網(wǎng)絡攻擊與防御技術-1概述

1網(wǎng)絡安全概述黃偉廣州科技職業(yè)技術學院12023/2/5網(wǎng)絡攻擊與防御22023/2/5網(wǎng)絡攻擊與防御2內(nèi)容安排1.1網(wǎng)絡安全基礎知識1.2網(wǎng)絡安全的重要性1.3網(wǎng)絡安全的主要威脅因素1.4網(wǎng)絡攻擊過程1.5網(wǎng)絡安全策略及制訂原則1.6網(wǎng)絡安全體系設計1.7常用的防護措施1.8小結2023/2/5網(wǎng)絡攻擊與防御32023/2/5網(wǎng)絡攻擊與防御31.1網(wǎng)絡安全基礎知識“安全”的含義（SecurityorSafety?)

平安，無危險；保護，保全；

遠離危險的狀態(tài)或特性；計算機安全

保護計算機系統(tǒng)，使其沒有危險，不受威脅，不出事故。2023/2/5網(wǎng)絡攻擊與防御4網(wǎng)絡安全定義網(wǎng)絡安全的一個通用定義指網(wǎng)絡信息系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的破壞、更改、泄露，系統(tǒng)能連續(xù)、可靠、正常地運行，服務不中斷。網(wǎng)絡安全簡單的說是在網(wǎng)絡環(huán)境下能夠識別和消除不安全因素的能力。2023/2/5網(wǎng)絡攻擊與防御5網(wǎng)絡安全定義網(wǎng)絡安全在不同的環(huán)境和應用中有不同的解釋。運行系統(tǒng)安全。包括計算機系統(tǒng)機房環(huán)境的保護，法律政策的保護，計算機結構設計安全性考慮，硬件系統(tǒng)的可靠安全運行，計算機操作系統(tǒng)和應用軟件的安全，數(shù)據(jù)庫系統(tǒng)的安全，電磁信息泄露的防護等。本質(zhì)上是保護系統(tǒng)的合法操作和正常運行。網(wǎng)絡上系統(tǒng)信息的安全。包括用戶口令鑒別、用戶存取權限控制、數(shù)據(jù)存取權限、方式控制、安全審計、安全問題跟蹤、計算機病毒防治和數(shù)據(jù)加密等。網(wǎng)絡上信息傳播的安全。包括信息過濾等。它側重于保護信息的保密性、真實性和完整性。避免攻擊者進行有損于合法用戶的行為。本質(zhì)上是保護用戶的利益和隱私。2023/2/5網(wǎng)絡攻擊與防御62023/2/5網(wǎng)絡攻擊與防御6網(wǎng)絡安全的基本需求

可靠性可用性保密性完整性不可抵賴性可控性可審查性真實性機密性完整性抗抵賴性……可用性2023/2/5網(wǎng)絡攻擊與防御72023/2/5網(wǎng)絡攻擊與防御72023/2/5網(wǎng)絡攻擊與防御8網(wǎng)絡安全內(nèi)容這里的網(wǎng)絡安全主要指通過各種計算機、網(wǎng)絡、密碼技術和信息安全技術，保護在公有通信網(wǎng)絡中傳輸、交換和存儲信息的機密性、完整性和真實性，并對信息的傳播及內(nèi)容具有控制能力，不涉及網(wǎng)絡可靠性、信息可控性、可用性和互操作性等領域。網(wǎng)絡安全的主體是保護網(wǎng)絡上的數(shù)據(jù)和通信的安全。數(shù)據(jù)安全性是一組程序和功能，用來阻止對數(shù)據(jù)進行非授權的泄漏、轉移、修改和破壞。通信安全性是一些保護措施，要求在電信中采用保密安全性、傳輸安全性、輻射安全性的措施，并依要求對具備通信安全性的信息采取物理安全性措施。2023/2/5網(wǎng)絡攻擊與防御92023/2/5網(wǎng)絡攻擊與防御91.2網(wǎng)絡安全的重要性隨著網(wǎng)絡的快速普及，網(wǎng)絡以其開放、共享的特性對社會的影響也越來越大。

網(wǎng)絡上各種新業(yè)務的興起，比如電子商務、電子政務、電子貨幣、網(wǎng)絡銀行，以及各種專業(yè)用網(wǎng)的建設，使得各種機密信息的安全問題越來越重要。計算機犯罪事件逐年攀升，已成為普遍的國際性問題。隨著我國信息化進程腳步的加快，利用計算機及網(wǎng)絡發(fā)起的信息安全事件頻繁出現(xiàn)，我們必須采取有力的措施來保護計算機網(wǎng)絡的安全。2023/2/5網(wǎng)絡攻擊與防御102023/2/5網(wǎng)絡攻擊與防御10信息化與國家安全——信息戰(zhàn)“誰掌握了信息，控制了網(wǎng)絡，誰將擁有整個世界?！?/p>

——美國著名未來學家阿爾溫.托爾勒“今后的時代，控制世界的國家將不是靠軍事，而是信息能力走在前面的國家。”

——美國總統(tǒng)克林頓“信息時代的出現(xiàn)，將從根本上改變戰(zhàn)爭的進行方式。”

