《网络安全技术与实践》第一篇网络安全分析ppt课件.ppt

《《网络安全技术与实践》第一篇网络安全分析ppt课件.ppt》由会员分享，可在线阅读，更多相关《《网络安全技术与实践》第一篇网络安全分析ppt课件.ppt（90页珍藏版）》请在三一办公上搜索。

1、网络安全技术与实践课件 制作人：蒋亚军,网络安全技术与实践（课件）人民邮电出版社2012 年,蒋亚军 编著,课程介绍,课程的定位课程内容如何学习本门课程教学要求辅助教学材料,第 一篇 网络安全分析,第一篇 网络安全分析项目一 认识网络安全问题项目 二 网络安全检测第二篇 网络边界安全项目一 防火墙项目二 入侵防护系统项目三 统一安全网关项目四安全隔离网闸,第 一篇 网络安全分析（续）,第三篇 内网安全项目一 操作系统安全项目二 内网应用服务安全项目三 内网安全管理第四篇 网络安全设计项目一 政务网安全设计项目二 企业网安全设计项目三 校园网安全设计,第一篇 网络安全分析,项目一 认识网络安全问

2、题项目二 网络安全检测,项目一 认识网络安全问题,认识网络安全问题的目的是什么？网络安全的核心是什么？网络安全问题与网络安全技术的关系。,项目一 认识网络安全问题,【实施目标】 知识目标：了解病毒的类型、特点了解木马的类型、功能特点 熟悉网络攻击类型、特点了解流氓软件类型、特点与危害,项目一 认识网络安全问题,技能目标： 会典型病毒制作技术 会典型木马安装、隐藏、启动与清除 会典型的网络攻击、检测与防护技术 会流氓软件的编写,项目一 认识网络安全问题,【项目背景】 某企业存在严重的网络安全问题，如网络病毒盛行，随便用一个杀毒软件可以查出很多病毒。网络攻击也时有发生，常常网络出现阻塞，上网非常困

3、难。企业员工缺乏自觉性，工作时间上网聊天，影响工作的效率。如果你是一位掌握了一般组网技术的工程技术人员，如果要想成为一名合格的网络安全人员，承接上述项目，应该怎么办？,项目一 认识网络安全问题,【需求分析】 网络安全是网络技术的高端课程，课程的目标是培养计算机网络技术技能中的网络安全的能力。课程的教学内容与教学目标是源于对网络技术专业相关工作岗位群中的“网管”、“安管”等工作岗位的网络安全职业技能需求。该课程需要先学习计算机网络基础、网络工程制图、网络互联设备配置、服务器与网络存储、中小型网络设计与集成、综合布线实施与管理等课程。,项目一 认识网络安全问题,【预备知识】 知识1 计算机病毒 知

4、识2 特洛伊木马 知识3 网络攻击 知识4 流氓软件,项目一 认识网络安全问题,知识1 计算机病毒一、什么是计算机病毒？二、计算机病毒的类型 1. 按病毒存在的媒体分类 2. 按病毒传染的方式分类 3. 按病毒破坏的能力分类 4. 按照病毒攻击的操作系统分类 5. 按照病毒的链结方式分类,项目一 认识网络安全问题,知识1 计算机病毒三、现代计算机病毒的特点 易变性、人性化、 隐蔽性、 多样性、平民化、可触发性。,项目一 认识网络安全问题,知识1 计算机病毒四、典型的计算机病毒1文件型病毒,项目一 认识网络安全问题,知识1 计算机病毒2. 宏病毒宏病毒是一些制作病毒的专业人员利用Microsof

5、t Word的开放性即Word中提供的WordBASIC编程接口，专门制作的一个或多个具有病毒特点的宏的集合，这种病毒宏的集合影响到计算机使用，并能通过.DOC文档及.DOT模板进行自我复制及传播。,项目一 认识网络安全问题,知识1 计算机病毒3. 蠕虫病毒 蠕虫是一种能传播和拷贝其自身或某部分到其他计算机系统中，且能保住其原有功能，不需要宿主的病毒程序。一般认为蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等。,项目一 认识网络安全问题,知识1 计算机病毒五、计算机病毒的防护,计算机病毒的防护（单机）,计算机病毒的防护（系统）,【思考与练习】,1.什么是病毒

