網(wǎng)絡(luò)安全技術(shù).ppt

1、 Intranet防火墻Internet ：防火墻是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是建立在兩個網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域邊界上的實(shí)現(xiàn)安全策略和網(wǎng)絡(luò)通信監(jiān)控的系統(tǒng)或系統(tǒng)集，它強(qiáng)制執(zhí)行對內(nèi)部網(wǎng)絡(luò)（如校園網(wǎng)）和外部網(wǎng)絡(luò)（如Internet）的訪問控制，是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的唯一出入口，并通過建立一整套規(guī)則和策略來監(jiān)測、限制、轉(zhuǎn)換跨越防火墻的數(shù)據(jù)流，實(shí)現(xiàn)保護(hù)內(nèi)部網(wǎng)絡(luò)的目的實(shí)現(xiàn)保護(hù)內(nèi)部網(wǎng)絡(luò)的目的。 病毒的來源病毒的來源計算機(jī)人員和業(yè)余愛好者的惡作劇軟件公司及用戶為保護(hù)自己的軟件被非法復(fù)制而采取的報復(fù)性懲罰措施；旨在攻擊和摧毀計算機(jī)信息和計算機(jī)系統(tǒng)而制造的病毒；用于研究或?qū)嶒?yàn)?zāi)康亩O(shè)計的

2、程序，由于某種原因失去控制，擴(kuò)散出實(shí)驗(yàn)室或研究所，從而成為危害四方的計算機(jī)病毒。 攻擊和威脅轉(zhuǎn)移到服務(wù)器和網(wǎng)關(guān)，對防毒體系提出新的挑戰(zhàn)攻擊和威脅轉(zhuǎn)移到服務(wù)器和網(wǎng)關(guān)，對防毒體系提出新的挑戰(zhàn)IDC, 2002郵件郵件/互聯(lián)網(wǎng)互聯(lián)網(wǎng)Code RedNimdaKlez20012002郵件郵件Melissa19992000LoveLetter1981物理介質(zhì)物理介質(zhì)Brain19861998CIH病毒演化趨勢病毒演化趨勢沖擊波震蕩波 2003 長駐在計算機(jī)系統(tǒng)內(nèi)存中，伺機(jī)感染宿主程序長駐在計算機(jī)系統(tǒng)內(nèi)存中，伺機(jī)感染宿主程序 感染方式越來越復(fù)雜，使偵測更加困難感染方式越來越復(fù)雜，使偵測更加困難 拒絕服務(wù)攻

3、擊拒絕服務(wù)攻擊 (Denial of Service)(Denial of Service) 利用利用OSOS、IISIIS、IEIE等漏洞遠(yuǎn)程攻擊或控制用戶系統(tǒng)等漏洞遠(yuǎn)程攻擊或控制用戶系統(tǒng)造成的損害程度呈指數(shù)級造成的損害程度呈指數(shù)級迅速迅速增加增加一臺染毒的主機(jī)拖跨整個網(wǎng)絡(luò)！一臺染毒的主機(jī)拖跨整個網(wǎng)絡(luò)！ CIH病毒的簽名CIH作者陳盈豪 恐怖的圖片和音樂巨大的黑白螺旋占據(jù)了屏幕位置，使計算機(jī)使用者無法進(jìn)行任何操作！ 黑客一詞，原指熱心于計算機(jī)技術(shù)，水平高超的計算機(jī)黑客一詞，原指熱心于計算機(jī)技術(shù)，水平高超的計算機(jī)專家，黑客通常會去尋找網(wǎng)絡(luò)中漏洞，但是往往并不去破壞專家，黑客通常會去尋找網(wǎng)絡(luò)中漏

4、洞，但是往往并不去破壞計算機(jī)系統(tǒng)。計算機(jī)系統(tǒng)。 入侵者（入侵者（Cracker）則是指那些利用網(wǎng)絡(luò)漏洞破壞網(wǎng)絡(luò)）則是指那些利用網(wǎng)絡(luò)漏洞破壞網(wǎng)絡(luò)的人，他們以破壞為目的。的人，他們以破壞為目的。黑客和駭客的根本區(qū)別是：黑客們建設(shè)，而駭黑客們建設(shè)，而駭客們破壞?？蛡兤茐摹?圖圖2.1三類黑客三類黑客Robert Tappan Morrisn1999年6月, 15歲的Jonathan James發(fā)現(xiàn)NASA國際空間站一份負(fù)責(zé)溫度和濕度控制的源代碼文檔價值170萬美金，于是他開始在阿拉巴馬州利用盜竊的密碼入侵，結(jié)果使得NASA幾周后被迫關(guān)閉其網(wǎng)絡(luò)。他自稱用他的奔騰266電腦進(jìn)行nmap端口掃描并探測到N

