信息安全概論第三部分網(wǎng)絡(luò)安全技術(shù)國(guó)家示范軟件學(xué)院主講：趙洋E-mail：zhaoyang@2025/8/8主講：趙洋課程：信息安全概論2內(nèi)容提要典型的安全攻擊1防火墻技術(shù)2入侵檢測(cè)技術(shù)3系統(tǒng)與應(yīng)用安全4典型的安全攻擊2025/8/8主講：趙洋課程：信息安全概論4引言INTERNET的美妙之處在于你和每個(gè)人都能互相連接INTERNET的可怕之處在于每個(gè)人都能和你互相連接2025/8/8主講：趙洋課程：信息安全概論5一、社會(huì)工程學(xué)攻擊社會(huì)工程學(xué)攻擊就是利用人們的心理特征，騙取用戶的信任，獲取機(jī)密信息、系統(tǒng)設(shè)置等等不公開資料，為黑客攻擊和病毒感染創(chuàng)造有利條件。典型的攻擊方式電話請(qǐng)求密碼偽造E-mail釣魚網(wǎng)站2025/8/8主講：趙洋課程：信息安全概論6二、物理攻擊物理攻擊是通過(guò)物理途徑實(shí)施的攻擊行為——入侵者利用管理缺陷或人們的疏忽大意，乘虛而入，侵入目標(biāo)主機(jī)，或企圖登錄系統(tǒng)，或偷竊重要資源進(jìn)行研究分析。物理攻擊往往來(lái)源于內(nèi)部能夠接觸到物理設(shè)備的用戶，因此保護(hù)重要的設(shè)備不被非授權(quán)使用是防范物理攻擊的關(guān)鍵。2025/8/8主講：趙洋課程：信息安全概論7案例得到管理員密碼用戶登錄以后，所有的用戶信息都存儲(chǔ)在系統(tǒng)的一個(gè)進(jìn)程中，這個(gè)進(jìn)程是：“winlogon.exe”，可以利用程序?qū)?dāng)前登錄用戶的密碼解碼出來(lái)，如圖所示。2025/8/8主講：趙洋課程：信息安全概論8案例

得到管理員密碼使用FindPass等工具可以對(duì)該進(jìn)程進(jìn)行解碼，然后將當(dāng)前用戶的密碼顯示出來(lái)。將FindPass.exe拷貝到C盤根目錄，執(zhí)行該程序，將得到當(dāng)前用戶得登錄名，如圖

所示。2025/8/8主講：趙洋課程：信息安全概論9三、暴力攻擊暴力攻擊的一個(gè)具體例子是，一個(gè)黑客試圖使用計(jì)算機(jī)和信息去破解一個(gè)密碼。一個(gè)黑客需要破解—段單一的被用非對(duì)稱密鑰加密的信息，為了破解這種算法，一個(gè)黑客需要求助于非常精密復(fù)雜的方法，它使用120個(gè)工作站，兩個(gè)超級(jí)計(jì)算機(jī)利用從三個(gè)主要的研究中心獲得的信息，即使擁有這種配備，它也將花掉八天的時(shí)間去破解加密算法，實(shí)際上破解加密過(guò)程八天已是非常短暫的時(shí)間了。2025/8/8主講：趙洋課程：信息安全概論10字典文件一次字典攻擊能否成功，很大因素上決定與字典文件。一個(gè)好的字典文件可以高效快速的得到系統(tǒng)的密碼。攻擊不同的公司、不通地域的計(jì)算機(jī)，可以根據(jù)公司管理員的姓氏以及家人的生日，可以作為字典文件的一部分，公司以及部門的簡(jiǎn)稱一般也可以作為字典文件的一部分，這樣可以大大的提高破解效率。一個(gè)字典文件本身就是一個(gè)標(biāo)準(zhǔn)的文本文件，其中的每一行就代表一個(gè)可能的密碼。目前有很多工具軟件專門來(lái)創(chuàng)建字典文件，圖

是一個(gè)簡(jiǎn)單的字典文件。2025/8/8主講：趙洋課程：信息安全概論11暴力破解操作系統(tǒng)密碼字典文件為暴力破解提供了一條捷徑，程序首先通過(guò)掃描得到系統(tǒng)的用戶，然后利用字典中每一個(gè)密碼來(lái)登錄系統(tǒng)，看是否成功，如果成功則將密碼顯示案例

暴力破解操作系統(tǒng)密碼比如使用GetNTUser依然可以將管理員密碼破解出來(lái)，如圖

所示。2025/8/8主講：趙洋課程：信息安全概論12暴力破解郵箱密碼郵箱的密碼一般需要設(shè)置到八位以上，否則七位以下的密碼容易被破解。尤其七位全部是數(shù)字，更容易被破解。案例

電子郵箱暴力破解破解電子郵箱密碼，一個(gè)比較著名的工具軟件是：黑雨——POP3郵箱密碼暴力破解器，比較穩(wěn)定的版本是2.3.1，主界面如圖

所示。2025/8/8主講：趙洋課程：信息安全概論13暴力破解軟件密碼許多軟件都具有加密的功能，比如Office文檔、Winzip文檔和Winrar文檔等等。這些文檔密碼可以有效的防止文檔被他人使用和閱讀。但是如果密碼位數(shù)不夠長(zhǎng)的話，同樣容易被破解。案例Office文檔暴力破解

2025/8/8主講：趙洋課程：信息安全概論14修改權(quán)限密碼在對(duì)話框中選擇選項(xiàng)卡“安全性”，在打開權(quán)限密碼和修改權(quán)限密碼的兩個(gè)文本框中都輸入“999”，如圖

所示。2025/8/8主講：趙洋課程：信息安全概論15輸入密碼保存并關(guān)閉該文檔，然后再打開，就需要輸入密碼了，如圖

所示。2025/8/8主講：趙洋課程：信息安全概論16破解Word文檔密碼該密碼是三位的，使用工具軟件，AdvancedOfficeXPPasswordRecovery可以快速破解Word文檔密碼，主界面如圖

所示。2025/8/8主講：趙洋課程：信息安全概論17破解Word文檔密碼點(diǎn)擊工具欄按鈕“OpenFile”，打開剛才建立的Word文檔，程序打開成功后會(huì)在LogWindow中顯示成功打開的消息，如圖

