计算机网络安全期末复习.ppt

《计算机网络安全期末复习.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全期末复习.ppt（44页珍藏版）》请在装配图网上搜索。

1、计算机网络安全期末复习,杨焕宇,期末复习知识点,第一部分 计算机网络安全基础 第1章 网络安全概述与环境配置 第2章 网络安全协议基础 第3章 网络安全编程基础 第二部分 网络安全的攻击技术 第4章 网络扫描与网络监听 第5章 网络入侵 第6章 网络后门与网络隐身,期末复习内容,第三部分 网络安全的防御技术 第7章 操作系统安全配置方案 第8章 密码学与信息加密 第9章 防火墙与入侵检测 第四部分 网络安全综合解决方案 第10章 网络安全方案设计,第1章网络安全概述与环境配置,网络安全的研究内容： 攻击技术 网络监听 网络扫描 网络入侵 网络后门 网络隐身 防御技术 操作系统的安全配置 加密技

2、术 防火墙技术 入侵检测,第1章网络安全概述与环境配置,从层次体系上，可以将网络安全分成四个层次上的安全： 物理安全 防盗 防火 防静电 防雷击 防电磁泄漏 逻辑安全 操作系统安全 联网安全,第1章网络安全概述与环境配置,网络面临的威胁 物理威胁：偷窃、废物搜寻、间谍行为和身份识别错误 系统漏洞造成的威胁：乘虚而入、不安全服务和配置和初始化错误 身份鉴别威胁：口令圈套、口令破解、算法考虑不周和编辑口令 线缆连接威胁：窃听、拨号进入和冒名顶替 有害程序等方面威胁：病毒、代码炸弹和特洛伊木马,第1章网络安全概述与环境配置,网络安全的评价标准： 1999年10月经过国家质量技术监督局批准发布准则将计

3、算机安全保护划分为以下五个级别 美国国防部开发的计算机安全标准是可信任计算机标准评价准则，又称网络安全橙皮书，橙皮书把安全级别分为四个类别,第2章网络安全协议基础,OSI参考模型是国际标准化组织ISO(International Standards Organization )制定的模型，把计算机与计算机之间的通信分成七个互相连接的协议层 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层,第2章网络安全协议基础,物理层： 这一层负责传送比特流，它从第二层数据链路层接收数据帧，并将帧的结构和内容串行发送，即每次发送一个比特。 物理层可能受到的安全威胁是搭线窃听和监听，可以利用数据加密、

4、数据标签加密，数据标签，流量填充等方法保护物理层的安全。 数据链路层： 提供数据有效传输的端到端连接 网络层： 完成网络中主机间的报文传输。在广域网中，这包括产生从源端到目的端的路由。,第2章网络安全协议基础,传输层： 完成网络中不同主机上的用户进程之间可靠的数据通信。 会话层： 允许不同机器上的用户之间建立会话关系。 表示层： 表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。 应用层：,第2章网络安全协议基础,TCP/IP协议簇包括四个功能层：应用层、传输层、网络层及网络接口层。,第2章网络安全协议基础,FTP：文件传输协议 TELNET：远程终端访问 SNMP：简单网络管

5、理协议 SMTP：简单邮件传送协议 HTTP：超文本传输协议 DNS：域名服务 ICMP：网络互联控制信息协议 ARP，RARP：实现IP地址与MAC地址的解析 TCP：传输控制协议 UDP：用户数据报协议 IP：Internet协议,第2章网络安全协议基础,UDP和TCP传递数据的比较,第2章网络安全协议基础,目前Email服务用的两个主要的协议是：简单邮件传输协议SMTP（Simple Mail Transfer Protocol）和邮局协议POP3（Post Office Protocol）。,第2章网络安全协议基础,第2章网络安全协议基础,常用的网络命令有： 判断主机是否连通的ping

