信息對抗與網(wǎng)絡(luò)安全課件計算機(jī)犯罪

計算機(jī)犯罪公安部計算機(jī)管理監(jiān)察司給出的定義所謂計算機(jī)犯罪，就是在信息活動領(lǐng)域中，利用計算機(jī)信息系統(tǒng)或計算機(jī)信息知識作為手段，或者針對計算機(jī)信息系統(tǒng)，對國家、團(tuán)體或個人造成危害，依據(jù)法律規(guī)定，應(yīng)當(dāng)予以刑罰處分的行為。第4章計算機(jī)網(wǎng)絡(luò)平安技術(shù)1黑客黑客最早源自英文hacker，早期在美國的電腦界是帶有褒義的。但在媒體報導(dǎo)中，黑客一詞往往指那些“軟件駭客〞(softwarecracker)。黑客一詞，原指熱心于計算機(jī)技術(shù)，水平高超的電腦專家，尤其是程序設(shè)計人員。但到了今天，黑客一詞已被用于泛指那些專門利用電腦網(wǎng)絡(luò)搞破壞或惡作劇的家伙。對這些人的正確英文叫法是Cracker，有人翻譯成“駭客〞。2黑客的分類白帽：是指對網(wǎng)絡(luò)技術(shù)防御的人?；颐保壕褪侵笇夹g(shù)有研究懂得如果防御和破壞的?！驳且话闱闆r下他們不會這樣去做〕黑帽：準(zhǔn)確的說是駭客。他們專門研究病毒木馬和研究操作系統(tǒng)尋找漏洞的人。這些人根本上為了金錢什么事都可以做。

3

比爾·蓋茨，李開復(fù)等人都曾當(dāng)過黑客4黑客守那么

1、不惡意破壞任何的系統(tǒng)，這樣只會給你帶來麻煩。惡意破壞他人的軟件將導(dǎo)致法律責(zé)任，如果你只是使用電腦，那僅為非法使用！！注意：千萬不要破壞別人的軟件或資料！！2、不修改任何的系統(tǒng)文檔，如果你是為了要進(jìn)入系統(tǒng)而修改它，請在到達(dá)目的后將它改回原狀。5

3、不要輕易的將你要hack的站臺告訴你不信任的朋友。4、不要在bbs上談?wù)撃鉮ack的任何事情。5、在post文章的時候不要使用真名。6、正在入侵的時候，不要隨意離開你的電腦。7、不要侵入或破壞政府機(jī)關(guān)的主機(jī)。6

8、不要在中談?wù)撃鉮ack的任何事情。9、將你的筆記放在平安的地方。10、想要成為hacker就要真正的hacking，讀遍所有有關(guān)系統(tǒng)平安或系統(tǒng)漏洞的文件〔英文快點(diǎn)學(xué)好〕！11、已侵入電腦中的帳號不得去除或涂改。7

12、不得修改系統(tǒng)檔案，如果為了隱藏自己的侵入而做的修改那么不在此限，但仍須維持原來系統(tǒng)的平安性，不得因得到系統(tǒng)的控制權(quán)而將門戶大開?。?3、不將你已破解的帳號分享于你的朋友。84.1計算機(jī)平安問題黑客入侵攻擊的9個步驟：踩點(diǎn)、掃描、查點(diǎn)、獲取訪問權(quán)、權(quán)限提升、竊取、掩蓋蹤跡、創(chuàng)立后門、拒絕效勞攻擊。第4章計算機(jī)網(wǎng)絡(luò)平安技術(shù)910常用黑客軟件及其分類按性質(zhì)分類：掃描類軟件、遠(yuǎn)程監(jiān)控類軟件、病毒和蠕蟲、系統(tǒng)攻擊和密碼破解、監(jiān)聽類軟件按用途分類：防范、信息搜集、木馬與蠕蟲、洪水、密碼破解、欺騙、偽裝。4.1計算機(jī)平安問題11黑客入侵流程