5、ASA的SUN系統(tǒng)存在RPC漏洞。在此次事件之前他早就多次入侵美國國防部、南方貝爾公司及幾所學(xué)校的網(wǎng)絡(luò)。 由于尚未成年，16歲時被宣判6個月刑期并獲緩刑。后來與FBI合作抓捕了另一個黑客大衛(wèi) 史密斯。2008年5月18日喬納森死于癌癥，25歲。Jonathan JamesKevin Mitnick第一位被列入FBI通緝犯名單的駭客 特洛伊木馬（以下簡特洛伊木馬（以下簡稱木馬），英文叫做稱木馬），英文叫做“Trojan house”，其，其名稱取自希臘神話的特名稱取自希臘神話的特洛伊木馬記。洛伊木馬記。木馬是一種基于遠(yuǎn)程控木馬是一種基于遠(yuǎn)程控制的黑客工具，具有隱制的黑客工具，具有隱蔽性和非授權(quán)性

6、的特點(diǎn)。蔽性和非授權(quán)性的特點(diǎn)。木馬的入侵木馬的入侵1、發(fā)送給被攻擊方一封帶附件的電子郵件、發(fā)送給被攻擊方一封帶附件的電子郵件2、捆綁到一些網(wǎng)站提供下載的軟件中、捆綁到一些網(wǎng)站提供下載的軟件中3、通過、通過Script、Active和和ASP、CGI 交互腳本植入交互腳本植入4、利用瀏覽器或系統(tǒng)中的漏洞植入、利用瀏覽器或系統(tǒng)中的漏洞植入木馬的基本原理木馬的基本原理兩個執(zhí)行文件：客戶端程序兩個執(zhí)行文件：客戶端程序 服務(wù)器端程序服務(wù)器端程序客戶端程序客戶端程序是安裝在攻擊者（黑客）方的控制是安裝在攻擊者（黑客）方的控制臺，它負(fù)責(zé)遠(yuǎn)程遙控指揮。臺，它負(fù)責(zé)遠(yuǎn)程遙控指揮。服務(wù)器端程序服務(wù)器端程序即是木馬程

7、序，它被隱藏安裝在即是木馬程序，它被隱藏安裝在被攻擊（受害）方的電腦上。被攻擊（受害）方的電腦上。木馬攻擊的第一步：把木馬服務(wù)程序植入攻擊對象木馬攻擊的第一步：把木馬服務(wù)程序植入攻擊對象 攻擊者需要通過木馬對他人電腦系統(tǒng)攻擊者需要通過木馬對他人電腦系統(tǒng)進(jìn)行攻擊，第一步就是把木馬的服務(wù)程序進(jìn)行攻擊，第一步就是把木馬的服務(wù)程序植入到被攻擊的電腦里面。如果電腦沒有植入到被攻擊的電腦里面。如果電腦沒有聯(lián)網(wǎng)，那么是不會受到木馬的侵?jǐn)_的，因聯(lián)網(wǎng)，那么是不會受到木馬的侵?jǐn)_的，因?yàn)槟抉R程序不會主動攻擊和傳染到這樣的為木馬程序不會主動攻擊和傳染到這樣的電腦中。電腦中。木馬攻擊的第二步：把主機(jī)信息發(fā)送給攻擊者木馬

