第四章網(wǎng)絡(luò)安全PPT課件.ppt

網(wǎng)絡(luò)安全問題 第四章 1 本章學(xué)習(xí)內(nèi)容 網(wǎng)絡(luò)安全框架網(wǎng)絡(luò)安全機(jī)制網(wǎng)絡(luò)攻擊原理與步驟常見的網(wǎng)絡(luò)攻擊手段IPv4的安全問題Internet網(wǎng)絡(luò)服務(wù)的安全問題IPv6新一代網(wǎng)絡(luò)的安全機(jī)制 2 4 1網(wǎng)絡(luò)安全框架 1989 2 15頒布 確立了基于OSI參考模型的七層協(xié)議之上的信息安全體系結(jié)構(gòu)五大類安全服務(wù) 鑒別 訪問控制 保密性 完整性 抗否認(rèn) 八類安全機(jī)制 加密 數(shù)字簽名 訪問控制 數(shù)據(jù)完整性 鑒別交換 業(yè)務(wù)流填充 路由控制 公證 OSI安全管理 3 安全服務(wù) 安全服務(wù)的基本類型 ISO對OSI規(guī)定了五種級別的安全服務(wù) 對象認(rèn)證訪問控制數(shù)據(jù)保密性數(shù)據(jù)完整性防抵賴 4 鑒別服務(wù)鑒別服務(wù)包括同等實(shí)體鑒別和數(shù)據(jù)源鑒別兩種服務(wù) 使用同等實(shí)體鑒別服務(wù)可以對兩個(gè)同等實(shí)體 用戶或進(jìn)程 在建立連接和開始傳輸數(shù)據(jù)時(shí)進(jìn)行身份的合法性和真實(shí)性驗(yàn)證 以防止非法用戶的假冒 也可防止非法用戶偽造連接初始化攻擊 數(shù)據(jù)源鑒別服務(wù)可對信息源點(diǎn)進(jìn)行鑒別 可確保數(shù)據(jù)是由合法用戶發(fā)出 以防假冒 5 訪問控制服務(wù)訪問控制包括身份驗(yàn)證和權(quán)限驗(yàn)證 訪問控制服務(wù)防止未授權(quán)用戶非法訪問網(wǎng)絡(luò)資源 也防止合法用戶越權(quán)訪問網(wǎng)絡(luò)資源 6 數(shù)據(jù)保密性服務(wù)采用數(shù)據(jù)保密性服務(wù)的目的是保護(hù)網(wǎng)絡(luò)中各通信實(shí)體之間交換的數(shù)據(jù) 即使被非法攻擊者截獲 也使其無法解讀信息內(nèi)容 以保證信息不失密 該服務(wù)也提供面向連接和無連接兩種數(shù)據(jù)保密方式 保密性服務(wù)還提供給用戶可選字段的數(shù)據(jù)保護(hù)和信息流安全 即對可能從觀察信息流就能推導(dǎo)出的信息提供保護(hù) 信息流安全的目的是確保信息從源點(diǎn)到目的點(diǎn)的整個(gè)流通過程的安全 7 數(shù)據(jù)完整性服務(wù)數(shù)據(jù)完整性服務(wù)防止非法用戶對正常數(shù)據(jù)的變更 如修改 插入 延時(shí)或刪除 以及在數(shù)據(jù)交換過程中的數(shù)據(jù)丟失 數(shù)據(jù)完整性服務(wù)可分為以下五種情形 通過這些服務(wù)來滿足不同用戶 不同場合對數(shù)據(jù)完整性的要求 帶恢復(fù)功能的面向連接的數(shù)據(jù)完整性 不帶恢復(fù)功能的面向連接的數(shù)據(jù)完整性 選擇字段面向連接的數(shù)據(jù)完整性 選擇字段無連接的數(shù)據(jù)完整性 無連接的數(shù)據(jù)完整性 8 非否認(rèn)服務(wù)非否認(rèn)服務(wù)可防止發(fā)送方發(fā)送數(shù)據(jù)后否認(rèn)自己發(fā)送過數(shù)據(jù) 也可防止接收方接收數(shù)據(jù)后否認(rèn)已接收過數(shù)據(jù) 它由兩種服務(wù)組成 一是發(fā)送 源點(diǎn) 非否認(rèn)服務(wù) 二是接收 交付 非否認(rèn)服務(wù) 這實(shí)際上是一種數(shù)字簽名服務(wù) 9 安全服務(wù)與協(xié)議層中的位置 10 ISO7498 2到TCP IP的映射 11 4 2支持安全服務(wù)的基本機(jī)制 為了實(shí)現(xiàn)上述5種安全服務(wù) ISO7408 2中制定了支持安全服務(wù)的8種安全機(jī)制 它們分別是 加密機(jī)制 EnciphrementMechanisms 數(shù)字簽名機(jī)制 