《网络安全与病毒防范》教案.docx

1、网络安全与病毒防范教案网络安全与病毒防范第一章 网络安全概述本章概要 本章介绍信息安全的定义、安全网络的基本特征以及计算机网络面临的威胁。 信息安全的定义； 安全网络的基本特征； 计算机网络面临的威胁。课程目标 了解信息安全的定义及其涵盖的范围； 了解计算机网络面临的威胁主要来自哪些方面； 了解安全的计算机网络的基本特征。1.1 信息安全背景1.1.2 信息安全事件类型1.1.3信息安全问题的严重性1.2 信息安全威胁与弱点1.2.1 信息安全威胁信息安全面临的风险来源1.2.2 信息系统的弱点针对网络安全的攻击1.3 信息安全的定义信息安全体系结构1.4.1 网络系统现状1.4.2 网络系统

2、安全风险分析1.4.3 提出安全需求，建立安全目标1.4.9 安防工作是一个过程1.5 操作系统安全级别网络用户的法律规范网络服务业的法律规范网络信息传播安全管理制度 2000年9月20日公布施行互联网信息服务管理办法。 办法中把互联网信息服务分为经营性和非经营性两类。 经营性互联网信息服务，是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。 非经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。第二章 计算机网络基础本章概要 本章详细阐述了计算机网络的基本知识，主要涉及的内容有： OSI的七层模型及各层的主要功能 TCP/IP协议 局域网和广域网

3、技术课程目标2.1 计算机网络的分层结构社会上存在的邮政系统2.1.1 OSI的七层模型及各层的主要功能 物理层的主要功能： 利用传输介质为通信的网络结点之间建立、管 理和释放物理连接； 实现比特流的透明传输，为数据链路层提供数 据传输服务； 物理层的数据传输单元是比特。数据链路层的主要功能：网络层的主要功能： 通过路由选择算法为分组通过通信子网选择最适当的路径； 为数据在结点之间传输创建逻辑链路； 实现拥塞控制、网络互连等功能。传输层的主要功能： 向用户提供可靠端到端（end-to-end）服务； 处理数据包错误、数据包次序，以及其他一些关键传输问题； 传输层向高层屏蔽了下层数据通信的细节，

4、是计算机通信体系结构中关键的一层。会话层的主要功能： 负责维护两个结点之间的传输链接，以便确保点到点传输不中断； 管理数据交换。 表示层的主要功能： 用于处理在两个通信系统中交换信息的表示方式； 数据格式变换； 数据加密与解密； 数据压缩与恢复。应用层的主要功能 为应用程序提供了网络服务; 应用层需要识别并保证通信对方的可用性，使得协同工作的应用程序之间的同步; 建立传输错误纠正与保证数据完整性的控制机制。 OSI环境中的数据传输过程2.1.2 TCP/IP 协议栈TCP/IP参考模型的发展 在TCP/IP协议研究时，并没有提出参考模型； 1974年Kahn定义了最早的TCP/IP参考模型；

5、80年代Leiner、 Clark等人对TCP/IP参考模型进一步的研究； TCP/IP协议一共出现了6个版本，后3个版本是版本4、版本5与版本6； 目前我们使用的是版本4，它的网络层IP协议一般记作IPv4 ； 版本6的网络层IP协议一般记作IPv6（或IPng, IP next generation）； IPv6被称为下一代的IP协议。TCP/IP协议的特点 开放的协议标准; 独立于特定的计算机硬件与操作系统； 独立于特定的网络硬件，可以运行在局域网、广域网，更适用于互连网中； 统一的网络地址分配方案，使得整个TCP/IP设备在网中都具有唯一的地址； 标准化的高层协议，可以提供多种可靠的用

6、户服务。TCP/IP 参考模型与 OSI 参考模型的对应关系TCP/IP参考模型各层的功能 应用层（application layer） 传输层（transport layer） 互连层（internet layer） 主机-网络层（host-to-network layer）主机-网络层 参考模型的最低层，负责通过网络发送和接收IP数据报; 允许主机连入网络时使用多种现成的与流行的协议，如局域网的Ethernet、令牌网、分组交换网的X.25、帧中继、ATM协议等; 当一种物理网被用作传送IP数据包的通道时，就可以认为是这一层的内容; 充分体现出TCP/IP协议的兼容性与适应性，它也为TCP

