1、2022-5-21網絡攻擊與防御12022-5-21網絡攻擊與防御1內容安排 1.1 網絡安全基礎知識 1.2 網絡安全的重要性 1.3 網絡安全的主要威脅因素 1.4 網絡攻擊過程 1.5 網絡安全策略及制訂原則 1.6 網絡安全體系設計 1.7 常用的防護措施 1.8 小結2022-5-21網絡攻擊與防御22022-5-21網絡攻擊與防御21.1 網絡安全基礎知識 “安全”的含義（Security or Safety?) 平安，無危險；保護，保全； 遠離危險的狀態或特性； 計算機安全 保護計算機系統，使其沒有危險，不受威脅，不出事故。2022-5-21網絡攻擊與防御3網絡安全定義網絡安全的

2、一個通用定義指網絡信息系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的破壞、更改、泄露，系統能連續、可靠、正常地運行，服務不中斷。網絡安全簡單的說是在網絡環境下能夠識別和消除不安全因素的能力 。2022-5-21網絡攻擊與防御4網絡安全定義網絡安全在不同的環境和應用中有不同的解釋。運行系統安全。包括計算機系統機房環境的保護，法律政策的保護，計算機結構設計安全性考慮，硬件系統的可靠安全運行，計算機操作系統和應用軟件的安全，數據庫系統的安全，電磁信息泄露的防護等。本質上是保護系統的合法操作和正常運行。網絡上系統信息的安全。包括用戶口令鑒別、用戶存取權限控制、數據存取權限、方式控制、安

3、全審計、安全問題跟蹤、計算機病毒防治和數據加密等。網絡上信息傳播的安全。包括信息過濾等。它側重于保護信息的保密性、真實性和完整性。避免攻擊者進行有損于合法用戶的行為。本質上是保護用戶的利益和隱私。2022-5-21網絡攻擊與防御52022-5-21網絡攻擊與防御5網絡安全的基本需求 可靠性 可用性 保密性 完整性 不可抵賴性 可控性 可審查性 真實性機密性完整性抗抵賴性可用性2022-5-21網絡攻擊與防御62022-5-21網絡攻擊與防御62022-5-21網絡攻擊與防御7網絡安全內容 這里的網絡安全主要指通過各種計算機、網絡、密碼技術和信息安全技術，保護在公有通信網絡中傳輸、交換和存儲信息

4、的機密性、完整性和真實性，并對信息的傳播及內容具有控制能力，不涉及網絡可靠性、信息可控性、可用性和互操作性等領域。 網絡安全的主體是保護網絡上的數據和通信的安全。 數據安全性是一組程序和功能，用來阻止對數據進行非授權的泄漏、轉移、修改和破壞。 通信安全性是一些保護措施，要求在電信中采用保密安全性、傳輸安全性、輻射安全性的措施，并依要求對具備通信安全性的信息采取物理安全性措施。2022-5-21網絡攻擊與防御82022-5-21網絡攻擊與防御81.2 網絡安全的重要性 隨著網絡的快速普及，網絡以其開放、共享的特性對社會的影響也越來越大。 網絡上各種新業務的興起，比如電子商務、電子政務、電子貨幣、

5、網絡銀行，以及各種專業用網的建設，使得各種機密信息的安全問題越來越重要 。 計算機犯罪事件逐年攀升，已成為普遍的國際性問題。隨著我國信息化進程腳步的加快，利用計算機及網絡發起的信息安全事件頻繁出現，我們必須采取有力的措施來保護計算機網絡的安全。2022-5-21網絡攻擊與防御92022-5-21網絡攻擊與防御9信息化與國家安全信息戰 “誰掌握了信息，控制了網絡，誰將擁有整個世界。” 美國著名未來學家阿爾溫.托爾勒 “今后的時代，控制世界的國家將不是靠軍事，而是信息能力走在前面的國家。” 美國總統克林頓 “信息時代的出現，將從根本上改變戰爭的進行方式。” 美國前陸軍參謀長沙利文上將2022-5-

6、21網絡攻擊與防御10我國互聯網網絡安全環境(CNNIC-10.6) 截至2010年6月底，中國網民數量達到4.2億 半年有59.2%的網民遇到過病毒或木馬攻擊 半年有30.9%的網民賬號或密碼被盜過 網絡安全問題仍然制約著中國網民深層次的網絡應用發展2022-5-21網絡攻擊與防御112022-5-21網絡攻擊與防御11網絡安全現狀（續） 惡意代碼肆虐，病毒數量爆炸式增長 據卡巴斯基實驗室數據顯示，在過去的15年（1992 - 2007）間，發現了約200萬個新惡意軟件，而僅在2008和2009年兩年，就發現了超過3000萬個新惡意軟件。 2022-5-21網絡攻擊與防御12卡巴斯基實驗室收

7、集到的惡意程序總量 2022-5-21網絡攻擊與防御13近十年主要漏洞發布與蠕蟲爆發時間間隔表蠕蟲名稱蠕蟲名稱漏洞發布時間漏洞發布時間爆發時間爆發時間時間間隔時間間隔Ramen06/23/200001/18/2001185天天Sadmind/IIS12/14/199905/08/2001210天天CodeRed 紅色代碼紅色代碼04/06/200107/19/2001104天天Nimda 尼姆達尼姆達05/15/200109/18/2001125天天Slapper07/30/200209/04/200245天天Blaster 沖擊波沖擊波07/16/200308/11/200325天天Sass

8、er 震蕩波震蕩波04/13/200404/30/200417天天Zotob08/09/200508/16/20057天天Mocbot 魔波魔波08/08/200608/14/20066天天MyInfect 麥英麥英04/03/200704/01/2007-1天天Conficker10/23/200811/07/2008152022-5-21網絡攻擊與防御14近十年主要漏洞發布與蠕蟲爆發時間間隔表2022-5-21網絡攻擊與防御152022-5-21網絡安全漏洞庫的研究15安全漏洞的威脅 漏洞導致安全威脅近年來，計算機病毒、木馬、蠕蟲和黑客攻擊等日益流行，對國家政治、經濟和社會造成危害，并對I

