《教学课件第8章 网络安全技术.ppt》由会员分享,可在线阅读,更多相关《教学课件第8章 网络安全技术.ppt(50页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第8章 网络安全技术n学习目标了解黑客的历史理解网络攻击模型掌握常见的网络攻击技术掌握常见的防范技术第8章 网络安全技术n8.1 概述n8.2 常见的攻击技术n8.3 常见的防范技术8.1 概述概述n8.1.1 黑客的历史黑客指那些热衷于研究、发现计算机系统和网络中存在的漏洞,并给出完善这些漏洞的方法的计算机爱好者们。 黑客事件 黑客文化 n8.1.2 网络攻击模型典型的网络攻击的一般分为以下几步:准备工作准备工作 实施攻击实施攻击 开辟后门开辟后门 清除痕迹清除痕迹 隐藏自身 收集信息 挖掘信息 获取权限 隐藏行为 攻击实施 开辟后门 清除痕迹 1 2 3 4 8.2 常见的攻击技术常见的攻
2、击技术n8.2.1 扫描技术端口扫描端口扫描,端口扫描,顾名思义,就是逐个对一段端口或指定的端口进行扫描。 端口扫描的原理:端口扫描的原理:手动或用程序自动的向目标主机的各个端口发送不同的探测数据包,目标主机的端口状态不同,对这些探测包的回应包就有所不同,分析这些回应包,就可得出远程主机的端口开放情况。端口扫描技术有多种类型,根据所采用的协议主要可以分为:TCP扫描和UDP扫描。n全连接扫描 全连接扫描指在扫描主机同目标主机的目标端口之间,经过三次握手,建立起一个完整地TCP连接,之后判断目标端口是否开放的方法。 TCP Connect()扫描 、TCP反向Ident扫描 n半连接扫描 半连接
3、扫描指端口扫描并没有完成一个完整的TCP连接,而是在扫描主机和目标主机建立次连接时,只完成三次握手的前两次握手便中断连接。 TCP SYN扫描 n秘密扫描 秘密扫描是一种审计工具所检测不到的扫描技术。TCP FIN扫描、TCP ACK扫描、NULL扫描、XMAS扫描、TCP分段扫描等。 nUDP扫描 UDP是无连接的协议,不需要建立连接过程 n漏洞扫描漏洞扫描 系统安全漏洞也叫系统脆弱性(vulnerability),简称漏洞,是计算机系统在硬件、软件、协议的设计和实现过程中或系统安全策略上存在的缺陷和不足。漏洞扫描技术是建立在端口扫描技术的基础之上的,主要通过以下两种方法来检查目标主机是否存
4、在漏洞: n基于漏洞库的扫描n基于模拟攻击的扫描 n8.2.2 网络监听网络监听原理 局域网的工作模式 n按照局域网中信息的交换方式分类,可分为共享式局域网和交换式局域网。网卡的工作模式 n根据网卡对收到的数据包的处理方式不同,可以将网卡的工作模式分为正常模式和混杂模式(Promiscuous Mode)两种。共享式局域网的网络监听 在共享式局域网中进行监听,只需将局域网中的一台主机的网卡设置成混杂模式,并在其上面运行相应的监听软件即可。交换式局域网的网络监听 为了实现监听交换式局域网的目的,可以采用MAC Flooding和ARP欺骗等方法。网络监听防范 n使用加密技术 n网络分段 n8.2
5、.3 拒绝服务攻击拒绝服务攻击拒绝服务(Denial of Service,简称DoS),指当系统崩溃或其带宽耗尽或其存储空间已满,导致其不能提供正常服务的状态。拒绝服务攻击是指攻击者通过某种手段,有意地造成计算机或网络不能正常运转,从而不能向合法用户提供所需要的服务,或者使其服务质量降低的一种攻击行为。 典型拒绝服务攻击方法典型拒绝服务攻击方法 nLAND攻击 nSYN洪水攻击 nUDP洪水攻击 nFraggle攻击 nTear Drop(泪滴)攻击 nPing-of-death nSmurf分布式拒绝服务攻击n8.2.4 身份欺骗技术身份欺骗技术IP欺骗 Z B A 第一次握手 第二次握手
