计算机网络ppt课件CH11网络安全.ppt

1,影响网络安全的因素,网络操作系统的脆弱性TCP/IP协议的安全性缺陷数据库系统的安全缺陷网络资源共享带来的风险数据通信风险电脑病毒安全管理漏洞,2,一、信息加密,加密原理传统密码体制DES数据加密标准公开密钥算法数字签名报文鉴别,3,加密模型,1.传统的数据加密模型,4,传统的数据加密模型说明,明文P用加密算法E和加密密钥K加密，得到密文C=EK(P)在传送过程中可能出现密文截取者到了接收端，利用解密算法D和解密密钥K，解出明文为DK(C)=DK(EK(P)=P截取者又称为攻击者，或入侵者在这里我们假定加密密钥和解密密钥都是一样的。但实际上它们可以是不一样的（即使不一样，这两个密钥也必然有某种相关性）密钥通常是由一个密钥源提供。当密钥需要向远地传送时，一定要通过另一个安全信道,5,1）替换密码,凯撒密码,a-D、b-E、c-F、d-G、e-H s-V、z-C 例如：明 文：access control 可变为：DFFHVV FRQWURO 密钥为：移4位,改进方案：允许移位k位，k为密钥。解密要尝试25种可能,6,替换密码的再改进,密码对照表,对照表中第二行的26个字母次序即为密钥。解密要尝试26！种情况，假设1s试一种情况则需1013年。但解密方法可用“分布式计算”或“用字频法”。,7,2）变位密码,每个码不变，但位置改变，最常用的是列变位加密,例：密钥为MEGABUCK 明文为：pleasetransferonemilliondollarstomyswissbankaccountsixtwotwo密文为：AFLLSKSOSELAWAIATOOSSCTCLNMOMANTESILYNTWRNNTSOWDPAEDOBUOERIRICXB,8,变换盒,P盒：实现变位,乘积密码的基本元素,方式：用电路改变输入线的输出排列。图中列出8根线的变位，如这8位从上到下指定为01234567 则该P盒的输出为36071245,3）乘法密码,(a)P盒,9,S盒：实现替换,乘积密码的基本元素,(b)S盒,按图中的替换，如果8个八进制数01234567一个接一个地输入，那么输出序列将变为24506713。即2替换0，4替换1。注意n个比特的输入需要2n条交换线,10,乘积密码,将一串盒子连接起来，组成乘积密码,(c)乘积,11,2.DES数据加密,DES（Data Encryption Standard）数据加密标准 加密算法固定，根据不同的密钥产生不同的结果,明文按64比特块加密，生成64 bit的密文。此算法有一个56 bit的密钥作为参数（另加8 bit的奇偶位）,12,3.IDEA,DES可采用穷举法解密。目前已设计出可在4小时内破译DES的机器（7*1016种密钥），因此仍是不安全的 IDEA采用128位密钥，对每64bit进行加密。加密过程是通过8次迭代。,13,4.公开密钥算法,密钥是成对产生的 加密密钥不能用来解密 DSK(EPK(P)=P 但DPK(EPK(P)P 加密密钥和算法是公开的，解密密钥是保密的 从PK(加密密钥)导出SK(解密密钥)极其困难,14,1）公开密钥算法模型,公开密钥算法中RSA算法最有代表性 RSA算法：基于数论,15,2）密钥的选取,选择两个大质数，p和q（典型地应大于10100）计算n=p*q和z=（p-1）*（q-1）选择一个与z互质的数d,(d,n)为解密密钥 找出e,使e*d（mod z）=1(e,n)为加密密钥,公开密钥为（e、n），私有密钥为（d、n）n为可编码的最大数,16,5.数字签名,接收方能够验证发送方所宣称的身份 发送方以后不能否认报文是他发的 接收方不能伪造该报文,数字签名的目的,17,1）采用秘密密钥的数字签名,一个公认的信任机构BB，负责给每个人分配密码 传输时，也必须通过该信任机构。如A发一消息给B，他必须先用自己的密钥加密后发给信任机构BB，信任机构BB解密，然后重新用B的密钥加密后发给B,18,2）采用公开密钥的数字签名,秘密密钥加密的问题：需要有公认的信任机构。但事实上很难找到这样的机构,19,6.加密技术应用,数据链路层加密节点加密端到端加密，如：IPsec/SSL,20,1.计算机病毒的特性,计算机病毒的传染性计算机病毒的隐蔽性 计算机病毒的潜伏性 计算机病毒的破坏性 计算机病毒的针对性计算机病毒的衍生性（变种）计算机病毒的寄生性计算机病毒的不可预见性,二、防范病毒,21,2.病毒的征兆,键盘、打印、显示有异常现象运行速度突然减慢计算机系统出现异常死机或死机频繁文件的长度内容、属性、日期无故改变丢失文件、丢失数据系统引导过程变慢系统有不明进程常驻无缘无故的网络连接、访问需求,3.病毒的传播途径/入侵渠道,软盘启动、自动运行使用软盘、移动存储设备 电子邮件网络连线 数据共享、文件传输使用CD-ROM访问不良网站,4.传统电脑病毒种类,开机感染型硬盘分割区式：STONE,米开朗基罗，FISH启动软盘式：C-BRAIN，DISK-KILLER 文档感染型 非常驻型:VIENNA(维也纳)常驻型:黑色星期五/红色九月/石头病毒 复合型病毒:Natas,MacGyver,24,5.