1. 首页
    2. ppt
    3. ppt资料

    网络安全基础知识ppt

    4326    0
    • 1. 网络安全基础知识2014年8月19日 XX移动
    • 2. 一、网络安全基本概念二、网络安全基础知识目录三、攻击的基本概念四、常见攻击手段及防御措施五、网络安全发展方向
    • 3. 1.1“网络与信息安全”—动态发展的概念19911989X.800ISO 7498-2“安全” 是指将资产或资源的脆弱性降到最低限度。ISO 154081999对信息进行正确的控制以确保它能防止威胁,诸如不必要的或无保证的传播、更改或遗失,IT产品和系统应执行它们的功能. “IT安全”用于概括防御和缓解这些及类似的威胁。2000ISO 17799:20002005ISO 17799:2005信息安全是要在很大的范围内保护信息免受各种威胁,从而确保业务的连续性、减少业务损失并且使投资和商务机会获得最大的回报。特指保护保密性、完整性和可用性。 信息安全-保证信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性.ISO TR 13335-2:199719972004ISO 13335-1:2004定义获取和维护保密性、完整性、可用性、可核查性、真实性和可靠性。 网络与信息安全是指通过开展网络与信息安全防护工作确保网络与信息化系统的硬件、软件及其系统中的数据受到保护,其机密性、完整性、可用性不受外部恶意攻击或内部错误操作的侵犯。
    • 4. 1.2 安全的相关属性Confidentiality 保密性 Data confidentiality数据保密性 Communication security通信安全Integrity完整性Date integrity 数据完整性Availability可用性Non-repudiation抗抵赖性Accountability可核查性Authenticity真实性Reliability可靠性Access Control访问控制Authentication鉴别Privacy私密性13335:2004 17799:2005X.800 X.805ISO 17799:2000信息系统等级保护80年代的认识 90年代的认识 90年代后期的认识 通信保密通信保密 信息安全 信息保障 保密性完整性可用性真实性保密性可核查性完整性抗抵赖性可用性可靠性
    • 5. 1.2 安全的相关属性使信息不泄露给未授权的个人、实体或过程或不使信息为其所利用的特性。保护信息及处理方法的准确性和完备性。被授权实体一旦需要就可访问和使用的特性。确保主体或资源的身份正是所声称身份的特性。真实性适用于用户、过程、系统和信息之类的实体。确保可将一个实体的行动唯一地追踪到此实体的特性。证明某一动作或事件已经发生的能力,以使事后不能抵赖这一动作或事件。保密性完整性可用性真实性可核查性抗抵赖性可靠性预期行为和结果相一致的特性。
    • 6. 1.3 通俗地说,安全就是进不来拿不走改不了跑不了看不懂让合法的人做合法的事
    • 7. 1.4 网络与信息安全的重要性网络与信息安全是国家安全的需要 威胁国家安全- 全世界的人们小心了,美国的网络战部队正在监视你,并且随时准备攻击你。 直接经济损失 网络与信息安全是组织持续发展的需要 名誉、信誉受损 正常工作中断或受到干扰 效率下降 网络与信息安全是保护个人隐私与财产的需要 威胁信息私秘性 直接影响对信息交互的信任度国家组织个人
    • 8. 1.5 网络与信息安全的基本特征没有绝对安全的系统新的漏洞与攻击方法不断被发现日常管理中的不同配置会引入新的问题,新的系统组件会引入新的问题(安全评测只能证明特定环境与特定配置下的安全)攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性信息安全是一项系统工程,需要技术的和非技术的手段,涉及到安全管理、安全技术、安全教育、培训、立法、应急恢复等相对性实效性相关性不确定性复杂性
    • 9. 一、网络安全基本概念二、网络安全基础知识目录三、攻击的基本概念四、常见攻击手段及防御措施五、网络安全发展方向
    • 10. 2.1 OSI参考模型解析 OSI(Open System Interconnection),开放式系统互联参考模型,国际标准化组织( ISO )和美国国家标准协会( ANSI )的产物,它把网络协议从逻辑上分为了7层。
