《《网络安全培训》课件.pptx》由会员分享,可在线阅读,更多相关《《网络安全培训》课件.pptx(74页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、主讲人:赵高主讲单位:上海清远管业科技有限公司网络安全基础知识培训网络安全基础知识培训1、网络安全概述2、导致网络安全问题的原因3、黑客常用攻击手段分析4、系统安全配置指导5、清远网络安全制度培训内容培训内容网络的安全是指通过采用各种技术和管理措施,使网络系 统正常运行,从而确保网络数据的可用性、完整性和保密性。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全概
2、述网络安全概述导致网络信息安全问题的原因导致网络信息安全问题的原因内因:人们的认识能力和实践能力的局限性(1)设计上的问题:Internet 从一开始就缺乏安全的总体构想和设计,TCP/IP 协议是在可信环境下,为网络互联而专门设计的,缺乏安全措施的考虑。(历史造成)SYN Flood伪造源地址的半开扫描,DoS(2)实现上的问题:Windows 3.1 300万行代码,Windows 2003 5000万行代码 Ping of Death(死亡之ping)Ping-t-l 65550 对方IP 人为的后门和设计中的 Bug(3)配置上的问题:默认的服务(4)管理上的问题:弱的口令來源:CSI
3、/FBI Computer Crime Survey,March 2008.21%48%72%89%外国政府竞争对手黑客不满的雇员导致网络信息安全问题的导致网络信息安全问题的原因(外)原因(外)常用攻击手段常用攻击手段分别介绍分别介绍漏洞扫描漏洞扫描特洛伊木马网络嗅探(Sniffer)技术拒绝服务(DOS)和分布式拒绝服务口令猜测欺骗技术缓冲区溢出系统信息收集扫描目的远程操作系统识别网络结构分析其他敏感信息收集漏洞检测错误的配置系统安全漏洞弱口令检测常用攻击手段漏洞扫描常用攻击手段漏洞扫描扫描类型地址扫描扫描类型地址扫描PingPingReply Reply XXX.XXX.XXX.XXX主机
4、可使用的端口号为主机可使用的端口号为0 06553565535,前,前10241024个端口是个端口是保留端口,这些端口被提供给特定的服务使用。保留端口,这些端口被提供给特定的服务使用。常用的服务都是使用标准的端口,只要扫描到相应的常用的服务都是使用标准的端口,只要扫描到相应的端口开着,就能知道目标主机上运行着什么服务。然端口开着,就能知道目标主机上运行着什么服务。然后入侵者才能针对这些服务进行相应的攻击。后入侵者才能针对这些服务进行相应的攻击。扫描类型端口扫描扫描类型端口扫描漏洞扫描是使用漏洞扫描程序对目标系统进行信息漏洞扫描是使用漏洞扫描程序对目标系统进行信息查询,通过漏洞扫描,可以发现系
5、统中存在的不安查询,通过漏洞扫描,可以发现系统中存在的不安全的地方。全的地方。例如:例如:操作系统漏洞操作系统漏洞弱口令用户弱口令用户应用程序漏洞应用程序漏洞配置错误等配置错误等扫描类型漏洞扫描扫描类型漏洞扫描扫描器扫描器SATANSATANSAINTSAINTSSSSSSStrobeStrobeX-ScanX-ScanISS(安氏)PingerPortscanSuperscan流光扫描工具:X-Scan-v3.2扫描内容包括:远程操作系统类型及版本标准端口状态及端口Banner信息SNMP信息,CGI漏洞,IIS漏洞,RPC漏洞,SSL漏洞SQL-SERVER、FTP-SERVER、SMTP
6、-SERVER、POP3-SERVERNT-SERVER弱口令用户,NT服务器NETBIOS信息注册表信息等。扫描器实例:X-Scan禁止禁止/关闭不必要的服务关闭不必要的服务/端口端口屏蔽敏感信息屏蔽敏感信息合理配置防火墙和合理配置防火墙和IDSIDS陷阱技术陷阱技术HoneypotHoneypot 僚机策略僚机策略反扫描对策反扫描对策使用简单字典文件,利用工具软件GetNTUser可将管理员密码破解出来。暴力破解系统用户密码暴力破解系统用户密码 邮箱的密码一般需要设置到八位以上,否则七位以下的密码容易被破解。尤其七位全部是数字,更容易被破解。案例 电子邮箱暴力破解:工具软件:黑雨POP3邮
