[精选]网络安全ppt32554.pptx

网 络 安 全中国气象局培训中心安全很重要 实际上你很无奈“你要力图保护的是些什么资源?”“你需要防范谁?”“你究竟需要什么级别的安全?”黑客Hacker Cracker和Hacker Kevin Mitnick 小莫里斯 网络入侵事件 网络攻击事件 网络安全维护人员和黑客之间的关系（白帽子和灰帽子）搜集网络信息的常用工具 Finger Whois Nslookup Dig Ping Traceroute Pathping VisualRoute Smartwhois SamSpade NeoTracePro网络扫描 TCP/IP协议的套节字和系统服务 TCP和UDP 系统服务的banner信息 端口扫描的类型端口扫描程序 主动、被动探测 Superscan Nmap 天眼漏洞扫描网络安全扫描程序 Nessus ISS Scanner NAI CyberCop Scanner Shadow Scanner 国产对抗网络扫描的手段 系统补丁Patch 禁止与系统服务信息有关的回应 停止系统服务 安装防火墙软件或者个人防火墙软件 使用入侵检测系统 提供系统安全的日志和审计功能 一些小而有效的技巧网络侦听Sniffer 原理 网卡的工作模式 广播域 集线器、交换机和路由器通用Sniffer Tcpdump NAI Sniffer Pro Net X-Ray Iris NetMonitor CommView 网络协议分析仪（Flock、HP公司）专用Sniffer 口令Sniffer SMB Sniffer L0phtcrack 其它服务的Sniffer Dsniff交换网络下的Sniffer 交换机的原理 伪造MAC地址 细化VLAN对抗Sniffer AnfiSniff 防止ARP欺骗 数据加密通讯 SSH SSL VPN PGP网络攻击 拒绝服务攻击Dos 协议缺陷 Ping of Death OOB缺陷WinNuke Flood攻击 UDP Flood SYN Flood IGMP Flood 大量网络应用服务请求 垃圾邮件 系统内部缺陷 计算机病毒和木马程序 口令破解 网络欺骗（DNS欺骗、会话劫持）缓冲区溢出系统漏洞 例：Windows 2000输入法漏洞 服务器上的应用代码保护 对策 定期的安全扫描 及时更新安全补丁 停止系统上不必要的服务 控制好文件访问权限分布式拒绝服务攻击 模型 事件 对策 木马的防治 入侵检测系统 网络流量和服务器负荷的监视 路由器或防火墙的配置缓冲区溢出 原理 边界检查 堆栈 网络服务请求 对策 安全编程知识 使用代码的质量 安全的编译器和函数库和代码检查工具口令破解 口令的处理方法 UNIX Windows系统 98的.pwl文件 NT和2000的散列表文件 PWDump.exe 网络侦听 字典文件 网格计算 对策计算机病毒和木马程序 历史 种类 引导区病毒 文件病毒 多变形病毒 宏病毒 网络病毒网络环境下的病毒 传播快速，无法全面清除 来源多样，更新快速 危害巨大 电子邮件 文件下载 及时通讯系统 网络资源共享几种历史上的主要病毒 冲击波（RPC漏洞）Nimda RedCode（可以攻击IIS）美莉莎 BO2000（木马程序）CIH（破坏BIOS病毒）Dir2（多变形病毒）Stone（引导区病毒）病毒的发现和防&治 病毒的扫描（静态、被动）病毒防火墙（动态、主动）病毒库 免疫技术 全面的策略 建立病毒处理机制 网络端口的扫描 企业级的防病毒产品Symantec Nortan Antivirus企业版 病毒防火墙 网关防病毒产品 邮件服务器 防止其它类型入侵Windows 2000系统的安全策略 记录日志配置审计功能 安装防病毒软件和个人防火墙软件 安装系统补丁 使用安全扫描程序 搞好系统备份和恢复机制 磁盘拷贝技术 双机备份系统或者群集系统 备份主机 学会数据恢复技术如何保证IIS的安全 案例：Red Code 蠕虫病毒 尼母达 Nimada IIS的安全检查列表IIS 被“红色代码”利用的漏洞 IIS 的一些ISAPI扩展.dlls 提供一些扩展功能微软IIS在缺省安装情况下带了一个索引服务器(Index Service)。缺省安装时，IIS支持两种脚本映射：管理脚本(.ida文件)、Inernet数据查询脚本(.idq文件)。这两种脚本都由一个ISAPI扩展idq.dll来处理和解释 IIS 被“红色代码”利用的漏洞 漏洞:idq.dll在一段处理URL输入代码中存在一个未经检查的缓冲区，如果攻击者提供一个特殊格式的URL，就可能引发一个缓冲区溢出。一个攻击者与有这样的idq.dll存在的server建立web会话，通过此会话发出缓冲区溢出攻击，并在web server上执行代码。严重的是idq.dll是以SYSTEM身份运行的，可利用此漏洞取得系统管理员权限应对方法 微软在2001年6月份发布的修复程序 MS01-033尼母达 Nimada 4 种传播方式 IE浏览器:利用IE的一个安全漏洞(微软在2001年3月份已发布修复程序 MS01-020)IIS服务器:和红色代码病毒相同,或直接利用它留下的木马程序.(补丁和RedCode一样)电子邮件附件（极端危险）文件共享:针对所有未做安全限制的共享应对方法 安装补丁 使用杀毒软件清除 对所有的邮件附件进行病毒检查IIS系统的检查表 分区必须是 NTFS格式 IIS的目录权限和NTFS文件系统权限 配置日志功能为日后的审查提供信息 清除特殊的脚本映射和组件 清除远程管理和Sample文件 使用IIS Lockdown 使用来源可靠的源代码IIS目录设置推荐做法 按文件类型建立目录结构 对文件夹设置而不是文件配置属性 防止目录设置重叠 如设置ftp上载权限和IIS的网页在同一个目录如果不是必要 删除Web-based Passwords.htrInternet Database Connector.idcServer-side Includes.stm,.shtm,shtmlInternet Printing.printerIndex Server.htw,.ida,idq清除不必要的映射