7、/IP的成功奠定了基础。 互连层 相当OSI参考模型网络层无连接网络服务； 处理互连的路由选择、流控与拥塞问题； IP协议是无连接的、提供“尽力而为”服务的网络层协议。 传输层 主要功能是在互连网中源主机与目的主机的对等实体间建立用于会话的端-端连接； 传输控制协议TCP是一种可靠的面向连接协议； 用户数据报协议UDP是一种不可靠的无连接协议。 应用层应用层协议主要有： 网络终端协议Telnet 文件传输协议FTP 简单邮件传输协议SMTP 域名系统DNS 简单网络管理协议SNMP 超文本传输协议HTTP2.2 常用的网络协议和网络服务 常见的Internet服务 电子邮件 文件传输 Teln

8、et WWW服务 Usenet服务 域名服务 网络管理服务 网络文件服务 拨号访问服务2.3 常用的网络协议和网络技术 通常按其所覆盖的地理区域被分为局域网（LAN）和广域网（WAN），这两种网络的主要分类如下：局域网这些网络连接设备彼此都在一个局部的地区（最多到5KM）广域网这些网络覆盖一个非常大的地理区域，它允许在不同的设备间相互通讯2.3.1 局域网技术（LAN）Ethernet网卡结构令牌环网的工作原理光纤分布式数据接口FDDI2.3.2 广域网技术（WAN） SDLC协议和HDLC高层数据链路协议 Frame Relay（帧中继） PPP 点到点协议 ISND 综合业务数字网协议 A

9、DSL 非对称数字用户线2.4 常见网络设备常见网络设备2.5 虚拟局域网技术（VLAN） 虚拟网络的概念 虚拟网络建立在局域网交换机之上; 以软件方式实现对逻辑工作组的划分与管理; 逻辑工作组的结点组成不受物理位置的限制; 一个逻辑工作组的结点可以分布在不同的物理网段上，但它们之间的通信就像在同一个物理网段上一样。 虚拟局域网的组网方法 用交换机端口号定义虚拟局域网 用 MAC地址定义虚拟局域网 用网络层地址定义虚拟局域网 IP广播组虚拟局域网 虚拟局域网的优点 方便网络用户管理 减少网络管理开销 提供更好的安全性 改善网络服务质量 2.6 无线局域网无线局域网的应用 作为传统局域网的扩充

10、建筑物之间的互连 漫游访问 特殊网络 典型的无线局域网结构 蓝牙技术组建无线网络蓝牙(Bluetooth)技术是由爱立信、诺基亚、Intel、IBM 和东芝5家公司于1998年5月共同提出开发的。蓝牙技术的本质是设备间的无线联接，主要用于通信与信息设备。 第二章 结束第三章 黑客攻防剖析本章概要 黑客的定义 基于协议的攻击手法和防御手段 常见的漏洞分析课程目标 了解当前主要网络安全弱点 了解黑客攻击手段，提升防范能力3.1 “黑客”与“骇客”黑客Hacker 黑客起源于20世纪50年代美国著名高校的实验室中，他们智力非凡、技术高超、精力充沛，热衷于解决一个个棘手的计算机网络难题。骇客Crack

11、er 一部分人不能恪守“黑客”文化信条，恶意破坏计算机网络，盗窃信息系统。人们把这部分主观上有恶意企图的人称为“骇客”3.2 黑客攻击分类 攻击方法的分类是安全研究的重要课题，对攻击的定性和数据挖掘的方法来分析漏洞有重要意义。1. 按照TCP/IP协议层次进行分类 这种分类是基于对攻击所属的网络层次进行的，TCP/IP协议传统上分为四层，攻击类型可以分成四层（1）针对数据链路层的攻击(ARP,RARP)（2）针对网络层的攻击(ICMP,IP,IGMP)（3）针对传输层的攻击(TCP,UDP)（4）针对应用层的攻击(DNS,FTP,SMTP)2. 按照攻击者目的分类1）DOS(拒绝服务攻击)和D

12、DOS（分布式拒绝 服务攻击）2）Sniffer监听3）会话劫持于网络欺骗4）获得被攻击主机的控制权3. 按危害范围分类 局域网范围 广域网范围3.3 基于协议的攻击手法与防范重点介绍以下几种： ARP协议漏洞攻击 ICMP协议漏洞攻击 TCP协议漏洞攻击 各种协议明文传输攻击3.3.1 ARP协议漏洞漏洞描述 ARP协议（地址解析协议）工作在TCP/IP协议的第二层数据链路层，用于将IP地址转换为网络接口的硬件地址（MAC地址），无论是任何高层协议的通讯，最终都将转换为数据链路层硬件地址的通讯。漏洞描述 每台主机的内存中，都有一个ARPMAC的转换表，保存最近获得的IP与MAC地址对应。 A

