网络安全-第9章.ppt
- 文档编号:18718136
- 上传时间:2023-10-18
- 格式:PPT
- 页数:63
- 大小:710KB
网络安全-第9章.ppt
《网络安全-第9章.ppt》由会员分享,可在线阅读,更多相关《网络安全-第9章.ppt(63页珍藏版)》请在冰点文库上搜索。
2023/10/18,黑客攻击与防范,1,第九章黑客攻击与防范,本章主要内容:
第一节黑客概述第二节个人计算机的网络安全第三节黑客攻击常用工具和防御第四节入侵检测系统,2023/10/18,黑客攻击与防范,2,知识点,黑客攻击的目的、黑客攻击的三个阶段黑客攻击的常用工具、黑客攻击的防备网络监听及其检测扫描器及其使用来自E-mail的攻击、E-mail的安全策略特洛伊木马程序及其检测、删除,2023/10/18,黑客攻击与防范,3,难点,黑客攻击的防备网络监听及其检测特洛伊木马程序及其检测、删除,2023/10/18,黑客攻击与防范,4,要求,熟练掌握以下内容:
什么是黑客?
黑客攻击的目的、常用工具及攻击的防备网络监听及其检测方法来自E-mail的攻击、E-mail的安全策略特洛伊木马程序及其检测、删除了解以下内容:
E-mail的安全漏洞特洛伊木马的存在形式,2023/10/18,黑客攻击与防范,5,第一节黑客概述,黑客与入侵者黑客攻击的目的黑客攻击的三个阶段黑客攻击手段,2023/10/18,黑客攻击与防范,6,9.1.1黑客文化简史,1.早期黑客-真正的程序员2.程序员群体的扩大3.现代黑客-寻找漏洞,表现自我4.发展的新变化,2023/10/18,黑客攻击与防范,7,9.1.1黑客与入侵者,黑客的行为没有恶意,而入侵者的行为具有恶意。
在网络世界里,要想区分开谁是真正意义上的黑客,谁是真正意义上的入侵者并不容易,因为有些人可能既是黑客,也是入侵者。
而且在大多数人的眼里,黑客就是入侵者。
所以,在以后的讨论中不再区分黑客、入侵者,将他们视为同一类。
2023/10/18,黑客攻击与防范,8,9.1.2黑客攻击的目的,1窃取信息2获取口令3控制中间站点4获得超级用户权限,2023/10/18,黑客攻击与防范,9,9.1.3黑客攻击的3个阶段,1确定目标2搜集与攻击目标相关的信息,并找出系统的安全漏洞3实施攻击,2023/10/18,黑客攻击与防范,10,9.1.4黑客攻击手段,1黑客往往使用扫描器2黑客经常利用一些别人使用过的并在安全领域广为人知的技术和工具。
3黑客利用Internet站点上的有关文章4黑客利用监听程序5黑客利用网络工具进行侦察6黑客自己编写工具,2023/10/18,黑客攻击与防范,11,第二节个人计算机的网络安全,口令安全1、口令破解器2、选择口令的规则,2023/10/18,黑客攻击与防范,12,第二节个人计算机的网络安全,特洛伊木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性等特点。
2023/10/18,黑客攻击与防范,13,第二节个人计算机的网络安全,特洛伊木马的组成部分一般一个木马程序的组成包括控制端程序、木马程序和木马配置程序三部分。
2023/10/18,黑客攻击与防范,14,第二节个人计算机的网络安全,特洛伊木马的传播攻击过程1、配置木马2、传播木马3、运行木马4、信息泄露5、建立连接6、远程控制,2023/10/18,黑客攻击与防范,15,第二节个人计算机的网络安全,Windows2000的安全安全级别登录过程用户名密码NTFS文件系统默认共享,2023/10/18,黑客攻击与防范,16,第二节个人计算机的网络安全,QQ的安全1、在QQ中显示对方的IP地址2、QQ密码3、QQ消息炸弹,2023/10/18,黑客攻击与防范,17,第二节个人计算机的网络安全,电子邮件的安全1、邮箱密码2、邮件炸弹3、垃圾邮件,2023/10/18,黑客攻击与防范,18,第三节黑客常用工具和防御,监听与扫描Sniffer拒绝服务,2023/10/18,黑客攻击与防范,19,9.3.1网络监听,1.网络监听简介所谓网络监听就是获取在网络上传输的信息。
通常,这种信息并不是特定发给自己计算机的。
一般情况下,系统管理员为了有效地管理网络、诊断网络问题而进行网络监听。
然而,黑客为了达到其不可告人的目的,也进行网络监听。
2023/10/18,黑客攻击与防范,20,2.在以太网中的监听
(1)以太网中信息传输的原理。
以太网协议的工作方式:
发送信息时,发送方将对所有的主机进行广播,广播包的包头含有目的主机的物理地址,如果地址与主机不符,则该主机对数据包不予理睬,只有当地址与主机自己的地址相同时主机才会接受该数据包,但网络监听程序可以使得主机对所有通过它的数据进行接受或改变。