7、箱密码暴力破解器 ver2.3.1暴力破解邮箱密码暴力破解邮箱密码 木木 马马木马是一种可以驻留在对方系统中可以驻留在对方系统中的一种程序。木马一般由两部分组成:服务器端和客户端。驻留在对方服务器的称之为木马的服务器端,远程的可以连到木马服务器的程序称之为客户端。木马的功能是通过客户端可以操纵服务器,进而操纵对方的主机。木马程序在表面上看上去没有任何的损害,实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。木马的分类木马的分类1)远程访问型特洛伊木马2)键盘记录型特洛伊木马3)密码发送型特洛伊木马4)破坏型特洛伊木马5)代理木马6)FTP型特洛伊木马7)网页型木马8)手工放
8、置手工放置木马的植入方式木马的植入方式利用系统漏洞安装电子邮件附件、浏览网页、FTP文件下载、QQ等方式传播安装杀毒软件和防火墙检查INI文件查看win.ini中的“run=”、“load=”查看system.ini中的“shell=explorer.exe 程序名”后面所加载的程序。木马的查杀木马的查杀木马的查杀木马的查杀检查注册表:检查注册表:在注册表中,最有可能隐藏木马的地方是在注册表中,最有可能隐藏木马的地方是HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicr
9、osoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceExHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce检查注册表检查注册表其他可能隐藏木马的注册表项还有:其他可能隐藏木马的注册表项还有:HKEY_LOCAL_MACHINESOFT
10、WAREMicrosoftWindowsNTCurrentVersionWinlogonHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceExHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY_C
11、URRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnceHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsNTCurrentVersionwindowsLoadHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsNTCurrentVersionwindowsRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindowsAppInit_DLLs木马的查杀木马的查杀检查服务 开始程序管理工具服
12、务检查系统进程 系统信息软件环境正在运行任务(win98)、Pstools(winnt/2k)检查开放端口 Netstat an(win98)、Fport(winnt/2k)监视网络通讯 防火墙、网络监视器(win2k)、Sniffer对可疑文件的分析 W32Dasm、IDA、Soft-ice木马的查杀木马的查杀定义定义 嗅探器嗅探器 (SnifferSniffer)是能够从网络设备上捕获是能够从网络设备上捕获网络报文的一种工具网络报文的一种工具SnifferSniffer名称的来由名称的来由 通用网络公司开发的一个程序通用网络公司开发的一个程序 NAINAI网络监听网络监听 /嗅探(嗅探(S
13、nifferSniffer)网络监听安全对策网络监听安全对策规划网络 合理分段,采用交换机、路由器、网桥等设备,相互信任的主机处于同一网段采用加密会话 对安全性要求高的数据通讯进行加密传输 例如采用目前比较流行的SSL协议以及使用SSH这样的安全产品传送敏感使用一次性口令技术(OTP)为了防止ARP欺骗,使用永久的ARP缓存条目使用检测工具 TripWar Anti-Sniffer(L0pht,not free)拒绝服务攻击的简称是:DoS(Denial of Service)攻击,凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击,其目的是使目标计算机或网络无法提供正常的服务。最常见的Do
