网络安全 第四章 网络扫描与网络监听

信息安全实验报告学号：学生姓名：班级：实验一网络扫描与监听一、实验目的网络扫描是对整个目标网络或单台主机进行全面、快速、准确的获取信息的必要手段。

通过网络扫描发现对方，获取对方的信息是进行网络攻防的前提。

该实验使学生了解网络扫描的内容，通过主机漏洞扫描发现目标主机存在的漏洞，通过端口扫描发现目标主机的开放端口和服务，通过操作系统类型扫描判断目标主机的操作系统类型。

通过该实验，了解网络扫描的作用，掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法，能够通过网络扫描发现对方的信息和是否存在漏洞。

要求能够综合使用以上的方法来获取目标主机的信息。

而网络监听可以获知被监听用户的敏感信息。

通过实验使学生了解网络监听的实现原理，掌握网络监听软件的使用方法，以及对网络中可能存在的嗅探结点进行判断的原理。

掌握网络监听工具的安装、使用，能够发现监听数据中的有价值信息，了解网络中是否存在嗅探结点的判断方法及其使用。

二、实验要求基本要求了解网络扫描的作用，掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法，能够通过网络扫描发现对方的信息和是否存在漏洞。

掌握网络监听工具的安装、使用，能够发现监听数据中的有价值信息等。

提高要求能够对网络中可能存在的嗅探结点进行判断的方法及工具使用等。

三、实验步骤1）扫描软件X-Scan 和Nmap 以及WinPcap 驱动安装包并安装。

2）打开X-Scan，如下图所示。

3）点击“设置”->“扫描参数”，弹出扫描参数设置对话框，在“指定IP 范围”输入被扫描的IP 地址或地址范围。

在“全局设置”的“扫描模块”设置对话框中选择需要检测的模块。

其他可以使用默认的设置，也可以根据实际需要进行选择。

最后点击“确定”回到主界面。

4）在主界面点击“文件”->“开始扫描”，开始对目标主机或目标网络的扫描。

不久，就可以得到目标主机的扫描结果，从分析报告中可以看到有关目标主机开放端口和服务的详细报告。

《网络信息安全》课程教学大纲一、课程总述本课程大纲是以2012年软件工程本科专业人才培养方案为依据编制的。

二、教学时数分配三、单元教学目的、教学重难点和内容设置第1章网络安全概述与环境配置【教学目的】了解内容：网络面临的安全威胁、信息系统安全的脆弱性、保证网络安全的途径；理解内容：网络安全的攻防体系、研究网络安全的必要性及其社会意义掌握内容：信息系统安全评估标准；熟练掌握内容：网络安全实验环境的配置及网络抓包软件的使用【重点难点】重点：网络安全的攻防体系、研究网络安全的必要性难点：研究网络安全的必要性【教学内容】1.1 信息安全概述1.2 网络安全概述1.3 研究网络安全的必要性1.4 研究网络安全的社会意义1.5 网络安全的相关法规1.6 网络安全的评价标准1.7 环境配置【课时要求】7节第2章网络安全协议基础【教学目的】了解内容：OSI参考模型和TCP/IP协议组理解内容：IP/TCP/UDP/ICMP协议的工作原理掌握内容： IP/TCP/UDP/ICMP协议的结构分析熟练掌握内容：常用的网络服务和网络命令【重点难点】重点：IP/TCP/UDP/ICMP协议的工作原理难点：IP/TCP/UDP/ICMP协议的结构分析【教学内容】2.1 OSI参考模型2.2 TCP/IP协议族2.3 网际协议IP2.4 传输控制协议TCP2.5 用户数据报协议UDP2.6 ICMP协议2.7 常用的网络服务2.8 常用的网络命令【课时要求】7节第3章网络空全编程基础【教学目的】了解内容：网络安全编程的基础知识理解内容：C和C++的几种编程模式掌握内容：网络安全编程的常用技术熟练掌握内容：注册表编程、定时器编程、驻留程序编程【重点难点】重点：网络安全编程的常用技术难点：注册表编程、定时器编程、驻留程序编程【教学内容】3.1 网络安全编程概述3.2 C和C++的几种编程模式3.3 网络安全编程【课时要求】10节第4章网络扫描与网络监听【教学目的】了解内容：黑客以及黑客攻击的基本概念理解内容：黑客攻击与网络安全的关系掌握内容：如何利用工具实现网络踩点、网络扫描和网络监听熟练掌握内容：黑客攻击的常用工具【重点难点】重点：黑客攻击的步骤难点：如何利用工具实现网络踩点、网络扫描和网络监听【教学内容】4.1 黑客概述4.2 网络踩点4.3 网络扫描4.4 