《安全脆弱性分析》PPT课件.ppt

第10章 安全脆弱性分析 李文媛 教学目标教学目标 本章主要分析安全威胁的基本原理和类型，本章主要分析安全威胁的基本原理和类型， 介绍一种安全分析的主要技术。介绍一种安全分析的主要技术。 理解入侵的目的理解入侵的目的 理解理解入侵者分类入侵者分类 掌握掌握攻击分类攻击分类 掌握掌握端口扫描技术端口扫描技术 教学内容教学内容 10.1 10.1 安全威胁分析安全威胁分析 10.2 10.2 安全扫描技术安全扫描技术 10.1 安全威胁分析 信息系统不安全的主要原因是系统自身存在 的安全脆弱点，因此信息系统安全脆弱性分析是 评估信息系统安全强度和设计安全体系的基础。 4 10.1.1 入侵行为分析 狭义定义：攻击仅仅发生在入侵行为完成且入侵者 已经在其目标网络中。 广义定义：使网络受到入侵和破坏的所有行为都应 该被称为“攻击”，即当入侵者试图在目标机上“工作” 的那个时刻起，攻击就已经发生了。 5 从不同方面对入侵行为的分析： 1. 入侵目的： 执行进程： n目标：运行一些程序。 n危害：对目标机器本身无害，可是消耗系统资源 ，造成潜在危害。 获取文件和数据： n目的：获取系统中的数据。 n危害：获取特权数据，进行非授权操作。 获取超级用户权限 n目的：获取超级用户权限。 n危害：可以进行任何操作。 善意恶意 6 进行非授权操作： n目的：获得超出许可的一些权限。 n危害：进行越权操作。 使系统拒绝服务 n目的：使目标系统中断正常服务。 n危害：使目标系统中断或者完全拒绝对合法用户 、网络、系统或其他资源的服务。 篡改信息 n目的：对重要文件进行修改、更换、删除等。 n危害：错误的信息给用户将造成巨大的损失。 披露信息 n目的：将目标站点重要信息进行扩散。 n危害：目标站点的重要信息泄漏。 7 2.入侵人员 入侵者大致可以分为三类： 伪装者。未经授权使用计算机者或绕开系统访问控 制机制获得合法用户账户权限者-外部人员。 违法者。未经授权访问数据、程序或者资源的合法 用户，或者具有访问授权但错误使用其权利的人- 内部人员。 秘密用户。拥有账户管理权限者，利用这种控制来 逃避审计和访问数据，或者禁止收集审计数据-内 外兼有。 8 3. 入侵过程 入侵和攻击需要一个时间过程，大致分为窥探设施、攻击 系统、掩盖踪迹。 窥探设施。对目标系统的环境进行了解。包括：目标使 用的操作系统？哪些信息是公开的？运行的WEB服务器是什 么类型？版本是？ 此步骤需要得到的信息至少有： 通过收集尽可能多的关于一个系统的安全态势的各个 方面的信息，进而构造出关于该目标机构的因特网、远程访问 及内联网/外联网之间的结构。 通过使用ping扫描、端口扫描以及操作系统检测等工 具和技巧，进一步掌握关于目标环境所依赖的平台、服务等相 关信息。 从系统中抽取有效帐号或者导出资源名。 9 攻击系统 n针对操作系统的攻击。 n针对应用软件的攻击。 n针对网络的攻击。 掩盖踪迹-设置后门。 10 10.1.2 安全威胁分析 1.威胁来源 计算机系统外部威胁 自然灾害、意外事故； 人为行为； 计算机病毒； “黑客”行为； 内部泄密； 外部泄密； 信息丢失； 电子谍报，如信息流量分析、信息窃取； 信息战。 11 计算机系统内部威胁 操作系统本身存在的缺陷； 数据库管理系统安全的脆弱性； 管理员缺少安全方面的知识； 网络协议中的缺陷； 应用系统缺陷。 12 2. 攻击分类 根据入侵者使用的手段和方式，分为口令攻击、拒绝 服务攻击、利用型攻击、信息收集攻击和假消息攻击。 口令(破译)攻击 口令破译原理 口令认证是计算机网络中安全管理的重要组成部分， 目前很多网络环境都利用口令认证机制来管理用户入网 ，口令是用来确认用户身份的一种最常用方法，由于它 的输入和管理方式简单，一直广泛应用于网络安全。但 是它有脆弱性，一旦入侵者或黑客获得了一个用户尤其 是管理员的帐号及口令，就可以非法闯入网络系统，进 行肆意地破坏，给整个网络系统带来不可估量的损失。 因此口令破译成了黑客常用的一种入侵手段。 