网络安全概述.ppt

网络安全概述.ppt

《网络安全概述.ppt》由会员分享，可在线阅读，更多相关《网络安全概述.ppt（132页珍藏版）》请在冰点文库上搜索。

网络安全概述,2,网络安全概述,网络安全的概念网络安全的内容网络安全面临的问题网络安全的客观必要性常见的网络信息攻击模式网络安全保障体系网络安全工作的目的,3,什么是网络安全（五要素）可用性：

授权实体有权访问数据机密性：

信息不暴露给未授权实体或进程完整性：

保证数据不被未授权修改可控性：

控制授权范围内的信息流向及操作方式可审查性：

对出现的安全问题提供依据与手段,4,网络安全的内容,物理安全网络安全传输安全应用安全用户安全,5,网络安全面临的问题,來源:

CSI/FBIComputerCrimeSurvey,March1998.,外国政府竞争对手黑客不满的雇员,6,网络安全威胁的来源,1.外部渗入（penetration）未被授权使用计算机的人；2.内部渗入者被授权使用计算机，但不能访问某些数据、程序或资源，它包括：

-冒名顶替:

使用别人的用户名和口令进行操作；-隐蔽用户:

逃避审计和访问控制的用户；3.滥用职权者:

被授权使用计算机和访问系统资源，但滥用职权者。

7,冒名顶替,废物搜寻,身份识别错误,不安全服务,配置,初始化,乘虚而入,代码炸弹,病毒,更新或下载,特洛伊木马,间谍行为,拨号进入,算法考虑不周,随意口令,口令破解,口令圈套,窃听,偷窃,网络安全威胁,线缆连接,身份鉴别,编程,系统漏洞,物理威胁,网络安全威胁的几种类型,8,网络安全面临严峻挑战,网上犯罪形势不容乐观有害信息污染严重网络病毒的蔓延和破坏网上黑客无孔不入机要信息流失与信息间谍潜入网络安全产品的自控权信息战的阴影不可忽视互联网正以巨大的力度和广度冲击和改造着社会、经济、生活的传统模式互联网正在成为社会公众强烈依赖的社会重要基础设施互联网安全正在成为普遍关注的焦点,9,网上犯罪形势不容乐观,计算机犯罪以100%的速度增加网上攻击事件每年以10倍速度增涨银行的电子购物账户密码曝光事件增多2000年2月7日攻击美国知名网站案件：

损失$12亿，影响百万网民Yahoo、Amazon、CNN、Buy、eBay、E-Trade、ZDNet网上勒索、诈骗不断：

用户信用卡被曝光美国网络安全造成损失$170亿/年美国金融界计算机犯罪损失$100亿/年,10,有害信息污染严重,黄色信息：

涉及1%网站，10亿美元年营业额邪教信息：

法轮功160多个反宣传网站虚假新闻：

美校园炸弹恐吓事件、网上股市欺诈宣扬暴力：

炸药配方、帮助自杀政治攻击：

考克斯报告、政治演变论,11,网络病毒的蔓延和破坏,10年内以几何级数增长病毒达55000种（2000.12亚洲计算机反病毒大会）网络病毒有更大的破坏性1988年莫里斯事件（UNIX/Email）6000台、$9000万1998年4月的CIH病毒2000万台计算机1999年2月的梅利莎案件（Window/Email）$12亿2000年5月4日的我爱你病毒$87亿2001年7、8月红色代码（CodeRed）到目前为止$26亿,12,网上黑客无孔不入,美国网络屡遭扫荡军事、政治、经济美国五角大楼情报网络、美国海军研究室、空军、美国中央情报局、许多贸易及金融机构都有被黑的历史全球网络危机四伏非法侵入、破坏系统、窃取机密中国网络不断被侵入五一中美黑客大战800多网站被黑黑客是一些发自好奇、寻求刺激、富有挑战的家伙是一群以攻击网络，搜寻并破坏信息为了的无赖；是一帮为了扬名，专与政府作对的极端分子；是一些恐怖主义分子或政治、军事、商业和科技间谍。

