信息系统攻防技术.docx

1、信息系统攻防技术第1章 绪 论1.1 信息安全概述 1.2 信息系统面临的威胁 1.3 信息系统防御技术 1.1 信息安全概述 1.1.1 什么是信息安全 1.1.2 信息安全体系 1.1.3 信息安全服务与机制 1.1.4 信息安全发展趋势 1.1.1 什么是信息安全 建立在网络基础之上的现代信息系统的安全定义是保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。信息安全是是一门交叉学科。狭义上的信息安全是从自然科学的角度介绍信息安全的研究内容。 信息安全各部分研究内容及相互关系 1.1.3 信息安全服务与机制 安全服

2、务是由参与通信的开放系统的某一层提供的服务，它确保该系统数据传输具有足够的安全性。 ISO7498-2标准是目前国际上普遍遵循的计算机信息系统互连标准，确定了五大类安全服务和八大安全机制 。OSI体系服务与机制三维图 1.1.3 信息安全服务与机制1OSI安全体系的安全服务 鉴别服务：鉴别服务提供对通信中的对等实体和数据来源的鉴别，包括对等实体鉴别和数据原发鉴别。访问控制 ：访问控制防止对资源的未授权使用，包括防止以未授权方式使用某一资源。数据机密性 ：数据机密性服务对数据提供保护，使之不被非授权地泄露。数据完整性 ：数据完整性服务用于应付主动威胁。 抗抵赖（否认） ：抗抵赖服务包括有数据原发

3、证明的抗抵赖和有交付证明的抗抵赖。 1.1.3 信息安全服务与机制2、OSI安全体系的安全机制（1）加密加密是把可理解的明文消息通过密码算法变换成不可理解的密文的过程，解密是加密过程的逆操作。 1.1.3 信息安全服务与机制2、OSI安全体系的安全机制（2）数字签名数字签名是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者确认数据单元来源和数据单元的完整性，保护数据防止被人（例如接收者）伪造。数字签名机制包括两个过程：对数据单元签名和验证签过名的数据单元。 1.1.3 信息安全服务与机制2、OSI安全体系的安全机制（3）访问控制 为了决定和实施一个实

4、体的访问权，访问控制机制可以使用该实体已鉴别的身份，或使用有关该实体的信息或权利。 访问控制机制可以使用的手段包括：访问控制信息库 、鉴别信息、权利和安全标记。 1.1.3 信息安全服务与机制2、OSI安全体系的安全机制（4）数据完整性 数据完整性有两个方面：单个数据单元或字段的完整性和数据单元流或字段流的完整性。用来提供这两种类型完整性服务的机制是不相同的。 （5）鉴别交换 可用于鉴别交换的一些技术包括：使用口令等鉴别信息，由发送实体提供而由接收实体验证；密码技术；使用该实体的特征或占有物。 1.1.3 信息安全服务与机制2、OSI安全体系的安全机制（6）通信业务填充 通信业务填充机制能用来

5、提供各种不同级别的保护，以对抗通信业务分析。 流量填充机制能够保持流量基本恒定，使观测者不能获取任何信息。流量填充的实现方法是：随机生成数据并对其加密，再通过网络发送。（7）通信业务填充路由选择控制机制 （8）公证 1.1.4 信息安全发展趋势 安全需求多样化： 从单一安全产品发展到综合防御体系，从某一点的安全建设过渡到整个安全体系的建设。应用安全和安全管理会逐渐受到重视。 技术发展两极分化：技术发展向专一和融合两极分化。 安全管理体系化 1.2 信息系统面临的威胁 1.2.1 应用程序攻击 1.2.2 系统程序漏洞 1.2.3 系统建设缺陷、后门、自然老化等 1.2.4 错误和冗余 1.2.

