網(wǎng)絡(luò)安全基礎(chǔ)理論中國電信2007年度寬帶業(yè)務(wù)維護(hù)服務(wù)技能競賽專用教材數(shù)據(jù)寬帶業(yè)務(wù)維護(hù)服務(wù)技能競賽辦公室編制現(xiàn)在網(wǎng)絡(luò)已經(jīng)不僅僅是一個(gè)時(shí)髦的名詞。事實(shí)上它已經(jīng)成為人們生活不可缺少的一部分。前言學(xué)習(xí)完此課程，您將會(huì)：了解病毒木馬的傳播原理和危害–掌握計(jì)算機(jī)安全操作的注意事項(xiàng)了解常見協(xié)議的安全性問題學(xué)習(xí)目標(biāo)第1章

病毒木馬原理及防范第2章

計(jì)算機(jī)安全操作第3章

協(xié)議安全性目錄第1章病毒木馬原理及防范第1節(jié)

定義第2節(jié)

傳播原理第3節(jié)

危害第4節(jié)

防范內(nèi)容介紹定義計(jì)算機(jī)病毒是指編制或在計(jì)算機(jī)程序中插入破壞計(jì)算機(jī)功能或數(shù)據(jù)，影響計(jì)算機(jī)使用并能自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)木馬通常是指在計(jì)算機(jī)用戶不知道的情況下安裝或?qū)懭胗?jì)算機(jī)的一類間諜程序軟件。病毒的特性一般病毒具有以下特性：可執(zhí)行性——與其他合法程序一樣，是一段可執(zhí)行程序，但不是一個(gè)完整的程序，而是寄生在其他可執(zhí)行程序上。傳染性——他通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到其他機(jī)器上，在某種情況下導(dǎo)致計(jì)算機(jī)工作失常。潛伏性——一些編制精巧的病毒程序，進(jìn)入系統(tǒng)之后不馬上發(fā)作，隱藏在合法文件中，對(duì)其他系統(tǒng)進(jìn)行秘密感染，一旦時(shí)機(jī)成熟，就四處繁殖、擴(kuò)散。可觸發(fā)性——病毒具有預(yù)定的觸發(fā)條件，可能是時(shí)間、日期、文件類型或某些特定數(shù)據(jù)等。針對(duì)性——有些病毒針對(duì)特定的操作系統(tǒng)或特定的計(jì)算機(jī)。隱蔽性——大部分病毒代碼非常短小，也是為了隱蔽。。病毒的傳播途徑計(jì)算機(jī)病毒的傳播途徑包括以下幾個(gè)方面：電子郵件移動(dòng)存儲(chǔ)設(shè)備網(wǎng)絡(luò)共享網(wǎng)頁無線通訊設(shè)備即時(shí)通訊軟件IRC聊天軟件P2P軟件計(jì)算機(jī)感染病毒的癥狀病毒感染計(jì)算機(jī)以后可能會(huì)有以下的癥狀：經(jīng)常死機(jī)系統(tǒng)無法啟動(dòng)文件打不開經(jīng)常報(bào)告內(nèi)存不夠提示硬盤空間不夠數(shù)據(jù)丟失鍵盤或鼠標(biāo)無端地鎖死系統(tǒng)運(yùn)行速度慢系統(tǒng)自動(dòng)執(zhí)行操作木馬的危害