新型病毒,隐秘型病毒使用复杂编码加密技巧,每一代的代码都不同，无特征样本可循 以拦截功能及显示假象资料以蒙蔽用户 不影响功能的情况下,随机更换指令顺序,电脑蠕虫 是一个独立的程序,不会攻击其它程序，不附着其它程序,不需要寄主 在系统中大量繁殖 部分种类蠕虫会在存储介质上游走,避免被其它程序覆盖 典型案例：，Melissa,25,基于视窗的计算机病毒越来越多新计算机病毒种类不断涌现，数量急剧增加传播途径更多，传播速度更快计算机病毒造成的破坏日益严重电子邮件成为计算机传播的主要途径,6.病毒的新特点、新趋势,蠕虫病毒越来越多，宏病毒退而居其次黑客程序与病毒的结合主动传播，基于网络的病毒越来越多,26,7.常见病毒防治方法,1）病毒代码过滤（特征代码法、指令特征法）,根据病毒特征代码进行比对 静态的分析方法 可以准确指出病毒种类 无法防御未知病毒 需要在提取已知病毒代码时非常准确,27,2）功能特征检测,动态的检测模式 检查某一类别的非法操作 不是检测某个特定病毒,而是具有同种功能的病毒广谱识别：如果某些软件采用同种功能,会误报,28,利用编码技术,将可执行段作特殊运算,产生识别码或检测值.如果可执行段发生改变,只要计算出的识别码与与记录值不同,表示有中毒的可能。不需要特征代码，不需要更新版本或代码库，但清除病毒的唯一方法就是用备份文件覆盖原文件，源程序有任何改动需要更新记录，即重新生成识别码。,3）加值总和法,29,利用编码技术,在可执行程序前添加一段自我检查程序，如果发现中毒，则主动修复。特点：不认病毒，无需经常更新，不用备份缺点：移植（加载）检查段前，必须确定无毒；增加可执行文件长度，减少可用空间，加长运行时间,4）移植检查法,30,将正常可执行段加以修改，植入病毒标志，使病毒感染时误认为已经感染而放弃。早期防毒软件采用这种方法。但目前病毒数目越来越多，且现代病毒根本不检查感染标志,5）疫苗程序,31,8.网络防范病毒策略,网关、服务器级保护,客户端保护,全网防护,32,9.网络防毒系统的要求,管理方便安装方式多样真正基于网络（Internet/Intranet）客户端操作简便、透明免维护控制病毒源条件限制要少,33,10.影响防毒效果的不良习惯,随意开放共享并且设置喂最大权限 系统补丁不及时更新 使用盗版软件 随意安装系统和软件 浏览一些不良的恶意网站 OICQ聊天 网络安全意识薄弱，不遵守安全规则,34,1.入侵检测系统的概念,入侵检测系统IDS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。,三、入侵检测,35,1）入侵检测系统的类型和性能比较,根据入侵检测的信息来源不同，可以将入侵检测系统分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件：来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。,36,2）入侵检测的方法,目前入侵检测方法有三种分类依据：1、根据物理位置进行分类。2、根据建模方法进行分类。3、根据时间分析进行分类。常用的方法有三种：静态配置分析异常性检测方法基于行为的检测方法。,37,（a）静态配置分析,静态配置分析通过检查系统的配置，诸如系统文件的内容，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（比如，系统配置信息）。采用静态分析方法主要有以下几方面的原因：入侵者对系统攻击时可能会留下痕迹，可通过检查系统的状态检测出来。,38,（b）异常性检测方法,异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下，就可以检测入侵者的方法，同时它也是检测冒充合法用户的入侵者的有效方法。但是。在许多环境中，为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。因为并不是所有入侵者的行为都能够产生明显的异常性，所以在入侵检测系统中，仅使用异常性检测技术不可能检测出所有的入侵行为。而且，有经验的入侵者还可以通过缓慢地改变他的行为，来改变入侵检测系统中的用户正常行为模式，使其入侵行为逐步变为合法，这样就可以避开使用异常性检测技术的入侵检测系统的检测。,39,（c）基于行为的检测方法,基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则的行为，来检测系统中的入侵活动。基于入侵行为的入侵检测技术的优势：如果检测器的入侵特征模式库中包含一个已知入侵行为的特征模式，就可以保证系统在受到这种入侵行为攻击时能够把它检测出来。但是，目前主要是从已知的入侵行为以及已知的系统缺陷来提取入侵行为的特征模式，加入到检测器入侵行为特征模式库中，来避免系统以后再遭受同样的入侵攻击。