（信号与信息处理专业论文）防火墙在网络安全中的应用.pdf

防火墙在网络安全中的应用 摘要 、( 随着i n t e r n e 的迅速发展，人们对网络的依赖性越来越强，网络的开放性 和共、享性所带来的安全问题也越发的严重起来。因安全问题而导致公司形象受 损、商业信息失窃、研究数据被盗及有利竞争机会的丧失的事件越来越多。网络 埏至成为敌列扮子危害国家安全的工具，因此，计算机网络安全和监控成为当前 研究的热g 。1 本文就以下几个方面对网络安全做了研究； 1 对i n t e r n e t 网所发生的大量的网络安全事件加以分析，总结出黑客们常 用的攻击类型，手段和工具。 2 找出i n t e r n e t 网缺乏安全性的原因在于其低层协议_ t c p u d p 以及i p 存在安全漏洞。 3 提出利用防火墙技术来解决网络安全问题。对两种基本的防火墙( 包过滤 和代理) 以及当今最新的网络安全技术( n a t ，v l a n ，v p n ) 的运行机制和实 现加以分析研究。 ，7 包过滤防火墙工作在网络层，一般是具有多个端口的路由器( 也有人 。 称之为屏蔽路由器) ，它对每个进入的i p 数据包应用一组规则集合来 判断该数据包是否应该转发。 基于代理的防火墙又分为电路层网关和应用层网关两种。电路层网关 只依赖于t c p 连接，并不进行任何附加的包处理或过滤。电路层网关 对t c p 连接实行中继。应用层网关又被称之为代理服务器。具有访问 i n t e r n e t 功能的主机充当没有该功能的主机的代理人来完成这些机器 想做的事。 防火墙的基本体系结构有：双宿主主机体系结构，屏蔽主机体系结构， 屏蔽子网体系结构。 随着科技的发展，在防火墙上新增的其他安全技术有n a t ，v l a n ，v p n ， 带宽管理等。 4 在以上分析研究的基础上，以海大图书馆为例，在确保现有系统j 下常运转 的前提下，按照一定的设计思想和原则，设计出网络安全在其数字图书馆 的建设中的解决方案，安全策略和实施的步骤。 设计思想：在确保可用的基础上，完善网络拓扑结构，提高安全性， 易操作性和易维护性，所选设备要具有较好的性价比。 设计原则：在需求、风险、代价平衡的原则的基础上，兼顾综合性、 整体性和简单化原则，设备的选择以先进性与成熟性为原则，使系统 的可用性和可管理性与扩展性的到保证。 安全策略分为网络安全、主机安全、数据安全和人员安全。) 、 根据目前已实施的主机安全策略来看，已实施安全防护的计算机能够防御目 前所有已知病毒，并且对决大多数已知的安全问题和网络攻击具有免疫能力。 关键词：网络安全防火墙黑客安全策略 t h ea p p l i c a t i o no ff i r e w a l li nt h en e t w o r ks e c u r i t y a b s t r a c t t h ei n t e r n e to r i g i n a t e df r o mt h ea p p a n e t p l a ni na m e r i c a n ，t h ep u r p o s eo f w h i c h i st ob u i l das t r o n gd i s t r u b u t e dc o u n t r y w i d ei n f o r m a t i o nn e t w o r k ，t h ea p p a n e tb a s e d o nt h ei d e ao fg r o u p i n ge x c h a n g e t c p i pa g r e e m e n th a sb e e nw i d e l ya c c e p t e db y p o p l e p cc o m p u t e r sa n ds e r v e r sh a v eb e e ni n c r e a s i n g l y p o p u l a r i z e d c h e a pt a b l e s y s t e m ，f l e es h a r i n gs o f t w a r e sa n dp o w e r f u ln e t w o r ks e r v e r sh a v ec l o s e l yc o m b i n e d a sar e s u l t ，t h ei n t e r n e ti sg r o w i n ga ta na l a r m i n gs p e e d w i t ht h ed e v e l o p m e n to f i n t e r n e t ，p e o p l ed e p e n do n t h en e t w o r km o r eh e a v i l y b u t t h eo p e n i n ga n ds h a r i n go fi n t e m e t b r i n ga b o u tm o r e a n dm o r ep r o b l e m so f s e c u r i t y t h es e c u r i t yp r o b l e m sd a m a g et h er e p u t a t i o no ft h ec o m p a n y , l o s et h eb u s i n e s ss e c r e t t h e r e f o r e ，t h ec u r r e n tr e s e a r c hf o c u s e so nt h ei n t e r n e ts e c u r i t y t h i st h e s i sr e s e a r c ht h en e t