所示。2025/8/8主講：趙洋課程：信息安全概論18破解Word文檔密碼設(shè)置密碼長(zhǎng)度最短是一位，最長(zhǎng)是三位，點(diǎn)擊工具欄開始的圖標(biāo)，開始破解密碼，大約兩秒鐘后，密碼被破解了，如圖所示。2025/8/8主講：趙洋課程：信息安全概論19什么是好的密碼？避免使用字典詞句，專有名詞或外國(guó)語(yǔ)的詞句密碼破解工具一般是在處理大量由字母和數(shù)字組合體直到他匹配到一個(gè)密碼，這往往是很有效，因此應(yīng)該避免使用傳統(tǒng)的詞句作密碼。避免使用個(gè)人信息通過(guò)社會(huì)工程學(xué)，黑客容易獲取預(yù)定目標(biāo)的個(gè)人信息。因此不推薦密碼中含有此類信息。也就是說(shuō)密碼里不應(yīng)該包含任何有關(guān)于用戶的名字，呢稱或家庭成員或?qū)櫸锏拿?。而且，密碼也不應(yīng)該含有任何容易被認(rèn)出的數(shù)字，像電話號(hào)碼、地址或者其他的一些可以從你的郵件上猜測(cè)出的信息，如郵政編碼。長(zhǎng)度，廣度和深度實(shí)例：Helloword，19831205，1356688934，zhaoyang，!gowyqsrw2025/8/8主講：趙洋課程：信息安全概論20四、系統(tǒng)漏洞攻擊系統(tǒng)漏洞又稱安全缺陷，即某個(gè)程序(包括操作系統(tǒng))在設(shè)計(jì)時(shí)未考慮周全，當(dāng)程序遇到一個(gè)看似合理，但實(shí)際無(wú)法處理的問(wèn)題時(shí)，引發(fā)的不可預(yù)見的錯(cuò)誤。漏洞的產(chǎn)生大致有三個(gè)原因，具體如下所述：編程人員的人為因素，在程序編寫過(guò)程，為實(shí)現(xiàn)不可告人的目的，在程序代碼的隱蔽處保留后門。受編程人員的能力、經(jīng)驗(yàn)和當(dāng)時(shí)安全技術(shù)所限，在程序中難免會(huì)有不足之處，輕則影響程序效率，重則導(dǎo)致非授權(quán)用戶的權(quán)限提升。由于系統(tǒng)開發(fā)環(huán)境原因，使編程人員無(wú)法彌補(bǔ)系統(tǒng)環(huán)境中的漏洞，從而使問(wèn)題通過(guò)軟件表現(xiàn)。2025/8/8主講：趙洋課程：信息安全概論21緩沖區(qū)溢出攻擊目前最流行的一種攻擊技術(shù)就是緩沖區(qū)溢出攻擊。當(dāng)目標(biāo)操作系統(tǒng)收到了超過(guò)了它的最大能接收的信息量的時(shí)候，將發(fā)生緩沖區(qū)溢出。這些多余的數(shù)據(jù)將使程序的緩沖區(qū)溢出，然后覆蓋了實(shí)際的程序數(shù)據(jù)，緩沖區(qū)溢出使目標(biāo)系統(tǒng)的程序被修改，經(jīng)過(guò)這種修改的結(jié)果使在系統(tǒng)上產(chǎn)生一個(gè)后門。這項(xiàng)攻擊對(duì)技術(shù)要求比較高，但是攻擊的過(guò)程卻非常簡(jiǎn)單。緩沖區(qū)溢出原理很簡(jiǎn)單，比如程序：2025/8/8主講：趙洋課程：信息安全概論22緩沖區(qū)溢出攻擊voidfunction(char*szPara1){ charbuff[16]; strcpy(buffer,szPara1);}程序中利用strcpy函數(shù)將szPara1中的內(nèi)容拷貝到buff中，只要szPara1的長(zhǎng)度大于16，就會(huì)造成緩沖區(qū)溢出。存在strcpy函數(shù)這樣問(wèn)題的C語(yǔ)言函數(shù)還有：strcat()、gets()、scanf()等。2025/8/8主講：趙洋課程：信息安全概論23利用IIS溢出進(jìn)行攻擊案例

利用IIS溢出入侵系統(tǒng)利用軟件SnakeIIS溢出工具可以讓對(duì)方的IIS溢出，還可以捆綁執(zhí)行的命令和在對(duì)方計(jì)算機(jī)上開辟端口，工具軟件的主界面如圖所示。

