《网络安全与病毒防范》教案Word文档格式.docx

《网络安全与病毒防范》教案Word文档格式.docx

《《网络安全与病毒防范》教案Word文档格式.docx》由会员分享，可在线阅读，更多相关《《网络安全与病毒防范》教案Word文档格式.docx（35页珍藏版）》请在冰点文库上搜索。

2.1.1OSI的七层模型及各层的主要功能

物理层的主要功能：

●利用传输介质为通信的网络结点之间建立、管

●理和释放物理连接；

●实现比特流的透明传输，为数据链路层提供数

●据传输服务；

●物理层的数据传输单元是比特。

数据链路层的主要功能：

网络层的主要功能：

●通过路由选择算法为分组通过通信子网选择最适当的路径；

●为数据在结点之间传输创建逻辑链路；

●实现拥塞控制、网络互连等功能。

传输层的主要功能：

●向用户提供可靠端到端（end-to-end）服务；

●处理数据包错误、数据包次序，以及其他一些关键传输问题；

●传输层向高层屏蔽了下层数据通信的细节，是计算机通信体系结构中关键的一层。

会话层的主要功能：

●负责维护两个结点之间的传输链接，以便确保点到点传输不中断；

●管理数据交换。

表示层的主要功能：

●用于处理在两个通信系统中交换信息的表示方式；

●数据格式变换；

●数据加密与解密；

●数据压缩与恢复。

应用层的主要功能

●为应用程序提供了网络服务;

●应用层需要识别并保证通信对方的可用性，使得协同工作的应用程序之间的同步;

●建立传输错误纠正与保证数据完整性的控制机制。

OSI环境中的数据传输过程

2.1.2TCP/IP协议栈

TCP/IP参考模型的发展

●在TCP/IP协议研究时，并没有提出参考模型；

●1974年Kahn定义了最早的TCP/IP参考模型；

●80年代Leiner、Clark等人对TCP/IP参考模型进一步的研究；

●TCP/IP协议一共出现了6个版本，后3个版本是版本4、版本5与版本6；

●目前我们使用的是版本4，它的网络层IP协议一般记作IPv4；

●版本6的网络层IP协议一般记作IPv6（或IPng,IPnextgeneration）；

●IPv6被称为下一代的IP协议。

TCP/IP协议的特点

●开放的协议标准;

●独立于特定的计算机硬件与操作系统；

●独立于特定的网络硬件，可以运行在局域网、

广域网，更适用于互连网中；

●统一的网络地址分配方案，使得整个TCP/IP

设备在网中都具有唯一的地址；

●标准化的高层协议，可以提供多种可靠的用户

服务。

TCP/IP参考模型与OSI参考模型的对应关系

TCP/IP参考模型各层的功能

●应用层（applicationlayer）

●传输层（transportlayer）

●互连层（internetlayer）

●主机-网络层（host-to-networklayer）

主机-网络层

●参考模型的最低层，负责通过网络发送和接收IP数据报;

●允许主机连入网络时使用多种现成的与流行的协议，如局域网的Ethernet、令牌网、分组交换网的X.25、帧中继、ATM协议等;

●当一种物理网被用作传送IP数据包的通道时，就可以认为是这一层的内容;

