第9章 黑客技术
合集下载
第9章_信息安全与职业道德
9.2.3数字签名和数字证书技术
数字签名一般采用非对称加密技术(如RSA),通过对 整个明文进行某种变换,得到一个值,用作核实签名。 接收者使用发送者的公开密钥对签名进行解密运算, 如其结果为明文,则签名有效,证明对方的身份是真 实的。 数字证书就是个人或单位在网络上的身份证。数字证 书以密码学为基础,采用数字签名、数字信封、时间 戳服务等技术,在Internet上建立起有效的信任机制。 它主要包含证书所有者的信息、证书所有者的公开密 钥和证书颁发机构的签名等内容。 所谓认证机构(CA,Certificate Authority),是采 用公开密钥基础技术,专门提供网络身份认证服务, 负责签发和管理数字证书,且具有权威性和公正性的 第三方信任机构。
电脑 病毒 造成 巨大
损失
2002年一项对流行电 脑病毒的调查中发现, 全球范围内受访的上 百家公司中,有三分 之一经历过病毒的大 规模侵袭,每个病毒 至少感染过25台电脑。
2003年有更多的公司遭 受了电脑病毒的侵犯, 清除每一个病毒的费用 平均都在十万美元左右。 病毒泛滥问题日趋突现, 2003年电脑病毒对全球 企业所造成的损失已达 到550亿美元。
网络上信息安全威胁举例:P304 例1和例2
网络上信息安全主要威胁的种类示意图
信息安全的实现目标
• 真实性:对信息的来源进行判断,能对伪造来源的 信息予以鉴别。 • 保密性:保证机密信息不被窃听,或窃听者不能了 解信息的真实含义。 • 完整性:保证数据的一致性,防止数据被非法用户 篡改。 • 可用性:保证合法用户对信息和资源的使用不会被 不正当地拒绝。 • 不可抵赖性:建立有效的责任机制,防止用户否认 其行为,这一点在电子商务中是极其重要的。 • 可控制性:对信息的传播及内容具有控制能力。 • 可审查性:对出现的网络安全问题提供调查的依据 和手段。
第9章计算机网络安全的实训问题课件
备份,然后把usrmgr.exe改名为logon.scr,然后重新启动,logon.scr是启动时加载的程序,重新启动后,不会出现以往的登录密码输入界面,而是用户管理器,这时他就有权限把自己加到Administrator组。(2) Windows NT/2000的登录验证安全账户文件为:\WINNT\SYSTEM32 \CONFIG\SAM文件,验证方法为: 在一台WINNT机器设置Administrator账号和其密码为空,然后不在WINNT的运行状态下考出SAM文件备份,再在WINNT设置Administrator账号和其密码,最后不在WINNT的运行状态下将刚才考出的SAM备份文件覆盖
\WINNT\SYSTEM32\CONFIG\SAM文件,重新启动WINNT,发现用Administrator账号,不需要密码。(3) 如果将Windows NT/2000的登录验证安全账户文件SAM删除或更换名字,这时Windows NT/2000以“Administrator”的账户登录时,发现不需要密码。(4) 用WINNT的修复机制安装新的WINNT系统可绕过WINNT的登录机制,可以用实验验证。针对以上Windows NT/2000的漏洞问题,请在实训中设计两种以上的方法入侵Windows NT/2000系统中以获取Administrator的权限。
组成的文本文件和密钥,得到一个密文文本文件。当解密程序运行时,输入你刚才得到的密文文本文件和密钥,得到一个解密文本文件。例如:加密程序为jiam.exe,解密程序为jiem.exe, 算法为费杰尔加密算法。现有一个文本文件jiam.txt和密钥COOKIEMONSTER,文本文件jiam.txt的内容为:fourscore则执行jiam.exe ,输入文本文件jiam.txt和密钥COOKIEMONSTER,得到一个密文文本文件,设为miwen.txt,其内容应为:hbhazgzv
\WINNT\SYSTEM32\CONFIG\SAM文件,重新启动WINNT,发现用Administrator账号,不需要密码。(3) 如果将Windows NT/2000的登录验证安全账户文件SAM删除或更换名字,这时Windows NT/2000以“Administrator”的账户登录时,发现不需要密码。(4) 用WINNT的修复机制安装新的WINNT系统可绕过WINNT的登录机制,可以用实验验证。针对以上Windows NT/2000的漏洞问题,请在实训中设计两种以上的方法入侵Windows NT/2000系统中以获取Administrator的权限。
组成的文本文件和密钥,得到一个密文文本文件。当解密程序运行时,输入你刚才得到的密文文本文件和密钥,得到一个解密文本文件。例如:加密程序为jiam.exe,解密程序为jiem.exe, 算法为费杰尔加密算法。现有一个文本文件jiam.txt和密钥COOKIEMONSTER,文本文件jiam.txt的内容为:fourscore则执行jiam.exe ,输入文本文件jiam.txt和密钥COOKIEMONSTER,得到一个密文文本文件,设为miwen.txt,其内容应为:hbhazgzv
