网络安全讲义.

•网络安全基础•网络攻击技术•网络防御技术信息安全•信息安全层次：从底向上分为密码算法、安全协议、网络安全、系统安全、应用安全5个层次，其中最基本最关键的是安全的密码算法。•信息安全要求：•机密性:防止非授权访问•完整性:防止数据和系统非授权篡改•可用性:保证信息资源提供服务能力•真实性:身份认证和鉴别网络安全层次•物理层安全:防火防盗防静电电磁雷击等•逻辑层安全:通过口令、证书进行授权和限制•操作系统安全:多用户系统的权限管理•网络互联安全:通过访问控制和安全通信来保障信息资源不被非法访问和数据的机密完整，以及可信赖通信。网络安全威胁•物理威胁：偷窃、废物搜寻、间谍、身份识别错误。•系统漏洞威胁：乘虚而入、不安全的服务、初始化错误•身份鉴别威胁：口令圈套、口令破解、弱算法、隐患账户•线路连接威胁：窃听、拨号入侵、冒充•恶意程序威胁：病毒、木马、逻辑炸弹网络安全级别•网络安全橙皮书（TCSEC)Unix、Linux、Windows操作系统属于C2网络安全级别黑客与网络攻击•黑客分类：破坏者、红客、间谍•攻击步骤：•(1)隐藏IP:利用肉鸡或Sock代理进行攻击。•(2)踩点扫描:探测目标找寻漏洞。•(3)获取权限:利用漏洞、口令破解、信任欺骗获得控制权。•(4)植入后门或木马:实现长期控制的目的。•(5)网络隐身:清除相关日志，不留痕迹。扫描策略•主动式扫描策略：对目标进行模拟攻击，可能导致系统破坏，如：主机探测、ICMP探寻、ping扫描、端口扫描、标示服务、漏洞扫描、综合扫描；•(1)慢速扫描：针对非连续端口、源地址不定、时间间隔长的无规律扫描；•(2)乱序扫描：针对连续端口、源地址固定、时间间隔短的有规律扫描•被动式扫描策略：针对主机系统中脆弱的设置、口令、安全规则的扫描，对系统不会直接造成破坏。•信息截获•通信中断•数据篡改•信息伪造网络攻击被动攻击通常用于网络侦听(窃听)，从而捕获机密信息主动攻击•篡改报文：对PDU(协议数据单元)的真实性、完整性、有序性进行攻击；•拒绝服务攻击DoS：向服务器（网站）发送大量分组数据以致服务器无法提供正常服务；•分布式DoS：黑客控制成百上千的主机集中DoS攻击某个服务器（网站）网络攻击手段①阻塞类攻击②控制类攻击③探测类攻击④欺骗类攻击⑤漏洞类攻击⑥破坏类攻击在实际的网络攻击经常是多种攻击手段相结合DoS拒绝服务攻击•DoS针对网络带宽和连通性进行攻击。•带宽攻击以极大地通信量造成网络堵塞至瘫痪；连通性攻击用大量恶意连接服务器使之无法处理正常访问；•著名的DoS攻击：•(1)SYN风暴•(2)Smurf攻击•(3)程序错误攻击DoS攻击•SYN风暴：利用TCP/IP协议缺陷，攻击者发送大量的TCP连接请求，找出目标因大量TCP半开连接而耗尽资源。•Smurf攻击：攻击者以目标IP为源地址伪造ICMPecho请求广播包，大量的echo回应包造成严重网络问题。SYN攻击Smurf攻击DoS攻击•Fraggle：类似Smurf，伪造UDPecho包•PingDeath：攻击者发送大于65535字节的Ping包使得目标系统出错。•Teardrop：攻击者发送大量IP分片，这些IP分片到达目标重组，造成网络负担过重。•Land攻击：伪造大量源和目的IP端口和目标IP端口相同的报文进行攻击攻击者InternetCode目标204.241.161.12IP包欺骗源地址204.241.161.12Port139目的地址204.241.161.12Port139包被送回目标自己崩溃Land攻击分布式DoS•DDoS分布式拒绝服务攻击•黑客控制众多高带宽服务器，在其上安装攻击软件，对同一目标发起成百上千攻击，造成目标系统在很短时间内崩溃。•DDoS具有很强的隐蔽性和分布性。•著名DDoS：Trin00、TFN、TFN2K、Stacheldraht•网络监听•网络监听属于被动类攻击，采用探测攻击手段。•运行监听的主机只是被动地接收网络上的数据，因此比较隐蔽。