DigitalSignatureMechanisms 訪問控制機(jī)制 AccessControlMechanisms 數(shù)據(jù)完整性機(jī)制 DataIntegrityMechanisms 鑒別交換機(jī)制 AuthenticationMechanisms 通信業(yè)務(wù)填充機(jī)制 TrafficPaddingMechanisms 路由控制機(jī)制 RoutingControlMechanisms 公證機(jī)制 NotarizationMechanisms 12 1 加密機(jī)制 密碼機(jī)制 可以支持?jǐn)?shù)據(jù)保密性 完整性等多種安全服務(wù) 算法可以是可逆的 也可以是不可逆的2 數(shù)字簽名機(jī)制數(shù)字簽名機(jī)制主要解決以下安全問題 1 否認(rèn) 2 偽造 3 冒充 4 篡改 數(shù)字簽名機(jī)制具有可證實(shí)性 不可否認(rèn)性 不可偽造性和不可重用性 13 3 訪問控制機(jī)制訪問控制可以防止未經(jīng)授權(quán)的用戶非法使用系統(tǒng)資源 這種服務(wù)不僅可以提供給單個(gè)用戶 也可以提供給用戶組的所有用戶 訪問控制是通過對訪問者的有關(guān)信息進(jìn)行檢查來限制或禁止訪問者使用資源的技術(shù) 分為高層訪問控制和低層訪問控制 高層訪問控制包括身份檢查和權(quán)限確認(rèn) 是通過對用戶口令 用戶權(quán)限 資源屬性的檢查和對比來實(shí)現(xiàn)的 低層訪問控制是通過對通信協(xié)議中的某些特征信息的識別 判斷 來禁止或允許用戶訪問的措施 14 4 數(shù)據(jù)完整性機(jī)制數(shù)據(jù)完整性是指在數(shù)據(jù)傳輸過程中 接收到的數(shù)據(jù)和原來數(shù)據(jù)之間保持完全一致 數(shù)據(jù)完整性包括數(shù)據(jù)單元的完整性和數(shù)據(jù)序列的完整性兩個(gè)方面 數(shù)據(jù)單元的完整性是指組成一個(gè)單元的一段數(shù)據(jù)不被破壞和增刪篡改 數(shù)據(jù)序列的完整性是指發(fā)出的數(shù)據(jù)分割為按序列號編排的許多單元時(shí) 在接收時(shí)還能按原來的序列把數(shù)據(jù)串聯(lián)起來 而不要發(fā)生數(shù)據(jù)單元的丟失 重復(fù) 亂序 假冒等情況 目前保持?jǐn)?shù)據(jù)完整性的算法多是數(shù)據(jù)摘壓算法和數(shù)字簽名算法 15 5 鑒別交換機(jī)制 AuthenticationExchange 交換鑒別機(jī)制是通過互相交換信息的方式來確定彼此的身份 用于交換鑒別的技術(shù)有以下2種 1 口令 由發(fā)送方給出自己的口令 以證明自己的身份 接收方則根據(jù)口令來判斷對方的身份 2 密碼技術(shù) 發(fā)送方和接收方各自掌握的密鑰是成對的 接收方在收到已加密的信息時(shí) 通過自己掌握的密鑰解密 能夠確定信息的發(fā)送者是掌握了另一個(gè)密鑰的那個(gè)人 在許多情況下 密碼技術(shù)常需用到時(shí)間標(biāo)記 同步時(shí)鐘 雙方或三方 握手 協(xié)議以及數(shù)字簽名和公證機(jī)構(gòu) 此外 還可利用實(shí)體的特征或所有權(quán)進(jìn)行鑒別 如指紋識別和身份卡等 16 6 通信業(yè)務(wù)流填充流量填充機(jī)制提供針對流量分析的保護(hù)7 路由控制路由控制機(jī)制可以指定通過網(wǎng)絡(luò)發(fā)送數(shù)據(jù)的路徑 這樣 可以選擇那些可信的網(wǎng)絡(luò)結(jié)點(diǎn) 從而確保數(shù)據(jù)不會(huì)暴露在安全攻擊之下 而且 如果數(shù)據(jù)進(jìn)入某個(gè)沒有正確安全標(biāo)志的專用網(wǎng)絡(luò)時(shí) 網(wǎng)絡(luò)管理員可以選擇拒絕該數(shù)據(jù)包 17 8 公證機(jī)制網(wǎng)絡(luò)的開放性使網(wǎng)絡(luò)魚龍混雜 人們難辨真?zhèn)?