1、網(wǎng)絡(luò)安全,網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)攻擊案例常用攻擊手段和工具網(wǎng)絡(luò)安全的目標(biāo)加密數(shù)字簽名防火墻,網(wǎng)絡(luò)安全概述,網(wǎng)絡(luò)有很多不安全因素：路由器轉(zhuǎn)發(fā)從任何地方來(lái)的包。攻擊者可以在任何一臺(tái)聯(lián)網(wǎng)計(jì)算機(jī)進(jìn)行攻擊。攻擊手法不斷更新，沒有一個(gè)網(wǎng)絡(luò)是絕對(duì)安全的。每個(gè)組織對(duì)安全的理解不一樣，首先要制定合理的安全策略。哪些需要保護(hù)，保護(hù)的規(guī)則。必須覆蓋數(shù)據(jù)的存儲(chǔ)、傳輸和處理，覆蓋計(jì)算機(jī)系統(tǒng)、局域網(wǎng)和其他互連設(shè)備。必須進(jìn)行性能價(jià)格的權(quán)衡。,幾個(gè)網(wǎng)絡(luò)攻擊案例,2000/02/09：雅虎遭到黑客攻擊，導(dǎo)致用戶在幾個(gè)小時(shí)內(nèi)無(wú)法連接到Y(jié)AHOO網(wǎng)站；94年末，俄羅斯黑客弗拉基米爾利文與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計(jì)算機(jī)上，向

2、美國(guó)CITYBANK銀行發(fā)動(dòng)了一連串攻擊，通過電子轉(zhuǎn)帳方式，從CITYBANK銀行在紐約的計(jì)算機(jī)主機(jī)里竊取1100萬(wàn)美元。,1999年5月8日美國(guó)駐華大使館網(wǎng)站被黑。網(wǎng)站內(nèi)容顯示“打倒野蠻人”9日凌晨，美國(guó)白宮的主頁(yè)被黑，主頁(yè)上美國(guó)旗被換成了骷髏旗。然后美國(guó)立法委員會(huì)主頁(yè)，美國(guó)能源部主頁(yè)，美國(guó)內(nèi)政部，美國(guó)國(guó)家公園，http:/216.22.188.xxxxxx為0到380另外，美國(guó)海軍通信中心華盛頓站也被黑，是黑客攻擊美國(guó)網(wǎng)站以來(lái)級(jí)別最高的、最具意義的被黑網(wǎng)站。,常用攻擊手段和工具,電子郵件炸彈特洛伊木馬拒絕服務(wù)攻擊IP欺騙攻擊病毒掃描器，網(wǎng)絡(luò)分析器口令攻擊,電子郵件炸彈,所謂的電子郵件炸彈，

3、其工作過程與炸彈也是一樣的，只不過是用電子郵件來(lái)代替炸彈而已，具體指的是電子郵件的發(fā)送者，利用某些特殊的電子郵件軟件，在很短時(shí)間內(nèi)連續(xù)不斷地將大容量的電子郵件郵寄給同一個(gè)收信人，而一般收信人的郵箱容量是有限的，在這些數(shù)以千計(jì)的大容量信件面前肯定是不堪重負(fù)，而最終“爆炸身亡”。這種攻擊手段不僅會(huì)干擾用戶的電子郵件系統(tǒng)的正常使用，甚至它還能影響到郵件系統(tǒng)所在的服務(wù)器系統(tǒng)的安全，造成整個(gè)網(wǎng)絡(luò)系統(tǒng)全部癱瘓，所以電子郵件炸彈是一種殺傷力極其強(qiáng)大的網(wǎng)絡(luò)武器。,特洛伊木馬,“木馬”全稱是“特洛伊木馬(TrojanHorse)”，原指古希臘士兵藏在木馬內(nèi)進(jìn)入敵方城市從而占領(lǐng)敵方城市的故事。在Internet上