9、nternet及國家關鍵信息系統構成嚴重威脅。絕大多數的安全威脅是利用系統或軟件中存在的安全漏洞來達到破壞系統、竊取機密信息等目的，由此引發的安全事件也層出不窮。如2009年暴風影音漏洞導致了大規模的斷網事件，2010年微軟極光漏洞導致Google被攻擊事件。 2022-5-21網絡攻擊與防御160 day漏洞 0 day漏洞，又稱零日漏洞，指在安全補丁發布前被了解和掌握的漏洞信息。利用0 day漏洞的攻擊稱為0 day攻擊。 2006年9月27日，微軟提前發布MS06-055漏洞補丁，修補了一個嚴重等級的IE圖像處理漏洞。事實上，這個漏洞在當時屬于零日漏洞，因為在微軟公布補丁之前一個星期就已

10、經出現了利用這個漏洞的網馬。 誰在使用0 day漏洞： 安全部門、滲透測試人員、黑客、甚至是蠕蟲2022-5-21網絡攻擊與防御17網絡安全現狀（續） 攻擊者需要的技術水平逐漸降低，手段更加靈活，聯合攻擊急劇增多 攻擊工具易于從網絡下載 網絡蠕蟲具有隱蔽性、傳染性、破壞性、自主攻擊能力 新一代網絡蠕蟲和黑客攻擊、計算機病毒之間的界限越來越模糊 2022-5-21網絡攻擊與防御18網絡安全現狀（續） 網絡攻擊趨利性增強、頑固性增加 木馬類病毒的利益威脅最為嚴重； 病毒傳播的趨利性日益突出； 病毒的反殺能力不斷增強； 網絡攻擊的組織性、趨利性、專業性和定向性繼續加強，地下產業鏈逐步形成。2022-

11、5-21網絡攻擊與防御19熊貓燒香案主犯李俊獲刑四年 2007年9月24日，湖北省仙桃市人民法院公開開庭審理了倍受社會各界廣泛關注的被告人李俊、王磊、張順、雷磊破壞計算機信息系統罪一案。被告人李俊、王磊、張順、雷磊因犯破壞計算機信息系統罪，分別被判處有期徒刑四年、二年六個月、二年、一年。 2022-5-21網絡攻擊與防御202022-5-21網絡攻擊與防御21公開制作銷售木馬下載器網站 軟件價格表 老版本TrojanDefender系列生成器價格:1000 不賣小馬，生成器一次買斷，不管更新，我們可以給您定做生成器。只賣一家，售出后此系列軟件我們將永遠不做更新和出售。 新版本HDDInject

12、or系列軟件價格: V1.0 版本下載者型小馬:RMB.300 V1.0 版本下載者生成器:RMB.2500 V1.1 版本不配置小馬，只賣生成器 價格:RMB.5000 購買方式 1.下載站內測試程序測試效果 2.如果您對程序感興趣請聯系購買客服購買2022-5-21網絡攻擊與防御22案例“頂狐”病毒網上銀行盜竊案 2007年12月16日，“3.5”特大網上銀行盜竊案的8名主要犯罪嫌疑人全部落入法網。8名疑犯在網上以虛擬身份聯系，糾集成伙，雖不明彼此身份，卻配合密切，分工明確，有人制作木馬病毒，有人負責收集信息，有人提現，有人收贓，在不到一年時間里竊得人民幣300余萬元。徐偉沖提供信息，金星

13、通過網上購買游戲點卡，轉手倒賣給湖南長沙的“寶寶”，即陳娜。因信息太多，忙不過來，金星又在網上將信息倒賣給“小胖”，“小胖”再轉賣他人提現。陸瑛娜則不停地在網上購游戲點卡，她到外地制作了兩張假身份證，在數家銀行開了賬戶，忙著到蘇州、昆山、常州等周邊地區銀行去取贓款。 2008年4月11日，無錫市濱湖區法院對一起公安部掛牌督辦的重大網絡犯罪案件作出了一審判決，被告人金星 、徐偉沖 、陸瑛娜、方少宏因構成信用卡詐騙罪和盜竊罪，分別被判處十四年至三年不等的有期徒刑。2022-5-21網絡攻擊與防御232022-5-21網絡攻擊與防御231.3 網絡安全的主要威脅因素 信息系統自身安全的脆弱性 操作系

14、統與應用程序漏洞 安全管理問題 黑客攻擊 網絡犯罪2022-5-21網絡攻擊與防御24信息系統自身的安全脆弱性 信息系統脆弱性，指信息系統的硬件資源、通信資源、軟件及信息資源等，因可預見或不可預見甚至惡意的原因而可能導致系統受到破壞、更改、泄露和功能失效，從而使系統處于異常狀態，甚至崩潰癱瘓等的根源和起因。 這里我們從以下三個層面分別進行分析： 硬件組件 軟件組件 網絡和通信協議2022-5-21網絡攻擊與防御25硬件組件的安全隱患 信息系統硬件組件安全隱患多源于設計，主要表現為物理安全方面的問題。 硬件組件的安全隱患除在管理上強化人工彌補措施外，采用軟件程序的方法見效不大。 在設計、選購硬件

15、時，應盡可能減少或消除硬件組件的安全隱患2022-5-21網絡攻擊與防御26軟件組件的安全隱患 軟件組件的安全隱患來源于設計和軟件工程實施中遺留問題： 軟件設計中的疏忽 軟件設計中不必要的功能冗余、軟件過長過大 軟件設計不按信息系統安全等級要求進行模塊化設計 軟件工程實現中造成的軟件系統內部邏輯混亂2022-5-21網絡攻擊與防御27網絡和通信協議的安全隱患 協議：指計算機通信的共同語言，是通信雙方約定好的彼此遵循的一定規則。 TCP/IP協議簇是目前使用最廣泛的協議，但其已經暴露出許多安全問題。 TCP序列列猜測 路由協議缺陷 數據傳輸加密問題 其它應用層協議問題2022-5-21網絡攻擊與

