1、網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案5第第5章章 黑客攻擊及防范黑客攻擊及防范 5.1 黑客概述黑客概述 5.2 個(gè)人計(jì)算機(jī)的網(wǎng)絡(luò)安全個(gè)人計(jì)算機(jī)的網(wǎng)絡(luò)安全 5.3 黑客常用工具和防御黑客常用工具和防御 5.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng) 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.1 黑客概述黑客概述 5.1.1 黑客文化簡(jiǎn)史黑客文化簡(jiǎn)史5.1.2 黑客攻擊的目的和黑客攻擊的目的和3個(gè)階段個(gè)階段 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.1.1 黑客文化簡(jiǎn)史黑客文化簡(jiǎn)史 步入步入21世紀(jì)以后，黑客群體又有了新的世紀(jì)以后，黑客群體又有了新的變化和新的特征，主要表現(xiàn)在以下幾個(gè)方變化和新的特征，主要表現(xiàn)在以下幾個(gè)方面。面。l1黑客群

2、體擴(kuò)大化黑客群體擴(kuò)大化l2黑客的組織化和集團(tuán)化黑客的組織化和集團(tuán)化l3黑客行為的商業(yè)化黑客行為的商業(yè)化l4黑客行為的政治化黑客行為的政治化 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.1.1 黑客文化簡(jiǎn)史黑客文化簡(jiǎn)史 雖然黑客團(tuán)體隨著時(shí)代的變化發(fā)生日新月雖然黑客團(tuán)體隨著時(shí)代的變化發(fā)生日新月異的變化，但有一點(diǎn)需要特別注明的是，異的變化，但有一點(diǎn)需要特別注明的是，在現(xiàn)代黑客團(tuán)體中，有兩大類截然不同的在現(xiàn)代黑客團(tuán)體中，有兩大類截然不同的陣營(yíng)：一類是本節(jié)所討論的黑客，另一類陣營(yíng)：一類是本節(jié)所討論的黑客，另一類就是從事破壞活動(dòng)的駭客（就是從事破壞活動(dòng)的駭客（Cracker），），有時(shí)也將其稱為破譯者或入侵者。有時(shí)也

3、將其稱為破譯者或入侵者。兩者從定義上的根本區(qū)別在于：是否給他兩者從定義上的根本區(qū)別在于：是否給他人的系統(tǒng)和數(shù)據(jù)帶來(lái)破壞。人的系統(tǒng)和數(shù)據(jù)帶來(lái)破壞。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.1.2 黑客攻擊的目的和黑客攻擊的目的和3個(gè)階段個(gè)階段 黑客的攻擊目標(biāo)也會(huì)多種多樣，但大致上黑客的攻擊目標(biāo)也會(huì)多種多樣，但大致上可以歸納總結(jié)如下。可以歸納總結(jié)如下。l1竊取信息竊取信息l2獲取口令獲取口令l3控制中間站點(diǎn)控制中間站點(diǎn)l4獲得超級(jí)用戶權(quán)限獲得超級(jí)用戶權(quán)限 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.1.2 黑客攻擊的目的和黑客攻擊的目的和3個(gè)階段個(gè)階段 黑客攻擊可以分為以下黑客攻擊可以分為以下3個(gè)階段。個(gè)階段。l（1

4、）確定目標(biāo)）確定目標(biāo)l（2）搜集與攻擊目標(biāo)相關(guān)的信息，并找出系）搜集與攻擊目標(biāo)相關(guān)的信息，并找出系統(tǒng)的安全漏洞統(tǒng)的安全漏洞l（3）實(shí)施攻擊）實(shí)施攻擊 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2 個(gè)人計(jì)算機(jī)的網(wǎng)絡(luò)安個(gè)人計(jì)算機(jī)的網(wǎng)絡(luò)安 5.2.1 口令安全口令安全5.2.2 特洛伊木馬特洛伊木馬 5.2.3 Windows 2000的安全的安全 5.2.4 QQ的安全的安全 5.2.5 電子郵件的安全電子郵件的安全 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.1 口令安全口令安全 （1）第一種破解口令的方法是利用口令）第一種破解口令的方法是利用口令破解器。破解器。圖圖5.1 口令破解器口令破解器 候選口令 產(chǎn)生器