6、？简述计算机病毒的特征及危害。2.简述计算机病毒的分类及各自特点。3.杀毒软件的选购指标有哪些？目前常用的有哪些杀毒软件？4.怎样预防和消除计算机网络病毒？5. 简述检测计算机病毒的常用方法。6. 解析PE文件的格式，看看病毒如何嵌入？,项目一 认识网络安全问题,知识2 特洛伊木马一、特洛伊木马二、木马的类型与功能 远程控制木马 、FTP木马 、密码发送木马、程序杀手木马、键盘记录木马、 反弹端口型木马 、破坏性质的木马 、 DoS攻击木马、代理木马 。三、木马的安装,项目一 认识网络安全问题,知识2 特洛伊木马 四、木马的隐藏与启动 隐藏在应用程序 隐藏在配置文件中 隐藏在Win.ini文件

7、中 伪装在普通文件中 嵌入到注册表中,知识2 特洛伊木马,例：在System.ini中藏身 Windows安装目录下的System.ini是木马喜欢隐蔽的地方。打开这个文件可以发现在该文件的boot字段中，可能有如shell=Explorer.exe file.exe这样的内容，如果有这样的内容，那么这台计算机就不幸中木马了，这里的file.exe就是木马的服务端程序 ！另外，在System.ini中的 386Enh字段中，要注意检查段内的“driver=路径程序名”，这里也是隐藏木马的地方。在System.ini中的mic、 drivers、drivers32三个字段是加载驱动程序的地方，注

8、意这些地方也是可以增添木马程序的。,知识2 特洛伊木马,例：隐形于启动组中 有些木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，清除是非常困难的。因此，启动组也是木马可以藏身的好地方。启动组对应的文件夹是：C:windows start menu programs start up。在注册表中的位置是：HKEY_CURRENT_ SER/ Software/Microsoft/Windows/CurrentVersion/Explorer/ShellFolders Startup=C:windowsstart menuprogramsstartup。因此，要

9、注意经常检查启动组。,知识2 特洛伊木马,例：隐蔽在Winstart.bat中木马都喜欢能自动加载的地方。Winstart.bat就是一个能自动被Windows加载运行的文件，多数情况下由应用程序及Windows自动生成，在执行W时，驱动程序加载之然后开始执行。由于Autoexec. bat的功能可以由Winstart.bat代替完成，因此种入的木马完全可以像在Autoexec.bat 中那样被加载运行，因此要保证计算机系统安全，这些地方也是需要注意的。,知识2 特洛伊木马,例：捆绑在启动文件中应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传

10、到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。,知识2 特洛伊木马,例：设置在超级连接中木马的主人在网页上放置恶意代码，引诱用户点击，用户点击被安装和启动木马，这是隐藏和启动木马的最常见的发生。因此不要随便点击网页上的链接。,知识2 特洛伊木马,五、木马的欺骗木马是一个软件，它不会“长腿”自己跑到用户的机器上，正像特洛伊剧情中描述的一样，木马往往是被攻击者自己将其带进计算机中的，因此，欺骗是木马的必需具备的一个重要的特征。网络上有许多木马流行欺骗方法介绍，这里只挑选简单的几种。,知识2 特洛伊木马,1.捆绑欺骗把木马的服务端和某个游戏或者flash文件捆绑成一个文件通过QQ或邮件发给

11、受害者，当受害者对这个游戏或者flash感兴趣而下载到机器上，而且不幸打开了这个文件时，受害者会看到游戏程序正常打开，但却不会发觉木马程序已经悄悄运行。这种方法有很强的迷惑作用，而且即使受害者重装系统，只要用户保存了那个捆绑文件，仍然有可能再次中招。,知识2 特洛伊木马,2.邮件冒名欺骗现在上网的用户很多，其中一些用户的电脑知识并不丰富，防范意识也不强。当黑客用匿名邮件工具冒充用户的好友或者大型网站、政府机构向目标主机用户发送邮件，并将木马程序作为附件附在这些邮件之上，而附件往往命名为调查问卷、注册表单等，用户就很可能在毫无戒心地情况下打开附件而受害。,知识2 特洛伊木马,3.压缩包伪装这个方