网络监听【课时要求】5节第5章网络入侵【教学目的】了解内容：网络入侵的基本概念理解内容：社会工程学攻击、物理攻击、暴力攻击掌握内容：利用Unicode漏洞攻击和缓冲区溢出漏洞进行攻击的技术熟练掌握内容：流行攻击工具的使用和部分工具的代码实现【重点难点】重点：流行攻击工具的使用和部分工具的代码实现难点：利用Unicode漏洞攻击和缓冲区溢出漏洞进行攻击的技术【教学内容】5.1 社会工程学攻击5.2 物理攻击与防范5.3 暴力攻击5.4 Unicode漏洞专题5.5 其他漏洞攻击5.6 缓冲区溢出攻击5.7 拒绝服务攻击5.8 分布式拒绝服务攻击【课时要求】8节第6章网络后门与网络隐【教学目的】了解内容：利用四种方法实现网络后门理解内容：网络隐身的两种方法掌握内容：利用四种方法实现网络后门熟练掌握内容：常见后门工具的使用【重点难点】重点：利用四种方法实现网络后门难点：常见后门工具的使用【教学内容】6.1 网络后门6.2 木马6.3 网络代理跳板6.4 清除日志【课时要求】5节第7章恶意代码【教学目的】了解内容：恶意代码的发展史理解内容：研究恶意代码的必要性、恶意代码长期存在的原因掌握内容：恶意代码实现机理熟练掌握内容：恶意代码的设计与实现【重点难点】重点：恶意代码的设计与实现难点：恶意代码的设计与实现【教学内容】7.1 恶意代码概述7.2 恶意代码实现机理7.3 常见的恶意代码【课时要求】5节第8章操作系统安全基础【教学目的】了解内容：操作系统安全的基本概念理解内容：操作系统安全的实现机制、安全模型及安全体系结构掌握内容：操作系统安全的36条基本配置原则熟练掌握内容：Windows操作系统的安全配置方案【重点难点】重点：Windows操作系统的安全配置方案难点：Windows操作系统的安全配置方案【教学内容】8.1 常用操作系统概述8.2 安全操作系统的研究发展8.3 安全操作系统的基本概念8.4 安全操作系统的机制8.5 代表性的安全模型8.6 操作系统安全体系结构8.7 操作系统安全配置方案【课时要求】5节第9章密码学与信息加密【教学目的】了解内容：密码学的基本概念、数字水印的基本概念理解内容：主流加密技术、数字签名的原理、PGP加密的原理和实现及PKI信任模型掌握内容：DES加密算法的概念以及如何利用程序实现、RSA加密算法的概念以及实现算法熟练掌握内容：DES加密算法的概念以及如何利用程序实现【重点难点】重点：主流加密技术、数字签名的原理及PKI信任模型难点：如何利用程序实现主流加密算法【教学内容】9.1 密码学概述9.2 des对称加密技术9.3 rsa公钥加密技术9.4 pgp加密技术9.5 数字信封和数字签名9.6 数字水印9.7 公钥基础设施pki【课时要求】10节第10章防火墙与入侵检测【教学目的】了解内容：利用软件实现防火墙的规则集理解内容：防火墙的基本概念、分类、入侵检测系统的概念、原理及常用方法掌握内容：防火墙的实现模型、如何利用程序实现简单的入侵检测熟练掌握内容：防火墙的配置【重点难点】重点：防火墙的配置难点：入侵检测工具的编程实现【教学内容】10.1 防火墙的概念10.2 防火墙的分类10.3 常见防火墙系统模型10.4 创建防火墙的步骤10.5 入侵检测系统的概念10.6 入侵检测的方法10.7 入侵检测的步骤【课时要求】8节第11章IP安全与WEB安全【教学目的】了解内容：IPSec的必要性理解内容： IPSec中的AH协议、ESP协议和密钥交换协议掌握内容： VPN的功能和解决方案、Web安全的3个方面，SSL和TLS安全协议的内容与体系结构熟练掌握内容：VPN的解决方案【重点难点】重点：VPN的功能和解决方案、Web安全的3个方面、SSL和TLS安全协议的内容与体系结构难点：VPN的解决方案【教学内容】11.1 IP安全概述11.2 密钥交换协议IKE11.3 VPN技术11.4 WEB安全概述11.5 SSL/TLS技术11.6 安全电子交易SET简介【课时要求】3节第12章网络安全方案设计【教学目的】了解内容：网络安全方案设计方法理解内容：评价网络安全方案的质量的标准掌握内容：网络安全方案编写的注意点以及网络安全方案的编写框架熟练掌握内容：网络安全方案设计的基本步骤【重点难点】重点：网络安全的需求分析、方案设计难点：网络安全方案的设计【教学内容】12.1 网络安全方案概念12.2 网络安全方案的框架12.3 网络安全案例需求12.4 解决方案设计【课时要求】7节四、教材1、《计算机网络安全教程（第2版）》，石志国、薛为民、尹浩，清华大学出版社、北京交通大学出版社，2011年2月；2、《计算机网络安全教程实验指导》，石志国、薛为民、尹浩，清华大学出版社、北京交通大学出版社，2011年10月。