13 口令文件可通过下列方式获得： p嗅探获得，如网络上传输的口令，如果口令是明文 形式传输就无需破解了； p也可以通过某个系统漏洞获得； p还可以因为本人是主机的普通用户，并且具有阅读 口令文件的权限而获得，在Windows中，口令是保存在 一个名为SAM的文件中。 14 穷举法 也称强力破解、暴力破解，它是对所有可能的口令组 合进行猜测，最终找到真正的口令。基于穷举法原理进行 口令猜测的软件称为口令破解器。 口令破解器是一个程序，它能将口令解译出来，或是 让口令保护失效。 从口令破译的原理来说，可分为：穷举法、字典法及 漏洞利用法。 15 与信息的加/解密不同，口令破解器一般不是对加密后 的口令执行解密操作以获取口令，因为很多系统对口令的 加密使用了不可逆的算法，如MD5、SHA1等。这时，仅从 被加密的数据和加密算法不可能解密出原来未加密的口令 。 因此，口令破解器通常尝试一个一个的由字母、数字 临时组成的字符串，用口令加密时所有的加密算法来加密 这些单词，直到发现一个单词加密后的结果和要解密的信 息一样，认为这个单词就是要找的口令了。 16 口令破解程序的工作过程如图所示： p它首先产生侯选口令，使用与口令加密相同的加密算 法对侯选口令进行加密； p将加密后的结果与口令文件中保存的信息进行比较； p如果相同，则认为找到了口令，否则，尝试下一个侯 选口令。 侯选口令加密口令 口令文件 输出口令比较 不匹配 匹配 图 口令破解程序的工作过程 17 穷举法是一种较笨拙的方法，但它是目前最有效的方法 ，主要原因在于许多用户设置口令时随意性很大，密码选 择较随便，并且新型加密方法是不可逆的，如果把可能出 现的字母和数字、符号组合起来进行试验肯定能验出结果 。但穷举法有它的劣势，穷举一个口令所需的试验次数随 着口令长度的增加而成指数级增长。 18 字典法破译口令 也是黑客最常用的方法之一。它是将字典文件作为口 令猜测的来源交由验证程序进行试验。而字典文件就是一 个文本文件，它里面有许多文字行，每行代表一个可能的 密码，文字行的内容多为单词及可能的姓名、生日、电话 号码、邮编等。 当黑客进行口令破译时，运行口令破译器，口令破译 器读入字典文件，每次读入一行进行验证，如不正确再读 下一行，然后又进行验证，就这样一直循环下去，直到口 令被验证为正确或字典里的字符串试验完毕为止。 19 漏洞破译法 如缓冲区溢出漏洞。在Windows平台上，用户的基本信息 存放在Systemrootsystem32configsam文件中，如果黑 客得到此文件后可以使用专门的破译工具如LOphtCrack来破 译。 除了上述方法可以进行口令破译外，还有其他方法可以得 到用户的用户名和口令，如网络监听和键盘记录器进行截取。 键盘记录器是一种可以记录键盘击键操作的软件。在 Windows系统中，在键盘上按下任何一个键，都会产生按键消 息，系统把该消息发送给相应的应用程序，交由应用程序去处 理。使用钩子技术和动态链接库技术，黑客可以截获这些按键 消息，并对消息进行相应的处理，例如记录下所按键并保存到 文件中或发邮件给指定用户。 20 r通信传输中最好采用加密传输如SSH、SSL、VPN； r对用户的验证方面最好提高用户身份鉴别机制，如应 用数字签名和Kerberos鉴别技术； r尽量使用难以猜测的、复杂的口令，其中包含大小写 字符、数字、标点、控制符号及空格等，不要用自己及 家人的姓名拼音字母、生日、电话号码、邮政编码、身 份证号及它们的简单组合作为口令，不要用已经存在的 英文单词和常用的单词缩写作为口令； r使用较长位数的口令。长度至少要保证在6个字符长 度位以上。 口令破译防范技术 21 r定期或不定期地修改口令。应在网络服务器上设置口 令的有效期限，到期时提示用户更改，这样就提高了系统 的安全性。还要注意： r不要将口令内容写下来或以文件的方式存于计算机中； r不要让他人知道自己的口令，也不要让他人看到自己输 入口令内容； r不要重复交替曾使用过的口令； r不要在不同的系统中使用同一个口令。 