计算机网络技术 ppt课件第七章.ppt

第7章 网络安全,本章主要内容,学习目标： 1. 了解网络安全基本知识 2. 掌握计算机病毒的基本知识 3. 理解熊猫烧香病毒的原理，木马原理 4. 掌握防火墙技术 5. 掌握数字加密和数字签名原理,7.1 网络安全概述,7.1网络安全概述随着计算机技术的日新月异，互联网正在以令人惊讶的速度改变着我们的生活，从政府到商业再到个人，互联网的应用无处不在，如党政部门信息系统、电子商务、网络炒股、网上银行、网上购物等等。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，也带来了许多信息安全隐患，如何保护政府、企业和个人的信息不受他人的入侵，更好地增加互联网的安全性，是一个亟待解决的重大问题。,网络安全（Network Security）是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。,7.1.1网络安全隐患,(1)黑客入侵；这里的黑客（cracker）一般指一些恶意（一般是非法地）试图破解或破坏某个程序、系统及网络安全的人，他们入侵他人的计算机的目的一般是获取利益或证明自己的能力，他们利用自己在计算机上的特殊才能对网络安全造成极大的破坏。(2)计算机病毒的攻击；计算机病毒是对网络安全最严重的威胁，它的种类很多，通过网络传播的速率非常之快，普通家用PC基本都受过病毒的侵。(3)陷阱和特洛伊木马； 通过替换系统合法程序，或者在合法程序里插入恶意源代码以实现非授权进程，从而达到某种特定目的。,(4)来自内部人员的攻击； 内部人员攻击主要指在信息安全处理系统范围内或对信息安全处理系统有直接访问权里的人对本网络的攻击。(5)修改或删除关键信息； 通过对原始内容进行一定的改动或删除，达到某种破环网络安全目的的行为。(6) 拒绝服务； 当一个授权实体不能获得应有的对网络资源的访问或紧急操作被延迟时，就发生了拒绝服务。(7)人为地破坏网络设施，造成网络瘫痪。人为从物理上对网络设施进行破坏，使网络不能正常运行。,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,后门、隐蔽通道,蠕虫,我国安全形势非常严峻1998年2月25日：黑客入侵中国公众多媒体通信网广州蓝天BBS系统并得到系统的最高权限，系统失控长达15小时。为国内首例网上黑客案件。1998年9月22日，黑客入侵扬州工商银行电脑系统，将72万元注入其户头，提出26万元。为国内首例利用计算机盗窃银行巨款案件。,1999年4月16日：黑客入侵中亚信托投资公司上海某证券营业部，造成340万元损失。1999年11月14日至17日：新疆乌鲁木齐市发生首起针对银行自动提款机的黑客案件，用户的信用卡被盗1.799万元。1999年11月23日：银行内部人员通过更改程序，用虚假信息从本溪某银行提取出86万元。,2000年2月1日：黑客攻击了大连市赛伯网络服务有限公司，造成经济损失20多万元。2000年2月1日至2日：中国公共多媒体信息网兰州节点 “飞天网景信息港”遭到黑客攻击。2000年3月2日：黑客攻击世纪龙公司21CN。,2000年3月6日至8日：黑客攻击实华开EC123网站达16次，同一时期，号称全球最大的中文网上书店“当当书店”也遭到多次黑客攻击。 2000年3月8日：山西日报国际互联网站遭到黑客数次攻击，被迫关机，这是国内首例黑客攻击省级党报网站事件。2000年3月8日：黑客攻击国内最大的电子邮局-拥有200万用户的广州163，系统无法正常登录。,2001年3月9日: IT-全国网上连锁商城遭到黑客袭击，网站页面文件全部被删除，各种数据库遭到不同程度破坏，网站无法运行，15日才恢复正常，损失巨大。2001年3月25日：重庆某银行储户的个人帐户被非法提走5万余元。2001年6月11、12日：中国香港特区政府互联网服务指南主页遭到黑客入侵，服务被迫暂停。,网络安全,因特网,网络对国民经济的影响在加强,安全漏洞危害在增大,信息对抗的威胁在增加,研究安全漏洞以防之,因特网,电力,交通,通讯,控制,广播,工业,金融,医疗,研究攻防技术以阻之,网络安全的攻防体系,7.1.2网络攻击,如果不知道如何攻击，再好的防守也是经不住考验的，攻击技术主要包括五个方面：1、网络监听：自己不主动去攻击别人，在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。2、网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。