《部分网络安全介绍.ppt》由会员分享,可在线阅读,更多相关《部分网络安全介绍.ppt(72页珍藏版)》请在三一办公上搜索。
1、网络信息安全技术,内容提纲,一、我国网络现状,1、上网人数激增,中国网民人数增长情况,2、网络安全事件频发,3、攻击手段多样,二、网络攻击方法及原理,1、黑客简史,(1)影视中的黑客,黑客帝国,浪漫主义的黑客电影,浪漫主义的黑客电影,箭鱼行动,写实主义的黑客电影,虎胆龙威4,恐怖主义的黑客电影,黑客悲情,中国特色黑客电影,(2)黑客起源的背景,起源地:美国精神支柱:对技术的渴求对自由的渴求历史背景:越战与反战活动马丁路德金与自由嬉皮士与非主流文化电话飞客与计算机革命,(3)著名黑客,罗伯特莫里斯 1988年,莫里斯蠕虫病毒震撼了整个世界。由原本寂寂无名的大学生罗伯特莫里斯制造的这个蠕虫病毒入侵
2、了大约6000个大学和军事机构的计算机,使之瘫痪。此后,从CIH到美丽杀病毒,从尼姆达到红色代码,病毒、蠕虫的发展愈演愈烈,凯文米特尼克美国20世纪最著名的黑客之一,社会工程学的创始人1979年他和他的伙伴侵入了北美空防指挥部。1983年的电影战争游戏演绎了同样的故事,在片中,以凯文为原型的少年黑客几乎引发了第三次世界大战,(4)中国的“黑客文化”,中国缺乏欧美抚育黑客文化的土壤缺少庞大的中产阶层缺少丰富的技术积累中国的黑客文化的“侠”侠之大者,为国为民侠之小者,除暴安良,(5)中国“黑客”重要历史事件,1998年印尼事件以八至六人为单位,向印尼政府网站的信箱中发送垃圾邮件用Ping的方式攻击
3、印尼网站中国黑客最初的团结与坚强的精神,为后来的中国红客的形成铺垫了基础技术性黑客牵头组建了“中国黑客紧急会议中心”负责对印尼网站攻击期间的协调工作,1999年南联盟事件中国黑客袭击了美国能源部、内政部及其所属的美国家公园管理处的网站大规模的攻击致使白宫网站三天失灵 绿色兵团南北分拆事件1997年,中国最老牌的黑客组织“绿色兵团”成立,黑客从此有了自己的江湖2000年3月,“绿色兵团”与中联公司合作投资,并在北京招募成员注册了北京中联绿盟信息技术公司同年7月,由于商业问题,北京绿盟与上海绿盟因内部原因合作破裂,中美五一黑客大战事件04年初,四川站开始负责美国IP段的收集,扫描NT主机与UNIX
4、主机,并启动的四十多台跳板主机全速扫描一些美国IP段的网站。使用一些常见的系统漏洞,在三个小时之内入侵了五个网站,其中三个被更换了页面,另外两个作了跳板5月1日,中国鹰派“五月之鹰行动指挥中心”正式成立 晚11时,山东站成员扫描出IP段的美国主机漏洞,然后,上传木马和被黑页面。几小时后,这些主机“都见上帝去了”美黑客以嚣张的气焰攻击国内的网站。至5月3日,国内已有400多个网站沦陷。入侵者破坏手段已不是停留在修改页面上,而是删除重要数据,使服务器彻底瘫痪使用飘叶邮件炸弹及PING不断地向白宫等重点网站发数据包,使美国黑客陷入了“人民战争的汪洋大海”中去5月8日,红客联盟和中国鹰派共同宣布停止对
5、美攻击,四川站也停火直至5月8日战斗结束,美国共有1600多个网站遭到了不同程度的破坏,包括美国劳工部、美国加利福尼亚能源部、日美社会文化交流会、白宫历史协会、UPI新闻服务网、华盛顿海军通信站等。连安全性很强的美国白宫网站,都被DDOS(分布式拒绝服务)被迫关闭了2小时,(6)黑客的分类,灰帽子破解者破解已有系统发现问题/漏洞突破极限/禁制展现自我计算机 为人民服务漏洞发现-Flashsky软件破解-0 Day工具提供-Glacier,渴求自由,(7)所谓黑客语言,H4x3r 14n9u493 i5 4 diff3r3n7 14n9u493 fr0m 3n91i5h.w3 c4n find
6、7hi5 14n9u493 in h4x3r5 885,IRC 0r 07h3r Ch477in9 p14c3.,常见替换A=4B=8E=3G=9l=1O=0S=5t=7Z=2,常见缩写CK=xYou=uAre=rSee=cAnd=n/&Not=!,2、攻击阶段划分和思路及操作,2、常见攻击及原理,(1)端口扫描扫描原理 扫描程序是自动检测远端主机或者本地主机安全脆弱性的程序。,扫描的一般步骤 获取主机名与IP 地址:使用whois与nslookup等工具 获得操作系统类型信息:最快方法是试图telnet该系统 FTP 信息:攻击者将测试是否开放FTP 服务,匿名FTP 是否可用,若可用,则试
7、图发掘更多的潜在问题TCP/UDP扫描:对于TCP,telnet可以用来试图与某一特定端口连接,这也是手工扫描的基本方法。从中再分析系统是否开放了rpc 服务、finger、rusers 和rwho等比较危险的服务,扫描程序收集的目标主机的信息当前主机正在进行什么服务?哪些用户拥有这些服务?是否支持匿名登录?是否有某些网络服务需要鉴别?常用扫描软件Nmap(http:/)Superscan(http:/)Sl(http:/),口令攻击程序有很多,用于攻击UNIX平台的有Crack、CrackerJack、PaceCrack95、Qcrack、John the Ripper、Hades等等;用于