2023/10/18,黑客攻击与防范,21,
(2)监听模式的设置要使主机工作在监听模式下,需要向网络接口发送I/O控制命令;将其设置为监听模式。
在UNIX系统中,发送这些命令需要超级用户的权限。
在UNIX系统中普通用户是不能进行网络监听的。
但是,在上网的Windows95中,则没有这个限制。
只要运行这一类的监听软件即可,而且具有操作方便,对监听到信息的综合能力强的特点。
2023/10/18,黑客攻击与防范,22,(3)网络监听所造成的影响网络监听使得进行监听的机器响应速度变得非常慢,2023/10/18,黑客攻击与防范,23,3.常用的监听工具,
(1)snoopsnoop可以截获网络上传输的数据包,并显示这些包中的内容。
它使用网络包过滤功能和缓冲技术来提供有效的对网络通信过滤的功能。
那些截获的数据包中的信息可以在它们被截获时显示出来,也可以存储在文件中,用于以后的检查。
Snoop可以以单行的形式只输出数据包的总结信息,也可以以多行的形式对包中信息详细说明。
2023/10/18,黑客攻击与防范,24,2Sniffit软件Sniffit是由LawrenceBerkeley实验室开发的,运行于Solaris、SGI和Linux等平台的一种免费网络监听软件,具有功能强大且使用方便的特点。
使用时,用户可以选择源、目标地址或地址集合,还可以选择监听的端口、协议和网络接口等。
2023/10/18,黑客攻击与防范,25,4.网络监听的检测,方法一:
对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址去ping,运行监听程序的机器会有响应。
这是因为正常的机器不接收错误的物理地址,处于监听状态的机器能接收。
如果他的IPstack不再次反向检查的话,就会响应。
这种方法依赖于系统的IPstack,对一些系统可能行不通。
2023/10/18,黑客攻击与防范,26,方法二:
往网上发大量不存在的物理地址的包,由于监听程序将处理这些包,将导致性能下降。
通过比较前后该机器性能(icmpechodelay等方法)加以判断。
这种方法难度比较大。
方法三:
一个看起来可行的检查监听程序的方法是搜索所有主机上运行的进程。
那些使用DOS、WindowsforWorkgroup或者Windows95的机器很难做到这一点。
而使用UNIX和WindowsNT的机器可以很容易地得到当前进程的清单。
2023/10/18,黑客攻击与防范,27,方法四:
另外一个办法就是去搜索监听程序,入侵者很可能使用的是一个免费软件。
管理员就可以检查目录,找出监听程序,但这很困难而且很费时间。
在UNIX系统上,人们可能不得不自己编写一个程序。
另外,如果监听程序被换成另一个名字,管理员也不可能找到这个监听程序。
2023/10/18,黑客攻击与防范,28,9.3.2扫描器,1.扫描器简介扫描器是自动检测远程或本地主机安全性漏洞的程序包。
使用扫描器,不仅可以很快地发现本地主机系统配置和软件上存在的安全隐患,而且还可以不留痕迹地发现远在另一个半球的一台主机的安全性漏洞,这种自动检测功能快速而准确。
扫描器和监听工具一样,不同的人使用会有不同的结果:
如果系统管理员使用了扫描器,它将直接有助于加强系统安全性;而对于黑客来说,扫描器是他们进行攻击入手点,不过,由于扫描器不能直接攻击网络漏洞,所以黑客使用扫描器找出目标主机上各种各样的安全漏洞后,利用其他方法进行恶意攻击。
2023/10/18,黑客攻击与防范,29,2.端口扫描()端口许多TCP/IP程序可以通过Internet启动,这些程序大都是面向客户/服务器的程序。
当inetd接收到一个连接请求时,它便启动一个服务,与请求客户服务的机器通讯。
为简化这一过程,每个应用程序(比如FTP、Telnet)被赋予一个唯一的地址,这个地址称为端口。
在一般的Internet服务器上都有数千个端口,为了简便和高效,为每个指定端口都设计了一个标准的数据帧。
换句话说,尽管系统管理员可以把服务绑定(bind)到他选定的端口上,但服务一般都被绑定到指定的端口上,它们被称为公认端口。
2023/10/18,黑客攻击与防范,30,()端口扫描简介端口扫描是一种获取主机信息的好方法。
端口扫描程序对于系统管理人员,是一个非常简便实用的工具。
如果扫描到一些标准端口之外的端口,系统管理员必须清楚这些端口提供了一些什么服务,是不是允许的。
2023/10/18,黑客攻击与防范,31,3.常用的扫描工具()网络分析工具SATANSATAN是一个分析网络的安全管理和测试、报告工具。
它用来收集网络上主机的许多信息,并可以识别且自动报告与网络相关的安全问题。