    • 11. 应用层 :提供用户接口,特指网络应用程序,能产生网络流量的应用程序,比如客户端的QQ、MSN、IE浏览器等,服务器端的Web服务、流媒体服务等。而Windows XP记事本程序和计算器程序由于不产生网络流量,他们不属于应用层。 表示层:表示数据,如采用二进制或ASCII码等;处理数据,如数据加密,数据压缩等。 这一层常常是软件开发人员需要考虑的问题,比如QQ软件开发人员就要考虑用户的聊天记录在网络传输之前加密,防止有人使用捕包工具捕获用户数据,泄露信息;针对QQ视频聊天,开发人员就要考虑如何通过压缩数据节省网络带宽。 会话层:会话层的作用主要是建立、维护、管理应用程序之间的会话。比如流媒体服务器和每一个点播节目的客户端软件分别建立会话,服务器才能区分每个用户点播的节目和相应进度。 传输层:提供可靠或不可靠的传输,能够错误纠正,纠正失败能够重传。传输层的可靠传输负责建立端到端的连接,并负责数据在端到端连接上的传输。传输层通过端口号区分上层服务,并通过滑动窗口技术实现可靠传输、流量控制、拥塞控制以及通过三次握手建立连接。2.1 OSI参考模型解析
    • 12. 网络层:为网络设备提供逻辑地址,根据数据包的逻辑地址选择最佳网络路径。负责数据从源端发送到目的端,负责数据传输的寻径和转发。 数据链路层:也经常被人们称为MAC层,它管理网络设备的物理地址,所以物理地址也被称作MAC地址。数据链路层将数据包封装为帧,使用MAC地址提供对介质的访问,执行差错检测,但不纠正。数据链路层向上提供对网络层的服务。 物理层:主要负责二进制数据比特流在设备之间的传输。物理层规定电压大小、线路速率、设备和电缆的接口标准。 物理层关心的是以下的一些内容: 接口和媒体的物理特性 位的表示和传输速率 位的同步 物理拓扑:星状拓扑、环状拓扑、总线拓扑等。 传输模式:单工、半双工或全双工。 2.1 OSI参考模型解析
    • 13. OSI的分组 OSI参考模型有7个不同的层,分为两个组(如右图所示)。 上面3层为OSI的高层,主要面向用户应用,定义了终端系统中的应用程序将如何彼此通信,以及如何与用户通信。软件开发人员在开发应用程序时需要考虑OSI上三层,不必要考虑数据通信方面的事情。 下面4层为OSI的底层,主要面向数据传输,定义了怎样进行端到端的数据传输。网络工程师的工作主要涉及OSI参考模型的下4层。网络工程师负责把网络调通、优化后,就可以为多种应用程序提供网络通信。 2.1 OSI参考模型解析
    • 14. 2.2 TCP/IP协议TCP/IP:Transmission Control Protocol/Internet Protocol的简写,中译名为传输控制协议/因特网互联协议,又名网络通讯协议,是Internet最基本的协议、Internet国际互联网络的基础,由网络层的IP协议和传输层的TCP协议组成。TCP/IP 定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准。协议采用了4层的层级结构,每一层都呼叫它的下一层所提供的协议来完成自己的需求。通俗而言:TCP负责发现传输的问题,一有问题就发出信号,要求重新传输,直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台电脑规定一个地址。
    • 15. TCP/IP是一个复杂的协议集, 其中有许多协议对用户是透明的。TCP/IP中各层的主要功能如下: 物理接口层。这一层定义了基本的网络硬件以及怎样把数据组织成帧和计算机怎样通过网络传输帧。它的功能和OSI/RM的第一层、第二层的功能相对应。 网络层或Internet层。这一层规定了包格式以及包怎样从一个计算机上经过一个或多个路由器到达目的计算机。这一层包含了IP(Internet Protocol)协议、ICMP(Internet Control Message Protocol)协议和IGMP(Internet Group Management Protocol)协议。 传输层。这一层大致对应着OSI/RM的传输层。这一层有两个协议,即TCP(Transmission Control Protocol)协议和UDP(User Datagram Protocol)协议。TCP通过应答机制提供可靠的传输。UDP协议提供不可靠的传输,维持可靠性的任务留给高层来完成。但它比TCP要高效,常用于实时应用中,在这种情况下,应用程序要考虑可靠性的问题。 应用层。这一层大致对应于OSI/RM的上三层,它提供的服务包括:Telnet、FTP(File Transfer Protocol)、SMTP(Simple Mail Transfer Protocol)、NSP(Name Server Protocol)和SNMP(Simple Network Management Protocol)等。2.2 TCP/IP协议
    • 16. 一、网络安全基本概念二、网络安全基础知识目录三、攻击的基本概念四、常见攻击手段及防御措施五、网络安全发展方向
    • 17. 成功的攻击 = 目的 + 手段 + 系统漏洞Attacker
    • 18. 攻击的目的获取控制权 好奇、恶作剧、证明实力 执行进程 获取文件和传输中的数据 获取超级用户权限、越权使用资源 对系统进行非法访问 进行不许可操作、越权使用 拒绝服务 涂改信息、暴露信息G. Mark Hardy