2025/8/8主講：趙洋課程：信息安全概論24五、網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是黑客在局域網(wǎng)或路由器上進(jìn)行的一項(xiàng)黑客技術(shù)，他可以很容易地獲得用戶的密碼和賬號(hào)。網(wǎng)絡(luò)監(jiān)聽原本是網(wǎng)絡(luò)管理員使用的一個(gè)工具，主要用來(lái)監(jiān)視網(wǎng)絡(luò)的流量、狀態(tài)、數(shù)據(jù)等信息。它對(duì)網(wǎng)絡(luò)上流經(jīng)自己網(wǎng)段的所有數(shù)據(jù)進(jìn)行接收，從中發(fā)現(xiàn)用戶的有用信息。網(wǎng)絡(luò)監(jiān)聽是采用被動(dòng)的方式，它不與其他主機(jī)交換信息，也不修改密碼，這就使對(duì)監(jiān)聽者的追蹤變得十分困難。2025/8/8主講：趙洋課程：信息安全概論25共享環(huán)境下的嗅探技術(shù)原理在以太網(wǎng)中是基于廣播方式傳送數(shù)據(jù);網(wǎng)卡置于混雜模式下可以接收所有經(jīng)過(guò)的數(shù)據(jù)。工具Snifferpro、IRIS、netxray、etherealtcpdump、snoop、dsniff密碼監(jiān)聽工具WinSnifferp、pswmonitor、swmonitor、fssniffer2025/8/8主講：趙洋課程：信息安全概論26密碼嗅探器－WinSnifferWinSniffer專門用來(lái)截取局域網(wǎng)內(nèi)的密碼，比如登錄FTP，登錄Email等的密碼。2025/8/8主講：趙洋課程：信息安全概論27設(shè)置只要做簡(jiǎn)單的設(shè)置就可以進(jìn)行密碼抓取了，點(diǎn)擊工具欄圖標(biāo)“Adapter”，設(shè)置網(wǎng)卡，這里設(shè)置為本機(jī)的物理網(wǎng)卡就可以。2025/8/8主講：趙洋課程：信息安全概論28抓取密碼這樣就可以抓取密碼了，使用DOS命令行連接遠(yuǎn)程的FTP服務(wù)。2025/8/8主講：趙洋課程：信息安全概論29會(huì)話過(guò)程打開WinSniffer，看到剛才的會(huì)話過(guò)程已經(jīng)被記錄下來(lái)了，顯示了會(huì)話的一些基本信息。2025/8/8主講：趙洋課程：信息安全概論30監(jiān)聽工具-pswmonitor監(jiān)聽器pswmonitor用于監(jiān)聽基于WEB的郵箱密碼、POP3收信密碼和FTP登錄密碼等等，只需在一臺(tái)電腦上運(yùn)行，就可以監(jiān)聽局域網(wǎng)內(nèi)任意一臺(tái)電腦登錄的用戶名和密碼，并將密碼顯示、保存，或發(fā)送到用戶指定的郵箱。2025/8/8主講：趙洋課程：信息安全概論31監(jiān)聽工具-pswmonitor該工具軟件功能比較強(qiáng)大，可以監(jiān)聽的一個(gè)網(wǎng)段所有的用戶名和密碼，而且還可以指定發(fā)送的郵箱。2025/8/8主講：趙洋課程：信息安全概論32交換環(huán)境下的嗅探技術(shù)利用arp欺騙arpspoof，fragroute，dsniff①②③惡意代碼與病毒2025/8/8主講：趙洋課程：信息安全概論34惡意代碼概述惡意代碼（Maliciouscode）或者叫惡意軟件Malware（MaliciousSoftware）具有如下共同特征：惡意的目的本身是程序通過(guò)執(zhí)行發(fā)生作用2025/8/8主講：趙洋課程：信息安全概論35研究惡意代碼的必要性在Internet安全事件中，惡意代碼造成的經(jīng)濟(jì)損失占有最大的比例。惡意代碼主要包括計(jì)算機(jī)病毒（Virus）、蠕蟲（Worm）、木馬程序（TrojanHorse）、后門程序（Backdoor）、邏輯炸彈（LogicBomb）等等。與此同時(shí)，惡意代碼成為信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)的重要手段。日益嚴(yán)重的惡意代碼問(wèn)題，不僅使企業(yè)及用戶蒙受了巨大經(jīng)濟(jì)損失，而且使國(guó)家的安全面臨著嚴(yán)重威脅。惡意代碼攻擊成為信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)最重要的入侵手段之一。一個(gè)典型的例子是在電影《獨(dú)立日》中，美國(guó)空軍對(duì)外星飛船進(jìn)行核轟炸沒(méi)有效果，最后給敵人飛船系統(tǒng)注入惡意代碼，使敵人飛船的保護(hù)層失效，從而拯救了地球，從中可以看出惡意代碼研究的重要性。2025/8/8主講：趙洋課程：信息安全概論36惡意代碼的發(fā)展史惡意代碼經(jīng)過(guò)20多年的發(fā)展，破壞性、種類和感染性都得到增強(qiáng)。隨著計(jì)算機(jī)的網(wǎng)絡(luò)化程度逐步提高，網(wǎng)絡(luò)傳播的惡意代碼對(duì)人們?nèi)粘Ｉ钣绊懺絹?lái)越大。1988年11月泛濫的Morris蠕蟲，頃刻之間使得6000多臺(tái)計(jì)算機(jī)（占當(dāng)時(shí)Internet上計(jì)算機(jī)總數(shù)的10%多）癱瘓，造成嚴(yán)重的后果，并因此引起世界范圍內(nèi)關(guān)注。1998年CIH病毒造成數(shù)十萬(wàn)臺(tái)計(jì)算機(jī)受到破壞。1999年Happy99、Melissa病毒大爆發(fā)，Melissa病毒通過(guò)E-mail附件快速傳播而使E-mail服務(wù)器和網(wǎng)絡(luò)負(fù)載過(guò)重，它還將敏感的文檔在用戶不知情的情況下按地址簿中的地址發(fā)出。2000年5月爆發(fā)的“愛蟲”病毒及其以后出現(xiàn)的50多個(gè)變種病毒，是近年來(lái)讓計(jì)算機(jī)信息界付出極大代價(jià)的病毒，僅一年時(shí)間共感染了4000多萬(wàn)臺(tái)計(jì)算機(jī)，造成大約87億美元的經(jīng)濟(jì)損失。2025/8/8主講：趙洋課程：信息安全概論37惡意代碼的發(fā)展史2001年，國(guó)信安辦與公安部共同主辦了我國(guó)首次計(jì)算機(jī)病毒疫情網(wǎng)上調(diào)查工作。結(jié)果感染過(guò)計(jì)算機(jī)病毒的用戶高達(dá)73％，其中，感染三次以上的用戶又占59％多，網(wǎng)絡(luò)安全存在大量隱患。2001年8月，“紅色代碼”蠕蟲利用微軟Web服務(wù)器IIS4.0或5.0中Index服務(wù)的安全漏洞，攻破目標(biāo)機(jī)器，并通過(guò)自動(dòng)掃描方式傳播蠕蟲，在互聯(lián)網(wǎng)上大規(guī)模泛濫。2003年，SLammer蠕蟲在10分鐘內(nèi)導(dǎo)致互聯(lián)網(wǎng)90％脆弱主機(jī)受到感染。同年8月，“沖擊波”蠕蟲爆發(fā)，8天內(nèi)導(dǎo)致全球電腦用戶損失高達(dá)20億美元之多。2004年到2006年，振蕩波蠕蟲、愛情后門、波特后門等惡意代碼利用電子郵件和系統(tǒng)漏洞對(duì)網(wǎng)絡(luò)主機(jī)進(jìn)行瘋狂傳播，給國(guó)家和社會(huì)造成了巨大的經(jīng)濟(jì)損失。目前，惡意代碼問(wèn)題成為信息安全需要解決的，迫在眉睫的、刻不容緩的安全問(wèn)題。2025/8/8主講：趙洋課程：信息安全概論38惡意代碼的發(fā)展2025/8/8主講：趙洋課程：信息安全概論39惡意代碼的相關(guān)定義惡意代碼類型定義特點(diǎn)計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。潛伏、傳染和破壞計(jì)算機(jī)蠕蟲指通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)自我復(fù)制，消耗系統(tǒng)資源和網(wǎng)絡(luò)資源的程序掃描、攻擊和擴(kuò)散特洛伊木馬指一種與遠(yuǎn)程計(jì)算機(jī)建立連接，使遠(yuǎn)程計(jì)算機(jī)能夠通過(guò)網(wǎng)絡(luò)控制本地計(jì)算機(jī)的程序。欺騙、隱蔽和信息竊取邏輯炸彈指一段嵌入計(jì)算機(jī)系統(tǒng)程序的，通過(guò)特殊的數(shù)據(jù)或時(shí)間作為條件觸發(fā)，試圖完成一定破壞功能的程序。潛伏和破壞病菌指不依賴于系統(tǒng)軟件，能夠自我復(fù)制和傳播，以消耗系統(tǒng)資源為目的的程序。傳染和拒絕服務(wù)用戶級(jí)RootKit指通過(guò)替代或者修改被系統(tǒng)管理員或普通用戶執(zhí)行的程序進(jìn)入系統(tǒng)，從而實(shí)現(xiàn)隱藏和創(chuàng)建后門的程序。隱蔽，潛伏核心級(jí)RootKit指嵌入操作系統(tǒng)內(nèi)核進(jìn)行隱藏和創(chuàng)建后門的程序隱蔽，潛伏2025/8/8主講：趙洋課程：信息安全概論40Internet染毒電腦未修補(bǔ)漏洞的系統(tǒng)已修補(bǔ)漏洞的系統(tǒng)隨機(jī)攻擊隨機(jī)攻擊隨機(jī)攻擊被感染不被感染不被感染被感染被感染不被感染不被感染網(wǎng)絡(luò)病毒的傳播方式2025/8/8主講：趙洋課程：信息安全概論41CIH病毒的簽名CIH作者陳盈豪CIH病毒2025/8/8主講：趙洋課程：信息安全概論42恐怖的圖片和音樂(lè)女鬼病毒2025/8/8主講：趙洋課程：信息安全概論43巨大的黑白螺旋占據(jù)了屏幕位置，使計(jì)算機(jī)使用者無(wú)法進(jìn)行任何操作！白雪公主病毒2025/8/8主講：趙洋課程：信息安全概論44熊貓燒香2025/8/8主講：趙洋課程：信息安全概論45七、網(wǎng)絡(luò)掃描掃描的目的就是利用各種手段對(duì)目標(biāo)IP地址或地址段的主機(jī)進(jìn)行探測(cè)，掌握主機(jī)的相關(guān)信息，以及查找漏洞。掃描的類型活動(dòng)主機(jī)探測(cè)；端口掃描；指定漏洞掃描；綜合掃描。2025/8/8主講：趙洋課程：信息安全概論46掃描的方式手動(dòng)掃描Ping、Tracert、pathing、nslookup、Host使用工具軟件SSS（ShadowSecurityScanner）、X-Scan、PortScan、Shed2025/8/8主講：趙洋課程：信息安全概論47掃描策略慢速掃描和亂序掃描。慢速掃描：對(duì)非連續(xù)端口進(jìn)行掃描，并且源地址不一致、時(shí)間間隔長(zhǎng)沒(méi)有規(guī)律的掃描。亂序掃描：對(duì)連續(xù)的端口進(jìn)行掃描，源地址一致，時(shí)間間隔短的掃描。被動(dòng)式掃描和主動(dòng)式掃描被動(dòng)式掃描是基于主機(jī)之上，對(duì)系統(tǒng)中不合適的設(shè)置，脆弱的口令以及其他同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查。主動(dòng)式掃描對(duì)系統(tǒng)進(jìn)行模擬攻擊，可能會(huì)對(duì)系統(tǒng)造成破壞。2025/8/8主講：趙洋課程：信息安全概論48端口掃描－PortScan在Scan文本框中輸入IP地址，點(diǎn)擊按鈕“START”，開始掃描。2025/8/8主講：趙洋課程：信息安全概論49共享掃描－Shed該軟件可以掃描一個(gè)IP地址段的共享信息。2025/8/8主講：趙洋課程：信息安全概論50漏洞掃描－X-Scan-v2.3該軟件的系統(tǒng)要求為：Windows9x/NT4/2000。該軟件采用多線程方式對(duì)指定IP地址段(（或單機(jī)）進(jìn)行安全漏洞檢測(cè)，支持插件功能，提供了圖形界面和命令行兩種操作方式掃描內(nèi)容包括：遠(yuǎn)程操作系統(tǒng)類型及版本標(biāo)準(zhǔn)端口狀態(tài)及端口Banner信息SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVERNT-SERVER弱口令用戶，NT服務(wù)器NETBIOS信息注冊(cè)表信息等。2025/8/8主講：趙洋課程：信息安全概論51X-Scan-v2.3主界面掃描結(jié)果保存在/log/目錄中，index_*.htm為掃描結(jié)果索引文件。2025/8/8主講：趙洋課程：信息安全概論52X-Scan-v2.3掃描參數(shù)可以利用該軟件對(duì)系統(tǒng)存在的一些漏洞進(jìn)行掃描，選擇菜單欄設(shè)置下的菜單項(xiàng)“掃描參數(shù)”。2025/8/8主講：趙洋課程：信息安全概論53設(shè)定掃描對(duì)象確定要掃描主機(jī)的IP地址或者IP地址段，選擇菜單欄設(shè)置下的菜單項(xiàng)“掃描參數(shù)”，掃描一臺(tái)主機(jī)。2025/8/8主講：趙洋課程：信息安全概論54八、漏洞掃描設(shè)置完畢后，進(jìn)行漏洞掃描，點(diǎn)擊工具欄上的圖標(biāo)“開始”，開始對(duì)目標(biāo)主機(jī)進(jìn)行掃描。2025/8/8主講：趙洋課程：信息安全概論55綜合掃描－ShadowSecurityScannerSSS是俄羅斯的一套非常專業(yè)的安全漏洞掃描軟件，主要功能包括：掃描遠(yuǎn)程主機(jī)