6、5 物理攻击 1.2.6 社会工程学攻击1.2.1 应用程序攻击 应用程序攻击包括利用计算机病毒、蠕虫、木马、逻辑炸弹等恶意代码通过非法途径或欺骗的手段入侵或破坏目标系统中的数据或服务，以达到破坏系统完整性、可用性和机密性的直接或间接效果。 1.2.2 系统程序漏洞系统程序漏洞可能是由技术、人员或过程造成的，常常被视为软件或硬件实施过程中或者系统的设计构造过程中存在的技术缺陷。 漏洞并不是攻击本身，而是受到利用的薄弱点。 常见的系统漏洞包括远程管理员权限 、本地管理员权限、普通用户访问权限、权限提升、读取受限文件、远程拒绝服务、本地拒绝服务、远程非授权文件存取、口令恢复、欺骗、服务器信息泄露。

7、 1.2.3系统建设缺陷、后门、自然老化等 缺陷是指系统各组件和整个网络在设计时由于考虑不周或者设计者本身的技术、资金等限制，在系统设计、制造和施工时无意识地留下的可被威胁主体利用的一些特征。 后门是指在某个文件或系统中设置一种机关，使得当提供一组特定的输入数据时，可以不受安全访问控制的约束。 自然老化威胁是指系统设备在长时间运行后的自然老化问题，会影响正常运行，严重时导致整个系统瘫痪。1.2.4 错误和冗余 技术硬件和技术软件的故障或错误是信息系统中经常遇到的错误威胁。 冗余威胁是指技术淘汰后，系统管理员没有采取正确的措施，陈旧过时的基础设施会使系统不可靠不可信赖。 1.2.5 物理攻击 物

8、理安全是保护一些比较重要的设备不被接触。物理安全比较难防，因为攻击者往往是来自能够接触到物理设备的用户，这些用户如果有特殊目的，往往会设法获取管理员密码。 常见物理攻击方式：1、获取管理员密码2、提升用户权限 1.2.6 社会工程学攻击 社会工程学攻击是一种利用社会工程学来实施的网络攻击行为。社会工程学攻击不属于传统的信息安全的范畴，也被称为“非传统信息安全”（Nontraditional Information Security）。1.2.6 社会工程学攻击1、社会工程学的定义社会工程学是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社

9、会问题。社会工程学攻击是以利用人的弱点、顺从人的意愿、满足人的欲望的方式，让人上当的一些方法、一门艺术与学问。 社会工程学利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段，获取自身利益。现实中运用社会工程学的犯罪很多，诸如短信诈骗、电话诈骗等，都运用到社会工程学的方法。 1.2.6 社会工程学攻击2、社会工程学攻击的应用 攻击者通过使用人类交流手段（社交技巧）来获得或者危害某个机构或该机构的计算机系统的信息。钓鱼式攻击 社会工程学字典3、社会工程学攻击的防范 解决非传统信息安全威胁也要运用社会工程学来反制社会工程学攻击。 在保护个人信息不被窃取之时，也要注意在

10、无意识的状态下，主动泄露自己的信息。1.3 信息系统防御技术1.3.1 信息加密 1.3.2 信息认证 1.3.3 防御计算机病毒 1.3.4 被动的网络防御 1.3.5 主动的网络防御 1.3.6 数字产品版权保护 1.3.1 信息加密 计算机密码学是研究计算机信息加密、解密及其变换的科学，是数学和计算机的交叉学科。 密码是实现秘密通讯的主要手段，是隐蔽语言、文字、图象的特种符号。凡是用特种符号按照通讯双方约定的方法把电文的原形隐蔽起来，不为第三者所识别的通讯方式称为密码通讯。 1.3.1 信息加密1、加密系统的组成 （1）未加密的报文，也称明文（2）加密后的报文，也称密文（3）加密解密设备