网络信息安全基础知识培训主要内容网络信息安全知识包括哪些内容培养良好的上网习惯如何防范电脑病毒如何安装杀毒软件如何防范邮件病毒如何防止QQ密码被盗如何清除浏览器中的不明网址各单位二级站点的安全管理如何提高操作系统的安全性基本网络故障排查网络信息安全知识包括哪些基本内容(一)网络安全概述(二)网络安全协议基础(三)网络安全编程基础(四)网络扫描与网络监听(五)网络入侵(六)密码学与信息加密(七)防火墙与入侵检测(八)网络安全方案设计(九)安全审计与日志分析培养良好的上网习惯１、安装杀毒软件２、要对安装的杀毒软件进行定期的升级和查杀３、及时安装系统补丁４、最好下网并关机５、尽量少使用BT下载，同时下载项目不要太多６、不要频繁下载安装免费的新软件７、玩游戏时，不要使用外挂８、不要使用黑客软件９、一旦出现了网络故障，首先从自身查起，扫描本机如何防范电脑病毒（一）杜绝传染渠道病毒的传染主要的两种方式：一是网络，二是软盘与光盘建议：1、不使用盗版或来历不明的软件，建议不要使用盗版的杀毒软件2、写保护所有系统盘，绝不把用户数据写到系统盘上3、安装真正有效的防毒软件，并经常进行升级4、对外来程序要使用尽可能多的查毒软件进行检查（包括从硬盘、软盘、局域网、Internet、Email中获得的程序），未经检查的可执行文件不能拷入硬盘，更不能使用5、尽量不要使用软盘启动计算机6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份，防患于未然7、随时注意计算机的各种异常现象8、对于软盘、光盘传染的病毒，预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上，接着用杀毒软件检查一遍，再执行安装或打开命令9、在使用聊天工具（如QQ、MSN）时，对于一些来历不明的连接不要随意点击；来历不明的文件不要轻易接收（二）平时的积极预防，定期的查毒，杀毒（三）发现病毒之后的解决办法1、在解毒之前，要先备份重要的数据文件2、启动反病毒软件，并对整个硬盘进行扫描3、发现病毒后，我们一般应利用反病毒软件清除文件中的病毒，如果可执行文件中的病毒不能被清除，一般应将其删除，然后重新安装相应的应用程序4、某些病毒在Windows状态下无法完全清除，此时我们应采用事先准备的干净的系统引导盘引导系统，然后在DOS下运行相关杀毒软件进行清除备注：可以随时随地防护任何病毒反病毒软件是不存在的、随着各种新病毒的不断出现，反病毒软件必须快速升级才能达到杀除病毒的目的、具体来说，我们在对抗病毒时需要的是一种安全策略和一个完善的反病毒系统，用备份作为防病毒的第一道防线，将反病毒软件作为第二道防线、而及时升级反病毒软件的病毒代码则是加固第二道防线的唯一方法。

