经典的网络安全技术基础.pptVIP

网络安全技术基础 目录 基础知识和基本技术 防火墙技术和应用 应用层攻击和防范 拒绝服务攻击和防范 病毒与反病毒技术 反垃圾邮件专题 安全审计技术专题 网闸技术专题 日益成熟的黑色产业链 系统漏洞是怎么产生的 void main() { int a,b,c; printf(input a,b,c\n); scanf(%d%d%d,a,b,c); printf(a=%d,b=%d,c=%d,a,b,c); } “scanf”函数没有进行输入长度校验，从而产生溢出漏洞。 大多数漏洞都产生于参数传递 JPG格式中的漏洞： GDIPlus.DLL漏洞MS04-028 Nick DeBaggis 漏洞产生原因：JPEG格式中的注释段（COM）由0xFFFE开始(标记)+2字节注释段字节数(参数) +注释（数据）构成。因为字节数这个参数值包含了本身所占的2字节，所以GDIPLUS.dll在解析jpg格式文件中的注释段时会把这个值减去2，如果这个值设置成0，1就会产生整数溢出。 结论：发现漏洞的最有效方法在于构造错误的参数传递！ 推论：鉴定测试中心的兄弟最有成为黑客的潜力！ 一次攻击实例 1.目标服务器没有漏洞，很安全。 2.目标服务器开了3389远程管理，非加密可以利用 3.内网几台计算机有漏洞，直接拿下。顺便开个监听，看能不能抓到管理员登录服务器的信息。 4.管理员总不登录？DoS一下，强迫管理员登录。 5.管理员发现服务器不正常，登录去看看，被直接抓到口令。 攻击机 网管机 内网 目标服务器 广义的漏洞定义 漏洞就是通过加工后能够产生危害的系统功能 基础知识——TCP的3次握手 地瓜地瓜，我是土豆，听到请回答！over！ 土豆土豆，我是地瓜，你话音很清楚，能听清楚我说话吗？Over！ 地瓜地瓜，你话音也很清楚清楚，说正事吧。over！ 半开连接：未完成三次握手的TCP连接 网络安全的基本技术 应用层 表示层 会话层 传输层 网络层 链路层 物理层 基于状态转发技术 IPSec 抗DoS/ DDoS 链路加密 电磁防泄漏 特征匹配技术 基本技术——基于状态表转发 如收到的数据包为新建TCP连接的数据包，则根据预定义规则决定是否转发。 如确定需要转发则在状态表中增加相关表项，并开始跟踪TCP握手信息。 如收到的数据包为非新建连接，则检查状态表表项。 如有相关表项则根据表项进行转发，否则丢弃该数据包。 如该数据包为TCP FIN包，则转发后删除相关表项。 状态表中的表项都有预定义的老化时间。 如超过老化时间仍没有新的数据包通过，则删除该条记录。 无老化时间的记录称为长连接，用于某些特殊应用 新建连接 非新建连接 状态表老化 ？ 基本技术——特征匹配技术 特征库 *************************************** 8/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* *************************************** *************************************** 特征库 以太网帧头 IP头 TCP头 应用层数据 对比 网络安全设备部署模式 旁路部署 在线部署 交换机上设置镜像端口，安全设备旁路进行抓包和特征匹配。 某些网关类安全设备（如VPN）的单臂部署模式在拓扑形式上与此类似，但是数据包需要进行转发的。 网关类安全设备大多采用此种将设备串入链路中的在线部署方式。 透明模式 向网线一样工作 桥模式 相当于交换机 路由模式 相当于路由器 混合模式 既有路由模式也有桥模式 目录 基础知识和基本技术 防火墙技术和应用 应用层攻击和防范 拒绝服务攻击和防范 病毒与反病毒技术 反垃圾邮件专题 安全审计技术专题 网闸技术专题 防火墙的分类 主要分为以下3种类型防火墙： 包 过 滤 防 火 墙 ：根据一组规则允许/阻塞一些数据包。 应用代理型防火墙：作为应用层代理服务器，提供安全防护。 状态检测型防火墙：比包过滤防火墙具有更高的智能和安全性，会话成功建立连接以后记录状态信息并时时更新，所有会话数据都要与状态表信息相匹配；否则会话被阻断。 现代防火墙基本为3种类型防火墙的综合体，即采用状态检测型包过滤技术，同时提供透明应用代理功能。 包过滤防火墙 基本概念：数据包过滤是指在网络中的适当位置对数据包实施有选择的通过。选择的依据就是系统内设置的过滤规则或称访问控制表。 包过滤操作过程 ： 包过滤规则必须被存储在包过滤设备的端口； 当数据包在端口到达时，包头被提取，同