网络安全知识点

第一章 计算机网络安全概述

1.1计算机网络安全的定义及面临的威胁和基本需求

1.1.1 计算机网络安全的定义
ISO定义:
为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件,软件数据不因偶然和恶意的原因而遭到破环,更改和泄密
定义:
保护计算机网络系统中的硬件,软件及其数据不因偶然和恶意的原因而遭到破环,更改和泄密 ,保障系统连续可靠的正常运行,网络服务不中断

1.1.2计算机网络面临的安全威胁
(1)截获
(2)篡改
(3)抵赖
(4)恶意代码
(5)拒绝服务

1.1.3 计算机网络安全的基本需求
- 信息的完整性 (integrity)
- 保密性 (confidentiality)
- 不可否认性 (non-repudiation)
- 可用性 (availability)

1.2 主要的网络安全技术

1.2.1 网络安全的基石-密码技术
- 数据的机密性
- 数据的完整性
- 抗抵赖

1.2.2 网络安全协议

网络层次安全协议
应用层S-HTTP,Kerberos,set,S/MIME,PGP
传输层SSL,TLS,SOCKS v5
网际层IPSec
网络接口层PPTP,L2F,L2TP

1.2.3 身份鉴别技术
1.2.4 防火墙技术
1.2.5 入侵检测
1.2.6 网络病毒防护

1.2.7 数据备份与恢复

1.3 我国互联网现状
(通过数据表单明白网络安全形式比较严峻)

1.4 计算机网络安全的级别分类
(各个国家不一致)

1.5网络安全法律法规

刑法:
第二百八十五条
非法侵入计算机信息系统罪违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。 违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。 单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
第二百八十六条
破坏计算机信息系统罪违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。 违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。 单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
第二百八十六条之一
拒不履行信息网络安全管理义务罪 网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。 单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。 有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
第二百八十七条
利用计算机实施犯罪的提示性规定利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。
第二百八十七条之一
非法利用信息网络罪 利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金:
(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;
(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;
(三)为实施诈骗等违法犯罪活动发布信息的。 单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。 有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
第二百八十七条之二
帮助信息网络犯罪活动罪 明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。 单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。 有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。

第二章 密码算法基础

2.1 密码学简介

密码学是研究信息保密性,完整性和认证性的科学,是数学和计算机的交叉学科,也是一门新兴并极有发展前景的学科

密码学有两个分支
研究编制密码的技术称为密码编码学(Cryptography),主要研究数据进行变换的原理,手段和方法,用于密码体制设计
研究破译密码的技术称为密码分析学(Cryptanalysis),主要研究如何破译密码算法
密码编制学和密码分析学共同组成密码学

凯撒密码偏移量为三,A为C,

明文是原始信息 (记为M)
密文是明文变换加密后的信息 (记为C)
加密是明文变成密文的过程 (记为E)
解密是密文还原成明文的过程 (记为D)
加密算法(Encryption Alogorithm) 是实现加密所遵循的规则 ,用于对明文进行各种代换和变换,生成密文
解密算法(Decrypion Algorithm)是实现解密所遵循的规则,是加密算法的逆运行,由密文得到明文
密钥(Key 记为K)为了有效控制加密和解密算法的实现,要有通信双方的专门的保密"信息"参与加密和解密操作,这种专门的信息成为密钥,简单说就是参与密码变换的参数

C=Ek(M)

密码分析
密码分析的目的:破译密码
常用方法:穷举攻击法统计分析法

穷举攻击法:尝试密钥空间的所有可能
对付穷举攻击法的方法应该增大密码算法的密钥空间
密钥空间:当密钥长度为r时,密钥空间就有2的r次方个元素

统计分析法:维吉尼亚密码表
百度百科:维吉尼亚密码表
列是明文,行是密文

2.2 如何保证机密性

对称密码算法:密钥相同,算法逆运算
DES 第一个算法公开
三重DES
IDEA
AES


缺点: 密钥传输困难

2.2.1 数据加密标准DES
DES是IBM公司在70年代发展起来的
核心思想是:让所有秘密寓于密钥之中
明文分组长度n=64bit, 密钥为56bit,加密后产生64bit密文分组,
三个阶段:
首先是一个初始置换IP, 用于重排64bit的明文分组,然后进行相同功能的16轮变换, 第十六轮换换的输出分出左右两半, 并被交换数据

2.2.2 其他集中对称加密算法
三重DES,使用两个密钥,执行三次DES算法
IDEA采用128bit密钥

2.2.3 AES高级加密标准
可变分组和可变长密钥的迭代分组密码,支持128bit明文分组,密钥长度可选择128bit,192bit,256bit

2.2.4 对称密码算法的缺点
密钥总数为:n(n-1)/2
n=5000时,总共有12497500个密钥

2.2.5 什么是公钥算法
公钥密码基本思想:密钥承兑出现,一个为加密密钥,一个为解密密钥,一方面,你希望所有人都知道你的加密密钥,另一方面,必须藏好解密密钥,与对称密码不同的是:加密密钥和解密密钥是截然不同的,且互相很难推导
RSA (三位发明人被授予图灵奖)
DSA
ECC

2.2.5 什么是公钥加密[公钥加密就是非对称加密]

对称与非对称对比

2.3 散列函数及其应用

通过算法之道信息是非被篡改,这类算法叫散列算法.也成为哈希算法(HASH)

2.3.1 散列算法
将任意长度的二进制信息转化成固定长度的散列值,又称哈希函数.得到的散列值叫消息摘要,也叫消息指纹
被广分应用于密码检验,身份认证,消息认证和数字签名
消息->散列函数->散列值
报文就算被改动了1bit,他生成的指纹就会不同
是一个不可逆单向函数,具有压缩功能,输入的报文不管长度,输出是定长短小
常见的散列算法有:MD4,MD5,SHA-1,SHA-2,SHA-3(最新)

2.4 数字签名

数字签名采用非对称加密实现

数字签名为了防止出现 否认,伪造,冒充,篡改 数字签名就是对数字信息进行签名
数字签名是可信的,不可伪造的,不可重用的,不可篡改的,不可抵赖的
数字签名也叫电子签名,可靠的电子签名于手写签名或者盖章具有同等的法律效应
通过私钥加密,通过公钥解密

发送报文时,发送方用一个哈希函数从报文文本中生成报文摘要,然后用发送方的私钥对这个摘要进行加密,这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方,接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要,接着再用接收方的公钥钥来对报文附加的数字签名进行解密,如果这两个摘要相同、那么接收方就能确认该数字签名是发送方的

2.5 应用实例

SSL和IPSec分别工作在应用层和网络层的安全协议
PGP是一个使用的网络安全工具包

SSL(Secure Socket Layer 安全套接层协议):位于TCP和应用层之间,SSL主要适用于点对点之间的信息传输,常用客户/服务器方式,可在服务器和用户端同时实现支持,提供的安全服务:
- 用户和服务器身份的合法性认证
- 数据机密性
- 数据的完整性
对于WEB服务SSL实现HTTPS
对于信用卡能提供信息的完整性和保密性

IPSec(Internet Protocol Security internet安全协议 ):是一个工业标准网络安全协议,针对TCP/IP协议的安全问题提供了标准的,健壮的以及包容广泛的机制,有效保护ip数据包的安全,主要提供的安全服务:
- 数据内容的机密性
- 数据起源地验证
- 数据的完整性验证
- 抗重播保护

PGP(Pretty Good Privacy):就是一个提供安全电子右键的软件包,提供加密,鉴别,数字签名和压缩
采用了IDEA,MD5,RSA以及编码和压缩算法实现安全功能

第三章 身份认证机制

概念:
用户身份认证:是指网络用户在进入系统或访问系统资源时,系统对用户身份的识别和验证过程
身份认证是许多应用系统中安全保护的第一道防线

3.1 口令机制

3.1.1 什么时口令机制
口令机制时一种最常用,最简单的身份认证方法,一般由用户账号和口令(或密码)联合组成
口令时用来验证对应用户账号的登入者身份是否是系统允许的合法用户
特点:安全性仅依赖口令,一旦口令泄露,用户就可能被冒充

3.1.2 什么是弱口令
使用的口令是人们习惯的使用的字符串,如生日,电话号码等,极易被攻破

3.1.3 对口令的主要攻击方法
- 字典攻击
- 穷举攻击
- 网络数据流窃听(如Sniffer软件)