11、或算法（4）加密解密的密钥1.3.1 信息加密2、数据加密技术（1）数据存储加密数据存储加密对存储的数据进行加密，加密方式包括文件级加密、数据库级加密、介质级加密、嵌入式加密设备和应用加密等等。 （2）数据传输加密 数据传输加密技术主要是对传输中的数据流进行加密，常用的有链路加密、节点加密和端到端加密三种方式。1.3.1 信息加密3、加密技术的发展 密码专用芯片集成 量子加密技术的研究 1.3.2 信息认证 信息安全认证完成了传统物理载体认证向信息技术领域的电子文档的电磁载体认证的转变，并提出了一系列解决方案、算法和协议。 信息安全认证技术主要包括数字签名和身份验证等相关技术。 1.3.3 防

12、御计算机病毒 1、病毒的预防 计算机病毒预防是指在病毒尚未入侵或刚刚入侵时，就拦截、阻止病毒的入侵或立即报警。目前在预防病毒工具中采用的技术主要有：将大量的消毒杀毒软件汇集一体，检查是否存在已知病毒；监测写盘操作，对引导区BR或主引导区MBR的写操作报警；对文件形成一个密码检验码，实现对程序完整性的验证；智能判断型；智能监察型；病毒免疫；通过调整推理机，能够对付新类型病毒，误报和漏报较少，这是未来预防病毒技术发展的方向。 1.3.3 防御计算机病毒2、病毒的检测 （1）比较法 （2）病毒校验和法 （3）搜索法 （4）分析法 （5）行为监测法 （6）病毒行为软件模拟法 （7）感染实验法 1.3.

13、3 防御计算机病毒3、病毒的清除 病毒的清除是指将染毒文件的病毒代码摘除，使之恢复为可正常运行的健全文件。 1.3.4 被动的网络防御 1、防火墙 防火墙是网络上使用最多的安全设备，是网络安全的重要基石。 2、入侵检测系统（IDS）IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。 3、传统的杀病毒软件 1.3.5 主动的网络防御 1、主动防御的杀病毒软件 主动防御技术主要是针对未知病毒提出来的病毒防杀技术。在没有病毒样本的情况下，对病毒进行全面而有效的全面防护，阻止病毒的运作，从技术层面上有效应对未知病毒的肆虐。 启发式查毒技术属于主动防御的一

14、种，是当前对付未知病毒的主要手段，从工作原理上可分为静态启发和动态启发两种。 1.3.5 主动的网络防御2、入侵防御系统（IPS） IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。 入侵防御系统可以实施深层防御安全策略，可以在应用层检测出攻击并予以阻断，这是防火墙和入侵检测产品都做不到的。 入侵防御系统则必须部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。 1.3.5 主动的网络防御3、蜜罐技术 蜜罐技术就是建立一个虚假的网络，诱惑黑客攻击这个虚假的网络，从而达到保护真正网络的目的。 蜜罐技术对系统安全起了三方面的作用

15、：首先，诱惑黑客攻击虚假的网络而忽略真正的网络；其次，收集黑客的信息和企图，帮助系统进行安全防护检测和响应；最后，消耗黑客的精力，让系统管理员有足够的时间去应付可能的攻击。 1.3.6 数字产品版权保护 1995年提出的数字水印是近年来比较热门的数字产权保护技术。数字水印是永久镶嵌在其他数据（宿主数据）中具有可鉴别性的数字信号或模式，而且不影响宿主数据的可用性。 数字水印技术应当满足4个方面的要求：安全性、隐蔽性、稳健性和水印容量。 大多数水印制作都采用密码学中的加密体系（包括公开密钥、私有密钥）来加强，在水印的嵌入、提取时采用一种密钥，甚至几种密钥联合使用。 第2章 系统攻击典型案例 2.1

16、 网络基础和常用网络命令 2.2 系统攻击一般流程 2.3 典型案例 2.1 网络基础和常用网络命令 2.1.1 网络基础 2.1.2 常用网络命令 2.1.1 网络基础 1、网络协议在目前的网络协议中使用最广泛的协议是TCP/IP协议。在TCP/IP协议中，TCP协议是IP协议的高层协议，TCP在IP之上提供了一个可靠的连接方式。IP协议为TCP/IP协议集的其他所有协议提供“包传输”功能，IP协议为计算机上的数据提供一个有效的无连接传输系统。 2.1.1 网络基础1、网络协议（1）TCP/IP协议所包括的协议和工具 TCP/IP协议核心协议。TCP协议、IP协议、UDP协议、ARP协议以及