開放端口掃描

操作系統(tǒng)識(shí)別

主機(jī)漏洞分析2025/8/8主講：趙洋課程：信息安全概論56拒絕服務(wù)攻擊定義DoS（DenialofService）:拒絕服務(wù)攻擊是用來(lái)顯著降低系統(tǒng)提供服務(wù)的質(zhì)量或可用性的一種有目的行為;DDoS（DistributedDenialofservice）:分布式拒絕服務(wù)攻擊使用了分布式客戶服務(wù)器功能，加密技術(shù)及其它類的功能，它能被用于控制任意數(shù)量的遠(yuǎn)程機(jī)器，以產(chǎn)生隨機(jī)匿名的拒絕服務(wù)攻擊和遠(yuǎn)程訪問(wèn)。攻擊的原理：耗盡被攻擊主機(jī)的某類資源：網(wǎng)絡(luò)帶寬、CUP，內(nèi)存等。2025/8/8主講：趙洋課程：信息安全概論57DDoS攻擊示意圖攻擊者中間人代理目標(biāo)洪流2025/8/8主講：趙洋課程：信息安全概論58DoS攻擊舉例SynFloodIcmpSmurf（directedbroadcast）UdpFloodIcmpPingFloodTARGA3(堆棧突破)操作系統(tǒng)級(jí)別的拒絕服務(wù)（SMBDie）應(yīng)用級(jí)別的拒絕服務(wù)（pcanywhere）2025/8/8主講：趙洋課程：信息安全概論59SynFloodSYNFlood是當(dāng)前最流行的DoS（拒絕服務(wù)攻擊）與DDoS（分布式拒絕服務(wù)攻擊）的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡（CPU滿負(fù)荷或內(nèi)存不足）的攻擊方式。2025/8/8主講：趙洋課程：信息安全概論60SynFlood原理示意圖－正常的TCP連接SYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)！）ACK（確認(rèn)連接）發(fā)起方應(yīng)答方正常的三次握手建立通訊的過(guò)程2025/8/8主講：趙洋課程：信息安全概論61SynFlood原理圖－攻擊過(guò)程SYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)?。┕粽呤芎φ邆卧斓刂愤M(jìn)行SYN請(qǐng)求為何還沒(méi)回應(yīng)就是讓你白等不能建立正常的連接2025/8/8主講：趙洋課程：信息安全概論62IcmpSmurfSmurf攻擊是以最初發(fā)動(dòng)這種攻擊的程序名Smurf來(lái)命名。這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)進(jìn)行服務(wù)。攻擊的過(guò)程是這樣的：Attacker向一個(gè)具有大量主機(jī)和因特網(wǎng)連接的網(wǎng)絡(luò)的廣播地址發(fā)送一個(gè)欺騙性Ping分組（echo請(qǐng)求），這個(gè)目標(biāo)網(wǎng)絡(luò)被稱為反彈站點(diǎn)，而欺騙性Ping分組的源地址就是攻擊者希望攻擊的系統(tǒng)。這種攻擊的前提是，路由器接收到這個(gè)發(fā)送給IP廣播地址（如55）的分組后，會(huì)認(rèn)為這就是廣播分組，并且把以太網(wǎng)廣播地址FF:FF:FF:FF:FF:FF:映射過(guò)來(lái)。這樣路由器在因特網(wǎng)上接收到該分組，會(huì)對(duì)本地網(wǎng)段中的所有主機(jī)進(jìn)行廣播。2025/8/8主講：趙洋課程：信息安全概論63IcmpSmurf示意圖攻擊者被攻擊者Ping廣播地址源地址被設(shè)置為被攻擊者的ip被利用網(wǎng)絡(luò)2025/8/8主講：趙洋課程：信息安全概論64PingFloodPing是通過(guò)發(fā)送ICMP報(bào)文(類型8代碼0)探尋網(wǎng)絡(luò)主機(jī)是否存在的一個(gè)工具。部分操作系統(tǒng)（例如win95），不能很好處理過(guò)大的Ping包，導(dǎo)致出現(xiàn)了PingtoDeath的攻擊方式（用大Ping包搞垮對(duì)方或者塞滿網(wǎng)絡(luò)），由于在早期的階段，路由器對(duì)包的最大尺寸都有限制，許多操作系統(tǒng)對(duì)TCP/IP棧的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來(lái)為有效載荷生成緩沖區(qū)，當(dāng)產(chǎn)生畸形的，聲稱自己的尺寸超過(guò)ICMP上限的包也就是加載的尺寸超過(guò)64K上限時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方當(dāng)機(jī)。如果對(duì)方的操作系統(tǒng)已經(jīng)可以防御堆棧崩潰，也占去許多帶寬。2025/8/8主講：趙洋課程：信息安全概論65PingFlood攻擊者產(chǎn)生碎片被攻擊者收到碎片重組碎片Internet最后一個(gè)碎片太大導(dǎo)致緩存溢出buffer65535bytes發(fā)送2025/8/8主講：趙洋課程：信息安全概論66如何防范安全攻擊核心是提高安全意識(shí)不要隨意打開來(lái)歷不明的電子郵件及文件，不要隨便運(yùn)行不太了解的人給你的程序，比如“特洛伊”類黑客程序就需要騙你運(yùn)行。盡量避免從Internet下載不知名的軟件、游戲程序。即使從知名的網(wǎng)站下載的軟件也要及時(shí)用最新的病毒和木馬查殺軟件對(duì)軟件和系統(tǒng)進(jìn)行掃描。密碼設(shè)置盡可能使用字母數(shù)字混排，單純的英文或者數(shù)字很容易窮舉。將常用的密碼設(shè)置不同，防止被人查出一個(gè)，連帶到重要密碼。及時(shí)下載安裝系統(tǒng)補(bǔ)丁程序。不隨便運(yùn)行黑客程序，不少這類程序運(yùn)行時(shí)會(huì)發(fā)出你的個(gè)人信息。使用防病毒和防護(hù)墻等安全軟件。防火墻技術(shù)2025/8/8主講：趙洋課程：信息安全概論68防火墻的定義防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋。這里所說(shuō)的防火墻不是指為了防火而造的墻，而是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。2025/8/8主講：趙洋課程：信息安全概論69防火墻的功能根據(jù)不同的需要，防火墻的功能有比較大差異，但是一般都包含以下三種基本功能?？梢韵拗莆词跈?quán)的用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全的服務(wù)和非法用戶防止入侵者接近網(wǎng)絡(luò)防御設(shè)施限制內(nèi)部用戶訪問(wèn)特殊站點(diǎn)由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此適合于相對(duì)獨(dú)立的網(wǎng)絡(luò)，例如Intranet等種類相對(duì)集中的網(wǎng)絡(luò)。Internet上的Web網(wǎng)站中，超過(guò)三分之一的站點(diǎn)都是有某種防火墻保護(hù)的，任何關(guān)鍵性的服務(wù)器，都應(yīng)該放在防火墻之后。2025/8/8主講：趙洋課程：信息安全概論70防火墻的局限性沒(méi)有萬(wàn)能的網(wǎng)絡(luò)安全技術(shù)，防火墻也不例外。防火墻有以下三方面的局限：防火墻不能防范網(wǎng)絡(luò)內(nèi)部的攻擊。比如：防火墻無(wú)法禁止變節(jié)者或內(nèi)部間諜將敏感數(shù)據(jù)拷貝到軟盤上。防火墻也不能防范那些偽裝成超級(jí)用戶或詐稱新雇員的黑客們勸說(shuō)沒(méi)有防范心理的用戶公開其口令，并授予其臨時(shí)的網(wǎng)絡(luò)訪問(wèn)權(quán)限。防火墻不能防止傳送己感染病毒的軟件或文件，不能期望防火墻去對(duì)每一個(gè)文件進(jìn)行掃描，查出潛在的病毒。2025/8/8主講：趙洋課程：信息安全概論71防火墻的分類常見的放火墻有三種類型：分組過(guò)濾（PacketFiltering）：作用在協(xié)議組的網(wǎng)絡(luò)層和傳輸層，根據(jù)分組包頭源地址、目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)，只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地的出口端，其余的數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。