    • 19. 常用攻击手段漏洞扫描特洛伊木马网络嗅探(Sniffer)技术拒绝服务和分布式拒绝服务口令猜测欺骗技术缓冲区溢出
    • 20. 常用攻击工具标准的TCP/IP工具 (ping, telnet…) 端口扫描和漏洞扫描 (ISS-Safesuit, Nmap, portscaner…) 网络包分析仪 (snifferPro, network monitor) 口令破解工具 (lc4, fakegina) 木马 (BO2k, 冰河, …)
    • 21. 攻击的三个阶段准备阶段:寻找目标,收集信息 实施阶段:获得初始的访问控制权与特权 善后工作:清除踪迹,留下后门G. Mark Hardy
    • 22. 攻击的五个步骤一次成功的攻击,都可以归纳成基本的五步骤,但是根据实际情况可以随时调整。 归纳起来就是“黑客攻击五部曲” : 1、隐藏IP 2、踩点扫描 3、获得系统或管理员权限 (入侵攻击过程) 4、种植后门 5、在网络中隐身!!!
    • 23. 典型的网络攻击过程示意图选中攻 击目标获取普通 用户权限擦除入 侵痕迹安装后门 新建帐号获取超级 用户权限攻击其它 主机获取或 修改信息从事其它 非法活动扫描 网络利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令,从而发现突破口。
    • 24. 一、网络安全基本概念二、网络安全基础知识目录三、攻击的基本概念四、常见攻击手段及防御措施五、网络安全发展方向
    • 25. 常用攻击手段—分类介绍漏洞扫描特洛伊木马网络嗅探(Sniffer)技术拒绝服务(DOS)和分布式拒绝服务口令猜测欺骗技术缓冲区溢出
    • 26. 系统信息收集扫描目的远程操作系统识别网络结构分析其他敏感信息收集漏洞检测错误的配置系统安全漏洞弱口令检测漏洞扫描—扫描目的
    • 27. 漏洞扫描—地址扫描PingReply XXX.XXX.XXX.XXX
    • 28. 漏洞扫描—端口扫描主机可使用的端口号为0~65535,前1024个端口是保留端口,这些端口被提供给特定的服务使用。 常用的服务都是使用标准的端口,只要扫描到相应的端口开着,就能知道目标主机上运行着什么服务。然后入侵者才能针对这些服务进行相应的攻击。
    • 29. 漏洞扫描—概念漏洞扫描是使用漏洞扫描程序对目标系统进行信息查询,通过漏洞扫描,可以发现系统中存在的不安全的地方。 例如: 操作系统漏洞 弱口令用户 应用程序漏洞 配置错误等 
    • 30. 高级扫描术-慢速扫描如果扫描是对非连续性端口、源地址不一致、时间间隔很长且没有规律的扫描的话,这些扫描的记录就会淹没在其他众多杂乱的日志内容中 使用慢速扫描的目的就是骗过防火墙和入侵检测系统而收集信息。虽然扫描所用的时间较长,但是这是一种较难发现的扫描
    • 31. 高级扫描术-乱序扫描普通的扫描器在扫描远程系统的端口时,对端口扫描的顺序是有序的,这种按照一定的顺序扫描端口的方式很容易被入侵检测系统发觉。 乱序扫描的端口号的顺序是随机生产的,这种方式能有效的欺骗某些入侵检测系统而不会被入侵检测系统发觉
    • 32. 反扫描对策禁止/关闭不必要的服务/端口 屏蔽敏感信息 合理配置防火墙和IDS 陷阱技术Honeypot 僚机策略 ……
    • 33. 缓冲区溢出漏洞(OOB)什么是缓冲区溢出? 简单地说,缓冲区溢出就是向堆栈中分配的局部数据块中写入了超出其实际分配大小的数据,导致数据越界,结果覆盖了原先的堆栈数据。 缓冲区溢出可以: 使主机系统瘫痪; 获取系统的登录账号; 获得系统的超级用户权限。
    • 34. 暴力破解系统用户密码 使用简单字典文件,利用工具软件GetNTUser可将管理员密码破解出来。
    • 35. 暴力破解邮箱密码 邮箱的密码一般需要设置到八位以上,否则七位以下的密码容易被破解。尤其七位全部是数字,更容易被破解。 案例 电子邮箱暴力破解: 工具软件:黑雨——POP3邮箱密码暴力破解器 ver2.3.1
    • 36. 木马木马是一种可以驻留在对方系统中的一种程序。 木马一般由两部分组成:服务器端和客户端。 驻留在对方服务器的称之为木马的服务器端,远程的可以连到木马服务器的程序称之为客户端。 木马的功能是通过客户端可以操纵服务器,进而操纵对方的主机。 木马程序在表面上看上去没有任何的损害,实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。
    • 37. 木马=特洛伊木马木马来自于“特洛伊木马”,英文名称为Trojan Horse。传说希腊人围攻特洛伊城,久久不能攻克,后来军师想出了一个特洛伊木马计,让士兵藏在巨大的特洛伊木马中部队假装撤退而将特洛伊木马丢弃在特洛伊城下,让敌人将其作为战利品拖入城中,到了夜里,特洛伊木马内的士兵便趁着夜里敌人庆祝胜利、放松警惕的时候从特洛伊木马里悄悄地爬出来,与城外的部队里应外合攻下了特洛伊城。由于特洛伊木马程序的功能和此类似,故而得名。