13、RP转换表可以被攻击者人为地更改欺骗，可以针对交换式及共享式进行攻击攻击实现攻击实现的具体步骤（1）利用工具，进行拒绝式服务攻击（Ar free），让主机C宕掉，暂时停止工作。（2）这段时间里，入侵者把自己的IP改成192.168.0.3。（3）用工具发一个源IP地址为192.168.0.3源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A，要求主机A更新自己的ARP转换表。（4）主机更新了ARP表中关于主机C的IP-MAC对应关系。（5）防火墙失效了，入侵的IP变成合法的MAC地址，可以Telnet了。ARP欺骗防范 不要把你的网络安全信息关系建立在IP地址的基础上或硬件MAC地址

14、基础上（RARP同样存在欺骗问题），较为理想的信任关系应该建立在IP+MAC基础上。 设置在本机和网关设置静态的MAC-IP对应表，不要让主机刷新你设定好的转换表。在三层交换机上设定静态ARP表。 除非很有必要，否侧停止使用ARP，将ARP作为永久条目保存在对应表中。 在本机地址使用ARP，发送外出的通信使用代理网关。 修改系统拒收ICMP重定向报文。3.3.2 ICMP协议漏洞 漏洞描述 ICMP是“Internet Control Message Protocol”（Internet控制消息协议）的缩写，是传输层的重要协议。它是TCP/IP协议簇的一个子协议，用于IP主机、路由之间传递控制

15、消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。所以许多系统和防火墙并不会拦截ICMP报文，这给攻击者带来可乘之机。攻击实现 ICMP转向连接攻击 ICMP数据包放大 死ping 攻击 ICMP Ping 淹没攻击 ICMP nuke 攻击 通过ICMP进行攻击信息收集 LINUX TTL=64 windows95/98/Me TTL=32 windows2000/NT TTL=128ICMP 攻击的防范 策略一： 对ICMP数据包进行过滤 策略二：修改TTL值，巧妙骗过黑客echo REGEDIT4ChangeTTL.regecho.ChangeTTL.regech

16、oHKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParametersChangeTTL.regecho “DefaultTTL”=“dword:000000”ChangeTTL.regREGEDIT/S/C ChangeTTL.reg3.3.3 TCP协议漏洞漏洞描述 TCP（传输控制协议）是一种可靠的面向连接的传送服务。它在传送数据时是分段进行的，主机交换数据必须建立一个会话。 TCP协议是攻击者攻击方法的思想源泉，主要问题存在于TCP的三次握手协议上。正常的TCP三次握手过程（1）请求端A发送一个初始序号为ISNa的SYN报文（

17、2）被请求端B收到A的SYN报文后，发送给A自己的初始序列号为ISNb，同时将ISNa+1作为确认SYN+ACK报文（3）A对SYN+ACK报文进行确认，同时将ISNa+1，ISNb+1发送给B，TCP连接完成。SYN Flood攻击实现 黑客机器向受害主机发送大量伪造源地址的TCP SYN报文，受害主机分配必要的资源，然后向源地址返回SYN+ACK包，并等待源端返回ACK包。 半连接队列很快就会填满，服务器拒绝新的连接，将导致该端口无法响应其他机器进行的连接请求，最终使受害主机的资源耗尽。防御方法（一） 通过防火墙、路由器等过滤网关防护（二）通过加固TCP/IP协议栈防范3.3.4 其他协议

18、明文传输漏洞漏洞描述 TCP/IP协议数据流采用明文传输，是网络安全的一大隐患，目前所使用的Ftp、http、pop和telnet服务在本质上都是不安全的，因为他们在网络上用明文传送口令和数据，攻击者可以很容易地通过嗅探等方式获取这些口令和数据。攻击实现 网络抓包工具很多。 黑客经常使用该工具来修改网络发送和接受数据，协助完成很多网页脚本的入侵工作。例：使用Winsock Expert 获取Sina网站的邮箱 用户名及密码信息。防御方法 从逻辑或物理上对网络分段 以交换式集线器代替共享式集线器 使用加密技术 划分VLAN（虚拟局域网）技术 使用动态口令技术，使得侦听结果再次使用时无效3.4 操

