網(wǎng)絡(luò)安全概述二

2023/6/1512023/6/151內(nèi)容安排1.4黑客1.5網(wǎng)絡(luò)攻擊過程1.6常用的防護(hù)措施1.7網(wǎng)絡(luò)安全策略及制訂原則1.8網(wǎng)絡(luò)安全體系設(shè)計(jì)1.9小結(jié)當(dāng)前第1頁\共有92頁\編于星期二\13點(diǎn)2023/6/1522.1黑客黑客（hacker），源于英語動(dòng)詞hack，意為“劈，砍”，引申為“干了一件非常漂亮的工作”。在早期麻省理工學(xué)院的校園俚語中，“黑客”則有“惡作劇”之意，尤指手法巧妙、技術(shù)高明的惡作劇。他們通常具有硬件和軟件的高級(jí)知識(shí)，并有能力通過創(chuàng)新的方法剖析系統(tǒng)。網(wǎng)絡(luò)黑客的主要攻擊手法有：獲取口令、放置木馬、web欺騙技術(shù)、電子郵件攻擊、通過一個(gè)節(jié)點(diǎn)攻擊另一節(jié)點(diǎn)、網(wǎng)絡(luò)監(jiān)聽、尋找系統(tǒng)漏洞、利用緩沖區(qū)溢出竊取特權(quán)等。當(dāng)前第2頁\共有92頁\編于星期二\13點(diǎn)2023/6/153黑客起源起源地：美國精神支柱：對(duì)技術(shù)的渴求對(duì)自由的渴求歷史背景：越戰(zhàn)與反戰(zhàn)活動(dòng)馬丁·路德金與自由嬉皮士與非主流文化電話飛客與計(jì)算機(jī)革命中國黑客發(fā)展歷史1998年印尼事件1999年南聯(lián)盟事件綠色兵團(tuán)南北分拆事件中美五一黑客大戰(zhàn)事件當(dāng)前第3頁\共有92頁\編于星期二\13點(diǎn)“頭號(hào)電腦黑客”--凱文·米特尼克

1964年出生的KevinDavidMitnick，被稱之為世界上“頭號(hào)電腦黑客”。他在15歲時(shí)就成功破解北美空中防務(wù)指揮系統(tǒng)，翻遍了美國指向前蘇聯(lián)及其盟國的所有核彈頭的數(shù)據(jù)資料。不久之后，他又進(jìn)入了美國著名的“太平洋電話公司”的通信網(wǎng)絡(luò)系統(tǒng)。更改了這家公司的電腦用戶，包括一些知名人士的號(hào)碼和通訊地址。導(dǎo)致太平洋公司不得不作出賠償。而太平洋電腦公司經(jīng)過相當(dāng)長時(shí)間才明白自己的系統(tǒng)被入侵了。隨后他開始攻擊聯(lián)邦調(diào)查局的網(wǎng)絡(luò)系統(tǒng)，并成功的進(jìn)入其中。發(fā)現(xiàn)聯(lián)邦調(diào)查局正在調(diào)查一名”黑客”，而這個(gè)“黑客“正是他自己，但他并未重視。在其后的活動(dòng)中多次被計(jì)算機(jī)信息跟蹤機(jī)跟蹤，并在16歲時(shí)被第一次逮捕，成為全球第一名網(wǎng)絡(luò)少年犯。Mitnick隨后并未收手，先后成功入侵了諾基亞、摩托羅拉、升陽以及富士通等公司的計(jì)算機(jī)，盜取企業(yè)重要資料，給這些公司造成高達(dá)4億美元的損失。1994年，Mitnick向圣地亞哥超級(jí)計(jì)算機(jī)中心進(jìn)行入侵攻擊，并戲弄了聯(lián)邦調(diào)查局聘請(qǐng)而來專為緝拿他的被稱為“美國最出色的電腦安全專家”的日裔美籍計(jì)算機(jī)專家下村勉，并于1995年再次被捕。2001年釋放，2002年徹底自由，開始作為為美國互聯(lián)網(wǎng)雜志專欄作家，以安全專家的身份出現(xiàn)。

當(dāng)前第4頁\共有92頁\編于星期二\13點(diǎn)2023/6/1552023/6/155黑客分類灰帽子破解者破解已有系統(tǒng)發(fā)現(xiàn)問題/漏洞突破極限/禁制展現(xiàn)自我計(jì)算機(jī)為人民服務(wù)漏洞發(fā)現(xiàn)-Flashsky軟件破解-0Day工具提供-Glacier白帽子創(chuàng)新者設(shè)計(jì)新系統(tǒng)打破常規(guī)精研技術(shù)勇于創(chuàng)新沒有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破壞者隨意使用資源惡意破壞散播蠕蟲病毒商業(yè)間諜人不為己，天誅地滅入侵者-K.米特尼克CIH-陳盈豪攻擊Yahoo-匿名惡渴求自由當(dāng)前第5頁\共有92頁\編于星期二\13點(diǎn)2023/6/156常見的黑客攻擊及入侵技術(shù)的發(fā)展