5、 字典 口令 加密 加密 算法 密文 比較器 待破解的 口令密文 輸出結(jié)果 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.1 口令安全口令安全 （2）另一種產(chǎn)生候選口令的方法是使用）另一種產(chǎn)生候選口令的方法是使用枚舉法。枚舉法。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.1 口令安全口令安全 容易選擇而且又缺乏安全性的口令包括以容易選擇而且又缺乏安全性的口令包括以下幾種。下幾種。l（1）使用與用戶名相同的口令，或使用用戶）使用與用戶名相同的口令，或使用用戶名的變換形式作口令。名的變換形式作口令。l（2）使用生日作為口令。）使用生日作為口令。l（3）使用常用的英文單詞作為口令。）使用常用的英文單詞作為口令。l（

6、4）使用較短的字符串作為口令，比如選擇）使用較短的字符串作為口令，比如選擇8位以下的字符串作口令。位以下的字符串作口令。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.1 口令安全口令安全 要選擇安全有效的口令，應(yīng)該遵循以下規(guī)要選擇安全有效的口令，應(yīng)該遵循以下規(guī)則。則。l（1）選擇長(zhǎng)的口令，口令越長(zhǎng)，黑客猜中的）選擇長(zhǎng)的口令，口令越長(zhǎng)，黑客猜中的可能性就越低。可能性就越低。l（2）最好的口令包括大小寫(xiě)英文字母和數(shù)字）最好的口令包括大小寫(xiě)英文字母和數(shù)字的組合。的組合。l（3）定期更換口令。）定期更換口令。網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.1 口令安全口令安全 在使用口令的過(guò)程中要注意以下事項(xiàng)。在使用口令

7、的過(guò)程中要注意以下事項(xiàng)。l（1）不要將口令寫(xiě)下來(lái)，或存放于存儲(chǔ)器中。）不要將口令寫(xiě)下來(lái)，或存放于存儲(chǔ)器中。l（2）不要在不同系統(tǒng)上使用同一個(gè)口令。）不要在不同系統(tǒng)上使用同一個(gè)口令。l（3）不要讓其他人看見(jiàn)自己輸入口令。）不要讓其他人看見(jiàn)自己輸入口令。l（4）如果口令在網(wǎng)上傳輸，則應(yīng)對(duì)口令加密）如果口令在網(wǎng)上傳輸，則應(yīng)對(duì)口令加密或在系統(tǒng)中安裝相關(guān)軟件或硬件來(lái)使用一次性或在系統(tǒng)中安裝相關(guān)軟件或硬件來(lái)使用一次性口令。口令。網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.2 特洛伊木馬特洛伊木馬 特洛伊木馬是一種基于遠(yuǎn)程控制的黑客工特洛伊木馬是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。具，具有隱蔽性

8、和非授權(quán)性的特點(diǎn)。一個(gè)完整的木馬系統(tǒng)由硬件部分、軟件部一個(gè)完整的木馬系統(tǒng)由硬件部分、軟件部分和具體連接部分組成。分和具體連接部分組成。木馬在網(wǎng)絡(luò)上的傳播和攻擊過(guò)程大致可分木馬在網(wǎng)絡(luò)上的傳播和攻擊過(guò)程大致可分為以下為以下6步。步。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.2 特洛伊木馬特洛伊木馬 1配置木馬配置木馬在這個(gè)階段的主要目的是實(shí)現(xiàn)木馬的偽裝在這個(gè)階段的主要目的是實(shí)現(xiàn)木馬的偽裝和信息反饋兩個(gè)功能。和信息反饋兩個(gè)功能。木馬的偽裝形式包括以下幾種。木馬的偽裝形式包括以下幾種。l 修改圖標(biāo)。修改圖標(biāo)。l 捆綁文件。捆綁文件。網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.2 特洛伊木馬特洛伊木馬 l 出錯(cuò)提示

9、。出錯(cuò)提示。l 定制端口。定制端口。l 自我銷(xiāo)毀。自我銷(xiāo)毀。l 木馬更名。木馬更名。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.2 特洛伊木馬特洛伊木馬 2傳播木馬傳播木馬3運(yùn)行木馬運(yùn)行木馬4信息泄露信息泄露5建立連接建立連接6遠(yuǎn)程控制遠(yuǎn)程控制網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.2 特洛伊木馬特洛伊木馬 控制端能享有的控制權(quán)限有以下幾種?？刂贫四芟碛械目刂茩?quán)限有以下幾種。l 竊取密碼。竊取密碼。l 文件操作。文件操作。l 修改注冊(cè)表。修改注冊(cè)表。l 系統(tǒng)操作。系統(tǒng)操作。網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.3 Windows 2000的安全的安全Windows 2000要求每個(gè)用戶提供惟一要求每個(gè)用戶

