Embed Size (px)
DESCRIPTION
第1章 计算机网络安全基础知识. 主讲:耿杰. 任务一 Ping 攻击与防范. 任务分析. 技能目标. 知识链接. 操作步骤. 一 . 真实工作任务分析:. 测试特理网络的命令 Ping (因特网包探索器)是用于测试网络连接量的程序。它发送一个 ICMP 响应请求消息给目的地,并报告是否收到所希望的 ICMP 应答,校验与远程或本地计算机的连接。. 一 . 真实工作任务分析:. - PowerPoint PPT Presentation
Citation preview
第 1 章 计算机网络安全基础知识
主讲:耿杰
任务一 任务一 PingPing 攻击与防范攻击与防范
任务分析 技能目标 知识链接 操作步骤
一 . 真实工作任务分析:
测试特理网络的命令 Ping (因特网包探索器)是用于测试网络连接量的程序。它发送一个 ICMP响应请求消息给目的地,并报告是否收到所希望的 ICMP 应答,校验与远程或本地计算机的连接。
一 . 真实工作任务分析:
本案例中的攻击只需网中多台电脑同时在Ping 后加上参数 -t 对目标机进行长时间测试,从攻击的意义而言就完成了一次 Ping攻击,大量的数据包将会使目标机运行速度越来越慢,甚至瘫痪。在 DOS 环境中完成这个命令,命令如下:格式: Ping 目标 IP 地址 – t例: Ping 192.168.0.6 –t
二 . 技能目标:
1. 掌握 Ping攻击与防范方法2. 掌握利用工具软件检测系统漏洞的方法
三 . 知识链接:1
计算机网络安全定义
2 3
计算机网络安全特征 网络面临的威胁
课堂讨论:
你碰到过网络不安全的情况没有 ? 你碰到的情况有什么样的症状 ? 你是怎样解决的 ? 。
三 . 知识链接:
随着网络技术的不断发展 , 网络在人们的生活中已经占有一席之地 , 为人们的生活带来了很大方便。然而,网络也不是完美无缺的,它在给人们带来惊喜的同时,也带来了威胁。计算机犯罪、黑客、有害程序和后门问题等严重威胁着网络的安全。目前,网络安全问题等严重威胁着网络的安全。
1. 网络安全定义
三 . 知识链接:
网络的安全策略一般分为三类:逻辑上的,物理上的和政策上的。逻辑上的措施,即研究开发有效的网络安全技术,例如,安全协议、密码技术、数字签名、防火墙、安全管理、安全审计等。
三 . 知识链接:
计算机网络安全是指保持网络中的硬件、软件系统正常运行,使它们不因自然和人为的因素而受到破坏更改和泄露。网络安全主要包括物理安全、软件安全、数据安全和运行安全等 4 个方面。
三 . 知识链接:案例 1:
三 . 知识链接:案例 2:
三 . 知识链接:案例 3:
三 . 知识链接:
由于网络安全威胁的多样性、复杂性及网络信息、数据的重要性,在设计网络系统的安全时,应该努力达到安全目标。一个安全的网络具有下面五个特征:可靠性、可用性、保密性、完整性和不可低赖性。
2. 计算机网络安全的特征
三 . 知识链接:( 1 )可靠性可靠性是网络安全最基本的要求之一,是指系统在规定条件下和规定时间内完成规定功能的概率。 可用性是指信息和通信服务在需要时允许授权人或实体使用。 ( 3)保密性保密性指防止信息泄漏给非授权个人或实体 ,信息只为授权用户使用 .保密性是面向信息的安全要求。
2. 计算机网络安全的特征
三 . 知识链接:
( 4 )完整性完整性也是面向信息的安全要求。它是指信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。 ( 5 )不可抵赖性不可抵赖性也称作不可否认性,是面向通信双方(人、实体或进程)信息真实的安全要求。
2. 计算机网络安全的特征
三 . 知识链接:1.计算机系统的脆弱性计算机系统的脆弱性主要来自计算机操作系统的不安全性,在网络环境下,还来源于网络通信协议的不安全性。 2.网络内部的威胁对网络内部的威胁主要是来自网络内部的用户,这些用户试图访问那些不允许使用的资源和服务器。可以分为两种情况:一种是有意的安全破坏,第二种是由于用户安全意识差造成的无意识的操作失误,使得系统或网络误操作或崩溃。
3. 网络面临的内部威胁
三 . 知识链接:
除了受到来自网络内部的安全威胁外,网络还受到来自外界的各种各样的威胁。网络系统的威胁是多样的,因为在网络系统中可能存在许多种类的计算机和操作系统,采用统一的安全措施是不容易的,也是不可能的,而对网络进行集中安全管理则是一种好的方案。 安全威胁主要可以归结为物理威胁、网络威胁、身份鉴别、编程、系统漏洞等方面。
4. 网络面临的外部威胁
四 . 真实工作任务分析: Ping 攻击与防范
测试特理网络的命令 Ping (因特网包探索器)是用于测试网络连接量的程序。它发送一个 ICMP响应请求消息给目的地,并报告是否收到所希望的 ICMP 应答,校验与远程或本地计算机的连接。