14、S攻击是:计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络,使网络所有可用的带宽都被消耗掉,最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机,最终导致计算机无法再处理合法用户的请求。拒绝服务攻击拒绝服务攻击(DOS)(DOS)TCP SYN AttackPing of Deathq消耗系统资源(带宽、内存、队列、CPU)q系统宕机q阻止授权用户正常访问网络(慢、不能连接、没有响应)CPU拒绝服务攻击拒绝服务攻击DOSDOS!为什么要进行Dos攻击放置木马需要重启使用IP欺骗,使冒用主机瘫痪使得被攻击的目标主机的日志系统失效常见DoS攻击种类死亡之Ping,
15、land,teardrop,SYN floodICMP:smurf拒绝服务攻击拒绝服务攻击拒绝服务:拒绝服务:LAND LAND 攻击攻击攻击者攻击者172.18.1.1172.18.1.1InternetInternetCode目标目标204.241.161.12204.241.161.12欺骗性的欺骗性的 IP IP 包包源地址源地址 204.241.161.12 Port 139204.241.161.12 Port 139目的地址目的地址 204.241.161.12 Port 139204.241.161.12 Port 139TCP OpenTCP OpenG.Mark Hardy
16、攻击者攻击者172.18.1.1172.18.1.1InternetInternetCode目标目标204.241.161.12204.241.161.12 IP IP包欺骗包欺骗源地址源地址 204.241.161.12 Port 139204.241.161.12 Port 139目的地址目的地址 204.241.161.12 Port 139204.241.161.12 Port 139包被送回它自己包被送回它自己崩溃G.Mark Hardy拒绝服务:拒绝服务:LAND LAND 攻击攻击LANDLAND攻击防范:代理类的防火墙攻击防范:代理类的防火墙攻击者攻击者172.18.1.117
17、2.18.1.1InternetInternetCode目标目标204.241.161.12204.241.161.12IPIP包欺骗包欺骗源地址源地址 204.241.161.12 Port 139204.241.161.12 Port 139目标地址目标地址 204.241.161.12 Port 139204.241.161.12 Port 139TCP OpenTCP Open防火墙防火墙防火墙把有危险的包防火墙把有危险的包阻隔在网络外阻隔在网络外G.Mark Hardy以破坏系统或网络的可用性以破坏系统或网络的可用性为目标为目标常用的工具:常用的工具:Trin00Trin00TFN/
18、TFN2K TFN/TFN2K StacheldrahtStacheldraht很难防范很难防范伪造源地址,流量加密伪造源地址,流量加密很难跟踪很难跟踪分布式拒绝服务(分布式拒绝服务(DDOSDDOS)clienttargethandler.agent.DoSICMP Flood/SYN Flood/UDP FloodDDoSDDoS分布式拒绝服务攻击步骤分布式拒绝服务攻击步骤1 1ScanningProgram不安全的计算机Hacker攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。1InternetHacker被控制的计算机(代理端)黑客设法入侵有安全漏洞的主机并获取控制权。这些主机
19、将被用于放置后门、sniffer或守护程序甚至是客户程序。2Internet分布式拒绝服务攻击步骤分布式拒绝服务攻击步骤2 2Hacker 黑客在得到入侵计算机清单后,从中选出满足建立网络所需要的主机,放置已编译好的守护程序,并对被控制的计算机发送命令。3被控制计算机(代理端)MasterServerInternet分布式拒绝服务攻击步骤分布式拒绝服务攻击步骤3 3Hacker Using Client program,黑客发送控制命令给主机,准备启动对目标系统的攻击4被控制计算机(代理端)TargetedSystemMasterServerInternet分布式拒绝服务攻击步骤分布式拒绝服务