10、提供惟一的用戶名和口令來(lái)登錄到計(jì)算機(jī)，這種強(qiáng)的用戶名和口令來(lái)登錄到計(jì)算機(jī)，這種強(qiáng)制性登錄過(guò)程是不能關(guān)閉的。制性登錄過(guò)程是不能關(guān)閉的。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.3 Windows 2000的安全的安全這種強(qiáng)制性登錄和使用這種強(qiáng)制性登錄和使用Ctrl+Alt+Delete啟動(dòng)登錄過(guò)程的好處啟動(dòng)登錄過(guò)程的好處包括以下幾點(diǎn)。包括以下幾點(diǎn)。l（1）確定用戶身份是否合法，從而確定用戶）確定用戶身份是否合法，從而確定用戶對(duì)系統(tǒng)資源的訪問(wèn)權(quán)限。對(duì)系統(tǒng)資源的訪問(wèn)權(quán)限。l（2）在強(qiáng)制性登錄期間，掛起對(duì)用戶模式程）在強(qiáng)制性登錄期間，掛起對(duì)用戶模式程序的訪問(wèn)，可以防止創(chuàng)建或偷竊用戶賬號(hào)和口序的訪問(wèn)，可以防

11、止創(chuàng)建或偷竊用戶賬號(hào)和口令。令。l（3）強(qiáng)制登錄過(guò)程允許不同用戶具有單獨(dú)的）強(qiáng)制登錄過(guò)程允許不同用戶具有單獨(dú)的配置，包括桌面和網(wǎng)絡(luò)連接等。配置，包括桌面和網(wǎng)絡(luò)連接等。網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.3 Windows 2000的安全的安全在在Windows 2000中有兩個(gè)默認(rèn)用戶，中有兩個(gè)默認(rèn)用戶，一個(gè)是一個(gè)是Guest，另一個(gè)是，另一個(gè)是Administrator。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.3 Windows 2000的安全的安全圖圖5.2 在本地安全設(shè)置中設(shè)置安全選項(xiàng)在本地安全設(shè)置中設(shè)置安全選項(xiàng) 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.3 Windows 2000的安全的安全

12、圖圖5.3 在本地安全設(shè)置中設(shè)置密碼策略在本地安全設(shè)置中設(shè)置密碼策略 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.3 Windows 2000的安全的安全圖圖5.4 沒(méi)有使用沒(méi)有使用NTFS的安全性的安全性 網(wǎng)絡(luò)用戶訪 問(wèn)共享目錄 共享許可證 服務(wù)器文件和目錄 本地用戶 訪問(wèn)硬盤(pán) 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.3 Windows 2000的安全的安全圖圖5.5 使用了使用了NTFS的安全性的安全性 網(wǎng)絡(luò)用戶訪 問(wèn)共享目錄 共享許可證 服務(wù)器文件和目錄 本地用戶 訪問(wèn)硬盤(pán) NTFS 許可權(quán) 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.3 Windows 2000的安全的安全圖圖5.6 文件夾的權(quán)限分配文件

13、夾的權(quán)限分配 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.3 Windows 2000的安全的安全圖圖5.7 文件的權(quán)限分配文件的權(quán)限分配 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.3 Windows 2000的安全的安全Windows 2000中所提供的各權(quán)限的具中所提供的各權(quán)限的具體含義如表體含義如表5.1所示。所示。 表 5. 1 W indow s 2 0 0 0 的安全權(quán)限 NTFS 權(quán)限 文 件 夾 文 件 讀（R） 顯示文件夾的名稱、屬性、所有者和許可權(quán) 顯示文件數(shù)據(jù)、屬性、所有者和許可權(quán) 寫(xiě)（W） 添加文件和文件夾、改變文件夾的屬性、顯示所有者和許可權(quán) 顯示所有者和許可權(quán)，修改文件屬性以及創(chuàng)

14、建或修改文件數(shù)據(jù) 執(zhí)行（X） 顯示文件夾屬性，改變文件夾中的子文件夾，顯示所有者和許可 顯示文件屬性，所有者和許可權(quán)。如果是個(gè)可執(zhí)行文件的話就可以運(yùn)行。 刪除（D） 刪除文件夾 刪除文件 修改（M） 改變文件夾的許可權(quán) 改變文件的許可權(quán) 成為所有者（O） 成為文件夾的所有者 成為文件的所有者 拒絕訪問(wèn) 無(wú)任何權(quán)限 無(wú)任何權(quán)限 列出文件夾目錄 有 RX 的權(quán)限 沒(méi)有這個(gè)應(yīng)用 讀取 R R 讀取及運(yùn)行 RX RX 寫(xiě)入 W W 修改 RWXD RWXD 完全控制 所有權(quán)限 所有權(quán)限 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.3 Windows 2000的安全的安全NTFS對(duì)遠(yuǎn)程用戶的文件和文件夾的訪問(wèn)對(duì)