4、，“特洛伊木馬”指一些程序設(shè)計(jì)人員在其可從網(wǎng)絡(luò)上下載(Download)的應(yīng)用程序或游戲中，包含了可以控制用戶的計(jì)算機(jī)系統(tǒng)的程序，可能造成用戶的系統(tǒng)被破壞甚至癱瘓。,IP欺騙攻擊方法,IP欺騙的理論根據(jù)每一個(gè)黑客都會(huì)想到：既然hosta和hostb之間的信任關(guān)系是基于IP址而建立起來(lái)的，那么假如能夠冒充hostb的IP，就可以使用login登錄到hosta，而不需任何口令驗(yàn)證。這，就是IP欺騙的最根本的理論依據(jù)。所以如果要冒充hostb，首先要讓hostb失去工作能力。也就是所謂的拒絕服務(wù)攻擊，讓hostb癱瘓。,掃描器,掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序，通過使用掃描器你可一

5、不留痕跡的發(fā)現(xiàn)遠(yuǎn)程服務(wù)器的各種TCP端口的分配及提供的服務(wù)！和它們的軟件版本！這就能讓我們間接的或直觀的了解到遠(yuǎn)程主機(jī)所存在的安全問題。掃描器通過選用遠(yuǎn)程TCP/IP不同的端口的服務(wù)，并記錄目標(biāo)給予的回答，通過這種方法，可以搜集到很多關(guān)于目標(biāo)主機(jī)的各種有用的信息（比如：是否能用匿名登陸！是否有可寫的FTP目錄，是否能用TELNET，HTTP是用ROOT還是nobody在跑?。?拒絕服務(wù)攻擊-SynFlooding,TCP三次握手,建立多個(gè)連接耗盡被攻擊計(jì)算機(jī)資源,拒絕服務(wù)攻擊-SynFlooding,A機(jī)發(fā)出SYN有錯(cuò)誤的原地址和端口號(hào)，被攻擊機(jī)B建立多個(gè)無(wú)用連接,拒絕服務(wù)攻擊-Smurf,是

6、根據(jù)一個(gè)攻擊工具“smurf”而命名的。攻擊者發(fā)送一個(gè)ICMP回應(yīng)請(qǐng)求（ECHOREQUEST）報(bào)文,目的地址為廣播地址，源地址為偽造的攻擊目標(biāo)的地址，將導(dǎo)致廣播子網(wǎng)內(nèi)的所有主機(jī)向攻擊目標(biāo)發(fā)送應(yīng)答報(bào)文，大量的報(bào)文會(huì)導(dǎo)致目標(biāo)主機(jī)無(wú)法正常工作。,Smurf攻擊原理,口令攻擊,攻擊者攻擊目標(biāo)時(shí)常常把破譯用戶的口令作為攻擊的開始。只要攻擊者能猜測(cè)或者確定用戶的口令，他就能獲得機(jī)器或者網(wǎng)絡(luò)的訪問權(quán)，并能訪問到用戶能訪問到的任何資源。如果這個(gè)用戶有域管理員或root用戶權(quán)限，這是極其危險(xiǎn)的。這種方法的前提是必須先得到該主機(jī)上的某個(gè)合法用戶的帳號(hào)，然后再進(jìn)行合法用戶口令的破譯。,口令攻擊,獲得普通用戶帳號(hào)的

7、方法很多，如：利用目標(biāo)主機(jī)的Finger功能：當(dāng)用Finger命令查詢時(shí)，主機(jī)系統(tǒng)會(huì)將保存的用戶資料（如用戶名、登錄時(shí)間等）從電子郵件地址中收集：有些用戶電子郵件地址常會(huì)透露其在目標(biāo)主機(jī)上的帳號(hào)；是通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令，,口令攻擊,是在知道用戶的賬號(hào)后（如電子郵件前面的部分）利用一些專門軟件強(qiáng)行破解用戶口令，這種方法不受網(wǎng)段限制，但攻擊者要有足夠的耐心和時(shí)間。如：采用字典窮舉法（或稱暴力法）來(lái)破解用戶的密碼。攻擊者可以通過一些工具程序，自動(dòng)地從電腦字典中取出一個(gè)單詞，作為用戶的口令，再輸入給遠(yuǎn)端的主機(jī)，申請(qǐng)進(jìn)入系統(tǒng)；若口令錯(cuò)誤，就按序取出下一個(gè)單詞，進(jìn)行下一個(gè)嘗試，并一直循環(huán)下去，直到