——美國前陸軍參謀長沙利文上將2023/2/5網(wǎng)絡攻擊與防御11我國互聯(lián)網(wǎng)網(wǎng)絡安全環(huán)境(CNNIC-10.6)截至2010年6月底，中國網(wǎng)民數(shù)量達到4.2億半年有59.2%的網(wǎng)民遇到過病毒或木馬攻擊半年有30.9%的網(wǎng)民賬號或密碼被盜過網(wǎng)絡安全問題仍然制約著中國網(wǎng)民深層次的網(wǎng)絡應用發(fā)展2023/2/5網(wǎng)絡攻擊與防御122023/2/5網(wǎng)絡攻擊與防御12網(wǎng)絡安全現(xiàn)狀（續(xù)）惡意代碼肆虐，病毒數(shù)量爆炸式增長據(jù)卡巴斯基實驗室數(shù)據(jù)顯示，在過去的15年（1992-2007）間，發(fā)現(xiàn)了約200萬個新惡意軟件，而僅在2008和2009年兩年，就發(fā)現(xiàn)了超過3000萬個新惡意軟件。2023/2/5網(wǎng)絡攻擊與防御13卡巴斯基實驗室收集到的惡意程序總量2023/2/5網(wǎng)絡攻擊與防御14近十年主要漏洞發(fā)布與蠕蟲爆發(fā)時間間隔表蠕蟲名稱漏洞發(fā)布時間爆發(fā)時間時間間隔Ramen06/23/200001/18/2001185天Sadmind/IIS12/14/199905/08/2001210天CodeRed紅色代碼04/06/200107/19/2001104天Nimda尼姆達05/15/200109/18/2001125天Slapper07/30/200209/04/200245天Blaster沖擊波07/16/200308/11/200325天Sasser震蕩波04/13/200404/30/200417天Zotob08/09/200508/16/20057天Mocbot魔波08/08/200608/14/20066天MyInfect麥英04/03/200704/01/2007-1天Conficker10/23/200811/07/2008152023/2/5網(wǎng)絡攻擊與防御15近十年主要漏洞發(fā)布與蠕蟲爆發(fā)時間間隔表2023/2/5網(wǎng)絡攻擊與防御162023/2/5網(wǎng)絡安全漏洞庫的研究16安全漏洞的威脅漏洞導致安全威脅近年來，計算機病毒、木馬、蠕蟲和黑客攻擊等日益流行，對國家政治、經(jīng)濟和社會造成危害，并對Internet及國家關鍵信息系統(tǒng)構成嚴重威脅。絕大多數(shù)的安全威脅是利用系統(tǒng)或軟件中存在的安全漏洞來達到破壞系統(tǒng)、竊取機密信息等目的，由此引發(fā)的安全事件也層出不窮。如2009年暴風影音漏洞導致了大規(guī)模的斷網(wǎng)事件，2010年微軟極光漏洞導致Google被攻擊事件。2023/2/5網(wǎng)絡攻擊與防御170day漏洞0day漏洞，又稱零日漏洞，指在安全補丁發(fā)布前被了解和掌握的漏洞信息。利用0day漏洞的攻擊稱為0day攻擊。2006年9月27日，微軟提前發(fā)布MS06-055漏洞補丁，修補了一個嚴重等級的IE圖像處理漏洞。事實上，這個漏洞在當時屬于零日漏洞，因為在微軟公布補丁之前一個星期就已經(jīng)出現(xiàn)了利用這個漏洞的網(wǎng)馬。誰在使用0day漏洞：安全部門、滲透測試人員、黑客、甚至是蠕蟲…2023/2/5網(wǎng)絡攻擊與防御18網(wǎng)絡安全現(xiàn)狀（續(xù)）攻擊者需要的技術水平逐漸降低，手段更加靈活，聯(lián)合攻擊急劇增多攻擊工具易于從網(wǎng)絡下載網(wǎng)絡蠕蟲具有隱蔽性、傳染性、破壞性、自主攻擊能力新一代網(wǎng)絡蠕蟲和黑客攻擊、計算機病毒之間的界限越來越模糊2023/2/5網(wǎng)絡攻擊與防御19網(wǎng)絡安全現(xiàn)狀（續(xù)）網(wǎng)絡攻擊趨利性增強、頑固性增加木馬類病毒的利益威脅最為嚴重；病毒傳播的趨利性日益突出；病毒的反殺能力不斷增強；網(wǎng)絡攻擊的組織性、趨利性、專業(yè)性和定向性繼續(xù)加強，地下產(chǎn)業(yè)鏈逐步形成。2023/2/5網(wǎng)絡攻擊與防御20熊貓燒香案主犯李俊獲刑四年2007年9月24日，湖北省仙桃市人民法院公開開庭審理了倍受社會各界廣泛關注的被告人李俊、王磊、張順、雷磊破壞計算機信息系統(tǒng)罪一案。被告人李俊、王磊、張順、雷磊因犯破壞計算機信息系統(tǒng)罪，分別被判處有期徒刑四年、二年六個月、二年、一年。2023/2/5網(wǎng)絡攻擊與防御212023/2/5網(wǎng)絡攻擊與防御22公開制作銷售木馬下載器網(wǎng)站軟件價格表老版本TrojanDefender系列生成器價格:1000不賣小馬，生成器一次買斷，不管更新，我們可以給您定做生成器。只賣一家，售出后此系列軟件我們將永遠不做更新和出售。新版本HDDInjector系列軟件價格:V1.0版本下載者型小馬:RMB.300

