网络攻击与防护技术b(第四章).pptVIP

网 络 安 全 主 讲：符天 电子邮箱：network@ 第四章 网络攻击与防护技术(二) 第四章 对 学 生 的 要 求 掌握黑客攻击的防范 掌握网络攻击的处理策略 教学重点：黑客攻击的流程 教学难点：如何防范黑客攻击 缓冲区溢出防御措施 （1）安装安全补丁。 （2）编写安全的代码：缓冲区溢出攻击的根源在于编写程序的机制。因此，防范缓冲区溢出漏洞首先应该确保在系统上运行的程序（包括系统软件和应用软件）代码的正确性，避免程序中有不检查变量、缓冲区大小及边界等情况存在。 （3）基于一定的安全策略设置系统：攻击者攻击某一个Linux系统，必须事先通过某些途径对要攻击的系统做必要的了解，如版本信息等，然后再利用系统的某些设置直接或间接地获取控制权。因此，防范缓冲区溢出攻击就要对系统设置实施有效的安全策略。 IP欺骗的防范 IP欺骗的防范 （1）放弃基于IP地址的信任策略：IP欺骗是基于IP地址信任的。而IP地址很容易伪造。因此，阻止这类攻击的一种非常简单的方法是放弃以IP地址为基础的验证。 （2）使用随机化的初始序列号：序列号是接收方TCP进行合法检查的一个重要依据。黑客攻击能够得逞的一个重要因素就是，序列号有一定的选择和增加规律。 （3）在路由器中加上一些附加条件：这些条件包括：不允许声称是内部包的外部包（源地址和目标地址都是本地域地址）进入——防止外部攻击者假冒内部主机的IP欺骗；禁止带有内部资源地址的内部包出去——防止内部用户对外部站点的攻击。 ARP欺骗的防范 ARP欺骗的防范 （1）MAC地址绑定，使网络中每一台计算机的IP地址与硬件地址一一对应，不可更改。 （2）使用静态ARP缓存，用手工方法更新缓存中的记录，使ARP欺骗无法进行。 （3）使用ARP服务器，使其他计算机的ARP配置只接受来自ARP服务器的ARP响应。 DDoS攻击的防范 DDoS攻击的隐蔽性极强，迄今为止人们还没有找到对DDoS攻击行之有效的解决方法。所以加强安全防范意识、提高网络系统的安全性，还是当前最为有效的办法。可采取的安全防御措施有以下几种： （1）及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息（例如系统配置信息）建立和完善备份机制。对一些特权帐号（例如管理员帐号）的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。 （2）在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志,如windows xp中的注册表值:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] 。 针对网络攻击的处理策略 针对网络攻击的处理策略 网络遭到攻击有的会有明显的特征，有的很难发现。一般入侵检测系统能发现网络是否被攻击，在不使用入侵检测系统的情况下，使用以下方法也可以发现绝大多数入侵者。 (1) 在入侵者正在行动时，捉住入侵者。如当管理员正在工作时，发现有人使用超级用户的账号登录，而超级用户的账号密码只有管理员本人知道，由此判断有入侵者进入。 (2) 根据系统发生的一些改变推断系统已被入侵。 (3) 根据系统中一些奇怪的现象判断。 (4) 一个用户登录进来许多次。 针对网络攻击的处理策略 当出现网络攻击时，首先应考虑这种攻击对网络和用户产生什么影响，然后考虑如何阻止入侵者的进一步攻击。一旦出现入侵事件，按如下步骤处理。 1. 估计形势 当证实遭到入侵时，采取的第一步行动是尽可能快地估计入侵造成的破坏程度。 (1) 入侵者是否已经成功进入站点。如果已经进入了站点，必须迅速行动。其主要目的是保护用户、文件和系统资源。 (2) 入侵者是否还滞留在系统中。如果在系统中，需要尽快阻止入侵者。如果不在，则在入侵者下次攻击之前，用一段时间做相应的准备。 针对网络攻击的处理策略 (3) 在用户能控制形势之前可以关闭系统或停止有影响的服务(FTP、telnet等)，甚至可能需要关闭Internet连接。 (4) 判断入侵者是否有来自内部威胁的可能。 (5) 判断入侵者身份。 针对网络攻击的处理策略 根据估计的入侵者的情况，可采取以下行动。 (1) “杀死”相关进程来切断入侵者与系统的连接。 (2) 使用监控工具询问他们究竟想要做什么。 (3) 跟踪连接，找出黑客的来路和身份。 (4) 管理员可以使用一些工