12、法比较简单也比较实用。首先，将一个木马和一个损坏的ZIP/RAR文件包（可自制）捆绑在一起，生成一个后缀名为.exe的文件。然后指定捆绑后的文件为ZIP/RAR文件图标，这样一来，除了后缀名与真正的ZIP/RAR文件不同，执行起来却和一般损坏的ZIP/RAR没什么两样，根本不知道其实已经有木马在悄悄运行了。,知识2 特洛伊木马,4.网页欺骗也许读者在网上都有这样的经历，当用户在聊天的时候，常常有人会发给你一些陌生的网址，并且说明网站上有一些比较吸引人的东西或者谈到的是热门的话题，如果你被吸引，或者好奇心较强，点击了这个链接，在网页弹出的同时，用户的机器就有可能被种下了木马。,知识2 特洛伊木马

13、,5.利用net send命令欺骗Net send命令是DOS提供的在局域网内发送消息的内部命令，命令格式如下：net send 目标机的IP地址目标机的机器名 消息内容。因此如果用户对此命令一无所知，则黑客就可以利用这个命令将自己伪装成为系统用户或网络上的著名公司来发送欺骗性的消息，让用户跳进黑客设定好的圈套之中，这样黑客就可以很容易地在目标机中种植木马。,知识2 特洛伊木马,六、电脑中木马的症状平时我们对自己硬盘几百兆的空间变化是感觉不出来的，毕竟电脑运行时会产生许多临时文件。但有一些现象会让人警觉，如玩游戏时速度异常，会很快觉得自己的电脑感染了木马。感觉电脑中了木马时，一般应该马上用杀毒

14、软件检查一下，不管结果如何，就算是杀毒软件告诉你，电脑内没有木马，也应该再认真作一次更深人的调查，确保自己机器安全。下面是一些中了木马电脑后常见的症状。,知识2 特洛伊木马,浏览网站时，弹出一些广告窗口是很正常的事情，可如果你根本没有打开浏览器，浏览器就突然自己打开了，并且进入某个网站，这一般是中了木马。当操作电脑时，突然弹出来一个警告框或者是询问框，问一些你从来没有在电脑上接触过的间题，这也可能是中了木马。,知识2 特洛伊木马,如果分析Windows系统配置常常自动莫名其妙地被更改。比如屏保显示的文字，时间和日期，声音大小，鼠标的灵敏度，还有CD-ROM的自动运行配置等。 硬盘老没缘由地读写

15、，U盘灯总是亮起，没有动鼠标可动鼠在屏幕乱动，计算机被关闭或者重启等。,知识2 特洛伊木马,计算机突然变得很慢，发现电脑的某个进程占用过高的CPU资源。 发现你的Windows系统配置老是自动莫名其妙地被更改，比如屏保显示的文字、时间和日期，还有CD-ROM的自动运行配置等。,知识2 特洛伊木马,七、木马的检测清除与防范对于一些常见的木马，如SUB7、BO2000、冰河等，它们都采用打开TCP端口监听和通过注册表启动的工作方式，可以使用木马克星之类的软件来检测这些木马，因为这些检测软件都可以检测TCP连结和注册表等信息，然后，并通过手工方法来清除这类木马。,知识2 特洛伊木马,1. 木马的检测

16、与清除发现电脑工作异常时，也可以使用netstat-a命令查看，通过这个命令可发现所有网络连接，如果有攻击者通过木马连接，可以通过这些信息发现异常。通过端口扫描的方法也可以发现一些低级的木马，特别是一些早期的木马，它们捆绑的端口不能更改，通过扫描这些固定的端口可以方便地发现木马是否植入。,木马的检测与清除,可以通过进程管理软件检查系统进程来发现木马。如果发现可疑进程就通过禁止运行来杀死它。发现那个进程可疑有一个笨的办法，就是记住正常的进程，然后进行对比。如打开IE会出现进程：EXPLORER.EXE、KERNEL32.DLL、MPREXE.EXE、MSGSRVINTERNAT.EXE、32.E