计算机基础第9章_计算机安全
• 传染性:
– 是计算机病毒最根本的特性。通过修改别的程 序,并把自身的拷贝包括进去,从而达到扩散 的目的。
• 非授权性:
– 窃取系统控制权,动作、目的对用户来说是未 知的,是未经用户允许的。
• 不可预见性:
– 不同种类的病毒有不同特性,新的技术和新的 应用环境将催生新的病毒。
计算ห้องสมุดไป่ตู้基础
计算机病毒的主要症状
计算机基础
病毒的传播途径
第二节 计算机病毒概念与预防
• 过去,计算机病毒主要是经由软盘、U盘、 光盘、移动硬盘等通过文件拷贝方式进行 传播。 • 随着计算机网络的发展,现在计算机病毒 主要通过网络,在下载文件、浏览网页、 接收邮件、与手机进行通讯(手机病毒) 等操作时进行传播。 • 计算机网络病毒有很强的繁殖或再生机制 ,一旦一个网络病毒深人到一个公共的实 用工具或实用软件中,便会很快传播扩散 到整个网络上。
明文 密文
abcdefghijklmnopqrstuvwxyz DEFGHIJKLMNOPQRSTUVWXYZABC
FDHVDU FLSKHU
caesar cipher 明文 c 变成了密文 F
计算机基础
加密算法
第二节 信息加密与数字签名
• 非对称密钥算法
– 也叫公开密钥算法,算法加密的密钥与解密的 密钥不同,而且解密密钥不能根据加密密钥计 算出来(至少在合理假定的长时间内)。 – 之所以叫做公开密钥算法,是因为加密密钥和 加密算法公开,即陌生者能用加密密钥加密信 息,但只有用相应的解密密钥才能解密信息。
黑客技术
百度文库
5.1
黑客的基本概念及攻击动机
网络黑客的基本概念
黑客攻击的动机
网络黑客的基本概念
每个真正黑客都是严格遵守《黑客守则》 见表, 每个真正黑客都是严格遵守《黑客守则》,见表, 但到了今天, 但到了今天,大多数的所谓黑客并没有很好地遵 黑客守则》 循《黑客守则》的,黑客一词也已被用于泛指那 些专门利用计算机网络搞破坏或恶作剧的家伙。 些专门利用计算机网络搞破坏或恶作剧的家伙。 对这些人的正确英文叫法是Cracker Cracker, 对这些人的正确英文叫法是Cracker,有人翻译成 骇客” 根据开放原始码计划创始人Eric “骇客”。根据开放原始码计划创始人Eric Raymond对此词的解释 Hacker与Cracker是分属 对此词的解释, Raymond对此词的解释,Hacker与Cracker是分属 两个不同世界的族群,基本差异在于,Hacker是 两个不同世界的族群,基本差异在于,Hacker是 有建设性的, Cracker则专门搞破坏 则专门搞破坏。 有建设性的,而Cracker则专门搞破坏。
攻击阶 段 侦察
目
的
方
法
获得域名、IP地址等基本信息 获得域名、IP地址等基本信息 获得活动端口、操作系统、 获得活动端口、操作系统、漏 洞信息及防火墙规则
社交工程、物理闯入、普通Web搜索、whois数 社交工程、物理闯入、普通Web搜索、whois数 Web搜索 据库、域名系统(DNS) 据库、域名系统(DNS)等 使用专门的工具软件, 使用专门的工具软件,如端口扫描器和漏洞扫 描器 利用各种各样的漏洞, 利用各种各样的漏洞,使用相应的软件发动攻 包括嗅探器、IP地址欺诈 会话劫持、 地址欺诈、 击,包括嗅探器、IP地址欺诈、会话劫持、 密码攻击、 密码攻击、拒绝服务器攻击等 使用特洛伊木马、后门、RootKit等 使用特洛伊木马、后门、RootKit等
5.1
黑客的基本概念及攻击动机
网络黑客的基本概念
黑客攻击的动机
网络黑客的基本概念
每个真正黑客都是严格遵守《黑客守则》 见表, 每个真正黑客都是严格遵守《黑客守则》,见表, 但到了今天, 但到了今天,大多数的所谓黑客并没有很好地遵 黑客守则》 循《黑客守则》的,黑客一词也已被用于泛指那 些专门利用计算机网络搞破坏或恶作剧的家伙。 些专门利用计算机网络搞破坏或恶作剧的家伙。 对这些人的正确英文叫法是Cracker Cracker, 对这些人的正确英文叫法是Cracker,有人翻译成 骇客” 根据开放原始码计划创始人Eric “骇客”。根据开放原始码计划创始人Eric Raymond对此词的解释 Hacker与Cracker是分属 对此词的解释, Raymond对此词的解释,Hacker与Cracker是分属 两个不同世界的族群,基本差异在于,Hacker是 两个不同世界的族群,基本差异在于,Hacker是 有建设性的, Cracker则专门搞破坏 则专门搞破坏。 有建设性的,而Cracker则专门搞破坏。
攻击阶 段 侦察
目
的
方
法
获得域名、IP地址等基本信息 获得域名、IP地址等基本信息 获得活动端口、操作系统、 获得活动端口、操作系统、漏 洞信息及防火墙规则