應(yīng)用代理（ApplicationProxy）：也叫應(yīng)用網(wǎng)關(guān)（ApplicationGateway），它作用在應(yīng)用層，其特點(diǎn)是完全“阻隔”網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。狀態(tài)檢測(cè)（StatusDetection）：直接對(duì)分組里的數(shù)據(jù)進(jìn)行處理，并且結(jié)合前后分組的數(shù)據(jù)進(jìn)行綜合判斷，然后決定是否允許該數(shù)據(jù)包通過(guò)。2025/8/8主講：趙洋課程：信息安全概論72分組過(guò)濾防火墻數(shù)據(jù)包過(guò)濾可以在網(wǎng)絡(luò)層截獲數(shù)據(jù)。使用一些規(guī)則來(lái)確定是否轉(zhuǎn)發(fā)或丟棄所各個(gè)數(shù)據(jù)包。通常情況下，如果規(guī)則中沒(méi)有明確允許指定數(shù)據(jù)包的出入，那么數(shù)據(jù)包將被丟棄。2025/8/8主講：趙洋課程：信息安全概論73分組過(guò)濾規(guī)則集一個(gè)可靠的分組過(guò)濾防火墻依賴于規(guī)則集，表中列出了幾條典型的規(guī)則集。第一條規(guī)則：主機(jī)任何端口訪問(wèn)任何主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過(guò)。第二條規(guī)則：任何主機(jī)的20端口訪問(wèn)主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過(guò)。第三條規(guī)則：任何主機(jī)的20端口訪問(wèn)主機(jī)小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過(guò)。組序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類型1允許***TCP2允許*20*TCP3禁止*20<1024TCP分組過(guò)濾2025/8/8主講：趙洋課程：信息安全概論74分組過(guò)濾的優(yōu)點(diǎn)容易實(shí)現(xiàn)，費(fèi)用少，如果被保護(hù)網(wǎng)絡(luò)與外界之間已經(jīng)有一個(gè)獨(dú)立的路由器，那么只需簡(jiǎn)單地加一個(gè)分組過(guò)濾軟件便可保護(hù)整個(gè)網(wǎng)絡(luò)。分組過(guò)濾在網(wǎng)絡(luò)層實(shí)現(xiàn)，不要求改動(dòng)應(yīng)用程序，對(duì)用戶透明，用戶感覺不到過(guò)濾服務(wù)器的存在，因而使用方便。2025/8/8主講：趙洋課程：信息安全概論75分組過(guò)濾的缺點(diǎn)沒(méi)有或有很少的日志記錄能力，因此網(wǎng)絡(luò)管理員很難確定系統(tǒng)是否正在被入侵或已經(jīng)被入侵了。規(guī)則表隨著應(yīng)用的深化會(huì)很快變得很大而且復(fù)雜，這樣不僅規(guī)則難以測(cè)試，而且規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能性也會(huì)增加。這種防火墻的最大弱點(diǎn)是依靠一個(gè)單一的部件來(lái)保護(hù)系統(tǒng)，一旦部件出現(xiàn)問(wèn)題，會(huì)使網(wǎng)絡(luò)的大門敞開，而用戶可能還不知道。另一個(gè)重要的局限是它不能分辨好的和壞的用戶，只能區(qū)分好的數(shù)據(jù)包和壞的數(shù)據(jù)包。包過(guò)濾只能工作在有黑白分明安全策略的網(wǎng)絡(luò)環(huán)境中。2025/8/8主講：趙洋課程：信息安全概論76應(yīng)用代理防火墻應(yīng)用代理（ApplicationProxy）是運(yùn)行在防火墻上的一種服務(wù)器程序，防火墻主機(jī)可以是一個(gè)具有兩個(gè)網(wǎng)絡(luò)接口的雙重宿主主機(jī)，也可以是一個(gè)堡壘主機(jī)。代理服務(wù)器被放置在內(nèi)部服務(wù)器和外部服務(wù)器之間，用于轉(zhuǎn)接內(nèi)外主機(jī)之間的通信，它可以根據(jù)安全策略來(lái)決定是否為用戶進(jìn)行代理服務(wù)。代理服務(wù)器運(yùn)行在應(yīng)用層，因此又被稱為“應(yīng)用網(wǎng)關(guān)”。2025/8/8主講：趙洋課程：信息安全概論77常見防火墻系統(tǒng)模型常見防火墻系統(tǒng)一般按照四種模型構(gòu)建：篩選路由器模型、單宿主堡壘主機(jī)（屏蔽主機(jī)防火墻）模型、雙宿主堡壘主機(jī)模型（屏蔽防火墻系統(tǒng)模型）和屏蔽子網(wǎng)模型。2025/8/8主講：趙洋課程：信息安全概論78篩選路由器模型篩選路由器模型是網(wǎng)絡(luò)的第一道防線，功能是實(shí)施包過(guò)濾。創(chuàng)建相應(yīng)的過(guò)濾策略時(shí)對(duì)工作人員的TCP/IP的知識(shí)有相當(dāng)?shù)囊?，如果篩選路由器被黑客攻破那么內(nèi)部網(wǎng)絡(luò)將變的十分的危險(xiǎn)。該防火墻不能夠隱藏你的內(nèi)部網(wǎng)絡(luò)的信息、不具備監(jiān)視和日志記錄功能。典型的篩選路由器模型如圖所示。2025/8/8主講：趙洋課程：信息安全概論79單宿主堡壘主機(jī)模型單宿主堡壘主機(jī)（屏蔽主機(jī)防火墻）模型由包過(guò)濾路由器和堡壘主機(jī)組成。該防火墻系統(tǒng)提供的安全等級(jí)比包過(guò)濾防火墻系統(tǒng)要高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過(guò)濾）和應(yīng)用層安全（代理服務(wù)）。所以入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。單宿主堡壘主機(jī)的模型如圖所示。2025/8/8主講：趙洋課程：信息安全概論80雙宿主堡壘主機(jī)模型雙宿主堡壘主機(jī)模型（屏蔽防火墻系統(tǒng)）可以構(gòu)造更加安全的防火墻系統(tǒng)。雙宿主堡壘主機(jī)有兩種網(wǎng)絡(luò)接口但是主機(jī)在兩個(gè)端口之間直接轉(zhuǎn)發(fā)信息的功能被關(guān)掉了。在物理結(jié)構(gòu)上強(qiáng)行將所有去往內(nèi)部網(wǎng)絡(luò)的信息經(jīng)過(guò)堡壘主機(jī)。雙宿主堡壘主機(jī)模型如圖所示。2025/8/8主講：趙洋課程：信息安全概論81屏蔽子網(wǎng)模型屏蔽子網(wǎng)模型用了兩個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)。它是最安全的防火墻系統(tǒng)之一，因?yàn)樵诙x了“中立區(qū)”(DMZ，DemilitarizedZone)網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。網(wǎng)絡(luò)管理員將堡壘主機(jī)、信息服務(wù)器、Modem組，以及其它公用服務(wù)器放在DMZ網(wǎng)絡(luò)中。如果黑客想突破該防火墻那么必須攻破以上三個(gè)單獨(dú)的設(shè)備，模型如圖所示。2025/8/8主講：趙洋課程：信息安全概論82創(chuàng)建防火墻的步驟成功的創(chuàng)建一個(gè)防火墻系統(tǒng)一般需要六步：第一步：制定安全策略；第二步：搭建安全體系結(jié)構(gòu)；第三步：制定規(guī)則次序；第四步：落實(shí)規(guī)則集；第五步：注意更換控制；第六步：做好審計(jì)工作。入侵檢測(cè)技術(shù)2025/8/8主講：趙洋課程：信息安全概論84入侵檢測(cè)系統(tǒng)的概念入侵檢測(cè)系統(tǒng)IDS（IntrusionDetectionSystem）指的是一種硬件或者軟件系統(tǒng)，該系統(tǒng)對(duì)系統(tǒng)資源的非授權(quán)使用能夠做出及時(shí)的判斷、記錄和報(bào)警。