对所发现的每种问题类型,SATAN都提供对这个问题的解释以及它可能对系统和网络安全造成的影响的程度。
通过所附的资料,它还解释如何处理这些问题。
2023/10/18,黑客攻击与防范,32,()网络安全扫描器NSS网络安全扫描器是一个非常隐蔽的扫描器。
如果你用流行的搜索程序搜索它,你所能发现的入口不超过20个。
这并非意味着NSS使用不广泛,而是意味着多数载有该扫描器的FTP的站点处在暗处,或无法通过WWW搜索器找到它们。
2023/10/18,黑客攻击与防范,33,()Strobe超级优化TCP端口检测程序Strobe是一个TCP端口扫描器。
它具有在最大带宽利用率和最小进程资源需求下,迅速地定位和扫描一台远程目标主机或许多台主机的所有TCP“监听”端口的能力。
2023/10/18,黑客攻击与防范,34,(4)InternetScannerInternetScanner可以说是可得到的最快和功能最全的安全扫描工具,用于UNIX和WindowsNT。
它容易配置,扫描速度快,并且能产生综合报告。
2023/10/18,黑客攻击与防范,35,(5)PortScannerPortScanner是一个运行于Windows95和WindowsNT上的端口扫描工具,其开始界面上显示了两个输入框,上面的输入框用于要扫描的开始主机IP地址,下面的输入框用于输入要扫描的结束主机IP地址。
在这两个IP地址之间的主机将被扫描。
2023/10/18,黑客攻击与防范,36,9.3.3拒绝服务,基本概念拒绝服务DoS,其目的是使计算机或网络无法提供正常的服务。
分布式拒绝服务DDoS,2023/10/18,黑客攻击与防范,37,发现黑客发现黑客入侵后的对策,黑客攻击的防范,2023/10/18,黑客攻击与防范,38,发现黑客,1.在黑客正在活动时,捉住他2.根据系统发生的一些改变推断系统已被入侵3.根据系统中一些奇怪的现象判断4.一个用户登录进来许多次5.一个用户大量地进行网络活动,或者其他一些很不正常的网络操作6.一些原本不经常使用的账户,突然变得活跃起来,2023/10/18,黑客攻击与防范,39,发现黑客入侵后的对策,1.估计形势当证实遭到入侵时,采取的第一步行动是尽可能快地估计入侵造成的破坏程度。
2.采取措施
(1)杀死这个进程来切断黑客与系统的连接。
(2)使用write或者talk工具询问他们究竟想要做什么。
(3)跟踪这个连接,找出黑客的来路和身份。
这时候,nslookup、finger等工具很有用。
2023/10/18,黑客攻击与防范,40,(4)管理员可以使用一些工具来监视黑客,观察他们在做什么。
这些工具包括snoop、ps、lastcomm和ttywatch等。
(5)ps、w和who这些命令可以报告每一个用户使用的终端。
如果黑客是从一个终端访问系统,这种情况不太好,因为这需要事先与电话公司联系。
(6)使用who和netstat可以发现入侵者从哪个主机上过来,然后可以使用finger命令来查看哪些用户登录进远程系统。
(7)修复安全漏洞并恢复系统,不给黑客留有可乘之机。
2023/10/18,黑客攻击与防范,41,第四节入侵检测系统,IDS存在与发展的必然性一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击,2023/10/18,黑客攻击与防范,42,传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策略是不充分的。
它们是系统安全不可缺的部分但不能完全保证系统的安全入侵检测,是对入侵行为的检测,它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
进行入侵检测的软件与硬件的组合便是入侵检测系统,2023/10/18,黑客攻击与防范,43,入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术。
是防火墙技术的合理补充,主要有以下几方面功能:
监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并及时报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理。
2023/10/18,黑客攻击与防范,44,入侵检测系统包括三个功能部件
(1)信息收集