,40,3）入侵检测的步骤,入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避免攻击的发生，或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤：信息收集数据分析响应。,41,（a）信息收集,入侵检测的第一步就是信息收集，收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。要确保采集、报告这些信息的软件工具的可靠性，这些软件本身应具有相当强的坚固性，能够防止被篡改而收集到错误的信息。否则，黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样。,42,（b）数据分析,数据分析（Analysis Schemes）是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能。根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与误用入侵检测两类。,43,（c）响应,数据分析发现入侵迹象后，入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应：将分析结果记录在日志文件中，并产生相应的报告。触发警报：如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件等等。修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。,44,2.黑客概述,什么是黑客？(Hacker的音译)源于动词Hack，其引申意义是指“干了一件非常漂亮的事”。就是指那些精通网络、系统、外设以及软硬件技术的人。什么是骇客？（Cracker，破坏者）就是运用自己的知识去做出有损他人权益的事情。,45,目前将黑客的分成三类：第一类：破坏者；第二类：红客；第三类：间谍,46,3.黑客的行为发展趋势,手段高明化：黑客已经逐步形成了一个团体，利用网络进行交流和团体攻击，互相交流经验和自己写的工具。活动频繁化：已经不再需要掌握大量的计算机和网路知识，学会使用几个黑客工具，就可以再互联网上进行攻击活动，黑客工具的大众化是黑客活动频繁的主要原因。动机复杂化：黑客的动机目前已经不再局限于为了国家、金钱和刺激。,47,4.黑客攻击五部曲,1）隐藏IP2）踩点扫描3）获得系统或管理员权限4）种植后门5）在网络中隐身,48,1）隐藏IP,通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。,比如攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”，这样跨国度的攻击，一般很难被侦破。,49,2）踩点扫描,踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。扫描分成两种策略：被动式策略和主动式策略。,50,常见的踩点方法包括：在域名及其注册机构的查询公司性质的了解对主页进行分析邮件地址的搜集目标IP地址范围查询。,踩点扫描中的扫描一般分成两种策略:一种是主动式策略另一种是被动式策略。,51,被动式策略就是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查。主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。,扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以是工作站、服务器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。,52,扫描方式可以分为慢速扫描和乱序扫描。慢速扫描：对非连续端口进行扫描，并且源地址不一致、时间间隔长没有规律的扫描。乱序扫描：对连续的端口进行扫描，源地址一致，时间间隔短的扫描。,被动式策略是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查。被动式扫描不会对系统造成破坏，而主动式扫描对系统进行模拟攻击，可能会对系统造成破坏。,53,主动式扫描一般可以分成：活动主机探测ICMP查询网络PING扫描端口扫描标识UDP和TCP服务指定漏洞扫描综合扫描,54,网络监听,网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。,除了非常著名的监听软件Sniffer Pro以外，还有一些常用的监听软件：嗅探经典Iris 密码监听工具Win Sniffer 密码监听工具pswmonitor和非交换环境局域网的fssniffer等,防止监听的手段是：使用交换网络、使用加密技术和使用一次性口令技术。