計算機(jī)網(wǎng)絡(luò)安全技術(shù) 課件 第四章 網(wǎng)絡(luò)安全技術(shù)

第四章網(wǎng)絡(luò)安全技術(shù)4.1數(shù)據(jù)包分析4.1.1數(shù)據(jù)包分析概述數(shù)據(jù)包分析1.數(shù)據(jù)包分析的意義分析數(shù)據(jù)包可以使信息傳輸不再存在秘密對數(shù)據(jù)包進(jìn)行深入分析，是為了更好地了解網(wǎng)絡(luò)是如何運行，數(shù)據(jù)包是如何被轉(zhuǎn)發(fā)，應(yīng)用是如何被訪問當(dāng)再次出現(xiàn)網(wǎng)絡(luò)故障或網(wǎng)絡(luò)應(yīng)用問題時，就能夠很快地解決2.數(shù)據(jù)包分析的內(nèi)容（1）了解網(wǎng)絡(luò)的工作原理。（2）查看網(wǎng)絡(luò)使用情況及網(wǎng)絡(luò)上的通信主體。（3）確認(rèn)哪些應(yīng)用占用帶寬。（4）識別網(wǎng)絡(luò)中存在的攻擊或惡意行為。（5）分析網(wǎng)絡(luò)故障和延時大小。（6）查看用戶訪問應(yīng)用的速度。（7）優(yōu)化和改進(jìn)應(yīng)用性能。3.獲取數(shù)據(jù)包（1）通過數(shù)據(jù)鏈路層獲?。?）通過網(wǎng)絡(luò)層獲取1.Wireshark的特點（1）深入檢查數(shù)百種協(xié)議，并且不斷添加更多協(xié)議（2）實時捕獲和離線分析（3）標(biāo)準(zhǔn)三窗格數(shù)據(jù)包瀏覽器（4）多平臺：在Windows、Linux、macOS、Solaris、FreeBSD、NetBSD和其他許多平臺上運行（5）可以通過GUI或通過TTY模式的TShark實用程序瀏覽捕獲的網(wǎng)絡(luò)數(shù)據(jù)（6）業(yè)界最強(qiáng)大的顯示過濾器（7）豐富的VoIP分析（8）讀/寫許多不同的捕獲文件格式（9）可以動態(tài)解壓縮使用Gzip壓縮的捕獲文件（10）實時數(shù)據(jù)從以太網(wǎng)、IEEE802.11、PPP/HDLC、ATM、藍(lán)牙、USB、令牌環(huán)、幀中繼、FDDI等中讀取（取決于用戶的平臺）（11）支持對許多協(xié)議的解密，包括IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP和WPA/WPA2（12）可以將著色規(guī)則應(yīng)用于數(shù)據(jù)包列表，以便進(jìn)行快速、直觀的分析（13）輸出可以導(dǎo)出為XML、PostScript、CSV或純文本4.1.2Wireshark介紹01020304網(wǎng)絡(luò)管理員可以使用它來解決網(wǎng)絡(luò)問題網(wǎng)絡(luò)安全工程師可以使用它來檢查安全問題質(zhì)量保證工程師可以使用它來驗證網(wǎng)絡(luò)應(yīng)用開發(fā)人員使用它可以來調(diào)試協(xié)議05網(wǎng)絡(luò)工程師可以使用它來學(xué)習(xí)網(wǎng)絡(luò)協(xié)議2．Wireshark的使用場景3．Wireshark的安裝（1）下載Wireshark運行→安裝向?qū)А鷨螕簟癗ext”（4）安裝中選擇默認(rèn)配置，即一直單擊“Next”按鈕（2）在“ChooseInstallLocation”窗口→單擊“Browse...”→選擇軟件安裝位置→單擊“Next”（5）“Completing

