制作网站首页动画片片头
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《网络安全技术》
项目5 网络攻击与安全防御
(1)
知识铺垫
一.注册表 (Registry)
1.打开注册表的命令是 regedit或regedit.exe、regedt32或 regedt32.exe 2.作用定义: 注册表是windows操作系统中的一个核心数据库,其中存放着各 种参数,直接控制着windows的启动、硬件驱动程序的装载以及 一些windows应用程序的运行,从而在整个系统中起着核心作用 。这些作用包括了软、硬件的相关配置和状态信息,比如注册 表中保存有应用程序和资源管理器外壳的初始条件、首选项和 卸载数据等,联网计算机的整个系统的设置和各种许可,文件 扩展名与应用程序的关联,硬件部件的描述、状态和属性,性
5.2.4 常用开放端口安全
为了让网络中的计算机系统变成铜墙铁壁,应该封闭这些常用的开放 端口。
Windows操作系统上容易形成漏洞的端口主要有:提供TCP服务的 135、139、445、593、1025 端口和提供 UDP服务的 135、137、138、 445端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口), 以及远程服务访问端口3389。
知识准备
5.1.1 什么是端口
计算机“端口”是英文port的意译,可以认为是计算机与 网络中其它设备通信交流的出口。在互联网上,各台主机之 间通过TCP/TP协议,发送和接收数据信息,按照目标主机的 IP地址,数据能被准确传输目的地。
由于接受计算机的操作系统支持多任务工作方式,机器上 可能有多个软件程序(进程)在同时运行:如使用IE浏览器 软件在访问网页、QQ软件在聊天、迅雷软件在下载电影、 Outlook软件在收发邮件等…,那么目的计算机从网络上接 收到的数据包后,应该传送给计算机上正在运行的哪一个软 件程序(进程)进行处理?
通过互联网进行远程登录Telnet程序,本身没有很好的保护机制。 在互联网中远程登录Telnet过程,主要面临的主要安全问题是没有口 令保护。
远程用户的登录传送的帐号和密码,在互联网上传输过程中,都是明 文传输,使用普通的Sniffer数据包捕获器软件都可以被截获,因此没有很 好的安全性,所以要借助其他外部的保护才能确保安全。
(观看视频“利用端口的PID号破解极域电子教室”)
25
项目分解 任务2:关闭开放端口,禁止入侵检测
任务描述
网络管理员小明发现:最近网络中心的数据库服务器,不 断出现掉线的现象。通过数据包分析软件捕获数据包发现, 网络中有很多异常的数据包,攻击网络中心的数据库服务器, 特别是数据库服务器的连接端口,不断受到异常的数据包, 初步判断有来自互联网上攻击数据包特征。
远程登录Telnet服务是一种网络工作模式,Telnet协议提供了互联网远 程登录,通过网络协同工作的模式。该协议是TCP/IP协议族中的一员,是 互联网远程登录服务的标准协议,它为用户提供了在本地计算机上,完成 操纵远程计算机协同工作的能力,如图5-2-1所示。
知识准备
5.2.2 远程登录安全问题
知识准备
5.2.5 常用开放端口安全漏洞
相信很多使用微软的Windows 操作系统的用户都中过“冲击波”病毒, 该病毒就是利用远程过程,调用协议RPC(它是一种通过网络从远程计算 机程序上请求服务)协议的漏洞,来攻击网络中的计算机。
Windows 操作系统提供RPC服务,本身在处理通过互联网通信 TCP/IP的消息交换时,存在部分安全漏洞,该漏洞是由于错误地处理格式 不正确的消息造成的,也是Windows 操作系统设计过程中BUG。网络中 的黑客利用了该漏洞,大肆侵入Windows 操作系统的计算机用户。因此, 针对常用开放端口安全漏洞的安全的操作建议是:为了避免“冲击波”病 毒的攻击,建议关闭这些开放端口。
通过Netstat命令,可以显示当前网络的路由表、实际的网络连接,以 及每一个网络接口设备的状态信息,如图5-1-3所示。