社交工程、物理闯入、普通Web搜索、whois数 社交工程、物理闯入、普通Web搜索、whois数 Web搜索 据库、域名系统(DNS) 据库、域名系统(DNS)等 使用专门的工具软件, 使用专门的工具软件,如端口扫描器和漏洞扫 描器 利用各种各样的漏洞, 利用各种各样的漏洞,使用相应的软件发动攻 包括嗅探器、IP地址欺诈 会话劫持、 地址欺诈、 击,包括嗅探器、IP地址欺诈、会话劫持、 密码攻击、 密码攻击、拒绝服务器攻击等 使用特洛伊木马、后门、RootKit等 使用特洛伊木马、后门、RootKit等
第9章计算机病毒与黑客防范
03
恶意软件识别与清除方法
恶意软件分类及识别技巧
恶意软件分类
根据功能和行为,恶意软件可分为蠕虫、木马、病毒、间谍 软件等。
识别技巧
注意异常的系统性能、弹出窗口、未经授权的程序安装等迹 象;定期使用安全软件进行全盘扫描。
清除恶意软件方法及工具推荐
清除方法
在安全模式下进行清除,删除恶意程序及相关文件,修复系统设置。
配置防火墙规则,限制不必要的网络访 问,防止未经授权的访问和数据泄露。
强化密码策略
要求用户设置强密码,并定期更换密 码,避免使用弱密码或默认密码。
定期更新补丁
及时安装系统和应用程序的补丁,修 复已知漏洞,减少被攻击的风险。
限制网络访问权限
根据最小权限原则,仅授予用户所需 的最小网络访问权限,降低被攻击的 风险。
特点
计算机病毒具有隐蔽性、传染性、潜 伏性、可触发性、破坏性等特点。
计算机病毒分类与传播途径
分类
根据病毒的性质和破坏程度,可分为 良性病毒和恶性病毒;根据病毒存在 的媒体,可分为文件病毒、引导型病 毒和网络病毒等。
传播途径
计算机病毒主要通过移动存储介质、 网络、电子邮件等途径进行传播。其 中,网络传播已成为计算机病毒传播 的主要途径。
提高安全意识
不轻信来自陌生人的邮件、信息或链 接,不随意点击可疑链接或下载未知 来源的附件。
第9章 黑客攻击及其防范
说:不要太过于将注意力集中到技术的防护上,其实 人是最容易出问题的因素。他说自己最喜欢的惯伎是 骗取他人的信任,连一些大公司的人都会自动奉送上 密码、甚至机密软件的代码。他甚至称“我在这方面 非常成功,以致难得需要技术手段攻击”。所以,必 须注意人的因素,加强内部管理。 9.3.11 备份、清除与物理安全 在使用计算机信息系统过程中,还应注意对 计算机信息系统的备份、无用媒体上数据的清除和计 算机信息系统的物理安全。 9.3.12 区别对待黑客 1.给黑客提供展示才华的机会 2.将黑客由“黑”变“白” 3.采取“思想教育在前,法律制裁在后”的 措施 本章小结 本章简要介绍了黑客及其危害性,黑客类型、黑客 产生的社会原因,黑客行为的危害,重点分析了黑客活 动特点及其常用的攻击方式和攻击手段,并强调了对黑 客攻击的防范。 本章练习 1.什么是黑客?黑客的危害性有哪些? 2.简述黑客的活动特点及其常用的手段。 3.网络黑客攻击方法有哪几种?如何防范黑客? 4 简述黑客是如何攻击一个网站的。
9.1.3 黑客产生的社会原因 1.为证实自己的能力,不断挑战计算机网 络的极限 2.凭借掌握的高技术手段,以在网上骚扰 他人为乐 9.1.4 黑客行为的危害 黑客对于窥视别人在网络上的秘密有着特 别的兴趣,如政府和军队的机密、企业的商业秘密及 个人隐私等,他们的所作所为常常使人类经济受到不 可估量的损失。目前,黑客入侵案件逐年上升,造成 的损失也越来越大。 归纳起来,黑客造成的危害主要有: (1)侵入他人计算机系统。 (2)破坏正常的网络运行秩序 (3)破坏正常的市场经济秩序。 (4)破坏正常的社会管理秩序。 (5)危害国家安全和社会稳定。 (6)制造网络恐怖活动。 (7)用于战争。 9.2 黑客活动特点及其常用的手段 9.2.1 黑客的行为特征 1.聪明并富于挑战性 2.痴迷计算机网络 3.崇尚自由 4.主张信息共享
第9章计算机网络技术及应用(胡远萍)
计算机病毒的传播过程
潜伏
人为设计
侵入系统
触发运行
破坏
传染
13
4.如何防治病毒
• • • • • (1)要提高对计算机病毒危害的认识 (2)养成备份重要文件等良好使用习惯 (3)大力普及杀毒软件 (4)采取措施防止计算机病毒的发作 (5)开启计算机病毒查杀软件的实时监测 功能 • (6)加强对网络流量等异常情况的监测 • (7)有规律的备份系统关键数据,建立应 对灾难的数据安全策略
• (8)木马病毒
2.计算机病毒的特征 • • • • • •
11
(1)非授权可执行性 (2)隐蔽性 (3)传染性:最重要的一个特征 (4)潜伏性 (5)表现性或破坏性 (6)可触发性
3.计算机病毒的传播
• • • • • •
12
通过文件系统传播; 通过电子邮件传播; 通过局域网传播; 通过互联网上即时通讯软件和点对 点软件等常用工具传播; 利用系统、应用软件的漏洞进行传 播; 利用系统配置缺陷传播,如弱口令、 完全共享等;
22
瑞星的碎甲技术
• 瑞星“碎甲”技术通过对Windows驱动程 序加载点进行拦截,发现Rootkits时自 动使其保护功能失效。
瑞 星 碎 甲 技 术
Root Kits 失效
杀毒软 件
存在病毒或流氓软件?
