSA算法的演算过程:
密钥配制过程、加密、解密。
P81
2、DES和RSA算法的特点和比较
(1)DES的特点
•可靠性较高(16轮变化,增大了混乱性和扩散性,输出不残存统计信息)。
•加密/解密速度快。
•算法容易实现(可由软件和硬件实现,硬件实现速度快),通用性强。
•算法具有对称性,密钥位数少,存在弱密钥和半弱密钥,便于穷尽攻击。
•密钥管理复杂。
(2)RSA算法的特点
•密钥管理简单(网上每个用户仅保密一个密钥,且不需密钥配送);
•便于数字签名;
•可靠性较高(取决于分解大素数的难易程度);
•算法复杂,加密/解密速度慢,难于实现。
8.5混合加密方法
⏹原理是:
在发送端先使用DES或IDEA对称算法加密数据,然后使用公开算法RSA加密前者的对称密钥;
到接收端,先使用RSA算法解密出对称密钥,再用对称密钥解密被加密的数据。
⏹整个系统需保密的只有少量RSA算法的解密密钥。
因为对称密钥的数据量很少(64/128位),RSA只需对其做1~2个分组的加密/解密即可,也不会影响系统效率的。
8.6鉴别与认证技术
1、鉴别技术概述
⏹鉴别包括报文鉴别和身份验证。
✓报文鉴别是为了确保数据的完整性和真实性,对报文的来源、时间性及目的地进行验证。
✓身份验证是验证进入网络系统者是否是合法用户,以防非法用户访问系统
⏹报文鉴别和身份验证可采用数字签名技术实现。
⏹身份验证的方法有:
口令验证、个人持证验证和个人特征验证。
⏹报文鉴别的常用方法是使用信息摘要或散列函数进行。
数字摘要的使用过程:
①对原文使用Hash算法得到数字摘要;
②将数字摘要与原文一起发送;
③接收方将收到的原文应用单向Hash函数产生一个新的数字摘要;
④将新数字摘要与发送方数字摘要进行比较。
2、数字签名和验证的过程
(1)报文的发送方从原文中生成一个数字摘要,再用发送方的私钥对这个数字摘要进行加密来形成发送方的数字签名。
(2)发送方将数字签名作为附件与原文一起发送给接收方。
(3)接收方用发送方的公钥对已收到的加密数字摘要进行解密;
(4)接收方对收到的原文用Hash算法得到接收方的数字摘要;
(5)将解密后的发送方数字摘要与接收方数字摘要进行对比,进行判断。
数字签名解决了电子商务信息的完整性鉴别和不可否认性(抵赖性)问题。
3、数字签名与加密过程密钥对使用差别
数字签名使用的是发送方的密钥对,是发送方用自己的私钥对摘要进行加密,接收方用发送方的公钥对数字签名解密,是一对多的关系,表明发送方公司的任何一个贸易伙伴都可以验证数字签名的真伪性;
密钥加密解密过程使用的是接收方的密钥对,是发送方用接收方的公钥加密,接收方用自己的私钥解密,是多对一的关系,表明任何拥有该公司公钥的人都可以向该公司发送密文,但只有该公司才能解密,其他人不能解密;
第九章防火墙与入侵检测
98-142=45
9.1防火墙概述
防火墙(Firewall)是在两个网络之间执行访问控制策略的一个或一组安全系统。
1、防火墙的发展简史
⏹第一代防火墙:
采用包过滤(PacketFilter)技术。
⏹第二、三代防火墙:
推出电路层防火墙,和应用层防火墙的初步结构。
⏹第四代防火墙:
开发基于动态包过滤技术的第四代防火墙。
⏹第五代防火墙:
NAI公司推出一种自适应代理技术,可以称之为第五代防火墙。
2、防火墙的功能
✓强化网络安全策略,集中化的网络安全管理。
✓记录和统计网络访问活动。
✓限制暴露用户点,控制对特殊站点的访问。
✓网络安全策略检查。
3、防火墙的局限性
✓不能防范内部人员的攻击
✓不能防范绕过它的连接
✓不能防备全部的威胁
✓不能防范恶意程序
9.2防火墙技术
⏹根据防火墙的技术原理分类:
包过滤防火墙、代理服务器防火墙、状态检测防火墙和自适应代理防火墙。
1、包过滤技术
⏹包过滤防火墙通常只包括对源IP地址和目的IP地址及端口的检查。