19801985199019952000密碼猜測可自動(dòng)復(fù)制的代碼密碼破解利用已知的漏洞破壞審計(jì)系統(tǒng)后門會(huì)話劫持擦除痕跡嗅探包欺騙GUI遠(yuǎn)程控制自動(dòng)探測掃描拒絕服務(wù)www攻擊工具攻擊者入侵者水平攻擊手法半開放隱蔽掃描控制臺(tái)入侵檢測網(wǎng)絡(luò)管理DDOS攻擊2005高當(dāng)前第6頁\共有92頁\編于星期二\13點(diǎn)2023/6/1572023/6/157攻擊案例：對(duì)日網(wǎng)絡(luò)攻擊從2003年7月31日晚間開始，國內(nèi)一批黑客組織按約定對(duì)日本政府機(jī)關(guān)、公司和民間機(jī)構(gòu)網(wǎng)站展開攻擊本次攻擊歷時(shí)五天，以宣揚(yáng)“愛國”精神和發(fā)泄對(duì)日不滿情緒為主要目的，通過篡改主頁等技術(shù)手段，在一定程度上達(dá)到了預(yù)期目的，對(duì)日本網(wǎng)站造成了某些破壞期間有十幾家日本網(wǎng)站（包括可能是被誤攻擊的韓國、臺(tái)灣網(wǎng)站）被攻擊成功，頁面被修改當(dāng)前第7頁\共有92頁\編于星期二\13點(diǎn)2023/6/158對(duì)日網(wǎng)絡(luò)攻擊的調(diào)查序號(hào)攻擊者受害者地址受害者單位備注1云中子www.npa.go.jp日本警察廳官方網(wǎng)站，已于7月31日23點(diǎn)恢復(fù)2中國黑鷹聯(lián)盟6SKYNETCorporation日本民間公司3Squall5臺(tái)灣中華電信數(shù)據(jù)通信分公司不是日本目標(biāo)4Skywalker4大王（DAIO）制紙株式會(huì)社日本民間公司5中國黑鷹聯(lián)盟49韓國大宇(DAEWOO)INFORMATIONSYSTEMBRENIC不是日本目標(biāo)6中國菜鳥聯(lián)盟6同2SKYNETCorporation日本民間公司當(dāng)前第8頁\共有92頁\編于星期二\13點(diǎn)2023/6/159對(duì)日網(wǎng)絡(luò)攻擊的調(diào)查（續(xù)）7雙子情劍49USTK0002-082broadgate日本目標(biāo)8雪落無聲

andHvTB4KnowledgeNetWorksCo.,Inc.日本目標(biāo)9雪落無聲78DreamTrainInternetInc.日本目標(biāo)10網(wǎng)絡(luò)失足男孩85NECCorporation日本民間公司11雪落無聲0AIKYUCo.,Ltd日本民間公司12Skywalker4大王（DAIO）制紙株式會(huì)社日本民間公司13星火網(wǎng)絡(luò)96MatsumuraBussanCorporation日本民間公司當(dāng)前第9頁\共有92頁\編于星期二\13點(diǎn)2023/6/1510對(duì)日網(wǎng)絡(luò)攻擊的調(diào)查（續(xù)）當(dāng)前第10頁\共有92頁\編于星期二\13點(diǎn)2023/6/1511攻擊案例（2）：

利用DNS劫持攻擊大型網(wǎng)站事件2007年11月3日，部分用戶在訪問騰訊迷你首頁網(wǎng)站(http:///)時(shí)，會(huì)被惡意代碼感染，系統(tǒng)會(huì)自動(dòng)從惡意網(wǎng)站上下載并運(yùn)行惡意程序。由于該站點(diǎn)為QQ軟件啟動(dòng)時(shí)默認(rèn)自動(dòng)彈出，具有極高的訪問量。攻擊者采用的攻擊方法是劫持DNS解析過程，篡改騰訊迷你首頁的DNS記錄。非法劫持騰訊“迷你網(wǎng)”主頁域名傳播17種32個(gè)計(jì)算機(jī)木馬病毒，使全國數(shù)百萬網(wǎng)民在訪問“迷你網(wǎng)”主頁，玩?zhèn)髌?、魔獸等網(wǎng)絡(luò)游戲時(shí)，游戲帳號(hào)和密碼被秘密發(fā)送到木馬程序設(shè)置的遠(yuǎn)程接收服務(wù)器上，該團(tuán)伙迅速盜取帳號(hào)和密碼，在網(wǎng)上銷贓套現(xiàn)，銷贓所得按“貢獻(xiàn)”大小分成。不到兩個(gè)月時(shí)間，馬志松等人就盜竊數(shù)十萬網(wǎng)上用戶的游戲帳號(hào)和密碼，非法獲利40余萬元，馬志松分得15萬元。騰訊“迷你網(wǎng)”因停止服務(wù)，造成直接損失20余萬元。當(dāng)前第11頁\共有92頁\編于星期二\13點(diǎn)2023/6/1512攻擊案例（2）：