V1.0版本下載者生成器:RMB.2500

V1.1版本不配置小馬，只賣生成器價格:RMB.5000購買方式1.下載站內(nèi)測試程序測試效果2.如果您對程序感興趣請聯(lián)系購買客服購買2023/2/5網(wǎng)絡攻擊與防御23案例——“頂狐”病毒網(wǎng)上銀行盜竊案2007年12月16日，“3.5”特大網(wǎng)上銀行盜竊案的8名主要犯罪嫌疑人全部落入法網(wǎng)。8名疑犯在網(wǎng)上以虛擬身份聯(lián)系，糾集成伙，雖不明彼此身份，卻配合密切，分工明確，有人制作木馬病毒，有人負責收集信息，有人提現(xiàn)，有人收贓，在不到一年時間里竊得人民幣300余萬元。徐偉沖提供信息，金星通過網(wǎng)上購買游戲點卡，轉手倒賣給湖南長沙的“寶寶”，即陳娜。因信息太多，忙不過來，金星又在網(wǎng)上將信息倒賣給“小胖”，“小胖”再轉賣他人提現(xiàn)。陸瑛娜則不停地在網(wǎng)上購游戲點卡，她到外地制作了兩張假身份證，在數(shù)家銀行開了賬戶，忙著到蘇州、昆山、常州等周邊地區(qū)銀行去取贓款。2008年4月11日，無錫市濱湖區(qū)法院對一起公安部掛牌督辦的重大網(wǎng)絡犯罪案件作出了一審判決，被告人金星、徐偉沖、陸瑛娜、方少宏因構成信用卡詐騙罪和盜竊罪，分別被判處十四年至三年不等的有期徒刑。2023/2/5網(wǎng)絡攻擊與防御242023/2/5網(wǎng)絡攻擊與防御241.3網(wǎng)絡安全的主要威脅因素信息系統(tǒng)自身安全的脆弱性操作系統(tǒng)與應用程序漏洞安全管理問題黑客攻擊網(wǎng)絡犯罪2023/2/5網(wǎng)絡攻擊與防御25信息系統(tǒng)自身的安全脆弱性信息系統(tǒng)脆弱性，指信息系統(tǒng)的硬件資源、通信資源、軟件及信息資源等，因可預見或不可預見甚至惡意的原因而可能導致系統(tǒng)受到破壞、更改、泄露和功能失效，從而使系統(tǒng)處于異常狀態(tài)，甚至崩潰癱瘓等的根源和起因。這里我們從以下三個層面分別進行分析：硬件組件軟件組件網(wǎng)絡和通信協(xié)議2023/2/5網(wǎng)絡攻擊與防御26硬件組件的安全隱患信息系統(tǒng)硬件組件安全隱患多源于設計，主要表現(xiàn)為物理安全方面的問題。硬件組件的安全隱患除在管理上強化人工彌補措施外，采用軟件程序的方法見效不大。

