网络防御实验报告学院计算机学院专业网络工程班级1班姓名刘小芳学号41009040127 -2013年12月30日一.实验题目网络防御实验二.实验环境PC 机一台;操作系统:win7物理地址:EO-E9-A5-81-A5-1DIP地址:192.168.1.102三.实验目的掌握有关网络防御的基本原理和方法;四.常见网络防御方法10.1物理层10.2网络层路由交换策略VLAN划分防火墙、隔离网闸入侵检测抗拒绝服务传输加密10.3系统层漏洞扫描系统安全加固10.4应用层防病毒安全功能增强10.5管理层独立的管理队伍统一的管理策略五、实验方法概述前面设计了网络攻击实验,现在在前面的基础上完成网络攻击的防御,主要模仿现在常用的网络防御手段,如防火墙等。
六.概述:1.恶意代码及黑客攻击手段的三大特点:传播速度惊人:“大型推土机”技术(Mass rooter),是新一代规模性恶意代码具备的显著功能。
这些恶意代码不仅能实现自我复制,还能自动攻击内外网上的其它主机,并以受害者为攻击源继续攻击其它网络和主机。
以这些代码设计的多线程和繁殖速度,一个新蠕虫在一夜之间就可以传播到互联网的各个角落。
2.受害面惊人:许多国家的能源、交通、金融、化工、军事、科技和政府部门等关键领域的信息化程度逐年提高,这些领域的用户单位的计算机网络,直接或间接地与Internet有所联系。
各种病毒、蠕虫等恶意代码,和各种黑客攻击,通过Internet为主线,对全球各行业的计算机网络用户都造成了严重的影响。
3穿透深度:蠕虫和黑客越来越不满足于攻击在线的网站,各种致力于突破各种边界防线的攻击方式层出不穷。
一个新的攻击手段,第一批受害对象是那些24小时在线的网站主机和各种网络的边界主机;第二批受害对象是与Internet联网的,经常收发邮件的个人用户;第三批受害对象是OA网或其它二线内网的工作站;终极的受害对象可能会波及到生产网络和关键资产主机。
4.网络攻击的动机偷取国家机密商业竞争行为内部员工对单位的不满对企业核心机密的企望网络接入帐号、信用卡号等金钱利益的诱惑利用攻击网络站点而出名对网络安全技术的挑战对网络的好奇心5.攻击的过程预攻击攻击后攻击七.防御1.1远程控制技术:远程控制实际上是包含有服务器端和客户端的一套程序服务器端程序驻留在目标计算机里,随着系统启动而自行启动。
此外,使用传统技术的程序会在某端口进行监听,若接收到数据就对其进行识别,然后按照识别后的命令在目标计算机上执行一些操作(比如窃取口令,拷贝或删除文件,或重启计算机等)攻击者一般在入侵成功后,将服务端程序拷贝到目标计算机中,并设法使其运行,从而留下后门。
日后,攻击者就能够通过运行客户端程序,来对目标计算机进行操作1.2远程控制技术的发展历程第一代功能简单、技术单一,如简单的密码窃取和发送等第二代在技术上有了很大的进步,如国外的BO2000,国内的冰河等第三代为了躲避防火墙而在数据传递技术上做了不小的改进,比如利用ICMP协议以及采用反弹端口的连接模式第四代研究操作系统底层,在进程隐藏方面有了很大的突破1.3远程受控端程序的自启动A. Windows启动目录B. 注册表启动Run(RunOnce/RunOnceEx/RunServices)KnownDLLsC. 修改文件关联方式D. 系统配置文件启动Win.iniSystem.iniE. 服务启动F. 其他启动1.4远程受控端程序的隐藏A. 在任务栏(包括任务管理器)中隐藏自己初步隐藏B. 注册为系统服务不适用于Win2k/NTC. 启动时会先通过窗口名来确定是否已经在运行,如果是则不再启动防止过多的占用资源D. 进程隐藏远程线程插入其他进程(不适用于Win9X)Hook技术1.5远程控制数据传输方式ICMP协议传送反弹端口 + HTTP隧道技术1.6远程控制的防御A. 远程端口扫描B. 本地进程—端口察看Fport / VisionAntiyPortsAPortsC. 本地进程察看PslistListdllsD. 注册表监控RegmonE. 文件监控FilemonF. 使用专用的查杀工具G. 加强使用者的安全意识2.1 DoS与DDoS攻击DoS (Denial of Service)攻击的中文含义是拒绝服务攻击DDoS (Distributed Denial of Service)攻击的中文含义是分布式拒绝服务攻击2.2 拒绝服务攻击的种类发送大量的无用请求,致使目标网络系统整体的网络性能大大降低,丧失与外界通信的能力。
利用网络服务以及网络协议的某些特性,发送超出目标主机处理能力的服务请求,导致目标主机丧失对其他正常服务请求的相应能力。
利用系统或应用软件上的漏洞或缺陷,发送经过特殊构造的数据包,导致目标的瘫痪(称之为nuke)2.3拒绝服务攻击典型举例SynFloodSmurfPingFloodUDP Flooder2.4 SynFlood的防御对策A. 重新设置一些TCP/IP协议参数增加TCP监听套解字未完成连接队列的最大长度减少未完成连接队列的超时等待时间类似于SYN Cookies的特殊措施B. 选择高性能的防火墙SYN Threshold类SYN Defender类SYN Proxy类3.1分布式拒绝服务攻击DDoS是DoS攻击的延伸,威力巨大,具体攻击方式多种多样。
分布式拒绝服务攻击就是利用一些自动化或半自动化的程序控制许多分布在各个地方的主机同时拒绝服务攻击同一目标。
攻击一般会采用IP地址欺骗技术,隐藏自己的IP地址,所以很难追查。