Wireshark4.0.864-bitSetup”窗口→單擊“Finish”（3）在“USBCapture”窗口→勾選“InstallUSBPcap1.5.4.0”→單擊“Install”→開始安裝4．Wireshark中文設(shè)置如果你選擇中文，請選擇合適的字體：“編輯”→“首選項設(shè)置”→“用戶接口”→“字體”5．Wireshark使用說明1）確定Wireshark的位置2）選擇捕獲接口3）使用捕獲過濾器4）使用顯示過濾器5）使用著色規(guī)則6）構(gòu)建圖表7）重組數(shù)據(jù)4.1.3數(shù)據(jù)包分析實例數(shù)據(jù)包分析實例1．背景有一個網(wǎng)站被192.168.1.58惡意入侵，使用Wireshark可以抓到被攻擊的流量，分析數(shù)據(jù)包，找到這次入侵的漏洞。2．步驟（1）啟動網(wǎng)站與Wireshark（2）用漏洞掃描工具掃描網(wǎng)站，掃描出SQL注入漏洞（3）在Wireshark上尋找并分析SQL注入漏洞的POST請求包（4）找出SQL注入漏洞利用的關(guān)鍵字即可定位數(shù)據(jù)包及發(fā)生注入的參數(shù)4.2漏洞檢測4.2.1漏洞檢測的概念安全漏洞是指計算機(jī)系統(tǒng)在硬件、軟件、協(xié)議的設(shè)計、具體實現(xiàn)及系統(tǒng)安全策略上存在的缺陷和不足。漏洞檢測就是希望能夠防患于未然，在漏洞被利用之前發(fā)現(xiàn)漏洞并修補(bǔ)漏洞。1．主機(jī)在線探測為了避免不必要的空掃描，在掃描之前一般要先探測主機(jī)是否在線其實現(xiàn)原理和常用的ping命令相似具體方法是向目標(biāo)主機(jī)發(fā)送ICMP報文請求，根據(jù)返回值來判斷主機(jī)是否在線2．端口狀態(tài)探測發(fā)送1個SYN包到主機(jī)端口并等待響應(yīng)如果端口打開，則響應(yīng)必定是SYN+ACK信息包如果端口關(guān)閉，則會收到RST+ACK信息包這個掃描可以被稱為半打開（Half-Scan）掃描4.2.2漏洞檢測的原理3．操作系統(tǒng)探測在進(jìn)行網(wǎng)絡(luò)入侵或攻擊時，了解操作系統(tǒng)的類型是相當(dāng)重要的，因為攻擊者可以由此明確利用哪種漏洞，或者由此掌握操作系統(tǒng)存在的弱點。4．主機(jī)漏洞檢測漏洞檢測是指使用漏洞檢測程序?qū)δ繕?biāo)系統(tǒng)進(jìn)行信息查詢。一般主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：

基于漏洞庫的規(guī)則匹配和基于模擬攻擊。4.2.3漏洞檢測技術(shù)1．安全掃描3．反匯編掃描4．環(huán)境錯誤注入2．源代碼掃描4.2.4漏洞檢測工具（1）Nessus：可以同時在本機(jī)或遠(yuǎn)端上遙控，進(jìn)行系統(tǒng)的漏洞分析掃描。（2）OpenVAS：一個開源的漏洞掃描器，用于評估網(wǎng)絡(luò)的安全性。（3）QualysGuard：一個云計算安全評估工具，用于評估網(wǎng)絡(luò)、Web應(yīng)用程序和移動應(yīng)用程序的安全性。（4）BurpSuite：一個專業(yè)級的Web應(yīng)用程序安全測試工具，用于檢測Web應(yīng)用程序中的安全漏洞。4.2.5漏洞檢測實例實例1：目標(biāo)及要求（1）掌握漏洞掃描器Nessus的安裝及使用。（2）對掃描出的漏洞進(jìn)行了解。實例2：目標(biāo)及要求（1）掌握Web漏洞掃描器AWVS的安裝及使用。（2）對掃到的漏洞進(jìn)行了解或進(jìn)一步利用獲得的權(quán)限。實例3：目標(biāo)及要求（1）掌握Web安全掃描工具AppScan的安裝及使用。（2）對掃描到的漏洞進(jìn)行了解或進(jìn)一步利用獲得的權(quán)限。4.3密碼破解密碼破解是指使用技術(shù)手段破譯或猜測密碼的過程。密碼是用來保護(hù)信息安全的數(shù)字賬戶，如電子郵件賬戶、社交媒體賬戶、銀行賬戶等的重要信息和數(shù)據(jù)的一種安全措施。4.3.1數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)又被稱為密碼技術(shù)或密碼學(xué)，它是一門既古老又年輕的學(xué)科。隨著互聯(lián)網(wǎng)的發(fā)展，現(xiàn)代密碼學(xué)的應(yīng)用從政治、軍事、外交等傳統(tǒng)領(lǐng)域開始進(jìn)入商業(yè)、金融、娛樂等領(lǐng)域，它的商業(yè)價值和社會價值得到了充分肯定也極大地推動了現(xiàn)代數(shù)據(jù)加密技術(shù)的應(yīng)用和發(fā)展。1.數(shù)據(jù)加密技術(shù)概述1）保護(hù)信息的機(jī)密性2）保護(hù)信息的完整性3）認(rèn)證4）訪問控制2.數(shù)據(jù)加密技術(shù)的功能3.數(shù)據(jù)加密算法現(xiàn)代加密算法簡介實現(xiàn)數(shù)據(jù)加密（1）對稱加密算法（2）非對稱密鑰算法（3）單向加密算法（1）尋找在線加密的網(wǎng)站（2）手動編寫加密程序4.3.2密碼破解方法字典攻擊社會工程攻擊強(qiáng)行攻擊密碼破解方法4.3.3密碼破解實例——使用JohntheRipper破解Linux操作系統(tǒng)密碼內(nèi)容JohntheRipper是免費的開源軟件，支持目前大多數(shù)的加密算法，如DES、MD4、MD5等。它支持多種不同類型的系統(tǒng)架構(gòu)，包括UNIX、Linux、Windows、DOS、BeOS和OpenVMS，主要目的是破解不夠牢固的UNIX/Linux操作系統(tǒng)密碼。在本實驗中，我們事先登錄Linux操作系統(tǒng)并切換為管理員權(quán)限，以便獲取/etc/passwd和/etc/shadow文件。步驟（1）登錄Linux操作系統(tǒng)，以超級用戶權(quán)限執(zhí)行

