1、,计算机网络使用基础,网 络 安 全,内容提要,网络安全的概念,安全案例,安全威胁的内外因,Windows系统安全,怎样检测系统入侵,信息时代人类共同面临的挑战,“在不到一代人的时间里,信息革命以及电脑进入了社会的每一领域,这一现象改变了国家的经济运行和安全运作乃至人们的日常生活方式,然而,这种美好的新时代也带有它自身的风险。所有电脑驱动的系统都很容易受到侵犯和破坏。对重要的经济部门或政府机构的计算机进行任何有计划的攻击都可能产生灾难性的后果,这种危险是客观存在的。过去敌对力量和恐怖主义分子毫无例外地使用炸弹和子弹,现在他们可以把手提电脑变成有效武器,造成非常巨大的危害。如果人们想要继续享受信
2、息时代的种种好处,继续使国家安全和经济繁荣得到保障,就必须保护计算机控制系统,使它们免受攻击。”,摘自保护信息系统国家计划美国,我国2004年网络安全状况调查,发生过信息网络安全事件:58% 7%(1次22%、2次13%、3次以上23%)安全事件类型:计算机病毒、蠕虫和木马程序破坏79%垃圾邮件36%拒绝服务、端口扫描和篡改网页等网络攻击43%2003年5月至2004年5月数据统计(7072),2004年网络安全状况调查技术分析报告http:/ %,11%,12%,17%,18%,12 %,安全技术措施,67%,31%,15%,60%,16 %,49%,26%,44%,3%,55 %,安全事件
3、原因,什么是网络安全,网络安全是指信息安全和控制安全两部分。,信息安全是定义为“信息的完整性、可用性、保密性和可靠性”;,控制安全指身份认证、不可否认性、授权和访问控制。;,安全是最大程度地减少数据和资源被攻击的可能性,信息安全的基本要求,安全案例(密码),CMOS密码Windows密码(输入法漏洞)文件口令破解(Office ) 通过网络监听获取密码,CMOS密码,SETUP密码:计算机能正常引导,不能进入BIOS设置。在DOS状态下启动DEBUG,输入如下命令手工清除密码:- o 70 16- o 71 16- q 下载专门破除CMOS密码的工具软件Cmospwd。在DOS中启动该程序 (
4、Cmospwd支持Acer、AMI、AWARD、COMPAQ、DELL、IBM、PACKARD BELL、PHOENIX、ZENITH AMI等多种BIOS)。,CMOS密码,SYSTEM密码:若没有密码根本不能启动计算机(即设置了SYSTEM密码)。,唯一的方法就是打开机箱,给CMOS放电,然后重新开机进行设置。另外,有些主板设置了CMOS密码清除跳线,将该跳线短接也可达到同样的目的。,Windows密码,Windows2000输入法漏洞在登录窗口中将鼠标光标移到用户名输入框中,按“Ctrl+Shift”组合键切换输入法,当选择全拼、郑码或微软拼音等中文输入法时,在默认出现的输入法状态条上右
5、击鼠标,选择快捷选单中的“帮助/操作指南(或“输入法入门)”、“帮助”命令时,会出现输入法的帮助窗口。在窗口标题栏上右击鼠标,在出现的快捷选单中选择“跳至URL”命令,会出现一个对话框,在“跳至该URL”框中可以输入你硬盘中存在的任何路径,例如输入“C:”,在帮助窗口的右侧会出现类似资源管理器的窗口,并显示C盘的所有文件和文件夹。虽然我们还没有登录到中文Windows2000,但已具有了系统管理员的所有权限,可以对数据做任何操作。,输入法漏洞,Windows的输入法漏洞,修补该安全漏洞的三种方法转移帮助文件 修改注册表 :由于英文输入法没有提供帮助功能,而智能ABC输入法的帮助功能在登录时无法
6、使用,所以通过修改注册表,在登录窗口中只提供英文和智能ABC两种输入法,可以消除登录安全漏洞。 下载补丁程序,OFFICE文件口令恢复,网络监听获取密码,防范举例,https:/,安全案例(内容监视举例),安全案例(内容监视举例)续,安全案例(内容监视举例)续,安全案例(网页恶意代码 ),IE标题栏和起始主页被修改IE菜单被修改IE默认搜索引擎被修改右键菜单被修改注册表被禁用浏览网页后“开始”菜单被修改,导致“运行” 、“关闭系统” 等消失,桌面、硬盘被隐藏等,如著名的恶意网页“万花谷”就是这样干的。,瑞星信息安全站点http:/ 对于所有用户,都建议安装Norton AntiVirus等杀毒
