实用软件网络安全与管理工具

计算机实用软件》 Huang Xu E-mail：huangxu_sd@163.com School of Computer Science and Technology , Soochow University
6
网络安全与管理工具
➢ 扫描器并不是一个直接的攻击网络漏洞的程序， 它仅能帮助用户发现目标机的某些内在弱点。
10
网络安全与管理工具
• 这种攻击行为威力很大，而且难于侦察。但真实情况中， 它的危害仅限于漏洞发布后不长的时间段内，相关厂商 会很快发布补丁修补这种漏洞。因此，用户要做的是关 注安全漏洞的发布，及时打上新的补丁。
② 利用协议的漏洞
• 如果说上述漏洞危害的时间Fra Baidu bibliotek是很长，那么利用协议漏 洞进行攻击的生存能力却非常强。为了能够在网络上进 行互通、互联，所有的软件实现都必须遵循既有的协议， 而如果这种协议存在漏洞的话，所有遵循此协议的软件 都会受到影响。
计算机实用软件》 Huang Xu E-mail：huangxu_sd@163.com School of Computer Science and Technology , Soochow University
4
网络安全与管理工具
2. 端口扫描
➢ 一个端口就是一个潜在的通信通道，也就是一个 入侵通道。对目标计算机进行端口扫描，能得到 许多有用的信息。
➢ 进行扫描的方法很多，可以是手工进行扫描，也 可以用端口扫描软件进行。在手工进行扫描时， 需要熟悉各种命令，对命令执行后的输出进行分 析；而许多扫描器软件都带有分析数据的功能。 通过端口扫描，可以得到许多有用的信息，从而 发现系统的安全漏洞。
计算机实用软件》 Huang Xu E-mail：huangxu_sd@163.com School of Computer Science and Technology , Soochow University
计算机实用软件》 Huang Xu E-mail：huangxu_sd@163.com School of Computer Science and Technology , Soochow University
15
参考文献
➢ 王民. 计算机实用软件. 苏州大学出版社. 2005 ➢ 网络资源
计算机实用软件》 Huang Xu E-mail：huangxu_sd@163.com School of Computer Science and Technology , Soochow University
9
网络安全与管理工具
➢ 具体的 DoS攻击方法很多，可归为如下几类：
① 利用软件实现的缺陷进行攻击
• OOB攻击（常用工具winnuke）、teardrop攻击（常用 工具teardrop.c、boink.c、bonk.c)、land攻击、IGMP 碎片包攻击、jolt攻击、Cisco2600路由器IOS version 12.0(10)远程拒绝服务攻击等都是利用了被攻击软件实 现上的缺陷完成的。通常这些攻击工具向被攻击系统发 送特定类型的一个或多个报文，这些攻击通常都是致命 的，一般都是一击致死。
• 很多攻击是可以伪造源地址的，所以即使通过IDS或者 别的sniffer软件记录到攻击报文，也不能找到是谁发动 的攻击，而且这类攻击多数是特定类型的几个报文，如 果伪造源IP地址的话，几乎是不可能追查的。
计算机实用软件》 Huang Xu E-mail：huangxu_sd@163.com School of Computer Science and Technology , Soochow University
• 一台P4的Linux系统大约能发30—40M的64字节的 synflood报文，而对于一台普通的服务器20M的流量就基 本没有任何响应了（包括鼠标、键盘）。
• synflood不仅可以远程进行，而且可以伪造源IP地址，给 追查造成很大困难，要查找必须通过所有骨干网络运营 商，由路由器一级一级向上查找。
2
网络安全与管理工具
➢ 而且它还能禁止特定端口的流出通信，封锁特洛 伊木马。最后，它可以禁止来自特殊站点的访问， 从而防止来自不明入侵者的所有通信。
➢ 防火墙具有很好的保护作用。入侵者必须首先穿 越防火墙的安全防线，才能接触目标计算机。而 且户可以将防火墙配置成许多不同保护级别。
➢ 所谓保护级别，就是需要给防火墙设置合适的安 全策略。所谓安全策略，是决策的集合，集中体 现了一个组织对安全的态度。它对于可接受的行 为以及应对违规作出何种响应确定了界限，对不 同的组织是有区别的。
➢ 一个好的扫描器能对它得到的数据进行分析，帮 助用户查找目标主机的漏洞，但它不会提供进入 一个系统的详细步骤。它应该具有三项功能：
• 发现一个主机或网络的能力； • 一旦发现一台主机，有发现什么服务正运行在这台主机
上的能力； • 通过测试这些服务，发现漏洞的能力。
➢ 因此很多网管软件都带有网络扫描、端口扫描之 类的功能。
计算机实用软件》 Huang Xu E-mail：huangxu_sd@163.com School of Computer Science and Technology , Soochow University
8
网络安全与管理工具
➢ 网络的不断发展，网络应用的普及，使得人们的 工作生活越来越离不开它。企业内部大型的CRM、 ERP、供应链、OA等系统，极大地提高了生产运 行的效率。集体的力量是惊人的，网络一方面是 信息、知识的海洋，另一方面是无数虚拟的合作 团队，通过它可以找到所需要的学习、生活、娱 乐的资料。
➢ 从实现方式上来分，防火墙可以分为硬件防火墙 和软件防火墙两类。
• 通常意义上的硬防火墙为硬件防火墙，它通过硬件和软 件的结合来达到隔离内、外网络的目的，价格软较贵， 但效果较好，一般小型企业和个人很难实现。
• 软件防火墙是通过纯软件的方式来达到隔离目的，价格 便宜，但这类防火墙只能通过一定的规则来达到限制一 些非法用户访问内部的目的。现在软件防火墙主要有天 网防火墙个人及企业版、Norton的个人及企业版软件防 火墙等。
