2023/1/51信息安全概論電子科技大學出版社2007年8月第九章網絡安全9.1網絡安全概述9.2網絡攻擊技術9.3網絡防御技術2023/1/529.1網絡安全概述9.1.1網絡安全威脅9.1.2黑客技術簡介9.1.3網絡攻擊特點9.1.4網絡攻擊趨勢2023/1/539.1.1網絡安全威脅網絡安全威脅的產生原因互聯網Internet的開放性與共享性TCP/IP協議的漏洞操作系統、數據庫等系統軟件的漏洞Office、PDFReader等應用軟件的漏洞誤操作、管理漏洞等人為因素2023/1/549.1.1網絡安全威脅安全威脅的分類2023/1/55

自然災害：雷電，地震，火災，水災...主動攻擊嗅探...操作失誤...設計錯誤蓄意破壞病毒威脅...流量分析偽裝/假冒中斷系統故障：硬件失效，軟件故障，電源故障...安全威脅非人為因素人為因素

不可避免的人為因素惡意攻擊

內部攻擊外部攻擊

...被動攻擊

篡改

9.1.1網絡安全威脅網絡安全的類別網絡崩潰：硬件故障或軟件故障導致系統崩潰。網絡阻塞：網絡配置和調度不合理，導致出現網絡廣播風暴和噪聲。網絡濫用：合法用戶越權使用計算機，獲取網絡資源。網絡入侵：非法用戶非法進入系統和網絡，獲取控制器和網絡資源。網絡干擾：對計算機和網絡運行進行干擾。網絡破壞：攻擊網絡、篡改數據、毀壞系統。2023/1/569.1.2黑客技術簡介黑客技術定義對計算機系統和網絡的缺陷和漏洞的發現，以及針對這些缺陷實施攻擊的技術。缺陷：軟件缺陷、硬件缺陷、網絡協議缺陷、管理缺陷和人為的失誤。本質：研究網絡安全漏洞的技術。2023/1/579.1.2黑客技術簡介黑客常用術語肉雞：比喻那些可以隨意被我們控制的電腦。后門：入侵者成功獲取目標主機的控制權后，通過植入特定的程序，或者修改系統設置，留下秘密陷門。通過該陷門，入侵者卻可以輕易地與目標主機建立連接，達到重新控制的目的。SQL注入：通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令。2023/1/589.1.2黑客技術簡介黑客常用術語木馬：是一種特殊的程序代碼，被植入主機運行后，會獲取系統控制權限，進而秘密竊取系統的敏感數據文件，甚至遠程操控主機。網頁木馬：表面上偽裝成普通的網頁文件或是將自己的代碼直接插入到正常的網頁文件中。當有人訪問時，網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬（服務端）下載到訪問者的電腦上來自動執行。掛馬：指在網站文件中放入網頁木馬或者將代碼潛入到對方正常的網頁文件里，以使瀏覽者中馬。2023/1/599.1.2黑客技術簡介黑客常用術語rootkit：rootkit是攻擊者用來隱藏自己的行蹤和保留root訪問權限（管理員權限）的工具。免殺：通過加殼、加密、修改特征碼、加花指令等等技術來修改程序，使其逃過殺毒軟件的查殺。加殼：就是利用特殊的算法，將EXE可執行程序或者DLL動態連接庫文件的編碼進行改變（比如實現壓縮、加密），以達到縮小文件體積或者加密程序編碼，甚至是躲過殺毒軟件查殺的目的。2023/1/5109.1.2黑客技技術簡介黑客攻擊的的準備階段段確定攻擊的的目的：確定攻擊擊要達到什什么樣的目目的，即給給對方造成成什么樣的的后果。常常見的攻擊擊目的有破壞型和入侵型兩種。破壞壞型攻擊只是破壞攻攻擊目標，，使其不能能正常工作作。入侵型攻擊擊通過獲得一一定的權限限來達到控控制攻擊目目標的目的的。信息收集：利用公開開協議或工工具收集盡盡量多的關關于攻擊目目標的信息息。