第10章 网络攻防与入侵检测.pptVIP

* 10.10.1 ISS BlackICE 设置防火墙规则 * 10.10.1 ISS BlackICE 应用程序保护高级设置 * 10.10.2 ISS RealSecure RealSecure 2.0 for Windows NT是一种领导市场的攻击检测方案，它提供了分布式的安全体系结构。 多个检测引擎可以监控不同的网络并向中央管理控制台报告。控制台与引擎之间的通信可以通过128bit RSA进行认证和加密。 * 启动管理端程序 * 启动网络探测头 * 菜单的VIEW下面的Globl Response选项 * 应用规则检测文件 * * 10.5.2 IP欺骗的防止 （1）抛弃基于地址的信任策略 （2）进行包过滤 （3）使用加密方法 （4）使用随机化的初始序列号 * 10.6 拒绝服务 10.6.1 什么是拒绝服务 10.6.2 分布式拒绝服务 * 10.6.1 什么是拒绝服务 DoS是Denial of Service的简称，即拒绝服务。 拒绝服务攻击是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其它用户提供服务的一种攻击方式。 拒绝服务攻击的结果可以降低系统资源的可用性，这些资源可以是网络带宽、CPU时间、磁盘空间、打印机、甚至是系统管理员的时间。 最常见的DoS攻击有: 带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。 连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。 * 10.6.1 什么是拒绝服务 DoS攻击的基本过程 * 10.6.2 分布式拒绝服务 DDoS（分布式拒绝服务）是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式， 一个比较完善的DDoS攻击体系分成三层 * （1）攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。 （2）主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。 （3）代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，由它向受害者主机实际发起攻击。 10.6.2 分布式拒绝服务 * 10.7 特洛伊木 10.7.1 特洛伊木马简介 10.7.2 木马的工作原理 10.7.3 木马的一般清除方法 * 10.7.1 特洛伊木马简介 木马是一种基于远程控制的黑客工具，一般的木马都有客户端和服务器端两个执行程序，其中客户端是用于攻击者远程控制被植入木马的机器。服务器端程序即是木马程序。 攻击者要通过木马攻击你的系统，要做的第一件事就是把木马的服务器端程序通过某种方式植入到用户的电脑里面。 木马具有隐蔽性和非授权性的特点 * 10.7.2 木马的工作原理 1．配置木马 2．传播木马 3．运行木马 4．信息泄露 5．建立连接 6．远程控制 * 10.7.3 木马的一般清除方法 如果发现有木马存在，首先就是马上将计算机与网络断开，防止黑客通过网络进行攻击。 然后编辑win.ini文件，将[WINDOWS]下面，“run=木马程序”或“load=木马程序”更改为“run=”和“load=”； 编辑system.ini文件，将[BOOT]下面的“shell=木马文件”，更改为：“shell=explorer.exe”； 在注册表中，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到木马程序的文件名，再在整个注册表中搜索并替换掉木马程序， 有时候还需注意的是：有的木马程序并不是直接将“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run”下的木马键值删除就行了，因为有的木马如：BladeRunner木马，如果你删除它，木马会立即自动加上，你需要的是记下木马的名字与目录，然后退回到MS－DOS下，找到此木马文件并删除掉。重新启动计算机，然后再到注册表中将所有木马文件的键值删除。 * 10.8 入侵检测概述 10.8.1 概念 10.8.2 IDS的任务和作用 10.8.3入侵检测过程 * 10.8.1 概念 入侵检测（Intrusion Detection），顾名思义，即是对入侵行为的