首先利用掃描工具ping某一IP段，尋找目標(biāo)主機(jī)發(fā)現(xiàn)目標(biāo)主機(jī)后掃描該主機(jī)開放的端口利用開放端口，獲取目標(biāo)主機(jī)的相關(guān)信息，如效勞程序利用該程序的漏洞或直接入侵或上傳木馬程序，以到達(dá)入侵的目的。4.4掃描器

124.4.1漏洞概述

系統(tǒng)平安漏洞，是計算機(jī)系統(tǒng)在硬件、軟件、協(xié)議的設(shè)計與實現(xiàn)過程中或系統(tǒng)平安策略上存在的缺陷和缺乏非法用戶可利用漏洞獲得計算機(jī)系統(tǒng)的額外權(quán)限，在未經(jīng)授權(quán)的情況下訪問或提高其訪問權(quán)限，從而破壞系統(tǒng)的平安性。4.4掃描器

134.4.1漏洞概述

雖然漏洞本身不會直接對系統(tǒng)造成危害，但它可能會被攻擊者利用，繼而破壞系統(tǒng)的平安特性漏洞實例：例4-6、例4-7漏洞產(chǎn)生的主要原因：不正確或不平安的編程。4.4掃描器

144.4.1漏洞概述

漏洞檢測：Windows基準(zhǔn)平安分析器漏洞的修補(bǔ)：XP的自動更新功能、360平安衛(wèi)士等。4.4掃描器

154.4.2掃描器原理

端口掃描向目標(biāo)主機(jī)的TCP/IP效勞端口發(fā)送探測數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)通過分析響應(yīng)來判斷效勞端口是翻開還是關(guān)閉，就可以得知端口提供的效勞或信息通過端口掃描，可以得到許多有用的信息：用戶名、效勞、操作系統(tǒng)等。4.4掃描器

164.4.2掃描器原理

知道了目標(biāo)計算機(jī)上運(yùn)行的操作系統(tǒng)和效勞應(yīng)用程序后，就能利用已經(jīng)發(fā)現(xiàn)的漏洞來進(jìn)行攻擊闖入該系統(tǒng)后獲得管理員權(quán)限，得到目標(biāo)計算機(jī)上的用戶名后，能使用口令破解軟件，屢次嘗試后，就有可能進(jìn)入目標(biāo)計算機(jī)。4.4掃描器

174.4.2掃描器原理

掃描器可以分為端口掃描器和漏洞掃描器端口掃描器幫助我們發(fā)現(xiàn)目標(biāo)機(jī)的某些內(nèi)在的弱點(diǎn)漏洞掃描器不僅僅提供簡單的端口掃描功能，還帶有入侵性質(zhì)：流光、SuperScan、X－Scan等。4.4掃描器

184.4.3漏洞掃描器X-Scan

提供圖形界面和命令行兩種操作方式掃描內(nèi)容包括：遠(yuǎn)程效勞類型、操作系統(tǒng)類型及版本，各種弱口令漏洞、后門、應(yīng)用效勞漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕效勞漏洞等二十幾個大類。4.4掃描器

194.4.4掃描技術(shù)的開展趨勢朝著掃描的全面性、隱蔽性以及智能性等方面開展。4.4掃描器

204.4.5反掃描技術(shù)掃描技術(shù)之主動掃描：主動向受害主機(jī)發(fā)送各種探測數(shù)據(jù)包，根據(jù)其回應(yīng)判斷掃描的結(jié)果防范主動掃描：減少開放端口，做好系統(tǒng)防護(hù)；實時監(jiān)測掃描，及時做出警告；偽裝知名端口，進(jìn)行信息欺騙。4.4掃描器

214.4.5反掃描技術(shù)掃描技術(shù)之被動掃描：與受害主機(jī)建立的連接通常是正常連接，發(fā)送的數(shù)據(jù)包也屬于正常范疇，不會向受害主機(jī)發(fā)送大規(guī)模的探測數(shù)據(jù)防范被動掃描：采用信息欺騙〔阻擋Ping命令〕。4.4掃描器