這些信信息主要包包括目標的的操作系統統類型及版版本，目標標提供哪些些服務，各各服務器程程序的類型型與版本以以及相關的的社會信息息。2022/12/28119.1.2黑客技技術簡介黑客攻擊的的實施階段段（入侵型攻擊擊）獲得權限：利用收集集的目標系系統信息，，找到系統統的遠程漏漏洞，然后后利用該漏漏洞獲取一一定的權限限。權限提升：利用遠程漏洞獲取的往往往是普通用用戶的權限限，這就需需要進一步步利用本地漏洞來提升權限限，常常是是提升到系系統管理員員權限。痕跡清除：清除系統統日志中留留下的痕跡跡。種植后門：為了方便便下次再進進入目標系系統，黑客客會留下一一個后門，，特洛伊木馬馬就是后門的的最好范例例。2022/12/28129.1.2黑客技技術簡介黑客必經之之路學習技術：通過閱讀讀RFC文檔，不斷斷學習互聯聯網上的新新技術，并并深入理解解掌握技術術機理。偽裝自己：偽裝自己的的IP地址、使用跳跳板逃避跟蹤蹤、清理記錄錄擾亂對方線線索、巧妙躲躲開防火墻等等。發現漏洞：黑客要經常常學習別人發發現的漏洞，，努力自己尋尋找未知漏洞洞，并從海量量的漏洞中尋尋找有價值的的、可被利用用的漏洞進行行試驗。利用漏洞：通過漏洞獲獲取系統信息息，侵入系統統內部竊取機機密數據或破破壞系統，或或者進一步尋尋找下一個目目標。2022/12/28139.1.3網網絡攻擊特特點網絡攻擊的特特征智能性：從事惡意攻擊擊的人員大都都具有相當高高的專業技術術和熟練的操操作技能。嚴重性：涉及到金融資資產的網絡信信息系統惡意意攻擊，往往往會由于資金金損失巨大，，而使金融機機構和企業蒙蒙受重大損失失，甚至使其其破產。隱蔽性：人為惡意攻擊擊的隱蔽性很很強，不易引引起懷疑，作作案的技術難難度大。多樣性：隨著互聯網的的迅速發展，，惡意攻擊的的手段和目標標變得多樣化化。2022/12/28149.1.4網網絡攻擊趨趨勢網絡攻擊的發發展趨勢入侵者難以追追蹤拒絕服務攻擊擊頻繁發生攻擊者需要的的技術水平逐逐漸降低但危危害增大攻擊手段更加加靈活，聯合合攻擊急劇增增多系統漏洞發現現加快，攻擊擊爆發時間變變短垃圾郵件問題題嚴重間諜軟件、惡惡意軟件威脅脅安全無線網絡、移移動手機漸成成安全重災區區2022/12/28159.2網絡絡攻擊技術9.2.1網絡探測9.2.2網絡竊聽9.2.3網絡欺騙9.2.4拒絕服務攻擊擊9.2.5數據驅動攻擊擊2022/12/28169.2.1網網絡探測網絡探測的基基本步驟踩點：指攻擊者利利用各種攻擊擊和技巧，以以正常合法的的途徑對攻擊擊目標進行窺窺探，對其安安全情況建立立完整的剖析析圖。常用方法：搜索引擎、域域名查詢、網網絡勘察。掃描：指攻擊者獲獲取獲取活動動主機、開放放服務、操作作系統、安全全漏洞等關鍵鍵信息的技術術。常用技術：PING掃描、端口掃掃描、漏洞掃掃描。查點：指攻擊者從從目標系統中中抽取有效賬賬號或導出資資源名的技術術。信息類型：網絡資源和共共享資源、用用戶和用戶組組、服務器程程序及其旗標標。2022/12/28179.2.1網網絡絡探探測測常用用的的網網絡絡掃掃描描技技術術TCP連接接掃掃描描：：Connect()TCPSYN掃描描TCPFIN掃描描TCPACK掃描描TCP窗口口掃掃描描TCPRPC掃描描UDP掃描描ICMP協議議掃掃描描2022/12/28189.2.2網網絡絡竊竊聽聽定義義攻擊擊者者通通過過非非法法手手段段監監視視系系統統活活動動，，從從而而獲獲取取到到系系統統的的敏敏感感數數據據信信息息。。