操 作 系 统
查找文件
第9章 入侵检测技术
莆田学院计算网络教研室
9.1.3 入侵检测的历史
1986年,Denning提出了一个经典的入侵检 测模型,如图9.1。他首次将入侵检测的概念作为 一种计算机系统的安全防御措施提出。该模型由六 个部分组成:主体、对象、审计记录、轮廓特征、 异常记录、活动规则,它独立于特定的系统平台、 应用环境、系统弱点以及入侵类型,为构建入侵检 测系统提供了一个通用的框架。
莆田学院计算网络教研室
9.1.2 入侵检测的概念
这 几 年 , 入 侵 检 测 系 统 发 展 很 快, 如 ISS , Cisco,Axent,NSW,NFR等都发布了它们的产 品,这些产品各有自己的优势。然而,由于通用标 准的缺乏,不同的入侵检测系统之间还不能有效地 进行互操作。
莆田学院计算网络教研室
9.1.4 入侵检测系统的作用
入侵检测系统包括三个功能部件:提供事件记录流 的信息源、发现入侵迹象的分析引擎、基于分析引擎的 结果产生反应的响应部件。因此,IDS可以看作这样的 管理工具:它从计算机网络的各个关键点收集各种系统 和网络资源的信息,然后分析有入侵(来自组织外部的 攻击)和误用(源于内部组织的攻击)迹象的信息,并 识别这些行为和活动,在某些情况下,它可以自动地对 检测到的活动进行响应,报告检测过程的结果,从而帮 助计算机系统对付攻击。
莆田学院计算网络教研室
9.1.3 入侵检测的历史
9.1.3 入侵检测的历史
1986年,Denning提出了一个经典的入侵检 测模型,如图9.1。他首次将入侵检测的概念作为 一种计算机系统的安全防御措施提出。该模型由六 个部分组成:主体、对象、审计记录、轮廓特征、 异常记录、活动规则,它独立于特定的系统平台、 应用环境、系统弱点以及入侵类型,为构建入侵检 测系统提供了一个通用的框架。
莆田学院计算网络教研室
9.1.2 入侵检测的概念
这 几 年 , 入 侵 检 测 系 统 发 展 很 快, 如 ISS , Cisco,Axent,NSW,NFR等都发布了它们的产 品,这些产品各有自己的优势。然而,由于通用标 准的缺乏,不同的入侵检测系统之间还不能有效地 进行互操作。
莆田学院计算网络教研室
9.1.4 入侵检测系统的作用
入侵检测系统包括三个功能部件:提供事件记录流 的信息源、发现入侵迹象的分析引擎、基于分析引擎的 结果产生反应的响应部件。因此,IDS可以看作这样的 管理工具:它从计算机网络的各个关键点收集各种系统 和网络资源的信息,然后分析有入侵(来自组织外部的 攻击)和误用(源于内部组织的攻击)迹象的信息,并 识别这些行为和活动,在某些情况下,它可以自动地对 检测到的活动进行响应,报告检测过程的结果,从而帮 助计算机系统对付攻击。
莆田学院计算网络教研室
9.1.3 入侵检测的历史
第9章信息安全2016
明文 加密 加密密钥 密文 密文 解密 解密密钥
网络
原始 明 文
例如:加密时每个字母都替换成另一个字母,置换关系如下: 明文 abcdefghijklmnopqrstuvwxyz 密文 qwertyulopasdfghjklzxcvbnm 这样 attack 就被加密成 qzzqea。
加密和解密必须依赖两个要素:算法和密钥。 算法是加密和解密的计算方法; 密钥是加密和解密所需的一串由数字、字母或特殊符号组成的 字符串。
计算机病毒的主要危害:占用资源,破坏信息。
计算机病毒破坏的主要对象: 程序和数据
*3.计算机病毒的传播途径
网络和可移动磁盘是计算机病毒传播的主要途径。
*4.计算机病毒的分类
计算机病毒的分类方法很多,根据病毒寄生方式可分为:
* (1)引导型病毒:隐藏在系统盘引导区中的病毒,如Brain病毒、
小球病毒。
*7. 计算机病毒发展趋势
*(1)网络成为病毒的主要传播途径。 *(2)病毒变种的速度极快并向混合型、多样化发展。 *(3)运行方式和传播方式更加隐蔽。 *(4)利用系统漏洞进行攻击和传播。 *(5)计算机病毒技术与黑客技术将日益融合。 *(6)经济利益将成为推动计算机病毒发展的最大动力。
* 9.3.2认识黑客和木马
权威性的电子文档。数字证书以密码学为基础,采用数字签名、数字信封、 时间戳服务等技术,在Internet上建立起有效的信任机制。它主要包含证书 所有者的信息、证书所有者的公开密钥和证书颁发机构的签名等内容。
网络
原始 明 文
例如:加密时每个字母都替换成另一个字母,置换关系如下: 明文 abcdefghijklmnopqrstuvwxyz 密文 qwertyulopasdfghjklzxcvbnm 这样 attack 就被加密成 qzzqea。
加密和解密必须依赖两个要素:算法和密钥。 算法是加密和解密的计算方法; 密钥是加密和解密所需的一串由数字、字母或特殊符号组成的 字符串。
计算机病毒的主要危害:占用资源,破坏信息。
计算机病毒破坏的主要对象: 程序和数据
*3.计算机病毒的传播途径
网络和可移动磁盘是计算机病毒传播的主要途径。
*4.计算机病毒的分类
计算机病毒的分类方法很多,根据病毒寄生方式可分为:
* (1)引导型病毒:隐藏在系统盘引导区中的病毒,如Brain病毒、
小球病毒。
*7. 计算机病毒发展趋势
*(1)网络成为病毒的主要传播途径。 *(2)病毒变种的速度极快并向混合型、多样化发展。 *(3)运行方式和传播方式更加隐蔽。 *(4)利用系统漏洞进行攻击和传播。 *(5)计算机病毒技术与黑客技术将日益融合。 *(6)经济利益将成为推动计算机病毒发展的最大动力。
* 9.3.2认识黑客和木马
权威性的电子文档。数字证书以密码学为基础,采用数字签名、数字信封、 时间戳服务等技术,在Internet上建立起有效的信任机制。它主要包含证书 所有者的信息、证书所有者的公开密钥和证书颁发机构的签名等内容。
大数据课件——第9章大数据信息安全
9.2.2 大数据时代的信息安Hale Waihona Puke Baidu保障
1.大数据信息安全研究现状 (1).大数据信息安全的两面性 事情总有两面性,大数据便于黑客攻击的同时,智能分享平台和大数据分析 应对APT攻击的方式在安全厂商中的声 音越来越响。既然APT攻击很难被检测出来,企 业就必须先确定正常、非恶意的活动.才能尽早确定企业的网络和数 据是否受到了攻击。 (2).大数据与国家安全政策 2012年3月29日,美国奥巴马政府宣布投资2亿美元,启动“大数据研究和发展计划”,该计划涉及美国国家科学基 金、美国国家卫生研究院、美国资源部、美国国防部、 美国国防部高级研究计划局、美国地质勘探局6个联邦政府部 门,意在加快科学、工程领域的创新步伐,推动和改善与大数据相关的收集、组织和分析工具及技术,提升从大量、 复杂的数据集合中萃取信息的能力,强化美国国家安全,转变教育和学习模式。该计划的提出,表明美国正在实施 基于大数据的国家信息网络安全部署。 (3).大数据成为企业核心资产 2012年瑞士达沃斯论坛上发布的《大数据,大影响》的报告称,数据己经成为一种 新的经济资产类别,就像货币或 黄金一样。对于企业来讲,数据正在取代人才成为企业 的核心竞争力,在进入大数据时代之前,企业脱离于人才而 单独存在的智商基本是零, 正因如此,人才对企业异常重要。
