网络安全技术及应用实践教程 第4版 第4章 检测防御.pptVIP

8. 网络欺骗的攻防 （3）IP欺骗 IP欺骗是黑客的一种攻击形式。黑客在与网络上的目标计算机通信时，借用第三方的IP地址，从而冒充另一台计算机与目标计算机的通信。这是利用了TCP/IP协议的缺陷，根据IP协议，数据包的头部包含源地址和目的地址。而一般情况下，路由器在转发数据包时，只根据目的地址查路由表并转发，并不检查源地址。黑客正是利用这一缺陷，在向目的计算机发送数据包时，将源地址改写为被攻击者的IP地址，这样这个数据包在到达目标计算机后，便可能向被攻击者进行回应，这就是所谓的IP地址欺骗攻击。 4.1 知识要点 9. 种植后门 4.1 知识要点 黑客实施攻击后，为了保持对侵入的主机保持长久控制，常会在主机上种植网络后门，方便日后再次通过后门入侵系统。建立的后门应使得系统管理员无法阻止攻击者再次进入系统，同时使攻击者在系统中不易被发现，攻击者再次进入系统的时间开销少。 后门程序是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。最初是软件程序员为了便于修改程序设计中的缺陷而在软件开发阶段创建的后门程序，逐渐被黑客加以利用，成为了黑客入侵和控制攻击目标的一种途径。后门也可以说是一种登录系统的方法，作为一种黑客工具，不用于计算机病毒具有感染性，后门是为了绕过系统已有的安全设置，方便的进入系统。 10. 清除痕迹 4.1 知识要点 黑客一旦入侵过系统，并非毫无痕迹留下，系统会记录黑客的IP地址以及相应操作事件，系统管理员可以通过有关的文件记录查找出入侵证据。因此，黑客在完成入侵任务后，除了断开与远程主机/服务器的连接之外，还要尽可能的避免留下攻击取证数据，同时为后续的攻击作好准备，黑客需要清除攻击痕迹。删除事件日志是黑客用来清除攻击痕迹的最主要手段。入侵者可以远程控制主机，对该系统的日志文件进行手工清除，也可以编写批处理文件实现对日志文件的清除，另外，利用第三方软件来清除一些手动难以清除的系统日志也是常用的方法。 4.1.4 网络攻击的防范策略 在主观上重视，客观上积极采取措施。制定规章制度和管理制度，普及网络安全教育，使用户需要掌握网络安全知识和有关的安全策略。在管理上应当明确安全对象，建立强有力的安全保障体系，按照安全等级保护条例对网络实施保护与监督。认真制定有针对性的防攻措施，采用科学的方法和行之有效的技术手段，有的放矢，在网络中层层设防，使每一层都成为一道关卡,从而让攻击者无隙可钻、无计可使.在技术上要注重研发新方法，同时还必须做到未雨稠缪，预防为主，将重要的数据备份（如主机系统日志）、关闭不用的主机服务端口、终止可疑进程和避免使用危险进程、查询防火墙日志详细记录、修改防火墙安全策略等。 4.1 知识要点 4.1.4 网络攻击的防范措施 1）加强网络安全防范法律法规等宣传和教育，提高安全防范意识。 2）加固网络系统，及时下载、安装系统补丁程序。 3）尽量避免从Internet下载不知名的软件、游戏程序。 4）不要随意打开来历不明的电子邮件及文件，不要随便运行不熟悉的人给用户的程序。 5）不随便运行黑客程序，不少这类程序运行时会发出用户的个人信息。 6）在支持HTML的BBS上，如发现提交警告，先看源地址及代码，可能是骗取密码的陷阱 7）设置安全密码。使用字母数字混排，常用的密码设置不同，重要密码最好经常更换。 8）使用防病毒/黑客等防火墙软件,以阻档外部网络侵入。 9）隐藏自已的IP地址。 10) 切实做好端口防范.安装端口监视程序,关闭不用端口。 11) 加强IE浏览器对网页的安全防护。 12) 上网前备份注册表。 13）加强管理。 4.1 知识要点 ?讨论思考： （1）为什么要防范黑客攻击？如何防范黑客攻击？ （2）简述网络安全防范攻击的基本措施有哪些？ （3）说出几种通过对IE属性的设置来提高IE访问网页的安全性的具体措施？ 4.1.5 入侵检测系统的概念 1. 入侵检测系统 （1）入侵检测相关概念 入侵是对信息系统的非授权访问及未经许可在信息系统中进行操作，而入侵检测（Intrusion Detection，ID）是就是对正在入侵或已经发生的入侵行为的检测和识别。根据国标GB/T18336给出的定义，入侵检测是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”。 入侵检测系统（Intrusion Detection System，IDS）是指对入侵行为自动进行检测、监控和分析过程的软件与硬件的组合系统，是一种自动监测信息系统内、外入侵事件的安全设备。入侵检测系统可以称为防火墙之后的第二道防线，在网络受到攻击时，发出警报或采取一定的干预措施，与防火墙形成互补，通过合理