16、防御28TCP/IP協議簇脆弱性原因 支持Internet運行的TCP/IP協議棧最初設計的應用環境是相互信任的，其設計原則是簡單、可擴展、盡力而為，只考慮互聯互通和資源共享問題，并未考慮也無法兼顧解決網絡中的安全問題 基于TCP/IP的Internet是在可信任網絡環境中開發出來的成果，體現在TCP/IP協議上的總體構想和設計本身，基本未考慮安全問題，并不提供人們所需的安全性和保密性2022-5-21網絡攻擊與防御29操作系統與應用程序漏洞 操作系統是用戶和硬件設備的中間層，操作系統一般都自帶一些應用程序或者安裝一些其它廠商的軟件工具。 應用軟件在程序實現時的錯誤，往往就會給系統帶來漏洞。漏

17、洞也叫脆弱性（Vulnerability），是計算機系統在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷和不足。 漏洞一旦被發現，就可以被攻擊者用來在未授權的情況下訪問或破壞系統，從而導致危害計算機系統安全的行為。2022-5-21網絡攻擊與防御302022-5-21網絡安全漏洞庫的研究30安全漏洞急劇增長 漏洞數量急劇增長自2000年以來，每年發現的漏洞數量都在千數量級，并且不斷增長，僅2009年一年就報告了6601個新漏洞。IBM X-Force 2009 Trend and Risk Report2022-5-21網絡攻擊與防御31安全漏洞（以微軟為例） 系統安全漏洞 微軟每周都有

18、數個修正檔需要更新 2008年微軟公布了78個漏洞補丁 微軟MS08-067漏洞引發“掃蕩波” 困境 無法知道哪些機器沒有安裝漏洞補丁 知道哪些機器但是找不到機器在哪里 機器太多不知如何做起2022-5-21網絡攻擊與防御322022-5-21網絡攻擊與防御32網絡安全現狀（續） 安全漏洞數量增長較快，0 day攻擊頻繁 常用系統的安全漏洞保持遞增趨勢； 路由器、交換機等網絡硬件設備的嚴重級別漏洞增多； 針對漏洞的攻擊程序呈現出目的性強、時效性高的趨勢，0 day攻擊現象嚴重。 各類應用軟件的安全漏洞尚未引起足夠重視。2022-5-21網絡攻擊與防御332022-5-2133防范中心公布漏洞情

19、況國家安全漏洞庫國家安全漏洞庫漏洞列表（ http:/）國家安全漏洞庫一條漏洞具體信息2022-5-21網絡攻擊與防御34信息系統面臨的安全威脅 基本威脅 威脅信息系統的主要方法 威脅和攻擊的來源2022-5-21網絡攻擊與防御35基本威脅 安全的基本目標是實現信息的機密性、完整性、可用性。對信息系統這3個基本目標的威脅即是基本威脅。 信息泄漏 完整性破壞 拒絕服務 未授權訪問2022-5-21網絡攻擊與防御36基本威脅1信息泄漏 信息泄漏指敏感數據在有意或無意中被泄漏、丟失或透露給某個未授權的實體。 信息泄漏包括：信息在傳輸中被丟失或泄漏；通過信息流向、流量、通信頻度和長度等參數等分析，推測

20、出有用信息。2022-5-21網絡攻擊與防御37基本威脅2完整性破壞 以非法手段取得對信息的管理權，通過未授權的創建、修改、刪除和重放等操作而使數據的完整性受到破壞2022-5-21網絡攻擊與防御38基本威脅3拒絕服務 信息或信息系統資源等被利用價值或服務能力下降或喪失。 產生服務拒絕的原因： 受到攻擊所致。攻擊者通過對系統進行非法的、根本無法成功的訪問嘗試而產生過量的系統負載，從而導致系統的資源對合法用戶的服務能力下降或喪失。 信息系統或組件在物理上或邏輯上受到破壞而中斷服務。2022-5-21網絡攻擊與防御39基本威脅4未授權訪問 未授權實體非法訪問信息系統資源，或授權實體超越權限訪問信息

21、系統資源。 非法訪問主要有：假冒和盜用合法用戶身份攻擊、非法進入網絡系統進行違法操作，合法用戶以未授權的方式進行操作等形式。2022-5-21網絡攻擊與防御40威脅信息系統的主要方法 冒充 旁路控制 破壞信息的完整性 破壞系統的可用性 重放 截收和輻射偵測 陷門 特洛伊木馬 抵賴2022-5-21網絡攻擊與防御41威脅方法1冒充 某個未授權的實體假裝成另一個不同的實體，進而非法獲取系統的訪問權利或得到額外特權 攻擊者可以進行下列假冒： 假冒管理者發布命令和調閱密件； 假冒主機欺騙合法主機及合法用戶 假冒網絡控制程序套取或修改使用權限、口令、密鑰等信息，越權使用網絡設備和資源 接管合法用戶欺騙系

22、統，占用合法用戶資源2022-5-21網絡攻擊與防御42威脅方法2旁路控制 攻擊者為信息系統等鑒別或者訪問控制機制設置旁路。 為了獲取未授權的權利，攻擊者會發掘系統的缺陷或安全上的某些脆弱點，并加以利用，以繞過系統訪問控制而滲入到系統內部2022-5-21網絡攻擊與防御43威脅方法3破壞信息完整性 攻擊者可從三個方面破壞信息到完整性： 篡改：改變信息流的次序、時序、流向、內容和形式； 刪除：刪除消息全部和一部分； 插入：在消息中插入一些無意義或有害信息。2022-5-21網絡攻擊與防御44威脅方法4-破壞系統可用性 攻擊者可以從以下三個方面破壞系統可用性： 使合法用戶不能正常訪問網絡資源； 使

