【正文】 網(wǎng)絡(luò)安全體系結(jié)構(gòu)概述? ? ? ? 術(shù) ? 方案與實施? EmailWebISP門戶網(wǎng)站ECommerce電子交易復(fù)雜程度時間Inter 變得越來越重要Inter 變得越來越糟糕?網(wǎng)絡(luò)無處不在的特性使進(jìn)攻隨時隨地可以發(fā)起；?網(wǎng)絡(luò)本身就蓄積了大量的攻擊技巧（大概有 26萬個站點提供此類知識）；?攻擊軟件層出不窮。網(wǎng)絡(luò)安全問題日益突出混合型威脅 (Code Red, Nimda)拒絕服務(wù)攻擊(Yahoo!, eBay)發(fā)送大量郵件的病毒(Love Letter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網(wǎng)絡(luò)入侵70,00060,00050,00040,00030,00020,00010,000已知威脅的數(shù)量?開放的網(wǎng)絡(luò)外部環(huán)境– 越來越多的基于網(wǎng)絡(luò)的應(yīng)用 – 企業(yè)的業(yè)務(wù)要求網(wǎng)絡(luò)連接的不間斷性 ?來自內(nèi)部的安全隱患?有限的防御措施?錯誤的實現(xiàn)、錯誤的安全配置?糟糕的管理和培訓(xùn)?黑客的攻擊網(wǎng)絡(luò)風(fēng)險難以消除？網(wǎng)絡(luò)攻擊的后果?設(shè)備、系統(tǒng)損壞?服務(wù)不可得?財務(wù)損失?數(shù)據(jù)丟失?信息泄漏?遭受篡改的信息造成誤動作?集體凝聚力下降、相互信任感受損常見網(wǎng)絡(luò)攻擊的分類? 針對通訊層以下? 針對 OS的攻擊? 針對通用的服務(wù)協(xié)議? 針對特定的應(yīng)用程序網(wǎng)絡(luò)安全體系結(jié)構(gòu)概述? ? ? ? 術(shù) ? 方案與實施? 常見的網(wǎng)絡(luò)安全問題? 垃圾郵件? 網(wǎng)絡(luò)掃描和拒絕服務(wù)攻擊– 端口掃描和缺陷掃描– DDOS、 DOS? 入侵和蠕蟲– 蠕蟲： nimda、 CRII– 系統(tǒng)缺陷垃圾郵件危害? 網(wǎng)絡(luò)資源的浪費– 歐洲委員會公布的一份報告，垃圾郵件消耗的網(wǎng)絡(luò)費用每年高達(dá) 100億美元 ? 資源盜用– 利用他人的服務(wù)器進(jìn)行垃圾郵件轉(zhuǎn)發(fā)? 威脅網(wǎng)絡(luò)安全DOS、 掃描危害? 占用資源– 占用大量帶寬– 服務(wù)器性能下降? 影響系統(tǒng)和網(wǎng)絡(luò)的可用性– 網(wǎng)絡(luò)癱瘓– 服務(wù)器癱瘓? 往往與入侵或蠕蟲伴隨– 缺陷掃描– DDOS入侵、蠕蟲造成的危害? 信息安全– 機密或個人隱私信息的泄漏– 信息篡改– 可信性的破壞? 系統(tǒng)安全– 后門的存在– 資源的喪失– 信息的暴露? 網(wǎng)絡(luò)安全– 基礎(chǔ)設(shè)施的癱瘓垃圾郵件的預(yù)防? 垃圾郵件特點? 郵件轉(zhuǎn)發(fā)原理? 配置 Sendmail關(guān)閉轉(zhuǎn)發(fā)? 配置 Exchange關(guān)閉轉(zhuǎn)發(fā)垃圾郵件定義? 定義 1：垃圾郵件就是相同的信息，在互聯(lián)網(wǎng)中被復(fù)制了無數(shù)遍，并且一直試圖著強加給那些不樂意接受它們的人群。 ? 定義 2：垃圾郵件是一種最令人頭疼而又讓人束手無策的推銷傳單 。 ? 定義 3：垃圾郵件是指與內(nèi)容無關(guān)，而且收件人并沒有明確要求接受該郵件的發(fā)送給多個收件人的信件或張貼物。