同時(shí) 網(wǎng)絡(luò)的有些故障和缺陷也可能導(dǎo)致信息的丟失或延誤 為了免得事后說不清 可以找一個(gè)大家都信任的公證機(jī)構(gòu) 各方交換的信息都通過公證機(jī)構(gòu)來中轉(zhuǎn) 公證機(jī)構(gòu)從中轉(zhuǎn)的信息里提取必要的證據(jù) 日后一旦發(fā)生糾紛 就可以據(jù)此作出仲裁 18 安全服務(wù)和安全機(jī)制的關(guān)系 19 4 3網(wǎng)絡(luò)攻擊原理與步驟 1 網(wǎng)絡(luò)攻擊的概念利用目標(biāo)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全缺陷 為竊取 修改 偽造或破壞信息 以及降低 破壞網(wǎng)絡(luò)使用效能而采取的各種措施和行動(dòng) 通俗的說 網(wǎng)絡(luò)攻擊就是在沒有授權(quán)的情況下而使用了網(wǎng)絡(luò)資源目的 降低 破壞網(wǎng)絡(luò)使用效能破壞目標(biāo)的秘密 20 2 安全漏洞 在計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域 漏洞 是因設(shè)計(jì)不周而導(dǎo)致的硬件 軟件或策略存在的缺陷 正是由于這種缺陷的存在而導(dǎo)致了許多非法用戶未經(jīng)授權(quán)而獲得訪問系統(tǒng)的權(quán)限或提高其訪問權(quán)限 事實(shí)上 目前出現(xiàn)的所有軟 硬件都存在不同程度的漏洞 計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域要達(dá)到絕對安全是不可能的 但是 可以努力使其安全漏洞減少到最小的程度 使由漏洞帶來的損失盡量減少 21 1 與軟件 硬件供應(yīng)商相關(guān)的安全漏洞 這類主要包括軟件的各種Bugs 操作系統(tǒng)的補(bǔ)丁 脆弱的服務(wù)程序 網(wǎng)絡(luò)系統(tǒng)及程序的缺省配置中可能設(shè)置的不安全選項(xiàng) 硬件中固有的脆弱性代碼及硬件設(shè)計(jì)與實(shí)現(xiàn)時(shí)的缺陷等也是系統(tǒng)產(chǎn)生安全漏洞的重要原因 這部分的漏洞原因有兩點(diǎn) 第一 在程序編寫過程中 編程人員在授意下或?yàn)榱四撤N目的 有意地在程序的隱蔽處留下各種各樣的后門 供日后使用 第二 由于編程人員水平 經(jīng)驗(yàn)和當(dāng)時(shí)的安全技術(shù)所限 在程序中總會(huì)或多或少的有些不足之處 這些地方有的是影響程序的運(yùn)行效率 有的會(huì)導(dǎo)致非授權(quán)用戶的權(quán)限提升 安全漏洞的成因 22 2 與系統(tǒng)管理者有關(guān)的安全漏洞 實(shí)際上 UNIX類操作系統(tǒng)和微軟的NT類操作系統(tǒng)內(nèi)部都采取了較強(qiáng)的安全機(jī)制 并且為系統(tǒng)管理員提供了許多安全選項(xiàng) 用于配置符合用戶單位安全需要的系統(tǒng) 但是 如果系統(tǒng)管理員不能正確理解各安全選項(xiàng)的作用 并適當(dāng)?shù)剡x用它們 那么操作系統(tǒng)許多內(nèi)在的安全機(jī)制就不能發(fā)揮作用 甚至形成系統(tǒng)安全的 短板 23 3 與用戶活動(dòng)有關(guān)的安全漏洞 共享目標(biāo)的授權(quán) 賬戶口令的不經(jīng)意泄漏 病毒檢測不完備 自接Modem繞過內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全防范邊界 一機(jī)同時(shí)跨接或分時(shí)跨接內(nèi)部網(wǎng)與Internet 從網(wǎng)上下載含病毒或木馬軟件的文檔資料 私自安裝有缺陷的應(yīng)用軟件 利用軟盤或U盤和其他計(jì)算機(jī)隨意交換文件 私自提高訪問權(quán)限等 此外 還有內(nèi)部不滿用戶以及惡意的離職用戶的實(shí)施的攻擊更是對系統(tǒng)安全的嚴(yán)重威脅 24 安全漏洞的類型 1 允許拒絕服務(wù)的漏洞 拒絕服務(wù) 是一種常見的惡作劇式的攻擊方式 它使服務(wù)器忙于處理一些亂七八糟的任務(wù) 消耗大量的處理時(shí)間 以至于服務(wù)器無暇顧及用戶的請求 允許拒絕服務(wù)的漏洞則可能導(dǎo)致拒絕服務(wù)發(fā)生 