3、网络入侵：当探测发现对方存在漏洞以后，入侵到目标计算机获取信息。4、网络后门：成功入侵目标计算机后，为了对“战利品”的长期控制，在目标计算机中种植木马等后门。5、网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。,防御技术,防御技术包括四大方面：1、操作系统的安全配置：操作系统的安全是整个网络安全的关键。2、加密技术：为了防止被监听和盗取数据，将所有的数据进行加密。3、防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。4、入侵检测：如果网络防线最终被攻破了，需要及时发出被入侵的警报。,7.2计算机病毒与木马,7.2.1计算机病毒的基本知识计算机病毒指编写或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。它能够通过某种途径潜伏在计算机存储介质（或程序）里 , 当达到某种条件时即被激活，具有对计算机资源进行破坏的作用。只要你的计算机接入互联网或插入移动存储设备，就有中计算机病毒的危险。,1.计算机病毒具有以下几个特点：,（1）寄生性 计算机病毒寄生在其他程序或指令之中，当执行这个程序或指令时，病毒就起破坏作用，而在未启动这个程序或指令之前，它是不易被人发觉的。 （2）传染性 计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。 （3）隐蔽性 计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。（4）潜伏性 病毒侵入后，一般不立即活动，需要等一段时间，只有在满足其特定条件后才启动其表现模块，显示发作信息或进行系统破坏。 可以分为：利用系统时钟提供的时间作为触发器和利用病毒体自带的计数器作为触发器二种。 （5）破坏性 计算机中毒后，凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。其表现：占用CPU时间内存开销，从而造成进程堵塞；对数据或文件进行破坏；打乱屏幕的显示；无法正常启动系统等。,2.计算机病毒的分类：,综合病毒本身的技术特点，攻击目标，传播方式等各个方面，一般情况下，我们将病毒大致分为以下几类：传统病毒，宏病毒，恶意脚本，木马、黑客程序、蠕虫、破坏性程序。 1. 传统病毒：能够感染的程序。通过改变文件或者其他东西进行传播，通常有感染可执行文件的文件型病毒和感染引导扇区的引导型病毒，如CIH病毒。 2.宏病毒（Macro）：利用Word、Excel等的宏脚本功能进行传播的病毒，如著名的美丽莎(Macro.Melissa)。3.恶意脚本（Script）：做破坏的脚本程序。包括HTML脚本、批处理脚本、VB、JS脚本等，如欢乐时光（VBS.Happytime）。,4.木马（Trojan）程序：当病毒程序被激活或启动后用户无法终止其运行。广义上说，所有的网络服务程序都是木马，判定是否是木马病毒的标准不好确定，通常的标准是：在用户不知情的情况下安装，隐藏在后台，服务器端一般没有界面无法配置，如QQ盗号木马。5.黑客(Hack) 程序：利用网络来攻击其他计算机的网络工具，被运行或激活后就象其他正常程序一样有界面；黑客程序是用来攻击/破坏别人的计算机，对使用者本身的机器没有损害。6.蠕虫（Worm）程序：蠕虫病毒是一种可以利用操作系统的漏洞、电子邮件、P2P软件等自动传播自身的病毒，如冲击波。7.破坏性程序（Harm）：病毒启动后，破坏用户计算机系统，如删除文件，格式化硬盘等。常见的是bat文件，也有一些是可执行文件，有一部分和恶意网页结合使用。,病毒描述：“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒（它是一种蠕虫病毒经过多次变种得来的，又叫尼姆亚变种（worm.nimaya） ），它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。,7.2.2 熊猫烧香病毒简介,含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。,“尼姆亚（也称熊猫烧香）”病毒的攻击重点正在转向企业局域网和网站，广大企业和网站应提高警惕紧密防范。瑞星反病毒专家介绍说，该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。 据悉，目前多家著名网站已经遭到此类攻击，而相继被植入病毒。