2025/8/8主講：趙洋課程：信息安全概論85入侵檢測(cè)系統(tǒng)的類型和性能比較根據(jù)入侵檢測(cè)的信息來(lái)源不同，可以將入侵檢測(cè)系統(tǒng)分為兩類：基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)：主要用于保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器。它通過(guò)監(jiān)視與分析主機(jī)的審計(jì)記錄和日志文件：來(lái)檢測(cè)入侵。日志中包含發(fā)生在系統(tǒng)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過(guò)查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)程序。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)：主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，它監(jiān)聽網(wǎng)絡(luò)上的所有分組來(lái)采集數(shù)據(jù)，分析可疑現(xiàn)象。2025/8/8主講：趙洋課程：信息安全概論86入侵檢測(cè)的方法常用的方法有三種靜態(tài)配置分析異常性檢測(cè)方法基于行為的檢測(cè)方法2025/8/8主講：趙洋課程：信息安全概論87靜態(tài)配置分析靜態(tài)配置分析通過(guò)檢查系統(tǒng)的配置，諸如系統(tǒng)文件的內(nèi)容，來(lái)檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征（比如，系統(tǒng)配置信息）。采用靜態(tài)分析方法主要有以下幾方面的原因：入侵者對(duì)系統(tǒng)攻擊時(shí)可能會(huì)留下痕跡，可通過(guò)檢查系統(tǒng)的狀態(tài)檢測(cè)出來(lái)。2025/8/8主講：趙洋課程：信息安全概論88異常性檢測(cè)方法異常性檢測(cè)技術(shù)是一種在不需要操作系統(tǒng)及其安全性缺陷的專門知識(shí)的情況下，就可以檢測(cè)入侵者的方法，同時(shí)它也是檢測(cè)冒充合法用戶的入侵者的有效方法。但是。在許多環(huán)境中，為用戶建立正常行為模式的特征輪廓以及對(duì)用戶活動(dòng)的異常性進(jìn)行報(bào)警的門限值的確定都是比較困難的事。因?yàn)椴⒉皇撬腥肭终叩男袨槎寄軌虍a(chǎn)生明顯的異常性，所以在入侵檢測(cè)系統(tǒng)中，僅使用異常性檢測(cè)技術(shù)不可能檢測(cè)出所有的入侵行為。而且，有經(jīng)驗(yàn)的入侵者還可以通過(guò)緩慢地改變他的行為，來(lái)改變?nèi)肭謾z測(cè)系統(tǒng)中的用戶正常行為模式，使其入侵行為逐步變?yōu)楹戏?，這樣就可以避開使用異常性檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)的檢測(cè)。2025/8/8主講：趙洋課程：信息安全概論89基于行為的檢測(cè)方法基于行為的檢測(cè)方法通過(guò)檢測(cè)用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或者是間接地違背系統(tǒng)安全規(guī)則的行為，來(lái)檢測(cè)系統(tǒng)中的入侵活動(dòng)。基于入侵行為的入侵檢測(cè)技術(shù)的優(yōu)勢(shì)：如果檢測(cè)器的入侵特征模式庫(kù)中包含一個(gè)已知入侵行為的特征模式，就可以保證系統(tǒng)在受到這種入侵行為攻擊時(shí)能夠把它檢測(cè)出來(lái)。但是，目前主要是從已知的入侵行為以及已知的系統(tǒng)缺陷來(lái)提取入侵行為的特征模式，加入到檢測(cè)器入侵行為特征模式庫(kù)中，來(lái)避免系統(tǒng)以后再遭受同樣的入侵攻擊。2025/8/8主講：趙洋課程：信息安全概論90入侵檢測(cè)系統(tǒng)面臨的挑戰(zhàn)一個(gè)有效的入侵檢測(cè)系統(tǒng)應(yīng)限制誤報(bào)出現(xiàn)的次數(shù)，但同時(shí)又能有效截?fù)簟Ｕ`報(bào)是指被入侵檢測(cè)系統(tǒng)測(cè)報(bào)警的是正常及合法使用受保護(hù)網(wǎng)絡(luò)和計(jì)算機(jī)的訪問(wèn)。誤報(bào)是入侵檢測(cè)系統(tǒng)最頭疼的問(wèn)題，攻擊者可以而且往往是利用包的結(jié)構(gòu)偽造無(wú)威脅的“正常”假警報(bào)，而誘導(dǎo)沒(méi)有警覺性的管理員人把入侵檢測(cè)系統(tǒng)關(guān)掉。2025/8/8主講：趙洋課程：信息安全概論91案例9-4檢測(cè)與端口關(guān)聯(lián)的應(yīng)用程序網(wǎng)絡(luò)入侵者都會(huì)連接到主機(jī)的某個(gè)非法端口，通過(guò)檢查出與端口關(guān)聯(lián)應(yīng)用程序，可以進(jìn)行入侵檢測(cè)，這種方法屬于靜態(tài)配置分析。利用工具軟件fport.exe可以檢查與每一端口關(guān)聯(lián)的應(yīng)用程序，執(zhí)行程序如圖5-27所示。2025/8/8主講：趙洋課程：信息安全概論92入侵檢測(cè)的步驟入侵檢測(cè)系統(tǒng)的作用是實(shí)時(shí)地監(jiān)控計(jì)算機(jī)系統(tǒng)的活動(dòng)，發(fā)現(xiàn)可疑的攻擊行為，以避免攻擊的發(fā)生，或減少攻擊造成的危害。由此也劃分了入侵檢測(cè)的三個(gè)基本步驟：入侵檢測(cè)的第一步就是信息收集，收集的內(nèi)容包括整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。數(shù)據(jù)分析是入侵檢測(cè)系統(tǒng)的核心，它的效率高低直接決定了整個(gè)入侵檢測(cè)系統(tǒng)的性能。數(shù)據(jù)分析發(fā)現(xiàn)入侵跡象后，入侵檢測(cè)系統(tǒng)的下一步工作就是響應(yīng)。而響應(yīng)并不局限于對(duì)可疑的攻擊者。目前的入侵檢測(cè)系統(tǒng)一般采取下列響應(yīng)。1、將分析結(jié)果記錄在日志文件中，并產(chǎn)生相應(yīng)的報(bào)告。2、觸發(fā)警報(bào)：如在系統(tǒng)管理員的桌面上產(chǎn)生一個(gè)告警標(biāo)志位，向系統(tǒng)管理員發(fā)送傳呼或電子郵件等等。3、修改入侵檢測(cè)系統(tǒng)或目標(biāo)系統(tǒng)，如終止進(jìn)程、切斷攻擊者的網(wǎng)絡(luò)連接，或更改防火墻配置等。2025/8/8主講：趙洋課程：信息安全概論93案例

入侵檢測(cè)工具：BlackICEBlackICE是一個(gè)小型的入侵檢測(cè)工具，在計(jì)算機(jī)上安全完畢后，會(huì)在操作系統(tǒng)的狀態(tài)欄顯示一個(gè)圖標(biāo)，當(dāng)有異常網(wǎng)絡(luò)情況的時(shí)候，圖標(biāo)就會(huì)跳動(dòng)。主界面如圖5-31所示。2025/8/8主講：趙洋課程：信息安全概論94案例