常用用的的網網絡絡竊竊聽聽手手段段網絡絡嗅嗅探探：Wireshark，Libpcap/Winpcap鍵盤盤記記錄錄：：口口令令屏幕幕截截取取獲取取密密碼碼文文件件非法法越越權權訪訪問問2022/12/28199.2.3網網絡絡欺欺騙騙定義義攻擊擊者者通通過過冒冒充充正正常常合合法法用用戶戶來來獲獲取取攻攻擊擊目目標標的的訪訪問問權權或或關關鍵鍵信信息息的的攻攻擊擊技技術術。。常用用的的網網絡絡欺欺騙騙技技術術ARP欺騙騙IP地址址欺欺騙騙TCP會話話劫劫持持DNS欺騙騙Web欺騙騙郵件件欺欺騙騙2022/12/28209.2.3網網絡欺騙騙ARP欺騙ARP協議是什什么？工工作原理理？思路：在局域域網中，，攻擊者者能夠收收到ARP廣播包，，從而可可以獲知知其它節節點的(IP,MAC)地址。于于是，攻攻擊者可可以偽裝裝為A，告訴B（受害者者）一個個假地址址，使得得B在發送給給A的數據包包都被黑黑客截取取，而A,B渾然不知知。分類：中間人攻攻擊、拒絕服務務攻擊。2022/12/28219.2.3網網絡欺騙騙ARP欺騙原理理（中間人攻攻擊）2022/12/28229.2.3網網絡欺騙騙IP地址欺騙騙定義：指攻擊擊者將數數據包的的源地址址偽造成成合法用用戶的IP地址，以以達到假假冒合法法用戶身身份的目目的。分類：單向IP欺騙、雙雙向IP欺騙。2022/12/2823單向IP欺騙（拒絕服務攻擊擊）9.2.3網網絡欺騙IP地址欺騙騙2022/12/2824雙向IP欺騙（中間人攻攻擊）9.2.3網絡欺欺騙IP地址欺騙的的實現方式式基本地址變變化（IP盜用）：采用網絡絡配置工具具，或者在在UNIX平臺下用IPCONFIG實現本機IP地址的改變變。通過編編程在發送送的IP包首部填入入欺騙地址址。（RawSocket，Winpcap）使用源站選選路截取數數據包：攻擊者插插入到正常常情況下流流量經過的的地方。（（網絡嗅探探）利用主機信信任關系：UNIX操作系統中中的信任關關系使用IP地址進行驗驗證。2022/12/28259.2.3網絡欺欺騙TCP會話劫持定義：在一次正正常的會話話過程當中中，攻擊者者作為第三三方參與到到其中，他他可以在正正常數據包包中插入惡惡意數據，，也可以在在雙方的會會話當中進進行監聽，，甚至可以以是代替某某一方主機機接管會話話。分類：被動劫持、主動劫持。被動劫持：在后臺監監視雙方會會話的數據據流，從中中獲得敏感感數據。主動劫持：將會話當當中的某一一臺主機““踢”下線線，然后由由攻擊者取取代并接管管會話。2022/12/28269.2.3網絡欺欺騙TCP會話劫持中間人攻擊擊：相當于會會話雙方之之間的透明明代理。注射式攻擊擊：在雙方正正常的通信信流插入惡惡意數據，，而不改變變會話雙方方的通信流流。關鍵技技術：IP欺騙、預測TCP序列號。2022/12/28279.2.3網網絡絡欺欺騙騙Web欺騙騙相似似域域名名：注注冊冊一一個個與與目目標標公公司司或或組組織織相相似似的的域域名名，，然然后后建建立立一一個個欺欺騙騙網網站站，，騙騙取取該該公公司司用用戶戶的的信信任任，，以以便便獲獲取取這這些些用用戶戶的的敏敏感感信信息息。。（（網絡絡釣釣魚魚）改寫寫URL：當當用用戶戶瀏瀏覽覽頁頁面面時時，，攻攻擊擊者者截截獲獲該該頁頁面面請請求求的的HTTP消息息，，并并將將其其中中的的URL改寫寫成成預預設設網網絡絡的的惡惡意意URL，以以達達到到騙騙取取用用戶戶的的目目的的。。