    • 38. 是登录屏还是特洛伊木马?G. Mark Hardy
    • 39. 吃惊吗!G. Mark HardyGINA木马!
    • 40. 木马的分类远程访问型特洛伊木马 键盘记录型特洛伊木马 密码发送型特洛伊木马 破坏型特洛伊木马 代理木马 FTP型特洛伊木马 网页型木马 ……
    • 41. 木马的植入方式利用系统漏洞安装电子邮件附件、浏览网页、FTP文件下载、QQ等方式传播手工放置
    • 42. 木马的查杀安装杀毒软件和防火墙 检查INI文件 查看win.ini中的“run=”、“load=” 查看system.ini中的“shell= explorer.exe 程序名”后面所加载的程序。
    • 43. 木马的查杀检查注册表:在注册表中,最有可能隐藏木马的地方是 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    • 44. 检查注册表 其他可能隐藏木马的注册表项还有: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\windows\Load HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\windows\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\ AppInit_DLLs木马的查杀
    • 45. 检查服务 开始\程序\管理工具\服务 检查系统进程 系统信息\软件环境\正在运行任务(win98)、Pstools (winnt/2k) 检查开放端口 Netstat –an(win98)、Fport(winnt/2k) 监视网络通讯 防火墙、网络监视器(win2k)、Sniffer 对可疑文件的分析 W32Dasm、IDA、Soft-ice木马的查杀
    • 46. 木马的查杀木马端口列表: http://www.tlsecurity.net/main.htm http://www.commodon.com/threat/threat-ports.htm http://www.chebucto.ns.ca/~rakerman/port-table.html
    • 47. 网络监听 / 嗅探(Sniffer)定义 嗅探器 (Sniffer)是能够从网络设备上捕获网络报文的一种工具 Sniffer名称的来由 通用网络公司开发的一个程序->NAI
    • 48. 监听工具—pswmonitor 该工具软件功能比较强大,可以监听的一个网段所有的用户名和密码,而且还可以指定发送的邮箱,设置的界面如图所示。请演示: pswmonitor监听工具
    • 49. GW (Server)1 C打开IP转发功能2 C发送假冒的arp包给B,声称自己是GW的IP地址3 B给外部发送数据,首先发给C4 C再转发给GW普通用户B嗅探者CARP欺骗 + Sniffer (一种中间人攻击)交换环境中的嗅探器
    • 50. Sniffer 危害嗅探器能够捕获口令 能够捕获专用的或者机密的信息 危害网络邻居的安全 获取更高级别的访问权限 获得进一步进行攻击需要的信息
    • 51. 网络监听安全对策规划网络 合理分段,采用交换机、路由器、网桥等设备,相互信任的主机处于同一网段 采用加密会话 对安全性要求高的数据通讯进行加密传输 例如采用目前比较流行的SSL协议以及使用SSH这样的安全产品传送敏感 使用一次性口令技术(OTP) 为了防止ARP欺骗,使用永久的ARP缓存条目 使用检测工具 TripWar Anti-Sniffer(L0pht,not free)
    • 52. 拒绝服务攻击(DOS) 拒绝服务攻击的简称是:DoS(Denial of Service)攻击,凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击,其目的是使目标计算机或网络无法提供正常的服务。 最常见的DoS攻击是:计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络,使网络所有可用的带宽都被消耗掉,最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机,最终导致计算机无法再处理合法用户的请求。
    • 53. TCP SYN Attack Ping of Death消耗系统资源(带宽、内存、队列、CPU…) 系统宕机…… 阻止授权用户正常访问网络(慢、不能连接、没有响应……)CPU拒绝服务攻击DOS!!!