15、遠(yuǎn)程用戶的文件和文件夾的訪問(wèn)控制是通過(guò)共享提供的?？晒┻x擇的共享控制是通過(guò)共享提供的。可供選擇的共享權(quán)限與具體的含義如表權(quán)限與具體的含義如表5.2所示。所示。 設(shè)計(jì)設(shè)計(jì)Windows 2000的訪問(wèn)權(quán)限時(shí)應(yīng)將的訪問(wèn)權(quán)限時(shí)應(yīng)將本地和遠(yuǎn)程的權(quán)限進(jìn)行組合。本地和遠(yuǎn)程的權(quán)限進(jìn)行組合。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.3 Windows 2000的安全的安全表 5. 2 遠(yuǎn)程訪問(wèn)許可權(quán)限 權(quán) 限 允 許 完全控制 改變文件許可權(quán)限；成為文件的所有者；因可改變權(quán)限而執(zhí)行的所有操作 修改 創(chuàng)建文件夾添加文件；改變、添加數(shù)據(jù)至某個(gè)文件；改變文件屬性；刪除文件夾和文件；通過(guò)讀許可來(lái)完成所允許的任務(wù) 讀取和執(zhí)

16、行 顯示文件夾和文件的名稱；顯示文件數(shù)據(jù)和屬性；運(yùn)行程序文件；改變文件夾內(nèi)的文件夾 拒絕訪問(wèn) 僅創(chuàng)建一個(gè)共享文件夾的鏈接。不能訪問(wèn)文件夾，不顯示內(nèi)容。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.4 QQ的安全的安全 QQ采用的是采用的是C/S模型，使用的是模型，使用的是UDP協(xié)協(xié)議。議。常見(jiàn)的常見(jiàn)的QQ攻擊和防御方法。攻擊和防御方法。l1在在QQ中顯示對(duì)方的中顯示對(duì)方的IP地址地址l2QQ密碼破解密碼破解l3QQ消息炸彈消息炸彈網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.2.5 電子郵件的安全電子郵件的安全 對(duì)于電子郵件的攻擊主要有電子郵箱的密對(duì)于電子郵件的攻擊主要有電子郵箱的密碼破解與電子郵件炸彈兩種。碼破解

17、與電子郵件炸彈兩種。網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3 黑客常用工具和防御黑客常用工具和防御 5.3.1 探測(cè)與掃描探測(cè)與掃描 5.3.2 Sniffer 5.3.3 拒絕服務(wù)拒絕服務(wù) 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.1 探測(cè)與掃描探測(cè)與掃描 目標(biāo)探測(cè)是通過(guò)自動(dòng)或人工查詢方法，獲目標(biāo)探測(cè)是通過(guò)自動(dòng)或人工查詢方法，獲得與目標(biāo)網(wǎng)絡(luò)相關(guān)的物理和邏輯的參數(shù)，得與目標(biāo)網(wǎng)絡(luò)相關(guān)的物理和邏輯的參數(shù)，構(gòu)建一個(gè)完整的目標(biāo)剖析檔案。構(gòu)建一個(gè)完整的目標(biāo)剖析檔案。目標(biāo)探測(cè)是成功地防范黑客攻擊行為的重目標(biāo)探測(cè)是成功地防范黑客攻擊行為的重要保證，因此目標(biāo)探測(cè)的可靠性、準(zhǔn)確性要保證，因此目標(biāo)探測(cè)的可靠性、準(zhǔn)確性和完整性

18、顯得尤為重要，它需要豐富的技和完整性顯得尤為重要，它需要豐富的技術(shù)和經(jīng)驗(yàn)。術(shù)和經(jīng)驗(yàn)。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.1 探測(cè)與掃描探測(cè)與掃描目標(biāo)探測(cè)所包括的內(nèi)容基本上有以下兩類。目標(biāo)探測(cè)所包括的內(nèi)容基本上有以下兩類。l（1）外網(wǎng)信息，包括域名、管理員信息、域）外網(wǎng)信息，包括域名、管理員信息、域名注冊(cè)機(jī)構(gòu)、名注冊(cè)機(jī)構(gòu)、DNS主機(jī)、網(wǎng)絡(luò)地址范圍、網(wǎng)主機(jī)、網(wǎng)絡(luò)地址范圍、網(wǎng)絡(luò)位置、網(wǎng)絡(luò)地址分配機(jī)構(gòu)信息、系統(tǒng)提供的絡(luò)位置、網(wǎng)絡(luò)地址分配機(jī)構(gòu)信息、系統(tǒng)提供的各種服務(wù)和網(wǎng)絡(luò)安全配置等。各種服務(wù)和網(wǎng)絡(luò)安全配置等。l（2）內(nèi)網(wǎng)信息，包括內(nèi)部網(wǎng)絡(luò)協(xié)議、拓樸結(jié)）內(nèi)網(wǎng)信息，包括內(nèi)部網(wǎng)絡(luò)協(xié)議、拓樸結(jié)構(gòu)、系統(tǒng)體系結(jié)構(gòu)