任务实施
【任务实施】
1、转到Windows操作系统的DOS后台状态 打开Windows操作系统的开始菜单:“开始” –> “运行”,在打开的 对话框中输入 “CMD”,转到Windows操作系统的DOS后台工作状态。
知识准备
5.1.3 端口在入侵中的作用
网络入侵者通常会用扫描器软件,对目标主机的端口进行扫描,以确 定哪些端口是开放的(门户大开)。从开放的端口,入侵者可以知道目标 计算机大致提供了哪些服务,进而猜测可能存在的漏洞。
知识准备
5.1.4 查看端口命令
微软的Windows操作系统提供的端口查看Netstat命令是控制台命令, 该命令可以帮助用户方便地查看本机端口的使用状态,监控网络服务的运 行状态。
任务实施
【任务实施】 4、检查端口PID信息 在MS-DOS的操作环境下,使用“netstat -ano”命令操作,显示计算 机系统进程工作状态中,如图5-1-6所示,和“netstat”命令操作显示结 果相比,增加了“PID”号选项。 计算机操作系统中PID号,代表了系统中正在运行的各进程的进程ID。 PID号就象生活中的身份证号码一样,代表了正在计算机CPU中运行的 各项服务程序,代表了某一项进程,在计算机的操作系统中正在运行某 一个进程只有一个PID号。
知识准备
5.1.2 端口的作用
为规范端口标准,国际标准组织规定:标准化端口号的范围从0到 1023,提供常见的服务。如:上传下载(FTP)服务号为:20,21;远 程登录(Telnet)服务号为23;发送电子邮件(Smtp)服务号为25;访 问网页( Http)的服务号为80等,如图5-1-1所示。
任务实施
【任务实施】 2、使用Netstat命令查看端口状态 在系统的DOS的命令工作状态,输入“netstat -a”,显示系统目前所 有连接和侦听的端口信息,如图5-1-4所示。其中后面的“- a”参数,常 用于获得本地系统开放的端口,用它可以检查系统上有没有被安装木马。
任务实施
【任务实施】 3、使用Netstat命令检查端口使用情况 针对网络运行故障,网络管理员如果想更清楚如何检查端口使用情况, 排除端口冲突的问题,如查看“80端口是否被占用?端口检查如何解 决?”等问题,可以通过使用“netstat” 命令中的“ano”参数,该参 数信息可以帮助用户获取目前都有哪些网络连接正在运作。
远程登录Telnet服务是一种网络工作模式,Telnet协议提供了互联网远 程登录,通过网络协同工作的模式。该协议是TCP/IP协议族中的一员,是 互联网远程登录服务的标准协议,它为用户提供了在本地计算机上,完成 操纵远程计算机协同工作的能力,如图5-2-1所示。
知识准备
5.2.1 什么是远程登录
这样我们就看到了PID这一列标识,看一下2720对应的进程是映像名称是 svchost.exe。描述是,Windows的主进程,与上面命令查看的完全一致。
24
结束该进程:在任务管理器中选中该进程点击”结束进程“按钮,或者是在 cmd的命令窗口中输入:taskkill /f /t /im Tencentdl.exe。
任务分析
如果希望查看是什么病毒攻击网络服务器,可以通过 查看服务器的端口信息,了解进出服务器的端口的服务信 息,从而判断出病毒的类型。
查看计算机或者服务器的端口信息,可以通过专业的 端口监控软件来查看;也可以通过Windows操作系统提供 Netstat命令,而且使用Netstat命令提供了丰富的查看方式, 使用起来更加简单、方便。
任务实施
4、检查端口PID信息 【任务实施】可以选择“进程”--> “查看”--> “选择列”,可以查看 到PID号对应的占用服务,还能看到进程中的PID值,如图5-1-9所示。
任务实施
【任务实施】
案例分析: 我们在启动应用的时候经常发现我们需要使用的端口被别的程序占用,
但是我们又不知道是被谁占用,这时候我们需要找出“真凶”,如何做 到呢?例如:输入命令:netstat -ano,列出所有端口的情况。在列表中 我们观察被占用的端口,比如是49157,首先找到它