    • 54. 拒绝服务攻击为什么要进行Dos攻击 放置木马需要重启 使用IP欺骗,使冒用主机瘫痪 使得被攻击的目标主机的日志系统失效 常见DoS攻击种类 死亡之Ping, land, teardrop, SYN flood ICMP: smurf
    • 55. 拒绝服务: LAND 攻击攻击者 172.18.1.1InternetCode目标 204.241.161.12欺骗性的 IP 包 源地址 204.241.161.12 Port 139 目的地址 204.241.161.12 Port 139 TCP OpenG. Mark Hardy
    • 56. 攻击者 172.18.1.1InternetCode目标 204.241.161.12 IP包欺骗 源地址 204.241.161.12 Port 139 目的地址 204.241.161.12 Port 139 包被送回它自己崩溃G. Mark Hardy拒绝服务: LAND 攻击
    • 57. LAND攻击防范:代理类的防火墙攻击者 172.18.1.1InternetCode目标 204.241.161.12IP包欺骗 源地址 204.241.161.12 Port 139 目标地址 204.241.161.12 Port 139 TCP Open防火墙防火墙把有危险的包 阻隔在网络外G. Mark Hardy
    • 58. TCP 同步泛滥攻击者 172.18.1.1InternetCode目标 192.0.2.1欺骗性的 IP 包 源地址不存在 目标地址是 192.0.2.1 TCP OpenG. Mark Hardy
    • 59. TCP SYN 泛滥攻击者 172.18.1.1InternetCode目标 192.0.2.1同步应答响应 源地址 192.0.2.1 目标地址不存在 TCP ACK崩溃G. Mark Hardy
    • 60. TCP SYN 泛滥攻击的安全对策G. Mark Hardy法一:缩短SYN Timeout时间 —— 由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数,这个值=SYN攻击的频度 x  SYN Timeout,所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间,例如设置为20秒以下(过低的SYN Timeout设置可能会影响客户的正常访问),可以成倍的降低服务器的负荷。 法二:设置SYN Cookie —— 就是给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被丢弃。
    • 61. Smuff 攻击第一步:攻击者向被利用网络A的广播地址发送一个ICMP 协议的’echo’请求数据报,该数据报源地址被伪造成10.254.8.9第二步:网络A上的所有 主机都向该伪造的源地址 返回一个‘echo’响应,造成该主机服务中断。
    • 62. 分布式拒绝服务(DDOS)以破坏系统或网络的可用性为目标 常用的工具: Trin00 TFN/TFN2K Stacheldraht 很难防范 伪造源地址,流量加密 很难跟踪clienttargethandler...agent...DoSICMP Flood / SYN Flood / UDP Flood
    • 63. DDoS
    • 64. 分布式拒绝服务攻击步骤1Scanning Program不安全的计算机Hacker 攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。1Internet
    • 65. Hacker被控制的计算机(代理端) 黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。2Internet分布式拒绝服务攻击步骤2
    • 66. Hacker 黑客在得到入侵计算机清单后,从中选出满足建立网络所需要的主机,放置已编译好的守护程序,并对被控制的计算机发送命令。 3被控制计算机(代理端)Master ServerInternet分布式拒绝服务攻击步骤3
    • 67. Hacker Using Client program, 黑客发送控制命令给主机,准备启动对目标系统的攻击4被控制计算机(代理端)Targeted SystemMaster ServerInternet分布式拒绝服务攻击步骤4
    • 68. InternetHacker 主机发送攻击信号给被控制计算机开始对目标系统发起攻击。5Master ServerTargeted System 被控制计算机(代理端)分布式拒绝服务攻击步骤5
    • 69. Targeted SystemHacker 目标系统被无数的伪造的请求所淹没,从而无法对合法用户进行响应,DDOS攻击成功。6Master ServerUserRequest DeniedInternet被控制计算机(代理端)分布式拒绝服务攻击步骤6
    • 70. 分布式拒绝服务攻击DDOS攻击危害的严重性: 由于整个过程是自动化的,攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说,在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击,这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。