,55,3）获得系统或管理员权限,通过系统漏洞获得系统权限通过管理漏洞获得管理员权限通过软件漏洞得到系统权限通过监听获得敏感信息进一步获得相应权限通过弱口令获得远程管理员的用户密码通过穷举法获得远程管理员的用户密码通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权通过欺骗获得权限以及其他有效的方法。,56,4）种植后门,为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。,5）在网络中隐身,一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现。在入侵完毕后需要清除登录日志以及其他相关的日志。,57,5.木马,木马是一种可以驻留在对方系统中的一种程序。木马一般由两部分组成：服务器端和客户端。驻留在对方服务器的称之为木马的服务器端，远程的可以连到木马服务器的程序称之为客户端。木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。,常见的简单得木马有NetBus远程控制、“冰河”木马、PCAnyWhere远程控制等等。,58,6.拒绝服务攻击,拒绝服务攻击的简称是：DoS（Denial of Service）攻击，凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击，其目的是使目标计算机或网络无法提供正常的服务。最常见的DoS攻击是：计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。,59,四、IPSec协议族,1.IPSec体系结构,60,2.IPSec的工作模式 传输模式 隧道模式,受IPSec保护的IP包的两种模式,61,Windows中的IPSec协议结构,62,3.第二层隧道协议,使用L2TP的VPN连接,63,图14-9IPSec体系结构,1.L2TP的组成2.L2TP的安全性3.L2TP和PPTP的比较4.证书管理5.L2TP/IPSec安全,64,1.防火墙的定义,在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。,五、防火墙,65,2.防火墙的功能,根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户防止入侵者接近网络防御设施限制内部用户访问特殊站点由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等种类相对集中的网络。Internet上的Web网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。,66,3.防火墙的分类,常见的放火墙有三种类型：1）包过滤（Packet Filtering）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。2）应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。3）状态检测（Status Detection）：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。,67,1）包过滤防火墙,数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃,68,一个可靠的分组过滤防火墙依赖于规则集，表9-1列出了几条典型的规则集。第一条规则：主机任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机小于1024的端口，如果基于TCP协议的数据包都禁止通过。,69,2）应用代理防火墙,应用代理（Application Proxy）是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层，因此又被称为“应用网关”。,70,4.常见防火墙系统模型,常见防火墙系统一般按照四种模型构建：筛选路由器模型单宿主堡垒主机（屏蔽主机防火墙）模型双宿主堡垒主机模型（屏蔽防火墙系统模型）屏蔽子网模型。,71,1）筛选路由器模型,筛选路由器模型是网络的第一道防线，功能是实施包过滤。创建相应的过滤策略时对工作人员的TCP/IP的知识有相当的要求，如果筛选路由器被黑客攻破那么内部网络将变的十分的危险。该防火墙不能够隐藏你的内部网络的信息、不具备监视和日志记录功能。,典型的筛选路由器模型,72,2）单宿主堡垒主机模型,单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。,单宿主堡垒主机的模型,73,3）双宿主堡垒主机模型,双宿主堡垒主机模型（屏蔽防火墙系统）可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。