17、ICMP协议等。应用接口协议。Windows套接字、远程调用、NetBIOS协议和网络动态数据交换等。基本的TCP/IP协议互连应用协议。主要包括Finger、Ftp、Rep、Rsh、Telnet、Tftp等协议。TCP/IP协议诊断工具。这些工具包括Arp、Hostname、Ipconfig、Nbstat、Netstat、Ping和Route，它们可用来检测并恢复TCP/IP协议网络故障。相关服务和管理工具。这些服务和管理工具包括FTP服务器服务、网际命名服务WINS、动态计算机配置协议DHCP以及TCP/IP协议打印。简单网络管理协议代理（SNMP）。2.1.1 网络基础1、网络协议（2）

18、IP地址 目前正在使用的IP协议是IPv4，新版本的IPv6协议正在完善。路由和数据报的分段是IP协议的重要功能。 TCP协议完成名字和地址进行解析的工作，IP协议将地址和本地网络地址加以映射，路由协议负责将本地网络地址和路由进行映射。 IP地址组成 IP地址的分类 A类IP地址。前8位标识网络号，最前面一位为“0”，后24位标识主机地址，地址范围是“1.0.0.0128.255.255.255”。A类地址中有10.0.0.010.255.255.254和127.0.0.0127.255.255.254这两段地址是保留地址。B类IP地址。前16位标识网络号，最前面两位规定为“10”，后16位标

19、识主机号，地址范围是“128.0.0.0191.255.255.255”。其中保留地址是172.16.0.0172.31.255.254。C类IP地址。前24位标识网络号，最前面三位规定为“110”，最后8位标识主机号。地址范围是“192.0.0.0223.255.255.255”。保留地址是192.168.0.0192.168.255.255。D类地址。用于多重广播组，最高位是“1110”，地址范围是“224.0.1.1239.255.255.255”。E类地址。保留作为以后使用。E类地址的最高位是“11110”，第一段取值在“240247”之间。特殊的IP地址127.0.0.0，这个地址属

20、于环路测试类IP地址。可变长的子网掩码 2.1.1 网络基础1、网络协议（3）域名地址 域名地址与IP地址的关系类似人的姓名与身份证号码之间的关系。 域名地址由域名系统（DNS）管理。 域名地址分段表示，每段分别授权给不同的机构管理，各段之间用圆点分隔。Internet对某些通用性的域名作了规定。如com、edu、gov等等。国家和地区的域名常用两个字母表示，如jp、us、uk、cn等等。2.1.1 网络基础2、网络操作系统 （1）Windows类 （2）Unix系统 （3）Linux 2.1.2 常用网络命令 Windows自带的常用网络命令，只有在安装了TCP/IP 协议后才可以使用。使用

21、方式相同，选择“开始”“运行”菜单命令，执行CMD命令打开“MS-DOS”（或命令提示符）窗口，用键盘键入相应命令。 2.1.2 常用网络命令1、Ping 主要作用是通过发送数据包并接收应答信息来检测两台计算机之间的网络是否连通。格式：ping -t -a -n count -l length -f -i TTL -v TOS -r count -s count -j computer-list-k computer-list -w timeout destination-list 在一般情况下还可以通过Ping对方让对方返回TTL值，粗略的判断目标主机的系统类型，一般情况下Windows系列

22、的系统返回的TTL值在100130之间，而UNIX/Linux系列的系统返回的TTL值在240255之间。 2.1.2 常用网络命令2、Netstat 显示路由表、实际的网络连接以及每一个网络接口设备的状态信息，可以让用户得知目前都有哪些网络连接正在运作。格式：netstat -a -b -e -n -o -p proto -r -s -v interval 3、Tracert 用于确定IP数据报访问目标所采取的路径。格式：tracert -d -h maximum_hops -j host-list -w timeout target_name 2.1.2 常用网络命令4、Net Net命令