也可以是發(fā)送給與信件主題不相關(guān)的新聞組或者列表服務(wù)器的同一信件的重復(fù)張貼物。 – UCE （ Unsolicited Commercial Email， 不請自來的商業(yè)電子郵件）– UBE （ Unsolicited Bulk Email， 不請自來的批量電子郵件）? 定義 4：垃圾郵件泛指未經(jīng)請求而發(fā)送的電子郵件，如未經(jīng)發(fā)件人請求而發(fā)送的商業(yè)廣告或非法的電子郵件垃圾郵件定義垃圾郵件特點? 內(nèi)容：– 商業(yè)廣告– 宗教或個別團體的宣傳資料– 發(fā)財之道 ,連鎖信等 ? 接收者– 無因接受– 被迫接受? 發(fā)送手段– 信頭或其它表明身份的信息進(jìn)行了偽裝或篡改– 通常使用第三方郵件轉(zhuǎn)發(fā)來發(fā)送配置 Sendmail關(guān)閉轉(zhuǎn)發(fā)? Sendmail– etc/mail/relaydomains（ 控制容許郵件轉(zhuǎn)發(fā)）– /etc/mail/access? Sendmail– 升級 Sendmail? 其它版本– 配置 Sendmail缺省不允許轉(zhuǎn)發(fā)– 編輯相應(yīng)的允許轉(zhuǎn)發(fā) IP列表如何防止收到垃圾郵件？1）不要把您的郵件地址在 INTERNET頁面上到處登記； 2）不要把您的郵件地址告訴您不太信任的一些人； 3）不要訂閱一些非正式的不鍵康的電子雜志，以防止被垃圾 郵件收集者收集； 4）不要在某些收集垃圾郵件的網(wǎng)頁上登記您的郵件地址； 5）發(fā)現(xiàn)收集或出售電子郵件地址的網(wǎng)站或消息，請告訴相應(yīng)的主頁提供商或主頁管理員，將您刪除，以避免郵件地址被他們利用，賣給許多商業(yè)及非法反動用戶； 6）建議您用專門的郵箱進(jìn)行私人通信，而用其他郵箱訂閱電子雜志。防止收到垃圾郵件掃描技術(shù)? Portscanning:找出網(wǎng)絡(luò)中開放的服務(wù)? 基于 TCP/IP協(xié)議，對各種網(wǎng)絡(luò)服務(wù)，無論是主機或者防火墻、路由器都適用? 端口掃描可以確認(rèn)各種配置的正確性，避免遭受不必要的攻擊? 用途，雙刃劍– 管理員可以用來確保自己系統(tǒng)的安全性– 黑客用來探查系統(tǒng)的入侵點? 端口掃描的技術(shù)已經(jīng)非常成熟，目前有大量的商業(yè)、非商業(yè)的掃描器掃描簡介掃描器的重要性? 掃描器能夠暴露網(wǎng)絡(luò)上潛在的脆弱性? 無論掃描器被管理員利用，或者被黑客利用，都有助于加強系統(tǒng)的安全性– 它能使得漏洞被及早發(fā)現(xiàn)，而漏洞遲早會被發(fā)現(xiàn)的? 掃描器可以滿足很多人的好奇心? 掃描器除了能掃描端口，往往還能夠– 發(fā)現(xiàn)系統(tǒng)存活情況，以及哪些服務(wù)在運行– 用已知的漏洞測試這些系統(tǒng)– 對一批機器進(jìn)行測試，簡單的迭代過程– 有進(jìn)一步的功能，包括操作系統(tǒng)辨識、應(yīng)用系統(tǒng)識別拒絕服務(wù)攻擊簡介? DoS的英文全稱是 Denial of Service， 也就是 “ 拒絕服務(wù) ” 的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看， DoS算是一種很簡單但又很有效的進(jìn)攻方式。它的目的就是拒絕你的服務(wù)訪問，破壞組織的正常運行，最終它會使你的部分 Inter連接和網(wǎng)絡(luò)系統(tǒng)失效。DoS的攻擊方式有很多種，最基本的 DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)。拒絕服務(wù) (Denial of Service)? 