利用DNS劫持攻擊大型網(wǎng)站事件（續(xù)）2007年11月19日，無錫市公安局網(wǎng)警支隊(duì)接報(bào)：當(dāng)月5日至19日期間，全國部分地區(qū)的互聯(lián)網(wǎng)用戶在訪問深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司迷你網(wǎng)主頁時(shí)，被錯(cuò)誤指向到位于無錫市的病毒服務(wù)器，造成上百萬網(wǎng)民的電腦受病毒感染，騰訊公司被迫停止網(wǎng)站服務(wù)，造成重大經(jīng)濟(jì)損失。警方立即開展偵查，于同年12月，分別在四川成都、江蘇張家港、黑龍江東寧等地抓獲6名犯罪嫌疑人。江蘇省公安廳信息網(wǎng)絡(luò)安全監(jiān)察部門在馬志松等人使用的電腦硬盤中發(fā)現(xiàn)了用于攻擊網(wǎng)站的破壞性程序。經(jīng)審查，2007年9月底至11月中旬，這一團(tuán)伙在成都市使用編譯好的劫持程序?qū)ι虾！⒅貞c、揚(yáng)州等10余個(gè)城市共計(jì)27臺(tái)域名服務(wù)器實(shí)施攻擊劫持，借機(jī)盜取網(wǎng)絡(luò)游戲賬號(hào)。法院審理認(rèn)為，6名被告違反國家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果嚴(yán)重，均已構(gòu)成破壞計(jì)算機(jī)信息系統(tǒng)罪。馬志松等6名被告被江蘇無錫濱湖區(qū)法院一審分別判處四年至一年不等有期徒刑。當(dāng)前第12頁\共有92頁\編于星期二\13點(diǎn)2023/6/15132.2網(wǎng)絡(luò)攻擊過程網(wǎng)絡(luò)攻擊過程一般可以分為本地入侵和遠(yuǎn)程入侵在這里主要介紹遠(yuǎn)程攻擊的一般過程：遠(yuǎn)程攻擊的準(zhǔn)備階段遠(yuǎn)程攻擊的實(shí)施階段遠(yuǎn)程攻擊的善后階段當(dāng)前第13頁\共有92頁\編于星期二\13點(diǎn)2023/6/1514遠(yuǎn)程攻擊的準(zhǔn)備階段確定攻擊目標(biāo)信息收集服務(wù)分析系統(tǒng)分析漏洞分析當(dāng)前第14頁\共有92頁\編于星期二\13點(diǎn)2023/6/1515攻擊準(zhǔn)備1—確定攻擊目標(biāo)攻擊者在進(jìn)行一次完整的攻擊之前，首先要確定攻擊要達(dá)到什么樣的目的，即給受侵者造成什么樣的后果。常見的攻擊目的有破壞型和入侵型兩種。破壞型攻擊——是指只破壞攻擊目標(biāo)，使之不能正常工作，而不能隨意控制目標(biāo)上的系統(tǒng)運(yùn)行。入侵型攻擊——這種攻擊要獲得一定的權(quán)限才能達(dá)到控制攻擊目標(biāo)的目的。應(yīng)該說這種攻擊比破壞型攻擊更為普遍，威脅性也更大。因?yàn)楣粽咭坏┱莆樟艘欢ǖ臋?quán)限、甚至是管理員權(quán)限就可以對(duì)目標(biāo)做任何動(dòng)作，包括破壞性質(zhì)的攻擊。當(dāng)前第15頁\共有92頁\編于星期二\13點(diǎn)2023/6/1516攻擊準(zhǔn)備2—信息收集（踩點(diǎn)）利用一切公開的、可利用的信息來調(diào)查攻擊目標(biāo)包括目標(biāo)的操作系統(tǒng)類型及版本、相關(guān)軟件的類型、版本及相關(guān)的社會(huì)信息包括以下技術(shù)低級(jí)技術(shù)偵察Web搜索Whois數(shù)據(jù)庫域名系統(tǒng)（DNS）偵察當(dāng)前第16頁\共有92頁\編于星期二\13點(diǎn)低級(jí)技術(shù)偵察社交工程

在黑客理論中，指利用人性弱點(diǎn)、利用人際交往上的漏洞來非法獲取資料的行為。物理闖入垃圾搜尋你能找出垃圾搜尋的例子嗎？當(dāng)前第17頁\共有92頁\編于星期二\13點(diǎn)Web搜索搜索一個(gè)組織自己的web站點(diǎn)有電話號(hào)碼的職員聯(lián)系信息關(guān)于公司文化和語言的信息商務(wù)伙伴最近的合并和兼并公司正使用的技術(shù)使用搜索引擎搜索論壇BBS（電子公告欄）Usenet（新聞組）當(dāng)前第18頁\共有92頁\編于星期二\13點(diǎn)Whois數(shù)據(jù)庫搜索whois數(shù)據(jù)庫：包括各種關(guān)于Internet地址分配、域名和個(gè)人聯(lián)系方式的數(shù)據(jù)庫。研究.com,.net,.org域名研究非.com,.net和.org域名國家代碼:教育（.edu):軍事代碼（.mit):政府(.gov):當(dāng)前第19頁\共有92頁\編于星期二\13點(diǎn)Whois數(shù)據(jù)庫搜索(續(xù))搜索目標(biāo)域名當(dāng)前第20頁\共有92頁\編于星期二\13點(diǎn)Whois數(shù)據(jù)庫搜索(續(xù))搜索目標(biāo)IP美國Internet注冊(cè)局：歐洲網(wǎng)絡(luò)協(xié)調(diào)中心：亞太網(wǎng)絡(luò)協(xié)調(diào)中心：中國互聯(lián)網(wǎng)絡(luò)信息中心：當(dāng)前第21頁\共有92頁\編于星期二\13點(diǎn)亞太網(wǎng)絡(luò)信息中心當(dāng)前第22頁\共有92頁\編于星期二\13點(diǎn)DNS搜索Nslookup

使用DNS的排錯(cuò)工具nslookup，你可以利用從whois查詢到的信息偵查更多的網(wǎng)絡(luò)情況。例如，使用nslookup命令把你的主機(jī)偽裝成secondaryDNS服務(wù)器，如果成功便可以要求從主DNS服務(wù)器進(jìn)行區(qū)域傳送。要是傳送成功的話，你將獲得大量有用信息，包括：a)使用此DNS服務(wù)器做域名解析到所有主機(jī)名和IP地址的映射情況b)公司使用的網(wǎng)絡(luò)和子網(wǎng)情況c)主機(jī)在網(wǎng)絡(luò)中的用途。許多公司使用帶有描述性的主機(jī)名，像，和。