3.2分布式拒绝服务攻击步骤探测扫描大量主机以寻找可入侵的目标;入侵有安全漏洞的主机并获取控制权,在每台入侵主机中安装攻击程序;构造庞大的、分布式攻击网络;在同一时刻,由分布的成千上万台主机向同一目标地址发出攻击,目标系统全线崩溃;3.3典型的分布式拒绝服务攻击工具TrinooTFNStacheldrahtTFN2K3.4分布式拒绝服务攻击防御对策A.对于分布式攻击,目前仍无非常有效的方法来防御B.基本的防御对策1) 做好各种基本的拒绝服务攻击防御措施,打好补丁;2) 联系ISP对主干路由器进行限流措施;3) 利用各种安全防御系统进行辅助记录工作。
4) 使用软件来帮助管理员搜索ddos客户端find_ddosZombieZapperddosping4.1网络监听攻击4.2网络监听攻击的环境A. 基于共享(HUB)环境的监听比较普遍实现较为简单B. 基于交换(Switch)环境的监听基础是ARP欺骗技术4.2基于共享环境的监听A. 共享以太网环境中,所有物理信号都会被传送到每一个主机节点上去B. 如将系统的网络接口设定为混杂模式(Promiscuous),则就能接受到一切监听到的数据帧,而不管其目的MAC地址是什么4.3 共享环境监听的意义A. 积极意义:方便网络管理员进行管理和网络故障分析B. 消极意义:常被用来窃听在网络上以明文方式传输的口令和账号密码POP3邮件口令Ftp登录口令Telnet登录口令4.4共享环境监听的检测A. 基于主机的检测简单的ifconfig命令,包括各种UNIX系统B. 基于网络的检测针对系统硬件过滤和软件过滤的检测针对DNS反向域名解析的检测针对网络和主机响应时间的检测C.使用专业的检测工具AntiSniff(有for win和for unix的版本)Promiscan5.1口令入侵:口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动获取口令的途径有:网络监听口令猜测,暴力破解利用系统管理员的失误5.2 口令猜测攻击A. 口令猜测攻击原理现行很多加密算法都单向不可逆攻击者每次从攻击字典中取出一个条目作为口令,使用相同的加密算法进行加密,然后同密文进行比对,如不同则继续下一次尝试,否则则猜测成功。
B. 口令猜测可分为远程口令破解本地口令破解5.3远程口令破解A. 许多网络服务,都是通过账号/口令来认证需要访问该服务的用户POP3 Netbios Telnet FTP HTTP等B. 可以远程进行穷举字典的方式来猜解口令C. 破解效率很低,而且容易被记录5.4 本地口令猜解A. 各种操作系统以自己各自的方式存放密码文件,而大多数的加密算法都比较脆弱,容易被猜解B. 本地破解速度非常快,具体的速度取决于系统的配置C. 在协同工作越来越发达的今天,本地口令破解可以说是“百发百中”5.5口令破解防御对策A. 制定正确的密码策略,并贯彻实施密码长度,强度足够定期更换密码禁用类似12345678、computer……这样的简单密码B. 提高人的安全意识很重要6.1 ARP欺骗的防范MAC地址绑定,使网络中每一台计算机的IP地址与硬件地址一一对应,不可更改。
使用静态ARP缓存,用手工方法更新缓存中的记录,使ARP欺骗无法进行。
使用ARP服务器,使其他计算机的ARP配置只接受来自ARP服务器的ARP响应。
7.1系统安全加固防御基本安全配置检测和优化;密码系统安全检测和增强;系统后门检测;提供访问控制;策略和工具;增强远程维护的安全性;文件系统完整性审计;增强的系统日志分析;系统升级与补丁安装;SUS补丁安全管理;8.1使用Windows update安装最新补丁;更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值,保障帐号以及口令的安全;卸载不需要的服务;将暂时不需要开放的服务停止;限制特定执行文件的权限;设置主机审核策略;调整事件日志的大小、覆盖策略;禁止匿名用户连接;删除主机管理共享;限制Guest用户权限;安装防病毒软件、及时更新病毒代码库;安装个人防火墙。
使用Windows update安装最新补丁;更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值,保障帐号以及口令的安全;将默认Administrator用户和组改名,禁用Guests并将Guest改名;开启安全审核策略;卸载不需要的服务;将暂时不需要开放的服务停止;限制特定执行文件的权限;调整事件日志的大小、覆盖策略;禁止匿名用户连接;删除主机管理共享;安装防病毒软件、个人防火墙。
9.1个人信息安全的防范技巧1、不轻易运行不明真相的程序2、屏蔽小甜饼(Cookie )信息3、不同的地方用不同的口令4、屏蔽ActiveX控件5、定期清除缓存、历史记录以及临时文件夹中的内容6、不随意透露任何个人信息7、突遇莫名其妙的故障时要及时检查系统信息8、对机密信息实施加密保护9、拒绝某些可能有威胁的站点对自己的访问10、加密重要的邮件11、在自己的计算机中安装防火墙12、为客户/服务器通信双方提供身份认证,建立安全信道13、尽量少在聊天室里或使用OICQ聊天八.实验总结报告本次实验使我对常见的网络防御的基本理论和方法有了更深的认识,增强了自己在这方面的安全意识和防范能力,培养了自己使用网络攻击技防御的软硬件只是解决实际问题的能力,锻炼了自己的动手实践能力。