网络信息安全 第1章 概论和基础文档信息.ppt

信息、材料和能源是人类社会赖以生存和发展的基础。 所谓信息，科学家说：信息是不确定性的减少，是负熵.安全专家说：信息是一种资产，它意味着一种风险.教科书上的定义“就是客观世界中各种事物的变化和特征的必威体育精装版反映，是客观事物之间联系的表征，也是客观事物状态经过传递后的再现”。 （包括三点：差异、特征、传递） 信息自身不能独立存在，必须依附于某种物质载体。信源、信宿、信道是信息的三大要素。 信息可以被—创建,输入,存储,输出,传输（发送，接收，截取）,处理（编码，解码，计算）,销毁。 信息系统是信息采集、存储、加工、分析和传输的工具，它是各种方法、过程、技术按一定规律构成的一个有机整体。 概括计算机网络上的通信面临4种威胁。 截获(interception) 中断(interruption) 篡改(modification) 伪造(fabrication) 上述四种威胁可划分为两大类，即被动攻击和主动攻击。在上述情况中，截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。 数据的性质 Interruption(中断) -- Interception(截获) -- Modification(修改) -- Fabrication (伪造) -- 存储于计算机系统中的信息，易于受到与通信线路同样的威胁。非法用户在获取系统访问控制权后，浏览存储介质上的必威体育官网网址数据或专利软件，并且对有价值的信息进行统计分析，推断出所有的数据，这样就使信息的必威体育官网网址性、真实性、完整性遭到破坏。 信息系统对信息进行加工过程中，通常以源码出现，加密保护对处理中的信息不起作用。因此，在这个期间有意攻击和意外操作都极易使系统遭受破坏，造成损失。除此之外，信息系统还会因为计算机硬件的缺陷、软件的脆弱、电磁辐射和客观环境等原因造成损害，威胁计算机信息系统的安全。 计算机硬件系统的故障 软件组件（漏洞 ） 网络和通信协议 拥塞的定义 1.5 网络攻击与防范 1.5.4 隐蔽与欺骗 应对 删除所有的/etc/hosts.equiv、/.rhosts文件或修改/etc/ inetd.conf文件，删除不必要的信任关系 还可以杀掉portmapper，或是设置路由器，过滤来自外部而信源地址却是内部IP的IP包（家贼难防） TCP的ISN选择不是随机的，增加也不是随机的，这使攻击者有规律可循，可以修改与ISN相关的代码，因此选择好的算法，使得攻击者难以找到规律，也是有效的防范手段（遥远） 1.5 网络攻击与防范 1.5.4 隐蔽与欺骗 对攻击的评价 利用信任关系，打死一个，再冒充死者控制信任它的不设防主机，显现出战术组合思想，值得肯定 Unix+信任关系设置，这种环境越来越少，攻击成立的前提条件不够普遍 看不见回应的“盲操作”具有一定难度 对序列号的猜测不易达到很高的命中率，猜测错误可以作为入侵检测的依据 1.5 网络攻击与防范 1.5.4 隐蔽与欺骗 TCP劫持攻击 在IP欺骗攻击中，使用的是一个真实的IP地址，攻击者必须留心那台机器对攻击造成干扰，把它打死 换一下思路，我们可以首先控制一台已经和目标主机建立起连接的机器，模仿它的序列号但把源地址替换成一个子虚乌有的IP地址，然后无缝地切换到自己的机器上，同时继续保持刚才的假地址和序列号，做更多的事情 这种攻击叫做“TCP劫持攻击”或“会话劫持攻击” 1.5 网络攻击与防范 1.5.4 隐蔽与欺骗 TCP劫持攻击的流程 观察谁在和目标连接，选择劫持对象 假设确定了A在和B连接，B是目标，A是劫持对象 获取A的某种权限，控制A 获取A与B当前TCP连接的序列号 从某一时刻起，将A向B发出的包的源IP地址改为预先设定的假地址，维持序列号 从某一时刻起，将A主机与B的连接断开，攻击者利用假地址和真序列号将连接过渡到自己的机器与B之间 做更多的事情…… 1.5 网络攻击与防范 1.5.4 隐蔽与欺骗 危害：猝不及防 假地址只是隐蔽性的问题 破坏性主要是在主机切换这个环节 C通常都会错误地以为A还是刚才的正常用户B从而不会有什么戒备，而且此时往往是原来的正常用户正在和服务器进行交换信息或是进行一些事件的时候，这时候用户往往会有更大的权限能做更多的事情，从而为黑客提供了更加便利的条件 1.5 网络攻击与防范 1.5.4 隐蔽与欺骗 防范 比较困难 A劫持了B后，B对于C来说和原来是没有什么两样，它对A的访问也都会被当成正当访问处理，如果它自己换了一个IP地址也会很容易被当真，况且这种情况属于正常操作的也不是没有 因此，可以说正常的B和被劫持的B是非常难区分的 防御重点还只能是B的被控制 1.5 网络攻击与防范 1