當(dāng)前第23頁\共有92頁\編于星期二\13點(diǎn)DNS搜索使用nslookup實(shí)現(xiàn)區(qū)域傳送的過程（1）使用whois命令查詢目標(biāo)網(wǎng)絡(luò)，例如在提示符下輸入whois（2）你會(huì)得到目標(biāo)網(wǎng)絡(luò)的primary和slaveDNS服務(wù)器的信息。例如，假設(shè)主DNS服務(wù)器的名字是

（3）使用交互查詢方式，缺省情況下nslookup會(huì)使用缺省的DNS服務(wù)器作域名解析。鍵入命令server定位目標(biāo)網(wǎng)絡(luò)的DNS服務(wù)器；（4）列出目標(biāo)網(wǎng)絡(luò)DNS服務(wù)器的內(nèi)容，如ls。此時(shí)DNS服務(wù)器會(huì)把數(shù)據(jù)傳送給你，當(dāng)然，管理員可以禁止DNS服務(wù)器進(jìn)行區(qū)域傳送，目前很多公司將DNS服務(wù)器至于防火墻的保護(hù)之下并嚴(yán)格設(shè)定了只能向某些主機(jī)進(jìn)行區(qū)域傳送。

一旦你從區(qū)域傳送中獲得了有用信息，你便可以對(duì)每臺(tái)主機(jī)實(shí)施端口掃描以確定它們提供了那些服務(wù)。如果你不能實(shí)現(xiàn)區(qū)域傳送，你還可以借助ping和端口掃描工具，當(dāng)然還有traceroute。當(dāng)前第24頁\共有92頁\編于星期二\13點(diǎn)2023/6/1525攻擊準(zhǔn)備2—信息收集（踩點(diǎn)）收集目標(biāo)系統(tǒng)相關(guān)信息的協(xié)議和工具Ping實(shí)用程序TraceRoute、Tracert、X-firewalk程序Whois協(xié)議Finger協(xié)議SNMP協(xié)議當(dāng)前第25頁\共有92頁\編于星期二\13點(diǎn)2023/6/1526攻擊準(zhǔn)備2—信息收集（踩點(diǎn)）在網(wǎng)絡(luò)中主機(jī)一般以IP地址進(jìn)行標(biāo)識(shí)。例如選定這臺(tái)主機(jī)為攻擊目標(biāo)，使用ping命令可以探測目標(biāo)主機(jī)是否連接在Internet中。在Windows下使用ping命令測試：測試結(jié)果如下頁圖所示。說明此主機(jī)處于活動(dòng)狀態(tài)。當(dāng)前第26頁\共有92頁\編于星期二\13點(diǎn)2023/6/15網(wǎng)絡(luò)入侵與防范講義272023/6/15網(wǎng)絡(luò)入侵與防范講義27當(dāng)前第27頁\共有92頁\編于星期二\13點(diǎn)2023/6/1528攻擊準(zhǔn)備3－服務(wù)分析（掃描查點(diǎn)分析）探測目標(biāo)主機(jī)所提供的服務(wù)、相應(yīng)端口是否開放、各服務(wù)所使用的軟件版本類型：如利用Telnet、haktek等工具，或借助SuperScan、Nmap等這類工具的端口掃描或服務(wù)掃描功能。舉例：Windows下，開始—運(yùn)行—cmd輸入：telnet5080，然后回車結(jié)果如下頁圖所示，說明這臺(tái)主機(jī)上運(yùn)行了http服務(wù)，Web服務(wù)器版本是IIS5.1當(dāng)前第28頁\共有92頁\編于星期二\13點(diǎn)2023/6/15網(wǎng)絡(luò)入侵與防范講義292023/6/15網(wǎng)絡(luò)入侵與防范講義29當(dāng)前第29頁\共有92頁\編于星期二\13點(diǎn)端口掃描端口掃描類型TCP連接掃描：三次握手TCPSYNTCPFINXma：發(fā)送TCPURG、PSH等TCP空掃描TCPACKFTP跳躍UDPICMP工具：nmap當(dāng)前第30頁\共有92頁\編于星期二\13點(diǎn)2023/6/1531攻擊準(zhǔn)備4－系統(tǒng)分析（掃描查點(diǎn)分析）確定目標(biāo)主機(jī)采用何種操作系統(tǒng)原理：協(xié)議棧指紋（Fingerprint）例如在Windows下安裝Nmapv4.20掃描工具，此工具含OSDetection的功能（使用-O選項(xiàng)）。打開cmd.exe，輸入命令：nmap–，然后[確定]探測結(jié)果如下頁圖所示，說明操作系統(tǒng)是Windows2000SP1、SP2或者SP3當(dāng)前第31頁\共有92頁\編于星期二\13點(diǎn)2023/6/15網(wǎng)絡(luò)入侵與防范講義322023/6/15網(wǎng)絡(luò)入侵與防范講義32當(dāng)前第32頁\共有92頁\編于星期二\13點(diǎn)2023/6/1533攻擊準(zhǔn)備5－漏洞分析（掃描查點(diǎn)分析）分析確認(rèn)目標(biāo)主機(jī)中可以被利用的漏洞手動(dòng)分析：過程復(fù)雜、技術(shù)含量高、效率較低借助軟件自動(dòng)分析：需要的人為干預(yù)過程少，效率高。如Nessus、X-Scan等綜合型漏洞檢測工具、eEye等專用型漏洞檢測工具等。例如在Windows下使用eEyeSasserScanner對(duì)目標(biāo)主機(jī)進(jìn)行系統(tǒng)漏洞分析。探測結(jié)果如下頁圖所示，說明目標(biāo)主機(jī)存在震蕩波漏洞。當(dāng)前第33頁\共有92頁\編于星期二\13點(diǎn)2023/6/1534當(dāng)前第34頁\共有92頁\編于星期二\13點(diǎn)2023/6/1535遠(yuǎn)程攻擊的實(shí)施階段作為破壞性攻擊，可以利用工具發(fā)動(dòng)攻擊即可。作為入侵性攻擊，往往需要利用收集到的信息，找到其系統(tǒng)漏洞，然后利用漏洞獲取盡可能高的權(quán)限。攻擊的主要階段包括：預(yù)攻擊探測：為進(jìn)一步入侵提供有用信息口令破解與攻擊提升權(quán)限實(shí)施攻擊：緩沖區(qū)溢出、拒絕服務(wù)、后門、木馬、病毒當(dāng)前第35頁\共有92頁\編于星期二\13點(diǎn)遠(yuǎn)程攻擊常用的攻擊方法第一類：使用應(yīng)用程序和操作系統(tǒng)的攻擊獲得訪問權(quán)基于堆棧的緩沖區(qū)溢出堆棧緩沖區(qū)密碼猜測猜測缺省密碼通過登錄腳本猜測密碼密碼破解