20、攻击步骤4 4InternetHacker 主机发送攻击信号给被控制计算机开始对目标系统发起攻击。5MasterServerTargeted System被控制计算机(代理端)分布式拒绝服务攻击步骤分布式拒绝服务攻击步骤5 5TargetedSystemHacker 目标系统被无数的伪造的请求所淹没,从而无法对合法用户进行响应,DDOS攻击成功。6MasterServerUserRequest DeniedInternet被控制计算机(代理端)分布式拒绝服务攻击步骤分布式拒绝服务攻击步骤6 6DDOS攻击的效果:由于整个过程是自动化的,攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说,
21、在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击,这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。分布式拒绝服务攻击分布式拒绝服务攻击预防DDOS攻击的措施确保主机不被入侵且是安全的;周期性审核系统;检查文件完整性;优化路由和网络结构;优化对外开放访问的主机;在网络上建立一个过滤器(filter)或侦测器(sniffer),在攻击信息到达之前阻挡攻击信息。分布式拒绝服务攻击分布式拒绝服务攻击对付对付 DDoS DDoS 攻击的方法攻击的方法1定期扫描现有的网络主节点,清查可能存在的安全漏洞。对新出现的漏洞及时进行清理。骨干节点的计算机因为具
22、有较高的带宽,是黑客利用最佳位置,因此对这些主机本身加强主机安全是非常重要的。2在骨干节点上的防火墙的配置至关重要。防火墙本身能抵御DDOS攻击和其它一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样保护真正的主机不被瘫痪。BOBO、netbusnetbusService/DaemonService/Daemon帐户帐户其他其他后门程序后门程序新一代恶意代码(蠕虫、木马)2002网络攻击手段的融合网络攻击手段的融合安全防御措施(安全防御措施(个人个人个人个人)平时在桌面上的资料应及时备份至其他盘(非C盘)或者U盘。不在“我的文档”里放文件(因为大部分系统都默认其位置属于C盘)养成
23、经常杀毒和清理插件的习惯,发现系统有问题时及时进行杀毒清理,另外可设置定期杀毒,防患于未然!(相关软件可找网管安装设置)使用U盘时请先杀毒,然后请尽量使用“右键打开”的方式打开U盘,因为很多U盘病毒都是通过“双击”来启动的,用右键打开一定程度上可以避免U盘病毒的传播。发现中毒迹象时,应尽可能的先备份文件至其他盘,若是连接内网的机器应立即断开内网(不会操作的直接拔网线)并通知网管,避免祸害局域网内其他电脑及服务器!电脑密码必须尽量复杂化,并不随意透露给任何人,否则后果自负。利用Windows 2003的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器
24、的安全策略。在管理工具中可以找到“本地安全策略”,主界面如图所示。可以配置四类安全策略:帐户策略、本地策略、公钥策略和帐户策略、本地策略、公钥策略和IPIP安全策略安全策略。在默认的情况下,这些策略都是没有开启的。操作系统安全策略操作系统安全策略1)禁止建立空连接(IPC)默认情况下,任何用户都可通过空连接连上服务器,进而枚举出账号,猜测密码。我们可以通过修改注册表来禁止建立空连接:即把“Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous”的值改成“1”即可。如果使用“2”可能会造成你的一些服务无法启动,如SQL S
25、erver。2)禁止管理共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters项对于服务器,添加键值“AutoShareServer”,类型为“REG_DWORD”,值为“0”。对于客户机,添加键值“AutoShareWks”,类型为“REG_DWORD”,值为“0”。(关闭server服务)3)3)、停止不必要的服务、停止不必要的服务 服务开的太多也不是个好事,将没有必要的服务通通关掉吧!特别是连管理员都不知道是干什么的服务,还开着干什么!关掉!免得给系统带来灾难。另外,管理员如果不外出,不需要远程管
