1、网络攻击与防范 原理与实践,牛少彰,第一篇 网络攻击与防范概论,第1章 网络攻击与防范的历史、现状与发展趋势1.1 网络与黑客的历史1.1.1计算机网络的历史1.1.2黑客的历史1.2 网络攻击技术的回顾与演变1.3 网络安全技术现状与发展 第2章 网络攻击与防范的方法2.1 网络攻击的目的2.2 网络攻击的方法分类2.3 网络安全策略2.4 网络防范的方法分类2.5 网络攻击与防范的博弈 第3章 网络攻击与防范模型3.1 网络攻击的整体模型描述3.2 网络防范的原理及模型3.3 网络攻防实训平台的建设总体方案,第一篇 网络攻击与防范概论,计算机互联网络全面进入千家万户。 信息成为人类社会必须
2、的重要资源。 网络的安全问题也日渐突出而且情况也越来越复杂。 从大的方面来说,网络信息安全问题已威胁到国家的政治、经济、军事、文化、意识形态等领域。 从小的方面来说,也是人们能否保护自己个人隐私的关键。网络信息安全是社会稳定安全的必要前提条件。,第一篇 网络攻击与防范概论,网络是开放的、共享的。 对网络与计算机安全的研究不能仅限于防御手段,还要从非法获取目标主机的系统信息,非法挖掘系统弱点等技术进行研究。 只有了解了攻击者的手法,我们才能更好地采取措施,来保护我们的网络与计算机系统正常运行。,第1章 网络攻击与防范的历史、现状与发展趋势,一、网络与黑客的历史 二、网络攻击技术 三、网络安全技术
3、,一、网络与黑客的历史,计算机网络的历史 黑客的历史,计算机网络的历史,计算机网络的发展历史不长,但发展速度很快。 1946年世界上第一台数字电子计算机。 网络发展最初可以追溯到20世纪50年代,1954年制造出了终端,人们用这种终端将穿孔卡片上的数据从电话线路上发送到远地的计算机。,计算机网络的历史,现代的计算机网络技术起始于20世纪60年代末。美国为了防止其军事指挥中心被苏联摧毁后,军事指挥出现瘫痪,于是开始设计一个由许多指挥点组成的分散指挥系统,以保证当其中一个指挥点被摧毁后,不至于出现全面瘫痪的现象。并把几个分散的指挥点通过某种通讯网连接起来成为一个整体。1969年,美国国防部高级研究
4、计划管理局( ARPA - - Advanced Research Projects Agency ),把4台军事及研究用电脑主机联接起来,于是ARPANET网络诞生了,ARPANET是计算机网络发展中的一个里程碑,是Internet出现的基础。,计算机网络的历史,1974年ARPA的鲍勃凯恩和斯坦福的温登泽夫合作,提出TCPIP协议。 1983年出现了可用于异构网络的TCP/IP协议, 1985年,美国科学家基金会(NSF)组建NSFNet。,计算机网络的历史,1986年,NSFNet网络奠定了其成为今后Internet主干网的地位的基础。 1991年,Internet开始用于商业用途 如今
5、随着网络技术的成熟,高速局域网技术迅速发展,使得网络成为了我们生活中不可缺的一个重要组成部分。,计算机网络的历史,计算机网络的发展的特点是:互连高速智能更为广泛的应用。,计算机网络的历史,计算机网络是计算机技术和通信技术紧密结合的产物,它涉及到通信与计算机两个领域。 计算机网络的诞生使计算机体系结构发生了巨大变化,在当今社会经济中起着非常重要的作用,它对人类社会的进步做出了巨大贡献。,黑客的历史,什么是黑客 ?,黑客hacker是那些检查(网络)系统完整性和安全性的人,他们通常非常精通计算机硬件和软件知识,并有能力通过创新的方法剖析系统。“黑客”通常会去寻找网络中漏洞,但是往往并不去破坏计算机
6、系统。 入侵者Cracker只不过是那些利用网络漏洞破坏网络的人,他们往往会通过计算机系统漏洞来入侵,他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。 现在hacker和Cracker已经混为一谈,人们通常将入侵计算机系统的人统称为黑客.,黑客的重要事件,几十年来,黑客的重要事件有: 20世纪50年代,麻省理工学院电子实验室,第一位黑客就诞生在那里。 1979年,15岁的凯文米特尼克成功地入侵了北美防空指挥部的主机。 1983年,由6位黑客组成的小组入侵了洛斯阿拉莫斯国家实验室。最大的年龄才19岁。 1987年,赫尔伯特入侵美国电话公司,他也是黑客中第一位被判刑的人,当年他17岁。
