內容提綱,一、我國網絡現狀,1、上網人數激增,中國網民人數增長情況,2、網絡安全事件頻發,3、攻擊手段多樣,二、網絡攻擊方法及原理,1、黑客簡史,（1）影視中的黑客,黑客帝國,浪漫主義的黑客電影,浪漫主義的黑客電影,箭魚行動,寫實主義的黑客電影,虎膽龍威4,恐怖主義的黑客電影,黑客悲情,中國特色黑客電影,（2）黑客起源的背景,起源地：美國精神支柱：對技術的渴求對自由的渴求歷史背景：越戰與反戰活動馬丁路德金與自由嬉皮士與非主流文化電話飛客與計算機革命,（3）著名黑客,羅伯特莫里斯1988年，莫里斯蠕蟲病毒震撼了整個世界。由原本寂寂無名的大學生羅伯特莫里斯制造的這個蠕蟲病毒入侵了大約6000個大學和軍事機構的計算機，使之癱瘓。此后，從CIH到美麗殺病毒，從尼姆達到紅色代碼，病毒、蠕蟲的發展愈演愈烈,凱文米特尼克美國20世紀最著名的黑客之一，社會工程學的創始人1979年他和他的伙伴侵入了北美空防指揮部。1983年的電影戰爭游戲演繹了同樣的故事，在片中，以凱文為原型的少年黑客幾乎引發了第三次世界大戰,（4）中國的“黑客文化”,中國缺乏歐美撫育黑客文化的土壤缺少龐大的中產階層缺少豐富的技術積累中國的黑客文化的“俠”俠之大者，為國為民俠之小者，除暴安良,（5）中國“黑客”重要歷史事件,1998年印尼事件以八至六人為單位，向印尼政府網站的信箱中發送垃圾郵件用Ping的方式攻擊印尼網站中國黑客最初的團結與堅強的精神，為后來的中國紅客的形成鋪墊了基礎技術性黑客牽頭組建了“中國黑客緊急會議中心”負責對印尼網站攻擊期間的協調工作,1999年南聯盟事件中國黑客襲擊了美國能源部、內政部及其所屬的美國家公園管理處的網站大規模的攻擊致使白宮網站三天失靈綠色兵團南北分拆事件1997年，中國最老牌的黑客組織“綠色兵團”成立，黑客從此有了自己的江湖2000年3月，“綠色兵團”與中聯公司合作投資，并在北京招募成員注冊了北京中聯綠盟信息技術公司同年7月，由于商業問題，北京綠盟與上海綠盟因內部原因合作破裂,中美五一黑客大戰事件04年初，四川站開始負責美國IP段的收集，掃描NT主機與UNIX主機，并啟動的四十多臺跳板主機全速掃描一些美國IP段的網站。使用一些常見的系統漏洞，在三個小時之內入侵了五個網站，其中三個被更換了頁面，另外兩個作了跳板5月1日，中國鷹派“五月之鷹行動指揮中心”正式成立晚11時，山東站成員掃描出IP段的美國主機漏洞，然后，上傳木馬和被黑頁面。幾小時后，這些主機“都見上帝去了”美黑客以囂張的氣焰攻擊國內的網站。至5月3日，國內已有400多個網站淪陷。入侵者破壞手段已不是停留在修改頁面上，而是刪除重要數據，使服務器徹底癱瘓使用飄葉郵件炸彈及PING不斷地向白宮等重點網站發數據包，使美國黑客陷入了“人民戰爭的汪洋大?！敝腥?月8日，紅客聯盟和中國鷹派共同宣布停止對美攻擊，四川站也停火直至5月8日戰斗結束，美國共有1600多個網站遭到了不同程度的破壞，包括美國勞工部、美國加利福尼亞能源部、日美社會文化交流會、白宮歷史協會、UPI新聞服務網、華盛頓海軍通信站等。連安全性很強的美國白宮網站，都被DDOS(分布式拒絕服務)被迫關閉了2小時,（6）黑客的分類,灰帽子破解者破解已有系統發現問題/漏洞突破極限/禁制展現自我計算機為人民服務漏洞發現-Flashsky軟件破解-0Day工具提供-Glacier,渴求自由,（7）所謂黑客語言,H4x3r14n9u493i54diff3r3n714n9u493fr0m3n91i5h.w3c4nfind7hi514n9u493inh4x3r5885,IRC0r07h3rCh477in9p14c3.,常見替換A=4B=8E=3G=9l=1O=0S=5t=7Z=2,常見縮寫CK=xYou=uAre=rSee=cAnd=n/&Not=!,2、攻擊階段劃分和思路及操作,2、常見攻擊及原理,（1）端口掃描掃描原理掃描程序是自動檢測遠端主機或者本地主機安全脆弱性的程序。,掃描的一般步驟獲取主機名與IP地址：使用whois與nslookup等工具獲得操作系統類型信息：最快方法是試圖telnet該系統FTP信息：攻擊者將測試是否開放FTP服務，匿名FTP是否可用，若可用，則試圖發掘更多的潛在問題TCP/UDP掃描：對于TCP，telnet可以用來試圖與某一特定端口連接，這也是手工掃描的基本方法。