26、理你的计算机的话,最好将一切的远程网络登录功能都关掉。注意,除非特别需要,否则禁用“Task Scheduler”、“RunAs Service”服务!关闭一项服务的方法很简单,运行cmd.exe之后,直接net stop servername 即可。Windows2003Windows2003可可禁用的服务禁用的服务 服务名服务名说明说明Computer Browser维护网络上计算机的最新列表以及提供这个列表维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环
27、境中为企业提供路由服务在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体、驱动程序和库管理可移动媒体、驱动程序和库Remote Registry Service允许远程注册表操作允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项服务服务IPSEC Policy Agent管理管理IP安全策略以及启动安全策略以及启动ISAKMP/Oakley(IKE)和和IP安全驱动程序安全驱动程序Distributed Link Tracking Clien
28、t当文件在网络域的当文件在网络域的NTFS卷中移动时发送通知卷中移动时发送通知Com+Event System提供事件的自动发布到订阅提供事件的自动发布到订阅COM组件组件6)、设置生存时间以禁止黑客判断主机类型HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersDefaultTTL REG_DWORD 0-0 xff(0-255 十进制,默认值128)指定传出IP数据包中设置的默认生存时间(TTL)值。TTL决定了IP数据包在到达目标前在网络中生存的最大时间。它实际上限定了IP数据包在丢弃前允许通过的路由器数量.有时
29、利用此数值来探测远程主机操作系统。4)、使用组策略,IP策略 gpedit.msc mmc.exe5)、防范SYN攻击(见后面的专题)1 1)制定详细的安全策略。)制定详细的安全策略。2 2)安装防火墙。)安装防火墙。3 3)加强主机安全。)加强主机安全。4 4)采用加密和认证技术。)采用加密和认证技术。5 5)加强入侵检测。)加强入侵检测。6 6)安装备份恢复与审计报警系统。)安装备份恢复与审计报警系统。保护网络安全的常用手段保护网络安全的常用手段 1.1.在入侵者正在行动时,捉住入侵者。例如,当管理员正在工作时,发现有人使用超在入侵者正在行动时,捉住入侵者。例如,当管理员正在工作时,发现有
30、人使用超级用户的户头通过拨号终端登录。而超级用户口令只有管理员本人知道。级用户的户头通过拨号终端登录。而超级用户口令只有管理员本人知道。2.2.根据系统发生的一些改变推断系统已被入侵。例如,管理员可能发现在根据系统发生的一些改变推断系统已被入侵。例如,管理员可能发现在/etc/passwd/etc/passwd文件中突然多出了一个户头,或者收到从入侵者那里发来的一封嘲弄的文件中突然多出了一个户头,或者收到从入侵者那里发来的一封嘲弄的电子邮件。一些系统中,操作一些文件失败时,会有一封邮件通知该用户。如果入侵电子邮件。一些系统中,操作一些文件失败时,会有一封邮件通知该用户。如果入侵者取得了超级用户
31、权限,又操作文件失败,那么,系统会自动将操作失败的补救办法者取得了超级用户权限,又操作文件失败,那么,系统会自动将操作失败的补救办法用邮件通知该用户,在这种情况下就发给了系统管理员用户。因而管理员便会知道系用邮件通知该用户,在这种情况下就发给了系统管理员用户。因而管理员便会知道系统已被入侵。统已被入侵。3.3.从其他站点的管理员那里收到邮件,称从本站点有人对从其他站点的管理员那里收到邮件,称从本站点有人对“他他”的站点大肆活动。的站点大肆活动。4.4.系统中一些奇怪的现象,例如,系统崩溃,突然的磁盘存取活动,或者系统突然系统中一些奇怪的现象,例如,系统崩溃,突然的磁盘存取活动,或者系统突然便得