由于这些网站的浏览量非常大，致使此次“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。,病毒基本情况,病毒名: Virus.Win32.EvilPanda.a.ex$ 大 小: 0 xDA00 (55808), (disk) 0 xDA00 (55808) SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D 壳信息: 未知 危害级别：高 病毒名: Flooder.Win32.FloodBots.a.ex$ 大 小: 0 xE800 (59392), (disk) 0 xE800 (59392) SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D 壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24 危害级别：高,病毒行为,Virus.Win32.EvilPanda.a.ex$ ： 1、病毒体执行后，将自身拷贝到系统目录： %SystemRoot%system32FuckJacks.exe HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Userinit C:WIN2Ksystem32SVCH0ST.exe,2、添加注册表启动项目确保自身在系统重启动后被加载： 键路径：HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun 键名：FuckJacks 键值：C:WINDOWSsystem32FuckJacks.exe 键路径：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 键名：svohost 键值：C:WINDOWSsystem32FuckJacks.exe,3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病 毒，并将这两个文件属性设置为隐藏、只读、系统。 C:autorun.inf 1KB RHS C:setup.exe 230KB RHS 4、关闭众多杀毒软件和安全工具。,5、连接*.3322.org下载某文件，并根据该文件记录的地址，去www.*.com下载某ddos程序，下载 成功后执行该程序。 6、刷新，某QQ秀链接。 7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。,Flooder.Win32.FloodBots.a.ex$ ： 1、病毒体执行后，将自身拷贝到系统目录： %SystemRoot%SVCH0ST.EXE %SystemRoot%system32SVCH0ST.EXE 2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载： 键路径：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 键名：Userinit 键值：C:WINDOWSsystem32SVCH0ST.exe 3、连接ddos2.*.com，获取攻击地址列表和攻击配置，并根据配置文件，进行相应的攻击。,7.2.3 常见的autorun.inf文件,AUTORUN.INF这个文件本身并不是一个病毒文件，它可以实现双击盘符自动运行某个程序的功能，但是很多病毒利用了这个文件的特点，自动运行一些病毒程序。当你的磁盘或U盘再双击时出现下面这个图标时。有很大可能，你的计算机已经中毒了。,AUTORUN.INF文件是可以双击打开的，或者把名称改为AUTORUN.TXT再打开，打开以后可以看到如图 如果你用双击“open”打开，病毒icnskem.exe自动运行；如果你单击盘符右键，选“打开”，也是运行icnskem.exe；即使你单击盘符右键，选“资源管理器”，还是运行icnskem.exe。大家可以拿这个病毒的AUTORUN.INF文件和熊猫烧香病毒的AUTORUN.INF文件对比一下。,7.2.4木马原理,木马的全称是特洛伊木马，是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制用户计算机的权限。特洛伊木马有一些明显的特点：它的安装和操作都是在隐蔽之中完成，用户没有察觉。攻击者常把特洛伊木马隐藏在一些小软件或游戏之中，诱使用户在自己的计算机上运行。