r管理人员还应对用户设置的口令进行检测，及时发现 弱口令； 对某些网络服务的错误登录次数进行限定，防 止猜解用户口令。 22 拒绝服务攻击(Denial of Service,DoS)是一种遍布全 球的系统漏洞，它是一种简单的破坏性攻击，它的技术 含量低，攻击效果明显。通常黑客利用TCP/IP中的某种 漏洞，或者系统存在的某些漏洞，对目标系统发起大规 模地攻击，使得攻击目标失去工作能力，使得系统不可 访问因而合法用户不能及时得到应得的服务或系统资源 ，如CPU处理时间与网络带宽等。它最本质的特征是延长 正常的应用服务的等待时间。 拒绝服务攻击原理 拒绝服务攻击 23 p拒绝服务攻击的目的不在于闯入一个站点或更改数据 ，而在于使站点无法服务于合法的请求。入侵者并不单纯 为了进行拒绝服务而入侵，往往是为了完成其他的入侵而 必须的前提。 p根据TCP/IP协议的原理，当客户端要和服务器进行通 信时，会经过请求/确认的方式进行联系，如用户登录服 务器时，首先是用户传送信息要求服务器确认，服务器给 予响应回复客户端请求，当被确认后客户端才能正式和服 务器交流信息。 24 在拒绝服务攻击情况下，黑客凭借虚假地址向服务器提交连 接请求，当然服务器回复信息时就送给这个虚假地址，但是服 务器回传时却无法找到这个地址，根据TCP/IP连接原理，此时 服务器会进行等待，达到超时设置时才会断开这个连接。 如果攻击者传送多个这样的请求或利用多个站点同时传送 这样的请求，那么服务器就会等待更长的时间，这个过程周 而复始，最终会导致服务器资源用尽，网络带宽用完，正常 的服务请求不能被服务器处理及回复而形成服务器的拒绝服 务。 拒绝服务并不是服务器不接受服务，而是服务器太忙，不 能及时地响应请求，相对于客户来说就认为是服务器拒绝给 予服务，它严重时会造成服务器死机，甚至导致整个网络瘫 痪。 25 1Ping攻击 通过Ping命令向被攻击者发送大量超大字节的ICMP 报文来攻击。 2SYN Flood 以假IP发送伪造数据却不接收响应请求半开连接 。 典型的拒绝服务攻击 26 分布式拒绝服务攻击（DDoS）是在传统的DoS攻击基础 之上产生的一类攻击方式。它和传统的DoS攻击不同的是 采用多点对一点的攻击策略，它是目前黑客经常采用而难 以防范的攻击手段，当今尚无有效手段进行防范。 分布式拒绝服务攻击的原理很简单，如果计算机服务 器与网络的处理能力提高了2倍，用一台攻击机来攻击不 再起作用了，但是攻击者使用10台、100台攻击机同时攻 击则后果就可想而知了，DDoS就是利用更多的傀儡机来发 起进攻，用比从前更大的规模来攻击受害者。 分布式拒绝服务攻击DDoS 27 被攻击主机上有大量等待的TCP连接。 网络中充斥着大量的无用的数据包，源地址为伪造 的。 制造高流量无用数据，造成网络拥塞，使受害主机 无法正常和外界通信。 利用受害主机提供的服务或传输协议上的缺陷，反 复高速的发出特定的服务请求，使受害主机无法及时处理 所有正常请求。 严重时会造成系统死机。 被攻击时的现象 ： 28 通常入侵者是通过常规方法进入有漏洞或配置有错误的主 机。在成功侵入后，安装一些特殊的后门程序，以便自己以后 可以轻易进入系统。 然后在所侵入的主机上安装入侵软件。目的是隔离网络联 系，保护入侵者，使其不会在入侵进行时受到监控系统的跟踪 ，同时也能更好地协调进攻。剩下的主机都被用来充当攻击执 行器。 最后就是从攻击控制台向各个攻击服务器发出对特定目标 的命令。攻击服务器将命令发布到各个攻击器，在攻击器接到 命令后，每一个攻击器就开始向目标主机发出大量的服务请求 数据包。导致目标主机网络和系统资源的耗尽，使目标主机无 法为用户提供任何服务。 分布式拒绝服务攻击的原理 29 利用型攻击是一种试图直接对主机进行控制的攻击 。 利用型攻击 特洛伊木马入侵原理 特洛伊木马 (Trojan Horse) 简称木马，是指隐藏在正常 程序中的一段具有特殊功能的恶意代码。它不是病毒，因为 它不具备病毒的可传染性、自我复制能力等特性，但它是一 种具备破坏和删除文件、发送密码、记录键盘及其他特殊功 能的后门程序。