3.1.4 改进方案
- 使用安全口令(复杂,定期更换,保存至安全地)
- 动态口令(密保卡)

3.2 采用数字证书今昔身份认证

3.2.1 什么是数字证书
是一段电子数据,经证书权威机构CA签名,包含拥有者身份信息和公开密钥的数据体
国际标准X.509定义一个规范的数字证书格式
格式:

3.2.2 数字证书进行身份认证
CA(Certificate Authority)证书授权中心:负责产生,分配,并管理所有参与网上信息交换各方所需的数字整数,CA机构的数字签名使攻击者不能伪造和篡改证书
认证中心采用一种多层次分组结构,各级的认证中心类似于各级行政机关,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户
最高层的是根CA(Root CA)
功能:
- 证书颁发
- 证书更新
- 证书查询
- 证书的作废
- 证书的归档

3.2.3 网上银行中的数字证书
在网上银行系统,用户的身份认证依靠基于公钥密码体制,数字签名机制和用户登陆密码的多重保护,银行对用户的数字签名和登陆密码进行检验,全部通过后才能确认该用户的身份.用户唯一身份标识就是银行签发的数字证书

3.3 IC卡及指纹识别机制

3.3.1 采用IC卡进行身份认证
智能卡又称集成电路卡或者IC(Integrated Circuitcard)卡,内嵌微芯片,配有CPU,RAM,提供了一个防损害,可靠的存储账号,口令,私钥和其他一些个人信息,一次被用于身份认证
- 符合ISO/IEC7816-1标准
- 高可靠性
- 大存储量
- 方便使用
多应用类型:一般的信息卡,带有加密的小额电子支付,带有认证加密的大额支付
(分为存储器卡,逻辑加密卡,CPU卡) 还有接触卡和非接触卡

3.3.2 采用指纹识别身份
生物特征识别技术常用的有:
- 指纹识别技术
- 视网膜识别技术
- 声音识别技术
不同指纹可能具有相同全局特征,但是局部特征不可能完全相同
指纹传感器:光学传感器,电容电感是传感器,超声波扫描,射频RF传感器

指纹考勤系统

第四章 黑客的攻击与防范

4.1 概述

黑客的概念:
原指一群专业技能超群,聪明能干,精力旺盛,对计算机信息系统非授权访问的人
后来成为入侵或破坏他人计算机系统的人的代言词

常用命令:
- ping
- ipconfig [/all]
- netstat [-e] [-a] [-n]
- net [share] [start]
- tracert

攻击主要途径:
- 系统漏洞
- 网络及系统端口

攻击的目的及行为:
- 目的: 为了得到利益,为了满足精神需求
- 行为: 攻击网站,盗窃资料,报复,恶作剧,获取目标主机系统的非法访问权限

攻击的主要手段:
- 网络侦听
- 拒绝服务攻击
- 欺骗攻击 源ip欺骗,源路由欺骗
- 缓冲区溢出
- 病毒及密码攻击
- 应用层攻击

攻击的一般步骤:
- 隐藏自己
- 信息踩点
- 扫描
- 获取访问权和权限提升
- 采取攻击行为
- 安装后门
- 清除痕迹

黑客攻击企业内部网的过程:
- 用ping查询企业内部网站服务器的ip
- 用ip network browser 扫描内部局域网ip
- 用portscan扫描企业内部局域网port
- 用www hack入侵局域网E-mail
- 破解internet账号于口令
- 用legion扫描局域网
- 植入特洛伊木马

4.2 信息踩点

黑客在攻击前需要利用人工或技术手段搜集信息才能实施有效的攻击,而安全管理人员需要用信息搜集技术来发现系统的弱点并进行修复
技术本身没有什么,只是使用的人不同,产生的结果就会不同

信息踩点: 网络攻击的第一个步骤
踩点的方式:
- 主动方式 : 从arin和whois数据库获得数据,查看网站源代码
- arin是美国internet号码注册中心
- whois是用来查询域名和IP的注册信息 国际域名在美国internet信息管理中心和他设置在世界各地的认证注册商管理, 国内域名由中国互联网信息中心(CNNIC)管理
- 被动方式 : 如嗅探网络数据源,窃听等
踩点的步骤:
- 获得初始信息
通过开放来源信息来获得自己进行网络攻击的所需信息
1 通过搜索引擎搜索目标网络
2 从目标所在的主页上获取大量信息
3 html 源代码中的注释语句
4 一些技术会议不经意泄露系统的操作平台,交换机型号,以及基本的线路链路等信息
- 确定目标范围
1 ping命令
2 whois查询 可查询到:
注册机构:显示特定的注册信息和相关whois服务器
机构本身:显示与某个特定机构相关的所有信息
域名: 显示与某个特定网络或单个ip地址相关的所有信息
联系点: 显示与某位特定人员相关的所有信息
- 分析目标网络信息
一台计算机访问另一台计算机所走的路径可能会不一样,但大部分时间是相同的,所以,了解信息从一台计算机到另一台计算机所传播的路径非常重要
可以使用专业工具如:Netscan , Samspade, VisualRoute
这些工具的特点:
1 快速分析和辨别internet连接的来源
2 标志某个ip地址的地理位置,目标网络whois查询
3 提供可视化的显示结果
例如: VisualRoute(网络路径节点回溯分析工具) ,此软件具有一个独特功能:能够找到路由器和服务器的地理位置
TraceRoute(检测数据包的传播路径),(win命令:tracert) 可视化的可以做到在地图上显示路由的跳跃位置

4.3 网络扫描

网络扫就是对计算机系统或其他网络设备语言全相关的检测,以找出安全隐患和可被黑客利用的漏洞,完整的扫描可以分为三个阶段:
- 第一阶段 对整个网络扫描一遍,发现目标主机或网络
- 第二阶段 发现目标后进一步搜集目标信息,包裹操作系统类型,运行的服务,以及服务软件的版本等
- 第三阶段 根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞

4.3.1 端口与端口扫描
端口 英文 port的义译 一般指计算机与外界通讯交流的出口
计算机通过端口实现与外部通信的连接/数据交换
硬件领域的端口 : 又称为接口: 如usb接口,串行接口等
软件领域的端口 : 是指网络中面向连接/无连接的通信协议接口,是一种抽象的软件结构,包括一些数据结构和I/O缓冲区
逻辑意义上的计算机端口 : 一般是指TCP/IP协议中的端口,端口号的范围从0到65535(16位)
黑客攻击时将系统和网络设置中的各种端口(逻辑)作为入侵通道
端口分类:
按端口号分布可以分为:固定端口和动态端口
- 固定端口: 众所周知的端口,范围从0到1023,一般固定分配给一些服务,如21时ftp,25时smtp,80时http,22时ssh
- 动态端口: 范围从1024-65535,不固定分配给一些服务,动态窗口常常被木马利用,如冰河默认7626,netspy3.0端口时7306
按协议类型分以可分为:TCP端口和UDP端口
- TCP端口: 传输控制协议端口,需要在客户端和服务器之间建立连接,可提供可靠的数据传输,如:ftp 21,telnet 23,smtp 25 http 80
- UDP端口: 用户数据报协议端口,无需客户端和服务器之间建立连接,安全性得不到保障,如dns 53 snmp161
端口扫描是管理员发现系统的安全漏洞,加强系统的安全管理,提高系统安全性能的有效方法,通过端口扫描,可以得到许多有用的信息,从而发现系统的安全漏洞,同时,端口扫描成为黑客发现主机信息的一种最佳手段
端口扫描原理:网络扫描通过检测目标主机TCP/IP不同端口的服务,搜集目标主机的各类信息,记录目标给与的回答(如是否能用匿名登陆,是否有可写的ftp目录,是否能用telnet,httpd是跑在root还是nobay)在获得各类端口和其对应的网络服务的相关信息后,与网络漏洞扫描系统提供的漏洞库进行匹配,如果满足条件, 则视为漏洞存在