——在設計、選購硬件時，應盡可能減少或消除硬件組件的安全隱患2023/2/5網(wǎng)絡攻擊與防御27軟件組件的安全隱患軟件組件的安全隱患來源于設計和軟件工程實施中遺留問題：軟件設計中的疏忽軟件設計中不必要的功能冗余、軟件過長過大軟件設計不按信息系統(tǒng)安全等級要求進行模塊化設計軟件工程實現(xiàn)中造成的軟件系統(tǒng)內(nèi)部邏輯混亂2023/2/5網(wǎng)絡攻擊與防御28網(wǎng)絡和通信協(xié)議的安全隱患協(xié)議：指計算機通信的共同語言，是通信雙方約定好的彼此遵循的一定規(guī)則。TCP/IP協(xié)議簇是目前使用最廣泛的協(xié)議，但其已經(jīng)暴露出許多安全問題。TCP序列列猜測路由協(xié)議缺陷數(shù)據(jù)傳輸加密問題其它應用層協(xié)議問題2023/2/5網(wǎng)絡攻擊與防御29TCP/IP協(xié)議簇脆弱性原因支持Internet運行的TCP/IP協(xié)議棧最初設計的應用環(huán)境是相互信任的，其設計原則是簡單、可擴展、盡力而為，只考慮互聯(lián)互通和資源共享問題，并未考慮也無法兼顧解決網(wǎng)絡中的安全問題基于TCP/IP的Internet是在可信任網(wǎng)絡環(huán)境中開發(fā)出來的成果，體現(xiàn)在TCP/IP協(xié)議上的總體構想和設計本身，基本未考慮安全問題，并不提供人們所需的安全性和保密性2023/2/5網(wǎng)絡攻擊與防御30操作系統(tǒng)與應用程序漏洞操作系統(tǒng)是用戶和硬件設備的中間層，操作系統(tǒng)一般都自帶一些應用程序或者安裝一些其它廠商的軟件工具。應用軟件在程序?qū)崿F(xiàn)時的錯誤，往往就會給系統(tǒng)帶來漏洞。漏洞也叫脆弱性（Vulnerability），是計算機系統(tǒng)在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷和不足。漏洞一旦被發(fā)現(xiàn)，就可以被攻擊者用來在未授權的情況下訪問或破壞系統(tǒng)，從而導致危害計算機系統(tǒng)安全的行為。2023/2/5網(wǎng)絡攻擊與防御312023/2/5網(wǎng)絡安全漏洞庫的研究31安全漏洞急劇增長漏洞數(shù)量急劇增長自2000年以來，每年發(fā)現(xiàn)的漏洞數(shù)量都在千數(shù)量級，并且不斷增長，僅2009年一年就報告了6601個新漏洞。——《IBMX-Force2009TrendandRiskReport》2023/2/5網(wǎng)絡攻擊與防御32安全漏洞（以微軟為例）系統(tǒng)安全漏洞微軟每周都有數(shù)個修正檔需要更新2008年微軟公布了78個漏洞補丁微軟MS08-067漏洞引發(fā)“掃蕩波”困境無法知道哪些機器沒有安裝漏洞補丁知道哪些機器但是找不到機器在哪里機器太多不知如何做起2023/2/5網(wǎng)絡攻擊與防御332023/2/5網(wǎng)絡攻擊與防御33網(wǎng)絡安全現(xiàn)狀（續(xù)）安全漏洞數(shù)量增長較快，0day攻擊頻繁常用系統(tǒng)的安全漏洞保持遞增趨勢；路由器、交換機等網(wǎng)絡硬件設備的嚴重級別漏洞增多；針對漏洞的攻擊程序呈現(xiàn)出目的性強、時效性高的趨勢，0day攻擊現(xiàn)象嚴重。各類應用軟件的安全漏洞尚未引起足夠重視。2023/2/5網(wǎng)絡攻擊與防御342023/2/534防范中心公布漏洞情況——國家安全漏洞庫國家安全漏洞庫漏洞列表（）國家安全漏洞庫一條漏洞具體信息2023/2/5網(wǎng)絡攻擊與防御35信息系統(tǒng)面臨的安全威脅基本威脅威脅信息系統(tǒng)的主要方法威脅和攻擊的來源2023/2/5網(wǎng)絡攻擊與防御36基本威脅安全的基本目標是實現(xiàn)信息的機密性、完整性、可用性。對信息系統(tǒng)這3個基本目標的威脅即是基本威脅。信息泄漏完整性破壞拒絕服務未授權訪問2023/2/5網(wǎng)絡攻擊與防御37基本威脅1－信息泄漏信息泄漏指敏感數(shù)據(jù)在有意或無意中被泄漏、丟失或透露給某個未授權的實體。信息泄漏包括：信息在傳輸中被丟失或泄漏；通過信息流向、流量、通信頻度和長度等參數(shù)等分析，推測出有用信息。2023/2/5網(wǎng)絡攻擊與防御38基本威脅2－完整性破壞以非法手段取得對信息的管理權，通過未授權的創(chuàng)建、修改、刪除和重放等操作而使數(shù)據(jù)的完整性受到破壞2023/2/5網(wǎng)絡攻擊與防御39基本威脅3－拒絕服務信息或信息系統(tǒng)資源等被利用價值或服務能力下降或喪失。產(chǎn)生服務拒絕的原因：受到攻擊所致。攻擊者通過對系統(tǒng)進行非法的、根本無法成功的訪問嘗試而產(chǎn)生過量的系統(tǒng)負載，從而導致系統(tǒng)的資源對合法用戶的服務能力下降或喪失。信息系統(tǒng)或組件在物理上或邏輯上受到破壞而中斷服務。2023/2/5網(wǎng)絡攻擊與防御40基本威脅4－未授權訪問未授權實體非法訪問信息系統(tǒng)資源，或授權實體超越權限訪問信息系統(tǒng)資源。非法訪問主要有：假冒和盜用合法用戶身份攻擊、非法進入網(wǎng)絡系統(tǒng)進行違法操作，合法用戶以未授權的方式進行操作等形式。2023/2/5網(wǎng)絡攻擊與防御41威脅信息系統(tǒng)的主要方法冒充旁路控制破壞信息的完整性破壞系統(tǒng)的可用性重放截收和輻射偵測陷門特洛伊木馬抵賴2023/2/5網(wǎng)絡攻擊與防御42威脅方法1－冒充某個未授權的實體假裝成另一個不同的實體，進而非法獲取系統(tǒng)的訪問權利或得到額外特權攻擊者可以進行下列假冒：假冒管理者發(fā)布命令和調(diào)閱密件；假冒主機欺騙合法主機及合法用戶假冒網(wǎng)絡控制程序套取或修改使用權限、口令、密鑰等信息，越權使用網(wǎng)絡設備和資源接管合法用戶欺騙系統(tǒng)，占用合法用戶資源2023/2/5網(wǎng)絡攻擊與防御43威脅方法2－旁路控制攻擊者為信息系統(tǒng)等鑒別或者訪問控制機制設置旁路。為了獲取未授權的權利，攻擊者會發(fā)掘系統(tǒng)的缺陷或安全上的某些脆弱點，并加以利用，以繞過系統(tǒng)訪問控制而滲入到系統(tǒng)內(nèi)部2023/2/5網(wǎng)絡攻擊與防御44威脅方法3－破壞信息完整性攻擊者可從三個方面破壞信息到完整性：篡改：改變信息流的次序、時序、流向、內(nèi)容和形式；刪除：刪除消息全部和一部分；插入：在消息中插入一些無意義或有害信息。2023/2/5網(wǎng)絡攻擊與防御45威脅方法4-破壞系統(tǒng)可用性攻擊者可以從以下三個方面破壞系統(tǒng)可用性：使合法用戶不能正常訪問網(wǎng)絡資源；使有嚴格時間要求的服務不能即時得到響應；摧毀系統(tǒng)。如，物理破壞網(wǎng)絡系統(tǒng)和設備組件使網(wǎng)絡不可用，或破壞網(wǎng)絡結構。2023/2/5網(wǎng)絡攻擊與防御46威脅方法5－重放攻擊者截收有效信息甚至是密文，在后續(xù)攻擊時重放所截收的消息。2023/2/5網(wǎng)絡攻擊與防御47威脅方法6－截收與輻射偵測攻擊者通過搭線竊聽和對電磁輻射探測等方法截獲機密信息，或者從流量、流向、通信總量和長度等參數(shù)分析出有用信息。2023/2/5網(wǎng)絡攻擊與防御48威脅方法7－陷門在某個（硬件、軟件）系統(tǒng)和某個文件中設計的“機關”，使得當提供特定的輸入條件時，允許違反安全策略而產(chǎn)生非授權的影響陷門通常是設計時插入的一小段程序，用來測試模塊或者為程序員提供一些便利。開發(fā)后期會去掉這些陷門，可能會基于某種目的得到保留陷門被利用，會帶來嚴重后果2023/2/5網(wǎng)絡攻擊與防御49威脅方法8－特洛伊木馬指一類惡意的妨害安全的計算機程序或者攻擊手段。形象的來說，是指：一個應用程序表面上在執(zhí)行一個任務，實際上卻在執(zhí)行另一個任務。以達到泄漏機密信息甚至破壞系統(tǒng)的目的。2023/2/5網(wǎng)絡攻擊與防御50威脅方法9－抵賴通信的某一方出于某種目的而出現(xiàn)下列抵賴行為：發(fā)信者事后否認曾經(jīng)發(fā)送過某些消息發(fā)信者事后否認曾經(jīng)發(fā)送過的某些消息的內(nèi)容收信者事后否認曾經(jīng)接受過某些消息收信者事后否認曾經(jīng)接受過某些消息的內(nèi)容2023/2/5網(wǎng)絡攻擊與防御51威脅和攻擊來源內(nèi)部操作不當信息系統(tǒng)內(nèi)部工作人員越權操作、違規(guī)操作或其他不當操作，可能造成重大安全事故。