2 允許有限權(quán)限的本地用戶未經(jīng)授權(quán)提高其權(quán)限的漏洞3 允許外來團(tuán)體 在遠(yuǎn)程主機(jī)上 未經(jīng)授權(quán)訪問網(wǎng)絡(luò)的漏洞 25 3 網(wǎng)絡(luò)攻擊基本過程 網(wǎng)絡(luò)攻擊是網(wǎng)絡(luò)信息戰(zhàn)中的主動(dòng)行為 目標(biāo)是為了獲取網(wǎng)絡(luò)空間的控制權(quán) 網(wǎng)絡(luò)攻擊是利用目前網(wǎng)絡(luò)通信協(xié)議自身存在的或因配置不當(dāng)而產(chǎn)生的安全漏洞 用戶使用的操作系統(tǒng)內(nèi)在缺陷或者用戶使用的程序語言本身所具有的安全隱患等 使用網(wǎng)絡(luò)命令 或者從Internet上下載的專用攻擊工具 或者攻擊者自己編寫的攻擊程序 攻擊目標(biāo)主機(jī)使其無法正常工作 或者通過非法進(jìn)入本地或者遠(yuǎn)程用戶主機(jī)系統(tǒng) 非法獲得 修改 刪除用戶系統(tǒng)的信息以及在用戶系統(tǒng)上添加各種惡意信息等一系列過程的總稱 26 3 網(wǎng)絡(luò)攻擊基本過程 27 1 目標(biāo)探測1 通過網(wǎng)絡(luò) 查InterNIC 使用搜索引擎2 通過電信3 掃描目標(biāo)主機(jī) Nmap X Scan Satan2 定位3 獲取一般用戶訪問權(quán)4 提升訪問權(quán)5 獲取目標(biāo)主機(jī)上的信息6 擴(kuò)展攻擊效果與消除入侵痕跡 28 1 有阻塞類攻擊2 控制類攻擊3 探測類攻擊4 欺騙類攻擊5 漏洞類攻擊6 破壞類攻擊任何一次網(wǎng)絡(luò)攻擊 都可能不止采用一種攻擊手段 很可能是多種攻擊手段的集合 常見的網(wǎng)絡(luò)攻擊手段 29 1 阻塞類攻擊 阻塞類攻擊企圖強(qiáng)制占有信道資源 網(wǎng)絡(luò)連接資源 存儲(chǔ)空間資源 使服務(wù)器崩潰或資源耗盡無法對外繼續(xù)提供服務(wù)拒絕服務(wù)攻擊是典型的阻塞類攻擊拒絕服務(wù)攻擊是由人或非人為發(fā)起的行動(dòng) 使你的主機(jī)硬件 軟件或者兩者同時(shí)失去工作能力 使你的系統(tǒng)不可訪問并因此拒絕合法的用戶服務(wù)要求 這種攻擊往往是針對TCP IP協(xié)議中的某個(gè)弱點(diǎn) 或者系統(tǒng)存在的某些漏洞 對目標(biāo)系統(tǒng)發(fā)起的大規(guī)模進(jìn)攻致使攻擊目標(biāo)無法向合法的用戶提供正常的服務(wù) 拒絕服務(wù)攻擊簡單有效 能夠產(chǎn)生迅速的效果 目的 攻擊者并不單純?yōu)榱诉M(jìn)行拒絕服務(wù)攻擊而攻擊 往往是為了完成其他的攻擊面必須做的 例如 在目標(biāo)主機(jī)上放了木馬 需要讓目標(biāo)主機(jī)重啟 為了完成IP欺騙 而使被冒充的主機(jī)癱瘓 在正式攻擊之前 使目標(biāo)主機(jī)的日志系統(tǒng)不能正常工作 30 常用的拒絕服務(wù)攻擊 ping拒絕服務(wù)攻擊 pingofdeath ping 攻擊是向目標(biāo)端口發(fā)送大量的超大尺寸的ICMP包來實(shí)現(xiàn)的 由于在早期的階段 路由器對所傳輸?shù)奈募畲蟪叽缍加邢拗?許多操作系統(tǒng)對TCP IP的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB 并且在對包的標(biāo)題頭進(jìn)行讀取之后 要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū) 一旦產(chǎn)生畸形即聲稱自己的尺寸超過ICMP上限的包 也就是加載的尺寸超過64KB上限時(shí) 就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤 導(dǎo)致TCP IP堆棧崩潰 從而導(dǎo)致系統(tǒng)崩潰 這類攻擊只要簡單地使用命令 ping l65510目標(biāo)主機(jī)IP 但是這種攻擊方式主要是針對Windows9X操作系統(tǒng)的 而Unix Linux Solaris