23、有嚴格時間要求的服務不能即時得到響應； 摧毀系統。如，物理破壞網絡系統和設備組件使網絡不可用，或破壞網絡結構。2022-5-21網絡攻擊與防御45威脅方法5重放 攻擊者截收有效信息甚至是密文，在后續攻擊時重放所截收的消息。2022-5-21網絡攻擊與防御46威脅方法6截收與輻射偵測 攻擊者通過搭線竊聽和對電磁輻射探測等方法截獲機密信息，或者從流量、流向、通信總量和長度等參數分析出有用信息。2022-5-21網絡攻擊與防御47威脅方法7陷門 在某個（硬件、軟件）系統和某個文件中設計的“機關”，使得當提供特定的輸入條件時，允許違反安全策略而產生非授權的影響 陷門通常是設計時插入的一小段程序，用來測

24、試模塊或者為程序員提供一些便利。開發后期會去掉這些陷門，可能會基于某種目的得到保留 陷門被利用，會帶來嚴重后果2022-5-21網絡攻擊與防御48威脅方法8特洛伊木馬 指一類惡意的妨害安全的計算機程序或者攻擊手段。 形象的來說，是指：一個應用程序表面上在執行一個任務，實際上卻在執行另一個任務。以達到泄漏機密信息甚至破壞系統的目的。2022-5-21網絡攻擊與防御49威脅方法9抵賴 通信的某一方出于某種目的而出現下列抵賴行為： 發信者事后否認曾經發送過某些消息 發信者事后否認曾經發送過的某些消息的內容 收信者事后否認曾經接受過某些消息 收信者事后否認曾經接受過某些消息的內容2022-5-21網絡

25、攻擊與防御50威脅和攻擊來源 內部操作不當 信息系統內部工作人員越權操作、違規操作或其他不當操作，可能造成重大安全事故。 內部管理不嚴造成信息系統安全管理失控 信息體系內部缺乏健全管理制度或制度執行不力，給內部工作人員違規和犯罪留下縫隙。 來自外部的威脅與犯罪 從外部對信息系統進行威脅和攻擊的實體主要有黑客、信息間諜、計算機犯罪人員三種。2022-5-21網絡攻擊與防御512022-5-21網絡攻擊與防御51網絡安全主要威脅來源網絡網絡內部、外部泄密內部、外部泄密拒絕服務攻擊拒絕服務攻擊邏輯炸彈邏輯炸彈特洛伊木馬特洛伊木馬黑客攻擊黑客攻擊計算機病毒計算機病毒信息丟失、篡信息丟失、篡改、銷毀改、

26、銷毀后門、隱蔽通道后門、隱蔽通道蠕蟲蠕蟲2022-5-21網絡攻擊與防御522022-5-21網絡攻擊與防御52熊貓燒香沖擊波病毒振蕩波病毒CIH病毒2022-5-21網絡攻擊與防御532022-5-21網絡攻擊與防御53木馬攻擊網站主頁被黑信用卡被盜刷信息被篡改2022-5-21網絡攻擊與防御54安全管理問題 管理策略不夠完善，管理人員素質低下，用戶安全意識淡薄，有關的法律規定不夠健全。 管理上權責不分，缺乏培訓意識，管理不夠嚴格。 缺乏保密意識，系統密碼隨意傳播，出現問題時相互推卸責任。2022-5-21網絡攻擊與防御55黑客攻擊 黑客（hacker），源于英語動詞hack，意為“劈，砍”

27、，引申為“干了一件非常漂亮的工作”。在早期麻省理工學院的校園俚語中，“黑客”則有“惡作劇”之意，尤指手法巧妙、技術高明的惡作劇。 他們通常具有硬件和軟件的高級知識，并有能力通過創新的方法剖析系統。 網絡黑客的主要攻擊手法有：獲取口令、放置木馬、web欺騙技術、電子郵件攻擊、通過一個節點攻擊另一節點、網絡監聽、尋找系統漏洞、利用緩沖區溢出竊取特權等。2022-5-21網絡攻擊與防御56黑客起源 起源地： 美國 精神支柱： 對技術的渴求 對自由的渴求 歷史背景： 越戰與反戰活動 馬丁路德金與自由 嬉皮士與非主流文化 電話飛客與計算機革命 中國黑客發展歷史 1998年印尼事件 1999年南聯盟事件

28、綠色兵團南北分拆事件 中美五一黑客大戰事件2022-5-21網絡攻擊與防御572022-5-21網絡攻擊與防御57黑客分類灰帽子破解者破解已有系統發現問題/漏洞突破極限/禁制展現自我計算機 為人民服務漏洞發現 - Flashsky軟件破解 - 0 Day工具提供 - Glacier白帽子創新者設計新系統打破常規精研技術勇于創新沒有最好， 只有更好MS -Bill GatesGNU -R.StallmanLinux -Linus善黑帽子破壞者隨意使用資源惡意破壞散播蠕蟲病毒商業間諜人不為己， 天誅地滅入侵者 -K.米特尼克CIH -陳盈豪攻擊Yahoo -匿名惡渴求自由2022-5-21網絡攻擊

29、與防御582022-5-21網絡攻擊與防御58脆弱性程度日益增加信息網絡系統的復雜性增加脆弱性程度網絡系統日益復雜，安全隱患急劇增加，為黑客創造了客觀條件2022-5-21網絡攻擊與防御59常見的黑客攻擊及入侵技術的發展 19801985199019952000密碼猜測可自動復制的代碼密碼破解利用已知的漏洞破壞審計系統后門會話劫持擦除痕跡嗅探包欺騙GUI遠程控制自動探測掃描拒絕服務www 攻擊工具攻擊者入侵者水平攻擊手法半開放隱蔽掃描控制臺入侵檢測網絡管理DDOS 攻擊2005高2022-5-21網絡攻擊與防御60網絡犯罪 網絡數量大規模增長，網民素質參差不齊，而這一領域的各種法律規范未能及時