7、,黑客的重要事件,1988年,莫里斯导致了“蠕虫”事件。美国国防部不得不切断军事网与ARPANet之间物理上的连接。 1995年,俄罗斯黑客列文盗取银行资金370多万美金,被判刑;同年,著名黑客凯文米特尼克被捕。 1998年,中国镇江黑客赫景华兄弟俩人因盗窃银行资金被判死刑;同年,中国黑客爆发了大规模的抗议行动,抗议印尼对当地华人实施的暴行。,黑客的重要事件,1999年,中国黑客集体攻占美国各大网站,造成美国方面的巨大损失; 2000年,雅虎、CNN等各大网站遭到了DDoS的攻击,网络大面积瘫痪; 2001年4月4日,美国一些黑客组织相继对中国的一些政府、企业、教育、科研、电信等网站进行进攻。
8、特别是中美撞机事件发生后,我国的一些黑客组织发起了一场网络反击战。这样,便引发了一个具有历史意义的时间中美黑客大站。,黑客的重要事件,2001年,8月红色代码事件;2001年9月尼姆达事件;12月5日,美国计算机安全事故协调中心(CERT)遭黑客袭击,造成该中心网站不能正常工作,该中心主任理查得玻西亚说:“黑客攻击提醒我们,没有任何电脑系统是完全免疫的。” 2003年1月SQL SLAMMER事件,2003年3月口令蠕虫事件,2003年3月红色代码F变种事件。,黑客的重要事件,2003年8月“冲击波”蠕虫事件。 2003年8月11日,“冲击波”病毒开始在美国出现,随后不到一周之内,全球近四十万
9、台使用了Windows系列操作系统的电脑均被感染。“冲击波”恶性电脑蠕虫病毒在全球范围内迅速泛滥,所到之处,电脑反复重新启动,文件大量丢失,而幸免于难者无几。美国联邦调查局经过调查宣称,他们找到了影响全球电脑的“冲击波”病毒制造者之一:一个年仅18岁的青年。,黑客的重要事件,2003年9月9日,以技术高超、神出鬼没而出名的美国黑客阿德里安拉莫来到加利福尼亚州的一家联邦法院自首。他在过去几年内曾成功入侵了google、雅虎、纽约时报等多家大型网站。 2004年,美国当地时间6月15日早上,美国互联网服务公司AKAMAI受到黑客袭击,致使在两个小时的时间里,雅虎、GOOGLE和微软等著名企业的网站
10、无法正常登陆。 2004年病毒和黑客的破坏仍然呈上升趋势,造病毒越来越容易,病毒变种越来越多,黑客越来越聪明,骗术越来越高。,黑客的重要事件,在我国,早在1993年,中科院高能所通过专线接入Internet时,国外黑客就入侵过高能所的系统。1996年2月,刚开通不久的CHINANET受到攻击,并且得逞,不但网络上的主机系统遭受攻击,就是拨号上网的个人用户也难以逃脱黑客的魔爪。2005年1月,辽宁沈阳铁通的网络也遭受了黑客攻击,导致大量宽带用户不能上网。,我国黑客历史,大体可以分成以下几个阶段:第一代(1996-1998年) 第二代(1998-2000年)第三代(2000年至今),我国黑客历史,
11、第一代(1996-1998年)1996年Internet在中国兴起,但是由于受到各种条件的制约,很多人根本没机会接触网络。当时计算机在中国还没有达到普及的程度,大部分地区还没有开通因特网的接入服务,所以中国第一代黑客大多是从事科研工作的人,只有他们才有机会频繁的接触计算机和网络。,我国黑客历史,第二代(1998-2000年)随着计算机的普及和Internet的发展,越来越多的人有机会接触计算机和网络。在第一代黑客的影响和指点下,中国出现第二代黑客。他们一步分是从事计算机行业的工作者和网络爱好者,另一部分是在校学生。这一代的兴起是由1999年5月8日美国轰炸中国驻南斯拉夫大使馆事件引发的,黑客代
12、表组织为原“中国黑客联盟”。,我国黑客历史,第三代(2000年至今)这一代黑客主要由在校学生组成,其技术水平和文化素质与第一代、第二代黑客相差甚远,大都是照搬网上一些由前人总结出来的经验和攻击手法。现在网络上所谓的入侵者也是由这一代组成。但是领导这一代的核心成员还是那些第一代、第二代的黑客们。黑客代表组织为“红客联盟”、“中国鹰派”。,一、网络与黑客的历史 二、网络攻击技术 三、网络安全技术,第1章 网络攻击与防范的历史、现状与发展趋势,二、网络攻击技术,由于系统脆弱性的客观存在,操作系统、应用软件、硬件设备不可避免地存在一些安全漏洞,网络协议本身的设计也存在一些安全隐患,这些都为攻击者采用非