•利用HUB集线器或交换机SPAN技术就很容易实现网络监听。•判别网络监听主机，可使用真实IP和虚假MAC去ping它，看其是否有回应。•防范网络监听最好的办法是加密。社会工程学攻击•社会工程学是使用计谋和假情报去获取密码和其他敏感信息的科学。•(1)打电话冒充公司员工去获得密码；•(2)伪造e-mail冒充管理员获取敏感信息；暴力攻击•字典攻击是最常用的一种暴力攻击。•根据公司名称、用户信息等生成口令字典文件，字典文件的每一行就是可能的用户名和口令。•暴力破解程序调用此字典文件去逐一测试目标系统的账号口令。•防范暴力破解需要足够强壮的密码，不要使用含有公司及用户特征信息作为密码。Unicode漏洞•WindowsIIS4.0/5.0存在有利用扩展Unicode字符“%c0%2f”取代”/”和”\”，利用”../”目录入侵网站目录和文件。•查看网站服务器的C:盘目录删除网站页面default.aspSMB攻击•SMB(SessionMessageBlock)协议•即：NetBios或LanManager协议•用于Windows计算机之间一种文件和打印共享服务。•SMB攻击可导致win2k，XP，win2003系统蓝屏、重启或其他异常。缓冲区溢出•缓冲区溢出攻击是一种较为流行的攻击技术，到目标系统收到超过其最大能承受的信息量时就会造成缓冲区溢出。•缓冲区溢出使得目标系统的正在运行的特定程序数据被覆盖修改，从而生成一个后门供黑客入侵。•典型案例：RPC和IIS溢出漏洞漏洞溢出•RPC(远程过程调用）：Windows操作系统的一种消息传递功能，允许程序联系网络上的其他计算机。•RPC是系统默认启动的服务，如果禁用会导致系统功能问题。•IIS溢出漏洞是Windows信息服务程序的IDQ和WebDav功能造成的。网络后门•网络后门程序通过建立服务端口和克隆管理员账号的方式，使得攻击者可以不经过认证就能进入系统的非正常登录，从而达到长期控制目标系统的目的。•后门程序优劣取决于被管理员发现的机率。木马•木马是一种可驻留在目标系统中的程序，木马服务端程序驻留在目标系统，黑客端运行的是控制端程序。•木马和后门一样，都能提供网络后门的功能，木马相对后门来说，功能更强大，能实现多种控制功能；后门通常功能单一，通常只是提供黑客登录目标系统的功能。恶意代码—病毒•扰乱计算机系统的程序统称为恶意代码•病毒共性：传播性、隐蔽性、破坏性•计算机病毒：感染程序并复制自身即变种；•网络蠕虫：利用网络传播并自动运行；•木马：伪装正常程序窃取系统数据和用户隐私。•逻辑炸弹：在特定时间、环境条件下毁损数据甚至硬件。PE病毒•PE(PortableExecutable)可执行文件，如Windows系统中的exe、dll、ocx等类型的文件，受到感染的病毒就称为PE病毒。•PE病毒是种类最多、破坏性最大、技巧性最强的病毒，在任何Windows环境都能运行。•PE病毒分类：引导型病毒、文件型病毒、混合型（引导型和文件型混合）病毒。恶意代码•脚本病毒使用VBScript和JAVAScript编写，VBS程序编写简单，具有传播快、破坏了大的特点，如：爱虫、欢乐时光病毒。•宏病毒以“宏”方式潜藏Office文档中，只感染染Office类型文件，编写简单功能强大，因Office软件普及而广泛传播。恶意代码•浏览器病毒：网页中的恶意代码，通过修改系统注册表实现攻击，如篡改首页；网页炸弹也是一直浏览器病毒，会导致系统死机甚至磁盘破坏。•U盘病毒：通过U盘进行传播的病毒，此病毒会在每个磁盘创建AutoRun.inf文件，利用windows自动播放功能激活病毒，因此也称为AutoRun病毒。恶意代码•蠕虫病毒：通过网络传播的恶性病毒，能快速蔓延引起计算机和网络瘫痪。•蠕虫病毒的破坏性比普通病毒的破坏性更强，这种病毒不依附于文件而是在内存。•蠕虫病毒由主程序和引导程序组成，•主程序收集网络上计算机信息，其内置的传播模块可利用系统缺陷入侵系统建立引导程序。