8、攻擊的第二步：把主機(jī)信息發(fā)送給攻擊者 當(dāng)您連接到因特網(wǎng)上時，這個木馬程序就會通過當(dāng)您連接到因特網(wǎng)上時，這個木馬程序就會通過一定的方式把主機(jī)的信息，如一定的方式把主機(jī)的信息，如IP地址、軟件的端口、地址、軟件的端口、主機(jī)的密碼等通知攻擊者，攻擊者在收到這些信息后，主機(jī)的密碼等通知攻擊者，攻擊者在收到這些信息后，再利用這個潛伏在其中的程序，就可以任意地修改你再利用這個潛伏在其中的程序，就可以任意地修改你的計算機(jī)的參數(shù)設(shè)定、復(fù)制文件、窺視你整個硬盤中的計算機(jī)的參數(shù)設(shè)定、復(fù)制文件、窺視你整個硬盤中的內(nèi)容等，從而達(dá)到控制你的計算機(jī)的目的。的內(nèi)容等，從而達(dá)到控制你的計算機(jī)的目的。 蠕蟲病毒蠕蟲病毒腳本病毒

9、腳本病毒惡意代碼和網(wǎng)頁病毒惡意代碼和網(wǎng)頁病毒蠕蟲加木馬蠕蟲加木馬NimdaNimda沖擊波沖擊波計算機(jī)病毒發(fā)作時，通常會出現(xiàn)以下幾種情況計算機(jī)病毒發(fā)作時，通常會出現(xiàn)以下幾種情況 電腦運(yùn)行比平常遲鈍。電腦運(yùn)行比平常遲鈍。 程序載入時間比平常久。程序載入時間比平常久。 對一個簡單的工作，磁盤似乎花了比預(yù)期長的時間。對一個簡單的工作，磁盤似乎花了比預(yù)期長的時間。 不尋常的錯誤信息出現(xiàn)。不尋常的錯誤信息出現(xiàn)。 系統(tǒng)內(nèi)存容量忽然大量減少。系統(tǒng)內(nèi)存容量忽然大量減少。 磁盤可利用的空間突然減少。磁盤可利用的空間突然減少。 可執(zhí)行程序的大小改變?？蓤?zhí)行程序的大小改變。 由于病毒可能通過將磁盤扇區(qū)標(biāo)記為壞簇的方

10、式把自由于病毒可能通過將磁盤扇區(qū)標(biāo)記為壞簇的方式把自 己隱藏起來，磁盤壞簇會莫名其妙地增多。己隱藏起來，磁盤壞簇會莫名其妙地增多。 程序同時存取多部磁盤。程序同時存取多部磁盤。 內(nèi)存內(nèi)增加來路不明的常駐程序。內(nèi)存內(nèi)增加來路不明的常駐程序。 文件、數(shù)據(jù)奇怪的消失或增加。文件、數(shù)據(jù)奇怪的消失或增加。 文件的內(nèi)容被加上一些奇怪的資料。文件的內(nèi)容被加上一些奇怪的資料。 文件名稱，擴(kuò)展名，日期，屬性被更改過。文件名稱，擴(kuò)展名，日期，屬性被更改過。 打印機(jī)出現(xiàn)異常。打印機(jī)出現(xiàn)異常。 死機(jī)現(xiàn)象增多。死機(jī)現(xiàn)象增多。 出現(xiàn)一些異常的畫面或聲音。出現(xiàn)一些異常的畫面或聲音。 異?，F(xiàn)象的出現(xiàn)并不表明系統(tǒng)內(nèi)肯定有病毒，

11、仍異?，F(xiàn)象的出現(xiàn)并不表明系統(tǒng)內(nèi)肯定有病毒，仍需進(jìn)一步的檢查。需進(jìn)一步的檢查。蠕蟲病毒蠕蟲病毒如如“求職信求職信”系列及其他系列及其他 v傳播速度快，感染范圍廣傳播速度快，感染范圍廣 v反復(fù)感染，難以根除，具有頑強(qiáng)的生命力反復(fù)感染，難以根除，具有頑強(qiáng)的生命力 v豐富的傳播和破壞方式，豐富的傳播和破壞方式，使用了過去兩年來幾乎所有病使用了過去兩年來幾乎所有病毒的常用技術(shù)毒的常用技術(shù)v隱蔽性更好，使用加密技術(shù)隱蔽性更好，使用加密技術(shù)v破壞性驚人，破壞性驚人，泄漏用戶信息泄漏用戶信息腳本病毒腳本病毒更甚于宏病毒更甚于宏病毒腳本病毒腳本病毒v腳本語言的廣泛應(yīng)用腳本語言的廣泛應(yīng)用v“愛蟲愛蟲”（LoveL