●充分体现出TCP/IP协议的兼容性与适应性，它也为TCP/IP的成功奠定了基础。

互连层

●相当OSI参考模型网络层无连接网络服务；

●处理互连的路由选择、流控与拥塞问题；

●IP协议是无连接的、提供“尽力而为”服务的网络层协议。

传输层

●主要功能是在互连网中源主机与目的主机的对等实体间建立用于会话的端-端连接；

●传输控制协议TCP是一种可靠的面向连接协议；

●用户数据报协议UDP是一种不可靠的无连接协议。

应用层

应用层协议主要有：

●网络终端协议Telnet

●文件传输协议FTP

●简单邮件传输协议SMTP

●域名系统DNS

●简单网络管理协议SNMP

●超文本传输协议HTTP

2.2常用的网络协议和网络服务

常见的Internet服务

●电子邮件

●文件传输

●Telnet

●WWW服务

●Usenet服务

●域名服务

●网络管理服务

●网络文件服务

●拨号访问服务

2.3常用的网络协议和网络技术

通常按其所覆盖的地理区域被分为局域网（LAN）和广域网（WAN），这两种网络的主要分类如下：

局域网——这些网络连接设备彼此都在一个局部的地区（最多到5KM）

广域网——这些网络覆盖一个非常大的地理区域，它允许在不同的设备间相互通讯

2.3.1局域网技术（LAN）

Ethernet网卡结构

令牌环网的工作原理

光纤分布式数据接口——FDDI

2.3.2广域网技术（WAN）

●SDLC协议和HDLC高层数据链路协议

●FrameRelay（帧中继）

●PPP点到点协议

●ISND综合业务数字网协议

●ADSL非对称数字用户线

2.4常见网络设备

常见网络设备

2.5虚拟局域网技术（VLAN）

虚拟网络的概念

●虚拟网络建立在局域网交换机之上;

●以软件方式实现对逻辑工作组的划分与管理;

●逻辑工作组的结点组成不受物理位置的限制;

●一个逻辑工作组的结点可以分布在不同的物理网段上，但它们之间的通信就像在同一个物理网段上一样。

虚拟局域网的组网方法

●用交换机端口号定义虚拟局域网

●用MAC地址定义虚拟局域网

●用网络层地址定义虚拟局域网

●IP广播组虚拟局域网

虚拟局域网的优点

●方便网络用户管理

●减少网络管理开销

●提供更好的安全性

●改善网络服务质量

2.6无线局域网

无线局域网的应用

●作为传统局域网的扩充

●建筑物之间的互连

●漫游访问

●特殊网络

典型的无线局域网结构

蓝牙技术组建无线网络

蓝牙（Bluetooth）技术是由爱立信、诺基亚、Intel、IBM和东芝5家公司于1998年5月共同提出开发的。

蓝牙技术的本质是设备间的无线联接，主要用于通信与信息设备。

第二章结束

第三章黑客攻防剖析

●黑客的定义

●基于协议的攻击手法和防御手段

●常见的漏洞分析

●了解当前主要网络安全弱点

●了解黑客攻击手段，提升防范能力

3.1“黑客”与“骇客”

黑客——Hacker

黑客起源于20世纪50年代美国著名高校的实验室中，他们智力非凡、技术高超、精力充沛，热衷于解决一个个棘手的计算机网络难题。

骇客——Cracker

一部分人不能恪守“黑客”文化信条，恶意破坏计算机网络，盗窃信息系统。

人们把这部分主观上有恶意企图的人称为“骇客”

3.2黑客攻击分类

攻击方法的分类是安全研究的重要课题，对攻击的定性和数据挖掘的方法来分析漏洞有重要意义。

1.按照TCP/IP协议层次进行分类

这种分类是基于对攻击所属的网络层次进行的，TCP/IP协议传统上分为四层，攻击类型可以分成四层

（1）针对数据链路层的攻击（ARP,RARP）

（2）针对网络层的攻击（ICMP,IP,IGMP）

（3）针对传输层的攻击（TCP,UDP）

（4）针对应用层的攻击（DNS,FTP,SMTP）

2.按照攻击者目的分类

1）DOS（拒绝服务攻击）和DDOS（分布式拒绝服务攻击）

2）Sniffer监听

3）会话劫持于网络欺骗

4）获得被攻击主机的控制权

3.按危害范围分类

●局域网范围

●广域网范围

3.3基于协议的攻击手法与防范

重点介绍以下几种：

●ARP协议漏洞攻击

●ICMP协议漏洞攻击

●TCP协议漏洞攻击

●各种协议明文传输攻击

3.3.1ARP协议漏洞

漏洞描述

ARP协议（地址解析协议）工作在TCP/IP协议的第二层——数据链路层，用于将IP地址转换为网络接口的硬件地址（MAC地址），无论是任何高层协议的通讯，最终都将转换为数据链路层硬件地址的通讯。

●每台主机的内存中，都有一个ARPMAC的转换表，保存最近获得的IP与MAC地址对应。

●ARP转换表可以被攻击者人为地更改欺骗，可以针对交换式及共享式进行攻击

攻击实现

攻击实现的具体步骤

（1）利用工具，进行拒绝式服务攻击（Arfree），让主机C宕掉，暂时停止工作。

（2）这段时间里，入侵者把自己的IP改成192.168.0.3。

（3）用工具发一个源IP地址为192.168.0.3源MAC地址为BB:

BB:

BB的包给主机A，要求主机A更新自己的ARP转换表。

（4）主机更新了ARP表中关于主机C的IP->

MAC对应关系。

（5）防火墙失效了，入侵的IP变成合法的MAC地址，可以Telnet了。

ARP欺骗防范

●不要把你的网络安全信息关系建立在IP地址的基础上或硬件MAC地址基础上（RARP同样存在欺骗问题），较为理想的信任关系应该建立在IP+MAC基础上。

●设置在本机和网关设置静态的MAC->

IP对应表，不要让主机刷新你设定好的转换表。

在三层交换机上设定静态ARP表。

●除非很有必要，否侧停止使用ARP，将ARP作为永久条目保存在对应表中。

●在本机地址使用ARP，发送外出的通信使用代理网关。

●修改系统拒收ICMP重定向报文。

3.3.2ICMP协议漏洞

ICMP是“InternetControlMessageProtocol”（Internet控制消息协议）的缩写，是传输层的重要协议。

它是TCP/IP协议簇的一个子协议，用于IP主机、路由之间传递控制消息。

控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。

所以许多系统和防火墙并不会拦截ICMP报文，这给攻击者带来可乘之机。

●ICMP转向连接攻击

●ICMP数据包放大

●死ping攻击

●ICMPPing淹没攻击

●ICMPnuke攻击

●通过ICMP进行攻击信息收集

LINUXTTL=64

windows95/98/MeTTL=32

windows2000/NTTTL=128

ICMP攻击的防范

●策略一：

对ICMP数据包进行过滤

●策略二：

修改TTL值，巧妙骗过黑客

@echoREGEDIT4>

>

ChangeTTL.reg

@echo.>

@echo[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]>

@echo“DefaultTTL”=“dword:

000000”>

@REGEDIT/S/CChangeTTL.reg

3.3.3TCP协议漏洞

TCP（传输控制协议）是一种可靠的面向连接的传送服务。

它在传送数据时是分段进行的，主机交换数据必须建立一个会话。

TCP协议是攻击者攻击方法的思想源泉，主要问题存在于TCP的三次握手协议上。

正常的TCP三次握手过程

（1）请求端A发送一个初始序号为ISNa的SYN报文

（2）被请求端B收到A的SYN报文后，发送给A自己的初始序列号为ISNb，同时将ISNa+1作为确认SYN+ACK报文

（3）A对SYN+ACK报文进行确认，同时将ISNa+1，ISNb+1发送给B，TCP连接完成。

SYNFlood攻击实现

黑客机器向受害主机发送大量伪造源地址的TCPSYN报文，受害主机分配必要的资源，然后向源地址返回SYN+ACK包，并等待源端返回ACK包。

半连接队列很快就会填满，服务器拒绝新的连接，将导致该端口无法响应其他机器进行的连接请求，最终使受害主机的资源耗尽。

防御方法

（一）通过防火墙、路由器等过滤网关防护

（二）通过加固TCP/IP协议栈防范

3.3.4其他协议明文传输漏洞

TCP/IP协议数据流采用明文传输，是网络安全的一大隐患，目前所使用的Ftp、http、pop和telnet服务在本质上都是不安全的，因为他们在网络上用明文传送口令和数据，攻击者可以很容易地通过嗅探等方式获取这些口令和数据。