13,机要信息流失与信息间谍潜入,国家机密信息、企业关键信息、个人隐私Web发布、电子邮件、文件传送的泄漏预谋性窃取政治和经济情报CIA统计入侵美国要害系统的案件年增长率为30%我国信息网络发展必然成为其重要目标,14,网络安全产品的自控权,安全产品隐通道、嵌入病毒、缺陷、可恢复密钥大量外购安全产品缺少自控权我国缺少配套的安全产品控制政策和机制我国安全产业还比较稚嫩是重大安全隐患之一,15,信息战的阴影不可忽视,有组织、大规模的网络攻击预谋行为：

国家级、集团级无硝烟的战争：

跨国界、隐蔽性、低花费、跨领域高技术性、情报不确定性美国的“信息战执行委员会”：

网络防护中心（1999年）信息作战中心（2000年）网络攻击演练（2000年）要害目标：

金融支付中心、证券交易中心空中交管中心、铁路调度中心电信网管中心、军事指挥中心,16,网络的脆弱性,网络的扩展与业务负荷膨胀：

信息量半年长一倍，网民年增涨30%网络带宽瓶颈和信息拥挤社会与经济对网络的巨大经济依赖性：

20%股市、25%产品、30%金融、40%人口灾难情况下的网络脆弱性“AOL”96年10小时瘫痪：

影响700万用户安全的模糊性网络的开放性技术的公开性人类的天性,17,安全的模糊性,安全是相对的，不易明确安全的目标安全是复杂的，不易认清存在的问题安全是广泛的，不易普及安全的知识安全链条：

链条的强度等于其最弱一环的强度（木桶原理：

网络安全最薄弱之处好比木桶壁上最短的木块，也是黑客对网络攻击的首选之处。

）,18,网络的开放性,互联机制提供了广泛的可访问性Client-Server模式提供了明确的攻击目标开放的网络协议和操作系统为入侵提供了线索用户的匿名性为攻击提供了机会,19,技术的公开性,如果不能集思广益，自由地发表对系统的建议，则会增加系统潜在的弱点被忽视的危险，因此Internet要求对网络安全问题进行坦率公开地讨论。

基于上述原则，高水平的网络安全资料与工具在Internet中可自由获得。

20,人类的天性,好奇心这扇门为什么锁上，我能打开吗？

惰性和依赖心理安全问题应由专家来关心恐惧心理家丑不可外扬,21,网络攻击形式按网络服务分：

E-Mail、FTP、Telnet、R服务、IIS按技术途径分：

口令攻击、Dos攻击、种植木马按攻击目的分：

数据窃取、伪造滥用资源、篡改数据,22,主要攻击与威胁十大攻击手段1.Dos：

使目标系统或网络无法提供正常服务网络Flooding:

synflooding、pingflooding、DDos系统Crash:

Pingofdeath、泪滴、land、WinNuke应用Crash/Overload：

利用应用程序缺陷，如长邮件2.扫描探测：

系统弱点探察SATAN、ISS、CybercopScanner、ping（嗅探加密口令,口令文件）,23,3.口令攻击:

弱口令口令窃取：

嗅探器、偷窥、社会工程（垃圾、便条、伪装查询）口令猜测：

常用字无法获得加密的口令-强力攻击口令Crack：

字典猜测、字典攻击可获得加密的口令（嗅探加密口令,口令文件）4.获取权限，提升权限（root/administrator）猜/crackroot口令、缓冲区溢出、利用NT注册表、访问和利用高权限控制台、利用启动文件、利用系统或应用Bugs5.插入恶意代码:

病毒、特洛伊木马（BO）、后门、恶意Applet,24,6.网络破坏：

主页篡改、文件删除、毁坏OS、格式化磁盘7.数据窃取：

敏感数据拷贝、监听敏感数据传输-共享媒介/服务器监听/远程监听RMON8.伪造、浪费与滥用资源：

违规使用9.篡改审计数据:

删除、修改、权限改变、使审计进程失效10.安全基础攻击：

防火墙、路由、帐户修改，文件权限修改。

25,我国网络安全现状,硬件设备上严重依赖国外网络安全管理存在漏洞网络安全问题还没有引起人们的广泛重视安全技术有待研究美国和西方国家对我过进行破坏、渗透和污染启动了一些网络安全研究项目建立一批国家网络安全基础设施,26,美2.7黑客案件的攻击方式分布式拒决服务（DDoS）,27,美国2.7黑客事件的启示,互联网正在成为国家重要基础设施9800万网民3000万人参予网上购物，$1000亿元交易额14%的股市交易互联网威胁给社会带来巨大冲击CNN的100万网民阅读网络新闻受阻Amason的820万注册用户无法购书3天总损失高达$12亿互联网安全问题正在进入国家战略层克林顿2月16日召开网络安全高峰会议支持$900万建立高科技安全研究所拔款$20亿建基础设施打击网络恐怖活动,28,值得深思的几个问题,网络安全的全局性战略黑客工具的公开化对策网络安全的预警体系应急反应队伍的建设,29,传统安全观念受到挑战网络是变化的、风险是动态的传统安全观侧重策略的技术实现现代安全观强调安全的整体性，安全被看成一个与环境相互作用的动态循环过程,30,网络安全策略,网络安全是一个系统的概念，可靠的网络安全解决方案必须建立在集成网络安全技术的基础上，网络系统安全策略就是基于这种技术集成而提出的，主要有三种：

1直接风险控制策略（静态防御）安全=风险分析+安全规则+直接的技术防御体系+安全监控攻击手段是不断进步的，安全漏洞也是动态出现的，因此静态防御下的该模型存在着本质的缺陷。

2自适应网络安全策略（动态性）安全=风险分析+执行策略+系统实施+漏洞分析+实时响应该策略强调系统安全管理的动态性，主张通过安全性检测、漏洞监测，自适应地填充“安全间隙”，从而提高网络系统的安全性。

完善的网络安全体系，必须合理协调法律、技术和管理三种因素，集成防护、监控和恢复三种技术，力求增强网络系统的健壮性与免疫力。

局限性在于：

只考虑增强系统的健壮性，仅综合了技术和管理因素，仅采用了技术防护。

31,网络安全策略（续）,3智能网络系统安全策略（动态免疫力）安全=风险分析+安全策略+技术防御体系+攻击实时检测+安全跟踪+系统数据恢复+系统学习进化技术防御体系包括漏洞检测和安全缝隙填充；安全跟踪是为攻击证据记录服务的，系统学习进化是旨在改善系统性能而引入的智能反馈机制。

模型中，“风险分析+安全策略”体现了管理因素；“技术防御体系+攻击实时检测+系统数据恢复+系统学习进化”体现了技术因素；技术因素综合了防护、监控和恢复技术；“安全跟踪+系统数据恢复+系统学习进化”使系统表现出动态免疫力。

32,网络网络安全防护体系（PDRR）,随着信息网络的飞速发展，信息网络的安全防护技术已逐渐成为一个新兴的重要技术领域，并且受到政府、军队和全社会的高度重视。

随着我国政府、金融等重要领域逐步进入信息网络，国家的信息网络已成为继领土、领海、领空之后的又一个安全防卫领域，逐渐成为国家安全的最高价值目标之一。

可以说信息网络的安全与国家安全密切相关。

33,网络网络安全防护体系（PDRR）,最近安全专家提出了信息保障体系的新概念，即：

为了保障网络安全，应重视提高系统的入侵检测能力、事件反应能力和遭破坏后的快速恢复能力。

信息保障有别于传统的加密、身份认证、访问控制、防火墙等技术，它强调信息系统整个生命周期的主动防御。

美国在信息保障方面的一些举措,如：

成立关键信息保障办公室、国家基础设施保护委员会和开展对信息战的研究等等，表明美国正在寻求一种信息系统防御和保护的新概念，这应该引起我们的高度重视。

34,网络网络安全防护体系（PDRR）,保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面，构成了一个完整的体系，使网络安全建筑在一个更加坚实的基础之上。

35,网络网络安全防护体系（PDRR）,保护（PROTECT）传统安全概念的继承，包括信息加密技术、访问控制技术等等。

检测（DETECT）从监视、分析、审计信息网络活动的角度，发现对于信息网络的攻击、破坏活动，提供预警、实时响应、事后分析和系统恢复等方面的支持，使安全防护从单纯的被动防护演进到积极的主动防御。