30、跟進，網絡成為一種新型的犯罪工具、犯罪場所和犯罪對象。 網絡犯罪中最為突出的問題有：網絡色情泛濫成災，嚴重危害未成年人的身心健康；軟件、影視唱片的著作權受到盜版行為的嚴重侵犯；電子商務備受詐欺困擾；信用卡被盜刷；購買的商品石沉大海，發出商品卻收不回貨款；更有甚者，侵入他人網站、系統后進行敲詐，制造、販賣計算機病毒、木馬或其它惡意軟件，已經挑戰計算機和網絡幾十年之久的黑客仍然是網絡的潛在危險。2022-5-21網絡攻擊與防御61網絡犯罪（續） 網絡犯罪的類型 網絡文化污染 盜版交易 網絡欺詐 妨害名譽 侵入他人主頁、網站、郵箱 制造、傳播計算機病毒 網絡賭博 教唆、煽動各種犯罪，傳授犯罪方法20

31、22-5-21網絡攻擊與防御62網絡犯罪（續） 打擊網絡犯罪面臨的問題互聯網本身缺陷黑客軟件泛濫互聯網的跨地域、跨國界性網上商務存在的弊端互聯網性質的不確定性司法標準不一2022-5-21網絡攻擊與防御632022-5-21網絡攻擊與防御63攻擊案例：對日網絡攻擊 從2003年7月31日晚間開始，國內一批黑客組織按約定對日本政府機關、公司和民間機構網站展開攻擊 本次攻擊歷時五天，以宣揚“愛國”精神和發泄對日不滿情緒為主要目的，通過篡改主頁等技術手段，在一定程度上達到了預期目的，對日本網站造成了某些破壞 期間有十幾家日本網站（包括可能是被誤攻擊的韓國、臺灣網站）被攻擊成功，頁面被修改 2022-

32、5-21網絡攻擊與防御64對日網絡攻擊的調查2022-5-21網絡攻擊與防御65對日網絡攻擊的調查（續）2022-5-21網絡攻擊與防御66對日網絡攻擊的調查（續）2022-5-21網絡攻擊與防御67攻擊案例（2）：利用DNS劫持攻擊大型網站事件 2007年11月3日，部分用戶在訪問騰訊迷你首頁網站( http:/ 攻擊者采用的攻擊方法是劫持DNS解析過程，篡改騰訊迷你首頁的DNS記錄。非法劫持騰訊“迷你網”主頁域名傳播17種32個計算機木馬病毒，使全國數百萬網民在訪問“迷你網”主頁，玩傳奇、魔獸等網絡游戲時，游戲帳號和密碼被秘密發送到木馬程序設置的遠程接收服務器上，該團伙迅速盜取帳號和密碼，

33、在網上銷贓套現，銷贓所得按“貢獻”大小分成。不到兩個月時間，馬志松等人就盜竊數十萬網上用戶的游戲帳號和密碼，非法獲利40余萬元，馬志松分得15萬元。騰訊“迷你網”因停止服務，造成直接損失20余萬元。2022-5-21網絡攻擊與防御68攻擊案例（2） ：利用DNS劫持攻擊大型網站事件（續） 2007年11月19日，無錫市公安局網警支隊接報：當月5日至19日期間，全國部分地區的互聯網用戶在訪問深圳市騰訊計算機系統有限公司迷你網主頁時，被錯誤指向到位于無錫市的病毒服務器，造成上百萬網民的電腦受病毒感染，騰訊公司被迫停止網站服務，造成重大經濟損失。警方立即開展偵查，于同年12月，分別在四川成都、江蘇張

34、家港、黑龍江東寧等地抓獲6名犯罪嫌疑人。江蘇省公安廳信息網絡安全監察部門在馬志松等人使用的電腦硬盤中發現了用于攻擊網站的破壞性程序。經審查，2007年9月底至11月中旬，這一團伙在成都市使用編譯好的劫持程序對上海、重慶、揚州等10余個城市共計27臺域名服務器實施攻擊劫持，借機盜取網絡游戲賬號。 法院審理認為，6名被告違反國家規定，對計算機信息系統功能進行干擾，造成計算機信息系統不能正常運行，后果嚴重，均已構成破壞計算機信息系統罪。馬志松等6名被告被江蘇無錫濱湖區法院一審分別判處四年至一年不等有期徒刑。2022-5-21網絡攻擊與防御691.4 網絡攻擊過程 網絡攻擊過程一般可以分為本地入侵和遠

35、程入侵 在這里主要介紹遠程攻擊的一般過程： 遠程攻擊的準備階段 遠程攻擊的實施階段 遠程攻擊的善后階段2022-5-21網絡攻擊與防御70遠程攻擊的準備階段 確定攻擊目標 信息收集 服務分析 系統分析 漏洞分析2022-5-21網絡攻擊與防御71攻擊準備1確定攻擊目標 攻擊者在進行一次完整的攻擊之前，首先要確定攻擊要達到什么樣的目的，即給受侵者造成什么樣的后果。 常見的攻擊目的有破壞型和入侵型兩種。 破壞型攻擊是指只破壞攻擊目標，使之不能正常工作，而不能隨意控制目標上的系統運行。 入侵型攻擊這種攻擊要獲得一定的權限才能達到控制攻擊目標的目的。應該說這種攻擊比破壞型攻擊更為普遍，威脅性也更大。因

36、為攻擊者一旦掌握了一定的權限、甚至是管理員權限就可以對目標做任何動作，包括破壞性質的攻擊。 2022-5-21網絡攻擊與防御72攻擊準備2信息收集 包括目標的操作系統類型及版本、相關軟件的類型、版本及相關的社會信息 收集目標系統相關信息的協議和工具 Ping實用程序 TraceRoute、Tracert、X-firewalk程序 Whois協議 Finger協議 SNMP協議2022-5-21網絡攻擊與防御73攻擊準備2信息收集 在網絡中主機一般以IP地址進行標識。 例如選定50這臺主機為攻擊目標，使用ping命令可以探測目標主機是否連接在Internet中。 在Wind

37、ows下使用ping命令測試： ping 50 測試結果如下頁圖所示。 說明此主機處于活動狀態。2022-5-21網絡攻擊與防御742022-5-21網絡攻擊與防御742022-5-21網絡攻擊與防御75攻擊準備3服務分析 探測目標主機所提供的服務、相應端口是否開放、各服務所使用的軟件版本類型：如利用Telnet、haktek等工具，或借助SuperScan、Nmap等這類工具的端口掃描或服務掃描功能。 舉例： Windows下，開始運行cmd 輸入：telnet 50 80，然后回車 結果如下頁圖所示，說明50這臺主機上運行了