2022/12/28289.2.3網網絡絡欺欺騙騙郵件件欺欺騙騙使用用相相似似的的電電子子郵郵件件地地址址修改改郵郵件件客客戶戶軟軟件件的的賬賬號號配配置置直接接連連到到SMTP服務務器器上上發發送送郵郵件件2022/12/28299.2.4拒拒絕絕服服務務攻攻擊擊含義義攻擊擊者者想想辦辦法法讓讓目目標標機機器器停停止止提提供供服服務務。。分類類導致致異異常常型型：通通常常利利用用軟軟硬硬件件實實現現上上的的編編程程缺缺陷陷，，導導致致其其出出現現異異常常，，從從而而使使其其拒拒絕絕服服務務。。如如：：死亡亡之之PING(PingofDeath)、IP碎片片攻攻擊擊(Teardrop)。資源源耗耗盡盡型型：通通過過大大量量消消耗耗資資源源使使得得攻攻擊擊目目標標由由于于資資源源耗耗盡盡不不能能提提供供正正常常的的服服務務。。如如：：SYN洪泛泛攻攻擊擊(SYNfloodattacks)、UDP洪泛泛攻攻擊擊、、Land攻擊擊、、郵郵件件炸炸彈彈、、Smurf攻擊擊分布布式式拒拒絕絕服服務務攻攻擊擊（資資源源耗耗盡盡型型））2022/12/28309.2.4拒拒絕服務攻攻擊案例：Smurf攻擊2022/12/28319.2.4拒拒絕服務攻攻擊分布式拒絕服服務攻擊組成部分：攻攻擊者、主控控端和代理端端。2022/12/28329.2.5數數據驅動攻攻擊定義通過向某個程程序發送數據據，以產生非非預期結果的的攻擊，通常常為攻擊者給給出訪問目標標系統的權限限。分類緩沖區溢出攻攻擊：通過往程序序的緩沖區寫寫入超出其邊邊界的內容，，造成緩沖區區的溢出，使使程序跳轉到到攻擊者指定定的代碼（通通常是為攻擊擊者打開遠程程連接的ShellCode），從而達到到攻擊的目的的。格式化字符串串攻擊：利用由于格格式化函數的的微妙錯誤造造成的安全漏漏洞，通過傳傳遞精心編制制的含有格式式化指令的文文本字符串，，使目標程序序執行任意命命令。2022/12/28339.2.5數數據驅驅動攻攻擊分類（（續））輸入驗驗證攻攻擊：針對對程序序未能能對輸輸入進進行有有效的的驗證證的安安全漏漏洞，，使得得攻擊擊者能能夠讓讓程序序執行行指定定的命命令。。同步漏漏洞攻攻擊：利用用程序序在處處理同同步操操作時時的缺缺陷，，如競競爭狀狀態、、信號號處理理等問問題，，以獲獲取更更高權權限的的訪問問。信任漏漏洞攻攻擊：利用用程序序濫設設的信信任關關系來來獲取取訪問問權限限。2022/12/28349.3網網絡防防御技技術9.3.1防火墻墻技術術9.3.2入侵檢檢測技技術9.3.3VPN技術2022/12/28359.3.1防火墻墻技術術概念在可信任任的內部網網絡與不可信信任的的外部網網絡之間建建立的的一道道安全全屏障障，通通過控控制網網絡信信息流流保護內內部網網免受受外部部非法法用戶戶的侵侵入。分類包過濾濾防火火墻：網絡絡層狀態檢檢測防防火墻墻：傳輸輸層應用代代理：應用用層電路網網關：會話話層2022/12/28369.3.1防防火墻墻技術術包過濾濾防火火墻原理：根據據數據據包的的IP首部信信息，，如源源目地地址、、源目目端口口、協協議類類型等等，決決定是是否放放行。。依據：過濾規規則集集特點：速度度快、、與應應用無無關、、安全全性差差。2022/12/28379.3.1防防火墻墻技術術狀態檢檢測防防火墻墻原理：：根據據數據據包的的傳輸輸層首首部信信息，，判斷斷該包包是否否遵從從TCP連接的的狀態態變遷遷過程程，從從而決決定是是否放放行。。依據：：TCP狀態機機。特點：：和包包過濾濾相比比，速速度較較慢、、安全全性較較好。。