4.3.2 网络安全扫描工具应用
端口扫描的方式有手工命令行方式扫描器扫描方式:
- 手工扫描: 需要熟悉各种命令,对命令执行后的输出进行分析,而扫描器会进行分析
- 扫描器: 也成为扫描工具或者扫描软件,是一种自动检测远程或本地主机安全性弱点的程序 可以分为两种类型:
1 网络漏洞扫描工具:检测远程目标网络和主机系统存在的漏洞
2 主机漏洞扫描工具:检测本地系统存在的漏洞
扫描器的工作原理: 与4.3.1的扫描原理基本相同
网络扫描器的功能:
- 发现一个主机和网络的能力
- 一旦发现主机,能获取正在运行的是什么操作系统,什么服务运行在这台主机上
- 通过检测这些服务,发现漏洞
流行的扫描器: 国内:流光,X-Scan,X-way 国外:Shadow, Security, Scanner ,SuperScan, Nmap等

4.3.3 端口漏洞的防范
端口漏洞的防范又成为系统加固,网络的关键处使用防火墙,对异常操作或来源不明的有害数据今昔过滤,可有效减轻端口漏洞的攻击,防范端口漏洞的主要方法有两种:
- 关闭闲置及有潜在危险的端口
定向关闭指定服务的端口,计算机的一些网络服务位系统分配的端口,将闲置服务的端口关闭,如21ftp 23telnet 25smtp,win可在控制面板防火墙中建立规则拦截
- 只开放允许端口
可用系统的TCP/IP筛选功能实现,设置时之允许系统的一些基本网络通信需要的端口,如果想查看,使用netstat -an显示所有连接和侦听的端口
屏蔽出现扫描症状的端口

4.4 网络监听

网络监听可以用硬件或软件实现,现在只讲软件:

4.4.1 网络监听的原理与防范
利用软件工具,将网络接口设置在监听的模式,当主机工作在监听模式下,无论数据包中的目标物理地址是什么,主机都将全部接受(通常只有与目标地址一致的主机才能接收到信息包)
网络监听的功能:
- 监听计算机在网络上所产生的多种信息
- 监听计算机程序在网络上发送和接收的信息,包括用户账号,密码和积木数据资料等,这是一种常用的数据收集方法
- 在以太网中 Sniffer将系统的网络接口设定为混杂模式,可监听到所有流经同一网段的数据包
网络监听的局限性:
- 由于网络监听只能应用于同一网段的主机,通常被用来获取用户密码等
- 通常可采取数据加密和网络分段这样的方法进行防范
网络监听的防范:
- 从逻辑或物理上对网络分段,实现相互隔离,防止可能的非法监听
- 以交换式集线器替代共享式集线器(以交换机替代集线器?)使单播包仅在两个点之间传送,防止非法监听
- 使用加密技术,即使捕获到也是密文
- 划分VLAN,用Vlan技术,将以太网通信变成点对点通信,防止非法监听

4.4.2 网络监听工具Sniffer
中文为嗅探器,它是利用计算机网络接口截获数据报文的一种工具,工作在网络的底层
主要功能:
- 分析网络协议
- 定位网络故障
- 帮助网络管理员查找网络漏洞和检测网络性能
- 分析网络的流量
- 收集有用的数据
工作原理:通过将以太网卡设置成混杂模式,并置身于网络接口来达到截获真实网络报文的目的
嗅探器的危害:
Sniffer可以截获口令或者其他机密信息,可通过获取更高级别的访问权限危害网络邻居的安全,并且可以分析网络结构,进行网络渗透,因此Sniffer具有危害性
Sniffer最大的危害性是它很难被发现,因为嗅探器是一种被动的接收程序
Sniffer的防范:
尽管嗅探程序不会发送任何数据,但是当它安装在局域网内的一台计算机时,同样会产生一些数据流,检测方法如下:
- ping 方法,如果发送一个请求给装有嗅探器的主机,它会做出应答 ??
- 在UNIX系统可以用 ps -auxo 列出目前所有的进程 ??
- 在windows系统中查看任务列表,在系统中搜索可疑的软件 ??
- Sniffer主要截获ftp,telnet的数据包,可以使用ssh,ipv6替代那些容易被攻击的
- 使用安全的拓扑结构,sniffer只对以太网,令牌环网起作用
- 使用Antisniff,可以测试远程系统是否正在截获和分析那些并不是发给它的数据包
Sniffer pro 的功能:
- Dsahboard 网络流量表
- Host table 主机列表
- Detail 协议列表
- Bar 流量表
- Matrix 网络连接

小结:
sniffer可以运行在各种协议之下,包括以太网,tcp/ip ,zpx等等,也可以时集中协议的联合体系
sniffer是个非常危险的东西,他可以截获口令可以截获到本来是秘密或者专用信道内的信息,截获到信用卡号,经济数据,E-mail等等,更加可以用来攻击与自己相邻的网络
sniffer可以使用在任何一种平台之中,而现在使用sniffer也不可能被发现

4.5 DOS/DDOS攻击与防范

flood 洪水
chargen 字符生成器
echo 应答协议
udp 用户数据报协议
dos 拒绝服务攻击
是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。
SYN-Flood
是一种广为人知的DoS(拒绝服务攻击)是DDoS(分布式拒绝服务攻击)的方式之一,是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
Land攻击
是拒绝服务攻击(DoS攻击)的一种,通过发送精心构造的、具有相同源地址和目标地址的欺骗数据包,致使缺乏相应防护机制的目标设备瘫痪。
Smurf攻击
Smurf攻击是一种病毒攻击,以最初发动这种攻击的程序“Smurf”来命名。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。

4.5.1 拒绝服务攻击dos( Denial of Service )
概念: 指反复向某个web站点发送过多的信息请求/文件,堵塞该站点的系统,导致无法完成应有的网络服务
实现: 黑客使用合理的服务请求占用过多的服务资源,使合法用户无法得到服务的响应,只至瘫痪而停止提供正常的网络服务的攻击方式
按入侵方式:
- 资源消耗
- 配置修改
- 物理破坏
- 服务利用
目的: 拒绝正常用户的服务访问,破坏系统的正常运行,最终使用户的部分internet链接和网络系统失效,甚至系统完全瘫痪
常见的攻击方法:
- SYN-Flood
利用tcp协议缺陷,发送大量半连接请求,耗费cpu和内存资源,使正常用户无法得到应答
攻击原理:
每当我们进行一次标准的TCP连接,都会有一个三次握手的过程,而TCP-SYN Flood在它的实现过程中只有前两个步骤。这样,服务方会在一定时间处于等待接收请求方ACK消息的状态。由于一台服务器可用的TCP连接是有限的,如果恶意攻击方快速连续地发送此类连接请求,则服务器可用TCP连接队列很快将会阻塞,系统资源和可用带宽急剧下降,无法提供正常的网络服务,从而造成拒绝服务。
攻击过程:
- 攻击者伪造一个源ip地址的syn报文给被攻击主机
- 被攻击主机回送一个syn/ack包
- 由于主机地址是假的不可达,被攻击主机保持半连接只到超时,并在发送syn/ack包,还不可达
- 攻击主机发送大量syn包,会很快填满半连接队列,导致正常syn包被拒绝服务

- Land
一个特别的SYN包-- 它的源地址和目标地址都是目标主机的地址
预防: 防火墙过滤从外部发来的含有内部源ip地址的数据包
- Sumrf
利用tcp/ip协议中的定向广播特性,使接收到广播的主机向被攻击的服务器做出响应,从而 导致 被攻击的服务器不堪重负
预防: 关闭外部路由器或防火墙的地址广播功能
- UDP-Flood

利用tcp/ip中的chargen和echo来回传送无用信息占用宽带,伪造与一台chargen服务之间的udp,回复地址指向一台echo服务的计算机,造成两台计算机之间大量的无用数据流
预防:关闭不必要的tcp/ip,或配置防火墙以阻断来自internet的upd服务请求

4.5.2 分布式拒绝服务攻击 (Distributed Denial of Service )
定义: 指借助客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动dos攻击,从而成倍的提高拒绝服务攻击的威力
类型:
- 宽带型攻击
指以极大的通信量冲击网络,使所有可用的网络资源被耗尽正常请求无法访问
- 应用型攻击
指大量连接请求冲击计算机,使所有可用的操作系统资源被耗尽,计算机无法处理合法请求
方式:
- 网络过载 干扰甚至阻断正常通讯
- 提交大量文件/请求 使服务器超负荷
- 阻断服务与特定系统或个人通讯
特点: 多台受控制的计算机联合起来向目标计算机发起dos攻击
dos攻击分为三层:
- 攻击者
- 主控端
- 代理端
ddos攻击具有隐蔽性,难以追查,实施简单,消除难

ddos攻击程序:
smurf, trinoo, tfn, tfn2k, stacheldraht
防范ddos攻击策略:
- 及早发现系统漏洞,及早打补丁
- 禁止不必要的服务
- 配置防火墙,过滤伪造的数据包
- 使用反病毒软件