●网络抓包工具很多。

●黑客经常使用该工具来修改网络发送和接受数据，协助完成很多网页脚本的入侵工作。

例：

使用WinsockExpert获取Sina网站的邮箱

用户名及密码信息。

●从逻辑或物理上对网络分段

●以交换式集线器代替共享式集线器

●使用加密技术

●划分VLAN（虚拟局域网）技术

●使用动态口令技术，使得侦听结果再次使用时无效

3.4操作系统漏洞攻击

无论是UNIX、windows，还是其他操作系统，都存在着安全漏洞。

3.4.1输入法漏洞

Microsoft自Windows2000开始，支持中文用户名。

这些随系统装入的输入法可以在系统登录界面中使用，以便用户能使用基于中文字符的用户标识和密码登录到系统。

进而，一些别有用心的用户可以通过直接操作该系统的登录界面得到当前系统权限。

攻击防范

●给windows2000打补丁到SP4

●删除输入法帮助文件和多余的输入法

●防止别人恶意利用net.exe

3.4.2IPC$攻击

IPC$是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。

漏洞防范

（1）禁止空连接进行枚举

（2）禁止默认共享

3.4.3RemoteProcedureCall（RPC）漏洞

漏洞描述：

远程过程调用是一种协议，程序可使用这种协议向网络中的另一台计算机上的程序请求服务。

使用RPC的程序不必了解支持通信的网络协议的情况，远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。

漏洞防范：

（1）通过防火墙关闭135端口

（2）更新最新补丁

3.5WEB应用漏洞

3.5.1针对数据库漏洞

MSSQL-SERVER空口令入侵

在微软的MSSQL—Server7.0以下的版本在默认安装时，其SA（SystemAdministrator）账户口令为空，所开端口为1433，一个入侵者只要使用一个MSSQL客户端与SA口令为空的服务器连接就可以获得System的权限。

Access数据库下载漏洞

Access数据操作灵活，转移方便，运行环境简单，对于小型网站的数据库处理能力效果还不错，是很多小型网站建站优先选择。

但缺点是：

数据库如果没有经过严格防护，很容易被攻击者利用特殊手段进行下载。

●黑客的攻击思路过程（参见教材P50）

●漏洞的防范：

（1）更改数据库名；

（2）更改数据库里面常用字段成复杂字段，避免注入。

（实施难度较大）

（3）给数据库关键字段加密，对于管理员账户设置复杂密码；

（4）在数据库文件中建一个表，表中取一个字段名叫：

antihack，在表名建一个字段，字段中填写任意不能正确执行的语句。

（5）如果有机器管理权限，可将数据库放到IIS以外的目录。

3.5.2Cookie攻击

Cookie或称Cookies，指某些网站为了辨别用户身份而储存在用户本地终端上的数据（通常经过加密）。

有些网站存放用户名和密码的Cookie是明文的，黑客只要读取Cookie文件就可以得到账户和密码；

有些Cookie是通过Md5加密的，用户仍然可以通过破解得到关键信息。

●Cookie利用

Cookie对黑客来说作用非常巨大，除了修改本地Hosts.sam文件以便对修改的Cookie提交，从而得到一些特殊权限外，还可能有多种利用。

●Cookie攻击防范策略

客户端——如将IE安全级别设为最高级，以阻止Cookid进入机器，并形成记录

服务端——尽量缩短定义Cookie在客户端得存活时间。

3.5.3上传漏洞

所谓上传漏洞，起初是利用Web系统对上传的文件格式验证不全，从而导致上传一些恶意Web程序，随着Web程序编写者的技术提高，因为文件格式验证的基础漏洞逐渐减少，攻击者发现一种新的上传漏洞利用方法。

将一些木马文件通过修改文件后缀名或者利用字符串结束标志“\0”上传到网络服务空间，然后通过Url访问获得Webshell权限。

（详见P56）

对于上传漏洞提出的解决思路：

（1）一般的上传时把上传路径作为一个变量来处理，我们的对策就是把filepath变成常量

（2）加强对空格的处理，以前常用的办法就是独到这里就结束，现应继续读直到下一个变量开始的地方再进行处理。

3.5.4跨站攻击XSS&

XFS

XSS定义：

XSS来自于CrossSiteScirpt，中文翻译为跨网站的脚本，为避免和层叠式样式表CSS混淆，而改称XSS，所有针对CSS的攻击称为跨站式攻击。

形成：

跨站漏洞是由于程序员在编写一些支持用户互动反馈的程序如论坛，留言本，Blog，新闻评论等，对用户输入数据没有作充分过滤。

直接把html标签、SQL语句提交到数据库并且再返回页面显示以及执行。

XSS的入侵：

利用跨站漏洞黑客可以在网站中插入任意代码，这些代码的功能包括获取网站管理员或普通用户的Cookie，隐蔽运行网页木马，甚至格式化浏览者的硬盘，只要脚本代码能够实现的功能，跨站攻击都能够达到！