內(nèi)部管理不嚴造成信息系統(tǒng)安全管理失控信息體系內(nèi)部缺乏健全管理制度或制度執(zhí)行不力，給內(nèi)部工作人員違規(guī)和犯罪留下縫隙。來自外部的威脅與犯罪從外部對信息系統(tǒng)進行威脅和攻擊的實體主要有黑客、信息間諜、計算機犯罪人員三種。2023/2/5網(wǎng)絡攻擊與防御522023/2/5網(wǎng)絡攻擊與防御52網(wǎng)絡安全主要威脅來源網(wǎng)絡內(nèi)部、外部泄密拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲2023/2/5網(wǎng)絡攻擊與防御532023/2/5網(wǎng)絡攻擊與防御53熊貓燒香沖擊波病毒振蕩波病毒CIH病毒2023/2/5網(wǎng)絡攻擊與防御542023/2/5網(wǎng)絡攻擊與防御54木馬攻擊網(wǎng)站主頁被黑信用卡被盜刷信息被篡改2023/2/5網(wǎng)絡攻擊與防御55安全管理問題管理策略不夠完善，管理人員素質(zhì)低下，用戶安全意識淡薄，有關的法律規(guī)定不夠健全。管理上權責不分，缺乏培訓意識，管理不夠嚴格。缺乏保密意識，系統(tǒng)密碼隨意傳播，出現(xiàn)問題時相互推卸責任。2023/2/5網(wǎng)絡攻擊與防御56黑客攻擊黑客（hacker），源于英語動詞hack，意為“劈，砍”，引申為“干了一件非常漂亮的工作”。在早期麻省理工學院的校園俚語中，“黑客”則有“惡作劇”之意，尤指手法巧妙、技術高明的惡作劇。他們通常具有硬件和軟件的高級知識，并有能力通過創(chuàng)新的方法剖析系統(tǒng)。網(wǎng)絡黑客的主要攻擊手法有：獲取口令、放置木馬、web欺騙技術、電子郵件攻擊、通過一個節(jié)點攻擊另一節(jié)點、網(wǎng)絡監(jiān)聽、尋找系統(tǒng)漏洞、利用緩沖區(qū)溢出竊取特權等。2023/2/5網(wǎng)絡攻擊與防御57黑客起源起源地：美國精神支柱：對技術的渴求對自由的渴求歷史背景：越戰(zhàn)與反戰(zhàn)活動馬丁·路德金與自由嬉皮士與非主流文化電話飛客與計算機革命中國黑客發(fā)展歷史1998年印尼事件1999年南聯(lián)盟事件綠色兵團南北分拆事件中美五一黑客大戰(zhàn)事件2023/2/5網(wǎng)絡攻擊與防御582023/2/5網(wǎng)絡攻擊與防御58黑客分類灰帽子破解者破解已有系統(tǒng)發(fā)現(xiàn)問題/漏洞突破極限/禁制展現(xiàn)自我計算機為人民服務漏洞發(fā)現(xiàn)-Flashsky軟件破解-0Day工具提供-Glacier白帽子創(chuàng)新者設計新系統(tǒng)打破常規(guī)精研技術勇于創(chuàng)新沒有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破壞者隨意使用資源惡意破壞散播蠕蟲病毒商業(yè)間諜人不為己，天誅地滅入侵者-K.米特尼克CIH-陳盈豪攻擊Yahoo-匿名惡渴求自由2023/2/5網(wǎng)絡攻擊與防御592023/2/5網(wǎng)絡攻擊與防御59脆弱性程度日益增加信息網(wǎng)絡系統(tǒng)的復雜性增加脆弱性程度網(wǎng)絡系統(tǒng)日益復雜，安全隱患急劇增加，為黑客創(chuàng)造了客觀條件2023/2/5網(wǎng)絡攻擊與防御60常見的黑客攻擊及入侵技術的發(fā)展

19801985199019952000密碼猜測可自動復制的代碼密碼破解利用已知的漏洞破壞審計系統(tǒng)后門會話劫持擦除痕跡嗅探包欺騙GUI遠程控制自動探測掃描拒絕服務www攻擊工具攻擊者入侵者水平攻擊手法半開放隱蔽掃描控制臺入侵檢測網(wǎng)絡管理DDOS攻擊2005高2023/2/5網(wǎng)絡攻擊與防御61網(wǎng)絡犯罪網(wǎng)絡數(shù)量大規(guī)模增長，網(wǎng)民素質(zhì)參差不齊，而這一領域的各種法律規(guī)范未能及時跟進，網(wǎng)絡成為一種新型的犯罪工具、犯罪場所和犯罪對象。網(wǎng)絡犯罪中最為突出的問題有：網(wǎng)絡色情泛濫成災，嚴重危害未成年人的身心健康；軟件、影視唱片的著作權受到盜版行為的嚴重侵犯；電子商務備受詐欺困擾；信用卡被盜刷；購買的商品石沉大海，發(fā)出商品卻收不回貨款；更有甚者，侵入他人網(wǎng)站、系統(tǒng)后進行敲詐，制造、販賣計算機病毒、木馬或其它惡意軟件，已經(jīng)挑戰(zhàn)計算機和網(wǎng)絡幾十年之久的黑客仍然是網(wǎng)絡的潛在危險。2023/2/5網(wǎng)絡攻擊與防御62網(wǎng)絡犯罪（續(xù)）網(wǎng)絡犯罪的類型網(wǎng)絡文化污染盜版交易網(wǎng)絡欺詐妨害名譽侵入他人主頁、網(wǎng)站、郵箱制造、傳播計算機病毒網(wǎng)絡賭博教唆、煽動各種犯罪，傳授犯罪方法2023/2/5網(wǎng)絡攻擊與防御63網(wǎng)絡犯罪（續(xù)）打擊網(wǎng)絡犯罪面臨的問題互聯(lián)網(wǎng)本身缺陷黑客軟件泛濫互聯(lián)網(wǎng)的跨地域、跨國界性網(wǎng)上商務存在的弊端互聯(lián)網(wǎng)性質(zhì)的不確定性司法標準不一2023/2/5網(wǎng)絡攻擊與防御642023/2/5網(wǎng)絡攻擊與防御64攻擊案例：對日網(wǎng)絡攻擊從2003年7月31日晚間開始，國內(nèi)一批黑客組織按約定對日本政府機關、公司和民間機構網(wǎng)站展開攻擊本次攻擊歷時五天，以宣揚“愛國”精神和發(fā)泄對日不滿情緒為主要目的，通過篡改主頁等技術手段，在一定程度上達到了預期目的，對日本網(wǎng)站造成了某些破壞期間有十幾家日本網(wǎng)站（包括可能是被誤攻擊的韓國、臺灣網(wǎng)站）被攻擊成功，頁面被修改2023/2/5網(wǎng)絡攻擊與防御65對日網(wǎng)絡攻擊的調(diào)查序號攻擊者受害者地址受害者單位備注1云中子