Windows：L0phtCrackunix:： JohntheRipper關(guān)鍵：如何獲得密碼文件？當(dāng)前第36頁\共有92頁\編于星期二\13點(diǎn)遠(yuǎn)程攻擊常用的攻擊方法第一類：使用應(yīng)用程序和操作系統(tǒng)的攻擊獲得訪問權(quán)網(wǎng)絡(luò)應(yīng)用程序攻擊收集帳號(hào)破壞web應(yīng)用程序的會(huì)話跟蹤猜測會(huì)話ID，通過獲取HTML頁面修改后重放修改cookies如果會(huì)話ID不能手工修改：Web代理工具AchillesSQLPiggybacking

當(dāng)前第37頁\共有92頁\編于星期二\13點(diǎn)遠(yuǎn)程攻擊常用的攻擊方法第二類：使用網(wǎng)絡(luò)攻擊獲得訪問權(quán)嗅探IP地址欺騙會(huì)話劫持多功能網(wǎng)絡(luò)工具攻擊：NetCat當(dāng)前第38頁\共有92頁\編于星期二\13點(diǎn)遠(yuǎn)程攻擊常用的攻擊方法第三類：拒絕服務(wù)攻擊殺死進(jìn)程重新配置系統(tǒng)使進(jìn)程崩潰填充進(jìn)程表填充整個(gè)文件系統(tǒng)惡意數(shù)據(jù)包攻擊（如Land攻擊，Teardrop攻擊）數(shù)據(jù)包泛洪（SYN泛洪，Smurf，DDoS）本地網(wǎng)絡(luò)停止服務(wù)消耗資源當(dāng)前第39頁\共有92頁\編于星期二\13點(diǎn)2023/6/1540遠(yuǎn)程攻擊的善后階段入侵成功后，攻擊者為了能長時(shí)間地保留和鞏固他對(duì)系統(tǒng)的控制權(quán)，一般會(huì)留下后門。此外，攻擊者為了自身的隱蔽性，須進(jìn)行相應(yīng)的善后工作——隱藏蹤跡：攻擊者在獲得系統(tǒng)最高管理員權(quán)限之后就可以任意修改系統(tǒng)上的文件了，所以一般黑客如果想隱匿自己的蹤跡，最簡單的方法就是刪除日志文件但這也明確無誤地告訴了管理員系統(tǒng)已經(jīng)被入侵了。更常用的辦法是只對(duì)日志文件中有關(guān)自己的那部分作修改，關(guān)于修改方法的細(xì)節(jié)根據(jù)不同的操作系統(tǒng)有所區(qū)別，網(wǎng)絡(luò)上有許多此類功能的程序。當(dāng)前第40頁\共有92頁\編于星期二\13點(diǎn)維護(hù)訪問權(quán)木馬（TrojanHorse）.......后門（Backdoor）RootKits:修改系統(tǒng)命令甚至內(nèi)核dufindlsIfconfignetstatps當(dāng)前第41頁\共有92頁\編于星期二\13點(diǎn)掩蓋蹤跡和隱藏安裝RootKits或者backdoor修改事件日志W(wǎng)indows：*.evt工具：winzapper,ntsecurity.nu/toolbox/winzapper/UNIX:utmpwtmplastlog當(dāng)前第42頁\共有92頁\編于星期二\13點(diǎn)掩蓋蹤跡和隱藏（續(xù)）利用秘密通道技術(shù)來隱藏證據(jù)隧道技術(shù)loki：ICMP隧道VanHauser：HTTP隧道隱蔽通道（CovertChannel）利用IP或者利用tcp頭IPidentifierTCPSequencenumberTCPacknumber工具：Covert_TCP當(dāng)前第43頁\共有92頁\編于星期二\13點(diǎn)2023/6/1544入侵系統(tǒng)的常用步驟

采用漏洞掃描工具選擇會(huì)用的方式入侵獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝系統(tǒng)后門獲取敏感信息或者其他攻擊目的當(dāng)前第44頁\共有92頁\編于星期二\13點(diǎn)2023/6/1545較高明的入侵步驟

端口判斷判斷系統(tǒng)選擇最簡方式入侵分析可能有漏洞的服務(wù)獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝多個(gè)系統(tǒng)后門清除入侵腳印攻擊其他系統(tǒng)獲取敏感信息作為其他用途當(dāng)前第45頁\共有92頁\編于星期二\13點(diǎn)2.2網(wǎng)絡(luò)攻擊過程黑客入侵的一般完整模式為：

