网络安全基础知识.PPT

网络安全与管理 ——网络安全基础知识 目前的网络安全形势 Internet上的设备日益增多 远程访问用户普遍存在 Web站点的数量急剧增加 90%的Web站点存在安全隐患 95%的安全问题可以用“配置”来解决 约70%的基于Web的攻击发生在应用层 网络攻击常见方法 黑客利用专门工具进行系统端口扫描，找到开放端口后进行入侵 主机扫描 Ping Tracert Nmap 扫描攻击 扫描攻击（续） 端口扫描 发现正在侦听或开放的端口 确定哪些端口拒绝连接 确定超时的连接手工扫描 扫描技巧 慢速扫描，一次扫描少量端口 尝试在多台主机扫描同一端口 从多个不同系统中运行扫描 SuperScan PortScanner X-scan 扫描软件 扫描攻击对策 使用多个筛选器 对配置错误或故障加以规划 实施入侵检测系统 只运行必须的服务 通过反向代理提供服务 黑客攻击目标时通常需要破译用户的口令，只要攻击者能猜测用户口令，就能获得机器访问权 通过网络监听 使用Sniffer工具捕获主机间通讯来获取口令 暴力破解 John the Ripper L0pht Crack 5 利用管理员失误 网络安全中人是薄弱的一环 提高用户、特别是网络管理员的安全意识 密码攻击 使用复杂的密码 对用户进行培训 实施智能卡 限制在批处理、脚本或Web页中包含密码 密码攻击对策 特洛伊木马 木马是一个程序，驻留在目标计算机里，可以随计算机启动而启动，对目标计算机执行操作 是一个通过端口进行通信的网络客户/服务程序 常见的木马 BO（BackOriffice） 冰河 灰鸽子 木马攻击 检查win.ini文件[WINDOWS]下的“run=”和“load=” 检查system.ini文件[BOOT]的“shell=文件名”如果是“shell= explorer.exe 程序名”，那么就说明已经中“木马”了。 检查注册表： HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion下所有以“run”开头的键值； HKEY_CURRENT_USER\Software\Microsoft \Windows\ CurrentVersion下所有以“run”开头的键值； HKEY-USERS\Default\Software\Microsoft \Windows \CurrentVersion下所有以“run”开头的键值。 安装杀毒软件进行实时防护 木马攻击对策 DoS（Denial of Service，拒绝服务攻击） 消耗系统资源（带宽、内存、队列、CPU） 导致目标主机宕机 阻止授权用户正常访问服务（慢、不能连接、没有响应） 拒绝服务（DoS）攻击 名 称 说 明 SYN Flood 需要为TCP连接分配内存，从而使其他功能不能分配足够的内存。三次握手，进行了两次(SYN)(SYN/ACK)，不进行第三次握手（ACK）,连接队列处于等待状态，大量的这样的等待，占满全部队列空间，系统挂起。 Ping of Death IP应用的分段使大包不得不重装配，从而导致系统崩溃。 偏移量+段长度65535，系统崩溃，重新启动，内核转储等 Teardrop 分段攻击。利用了重装配错误，通过将各个分段重叠来使目标系统崩溃或挂起。 Smurf 网络上广播通信量泛滥，从而导致网络堵塞。攻击者向广播地址发送大量欺骗性的ICMP ECHO请求，这些包被放大，并发送到被欺骗的地址，大量的计算机向一台计算机回应ECHO包，目标系统将会崩溃。 拒绝服务（DoS）攻击（续） 在路由器上配置防欺骗和阻止定向广播规则 设置速率限制并考虑阻止ICMP数据包 为操作系统和应用程序应用最新的更新 设置磁盘配额 禁用不需要的服务 拒绝服务（DoS）攻击对策 规划企业网络安全评估 规划企业网络安全评估（续） 数据安全 应用程序安全 主机安全 内部网络安全 周边设备安全 物理安全 策略和意识安全 强口令、ACL、备份与还原策略 应用程序加固 操作系统加固、身份验证、安全 更新、病毒防治及审核 划分网段、实施NIDS 防火墙、边界路由及VPN 警卫、锁、跟踪及监控设备 安全策略与客户教育 网络设备面临的威胁 操作系统面临的威胁