2022/12/28389.3.1防火墻墻技術應用代理特點：安全、速速度慢2022/12/28399.3.2入侵檢檢測技術概念(IDS:IntrusionDetectionSystem)從計算機網網絡或系統統中的若干干關鍵點收收集信息并并進行分析析，從而發發現網絡或或系統中違違反安全策策略的行為為和遭受攻攻擊的跡象象。方法誤用檢測(MisuseDetection)異常檢測(AnomalyDetection)分類基于網絡的的入侵檢測測系統基于主機的的入侵檢測測系統2022/12/28409.3.2入侵檢檢測技術入侵檢測方方法誤用檢測(MisuseDetection)：特征檢測，假設入侵侵者活動可可以用一種種模式來表表示，系統統的目標是是檢測主體體活動是否否符合這些些模式。異常檢測(AnomalyDetection)：假設入侵侵者活動異異常于正常常主體的活活動。將當當前主體的的活動狀況況與主體正正常活動的的“活動簡簡檔”相比比較，當違違反其統計計規律時，，認為該活活動可能是是“入侵””行為。2022/12/28419.3.2入侵檢檢測技術基于主機的的入侵檢測測系統(HIDS)原理：安裝在被被重點檢測測的主機之之上，主要要是對該主主機的網絡絡實時連接接以及系統統審計日志志進行智能能分析和判判斷。優點：性價比高高、能夠檢檢測到基于于網絡的入入侵檢測系系統NIDS發現不了的的攻擊、適適用于采用用數據加密密和交換式式連接的子子網環境、、不需增加加額外的硬硬件設備。。2022/12/28429.3.2入侵檢檢測技術基于網絡的的入侵檢測測系統(NIDS)原理：部署在重重要網段內內，不停地地監視網段段中的數據據包流，一一旦發現入入侵立刻發發出警報，，甚至直接接切斷網絡絡連接。優點：檢測速度度快、覆蓋蓋面廣、隱隱蔽性好、、監測點少少、不易轉轉移證據、、與操作系系統無關、、不影響正正常網絡通通信、不占占用業務系系統的資源源。2022/12/28439.3.2入侵檢測測技術CIDF入侵檢測測通用模模型2022/12/28449.3.2入侵檢測測技術CIDF模型組成成部分事件產生生器：從整個個環境中中捕獲事事件信息息，并向向系統的的其他組組成部分分提供該該事件數數據。事件分析析器：分析得得到的事事件數據據，并產產生分析析結果。。響應單元元：對分析析結果做做出反應應的功能能單元，，如報警警、切斷斷連接、、改變文文件屬性性等。事件數據據庫：存放各各種中間間和最終終數據的的地方，，用于指指導事件件的分析析及反應應。2022/12/28459.3.3VPN技技術概念虛擬專用用網VPN(VirtualPrivateNetwork)是在公用網網絡上建建立專用用網絡的的技術。。虛擬網：整個VPN網絡的任任意兩個個節點之之間的連連接并沒沒有傳統統專網所所需的端端到端的的物理鏈鏈路，而而是架構構在公用用網絡平平臺(Internet)之上的邏邏輯網絡絡，用戶戶數據在在邏輯鏈鏈路中傳傳輸。通常用于于大型組組織跨地地域的各各個機構構之間的的聯網信信息交換換，或是是流動工工作人員員與總部部之間的的通信。。2022/12/28469.3.3VPN技術分類遠程接入入VPN（AccessVPN）：客戶戶端到網網關，遠遠程用戶戶或移動動雇員連連接到公公司內部部網的VPN。內聯網VPN（IntranetVPN）：網關關到網關關，公司司遠程分分支機構構網絡連連接到公公司總部部網絡的的VPN。外聯網VPN（ExtranetVPN）：供應應商、商商業合作作伙伴的的網絡連連接到公公司網絡絡的VPN。2022/12/28479.3.3VPN技術VPN關鍵技術術隧道技術術：利用一一種協議議傳輸另另一種協協議的技技術。具具體方法法：將一一種協議議的數據據包封裝裝到另一一種協議議中進行行傳輸。。