8、找到正確的口令或字典的單詞試完為止。由于這個(gè)破譯過程由計(jì)算機(jī)程序來(lái)自動(dòng)完成，因而幾個(gè)小時(shí)就可以把上十萬(wàn)條記錄的字典里所有單詞都嘗試一遍。,口令攻擊,病毒,蠕蟲蠕蟲的基本程序結(jié)構(gòu)為：1、傳播模塊：負(fù)責(zé)蠕蟲的傳播。2、隱藏模塊：侵入主機(jī)后，隱藏蠕蟲程序，防止被用戶發(fā)現(xiàn)。3、目的功能模塊：實(shí)現(xiàn)對(duì)計(jì)算機(jī)的控制、監(jiān)視或破壞等功能。傳播模塊由可以分為三個(gè)基本模塊：掃描模塊、攻擊模塊和復(fù)制模塊。,網(wǎng)絡(luò)安全的目標(biāo),數(shù)據(jù)完整性資源可用性用戶身份認(rèn)證數(shù)據(jù)保密性不可否認(rèn)性,數(shù)據(jù)完整性,完整性指維護(hù)信息的一致性，防止非法用戶對(duì)系統(tǒng)數(shù)據(jù)的篡改。實(shí)現(xiàn)方法：采用數(shù)據(jù)加密及校驗(yàn)和技術(shù)。,資源可用性,保證合法用戶在任何時(shí)候都能

9、使用、訪問資源，阻止非法用戶使用系統(tǒng)資源。實(shí)現(xiàn)方法：訪問控制、防火墻、入侵檢測(cè)等。,用戶身份認(rèn)證,保證通信對(duì)方的身份是真實(shí)的。實(shí)現(xiàn)方法：帳號(hào)-口令，電子證書等。,數(shù)據(jù)保密性,數(shù)據(jù)只能為合法用戶所使用，讓非法用戶無(wú)法接觸或讀懂?dāng)?shù)據(jù)。實(shí)現(xiàn)方法：授權(quán)和訪問控制、數(shù)據(jù)加密技術(shù)。,不可否認(rèn)性,參與網(wǎng)絡(luò)通訊過程的各方（用戶、實(shí)體或者進(jìn)程）無(wú)法否認(rèn)其過去的參與活動(dòng)；實(shí)現(xiàn)方法：數(shù)字簽名等。,加密,明文：原始數(shù)據(jù)（P）密文：加密后的數(shù)據(jù)（C）加密：明文經(jīng)算法到密文C=E（P）解密：密文經(jīng)算法到明文D（E（P）=P，E與D互為逆變換密鑰：控制算法實(shí)現(xiàn)的關(guān)鍵值：Ke、Kd,對(duì)稱密鑰,又叫單密鑰、秘密密鑰。加密和解密

10、采用相同的密鑰，即Ke=Kd。加密、解密速度快。通信雙方需要預(yù)先協(xié)商密鑰。一般采用集中管理和分發(fā)密鑰。一旦密鑰泄密，安全就不能得到保障。,對(duì)稱密鑰加密方法,移位密碼，使明文變位不變形COMPUTERC=CPEOURMT密鑰d=3替代密碼，使明文換字不換形COMPUTERC=FRPSXWHU密鑰k=3乘積密碼，移位密碼和替代密碼的有限次組合數(shù)據(jù)加密標(biāo)準(zhǔn)DES，使用移位、替代、分組、迭代等方法，明文64位、密鑰64位、密文64位,非對(duì)稱密鑰,加密和解密使用不同的密碼。Kpub公開，Kpriv由密鑰持有人保密。公鑰加密算法有RSA算法等：用公鑰加密，用私鑰解密。加密強(qiáng)度很高，適合在網(wǎng)絡(luò)環(huán)境中使用。加