從中再分析系統是否開放了rpc服務、finger、rusers和rwho等比較危險的服務,掃描程序收集的目標主機的信息當前主機正在進行什么服務？哪些用戶擁有這些服務？是否支持匿名登錄？是否有某些網絡服務需要鑒別？常用掃描軟件Nmap()Superscan()Sl(),口令攻擊程序有很多，用于攻擊UNIX平臺的有Crack、CrackerJack、PaceCrack95、Qcrack、JohntheRipper、Hades等等；用于攻擊Windows平臺的有10phtCrack2.0、ScanNT、NTCrack、PasswdNT等等?？诹罘烙河脩舻卿浭〉拇螖?；特殊字符的8字節以上的長口令，并且要定期更換口令；要保證口令文件的存儲安全?？诹罘治龇椒ǜF舉法分析破譯法：數學歸納分析或統計密碼破解John(,（2）獲取口令,（3）放置特洛伊木馬程序,特洛伊木馬源自于希臘神話，在網絡安全領域專指一種黑客程序，它可以直接侵入用戶的電腦并進行破壞它一般包括兩個部分，控制端軟件和被控端軟件。被控端軟件常被偽裝成工具程序或者游戲等，誘使用戶打開帶有該軟件的郵件附件或從網上直接下載。一旦用戶打開了這些郵件的附件或者執行了這些程序之后，它們就會在目標計算機系統中隱藏一個可以在系統啟動時悄悄執行的程序。當用戶連接到因特網上時，這個程序可以通知攻擊者，報告用戶的IP地址以及預先設定的端口。攻擊者在收到這些信息后，再利用事先潛伏在其中的程序，任意地修改用戶的計算機的參數設定、復制文件、窺視用戶整個硬盤中的內容等，從而達到控制用戶的計算機的目的。冰河Wollf（)winshell,（4）網絡釣魚,網絡釣魚(Phishing)“Fishing”和“Phone”的綜合詞，它利用欺騙性的E-mail和偽造的Web站點來進行詐騙活動，使受騙者泄露自己的重要數據，如信用卡號、用戶名和口令等實例一惡意網站，偽裝成中國工商銀行主頁QQ欺騙,原理由大量能夠實現惡意功能的Bot（主機感染bot程序，僵尸程序）、Command&ControlServer和控制者組成，能夠受攻擊者控制的網絡。攻擊者在公開或秘密的IRC服務器上開辟私有的聊天頻道作為控制頻道，僵尸程序中預先已經設定好這些信息，當僵尸計算機運行時，僵尸程序就自動搜索并連接到這些控制頻道，接收頻道中的所有信息，這樣就構成了一個IRC協議的僵尸網絡。攻擊者通過IRC服務器，向整個僵尸網絡內的受控節點發送控制命令，操縱這些“僵尸”進行破壞或者竊取行為。,（5）僵尸網絡,（6）DDoS攻擊,分布式拒絕服務(DDoS)攻擊是DoS攻擊的演進。它的主要特征是利用可能廣泛分布于不同網絡中的多臺主機針對一臺目標主機進行有組織的DoS攻擊。多個攻擊源的分布式特性使得DDoS攻擊較傳統的DoS攻擊有著更強的破壞性通常情況下，攻擊者通過多級跳板登錄到一個或多個主控端(即客戶機)，主控端以多對多的形式控制了大量的傀儡主機（即服務器）。攻擊者通過主控端主機，控制傀儡機。傀儡機上運行的服務器程序接收來自主控端的指令并向受害主機發動攻擊,DDoS攻擊工具Trinoo：較早期的DDoS攻擊工具，向受害主機隨機端口發送大量全零4字節長度的UDP包，處理這些垃圾數據包的過程中，受害主機的網絡性能不斷下降，直至發生拒絕服務，乃至崩潰。Trinoo并不偽造源IP地址，不使用主控端TFN：由主控端和傀儡機兩部分組成，主要攻擊方式有：TCPSYN洪泛攻擊、ICMP洪泛攻擊、UDP攻擊和類Smurf型的攻擊，能夠偽造源地址。TFN2K：是由TFN發展而來的，新增了一些特性，它的主控端和傀儡機的通信是經過加密的Stacheldraht：也是從TFN派生出來的，增加了主控端與傀儡機的加密通信能力?？梢苑婪兑恍┗诼酚善鞯倪^濾機制，且存在內嵌傀儡機升級模塊Smurf型攻擊：是一類攻擊形式的總稱，一般使用了ping請求數據包來進行，傀儡機在對受害主機發動攻擊時，將攻擊數據包的源地址偽裝成受害主機的IP地址，每臺主機會對收到的源地址為受害者IP的ping請求進行應答，從而形成攻擊數據流,常用攻擊方法,網絡層SYNFloodICMPFloodUDPFloodPingofDeath應用層垃圾郵件CGI資源耗盡針對操作系統winnuke,2019/11/22,37,可編輯,解剖SYNFlood,（7）中間人攻擊,當攻擊者位于一個可以觀察或截獲兩個機器之間的通信的位置時，就可以認為攻擊者處于中間人方式。