32、非常缓慢。便得非常缓慢。5.5.在系统中,有许多命令可以让人们发现系统是否被入侵。一些优秀的软件,例如在系统中,有许多命令可以让人们发现系统是否被入侵。一些优秀的软件,例如TigerTiger,TripwireTripwire可以帮助发现入侵。可以帮助发现入侵。怎样才能发现入侵者怎样才能发现入侵者 思考以下问题:思考以下问题:系统是否真的发生了安全事件?在一些时候看起来是一次入侵者的行为,系统是否真的发生了安全事件?在一些时候看起来是一次入侵者的行为,其实是由于人的错误,或者软件的错误导致的。其实是由于人的错误,或者软件的错误导致的。系统是否真的遭到了破坏?在许多入侵事件中,入侵者虽然进行了没
33、有被系统是否真的遭到了破坏?在许多入侵事件中,入侵者虽然进行了没有被许可的访问。但是并没有访问敏感信息,或者修改文件的内容。许可的访问。但是并没有访问敏感信息,或者修改文件的内容。是否有必要保留一些证据,以备以后进行调查。是否有必要保留一些证据,以备以后进行调查。使系统尽快回到正常状态是否很重要?使系统尽快回到正常状态是否很重要?是否准备检查文件已被改变或者移动?如果没有采取行动,是否能够入侵是否准备检查文件已被改变或者移动?如果没有采取行动,是否能够入侵者修改了文件?者修改了文件?如果这次入侵被本组织内部的人听到,会有什么的麻烦?如果被本单位以如果这次入侵被本组织内部的人听到,会有什么的麻烦
34、?如果被本单位以外的人听到又怎样?外的人听到又怎样?入侵是否会再次发生?入侵是否会再次发生?发现入侵后应遵循的原则一:不要惊慌发现入侵后应遵循的原则一:不要惊慌 开始进行记录。在本子上记录下来所发现的开始进行记录。在本子上记录下来所发现的一切,甚至包括日期和时间。如果是检查文一切,甚至包括日期和时间。如果是检查文本文件,将结果打印下来,然后写上相关信本文件,将结果打印下来,然后写上相关信息和日期,如果系统中有足够的空间,对重息和日期,如果系统中有足够的空间,对重要文件进行复制,这一点对以后的追踪和修要文件进行复制,这一点对以后的追踪和修复系统非常重要。复系统非常重要。发现入侵后应遵循的原则二:
35、作好记录发现入侵后应遵循的原则二:作好记录 1.1.对问题进行分析和理解。对问题进行分析和理解。2.2.限制或者停止破坏限制或者停止破坏 .3.3.诊断,并决定危害的程度诊断,并决定危害的程度4.4.恢复系统恢复系统 5.5.处理问题处理问题 发现入侵后应遵循的原则三:进行计划发现入侵后应遵循的原则三:进行计划 发现入侵者之后,有这样一些对策:发现入侵者之后,有这样一些对策:1.1.不理。不理。2.2.试图使用试图使用writewrite或者或者talktalk这些工具询问他们究竟想要做什么。这些工具询问他们究竟想要做什么。3.3.试图跟踪这个连接,找出入侵者的来路和身份。试图跟踪这个连接,找
36、出入侵者的来路和身份。4.4.杀死这个进程来切断入侵者与系统的连接。拔下调制解调器杀死这个进程来切断入侵者与系统的连接。拔下调制解调器或网线或者关闭计算机。或网线或者关闭计算机。5.5.管理员可以使用一些工具来监视入侵者,发现他们正在做什么。管理员可以使用一些工具来监视入侵者,发现他们正在做什么。这些工具包括这些工具包括snoopsnoop、psps、lastcommlastcomm和和ttywatchttywatch等。等。入侵对策入侵对策1.1.检查单检查单IPIP包首部(包括包首部(包括tcptcp、udpudp首部)即可发觉的攻击:如首部)即可发觉的攻击:如winnukewinnuke
37、、ping ping of deathof death、landland,部分,部分OS detectionOS detection,source routingsource routing等。等。2.2.检查单检查单IPIP包,但同时要检查数据段信息才能发觉的攻击:如利用包,但同时要检查数据段信息才能发觉的攻击:如利用cgicgi漏洞,和漏洞,和大量的大量的buffer overflowbuffer overflow攻击。易于察觉,但最好设为选用,由用户在性能、安攻击。易于察觉,但最好设为选用,由用户在性能、安全两者之间进行折衷。全两者之间进行折衷。3.3.通过检测发生频率才能发觉的攻击:如