第11章 网络安全与管理工具
Huang Xu School of Computer Science & Technology
Soochow University E-mail：huangxu_sd@163.com
1
网络安全与管理工具
1. 防火墙 ➢ 防火墙是指安装在同时具有下列特征的两个网络 之间的（硬/软）部件的集合：
• 由于TCP/IP协议相信报文的源地址，另一种攻击方式是 反射拒绝服务攻击，利用广播地址、组播协议来辅助反 射拒绝服务攻击效果更好。不好大多数路由器都禁止广 播地址和组播协议的地址。
计算机实用软件》 Huang Xu E-mail：huangxu_sd@163.com School of Computer Science and Technology , Soochow University
计算机实用软件》 Huang Xu E-mail：huangxu_sd@163.com School of Computer Science and Technology , Soochow University
12
网络安全与管理工具
• 这个攻击是经典的以小博大的攻击，自己使用少量资源 占用对方大量资源。
① 从里到外和从外到里的所有通信都必须通过防火墙。 ② 只有本地安全策略授权的通信才允许通过。 ③ 防火墙本身是免疫的，不会被穿透。
1. 防火墙能够对流经它的网络通信进行扫描，这样 就能够过滤掉一些攻击，以免其在目标计算机上 被执行。防火墙还可以关闭不使用的端口。
计算机实用软件》 Huang Xu E-mail：huangxu_sd@163.com School of Computer Science and Technology , Soochow University
• 通常一次TCP连接的建立包括三个步骤： a) 客户端发送SYN包给服务器端。 b) 服务器分配一定的资源便于连接并返回SYN/ACK 包，等待连接建立的最后的ACK包。 c) 客户端发送ACK报文，这样两者之间的连接建立起 来，并可以通过连接传送数据。
1. 而攻击的过程就是疯狂发送SYN报文，而不返回ACK报 文，导致系统资源占用过多，没有能力响应别的操作， 或者不能响应正常的网络请求。
➢ DoS攻击直接的后果可能就是用户不能访问这些服 务了，对某个 DNS服务器或者路由器、防火墙的 攻击甚至导致对整个网络的的拒绝服务。
计算机实用软件》 Huang Xu E-mail：huangxu_sd@163.com School of Computer Science and Technology , Soochow University
计算机实用软件》 Huang Xu E-mail：huangxu_sd@163.com School of Computer Science and Technology , Soochow University
14
网络安全与管理工具
天网防火墙的基本使用
➢ 系统设置 ➢ IP规则设置 ➢ 常见的日志分析 ➢ 查看应用程序网络使用情况
13
网络安全与管理工具
③ 进行资源比拼 • 这种攻击方式属于“无赖打法”，就是凭借手中的丰富
资源，发送大量的垃圾数据侵占完用户资源，导致 DoS。 • 比如：ICMP flood、mstream flood、Connection flood
都属于这种攻击方式。为了获得比目标系统更多的资源， 通常攻击者会发动DDoS（Distributed Dos，分布式拒绝 服务），攻击者控制多个攻击傀儡发动攻击，这样才能 产生预期的效果。 • 前两种攻击可以伪造IP地址，追查非常困难；而该种攻 击由于需要建立连接，可能会暴露攻击傀儡的IP地址， 通过防火墙禁止这些IP就可以了。
计算机实用软件》 Huang Xu E-mail：huangxu_sd@163.com School of Computer Science and Technology , Soochow University
3
网络安全与管理工具
➢ 例如，大学里一个系的安全需求不同于一个公司 的产品研发部，而后者又不同于一个军事部门。
计算机实用软件》 Huang Xu E-mail：huangxu_sd@163.com School of Computer Science and Technology , Soochow University
7
网络安全与管理工具
3. DoS（Denial of Service）拒绝服务攻击 ➢ DoS广义上可以指任何导致服务器不能正常提供 服务的攻击。 ➢ 人们通常比较关注远程的、通过网络进行的DoS 攻击。 ➢ DoS的攻击方式有很多种，最基本的 DoS攻击就 是利用合理的服务请求来占用过多的服务资源， 从而使合法用户无法得到服务的响应。
• 最经典的攻击是synflood攻击，它利用TCP/IP协议的漏 洞完成攻击。
计算机实用软件》 Huang Xu E-mail：huangxu_sd@163.com School of Computer Science and Technology , Soochow University
11
网络安全与管理工具
5
网络安全与管理工具
➢ 扫描器是一种自动检测远程或本地主机安全性弱 点的程序，通过使用扫描器可以不留痕迹地发现 远程服务器的各种TCP端口的分配、提供的服务 及其他软件版本，这就能让用户间接或直观地了 解到远程主机所存在的安全问题。
➢ 扫描器的基本工作原理是，选用远程TCP/IP不同 端口的服务，并记录目标给予的回答。通过这种 方法，可以搜集到很多关于目标主机的各种有用 的信息。比如：是否能用匿名登录；是否有可写 的FTP目录；是否能用Telnet;HTTPD是用root还 是nobady在运行等。
16
谢谢！
计算机实用软件》 Huang Xu E-mail：huangxu_sd@163.com School of Computer Science and Technology , Soochow University