网络安全技术及应用课件作者贾铁军4-6章节第4章节黑客攻防与入侵检测.ppt

3. 分布式拒绝服务攻击(4) (4) DDoS 攻击实例——目前最流行的DDoS 攻击手段SYN Flood 攻击 1) Syn Flood 原理与三次握手(1) Syn Flood 利用了TCP/IP协议的固有漏洞。面向连接的TCP 三次握手是Syn Flood 存在的基础。TCP 连接的三次握手过程，如图所示。 1) Syn Flood 原理与三次握手(2) TCP三次握手过程中，在第一步，客户端向服务端提出连接请求。服务端收到该TCP 分段后，在第二步以自己的ISN 回应(SYN 标志置位)，同时确认收到客户端的第一个TCP 分段(ACK 标志置位)。在第三步中，客户端确认收到服务端的ISN(ACK标志置位)。到此为止建立完整的TCP 连接，开始全双工模式的数据传输过程。 2) Syn Flood 攻击者不会完成三次握手。如图所示。 4. DDoS攻击的防范(1) 到目前为止，进行DDoS 攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞。 检测DDoS攻击的主要方法有以下几种： (1)根据异常情况分析 (2)使用DDoS检测工具 对DDoS攻击的主要防范策略包括： (1)尽早发现系统存在的攻击漏洞，及时安装系统补丁程序。 (2)在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。 4. DDoS攻击的防范(2) (3)利用网络安全设备如防火墙等来加固网络的安全性。 (4)比较好的防御措施就是和你的网络服务提供商协调工作，让他们帮助你实现路由的访问控制和对带宽总量的限制。 (5)当发现自己正在遭受DDoS攻击时，应当启动应付策略，尽快追踪攻击包，并及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡已知攻击节点的流量。 (6)对于潜在的DDoS攻击，应当及时清除，以免留下后患。 4.2.7 其他攻防技术 1. WWW 的欺骗（网络钓鱼） 2. 电子邮件攻防 3. 即时通讯QQ攻防 4.3 防范攻击的措施和步骤 4.3.1 防范攻击的措施 1. 提高防范意识 2. 设置安全口令 3. 实施存取控制 4. 加密及认证 5. 定期分析系统日志 6. 完善服务器系统安全性能 7. 进行动态站点监控 8. 安全管理检测 9. 做好数据备份 10. 使用防火墙和防毒软件 4.3.2 防范攻击的步骤 1. 选好操作系统 2. 补丁升级 3. 关闭无用的服务和端口 4. 隐藏IP 地址 5. 查找本机漏洞 6. 选用防火墙软件 4.4 入侵检测系统概述 入侵检测是一种试图通过观察行为、安全日志或审计数据来检测入侵的技术。通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。 入侵检测的内容包括：检测试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用等破坏系统安全性的行为。 4.4.1 入侵检测系统功能及特点 1. 入侵检测系统概念及功能(1) 入侵检测系统（Intrusion Detection System，IDS）是进行入侵检测监控和分析过程自动化的软件与硬件的组合系统。它处于防火墙之后对网络活动进行实时检测。入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术。 1. 入侵检测系统概念及功能(2) 入侵检测系统主要功能包括6个方面： (1) 监视、分析用户及系统活动； (2) 系统构造和弱点的审计； (3) 识别反映已知进攻的活动模式并向相关人员报警； (4) 异常行为模式的统计分析； (5) 评估重要系统和数据文件的完整性； (6) 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 1. 入侵检测系统概念及功能(3) 一个成功的入侵检测系统至少满足以下5个要素： (1) 实时性要求 (2) 可扩展性要求 (3) 适应性要求 (4) 安全性与可用性要求 (5) 有效性要求 2. 入侵检测系统的组成及特点 (1) 入侵检测系统组成 通常IDS由传感器（Sensor）与控制台（Console）两部分组成。 传感器主要包括事件