38、扫描,通过检测发生频率才能发觉的攻击:如扫描,syn flood,smurfsyn flood,smurf等。需要维等。需要维持一个额外的状态信息表,且因为结论是通过统计得来的,有误判漏判的可能。持一个额外的状态信息表,且因为结论是通过统计得来的,有误判漏判的可能。检测难度不是很大,但也要考虑对性能的影响。检测难度不是很大,但也要考虑对性能的影响。4.4.利用分片进行的攻击:如利用分片进行的攻击:如teadropteadrop、nesteanestea、joltjolt等。此类攻击利用了分片组等。此类攻击利用了分片组装算法的种种漏洞。若要检查此类漏洞,必须提前作组装尝试(在装算法的种种漏洞。若
39、要检查此类漏洞,必须提前作组装尝试(在IPIP层接受或层接受或转发时,而不是在向上层发送时)。分片不光可用来进行攻击,还可用来逃避转发时,而不是在向上层发送时)。分片不光可用来进行攻击,还可用来逃避未对分片进行组装尝试的未对分片进行组装尝试的IDSIDS的检测。的检测。网络攻击的检测网络攻击的检测使用安全工具使用安全工具 :SATANSATAN ,ISS ScannerISS Scanner,Strobe Strobe 使用防火墙使用防火墙 限制系统访问限制系统访问其它措施:其它措施:配置软硬件配置软硬件 ,限制软硬件,限制软硬件 ,服务器和路由器的安全,服务器和路由器的安全 ,关闭无用户头,
40、切断与网上连接关闭无用户头,切断与网上连接 。法律武器法律武器 已经遭到入侵了,有哪些预防和补救措施?已经遭到入侵了,有哪些预防和补救措施?安全策略:没有明确的安全管理策略;安全策略:没有明确的安全管理策略;管理问题:管理规章制度、策略、负责人的落实;管理问题:管理规章制度、策略、负责人的落实;操作系统安装后使用缺省配置,不打补丁,运行许操作系统安装后使用缺省配置,不打补丁,运行许多不必要的服务;多不必要的服务;99%99%以上的入侵是可以通过系统配置来防范的以上的入侵是可以通过系统配置来防范的;用户安全意识;用户安全意识;网络拓扑结构;网络拓扑结构;安全工具的使用;安全工具的使用;用户常见的
41、问题用户常见的问题多种服务安装在同一服务器上,多种服务安装在同一服务器上,DNS/Mail/Web/DNS/Mail/Web/FTPFTP;公用服务器用户口令过于简单,公用服务器用户口令过于简单,uid:study uid:study Pwd:123456Pwd:123456;审计功能没有激活,或管理员根本不检查审计日审计功能没有激活,或管理员根本不检查审计日志;志;没有备份,系统在被入侵后很难恢复。没有备份,系统在被入侵后很难恢复。用户常见的问题用户常见的问题对于普通网络用户的建议和忠告对于普通网络用户的建议和忠告系统安装最新的补丁对系统进行合理配置不轻易运行任何不明软件安装杀毒软件及防火墙
42、建立常用诊断工具包(1).(1).系统要尽量与公网隔离,要有相应的安全连接措施系统要尽量与公网隔离,要有相应的安全连接措施.(2).(2).不不同同的的工工作作范范围围的的网网络络既既要要采采用用防防火火墙墙、安安全全路路由由器器、保密网关等相互隔离,又要在政策允许时保证互通。保密网关等相互隔离,又要在政策允许时保证互通。(3).(3).为为了了提提供供网网络络安安全全服服务务,各各相相应应的的环环节节应应根根据据需需要要配配置置可可单单独独评评价价的的加加密密、数数字字签签名名、访访问问控控制制、数数据据完完整整性性、业业务务流流填填充充、路路由由控控制制、公公证证、鉴鉴别别审审计计等等安安
43、全全机机制,并有相应的安全管理。制,并有相应的安全管理。(4).(4).远程客户访问重要的应用服务要有鉴别服务器严格执远程客户访问重要的应用服务要有鉴别服务器严格执行鉴别过程和访问控制。行鉴别过程和访问控制。网络安全的防范建议网络安全的防范建议(5).(5).网络和网络安全设备要经受住相应的安全测试。网络和网络安全设备要经受住相应的安全测试。(6).(6).在相应的网络层次和级别上设立密钥管理中心、访问在相应的网络层次和级别上设立密钥管理中心、访问控制中心、安全鉴别服务器、授权服务器等,负责访问控制中心、安全鉴别服务器、授权服务器等,负责访问控制以及密钥、证书等安全材料的产生、更换、配置和控制
