实用软件第11章 网络安全与管理工具cfdv.pptx

第第11章章 网络安全与管理工具网络安全与管理工具Huang XuSchool of Computer Science&TechnologySoochow UniversityE-mail：huangxu_1网络安全与管理工具网络安全与管理工具1.防火墙防火墙防火墙是指安装在同时具有下列特征的两个网络防火墙是指安装在同时具有下列特征的两个网络之间的（硬之间的（硬/软）部件的集合：软）部件的集合：从里到外和从外到里的所有通信都必须通过防火墙。从里到外和从外到里的所有通信都必须通过防火墙。只有本地安全策略授权的通信才允许通过。只有本地安全策略授权的通信才允许通过。防火墙本身是免疫的，不会被穿透。防火墙本身是免疫的，不会被穿透。1.防火墙能够对流经它的网络通信进行扫描，这样防火墙能够对流经它的网络通信进行扫描，这样就能够过滤掉一些攻击，以免其在目标计算机上就能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。被执行。防火墙还可以关闭不使用的端口。2计算机实用软件 Huang Xu E-mail：huangxu_ School of Computer Science and Technology,Soochow University网络安全与管理工具网络安全与管理工具而且它还能禁止特定端口的流出通信，封锁特洛而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。从而防止来自不明入侵者的所有通信。防火墙具有很好的保护作用。入侵者必须首先穿防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。而越防火墙的安全防线，才能接触目标计算机。而且户可以将防火墙配置成许多不同保护级别。且户可以将防火墙配置成许多不同保护级别。所谓保护级别，就是需要给防火墙设置合适的安所谓保护级别，就是需要给防火墙设置合适的安全策略。所谓安全策略，是决策的集合，集中体全策略。所谓安全策略，是决策的集合，集中体现了一个组织对安全的态度。它对于可接受的行现了一个组织对安全的态度。它对于可接受的行为以及应对违规作出何种响应确定了界限，对不为以及应对违规作出何种响应确定了界限，对不同的组织是有区别的。同的组织是有区别的。3计算机实用软件 Huang Xu E-mail：huangxu_ School of Computer Science and Technology,Soochow University网络安全与管理工具网络安全与管理工具例如，大学里一个系的安全需求不同于一个公司例如，大学里一个系的安全需求不同于一个公司的产品研发部，而后者又不同于一个军事部门。的产品研发部，而后者又不同于一个军事部门。从实现方式上来分，防火墙可以分为硬件防火墙从实现方式上来分，防火墙可以分为硬件防火墙和软件防火墙两类。和软件防火墙两类。通常意义上的硬防火墙为硬件防火墙，它通过硬件和软通常意义上的硬防火墙为硬件防火墙，它通过硬件和软件的结合来达到隔离内、外网络的目的，价格软较贵，件的结合来达到隔离内、外网络的目的，价格软较贵，但效果较好，一般小型企业和个人很难实现。但效果较好，一般小型企业和个人很难实现。软件防火墙是通过纯软件的方式来达到隔离目的，价格软件防火墙是通过纯软件的方式来达到隔离目的，价格便宜，但这类防火墙只能通过一定的规则来达到限制一便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部的目的。现在软件防火墙主要有天些非法用户访问内部的目的。现在软件防火墙主要有天网防火墙个人及企业版、网防火墙个人及企业版、Norton的个人及企业版软件防的个人及企业版软件防火墙等。火墙等。4计算机实用软件 Huang Xu E-mail：huangxu_ School of Computer Science and Technology,Soochow University网络安全与管理工具网络安全与管理工具2.端口扫描端口扫描一个端口就是一个潜在的通信通道，也就是一个一个端口就是一个潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描，能得到入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息。