⏹包过滤防火墙通常是一个具有包过滤功能的路由器。
因为路由器工作在网络层,因此包过滤防火墙又叫网络层防火墙。
⏹包过滤是在网络的出口(如路由器上)对通过的数据包进行检测,只有满足条件的数据包才允许通过,否则被抛弃。
这样可以有效地防止恶意用户利用不安全的服务对内部网进行攻击。
⏹包过滤就是根据包头信息来判断该包是否符合网络管理员设定的规则,以确定是否允许数据包通过。
★包过滤防火墙
⏹数据包过滤技术的发展:
静态包过滤、动态包过滤。
⏹包过滤的优点:
不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。
⏹缺点和局限性:
在机器中配置包过滤规则比较困难;
对包过滤规则的配置测试也麻烦;
很难找到具有完整功能的包过滤产品。
⏹包过滤防火墙是一种静态防火墙。
静态包过滤防火墙是按照定义好的过滤规则审查每个数据包。
过滤规则是基于数据包的报头信息制定的。
2、代理服务技术
⏹代理服务是运行在防火墙主机上的特定的应用程序或服务程序。
防火墙主机可以是具有一个内部网接口和一个外部网接口的双穴(DuelHomed)主机,也可以是一些可以访问Internet并可被内部主机访问的堡垒主机。
⏹这些代理服务程序接受用户对Internet服务的请求,并按安全策略转发它们的实际的服务。
⏹所谓代理,就是提供替代连接并充当服务的桥梁(网关)。
⏹代理服务的一大特点就是透明性。
⏹代理服务位于内部用户和外部服务之间。
代理程序在幕后处理所有用户和Internet服务之间的通信以代替相互间的直接交谈。
⏹对于用户,代理服务器给用户一种直接使用“真正”服务器的感觉;
对于真正的服务器,代理服务器给真正服务器一种在代理主机上直接处理用户的假象。
⏹用户将对“真正”服务器的请求交给代理服务器,代理服务器评价来自客户的请求,并作出认可或否认的决定。
如果一个请求被认可,代理服务器就代表客户将请求转发给“真正”的服务器,并将服务器的响应返回给代理客户。
3、状态检测技术
⏹状态检测防火墙又称动态包过滤防火墙。
状态检测防火墙在网络层由一个检查引擎截获数据包,抽取出与应用层状态有关的信息,并以此作为依据决定对该数据包是接受还是拒绝。
⏹检查引擎维护一个动态的状态信息表并对后续的数据包进行检查。
一旦发现任何连接的参数有意外变化,该连接就被中止。
⏹状态检测防火墙是新一代的防火墙技术,也被称为第三代防火墙。
9.3常见防火墙系统模型
⏹常见防火墙系统一般按照四种模型构建:
⏹筛选路由器模型、单宿主堡垒主机(屏蔽主机防火墙)模型、双宿主堡垒主机模型(屏蔽防火墙系统模型)和屏蔽子网模型。
1、包过滤结构防火墙
2、双穴主机结构
⏹双穴主机有两个接口。
这样的主机可担任与这些接口连接的网络路由器,并可从一个网络到另一个网络发送IP数据包。
3、主机过滤结构
⏹主机过滤结构中提供安全保障的主机(堡垒主机)在内部网中,加上一台单独的过滤路由器,一起构成该结构的防火墙。
⏹堡垒主机是Internet主机连接内部网系统的桥梁。
任何外部系统试图访问内部网系统或服务,都必须连接到该主机上。
因此该主机需要高级别安全。
4、子网过滤结构
⏹子网过滤体系结构添加了额外的安全层到主机过滤体系结构中,即通过添加参数网络,更进一步地把内部网络与Internet隔离开。
⏹通过参数网络将堡垒主机与外部网隔开,减少堡垒主机被侵袭的影响。
⏹子网过滤体系结构的最简单的形式为两个过滤路由器,每一个都连接到参数网络上,一个位于参数网与内部网之间,另一个位于参数网与外部网之间。
这是一种比较复杂的结构,它提供了比较完善的网络安全保障和较灵活的应用方式。
9.4入侵检测系统
1、入侵检测
入侵检测(IntrusionDetection)技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包