6、指令 查看IP地址配置情况的ipconfig指令 查看网络连接状态的netstat指令 进行网络操作的net指令 进行定时器操作的at指令。 用于确定对应IP地址的网卡物理地址的ARP指令 用于显示路由表中的当前项目的Route指令,第3章 网络安全编程基础,网络安全基础编程技术主要包括6个方面： Socket编程 注册表编程 文件系统编程 定时器编程 驻留程序编程 多线程编程。 Socket的意思是套接字，是计算机与计算机之间通信的接口，凡是基于网络应用的程序都离不开Socket编程。 用多线程技术编程有两大优点： 提高CPU的利用率 采用多线程技术，可以设置每个线程的优先级，调整工作的进度

7、。,第4章 网络扫描与网络监听,黑客概述 网络扫描 网络监听,第4章 网络扫描与网络监听,黑客的行为有三方面发展趋势： 手段高明化： 活动频繁化： 动机复杂化： 一次成功的黑客攻击常常可以分为五个步骤 隐藏IP：隐藏自己的攻击位置 踩点扫描：踩点是通过各种途径对所要攻击的目标进行多方面的了解，扫描是要查找对方主机上的漏洞 获得系统或管理员权限：连接远程计算机，对其进行控制，达到攻击目的 种植后门：保持长期对被攻击主机的访问权 在网络中隐身：不被对方管理员发现遭受过入侵,第4章 网络扫描与网络监听,网络踩点： 是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息

8、的准确），确定攻击的时间和地点。 网络扫描 分为被动式扫描和主动式扫描。 被动式策略是基于主机之上，对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查。 主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。 扫描方式： 慢速扫描：对非连续端口进行的、并且源地址不一致、时间间隔长而没有规律的扫描 乱序扫描,第4章 网络扫描与网络监听,被动式策略扫描包括： 系统用户扫描 开放端口扫描 共享目录扫描 网络监听的目的是：截获通信的内容，监听的手段是对协议进行分析。,第5章 网络入侵,社会工程： 使用计谋和假情报去获得密码和其他敏感

9、信息的科学。 目前社会工程学攻击主要包括两种方式： 打电话请求密码 伪造Email 字典攻击 是最常见的一种暴力攻击 一次字典攻击能否成功，很大因素上决定于字典文件,第5章 网络入侵,利用UniCode漏洞可以删除、修改或执行任何与Web根目录在同一逻辑驱动器上的文件 利用打印漏洞可以在目的计算机上添加一个具有管理员权限的用户 SMB（会话消息块协议）致命攻击 RPC （远程过程调用）漏洞溢出 IIS除了存在漏洞，还可能溢出,第5章 网络入侵,凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击，其目的是使目标计算机或网络无法提供正常的服务。 最常见的DoS攻击： 计算机网络带宽攻击：以极大的

10、通信量冲击网络，是网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过； 连通性攻击：用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。 DDoS称为分布式拒绝服务攻击,第6章 网络后门与网络隐身,只要能不通过正常登录进入系统的途径都称为网络后门，后门的好坏取决于被管理员发现的概率。 网络后门的功能是：保持对目标主机长久控制 终端服务是Windows操作系统自带的，可以通过图形界面远程操纵服务器。在默认的情况下，终端服务的端口号是3389 木马是一种可以驻留在对方服务器系统中的一种程序 木马一般由两部分组成： 服务器端程序和客户端程序 木马的功能是通过客户端可以操纵服

11、务器 主机日志包括三类：应用程序日志、安全日志和系统日志。,第6章 网络后门与网络隐身,木马和后门的区别： 本质上，木马和后门都是提供网络后门的功能，但木马的功能稍微强大一些，一般还有远程控制的功能，后门程序则功能比较单一，只是提供客户端能够登录对方的主机。,第7章 操作系统安全配置方案,常规的操作系统安全配置： 包括12条基本配置原则：物理安全、停止Guest帐号、限制用户数量、创建多个管理员帐号、管理员帐号改名、陷阱帐号、更改默认权限、设置安全密码、屏幕保护密码、使用NTFS分区、运行防毒软件和确保备份盘安全。 操作系统的安全策略配置： 包括10条基本配置原则：操作系统安全策略、关闭不必要