(2)信息分析(3)结果处理,2023/10/18,黑客攻击与防范,45,信息收集,入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息尽可能扩大检测范围从一个源来的信息有可能看不出疑点,2023/10/18,黑客攻击与防范,46,信息收集,入侵检测很大程度上依赖于收集信息的可靠性和正确性要保证用来检测网络系统的软件的完整性特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息,2023/10/18,黑客攻击与防范,47,信息收集的来源,系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为,2023/10/18,黑客攻击与防范,48,系统或网络的日志文件,攻击者常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容显然,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等,2023/10/18,黑客攻击与防范,49,系统目录和文件的异常变化,网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号入侵者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件,2023/10/18,黑客攻击与防范,50,信息分析,模式匹配统计分析完整性分析,往往用于事后分析,2023/10/18,黑客攻击与防范,51,模式匹配,模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为一般来讲,一种攻击模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。
该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化),2023/10/18,黑客攻击与防范,52,统计分析,统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生,2023/10/18,黑客攻击与防范,53,完整性分析,完整性分析主要关注某个文件或对象是否被更改这经常包括文件和目录的内容及属性在发现被更改的、被安装木马的应用程序方面特别有效,2023/10/18,黑客攻击与防范,54,入侵检测性能关键参数,误报(falsepositive):
如果系统错误地将异常活动定义为入侵漏报(falsenegative):
如果系统未能检测出真正的入侵行为,2023/10/18,黑客攻击与防范,55,入侵检测的分类,按照数据来源:
基于主机:
系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机基于网络:
系统获取的数据是网络传输的数据包,保护的是网络的运行混合型,2023/10/18,黑客攻击与防范,56,黑客入侵的过程和阶段,Internet,NetworkIDS,HostIDS,2023/10/18,黑客攻击与防范,57,Internet,基于主机入侵检测系统工作原理,网络服务器1,客户端,网络服务器2,检测内容:
系统调用、端口调用、系统日志、安全审记、应用日志,HIDS,HIDS,2023/10/18,黑客攻击与防范,58,监视与分析主机的审计记录可以不运行在监控主机上能否及时采集到审计记录如何保护作为攻击目标主机审计子系统,基于主机,2023/10/18,黑客攻击与防范,59,在共享网段上对通信数据进行侦听采集数据主机资源消耗少提供对网络通用的保护如何适应高速网络环境非共享网络上如何采集数据,基于网络,2023/10/18,黑客攻击与防范,60,黑客入侵的过程和阶段,Internet,NetworkIDS,NetworkIDS,2023/10/18,黑客攻击与防范,61,Internet,NIDS,基于网络入侵检测系统工作原理,网络服务器1,数据包=包头信息+有效数据部分,客户端,网络服务器2,检测内容:
包头信息+有效数据部分,2023/10/18,黑客攻击与防范,62,两类IDS监测软件,网络IDS侦测速度快隐蔽性好视野更宽较少的监测器占资源少,主机IDS视野集中易于用户自定义保护更加周密对网络流量不敏感,2023/10/18,黑客攻击与防范,63,小结:
网络上黑客的攻击越来越猖獗,对网络安全造成了很大的威胁。
本章主要讲述了黑客攻击的目的、黑客攻击的三个阶段、黑客攻击的常用工具以及黑客攻击的防备,并介绍了黑客攻击常用的网络监听和扫描器。
同时,讲述了来自E-mail的攻击及其安全策略、特洛伊木马程序及其检测删除。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全