06第六章 网络安全防护技术.pptVIP

第六章 网络安全防护技术 6.1 网络安全基础 6.1 网络安全基础 6.1 网络安全基础 6.1 网络安全基础 6.1 网络安全基础 6.1 网络安全基础 6.1 网络安全基础 6.1 网络安全基础 6.1 网络安全基础 6.1 网络安全基础 6.1 网络安全基础 6.1 网络安全基础 6.1 网络安全基础 6.1 网络安全基础 6.1 网络安全基础 6.1 网络安全基础 6.1 网络安全基础 6.1 网络安全基础 6.2 网络操作系统安全 6.2 网络操作系统安全 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 6.3 常见网络攻击与防范 思考题 SMB致命攻击 SMB（Session Message Block，会话消息块协议）又叫做NetBIOS或LanManager协议，用于不同计算机之间文件、打印机、串口和通讯的共享和用于Windows平台上提供磁盘 缓冲区溢出攻击 原理 缓冲区溢出原理很简单，比如C语言程序： void function(char * szPara1) { char buff[16]; strcpy(buffer, szPara1); } RPC漏洞溢出 远程过程调用RPC（Remote Procedure Call），是操作系统的一种消息传递功能，允许应用程序呼叫网络上的计算机。当系统启动的时候，自动加载RPC服务。可以在服务列表中看到系统的RPC服务 拒绝服务攻击 凡是造成目标计算机拒绝提供服务的攻击都称为DoS（Denial of Service）攻击，其目的是使目标计算机或网络无法提供正常的服务。 带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。 连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。 6.3.4 入侵检测 入侵检测系统 入侵检测系统IDS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。 没有一个应用系统不会发生错误，原因主要有四个方面。 缺乏共享数据的机制 缺乏集中协调的机制 缺乏揣摩数据在一段时间内变化的能力 缺乏有效的跟踪分析 根据入侵检测的信息来源不同，可以分为两类： 基于主机的入侵检测系统： 主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件：来检测入侵。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。 基于网络的入侵检测系统： 主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。 入侵检测的方法 入侵检测方法有三种分类依据： 根据物理位置进行分类。 根据建模方法进行分类。 根据时间分析进行分类。 常用的方法有三种： 静态配置分析 异常性检测方法 基于行为的检测方法。 入侵检测的步骤 信息收集 数据分析 根据数据分析的不同方式可将入侵检测系统分为两类： 异常入侵检测 误用入侵检测 响应 将分析结果记录在日志文件中，并产生相应的报告。 触发警报：如在系统管理员的桌面上产生一个告警标志 位，向系统管理员发送传呼或电子邮件等等。 修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。 6.3.5 网络后门与网络隐身 网络后门 木马 木马是一种可以驻留在对方系统中的一种程序。 木马一般由两部分组成：服务器端和客户端。 木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。 木马程序在表面上看上去没有任何的损害，实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。 网络隐身 网络代理跳板 清除日志 清除IIS日志 这些信息记录在Winnt\System32\logFiles目录下 打开