8、攻击Windows 平台的有10phtCrack2.0、ScanNT、NTCrack、Passwd NT等等。口令防御:用户登录失败的次数;特殊字符的8字节以上的长口令,并且要定期更换口令;要保证口令文件的存储安全。口令分析方法穷举法分析破译法:数学归纳分析或统计密码破解John(http:/john/)L0pht Crack5(http:/)Word 密码破解Advanced Office XP Password Recovery,(2)获取口令,(3)放置特洛伊木马程序,特洛伊木马源自于希腊神话,在网络安全领域专指一种黑客程序,它可以直接侵入用户的电脑并进行破坏它一般包括两个部分,控制端软
9、件和被控端软件。被控端软件常被伪装成工具程序或者游戏等,诱使用户打开带有该软件的邮件附件或从网上直接下载。一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会在目标计算机系统中隐藏一个可以在系统启动时悄悄执行的程序。当用户连接到因特网上时,这个程序可以通知攻击者,报告用户的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用事先潜伏在其中的程序,任意地修改用户的计算机的参数设定、复制文件、窥视用户整个硬盘中的内容等,从而达到控制用户的计算机的目的。冰河Wollf()winshell,(4)网络钓鱼,网络钓鱼(Phishing)“Fishing”和“Phone”的综合词,它利用欺骗
10、性的E-mail和伪造的Web站点来进行诈骗活动,使受骗者泄露自己的重要数据,如信用卡号、用户名和口令等实例 一恶意网站,伪装成中国工商银行主页QQ欺骗,原理 由大量能够实现恶意功能的Bot(主机感染bot程序,僵尸程序)、Command&Control Server和控制者组成,能够受攻击者控制的网络。攻击者在公开或秘密的IRC服务器上开辟私有的聊天频道作为控制频道,僵尸程序中预先已经设定好这些信息,当僵尸计算机运行时,僵尸程序就自动搜索并连接到这些控制频道,接收频道中的所有信息,这样就构成了一个IRC协议的僵尸网络。攻击者通过IRC服务器,向整个僵尸网络内的受控节点发送控制命令,操纵这些“
11、僵尸”进行破坏或者窃取行为。,(5)僵尸网络,(6)DDoS攻击,分布式拒绝服务(DDoS)攻击是DoS 攻击的演进。它的主要特征是利用可能广泛分布于不同网络中的多台主机针对一台目标主机进行有组织的DoS 攻击。多个攻击源的分布式特性使得DDoS攻击较传统的DoS 攻击有着更强的破坏性通常情况下,攻击者通过多级跳板登录到一个或多个主控端(即客户机),主控端以多对多的形式控制了大量的傀儡主机(即服务器)。攻击者通过主控端主机,控制傀儡机。傀儡机上运行的服务器程序接收来自主控端的指令并向受害主机发动攻击,DDoS 攻击工具Trinoo:较早期的DDoS攻击工具,向受害主机随机端口发送大量全零4字节
12、长度的UDP包,处理这些垃圾数据包的过程中,受害主机的网络性能不断下降,直至发生拒绝服务,乃至崩溃。Trinoo 并不伪造源IP 地址,不使用主控端TFN:由主控端和傀儡机两部分组成,主要攻击方式有:TCP SYN 洪泛攻击、ICMP 洪泛攻击、UDP 攻击和类Smurf 型的攻击,能够伪造源地址。TFN2K:是由TFN 发展而来的,新增了一些特性,它的主控端和傀儡机的通信是经过加密的Stacheldraht:也是从TFN 派生出来的,增加了主控端与傀儡机的加密通信能力。可以防范一些基于路由器的过滤机制,且存在内嵌傀儡机升级模块Smurf 型攻击:是一类攻击形式的总称,一般使用了ping 请求
13、数据包来进行,傀儡机在对受害主机发动攻击时,将攻击数据包的源地址伪装成受害主机的IP 地址,每台主机会对收到的源地址为受害者IP 的ping 请求进行应答,从而形成攻击数据流,常用攻击方法,网络层SYN FloodICMP FloodUDP FloodPing of Death应用层垃圾邮件CGI资源耗尽针对操作系统 winnuke,解剖SYN Flood,(7)中间人攻击,当攻击者位于一个可以观察或截获两个机器之间的通信的位置时,就可以认为攻击者处于中间人方式。因为很多时候主机之间以明文方式传输有价值的信息,因此攻击者可以很容易地攻入其他机器。对于某些公钥加密的实现,攻击者可以截获并取代密钥