6、 第三次握手 IP欺骗的防范 n禁止基于IP地址的信任关系n使用复杂的序列号变换算法ARP欺骗欺骗 nARP协议工作原理 nARP欺骗过程 nARP欺骗防范 n8.2.5 计算机病毒计算机病毒是一种人为制造的、在计算机运行中对计算机信息或系统起破坏作用的程序。 计算机病毒的结构计算机病毒的结构n引导模块 n感染模块 n破坏模块 n病毒的种类病毒的种类 按感染的系统分类按感染的对象分类 按感染的方式分类 按传播介质分类 n8.2.6 木马木马一般由客户端和服务器端两部分组成。木马的特征木马的特征 n隐蔽性 n自动运行性 n自动恢复性 n功能的特殊性 n木马的分类木马的分类 远程访问型木马 密码发
7、送型木马 键盘记录型木马 破坏型木马 FTP型木马 代理木马 n病毒和木马的防范 不要打开来历不明的邮件不要执行来历不明的软件或程序到正规的网站下载软件安装杀毒软件和防火墙查杀可移动存储设备后再打开定时升级系统、杀毒软件定时杀毒8.3 常见的防范技术常见的防范技术n8.3.1 密码及认证技术密码技术 n根据算法加密和解密过程中所采用的密钥是否相同或可逆,可将密码技术分为对称密码技术和非对称密码技术。n数字签名 Hash函数Hash函数是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。 结合Hash函数的数字签名流程 Hash 函数 发送方公钥 发送方私钥 失败 Hash 运算 数据摘要
8、 加密运算 解密运算 数据摘要 相同 信息 信息 Hash 运算 数据摘要 发送方签名 接收方验证 传输 验证成功 是 否 数字签名 n身份认证技术身份认证技术 帐号密码认证磁卡认证生物特征认证 USB Key认证 n8.3.2 防火墙防火墙防火墙是指设置在受保护网络和外部网络之间的一系列部件的组合,防止外部网络用户以非法手段进入受保护网络内部访问资源。n防火墙的作用防火墙的作用 防火墙是安检口 防火墙是隔离带 防火墙是审计员n 防火墙的缺点 不能防止不经过防火墙的攻击;不能完全防止感染病毒的文件的传输;不能防止数据驱动式攻击。n防火墙的种类防火墙的种类 包过滤防火墙 应用级防火墙 n防火墙的
9、体系结构防火墙的体系结构双宿主机模式 屏蔽主机模式 屏蔽子网模式 n8.3.3 入侵检测入侵检测入侵检测(入侵检测(Intrusion Detection System,简,简称称IDS)是一种积极主动地安全防护技术,通)是一种积极主动地安全防护技术,通过实时收集和分析计算机网络中的信息,来检过实时收集和分析计算机网络中的信息,来检测是否出现违反安全策略的行为,或出现受到测是否出现违反安全策略的行为,或出现受到攻击的迹象,并采取相应的保护措施。攻击的迹象,并采取相应的保护措施。n入侵检测系统的功能入侵检测系统的功能 监控并分析用户和系统的活动审计系统的配置和漏洞评估关键系统资源和数据文件的完整
10、性识别已知的攻击行为统计分析异常行为记录相关日志实时报警和主动响应 入侵检测系统模型入侵检测系统模型 n入侵检测系统分类入侵检测系统分类 基于主机的IDS 基于网络的IDS n8.3.4 蜜罐技术蜜罐技术蜜罐技术原理蜜罐技术原理 n欺骗技术n数据包捕获 n数据分析 n数据控制 n蜜罐的优缺点蜜罐的优缺点蜜罐技术的优点主要包括:n收集到的数据绝对真实;n蜜罐技术比较简单;n善于发现新攻击方法;n低成本。蜜罐技术的缺点主要包括:n需要投入较多的时间和精力; n蜜罐技术不能直接防护有漏洞的系统;n蜜罐会带来一定的安全风险。n8.3.5 数据备份与恢复数据备份是指将数据以某种方式多保存几份,在系统遭受破坏或其它特定情况下,重新利用保存的数据的一个过程。 n数据备份技术的分类 n根据备份时采取的策略分为 完全备份 增量备份 差量备份 n根据备份时网络的实现状态分为:单机备份 网络备份 n根据备份时系统所处的工作状态分为: 脱机备份联机备份 n数据恢复技术数据恢复技术 数据恢复操作类型全盘恢复 个别文件恢复 重定向恢复