（數據鏈路路層和網絡層）加解密技技術：可以在在協議棧棧的任意意層進行行。密鑰管理理技術：主要任任務是如如何在公公用數據據網上安安全地傳傳遞密鑰鑰而不被被竊取。。身份認證證技術：嚴格控控制只有有授權用用戶才能能訪問。。最常用用的是使使用者名名稱與密密碼或卡卡片式認認證等方方式。2022/12/28489.3.3VPN技術第2層隧道協議概念：對應于數據鏈路層，以點對點協議PPP為基礎，如PPTP、L2TP。點到點隧道協協議PPTP：將PPP（點到點協議議）幀封裝成成IP數據包，以便便能夠在基于于IP的互聯網上進進行傳輸。L2TP：PPTP與L2F（第二層轉發發）的一種綜綜合。特點：協議簡單，，易于加密，，適合遠程撥撥號用戶。2022/12/2849第3層隧道道協議議概念：對應應于網絡層層，IPinIP，如IPSec。IPSec協議：是在在隧道道外面面再封封裝，，保證證了在在傳輸輸過程程中的的安全全。IPSec的主要要特征征在于于它可可以對對所有有IP級的通通信進進行加加密。。特點：可靠靠性及及擴展展性優優于第第2層隧道道，但但沒那那么簡簡單直直接。。2022/12/2850課程結結束！！謝謝大大家！！2022/12/28519、靜靜夜夜四四無無鄰鄰，，荒荒居居舊舊業業貧貧。。。。12月月-2212月月-22Wednesday,December28,202210、雨中黃黃葉樹，，燈下白白頭人。。。20:28:2820:28:2820:2812/28/20228:28:28PM11、以我獨沈久久，愧君相見見頻。。12月-2220:28:2820:28Dec-2228-Dec-2212、故人江海別別，幾度隔山山川。。20:28:2820:28:2820:28Wednesday,December28,202213、乍見翻疑疑夢，相悲悲各問年。。。12月-2212月-2220:28:2820:28:28December28,202214、他鄉生白發發，舊國見青青山。。28十二月月20228:28:28下午20:28:2812月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月228:28下下午午12月月-2220:28December28,202216、行動動出成成果，，工作作出財財富。。。2022/12/2820:28:2820:28:2828December202217、做前，，能夠環環視四周周；做時時，你只只能或者者最好沿沿著以腳腳為起點點的射線線向前。。。8:28:28下午午8:28下午午20:28:2812月-229、沒有失失敗，只只有暫時時停止成成功！。。12月-2212月-22Wednesday,December28,202210、很多事事情努力力了未必必有結果果，但是是不努力力卻什么么改變也也沒有。。。20:28:2820:28:2820:2812/28/20228:28:28PM11、成成功功就就是是日日復復一一日日那那一一點點點點小小小小努努力力的的積積累累。。。。12月月-2220:28:2820:28Dec-2228-Dec-2212、世世間間成成事事，，不不求求其其絕絕對對圓圓滿滿，，留留一一份份不不足足，，可可得得無無限限完完美美。。。。20:28:2820:28:2820:28Wednesday,December28,202213、不知知香積積寺，，數里里入云云峰。。。12月月-2212月月-2220:28:2820:28:28December28,2022