网络安全08---网络攻击和防范.pptVIP

网络安全 网络攻击与防范 主要内容 网络攻击概述 常见网络攻击 入侵检测 计算机紧急响应 网络攻击概述 网络攻击的概念 广义上讲，任何在非授权的情况下，试图存取信息、处理信息或破坏网络系统以使系统不可靠、不可用的故意行为都被称为网络攻击。 入侵与攻击没有本质的区别，仅仅是在形式和概念描述上有所不同，其实质基本上是相同的。入侵伴随着攻击，攻击成功的结果就是入侵。 常见网络攻击 拒绝服务型攻击 利用型攻击 信息收集型攻击 虚假信息型攻击 网络攻击的过程 隐藏自身 踩点与扫描 侵入系统并提升权限 种植后门 网络隐身 常见网络攻击 拒绝服务攻击 拒绝服务攻击（Denial of Service, DoS）利用TCP/IP协议本身的漏洞或网络中操作系统漏洞，让被攻击主机无法响应正常的用户请求而实现的 在DoS攻击中，攻击者加载过多的服务将系统资源（如CPU时间、磁盘空间，打印机，甚至是系统管理员时间）全部或部分占用，使得没有多余资源供其他用户使用。 常见的拒绝服务攻击 死亡之ping 泪滴 ICMP泛洪 Smurf攻击 TCP SYN泛洪 分布式拒绝服务攻击 分布式拒绝服务攻击（Distributed Denial of Service, DDoS）是一种基于DoS攻击、但形式特殊的拒绝服务攻击，采用一种分布、协作的大规模攻击方式，主要瞄准如商业公司、搜索引擎和政府部门网站等比较大的站点。 DoS攻击只是单机对单机的攻击，实现方法比较简单。与之不同的是，DDoS攻击是利用一批受控制的主机向一台主机发起攻击，其攻击的强度和造成的威胁要比DoS攻击严重得多 DDoS攻击的原理 缓冲区溢出攻击 缓冲区溢出攻击是一种常见且危害很大的系统攻击手段，这种攻击可以使一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权。 攻击者向一个有限空间的缓冲区中复制过长的字符串，这时可能产生两种结果：一是过长的字符串覆盖了相邻的存储单元而造成程序瘫痪，甚至造成系统崩溃；二是可让攻击者运行恶意代码，执行任意指令，甚至获得管理员用户的权限等。 缓冲区溢出攻击的防范 编写正确的代码 非执行缓冲区保护 数组边界检查 程序指针完整性检查 入侵检测 主要的传统安全技术 加密 消息摘要、数字签名 身份鉴别：口令、鉴别交换协议、生物特征 访问控制 安全协议： IPSec、SSL 网络安全产品与技术：防火墙、VPN 内容控制: 防病毒、内容过滤等 传统安全技术的局限性 传统的安全技术采用严格的访问控制和数据加密策略来防护 在复杂系统中，这些策略是不充分的 这些措施都是以减慢交易为代价的 大部分损失是由内部引起的 82%的损失是内部威胁造成的 传统安全技术难于防内 传统的安全技术基本上是一种被动的防护，而如今的攻击和入侵要求我们主动地去检测、发现和排除安全隐患 传统安全措施不能满足这一点 入侵检测系统概述 入侵检测系统的定义 入侵（Intrusion） 企图进入或滥用计算机或网络系统的行为 可能来自于网络内部的合法用户 入侵检测（Intrusion Detection） 对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性 入侵检测系统（Intrusion Detection System， IDS） 定义：进行入侵检测的软件与硬件的组合便是入侵检测系统 功能：监控计算机系统或网络系统中发生的事件，根据规则进行安全审计 为什么需要入侵检测系统 入侵很容易 入侵教程随处可见 各种工具唾手可得 防火墙不能保证绝对的安全 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁，入侵检测系统是监视器 入侵检测系统IDS 通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象 入侵检测的任务 检测来自内部的攻击事件和越权访问 85％以上的攻击事件来自于内部的攻击 防火墙只能防外，难于防内 入侵检测系统作为传统安全工具的一个有效的补充 入侵检测系统可以有效的防范防火墙开放的服务入侵 通过事先发现风险来阻止入侵事件的发生，提前发现试图攻击或滥用网络系统的人员 检测其它安全工具没有发现的网络工具事件 提供有效的审计信息，详细记录黑客的入侵过程，从而帮助管理员发现网络的脆弱性 入侵检测相关术语 IDS(Intrusion Detection Systems) 入侵检测系统 Promiscuous 混杂模式，即IDS网络接口可以看到网段中所有的网络通信量，不管其来源或目的地 Signatures 特征，即攻击的特征 Alerts 警告 Anomaly 异常 Console 控制台 Sensor 传感器，即检测引擎