网络安全扫描的内容网络安全扫描是指通过对网络的深度扫描和检测，以发现、评估和防范可能存在的安全漏洞和威胁的行为。

网络安全扫描通常由专门的安全工具进行，其目的是确保网络环境的安全和稳定。

网络安全扫描可以分为两种类型：主动扫描和被动扫描。

主动扫描是指网络管理员主动使用安全工具对网络进行扫描，以发现网络中的漏洞和威胁，如端口扫描、漏洞扫描和配置扫描。

被动扫描则是指将安全工具部署在网络中，对网络流量进行监听和分析，以发现潜在的安全威胁和异常行为。

网络安全扫描的内容包括但不限于以下几个方面：1. 端口扫描：通过扫描网络中的开放端口，确定网络设备的服务和协议，以及是否有未经授权的端口开放。

非必要的端口应该被关闭或限制访问，以降低网络面临的风险。

2. 漏洞扫描：对网络中的主机和应用程序进行扫描，以寻找可能存在的漏洞和弱点。

常见的漏洞包括操作系统漏洞、应用程序漏洞和配置错误等。

漏洞扫描可以帮助网络管理人员及时发现并修复这些漏洞，以免受到黑客攻击。

3. 弱口令扫描：使用常见的用户名和密码对网络中的设备和服务进行登录尝试，以发现可能存在的弱口令。

弱密码是黑客入侵的重要途径之一，因此确保网络中的设备和服务使用强密码非常重要。

4. 配置扫描：检查网络设备和应用程序的配置，以确认其是否符合安全标准和最佳实践。

配置错误可能导致系统易受攻击，因此需要及时发现和修复这些配置问题。

5. 恶意代码检测：使用恶意代码扫描工具对网络中的文件和应用程序进行检测，以发现是否存在恶意代码的感染。

恶意代码通常会对系统造成损害或盗取敏感信息，因此需要及时清除感染并进行修复。

6. 漏洞验证：对已发现的漏洞和弱点进行验证，以确定其是否存在真正的风险。

虽然漏洞扫描工具可以发现漏洞，但并不一定意味着这些漏洞都会被黑客利用，因此需要进行验证和评估。

7. 安全策略审计：对网络安全策略进行审计和评估，以确保其符合组织的安全要求和合规性标准。

安全策略包括访问控制、防火墙规则、入侵检测和预防系统等，其合理性和有效性对于网络安全至关重要。

第一章网络安全概述1-14=141.1网络安全：1、概念：指网络系统的硬件、软件与系统中的数据受到保护,不因无意或故意的威胁而遭到泄露、更改、破坏,保证网络系统正常、可靠、连续地运行.2、信息与网络安全的目标：进不来、拿不走、看不懂、改不了、跑不了.3、网络安全的特征⏹##性：信息不被泄露给非授权的用户、实体或过程,或供其利用的特性.⏹完整性：数据在未经授权时,不能被改变的特性,即信息在存储或传输过程中不被修改、不被破坏和丢失的特性.⏹可用性：可被已授权实体访问并按需求使用的特性.⏹可控性：对信息的内容与传播具有控制能力.1.2网络面临的不安全因素1、网络系统的脆弱性<漏洞>2、网络系统的威胁：无意威胁、故意威胁,被动攻击、主动攻击3、网络结构的安全隐患✓被动攻击：指攻击者只通过观察网络线路上的信息,而不干扰信息的正常流动.✓主动攻击：指攻击者对传输中的信息或存储的信息进行各种非法处理,有选择地更改、插入、删除、复制或延迟这些信息.被动攻击和主动攻击有四种具体类型：窃听、中断、篡改、伪造1.3P2DR模型<网络安全模型>Policy<安全策略>、Protection<防护>、Detection<检测>、Response<响应>弱点：忽略了内在的变化因素.第四章网络扫描与网络监听15-33=194.1黑客攻击的三个阶段1、信息收集目的：进入所要攻击的目标网络的数据库.收集驻留在网络系统中的各主机系统相关信息的工具：SNMP协议、Whois协议、Finger 协议、Ping程序、TraceRoute程序、DNS服务器.2、系统安全弱点的探测探测网络上的主机,寻求该系统的安全漏洞或安全弱点.扫描方式：自编程序、利用公开的工具.3、网络攻击攻击方式：<1>试图毁掉攻击入侵的痕迹,并在受到损害的系统上建立另外的新的安全漏洞或后门,以便在先前的攻击点被发现之后,继续访问这个系统.<2>在目标系统中安装探测器软件,包括特洛伊木马程序,用来窥探所在系统的活动,收集黑客感兴趣的一切信息,如Telnet和FTP的账号名和口令等.<3>进一步发现受损系统在网络中的信任等级,这样黑客就可以通过该系统信任级展开对整个系统的攻击.4.2黑客入侵1、"被侵入〞指网络遭受到非法闯入的情况.入侵程度：<1>入侵者只获得访问权<一个登录名和口令><2>入侵者获得访问权,并毁坏、侵蚀或改变数据<3>入侵者获得访问权,并获得系统一部分或整个系统控制权,拒绝拥有特权用户的访问<4>入侵者没有获得访问权,而是用不良的程序,引起网络持久性或暂时性的运行失败、重新启动、挂起或其它无法操作的状态.2、对付黑客入侵<1>发现黑客若黑客破坏了站点的安全性,则应进行追踪.在Windows NT平台上,定期检查Event Log中的Security Log来寻找可疑行为.