3.安全的责任走向广义
9.1.2 云计算环境下的信息安全策略
网络安全技术与实践第9章 计算机病毒及恶意软件防范
一、什么是计算机病毒
—— 1994.2.18 , 我 国 颁 布 《中华人民共和国计算机信息 系统安全保护条例》,在第28条规定:“计算机病毒,是指 编制或者在计算机程序中插入的破坏计算机功能或者毁坏数 据,影响计算机使用,并能自我复制的一组计算机指令或者 程序代码”。
二、发展简史
(1)计算机病毒的产生 计算机病毒概念的起源比较早,在第一部商用计算机推出前几年,计算机的先驱 者冯·诺依曼(John Von Neumann )在他的一篇论文《复杂自动装置的理论及组识的 进展》中,已经初步概述了计算机病毒程序的概念。之后,在美国著名的AT&T贝尔实 验室中,三个年轻人在工作之余,编制并玩过一种能够吃掉别人程序的称做“磁芯大 战”(Core war )的游戏程序,可以互相攻击。从而进一步将病毒程序“感染性”的 概念得以呈现。
2006年木马仍然是病毒主流,变种层出不穷
2004年是蠕虫泛滥的一年,十大流行病毒: ① 网络天空(Worm.Netsky) ② 高波(Worm.Agobot) ③ 爱情后门(Worm.Lovgate) ④ 震荡波(Worm.Sasser) ⑤ SCO炸弹(Worm.Novarg) ⑥ 冲击波(Worm.Blaster) ⑦ 恶鹰(Worm.Bbeagle) ⑧ 小邮差(Worm.Mimail) ⑨ 求职信(Worm.Klez) ⑩ 大无极(Worm.SoBig)
网络安全技术 习题及答案 第9章 入侵检测系统
第9章入侵检测系统
1. 单项选择题
1) B
2) D
3) D
4) C
5) A
6) D
2、简答题
(1)什么叫入侵检测,入侵检测系统有哪些功能?
入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
入侵检测系统功能主要有:
●识别黑客常用入侵与攻击手段
●监控网络异常通信
●鉴别对系统漏洞及后门的利用
●完善网络安全管理
(2)根据检测对象的不同,入侵检测系统可分哪几种?
根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源.主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包.一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。
(3)常用的入侵检测系统的技术有哪几种?其原理分别是什么?
常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection).
对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告
网络安全技术教学大纲
网络安全技术教学大纲
一、教学内容与学时分配
课程名称:网络安全技术
课时数: 总学时数:72 课堂讲授:36 实验教学:36 学分数:
教学方式理论讲授和课程实验教学相结合
考核方式笔试(50%)+实验(30%)+平时作业考勤(10%)
先修课程计算机网络;操作系统
课程内容与学时分配(课堂讲授52学时)
第1章网络安全基础4学时
本章内容:介绍信息安全和网络安全的研究体系、研究网络安全的意义、评价网络安全的标准,分布网络环境下的安全;网络安全的定义;网络安全的层次结构;国内互联网发展及互联网安全状况等。介绍网络安全编程的基础知识、网络安全编程的常用技术:Socket编程、注册表编程以及驻留编程等。
第2章网络安全体系结构 2学时
本章内容:介绍OSI参考模型和TCP/IP协议,实际分析IP/ TCP/ UDP/ ICMP协议的结构以及工作原理;网络安全体系结构、Internet安全体系结构、各种网络风险及安全。掌握:OSI 七层协议与TCP/IP五层协议的原理、联系与区别;TCP/IP协议各层协议规范;TCP/IP协议各层的安全漏洞;Internet提供的各种服务的基本原理及潜在的安全威胁;web服务器的安全等。了解常用的网络服务以及它们提供服务的端口。熟练掌握常用网络命令及其使用方法。第3章防火墙技术6学时
本章内容:防火墙基本概念;防火墙的分类;防火墙的核心技术(包括数据包过滤及应用;数据包过滤规则及制定的策略、状态检测的数据包过滤);防火墙典型结构(包括堡垒主机、屏蔽主机和屏蔽子网等结构);防火墙的局限性;防火墙系统的设计与部署;防火墙的发展趋势。
第10章 黑客技术
2.端口扫射 端口扫描就是连接到目标机的TCP和UDP端口上, 确定哪些服务正在运行及服务的版本号,以便发现 相应服务程序的漏洞。著名的扫描工具有UNIX系 统上运行的Netcat (http://www.atstake.com/research/tools/network utilities)及Nmap (http://www.insecure.org/nmap),Windows系统 上运行的 superscan (http://www.webattack.com/get/superscan.shtml) 及NetScan Tool Pro 2003 (http://www.nwpsw.com)。
1.开放信息源搜索 通过一些标准搜索引擎,揭示一些有价值的信息。 例如,通过使用Usenet工具检索新闻组 (newsgroup)工作帖子,往往能揭示许多有用东 西。通过使用Google检索Web的根路径C:\\Inetpub, 揭示出目标系统为Windows NT/2000。
2.whois查询 whois是目标Internet域名注册数据库。目前,可用 的whois数据库很多,例如,查询com、net、edu及 org等结尾的域名可通过 http://www.networksolutions.com得到,而查询美 国以外的域名则应通过查询 http://www.allwhois.com得到相应whois数据库服务 器的地址后完成进一步的查询。通过对whois数据 库的查询,黑客能够得到以下用于发动攻击的重要 信息: 注册机构,得到特定的注册信息和相关的whois服 务器;