隱藏自己→踩點(diǎn)→掃描→查點(diǎn)→分析并入侵→獲取權(quán)限→擴(kuò)大范圍→安裝后門→清除日志并隱身

黑客入侵行為可以用模型圖表示如下：當(dāng)前第46頁\共有92頁\編于星期二\13點(diǎn)黑客入侵的一般流程當(dāng)前第47頁\共有92頁\編于星期二\13點(diǎn)CaseStudySourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware當(dāng)前第48頁\共有92頁\編于星期二\13點(diǎn)CaseStudyStep1：尋找跳離點(diǎn)跳離點(diǎn)（前蘇聯(lián)）跳離點(diǎn)（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware當(dāng)前第49頁\共有92頁\編于星期二\13點(diǎn)CaseStudy跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware當(dāng)前第50頁\共有92頁\編于星期二\13點(diǎn)CaseStudyStep2：搜索MonstrousSoftware跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware當(dāng)前第51頁\共有92頁\編于星期二\13點(diǎn)CaseStudyStep3：發(fā)送帶病毒的、有吸引人的垃圾郵件SourceCodeDB跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）MonstrousSoftware電子辦公MonstrousSoftwareSPAM當(dāng)前第52頁\共有92頁\編于星期二\13點(diǎn)CaseStudyStep3：發(fā)送帶病毒的、有吸引人的垃圾郵件跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware下載電子郵件VPN當(dāng)前第53頁\共有92頁\編于星期二\13點(diǎn)CaseStudyStep4：下載病毒代碼跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware下載木馬后門當(dāng)前第54頁\共有92頁\編于星期二\13點(diǎn)CaseStudyStep5：木馬后門利用VPN搜索windows共享跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware木馬后門VPN當(dāng)前第55頁\共有92頁\編于星期二\13點(diǎn)CaseStudyStep6：上傳病毒代碼，并替換為notepad等程序跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware木馬后門VPN木馬后門木馬后門當(dāng)前第56頁\共有92頁\編于星期二\13點(diǎn)CaseStudyStep7：回傳口令信息跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware木馬后門NetcatL0phCrackNetcat木馬后門木馬后門當(dāng)前第57頁\共有92頁\編于星期二\13點(diǎn)CaseStudyStep8：利用隱蔽信道傳送命令和解密口令SourceCodeDB跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）MonstrousSoftware電子辦公MonstrousSoftware木馬后門NetcatL0phCrackCovert_TCP通信量大的電子商務(wù)網(wǎng)站Netcat木馬后門木馬后門當(dāng)前第58頁\共有92頁\編于星期二\13點(diǎn)CaseStudyStep9：利用破解后的口令建立VPN連接，并掃描網(wǎng)絡(luò)SourceCodeDBMonstrousSoftware跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）MonstrousSoftware電子辦公木馬后門NetcatL0phCrackCovert_TCP通信量大的電子商務(wù)網(wǎng)站NetcatVPN木馬后門木馬后門當(dāng)前第59頁\共有92頁\編于星期二\13點(diǎn)CaseStudyStep10：回傳源代碼SourceCodeDBMonstrousSoftware跳離點(diǎn)（俄羅斯）跳離點(diǎn)（日本）MonstrousSoftware電子辦公木馬后門NetcatL0phCrackCovert_TCP通信量大的電子商務(wù)網(wǎng)站NetcatVPN木馬后門木馬后門源代碼Main(){....}當(dāng)前第60頁\共有92頁\編于星期二\13點(diǎn)2023/6/15612023/6/15612.3常用的防護(hù)措施我們?cè)趺崔k？當(dāng)前第61頁\共有92頁\編于星期二\13點(diǎn)2023/6/15622023/6/1562個(gè)人用戶防護(hù)措施

加密重要文件防火墻定期升級(jí)補(bǔ)丁殺毒軟件定期升級(jí)和殺毒定期備份系統(tǒng)或重要文件防護(hù)措施當(dāng)前第62頁\共有92頁\編于星期二\13點(diǎn)2023/6/15632023/6/1563防止黑客入侵關(guān)閉不常用端口關(guān)閉不常用程序和服務(wù)及時(shí)升級(jí)系統(tǒng)和軟件補(bǔ)丁發(fā)現(xiàn)系統(tǒng)異常立刻檢查當(dāng)前第63頁\共有92頁\編于星期二\13點(diǎn)2023/6/1564常用的防護(hù)措施完善安全管理制度采用訪問控制措施運(yùn)行數(shù)據(jù)加密措施數(shù)據(jù)備份與恢復(fù)當(dāng)前第64頁\共有92頁\編于星期二\13點(diǎn)世界第一黑客提出的個(gè)人計(jì)算機(jī)安全十大建議

●備份資料。記住你的系統(tǒng)永遠(yuǎn)不會(huì)是無懈可擊的，災(zāi)難性的數(shù)據(jù)損失會(huì)發(fā)生在你身上———只需一條蠕蟲或一只木馬就已足夠?！襁x擇很難猜的密碼。不要沒有腦子地填上幾個(gè)與你有關(guān)的數(shù)字，在任何情況下，都要及時(shí)修改默認(rèn)密碼。●安裝殺毒軟件，并讓它每天更新升級(jí)?！窦皶r(shí)更新操作系統(tǒng)，時(shí)刻留意軟件制造商發(fā)布的各種補(bǔ)丁，并及時(shí)安裝應(yīng)用?！癫挥秒娔X時(shí)候千萬別忘了斷開網(wǎng)線和電源。當(dāng)前第65頁\共有92頁\編于星期二\13點(diǎn)世界第一黑客提出的個(gè)人計(jì)算機(jī)安全十大建議