<2>应急操作①估计形势A、黑客是否已成功闯入站点？B、黑客是否还滞留在系统中？若是,需尽快阻止他们.C、可以关闭系统或停止有影响的服务< FTP、Gopher、Telnet等>,甚至可能需要关闭因特网连接.D、侵入是否有来自内部威胁的可能呢？若如此,除授权者之外,别让其他人知道你的解决方案.E、是否了解入侵者身份？若想知道这些,可预先留出一些空间给入侵者,从中了解一些入侵者的信息.②切断连接A、能否关闭服务器？需要关闭它吗？若有能力,可以这样做.若不能,可关闭一些服务.B、是否关心追踪黑客？若打算如此,则不要关闭因特网连接,因为这会失去入侵者的踪迹.C、若关闭服务器,是否能承受得起失去一些必须的有用系统信息的损失？③分析问题必须有一个计划,合理安排时间.当系统已被入侵时,应全盘考虑新近发生的事情,当已识别安全漏洞并将进行修补时,要保证修补不会引起另一个安全漏洞.④采取行动3、抓住入侵者抓住入侵者是很困难的,特别是当他们故意掩藏行迹的时候.机会在于你是否能准确击中黑客的攻击.这将是偶然的,而非有把握的.然而,尽管击中黑客需要等待机会,遵循如下原则会大有帮助.<1>注意经常定期检查登录文件.特别是那些由系统登录服务和wtmp文件生成的内容.<2>注意不寻常的主机连接与连接次数通知用户.<3>注意那些原不经常使用却突然变得活跃的账户.应该禁止或干脆删去这些不用的账户.<4>预计黑客经常光顾的时段里,每隔10分钟运行一次shell script文件,记录所有的过程与网络联接.4.3扫描器<Scanner>扫描器：是检测远程或本地系统安全脆弱性的软件,通过与目标主机TCP/IP端口建立连接和并请求某些服务,记录目标主机的应答,搜集目标主机相关信息,从而发现目标主机存在的安全漏洞.➢安全评估工具：管理员用来确保系统的安全性➢黑客攻击工具：黑客用来探查系统的入侵点1、扫描器的基本工作原理➢扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查.➢扫描器测试TCP/IP端口和服务,并记录目标的回答.通过这种方法,可以搜集到关于目标主机的有用信息.2、扫描器的功能➢发现一个主机和网络的能力➢发现系统运行的服务➢通过测试这些服务,发现漏洞的能力➢进一步的功能：如操作系统辨识、应用系统识别3、扫描器的典型扫描过程输入:扫描目标对象→扫描网络→检验操作系统→端口扫描→收集服务类型/版本→扫描漏洞→产生报表→输出:系统漏洞列表.4.4网络监听✧在一个共享式网络,可以听取所有的流量.是一把双刃剑✓管理员可以用来监听网络的流量情况.✓开发网络应用的程序员可以监视程序的网络情况.✓黑客可以用来刺探网络情报.1、可用以下方法检测系统是否运行网络监听软件：方法一：对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址去ping,运行监听程序的机器会有响应.这是因为正常的机器不接收错误的物理地址,而处于监听状态的机器则能接收.方法二：往网上发送大量不存在的物理地址的信息包,由于监听程序处理这些包,将导致性能下降.通过比较该机器前后的性能加以判断.但这种方法难度比较大.方法三：使用反监听工具<如anti sniffer等>进行检测.2、网络嗅探器<sniffer>⏹sniffer<网络嗅探器,也叫网络分析仪>是一种常用的收集和分析网络数据的工具<程序>.它接收和分析的数据可以是用户的账号和密码,也可以是一些商用##数据等.随着Internet与电子商务的日益普与,Internet的安全也越来越受到重视.在Internet安全隐患中扮演重要角色之一的sniffer已受到人们越来越多的关注.⏹网络监听的目的是截获通信的内容,监听的手段是对协议进行分析.⏹监听器Sniffer的原理：在局域网中与其他计算机进行数据交换的时候,发送的数据包发往所有的连在一起的主机,也就是广播,在报头中包含目标机的正确地址.因此只有与数据包中目标地址一致的那台主机才会接收数据包,其他的机器都会将包丢弃.但是,当主机工作在监听模式下时,无论接收到的数据包中目标地址是什么,主机都将其接收下来.然后对数据包进行分析,就得到了局域网中通信的数据.一台计算机可以监听同一网段所有的数据包,不能监听不同网段的计算机传输的信息.第五章网络入侵34-37=45.1社会工程学攻击1、概念：社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学.2、攻击的两种方式：打请求密码和伪造Email.5.2物理攻击与防X⏹物理安全：保护一些比较重要的设备不被接触.⏹物理安全比较难防止,因为攻击往往来自能够接触到物理设备的用户.5.3缓冲区溢出攻击的原理通过制造缓冲区溢出使程序运行一个用户shell,在通过shell执行其他命令,有管理员权限的shell能对系统进行任意操作.