MacOS都具有抵抗一般pingofdeath攻擊的能力 31 SYNflood攻擊正常的一個(gè)TCP連接需要連接雙方進(jìn)行三個(gè)動(dòng)作 即 三次握手 其過程如下 請求連接的客戶機(jī)首先將一個(gè)帶SYN標(biāo)志位的包發(fā)給服務(wù)器 服務(wù)器收到這個(gè)包后產(chǎn)生一個(gè)自己的SYN標(biāo)志 并把收到到包的SYN 1作為ACK標(biāo)志返回給客戶機(jī) 客戶機(jī)收到該包后 再發(fā)一個(gè)ACK SYN 1的包給服務(wù)器 經(jīng)過這三次握手 連接才正式建立 32 在服務(wù)器向客戶機(jī)發(fā)返回包時(shí) 它會(huì)等待客戶機(jī)的ACK確認(rèn)包 這時(shí)這個(gè)連接被加到未完成連接隊(duì)列中 直到收到ACK應(yīng)答后或超時(shí)才從隊(duì)列中刪除 這個(gè)隊(duì)列是有限的 一些TCP IP堆棧的實(shí)現(xiàn)只能等待從有限數(shù)量的計(jì)算機(jī)發(fā)來的ACK消息 因?yàn)樗麄冎挥邢薅葦?shù)量的內(nèi)存緩沖區(qū)用于創(chuàng)建連接 如果這些緩沖區(qū)內(nèi)充滿了虛假連接的初始信息 該服務(wù)器就會(huì)對接下來的連接停止響應(yīng) 直到緩沖區(qū)里的連接企圖超時(shí) 如果客戶機(jī)偽裝大量SYN包進(jìn)行連接請求并且不進(jìn)行第三次握手 則服務(wù)器的未完成連接隊(duì)列就會(huì)被塞滿 正常的連接請求就會(huì)被拒絕 這樣就造成了拒絕服務(wù) 在一些創(chuàng)建連接不受限制的實(shí)現(xiàn)里 SYNflood具有類似的影響 不過未來的SYNflood令人擔(dān)憂 這是由于發(fā)出SYNflood的攻擊者并不尋求響應(yīng) 所以無法從一個(gè)簡單高容量的傳輸中鑒別出來 33 Land攻擊Land攻擊由著名黑客組織RootShell發(fā)現(xiàn) 原理比較簡單 向目標(biāo)機(jī)發(fā)送源地址與目的地址一樣的數(shù)據(jù)包 造成目標(biāo)機(jī)解析Land包占用太多資源 從而使網(wǎng)絡(luò)功能完全癱瘓 在Land攻擊中 一個(gè)特別打造的SYN包中的原地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址 這時(shí)將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN ACK消息 結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接 每一個(gè)這樣的連接都將保留直到超時(shí)掉 對Land攻擊反應(yīng)不同 許多UNIX實(shí)現(xiàn)將崩潰 而WindowsNT會(huì)變的極其緩慢 大約持續(xù)五分鐘 34 Smurf攻擊 原理 向廣播地址發(fā)送偽造地址的ICMPEcho數(shù)據(jù)包 攻擊者向一個(gè)廣播地址發(fā)送ICMPEcho請求 并且用受害者的IP地址作為源地址 于是 廣播地址網(wǎng)絡(luò)上的每臺(tái)機(jī)器響應(yīng)這些Echo請求 同時(shí)向受害者主機(jī)發(fā)送ICMPEcho Reply應(yīng)答 于是 受害者主機(jī)會(huì)被這些大量的應(yīng)答包淹沒受影響的系統(tǒng) 大多數(shù)操作系統(tǒng)和路由器技術(shù)細(xì)節(jié)兩個(gè)主要的特點(diǎn) 使用偽造的數(shù)據(jù)包 使用廣播地址 不僅被偽造地址的機(jī)器受害 目標(biāo)網(wǎng)絡(luò)本身也是受害者 它們要發(fā)送大量的應(yīng)答數(shù)據(jù)包 35 Smurf攻擊示意圖 36 電子郵件炸彈電子郵件炸彈是最古老的匿名攻擊之一 傳統(tǒng)的郵件炸彈大多只是簡單的向郵箱內(nèi)扔去大量的垃圾郵件 從而充滿郵箱 大量的占用了系統(tǒng)的可用空間和資源 使機(jī)器暫時(shí)無法正常工作 過多的郵件垃圾往往會(huì)加劇網(wǎng)絡(luò)的負(fù)載力和消耗大量的空間資源來儲(chǔ)存它們 