许多有用的信息。进行扫描的方法很多，可以是手工进行扫描，也进行扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行。在手工进行扫描时，可以用端口扫描软件进行。在手工进行扫描时，需要熟悉各种命令，对命令执行后的输出进行分需要熟悉各种命令，对命令执行后的输出进行分析；而许多扫描器软件都带有分析数据的功能。析；而许多扫描器软件都带有分析数据的功能。通过端口扫描，可以得到许多有用的信息，从而通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞。发现系统的安全漏洞。5计算机实用软件 Huang Xu E-mail：huangxu_ School of Computer Science and Technology,Soochow University网络安全与管理工具网络安全与管理工具扫描器是一种自动检测远程或本地主机安全性弱扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器可以不留痕迹地发现点的程序，通过使用扫描器可以不留痕迹地发现远程服务器的各种远程服务器的各种TCP端口的分配、提供的服务端口的分配、提供的服务及其他软件版本，这就能让用户间接或直观地了及其他软件版本，这就能让用户间接或直观地了解到远程主机所存在的安全问题。解到远程主机所存在的安全问题。扫描器的基本工作原理是，选用远程扫描器的基本工作原理是，选用远程TCP/IP不同不同端口的服务，并记录目标给予的回答。通过这种端口的服务，并记录目标给予的回答。通过这种方法，可以搜集到很多关于目标主机的各种有用方法，可以搜集到很多关于目标主机的各种有用的信息。比如：是否能用匿名登录；是否有可写的信息。比如：是否能用匿名登录；是否有可写的的FTP目录；是否能用目录；是否能用Telnet;HTTPD是用是用root还还是是nobady在运行等。在运行等。6计算机实用软件 Huang Xu E-mail：huangxu_ School of Computer Science and Technology,Soochow University网络安全与管理工具网络安全与管理工具扫描器并不是一个直接的攻击网络漏洞的程序，扫描器并不是一个直接的攻击网络漏洞的程序，它仅能帮助用户发现目标机的某些内在弱点。它仅能帮助用户发现目标机的某些内在弱点。一个好的扫描器能对它得到的数据进行分析，帮一个好的扫描器能对它得到的数据进行分析，帮助用户查找目标主机的漏洞，但它不会提供进入助用户查找目标主机的漏洞，但它不会提供进入一个系统的详细步骤。它应该具有三项功能：一个系统的详细步骤。它应该具有三项功能：发现一个主机或网络的能力；发现一个主机或网络的能力；一旦发现一台主机，有发现什么服务正运行在这台主机一旦发现一台主机，有发现什么服务正运行在这台主机上的能力；上的能力；通过测试这些服务，发现漏洞的能力。通过测试这些服务，发现漏洞的能力。因此很多网管软件都带有网络扫描、端口扫描之因此很多网管软件都带有网络扫描、端口扫描之类的功能。类的功能。7计算机实用软件 Huang Xu E-mail：huangxu_ School of Computer Science and Technology,Soochow University网络安全与管理工具网络安全与管理工具3.DoS（Denial of Service）拒绝服务攻击）拒绝服务攻击DoS广义上可以指任何导致服务器不能正常提供广义上可以指任何导致服务器不能正常提供服务的攻击。服务的攻击。人们通常比较关注远程的、通过网络进行的人们通常比较关注远程的、通过网络进行的DoS攻击。攻击。DoS的攻击方式有很多种，最基本的的攻击方式有很多种，最基本的 DoS攻击就攻击就是利用合理的服务请求来占用过多的服务资源，是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。从而使合法用户无法得到服务的响应。8计算机实用软件 Huang Xu E-mail：huangxu_ School of Computer Science and Technology,Soochow University网络安全与管理工具网络安全与管理工具网络的不断发展，网络应用的普及，使得人们的网络的不断发展，网络应用的普及，使得人们的工作生活越来越离不开它。