知识准备
5.2.3 非法入侵的方式
网络黑客在入侵网络时,一般首先都利用端口扫描工具,搜集目标计 算机所在的网络和目标计算机的端口信息,进而发现目标系统的脆弱点。 然后根据脆弱点展开攻击;或者采用远程登录工具,不断尝试和远程主机 连接,探测远程登录远程主机的账户和密码,侵入网络中的主机系统。
知识准备
通常计算机上一些常用的开放端口,如TCP 135、139、 445、593等端口,都是一些流行病毒,以及黑客希望利用 的端口,通过这些端口提供的“后门”顺利侵入计算机系 统。
知识准备
5.2.1 什么是远程登录
计算机操作系统都提供多任务工作模式,在同一时间内,允许多个用 户同时使用一台计算机。但为了保证系统的安全,系统要求每个用户,使 用单独帐号作为登录标识,使用口令作为登录权限,这个过程被称为“登 录”。
知识铺垫
三.本地安全策略策略(英语:Security Policy Local)
1.打开本地安全策略的命令是 secpol.msc 2.作用及定义:
对登陆到计算机上的账号定义一些安全设置,在没有活动目 录集中管理的情况下,本地管理员必须为计算机进行设置以确 保其安全。例如,限制用户如何设置密码、通过账户策略设置 账户安全性、通过锁定账户策略避免他人登陆计算机、指派用 户权限等。这些安全设置分组管理,就组成了的本地安全策略 !
21
查看被占用端口对应的PID,输入命令:netstat -aon|findstr "49157",回车, 记下最后一位数字,即PID,这里是2720。
22
继续输入tasklist|findstr "2720",回车,查看是哪个进程或者程序占用了2720端口, 结果是:svchost.exe
23
项目分解 任务1:查看开放端口,监控网络服务安全
任务描述
小明是网络中心的管理员,最近网络中心对外Web服 务器,不断出现掉线现象,严重地影响网站的访问。使用 数据包分析软件捕获数据发现,网络中有很多异常数据包, 攻击Web服务器,初步判断有病毒在网络中传播。
因此,小明想确认下是什么类型的病毒在攻击Web服 务器,以便采用有针对性病毒解决策略,保护Web服务器 安全。
知识铺垫
注意: “后缀 .msc”是什么?
msc是mmc的扩展,mmc是microsoft management console的缩写,翻译成微软管理控制台。
项目背景
国内安全漏洞监测机构近日发布报告,称如家、汉庭等大批酒店 开房记录被第三方存储,并且因为漏洞而泄ห้องสมุดไป่ตู้。该漏洞早在8月份已 被发现并确认,随后按标准流程通知厂商。
能记录和其他底层的系统状态信息,以及其他数据等。(观看视
频“利用注册表破解极域电子教室”)
知识铺垫
二.组策略(英语:Group Policy)
1.打开注册表的命令是gpedit.msc 2.作用及定义:
组策略在部分意义上是控制用户可以或不能在计算机上做什 么,例如:施行密码复杂性策略避免用户选择过于简单的密码 ,允许或阻止身份不明的用户从远程计算机连接到网络共享, 阻止访问Windows任务管理器或限制访问特定文件夹。
漏洞发现者称,如家、汉庭、驿家365快捷酒店等酒店全部或者 部分使用了浙江XXXX网络有限公司开发酒店Wi-Fi管理、认证管理系 统,而该公司在其服务器上,实时存储了这些酒店客户的大量敏感、 隐私信息。
结果因为某种原因,浙江XXXX网络有限公司的服务器被黑客攻 破,造成泄密。
项目组成
任务一:查看开放端口,监控网络服务安全 任务二:关闭开放端口,禁止入侵检测 任务三:使用Wireshark工具,查看ARP攻击 任务四:设置360防火墙,防御网络攻击
为了避免病毒程序侵入计算机,小明决定封闭网络中心部 分重要计算机上一些常用的开放端口,如TCP 135、139、 445、593等,避免网络病毒,通过这些开放的端口,尝试连 接、侵入电脑,造成信息系统破坏。
任务分析
