第六章节 Internet上网安全.pptVIP

主讲人:于长青 邮件地址：xaycq@163.com 西安工业大学北方信息工程学院 第六章 Internet上网安全 本讲的目标 接入Internet 可能面临的安全威胁 部分经典安全工具的配置和使用 网络浏览和搜索时应注意的安全问题 授课建议 重点介绍接入Internet 可能面临的安全威胁 通过演示介绍经典安全工具的配置和使用 简单介绍网络浏览和搜索时应注意的安全问题 安全威胁 恶意程序 流氓软件 是破坏或者影响系统正常运行的软件统称，具备部分病毒和黑客特征。 是在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行侵害用户合法权益的软件，但不包含中国法律、法规规定的计算机病毒。 恶意广告软件，间谍软件，恶意共享软件 黑客入侵 未授权的访问 恶意程序 陷门 计算机操作的陷门设置是指进入程序的秘密人口，它使得知道陷门的人可以不经过通常的安全检查访问过程而获得访问。 逻辑炸弹 逻辑炸弹是嵌入在某个合法程序里面的一段代码，被设置成当满足特定条件时就会发作，也可理解为“爆炸”，它具有计算机病毒明显的潜伏性。一旦触发，逻辑炸弹的危害性可能改变或删除数据或文件，引起机器关机或完成某种特定的破坏工作。 特洛伊木马 特洛伊木马是一个有用的，或表面上有用的程序或命令过程，包含了一段隐藏的、激活时进行某种不想要的或者有害的功能的代码。它的危害性是可以用来直接地完成一些非授权用户不能直接完成的功能。特洛伊木马的另一动机是数据破坏，程序看起来是在完成有用的功能(如：计算器程序)，但它也可能悄悄地在删除用户文件，直至破坏数据文件，这是一种非常常见的病毒攻击。 蠕虫 网络蠕虫程序是一种使用网络连接从一个系统传播到另一个系统的感染病毒程序。一旦这种程序在系统中被激活，网络蠕虫可以表现得像计算机病毒或细菌，或者可以注入特洛伊木马程序，或者进行任何次数的破坏或毁灭行动。网络蠕虫传播主要靠网络载体实现 细菌 计算机中的细菌是一些并不明显破坏文件的程序，它们的惟一目的就是繁殖自己。 病毒 病毒是一种攻击性程序，采用把自己的副本嵌入到其它文件中的方式来感染计算机系统。 僵尸 僵尸程序秘密接管对网络上其他机器的控制权，之后以被劫持的机器为跳板实施攻击行为，这使得发现真正的攻击者变得较为困难，僵尸程序可以应用于拒绝服务攻击，这种攻击的一个典型实例是攻击Web 站点。 流氓软件的特征表现 强制安装：未明确提示用户或未经用户许可，在用户计算机或其他终端上安装软件； 难以御卸：为提供通用的卸载方式，或者在不受其他软件影响、人为破坏的情况下，御卸后仍然有活动程序的行为； 浏览器劫持：未经用户许可，修改用户浏览器或其它相关配置，迫使用户访问特定网站或导致用户无法正常上网的行为； 广告弹出：未明确提示用户或未经用户许可，利用安装在用户计算机或其他终端上的软件弹出广告的行为。 黑客入侵 寻找突破方式 1 突破边界防护 2 寻找、获取信息 3 修改、拷贝信息 4 删除证据退出 5 PERIMETER 外部 内部 时间 危 害 程 度 典型的入侵过程（一） 外部侦查 入侵者会尽可能地找出实际上并不直接给予他们的资讯。他们常通过公开资讯或伪装成正常的使用者。用这种方式的入侵者，将使你实在难以察觉。 常用方法：whois、nslookup、正常FTP、报刊新闻 典型的入侵过程（二） 内部侦查 入侵者使用更具侵略性的技术来对资讯扫描，但不会破坏任何东西。 常用手段：CGI漏洞、ping、rpcinfo、snmpwalk、NMAP等端口扫描 典型的入侵过程（三） 入侵：入侵者开始对目标主机作了可能的漏洞入侵。 常用方法：通过CGI传递shell指令、缓冲区溢出、猜解户帐号、程序已知漏洞。 典型的入侵过程（四） 立足：入侵者已经入侵机器，成功地在你的网络中立足。入侵者主要的目的就是藏匿入侵证据并确认他可以再次侵入。常用手段： 攻击者控制了系统，便可以进行程序和端口重定向 端口转向成功后，他们可以操控连接并获得有价值的信息 相似的攻击目标还包括重定向SMTP端口，它也允许攻击者获得重要的信息 将某一端口与某一应用程序相绑定 允许将某一程序的运行指定到特定的端口，从而可以远程使用Telnet进行控制 典型的入侵过程（五） 利益 入侵者利用他们的优势偷取机密资料，滥用系统资源或破坏你的网页。 典型的入侵过程(六) 擦除渗透的痕迹:攻击者通过破坏日志文件，可以骗过系统管理员和安全审计人员。 日志文件包括： Web服务器 防火墙 HTTP服务器 FTP服务器 数据库 操作系统的日志 IDS日志 日志文件类型包括 事件日志 应用程序日志 安全日志 系统的自我更新功能 个人防火墙 Windowsxp的防火墙 天网防火墙个人版 专门用于防火墙对用户计算