网络安全复习.ppt

信息保障的核心思想 信息保障的核心思想是对系统或者数据的4个方面的要求： PDRR保障体系 保护（Protect）检测（Detect）反应（React）恢复（Restore） PDRR保障体系 保护（Protect） 指采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。 密码技术、数字签名、报文摘要、安全协议、操作系统安全、数据库系统安全、访问控制等技术 检测（Detect） 指提供工具检查系统可能存在的黑客攻击、白领犯罪和病毒泛滥等脆弱性。 病毒检测、漏洞扫描、入侵检测、身份鉴别等技术 PDRR保障体系 反应（React）指对危及安全的事件、行为、过程及时做出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务。 监视、关闭、切换、跟踪、报警、修改配置、联动阻断等技术 恢复（Restore）指一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务。 备份、恢复。 攻击技术 攻击技术主要包括五个方面： 1、网络监听：不主动去攻击别人，在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。 2、网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。 3、网络入侵：当探测发现对方存在漏洞以后，入侵到目标计算机获取信息。 4、网络后门：成功入侵目标计算机后，为了对“战利品”的长期控制，在目标计算机中种植木马等后门。 5、网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。 防御技术 防御技术包括： 加密技术：为了防止被监听和盗取数据，将所有的数据进行加密。 防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。 入侵检测：如果网络防线最终被攻破了，需要及时发出被入侵的警报。 操作系统的安全配置：操作系统的安全是整个网络安全的关键。 我国立法情况 目前网络安全方面的法规已经写入中华人民共和国宪法。 于1982年8月23日写入中华人民共和国商标法 于1984年3月12日写入中华人民共和国专利法 于1988年9月５日写入中华人民共和国保守国家秘密法 于1993年9月2日写入中华人民共和国反不正当竞争法。 安全级别 2.1 信息收集概述 信息收集的内容 域名和IP地址 操作系统类型 开放的端口与服务 应用程序类型 防火墙、入侵检测等安全防范措施 内部网络结构、域组织 2.3.1 主机扫描 利用ICMP进行主机扫描 Ping Ping使用ICMP协议进行工作 2.3.2 端口扫描 端口扫描 原理 向目标主机的各个端口发送连接请求，根据返回的响应判断是否开放。 端口是入侵的通道 端口分为TCP端口与UDP端口，端口扫描可分类为 TCP扫描 UDP扫描 基本扫描 用Socket开发TCP应用 2.3.2 端口扫描 基本的扫描方法即TCP Connect扫描 优点 实现简单 可以用普通用户权限执行 缺点 容易被防火墙检测，也会目标应用所记录 2.1.1 可以利用的缺陷与漏洞 管理漏洞 目标系统信息的泄露 错误的配置信息 未采用必要的防护系统 弱口令 系统漏洞 未更新补丁 设计缺陷 协议漏洞 身份验证协议以及网络传输协议 2.5 操作系统类型探测 识别目标操作系统的意义 识别操作系统类型的方法 针对专门的操作系统的漏洞 为社会工程法提供进一步的信息 2.5.1 传统的操作系统探测方法 端口扫描结果分析 操作系统往往提供一些自身特有的功能，而这些功能又很可能打开一些特定的端口 WINDOWS 9X：137、139 WINDOWS 2000/XP：135、139、445 135——Location Service 137——NetBIOS Name Service (UDP) 139——NetBIOS File and Print Sharing 各种UNIX：512-514、2049 2.5.1 传统的操作系统探测方法 应用程序BANNER BANNER 服务程序接收到客户端的正常连接后所给出的欢迎信息 2.5.1 传统的操作系统探测方法 MS FTP Serv-U for Windows 2.5.2 TCP/IP协议栈指纹 TCP/IP协议栈指纹 不同的操作系统在实现TCP/IP协议栈时都或多或少地存在着差异。而这些差异，我们就称之为TCP/IP协议栈指纹 不同的操作系统在实现TCP/IP协议栈的时候，并不是完全按照RFC所定义的标准来实现的 在RFC中也没有对所有的问题给予精确的定义 2.5.2 TCP/IP协议栈指纹 FIN扫描 对FIN报文的回复 TCP标准 关闭的端口——返回RST报文 打开的端口——