XFS攻击及防范

CrossFrameScript也叫XFS，它是CrossSiteScript后一个新的盗取客户资料的方法。

CrossFrameScript原理

利用浏览器允许框架（frame）跨站包含其他页面的漏洞，在主框架的代码中加入script，监视、盗取用户输入。

CrossFrameScript危害

一个恶意的站点可以通过用框架页面包含真的网银或者在线支付网站进行钓鱼，获取用户账号和密码，且合法用户不宜觉察，因为提供的服务完全正常。

解决方案

作为用户，应留心浏览器地址，不在带框架页面中输入用户信息

作为网站管理员，在页面中加入以下JavaScript代码可以避免网站被XFS

If（top!

=self）{

Top.location=self.location;

}

3.5.5注入攻击

所谓SQL注入，就是利用程序员对用户输入数据的合法性检测不严或不检测的特点，故意从客户端提交特殊的代码，从而收集程序及服务器的信息，查询数据库，获取想得到的资料。

常见的注入式攻击的手段

●一些网站的管理登陆页面对输入的用户名和密码没有做AQL过滤，导致网站被攻击。

●查询语句在有注入漏洞的服务器上被恶意利用也会导致严重后果。

●PHPSql注入

●通过注入获得管理员账户密码

●通过工具进行注入攻击测试

3.5.6搜索攻击

Google是全世界最流行和最强大的搜索引擎。

攻击者能使用它得到服务器的信息，包含敏感信息的文件和检测出“暗藏的”登陆页、服务器日志文、以及很多其他的内容。

搜索攻击语句示例

●常用Google黑客搜索攻击语句（见教材）

●利用“indexof”语句来查找开放目录浏览的站点

●利用“inyrl”或“sllinurl”寻找缺陷站点或服务器

●利用“intitle”或“allintitle”寻找缺陷站点或服务器。

防止搜索引擎攻击的策略

（1）巩固服务器，并将其与外部环境隔离

（2）设置robote.txt文件，禁止Google索引自己的网页

（3）将高度机密的信息从公众服务器上去除

（4）保证自己的服务器是安全的

（5）删除管理系统的特征字符

3.6针对IIS漏洞攻击

MicrosoftIIS是允许在公共Intrant或Internet上发布信息的Web服务器，IIS可以提供HTTP、FTP、gopher服务。

常见IIS漏洞

●3.6.1Unicode漏洞

●3.6.2IDA&

IDQ缓冲区溢出漏洞

●3.6.3Printer溢出漏洞入侵

3.7黑客攻击的思路

3.8黑客攻击防范

●物理安全、停止Guest账号、限制用户数量

●创建多个管理员账号、管理员账号改名

●陷阱账号、更改默认权限、设置安全密码

●屏幕保护密码、使用NTFS分区

●运行防毒软件和确保备份盘安全

●关闭不必要的端口、开启审核策略

●操作系统安全策略、关闭不必要的服务

●开启密码策略、开启账户策略、备份敏感文件

●不显示上次登录名、禁止建立空连接和下载最新的补丁

第三章结束

第四章数据加密与身份认证

●数据加密技术

●身份认证技术

●包过滤技术

●资源授权使用

●内容安全（防病毒）技术

课程内容

●了解常用的网络安全及其适用范围

●了解内容安全（防病毒）技术在网络安全领域的重要地位

4.1数据加密技术

信息安全技术是一门综合的学科，它涉及信息论、计算机科学和密码学等多方面知识，它的主要任务是研究计算机系统的通信网络内信息的保护方法以实现系统内信息的安全、保密、真实和完整。

其中，信息安全的核心是密码技术。

4.1.1数据加密的概念

数据加密技术是网络中最基本的安全技术，主要是通过对网络中传输的信息进行数据加密来保障其安全性，这是一种主动安全防御策略，用很小的代价即可为信息提供相当大的安全保护。

密码是实现秘密通信的主要手段，是隐蔽语言、文字、图像的特种符号。

凡是用特种符号按照通信双方约定的方法把电文的原型隐藏起来，不为第三者所识别的通信方式称为密码通讯。

密码系统的组成：

●未加密的报文，也称明文

●