    • 71. 分布式拒绝服务攻击预防DDOS攻击的措施 确保主机不被入侵且是安全的; 周期性审核系统; 检查文件完整性; 优化路由和网络结构; 优化对外开放访问的主机; 在网络上建立一个过滤器(filter)或侦测器(sniffer),在攻击信息到达之前阻挡攻击信息。
    • 72. 对付 DDoS 攻击的方法1.定期扫描现有的网络主节点,清查可能存在的安全漏洞。对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用最佳位置,因此对这些主机本身加强主机安全是非常重要的。 2.在骨干节点上的防火墙的配置至关重要。防火墙本身能抵御DDOS攻击和其它一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样保护真正的主机不被瘫痪。
    • 73. 对付 DDoS 攻击的方法3.用足够的机器承受黑客攻击。这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿。 4.充分利用网络设备保护网络资源。所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。  
    • 74. 对付 DDoS 攻击的方法5.使用Inexpress、Express Forwarding过滤不必要的服务和端口,即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包 Source IP 和 Routing Table 做比较,并加以过滤。 6.使用Unicast Reverse Path Forwarding检查访问者的来源。它通过反向路由表查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处,因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
    • 75. 对付 DDoS 攻击的方法7.过滤所有RFC1918 IP地址。RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0和172.16.0.0,它们不是某个网段的固定IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。 8.限制SYN/ICMP流量。用户应在路由器上配置SYN/ICMP的最大流量来限制 SYN/ICMP 封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。
    • 76. 对付正在进行的DDOS方法如果用户正在遭受攻击,他所能做的抵御工作非常有限。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户,很可能用户在还没回过神之际,网络已经瘫痪。但是,用户还是可以抓住机会寻求一线希望的。 首先,检查攻击来源,通常黑客会通过很多假的IP地址发起攻击,此时,用户若能够分辨出哪些是真IP地址,哪些是假IP地址,然后了解这些IP来自哪些网段,再找网段管理员把机器关掉,即可消除攻击。 其次,找出攻击者所经过的路由,把攻击屏蔽掉。若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以狙击入侵。 最后一种比较折衷的方法是在路由器上滤掉ICMP包。
    • 77. 欺骗攻击纯技术性 利用了TCP/IP协议的缺陷 不涉及系统漏洞 较为罕见 1994.12.25,凯文.米特尼克利用IP欺骗技术攻破了San Diego计算中心 1999年,RSA Security公司网站遭受DNS欺骗攻击 1998年,台湾某电子商务网站遭受Web欺骗攻击,造成大量客户的信用卡密码泄漏 欺骗攻击的主要类型: IP欺骗攻击 Web欺骗攻击 DNS欺骗攻击
    • 78. 后门程序BO、netbus Service/Daemon 帐户 其他
    • 79. 新一代恶意代码(蠕虫、木马)2002网络攻击手段的融合
    • 80. 一、网络安全基本概念二、网络安全基础知识目录三、攻击的基本概念四、常见攻击手段及防御措施五、网络安全发展方向
    • 81. 网络安全发展方向-追求实效安全理念 主动防御 安全工具 高性能 高安全 高可靠 安全管理 注重制度建设和安全人才培养
    • 82. (本页无文本内容)
    杨***1
    下载需要 10 香币 [ 香币充值 ]
    亲,您也可以通过 分享原创文档来获得香币奖励!

    服务器/托管费、人工审核、技术维护等都需要很多费用,请您支持香当网的发展

    下载PPT

    该用户的其他文档

    相关PPT

     基金基础知识ppt
     书法基础知识PPT
     心电图的基础知识PPT
     机关党务基础知识ppt
     服装基础知识PPT
     网络安全—技术与实践ppt
     网络安全及信息素养ppt
     商业银行基础知识ppt
     财务基础知识及报税ppt
     茶艺基础知识PPT

    相关文档