19、和安全配置等。構(gòu)、系統(tǒng)體系結(jié)構(gòu)和安全配置等。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.1 探測(cè)與掃描探測(cè)與掃描目標(biāo)探測(cè)主要利用以下目標(biāo)探測(cè)主要利用以下4種檢測(cè)技術(shù)。種檢測(cè)技術(shù)。l（1）基于應(yīng)用的檢測(cè)技術(shù)。）基于應(yīng)用的檢測(cè)技術(shù)。l（2）基于主機(jī)的檢測(cè)技術(shù)。）基于主機(jī)的檢測(cè)技術(shù)。l（3）基于目標(biāo)的漏洞檢測(cè)技術(shù)。）基于目標(biāo)的漏洞檢測(cè)技術(shù)。l（4）基于網(wǎng)絡(luò)的檢測(cè)技術(shù)。）基于網(wǎng)絡(luò)的檢測(cè)技術(shù)。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.1 探測(cè)與掃描探測(cè)與掃描系統(tǒng)存在薄弱環(huán)節(jié)主要有以下系統(tǒng)存在薄弱環(huán)節(jié)主要有以下3個(gè)方面的個(gè)方面的原因。原因。l（1）軟件自身安全性差。）軟件自身安全性差。l（2）安全策略不當(dāng)。）安全策

20、略不當(dāng)。l（3）操作人員缺乏安全意識(shí)。）操作人員缺乏安全意識(shí)。網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.1 探測(cè)與掃描探測(cè)與掃描目標(biāo)探測(cè)軟件最初只有一些專門(mén)為目標(biāo)探測(cè)軟件最初只有一些專門(mén)為UNIX系統(tǒng)編寫(xiě)的、具有簡(jiǎn)單功能的小程序，到系統(tǒng)編寫(xiě)的、具有簡(jiǎn)單功能的小程序，到現(xiàn)在已經(jīng)出現(xiàn)了多種運(yùn)行在各種操作系統(tǒng)現(xiàn)在已經(jīng)出現(xiàn)了多種運(yùn)行在各種操作系統(tǒng)平臺(tái)上的、具有復(fù)雜功能的程序，而且還平臺(tái)上的、具有復(fù)雜功能的程序，而且還在技術(shù)上快速發(fā)展著。在技術(shù)上快速發(fā)展著。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.1 探測(cè)與掃描探測(cè)與掃描目標(biāo)探測(cè)軟件具有以下發(fā)展趨勢(shì)。目標(biāo)探測(cè)軟件具有以下發(fā)展趨勢(shì)。l（1）使用插件或者叫做功能模塊

21、技術(shù)。）使用插件或者叫做功能模塊技術(shù)。l（2）使用專用腳本語(yǔ)言。）使用專用腳本語(yǔ)言。l（3）探測(cè)功能的綜合化和系統(tǒng)化發(fā)展。）探測(cè)功能的綜合化和系統(tǒng)化發(fā)展。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.1 探測(cè)與掃描探測(cè)與掃描進(jìn)行目標(biāo)探測(cè)的過(guò)程。進(jìn)行目標(biāo)探測(cè)的過(guò)程。l（1）確定目標(biāo)范圍）確定目標(biāo)范圍 l（2）分析目標(biāo)網(wǎng)絡(luò)信息）分析目標(biāo)網(wǎng)絡(luò)信息l（3）目標(biāo)網(wǎng)絡(luò)路由途徑）目標(biāo)網(wǎng)絡(luò)路由途徑 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.1 探測(cè)與掃描探測(cè)與掃描圖圖5.8 通過(guò)對(duì)通過(guò)對(duì)APNIC Whois Database查詢可獲得該查詢可獲得該IP地地址的詳細(xì)信息址的詳細(xì)信息 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.1

