第9章：网络安全概述.pptVIP

第9章网络安全与黑客入侵技术概述 作用点：有害信息的传播对我国的政治制度及文化传统的威胁，主要表现在舆论宣传方面。 外显行为：黄色、反动信息泛滥，敌对的意识形态信息涌入，互联网被利用作为串联工具，传播迅速，影响范围广。 防范措施：设置因特网关，监测、控管。 作用点：对所处理的信息机密性与完整性的威胁，主要表现在加密方面。 外显行为：窃取信息，篡改信息，冒充信息，信息抵赖。 防范措施：加密，认证，数字签名，完整性技术（VPN) 作用点：对计算机网络与计算机系统可用性的威胁，主要表现在访问控制方面。 外显行为：网络被阻塞，黑客行为，计算机病毒等，使得依赖于信息系统的管理或控制体系陷于瘫痪。 防范措施：防止入侵，检测入侵，抵抗入侵，系统恢复。 ※ “黑客”在网上的攻击活动每年以十倍速增长。 ※ 修改网页进行恶作剧、窃取网上信息兴风作浪。 ※ 非法进入主机破坏程序、阻塞用户、窃取密码。 ※ 串入银行网络转移金钱、进行电子邮件骚扰。 ※ 网络硬件设备的后门 ※ 网络软件产品的后门 ※ 网络安全产品的问题： 嵌入式固件病毒 安全产品的隐蔽性通道 可恢复性密钥的密码 ※ 系统运行平台的安全性问题 以破坏系统或网络的可用性为目标 常用的工具： Trin00, TFN/TFN2K, Stacheldraht 很难防范 伪造源地址，流量加密，因此很难跟踪 除了信息的保密性、完整性，保证系统和网络的可用性、防止网络资源/流量盗用，是网络安全服务的重要目标之一； 安全是每个人的责任，整体的安全性依赖于所有用户安全意识的增强、安全技术的普及； 保护用户不受攻击 规范用户行为，不发起攻击行为 不做攻击的中继 增强协作精神，不做攻击的中转站 仅仅依靠安全技术和工具并不能实现真正意义上的网络安全，要实现真正意义上的网络安全，相关法律法规的保障是非常必要的。 网络攻击举例： LAND攻击原理 当对113或139号端口发送一个伪造的SYN报文时，如果报文中的源端主机的IP地址和端口与目的主机的IP地址和端口相同，例如从:139发送到:139，这时目标主机将会死机。 攻击者 Internet Code 目标 2 欺骗性的 IP 包 源地址 2 Port 139 目的地址 2 Port 139 TCP Open G. Mark Hardy Land攻击： 攻击者 Internet Code 目标 2 IP包欺骗 源地址 2 Port 139 目的地址 2 Port 139 包被送回它自己 崩溃 G. Mark Hardy Land攻击： 攻击者 Internet Code 目标 2 IP包欺骗 源地址 2 Port 139 目标地址 2 Port 139 TCP Open 数据包被丢弃！ 防火墙 防火墙把有危险的包 阻隔在网络外 G. Mark Hardy 防护Land攻击： 网络攻击举例： UDP攻击 UDP攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主机会瘫痪。 网络攻击举例： TCP/SYN 攻击 TCP的连接阶段，发SYN包，要求连接 伪造地址 消耗主机资源 攻击者 Internet Code 目标 欺骗性的 IP 包 源地址不存在 目标地址是 TCP Open G. Mark Hardy SYN Flood： SYN Flood： 攻击者 Internet Code 目标 同步应答响应 源地址 目标地址不存在 TCP ACK 崩溃 G. Mark Hardy 第一步：攻击者向被利用网络A的广播地址发送一个ICMP 协议的’echo’请求数据报，该数据报源地址被伪造成 第二步：网络A上的所有 主机都向该伪造的源地址 返回一个‘echo’响应，造成该主机服务中断。 Smuff 攻击： 网络攻击举例： ICMP/PING 攻击原理 ICMP/PING攻击是利用一些系统不能接受超大的IP包或需要资源处理这一特性。如在Linux下输入Ping -t 66510 IP（未打补丁的Win95/98的机器），机器就会瘫痪。 网络攻击举例： ICMP/SMURF 攻击原理 ICMP/SMURF攻击利用的是网络广播的原理来发送大量的地址，而包的源地址就是要攻击的机器本身的地址。因而所有接收到此包的主机都将给发包的地址发送一个ICMP回复包。 网络攻击举例： TARGA3 攻击 (IP 堆栈突破) TARGA3 攻击的基本原理是发送TCP/UDP/ICMP的碎片包，其大小、标记、包数据等都是随机的。一些有漏洞的系