日本警察廳官方網(wǎng)站，已于7月31日23點恢復2中國黑鷹聯(lián)盟6SKYNETCorporation日本民間公司3Squall5臺灣中華電信數(shù)據(jù)通信分公司不是日本目標4Skywalker4大王（DAIO）制紙株式會社日本民間公司5中國黑鷹聯(lián)盟49韓國大宇(DAEWOO)INFORMATIONSYSTEMBRENIC不是日本目標6中國菜鳥聯(lián)盟6同2SKYNETCorporation日本民間公司2023/2/5網(wǎng)絡攻擊與防御66對日網(wǎng)絡攻擊的調(diào)查（續(xù)）7雙子情劍49USTK0002-082broadgate日本目標8雪落無聲

andHvTB4KnowledgeNetWorksCo.,Inc.日本目標9雪落無聲78DreamTrainInternetInc.日本目標10網(wǎng)絡失足男孩85NECCorporation日本民間公司11雪落無聲0AIKYUCo.,Ltd日本民間公司12Skywalker4大王（DAIO）制紙株式會社日本民間公司13星火網(wǎng)絡96MatsumuraBussanCorporation日本民間公司2023/2/5網(wǎng)絡攻擊與防御67對日網(wǎng)絡攻擊的調(diào)查（續(xù)）2023/2/5網(wǎng)絡攻擊與防御68攻擊案例（2）：

利用DNS劫持攻擊大型網(wǎng)站事件2007年11月3日，部分用戶在訪問騰訊迷你首頁網(wǎng)站()時，會被惡意代碼感染，系統(tǒng)會自動從惡意網(wǎng)站上下載并運行惡意程序。由于該站點為QQ軟件啟動時默認自動彈出，具有極高的訪問量。攻擊者采用的攻擊方法是劫持DNS解析過程，篡改騰訊迷你首頁的DNS記錄。非法劫持騰訊“迷你網(wǎng)”主頁域名傳播17種32個計算機木馬病毒，使全國數(shù)百萬網(wǎng)民在訪問“迷你網(wǎng)”主頁，玩?zhèn)髌?、魔獸等網(wǎng)絡游戲時，游戲帳號和密碼被秘密發(fā)送到木馬程序設置的遠程接收服務器上，該團伙迅速盜取帳號和密碼，在網(wǎng)上銷贓套現(xiàn)，銷贓所得按“貢獻”大小分成。不到兩個月時間，馬志松等人就盜竊數(shù)十萬網(wǎng)上用戶的游戲帳號和密碼，非法獲利40余萬元，馬志松分得15萬元。騰訊“迷你網(wǎng)”因停止服務，造成直接損失20余萬元。2023/2/5網(wǎng)絡攻擊與防御69攻擊案例（2）：