,双宿主堡垒主机模型,74,4）屏蔽子网模型,屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了“中立区”(DMZ，Demilitarized Zone)网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组，以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。,75,5.创建防火墙的步骤,成功的创建一个防火墙系统一般需要六步：第一步：制定安全策略第二步：搭建安全体系结构第三步：制定规则次序第四步：落实规则集第五步：注意更换控制第六步：做好审计工作。,76,ACL配置实例：,允许来自网络的通信interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out,77,6.防火墙的局限性,没有万能的网络安全技术，防火墙也不例外。防火墙有以下三方面的局限：防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。,78,1）攻击包过滤防火墙的常用手段,IP 欺骗攻击主要是修改数据包的源，目的地址和端口，模仿一些合法的数据包来骗过防火墙的检测。拒绝服务攻击 简单的包过滤防火墙不能跟踪 tcp的状态，很容易受到拒绝服务攻击，一旦防火墙受到攻击，可能会忙于处理，而忘记了自己的过滤功能。,79,分片攻击 在IP的分片包中，所有的分片包用一个分片偏移字段标志分片包的顺序，但是，只有第一个分片包含有TCP端口号的信息。当IP分片包通过包过滤防火墙时，防火墙只根据第一个分片包的TCP信息判断是否允许通过，而后续的分片不作检测直接通过。攻击者就可以通过先发送第一个合法的IP分片，骗过防火墙的检测，接着封装了恶意数据的后续分片包就可以直接穿透防火墙，直接到达内部网络主机。,80,木马攻击 对包过滤防火墙最有效的攻击，一但在内部网络安装了木马，防火墙基本上是无能为力的。原因是包过滤防火墙一般只过滤低端口（1-1024），而高端口不可能过滤的（因为一些服务要用到高端口，因此防火墙不能关闭高端口的），所以很多的木马都在高端口打开等待机会。,81,2）攻击状态检测防火墙的常用手段,协议隧道攻击 此攻击思想类似于VPN的实现原理，攻击者将一些恶意的攻击数据包隐藏在一些协议分组的头部，从而穿透防火墙系统对内部网络进行攻击。如：允许ICMP回应请求、ICMP回应应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。利用FTP-pasv绕过防火墙认证的攻击 FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段，攻击者利用这个特性，可以设法连接受防火墙保护的服务器和服务。,82,反弹木马攻击 反弹木马是对付状态检测防火墙的最有效的方法。内部网络的反弹木马定时地连接外部攻击者控制的主机，由于连接是从内部发起的，防火墙（任何的防火墙）都认为是一个合法的连接。防火墙无法区分木马的连接和合法的连接,83,六、网络数据分析工具Sniffer,网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。监听器Sniffer的原理：在局域网中与其他计算机进行数据交换的时候，发送的数据包发往所有的连在一起的主机，也就是广播，在报头中包含目标机的正确地址。因此只有与数据包中目标地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目标地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数据包，不能监听不同网段的计算机传输的信息。,84,1.定义数据包类型,进入Sniffer主界面，抓包之前必须首先设置要抓取数据包的类型。选择主菜单Capture下的Define Filter菜单,85,2.选择站点,在抓包过滤器窗口中，选择Address选项卡。,窗口中需要修改两个地方：在Address下拉列表中，选择抓包的类型是IP，在Station1下面输入主机的IP地址，主机的IP地址是；在与之对应的Station2下面输入虚拟机的IP地址，虚拟机的IP地址是。,86,3.选择协议,设置完毕后，点击该窗口的Advanced选项卡，拖动滚动条找到IP项，将IP和ICMP选中。,87,4.模拟网络流量,Sniffer的过滤器设置完毕后，选择菜单栏Capture下Start菜单项，启动抓包以后，在主机的DOS窗口中使用Ping程序发送数据包。,88,5.停止捕获并分析,等Ping指令执行完毕后，点击工具栏上的停止并分析按钮。,89,6.对数据包解码分析,在出现的窗口选择Decode选项卡，可以看到数据包在两台计算机间的传递过程。,