19、作系统漏洞攻击 无论是UNIX、windows，还是其他操作系统，都存在着安全漏洞。 3.4.1 输入法漏洞漏洞描述 Microsoft 自Windows 2000 开始，支持中文用户名。这些随系统装入的输入法可以在系统登录界面中使用，以便用户能使用基于中文字符的用户标识和密码登录到系统。 进而，一些别有用心的用户可以通过直接操作该系统的登录界面得到当前系统权限。攻击实现攻击防范 给windows 2000 打补丁到SP4 删除输入法帮助文件和多余的输入法 防止别人恶意利用net.exe3.4.2 IPC$攻击漏洞描述 IPC$是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，通

20、过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。漏洞防范（1）禁止空连接进行枚举（2）禁止默认共享3.4.3 Remote Procedure Call （RPC）漏洞漏洞描述： 远程过程调用是一种协议，程序可使用这种协议向网络中的另一台计算机上的程序请求服务。 使用RPC的 程序不必了解支持通信的网络协议的情况，远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。漏洞防范：（1）通过防火墙关闭135端口（2）更新最新补丁3.5 WEB应用漏洞3.5.1 针对数据库漏洞MS SQL-SERVER空口令入侵 在微软的MS

21、SQLServer7.0以下的版本在默认安装时，其SA（System Administrator）账户口令为空，所开端口为1433，一个入侵者只要使用一个MS SQL客户端与SA口令为空的服务器连接就可以获得System的权限。Access 数据库下载漏洞 Access数据操作灵活，转移方便，运行环境简单，对于小型网站的数据库处理能力效果还不错，是很多小型网站建站优先选择。但缺点是：数据库如果没有经过严格防护，很容易被攻击者利用特殊手段进行下载。 黑客的攻击思路过程（参见教材P50） 漏洞的防范：（1）更改数据库名；（2）更改数据库里面常用字段成复杂字段，避免注入。 （实施难度较大）（3）给数

22、据库关键字段加密，对于管理员账户设置复杂密码；（4）在数据库文件中建一个表，表中取一个字段名叫：antihack，在表名建一个字段，字段中填写任意不能正确执行的语句。（5）如果有机器管理权限，可将数据库放到IIS以外的目录。3.5.2 Cookie 攻击 Cookie或称Cookies，指某些网站为了辨别用户身份而储存在用户本地终端上的数据（通常经过加密）。 有些网站存放用户名和密码的Cookie是明文的，黑客只要读取Cookie文件就可以得到账户和密码；有些Cookie是通过Md5加密的，用户仍然可以通过破解得到关键信息。 Cookie利用 Cookie对黑客来说作用非常巨大，除了修改本地H

23、osts.sam文件以便对修改的Cookie提交，从而得到一些特殊权限外，还可能有多种利用。 Cookie攻击防范策略 客户端如将IE安全级别设为最高级，以阻止Cookid进入机器，并形成记录 服务端尽量缩短定义Cookie在客户端得存活时间。3.5.3 上传漏洞 所谓上传漏洞，起初是利用Web系统对上传的文件格式验证不全，从而导致上传一些恶意Web程序，随着Web程序编写者的技术提高，因为文件格式验证的基础漏洞逐渐减少，攻击者发现一种新的上传漏洞利用方法。 将一些木马文件通过修改文件后缀名或者利用字符串结束标志“0”上传到网络服务空间，然后通过Url访问获得Webshell权限。（详见P56

24、）对于上传漏洞提出的解决思路：（1）一般的上传时把上传路径作为一个变量来处理，我们的对策就是把filepath变成常量（2）加强对空格的处理，以前常用的办法就是独到这里就结束，现应继续读直到下一个变量开始的地方再进行处理。3.5.4 跨站攻击 XSS&XFSXSS定义： XSS来自于Cross Site Scirpt，中文翻译为跨网站的脚本，为避免和层叠式样式表CSS混淆，而改称XSS，所有针对CSS的攻击称为跨站式攻击。形成： 跨站漏洞是由于程序员在编写一些支持用户互动反馈的程序如论坛，留言本，Blog，新闻评论等，对用户输入数据没有作充分过滤。直接把html标签、SQL语句提交到数据库并且