第五章 计算机病毒原理与防御

5.1 计算机病毒简介

5.1.1 计算机病毒的定义
-'计算机病毒'一词源于生物病毒,是指那些具有寄生性,传染性和破坏性的可执行代码
- '计算机病毒'是一种能够修改程序,并把自己的复制品包括在内去感染其他程序的程序
- 指编制者在计算机程序中插入的破获系统功能或破坏数据,影响系统使用并能有自我复制的一组指令或程序代码<<中华人民共和国计算机信息系统安全保护条例>>
来源:
- 为了炫技或者寻开心编写
- 软件公司的不正当竞争
- 用于研究或者实验而设计的'有用'程序,由于某种原因失去控制扩散出实验室或研究所

5.1.2 计算机病毒历史
从20世纪60年代初出现雏形到如今泛滥

5.1.3 计算机病毒的特点
- 传染性
- 隐蔽性
- 破坏性
- 可触发性
病毒产生过程分为程序设计->传播->潜伏->触发->运行->实行攻击
从产生到根除,有一个完整的生存周期:
开发期 -> 传播期 -> 潜伏期 -> 发作期 -> 发现期 -> 消化期 -> 消亡期

5.1.4 计算机病毒分类
- 按操作系统:windows,unix,liux,mac os
- 按破坏性: 良性和恶性
- 按入侵方式: 外壳型,操作系统,嵌入型,源码型

5.1.5 计算机病毒命名规则
命名方式由多个前缀与后缀组合,中间以'.'分隔,一般格式为:
[前缀].[病毒名].[后缀]
前缀:表示种类
中间:病毒名
后缀:变种
- 系统病毒:
前缀: win32 PE win95 w32 w95等,共有特性是可以感染windows操作系统的"*.exe"和"*.dll",并通过这些文件进行传播 如CIH病毒
- 蠕虫病毒:
前缀:Worm,通过网络或者系统漏洞进行传播
- 木马病毒
前缀: Trojan,黑客病毒前缀名为Hack,木马黑客病毒往往是成对出现
- 脚本病毒
前缀: Script ,使用脚本语言编写,通过网页进行传播
- 宏病毒
前缀: Macro, 能感染office文档
- 后门病毒
前缀: Backdoor ,通过网络传播,给系统开后门,给用户电脑带来安全隐患
- 病毒种植程序
前缀: Dropper ,运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏
- 破坏性程序病毒
前缀: Harm 具有诱惑性的图标供用户点击
- 捆绑机病毒
前缀: Binder , 会使用特定的捆绑程序将病毒与一些应用程序如QQ.IE捆绑
病毒名也有一些约定俗成方式,可按病毒发作时间,如黑色星期五,也可按症状:小球;或按本身包含的标志:熊猫病毒;还可按发现地名:耶路撒冷;按病毒字节长度:1575

5.1.6计算机病毒的表现现象

5.2 几种典型的病毒与防范

5.2.1 蠕虫病毒
是一种特殊类型的病毒
- 不依赖宿主寄生
- 具有一般病毒的共性
- 具有自我复制,独立运行,主动攻击
- 破坏性比一般病毒更强
与一般病毒的区别:
- 复制自身在互联网环境下传播
- 传染目标是互联网内的所有计算机
- 主动攻击性和突然暴发性
I_WORM/EMANUEL网络蠕虫:
通过微软 Outlook Eress自动传播给受感染的计算机的地址簿里的所有人,给每人发一封带有该病毒的邮件
熊猫烧香:
经过多次变种的蠕虫病毒

5.2.2 木马

木马的基本概念:
是一种具有供给系统,破坏文件,发送密码和记录键盘等特性的特殊后门程序,其特性也以变异更新
是一种基于远程控制的黑客工具
木马的特点:
隐蔽性:采用多种手段隐藏,即使服务器发现感染了,也不能确定控制端的位置
非授权性:一旦控制端和服务端连接后,控制端就享有服务端的大部分权限
完整的木马由以下三部分组成:
- 硬件部分:控制端和服务端
- 软件部分:实现远程控制必须的软件,包括控制端程序,木马程序及木马配置程序
- 具体链接部分:通过Internet在控制端和服务端之间建立木马通道,包括ip端口网络地址
木马入侵过程可分为六步:
- 配置木马
设计成熟的木马都有木马配置程序,以实现木马伪装和信息反馈
- 传播木马
Email,以附件形式夹在邮件中,软件下载,非正规网站把木马绑在软件安装程序上
- 运行木马
一旦启动捆绑木马的程序,木马会自动安装,复制到C:\windows或者c:\windows\system
- 信息反馈
一般成熟的木马会有信息反馈机制,安装成功会收集服务端的软硬件信息
- 建立连接
两个条件,服务端安装了木马程序,客户端和服务端都必须在线
- 远程控制
建立连接后,控制端口和木马端口会出现一条通道,通过这条通道控制服务端木马程序实现:窃取密码,修改注册表,文件操作,系统操作等
木马的端口号
大多数使用在1024以上,因为1024以下是正常计算机使用的端口,若使用容易暴露
木马的隐藏:
一般放在:C:\windows或者c:\windows\system
通常使用和系统文件相同的文件名
隐藏方法:
- 集成到程序
- 隐藏在配置文件(易发现,不常用)
- 内置到注册表
- 在System.ini中:此文件是包含windows初始配置的重要文件
- 隐藏于启动组
- 隐藏在Winstart.bat,此文件是一个能自动被windows加载的文件
- 隐藏在超级链接中(不要随便点)

5.2.3 木马的检测清除与防范

5.2.4 病毒的一般预防方法及清理

5.2.5 计算机病毒的检测

5.2.6 计算机病毒的防范

5.3 流氓软件与网络钓鱼

5.3.1 流氓软件
是指在未明确指示或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件,介于病毒和正规软件之间
特点:
- 强制安装
- 难以卸载
- 浏览器劫持
- 广告弹出
- 恶意收集用户信息
- 恶意卸载:误导.欺骗用户卸载其他软件
- 恶意捆绑:在软件中捆绑已被认定为的恶意软件
分类:
- 广告软件
- 间谍软件
- 浏览器劫持
- 行为记录软件
- 恶意共享软件

5.3.2 钓鱼网站
是一种网络欺诈行为,指不法分子利用各种手段,仿冒真是网站的URL地址以及页面内容,或利用真实网站服务器程序上的漏洞在站点的某些网页插入危险的HTML代码,以此来骗取用户银行或信用卡账号密码等私人资料
一般通过电子右键传播,此类邮件中会有一个经过伪装的链接
钓鱼网站的页面与真实网站的页面基本一致,且要求访问者提供账号和密码
钓鱼网站的结构很简单,一般只有一个或几个页面,URL和真实网站也有细微差别
传播途径:
- 通过QQ,MSN,微信,阿里旺旺等客户端发送传播钓鱼网站链接
- 在搜索引擎,中小网站投放广告,吸引用户点击钓鱼网站链接,常被假医药网站,假机票网站常用
- 通过Email,论坛,博客,SNS网站批量发布钓鱼网站链接
- 通过微博,Twitter中的短链接散布钓鱼网站链- 接
- 通过模仿邮件,例如冒充"银行密码重置右键"
- 感染病毒后弹出模仿qq,阿里旺旺等聊天工具窗口,用户点击进入钓鱼网站
- 恶意导航网站.恶意下载网站弹出仿真悬浮窗口,点击后进入钓鱼网站
- 伪装成用户输入网址时易发生的错误,如www.biadu.com等
如何防范:

- 第三方网站身份验证
- 核对网站域名
- 比较网站内容
- 查询网站备案
- 查看安全证书(https)