w o r k s e c u r i t ya st h ef o l l o w i n g ： 1 o nt h eb a s i so fm u c hr e s e a r c ha n da n a l y s i so nn e t w o r k a t t a c k s ，t h ea u t h o rs u m m a r i z e st h ew a y s u s e db yh a c k e r s a t t a c kt y p e sa r ec l a s s i f i e da sp a s s i v ea t t a c k sa n da c t i v ea t t a c k s a t t a c km e a n si n c l u d ep a s s w o r d ，w e bc h e a t ，i pc h e a t ，a t t a c k sf r o mt h eb a c kd o o r , d o s a t t a c k s ，b u f f e ro v e r f l o w i n ge t c t h et o o lo fa t t a c k si n c l u d es c a n n e r , s n i 仃e re t c 2 t h ea u t h o rd r a wac o n c l u s i o nt h a tt h ed e f e c to ft h ei n t e m e tb a s e t c p u d pa n di p g i v et h eh a c k e ro p p o r t u n i t yt oa t t a c kt h ei n t e m e t i tn e e d st h r e e h a n d s h a k i n gp r o c e d u r e t ob u i l dc o r r e c ti o i n tb e t w e e nt h e c o r r e s p o n d e n t ，b e c a u s et h ee n c r y p ti sn o te n o u g h ，t h eh a c k e rc a nd a m a g et h el i n k t h eh a c k e rs e n d sad a t ap a c k a g ew i t has e to ff l a ga n do f f s e tt oc o v e rt h el e g a l d a t ap a c k a g e t h eh a c k e ru s e st h ef a l s ei c m pc o n t r o lp a c k a g et oc a r r yo u t t h e “d e n y o fs e r v e a t t a c k 3 f i r e w a l lc a ns e t t l et h ep r o b l e m t h i st h e s i sa n a l y z e st w ob a s i cf i r e w a l j ( f i l t e ra n d p r o x y ) a n dt h ef u n c t i o na n di m p l e m e n t a t i o no f u p d a t e dn e t w o r ks e c u r i t yt e c h n o l o g y p a c k a g e f i l t e rf i r e w a l lw o k so nt h en e t w o r k l a y e r , u s u a l l yi ti so n ek i n do fr o u t e w i t hm a n y p o r t s ，i tc h e c k st od e c i d ei fi ts h o u l dt r a n s m i tt h ed a t ep a c k a g ew i t ha s e to f r e g u l a t i o n s p r o x ys e r v ei sc l a s s i f i e da sc i r c u i tg a t e w a ya n da p p l i c a t i o nl a y e rg a t e w a y t h e c i r c u i tg a t e w a yd e p e n d so nt h et c pl i n k i td o e sn o t c a r r yo u ta n ya d d i t i o n a l p a c k a g ed i s p o s a lo rf i l t e r i tr e l a y st h et c pl i n k t h ea p p l i c a t i o nl a y e rg a t e w a y w a sa l s on a m e da sp r o x ys e r v e ，t h eh o s tc o m p u t e rw h i c hh a st h ef u n c t i o no f s u r f i n gt h ei n t e m e ta c t sa st h ea g e n t ，i ta c c o m p l i s h e st h ep u r p o s eo ft h ec o m p u t e r w i t h o u tt h ef u n c t i o no f t h e s u r f i n g t h eb a