利用DNS劫持攻擊大型網(wǎng)站事件（續(xù)）2007年11月19日，無錫市公安局網(wǎng)警支隊接報：當月5日至19日期間，全國部分地區(qū)的互聯(lián)網(wǎng)用戶在訪問深圳市騰訊計算機系統(tǒng)有限公司迷你網(wǎng)主頁時，被錯誤指向到位于無錫市的病毒服務器，造成上百萬網(wǎng)民的電腦受病毒感染，騰訊公司被迫停止網(wǎng)站服務，造成重大經(jīng)濟損失。警方立即開展偵查，于同年12月，分別在四川成都、江蘇張家港、黑龍江東寧等地抓獲6名犯罪嫌疑人。江蘇省公安廳信息網(wǎng)絡安全監(jiān)察部門在馬志松等人使用的電腦硬盤中發(fā)現(xiàn)了用于攻擊網(wǎng)站的破壞性程序。經(jīng)審查，2007年9月底至11月中旬，這一團伙在成都市使用編譯好的劫持程序?qū)ι虾?、重慶、揚州等10余個城市共計27臺域名服務器實施攻擊劫持，借機盜取網(wǎng)絡游戲賬號。法院審理認為，6名被告違反國家規(guī)定，對計算機信息系統(tǒng)功能進行干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴重，均已構成破壞計算機信息系統(tǒng)罪。馬志松等6名被告被江蘇無錫濱湖區(qū)法院一審分別判處四年至一年不等有期徒刑。2023/2/5網(wǎng)絡攻擊與防御701.4網(wǎng)絡攻擊過程網(wǎng)絡攻擊過程一般可以分為本地入侵和遠程入侵在這里主要介紹遠程攻擊的一般過程：遠程攻擊的準備階段遠程攻擊的實施階段遠程攻擊的善后階段2023/2/5網(wǎng)絡攻擊與防御71遠程攻擊的準備階段確定攻擊目標信息收集服務分析系統(tǒng)分析漏洞分析2023/2/5網(wǎng)絡攻擊與防御72攻擊準備1—確定攻擊目標攻擊者在進行一次完整的攻擊之前，首先要確定攻擊要達到什么樣的目的，即給受侵者造成什么樣的后果。常見的攻擊目的有破壞型和入侵型兩種。破壞型攻擊——是指只破壞攻擊目標，使之不能正常工作，而不能隨意控制目標上的系統(tǒng)運行。入侵型攻擊——這種攻擊要獲得一定的權限才能達到控制攻擊目標的目的。應該說這種攻擊比破壞型攻擊更為普遍，威脅性也更大。因為攻擊者一旦掌握了一定的權限、甚至是管理員權限就可以對目標做任何動作，包括破壞性質(zhì)的攻擊。2023/2/5網(wǎng)絡攻擊與防御73攻擊準備2—信息收集包括目標的操作系統(tǒng)類型及版本、相關軟件的類型、版本及相關的社會信息收集目標系統(tǒng)相關信息的協(xié)議和工具Ping實用程序TraceRoute、Tracert、X-firewalk程序Whois協(xié)議Finger協(xié)議SNMP協(xié)議2023/2/5網(wǎng)絡攻擊與防御74攻擊準備2—信息收集在網(wǎng)絡中主機一般以IP地址進行標識。例如選定50這臺主機為攻擊目標，使用ping命令可以探測目標主機是否連接在Internet中。在Windows下使用ping命令測試：ping50測試結果如下頁圖所示。說明此主機處于活動狀態(tài)。2023/2/5網(wǎng)絡攻擊與防御752023/2/5網(wǎng)絡攻擊與防御752023/2/5網(wǎng)絡攻擊與防御76攻擊準備3－服務分析探測目標主機所提供的服務、相應端口是否開放、各服務所使用的軟件版本類型：如利用Telnet、haktek等工具，或借助SuperScan、Nmap等這類工具的端口掃描或服務掃描功能。舉例：Windows下，開始—運行—cmd輸入：telnet5080，然后回車結果如下頁圖所示，說明50這臺主機上運行了http服務，Web服務器版本是IIS5.12023/2/5網(wǎng)絡攻擊與防御772023/2/5網(wǎng)絡攻擊與防御772023/2/5網(wǎng)絡攻擊與防御78攻擊準備4－系統(tǒng)分析確定目標主機采用何種操作系統(tǒng)例如在Windows下安裝Nmapv4.20掃描工具，此工具含OSDetection的功能（使用-O選項）。打開cmd.exe，輸入命令：nmap–O50，然后[確定]探測結果如下頁圖所示，說明操作系統(tǒng)是Windows2000SP1、SP2或者SP32023/2/5網(wǎng)絡攻擊與防御792023/2/5網(wǎng)絡攻擊與防御792023/2/5網(wǎng)絡攻擊與防御80攻擊準備5－漏洞分析分析確認目標主機中可以被利用的漏洞手動分析：過程復雜、技術含量高、效率較低借助軟件自動分析：需要的人為干預過程少，效率高。如Nessus、X-Scan等綜合型漏洞檢測工具、eEye等專用型漏洞檢測工具等。例如在Windows下使用eEyeSasserScanner對目標主機8進行系統(tǒng)漏洞分析。探測結果如下頁圖所示，說明目標主機存在震蕩波漏洞。2023/2/5網(wǎng)絡攻擊與防御812023/2/5網(wǎng)絡攻擊與防御82遠程攻擊的實施階段作為破壞性攻擊，可以利用工具發(fā)動攻擊即可。作為入侵性攻擊，往往需要利用收集到的信息，找到其系統(tǒng)漏洞，然后利用漏洞獲取盡可能高的權限。攻擊的主要階段包括：預攻擊探測：為進一步入侵提供有用信息口令破解與攻擊提升權限實施攻擊：緩沖區(qū)溢出、拒絕服務、后門、木馬、病毒2023/2/5網(wǎng)絡攻擊與防御83遠程攻擊的善后階段入侵成功后，攻擊者為了能長時間地保留和鞏固他對系統(tǒng)的控制權，一般會留下后門。此外，攻擊者為了自身的隱蔽性，須進行相應的善后工作——隱藏蹤跡：攻擊者在獲得系統(tǒng)最高管理員權限之后就可以任意修改系統(tǒng)上的文件了，所以一般黑客如果想隱匿自己的蹤跡，最簡單的方法就是刪除日志文件但這也明確無誤地告訴了管理員系統(tǒng)已經(jīng)被入侵了。更常用的辦法是只對日志文件中有關自己的那部分作修改，關于修改方法的細節(jié)根據(jù)不同的操作系統(tǒng)有所區(qū)別，網(wǎng)絡上有許多此類功能的程序。2023/2/5網(wǎng)絡攻擊與防御84入侵系統(tǒng)的常用步驟

采用漏洞掃描工具選擇會用的方式入侵獲取系統(tǒng)一定權限提升為最高權限安裝系統(tǒng)后門獲取敏感信息或者其他攻擊目的2023/2/5網(wǎng)絡攻擊與防御85較高明的入侵步驟