36,网络网络安全防护体系（PDRR）,响应（RESPONSE）在遭遇攻击和紧急事件时及时采取措施，包括调整系统的安全措施、跟踪攻击源和保护性关闭服务和主机等。

恢复（RECOVER）评估系统受到的危害与损失，恢复系统功能和数据，启动备份系统等。

37,网络安全保障体系,安全管理与审计,物理层安全,网络层安全,传输层安全,应用层安全,链路层物理层,网络层,传输层,应用层表示层会话层,审计与监控身份认证数据加密数字签名完整性鉴别端到端加密访问控制点到点链路加密物理信道安全,访问控制数据机密性数据完整性,用户认证防抵赖安全审计,网络安全层次,层次模型,网络安全技术,实现安全目标,用户安全,38,网络安全工作的目的,黑客攻击与防范,40,以太帧与MAC地址,一、以太资料帧的结构图,41,42,43,地址解析协议,地址解析协议,注：

数值2表示这个入口是非法的，数值3表示这种映像是动态的，数值4表示是静态的（如口不改变），数值1表示不是上述任何一种。

入口：

ARP高速缓存。

44,TIP/IP,IP（InternetProtocol）网际协议，把要传输的一个文件分成一个个的群组，这些群组被称之为IP数据包，每个IP数据包都含有源地址和目的地址，知道从哪台机器正确地传送到另一台机器上去。

IP协议具有分组交换的功能，不会因为一台机器传输而独占通信线路。

TCP（TransportcontrolProtocal）传输控制协议具有重排IP数据包顺序和超时确认的功能。

IP数据包可能从不同的通信线路到达目的地机器，IP数据包的顺序可能序乱。

TCP按IP数据包原来的顺序进行重排。

IP数据包可能在传输过程中丢失或损坏，在规定的时间内如果目的地机器收不到这些IP数据包，TCP协议会让源机器重新发送这些IP数据包，直到到达目的地机器。

TCP协议确认收到的IP数据包。

超时机制是自动的，不依赖于通讯线路的远近。

IP和TCP两种协议协同工作，要传输的文件就可以准确无误地被传送和接收,45,TIP/IP,TCP/IP协议族与OSI七层模型的对应关系，如下图所示,2002年3月,数据包是什么样的？

TCP/IP/Ethernet举例,对分组过滤而言：

涉及四层,1.Ethernetlayer2.IPlayer3.TCPlayer4.datalayer,2002年3月,分组与数据封包：

Data,Data,Data,Data,Header,Header,Header,Header,Header,Header,Applicationlayer（SMTP,Telnet,FTP,etc）,Transportlayer（TCP,UDP,ICMP）,InternetLayer（IP）,NetworkAccessLayer（Ethernet,FDDI,ATM,etc）,2002年3月,Ethernetlayer,1.分组EthernetHeaderEthernetBody,2.Header说明：

3.EthernetBody包含的是IP分组,2002年3月,IPlayer,1.IP分组IPheader+IPBody,3.IP可将分组细分为更小的部分段（fragments），以便网络传输。

4.IPBody包含的是TCP分组。

2.IPheader包括：

50,IP分组字段,32BIT,过滤字段,2002年3月,IP:

1、处于Internet中间层次。

2、其下有很多不同的层：

如Ethernet，tokenring，FDDI，PPP等。

3、其上有很多协议：

TCP，UDP，ICMP。

4、与分组过滤有关的特性是：

5、分段示意图：

2002年3月,TCPLayer,1、TCP分组：

TCP报头TCP本体,2、报头中与过滤有关部分：

TCP源端口：

2byte数，说明处理分组的源机器。

TCP宿端口：

同上TCP旗标字段（flag），含有1bit的ACKbit。

3、本体内是实际要传送的数据。

2002年3月,TCPLayer,源端口宿端口序号确认号HLEN保留码位窗口校验和紧急指针选项填充字节数据,Bits,0,4,8,12,16,20,24,28,31,54,端口扫描攻击,WWW服务服务服务服务服务,55,Sniffer攻击,56,DOS原理,DoS的英文全称是DenialofService，也就是“拒绝服务”的意思。

从网络攻击的各种方法和所产生的破坏情况来看，DoS算是一种很简单但又很有效的进攻方式。

它的目的就是拒绝你的服务访问，破坏组织的正常运行，最终它会使你的部分Internet连接和网络系统失效。

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。

DoS攻击的原理如图所示。

57,DOS原理,58,DOS原理,从图我们可以看出DoS攻击的基本过程：

首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。

当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。

59,DDOS原理,DDoS（分布式拒绝服务），它的英文全称为DistributedDenialofService，它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，象商业公司，搜索引擎和政府部门的站点。