木馬以控制用戶電腦和竊取信息為主要目的，主要的危害包括：記錄鍵盤操作，發(fā)送到指定郵箱利用用戶電腦，作為跳板攻擊其他計(jì)算機(jī)獲取計(jì)算機(jī)上的重要信息刪除、篡改用戶信息獲取網(wǎng)銀、郵箱等賬號(hào)口令木馬的偽裝木馬的偽裝一般有以下幾種方式：偽裝圖標(biāo)黑客為了迷惑用戶，將木馬服務(wù)端程序的圖標(biāo)換成一些常見的文件類型的圖標(biāo)，這樣當(dāng)用戶運(yùn)行以后，木馬就悄悄運(yùn)行了。偽裝文件名圖標(biāo)修改往往和文件改名是一起進(jìn)行的，黑客往往將文件的名稱取得非常的誘人，騙用戶去運(yùn)行它。文件捆綁文件捆綁就是通過使用文件捆綁器將木馬服務(wù)端和正常的文件捆綁在一起，達(dá)到欺騙對(duì)方從而運(yùn)行捆綁的木馬程序。計(jì)算機(jī)病毒木馬的防范措施計(jì)算機(jī)安裝完操作系統(tǒng)后，不要馬上連接網(wǎng)絡(luò)。馬上安裝防病毒軟件，更新升級(jí)防病毒的查殺代碼，啟動(dòng)防病毒軟件的實(shí)時(shí)監(jiān)控和自動(dòng)防護(hù)功能安裝個(gè)人防火墻軟件，阻止遭受網(wǎng)絡(luò)蠕蟲的攻擊。對(duì)進(jìn)入計(jì)算機(jī)的文件都要使用防病毒軟件進(jìn)行掃描查毒工作，不要輕易就運(yùn)行。定期文件備份。對(duì)于重要的文件資料應(yīng)經(jīng)常備份注意電腦異常。如果發(fā)覺有異常癥狀出現(xiàn)，應(yīng)第1章

病毒木馬原理及防范第2章

計(jì)算機(jī)安全操作第3章

協(xié)議安全性目錄第2章計(jì)算機(jī)安全操作第1節(jié)

用戶口令安全第2節(jié)

IP安全策略第3節(jié)

收發(fā)郵件的安全第4節(jié)

瀏覽網(wǎng)頁的安全內(nèi)容介紹選擇強(qiáng)口令?

不要使用姓名、生日以及它們的簡單組合作為口令口令應(yīng)該保證一定的長度和復(fù)雜度長度最好在8位以上最好包含大小寫字母、數(shù)字和其它字符的組合

典型弱口令：NULL、[name]、123456、11111111、

cisco???選擇強(qiáng)口令易記并且強(qiáng)度高密碼推薦：1.以符號(hào)隔開的短句，如I＃Want#Apple2.長句的首字母Wiwy,ilttr.When

I

was

young,

I

listened

to

the

radio.3.詩詞的首字母cqmyg##ysdss(床前明月光，疑是地上霜)?啟用密碼策略使用Windows

2000中的賬號(hào)策略設(shè)置：啟用密碼的復(fù)雜性要求限制密碼的最小長度設(shè)定密碼的最大存留期設(shè)置賬號(hào)的鎖定次數(shù)設(shè)置賬號(hào)的鎖定時(shí)間??建議其它建議：

新建一賬號(hào)，賦予administrator權(quán)限，給該賬號(hào)設(shè)置一個(gè)強(qiáng)的口令；將原來的administrator賬號(hào)改為普通用戶；禁用系統(tǒng)的guest賬號(hào)；

在多用戶系統(tǒng)，為了保證其它用戶賬號(hào)不存在弱口令，系統(tǒng)管理員可以采用密碼審計(jì)工具進(jìn)行模擬的破解分析。?IP安全策略啟用本機(jī)的IP安全策略可以實(shí)現(xiàn)對(duì)本機(jī)的簡單訪問控制。

如果IP安全策略提供的控制不符合要求，可以考慮采用個(gè)人防火墻系統(tǒng)。?收發(fā)郵件的安全郵件的威脅郵件病毒:愛蟲、Sircam、Nimda……?安全目標(biāo):避免感染計(jì)算機(jī)病毒或木馬程序避免通過郵件發(fā)送的機(jī)密文件被網(wǎng)絡(luò)竊聽郵件病毒的機(jī)理1.利用IE瀏覽器存在的MIME漏洞來實(shí)現(xiàn)。

2.當(dāng)IE在解釋郵件時(shí)，由于未能正確處理“Content-Type:audio/x-wav;”，導(dǎo)致附件自動(dòng)下載，而且更為嚴(yán)重的是下載結(jié)束后自動(dòng)打開附件，整個(gè)過程中并不提示用戶，這就導(dǎo)致病毒自身獲取本地權(quán)限執(zhí)行附件內(nèi)容。郵件病毒的防范運(yùn)行防病毒軟件，實(shí)現(xiàn)實(shí)時(shí)的病毒檢測;在進(jìn)行病毒檢測之前不要運(yùn)行郵件的附件;對(duì)IE和Outlook