17、XE、SPOOL32.EXE IEXPLORE.EXE，如果出现了其他的没有运行过的新进程就很可能是木马，可寻迹清除。,木马的检测与清除,特洛伊木马入侵的一个明显证据是受害人的机器上会意外地打开了某个端口，如果发现这个端口正好是某个特洛伊木马常用的端口，木马入侵的事实就可以肯定了，应当尽快切断网络连接，减少攻击者进一步攻击的机会。可打开任务管理器，关闭所有连接到Internet的程序，例如Email程序、IM程序，以及系统托盘上所有正在运行的程序。注意暂时不要启动安全模式，启动安全模式通常会阻止特洛伊木马装入内存，给检测木马带来困难。,木马的危害检测,检测清除了特洛伊木马之后，一个重要的问题就

18、是要确定攻击对于系统的危害程度，窃取了那些敏感信息？要得出确切的答案是很困难的，但我们可以通过下列方法来确定危害程度。,木马的危害检测,首先，可以确定特洛伊木马存在的时间。木马文件创建日期不一定值得完全信赖，但可作参考。用Windows资源管理器查看特洛伊木马执行文件的创建日期和最近访问日期，如果执行文件的创建日期很早，最近访问日期却很近，那么可以确定攻击者利用该木马已经有相当长的时间了。,木马的危害检测,其次，是了解攻击者在入侵机器之后有哪些行动？包括确认攻击者访问了那些机密数据库，发送Email的IP，访问其他什么远程网络或共享目录，攻击者是否获取管理员权限。要仔细检查被入侵的机器寻找线索

19、，了解文件和程序的访问日期是否在用户的办公时间之外？,木马的清除之后,在安全性要求比较高的场合，任何未知的潜在风险都是不可忍受的，必要时应当调整管理员或网络安全的负责人，彻底检测整个网络，修改所有密码，在此基础上还要进行后继风险分析。对于被入侵的机器，要进行彻底的格式化，然后重装系统。,2.木马的防范,木马防范有手工防范、软件防范与设备防范。手工防范是指人工检查木马隐藏的位置，如：注册表、启动组、Win.ini、C:windows winstart.bat、C:windowswininit.ini、Autoexec. bat等隐藏木马的地方，然后作相应的处理。软件防范是指安装如：天网个人版防火

20、墙、Norton 个人防火墙、the cleaner、 BlackICE、Lockdown、ZoneAlarm、Mcafee 等桌面防火墙安全软件。设备防范指安装防火墙、防病毒网关、IDS、IPS与UTM等网络安全设备。,防范安全意识,不到不受信任的网站上下载软件。不随便点击来历不明邮件所带的附件。及时安装系统与应用程序的补丁程序。选用合适的正版杀毒软件，并及时升级 相关的病毒库。为系统所有的用户设置合理的用户口令，并且及时更新。,知识3 网络攻击,网络攻击就是黑客利用被攻击方自身网络系统存在的安全漏洞，使用网络命令或者专用软件对网络实施的攻击。攻击可导致网络瘫痪，也可破坏信息的传播，还可使系

21、统失去控制权。网络攻击与一般的病毒、木马的攻击是有差别的，它对于计算机的破坏性也是不相同的。病毒与木马是利用系统以及系统中应用程序的缺陷实施对于系统的破坏，网络只是其传播的途径，而网络攻击的特点是利用网络的缺陷的实现对于网络的攻击，以破坏网络中的信息的正常传送为目的。,知识3 网络攻击,一、网络攻击的类型常见的网络攻击分为拒绝服务攻击Dos或者DDos、利用型攻击、信息收集型和假消息攻击攻击四种。,网络攻击的类型,1. 拒绝服务攻击Dos（Denial Of Service）拒绝服务攻击是目前最常见的一种攻击类型，是指攻击者通过某种手段，利用网络协议的缺陷，通过向目标主机发送一些信息，有意地造