38、http服務，Web服務器版本是IIS 5.12022-5-21網絡攻擊與防御762022-5-21網絡攻擊與防御762022-5-21網絡攻擊與防御77攻擊準備4系統分析 確定目標主機采用何種操作系統 例如 在Windows下安裝Nmap v4.20掃描工具，此工具含OS Detection的功能（使用-O選項）。 打開cmd.exe，輸入命令：nmap O 50，然后確定 探測結果如下頁圖所示，說明操作系統是Windows 2000 SP1、SP2或者SP32022-5-21網絡攻擊與防御782022-5-21網絡攻擊與防御782022-5-21網絡攻擊與防御79攻擊

39、準備5漏洞分析 分析確認目標主機中可以被利用的漏洞 手動分析：過程復雜、技術含量高、效率較低 借助軟件自動分析：需要的人為干預過程少，效率高。如Nessus、X-Scan等綜合型漏洞檢測工具、eEye等專用型漏洞檢測工具等。 例如 在Windows下使用eEye Sasser Scanner對目標主機8進行系統漏洞分析。探測結果如下頁圖所示，說明目標主機存在震蕩波漏洞。2022-5-21網絡攻擊與防御802022-5-21網絡攻擊與防御81遠程攻擊的實施階段 作為破壞性攻擊，可以利用工具發動攻擊即可。 作為入侵性攻擊，往往需要利用收集到的信息，找到其系統漏洞，然后利用漏洞

40、獲取盡可能高的權限。 攻擊的主要階段包括： 預攻擊探測：為進一步入侵提供有用信息 口令破解與攻擊提升權限 實施攻擊：緩沖區溢出、拒絕服務、后門、木馬、病毒2022-5-21網絡攻擊與防御82遠程攻擊的善后階段 入侵成功后，攻擊者為了能長時間地保留和鞏固他對系統的控制權，一般會留下后門。 此外，攻擊者為了自身的隱蔽性，須進行相應的善后工作隱藏蹤跡： 攻擊者在獲得系統最高管理員權限之后就可以任意修改系統上的文件了，所以一般黑客如果想隱匿自己的蹤跡，最簡單的方法就是刪除日志文件 但這也明確無誤地告訴了管理員系統已經被入侵了。更常用的辦法是只對日志文件中有關自己的那部分作修改，關于修改方法的細節根據不

41、同的操作系統有所區別，網絡上有許多此類功能的程序。2022-5-21網絡攻擊與防御83入侵系統的常用步驟 采用漏洞掃描工具選擇會用的方式入侵獲取系統一定權限提升為最高權限安裝系統后門獲取敏感信息或者其他攻擊目的2022-5-21網絡攻擊與防御84較高明的入侵步驟 端口判斷判斷系統選擇最簡方式入侵分析可能有漏洞的服務獲取系統一定權限提升為最高權限安裝多個系統后門清除入侵腳印攻擊其他系統獲取敏感信息作為其他用途2022-5-21網絡攻擊與防御852022-5-21網絡攻擊與防御851.5 網絡安全策略及制訂原則 安全策略，是針對那些被允許進入某一組織、可以訪問網絡技術資源和信息資源的人所規定的、必

42、須遵守的規則。 即：網絡管理部門根據整個計算機網絡所提供的服務內容、網絡運行狀況、網絡安全狀況、安全性需求、易用性、技術實現所付出的代價和風險、社會因素等許多方面因素，所制定的關于網絡安全總體目標、網絡安全操作、網絡安全工具、人事管理等方面的規定。2022-5-21網絡攻擊與防御862022-5-21網絡攻擊與防御86制定安全策略的目的 決定一個組織機構怎樣保護自己 闡明機構安全政策的總體思想 讓所有用戶、操作人員和管理員清楚，為了保護技術和信息資源所必須遵守的原則。 提供一個可以獲得、能夠配置和檢查的用于確定是否與計算機和網絡系統的策略一致的基準2022-5-21網絡攻擊與防御872022-

43、5-21網絡攻擊與防御87安全策略的必要性 網絡管理員在作安全策略時的依據在很大程度上取決于網絡運行過程中的安全狀況，網絡所提供的功能以及網絡的易用程度。 安全策略應以要實現目標為基礎，而不能簡單地規定要檢驗什么和施加什么限制。 在確定的安全目標下，應該制定如何有效地利用所有安全工具的策略。2022-5-21網絡攻擊與防御882022-5-21網絡攻擊與防御88安全策略的必要性(2)檢測檢測響應響應防護防護PPDR模型模型檢測檢測響應響應防護防護策略策略p強調了策略的核強調了策略的核心作用心作用p強調了檢測、響強調了檢測、響應、防護的動態性應、防護的動態性p檢測、響應、防檢測、響應、防護必須遵

44、循安全策護必須遵循安全策略進行略進行2022-5-21網絡攻擊與防御89制訂安全策略的基本原則 適用性原則 可行性原則 動態性原則 簡單性原則 系統性原則2022-5-21網絡攻擊與防御902022-5-21網絡攻擊與防御90適用性原則 安全策略是在一定條件下采取的安全措施，必須與網絡的實際應用環境相結合。 網絡的安全管理是一個系統化的工作，因此在制定安全策略時，應全面考慮網絡上各類用戶、設備等情況，有計劃有準備地采取相應的策略，任何一點疏忽都會造成整個網絡安全性的降低。2022-5-21網絡攻擊與防御912022-5-21網絡攻擊與防御91可行性原則 安全管理策略的制定還要考慮資金的投入量，