22、探測(cè)與掃描探測(cè)與掃描圖圖5.9 利用利用Visual Route顯示目標(biāo)網(wǎng)絡(luò)詳細(xì)的信顯示目標(biāo)網(wǎng)絡(luò)詳細(xì)的信息息 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.2 Sniffer ISS對(duì)對(duì)Sniffer的定義是：的定義是：Sniffer是利是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。算機(jī)的數(shù)據(jù)報(bào)文的一種工具。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.2 Sniffer 1Microsoft Network Monitor 圖圖5.10 用網(wǎng)絡(luò)監(jiān)視器查看到感染了震蕩波病毒的系用網(wǎng)絡(luò)監(jiān)視器查看到感染了震蕩波病毒的系統(tǒng)瘋狂連接目標(biāo)主機(jī)的統(tǒng)瘋狂連接目標(biāo)主機(jī)的4

23、45端口端口 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.2 Sniffer Sniffer Pro的主要功能如下。的主要功能如下。l（1）為網(wǎng)絡(luò)協(xié)議分析捕獲網(wǎng)絡(luò)數(shù)據(jù)包）為網(wǎng)絡(luò)協(xié)議分析捕獲網(wǎng)絡(luò)數(shù)據(jù)包l（2）分析論斷網(wǎng)絡(luò)故障）分析論斷網(wǎng)絡(luò)故障l（3）實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的活動(dòng)情況）實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的活動(dòng)情況網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.2 Sniffer l（4）收集單個(gè)工作站、會(huì)話，或者網(wǎng)絡(luò)中的）收集單個(gè)工作站、會(huì)話，或者網(wǎng)絡(luò)中的任何一部分的詳細(xì)的網(wǎng)絡(luò)利用情況和錯(cuò)誤統(tǒng)計(jì)任何一部分的詳細(xì)的網(wǎng)絡(luò)利用情況和錯(cuò)誤統(tǒng)計(jì)l（5）保存網(wǎng)絡(luò)情況的歷史記錄和錯(cuò)誤信息，）保存網(wǎng)絡(luò)情況的歷史記錄和錯(cuò)誤信息，建立基線建立基線l（6

24、）當(dāng)檢測(cè)到網(wǎng)絡(luò)故障的時(shí)候，生成直觀的）當(dāng)檢測(cè)到網(wǎng)絡(luò)故障的時(shí)候，生成直觀的實(shí)時(shí)警報(bào)并通知網(wǎng)絡(luò)管理員實(shí)時(shí)警報(bào)并通知網(wǎng)絡(luò)管理員l（7）模擬網(wǎng)絡(luò)數(shù)據(jù)來(lái)探測(cè)網(wǎng)絡(luò)，衡量響應(yīng)時(shí)）模擬網(wǎng)絡(luò)數(shù)據(jù)來(lái)探測(cè)網(wǎng)絡(luò)，衡量響應(yīng)時(shí)間，路由跳數(shù)計(jì)數(shù)并排錯(cuò)間，路由跳數(shù)計(jì)數(shù)并排錯(cuò) 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.2 Sniffer Sniffer Pro的工作界面如圖的工作界面如圖5.11所示。所示。圖圖5.11 Sniffer Pro的工作界面的工作界面 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.2 Sniffer 網(wǎng)絡(luò)監(jiān)聽(tīng)的檢測(cè)和防范。網(wǎng)絡(luò)監(jiān)聽(tīng)的檢測(cè)和防范。 l1對(duì)可能存在的網(wǎng)絡(luò)監(jiān)聽(tīng)的檢測(cè)對(duì)可能存在的網(wǎng)絡(luò)監(jiān)聽(tīng)的檢測(cè)l2對(duì)網(wǎng)絡(luò)監(jiān)聽(tīng)

25、的防范措施對(duì)網(wǎng)絡(luò)監(jiān)聽(tīng)的防范措施 （1）從邏輯或物理上對(duì)網(wǎng)絡(luò)分段）從邏輯或物理上對(duì)網(wǎng)絡(luò)分段 （2）以交換式集線器代替共享式集線器）以交換式集線器代替共享式集線器 （3）使用加密技術(shù)）使用加密技術(shù) （4）劃分）劃分VLAN 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.3 拒絕服務(wù)拒絕服務(wù) 1拒絕服務(wù)的基本概念拒絕服務(wù)的基本概念拒絕服務(wù)（拒絕服務(wù)（Denial of Service，DoS）。）。造成造成DoS的攻擊行為被稱為的攻擊行為被稱為DoS攻擊，攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。服務(wù)。網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.3 拒絕服務(wù)拒絕服務(wù) 分布式拒