12、etterLoveLetter）v新的新的“歡樂時光歡樂時光”（VBS.KJVBS.KJ）v“中文求職信中文求職信”（donghedonghe）惡意代碼和網(wǎng)頁病毒惡意代碼和網(wǎng)頁病毒利用利用IEIE的的ActiveXActiveX漏洞的病毒漏洞的病毒v 修改用戶的修改用戶的IEIE設(shè)置、注冊表選項設(shè)置、注冊表選項v 下載木馬、惡意程序或病毒下載木馬、惡意程序或病毒v 格式化用戶硬盤或刪除用戶的文件格式化用戶硬盤或刪除用戶的文件v 不具有傳染性，更重主動攻擊性不具有傳染性，更重主動攻擊性v 惡意網(wǎng)站惡意網(wǎng)站NimdaNimdaNimda 巨大的巨大的 破壞性破壞性v發(fā)生在發(fā)生在 9/18/2001

13、v在在3個小時內(nèi)超過個小時內(nèi)超過 100,000 計算機(jī)受到感染計算機(jī)受到感染v在在24小時內(nèi)超過小時內(nèi)超過1.2 億億PC遭到感染遭到感染v許多公司的網(wǎng)絡(luò)癱瘓許多公司的網(wǎng)絡(luò)癱瘓v通過電子郵件大量擴(kuò)散。文件夾中會生成通過電子郵件大量擴(kuò)散。文件夾中會生成eml為擴(kuò)為擴(kuò)展名的文件或展名的文件或admin.dll文件。文件。 NIMDA病毒的4種傳播方式同黑客技術(shù)結(jié)合的網(wǎng)絡(luò)病毒將成為同黑客技術(shù)結(jié)合的網(wǎng)絡(luò)病毒將成為計算機(jī)病毒的主流計算機(jī)病毒的主流 l傳統(tǒng)的計算機(jī)病毒為一種可執(zhí)行程序，依靠某傳統(tǒng)的計算機(jī)病毒為一種可執(zhí)行程序，依靠某種媒介進(jìn)行傳播，比如軟盤、光盤或者電子郵件。種媒介進(jìn)行傳播，比如軟盤、光盤

14、或者電子郵件。計算機(jī)病毒就好像刺猬，只要你不去碰它，它就計算機(jī)病毒就好像刺猬，只要你不去碰它，它就不會來招惹你。不會來招惹你。l以以“沖擊波沖擊波”為代表的網(wǎng)絡(luò)病毒：這種病毒是為代表的網(wǎng)絡(luò)病毒：這種病毒是完全主動地直接掃描互聯(lián)網(wǎng)上的計算機(jī)，一旦發(fā)完全主動地直接掃描互聯(lián)網(wǎng)上的計算機(jī)，一旦發(fā)現(xiàn)其沒有安裝現(xiàn)其沒有安裝Winwows補(bǔ)丁，就立即進(jìn)入并開始補(bǔ)丁，就立即進(jìn)入并開始發(fā)作。發(fā)作。l“沖擊波沖擊波”嚴(yán)格說來并不是一種病毒，更接近嚴(yán)格說來并不是一種病毒，更接近于一種感染行為。于一種感染行為。l以前是要下載、拷貝才會中毒，現(xiàn)在只要你的以前是要下載、拷貝才會中毒，現(xiàn)在只要你的系統(tǒng)有后門，有漏洞，就可能

15、感染病毒。系統(tǒng)有后門，有漏洞，就可能感染病毒。沖擊波癥狀沖擊波癥狀1、系統(tǒng)資源被大量占用、系統(tǒng)資源被大量占用 2、系統(tǒng)反復(fù)重啟、系統(tǒng)反復(fù)重啟 3、系統(tǒng)中出現(xiàn)文件：、系統(tǒng)中出現(xiàn)文件： %Windir%system32msblast.exe 4、不能收發(fā)郵件、不能正常復(fù)制文件、無法、不能收發(fā)郵件、不能正常復(fù)制文件、無法正常瀏覽網(wǎng)頁正常瀏覽網(wǎng)頁 5、復(fù)制粘貼等操作受到嚴(yán)重影響，、復(fù)制粘貼等操作受到嚴(yán)重影響，DNS和和IIS服務(wù)遭到非法拒絕等服務(wù)遭到非法拒絕等 （熊貓燒香病毒（熊貓燒香病毒 的制造者李俊的制造者李俊 在看守所里）在看守所里）QQ尾巴尾巴基本措施（經(jīng)驗(yàn)）n一個準(zhǔn)備n隨時備份你的數(shù)據(jù)和文檔