第六章网络后门与网络隐身38-45=86.1入侵过程的三个重要步骤1、隐藏IP、2、种植后门、3、在网络中隐身◇恶意代码：是一种程序,通过将代码在不被察觉的情况下寄宿到另一段程序中,从而达到破坏被感染计算机数据、运行入侵性或破坏性的程序、破坏被感染的系统数据的安全性和完整性的目的.按工作机理和传播方式区分有：普通病毒、木马、蠕虫、移动代码和复合型病毒五类.6.2木马1、特洛伊木马概述一种秘密潜伏的能够通过远程网络进行控制的恶意程序.2、木马的特性：隐蔽性、潜伏性、再生性.3、木马的原理木马程序运行时会隐藏行踪.大多数木马程序都有一个独立的可执行文件.木马通常不容易被发现,因为它以一个正常应用的身份在系统中运行的.木马也采用客户机/服务器工作模式.客户端放在木马控制者的计算机中,服务器端放置在被入侵的计算机中,木马控制者通过客户端与被入侵计算机的服务器端建立远程连接.一旦连接建立,木马控制者就可通过向被入侵计算机发送指令来传输和修改文件.攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使用户运行合法软件.6.3蠕虫⏹蠕虫病毒以计算机为载体,以网络为攻击对象.⏹蠕虫病毒与一般病毒的区别补充一计算机病毒46-66=21+1.1计算机病毒概述1、计算机病毒的概念《计算机信息系统安全保护条例》明确定义：计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码.2、计算机病毒的特征破坏性、传染性、隐蔽性、潜伏性、不可预见性、针对性.3、计算机病毒的分类✓按破坏强弱程度分：良性病毒和恶性病毒.✓按传染方式分：文件型病毒、引导型病毒和混合型病毒.✓按连接方式分：源码型病毒、嵌入型病毒、操作系统型病毒和外壳型病毒.+1.2 计算机病毒的原理计算机病毒的逻辑结构<3个功能模块>1、传统病毒传统病毒一般指早期的DOS病毒,通常分为引导类型、文件型和混合型.引导型病毒的工作流程文件型病毒的工作流程2、宏病毒宏：一些列组合在一起的命令和指令,形成一个命令,以实现任务执行的自动化.宏病毒：是一种存储于文档、模块或加载宏程序中的计算机病毒.特点：只感染微软数据<文档>文件机制：用VB高级语言编写的病毒代码,直接混杂在文件中,并加以传播,当打开受感染的文件或执行触发宏病毒的操作时,病毒就会被激活,并存储到Normal.dt模版或Personal.xls文件中,以后保存的每个文档都会自动被病毒感染.宏病毒的工作流程：+1.3网络病毒的检测1、概述⏹病毒静态时存储于磁盘,激活时驻留在内存,对计算机病毒的检测分为对内存的检测和对磁盘的检测.2、病毒的检查方法<1>比较法▪比较法：进行原始的或正常的特征与被检测对象的特征比较.▪由于病毒的感染会引起文件长度和内容、内存以与中断向量的变化,从这些特征的比较中可以发现差异,从而判断病毒的有无.▪优点：简单、方便,不需专用软件.▪缺点：无法确认计算机病毒的种类和名称.<2>扫描法▪扫描法：用每一种病毒体含有的特定字符串对被检测的对象进行扫描.▪特征串选择的好坏,对于病毒的发现具有决定作用.如何提取特征串,则需要足够的相关知识.▪优点：检测准确、快速,可识别病毒名称和类别,误报警率低,容易清除病毒▪缺点：被扫描的文件很长时,扫描时间长；不容易选出合适的特征串；计算机病毒代码库未与时更新时,无法识别出新型计算机病毒；不易识别变形计算机病毒等.<3>特征字识别法▪计算机病毒特征字的识别法只需从病毒体内抽取很少几个关键的特征字来组成特征字库.它是基于特征串扫描法发展起来的一种新方法.▪优点：检测准确、速度更快,可识别病毒名称和类别,误报警率低,容易清除病毒▪缺点：不容易选出合适的特征串；计算机病毒代码库未与时更新时,无法识别出新型计算机病毒；不易识别变形计算机病毒等.<4>分析法✓本方法是运用相应技术分析被检测对象,确认是否为病毒的.分析法的目的在于：确认被观察的磁盘引导区和程序中是否含有病毒；确认病毒的类型和种类,是否新病毒；弄清病毒体的大致结构,提取字节串或特征字,用于增添到病毒代码库；详细分析病毒代码,为制定相应的反病毒措施制定方案.<5>校验和法✓病毒校验和法：对正常文件的内容,计算其校验和,将该校验和保存起来,可供被检测对象对照比较,以判断是否感染了病毒.▪优点：可侦测到各式的计算机病毒,包括未知病毒▪缺点：误判率高,无法确认病毒种类▪利用校验和法既能发现已知病毒,也能发现未知病毒,但它不能识别病毒类型和指出病毒名称.由于病毒感染并非文件内容改变的唯一原因,文件内容改变有可能是正常程序引起的,因此,该方法经常会产生误报警,且会影响文件的运行速度.校验和法对隐蔽型病毒无效.