unshadow/etc/passwd/etc/shadow>shadow（2）在剛剛寫入的shadow文件目錄執(zhí)行

john--format=cryptshadow4.3.4密碼破解實例——使用Hydra暴力破解SSH密碼內(nèi)容Hydra是一種強(qiáng)大的網(wǎng)絡(luò)安全測試工具，旨在測試網(wǎng)絡(luò)的安全性和漏洞。它是一個魚叉攻擊工具，通過嘗試不同的用戶名和密碼組合，以及暴力破解攻擊等方法，來測試系統(tǒng)的弱點。本次攻擊機(jī)的IP地址為192.168.116.128，靶機(jī)的IP地址192.168.116.131。步驟在攻擊機(jī)上安裝Hydra并執(zhí)行命令hydra-Luser.txt-Ptop100_ssh_vps.txt192.168.116.131ssh-vV4.4Web滲透4.4.1Web架構(gòu)1．靜態(tài)網(wǎng)頁請求——HTML3．動態(tài)數(shù)據(jù)訪問——數(shù)據(jù)庫服務(wù)器2．動態(tài)網(wǎng)頁請求——小程序4．用戶狀態(tài)信息的保存4.4.2Web安全需求Web安全需求1．Web服務(wù)器的安全需求1）維護(hù)公布信息的真實性和完整性2）維持Web服務(wù)的安全可用3）保護(hù)Web訪問者的隱私4）保證Web服務(wù)器不被入侵者作為“跳板”2．Web瀏覽器的安全需求（1）確保運行Web瀏覽器的系統(tǒng)不被計算機(jī)病毒、木馬或其他惡意程序侵害而被破壞。（2）確保個人安全信息不外泄。（3）確保所交互的站點的真實性，以免被騙，遭受損失。3．Web傳輸?shù)陌踩枨螅?）保證發(fā)送方（信息）的真實性。（2）保證傳輸信息的完整性。（3）特殊的安全性較高的Web要求傳輸具有保密性。（4）認(rèn)證應(yīng)用的Web要求信息具有不可抵賴性。（5）防偽要求較高的Web應(yīng)用需要保證信息的不可重用性。4.4.3Web滲透測試名詞介紹測試方法工具介紹1.黑盒測試Metasploit蟻劍（AntSword）Webshell