7、软件,此软件已经把这类恶意修改注册表的代码定义为Trojan.Offensive,并增加了Script Blocking功能,它会对此类恶作剧进行监控并予以拦截。下载恢复工具软件:安装超级兔子魔法设置软件,如果出现问题,可以用它来恢复。禁用IE ActiveX插件和控件:执行“工具Internet选项”命令,在“安全”选项卡中设置。,网页恶意代码的预防(2),注册表加锁方法:运行打开注册表编辑器命令regedit.exe进入注册表,在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下,增加名为Disabl
8、eRegistryTools的DWORD值项,将其值改为“1”,即可禁止使用注册表编辑器命令regedit.exe。,解锁方法如下:用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下:REGEDIT4 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem DisableRegistryTools=dword:00000000 如果要使用注册表编辑器,则双击unlock.reg即可。请注意如果你是Win2000或WinXP用户,请将“REGEDIT4”写为Windows Registry
9、 Editor Version 5.00。,安全威胁来自哪里,计算机系统自身的脆弱性,各种外部威胁,操作系统的不安全性,硬件故障,物理威胁,网络威胁,身份鉴别,系统漏洞,编程,威胁的普遍性网络的开放性管理的困难性,Windows 家族DOSWindows 3.1 Windows for WorkgroupWindows 95Windows 98Windows NT Workstation/ServerWindows MeWindows 2000 Professional/ServerWindows XP Home/ ProfessionalWindows 2003 Server,Windows
10、系统安全,强制用户登录密码设置安全口令禁用Guest ,administrator改名禁用不必要的服务安装补丁程序订阅安全公告,强制用户登录密码,登录前按Ctrl-Alt-Delete,设置安全口令,口令应该不少于6个字符;不包含字典里的单词、不包括姓氏的汉语拼音;同时包含多种类型的字符,比如大写字母(A,B,C,.Z ) 小写字母(a,b,c.z ) 数字( 0,1,2,9)标点符号(,#,!,$,%,& ),禁用Guest ,administrator改名,禁用不必要的服务,ipc$共享入侵,安装所有的安全补丁,Windows 系统版本几乎都有一些安全漏洞补丁:Hotfix:热补丁Serv
11、ice Pack: 服务包http:/ http:/ 订阅CCERT安全公告,微软中文安全站点http:/ 系统安全检查清单,安装所有的安全补丁删除或停用不使用的帐号对所有的帐号设置安全的密码加强用户登录的安全性禁用不必要的服务安装防病毒软件使用个人防火墙为所有驱动器使用NTFS格式检查所有目录的NTFS权限检查所有的网络共享使用屏幕保护备份,怎样检测系统入侵,Ctrl + Alt +Del 任务管理器,Netstat,FPORT,查看系统进程自启动的程序查看网络连接查找后门程序监控端口防火墙,查看网络连接,命令格式:Netstat a e n o sa 表示显示所有活动的TCP连接以及计算机
12、监听的TCP和UDP端口e 表示显示以太网发送和接收的字节数、数据包数等n 表示只以数字形式显示所有活动的TCP连接的地址和端口号o 表示显示活动的TCP连接并包括每个连接的进程ID(PID)s 表示按协议显示各种连接的统计信息,包括端口号,通过检查系统上开启的一些“奇怪”的端口,从而发现木马的踪迹。,打开的端口,C:netstat -anActive ConnectionsProto Local Address Foreign Address State TCP 0.0.0.0:5800 0.0.0.0:0 LISTENING TCP 0.0.0.0:5900 0.0.0.0:0 LISTE