44、以及密钥、证书等安全材料的产生、更换、配置和销毁等相应的安全管理活动。销毁等相应的安全管理活动。(7).(7).信息传递系统要具有抗侦听、抗截获能力能对抗传输信息传递系统要具有抗侦听、抗截获能力能对抗传输信息的纂改、删除、插入、重放、选取明文密码破译等信息的纂改、删除、插入、重放、选取明文密码破译等主动攻击和被动攻击,保护信息的机密性,保证信息和主动攻击和被动攻击,保护信息的机密性,保证信息和系统的完整性。系统的完整性。(8).(8).涉及保密的信息在传输过程中,在保密装置以外不以涉及保密的信息在传输过程中,在保密装置以外不以明文形式出现。明文形式出现。网络安全的防范建议(续)网络安全的防范建
45、议(续)物理安全需求网络安全需求系统安全需求应用安全需求管理安全需求物理安全技术网络安全技术:防火墙 网络密码机 入侵检测系统安全技术:防病毒 安全加固应用安全技术:防窜改 拨号认证 审计 备份管理安全技术:安全管理1、平时在桌面上的资料应及时备份至其他盘(非C盘)或者U盘。2、不在“我的文档”里放文件(因为大部分系统都默认其位置属于C盘)3、养成经常杀毒和清理插件的习惯,发现系统有问题时及时进行杀毒清理,另外可设置定期杀毒,防患于未然!(相关软件可找网管安装设置)上海清远管业科技安全条例上海清远管业科技安全条例4、使用U盘时请先杀毒,然后请尽量使用“右键打开”的方式打开U盘,因为很多U盘病毒
46、都是通过“双击”来启动的,用右键打开一定程度上可以避免U盘病毒的传播。5、电脑密码必须尽量复杂化,并不随意透露给任何人,否则后果自负。6、上班时间禁止浏览与工作无关的网站及视频网站。如有必要,公司将对部分网站和域名进行屏蔽。7、不接收和打开任何来历不明的邮件或者QQ文件。8、不点击任何不明的网站,如有必要大家可以通过百度快照进行浏览。9、不随意相信QQ上好友发来的与钱有关的任何信息,如有必要必须打电话进行确认10、不随便相信钓鱼网站支付连接,不要贪网上小便宜,如分辨不清真假网站的区别可以联系网管进行分析判断。11、不向陌生人随意透露公司产品,客户关系,技术,财务等方面相关消息。清远管业网络清远
47、管业网络安全管理细则安全管理细则一、严禁任何部门和个人上班期间使用公司电脑、网络做与工作无关的事情,如打游戏、下载等,网络管理员将不定期检查,并将检查结果报行政部。二、各部门人员均不得擅自拆装电脑、外设和更换部件,确实需要打开机箱的,应通知网络管理员进行处理。各部门的电脑使用者负责自己电脑及外设的清洁工作。三、部门人员调动或离职,部门主管应通知网络管理员对离职人员的电脑进行检查登记、备案,网络管理员有权回收闲置的计算机重新分配,避免重复购买。四、为保证工作效率和公司网络的安全,公司采取实行上网控制,一些娱乐,色情,股票等网站将被禁止访问,如有需要,需填写申请单经过部门主管签字同意后方可开通互联
48、网指定网站访问权限;如其一个月的上网记录中半数的网站与其工作无关,将禁止其使用互联网五、网络出现故障,及时报网络管理员处理。严禁任何部门和个人擅自更改IP地址。禁止任何人擅自修改机器设置和更改上网端口,计算机名字参照标准:部门+姓名。六、禁止任何人在计算机上安装黑客软件和利用黑客程序对他人的计算机和服务器进行攻击、破坏;禁止将公司保密信息上网传播。七、禁止外来人员未经许可使用公司电脑、网络。除了信息的保密性、完整性,保证系统和网络的可用性、防除了信息的保密性、完整性,保证系统和网络的可用性、防止网络资源止网络资源/流量盗用,是网络安全服务的重要目标之一;流量盗用,是网络安全服务的重要目标之一;
49、安全是每个人的责任,整体的安全性依赖于所有用户安全意安全是每个人的责任,整体的安全性依赖于所有用户安全意识的增强、安全技术的普及;识的增强、安全技术的普及;保护用户不受攻击保护用户不受攻击规范用户行为,不发起攻击行为规范用户行为,不发起攻击行为不做攻击的中继不做攻击的中继增强协作精神,不做攻击的中转站增强协作精神,不做攻击的中转站仅仅依靠安全技术和工具并不能实现真正意义上的网络安全,仅仅依靠安全技术和工具并不能实现真正意义上的网络安全,要实现真正意义上的网络安全,相关法律法规的保障是非常要实现真正意义上的网络安全,相关法律法规的保障是非常必要的。必要的。结束语结束语后面内容直接删除就行资料可以编辑修改使用资料可以编辑修改使用资料仅供参考,实际情况实际分析The user can demonstrate on a projector or computer,or print the presentation and make it into a film to be used in a wider field