26、絕服務(wù)（分布式拒絕服務(wù)（Distributed Denial of Service，DDoS），它是一種基于），它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)。比較大的站點(diǎn)。DDoS攻擊分為攻擊分為3層：攻擊者、主控端和層：攻擊者、主控端和代理端，代理端，3者在攻擊中扮演著不同的角色。者在攻擊中扮演著不同的角色。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.3 拒絕服務(wù)拒絕服務(wù) 2DDoS攻擊使用的常用工具攻擊使用的常用工具l（1）Trinool（2）TFNl（3）TFN2Kl（4）

27、Stacheldraht網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.3 拒絕服務(wù)拒絕服務(wù) 3DDoS的監(jiān)測(cè)的監(jiān)測(cè)檢測(cè)檢測(cè)DDoS攻擊的主要方法有以下幾種。攻擊的主要方法有以下幾種。l（1）根據(jù)異常情況分析）根據(jù)異常情況分析l（2）使用）使用DDoS檢測(cè)工具檢測(cè)工具網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.3 拒絕服務(wù)拒絕服務(wù) 4DDoS攻擊的防御策略攻擊的防御策略l（1）及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安）及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁程序。裝系統(tǒng)補(bǔ)丁程序。l（2）在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物）在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。理環(huán)境，禁止那些不必要的網(wǎng)

28、絡(luò)服務(wù)。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.3 拒絕服務(wù)拒絕服務(wù) l（3）利用網(wǎng)絡(luò)安全設(shè)備（例如，防火墻）來(lái)）利用網(wǎng)絡(luò)安全設(shè)備（例如，防火墻）來(lái)加固網(wǎng)絡(luò)的安全性，配置好它們的安全規(guī)則，加固網(wǎng)絡(luò)的安全性，配置好它們的安全規(guī)則，過(guò)濾掉所有可能的偽造數(shù)據(jù)包。過(guò)濾掉所有可能的偽造數(shù)據(jù)包。l（4）比較好的防御措施就是和你的網(wǎng)絡(luò)服務(wù)）比較好的防御措施就是和你的網(wǎng)絡(luò)服務(wù)提供商協(xié)調(diào)工作，讓他們幫助你實(shí)現(xiàn)路由的訪提供商協(xié)調(diào)工作，讓他們幫助你實(shí)現(xiàn)路由的訪問(wèn)控制和對(duì)帶寬總量的限制。問(wèn)控制和對(duì)帶寬總量的限制。網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.3 拒絕服務(wù)拒絕服務(wù)l（5）當(dāng)你發(fā)現(xiàn)自己正在遭受）當(dāng)你發(fā)現(xiàn)自己正在遭受D

29、DoS攻擊時(shí)，攻擊時(shí)，應(yīng)當(dāng)啟動(dòng)你的應(yīng)付策略，盡可能快地追蹤攻擊應(yīng)當(dāng)啟動(dòng)你的應(yīng)付策略，盡可能快地追蹤攻擊包，并且要及時(shí)聯(lián)系包，并且要及時(shí)聯(lián)系ISP和有關(guān)應(yīng)急組織，分和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點(diǎn)，從而析受影響的系統(tǒng)，確定涉及的其他節(jié)點(diǎn)，從而阻擋已知攻擊節(jié)點(diǎn)的流量。阻擋已知攻擊節(jié)點(diǎn)的流量。網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.3.3 拒絕服務(wù)拒絕服務(wù)l（6）當(dāng)你是潛在的）當(dāng)你是潛在的DDoS攻擊受害者，發(fā)現(xiàn)攻擊受害者，發(fā)現(xiàn)你的計(jì)算機(jī)被攻擊者用作主控端和代理端時(shí)，你的計(jì)算機(jī)被攻擊者用作主控端和代理端時(shí)，不能因?yàn)槟愕南到y(tǒng)暫時(shí)沒(méi)有受到損害而掉以輕不能因?yàn)槟愕南到y(tǒng)暫時(shí)沒(méi)有受到損害而掉以輕心