5.4 常用杀毒软件

第六章 防火墙技术

6.1 防火墙的概念

在计算机网络中,防火墙指的时隔离在本地网络与外界网络之间的一道防御系统,以防范来自其他网络的攻击
防火墙可以用来使企业内部局域网(LAN)网络于Internet之间或者与其他外部网络相互隔离,限制网络互访,以保护内部网络
防火墙的初期设计思想:
对内部网络总是信任的,对外部网络不信任,只对外部通信进行过滤,对内不设限制
现在防火墙:
对外部网络发出的通信连接进行过滤,对内部网络用户发出的部分链接请求和数据包同样过滤
在现代网络安全技术中,防火请指两个或多个网络域(通常是信任网络域和非信任网络域)之间一系列部件的组合,他是一个或一组实施访问控制策略的系统,在内部网络与外部网络之间形成一道安全保护屏障,能根据访问控制了略对出入网络的信息流进行安全控制
防火请可以有不同的结构和规模,既可以是一台路由器,一台主机,也可以是有多台主机构成的体系,此外防火墙还可以由软件组件

防火墙发展史:
- 第一代采用包过滤技术
- 第二代采用电路层防火墙
- 第三代采用应用层防火墙
- 第四代采用动态包过滤技术
- 第五代采用自适应代理技术

防火墙的主要功能:
防火墙是一个分离器: 分割了信任域与非信任域
防火墙是一个限制器: 限制了非信任域对信任域的访问,
防火墙是一个分析器: 分析那些访问是安全的,那些使不安全的
主要功能:
- 提高网络的安全性
- 强化网络安全策略
- 监控统计内部存取和访问信息
- 防止内部信息外泄
不是NAT机制
缺陷:
- 限制了有用的网络服务
- 不能防范新的安全问题, 它只能对现在已知的网络威胁起作用
- 不能防范不经由防火墙的攻击
- 不能防范来自内部网络的攻击

6.2 防火墙的技术类型

按防火墙的技术分类分为:
包过滤技术:
使防火墙技术中最早也是最常用的一种技术,它与网络协议紧密相关,通过检查数据包中第三层及第四城相关信息实现对包的放行或拦截
包过滤技术工作在OSI参考模型的网络层和传输层,根据数据包源地址,目的地址,端口号和协议类型等标志确定是否允许通过,只有满足过滤条件的数据包才会被转发到相应的目的地,其他数据包则从数据流里丢弃
结构:

包过滤技术有两种:静态包过滤动态包过滤
(1) 静态包过滤
工作原理:
依据系统事先设定号的过滤规则检查数据流中的每个数据包的包头信息,(如源或目的ip地址,封装协议,tcp/udp目标端口)在规则集中定义了各种规则来表明是否同意或拒绝包的通过
按照规则集中的每一条规则检查数据包,保重的信息与某规则相符通过,如果没有一条规则能符合,防火墙就会使用默认规则丢弃该包(一般情况下,默认规则选择默认拒绝原则)

(2)动态包过滤
在静态包过滤的基础上采用基于上下文的动态包过滤模块的检查,增强了安全性
技术原理:
与静态只检查单个,孤立的数据包不同,动态包过滤视图将数据包的上下文联系起来,建立一种基于状态的包过滤机制
对于新建的应用链接,防火墙检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,这些信息构成一个状态表,这样,当一个新的数据包到达,如果属于已经建立的连接,则检查状态表,参考数据流上下文决定当前数据包通过与否,如果使新建连接,则检查静态规则表

动态包过滤技术克服了穿透包过滤仅仅孤立的检查单个数据包和安全规则静态不可变的缺陷,使得防火墙的安全控制力度更为细致
包过滤的优缺点:
优点:
- 简单,较强的透明性
- 过滤路由器速度快,效率高
缺点:
- 需要对ip,tcp,udp,icmp等各种协议有深入的了解,否则容易出现因配置不当带来的问题
- 过滤判别只有网络层和传输层的有限信息,因而各种安全要求不能得到充分满足
- 由于数据包的地址及端口号都在数据包的头部,不能彻底防止地址欺骗
- 允许外部客户和内部主机的之间连接
- 不提供用户的鉴别机制

应用代理技术
工作在应用层,它的功能就是代理网络用户去取得网路信息,又被称为代理服务器,也可以说网络信息中转站
工作原理:
代理服务器介于浏览器和web服务器之间的两一台服务器,有了它之后,浏览器不是直接到web,而是先向代理服务器发出请求,有代理服务器来取回浏览器所需要的信息并传送到浏览器

应用代理防火墙
工作在OSI最高层,其特点是完全阻隔网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用程通信流的作用

代理服务并不是用一张简单的访问控制列表来说明那些报文或会话可以通过,哪些不允许,而是运行一个接受连接的程序,再确认之前,先要求用户输入口令,以进行严格的用户认证,并必须为每个应用,如Telnet,ftp等配上代理程序,因为代理服务型防火墙能过理解应用程上的协议,能够做一些复杂的访问控制和注册等,所以安全性比包过滤防火墙要高

代理型防火墙有两个不同的版本:
- 第一代应用网关型代理防火墙
- 第二代自适应代理防火墙

第一代网关型代理防火墙
通过一种代理技术参与到一个tcp连接的全过程,从内部发出的数据包金国防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网络结构的作用
此防火墙被专家和媒体公认为最安全的防火墙,核心技术就是代理服务器技术

第二代自适应代理防火墙
它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,再不损失安全性的基础上将代理型防火请的性能提高10倍以上
组成这种类型防火墙的基本要素有两个,自适应代理服务器和动态包过滤器

代理服务型防火墙对客户不透明,需要在和护短做相应的设置才行
在ie浏览器菜单->工具->internet选项->连接->局域网设置->代理服务器

代理服务技术的优缺点

优点:
- 易于配置,界面友好(服务端)
- 不允许内外网主机的直接连接
- 可以通过比包过滤更详细的日志记录
- 可以隐藏内部ip
- 可以给单个用户授权
- 可以为用户提供透明的加密机制
- 可以与认证,授权等安全手段方便的集成

缺点:
- 代理速度比包过滤慢
- 代理对用户不透明,给用户使用带来不便,而且这种代理技术需要针对每一种协议设置一个不同的代理服务器

6.3 防火墙的分类

实现形式来分:
- 软件防火墙

运行于特定的计算机上,他需要客户端预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关.软件防火墙就像其他软件产品一样需要现在计算机上安装并做好配置才可以使用,代表性的软件:Checkpoint, Microsoft ISA ,以及个人软件防火墙:天网,瑞星,诺顿
- 硬件防火墙
是一种以物理形式存在的专用设备,通常架设于两个网络的连接处,硬件防火墙又可以分为两类,一种是普通硬件级别的防火墙,一种是芯片级防火墙
普通硬件级防火墙拥有标准的计算机硬件平台和一些功能经过简化处理的UNIX系列操作系统和防火墙软件,此类防火墙会受到OS本身的安全性影响
常见的硬件防火墙:天融信网络卫士,Cisco Secure PIX系列,Cisco ASA 5500系列,东软NetEye等
其中Cisco ASA 5500系列是思科专门设计的解决方案,将安全性和VPN服务于可扩展服务架构有机的结合在一起,作为思科自防御网络的核心组件,采用了自适应设计和独特的模块化设计,能够提供主动威胁防御,在网络受到威胁之前就能及时阻挡攻击,控制网络行为和应用流量,并提供VPN连接
- 芯片级防火墙
基于专门的硬件平台,有专用的操作系统,专用的ASIC芯片促使他们比其他种类的防火墙速度更快,处理能力更强,性能更高
厂商有:NetScreen,Fortinet,Cisco等,这类防火墙由于是专用OS,因此防火墙本事的漏洞比较少,不过价格相对比较高昂

按防火墙的部署位置分:
- 边界防火墙
是最为传统的那种,在内,外部网络的边界,对内,外部网络实施隔离,保护边界内部网络,这类一般都是硬件类型,价格较贵,性能较好
- 个人防火墙
安装与单台主机中,防火的也只有单台主机,应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差
- 混合防火墙
可以说是分布式防火墙或者嵌入式防火墙,他是一整套防火墙系统,由若干个软,硬件组件组成,分布于内,外部网络边界,和内部个主机之间,即对内,外部网络之间通信进行过滤,又对网络内部个主机间的通信进行过滤
属于"最新"防火墙技术之一,性能最好,价格也最贵

按防火墙的性能来分:
因为网络防火墙通常处于网络的边界,是两个网络域之间信息流的唯一出入口,说以他的性能对整个网络至关重要,带宽越高,性能越高
- 百兆级
- 千兆级
- "万兆级?"