第9章 计算机安全与维护
(7)重放数据法。收集特定的IP包,修改里面的数据,
然后再一一重新发送,欺骗接收的主机。
(8)源路径选项的弱点攻击法。报文通过一个特定
的路径到达目的主机。这样的报文可以用来攻击防火墙 和欺骗主机。一个外部攻击者可以传送一个具有内部主 机地址的源路径报文。服务器会相信这报文并对攻击者 发送回答报文,因为这是IP的源路径选项要求的。对付这
期闲置不用。
2.数据的备份
对于硬盘中存储的重要信息,要经常注意备份,并加 上写保护,以防外来病毒的干扰而导致数据丢失。 3.硬盘的维护 硬盘是计算机数据存储的中心,一旦计算机数据丢失,
计算机硬件再好、性能再强也无济于事。硬盘的维护主要
是使用要恰当,在使用硬盘时必须注意以下几点:
(1)不要随意拆卸硬盘。
二、注意事项 办公人员在使用计算机时,必须注意开关机的顺序、
数据的备份、硬件和软件的维护等事项。
1.开关机的顺序 系统在开机和关机的瞬间有很大的冲击电源,所以在 开机时应先开显示器,后开主机;关机时先关闭主机电源, 再关闭显示器。不要频繁开关电源,开机与关机之间的时
间间隔必须大于10秒。另外,计算机要经常使用,不要长
(4)炸弹类工具。炸弹工具包括E-mail炸弹、IP炸弹和 QQ消息炸弹等,使用此类工具可以使目标E-mail信箱充满垃 圾邮件、目标IP主机死机或者重启和不断发送QQ消息等, 使得对方不能够正常工作。 (5)漏洞攻击工具。此类工具主要针对各种系统的系 统漏洞设计的专用攻击程序,如针对Linux/Unix下的缓冲区
黑客技术-
通过对whois数据库的查询,黑客能够得到以下用于发动攻 击的重要信息: 注册机构,得到特定的注册信息和相关的whois服务器;
机构本身,得到与特定目标相关的全部信息; 域名,得到与某个域名相关的全部信息; 网络,得到与某个网络或IP相关的全部信息; 联系点(POC),得到与某个人(一般是管理联系 人)的相关信息。 例如,下面是通过 http://www.networksolutions.com查询 Ibm.com得到的IBM公司的信息:Registrant: IBM Corporation (IBMDOM) Old Orchard Rd. Armonk, NY 10504 US
图11.1 黑客攻击流程图
11.2.1 踩点
“踩点”原意为策划一项盗窃活动的准备阶段。举 例来说,当盗贼决定抢劫一家银行时,他们不会大 摇大摆地走进去直接要钱,而是狠下一番工夫来搜 集这家银行的相关信息,包括武装押运车的路线及 运送时间、摄像头的位置、逃跑出口等信息。在黑 客攻击领域,“踩点”是传统概念的电子化形式。 “踩点”的主要目的是获取目标的如下信息:
黑客命名(2)
• 快客 “Whacker” 从事黑客活动但没有黑客技能的人,whacker 是穿透系统的人中,在技术和能力上最不复 杂的一类。 • 武士 “Samurai” 被他人雇佣的帮助他人提高网络安全的黑客, 武士通常被公司付给薪金来攻击网络。 • 幼虫 “Lara” 一个崇拜真正黑客的初级黑客
机构本身,得到与特定目标相关的全部信息; 域名,得到与某个域名相关的全部信息; 网络,得到与某个网络或IP相关的全部信息; 联系点(POC),得到与某个人(一般是管理联系 人)的相关信息。 例如,下面是通过 http://www.networksolutions.com查询 Ibm.com得到的IBM公司的信息:Registrant: IBM Corporation (IBMDOM) Old Orchard Rd. Armonk, NY 10504 US
图11.1 黑客攻击流程图
11.2.1 踩点
“踩点”原意为策划一项盗窃活动的准备阶段。举 例来说,当盗贼决定抢劫一家银行时,他们不会大 摇大摆地走进去直接要钱,而是狠下一番工夫来搜 集这家银行的相关信息,包括武装押运车的路线及 运送时间、摄像头的位置、逃跑出口等信息。在黑 客攻击领域,“踩点”是传统概念的电子化形式。 “踩点”的主要目的是获取目标的如下信息:
黑客命名(2)
• 快客 “Whacker” 从事黑客活动但没有黑客技能的人,whacker 是穿透系统的人中,在技术和能力上最不复 杂的一类。 • 武士 “Samurai” 被他人雇佣的帮助他人提高网络安全的黑客, 武士通常被公司付给薪金来攻击网络。 • 幼虫 “Lara” 一个崇拜真正黑客的初级黑客
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.地址欺骗技术 在传统的网络中简单认证方式就是以主机的IP地址 作为认证的基础。
9.3.2 密码分析还原
密码的攻破理论上是不可行的,如果采用穷举攻击 的话,所用的时间将长到足够保证安全的程度。 但现实中,密码的破解却并不如理论中所保证的那 样困难。随着计算机运算速度的指数级提高,相同 的运算量所使用的时间明显地缩短。同时,对加密 算法的强度分析以及社会工程学的密码筛选技术的 不断发展,现实网络中的大量密码可以在可接受的 时间内被分析还原。密码分析与还原技术主要利用 的是人的惰性以及系统的错误配置。 只要严格要求网络所在用户的密码强度和复杂度, 还是可以避免大部分的攻击。
9.2.3 查点
查点就是搜索特定系统上用户和用户组名、路由表、 SNMP信息、共享资源、服务程序及旗标等信息。 查点所采用的技术依操作系统而定。 在Windows系统上主要采用的技术有“查点 NetBIOS”线路、空会话(Null Session)、SNMP 代理、活动目录(Active Directory)等。Windows 系统上主要使用以下工具: (1) Windows系统命令 net view、nbtstat、nbtscan及nltest。
1.开放信息源搜索 通过一些标准搜索引擎,揭示一些有价值的信息。 2.whois查询 whois是目标Internet域名注册数据库。通过对whois数据库 的查询,黑客能够得到以下用于发动攻击的重要信息。 3.DNS区域传送 DNS区域传送是一种DNS服务器的冗余机制。正常情况下, DNS区域传送操作只对辅DNS服务器开放。当配置错误时, 将导致任何主机均可请求主DNS服务器提供一个区域数据 的拷贝。能够实现DNS区域传送的常用工具有dig、 nslookup及Windows版本的 Sam Spade.