30、，攻擊者已發(fā)現(xiàn)你系統(tǒng)的漏洞，這對(duì)于你的心，攻擊者已發(fā)現(xiàn)你系統(tǒng)的漏洞，這對(duì)于你的系統(tǒng)是一個(gè)很大的威脅。所以一旦發(fā)現(xiàn)系統(tǒng)中系統(tǒng)是一個(gè)很大的威脅。所以一旦發(fā)現(xiàn)系統(tǒng)中存在存在DDoS攻擊的工具軟件要及時(shí)把它清除，攻擊的工具軟件要及時(shí)把它清除，以免留下后患。以免留下后患。網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng) 5.4.1 入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述 5.4.2 利用系統(tǒng)日志做入侵檢測(cè)利用系統(tǒng)日志做入侵檢測(cè) 5.4.3 常用的入侵檢測(cè)工具介紹常用的入侵檢測(cè)工具介紹 5.4.4 入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì) 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.4.1 入侵檢測(cè)系統(tǒng)概述

31、入侵檢測(cè)系統(tǒng)概述 入侵檢測(cè)（入侵檢測(cè)（Intrusion Detection），），是對(duì)入侵行為的檢測(cè)。是對(duì)入侵行為的檢測(cè)。它通過(guò)收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系它通過(guò)收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊中是否存在違反安全策略的行為和被攻擊的跡象。的跡象。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)（侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）。）。網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.4.1 入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述 入侵檢

32、測(cè)系統(tǒng)處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)入侵檢測(cè)系統(tǒng)處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)。進(jìn)行實(shí)時(shí)檢測(cè)。入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)IDS是一種主動(dòng)保護(hù)自己免是一種主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.4.1 入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述 入侵檢測(cè)系統(tǒng)主要包括以下幾個(gè)方面的功能：入侵檢測(cè)系統(tǒng)主要包括以下幾個(gè)方面的功能：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；異常行為模式的統(tǒng)計(jì)分

33、析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。策略的行為。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.4.1 入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述 入侵檢測(cè)利用的信息一般來(lái)自以下入侵檢測(cè)利用的信息一般來(lái)自以下4個(gè)方個(gè)方面。面。l1系統(tǒng)和網(wǎng)絡(luò)日志文件系統(tǒng)和網(wǎng)絡(luò)日志文件l2目錄和文件中的不期望的改變目錄和文件中的不期望的改變l3程序執(zhí)行中的不期望行為程序執(zhí)行中的不期望行為l4物理形式的入侵信息物理形式的入侵信息網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.4.1 入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述 對(duì)上述對(duì)上述

34、4類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過(guò)通過(guò)3種技術(shù)手段進(jìn)行分析：種技術(shù)手段進(jìn)行分析： l1模式匹配模式匹配l2統(tǒng)計(jì)分析統(tǒng)計(jì)分析l3完整性分析完整性分析網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.4.1 入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述 經(jīng)過(guò)幾年的發(fā)展，入侵檢測(cè)產(chǎn)品開(kāi)始步入經(jīng)過(guò)幾年的發(fā)展，入侵檢測(cè)產(chǎn)品開(kāi)始步入快速的成長(zhǎng)期?？焖俚某砷L(zhǎng)期。一個(gè)入侵檢測(cè)產(chǎn)品通常由兩部分組成：傳一個(gè)入侵檢測(cè)產(chǎn)品通常由兩部分組成：傳感器感器(Sensor)與控制臺(tái)與控制臺(tái)(Console)。傳感器負(fù)責(zé)采集數(shù)據(jù)傳感器負(fù)責(zé)采集數(shù)據(jù)(網(wǎng)絡(luò)包、系

35、統(tǒng)日志網(wǎng)絡(luò)包、系統(tǒng)日志等等)、分析數(shù)據(jù)并生成安全事件。、分析數(shù)據(jù)并生成安全事件。控制臺(tái)主要起到中央管理的作用，商品化控制臺(tái)主要起到中央管理的作用，商品化的產(chǎn)品通常提供圖形界面的控制臺(tái)，這些的產(chǎn)品通常提供圖形界面的控制臺(tái)，這些控制臺(tái)基本上都支持控制臺(tái)基本上都支持Windows NT平臺(tái)。平臺(tái)。 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.4.1 入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述 從技術(shù)上看，這些產(chǎn)品基本上分為以下幾從技術(shù)上看，這些產(chǎn)品基本上分為以下幾類：類： l1基于網(wǎng)絡(luò)的入侵檢測(cè)基于網(wǎng)絡(luò)的入侵檢測(cè) l2基于主機(jī)的入侵檢測(cè)基于主機(jī)的入侵檢測(cè)l3混合入侵檢測(cè)混合入侵檢測(cè) l4文件完整性檢查文件完整性檢查 網(wǎng)絡(luò)安全與實(shí)訓(xùn)教程電子教案55.4.1 入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述若從入侵檢測(cè)技術(shù)上來(lái)討論，可對(duì)入侵檢若從入侵檢測(cè)技術(shù)上來(lái)討