Express進(jìn)行安全設(shè)置

對(duì)IE和OutlookExpress進(jìn)行安全升級(jí)修補(bǔ)安全漏洞;

針對(duì)由腳本編寫的附件型郵件病毒，可以將vbs、js的文件關(guān)聯(lián)到“記事本”IE和Outlook

Express安全設(shè)置IE和Outlook

Express安全設(shè)置打開Internet

Explorer依次用鼠標(biāo)點(diǎn)擊：工具 Internet選項(xiàng) 安全點(diǎn)擊受限站點(diǎn)，查看其安全級(jí)別是否為高打開Outlook

Express依次用鼠標(biāo)點(diǎn)擊：工具 選項(xiàng)… 安全將“安全區(qū)域”設(shè)置為“受限站點(diǎn)區(qū)域”文件關(guān)聯(lián)重定向打開資源管理器依次點(diǎn)擊：工具 文件夾選項(xiàng)

在擴(kuò)展名欄查找后綴為vbs、vbe、js、jse的條目

用鼠標(biāo)選中該條目，點(diǎn)擊更改，在出現(xiàn)的打開方式對(duì)話框中查找記事本，然后選擇確定。郵件附件加密在將附件利用郵件進(jìn)行傳送前進(jìn)行加密對(duì)于Word、Excel文檔，可以用系統(tǒng)本身的加密功能進(jìn)行加密；對(duì)于其它文件，可以采用Winzip進(jìn)行加密；如果安全要求高，可以安裝PGP套件。word文件加密word文件加密示范使用MS

word打開要發(fā)送的文件依次點(diǎn)擊菜單：(工具 選項(xiàng) 保存）在出現(xiàn)的對(duì)話框中，找到“用于xxx.doc”的文件共享選項(xiàng)，在打開權(quán)限密碼中輸入一個(gè)8位，含字母、數(shù)字和標(biāo)點(diǎn)的密碼，如gsta*12c等。在出現(xiàn)的確認(rèn)對(duì)話框再次輸入該密碼，然后點(diǎn)擊“保存”。如果不希望他人修改該文件，可以設(shè)置修改文件密碼，或者選擇“建議以只讀方式打開文檔”。瀏覽網(wǎng)頁安全安全威脅：1.微軟的IE的一些版本存在安全漏洞，可能導(dǎo)致用戶在瀏覽網(wǎng)頁是泄漏信息設(shè)置下載并運(yùn)行惡意代碼。2.網(wǎng)頁中的Active

X控件從而可以創(chuàng)建任意文件，修改注冊表，甚至可以下載并運(yùn)行惡意軟件。安全措施安全措施IE升級(jí)設(shè)置IE安全級(jí)別禁用不安全的ActiveX對(duì)象禁用FileSystemObject對(duì)象禁用對(duì)象禁用不安全的使用FileSystemObject對(duì)象：依次點(diǎn)擊“開始” “運(yùn)行”鍵入命令regsvr32

scrrun.dll

/u3.點(diǎn)擊確定禁用控件禁用不安全的Active

X控件可能帶來訪問網(wǎng)頁的問題：頻繁出現(xiàn)提示，并導(dǎo)致部分網(wǎng)頁無法正常瀏覽。解決措施：可以將信任的網(wǎng)站，列入信任站點(diǎn)列表：打開IE，依次點(diǎn)擊：工具 internet選項(xiàng)

安全 可信站點(diǎn)點(diǎn)擊“站點(diǎn)”按鈕，輸入可信站點(diǎn)地址，點(diǎn)擊“添加”。安全建議安全建議不要使用盜版軟件和網(wǎng)上來歷不明的程序

瀏覽網(wǎng)頁、下載文件和接收Email的時(shí)候要確保打開了反病毒軟件的實(shí)時(shí)監(jiān)控功能拒絕任何未經(jīng)確認(rèn)的索要賬號(hào)等重要信息的請求定期清理電腦上留下的重要信息，如Cookie、歷史記錄等不要在個(gè)人用機(jī)上運(yùn)行黑客類程序

遇到藍(lán)屏死機(jī)、程序運(yùn)行緩慢、系統(tǒng)自動(dòng)重啟等不正常情況的時(shí)候要盡快檢查，必要時(shí)向?qū)＜仪笾?/p>