端口判斷判斷系統(tǒng)選擇最簡方式入侵分析可能有漏洞的服務獲取系統(tǒng)一定權限提升為最高權限安裝多個系統(tǒng)后門清除入侵腳印攻擊其他系統(tǒng)獲取敏感信息作為其他用途2023/2/5網(wǎng)絡攻擊與防御862023/2/5網(wǎng)絡攻擊與防御861.5網(wǎng)絡安全策略及制訂原則安全策略，是針對那些被允許進入某一組織、可以訪問網(wǎng)絡技術資源和信息資源的人所規(guī)定的、必須遵守的規(guī)則。即：網(wǎng)絡管理部門根據(jù)整個計算機網(wǎng)絡所提供的服務內(nèi)容、網(wǎng)絡運行狀況、網(wǎng)絡安全狀況、安全性需求、易用性、技術實現(xiàn)所付出的代價和風險、社會因素等許多方面因素，所制定的關于網(wǎng)絡安全總體目標、網(wǎng)絡安全操作、網(wǎng)絡安全工具、人事管理等方面的規(guī)定。2023/2/5網(wǎng)絡攻擊與防御872023/2/5網(wǎng)絡攻擊與防御87制定安全策略的目的決定一個組織機構怎樣保護自己闡明機構安全政策的總體思想讓所有用戶、操作人員和管理員清楚，為了保護技術和信息資源所必須遵守的原則。提供一個可以獲得、能夠配置和檢查的用于確定是否與計算機和網(wǎng)絡系統(tǒng)的策略一致的基準2023/2/5網(wǎng)絡攻擊與防御882023/2/5網(wǎng)絡攻擊與防御88安全策略的必要性網(wǎng)絡管理員在作安全策略時的依據(jù)在很大程度上取決于網(wǎng)絡運行過程中的安全狀況，網(wǎng)絡所提供的功能以及網(wǎng)絡的易用程度。安全策略應以要實現(xiàn)目標為基礎，而不能簡單地規(guī)定要檢驗什么和施加什么限制。在確定的安全目標下，應該制定如何有效地利用所有安全工具的策略。2023/2/5網(wǎng)絡攻擊與防御892023/2/5網(wǎng)絡攻擊與防御89安全策略的必要性(2)檢測響應防護PPDR模型檢測響應防護策略強調(diào)了策略的核心作用強調(diào)了檢測、響應、防護的動態(tài)性檢測、響應、防護必須遵循安全策略進行2023/2/5網(wǎng)絡攻擊與防御90制訂安全策略的基本原則適用性原則可行性原則動態(tài)性原則簡單性原則系統(tǒng)性原則2023/2/5網(wǎng)絡攻擊與防御912023/2/5網(wǎng)絡攻擊與防御91適用性原則安全策略是在一定條件下采取的安全措施，必須與網(wǎng)絡的實際應用環(huán)境相結合。網(wǎng)絡的安全管理是一個系統(tǒng)化的工作，因此在制定安全策略時，應全面考慮網(wǎng)絡上各類用戶、設備等情況，有計劃有準備地采取相應的策略，任何一點疏忽都會造成整個網(wǎng)絡安全性的降低。2023/2/5網(wǎng)絡攻擊與防御922023/2/5網(wǎng)絡攻擊與防御92可行性原則安全管理策略的制定還要考慮資金的投入量，因為安全產(chǎn)品的性能一般是與其價格成正比的，所以要適合劃分系統(tǒng)中信息的安全級別，并作為選擇安全產(chǎn)品的重要依據(jù)，使制定的安全管理策略達到成本和效益的平衡。2023/2/5網(wǎng)絡攻擊與防御932023/2/5網(wǎng)絡攻擊與防御93動態(tài)性原則安全管理策略有一定的時限性，不能是一成不變的。由于網(wǎng)絡用戶在不斷地變化，網(wǎng)絡規(guī)模在不斷擴大，網(wǎng)絡技術本身的發(fā)展變化也很快，而安全措施是防范性的，所以安全措施也必須隨著網(wǎng)絡發(fā)展和環(huán)境的變化而變化。2023/2/5網(wǎng)絡攻擊與防御942023/2/5網(wǎng)絡攻擊與防御94簡單性原則網(wǎng)絡用戶越多，網(wǎng)絡管理人員越多，網(wǎng)絡拓撲越復雜，采用網(wǎng)絡設備種類和軟件種類越多，網(wǎng)絡提供的服務和捆綁越多，出現(xiàn)安全漏洞的可能性就越大。因此制定的安全管理策略越簡單越好，如簡化授權用戶的注冊過程等。2023/2/5網(wǎng)絡攻擊與防御952023/2/5網(wǎng)絡攻擊與防御95系統(tǒng)性原則網(wǎng)絡的安全管理是一個系統(tǒng)化的工作，因此在制定安全管理策略時，應全面考慮網(wǎng)絡上各類用戶，各種設備，各種情況，有計劃有準備地采取相應的策略，任何一點疏忽都會造成整個網(wǎng)絡安全性的降低。2023/2/5網(wǎng)絡攻擊與防御962023/2/5網(wǎng)絡攻擊與防御96安全策略的特點所有有效的安全策略都至少具備以下特點：發(fā)布——必須通過系統(tǒng)正常管理程序，采用合適的標準出版物或其他適當?shù)姆绞絹戆l(fā)布。強制執(zhí)行——在適當?shù)那闆r下，必須能夠通過安全工具來實現(xiàn)其強制實施，并在技術確定不能滿足要求的情況下強迫執(zhí)行。人員責任規(guī)定——必須明確規(guī)定用戶、系統(tǒng)管理員和公司管理人員等各類人員的職責范圍和權限。2023/2/5網(wǎng)絡攻擊與防御971.6網(wǎng)絡安全體系設計1.6.1網(wǎng)絡安全體系層次1.6.2網(wǎng)絡安全體系設計準則2023/2/5網(wǎng)絡攻擊與防御981.6.1網(wǎng)絡安全體系層次作為全方位的、整體的網(wǎng)絡安全防范體系也是分層次的，不同層次反映了不同的安全問題。根據(jù)網(wǎng)絡的應用現(xiàn)狀情況和網(wǎng)絡的結構，安全防范體系的層次劃分為物理層安全、系統(tǒng)層安全、網(wǎng)絡層安全、應用層安全和安全管理。2023/2/5網(wǎng)絡攻擊與防御99物理層安全物理環(huán)境的安全性。包括通信線路的安全，物理設備的安全，機房的安全等。物理