第12章網(wǎng)絡信息安全

第十二章網(wǎng)絡信息安全12.1網(wǎng)絡信息安全簡介12.2網(wǎng)絡中存在的威脅12.3常見的攻擊類型12.4防火墻技術12.5入侵檢測系統(tǒng)12.1網(wǎng)絡信息安全簡介網(wǎng)絡信息安全主要是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。5大特征：1.完整性2.保密性3.可用性4.不可否認性5.可控性12.2網(wǎng)絡中存在的威脅4個安全目標的威脅：1.信息泄露2.完整性破壞3.服務拒絕4.未授權訪問12.3常見的攻擊類型

對目標計算機進行端口掃描，能得到許多有用的信息從而發(fā)現(xiàn)系統(tǒng)的安全漏洞。通過其可以使系統(tǒng)用戶了解系統(tǒng)目前向外界提供了哪些服務，從而為系統(tǒng)用戶管理網(wǎng)絡提供了一種參考的手段。1.全連接掃描2.半連接(SYN)掃描12.3.1端口掃描12.3常見的攻擊類型

拒絕服務，利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務。DoS按照利用漏洞產(chǎn)生的來源來分，可以分為如下幾類：1.利用軟件實現(xiàn)的缺陷2.利用協(xié)議的漏洞3.資源消耗12.3.2DoS和DDoS攻擊12.3常見的攻擊類型

木馬入侵的主要途徑先通過一定的方法把木馬執(zhí)行文件弄到被攻擊者的計算機系統(tǒng)里，利用的途徑有郵件附件、下載軟件中等手段，然后通過一定的提示故意誤導被攻擊者打開執(zhí)行文件。特性：隱蔽性、自動運行性、自動恢復功能、自動打開特別的端口、功能的特殊性12.3.3特洛伊木馬(Trojan)12.3常見的攻擊類型

木馬的種類：1.破壞型2.密碼發(fā)送型3.遠程訪問型4.鍵盤記錄木馬5.DoS攻擊木馬12.3.3特洛伊木馬(Trojan)6.代理木馬7.FTP木馬8.程序殺手木馬9.反彈端口型木馬12.3常見的攻擊類型

被感染后的緊急措施：(1)所有的賬號和密碼都要馬上更改，例如撥號連接，ICQ，F(xiàn)TP，個人站點，免費郵箱等，凡是需要密碼的地方，都要把密碼盡快改過來。(2)刪掉所有硬盤上原來沒有的東西(3)更新殺毒軟件檢查一次硬盤上是否有病毒存在。12.3.3特洛伊木馬(Trojan)12.4防火墻技術它是一種計算機硬防火墻件和軟件的結合，使Internet與Intranet之間建立起一個安全網(wǎng)關（SecurityGateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。防火墻主要由服務訪問政策、驗證工具、包過濾和應用網(wǎng)關4個部分組成。防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件。該計算機流入流出的所有網(wǎng)絡通信均要經(jīng)過此防火墻。12.4.1防火墻的概念及作用12.4防火墻技術1．網(wǎng)絡級防火墻應用級網(wǎng)關電路級網(wǎng)關規(guī)則檢查防火墻12.4.2防火墻的種類12.4防火墻技術Netfilter/iptables包含在Linux2.4以后的內(nèi)核中，可以實現(xiàn)防火墻、NAT（網(wǎng)絡地址翻譯）和數(shù)據(jù)包的分割等功能。提供如下3項功能：包過濾、NAT、數(shù)據(jù)報處理12.4.3使用Netfilter/iptables防火墻框架12.4防火墻技術安裝源代碼包：#yum–yinstalliptables啟動防火墻：#serviceiptablesstart12.4.3使用Netfilter/iptables防火墻框架12.5入侵檢測系統(tǒng)（IDS）對入侵行為的發(fā)覺，其通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象分類：基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡的入侵檢測系統(tǒng)、兩種數(shù)據(jù)源的分布式入侵檢測系統(tǒng)12.5.1入侵檢測系統(tǒng)簡介12.5入侵檢測系統(tǒng)（IDS）12.5.2Snort簡介Snort是一個用C語言編寫的開源代碼軟件，Snort實際上是一個基于libpcap的網(wǎng)絡數(shù)據(jù)包嗅探器和日志記錄工具，可以用于入侵檢測。特點：輕量級的網(wǎng)絡入侵檢測系統(tǒng)可移植性好功能非常強大擴展性較好12.5入侵檢測系統(tǒng)（IDS）12.5.2Snort簡介Snort由三個重要的子系統(tǒng)構成：1、數(shù)據(jù)包解碼器2、檢測引擎3、日志和報警子系統(tǒng)12.5入侵檢測系統(tǒng)（IDS）12.5.3Snort安裝1.下載軟件，然后使用如下步驟安裝snort。/configuremakemakeinstall2.使用命令#yuminstallsnort直接進行安裝。12.5入侵檢測系統(tǒng)（IDS）12.5.4Snort命令簡介Snort命令行格式如下所示：snort-[options]<filters>12.5入侵檢測系統(tǒng)（IDS）12.5.5Snort工作模式snort有三種工作模式：1.嗅探器；2.數(shù)據(jù)包記錄器；3.網(wǎng)絡入侵檢測系統(tǒng)。嗅探器模式僅僅是從網(wǎng)絡上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。12.5入侵檢測系統(tǒng)（IDS）12.5.5配置Snort的輸出方式在默認的情況下，Snort以ASCII格式記錄日志，使用full報警機制，Snort會在報頭之后打印包頭之后打印報警消息。如果不需要日志包，可以使用-N選項。Snort有6種報警機制：full.fast.socket.syslog.smb和none。編號命令行狀態(tài)注釋01Afast報警消息包括：一個時間戳、報警消息、源／目的ip地址和端口02Afull默認的報警方式03Aunsock把報警消息發(fā)送到一個UNIX套接字，需要一個程序進行監(jiān)聽，這樣可以實現(xiàn)適時的報警04Anone關閉報警機制12.5入侵檢測系統(tǒng)（IDS）12.5.7配置Snort規(guī)則Snort的每條規(guī)則都可以分成邏輯上的兩個部分：規(guī)則頭和規(guī)則選項。規(guī)則頭包括規(guī)則動作(rule．a(chǎn)ction)、協(xié)議(protocol)、源／目的IP地址、了網(wǎng)掩碼以及源／目的端口。規(guī)則選項包含報警消息和異