22、成计算机或网络不能正常运转从而不能向合法用户提供所需服务或者使服务质量降低的一种破坏手段。拒绝服务攻击是最容易实施的攻击行为。, SYN洪水（SYN flood）,SYN-Flood攻击是当前网络上最为常见的DDos攻击，也是最经典的拒绝服务攻击。它利用TCP协议上的一个缺陷，通过向网络服务所在端口发送大量伪造的源地址攻击报文，造成目标服务器中的半开连接队列被占满，从而达到阻止其他合法用户进行访问的目的。很多操作系统，甚至防火墙、路由器都无法有效地防御这种攻击，而且由于它可以方便地伪造源地址，追查起来也非常困难。这种攻击的数据包特征是网络中会出现大量的SYN包，但缺少三次握手的最后一步握手AC

23、K回复。这种方法是比较初级DOS攻击，随着宽带的不断提高，计算机性能越来越好，现在的计算机有足够的能力来对付这种攻击，目前这种攻击已经比较少见了。,死亡之ping （ping of death）,由于在早期的路由器对包的最大尺寸有限制，许多操作系统的TCP/IP栈在接收ICMP包时都规定不能超过64KB，并且在读取了包的标题头之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区。如果黑客不断的对某一台主机发送Ping命令，当接收主机接收到过多ICMP包的数量使得计算机内存加载尺寸超过64K上限，就会因为内存分配错误而导致TCP/IP堆栈崩溃，致使被攻击主机宕机。,泪滴（teardrop）,泪

24、滴攻击是利用在TCP/IP堆栈中信任的IP碎片中包的标题头所包含的信息来实现的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/ IP（包括service pack 4以前的NT）在收到含有重叠偏移的伪造分段时将会崩溃。,UDP洪水（UDP flood）,UDP Flood是一种流量型DoS攻击。它实施的原理比较简单，常见的情况是大量的UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。一般100kbps流量的UDP Flood就可以将线路上的骨干设备例如防火墙打瘫。UDP协议是一种无连接的服务，依靠开启UDP的端口来提供服务，攻击者可对开启的端口发送大量

25、伪造源IP地址的小UDP包进行攻击。,Land攻击,在Land攻击中，一个特别打造的SYN包的原地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时才断掉，对Land攻击反应不同，许多UNIX系统将崩溃，NT变的极其缓慢。,Smurf攻击,一个简单的smurf攻击可通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（ping）的数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞。一般smurf攻击要比ping

26、of death洪水的流量高出一或两个数量级。更加复杂的Smurf会将源地址改为第三方的受害者，最终导致第三方雪崩。,电子邮件炸弹,电子邮件炸弹是最古老的匿名攻击之一，通过配置一台机器向某个IP地址的主机不断大量地发送电子邮件，耗尽被攻击者的网络带宽，使其不能上网为攻击的目的。,畸形消息攻击,各类操作系统上的许多服务都存在此类问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。,DDos攻击,DDoS攻击是在传统的DoS攻击基础之发展出来的一类攻击。DoS攻击是一对一攻击，当攻击目标主机的性能较差，如CPU速度较低，内存较小，网络带宽较窄时，其攻击效果是比较

27、明显的。但随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存也大大增加，网络一般都是千兆级网络时，使用DoS攻击，即使每秒钟发送3,000个攻击包，对于可以处理10,000个攻击包的网络与主机来说也是没有什么效果的。,网络攻击的类型,2.利用型攻击 利用型攻击是一类试图直接对你的机器进行控制的攻击。如口令型攻击、特洛伊木马攻击等等。,口令猜测,一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号，成功的口令猜测能提供对机器的控制。这种攻击的防御方法是要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这

28、样可利用的服务不暴露在公共范围。如果服务支持锁 定策略，就要进行锁定。,特洛伊木马,特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。最有效的一种木马叫做后门程序，有良性与如恶性之分，恶性的有：NetBus、BackOrifice和BO2k等，良性的木马程序有：netcat、VNC、pcAnywhere等。理想的后门程序可以透明运行。,缓冲区溢出,由于在很多的服务程序中大意的程序员会使用象strcpy(),strcat()类似的不进行有效位检查的函数，而这种安全漏洞很容易被恶意用户利