如在用户不知情的情况下拷贝文件或窃取密 码。随着互联网的迅速发展，特洛伊木马的攻击、危害性越 来越大。 特洛伊木马 30 木马入侵的主要途径是通过一定的方法把木马执行文 件复制到被攻击者的电脑系统里，利用的途径有邮件附件 、下载软件等，然后通过一定的提示故意误导被攻击者打 开执行文件，比如故意谎称这个木马执行文件是朋友送的 贺卡，打开后也许确有贺卡画面出现，但这时木马可能已 经在后台运行了。 通常木马文件非常小，大部分是几KB到几十KB，把木 马捆绑到正常文件上，用户很难发现。 特洛伊木马实质上是一个程序，必须运行后才能工作 ，所以会在进程表、注册表中留下一定的痕迹。 31 特洛伊木马程序采用C/S模式工作，它包括服务端和客户端 两个程序，缺掉其中任何一个都很难发生攻击，因为木马不具 有传染性，所以服务器端程序是以其他方式进入被入侵的计算 机，当服务器端置入被攻击机后，会在一定情况下开始运行（ 如用户主动运行或重新启动电脑，因为很多木马程序会自动加 入到启动信息中），这时它就在被攻击主机上打开一个1024以 上端口，并一直监听这个端口，等待客户机端连结。 木马的客户端一般运行在攻击机上，当攻击机上的客户端 向被攻击机上的这一端口提出连接请求时，被攻击机上的服务 端就会自动运行，来应答攻击机的请求，如果服务端在该端口 收到数据，就对这些数据进行分析，然后按识别后的命令在被 攻击机上执行相应的操作，如窃取用户名和口令、复制或删除 文件、重新启动或关闭计算机等。木马隐藏着可以控制被攻击 的系统危害系统安全的功能，可能造成对方资料和信息的泄漏 、破坏，甚至使整个系统崩溃。 32 缓冲区溢出攻击 缓冲溢出攻击原理 缓冲区是系统为运行程序中的变量分配的内存空间。 缓冲区溢出是指数据被添加到分配给该缓冲区的内存块之 外，原因是系统程序没有检测输入的参数，也就是没有检测 为变量输入的值的长度是否符合要求。 缓冲区溢出是非常普遍和危险的漏洞，在各种操作系统、 应用软件中广泛存在。溢出造成了两种后果： 一是过长的字串覆盖了相邻的存储单元，引起程序运行失 败，严重的可引起死机、系统重新启动等后果； 二是利用这种漏洞可以执行任意指令，甚至可以取得系统 特权，使用一类精心编写的程序，可以很轻易地取得系统的超 级用户权限。 33 信息收集型攻击并不直接对目标系统本身造成危害， 它是为进一步的攻击做准备 信息收集型攻击 扫描技术 扫描技术大致可以分为ping扫描、端口扫描及操作系统检 测三类。 rping扫描：标示存活的系统。 r端口扫描：标示正在监听的潜在服务。 r操作系统检测：确定目标系统的特定操作系统。 34 攻击者用配置不正确的消息来欺骗目标系统以达到攻 击的目的。 假消息攻击 电子邮件欺骗 电子邮件攻击主要表现为两种方式： 一是电子邮件欺骗和破坏，黑客通过电子邮件的方式向被 攻击者发送木马、病毒或者一段带有攻击特征的特定Html代码 。 第二种方式是邮件炸弹，指的是用伪造的IP地址和电子邮 件地址向同一信箱发送数以百计、千计的内容相同的垃圾邮件 ，致使被攻击者邮箱被“炸”，严重者可能会给电子邮件服务 器带来危险，甚至瘫痪。 35 电子邮件炸弹（EMail Bomb），是最常见的攻击方式之 一。邮件炸弹造成的危害对商业用户来说是非常严重的，由于 邮件是需要空间来保存的，而到来的邮件信息也需要系统来处 理，过多的邮件会加剧网络连接负担、消耗大量的存储空间； 过多的投递会导致系统日志文件变得巨大，甚至溢出文件 系统，这将会给许多操作系统带来危险，除了操作系统有崩溃 的危险之外，由于大量垃圾邮件集中涌来，将会占用大量的处 理器时间与带宽，造成负载过重、网络堵塞而使正常用户的访 问速度急剧下降。而对于一般的邮箱来说，由于其邮箱容量是 有限制的，邮件容量一旦超过限定容量，系统就会拒绝服务， 也就是常说的邮箱被“炸”了。 36 1.管好自己的邮件地址，不要在网上到处散布，以 免别有用心的人利用它来攻击此地址。 2.采用过滤功能。 3.用转信功能。 4.谨慎使用自动回信功能。 5.用专用工具来对付。 