四 . 真实工作任务分析: Ping 攻击与防范本案例中的攻击只需网中多台电脑同时在Ping 后加上参数 -t 对目标机进行长时间测试,从攻击的意义而言就完成了一次 Ping攻击,大量的数据包将会使目标机运行速度越来越慢,甚至瘫痪。在 DOS 环境中完成这个命令,命令如下:格式: Ping 目标 IP 地址 – t例: Ping 192.168.0.6 –t
操作步骤 : 【操作步骤】
第 1 步:添加 IP 安全策略。我们首先要做的就是,在控制台中添加 IP 安全策略单元,添加步骤如下:( 1 )依次点击【开始 →】 【运行】,然后在【运行】窗口中输入“ mmc” 并回车,此时将会打开【控制台 1 】窗口,如图 1-1 所示。
图 1-1 控制台窗口
操作步骤 : ( 2 )在图 1-1 所示窗口依次点击【文件 →】 【添加 / 删除管理单元 →】 【添加】,此时将会打
开【添加 / 删除管理单元】窗口,我们在此窗口下的列表中双击“ IP 安全策略管理”,如图 1-2 所示。
操作步骤 : ( 3 )这时将会弹出【选择计算机域】窗口,在此我们选中【本地计算机】,然后点击【完成】按钮,最后依次点击【关闭 →】 【确定】,返回【控制台 1 】主界面,此时我们将会发现在【控制台根节点】下多了【 IP 安全策略,在本地计算机】(如图 1-3 所示)项,此时可以说明控制台中已经添加了 IP 安全策略项。
操作步骤 : 第 2 步:创建 IP 安全策略。在我们添加了 IP 安全策略后,还要创建一个新的 IP安全策略,步骤如下:
( 1 )在图 1-3 中右键点击【 IP 安全策略,在本地机器】选项,执行【创建 IP安全策略】命令,此时将会打开【 IP 安全策略向导】窗口。 ( 2 )单击【下一步】按钮,此时将会出现要求指定 IP 安全策略名称及描述向导页面,我们可以在【描述】下输入一个策略描述,比如【禁止 Ping 】,如图 1-4 所示。
操作步骤 : ( 3 )点击【下一步】,然后在出现的页面中确保选中了【激活默认相应规则】项,然后单击【下一步】。
( 4 )在出现的【默认响应规则身份验证方法】对话框中选中【此字符串用来保护密钥交换(预共享密钥)】选项,然后在下面的文字框中任意键入一段字符串(如“禁止 Ping” ),如图 1-5 所示。
操作步骤 : ( 5 )单击【下一步】,此时将会出现完成 IP 安全策略向导页面窗口,最后单击【完成】按钮即完成了 IP 安全策略的创建工作。 第 3 步:编辑 IP 安全策略属性。在以上 IP 安全策略创建后,在控制台中就会看到刚刚创建好的【新 IP 安全策略】项,下面还要对其属性进行编辑修改,步骤如下;
( 1 )在控制台中双击创建好的新 IP 安全策略,此时将会弹出【新 IP 安全策略属性 】 窗口,如图 1-6 所示。
操作步骤 : ( 2 )单击【添加】按钮,此时将会弹出【安全规则向导】窗口,直接点击【下一步】则进入【隧道终结点】页面,在此点选【此规则不指定隧道】。
( 3 )单击【下一步】此时将会出现【网络类型】页面,在该页面中我们点选【所有网络连接】项,这样就能保证所有的计算机都 Ping 不通该主机了,如图 1-7 所示。
操作步骤 : ( 4 )单击【下一步】,此时将会出现【身份验证方法】页面,我们继续选中【此字符串用来保护密钥交换(预共享密钥)】项,然后在下面的输入框中输入“禁止Ping” 的文字,如图 1-8 所示。
操作步骤 : ( 5 )单击【下一步】,然后在打开的【 IP筛选器列表】页面中单击【添加】按钮,此时将会打开【 IP筛选器列表】窗口,如图 1-9 所示。
操作步骤 : ( 6 )在【 IP筛选器列表】窗口中单击【添加】按钮,此时将会弹出【 IP筛选器向导】窗口,我们单击【下一步】,此时将会弹出【 IP 通信源】页面,在该页面中设置【源地址】为“我的 IP 地址”,如图 1-10 所示。
操作步骤 : ( 7 )单击【下一步】按钮,我们在弹出的页面中设置【目标地址】为【任何 IP 地址】,任何 IP 地址的计算机都不能 Ping你的机器,如图 1-11 所示。
操作步骤 : ( 8 )点击【下一步】,然后在出现的【 IP协议类型】页面中设置【选择协议类
型】为“ ICMP” ,如图 1-12 所示。
操作步骤 : ( 9 )依次单击【下一步 →】 【完成】,此时,你将会在【 IP筛选器列表】看到刚创建的筛选器,将其选中后单击【下一步】,在出现的【筛选器操作】页面中设置筛选器操作为【需要安全】选项,如图 1-13 所示。
操作步骤 : ( 10 )点击【下一步】,然后依次点击【完成 →】 【确定 →】 【关闭】按钮,保存相关的设置返回控制台即可。