14、,伪装成网络上的两个节点来绕过这种限制。,(8)漏洞扫描工具,NessusX-Scan,(9)病毒,引导区病毒文件病毒硬件病毒蠕虫实例武汉男孩步行者,(10)嗅探,Ethereal(http:/)Windump()Xsniff(http:/),(11)Arp欺骗,Xspoof,(12)其它攻击技术,电子邮件攻击 网络监听缓冲区溢出,三、网络安全防御技术,1、防火墙技术(1)网络防火墙是借鉴了真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络,防止发
15、生不可预测的、潜在破坏性的侵入。,(2)防火墙具有的基本特性,内部网络和外部网络之间的所有网络数据流都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙防火墙自身应具有非常强的抗攻击能力,(3)防火墙结构,双宿主机防火墙,Dual-homed host(gateway),Firewall,屏蔽主机防火墙(主机过滤结构),Bastion Host,Screened Router,Firewall,屏蔽子网防火墙,Outer Router,Bastion Host,Inner Router,DMZ,Firewall,使用多堡垒主机,Outer Router,FTP Bastion,Inner
16、Router,DMZ,Firewall,WWW Bastion,2 入侵检测系统,(1)定义入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用计算机的合法用户,危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测(Intrusion Detection,ID)是通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵检测系统(Intrusion Detection System,IDS)是实现入侵检测功能的硬件与软件。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用
17、的热点,其间出现了许多研究原型与商业产品。入侵检测系统是网络安全的第二道防线。入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。,(2)功能,保护(入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。检测(入侵的检测)研究如何高效正确地检测网络攻击响应(入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等容忍指当一个网络系统遭受非法入侵后,其中的防护安全技术都失效或者不能完全排除入侵所造成的影响时,既是系统的某些组件遭受攻击者的破坏,但容侵系统能自我诊断、恢复和重构,并能为合法用户提供所需的全部或者降级的服务,(3
18、)入侵检测系统结构,CIDF(Common Intrusion Detection Framework)定义了通用的IDS系统结构,它将入侵检测系统分为四个功能模块,如图所示.,(4)拓扑,Firewall,Servers,DMZ,Intranet,监控中心,router,攻击者,报警,报警,(5)常用入侵检测方法,贝叶斯推理神经网络聚类分析数据挖掘机器学习,(6)入侵检测系统实例,BlackICESnortRealSecure冰之眼,3、密码学,(1)定义,研究编码和解码的学科,(2)常规密码通信系统框图,(3)经典密码系统,DES加解密步骤相同性能良好雪崩效应弱密钥RSARSA129 94
19、年RSA130 96年RSA154(512):每秒百万,4.21025年AES 未来弹性(整数分解、一般离散对数(ax mod bc)、椭圆曲线离散对数),4网络安全态势感知,(1)信息获取(2)威胁感知(3)态势预测,5 病毒检测技术,(1)CV的检测方法比较法搜索法特征字识别分析法(2)常用CV检测软件病毒扫描软件完整性检查软件行为封锁软件,(3)商用防病毒软件,国外NortonMcafeeTrendKaspersky国内360瑞星金山江民,6 密罐技术HONEYPOT,密罐技术就是建立一个虚假的网络,诱惑黑客攻击这个虚假的网络,从而达到保护真正网络的目的。,7 蜜网技术,实质上是一种研究型、高交互型的蜜罐技术体系框架包括一个或多个蜜罐多层次的数据控制机制高度可控全面的数据捕获机制辅助研究人员对攻击数据进行深入分析,四、未来的展望,1、多源数据整合2、攻击行为建模(黑客、网络)3、多攻击阶段关联4、攻击行为预测5、网络安全态势感知 6、网络安全系统自认知能力,Join Us&Enjoy In It,