企业内部大型的工作生活越来越离不开它。企业内部大型的CRM、ERP、供应链、供应链、OA等系统，极大地提高了生产运等系统，极大地提高了生产运行的效率。集体的力量是惊人的，网络一方面是行的效率。集体的力量是惊人的，网络一方面是信息、知识的海洋，另一方面是无数虚拟的合作信息、知识的海洋，另一方面是无数虚拟的合作团队，通过它可以找到所需要的学习、生活、娱团队，通过它可以找到所需要的学习、生活、娱乐的资料。乐的资料。DoS攻击直接的后果可能就是用户不能访问这些服攻击直接的后果可能就是用户不能访问这些服务了，对某个务了，对某个 DNS服务器或者路由器、防火墙的服务器或者路由器、防火墙的攻击甚至导致对整个网络的的拒绝服务。攻击甚至导致对整个网络的的拒绝服务。9计算机实用软件 Huang Xu E-mail：huangxu_ School of Computer Science and Technology,Soochow University网络安全与管理工具网络安全与管理工具具体的具体的 DoS攻击方法很多，可归为如下几类：攻击方法很多，可归为如下几类：利用软件实现的缺陷进行攻击利用软件实现的缺陷进行攻击OOB攻击（常用工具攻击（常用工具winnuke）、）、teardrop攻击（常用攻击（常用工具工具teardrop.c、boink.c、bonk.c)、land攻击、攻击、IGMP碎片包攻击、碎片包攻击、jolt攻击、攻击、Cisco2600路由器路由器IOS version 12.0(10)远程拒绝服务攻击等都是利用了被攻击软件实远程拒绝服务攻击等都是利用了被攻击软件实现上的缺陷完成的。通常这些攻击工具向被攻击系统发现上的缺陷完成的。通常这些攻击工具向被攻击系统发送特定类型的一个或多个报文，这些攻击通常都是致命送特定类型的一个或多个报文，这些攻击通常都是致命的，一般都是一击致死。的，一般都是一击致死。很多攻击是可以伪造源地址的，所以即使通过很多攻击是可以伪造源地址的，所以即使通过IDS或者或者别的别的sniffer软件记录到攻击报文，也不能找到是谁发动软件记录到攻击报文，也不能找到是谁发动的攻击，而且这类攻击多数是特定类型的几个报文，如的攻击，而且这类攻击多数是特定类型的几个报文，如果伪造源果伪造源IP地址的话，几乎是不可能追查的。地址的话，几乎是不可能追查的。10计算机实用软件 Huang Xu E-mail：huangxu_ School of Computer Science and Technology,Soochow University网络安全与管理工具网络安全与管理工具这种攻击行为威力很大，而且难于侦察。但真实情况中，这种攻击行为威力很大，而且难于侦察。但真实情况中，它的危害仅限于漏洞发布后不长的时间段内，相关厂商它的危害仅限于漏洞发布后不长的时间段内，相关厂商会很快发布补丁修补这种漏洞。因此，用户要做的是关会很快发布补丁修补这种漏洞。因此，用户要做的是关注安全漏洞的发布，及时打上新的补丁。注安全漏洞的发布，及时打上新的补丁。利用协议的漏洞利用协议的漏洞如果说上述漏洞危害的时间不是很长，那么利用协议漏如果说上述漏洞危害的时间不是很长，那么利用协议漏洞进行攻击的生存能力却非常强。为了能够在网络上进洞进行攻击的生存能力却非常强。为了能够在网络上进行互通、互联，所有的软件实现都必须遵循既有的协议，行互通、互联，所有的软件实现都必须遵循既有的协议，而如果这种协议存在漏洞的话，所有遵循此协议的软件而如果这种协议存在漏洞的话，所有遵循此协议的软件都会受到影响。都会受到影响。最经典的攻击是最经典的攻击是synflood攻击，它利用攻击，它利用TCP/IP协议的漏协议的漏洞完成攻击。洞完成攻击。11计算机实用软件 Huang Xu E-mail：huangxu_ School of Computer Science and Technology,Soochow University网络安全与管理工具网络安全与管理工具通常一次通常一次TCP连接的建立包括三个步骤：连接的建立包括三个步骤：a)客户端发送客户端发送SYN包给服务器端。包给服务器端。b)服务器分配一定的资源便于连接并返回服务器分配一定的资源便于连接并返回SYN/ACK包，等待连接建立的最后的包，等待连接建立的最后的ACK包。包。