第 4 步:指派 IP 安全策略。安全策略创建完毕后并不能马上生效,我们还需通过【指派】功能令其发挥作用。方法是:在【控制台根节点】中右击【新的 IP 安全策略】项,然后在弹出的右键菜单中执行【指派】命令,即可启用该策略,如图 1-14 所示。
操作步骤 : 至此,这台主机已经具备了拒绝其他任何机器 Ping自己 IP地址的功能,不过在本地仍然能够 Ping通自己。经过这样的设置之后,所有用户(包括管理员)都不能在其他机器上对此服务器进行 Ping操作,不用担心被 Ping威胁了。
系统安全评估计算机系统的安全评估是对系统安全性的检验和监督。系统安全评估包括了构成计算机系统的物理网络和系统的运行过程、系统提供的服务以及这种过程与服务中的管理、保证能力的安全评估,
计算机系统的安全评估可以确保系统连续正常运行,确保信息的完整性和可靠性,及时发现系统存在的薄弱环节,采取必要的措施,杜绝不安全因素。另外,有了安全评估,并不意味着可以高枕无忧,因为要在技术上做到完全的安全保护是不可能的。所以,评估的目标应该是,使攻击所花的代价足够高,从而把风险降低到可接受的程度。
安全评估标准的重要性在于: 1 )用户可依据标准,选用符合自己应用安全级别的、评定了安全等级的计算机系统,然后,在此基础上再采取安全措施。 2 )一个计算机系统是建立在相应的操作系统之上的,离开了操作系统的安全,也就无法保证整个计算机系统的安全。所以,软件生产厂商应该满足用户的需求,提供各种安全等级的操作系统。 3 )建立系统中其他部件(如数据库系统、应用软件、计算机网络等)的安全评估标准,可以使它们配合并适应相应的操作系统,以实现更完善的安全性能。
第一个有关信息技术安全评价的标准诞生于 20世纪80年代的美国。 1983年美国国防部发布了“可信计算机评估标准”,简称桔皮书。 1985年对此标准进行了修订后作为了美国国防部的标准,也成为了世界各国的参考标准。
1994年,国务院发布了《中华人民共和国计算机信息系统安全保护条例》,其中第九条规定 “计算机信息系统安全等级保护。安全等级的划分和安全等级保护的具体办法,由公安部会同有关部门制定”。
常见的计算机系统安全等级的划分有两种:一种是美国国防部 1985年发表的评估计算机系统安全等级的桔皮书,将计算机系统的安全划分为 4 个等级,8 个级别,即 A2 、 A1 、 B3 、 B2 、 B1 、 C2 、C1 、 D ;其中, A2级安全级别最高, D 级安全级别最低。另一种是依据我国颁布的《计算机信息系统安全保护等级划分准则》( GB17859 -1999 ),该条例是计算机信息系统安全保护的法律基础。将计算机安全等级划分为 5 级。
1 .填空题 ( 1 )网络安全策略由3 个重要的方面组成,它们是 、物理和政策。 ( 2 )网络安全主要包括 _____________ 、 ___________ 、 ________和运行安全等几个方面。 ( 3 )物理安全包括 __________ 的安全。 ( 4 )软件安全指 ___________ 的安全。 ( 5 )信息安全指 ____________ 安全。 ( 6 )运行安全指 ______________ 。 ( 7 )保密性指 __________________ 的安全要求。 ( 8 )一个安全的网络具有下面五个特征: __________ 、( 9 )系统漏洞是指 __________ 。 。 ( 10 )依据美国国防部发表的评估计算机系统安全等级的桔皮书,将计算机安全等级划分为 ____________ 类 __________级。
2 .选择题 ( 1 )保护计算机网络设备免受环境事故的影响属于信息安全的 ____________ 。 ( A )人员安全 ( B )物理安全 ( 3 )数据安全 ( D )操作安全 ( 2 )有些计算机系统的安全性不高,不对用户进行验证,这类系统安全级别是 。 ( A ) D1 ( B ) A1 ( C ) C1
( D ) C2
( 3 )保证数据的完整性就是 ________________ 。 ( A )保证因特网上传送的数据信息不被第三方监视 ( B )保证因特网上传送的数据信息不被篡改 ( C )保证电子商务交易各方的真实身份 ( D )保证发送方不抵赖曾经发送过某数据信息 ( 4 )某种网络安全威胁是是通过非法手段取得对数据的使用权,并对数据进行恶意地添加和修改,这种安全威胁属于 。 ( A )窃听数据 ( B )破坏数据完整性 ( C )拒绝服务 ( D )物理安全威胁 ( 5 )在网络安全中,捏造是指未授权的实体向系统中插入伪造的对象。这是对 。 ( A )可用性的攻击 ( B )保密性的攻击 ( C )完整性的攻击
( D )真实性的攻击
3 .简答题( 1 )什么是网络安全?网络安全包括哪些方面?( 2 )网络系统本身存在哪些安全漏洞?( 3 )网络面临的威胁有哪些?( 4 )系统漏洞产生的原因主要有哪些?