13、正常手段入侵系统提供了可乘之机。Internet目前已经成为全球信息基础设施的骨干网络,Internet本身所具有的开放性和共享性对信息的安全问题提出了严峻的挑战。,二、网络攻击技术,据统计,目前在遭受黑客攻击最为频繁的国家中,中国已经位居第三位。常见的网络安全问题表现为:网站被黑、数据被改、数据被窃、秘密泄漏、越权浏览、非法删除、病毒侵害、系统故障等。秘密泄露,防不胜防。,二、网络攻击技术,美国FBI的调查表明:来自外部的攻击仅占20%,80%的攻击来自内部。我国的安全调查结论是:来自内部80%,内部外部勾结15%,来自外部5%。,二、网络攻击技术,十几年前,网络攻击还仅限于破解口令和利用操
14、作系统已知漏洞等有限的几种方法,目前网络攻击技术已经随着计算机和网络技术的发展逐步成为一门完整的科学,它囊括了攻目标系统信息收集、弱点信息挖掘分析、目标使用权限获取、攻击行为隐蔽、攻击实施、开辟后门以及攻击痕迹清除等各项技术。,二、网络攻击技术,近年来网络攻击技术和攻击工具发展很快,使得一般的计算机爱好者要想成为一名准黑客非常容易。如今各种黑客工具唾手可得,各种各样的黑客网站到处都是。,二、网络攻击技术,目前应该特别注意网络攻击技术和攻击工具正在以下几个方面快速发展。1. 攻击技术手段在快速改变网络攻击的自动化程度和攻击速度不断提高,扫描工具的发展,使得黑客能够利用更先进的扫描模式来改善扫描效
15、果,提高扫描速度;技术交流不断,网络攻击已经从个人独自思考到有组织的技术交流,培训的改变。,网络攻击特点,2. 安全漏洞的被利用的速度越来越快新发现的各种系统与网络安全漏洞每年都要增加一倍,每年都会发现安全漏洞的新类型,网络管理员需要不断用最新的软件补丁修补这些漏洞。黑客经常能够抢在厂商修补这些漏洞前发现这些漏洞并发起攻击。3. 有组织的攻击越来越多攻击的群体在改变,从个体到有组织的群体的变化。各种各样黑客组织不断涌现,进行协同作战。,网络攻击特点,4. 攻击的目的和目标在改变从早期的以个人表现的无目的的攻击到有意识有目的的攻击改变,攻击目标在改变,从早期的以军事敌对为目标向民用目标转变,民用
16、计算机受到越来越多的攻击,公司甚至个人的电脑都成为了攻击目标。黑客们已经不再满足于简单、虚无飘渺的名誉追求,更多的攻击背后是丰厚的经济利益。据美国联邦调查局统计,美国每年因网络安全造成的损失高达75亿美元。,网络攻击特点,5. 攻击行为越来越来越隐蔽攻击者已经具备了反侦破、动态行为、攻击工具更加成熟等特点。反侦破是指黑客越来越多地采用具有隐蔽攻击工具特性的技术,使安全专家需要耗费更多的时间来分析新出现的攻击工具和了解新的攻击行为。,网络攻击特点,6. 攻击者的数量不断增加,破坏效果越来越大由于用户越来越多地依赖计算机网络提供各种服务,完成日常业务,黑客攻击网络基础设施造成的破坏影响越来越大。由
17、于攻击技术的进步,攻击者可以较容易地利用分布式攻击系统,对受害者发动破坏性攻击。随着黑客软件部署自动化程度和攻击工具管理技巧的提高,安全威胁的不对称性将继续增加。,一、网络与黑客的历史 二、网络攻击技术 三、网络安全技术,第1章 网络攻击与防范的历史、现状与发展趋势,三、网络安全技术,当前,网络安全的话题炙手可热。人们从来没有象今天这样来关心自己网络存在的安全问题,由于“黑客”活动日益猖獗、病毒泛滥、Windows系统漏洞百出以及技术手段不完备,使得人们将更多的精力放在网络的安全防范上。,三、网络安全技术,网络安全防范的重点主要有两个方面:计算机病毒,黑客犯罪。一个安全的计算机网络应该具有可靠
18、性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全等。,三、网络安全技术,网络安全的技术措施总体来说就是建立从外到信里、从上到下、分层和多点的深度防御技术体系。分层防护从网络基础设施、边界、本地计算环境来从外到里分层防御;多点防御在每个防御点,综合多项技术措施进行综合互补、互助和从上到下的多点防御;建立密钥管理基础设施和检测响应基础设施的技术支持基础设施。,三、网络安全技术,由于网络安全涉及很多方面,包括网络设备、网络拓扑、安全产品、安全研究、漏洞解决、系统加固、系统应用等一系列专有技术,现在存在的主要的网络安全技术有:,三、
