网络安全培训分享.doc

网络安全整体发展趋势：安全云发展、无线网络发展、病毒检测发展、utm发展 Utm——统一威胁管理(Unified Threat Management)， 2004年9月，IDC首度提出“统一威胁管理”的概念，即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management，简称UTM)新类别。IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中，该概念引起了业界的广泛重视，并推动了以整合式安全设备为代表的市场细分的诞生。由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台。众多安全厂商提出的多功能安全网关、综合安全网关、一体化安全设备等产品都可被划归到UTM产品的范畴； UTM的概念还体现出在信息产业经过多年发展之后，对安全体系的整体认识和深刻理解。 目前，UTM常定义为由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，同时将多种安全特性集成于一个硬件设备里，形成标准的统一威胁管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。密码与用户帐户的有效利用是网络安全性的最大问题之一。密码破解是用以描述在使用或不使用工具的情况下渗透网络、系统或资源以解锁用密码保护的资源的一个术语。最常用的工具之一是L0phtCrack（现在称为LC4）。L0phtCrack是允许攻击者获取加密的Windows NT/2000 密码并将它们转换成纯文本的一种工具。NT/2000密码是密码散列格式，如果没有诸如L0phtCrack 之类的工具就无法读取。它的工作方式是通过尝试每个可能的字母数字组合试图破解密码。B-----A-----C B----A------C 　于是A就成功于截获到了它B发给C的数据。上面这就是一个简单的ARP欺骗的例子。 　ARP欺骗攻击有两种可能，一种是对路由器ARP表的欺骗；另一种是对内网电脑ARP表的欺骗，当然也可能两种攻击同时进行。但不管怎么样，欺骗发送后，电脑和路由器之间发送的数据可能就被送到错误的MAC地址上。 防范ARP欺骗攻击可以采取如下措施： ·在客户端使用arp命令绑定网关的真实MAC地址命令 ·在交换机上做端口与MAC地址的静态绑定。 ·在路由器上做IP地址与MAC地址的静态绑定 ·使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表。 DNS欺骗攻击 DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个电子邮件到一个未经授权的邮件服务器。网络攻击者通常通过以下几种方法进行DNS欺骗。 （1）缓存感染 黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。 （2）DNS信息劫持 入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。 （3）DNS重定向 攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。 防范DNS欺骗攻击可采取如下措施： ·直接用IP访问重要的服务，这样至少可以避开DNS欺骗攻击。但这需要你记住要访问的IP地址。 ·加密所有对外的数据流，对服务器来说就是尽量使用SSH之类的有加密支持的协议，对一般用户应该用PGP之类的软件加密所有发到网络上的数据。 4、嗅探监听攻击 5、漏洞溢出攻击 案例：Microsoft DirectShow MPEG2TuneRequest组件栈溢出漏洞(MS09-032)—— DirectShow（msvidctl.dll）的BDATuningModelMPEG2TuneRequest视频组件中存在栈溢出漏洞。此漏洞可以通过IE浏览器远程利用，如果用户受骗访问了恶意网页并打开读取MPEG-2文件的话，就可能触发这个溢出，导致执行任意指令。目前这个漏洞正在被广泛的用于挂马攻击。 临时解决方法： * 对漏洞相关的控件设置Kill Bit，由于设计上这个控件并不配合IE使用，所以对此控件设置Kill