课堂小结 :
计算机网络安全指保持网络中的硬件、软件系统正常运行,使它们不因各种因素受到破坏更改和泄露。网络受到的威胁来自于网络的内部和外部两个方面。 计算机系统的安全评估是对系统安全性的检验和监督。在我国,常见的计算机系统安全等级的划分有两种:一种是依据美国国防部发表的评估计算机系统安全等级的桔皮书;一种是我国颁布的《计算机信息系统安全保护等级划分准则》。
实训项目:实训目的1.了解操作系统常见的安全漏洞。2.掌握 X-Scan扫描器的使用方法。3.掌握使用扫描工具 X-Scan 检测系统漏洞的方法。实训环境搭建1.连上 Internet 的主机或局域网主机。2 . Windows NT/2000/XP 系统。3 . X-Scan3.3扫描器
实训一 使用扫描工具 X-Scan 检测系统漏洞
操作步骤 : 第 1步:运行 X-Scan主程序,即可打开其操作窗口,如图 1-15所示。
操作步骤 : 第 2 步:选择【设置 →】 【扫描参数】菜单项,即可打开【扫描参数】窗口,在【检测范围】模块的【指定 IP范围】文本框中,输入要检测的目标主机的域名或 IP地址,也可以对多个 IP 进行检测(例如输入“ 192.168.0.1-192.168.0.255” 来对处于这个网段的所有主机进行检测),如图 1-16 所示。
操作步骤 : 第 3 步:在【全局设置】模块中,可以对要扫描的模块、端口等进行设置,【扫描模块】选项用于检测对方主机的一些服务和端口等情况,可以全部选择或只检测部分服务,如图 1-17 所示。【并发扫描】选项用于设置检测时的最大并发主机和并发线程的数量。【扫描报告】选项用于设置扫描结束所产生的报告文件名和类型。这里假设选择【 HTML 】类型,如图 1-18 所示。
操作步骤 :
操作步骤 : 在【其他设置】中可设置【跳过没有响应的主机】功能,如果对方禁止了 Ping 或防火墙设置使其没有响应,则 X-Scan 将会自动跳过,接着检测下一台主机。如果选择
了【无条件扫描】功能,则 X-Scan 将会对目标主机进行详细检测,得到的结果相对详细准确,如图 1-19 所示。但扫描时间会延长,对单个主机进行扫描一般会采用这种方式。
操作步骤 : 第 4 步:在【插件设置】模块中,可以对插件进行一些必要的检测。
在【端口相关设置】中可自定义一些需要检测的端口,检测方式分 “ TCP” 或“ SYN”两种, TCP 方式容易被对方发现,但准确性要高一些; SYN 则相反,如图 1-20 所示。
操作步骤 : 【 SNMP 相关设置】选项主要是针对 SNMP 信息的一些检测设置。【 NETBIOS相关设置】选项是针对 Windows 系统 NETBIOS 信息的检测设置,包括的项目有很多,只需要选择使用的内容即可。“漏洞检测脚本设置”、“ CGI 相关设置”和“字典文件设置”等功能直接采用默认设置就可以了。
第 5 步:在设置好上述模块之后,返回到 X-Scan 主窗口中单击【开始】按钮,即可出现一个如图 1-21 所示的进度提示框。
操作步骤 : 第 6 步:当漏洞脚本加载完毕之后,就可以进行漏洞检测了,具体检测过程如图1-22 所示。如果检测到了漏洞,则可以在【漏洞信息】列表框对其进行查看。
操作步骤 : 第 7 步:在扫描结束之后,将自动弹出检测报告,包括漏洞的风险级别和详细的信息,以便对所扫描的主机进行分析,如图 1-23 所示。