19、网络安全技术,1防火墙技术 网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。,FW示意图,Internet,192.168.200.1,192.168.200.2,192.168.200.100,WWW,PC,PC,Server,防火墙技术,虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。,三、网络安全技术,2加
20、密技术 信息交换加密技术分为两类:(1)对称加密(2)非对称加密在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。,非对称加密,在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能由生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,
21、广泛应用于身份认证、数字签名等信息交换领域。,三、网络安全技术,3虚拟专用网技术 虚拟专用网(Virtual Private Network,VPN)是近年来随着Internet的发展而迅速发展起来的一种技术。VPN是综合利用身份标识与认证技术、访问控制技术、隧道技术、完整性保护、加密技术和密钥管理技术等,并通过完善的安全虚拟专网管理机制,在公用的通信信道上建立安全虚拟专用网络,实现完整的网络通信平台安全解决方案。,三、网络安全技术,4入侵检测技术入侵检测系统(Intrusion Detection System,IDS)是完成入侵检测功能的软件、硬件及其组合,它试图检测、识别和隔离有“入侵”
22、企图的操作或计算机的不恰当未授权使用。该系统从多种计算机系统及网络中收集信息,再从这些信息分析入侵及误用特征。,三、网络安全技术,5安全扫描技术安全扫描器瞄准网络中存在的最新的脆弱性和漏洞,能够全方位、多侧面地对网络安全可能存在的隐患进行扫描分析,并将最新的漏洞,将其加入到漏洞库中,大大减少用户系统中的隐患。,三、网络安全技术,6安全隔离技术隔离概念的出现,是为了保护高安全性网络环境。面对新型网络攻击手段的不断出现和高安全网络的特殊需求,全新安全防护理念-“安全隔离技术“应运而生。它的目标是,在确保把有害攻击隔离在可信网络之外,并保证可信网络内部信息不外泄的前提下,完成网间信息的安全交换。,三
23、、网络安全技术,7. 防病毒技术由于计算机机病毒具有传染的泛滥性,病毒侵害的主动性,病毒程序外形检测的难以确定性,病毒行为判定的不确定性、非法性与隐蔽性、衍生性、衍生体的不等性和可激发性等特性,配备新近的杀毒工具软件是完全必要的。,三、网络安全技术,8. 系统备份和灾难恢复根据信息系统建设的具体情况,可采用线路备份以及数据备份应用系统备份。各级数据库除了自身定期备份外,各局域网还要对其数据库定期异地备份。本地和异地两套系统同步运行,都是双机热备份。,数据备份与恢复,三、网络安全技术,网络安全的技术还有许多,例如反垃圾邮件技术。网络欺骗。,网络欺骗,网络欺骗就是使入侵者相信信息系统存在有价值的、可利用的安全弱点,并具有一些可攻击窃取的资源(当然这些资源是伪造的或不重要的),并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性,从而使入侵者不知道其进攻是否奏效或成功。而且,它允许防护者跟踪入侵者的行为,在入侵者之前修补系统可能存在的安全漏洞。网络欺骗能够迅速地检测到入侵者的进攻并获知其进攻技术和意图,网络欺骗的主要技术为蜜罐与蜜网技术,在网络攻击和安全防护的相互促进发展过程中,网络欺骗技术将具有广阔的发展前景。,小结,面对如此猖狂的黑客攻击,除了合适的安全产品的选型和部署外,还需要完善的系统加固处理,良好的安全管理培训以及快速的安全事件响应。,