25、再返回页面显示以及执行。XSS的入侵： 利用跨站漏洞黑客可以在网站中插入任意代码，这些代码的功能包括获取网站管理员或普通用户的Cookie，隐蔽运行网页木马，甚至格式化浏览者的硬盘，只要脚本代码能够实现的功能，跨站攻击都能够达到！XFS攻击及防范 Cross Frame Script 也叫XFS，它是Cross Site Script后一个新的盗取客户资料的方法。Cross Frame Script原理 利用浏览器允许框架（frame）跨站包含其他页面的漏洞，在主框架的代码中加入script，监视、盗取用户输入。Cross Frame Script危害 一个恶意的站点可以通过用框架页面包含真的

26、网银或者在线支付网站进行钓鱼，获取用户账号和密码，且合法用户不宜觉察，因为提供的服务完全正常。解决方案 作为用户，应留心浏览器地址，不在带框架页面中输入用户信息 作为网站管理员，在页面中加入以下JavaScript代码可以避免网站被XFS If(top!=self) Top.location=self.location; 3.5.5 注入攻击 所谓SQL注入，就是利用程序员对用户输入数据的合法性检测不严或不检测的特点，故意从客户端提交特殊的代码，从而收集程序及服务器的信息，查询数据库，获取想得到的资料。常见的注入式攻击的手段 一些网站的管理登陆页面对输入的用户名和密码没有做AQL过滤，导致网站

27、被攻击。 查询语句在有注入漏洞的服务器上被恶意利用也会导致严重后果。 PHPSql注入 通过注入获得管理员账户密码 通过工具进行注入攻击测试3.5.6 搜索攻击 Google是全世界最流行和最强大的搜索引擎。 攻击者能使用它得到服务器的信息 ，包含敏感信息的文件和检测出“暗藏的”登陆页、服务器日志文、以及很多其他的内容。搜索攻击语句示例 常用Google黑客搜索攻击语句（见教材） 利用“index of”语句来查找开放目录浏览的站点 利用“inyrl”或“sllinurl”寻找缺陷站点或服务器 利用“intitle”或“allintitle”寻找缺陷站点或服务器。防止搜索引擎攻击的策略（1）巩

28、固服务器，并将其与外部环境隔离（2）设置robote.txt文件，禁止Google索引自己的网页（3）将高度机密的信息从公众服务器上去除（4）保证自己的服务器是安全的（5）删除管理系统的特征字符3.6 针对IIS漏洞攻击 Microsoft IIS是允许在公共Intrant或Internet上发布信息的Web服务器，IIS可以提供HTTP、FTP、gopher服务。常见IIS漏洞 3.6.1 Unicode漏洞 3.6.2 IDA&IDQ缓冲区溢出漏洞 3.6.3 Printer溢出漏洞入侵3.7 黑客攻击的思路3.8 黑客攻击防范 物理安全、停止Guest账号、限制用户数量 创建多个管理员账

29、号、管理员账号改名 陷阱账号、更改默认权限、设置安全密码 屏幕保护密码、使用NTFS分区 运行防毒软件和确保备份盘安全 关闭不必要的端口、开启审核策略 操作系统安全策略、关闭不必要的服务 开启密码策略、开启账户策略、备份敏感文件 不显示上次登录名、禁止建立空连接和下载最新的补丁第三章 结束第四章 数据加密与身份认证本章概要 数据加密技术 身份认证技术 包过滤技术 资源授权使用 内容安全（防病毒）技术课程内容 了解常用的网络安全及其适用范围 了解内容安全（防病毒）技术在网络安全领域的重要地位4.1 数据加密技术 信息安全技术是一门综合的学科，它涉及信息论、计算机科学和密码学等多方面知识，它的主要任务是研究计算机系统的通信网络内信息的保护方法以实现系统内信息的安全、保密、真实和完整。 其中，信息安全的核心是密码技术。4.1.1 数据加密的概念 数据加密技术是网络中最基本的安全技术，主要是通过对网络中传输的信息进行数据加密来保障其安全性，这是一种主动安全防御策略，用很小的代价即可为信息提供相当大的安全保护。 密码是实现秘密通信的主要手段，是隐蔽语言、文字、图像的特种符号。 凡是用特种符号按照通信双方约定的方法把电文的原型隐藏起来，不为第三者所识别的通信方式称为密码通讯。密码系统的组成： 未加密的报文，也称明文