一句話木馬RCE

（RemoteCodeExecution，遠(yuǎn)程代碼執(zhí)行）SQL

注入XSS

（Cross-SiteScripting）注入SSI

（ServerSideInclude）注入SSRF（Server-SideRequestForgery）任意文件讀取等價類劃分法邊界值分析法錯誤推測法因果圖法白盒測試的優(yōu)點：（1）迫使測試人員仔細(xì)思考軟件的實現(xiàn)。（2）可以檢測代碼中的每條分支和路徑。（3）揭示隱藏在代碼中的錯誤。（4）對代碼的測試比較徹底。（5）最優(yōu)化。白盒測試的缺點：（1）昂貴。（2）無法檢測代碼中遺漏的路徑和數(shù)據(jù)敏感性錯誤。（3）不驗證規(guī)格的正確性。白盒測試的優(yōu)缺點白盒測試的測試方法有代碼檢查法、靜態(tài)結(jié)構(gòu)分析法、靜態(tài)質(zhì)量度量法、邏輯覆蓋法、基本路徑測試法、域測試、符號測試、路徑覆蓋和程序變異。白盒測試的覆蓋標(biāo)準(zhǔn)有語句覆蓋、判定覆蓋、條件覆蓋、判定/條件覆蓋、條件組合覆蓋和路徑覆蓋，發(fā)現(xiàn)錯誤的能力由弱至強(qiáng)。測試方法及覆蓋標(biāo)準(zhǔn)2.白盒測試1.黑盒測試實例（1）準(zhǔn)備ThinkPHP5.0.22遠(yuǎn)程代碼執(zhí)行的Payload（攻擊載荷）（2）使用BurpSuite發(fā)送Payload（3）成功執(zhí)行phpinfo()使用BurpSuite攻擊ThinkPHP5.0.22的Web應(yīng)用程序（1）利用漏洞在網(wǎng)站根目錄寫入shell.php（2）使用蟻劍工具進(jìn)行連接（3）連接之后可以在被攻擊的目標(biāo)上執(zhí)行命令，以及上傳和下載文件使用蟻劍連接Webshell4.4.4Web滲透實例2.白盒測試實例（1）從Web應(yīng)用程序的代碼中尋找可能存在的漏洞（2）使用MySQLMonitor來監(jiān)控數(shù)據(jù)庫執(zhí)行語句（3）使用FileMonitor來監(jiān)控網(wǎng)站根路徑下的文件4.5惡意代碼RogerA.Grimes將惡意代碼定義為：經(jīng)過存儲介質(zhì)和網(wǎng)絡(luò)進(jìn)行傳播，從一臺計算機(jī)系統(tǒng)到另外一臺計算機(jī)系統(tǒng)，未經(jīng)授權(quán)認(rèn)證破壞計算機(jī)系統(tǒng)完整性的程序或代碼。它包括計算機(jī)病毒、蠕蟲、特洛伊木馬、邏輯炸彈、病菌、用戶級RootKit、核心級RootKit、腳本惡意代碼和惡意ActiveX控件等。4.5.1計算機(jī)病毒1.計算機(jī)病毒的定義計算機(jī)病毒是人為制造的、能夠進(jìn)行自我復(fù)制的、破壞計算機(jī)資源的一組程序或命令的集合。3.典型的計算機(jī)病毒1）腳本病毒2）宏病毒3）HTML病毒2.計算機(jī)病毒的工作原理1）感染2）潛伏3）傳播4）發(fā)作4.5.2蠕蟲2.蠕蟲的傳播過程1）掃描2）攻擊3）復(fù)制1.蠕蟲的定義蠕蟲是一種特殊的計算機(jī)病毒。蠕蟲不需要用戶的操作，只要駐留在內(nèi)存中，它就會主動向其他的計算機(jī)進(jìn)行傳播。1.木馬概述木馬是目前比較流行的病毒文件，與一般的計算機(jī)病毒不同，木馬的作用是偷偷監(jiān)視和盜竊密碼、數(shù)據(jù)等。2.木馬的特性1）隱蔽性2）自動運行性3）欺騙性4）自動恢復(fù)5）自動打開特別的端口6）功能的特殊性3.木馬類型1）后門木馬2）鏈接木馬3）下載木馬4）蠕蟲木馬4.防范和清除木馬1）不隨意下載軟件2）不隨意打開附件3）使用防毒軟件并經(jīng)常更新病毒庫4）查看文件擴(kuò)展名5）安裝木馬查殺工具4.5.3木馬4.5.4惡意代碼實例——CobaltStrike遠(yuǎn)控木馬實驗工具CobaltStrike（以下簡稱CS）是一款以Metasploit為基礎(chǔ)的GUI的框架式滲