關(guān)注所使用的操作系統(tǒng)和應(yīng)用系統(tǒng)的安全公告信息，確定自己的系統(tǒng)是否存在相關(guān)問題，及時(shí)解決。在進(jìn)行文件和目錄共享時(shí)注意進(jìn)行權(quán)限控制。第1章

病毒木馬原理及防范第2章

計(jì)算機(jī)安全操作第3章

協(xié)議安全性目錄第3章協(xié)議安全性第1節(jié)

數(shù)據(jù)包竊聽第2節(jié)

信息泄漏第3節(jié)

DHCP協(xié)議安全第4節(jié)

ARP協(xié)議安全內(nèi)容介紹數(shù)據(jù)包竊聽

網(wǎng)絡(luò)的數(shù)據(jù)包竊聽可以獲取未經(jīng)加密的數(shù)據(jù)包內(nèi)容，這些不安全的協(xié)議包括：TelnetFTPSNMPPOPHTTP數(shù)據(jù)包竊聽的防范采用加密的通訊協(xié)議Telnet->SSHHTTP->Https采用VPN加密隧道IPSecSSLMPLS信息泄露CDP、snmp等服務(wù)有可能造成設(shè)備信息的非正常泄露–CDP信息泄露ISP1

ISP2信息泄露–Snmp弱口令導(dǎo)致的信息泄露信息泄露–Snmp弱口令導(dǎo)致的信息泄露信息泄露的防范關(guān)閉CDP(config)#no

cdp

run(config-if)#no

cdp

enable

將snmp的權(quán)限設(shè)置為read-only；修改缺省口令；設(shè)置snmp的訪問控制列表(Config)#

access-list

10

peimit

55(config)#snmp-server

community

Sec!324a

ro

10DHCP攻擊的防范clientDHCP

server攻擊者Untrust

將交換機(jī)與DHCP服務(wù)器所連端口設(shè)為Trust狀態(tài)，其它端口設(shè)為Untrust狀態(tài)Untrust狀態(tài)：只能發(fā)出DHCP請求包Trust狀態(tài)：可以轉(zhuǎn)發(fā)DHCP響應(yīng)包DHCP請求 DHCP響應(yīng)Untrust

TrustDHCP響應(yīng)DHCP防范示例Cisco交換機(jī)上的防范示例：switch(config)#ip

dhcp

snoopingswitch(config)#ip

dhcp

snooping

vlan

5/*

定義哪些

VLAN

啟用

DHCP

snoopingswitch(config)#int

fa0/1

/*dhcp服務(wù)器所在端口switch(config-if)#ip

dhcp

snooping

trustswitch(config)#int

range

fa0/2

-

12

/*

其它端口switch(config-if)#no

ip

dhcp

snooping

trust/*缺省值(Default)switch(config-if)#ip

dhcp

snooping

limit

rate

10/*(pps)一定程度上防止DHCP拒絕服務(wù)攻擊ARP欺騙1以太網(wǎng)頭部ARP請求/響應(yīng)

ARP欺騙：構(gòu)造虛假的IP地址與MAC地址對(duì)應(yīng)關(guān)系目的

源

發(fā)送端

目的端B請求A的mac地址正常的arp回應(yīng)虛假的arp回應(yīng)ARP欺騙2使client無法正常上網(wǎng)：211攻擊者不斷向client發(fā)送ARP響應(yīng)包，稱網(wǎng)關(guān)IP_B對(duì)應(yīng)的mac地址為MAC_G2Client要上網(wǎng)時(shí)，使用MAC_G作為目標(biāo)MAC地址對(duì)外發(fā)包，網(wǎng)關(guān)發(fā)現(xiàn)目標(biāo)地址不等于MAC_B，于是忽略該包ARP欺騙3中間人攻擊：11攻擊者不斷向client發(fā)送ARP響應(yīng)包，稱網(wǎng)關(guān)IP_B對(duì)應(yīng)的mac地址為MAC_C2攻擊者不斷向網(wǎng)關(guān)發(fā)送ARP響應(yīng)包，稱clientIP_A對(duì)應(yīng)的mac地址為MAC_C2ARP欺騙的防范

對(duì)網(wǎng)關(guān)等常用的地址設(shè)置靜態(tài)的mac地址-->ip地址對(duì)應(yīng)關(guān)系，如：a