45、因為安全產品的性能一般是與其價格成正比的，所以要適合劃分系統中信息的安全級別，并作為選擇安全產品的重要依據，使制定的安全管理策略達到成本和效益的平衡。2022-5-21網絡攻擊與防御922022-5-21網絡攻擊與防御92動態性原則 安全管理策略有一定的時限性，不能是一成不變的。 由于網絡用戶在不斷地變化，網絡規模在不斷擴大，網絡技術本身的發展變化也很快，而安全措施是防范性的，所以安全措施也必須隨著網絡發展和環境的變化而變化。 2022-5-21網絡攻擊與防御932022-5-21網絡攻擊與防御93簡單性原則 網絡用戶越多，網絡管理人員越多，網絡拓撲越復雜，采用網絡設備種類和軟件種類越多，網絡

46、提供的服務和捆綁越多，出現安全漏洞的可能性就越大。 因此制定的安全管理策略越簡單越好，如簡化授權用戶的注冊過程等。2022-5-21網絡攻擊與防御942022-5-21網絡攻擊與防御94系統性原則 網絡的安全管理是一個系統化的工作，因此在制定安全管理策略時，應全面考慮網絡上各類用戶，各種設備，各種情況，有計劃有準備地采取相應的策略，任何一點疏忽都會造成整個網絡安全性的降低。2022-5-21網絡攻擊與防御952022-5-21網絡攻擊與防御95安全策略的特點 所有有效的安全策略都至少具備以下特點： 發布必須通過系統正常管理程序，采用合適的標準出版物或其他適當的方式來發布。 強制執行在適當的情況

47、下，必須能夠通過安全工具來實現其強制實施，并在技術確定不能滿足要求的情況下強迫執行。 人員責任規定必須明確規定用戶、系統管理員和公司管理人員等各類人員的職責范圍和權限。2022-5-21網絡攻擊與防御961.6 網絡安全體系設計 1.6.1 網絡安全體系層次 1.6.2 網絡安全體系設計準則2022-5-21網絡攻擊與防御971.6.1 網絡安全體系層次 作為全方位的、整體的網絡安全防范體系也是分層次的，不同層次反映了不同的安全問題。 根據網絡的應用現狀情況和網絡的結構，安全防范體系的層次劃分為物理層安全、系統層安全、網絡層安全、應用層安全和安全管理。2022-5-21網絡攻擊與防御98物理層

48、安全 物理環境的安全性。包括通信線路的安全，物理設備的安全，機房的安全等。物理層的安全主要體現在通信線路的可靠性（線路備份、網管軟件、傳輸介質），軟硬件設備安全性（替換設備、拆卸設備、增加設備），設備的備份，防災害能力、防干擾能力，設備的運行環境（溫度、濕度、煙塵），不間斷電源保障，等等。 2022-5-21網絡攻擊與防御99系統層安全 該層次的安全問題來自網絡內使用的操作系統的安全，如Windows NT，Windows 2000等。主要表現在三方面，一是操作系統本身的缺陷帶來的不安全因素，主要包括身份認證、訪問控制、系統漏洞等。二是對操作系統的安全配置問題。三是病毒對操作系統的威脅。 20

49、22-5-21網絡攻擊與防御100網絡層安全 該層次的安全問題主要體現在網絡方面的安全性，包括網絡層身份認證，網絡資源的訪問控制，數據傳輸的保密與完整性，遠程接入的安全，域名系統的安全，路由系統的安全，入侵檢測的手段，網絡設施防病毒等。 2022-5-21網絡攻擊與防御101應用層安全 該層次的安全問題主要由提供服務所采用的應用軟件和數據的安全性產生，包括Web服務、電子郵件系統、DNS等。此外，還包括病毒對系統的威脅。 2022-5-21網絡攻擊與防御102管理層安全 安全管理包括安全技術和設備的管理、安全管理制度、部門與人員的組織規則等。管理的制度化極大程度地影響著整個網絡的安全，嚴格的安

50、全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安全漏洞。 2022-5-21網絡攻擊與防御1031.6.2 網絡安全體系設計準則 木桶原則 整體性原則 安全性評價與平衡原則 標準化與一致性原則 技術與管理相結合原則 統籌規劃分步實施原則 等級性原則 動態發展原則 易操作性原則 2022-5-21網絡攻擊與防御1042022-5-21網絡攻擊與防御1041.7 常用的防護措施我們怎么辦？2022-5-21網絡攻擊與防御1052022-5-21網絡攻擊與防御105個人用戶防護措施 加密重要文件加密重要文件防火墻防火墻定期升級補丁定期升級補丁殺毒軟件定期升級和

51、殺毒殺毒軟件定期升級和殺毒定期備份系統或重要文件定期備份系統或重要文件防護措施防護措施2022-5-21網絡攻擊與防御1062022-5-21網絡攻擊與防御106防止黑客入侵關閉不常用端口關閉不常用程序和服務及時升級系統和軟件補丁發現系統異常立刻檢查2022-5-21網絡攻擊與防御107常用的防護措施 完善安全管理制度 采用訪問控制措施 運行數據加密措施 數據備份與恢復 2022-5-21網絡攻擊與防御1082022-5-21網絡攻擊與防御108風險管理 風險管理的概念識別風險、評估風險、采取步驟降低風險到可接受范圍。 風險管理的目的防止或降低破壞行為發生的可能性降低或限制系統破壞后的后續威脅

52、2022-5-21網絡攻擊與防御1092022-5-21網絡攻擊與防御109實例2022-5-21網絡攻擊與防御1102022-5-21網絡攻擊與防御110案例2022-5-21網絡攻擊與防御1112022-5-21網絡攻擊與防御1111.8 小結 當今IT行業中，網絡安全是最急需解決的重要問題之一：各種計算機安全和網絡犯罪事件直線上升，病毒增長呈很高幅度，但是很多機構仍沒有認識到這些潛在的威脅。 信息，信息資產以及信息產品對于我們的日常生活及整個社會的正常運轉是至關重要的，加強網絡安全的必要性和重要性已不言而喻。 保護網絡中敏感信息免受各種攻擊，正是現在迫切需要解決的問題。2022-5-21