为了避免病毒程序侵入电脑,可以关闭计算机中绝大 多数系统默认开启,却又应用频率很低端口,可以大大提 高计算机的安全。
项目5 网络攻击与安全防御
(1)
知识铺垫
一.注册表 (Registry)
1.打开注册表的命令是 regedit或regedit.exe、regedt32或 regedt32.exe 2.作用定义: 注册表是windows操作系统中的一个核心数据库,其中存放着各 种参数,直接控制着windows的启动、硬件驱动程序的装载以及 一些windows应用程序的运行,从而在整个系统中起着核心作用 。这些作用包括了软、硬件的相关配置和状态信息,比如注册 表中保存有应用程序和资源管理器外壳的初始条件、首选项和 卸载数据等,联网计算机的整个系统的设置和各种许可,文件 扩展名与应用程序的关联,硬件部件的描述、状态和属性,性
5.2.4 常用开放端口安全
为了让网络中的计算机系统变成铜墙铁壁,应该封闭这些常用的开放 端口。
Windows操作系统上容易形成漏洞的端口主要有:提供TCP服务的 135、139、445、593、1025 端口和提供 UDP服务的 135、137、138、 445端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口), 以及远程服务访问端口3389。
知识准备
5.1.1 什么是端口
计算机“端口”是英文port的意译,可以认为是计算机与 网络中其它设备通信交流的出口。在互联网上,各台主机之 间通过TCP/TP协议,发送和接收数据信息,按照目标主机的 IP地址,数据能被准确传输目的地。
由于接受计算机的操作系统支持多任务工作方式,机器上 可能有多个软件程序(进程)在同时运行:如使用IE浏览器 软件在访问网页、QQ软件在聊天、迅雷软件在下载电影、 Outlook软件在收发邮件等…,那么目的计算机从网络上接 收到的数据包后,应该传送给计算机上正在运行的哪一个软 件程序(进程)进行处理?
通过互联网进行远程登录Telnet程序,本身没有很好的保护机制。 在互联网中远程登录Telnet过程,主要面临的主要安全问题是没有口 令保护。
远程用户的登录传送的帐号和密码,在互联网上传输过程中,都是明 文传输,使用普通的Sniffer数据包捕获器软件都可以被截获,因此没有很 好的安全性,所以要借助其他外部的保护才能确保安全。
(观看视频“利用端口的PID号破解极域电子教室”)
25
项目分解 任务2:关闭开放端口,禁止入侵检测
任务描述
网络管理员小明发现:最近网络中心的数据库服务器,不 断出现掉线的现象。通过数据包分析软件捕获数据包发现, 网络中有很多异常的数据包,攻击网络中心的数据库服务器, 特别是数据库服务器的连接端口,不断受到异常的数据包, 初步判断有来自互联网上攻击数据包特征。
远程登录Telnet服务是一种网络工作模式,Telnet协议提供了互联网远 程登录,通过网络协同工作的模式。该协议是TCP/IP协议族中的一员,是 互联网远程登录服务的标准协议,它为用户提供了在本地计算机上,完成 操纵远程计算机协同工作的能力,如图5-2-1所示。
知识准备
5.2.2 远程登录安全问题
知识准备
5.2.5 常用开放端口安全漏洞
相信很多使用微软的Windows 操作系统的用户都中过“冲击波”病毒, 该病毒就是利用远程过程,调用协议RPC(它是一种通过网络从远程计算 机程序上请求服务)协议的漏洞,来攻击网络中的计算机。
Windows 操作系统提供RPC服务,本身在处理通过互联网通信 TCP/IP的消息交换时,存在部分安全漏洞,该漏洞是由于错误地处理格式 不正确的消息造成的,也是Windows 操作系统设计过程中BUG。网络中 的黑客利用了该漏洞,大肆侵入Windows 操作系统的计算机用户。因此, 针对常用开放端口安全漏洞的安全的操作建议是:为了避免“冲击波”病 毒的攻击,建议关闭这些开放端口。
通过Netstat命令,可以显示当前网络的路由表、实际的网络连接,以 及每一个网络接口设备的状态信息,如图5-1-3所示。
任务实施
【任务实施】