過多的垃圾信件還將導(dǎo)致系統(tǒng)的log文件變得很大 甚至有可能溢出文件系統(tǒng) 這樣會(huì)給Unix Windows等系統(tǒng)帶來危險(xiǎn) 除了系統(tǒng)有崩潰的可能之外 大量的垃圾信件還會(huì)占用大量的CPU時(shí)間和網(wǎng)絡(luò)帶寬 造成正常用戶的訪問速度成了問題 例如 同時(shí)間內(nèi)有近百人同時(shí)向某國的大型軍事站點(diǎn)發(fā)去大量的垃圾信件的話 那么這樣很有可能會(huì)使這個(gè)站的郵件服務(wù)器崩潰 甚至造成整個(gè)網(wǎng)絡(luò)中斷 37 2 控制類攻擊 1 口令攻擊也不是一種具體的攻擊方式 而是一類攻擊的總稱 這類攻擊的攻擊目標(biāo)都是口令 具體方式有以下幾種 A 手工猜測 通過正常的網(wǎng)絡(luò)登錄 如Telnet等 來嘗試口令 B 暴力攻擊 BruteForceattack 嘗試所有口令字符串的組合方式 例如數(shù)字 字母等 C 字典攻擊 Dictionaryattack 根據(jù)字典文件中提供的可能的字符串值進(jìn)行嘗試 D 網(wǎng)絡(luò)嗅探 sniffer 通過嗅探器在局域網(wǎng)內(nèi)嗅探明文傳輸?shù)目诹钭址?E 鍵盤記錄 在目標(biāo)系統(tǒng)中安裝鍵盤記錄后門 記錄操作員輸入的口令字符串 38 2 特洛伊木馬是在執(zhí)行看似正常的程序時(shí) 還同時(shí)運(yùn)行了未被察覺的有破壞性的程序 木馬通常能夠?qū)⒅匾男畔魉徒o攻擊者 而且攻擊者可以把任意數(shù)量的程序植入木馬木馬是設(shè)計(jì)藏在電腦中進(jìn)行特定工作或依照黑客的操作來進(jìn)行某些工作的程序 它是一個(gè)C S結(jié)構(gòu)的程序 運(yùn)行在黑客的電腦上的是client端 運(yùn)行在目標(biāo)電腦上的是server端 當(dāng)目標(biāo)電腦連上互聯(lián)網(wǎng)后 Client端會(huì)發(fā)給Server端信息 然后聽候黑客指令 執(zhí)行黑客指令 39 機(jī)器中木馬的原因大概有以下幾種 A 黑客入侵后植入 B 利用系統(tǒng)或軟件 IE OutlookExpress 的漏洞植入 c 寄電子郵件后植入 寄一封夾帶木馬程序的信件 只要收件者沒有警覺心 不注意網(wǎng)絡(luò)安全而運(yùn)行它就可可能成功植入 或通過即時(shí)聊天軟件 如QQ 發(fā)送含木馬的鏈接或者文件 接受者運(yùn)行后木馬就被成功植入 不過現(xiàn)在騰訊也越來越重視安全了 最新版2006版就不允許發(fā)送可執(zhí)行文件 并且登錄時(shí)使用了鍵盤加密保護(hù)技術(shù) d 在自己的網(wǎng)站上放一些偽裝后的木馬程序 宣稱它是好玩的或者有用的工具等名目 讓不知情的人下載后運(yùn)行后便可成功植入木馬程序 這點(diǎn)有點(diǎn)象姜太公釣魚 愿者上鉤 40 這必須看黑客選用的木馬程序而定 一般我們說的木馬程序多半是指功能強(qiáng)大且完整的工具 如冰河 SubSever等 他們通?？梢赃M(jìn)行如下黑客任務(wù) A 復(fù)制各類文件或電子郵件 可能包含商業(yè)秘密 個(gè)人隱私 刪除各類文件 查看被黑者電腦中的文件 就如同使用資源管理器查看一樣 B 轉(zhuǎn)向入侵 redirectionIntrusion 利用被黑者的電腦來進(jìn)入其他電腦或服務(wù)器進(jìn)行各種黑客行為 也就是找個(gè)替罪羊 C 監(jiān)控被黑者的電腦屏幕畫面 鍵盤操作來獲取各類密碼 例如進(jìn)入各種會(huì)員網(wǎng)頁的密碼 撥號上網(wǎng)的密碼 網(wǎng)絡(luò)銀行的密碼 郵件密碼等 D 遠(yuǎn)程遙控 操作對方的windows系統(tǒng) 程序 鍵盤 預(yù)防方法 及時(shí)給系統(tǒng)打布丁 不隨意打開來歷不明的郵件 不隨意下載和運(yùn)行不明軟件 打開殺毒軟件的即時(shí)監(jiān)控功能 由以上木馬植入方式可以看出 黑客的成功其實(shí)多半時(shí)利用使用者的疏忽與不重視網(wǎng)絡(luò)安全而造成的 并非無法阻擋 只要上網(wǎng)時(shí)多小心 