网络安全及防护措施PPT课件.pptxVIP

网络安全及防护措施;一、安全隐患及安全认识分析二、网络安全体系结构

三、网络安全整体防护思路;一、安全隐患及安全认识分析;1998/9扬州郝氏兄弟工行窃款案例北京机场票务系统瘫痪

深交所证券交易系统瘫痪二滩电厂网络安全事故大量的网站被黑、被攻击

网上信用卡密码被盗，钱被划走;网络;常见的攻击方式介绍;网络管理员对攻击行为的了解和认识，有助于提高危险性认识

在遭遇到攻击行为时能够及时的发现和应对

了解攻击的手段才能更好的防范;系统被侵占，并被当作跳板进行下一步攻击

文件，重要资料遭到破坏

系统濒临崩溃，无法正常运行网络涌堵，正常通信无法进行

重要信息资料被窃取，机密资料泄漏，造成重大经济损失;预攻击信息探测，使用扫描器获取目标信息，这些信息可以为：主机或设备上打开的服务，端口，服务程序的版本，系统的版本，弱密码帐号等

实施攻击，手法有很多，要视收集的信息来决定利用的手法如：缓冲区溢出，密码强打，字符串解码，DoS攻击等

留下后门或者木马，以便再次利用

清除攻击留下的痕迹包括痕迹记录，审计日志等;逻辑炸弹是一段潜伏的程序，它以某种逻辑状态为触发条件，可以用来释放病毒和蠕虫或完成其他攻击性功能，如破坏数据和烧毁芯片。它平时不起作用，只有当系统状态满足触发条件时才被激活。;概念：发送大容量的垃圾邮件

如：KaBoom

To、From、Server

拒收垃圾邮件、设置寄信地址黑名单

（MailGuard);OICQ本地密码使用简单的加密方式

OICQ使用明文传输

黑客可监听信息内容;DenialofService----Dos

向目标主机发送大量数据包，导致主机不能响应正常请求，导致瘫痪

在目标主机上放了木马，重启主机，引导木马

为完成IP欺诈，让被冒充的主机瘫痪

在正式进攻之前，要使目标主机的日志记录系统无法正常工作;Land

PingofDeath

SYNflood

Dos/DDdos; 在Land攻击中，黑客利用一个特别打造的SYN包--它的原地址和目标地址都被设置成某一个服务器地址进行攻击。此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时，在Land攻击下，许多UNIX将崩溃，NT变得极其缓慢（大约持续五分钟）。;Pingofdeath;Pingofdeath;SYNFlooding三段握手

内核处理;?Denial of Service (DoS) 拒绝服务攻击

–攻击者利用大量的数据包“淹没”目标主机，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。

?Distributed Denial of Service (DDoS)分布式拒绝服务攻击

–攻击者利用因特网上成百上千的“Zombie”(僵尸)-即被利用主机，对攻击目标发动威力巨大的拒绝服务攻击。;主控主机;让被信任主机瘫痪

联接目标主机猜测ISN基值和增加规律将源地址伪装成被信任主机，发送SYN

数据段请求连接

黑客等待目标机发送ACK包给已经瘫痪的主机

黑客伪装成被信任主机，发送SYN数据段给目标主机

建立连接;?网络安全及防护措施;只有第一个分段包含了上层协议信息包过滤将丢弃第一个分段

其他分段允许通过将在目的地被重组

目的主机需等待重传不完全的包,最后返回一个“packetreassemblytimeexpired”信息

可能被攻击者利用作为DoS攻击手段直接丢弃;冒充DNSServer向域名解析请求发送错误的解析结果;CGI、ASP

Web的非交互性，CGI、ASP的交互性;创造某个网站的复制影像用户输入户名、口令

用户下载信息，病毒、木马也下载;扫描器是网络攻击中最常用的工具，并不直接攻击目标，而是为攻击提供信息

扫描器至少应有三种功能：发现一个主机或网络的能力；一旦发现，探测其存在的服务及对应的端口；通过测试这些服务，发现漏洞

编写扫描器需要很多tcp/ip编程和c,perl和shell和socket编程的知识

攻击利用的扫描技术必须有很快的速度和很好的隐身能力，否则会被发现;网络上的大部分设备如路由器和交换机大多支持Snmp网管协议，支持snmp的设备都维护着自己接口等运行状态的信息库称为MIBS库。

现行版本中网管端和设备间的通信只需经过一个叫做community值的简单验证，管理端提供readonly的community值时可以读取该设备的常规运行信息，如提供readwrite值时，这可以完全管理该设备。

攻击网络互连设备的一条捷径，而且不太被注意;MIB S;内部网络;蠕虫是一段独立的可执行程序，它可以通过计算机网络把自身的拷贝（复制品）传给其他的计算机。蠕虫可以修改、删除别的程序，但它也可以通过疯