中木马最常见的情况是用户从不正规的网站下载和运行了带恶意代码的软件、游戏，或者不小心点击了带恶意代码的邮件附件。,大部分木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将木马服务器部分绑定到某个合法软件上，只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。当服务端程序在被感染的机器上成功运行以后，会通知客户端用户已被控制，攻击者就可以使用客户端与服务端建立连接（一般这种连接大部分是TCP连接，少量木马用UDP连接），攻击者利用客户程序向服务器程序发送命令并进一步控制被感染的计算机。被感染的计算机又可以作为攻击端，对网络中其他计算机发起攻击。,7.3 防火墙,防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备 通常认为:防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。,它具有以下三个方面的基本特性：,1.内部网络和外部网络之间的所有网络数据流都必须经过防火墙 2.只有符合安全策略的数据流才能通过防火墙 3.防火墙自身应具有非常强的抗攻击免疫力,防火墙的分类,1. 从防火墙的软、硬件形式分 (1).硬件防火墙 最初的防火墙与我们平时见到的集线器、交换机一样，都属于硬件产品。它在外观上与平常我们所见到的集线器和交换机类似，只是只有少数几个接口，分别用于连接内、外部网络，那是由防火墙的基本作用决定的。,(2). 软件防火墙 随着防火墙应用的逐步普及和计算机软件技术的发展，为了满足不同层次用户对防火墙技术的需求，许多网络安全软件厂商开发出了基于纯软件的防火墙，俗称“个人防火墙”。之所以说它是“个人防火墙”，那是因为它是安装在主机中，只对一台主机进行防护，而不是对整个网络。,按照工作的网络层次和作用对象分四种类型：,1.包过滤防火墙包过滤防火墙又被称为访问控制表ACL（Access Control List）,它根据预先静态定义好的规则审查内、外网之间通信的数据包是否与自己定义的规则（分组包头源地址、目的地址端口号、协议类型等）相一致，从而决定是否转发数据包。包过滤防火墙工作于网络层和传输层，把满足规则的数据包转发到目的端口，不满足的数据包则被丢弃，许多个规则是可以复合定义的。,包过滤防火墙的优点是：不用改动用户主机上的客户程序；可以与现有设备集成，也可以通过独立的包过滤软件实现；成本低廉、速度快、效率高，很大程度满足企业的需要。包过滤防火墙的缺点也很明显：工作在网络层，不能检测对于高层的攻击；如果使用很复杂的规则，会大大减低工作效率；需要手工建立安全规则，要求管理人员要清楚了解网络需求；包过滤主要依据IP包头中的各种信息，但IP包头信息可以被伪造，这样就可以轻易绕过包过滤防火墙。,2.应用程序代理防火墙应用程序代理防火墙又叫应用网关防火墙，指在网关上执行一些特定的应用程序和服务器程序实现协议的过滤和转发功能，他工作于应用层，掌握着应用系统中可作为安全决策的全部信息。其特点是完全阻隔了网络信息流，当一个远程用户希望和网内用户通信时，应用网关会阻隔通信信息，然后对这个通信数据进行检查，符合要求后，应用网关会作为一个桥梁，转发通信数据。,3.复合型防火墙由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案：屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒主机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒主机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。,4.个人防火墙目前网络上有许多个人防火墙软件，很多都集成在杀毒软件当中，它是应用程序级的，在某一台计算机上运行，保护其不受外部网络的攻击。一般的个人防火墙都具有“学习”机制，就是说一旦主机防火墙收到一种新的网络通信要求，它会询问用户是允许还是拒绝，并应用于以后该通信要求。举例来说，金山毒霸里集成的金山网镖就是一款个人防火墙，具有学习机制。,7.3.3 网络地址转换NAT技术,网络地址转换NAT的作用原理就是通过替换一个数据包的源地址和目的地址，来保证这个数据包能被正确识别。