入侵檢測(cè)工具：BlackICE可以查看主機(jī)入侵的信息，選擇屬性頁(yè)“Intruders”，如圖5-32所示。2025/8/8主講：趙洋課程：信息安全概論95入侵檢測(cè)工具：冰之眼“冰之眼”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是NSFOCUS系列安全軟件中一款專門針對(duì)網(wǎng)絡(luò)遭受黑客攻擊行為而研制的網(wǎng)絡(luò)安全產(chǎn)品，該產(chǎn)品可最大限度地、全天候地監(jiān)控企業(yè)級(jí)的安全。由于用戶自身網(wǎng)絡(luò)系統(tǒng)的缺陷、網(wǎng)絡(luò)軟件的漏洞以及網(wǎng)絡(luò)管理員的疏忽等等，都可能使網(wǎng)絡(luò)入侵者有機(jī)可乘，而系統(tǒng)遭受了攻擊，就可能造成重要的數(shù)據(jù)、資料丟失，關(guān)鍵的服務(wù)器丟失控制權(quán)等。2025/8/8主講：趙洋課程：信息安全概論96入侵檢測(cè)工具：冰之眼使用“冰之眼”，系統(tǒng)管理人員可以自動(dòng)地監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)流、主機(jī)的日志等，對(duì)可疑的事件給予檢測(cè)和響應(yīng),在內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的主機(jī)和網(wǎng)絡(luò)遭受破壞之前阻止非法的入侵行為，主界面如圖所示。系統(tǒng)和應(yīng)用安全Windows系統(tǒng)的安全架構(gòu)2025/8/898WindowsNT系統(tǒng)內(nèi)置支持用戶認(rèn)證、訪問(wèn)控制、管理、審核。主講：趙洋內(nèi)容：信息安全講座Windows安全基本配置方案包括十二條基本配置原則：物理安全、停止Guest帳號(hào)、限制用戶數(shù)量創(chuàng)建多個(gè)管理員帳號(hào)、管理員帳號(hào)改名陷阱帳號(hào)、更改默認(rèn)權(quán)限、設(shè)置安全密碼屏幕保護(hù)密碼、使用NTFS分區(qū)運(yùn)行防毒軟件和確保備份盤安全。2025/8/899主講：趙洋內(nèi)容：信息安全講座1、物理安全服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器要保留15天以上的攝像記錄。另外，機(jī)箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進(jìn)入房間也無(wú)法使用電腦，鑰匙要放在安全的地方。2025/8/8100主講：趙洋內(nèi)容：信息安全講座2、停止Guest帳號(hào)在計(jì)算機(jī)管理的用戶里面把Guest帳號(hào)停用，任何時(shí)候都不允許Guest帳號(hào)登陸系統(tǒng)。為了保險(xiǎn)起見，最好給Guest加一個(gè)復(fù)雜的密碼，可以打開記事本，在里面輸入一串包含特殊字符,數(shù)字，字母的長(zhǎng)字符串。用它作為Guest帳號(hào)的密碼。并且修改Guest帳號(hào)的屬性，設(shè)置拒絕遠(yuǎn)程訪問(wèn)，如圖所示。2025/8/8101主講：趙洋內(nèi)容：信息安全講座3、

限制用戶數(shù)量去掉所有的測(cè)試帳戶、共享帳號(hào)和普通部門帳號(hào)等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不使用的帳戶。帳戶很多是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。對(duì)于WindowsNT/2000主機(jī)，如果系統(tǒng)帳戶超過(guò)10個(gè)，一般能找出一兩個(gè)弱口令帳戶，所以帳戶數(shù)量不要大于10個(gè)。2025/8/8102主講：趙洋內(nèi)容：信息安全講座4、多個(gè)管理員帳號(hào)雖然這點(diǎn)看上去和上面有些矛盾，但事實(shí)上是服從上面規(guī)則的。創(chuàng)建一個(gè)一般用戶權(quán)限帳號(hào)用來(lái)處理電子郵件以及處理一些日常事物，另一個(gè)擁有Administrator權(quán)限的帳戶只在需要的時(shí)候使用。因?yàn)橹灰卿浵到y(tǒng)以后，密碼就存儲(chǔ)再WinLogon進(jìn)程中，當(dāng)有其他用戶入侵計(jì)算機(jī)的時(shí)候就可以得到登錄用戶的密碼，盡量減少Administrator登錄的次數(shù)和時(shí)間。2025/8/8103主講：趙洋內(nèi)容：信息安全講座5、管理員帳號(hào)改名Windows2000中的Administrator帳號(hào)是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個(gè)帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點(diǎn)。不要使用Admin之類的名字，改了等于沒(méi)改，盡量把它偽裝成普通用戶，比如改成：guestone。具體操作的時(shí)候只要選中帳戶名改名就可以了，如圖所示。2025/8/8104主講：趙洋內(nèi)容：信息安全講座6、

陷阱帳號(hào)所謂的陷阱帳號(hào)是創(chuàng)建一個(gè)名為“Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼。這樣可以讓那些企圖入侵者忙上一段時(shí)間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖?？梢詫⒃撚脩綦`屬的組修改成Guests組，如圖所示。2025/8/8105主講：趙洋內(nèi)容：信息安全講座7、

更改默認(rèn)權(quán)限共享文件的權(quán)限從“Everyone”組改成“授權(quán)用戶”?！癊veryone”在Windows2000中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時(shí)候不要把共享文件的用戶設(shè)置成“Everyone”組。包括打印共享，默認(rèn)的屬性就是“Everyone”組的，一定不要忘了改。設(shè)置某文件夾共享默認(rèn)設(shè)置如圖所示。2025/8/8106主講：趙洋內(nèi)容：信息安全講座8、安全密碼好的密碼對(duì)于一個(gè)網(wǎng)絡(luò)是非常重要的，但是也是最容易被忽略的。一些網(wǎng)絡(luò)管理員創(chuàng)建帳號(hào)的時(shí)候往往用公司名，計(jì)算機(jī)名，或者一些別的一猜就到的字符做用戶名，然后又把這些帳戶的密碼設(shè)置得比較簡(jiǎn)單，比如：“welcome”、“iloveyou”、“l(fā)etmein”或者和用戶名相同的密碼等。這樣的帳戶應(yīng)該要求用戶首此登陸的時(shí)候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。這里給好密碼下了個(gè)定義：安全期內(nèi)無(wú)法破解出來(lái)的密碼就是好密碼，也就是說(shuō)，如果得到了密碼文檔，必須花43天或者更長(zhǎng)的時(shí)間才能破解出來(lái)，密碼策略是42天必須改密碼。2025/8/8107主講：趙洋內(nèi)容：信息安全講座9、屏幕保護(hù)密碼設(shè)置屏幕保護(hù)密碼是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。還有一點(diǎn)，所有系統(tǒng)用戶所使用的機(jī)器也最好加上屏幕保護(hù)密碼。將屏幕保護(hù)的選項(xiàng)“密碼保護(hù)”選中就可以了，如圖所示。2025/8/8108主講：趙洋內(nèi)容：信息安全講座10、NTFS分區(qū)把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。NTFS文件系統(tǒng)提供性能、安全性、可靠性和在所有FAT版本中都沒(méi)有的高級(jí)功能的高級(jí)文件系統(tǒng)。例如，NTFS通過(guò)使用標(biāo)準(zhǔn)的事務(wù)處理記錄和還原技術(shù)來(lái)保證卷的一致性。如果系統(tǒng)出現(xiàn)故障，NTFS將使用日志文件和檢查點(diǎn)信息來(lái)恢復(fù)文件系統(tǒng)的一致性。在Windows2000和WindowsXP中，NTFS還可以提供諸如文件和文件夾權(quán)限、加密、磁盤配額和壓縮這樣的高級(jí)功能。2025/8/8109主講：趙洋內(nèi)容：信息安全講座11、防毒軟件Windows2000/NT服務(wù)器一般都沒(méi)有安裝防毒軟件的，一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。設(shè)置了防毒軟件，“黑客”們使用的那些有名的木馬就毫無(wú)用武之地了，并且要經(jīng)常升級(jí)病毒庫(kù)，最好設(shè)置成每天定時(shí)在線升級(jí)，目前主流的防病毒軟件都提供這樣的服務(wù)，比如瑞星、江民、金山毒霸、卡巴斯基、鐵門賽克等等。2025/8/8110主講：趙洋內(nèi)容：信息安全講座12、備份盤的安全一旦系統(tǒng)資料被黑客破壞，備份盤將是恢復(fù)資料的唯一途徑。備份完資料后，把備份盤防在安全的地方，重要的資料需要建立多個(gè)備份，最好分開保存。不能把資料備份在同一臺(tái)服務(wù)器上，這樣的話還不如不要備份。2025/8/8111主講：趙洋內(nèi)容：信息安全講座Windows安全配置升級(jí)方案包括十條基本配置原則：操作系統(tǒng)安全策略；關(guān)閉不必要的服務(wù)；關(guān)閉不必要的端口；開啟審核策略；開啟密碼策略；開啟帳戶策略；備份敏感文件；不顯示上次登陸名；禁止建立空連接；下載最新的補(bǔ)丁。2025/8/8112主講：趙洋內(nèi)容：信息安全講座1、

