计算机网络安全技术第10章 网络攻防技术.pptVIP

特洛伊木马程序采用C/S模式工作，它包括服务端和客户端两个程序，缺掉其中任何一个都很难发生攻击，因为木马不具有传染性，所以服务器端程序是以其他方式进入被入侵的计算机，当服务器端置入被攻击机后，会在一定情况下开始运行（如用户主动运行或重新启动电脑，因为很多木马程序会自动加入到启动信息中），这时它就在被攻击机上打开一个1024以上端口（大多数的端口号都在5000以上），并一直监听这个端口，等待客户机端连结。木马的客户端一般运行在攻击机上，当攻击机上的客户端向被攻击机上的这一端口提出连接请求时，被攻击机上的服务端就会自动运行，来应答攻击机的请求，如果服务端在该端口收到数据，就对这些数据进行分析，然后按识别后的命令在被攻击机上执行相应的操作，如窃取用户名和口令、复制或删除文件、重新启动或关闭计算机等。木马隐藏着可以控制被攻击的系统危害系统安全的功能，可能造成对方资料和信息的泄漏、破坏，甚至使整个系统崩溃。 10.3.3缓冲区溢出攻击 溢出区是内存中存放数据的地方．在程序试图将数据放到计算机内存中的某一个地方时，因为没有足够的空间就会发生缓冲区溢出，而人为溢出则是攻击者编写一个超出溢出区长度的字符串，然后植入缓冲区，这样就可能导致两种结果。一是过长的字符串覆盖了相邻的存储单元引起程序远行错误，有时可能导致系统崩溃；另一方面是，通过字符串植入缓冲区，从而获得系统权限，可以执行任意指令。 在程序试图将数据放到机器内存中的某一个位置的时候，没有足够的空间就会发生缓冲区溢出。而人为的溢出则是有一定企图的，黑客写一个超过缓冲区长度的字符串，然后植入到缓冲区，而再向一个有限空间的缓冲区中植入超长的字符串可能会出现两个结果，一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃；另有一个结果就是利用这种漏洞可以执行任意指令，甚至可以取得系统超级用户权限。 缓冲区溢出成为远程攻击的主要手段其原因在于缓冲区溢出漏洞给予了黑客他所想要的一切：植入并且执行攻击代码。 被植入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程序，从而得到被攻击主机的控制权。 大多造成缓冲区溢出的原因是程序中没有仔细检查用户输入参数而造成的。 10.4 安全防范和安全监测 10.4.1安全防范 10.4.2安全监测技术 10.4.1安全防范 安全管理 谨慎开放缺乏安全保障的应用和端口 确保数据的安全 利用防火墙设置安全边界的防护能力 通过安全监测系统进行经常性的系统检查、记录系统运行状况 用安全管理软件测试自己的站点 请第三方评估机构或专家来完成网络安全的评估 做好数据的备份工作 10.4.2安全监测技术 网络安全监测工具是防范网络入侵的有力手段，它们帮助系统管理员发现系统的漏洞，监视系统异常的行为，以及追查安全事件。网络安全监测系统的基本功能包括检测出正在发生的攻击活动；发现攻击活动的范围和后果；诊断并发现攻击者的入侵方式和入侵地点, 并给出解决建议，以及收集并记录入侵的活动证据。 入侵检测系统（IDS）是一种网络监测系统，当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时，IDS能够检测出来，并进行报警，通知网络该采取措施进行响应。 入侵检测（Intrusion Detection），顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System,简称IDS）。 与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。 入侵检测系统的主要功能 监测并分析用户和系统的活动； 核查系统配置和漏洞； 评估系统关键资源和数据文件的完整性； 识别已知的攻击行为； 统计分析异常行为； 操作系统日志管理，并识别违反安全策略的用户活动。 第10章 网络攻防技术 本章要求 了解网络攻击带来的问题 理解常见的网络入侵手段和网络攻击手段 掌握安全防范的基本原则和安全监测技术 掌握安全审计和安全扫描技术。 本章主要内容 10.1 网络攻击 10.2 网络入侵技术 10.3 网络攻击技术 10.4 安全防范和安全监测 10.1 网络攻击 10.1.1网络攻击概念 10.1.2网络攻击分类 10.1.3网络攻击的一般过程 10.1.1网络攻击概念 网络的入侵是指对接入网络的计算机系统的非法进人，即攻击者未经合法的手段和程序而取得了使用该系统资源的权力。 网络入侵的目的有多种，或者是取得使用系统的存储能力、处理能力以及访