回顧信息安全的三個主要需求：– 保密性、完整性、可用性 (availability)– DoS是針對可用性發(fā)起的攻擊? 關(guān)于 DoS– 技術(shù)和原理都非常簡單，并且已經(jīng)工具化– 難以防范，有些 DoS可以通過管理的手段防止? DoS的動機– 受挫折，無法攻入目標(biāo)系統(tǒng)，最后一招 :DOS– 強行對方重啟機器– 惡意的破壞、或者報復(fù)– 網(wǎng)絡(luò)恐怖主義– ……DoS攻擊的基本過程? 我們可以看出 DoS攻擊的基本過程：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當(dāng)服務(wù)器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復(fù)發(fā)送偽地址請求的情況下，服務(wù)器資源最終會被耗盡。DoS的危害? 使得正常的服務(wù)不能提供– 案例： 1996年 9月，一家 ISP(PublicAccessNetworks)公司遭受拒絕服務(wù)達(dá)一周一上，拒絕對約 6000多人和 1000家公司提供 Inter服務(wù)? 政府網(wǎng)站– 美國白宮的網(wǎng)站曾經(jīng)遭受拒絕服務(wù)攻擊? 分布式拒絕服務(wù)– 2023年 2月，一批商業(yè)性質(zhì)的 Web站點收到了 DDoS的攻擊DoS的形式? 粗略來看，分為三種形式– 消耗有限的物理資源? 網(wǎng)絡(luò)連接? 帶寬資源? 其他資源，如磁盤空間、進(jìn)程數(shù)–合法用戶可登錄嘗試的次數(shù)有限，攻擊者可以用掉這些嘗試次數(shù)– 修改配置信息造成 DoS? 比如，修改路由器信息，造成不能訪問網(wǎng)絡(luò)；修改 NT注冊表，也可以關(guān)掉某些功能– 物理部件的移除，或破壞DoS的技術(shù)分類? 從表現(xiàn)形式來看– 帶寬消耗? 用足夠的資源消耗掉有限的資源? 利用網(wǎng)絡(luò)上的其他資源 (惡意利用 Inter共享資源 )，達(dá)到消耗目標(biāo)系統(tǒng)或網(wǎng)絡(luò)的目的– 系統(tǒng)資源消耗，針對操作系統(tǒng)中有限的資源，如進(jìn)程數(shù)、磁盤、 CPU、 內(nèi)存、文件句柄，等等– 程序?qū)崿F(xiàn)上的缺陷，異常行為處理不正確，比如 PingofDeath– 修改 (篡改 )系統(tǒng)策略 ， 使得它不能提供正常的服務(wù)? 從攻擊原理來看– 通用類型的 DoS攻擊，這類攻擊往往是與具體系統(tǒng)無關(guān)的，比如針對協(xié)議設(shè)計上的缺陷的攻擊– 系統(tǒng)相關(guān)的攻擊，這類攻擊往往與具體的實現(xiàn)有關(guān)– 說明：最終，所有的攻擊都是系統(tǒng)相關(guān)的，因為有些系統(tǒng)可以針對協(xié)議的缺陷提供一些補救措施，從而免受此類攻擊DoS的技術(shù)歷史? 早期的 Inter蠕蟲病毒? 消耗網(wǎng)絡(luò)資源– 非法的 TCP標(biāo)志， SYNFlood， 等? 利用系統(tǒng)實現(xiàn)上的缺陷，點對點形式– PingofDeath,IP分片重疊? 分布式 DoS(DDoS)攻擊一些典型的 DoS攻擊? PingofDeath– 發(fā)送異常的 (長度超過 IP包的最大值 )? SYNFlood– 快速發(fā)送多個 SYN包? UDPFlood? Teardrop– IP包的分片裝配? Smurf– 給廣播地址發(fā)送 ICMPEcho包，造成網(wǎng)絡(luò)阻塞? ……Ping of Death? 