16、n四個手段n一個意識n慎誘惑：光盤、郵件、網(wǎng)頁、圖片、音樂、軟件、游戲、QQ手段之一n安裝防毒軟件n主要的軟件n江民KV300 瑞星 金山 KILL 卡巴斯基 Pccillin MaCafe nNortonn安裝n到電子市場買一套正版的殺毒軟件。n斷開網(wǎng)絡(luò)，進(jìn)入安全模式（啟動時按F7或F8），安裝殺毒軟件，全面殺毒，關(guān)機(jī)。n重新開機(jī)，聯(lián)上網(wǎng)，升級殺毒軟件，并給系統(tǒng)打補(bǔ)丁。n設(shè)置每日升級常見防病毒軟件介紹n國外：nNORTON ANTIVIRUSn 由Symantec公司研發(fā)，最著名的防病毒軟件之一n國內(nèi)：n金山公司的金山毒霸n瑞星公司的瑞星殺毒軟件n冠群金辰軟件公司的KILL殺毒軟件n江民公司

17、的KV3000n卡巴斯基1.1.殺病毒軟件殺病毒軟件 （1）金山毒霸的啟動）金山毒霸的啟動 （2）查殺病毒）查殺病毒 按上述方法打開金山毒霸按上述方法打開金山毒霸, ,顯示出金山毒霸的主界面，如圖所示。顯示出金山毒霸的主界面，如圖所示。在金山毒霸主界面左側(cè)的列表框中，選擇需要進(jìn)行查殺病毒的文在金山毒霸主界面左側(cè)的列表框中，選擇需要進(jìn)行查殺病毒的文件夾，并將其選中（即打件夾，并將其選中（即打）。）。 然后，在金山毒霸主界面的右邊然后，在金山毒霸主界面的右邊“控制中心控制中心”內(nèi)，單內(nèi)，單擊擊“開始查毒開始查毒”，程序就開始開始查殺病毒了。，程序就開始開始查殺病毒了。這時，程序切換到這時，程序切換

18、到“查毒結(jié)果查毒結(jié)果”界面界面, ,如圖所示。如果如圖所示。如果發(fā)現(xiàn)病毒，程序?qū)棾霭l(fā)現(xiàn)病毒，程序?qū)棾觥鞍l(fā)現(xiàn)病毒發(fā)現(xiàn)病毒”窗口詢問對此要窗口詢問對此要進(jìn)行的下一步操作。選擇相應(yīng)的操作后，即可繼續(xù)進(jìn)進(jìn)行的下一步操作。選擇相應(yīng)的操作后，即可繼續(xù)進(jìn)行查毒。行查毒。 如果沒有發(fā)現(xiàn)病毒，程序?qū)崾居脩羧绻麤]有發(fā)現(xiàn)病毒，程序?qū)崾居脩簟安《緳z測完病毒檢測完畢畢”單擊單擊“確認(rèn)確認(rèn)”鍵，返回鍵，返回“控制中心控制中心”界面界面 2. 在線殺毒 目前，很多網(wǎng)站都提供這種在線殺毒，如網(wǎng)易（，如圖所示） 手段之二n安裝防火墻n防火墻如果從實(shí)現(xiàn)方式上來分，又分為硬件防火墻硬件防火墻和軟件防火墻兩類和軟件防火墻兩類，n硬件防火墻通過硬件和軟件的結(jié)合硬件和軟件的結(jié)合來達(dá)到隔離內(nèi)、外部網(wǎng)絡(luò)的目的，價格較貴，但效果較好，一般小型企業(yè)和個人很難實(shí)現(xiàn)；n軟件防火墻它是通過純軟件純軟件的方式來達(dá)到，價格很便宜，但這類防火墻只能通過一定的規(guī)則來達(dá)到限制一些非法用戶訪問內(nèi)部網(wǎng)的目的。n軟件防火墻產(chǎn)品：天網(wǎng) 瑞星 Norton（諾