224.4.5反掃描技術(shù)反掃描技術(shù)的組成：審計技術(shù)：自動記錄網(wǎng)絡(luò)中機(jī)器的使用時間、敏感操作和違紀(jì)操作等訪問控制技術(shù)：對主體訪問客體的權(quán)限或能力的限制防火墻技術(shù)：訪問控制技術(shù)的一種。4.4掃描器

234.4.5反掃描技術(shù)入侵檢測技術(shù)：發(fā)現(xiàn)未經(jīng)授權(quán)非法使用，或合法但濫用權(quán)限的個體掃描防范：系統(tǒng)信息欺騙、數(shù)據(jù)包監(jiān)聽、端口監(jiān)測網(wǎng)絡(luò)誘捕：蜜罐系統(tǒng)Honeypot、Honeynet。4.4掃描器

244.5.1網(wǎng)絡(luò)監(jiān)聽原理“嗅探〞是一種在網(wǎng)絡(luò)中常用的進(jìn)行數(shù)據(jù)收集的方法，執(zhí)行這一操作的軟件就是嗅探器網(wǎng)絡(luò)監(jiān)聽原理：非交換式局域網(wǎng)中，數(shù)據(jù)被送往網(wǎng)絡(luò)中的每個節(jié)點(diǎn)，每個接收者判斷該數(shù)據(jù)的目標(biāo)地址與其地址是否相同，如果相同那么接收，不同那么忽略。但是如果接收端不忽略該信息，那么可以獲取它。4.5嗅探器

254.5.1網(wǎng)絡(luò)監(jiān)聽原理網(wǎng)絡(luò)監(jiān)聽常常被用來獲取用戶的口令以太網(wǎng)中，當(dāng)主機(jī)工作在監(jiān)聽模式下，無論數(shù)據(jù)包中的目標(biāo)地址是什么，主機(jī)都將接收監(jiān)聽工具“艾菲〞網(wǎng)頁偵探、Sniffer、Iris、無線WEP破解。4.5嗅探器

264.5.3網(wǎng)絡(luò)監(jiān)聽的檢測和防范

對網(wǎng)絡(luò)監(jiān)聽的檢測是非常困難的利用第三方檢查工具，如Anti-Sniffer監(jiān)聽只能是同一網(wǎng)段的主機(jī)，防范網(wǎng)絡(luò)監(jiān)聽的方法包括進(jìn)行合理的網(wǎng)絡(luò)分段、使用交換式集線器、對敏感數(shù)據(jù)進(jìn)行加密、采用VLAN技術(shù)。4.5嗅探器

274.6.1DoS攻擊類型破壞一個網(wǎng)絡(luò)或系統(tǒng)的運(yùn)作往往比真正取得它們的訪問權(quán)限容易得多拒絕效勞攻擊最主要的目的是造成被攻擊效勞器資源耗盡或系統(tǒng)崩潰而無法提供效勞。4.6拒絕效勞攻擊284.6.2DoS攻擊手段

郵件炸彈：最簡單的DoS攻擊DoS攻擊：hgod804.6拒絕效勞攻擊294.6.2DoS攻擊手段

DDoS攻擊：利用大量的傀儡機(jī)來發(fā)起進(jìn)攻〔例4-12〕網(wǎng)絡(luò)控制和內(nèi)網(wǎng)攻擊。4.6拒絕效勞攻擊304.6.3DoS攻擊的防范

4.6拒絕效勞攻擊314.7.1共享攻擊的實現(xiàn)

共享攻擊是利用對方共享的硬盤進(jìn)入對方電腦，然后利用一些木馬程序進(jìn)一步控制對方電腦共享攻擊演示：Ipc漏洞的入侵簡單入侵交互演示。4.7共享攻擊

324.7.2禁用共享

禁用共享的方法：終止Server效勞〔圖4－101〕去除默認(rèn)共享〔圖4－102、103〕屏蔽139、445端口〔去除IPC$連接〕設(shè)置復(fù)雜密碼〔防止攻擊者通過IPC$窮舉密碼〕。4.7共享攻擊