12、的服务、关闭不必要的端口、开启审核策略、开启密码策略、开启帐户策略、备份敏感文件、不显示上次登录名，禁止建立空连接和下载最新的补丁。,第7章 操作系统安全配置方案,操作系统安全信息通信配置： 包括14条配置原则：关闭 DirectDraw、关闭默认共享、禁用Dump文件、文件加密系统、加密Temp文件夹、锁住注册表、关机时清除文件、禁止软盘或光盘启动、使用智能卡、使用IpSec、禁止判断主机类型、抵抗Ddos、禁止Guest访问日志和数据恢复软件。,第7章 操作系统安全配置方案,一些规则： Windows 2000中的Administrator账号是不能被停用的，这意味着别人可以一遍又一边的尝

13、试这个账户的密码。把Administrator账户改名可以有效的防止这一点。 所谓的陷阱账号是创建一个名为“Administrator”的本地账户，把它的权限设置成最低，并且加上一个超过10位的超级复杂密码 任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。 服务器的所有分区都应该是NTFS文件格式的 一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径，不能把资料备份在同一台服务器上。 在Windows NT系列的操作系统中，应该限制总的用户数量，但同时应设置多个管理员账号。,第7章 操作系统安全配置方案,一些规则

14、： 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。 关闭端口意味着减少功能，如果服务器安装在防火墙的后面，被入侵的机会就会少一些，但是不可以认为高枕无忧了。 TCP/IP筛选器是Windows自带的防火墙，功能比较强大，可以替代防火墙的部分功能。 默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户名，本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。可以通过修改注册表禁止显示上次登录名。 默认情况下，任何用户通过空连接连上服务器，进而可以枚举出帐号，猜测密码。可以通过修改注册表来禁止建立空连接。,第7章

15、 操作系统安全配置方案,一些规则 经常访问微软和一些安全站点，下载最新的Service Pack和漏洞补丁，是保障服务器长久安全的唯一方法 C2级安全标准对视频卡和内存有要求。因此在服务器上应该关闭DirectDraw。 Windows 2000安装以后，系统会创建一些隐藏的共享，这对系统安全造成很大的影响。可以通过“管理工具计算机管理共享文件夹共享，在相应的共享文件夹上按右键，点停止共享”来关闭这些共享，但计算机重启后这些共享仍会出现。 Windows 2000文件加密系统必须在NTFS系统 在Windows2000中，只有Administrators和Backup Operators才有从

16、网络上访问注册表的权限。 页面文件也就是调度文件，是Windows 2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。 IPSec提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。 利用TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型,Windows 2000的TTL值是128。 添加注册表的一些键值，可以有效的抵抗DDOS的攻击。,第7章 操作系统安全配置方案,在Win2000的本地安全策略中可以配置四类安全策略：帐户策略、本地策略、公钥策略和IP安全策略。 安全审核是Windows 2000最基本的入侵

17、检测方法，当有人尝试对系统进行某种方式入侵时，都会被安全审核记录下来。书上207页表7-2 密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。书上208页表7-3 开启帐户策略可以有效的防止字典式攻击：书上208页表7-4,第8章 密码学与信息加密,密码学的基本概念： 消息被称为明文。用某种方法伪装消息以隐藏它的内容的过程称为加密，加了密的消息称为密文，而把密文转变为明文的过程称为解密。 密码学的功能： 鉴别、完整性和抗抵赖性。这些功能是通过计算机进行社会交流，至关重要的需求。 鉴别：消息的接收者应该能够确认消息的来源；入侵者不可能伪装成他人。 完整性：消息的接收者应该