6.4 防火墙的体系结构

防火墙体系结构主要有四种:
- 屏蔽路由器结构(最简单的配置)
- 双目主机体系结构(双宿主机体系结构)
- 屏蔽主机体系结构
- 屏蔽子网体系结构

屏蔽路由器结构:
通畅又称为包过滤功能的路由器,屏蔽路由器作为内外链接的唯一通道,要求所有的报文都必须在此通过检查
路由器上可以安装基于ip层的报文过滤软件,实现报文过滤功能
许多路由器本身带有报文过滤配置选项,但一般比较简单
这是一种简单的配置方式,其危险包括路由器本身及路由器允许访问的主机,一旦被攻陷后很难发现,而且不能识别不同分用户
为了更好的实现网络安全,通常都会将几种防火墙技术组合起来建立防火墙系统.
'目前'比较流行如下三种:
- 双目主机体系结构(双宿主机体系结构)
- 屏蔽主机体系结构
- 屏蔽子网体系结构

屏蔽路由器结构的工作示意图

双目主机结构
双目主机安装有两个网卡,具有两个网络结构,分别连接到内部网和外部网,充当转发器(应用代理).两个网络的通信通过双宿主机来完成,两个网络之间不能传递信息
这种结构有个致命缺点:一旦主机被入侵,并让该机具有路由器的功能,则任何网上的用户都可随便访问有保护的内网用户

屏蔽主机结构(Screened Host Gateway)
使用一个单独的包过滤路由器连接外部网络,在内部网络配置一台堡垒主机(Bastion Host)作为应用网关,运行各种应用代理服务程序
通常在路由器上设置过滤规则,平步主机结构种的堡垒主机只有一个网卡,链接在内部网络上,通过设置,使其成为外部网络唯一的可访问到达的主机,这就确保了内部网络不受未经授权的外部用户的攻击
屏蔽主机防火墙实现了网络层和应用层的安全,因此比单独的包过滤型或应用网关代理型更安全
缺点:
- 堡垒主机对外部是暴露的,同时又是内部网络用户的主要连接点,所以非常容易被入侵,就像战场上的碉堡一样,因此形象的称为堡垒主机
在这一方式下,过滤路由器的配置是很关键的,如果路由表遭到破坏,堡垒主机极可能被越过,使内部网完全泄露

屏蔽子网结构(Screened Subnet)
是'目前'比较流行的一种防火墙结构,采用了两个包过滤路由器和一个堡垒主机.在内外网络之间建立一个被隔离的子网,定义为隔离区,又称为边界网络或非军事区DMZ
- 用两个包过滤路由器将这一子网分别于intranet和internet分开.两个包过滤路由器放在子网的两端,在子网内构成一个"缓冲地带"
- 两个路由器一个控制intranet数据流,另一个控制internet数据流,intranet和internet均可访问屏蔽子网,但禁止他们穿过屏蔽子网通信
- 可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,但是来自两网络的访问都必须通过两个包过滤路由器的检查
- 对于向internet公开的服务器,像WWW,FTP,Mail等internet服务器也可以安装在屏蔽子网内,这样无论是内外部网络都可以访问
- 最简单的屏蔽子网有两个屏蔽路由器,一个接外部网与边界网络,另一个连接边界网络与内部网,这样为了进攻内部网,入侵者必须通过两个屏蔽路由器
优点:
这种模式安全性高,具有很强的抗攻击能力,能更加游侠的保护内部网络,比起一般的防火墙方案,对攻击者来说又多了一道关卡,即使堡垒主机被入侵者控制,内部网络仍然受到内部包过滤路由器的保护
缺点:
需要的设备比较多,造假相对较贵

6.6 硬件防火墙

技术指标(一般级别):
- 端口配置
标配三个端口:安全级:内网>DMZ(非军事化区) >外网
只能由高安全级别流向低安全级
DMZ:内部网需要向外提供服务的服务器往往放在一个单独的网端,这个网端就是DMZ
- 吞吐量

指在不丢包的情况下单位时间内通过防火墙的数据包数量,单位为PPS,即每秒通过的数据包数量, 这是测量防火墙性能的重要指标
- 延时
指防火墙转发数据包的延迟时间,延迟越低,防火墙数据处理数据越快
- 丢包率
正常情况下,应该被转发但由于缺少资源而没有被转发的数据包占全部数据包的百分比
较低的丢包率,意味着防火墙在强大的负载压力下,能够稳定的工作,以适应各种网络的复杂应用和较大的数据流量对处理新能的高要求
- 并发连接数
指防火墙或代理服务器对其业务信息流的处理能力,防火墙能同时处理点对点连接的最大数目,
- 背对背
衡量网络设备缓冲数据包能力的一个指标,一般以帧数多少老表示,背对背帧越大,缓冲能力越强
- 平均无故障时间
连续无故障正常运行的平均时间

选购防火墙考虑因素:
- 安全性
- 高效性
- 配置便利性
- 可靠性
- 可扩展性
- 合适的性能:吞吐量,安全过滤带宽,延时
- 其他安全要素

6.7 防火墙技术的应用

讲的windows防火墙 略

第七章 入侵检测技术

7.1 入侵检测技术概述

7.1.1 入侵检测技术简介
互联网已经将传统的虚拟世界与物理世界相互连接,形成网络空间
新技术领域融合带来新的安全风险
- 空页控制系统
- 云大移物智
核心思想:强调"威慑"概念
将防御威慑和利用结合为三位一体的网络空间安全保障
防火墙 - 防御
入侵检测 - 威慑

用一个非常形象的比喻来形容防火请技术和入侵检测技术在保护网络安全方面的作用:
- 假如防火墙是一栋大楼的门锁,那么入侵检测系统(IDS)就是这栋大楼里的监视系统,一旦小偷进入大厦,或内部人员有越界行为,只有实时监视系统才能发现情况,发出警告并记录小偷的行为,也就是说,入侵检测系统是防火墙的一个有效补充,两者相互配合才能有效保护网络系统的安全
作为防火墙的补充,入侵检测系统扩展了维护管理人员的安全管理能力,提高了嘻嘻安全基础结构的完整性,是主动保护自己免受攻击的一种防御系统

入侵和入侵检测的概念
入侵是指任何威胁和迫害系统资源的潜入行为
实施入侵行为的人称为入侵者,攻击是入侵所采取的技术手段和方法
入侵的整个过程(包括入侵准备.进攻,侵入)都伴随着攻击,有时也把入侵者成为攻击者入侵检测(Intrusion Detection , ID)是指通过对行为,安全日志,审计数据或其他网络上可获取的信息,检查测试对系统的闯入或企图的过程

入侵检测系统 (Intrusion detection
System简称IDS)
入侵检测系统(IDS)是对入侵进行自动检测,监控和分析的系统。是一种自动监测信息,系统内外入侵的安全系统
入侵检测技术是IDs通过从网络或系统中的若干关键点收集信息,并对其进行分析,从中发现违反安全策略的行为或遭到袭击的迹象的一种安全技术。

入侵检测系统产生与发展

19世纪80年代初,美国詹姆斯·安德森《计算机安全威胁监控与监视》技术报告,首次阐逋了入侵检测概念,提出了利用审计跟踪数据监视入侵活动的思想。
1986年,乔治敦大学的专家研究出了一个实时入侵检测系统模型一一入侵检测专家系统IDES,也称 Denning模型。是第一个在一个应用中运用了统计和基于规则两种技术的系统,是入侵检测研究中最有影响的一个系统。

入侵检测系统产生与发展
1990年,美国加州大学戴维斯分校L. T Heberlein等人开发了网络安全检测模块(NSM),该系统第一次将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控各种主机。入侵检测系统发展史翻开了新的一页:网络入侵检
测从此诞生
两大阵营正式形成:基于网络的IDS和基于主机的IDS

7.1.2 入侵检测系统的作用
入侵检测系统主要有两大职责
- 实时监控
实时监控实时地监视,分析网络中所有的数据报文,发现并实时处理所捕获的数据报文
- 安全审计
安全审计通过对入侵检测系统所记录的网络事件进行分析,发现其中的异常现象,得出系统的安全状态,找出所需要的证据
入侵检测系统作用
- 通过检测和记录网络中的安全违规行为,惩罚网络犯罪,防止网络入侵事件的发生
- 检测其它安全措施未能阻止的攻击或安全违规行为
- 检测黑客在攻击前的探测行为,预先给管理员发出警报
- 报告计算机系统或网络中存在的安全威胁;
- 提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补
- 在大型、复杂的计算机网络中布置入侵检测系统,可以显著提高网络安全管理的质量。