●在IE或其它瀏覽器中會(huì)出現(xiàn)一些黑客釣魚，對(duì)此要保持清醒，拒絕點(diǎn)擊，同時(shí)將電子郵件客戶端的自動(dòng)腳本功能關(guān)閉?！裨诎l(fā)送敏感郵件時(shí)使用加密軟件，也可用加密軟件保護(hù)你的硬盤上的數(shù)據(jù)?！癜惭b一個(gè)或幾個(gè)反間諜程序，并且要經(jīng)常運(yùn)行檢查。使用個(gè)人防火墻并正確設(shè)置它，阻止其它計(jì)算機(jī)、網(wǎng)絡(luò)和網(wǎng)址與你的計(jì)算機(jī)建立連接，指定哪些程序可以自動(dòng)連接到網(wǎng)絡(luò)?！耜P(guān)閉所有你不使用的系統(tǒng)服務(wù)，特別是那些可以讓別人遠(yuǎn)程控制你的計(jì)算機(jī)的服務(wù)，如RemoteDesktop、RealVNC和NetBIOS等?！癖ＷC無線連接的安全。在家里，可以使用無線保護(hù)接入WPA和至少20個(gè)字符的密碼。正確設(shè)置你的筆記本電腦，不要加入任何網(wǎng)絡(luò)，除非它使用WPA。要想在一個(gè)充滿敵意的因特網(wǎng)世界里保護(hù)自己，的確是一件不容易的事。你要時(shí)刻想著，在地球另一端的某個(gè)角落里，一個(gè)或一些毫無道德的人正在刺探你的系統(tǒng)漏洞，并利用它們竊取你最敏感的秘密。希望你不會(huì)成為這些網(wǎng)絡(luò)入侵者的下一個(gè)犧牲品。當(dāng)前第66頁\共有92頁\編于星期二\13點(diǎn)2023/6/15672023/6/15672.4網(wǎng)絡(luò)安全策略及制訂原則安全策略，是針對(duì)那些被允許進(jìn)入某一組織、可以訪問網(wǎng)絡(luò)技術(shù)資源和信息資源的人所規(guī)定的、必須遵守的規(guī)則。即：網(wǎng)絡(luò)管理部門根據(jù)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)所提供的服務(wù)內(nèi)容、網(wǎng)絡(luò)運(yùn)行狀況、網(wǎng)絡(luò)安全狀況、安全性需求、易用性、技術(shù)實(shí)現(xiàn)所付出的代價(jià)和風(fēng)險(xiǎn)、社會(huì)因素等許多方面因素，所制定的關(guān)于網(wǎng)絡(luò)安全總體目標(biāo)、網(wǎng)絡(luò)安全操作、網(wǎng)絡(luò)安全工具、人事管理等方面的規(guī)定。當(dāng)前第67頁\共有92頁\編于星期二\13點(diǎn)2023/6/15682023/6/1568制定安全策略的目的決定一個(gè)組織機(jī)構(gòu)怎樣保護(hù)自己闡明機(jī)構(gòu)安全政策的總體思想讓所有用戶、操作人員和管理員清楚，為了保護(hù)技術(shù)和信息資源所必須遵守的原則。提供一個(gè)可以獲得、能夠配置和檢查的用于確定是否與計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的策略一致的基準(zhǔn)當(dāng)前第68頁\共有92頁\編于星期二\13點(diǎn)2023/6/15692023/6/1569安全策略的必要性網(wǎng)絡(luò)管理員在作安全策略時(shí)的依據(jù)在很大程度上取決于網(wǎng)絡(luò)運(yùn)行過程中的安全狀況，網(wǎng)絡(luò)所提供的功能以及網(wǎng)絡(luò)的易用程度。安全策略應(yīng)以要實(shí)現(xiàn)目標(biāo)為基礎(chǔ)，而不能簡單地規(guī)定要檢驗(yàn)什么和施加什么限制。在確定的安全目標(biāo)下，應(yīng)該制定如何有效地利用所有安全工具的策略。當(dāng)前第69頁\共有92頁\編于星期二\13點(diǎn)2023/6/15702023/6/1570安全策略的必要性(2)檢測響應(yīng)防護(hù)PPDR模型檢測響應(yīng)防護(hù)策略強(qiáng)調(diào)了策略的核心作用強(qiáng)調(diào)了檢測、響應(yīng)、防護(hù)的動(dòng)態(tài)性檢測、響應(yīng)、防護(hù)必須遵循安全策略進(jìn)行當(dāng)前第70頁\共有92頁\編于星期二\13點(diǎn)2023/6/1571制訂安全策略的基本原則適用性原則可行性原則動(dòng)態(tài)性原則簡單性原則系統(tǒng)性原則當(dāng)前第71頁\共有92頁\編于星期二\13點(diǎn)2023/6/15722023/6/1572適用性原則安全策略是在一定條件下采取的安全措施，必須與網(wǎng)絡(luò)的實(shí)際應(yīng)用環(huán)境相結(jié)合。網(wǎng)絡(luò)的安全管理是一個(gè)系統(tǒng)化的工作，因此在制定安全策略時(shí)，應(yīng)全面考慮網(wǎng)絡(luò)上各類用戶、設(shè)備等情況，有計(jì)劃有準(zhǔn)備地采取相應(yīng)的策略，任何一點(diǎn)疏忽都會(huì)造成整個(gè)網(wǎng)絡(luò)安全性的降低。當(dāng)前第72頁\共有92頁\編于星期二\13點(diǎn)2023/6/15732023/6/1573可行性原則安全管理策略的制定還要考慮資金的投入量，因?yàn)榘踩a(chǎn)品的性能一般是與其價(jià)格成正比的，所以要適合劃分系統(tǒng)中信息的安全級(jí)別，并作為選擇安全產(chǎn)品的重要依據(jù)，使制定的安全管理策略達(dá)到成本和效益的平衡。當(dāng)前第73頁\共有92頁\編于星期二\13點(diǎn)2023/6/15742023/6/1574動(dòng)態(tài)性原則安全管理策略有一定的時(shí)限性，不能是一成不變的。