原理：直接利用 ping包，即 ICMPEcho包，有些系統(tǒng)在收到大量比最大包還要長的數(shù)據(jù)包，會掛起或者死機? 受影響的系統(tǒng)：許多操作系統(tǒng)受影響? 攻擊做法– 直接利用 ping工具，發(fā)送超大的 ping數(shù)據(jù)包? 防止措施– 打補丁– 防火墻阻止這樣的 ping包防止 DoS? 對于網(wǎng)絡(luò)– 路由器和防火墻配置得當(dāng)，可以減少受 DoS攻擊的危險? 比如，禁止 IP欺騙可以避免許多 DoS攻擊– 入侵檢測系統(tǒng)，檢測異常行為? 對于系統(tǒng)– 升級系統(tǒng)內(nèi)核，打上必要的補丁，特別是一些簡單的 DoS攻擊，例如 SYNFlooding– 關(guān)掉不必要的服務(wù)和網(wǎng)絡(luò)組件– 如果有配額功能的話，正確地設(shè)置這些配額– 監(jiān)視系統(tǒng)的運行，避免降低到基線以下– 檢測系統(tǒng)配置信息的變化情況? 保證物理安全? 建立備份和恢復(fù)機制網(wǎng)絡(luò)安全體系結(jié)構(gòu)概述? ? ? ? 術(shù) ? 方案與實施? 網(wǎng)絡(luò)攻擊的手段v 病毒v 特洛伊木馬v 口令入侵v 網(wǎng)絡(luò)欺騙v 郵件炸彈v Sniffer(網(wǎng)絡(luò)監(jiān)聽）v 入侵攻擊v 偽裝167。計算機病毒 “ 為什么叫做病毒。首先，與醫(yī)學(xué)上的 ” 病毒 “ 不同，它不是天然存在的，是某些人利用計算機軟、硬件，編制具有特殊功能的程序。由于它與生物醫(yī)學(xué)上的 病毒 同樣有傳染和破壞的特性，因此這一名詞是由生物醫(yī)學(xué)上的 病毒 概念引申而來167。計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。計算機病毒定義那么究竟它是如何產(chǎn)生的呢？其過程可分為：程序設(shè)計 傳播 潛伏 觸發(fā)、運行 實行攻擊。究其產(chǎn)生的原因不外乎以下幾種： ? 開個玩笑，一個惡作劇。? 產(chǎn)生于個別人的報復(fù)心理。? 用于版權(quán)保護(hù)。?用于特殊目的?！　〔《镜漠a(chǎn)生計算機病毒的特點? 傳染性 這是計算機病毒的重要特征 .計算機病毒進(jìn)入計算機系統(tǒng)后 ,就會自動地開始尋找傳染對象 ,并迅速傳染給它 ,這里的對象可以是程序、磁盤或網(wǎng)絡(luò)中的一個計算機系統(tǒng)。? 隱蔽性 病毒程序一般技巧性較高，它可用附加或插入的方法隱蔽在操作系統(tǒng)或可執(zhí)行文件中，很難被發(fā)現(xiàn) .計算機病毒的特點?潛伏性 病毒進(jìn)入計算機后一般不會立即發(fā)作，但在此期間，只要計算機系統(tǒng)工作就可以傳染病毒。一旦發(fā)作的條件成熟 ,這種潛伏性就會立即轉(zhuǎn)化為破壞性。?破壞性 這也是機算機病毒的重要特征 ,即降低計算機系統(tǒng)的工作效率 ,占用系統(tǒng)資源，其具體情況取決于入侵系統(tǒng)的 病毒程序。 這也是它的最終目的。典型病毒? CRII蠕蟲– 感染主機全球超過 30萬臺– 導(dǎo)致大量網(wǎng)絡(luò)設(shè)備癱瘓? Nimda蠕蟲病毒即尼姆達(dá)病毒，又叫概念 (Concept)病毒，是一種通過網(wǎng)絡(luò)傳播的計算機病毒，它能利用多種傳播途徑對幾乎所有 Windows系統(tǒng)操作系統(tǒng) (包括 Windows95/98/ME,NT和 2023等 )發(fā)動攻擊。而且染毒的機器會自動向其他機器發(fā)動攻擊和發(fā)送帶毒的 ，并造成網(wǎng)絡(luò)堵塞。216。特征碼掃描法特征碼掃描法是分析出病毒的特征病毒碼并集