7.1.3 入侵检测系统体系结构
IDS的基本结构
IDS主要由事件产生器,事件分析器,事件数据库,响应单元等构成
IDS的主要功能
- 对网络流量的跟踪与分析。
- 对已知攻击特征的识别。
- 对异常行为的分析、统计与响应。
- 特征库的在线升级
- 数据文件完整性检验。
- 自定义特征的响应。
- 系统漏洞预报警。
入侵检测模型:
两个标准化组织:
- IETF的IDWG(Interusion Detection Working Group)
- 前美国国防部高级研究员 现开放组织 CIDF(Common Intrusion Detection Framework)
CIDF阐了一个入侵检测系统(IDS)的通用模型。
它将一个入侵检测系统分为以下组件
- 事件产生器( Event Generators),用E盒表示
- 事件分析器( Event Analyzers),用A盒表示
- 响应单元( Response Units),用R盒表示
- 事件数据库( Event Databases),用D盒表示。

工作原理
- E盒通过传感器收集事件数据,并将信息传送给A盒,A盒检测误用模式
- D盒存储来自A、E盒的数据,并为额外的分析提供信息
- R盒从A、E盒中提取数据,D盒启动适当的响应。

A、E、D及R盒之间的通信都基于GIDO(Generalized Intrusion Detection Objects, 通用入侵检测对象)和CISL( Common Intrusion Specification Language,通用入侵规范语言)如果想在不同种类的A、E、D及R盒之间实现互操作,需要对GIDO实现标准化并使用CISL( 通用入侵规范语言 )。

各个部件的作用
用通俗的语言说,具体如下
- 事件产生器( Event generators):
事件产生器的目的是整个计算环境中获得事件,并向系统的其他部分提供此事件
- 事件分析器( Event Analyzers):
事件分析器分析得到的数据,并产生分析结果。
- 响应单元( Response Units)响应单元则是对分析结果作出作出反应的功能单元,它可以作出切断连接丶改变文件属性等强烈反应,甚至发动对攻击者的反击,也可以只是简单的报警。
- 事件数据库( Event Databases):事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本交

7.1.4 入侵检测系统的工作过程
入侵检测过程分为三个步骤:信息收集,信息分析和结果处理
- 信息收集
入侵检测的第一步是信息收集,收集内容包括系统丶网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件丶网络流量丶非正常的目录和文件改变丶非正常的程序执行。入侵检测很大程度上依赖于收集信息的可靠性和正确性
传感器( Sensor)也叫入侵检测引擎,是一个专用的硬件设备。其作用是:
捕获网络中传输的数据,检测攻击并发出实时报警,保存检测到的信息供事后査询分析.一个传感器一般有两个接口,一个接口叫监听口,用于与要被监听的网络相连,一个接口叫管理口,用于与安装有管理控制软件的控制台连接而主机代理则是安装在主机上用于收集主机相关信息的一个代理软件
- 信息分析
收集到的有关系统丶网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配丶统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
- 结果处理
控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙丶终止进程丶切断连接丶改变文件属性,也可以只是简单的告警

7.2 入侵检测系统的分类及类型介绍

7.2.1 入侵检测系统分类
按体系结构分:
- 集中式
- 分布式
按工作方式分:
- 离线检测
- 在线检测
按传统所用技术分:
- 异常检测
- 误用检测
按检测对象分:
- 基于主机
- 基于网络
- 基于两种混合

7.2.2 入侵检测系统的类型 介绍了传统和检测对象
按传统所用技术分:
- 异常检测模型( Anomaly Detection)
检测与可接受行为之间的偏差。如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵
这种检测模型漏报率低,误报率高。因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。
- 误用检测模型( Misuse detection)
检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
这种检测模型误报率低丶漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型但是对未知攻击却效果有限,而且特征库必须不断更新
两种检测的比较:

名称对比依据结果认定特点
异常检测正常行为库偏差大入侵漏报率低
误报率高
误用检测入侵特征库匹配(一致)入侵漏报率高
误报率低

以上两种检测技术的方法,所得出的结论有非常大的差异
- 误用检测模式的核心是维护一个入侵模式库。对于已知的攻击,它可以详细丶准确地报告出攻击类型,但是对未知攻击却效果有限,而且入侵模式库必须不断更新
- 异常检测模式则无法准确判别出攻击的手法,但它可以判别更广泛、甚至未发觉的攻击。
理想情况下,两者相应的结合会使检测达到更好的效果。

按检测对象分:

- 基于主机的入侵检测系统
也称为HIDS(Host- Based Ids),系统分析的数据是计算机操作系统的事件日志丶应用程序的事件日志丶系统调用丶端口调用和安全审计记录。
主机型入侵检测系统检测的目标是主机系统和本地用户。
使用系统日志作为检测依据,发现入侵和入侵企图。发出入侵报警且启动相应的应急响应。
HIDS( 基于主机的入侵检测系统 )具有如下一些优点
(1)性能价格比高;运行在需要的主机上,不用添加额外的硬件
(2)细腻性,审计内容全面;深入到系统的内部,获取全面的系统数据。可以监视主机用户的所有行为。
(3)视野集中;密切关注某一个具体主机行为。对特殊主机事件敏感度高。
(4)适用于加密及交换环境。可以安装在所需要的重要主机上。在交换的环境中具有更高的能见度。
HIDS( 基于主机的入侵检测系统 )也存在如下缺点
(1)额外产生的安全问题;如主机本身的审计信息弱点,会使入侵者轻易逃过审计
(2)HIDS依赖性强;依赖主机的操作系统作为检测的资源。占用主机资源。
(3)如果主机数目多,代价过大
(4)不能监控网络上的情况

- 基于网络入侵检测系统
称为NIDS( Network- Based IDS)
主要用于实时监控网络关键路径的信息,一般利用一个网络适配器来实时监视和分析所有通过的数据包,一旦检测到攻击,应答模块通过通知丶报警丶以及中断连接等方式来对攻击做出反应。
网络型入侵检测系统 分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器( Sensor)(网络适配器)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包
NIDS又称嗅探器,通过在共享网段上对通信数据的侦听采集数据,分析可疑现象(将NIDS放置在比较重要的网段内,不停地监视网段中的各种数据包.输入数据来源于网络的信息流).该类系统一般被动地在网络上监听整个网络上的信息流,通过捕获网络数据包进行分析,检测该网段上发生的网络入侵

NIDS有如下优点:
1)检测范围广;使用的是网络数据流,检测的是整个网络。
2)无需改变主机配置和性能;
3)独立性和操作系统无关性;不依赖主机的操作系统作为检测资源。
4)实施成本低。一个网段只需安装一个或几个,就可以监视整个网络的情况。
5)实时检测和应答;可以在攻击发生的同时将其检测出来并作出实时响应。
6)攻击者不易转移证据;利用正在发生的网络通信进的检测,所有攻击者无法转移证据
NIDS有如下缺点:
1)不能检测不同网段的网络包
2)很难检测复杂的需要大量计算的攻击
3)协同工作能力弱;
4)难以处理加密的会话,对于某些攻击可能没有反应。

- 混合型入侵检测系统
基于网络和基于主机的入侵检测系统都有不足之处:会造成防御体系的不全面。一个真正有效的入侵检测系统应该是基于主机和基于网络的混合
混合型入侵检测系统综合了基于网络和基于主机的特点,既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况
是将基于主机和基于网络的检测方法集成在起。
系统一般由多个部件组成,分布在网络的各个部分,完成相应的功能,分别进行数据采集、分析等。通过中心的控制部件进行数据汇总、分析、产生入侵报警等。
在这种结构下,不仅可以检测到针对单独主机的入侵,同时也可以检测到针对整个冈络上的主机入侵。