因为隐蔽型病毒进入内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗.对一个有毒文件能计算出正常的校验和.第八章密码学与信息加密67-97=318.1密码学⏹发展阶段：传统密码学→计算##码学.⏹传统密码学：靠人工进行信息加密、传输和破译.⏹计算##码学：利用计算机进行自动或半自动地加密、解密和传输.⏹ 1. 传统方式计算##码学⏹ 2. 现代方式计算##码学⏹对称密钥密码体制⏹公开密钥密码体制⏹密码学包括密码编码学和密码分析学两部分.1、密码学的基本概念⏹加密：把信息从一个可理解的明文形式变换成一个错乱的、不可理解的密文形式的过程⏹明文<Plain Text>：原来的信息<报文>、消息,就是网络中所说的报文<Message>⏹密文<Cipher Text>：经过加密后得到的信息⏹解密：将密文还原为明文的过程⏹密钥<Key>：加密和解密时所使用的一种专门信息<工具>⏹密码算法<Algorithm>：加密和解密变换的规则<数学函数>,有加密算法和解密算法⏹加密系统：加密和解密的信息处理系统⏹加密过程是通过某种算法并使用密钥来完成的信息变换8.2传统密码技术1、数据的表示2、替代密码3、移位密码4、一次一密钥密码8.3对称密钥密码体制⏹也叫传统密钥密码体制,基本思想是"加密密钥和解密密钥相同或相近〞,由其中一个可推导出另一个.使用时两个密钥均需##.⏹传统密钥密码算法有：DES、IDEA、TDEA<3DES>、MD5、RC5等,典型的算法是DES算法.⏹加密算法要达到的四个目的.⏹提供高质量的数据保护,防止数据未经授权的泄露和未被察觉的修改.⏹具有相当高的复杂性,使得破译的开销超过可能获得的利益,同时又要便于理解和掌握.⏹DES密码体制的安全性应该不依赖于算法的##,其安全性仅以加密密钥的##为基础.⏹实现经济,运行有效,并且适用于多种完全不同的应用.8.4公开密钥密码体制⏹加密密钥与解密密钥不同,且由其中一个不容易得到另一个,则这种密码系统是非对称密钥系统.往往其中一个密钥是公开的,另一个是##的.因此,相应的密码体制叫公开密钥密码体制.公开密钥密码体制的主要算法有RSA、背包算法、Elgamal、Rabin、DH等.1、RSA算法的演算过程：密钥配制过程、加密、解密.P812、DES和RSA算法的特点和比较<1>DES的特点•可靠性较高<16轮变化,增大了混乱性和扩散性,输出不残存统计信息>.•加密/解密速度快.•算法容易实现<可由软件和硬件实现,硬件实现速度快>,通用性强.•算法具有对称性,密钥位数少,存在弱密钥和半弱密钥,便于穷尽攻击.•密钥管理复杂.<2>RSA算法的特点•密钥管理简单<网上每个用户仅##一个密钥,且不需密钥配送>；•便于数字签名；•可靠性较高<取决于分解大素数的难易程度>；•算法复杂,加密/解密速度慢, 难于实现.8.5混合加密方法⏹原理是：在发送端先使用DES或IDEA对称算法加密数据,然后使用公开算法RSA加密前者的对称密钥；到接收端,先使用RSA算法解密出对称密钥,再用对称密钥解密被加密的数据.⏹整个系统需##的只有少量RSA算法的解密密钥.因为对称密钥的数据量很少<64/128位>,RSA只需对其做1~2个分组的加密/解密即可,也不会影响系统效率的.8.6鉴别与认证技术1、鉴别技术概述⏹鉴别包括报文鉴别和身份验证.✓报文鉴别是为了确保数据的完整性和真实性,对报文的来源、时间性与目的地进行验证.✓身份验证是验证进入网络系统者是否是合法用户,以防非法用户访问系统⏹报文鉴别和身份验证可采用数字签名技术实现.⏹身份验证的方法有：口令验证、个人持证验证和个人特征验证.⏹报文鉴别的常用方法是使用信息摘要或散列函数进行.数字摘要的使用过程：①对原文使用Hash算法得到数字摘要；②将数字摘要与原文一起发送；③接收方将收到的原文应用单向Hash函数产生一个新的数字摘要；④将新数字摘要与发送方数字摘要进行比较.2、数字签名和验证的过程<1>报文的发送方从原文中生成一个数字摘要,再用发送方的私钥对这个数字摘要进行加密来形成发送方的数字签名.<2>发送方将数字签名作为附件与原文一起发送给接收方.<3>接收方用发送方的公钥对已收到的加密数字摘要进行解密；<4>接收方对收到的原文用Hash算法得到接收方的数字摘要；<5>将解密后的发送方数字摘要与接收方数字摘要进行对比,进行判断.数字签名解决了电子商务信息的完整性鉴别和不可否认性<抵赖性>问题.3、数字签名与加密过程密钥对使用差别数字签名使用的是发送方的密钥对,是发送方用自己的私钥对摘要进行加密,接收方用发送方的公钥对数字签名解密,是一对多的关系,表明发送方公司的任何一个贸易伙伴都可以验证数字签名的真伪性；密钥加密解密过程使用的是接收方的密钥对,是发送方用接收方的公钥加密,接收方用自己的私钥解密,是多对一的关系,表明任何拥有该公司公钥的人都可以向该公司发送密文,但只有该公司才能解密,其他人不能解密；第九章防火墙与入侵检测98-142=459.1防火墙概述防火墙<Firewall>是在两个网络之间执行访问控制策略的一个或一组安全系统.1、防火墙的发展简史⏹第一代防火墙：采用包过滤<Packet Filter>技术.