18、能够验证在传送过程中消息没有被修改；入侵者不可能用假消息代替合法消息。 抗抵赖性：发送消息者事后不可能虚假地否认他发送的消息。,第8章 密码学与信息加密,加密算法： 对称算法： DES算法和序列算法 对称算法要求发送者和接收者在安全通信之前，协商一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加解密。 公开密钥算法（非对称算法）：RSA算法 公开密钥算法（非对称算法）的加密的密钥和解密的密钥不同，而且解密密钥不能根据加密密钥计算出来，或者至少在可以计算的时间内不能计算出来。 公开密钥算法的加密密钥能够公开，即陌生者能用加密密钥加密信息，但只有用相应的解密密钥才能解密信

19、息。加密密钥叫做公开密钥（简称公钥），解密密钥叫做私人密钥（简称私钥）。,第8章 密码学与信息加密,DES算法： DES是一种用56位密钥来加密64位数据的方法。 DES算法实现加密需要三个步骤：变换明文、按照规则迭代、对L16R16利用IP-1作逆置换。 DES算法56位长的密钥的穷举空间为256 DES算法的入口参数有3个：Key,Data和Mode。其中Key为64位，是DES算法的工作密钥。 RSA算法： 是第一个既能用于数据加密也能用于数字签名的算法。虽然它经历了各种攻击，至今未被完全攻破，但RSA的安全性一直未能得到理论上的证明。 是一种基于大数不可能质因数分解假设的公钥体系,第8

20、章 密码学与信息加密,PGP加密技术是一个基于RSA公钥加密体系的邮件加密软件： PGP原理和优势： 由于RSA算法计算量极大，在速度上不适合加密大量数据，所以PGP实际上用来加密的不是RSA本身，而是采用传统加密算法IDEA，IDEA加解密的速度比RSA快得多。PGP随机生成一个密钥，用IDEA算法对明文加密，然后用RSA算法对密钥加密。收件人同样是用RSA解出随机密钥，再用IEDA解出原文。 这样的链式加密既有RSA算法的保密性（Privacy）和认证性（Authentication），又保持了IDEA算法速度快的优势。,第9章 防火墙与入侵检测,防火墙： 一般都包含的三种功能 ： 可以限

21、制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户 防止入侵者接近网络防御设施 限制内部用户访问特殊站点 局限 ： 防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。 防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。,第9章 防火墙与入侵检测,常见的防火墙有三种类型 ： 分组过滤（Packet Filtering）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协

22、议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。 应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 状态检测（Status Detection）：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。,第9章 防火墙与入侵检测,建立一个防火墙系统需要的步骤： 第一步：制定

23、安全策略 第二步：搭建安全体系结构 第三步：制定规则次序 第四步：落实规则集 第五步：注意更换控制 第六步：做好审计工作。 入侵检测系统IDS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。,第9章 防火墙与入侵检测,入侵检测的基本概念： 误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报，而诱导没有警觉性的管理员人把入侵检测系统关掉。 网络入侵者都会连接到主机的某个非法端口，通过检查出与

24、端口关联应用程序，可以进行入侵检测，这种方法属于静态配置分析。 入侵检测有三个步骤： 信息收集 数据分析 响应,第9章 防火墙与入侵检测,根据入侵检测的信息来源不同，可以将入侵检测系统分为两类： 基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件：来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。 基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。,第9章 防火墙与入侵检测,目前的入侵检测系统一般有的响应方式： 将分析结果记录在日志文件中，并产生相应的报告。 触发警报：如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件等等。 修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。,第10章 网络安全方案设计,一份安全解决方案的框架涉及的几个方面： 概要安全风险分析 实际安全风险分析 网络系统的安全原则 安全产品 风险评估 安全服务,考试题型,单项选择题（每空2分，共36分） 填空题（每空1分，共 19分） 简答题（每题5分，共25分） 简述题（每题10分，共20分）,