•引导程序一旦建立，就会把蠕虫病毒传送到网络中每一台计算机中。网络防御•操作系统安全•加密技术•防火墙与入侵检测•IP与Web安全操作系统安全•操作系统类型：•FreeBSD、UNIX、Liunx、Windows•符合C2安全级别•应用服务都运行在操作系统之上，因此•稳固的操作系统是网络安全的基础。主体和客体•1.操作系统的每个实体组件可以看做是主体或客体，也可能两者都是。•2.主体是主动的实体，包括用户、组、进程等，其中用户是系统中最基本的主体；•3.客体是被动地实体，包括存储数据、系统进程和用户进程；•4.进程通常具有双重身份，即可能是某个实体组件的客体，同时也是另一个实体组件的主体；•系统安全策略•禁用Guest账号；•限制用户数，去除不必要的测试账号、共享账号等，减少被入侵风险；•减少Administrator登录，日常事务处理采用普通管理员登录，减少被窃取超级管理员口令的风险•Administrator改名，防止口令探测；•陷阱账号：将Administrator改名，然后另建一个名为Administrator的普通最低权限的账号，设置复杂口令，让黑客白忙活。•去除everyone共享权限，指定授权用户才能共享•强壮的密码，定期42天改变密码；•采用NTFS分区，切勿用FAT分区系统安全策略•关闭不必要的服务，减少安全威胁。系统安全策略•开启审核策略，这是最基本的入侵检测手段，可以把入侵企图记录下来。系统安全策略•开启账户策略，防止字典攻击。•隐藏登录名，防止密码猜测系统安全策略•禁止空连接，防止列出账户，猜测密码。•修改注册表HKEY_LOCAL_MACHINE下面的•System\CrruentControlSet\Control\LSA\RestricAnonymous=1或2系统安全策略•关闭默认共享在注册表HKEY_LOCAL_MACHINE下面的System\CrruentControlSet\Services\Lanmanserver\Parameters，增加DWORD：AutoShareServer=0系统安全策略•禁止Dump：Dump用于系统崩溃时写入信息以便查找问题，但所含有的敏感信息也可能被黑客利用。•在系统属性—高级选项可禁止写入调试信息（DUMP)系统安全策略•清除页面文件（调度文件，Windows虚拟内存，用于存放应用程序部分数据文件）•可能含有敏感信息。•修改注册表HKEY_LOCAL_MACHINE的•System\CrruentControlSet\Control\SessionManager\MemoryManagement\中的ClearPageFileAtShutDown=1三.加密技术2019/12/1744对称密码技术•对称算法有时又叫传统密码算法，就是加密密钥(yue)能够从解密密钥中推算出来，反过来也成立。在大多数对称算法中，加/解密密钥是相同的。这些算法也叫对称密钥算法，它要求发送者和接收者在安全通信之前，商定一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加/解密。只要通信需要保密，密钥就必须保密。•DES对称加密算法(Diffie-HellmanKey)2019/12/1745非对称加密•非对称密码技术是由Diffe和Hellman于1976年首次提出的一种密码技术。•加密的密钥不同于解密的密钥，而且解密密钥不能根据加密密钥计算出来•加密密钥能够公开，即陌生者能用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。2019/12/1746RSA算法•最流行的非对称算法是RSA，由Rivest、Shamir、Adleman三位美国科学家创立。•RSA算法基于大整数因子分解的数学难题，寻找大素数是相对容易的，而分解两个大素数的积是计算上不可行的。•RSA算法同时支持加密和数字签名（鉴别）•RSA算法比起DES算法慢上几倍，适合用于少量数据加密。2019/12