13、NING TCP 127.0.0.1:43958 0.0.0.0:0 LISTENING TCP 202.112.100.20:139 0.0.0.0:0 LISTENING TCP 202.112.100.20:1667 155.186.170.0:445 SYN_SENT TCP 202.112.100.20:1673 155.186.170.6:445 SYN_SENTTCP 202.112.100.20:1674 63.226.170.0:445 SYN_SENT TCP 202.112.100.20:1680 63.226.170.3:445 SYN_SENT TCP 202.112
14、.100.20:2181 63.226.170.255:445 SYN_SENT TCP 202.112.100.20:2738 61.182.210.26:83 ESTABLISHED TCP 202.112.100.20:4899 166.111.232.177:3332 ESTABLISHED TCP 202.112.100.20:4948 166.111.232.177:139 TIME_WAITTCP x.x.x.x:4505 210.159.30.250:6667 CLOSE_WAIT TCP x.x.x.x:4811 198.65.147.245:6667 CLOSE_WAITT
15、CP x.x.x.x:4887 149.156.91.2:6667 CLOSE_WAITTCP x.x.x.x:4976 198.65.147.245:6667 CLOSE_WAIT,查找后门程序(1),http:/ dir /O:D winntsystem32C:winntsystem32 的目录.2003-03-07 02:23 745,984 Dvldr32.exe2003-03-07 07:35 AdCache2003-03-08 18:11 1,880 New.sys2003-03-08 19:53 61,440 PSEXESVC.EXE2003-03-08 22:38 684,56
16、2 inst.exe2003-03-08 22:38 36,352 psexec.exe2003-03-09 00:19 16,384 Perflib_Perfdata_224.dat2003-03-09 00:21 .2003-03-09 00:21 . 1614 个文件 215,110,979 字节 31 个目录 544,190,464 可用字节c:dir winntfonts /O:D.2000-01-10 12:00 118,752 webdings.ttf2002-11-06 15:45 32,768 VNCHooks.dll2002-11-06 15:45 57,344 omnit
17、hread_rt.dll2002-11-06 17:07 212,992 explorer.exe2002-11-06 17:58 29,336 GLH0003.TMP2002-11-06 17:58 29,336 rundll32.exe 151 个文件 418,525,005 字节 0 个目录 544,189,440 可用字节,网络安全漏洞扫描器,扫描器是自动检测远程或本地主机安全性弱点的程序。真正的扫描器是TCP端口扫描器,这种程序可以选通TCP/IP端口和服务(如telnet或FTP),并记录目标的回答。通过这种方法,可以收集到关于目标主机的有用信息。扫描器的主要属性有: 寻找一台机器
18、或一个网络 一旦发现一台机器,可以找出机器正在 运行的服务 测试具有漏洞的那些服务,漏洞扫描工具: X Scan,扫描结果发现绝大多数管理员帐号口令为空,漏洞扫描工具: X Scan,漏洞扫描工具: X Scan,端口扫描工具: SuperScan,防火墙(Firewall),防火墙的基本设计目标对于一个网络来说,所有通过“内部”和“外部”的网络流量都要经过防火墙通过一些安全策略,来保证只有经过授权的流量才可以通过防火墙防火墙本身必须建立在安全操作系统的基础上防火墙的控制能力 服务控制,确定哪些服务可以被访问 方向控制,对于特定的服务,可以确定允许哪个方 向能够通过防火墙 用户控制,根据用户来控制对服务的访问 行为控制,控制一个特定的服务的行为,赛迪网技术安全专题http:/ “冲击波”病毒)IE浏览器漏洞能够使得用户的信息泄露URL处理漏洞给恶意网页留下了后门URL规范漏洞,一些通过即时通讯工具传播的病毒FTP溢出系列漏洞主要针对企业服务器造成破坏GDI+漏洞可以使电子图片成为病毒,