1、转到Windows操作系统的DOS后台状态 打开Windows操作系统的开始菜单:“开始” –> “运行”,在打开的 对话框中输入 “CMD”,转到Windows操作系统的DOS后台工作状态。
知识准备
5.1.3 端口在入侵中的作用
网络入侵者通常会用扫描器软件,对目标主机的端口进行扫描,以确 定哪些端口是开放的(门户大开)。从开放的端口,入侵者可以知道目标 计算机大致提供了哪些服务,进而猜测可能存在的漏洞。
知识准备
5.1.4 查看端口命令
微软的Windows操作系统提供的端口查看Netstat命令是控制台命令, 该命令可以帮助用户方便地查看本机端口的使用状态,监控网络服务的运 行状态。
任务实施
【任务实施】 4、检查端口PID信息 在MS-DOS的操作环境下,使用“netstat -ano”命令操作,显示计算 机系统进程工作状态中,如图5-1-6所示,和“netstat”命令操作显示结 果相比,增加了“PID”号选项。 计算机操作系统中PID号,代表了系统中正在运行的各进程的进程ID。 PID号就象生活中的身份证号码一样,代表了正在计算机CPU中运行的 各项服务程序,代表了某一项进程,在计算机的操作系统中正在运行某 一个进程只有一个PID号。
知识准备
5.1.2 端口的作用
为规范端口标准,国际标准组织规定:标准化端口号的范围从0到 1023,提供常见的服务。如:上传下载(FTP)服务号为:20,21;远 程登录(Telnet)服务号为23;发送电子邮件(Smtp)服务号为25;访 问网页( Http)的服务号为80等,如图5-1-1所示。
任务实施
【任务实施】 2、使用Netstat命令查看端口状态 在系统的DOS的命令工作状态,输入“netstat -a”,显示系统目前所 有连接和侦听的端口信息,如图5-1-4所示。其中后面的“- a”参数,常 用于获得本地系统开放的端口,用它可以检查系统上有没有被安装木马。
任务实施
【任务实施】 3、使用Netstat命令检查端口使用情况 针对网络运行故障,网络管理员如果想更清楚如何检查端口使用情况, 排除端口冲突的问题,如查看“80端口是否被占用?端口检查如何解 决?”等问题,可以通过使用“netstat” 命令中的“ano”参数,该参 数信息可以帮助用户获取目前都有哪些网络连接正在运作。
远程登录Telnet服务是一种网络工作模式,Telnet协议提供了互联网远 程登录,通过网络协同工作的模式。该协议是TCP/IP协议族中的一员,是 互联网远程登录服务的标准协议,它为用户提供了在本地计算机上,完成 操纵远程计算机协同工作的能力,如图5-2-1所示。
知识准备
5.2.1 什么是远程登录
这样我们就看到了PID这一列标识,看一下2720对应的进程是映像名称是 svchost.exe。描述是,Windows的主进程,与上面命令查看的完全一致。
24
结束该进程:在任务管理器中选中该进程点击”结束进程“按钮,或者是在 cmd的命令窗口中输入:taskkill /f /t /im Tencentdl.exe。
任务分析
如果希望查看是什么病毒攻击网络服务器,可以通过 查看服务器的端口信息,了解进出服务器的端口的服务信 息,从而判断出病毒的类型。
查看计算机或者服务器的端口信息,可以通过专业的 端口监控软件来查看;也可以通过Windows操作系统提供 Netstat命令,而且使用Netstat命令提供了丰富的查看方式, 使用起来更加简单、方便。
任务实施
4、检查端口PID信息 【任务实施】可以选择“进程”--> “查看”--> “选择列”,可以查看 到PID号对应的占用服务,还能看到进程中的PID值,如图5-1-9所示。
任务实施
【任务实施】
案例分析: 我们在启动应用的时候经常发现我们需要使用的端口被别的程序占用,
但是我们又不知道是被谁占用,这时候我们需要找出“真凶”,如何做 到呢?例如:输入命令:netstat -ano,列出所有端口的情况。在列表中 我们观察被占用的端口,比如是49157,首先找到它