53、網絡攻擊與防御1122022-5-21網絡攻擊與防御112孫子兵法的啟示孫子曰 昔之善戰者，先為不可勝，以待敵之可勝。不可勝在己，可勝在敵。故善戰者，能為不可勝，不能使敵必可勝。故曰：勝可知，而不可為。 不可勝者，守也；可勝者，攻也。守則有余，攻則不足。善守者，藏于九地之下；善攻者，動于九天之上，故能自保而全勝也。2022-5-21網絡攻擊與防御1132022-5-21網絡攻擊與防御1132022-5-21網絡攻擊與防御1142022-5-21網絡攻擊與防御1142022-5-21網絡攻擊與防御115本章內容安排 2.1 掃描技術概述 2.2 常見的掃描技術 2.3 掃描工具賞析 2.4 掃描

54、的防御 2.5 小結2022-5-21網絡攻擊與防御1162.1 掃描技術概述 什么是掃描器 網絡掃描器是一把雙刃劍 為什么需要網絡掃描器 掃描的重要性 網絡掃描器的主要功能 網絡掃描器與漏洞的關系 掃描三步曲 一個典型的掃描案例2022-5-21網絡攻擊與防御117什么是掃描器 掃描器是一種自動檢測遠程或本地主機安全性弱點的程序。它集成了常用的各種掃描技術，能自動發送數據包去探測和攻擊遠端或本地的端口和服務，并自動收集和記錄目標主機的反饋信息，從而發現目標主機是否存活、目標網絡內所使用的設備類型與軟件版本、服務器或主機上各TCP/UDP端口的分配、所開放的服務、所存在的可能被利用的安全漏洞。

55、據此提供一份可靠的安全性分析報告，報告可能存在的脆弱性。2022-5-21網絡攻擊與防御118網絡掃描器是一把雙刃劍 安全評估工具系統管理員保障系統安全的有效工具 網絡漏洞掃描器網絡入侵者收集信息的重要手段 掃描器是一把“雙刃劍”。2022-5-21網絡攻擊與防御119為什么需要網絡掃描器 由于網絡技術的飛速發展，網絡規模迅猛增長和計算機系統日益復雜，導致新的系統漏洞層出不窮 由于系統管理員的疏忽或缺乏經驗，導致舊有的漏洞依然存在 許多人出于好奇或別有用心，不停的窺視網上資源2022-5-21網絡攻擊與防御120掃描的重要性 掃描的重要性在于把繁瑣的安全檢測，通過程序來自動完成，這不僅減輕了網

56、絡管理員的工作，而且也縮短了檢測時間。 同時，也可以認為掃描器是一種網絡安全性評估軟件，利用掃描器可以快速、深入地對目標網絡進行安全評估。 網絡安全掃描技術與防火墻、安全監控系統互相配合能夠為網絡提供很高的安全性。2022-5-21網絡攻擊與防御121網絡掃描器的主要功能 掃描目標主機識別其工作狀態（開/關機） 識別目標主機端口的狀態（監聽/關閉） 識別目標主機操作系統的類型和版本 識別目標主機服務程序的類型和版本 分析目標主機、目標網絡的漏洞（脆弱點） 生成掃描結果報告2022-5-21網絡攻擊與防御122網絡掃描器與漏洞的關系 網絡漏洞是系統軟、硬件存在安全方面的脆弱性，安全漏洞的存在導致

57、非法用戶入侵系統或未經授權獲得訪問權限，造成信息篡改、拒絕服務或系統崩潰等問題。 網絡掃描可以對計算機網絡系統或網絡設備進行安全相關的檢測，以找出安全隱患和可能被黑客利用的漏洞。2022-5-21網絡攻擊與防御123掃描三步曲 一個完整的網絡安全掃描分為三個階段： 第一階段：發現目標主機或網絡 第二階段：發現目標后進一步搜集目標信息，包括操作系統類型、運行的服務以及服務軟件的版本等。如果目標是一個網絡，還可以進一步發現該網絡的拓撲結構、路由設備以及各主機的信息 第三階段：根據收集到的信息判斷或者進一步測試系統是否存在安全漏洞2022-5-21網絡攻擊與防御124掃描三步曲（續） 網絡安全掃描技

58、術包括PING掃描、操作系統探測、穿透防火墻探測、端口掃描、漏洞掃描等 PING掃描用于掃描第一階段，識別系統是否活動 OS探測、穿透防火墻探測、端口掃描用于掃描第二階段 OS探測是對目標主機運行的OS進行識別 穿透防火墻探測用于獲取被防火墻保護的網絡資料 端口掃描是通過與目標系統的TCP/IP端口連接，并查看該系統處于監聽或運行狀態的服務 漏洞掃描用于安全掃描第三階段，通常是在端口掃描的基礎上，進而檢測出目標系統存在的安全漏洞2022-5-21網絡攻擊與防御125一個典型的掃描案例2022-5-21網絡攻擊與防御1261. Find targets 選定目標為：8 測試

59、此主機是否處于活動狀態，工具是用操作系統自帶的ping，使用命令：ping 8 結果見下頁圖。2022-5-21網絡攻擊與防御127說明該主機處于活動狀態2022-5-21網絡攻擊與防御1282. Port Scan 運用掃描工具，檢查目標主機開放的端口，判斷它運行了哪些服務 使用的工具是Nmap 4.20（此工具將在后面進行介紹） 掃描命令：nmap 8 掃描結果見下面圖2022-5-21網絡攻擊與防御1292022-5-21網絡攻擊與防御1302. Port Scan(2) 端口開放信息如下： 21/tcp open ftp 25/tcp ope

60、n smtp 42/tcp open nameserver 53/tcp open domain 80/tcp open http 我們將重點關注SMTP端口2022-5-21網絡攻擊與防御1313. Vulnerability Check 檢測SMTP服務是否存在漏洞 使用漏洞掃描工具Nessus 3（此工具在后面將會介紹） 掃描過程見下頁圖2022-5-21網絡攻擊與防御132掃描目標是82022-5-21網絡攻擊與防御133Nessus正在進行漏洞掃描2022-5-21網絡攻擊與防御1344. Report Nessus發現了目標主機的SMTP服務存在漏洞。 掃描報