具体地说，通过这种地址映射技术，内部计算机上使用私有地址（10.0.0.010.255.255.255，172.16.0.0172.16.255.255，192.168.0.0192.168.255.255），当内部网络计算机通过路由器向外部网络发送数据包时，私有地址被转换成合法的IP地址（全局地址）在Internet上使用，最少只需一个合法IP，就可以实现私有地址网络内所有计算机与Internet的通信。这一个或多个合法地址，就代表整个内部网络与外部网络进行通信。,7.4数字加密与数字签名,7.4.1数字加密 1.数字加密原理在现实的网络中，想要让别人彻底不能窃取某个数据非常的困难，比较现实的一种方式就是采用数字加密技术，就是说即使别人得到这个数据，也会因为不能使这个加过密的数据解密，而无法解读它的意思。 数据加密就是指将原始的数据通过一定的加密方式，加密成非授权人难以理解的数据，授权人在接受加密数据后，利用自己知道的解密方式把数据还原成原始数据。 下面我们介绍一些数据加密常用术语：明文：没有加密的原始数据。密文：加密过后的数据。加密：把明文转换成密文的过程。解密：把密文转换成明文的过程。算法：加密或解密过程中使用的一系列运算方式。密钥：用于加密或解密的一个字符串。,下面来看一个最简单的加密解密模型，通过这个模型，能清楚的了解到加密、解密的过程。,2.经典数字加密技术,经典数字加密技术主要包括替换加密和换位加密二种。(1)替换加密 用某个字母替换另一个字母，替换的方式事先确定，比如替换方式是字母按顺序推后5位，hello在网络传输时就用mjqqt。这种加密方式比较简单，密钥就是5，接受者只要按照每个字符的ASC码值减去5再做模26的求余运算就可以得到原始数据了。(2)换位加密按照一定的规律重新排列传输数据。比如说我预先设定好换位的顺序是4213，明文bear在网络传输时就是reba。这种加密方式也较简单，曾经大量使用，但是由于计算机运算速率发展很快，可以利用穷举法破译。,3.秘密密钥与公开密钥加密技术,(1)秘密密钥技术秘密密钥技术也叫对称密钥加密技术。在这种技术中，将算法内部的转换过程设计的非常复杂，而且有很长的密钥，密文的破解非常困难，即使破解，也会因为没有密钥而无法解读，这种技术最大的特点就是吧算法和密钥分开来处理，密钥最为关键，而且在加密和解密过程中，使用的密钥相同。最著名的秘密密钥加密算法是数据加密标准DES（data encryption standard）。该算法的基本思想是将明文分割成64位的数据块，并在一个64位的密钥控制下，对每个64位明文块加密，最后形成整个加密密文。,(2)公开密钥加密技术,公开密钥加密技术也叫非对称密钥加密技术。公开密钥加密在加密和解密过程中使用二个不同的密钥，这二个密钥在数学上是相关的，他们成对出现，但互相之间不能破解。这样接收者可以公开自己的加密密钥，发送者可以利用他来进行加密，而只有拥有解密密钥的授权接收者，才能把数据解密成原文。最著名的公开密钥加密算法是RSA（三位发明者名字首字母组合）。该算法的基本思想是在生成的一对密钥中，任何一个都可以作为加密或解密密钥，另一个相反，一个密钥用于公开供发送者加密使用。另一个密钥严格被接收者保密，当接收者收到密文时，用于解密加密数据。,7.4.2数字签名,数字加密主要用在防止信息在传输过程中被人截取利用，而怎样确定发送信息人的身份，就学要用数字签名来解决。数字签名指在计算机网络中，用电子签名来代替纸质文件或协议的签名，以保证信息的完整性、真实性和发送者的不可否认性。目前使用较多的还是利用报文摘要和公开密钥加密技术相结合的方式进行数字签名。,1.报文摘要,消息摘要的设计思想是把一个无论多大的明文数据，转变成一个固定长度的比特串，在签名时，只要对这个消息摘要签名就行了，不用对整个明文数据进行签名。明文转变为固定长度比特串的方式是通过单向散列函数，单向散列函数具有以下特性：(1)处理任意长度的数据，生成固定大小的比特串(2)生成的比特串是不可预见的，看起来与原始明文没有任何联系，原始明文有任何变化，新的比特串就会与原来的不同。(3)生成的比特串具有不可逆性，不法通过它还原成原始明文。目前使用最多的报文摘要算法是和（已由中国科学家王小云破解），以后可能会使用SHA-224、SHA-256、SHA-384及SHA-512等算法。,2.数字签名的过程,(1)发送端把明文利用单向散列函数转换成消息摘要；(2)发送者利用自己的私钥对消息摘要进行签名；(3)发送端把明文和签名的消息摘要通过网络传递给接收端；(4)接收端对明文和消息摘要分别处理，明文通过单向散列函数转换为消息摘要，签名的消息摘要被接收端用发送端的签名公钥还原成消息摘要；(5)把最后生成的二个消息摘要进行比较，判定数据的真实性和完整性。,