因為很多時候主機之間以明文方式傳輸有價值的信息，因此攻擊者可以很容易地攻入其他機器。對于某些公鑰加密的實現，攻擊者可以截獲并取代密鑰，偽裝成網絡上的兩個節點來繞過這種限制。,（8）漏洞掃描工具,NessusX-Scan,（9）病毒,引導區病毒文件病毒硬件病毒蠕蟲實例武漢男孩步行者,（10）嗅探,Ethereal()Windump(http:/windump.polito.it/)Xsniff(),（11）Arp欺騙,Xspoof,（12）其它攻擊技術,電子郵件攻擊網絡監聽緩沖區溢出,三、網絡安全防御技術,1、防火墻技術(1)網絡防火墻是借鑒了真正用于防火的防火墻的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防御系統。防火墻可以使企業內部局域網（LAN）網絡與Internet之間或者與其他外部網絡互相隔離、限制網絡互訪用來保護內部網絡，防止發生不可預測的、潛在破壞性的侵入。,(2)防火墻具有的基本特性,內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻只有符合安全策略的數據流才能通過防火墻防火墻自身應具有非常強的抗攻擊能力,（3）防火墻結構,雙宿主機防火墻,Dual-homedhost(gateway),Firewall,屏蔽主機防火墻（主機過濾結構）,BastionHost,ScreenedRouter,Firewall,屏蔽子網防火墻,OuterRouter,BastionHost,InnerRouter,DMZ,Firewall,使用多堡壘主機,OuterRouter,FTPBastion,InnerRouter,DMZ,Firewall,WWWBastion,2入侵檢測系統,（1）定義入侵（Intrusion）定義為未經授權的計算機使用者以及不正當使用計算機的合法用戶，危害或試圖危害資源的完整性、保密性、可用性的行為。入侵檢測（IntrusionDetection，ID）是通過監測計算機系統的某些信息，加以分析，檢測入侵行為，并做出反應。入侵檢測系統所檢測的系統信息包括系統記錄，網絡流量，應用程序日志等。入侵檢測系統（IntrusionDetectionSystem，IDS）是實現入侵檢測功能的硬件與軟件。入侵檢測的研究開始于20世紀80年代，進入90年代入侵檢測成為研究與應用的熱點，其間出現了許多研究原型與商業產品。入侵檢測系統是網絡安全的第二道防線。入侵檢測系統在功能上是入侵防范系統的補充，而并不是入侵防范系統的替代。,（2）功能,保護(入侵的防范)指保護硬件、軟件、數據抵御各種攻擊的技術。檢測(入侵的檢測)研究如何高效正確地檢測網絡攻擊響應(入侵的響應)是入侵檢測之后的處理工作，主要包括損失評估，根除入侵者留下的后門，數據恢復，收集入侵者留下的證據等容忍指當一個網絡系統遭受非法入侵后，其中的防護安全技術都失效或者不能完全排除入侵所造成的影響時，既是系統的某些組件遭受攻擊者的破壞，但容侵系統能自我診斷、恢復和重構，并能為合法用戶提供所需的全部或者降級的服務,（3）入侵檢測系統結構,CIDF(CommonIntrusionDetectionFramework)定義了通用的IDS系統結構，它將入侵檢測系統分為四個功能模塊，如圖所示.,（4）拓撲,Firewall,Servers,DMZ,Intranet,監控中心,router,攻擊者,報警,報警,（5）常用入侵檢測方法,貝葉斯推理神經網絡聚類分析數據挖掘機器學習,（6）入侵檢測系統實例,BlackICESnortRealSecure冰之眼,3、密碼學,（1）定義,研究編碼和解碼的學科,(2)常規密碼通信系統框圖,（3）經典密碼系統,DES加解密步驟相同性能良好雪崩效應弱密鑰RSARSA12994年RSA13096年RSA154（512）：每秒百萬，4.21025年AES未來彈性（整數分解、一般離散對數（axmodbc）、橢圓曲線離散對數）,4網絡安全態勢感知,（1）信息獲?。?）威脅感知（3）態勢預測,5病毒檢測技術,（1）CV的檢測方法比較法搜索法特征字識別分析法（2）常用CV檢測軟件病毒掃描軟件完整性檢查軟件行為封鎖軟件,（3）商用防病毒軟件