s i cs y s t e ms t r u c t u r eo ft h ef i r e w a l li n c l u d e s ：d o u b l eh o s ts y s t e ms t r u c t u r e s h i e l d e dh o s ts y s t e ms t r u c t u r e ，s h i e l d e ds u b n e t s y s t e ms t r u c t u r e w i t ht h ed e v e l o p m e n to ft h es c i e n c e m o r en e w s e c u r i t yt e c h n o l o g ya p p e a r ss u c h a sna rv l a n ，v p n ，b a n dw i t hm a n a g e m e n t e t c 4o nt h eb a s i so ft h ea b o v e m e n t i o n e dr e s e a r c ha n da n a l y s i s ，t h et h e s i ss e t st h el i b r a r yo f o c e a n u n i v e r s i t yo fq i n g d a oa st h ee x a m p l e f i r s t l yi t m u s te n s u r et h er u n n i n go ft h el i b r a r yn o r m a l l y t h e na c c o r d i n gt ot h ei d e aa n dp r i n c i p l e ，t h ea u t h o ri s s u e st h es o l u t i o np r o j e c t ，s e c u r i t ys t r a t e g y a n di m p l e m e n t a r ys t e p s i d e ao ft h ed e s i g n ：p e r f e c tt h en e t w o r kt o p o l o g ys t r u c t u r e ；s t r e n g t h e nt h es e c u r i t ya n dm a k e t h eo p e r a t i o na n dm a i n t e n a n c e e a s i l y ；c h o s et h ee q u i p m e n t m o r e c a u t i o u s l y p r i n c i p l eo f t h ed e s i g n ：o nt h eb a s i so fb a l a n c i n gt h ed e m a n da n dr i s k t h ep r o j e c tg i v e st h e a t t e n t i o nt oc o m p o s i t i o na n ds i m p l i f i c a t i o n ，o np r i n c i p l e ，w es h o u l do n l yc h o s et h ea d v a n c e d a n df u l l - b l o w ne q u i p m e n ts oa st oe n s u r et h ei m p l e m e n t a t i o na n do p e r a t i o no f t h es y s t e m t h e s e c u r i t ys t r a t e g yi n c l u d e st h en e t w o r ks e c u r i t y 、h o s tc o m p u t e rs e c u r i t y 、d a t as e c u r i t y 、 p e o p l es e c u r i t y h ea u t h o ra p p l i e dt h es e c u r i t yp r o j e c to nt h el i b r a r yc o m p u t e rn e t w o r ka n dt h er e s u l t p r o v e st h e h o s tc o m p u t e ru s i n gt h ea b o v em e n t i o n e ds e c u r i t ym e t h o dc a nd e f e n da l lt h ev i r u s e sk n o w nt ou s ， a u di ti sa c t i v e l yi m m u n ef r o mm o s to f t h ek n o w n s a f e t yp r o b l e m s a n dn e t w o r ka t t a c k s k e y w o r d s ：n e t w o r ks e c u r i t y f i r e w a l lh a c k e r s a f e t ys t r a t e g y 防火墙在嘲络安全中的成用 日u z 主 口 近几年来，i n t e r n e t 在国内外得到了突飞猛进的发展，其采用的t c p f l i p 协 议成功的解决了不同硬件平台、不同软件平台和不同操作系统问的瓦联，使得 i n t e r n e t 网络逐渐成为人们同常工作和生活中不可缺少的工具。 