9.2.5 权限提升
一旦攻击者获得了系统上任意普通用户的访问权限 后,攻击者就会试图将普通用户权限提升至超级用 户权限,以便完成对系统的完全控制。权限提升所 采取的技术主要有通过得到的密码文件,利用现有 工具软件,破解系统上其他用户名及口令;利用不 同操作系统及服务的漏洞(例如Windows 2000 NetDDE漏洞),利用管理员不正确的系统配置等。 常用的口令破解工具有John The RIPper,得到 Windows NT管理员权限的工具有lc_message、 getadmin、sechole、Invisible Keystroke Logger (http://www.amecisco.com/iksnt.htm)。
9.2.2 扫描
确定目标网络范围内哪些系统是“活动”的,以及 它们提供哪些服务,以便集中精力在最有希望的途 径上发动攻击。 扫描中采用的主要技术有Ping扫射(Ping Sweep)、 TCP/UDP端口扫描、操作系统检测以及旗标 (banner)的获取。 1.Ping扫射 Ping扫射是判别主机是否“活动”的有效方式。常 用的ping扫射工具有操作系统的Ping命令及用于扫 射网段的fping、WS_ping等。
2.端口扫射 端口扫描就是连接到目标机的TCP和UDP端口上, 确定哪些服务正在运行及服务的版本号,以便发现 相应服务程序的漏洞。著名的扫描工具有UNIX系 统上运行的Netcat 、Nmap、 superscan、及 NetScan Tool Pro 2003。 3.操作系统检测 由于许多漏洞是和操作系统紧密相关的,因此,确 定操作系统类型对于黑客攻击目标来说也十分重要。 目前用于探测操作系统的技术主要可以分为两类: 利用系统旗标信息和利用TCP/IP堆栈指纹。每种 技术进一步细分为主动鉴别及被动鉴别。目前,常 用的检测工具有Nmap、Queso、Siphon。
第9章 黑客技术
9.1 9.2 9.3 9.4
黑客的动机 黑客攻击的流程 黑客技术概述 常见的网络攻击
9.1 黑客的动机
从黑客行为上划分,黑客有“善意”与“恶意”两 种,即所谓白帽(White Hat)及黑帽(Black Hat)。白帽长期致力于改善计算机社会及其资源, 为了改善服务质量及产品,他们不断寻找弱点及脆 弱性并公布于众。与白帽的动机相反,黑帽主要从 事一些破坏活动,从事的是一种犯罪行为。
著名的密码窃听工具有sniffer pro(http://www.sniffer.com)、TCPdump、 LC4(L0phtcrack version 4, http://www.atstake.com/research/lc/)、readsmb。 字典攻击工具有LC4、John the RIPper(http://www.openwall.com/john)、NAT、 SMBGrind(http://www.nai.com)及fgrind。
(2) 第三方软件 Netviewx(http://www.ibt.ku.dk/jesper/NetViewX/de fault.htm); Userdump(http://www.hammerofgod.com/downloa d.htm); User2sid(http://www.ntbugtraq.com); GetAcct(http://securityfriday.com); DumpSec(http://www.somarsoft.com); Legion(http://www.legionlan.com); NAT(http://www.hackingexposed.com)。
(7) 政治目的 任何政治因素都会反映到网络领域。主要表现有: ①敌对国之间利用网络的破坏活动; ②个人及组织对政府不满而产生的破坏活动。这 类黑帽的动机不是钱,几乎永远都是为政治,一般 采用的手法包括更改网页、植入电脑病毒等。
9.2 黑客攻击的流程
图9.1 黑客攻击流程图
9.2.1 踩点
“踩点”原意为策划一项盗窃活动的准备阶段。 “踩点” 的主要目的是获取目标的如下信息: 1) 因特网网络域名、网络地址分配、域名服务器、邮件交 换主机、网关等关键系统的位置及软硬件信息。 (2)关注内联网内部网络的独立地址空间及名称空间。 (3) 远程访问模拟/数字电话号码和VPN访问点。 (4) 外联网与合作伙伴及子公司的网络的连接地址、连接 类型及访问控制机制。 (5) 开放资源未在前4类中列出的信息,例如 Usenet、雇 员配置文件等。
在UNIX系统上采用的技术有RPC查点、NIS查点、 NFS查点及SNMP查点等。UNIX系统上常用的工 具有rpcinfo、rpcdump、showmount、finger、 rwho、ruser、nmap、telnet、nc及snmpwalk等。
9.2.4 获取访问权