23、的子命令众多，包含了管理网络环境、服务、用户、登陆等Windows中大部分重要的管理功能。可以轻松的管理本地或者远程计算机的网络环境以及各种服务程序的运行和配置，或者进行用户管理和登陆管理等。（1）Net View 功能：显示域列表、计算机列表或指定计算机的共享资源列表。格式：net view computername | /domain:domainname net view /network:nw computername2.1.2 常用网络命令4、Net（2）Net File 功能：显示服务器上所有打开的共享文件名及锁定文件数。该命令也可以关闭个别文件并取消文件锁定。格式：net fil

24、e id /CLOSE （3）Net Share功能：创建、删除或显示共享资源。格式：net share sharenamenet share sharename=drive:path /users:number|/unlimited/remark:textnet share sharename /users:number|unlimited/remark:textnet share sharename|drive:path /delete 2.1.2 常用网络命令4、Net（4）Net Use 功能：连接或断开计算机与共享资源的连接，或显示计算机的连接信息。该命令也控制永久网络连接。格式：n

25、et use devicename|*computernamesharenamevolumepassword|*/user:domain- nameusername/delete|/persistent:yes|nonet use devicename /homepassword|*/delete:yes|nonet use /persistent:yes|no （5）Net User功能：添加或更改用户帐号或显示用户帐号信息。格式：net user username password | * options /domainnet user username password | * /add

26、 options /domainnet user username /delete /domain2.1.2 常用网络命令4、Net（6）Net Group和Net Localgroup功能：Net Group在域中添加、显示或更改全局组。Net Localgroup用于添加、显示或更改本地组。格式：net group（或Localgroup） groupname /comment:text /domainnet group（或Localgroup） groupname /add /comment:text |/delete /domainnet group（或Localgroup） grou

27、pname username . /add|/delete /domain （7）Net Stop和Net Start功能：Net Stop停止网络服务。Net Start启动服务，或显示已启动服务的列表。格式：net stop service和net start service 2.1.2 常用网络命令4、Net（8）Net Pause和Net Continue功能：Net Pause暂停正在运行的服务。Net Continue重新激活挂起的服务。格式：net pause service和net continue service（9）Net Time功能：使计算机的时钟与另一台计算机或域的时

28、间同步。不带/set 参数使用时，将显示另一台计算机或域的时间。格式：net time computername | /domain：name /set 2.1.2 常用网络命令5、At At列出在指定的时间和日期在计算机上运行的已计划命令或计划命令和程序。必须正在运行计划服务才能使用at命令。格式：at computername id /delete | /delete /yesat computername time /interactive /every:date,.| /next:date,. command 2.1.2 常用网络命令6、Ftp 用户可以通过Ftp把自己的PC机与世界各

29、地所有运行FTP协议的服务器相连，访问服务器上的大量程序和信息。格式：ftp 地址 如果连接成功，系统将提示用户输入用户名（LOGIN：输入合法的用户名或者anonymous）及口令（PASSWORD：输入合法的口令）。验证成功后，就可以使用FTP的内部命令进行远程文件操作了。 常见的内部命令包括Quit、CD、Delete、Get、Put、DIR、Open、Close等。 2.1.2 常用网络命令7、TelnetTelnet用于Internet的远程登录。被连通计算机并且为网络上所有用户提供服务的计算机称之为服务器，自己在使用的机器称之为客户机。一旦连通后，客户机可以享有服务器所提供的一切服务。格式：telnet remote-computer-name（or IP）9、IPconfigIPconfig实用程序可用于显示当前的TCP/IP配置的设置值。了解计算机当前的IP地址、子网掩码和缺省网关是进行测试和故障分析的必要项目。格式：ipconfig /all /release /renew /flushdns /displaydns /registerdns /showclassid /setclassid2.1.2 常用网络命令7、TelnetTelnet用于Internet的远程登录。被连通计算