电子邮件攻击防范技术 37 IP欺骗 IP欺骗即IP spoof，是指一台主机设备冒充另外一台主 机的IP地址，与其他设备进行通信，从而达到某种目的技 术。 实际上，IP 欺骗不是黑客想要进攻的结果，而是他们 利用它来达到其他目的。 几乎所有的欺骗都是基于计算机之间的相互信任关系的 ，例如在NT域之间的信任，最简单的如Windows共享信任， 它可以不需要密码就能对网络邻居进行访问。IP欺骗实际 上是计算机主机之间信任关系的破坏。 IP欺骗原理 38 教学内容教学内容 10.1 10.1 安全威胁分析安全威胁分析 10.2 10.2 安全扫描技术安全扫描技术 10.2 安全扫描技术 安全扫描技术指手工地或使用特定的软件工具- -安全扫描器，对系统脆弱点进行评估，寻找可能 对系统造成损害的安全漏洞。 扫描主要分为系统扫描和网络扫描。 系统扫描：侧重主机系统的平台安全性以及基于 此平台的应用系统的安全； 网络扫描：侧重于系统提供的网络应用和服务以 及相关的协议分析。 40 10.2.1 安全扫描技术概论 扫描的主要目的是通过一定的手段和方法发现系统或网络 存在的隐患，以及时修补或发动攻击。 安全扫描器分为： r本地扫描器/系统扫描器 r远程扫描器/网络扫描器 攻击者在选定攻击目标后首先就是对目标系统进行扫描侦 察，搜集目标系统信息，查找可以利用的安全漏洞。 41 10.2.2 安全扫描的内容 1. 本地扫描器/系统扫描器 特点： 为了运行某些程序，检测缓冲区溢出攻击，本地扫描器 可以在系统上任意创建进程。 可以检查到安全补丁一级，以确保系统安装了最新的安 全补丁。 可以通过在本地查看系统配置文件，配置错误。 2. 远程扫描器/网络扫描器 检查网络和分布式系统的安全漏洞。 二者相辅相成，在系统环境中应该综合利用。 42 10.2.3 安全扫描系统的选择 升级问题:安全扫描系统必须及时地更新自己的安全 漏洞库。 可扩充性： 局限性：安全扫描系统并非万能，不能完全依赖。 43 10.2.4 安全扫描技术分析 扫描器的工作过程通常包括3个阶段：发现目标主机、进一 步发现目标系统类型及配置等信息、测试哪些服务具有安全漏 洞。 1. 端口扫描技术 计算机在进行网络通信时开放一定的网络端口，不同的服 务以不同的商品进行通信。计算机提供的端口共有65536个， 以供各种网络应用程序使用，WWW使用80端口。 Internet使用的TCP/IP协议规定在网络的传输层有两种协 议TCP和UDP。端口就是这两个协议打开的，是TCP和UDP协议与 上层应用程序之间的接口点。 黑客要攻击目标系统就可以利用端口作为入侵系统的通道 ，但是前提是必须知道是哪些端口在提供服务，一个最好的办 法就是利用端口扫描技术来对目标计算机进行端口扫描。 端口扫描原理 44 端口扫描就是通过向目标主机的指定端口发送数据包， 根据目标端口的反应确定哪些端口是开放的。此外，还可以 根据端口返回的旗标(Banners)信息进一步判断端口上运行 的服务类型，以及对应软件版本甚至操作系统类型。 对黑客来说要攻击目标服务器，首先要对它进行端口扫 描找出其中的漏洞，并利用这些漏洞对目标服务器进行非法 访问和操作。如有需要还要在服务器上开一个后门，把后门 设在不常用的又常常被忽略的端口上。这些端口又为他人非 法访问此服务器提供了方便。 45 全开扫描(open scan,TCP connect)扫描 全开扫描技术通过直接同目标主机通过一次完整的3次 TCP/IP握手过程，建立标准TCP连接来检查目标主机的相 应端口是否打开。 使用这种方法可以检测到目标主机开放了哪些端口， 在执行这种扫描方式时，攻击者不需要对目标主机拥有任 何权限，只需要连通网络即可。 p优点：快速、准确、不需要特殊用户权限。 p缺点：不能进行地址欺骗并且非常容易被检测到。 常见的端口扫描技术 46 (1)C向S发送SYN，表示想发起一次TCP连接，假定序列号是X； (2)S接到请求后，产生(SYN|ACK)响应，包括：向C发送ACK， ACK的值为X+1，表示数据成功接收，并告知下一次希望接收