在搜集到目标系统的足够信息后,下一步要完成的 工作自然是得到目标系统的访问权进而完成对目标 系统的入侵。对于Windows系统采用的主要技术有 NetBIOSSMB密码猜测、窃听LM及NTLM认证 散列、攻击IIS Web服务器及远程缓冲区溢出。而 UNIX系统采用的主要技术有蛮力密码攻击;密码 窃听;通过向某个活动的服务发送精心构造的数据, 以产生攻击者所希望的结果的数据驱动式攻击(例 如缓冲区溢出、输入验证、字典攻击等);RPC攻 击;NFS攻击以及针对X-Windows系统的攻击等。
9.2.9 拒绝服务攻击
如果黑客未能成功地完成第四步的获取访问权,那 么他们可能采取拒绝服务攻击。
9.3 黑客技术概述
黑客主要是通过对技术和实际实现中的逻辑漏洞进 行挖掘,通过系统允许的操作对没有权限操作的信 息资源进行访问和处理。目前,黑客对网络的攻击 主要是通过网络中存在的拓扑漏洞以及对外提供服 务的实现漏洞实现成功的渗透。
9.2.8 创建后门
最后,黑客在受害系统上创建一些后门及陷阱,以 便入侵者可再次入侵。创建后门的主要方法有创建 具有特权用户权限的虚假用户账号、安装批处理、 安装远程控制工具、使用木马程序替换系统程序、 安装监控机制及感染启动文件等。
黑客常用的工具有rootkit、 sub7(http://www.sub7.net)、cron、at、UNIX的rc、 Windows启动文件夹、 Netcat(http://www.atstake.com/research/tools)、 VNC(http://www.realvnc.com)、 BO2K(http://sourceforge.net/projects/bo2k)、 secadmin、Invisible Keystroke Logger、 remove.exe等。
4.旗标获取 最后一种扫描手段是旗标获取。在旗标获取方法中, 连接到一个端口,按 Enter 键几次,看返回什么类 型的信息。 例如: \[Netat_svr#\] Telnet 192.168.5.33 22 SSH-1.99-OpenSSH_3.1p1 表明该端口提供SSH服务,版本号为3.1p1。
1.密码还原技术 密码还原技术主要针对的是强度较低的加密算法。 通过对加密过程的分析,从加密算法中找出算法的 薄弱环节,从加密样本中直接分析出相关的密钥和 明文。 从理论和实践中还没出现对应的密码还原过程,因 此密码还原技术的使用并不多。
2.密码猜测技术 对于一般的成熟加密算法,密码攻击主要使用的是 密码猜测技术。密码猜测技术的原理主要是利用穷 举的方法猜测可能的明文密码,将猜测的明文经过 加密后与实际的密文进行比较,如果所猜测的密文 与实际的密文相符,则表明密码攻击成功。 密码猜测技术的核心在于如何根据已知的信息调整 密码猜测的过程,在尽可能短的时间内破解密码。 原因是许多人在选择密码时,技巧性都不是很好, 密码复杂性不高,规律性太强,包含了个人信息等缺 点为密码猜测技术提供了很大的可能性。
目前,在实施网络攻击中,黑客所使用的入侵技术 主要包括以下几种: 协议漏洞渗透; 密码分析还原; 应用漏洞分析与渗透; 社会工程学; 拒绝服务攻击; 病毒或后门攻击。
9.3.1 协议漏洞渗透
网络中包含着种类繁多但层次清晰的网络协议规范。 这些协议规范对安全的考虑有着先天的不足,部分 网络协议具有严重的安全漏洞。 1.会话侦听与劫持技术 传统的以太网络使用共享的方式完成对数据分组的 传送。根据共享式的网络环境的数据共享特性,黑 客技术中出现了会话窃听与劫持技术。
9.3.3 应用漏洞分析与渗透
任何的应用程序都不可避免地存在着一些逻辑漏洞。 几乎每天都有人宣布发现了某个操作系统的安全漏 洞。而这些安全漏洞也就成为了入侵者的攻击对象。 通过对这些安全漏洞的分析,确认漏洞的引发方式 以及引发后对系统造成的影响,攻击者可以使用合 适的攻击程序引发漏洞的启动,破坏整个服务系统 的运行过程,进而渗透到服务系统中,造成目标网 络的损失。 应用漏洞从错误类型上主要包括服务流程漏洞和边 界条件漏洞。
Biblioteka Baidu
9.2.6 窃取
窃取一些敏感数据或进行篡改、添加、删除及复制。通过 对敏感数据的分析,为进一步攻击应用系统做准备。
9.2.7 掩盖跟踪
黑客入侵系统成功后,为了不引起管理员的注意。此时, 黑客需要做清除所有入侵痕迹,避免自己被检测出来,以 便能够随时返回被入侵系统继续干坏事或作为入侵其他系 统的中继跳板。掩盖踪迹的主要工作有禁止系统审计、清 空事件日志、隐藏作案工具及使用人们称为rootkit的工具 组替换那些常用的操作系统命令。常用的清除日志工具有 zap、wzap、wted。
大量的案例分析表明黑帽具有以下主要犯罪动机。 (1) 好奇心 (2) 个人声望 通过破坏具有高价值的目标以提高在黑客社会中的 可信度及知名度。 (3) 智力挑战 为了向自己的智力极限挑战或为了向他人炫耀,证 明自己的能力;还有些甚至不过是想做个“游戏高 手”或仅仅为了“玩玩”而已。
(4) 窃取情报 在Internet上监视个人、企业及竞争对手的活动信 息及数据文件,以达到窃取情报的目的。 (5) 报复 电脑罪犯感到其雇主本该提升自己、增加薪水或以 其他方式承认他的工作。电脑犯罪活动成为他反击 雇主的方法,也希望借此引起别人的注意。 (6) 金钱 有相当一部分电脑犯罪是为了赚取金钱。