334.8.1ARP欺騙攻擊原理

ARP協(xié)議：通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址ARP欺騙攻擊：偽造IP地址和MAC地址，讓某些被欺騙的計算機(jī)無法正常訪問內(nèi)外網(wǎng)，讓網(wǎng)關(guān)無法和客戶端正常通信，導(dǎo)致連接網(wǎng)絡(luò)的計算機(jī)無法正常上網(wǎng)。4.8ARP欺騙攻擊

344.8.2ARP攻擊防護(hù)

綁定IP和MAC使用ARP防護(hù)軟件局域網(wǎng)中ARP欺騙攻擊及其防范ARP攻擊處理。4.8ARP欺騙攻擊

354.9.1SQL注入攻擊

利用程序員對用戶輸入數(shù)據(jù)的合法性檢測不嚴(yán)或不檢測的特點(diǎn)，成心從客戶端提交特殊的代碼，然后收集程序及效勞器的信息，從而獲取相關(guān)資料的一種攻擊行為啊D注入挖掘機(jī)。4.9數(shù)據(jù)庫攻擊

364.9.2暴庫攻擊

SQL注入攻擊的目的是要得到數(shù)據(jù)庫中的用戶名、密碼等暴庫：不用注入就可以得到整個數(shù)據(jù)庫，是比注入更簡單的的入侵手段

。4.9數(shù)據(jù)庫攻擊

374.10.1根本概念防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封鎖機(jī)制防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)。4.10防火墻

384.10.1根本概念防火墻的目的與功能：P213訪問控制，如對某些應(yīng)用的控制。4.10防火墻

FTP效勞器訪問Emial合法訪問FTP非法訪問FTP訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP認(rèn)證合法合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP394.10.1根本概念內(nèi)容控制，如信息過濾。4.10防火墻...like......like......like......like......like......like......like......like......like......like......like......like......like......like......like...正常通過...like......like......like......like......like......like......like......like......like......like......like......like...…“6?4〞...…“6?4〞...…“6?4〞...…“6?4〞...…“6?4〞...…“6?4〞...…“6?4〞...…“6?4〞...…“6?4〞...…“6?4〞...…“6?4〞...…“6?4〞...…“6?4〞...…“6?4〞......“6?4〞......“6?4〞...敏感禁入...“6?4〞......“6?4〞......“6?4〞......“6?4〞......“6?4〞......“6?4〞......“6?4〞......“6?4〞......“6?4〞......“6?4〞......“6?4〞......like......like...正常通過正常通過敏感禁入...“6?4〞......“6?4〞...404.10.1根本概念安了殺毒軟件還要安裝防火墻嗎？防火墻的設(shè)置防火墻的局限性：不能防范不經(jīng)由防火墻的攻擊、不能防范惡意的內(nèi)部人員侵入等等。4.10防火墻414.10.2防火墻技術(shù)

包過濾技術(shù)、應(yīng)用代理技術(shù)、狀態(tài)檢測技術(shù)。4.10防火墻424.10.2防火墻技術(shù)

包過濾技術(shù)：根據(jù)數(shù)據(jù)包中包頭信息有選擇地實施允許通過或阻斷包過濾防火墻通常工作在網(wǎng)絡(luò)層，因此也稱為網(wǎng)絡(luò)層防火墻動態(tài)包過濾技術(shù)的防火墻演變?yōu)闋顟B(tài)檢測技術(shù)。4.10防火墻434.10.2防火墻技術(shù)