c)客户端发送客户端发送ACK报文，这样两者之间的连接建立起报文，这样两者之间的连接建立起来，并可以通过连接传送数据。来，并可以通过连接传送数据。1.而攻击的过程就是疯狂发送而攻击的过程就是疯狂发送SYN报文，而不返回报文，而不返回ACK报报文，导致系统资源占用过多，没有能力响应别的操作，文，导致系统资源占用过多，没有能力响应别的操作，或者不能响应正常的网络请求。或者不能响应正常的网络请求。12计算机实用软件 Huang Xu E-mail：huangxu_ School of Computer Science and Technology,Soochow University网络安全与管理工具网络安全与管理工具这个攻击是经典的以小博大的攻击，自己使用少量资源这个攻击是经典的以小博大的攻击，自己使用少量资源占用对方大量资源。占用对方大量资源。一台一台P4的的Linux系统大约能发系统大约能发3040M的的64字节的字节的synflood报文，而对于一台普通的服务器报文，而对于一台普通的服务器20M的流量就基的流量就基本没有任何响应了（包括鼠标、键盘）。本没有任何响应了（包括鼠标、键盘）。synflood不仅可以远程进行，而且可以伪造源不仅可以远程进行，而且可以伪造源IP地址，给地址，给追查造成很大困难，要查找必须通过所有骨干网络运营追查造成很大困难，要查找必须通过所有骨干网络运营商，由路由器一级一级向上查找。商，由路由器一级一级向上查找。由于由于TCP/IP协议相信报文的源地址，另一种攻击方式是协议相信报文的源地址，另一种攻击方式是反射拒绝服务攻击，利用广播地址、组播协议来辅助反反射拒绝服务攻击，利用广播地址、组播协议来辅助反射拒绝服务攻击效果更好。不好大多数路由器都禁止广射拒绝服务攻击效果更好。不好大多数路由器都禁止广播地址和组播协议的地址。播地址和组播协议的地址。13计算机实用软件 Huang Xu E-mail：huangxu_ School of Computer Science and Technology,Soochow University网络安全与管理工具网络安全与管理工具进行资源比拼进行资源比拼这种攻击方式属于这种攻击方式属于“无赖打法无赖打法”，就是凭借手中的丰富，就是凭借手中的丰富资源，发送大量的垃圾数据侵占完用户资源，导致资源，发送大量的垃圾数据侵占完用户资源，导致 DoS。比如：比如：ICMP flood、mstream flood、Connection flood都属于这种攻击方式。为了获得比目标系统更多的资源，都属于这种攻击方式。为了获得比目标系统更多的资源，通常攻击者会发动通常攻击者会发动DDoS（Distributed Dos，分布式拒绝，分布式拒绝服务），攻击者控制多个攻击傀儡发动攻击，这样才能服务），攻击者控制多个攻击傀儡发动攻击，这样才能产生预期的效果。产生预期的效果。前两种攻击可以伪造前两种攻击可以伪造IP地址，追查非常困难；而该种攻地址，追查非常困难；而该种攻击由于需要建立连接，可能会暴露攻击傀儡的击由于需要建立连接，可能会暴露攻击傀儡的IP地址，地址，通过防火墙禁止这些通过防火墙禁止这些IP就可以了。就可以了。14计算机实用软件 Huang Xu E-mail：huangxu_ School of Computer Science and Technology,Soochow University网络安全与管理工具网络安全与管理工具l天网防火墙的基本使用天网防火墙的基本使用系统设置系统设置IP规则设置规则设置常见的日志分析常见的日志分析查看应用程序网络使用情况查看应用程序网络使用情况15计算机实用软件 Huang Xu E-mail：huangxu_ School of Computer Science and Technology,Soochow University参考文献参考文献王民王民.计算机实用软件计算机实用软件.苏州大学出版社苏州大学出版社.2005网络资源网络资源16计算机实用软件 Huang Xu E-mail：huangxu_ School of Computer Science and Technology,Soochow University谢谢！17计算机实用软件 Huang Xu E-mail：huangxu_ School of Computer Science and Technology,Soochow University