29、用，如编写一小段程序安装在缓冲区有效载荷末尾，当发生缓冲区溢出时，返回指针指向恶意代码，从而获得系统的控制权。 防御方法：利用SafeLib、tripwire这样的程序保护系统，或者浏览最新的安全公告不断更新操作系统，打上补丁。,网络攻击的类型,3.信息收集型攻击信息收集型攻击并不对目标本身造成危害，这类攻击主要用来为进一步入侵提供有用的信息。包括：扫描、体系结构刺探、信息服务利用。,DNS域转换,DNS协议不对转换或信息性的更新进行身份认证，这使得该协议可以被人以一些不同的方式加以利用，黑客只需实施一次域转换操作就能得到所有主机的名称以及内部IP地址。 防御方法：在防火墙处过滤掉域转换请求。

30、,Finger服务,黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。 防御方法：关闭finger服务并记录尝试连接该服务的对方IP地址，或者在防火墙上进行过滤。,LDAP服务（目录信息服务）,黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。 防御：对于刺探内部网络的LDAP进行阻断并记录，如果在公共机器上提供LDAP服务，那么应把LDAP服务器放入DMZ。,假消息攻击,用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件等。,DNS高速缓存污染,由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正

31、确的信息掺进来并把用户引向黑客自己的主机。 防御方法：在防火墙上过滤入站的DNS更新，外部DNS服务器不应能更改你的内部服务器对内部机器的认识。,伪造电子邮件,由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。 防御方法：使用PGP等安全工具并安装电子邮件证书。,二、典型网络攻击分析,1. SYN Flood攻击这种因为假连接而导致打开网页缓慢或服务器无法响应情况，就是我们常说的服务器端SYN Flood攻击。,SYN Flood攻击,SYN Flood攻击的监测

32、对于SYN Flood攻击，目前尚没有很好的监测和防御方法，不过如果系统管理员熟悉攻击方法和系统架构，通过一系列的设定，也能从一定程度上降低被攻击的负面影响。一般来说，如果一个主机的负荷突然升高甚至失去响应，使用Netstat命令看到大量SYN_RCVD的半连接（数量500或占总连接数的10% 以上），就基本可以认定，这个主机遭到了SYN Flood攻击。,SYN Flood攻击（取证）,当遭到SYN Flood攻击时，首先要做的就是取证，可通过Netstatnp tcp resaul. txt记录目前所有TCP连接状态。当然，如果用嗅探器或者TcpDump之类的工具，可记录TCP SYN报文

33、的所有细节，将有助于追查和防御,SYN Flood攻击（取证）,需要记录的字段有：源地址、IP首部中的标识、TCP首部中的序列号、TTL值等。这些信息虽然很可能是攻击者伪造的，但有助于分析攻击者的心理状态和攻击程序。特别是TTL值，如果大量的攻击包来自不同的IP但TTL值却相同，就可以推断出攻击者与我们之间的路由器距离，至少可以通过过滤特定TTL值的报文，降低攻击的效果，保证TTL值与攻击报文不同用户的正常访问。,SYN Flood攻击的防护,可缩短SYN Timeout时间和设置SYN Cookie来进行SYN攻击保护。对早期的Win系统，可修改注册表来降低SYN Flood的危害，在注册表

34、中作如下改动：打开regedit，找到HKEY_LOCAL_ MACHINE SystemCurrentControlSetServicesTcpipParameters增加一个SynAttackProtect的键值，类型为REG_DWORD，取值范围是0-2，这个值决定了系统受到SYN攻击时采取的保护措施，包括减少系统SYN+ACK的重试的次数等，默认值是0（没有任何保护措施），推荐设置是2。,SYN Flood攻击,防护技术 通过设置注册表防御SYN Flood攻击，采用的是“挨打”的策略，无论系统如何强大，始终不能光靠挨打支撑下去，除了挨打之外，“退让”也是一种比较有效的方法。 如：更换