11、密、解密速度慢。一般用于協(xié)商、加密共享密鑰，數(shù)字簽名等。,非對(duì)稱密鑰加密法RSA,原理：數(shù)學(xué)上的單向陷門函數(shù)，一個(gè)方向求解容易，逆向計(jì)算非常困難“大數(shù)分解和素性檢測(cè)”數(shù)論難題：兩個(gè)大素?cái)?shù)相乘，計(jì)算結(jié)果容易，但將結(jié)果分解成兩個(gè)大素?cái)?shù)因子卻非常困難,公鑰應(yīng)用示例：電子證書,數(shù)字證書是經(jīng)證書管理中心數(shù)字簽名的文件。通常包含以下內(nèi)容：證書的版本信息；證書的序列號(hào)；證書所使用的簽名算法；證書的發(fā)行機(jī)構(gòu)名稱；證書的有效期；證書所有人的名稱；證書所有人的公開密鑰對(duì)；證書發(fā)行者對(duì)證書的簽名,數(shù)字簽名,張三擁有公鑰;將Kpub公開電子證書；張三用Kpriv對(duì)數(shù)據(jù)DATA進(jìn)行加密，然后發(fā)送給李四；李四用Kpub電

12、子證書對(duì)數(shù)據(jù)DATA進(jìn)行解密，確認(rèn)數(shù)據(jù)來(lái)自張三；數(shù)字簽名實(shí)際就是用私鑰對(duì)一段數(shù)據(jù)進(jìn)行加密。在實(shí)際中，由于公鑰加密速度很慢，所以只對(duì)報(bào)文摘要進(jìn)行加密，而不是對(duì)整個(gè)報(bào)文進(jìn)行加密。,數(shù)字簽名和數(shù)據(jù)安全,數(shù)字簽名只保證數(shù)據(jù)確由發(fā)方發(fā)出并不能保證數(shù)據(jù)的安全傳輸。要保證數(shù)據(jù)的私有性，還需要進(jìn)行數(shù)據(jù)加密。,加密的應(yīng)用,信息確由發(fā)方發(fā)出：數(shù)字簽名RSA，私鑰加密，公鑰解密。信息傳輸加密：DES加密明文，RSA加密DES密鑰。信息只傳給對(duì)方：RSA加密，公鑰加密，私鑰解密確認(rèn)信息未被篡改：文摘MD加密,防火墻,防火墻是在本地網(wǎng)與外部網(wǎng)之間的界面上構(gòu)筑的保護(hù)層，保護(hù)內(nèi)部網(wǎng)不受外部非法用戶的攻擊，是一個(gè)或一組網(wǎng)絡(luò)設(shè)

13、備。,包過濾技術(shù),建立在網(wǎng)絡(luò)層及傳輸層上，按源IP、目的IP、協(xié)議類型、端口號(hào)進(jìn)行過濾。容許符合安全規(guī)則的數(shù)據(jù)包通過，阻止非法數(shù)據(jù)包。外部合法數(shù)據(jù)與內(nèi)部網(wǎng)絡(luò)近似直接通信，速度快、費(fèi)用小、安全性低。安全規(guī)則：沒有被列為容許訪問的都是被禁止的，保守，但安全。沒有被列為禁止訪問的都是被容許的，開放，不安全。,防火墻配置示例,拒絕：202.114.*.*:Telnet允許：202.114.*.*202.120.*.*允許：*202.120.*.*:WWW缺省：全部拒絕,交大徐匯校區(qū)202.120.*.*,防火墻,交大閔行校區(qū)202.114.*.*,因特網(wǎng),包過濾技術(shù)的缺點(diǎn),不檢測(cè)應(yīng)用層數(shù)據(jù)內(nèi)容無(wú)法防止對(duì)應(yīng)用層協(xié)議的攻擊無(wú)法防止對(duì)特定應(yīng)用程序的攻擊無(wú)法防止來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊統(tǒng)計(jì)表明，大多數(shù)攻擊來(lái)自網(wǎng)絡(luò)內(nèi)部,應(yīng)用網(wǎng)關(guān)和代理技術(shù),應(yīng)用網(wǎng)關(guān)技術(shù)：建立在應(yīng)用層上的協(xié)議過濾，針對(duì)特定的應(yīng)用及過濾規(guī)則進(jìn)行工作。代理服務(wù)器技術(shù)：上述兩個(gè)技術(shù)中一旦外部數(shù)據(jù)流滿足規(guī)則，則與內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)建立起直接聯(lián)系，存在危險(xiǎn)。代理服務(wù)器是將跨越防火墻的通信分為兩段，內(nèi)、外計(jì)算