从图1我们可以看出DoS攻击只要一台单机和一个modem就可实现，与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。

DDoS的攻击原理如图所示。

60,DDOS原理,61,DDOS原理,从图可以看出，DDoS攻击分为3层：

攻击者、主控端、代理端，三者在攻击中扮演着不同的角色。

1、攻击者：

攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。

攻击者操纵整个攻击过程，它向主控端发送攻击命令。

2、主控端：

主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。

主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。

3、代理端：

代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。

代理端主机是攻击的执行者，真正向受害者主机发送攻击。

62,SYNFlood的基本原理,大家都知道，TCP与UDP不同，它是基于连接的，也就是说：

为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：

首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号；第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。

第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。

以上的连接过程在TCP协议中被称为三次握手（Three-wayHandshake）。

63,SYNFlood的基本原理,假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYNTimeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源-数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。

实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃-即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：

服务器端受到了SYNFlood攻击（SYN洪水攻击）。

64,SYNFlood的基本基本解决方法,第一种是缩短SYNTimeout时间，由于SYNFlood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度xSYNTimeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYNTimeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。

第二种方法是设置SYNCookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。

65,DDoS攻击使用的常用工具,DDoS攻击实施起来有一定的难度，它要求攻击者必须具备入侵他人计算机的能力。

但是很不幸的是一些傻瓜式的黑客程序的出现，这些程序可以在几秒钟内完成入侵和攻击程序的安装，使发动DDoS攻击变成一件轻而易举的事情。

下面我们来分析一下这些常用的黑客程序。

1、TrinooTrinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。

它对IP地址不做假，采用的通讯端口是：

攻击者主机到主控端主机：

27665/TCP主控端主机到代理端主机：

27444/UDP代理端主机到主服务器主机：

31335/UDPFNTFN由主控端程序和代理端程序两部分组成，它主要采取的攻击方法为：

SYN风暴、Ping风暴、UDP炸弹和SMURF，具有伪造数据包的能力。

66,DDoS攻击使用的常用工具,3、TFN2KTFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。

攻击方法增加了Mix和Targa3。

并且TFN2K可配置的代理端进程端口。

4、StacheldrahtStacheldraht也是从TFN派生出来的，因此它具有TFN的特性。

此外它增加了主控端与代理端的加密通讯能力，它对命令源作假，可以防范一些路由器的RFC2267过滤。

Stacheldrah中有一个内嵌的代理升级模块，可以自动下载并安装最新的代理程序。

67,DDoS的监测,现在网上采用DDoS方式进行攻击的攻击者日益增多，我们只有及早发现自己受到攻击才能避免遭受惨重的损失。

检测DDoS攻击的主要方法有以下几种：

1、根据异常情况分析当网络的通讯量突然急剧增长，超过平常的极限值时，你可一定要提高警惕，检测此时的通讯；当网站的某一特定服务总是失败时，你也要多加注意；当发现有特大型的ICP和UDP数据包通过或数据包内容可疑时都要留神。

总之，当你的机器出现异常情况时，你最好分析这些情况，防患于未然。

2、使用DDoS检测工具当攻击者想使其攻击阴谋得逞时，他首先要扫描系统漏洞，目前市面上的一些网络入侵检测系统，可以杜绝攻击者的扫描行为。

另外，一些扫描器工具可以发现攻击者植入系统的代理程序，并可以把它从系统中删除。

68,DDoS攻击的防御策略,由于DDoS攻击具有隐蔽性，因此到目前为止我们还没有发现对DDoS攻击行之有效的解决方法。

所以我们要加强安全防范意识，提高网络系统的安全性。

可采取的安全防御措施有以下几种：

1、及早发现系统存在的攻击漏洞，及时安装系统补丁程序。

对一些重要的信息（例如系统配置信息）建立和完善备份机制。

对一些特权帐号（例如管理员帐号）的密码设置要谨慎。

通过这样一系列的举措可以把攻击者的可乘之机降低到最小。

2、在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。

建立边界安全界限