黑客是很難得逞的 木馬被植入后黑客可以進(jìn)行那些動(dòng)作 41 3 探測攻擊 收集目標(biāo)系統(tǒng)的各種與網(wǎng)絡(luò)安全有關(guān)的信息 為下一步入侵提供幫助 包括 掃描技術(shù)體系結(jié)構(gòu)刺探系統(tǒng)信息服務(wù)收集等 最常用的工具 Ping和Traceroute 端口掃描的技術(shù)已經(jīng)非常成熟 目前有大量的商業(yè) 非商業(yè)的掃描器 42 域名經(jīng)過網(wǎng)絡(luò)可以到達(dá)的IP地址每個(gè)主機(jī)上運(yùn)行的TCP和UDP服務(wù)系統(tǒng)體系結(jié)構(gòu)訪問控制機(jī)制系統(tǒng)信息 用戶名和用戶組名 系統(tǒng)標(biāo)識 路由表 SNMP信息等 其他信息 如模擬 數(shù)字電話號碼 認(rèn)證機(jī)制等 攻擊者需要的信息 43 4 欺騙類攻擊 IP欺騙 冒充合法網(wǎng)絡(luò)主機(jī)騙取敏感信息假消息攻擊 設(shè)置假消息Arp緩存虛構(gòu)Dns高速緩存污染偽造電子郵件 IP欺騙的動(dòng)機(jī)隱藏自己的IP地址 防止被跟蹤以IP地址作為授權(quán)依據(jù)穿越防火墻IP欺騙的形式單向IP欺騙 不考慮回傳的數(shù)據(jù)包雙向IP欺騙 要求看到回傳的數(shù)據(jù)包更高級的欺騙 TCP會(huì)話劫持IP欺騙成功的要訣IP數(shù)據(jù)包路由原則 根據(jù)目標(biāo)地址進(jìn)行路由 44 IP攻擊的整個(gè)步驟 1 首先使被信任主機(jī)的網(wǎng)絡(luò)暫時(shí)癱瘓 以免對攻擊造成干擾 2 然后連接到目標(biāo)機(jī)的某個(gè)端口來猜測ISN基值和增加規(guī)律 3 接下來把源址址偽裝成被信任主機(jī) 發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段請求連接 4 然后等待目標(biāo)機(jī)發(fā)送SYN ACK包給已經(jīng)癱瘓的主機(jī) 5 最后再次偽裝成被信任主機(jī)向目標(biāo)機(jī)發(fā)送的ACK 此時(shí)發(fā)送的數(shù)據(jù)段帶有預(yù)測的目標(biāo)機(jī)的ISN 1 6 連接建立 發(fā)送命令請求 45 5 漏洞類攻擊 1 空白或默認(rèn)口令把管理性口令留為空白或使用產(chǎn)品生產(chǎn)商所設(shè)置的默認(rèn)口令 雖然某些運(yùn)行在Linux上的服務(wù)包含默認(rèn)管理口令 這種行為在硬件 如路由器和BIOS 中最常見 在路由器 防火墻 VPN和網(wǎng)絡(luò)連接的貯存設(shè)備 NAS 中最常見 在許多過時(shí)了的操作系統(tǒng) 特別是附帶服務(wù)的OS 如UNIX和Windows 管理員有時(shí)會(huì)在匆忙間創(chuàng)建一個(gè)有特權(quán)的用戶而把口令留為空白 這就會(huì)成為發(fā)現(xiàn)了這個(gè)用戶帳戶的入侵者的完美入口 46 2 竊聽通過竊聽網(wǎng)絡(luò)中的兩個(gè)活躍節(jié)點(diǎn)的連接來收集它們之間傳遞的信息 這類攻擊多數(shù)在使用純文本傳輸協(xié)議 如Telnet FTP 和HTTP傳輸 時(shí)發(fā)生 遠(yuǎn)程怪客必須具備到某個(gè)LAN上的一個(gè)已被弱化的系統(tǒng)的進(jìn)入權(quán) 通常 攻擊者已經(jīng)使用了某種積極攻擊方式 如IP假冒或中間人攻擊 來弱化這個(gè)LAN上的某個(gè)系統(tǒng) 47 3 服務(wù)弱點(diǎn)攻擊者尋找缺陷或漏洞 通過這個(gè)弱點(diǎn) 攻擊者可以危及整個(gè)系統(tǒng)以及系統(tǒng)上的任何數(shù)據(jù) 甚至還能夠危及網(wǎng)絡(luò)上的其它系統(tǒng) 在開發(fā)和測試中 某些服務(wù)中的弱點(diǎn)可能沒有被注意到 這些弱點(diǎn) 如 緩沖區(qū)溢出 能夠給攻擊者完全的管理控制 管理員應(yīng)該確保服務(wù)不是以根用戶身份運(yùn)行 并時(shí)刻關(guān)注來自開發(fā)商或安全組織 如CERT和CVE 