由于網(wǎng)絡(luò)用戶在不斷地變化，網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大，網(wǎng)絡(luò)技術(shù)本身的發(fā)展變化也很快，而安全措施是防范性的，所以安全措施也必須隨著網(wǎng)絡(luò)發(fā)展和環(huán)境的變化而變化。當(dāng)前第74頁\共有92頁\編于星期二\13點(diǎn)2023/6/15752023/6/1575簡單性原則網(wǎng)絡(luò)用戶越多，網(wǎng)絡(luò)管理人員越多，網(wǎng)絡(luò)拓?fù)湓綇?fù)雜，采用網(wǎng)絡(luò)設(shè)備種類和軟件種類越多，網(wǎng)絡(luò)提供的服務(wù)和捆綁越多，出現(xiàn)安全漏洞的可能性就越大。因此制定的安全管理策略越簡單越好，如簡化授權(quán)用戶的注冊(cè)過程等。當(dāng)前第75頁\共有92頁\編于星期二\13點(diǎn)2023/6/15762023/6/1576系統(tǒng)性原則網(wǎng)絡(luò)的安全管理是一個(gè)系統(tǒng)化的工作，因此在制定安全管理策略時(shí)，應(yīng)全面考慮網(wǎng)絡(luò)上各類用戶，各種設(shè)備，各種情況，有計(jì)劃有準(zhǔn)備地采取相應(yīng)的策略，任何一點(diǎn)疏忽都會(huì)造成整個(gè)網(wǎng)絡(luò)安全性的降低。當(dāng)前第76頁\共有92頁\編于星期二\13點(diǎn)2023/6/15772023/6/1577安全策略的特點(diǎn)所有有效的安全策略都至少具備以下特點(diǎn)：發(fā)布——必須通過系統(tǒng)正常管理程序，采用合適的標(biāo)準(zhǔn)出版物或其他適當(dāng)?shù)姆绞絹戆l(fā)布。強(qiáng)制執(zhí)行——在適當(dāng)?shù)那闆r下，必須能夠通過安全工具來實(shí)現(xiàn)其強(qiáng)制實(shí)施，并在技術(shù)確定不能滿足要求的情況下強(qiáng)迫執(zhí)行。人員責(zé)任規(guī)定——必須明確規(guī)定用戶、系統(tǒng)管理員和公司管理人員等各類人員的職責(zé)范圍和權(quán)限。當(dāng)前第77頁\共有92頁\編于星期二\13點(diǎn)2023/6/15782.5網(wǎng)絡(luò)安全體系設(shè)計(jì)2.5.1網(wǎng)絡(luò)安全體系層次2.5.2網(wǎng)絡(luò)安全體系設(shè)計(jì)準(zhǔn)則當(dāng)前第78頁\共有92頁\編于星期二\13點(diǎn)2023/6/15792.5.1網(wǎng)絡(luò)安全體系層次作為全方位的、整體的網(wǎng)絡(luò)安全防范體系也是分層次的，不同層次反映了不同的安全問題。根據(jù)網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀情況和網(wǎng)絡(luò)的結(jié)構(gòu)，安全防范體系的層次劃分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和安全管理。當(dāng)前第79頁\共有92頁\編于星期二\13點(diǎn)2023/6/1580物理層安全物理環(huán)境的安全性。包括通信線路的安全，物理設(shè)備的安全，機(jī)房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性（線路備份、網(wǎng)管軟件、傳輸介質(zhì)），軟硬件設(shè)備安全性（替換設(shè)備、拆卸設(shè)備、增加設(shè)備），設(shè)備的備份，防災(zāi)害能力、防干擾能力，設(shè)備的運(yùn)行環(huán)境（溫度、濕度、煙塵），不間斷電源保障，等等。當(dāng)前第80頁\共有92頁\編于星期二\13點(diǎn)2023/6/1581系統(tǒng)層安全該層次的安全問題來自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)的安全，如WindowsNT，Windows2000等。主要表現(xiàn)在三方面，一是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等。二是對(duì)操作系統(tǒng)的安全配置問題。三是病毒對(duì)操作系統(tǒng)的威脅。當(dāng)前第81頁\共有92頁\編于星期二\13點(diǎn)2023/6/1582網(wǎng)絡(luò)層安全該層次的安全問題主要體現(xiàn)在網(wǎng)絡(luò)方面的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證，網(wǎng)絡(luò)資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性，遠(yuǎn)程接入的安全，域名系統(tǒng)的安全，路由系統(tǒng)的安全，入侵檢測的手段，網(wǎng)絡(luò)設(shè)施防病毒等。當(dāng)前第82頁\共有92頁\編于星期二\13點(diǎn)2023/6/1583應(yīng)用層安全該層次的安全問題主要由提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性產(chǎn)生，包括Web服務(wù)、電子郵件系統(tǒng)、DNS等。此外，還包括病毒對(duì)系統(tǒng)的威脅。當(dāng)前第83頁\共有92頁\編于星期二\13點(diǎn)2023/6/1584管理層安全安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。管理的制度