7.3 硬件入侵检测系统介绍

7.3.1 性能指标
主要包括3类,即准确性指标,效率指标和系统指标

准确性指标
准确性指标在很大程度上取决于测试时采用的样本集和测试环境。样本集和测试环境不同,准确性也不相同。
主要包括三个指标,即检测率丶误报率和漏报率:
- 检测率是指被监视网络在受到入侵攻击时系统能够正确报警的概率。通常利用已知入侵攻击的实验数据集合来测试系统的检测率。
检测率=入侵报警的数量/入侵攻击的数量。
- 误报率是指系统把正常行为作为入侵攻击而进行报警的概率和把一种周知的攻击错误报告为另一种攻击的概率。
误报率=错误报警数量/(总体正常行为样本数量+总体攻击样本数量)。
- 漏报率是指被检测网络受到入侵攻击时,系统不能正确报警的概率。通常利用已知入侵攻击的实验数据集合来测试系统的漏报率。
漏报率=不能报警的数量/入侵攻击的数量

效率指标
效率指标根据用户系统的实际需求以保证检测质量为准;同时取决于不同的设备级别,如百兆网络入侵检测系统和千兆网络入侵检测系统的效率指标定有很大差别。
效率指标主要包括最大处理能力、每秒并发TCP会话数丶最大并发TCP会话数等
- 最大处理能力
是指网络入侵检测系统在检测率下系统没有漏警的最大处理能力。目的是验证系统在检测率下能够正常报警的最大流量。
- 每秒并发TCP会话数
是指网络入侵检测系统每秒最大可增加的TCP连接数。
- 最大并发TCP会话数
是指网络入侵检测系统最大可同时支持的TCP连接数。

系统指标

系统指标主要表征系统本身运行的稳定性和使用的方便性。
系统指标主要包括最大规则数丶平均无故障间隔等。
- 最大规则数,系统允许配置的入侵检测规则条目的最大数目
- 平均无故障间隔,系统无故障连续工作的时间。
- 其它系统指标:还有如每秒数据流量(Mbit/s或Gbit/s)丶每秒抓包数(p/s)丶每秒能监控的网络连接数丶每秒能够处理的事件数等。

性能指标取决于硬件和软件两方面因素,考虑入侵检测系统性能指标时要结合软硬件一起来考量。
软件方面因素包括:数据重组效率丶入侵分析算法丶行为特征库等
硬件方面的因素:CPU的处理能力,内存大小,网卡质量等。
另外:入侵检测系统的升级管理功能也是需要考虑的重要指标之一

7.3.2 常见的商业入侵检测系统
联想网御IDS
基于副本是入侵检测系统架构,核心技术是统一安全引擎和统一管理模式

天融信网络卫视入侵检测系统TopSentry
采用多重检测,多层加速,SSL加密访问检测等多项安全技术

中联绿盟冰之眼入侵检测系统NIDS100-P

东软NetEye IDS 2100 - FE2

Snort
基于Gpl的软件入侵检测系统

7.4 入侵检测系统的部署

软件入侵检测系统一般是直接安装于要保护的主机上,对具体的主机进行保护。
这里所说的部署主要指硬件网络入侵检测系统的部署。

硬件网络入侵检测系统的构成:
一个硬件网络入侵检测系统主要有两部分组成:
一是入侵检测引擎,也叫传感器。
二是管理控制台。

IDs入侵检测系统
是一个旁路监听设备
IDS应当并联挂接在所有所关注的流量都必须流经的链路上,将这些被关注流量拷贝一个副本,送入入侵检测系统即可
它对网络流量没有任何影响,不会占用带宽或造成拥塞,对入侵者甚至是透明的。
在这里,“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计丶监视的网络报文。

IDS在交换式网络中的位置
一般选择为:尽可能靠近攻击源丶尽可能靠近受保护资源
这些位置通常是:
- 服务器区域的交换机,如下图中部署四的位置,用于统计丶监视进岀服务器区域的流量,对服务器区进行保护;
- Internet接入路由器之后的第一台交换机,如下图中的部署一的位置和部署二的位置。用于统计丶监视进出整个内网区域的流量,对内网区域进行保护;部署一和部署二的区别在于是否对对防火墙的入侵行为进行监控。
一般选择为:尽可能靠近攻击源丶尽可能靠近受保护资源
这些位置通常是: ???????
- 重点保护网段的局域网交换机,如下图中部署三的位置,用于统计丶监视进出重点网段的流量,对重点网段进行保护。

数据流共享的实现方法
在交换式网络中,交换机并不会自动将个端口的流量复制到另一个端口中去这就导致入侵检测系统的传感器无法获得要被保护区域流量的副本。
解决这一问题的方法有两个:
一是在交换机与被保护区域和入侵检测的传感器间接一台集线器。如下图所示

二是在交换机设置端口镜像功能,将接被保护区域的端口流量镜像到入侵检测的传感器所接端口,如下图所示:

RIDS-100入侵检测系统的功能:
入侵检测丶网络管理和网络监视功能于身,它能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,通过使用模式匹配和统计分析的方法,可以检测出网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为管理员事后分析的依据;如果情况严重,RIDs-100可以发出实时报警,使得管理员能够及时采取应对措施

部署过程
部署硬件

将监听口用以太网线通过集线并连到防火墙上。这样,所有外网发往DMZ区和内网的数据包都同时通过共享式的集线器发送到了入侵检测引擎的监听口上,从而实现对保护网络的数据监听功能这种部署方式保护的是整个内网和DMZ区。将管理口用以太网线连接到内网,以使内网用户可以运行“主控台管理软件”访问入侵检测引擎,实现各种配置和管理功能

主控台管理软件的安装
主控台管理软件安装在内网的管理员主机( Windows2000/T操作系统)上,用于对网络检测引擎进行配置管理和查看检测到的信息。
软件位于RIDS-100为用户提供一张光盘中。

系统启动与登录
将入侵检测引擎正确地接入到冈络中以后,打开电源,检测引擎即开始工作。
用户随后可以通过“管理控制台主程序”登录到入侵检测引擎(登录时要插入相应的电子钥匙到USB口上 ,并输入管理口IP地址丶用户名和口令三个参数。
管理口的IP地址标识在检测引擎的外壳上,第一次登录引擎时,可以使用默认的用户名 admin1和 admin2,口令分别为 admin1和 admin2,分别对应两把电子钥匙)。

基本配置
登录完成后在管理控制台主程序中对入侵检测进行必要的设置。

第八章 操作系统安全

8.1 操作系统概述

操作系统是计算机系统的灵魂,主要用来管理计算机资源丶控制整个系统的运行,直接与硬件打交道,并为用户提供使用和编程接口,承担着诸如管理与配置内存丶决定系统资源供需的优先次序丶控制输入与输出设备丶操作网络与管理文件系统等基本事务。
如果没有操作系统的安全,网络系统的安全也就毫无根基可言

操作系统是协调和控制计算机各个组成部分进行和谐工作的一个系统软件,是计算机所有软丶硬件资源的组织者和管理者丶辅助应用程序的开发和执行者,是能使计算机用户方便灵活地使用计算机丶提高计算机利用率丶缩短计算机响应时间的大型程序,由许多具有控制和管理功能的子程序组成
操作系统是直接运行在裸机上的最基本的系统软件,是系统软件的核心,其它所有软件都必须在操作系统的支持下才能运行。

目前得到广泛应用的操作系统有Unix、 Linux 、 Windows等。下面分别简要介绍这些操作系统各自的特点与应用
- Unix操作系统
它是为多用户环境设计的一个通用的、交互作用的分时系统,其内建TCP/IP支持,该协议已经成为互联网中通信的事实标准。Unix发展历史悠久,具有分时操作丶稳定、健壮丶安全等优秀的特性,适用于几乎所有的大型机、中型机丶小型机,也可用于工作组级服务器。
- Linux操作系统
Linux是一种在PC机上执行的、类似Unix的操作系统,1991年,第一个 Linux由芬兰赫尔辛基大学的年轻学生Linux B. Torvalds发表,它是一个完全免费的操作系统。在遵守自由软件联盟协议下,用户可以自由地获取程序及其源代码,并能自由地使用它们,包括修改和复制等。 Linux提供了一个稳定丶完整丶多用户、多任务和多进程的运行环境。
Linux是网络时代的产物,在互联网上经过了众多技术人员的测试和除错,并不断被扩充
- Windows操作系统
Windows是由微软开发的,它不仅在个人操作系统中占有绝对优势,同时在网络操作系统中也具有非常强劲的势头。
由于 Windows对服务器的硬件要求高,且稳定性能不是很高,故常被用在中小型局域网的网络服务器中。高端的服务器仍采用Unix、 Linux等

讲的时windwos 2000的安全问题 ,个鬼啊

阅读剩余
THE END