的補(bǔ)丁和勘誤更新 48 4 應(yīng)用程序弱點(diǎn)攻擊者在桌面系統(tǒng)和工作站應(yīng)用程序 如電子郵件客戶程序 中尋找缺陷并執(zhí)行任意編碼 插入用于未來攻擊行為的特洛伊木馬 或者崩潰系統(tǒng) 如果被危及的工作站擁有對整個(gè)網(wǎng)絡(luò)的管理特權(quán) 還會(huì)發(fā)生進(jìn)一步的漏洞利用 工作站和桌面系統(tǒng)更容易被蓄意利用 因?yàn)槭褂霉ぷ髡竞妥烂嫦到y(tǒng)的用戶沒有防止或檢測攻擊活動(dòng)的專業(yè)知識或經(jīng)驗(yàn) 把安裝未經(jīng)授權(quán)的軟件或打開不請自來的郵件的危險(xiǎn)性通知給用戶是極端重要的 49 6 破壞類攻擊 對目標(biāo)機(jī)器的各種數(shù)據(jù)與軟件實(shí)施破壞的一類攻擊 包括 計(jì)算機(jī)病毒 邏輯炸彈 信息刪除等 邏輯炸彈與病毒的主要區(qū)別 沒有感染能力 不會(huì)自動(dòng)傳播 軟件編制者故意安放的目標(biāo)代碼中 50 1 安全目標(biāo)可用性 機(jī)密性 完整性 真實(shí)性 不可否認(rèn)性2 IPv4版TCP TP的缺陷 1 不提供加密傳輸 2 不提供對等實(shí)體鑒別 3 不支持流填充機(jī)制 4 協(xié)議本身缺陷 如服務(wù)端口半連接 5 各子網(wǎng)平等 難以實(shí)現(xiàn)有效的安全管理 6 應(yīng)用層實(shí)用軟件存在的安全漏洞 4 4IPv4的安全問題 51 3 5網(wǎng)絡(luò)服務(wù)的安全問題 Web基本結(jié)構(gòu) Web是一個(gè)運(yùn)行于Internet和TCP IPintranet之上的基本的client server應(yīng)用 C S B S1 服務(wù)器 規(guī)定了服務(wù)器的傳輸設(shè)定 信息傳輸格式及服務(wù)器的基本開放結(jié)構(gòu)2 客戶機(jī) 統(tǒng)稱Web瀏覽器 用于向服務(wù)器發(fā)送資源索取請求 并將接收到的信息進(jìn)行解碼和顯示3 通信協(xié)議 Web瀏覽器與服務(wù)器之間遵照HTTP協(xié)議進(jìn)行通信 52 Web服務(wù)的安全問題 HTTP協(xié)議 是分布式Web應(yīng)用的核心技術(shù)協(xié)議 它定義了Web瀏覽器向Web服務(wù)器發(fā)送索取Web頁面請求的格式 以及Web頁面在Internet上的傳輸方式 HTTP工作過程 1 Web服務(wù)器在80端口等候Web瀏覽器的請求 2 Web瀏覽器通過三次握手與服務(wù)器建立起TCP IP連接 然后Web瀏覽器向Web服務(wù)器發(fā)送索取頁面的請求 Get dailynews html 3 服務(wù)器以相應(yīng)的文件為內(nèi)容響應(yīng)Web瀏覽器的請求 53 HTTP協(xié)議 B S之間的通訊協(xié)議 HTTP HTTP位于TCP之上 默認(rèn)的端口為80 客戶發(fā)出對頁面的請求 服務(wù)器送回這些頁面 動(dòng)態(tài)頁面和靜態(tài)頁面 Web頁面的表述和交互能力 各種標(biāo)記 超鏈接 交互功能 表單 腳本 交互能力的擴(kuò)展 JavaApplet ActiveX 54 WEB服務(wù)1 漏洞操作系統(tǒng)明文或弱口令web服務(wù)器 IIS等 漏洞CGI安全漏洞 55 Web是應(yīng)用層上提供的服務(wù) 直接面向Internet用戶 欺騙的根源在于由于Internet的開放性 任何人都可以建立自己的Web站點(diǎn)Web站點(diǎn)名字 DNS域名 可以自由注冊 按先后順序并不是每個(gè)用戶都清楚Web的運(yùn)行規(guī)則Web欺騙的動(dòng)機(jī)商業(yè)利益 商業(yè)競爭政治目的Web欺騙的形式使用相似的域名改寫URL劫持Web會(huì)話 2 Web欺騙 56 注冊一個(gè)與目標(biāo)公司或組織相似的域名 然后建立一個(gè)欺騙網(wǎng)站 騙取該公司的用戶的信任 以便得到這些用戶的信息例如 針對ABC公司 用來混淆如果客戶提供了敏感信息 那么這種欺騙可能會(huì)造成進(jìn)一步的危害 例如 用戶在假冒