知识准备
5.2.3 非法入侵的方式
网络黑客在入侵网络时,一般首先都利用端口扫描工具,搜集目标计 算机所在的网络和目标计算机的端口信息,进而发现目标系统的脆弱点。 然后根据脆弱点展开攻击;或者采用远程登录工具,不断尝试和远程主机 连接,探测远程登录远程主机的账户和密码,侵入网络中的主机系统。
知识准备
通常计算机上一些常用的开放端口,如TCP 135、139、 445、593等端口,都是一些流行病毒,以及黑客希望利用 的端口,通过这些端口提供的“后门”顺利侵入计算机系 统。
知识准备
5.2.1 什么是远程登录
计算机操作系统都提供多任务工作模式,在同一时间内,允许多个用 户同时使用一台计算机。但为了保证系统的安全,系统要求每个用户,使 用单独帐号作为登录标识,使用口令作为登录权限,这个过程被称为“登 录”。
知识铺垫
三.本地安全策略策略(英语:Security Policy Local)
1.打开本地安全策略的命令是 secpol.msc 2.作用及定义:
对登陆到计算机上的账号定义一些安全设置,在没有活动目 录集中管理的情况下,本地管理员必须为计算机进行设置以确 保其安全。例如,限制用户如何设置密码、通过账户策略设置 账户安全性、通过锁定账户策略避免他人登陆计算机、指派用 户权限等。这些安全设置分组管理,就组成了的本地安全策略 !
21
查看被占用端口对应的PID,输入命令:netstat -aon|findstr "49157",回车, 记下最后一位数字,即PID,这里是2720。
22
继续输入tasklist|findstr "2720",回车,查看是哪个进程或者程序占用了2720端口, 结果是:svchost.exe
23
项目分解 任务1:查看开放端口,监控网络服务安全
任务描述
小明是网络中心的管理员,最近网络中心对外Web服 务器,不断出现掉线现象,严重地影响网站的访问。使用 数据包分析软件捕获数据发现,网络中有很多异常数据包, 攻击Web服务器,初步判断有病毒在网络中传播。
因此,小明想确认下是什么类型的病毒在攻击Web服 务器,以便采用有针对性病毒解决策略,保护Web服务器 安全。
知识铺垫
注意: “后缀 .msc”是什么?
msc是mmc的扩展,mmc是microsoft management console的缩写,翻译成微软管理控制台。
项目背景
国内安全漏洞监测机构近日发布报告,称如家、汉庭等大批酒店 开房记录被第三方存储,并且因为漏洞而泄ห้องสมุดไป่ตู้。该漏洞早在8月份已 被发现并确认,随后按标准流程通知厂商。
能记录和其他底层的系统状态信息,以及其他数据等。(观看视
频“利用注册表破解极域电子教室”)
知识铺垫
二.组策略(英语:Group Policy)
1.打开注册表的命令是gpedit.msc 2.作用及定义:
组策略在部分意义上是控制用户可以或不能在计算机上做什 么,例如:施行密码复杂性策略避免用户选择过于简单的密码 ,允许或阻止身份不明的用户从远程计算机连接到网络共享, 阻止访问Windows任务管理器或限制访问特定文件夹。
漏洞发现者称,如家、汉庭、驿家365快捷酒店等酒店全部或者 部分使用了浙江XXXX网络有限公司开发酒店Wi-Fi管理、认证管理系 统,而该公司在其服务器上,实时存储了这些酒店客户的大量敏感、 隐私信息。
结果因为某种原因,浙江XXXX网络有限公司的服务器被黑客攻 破,造成泄密。
项目组成
任务一:查看开放端口,监控网络服务安全 任务二:关闭开放端口,禁止入侵检测 任务三:使用Wireshark工具,查看ARP攻击 任务四:设置360防火墙,防御网络攻击
为了避免病毒程序侵入计算机,小明决定封闭网络中心部 分重要计算机上一些常用的开放端口,如TCP 135、139、 445、593等,避免网络病毒,通过这些开放的端口,尝试连 接、侵入电脑,造成信息系统破坏。
任务分析
为了避免病毒程序侵入电脑,可以关闭计算机中绝大 多数系统默认开启,却又应用频率很低端口,可以大大提 高计算机的安全。