應(yīng)用代理技術(shù)指在Web主機(jī)上或在單獨(dú)一臺計算機(jī)上運(yùn)行代理效勞器軟件，監(jiān)測、偵聽來自網(wǎng)絡(luò)上的信息對訪問內(nèi)部網(wǎng)的數(shù)據(jù)起到過濾作用，從而保護(hù)內(nèi)網(wǎng)免受破壞代理效勞器作用在應(yīng)用層代理超人。4.10防火墻444.10.3包過濾防火墻包過濾防火墻檢查所有通過數(shù)據(jù)包的頭部信息，并按照管理員所給定的過濾規(guī)那么進(jìn)行過濾在數(shù)據(jù)包過濾規(guī)那么中有兩種根本的平安策略：默認(rèn)接受或默認(rèn)拒絕。4.10防火墻454.10.3包過濾防火墻默認(rèn)接受：除非明確指定禁止某個數(shù)據(jù)包，否那么數(shù)據(jù)包是可以通過的默認(rèn)拒絕：除非明確指定允許某個數(shù)據(jù)包通過，否那么數(shù)據(jù)包是不可以通過的默認(rèn)拒絕更平安。4.10防火墻464.10.4屏蔽主機(jī)防火墻由包過濾路由器〔屏蔽路由器〕和堡壘主機(jī)〔代理效勞器〕組成在路由器上設(shè)置相應(yīng)的規(guī)那么，使得外部系統(tǒng)只能訪問堡壘主機(jī)。4.10防火墻474.10.5屏蔽子網(wǎng)防火墻由兩個屏蔽路由器和堡壘主機(jī)組成。4.10防火墻484.10.6防火墻的開展趨勢模式轉(zhuǎn)變：分布式、帶有狀態(tài)檢測功能的數(shù)據(jù)包過濾功能擴(kuò)展：集成了防病毒功能性能提高：硬件、規(guī)那么處理方式及算法。4.10防火墻494.10.7使用天網(wǎng)防火墻

保護(hù)終端網(wǎng)絡(luò)平安提供強(qiáng)大的訪問控制、信息過濾等功能。4.10防火墻504.11.1根本概念入侵是對信息系統(tǒng)的非授權(quán)訪問以及〔或者〕未經(jīng)許可在信息系統(tǒng)中進(jìn)行的操作入侵檢測是對企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識別的過程入侵檢測系統(tǒng)使用入侵檢測技術(shù)對網(wǎng)絡(luò)系統(tǒng)進(jìn)行監(jiān)視。4.11入侵檢測技術(shù)

514.11.1根本概念入侵檢測系統(tǒng)提供主動的網(wǎng)絡(luò)保護(hù)是動態(tài)平安的核心技術(shù)，能夠?qū)θ肭质录腿肭诌^程作出實時響應(yīng)在發(fā)現(xiàn)入侵后，會及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。4.11入侵檢測技術(shù)

524.11.1根本概念入侵檢測系統(tǒng)的根本結(jié)構(gòu)包括信息收集、信息分析和結(jié)果處理三局部。4.11入侵檢測技術(shù)

534.11.1根本概念入侵檢測系統(tǒng)主要分為兩大類：基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。4.11入侵檢測技術(shù)

544.11.2基于主機(jī)的入侵檢測系統(tǒng)

通常從主機(jī)的審計記錄和日志文件中獲得所需要的主要數(shù)據(jù)源，并輔之以主機(jī)上的其他信息，在此根底上完成檢測攻擊行為的任務(wù)用于保護(hù)單臺主機(jī)不受網(wǎng)絡(luò)攻擊行為的侵害，需要安裝在被保護(hù)的主機(jī)上。4.11入侵檢測技術(shù)

554.11.3基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

通過監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)包來獲得必要的數(shù)據(jù)來源，并通過協(xié)議分析、特征匹配、統(tǒng)計分析等手段發(fā)現(xiàn)當(dāng)前發(fā)生的攻擊行為在網(wǎng)絡(luò)的多個位置對網(wǎng)絡(luò)入侵檢測器進(jìn)行部署。4.11入侵檢測技術(shù)

564.11.5Windows2000/XP

簡單平安入侵檢測翻開默認(rèn)安裝下關(guān)閉的平安審核。4.11入侵檢測技術(shù)

574.11.5Windows2000/XP

簡單平安入侵檢測“事件查看器〞對話框中查看平安日志例4-13、4-