⏹第二、三代防火墙：推出电路层防火墙,和应用层防火墙的初步结构.⏹第四代防火墙：开发基于动态包过滤技术的第四代防火墙.⏹第五代防火墙：NAI公司推出一种自适应代理技术,可以称之为第五代防火墙.2、防火墙的功能✓强化网络安全策略,集中化的网络安全管理.✓记录和统计网络访问活动.✓限制暴露用户点,控制对特殊站点的访问.✓网络安全策略检查.3、防火墙的局限性✓不能防X内部人员的攻击✓不能防X绕过它的连接✓不能防备全部的威胁✓不能防X恶意程序9.2防火墙技术⏹根据防火墙的技术原理分类：包过滤防火墙、代理服务器防火墙、状态检测防火墙和自适应代理防火墙.1、包过滤技术⏹包过滤防火墙通常只包括对源IP 地址和目的IP 地址与端口的检查.⏹包过滤防火墙通常是一个具有包过滤功能的路由器.因为路由器工作在网络层,因此包过滤防火墙又叫网络层防火墙.⏹包过滤是在网络的出口<如路由器上>对通过的数据包进行检测,只有满足条件的数据包才允许通过,否则被抛弃.这样可以有效地防止恶意用户利用不安全的服务对内部网进行攻击.⏹包过滤就是根据##信息来判断该包是否符合网络管理员设定的规则,以确定是否允许数据包通过.★包过滤防火墙⏹数据包过滤技术的发展：静态包过滤、动态包过滤.⏹包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高.⏹缺点和局限性：在机器中配置包过滤规则比较困难；对包过滤规则的配置测试也麻烦；很难找到具有完整功能的包过滤产品.⏹包过滤防火墙是一种静态防火墙.静态包过滤防火墙是按照定义好的过滤规则审查每个数据包.过滤规则是基于数据包的报头信息制定的.2、代理服务技术⏹代理服务是运行在防火墙主机上的特定的应用程序或服务程序.防火墙主机可以是具有一个内部网接口和一个外部网接口的双穴<Duel Homed>主机,也可以是一些可以访问Internet并可被内部主机访问的堡垒主机.⏹这些代理服务程序接受用户对Internet服务的请求,并按安全策略转发它们的实际的服务.⏹所谓代理,就是提供替代连接并充当服务的桥梁<网关>.⏹代理服务的一大特点就是透明性.⏹代理服务位于内部用户和外部服务之间.代理程序在幕后处理所有用户和Internet服务之间的通信以代替相互间的直接交谈.⏹对于用户,代理服务器给用户一种直接使用"真正〞服务器的感觉；对于真正的服务器,代理服务器给真正服务器一种在代理主机上直接处理用户的假象.⏹用户将对"真正〞服务器的请求交给代理服务器,代理服务器评价来自客户的请求,并作出认可或否认的决定.如果一个请求被认可,代理服务器就代表客户将请求转发给"真正〞的服务器,并将服务器的响应返回给代理客户.3、状态检测技术⏹状态检测防火墙又称动态包过滤防火墙.状态检测防火墙在网络层由一个检查引擎截获数据包,抽取出与应用层状态有关的信息,并以此作为依据决定对该数据包是接受还是拒绝.⏹检查引擎维护一个动态的状态信息表并对后续的数据包进行检查.一旦发现任何连接的参数有意外变化,该连接就被中止.⏹状态检测防火墙是新一代的防火墙技术,也被称为第三代防火墙.9.3常见防火墙系统模型⏹常见防火墙系统一般按照四种模型构建：⏹筛选路由器模型、单宿主堡垒主机<屏蔽主机防火墙>模型、双宿主堡垒主机模型<屏蔽防火墙系统模型>和屏蔽子网模型.1、包过滤结构防火墙2、双穴主机结构⏹双穴主机有两个接口.这样的主机可担任与这些接口连接的网络路由器,并可从一个网络到另一个网络发送IP 数据包.3、主机过滤结构⏹主机过滤结构中提供安全保障的主机<堡垒主机>在内部网中,加上一台单独的过滤路由器,一起构成该结构的防火墙.⏹堡垒主机是Internet主机连接内部网系统的桥梁.任何外部系统试图访问内部网系统或服务,都必须连接到该主机上.因此该主机需要高级别安全.4、子网过滤结构⏹子网过滤体系结构添加了额外的安全层到主机过滤体系结构中,即通过添加参数网络,更进一步地把内部网络与Internet隔离开.⏹通过参数网络将堡垒主机与外部网隔开,减少堡垒主机被侵袭的影响.⏹子网过滤体系结构的最简单的形式为两个过滤路由器,每一个都连接到参数网络上,一个位于参数网与内部网之间,另一个位于参数网与外部网之间.这是一种比较复杂的结构,它提供了比较完善的网络安全保障和较灵活的应用方式.9.4入侵检测系统1、入侵检测入侵检测<Intrusion Detection>技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动.一旦发。