操作系統(tǒng)安全策略利用Windows2000的安全配置工具來(lái)配置安全策略，微軟提供了一套的基于管理控制臺(tái)的安全配置和分析工具，可以配置服務(wù)器的安全策略。在管理工具中可以找到“本地安全策略”，如圖所示。可以配置四類安全策略：帳戶策略、本地策略、公鑰策略和IP安全策略。在默認(rèn)的情況下，這些策略都是沒(méi)有開啟的。2025/8/8113主講：趙洋內(nèi)容：信息安全講座2、關(guān)閉不必要的服務(wù)Windows2000的TerminalServices（終端服務(wù)）和IIS（Internet信息服務(wù)）等都可能給系統(tǒng)帶來(lái)安全漏洞。為了能夠在遠(yuǎn)程方便的管理服務(wù)器，很多機(jī)器的終端服務(wù)都是開著的，如果開了，要確認(rèn)已經(jīng)正確的配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式悄悄的運(yùn)行服務(wù)器上的終端服務(wù)。要留意服務(wù)器上開啟的所有服務(wù)并每天檢查。2025/8/8114主講：趙洋內(nèi)容：信息安全講座3、關(guān)閉不必要的端口關(guān)閉端口意味著減少功能，如果服務(wù)器安裝在防火墻的后面，被入侵的機(jī)會(huì)就會(huì)少一些，但是不可以認(rèn)為高枕無(wú)憂了。用端口掃描器掃描系統(tǒng)所開放的端口，在Winnt\system32\Drivers\etc\services文件中有知名端口和服務(wù)的對(duì)照表可供參考。該文件用記事本打開如圖所示。2025/8/8115主講：趙洋內(nèi)容：信息安全講座設(shè)置本機(jī)開放的端口和服務(wù)設(shè)置本機(jī)開放的端口和服務(wù)，在IP地址設(shè)置窗口中點(diǎn)擊按鈕“高級(jí)”，如圖所示。2025/8/8116主講：趙洋內(nèi)容：信息安全講座設(shè)置本機(jī)開放的端口和服務(wù)在出現(xiàn)的對(duì)話框中選擇選項(xiàng)卡“選項(xiàng)”，選中“TCP/IP篩選”，點(diǎn)擊按鈕“屬性”，如圖所示。2025/8/8117主講：趙洋內(nèi)容：信息安全講座設(shè)置本機(jī)開放的端口和服務(wù)設(shè)置端口界面如圖所示。一臺(tái)Web服務(wù)器只允許TCP的80端口通過(guò)就可以了。TCP/IP篩選器是Windows自帶的防火墻，功能比較強(qiáng)大，可以替代防火墻的部分功能。2025/8/8118主講：趙洋內(nèi)容：信息安全講座4、開啟審核策略安全審核是Windows2000最基本的入侵檢測(cè)方法。當(dāng)有人嘗試對(duì)系統(tǒng)進(jìn)行某種方式（如嘗試用戶密碼，改變帳戶策略和未經(jīng)許可的文件訪問(wèn)等等）入侵的時(shí)候，都會(huì)被安全審核記錄下來(lái)。很多的管理員在系統(tǒng)被入侵了幾個(gè)月都不知道，直到系統(tǒng)遭到破壞。表中的這些審核是必須開啟的，其他的可以根據(jù)需要增加。策略設(shè)置審核系統(tǒng)登陸事件成功，失敗審核帳戶管理成功，失敗審核登陸事件成功，失敗審核對(duì)象訪問(wèn)成功審核策略更改成功，失敗審核特權(quán)使用成功，失敗審核系統(tǒng)事件成功，失敗2025/8/8119主講：趙洋內(nèi)容：信息安全講座審核策略默認(rèn)設(shè)置審核策略在默認(rèn)的情況下都是沒(méi)有開啟的，如圖所示。2025/8/8120主講：趙洋內(nèi)容：信息安全講座審核策略設(shè)置雙擊審核列表的某一項(xiàng)，出現(xiàn)設(shè)置對(duì)話框，將復(fù)選框“成功”和“失敗”都選中，如圖所示。2025/8/8121主講：趙洋內(nèi)容：信息安全講座5、開啟密碼策略密碼對(duì)系統(tǒng)安全非常重要。本地安全設(shè)置中的密碼策略在默認(rèn)的情況下都沒(méi)有開啟。需要開啟的密碼策略如表所示。策略設(shè)置密碼復(fù)雜性要求啟用密碼長(zhǎng)度最小值6位密碼最長(zhǎng)存留期15天強(qiáng)制密碼歷史5個(gè)2025/8/8122主講：趙洋內(nèi)容：信息安全講座設(shè)置選項(xiàng)設(shè)置選項(xiàng)如圖所示。2025/8/8123主講：趙洋內(nèi)容：信息安全講座6、開啟帳戶策略開啟帳戶策略可以有效的防止字典式攻擊，設(shè)置如表所示。策略設(shè)置復(fù)位帳戶鎖定計(jì)數(shù)器30分鐘帳戶鎖定時(shí)間30分鐘帳戶鎖定閾值5次2025/8/8124主講：趙洋內(nèi)容：信息安全講座設(shè)置帳戶策略設(shè)置的結(jié)果如圖所示。2025/8/8125主講：趙洋內(nèi)容：信息安全講座7、備份敏感文件雖然服務(wù)器的硬盤容量都很大，但是還是應(yīng)該考慮把一些重要的用戶數(shù)據(jù)（文件，數(shù)據(jù)表和項(xiàng)目文件等）存放在另外一個(gè)安全的服務(wù)器中，并且經(jīng)常備份它們。2025/8/8126主講：趙洋內(nèi)容：信息安全講座8、不顯示上次登錄名默認(rèn)情況下，終端服務(wù)接入服務(wù)器時(shí)，登陸對(duì)話框中會(huì)顯示上次登陸的帳戶名，本地的登陸對(duì)話框也是一樣。黑客們可以得到系統(tǒng)的一些用戶名，進(jìn)而做密碼猜測(cè)。修改注冊(cè)表禁止顯示上次登錄名，在HKEY_LOCAL_MACHINE主鍵下修改子鍵：Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，將鍵值改成1，如圖所示。2025/8/8127主講：趙洋內(nèi)容：信息安全講座9、禁止建立空連接默認(rèn)情況下，任何用戶通過(guò)空連接連上服務(wù)器，進(jìn)而可以枚舉出帳號(hào)，猜測(cè)密碼。可以通過(guò)修改注冊(cè)表來(lái)禁止建立空連接。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：System\CurrentControlSet\Control\LSA\RestrictAnonymous，將鍵值改成“1”即可。如圖所示。2025/8/8128主講：趙洋內(nèi)容：信息安全講座10、

下載最新的補(bǔ)丁很多網(wǎng)絡(luò)管理員沒(méi)有訪問(wèn)安全站點(diǎn)的習(xí)慣，以至于一些漏洞都出了很久了，還放著服務(wù)器的漏洞不補(bǔ)給人家當(dāng)靶子用。誰(shuí)也不敢保證數(shù)百萬(wàn)行以上代碼的Windows2000不出一點(diǎn)安全漏洞。經(jīng)常訪問(wèn)微軟和一些安全站點(diǎn)，下載