35、自己的IP地址。,SYN Flood攻击防护,采用网关型防火墙 客户机并不直接与服务器建立连接，在TCP连接没有完成时防火墙不会去向后台的服务器建立新的TCP连接，所以攻击者无法越过防火墙直接攻击后台服务器，只要防火墙本身做的足够强壮，这种架构可以抵抗相当强度的SYN Flood攻击。,2ARP攻击,ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。ARP是用来完成IP地址转换为第二层物理地址（即MAC地址）的协议。,ARP欺骗的过程,如果要对目标A进行欺骗，假如主机A要去Ping主机C，主机A会通过ARP协议在网上发送请求数据报，以获得主机C的MA

36、C地址，这时只要设法在网上给主机A发送D的MAC地址，那么就可以使主机A把要发送到C的数据包，发送给D。如果主机接收了主机A传送来的数据包而不处理，那么主机A到主机C的连接就会终止。要使这个游戏一直进行下去的话，就要求主机D必须成为一个中间角色，它要将主机A传来的信息再传送至主机C，即进行ARP的重定向。当然，主机D要实现重定向必须直接修改由主机A传送了的数据包，然后再转发给C，只有当C接收到的数据包并且完全认为是从主机A发送来的时候，这场游戏才可能延续。这样做的结果是主机D可以完全掌握主机A与C之间的通信内容，窃取了两者的秘密。,ARP防范方法,最为有效的防范方法就是打全Windows的补丁

37、、正确配置和使用网络防火墙、安装防病毒软件并及时更新病毒库。将IP和MAC静态绑定是一种对法ARP攻击的办法，需要在网内把主机和网关都做IP和MAC绑定。可以选择一款软件是彩影软件ARP防火墙。,三、入侵攻击检测,随着计算机网络知识的普及，网络攻击者越来越多，攻击工具与手法复杂多样，单纯的防火墙已无法满足较高安全级别部门的要求，网络的安全需要一些纵深的、多样的技术工具与手段。,三、入侵攻击检测,入侵检测系统结构,2.入侵检测系统的类型,入侵检测系统可分为主机型和网络型两种。,入侵检测系统的核心功能,入侵检测系统的核心功能是对捕获的各种事件进行分析，从中发现违反安全策略的行为。入侵检测从技术上可

38、分为两类：一种基于标志（signature-based）的检测，另一种基于异常情况（anomaly- based）检测。,入侵检测系统的核心功能,基于标识的检测技术首先要定义违背安全策略的事件的特征，如网络数据包的某些报头信息，检测这些信息的特征是否与收集到的特征数据库中的标准信息特征相匹配，此方法非常类似杀毒软件。,入侵检测系统的核心功能,基于异常检测技术 思路则是定义一组 “正常”情况的系统数值，如：CPU利用率、内存利用率、文件校验和等，然后将系统运行时的数值与所定义的“正常”数值相比较，得出是否有被攻击的判断。,4. 信息的收集与分析,信息收集包括收集系统、网络、数据及用户活动的状态和

39、行为。入侵检测的性能很大程度上依赖于收集信息的可靠性和正确性。信息：日志文件信息、网络环境文件信息、 程序行为信息,信息的收集与分析,三种技术手段进行分析 模式匹配：就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较，从而发现违背安全策略的行为。 统计分析：首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性。 完整性分析：主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被木马化的应用程序方面特别有效。,入侵检测工具,入侵检测系统分为软件与硬件设备两种类型。 常见的软件入侵检测系统有Sonrt、ISS Real Secure、Cisco Secure IDS以及NFR等。由于软件型IDS在通用平台上运行，存在安全隐患，现在专业环境下通常会采用硬件设备的IDS，因为不同厂家都有各自不同的系统平台，安全性相对要高些。,四、一般攻击防范技术,（1）定期扫描 （2）在骨干节点配置防火墙 （3）用足够的机器承受黑客攻击（4）充分利用网络设备保护网络资源（5）过滤不必要的服务和端口 （6）检查访问者的来源 （7）过滤所IP地址 （8）限制SYN/ICMP流量,