然而，随着人们对网络的依赖性越来越强，网络的开放性和共享性所带来 的安全问题也越发的严重起来，网络的脆弱性使得其容易受到外界的攻击和破 坏，即便你将大楼的门窗完全所好，但攻击者依然还是可以通过计算机网络在世 界的其他位置侵入你的计算机系统偷阅机密资料甚至做出破坏性的动作。随着 i n t e r n e t 的迅速发展，安全问题越来越突出，导致公司形象受损、商业信息失 窃、研究数据被盗及有利竞争机会的丧失的事件越来越多。网络甚至成为敌对分 了危害国家安全的工具，因此，计算机网络安全他监控成为当前研究的热点。 本文在对大量的网络入侵事件做了分析比较后，提出了防火墙在网绍安全 中的作用，并以青岛海洋大学图书馆为例，从应用的角度上提出了网络安全的整 体解决方案和实施步骤。 防火墙在网络安牟中的应用 第一章i n t e r n e t 的安全问题 1 1i n t e r n e t 的发展及现状 i n t e r n e t 起源于美国的a r p a n e t 计划，其目的是建立分布式的、存活力强 的全国性信息网络。a r p a n e t 基于分组交换的概念，在网络建设和应用发展的过 程中，逐步产生了t c p i p 这广泛应用的网络标准。随着t c p i p 协议被人们 广泛接受，个人计算机和服务器的发展，计算机使用的日益普及，以及廉价的桌 面系统、免费的共享软件和功能强大的网络服务器的结合，使得i n t e r n e t 以惊 人的速度快速膨胀。 从技术的角度看， n t e r n e t 是一种计算机网络的集合。它以t c p i p 网络协 议为基础进行通信，将全世界众多的计算机网络和上百万台计算机连接在一起， 使原来分散在单台计算机上或限制在局域网上的资源和信息，可以方便地互相交 流。 从应用的角度看，i n t e r n e t 提供了许多应用服务，如：e m a i l 、w w w 、f t p 、 t e l n e i 、n e w s 、网上聊天等等，尤其是w w w 技术的发展，又进一步促进了i n t e r n e t 的广泛使用。这些应用服务使网民们利用普通的微机，就能与世界范围的计算机 用，打交道，在这里，时问和空间的差别已不再重要，它大大拓宽了人类的生存 空间和维度，它将整个地球联结成了一个“地球村”。 i n t e r n e t 的发展直接带动了新一轮的技术革命，它涉及到教育、商业、军 事、政府机关等各行各业，形成了“信息高速公路”。i n t e r n e t 的到来，使得传 统的经济模式、企业的运作方式、人们的生活习惯等等都受到了前所未有的冲击， 它将我们带入了信息时代，将极大的影响我们的生活。 1 2 i n t e r n e t 所面临的威胁 当人们享受着互联网络带来的信息化便利时，i n t e r n e t 也带来了有关信息 安全、社会安全等潜在的问题。到了1 9 8 8 年，i n t e r n e t 成了通信的一种基本工 具，由于各 行各业人员 的加入， i n t e r n e t 原由的潜在 的问题( 原 先欠考虑) 暴露出来。 在 【n t e r n e t 建立之仞， i nt e f n e t 安全被认为不是种必要， n t e r n e t 文化就是开放性，鼓励数据和资源的共享。 原先，使用i n t e r n e t 的人就是创建i n t e r n e t 的科学家们，他们有共同的目标， 随着时间的推移，i n t e r n e t 变得越来越有用，加入的人也越来越多，从公司到 防火墙在网络安全中的应用 大学，甚至个人，涉及各行各业。各种形形色色的人的加入，使得i n t e r n e t 成 了一个异常危险的地方。 现代的计算机网络中包含了各种局域网、计算机、数据库、工作站等等，如 图1 2 1 所示。我们知道计算机网络一方面提供了资源的共享性，提高了系统的 可靠性，通过分散工作负荷提高了工作效率，并且还具有可扩充性，这些特点使 得计算机网络深入到科研、文化、经济与国防的各个领域；而另一方面，也正是 】n t e r n e t 的内在的脆弱性( 包括t c p i p 协议族的内在脆弱) 导致了安全问题的 产生，如病毒、黑客等等。从1 9 8 8 年1 1 月发生的最引人注目及恐慌的“i n t e r n e t 蠕虫事件”，它使i n t e r n e t 上6 0 ，0 0 0 台主机中的6 0 0 0 台主机受到了攻击，到 现在，特别是最近几年，各种各样的安全事件频出。 在英国，用于军事目的的4 颗卫星中有一颗被黑客控制，黑客们修改了这 颗卫星的正常工作内容。 在北约对南联盟的空袭进入第7 天的时候，一群俄罗斯黑客在一个名为 “黑客地带”的网址上对北约宣战了。 印尼骚乱期间，印尼的一些站点遭到了来自中国黑客的袭击，并被写上了 抗议的标语。 台海危机期间，大陆黑客与台湾黑客在互联网上展开了一场没有硝烟的对 抗。 2 0 0 1 年5 月发生的著名的中美黑客大战。 2 0 0 1 年r e d c o d e 和n i m d a 病毒及其变种病毒在i n t e r n e t 网上的泛滥， 造成了巨大的经济损失。 网络安全事件已从神秘走到现实中来，他们已不是人们想象中的孩子的恶 作剧，他们从早期的破坏数据、窃取信息，发展到威胁国家的经济发展，国家主 权的安危。更可怕的是，我们知道的安全事件只是所有安全事件的一小部分，许 多事件山于没有造成严重危害或商家不愿透露而未被暴光，其他的我们根本没有 发觉。美国国防部曾对许多重要站点受攻击的情况作过分析，结果如下： 可以看到，在多达3 8 0 0 0 次的攻击中，只有2 6 7 次攻击公开报道，而检测 到的攻击中有7 3 未报道，最令人不安的是成功攻击中的9 6 我们毫无察觉，他 们到底造成多少危害，有多少关键数据丢失，我们无从统计。这是在信息技术发 达的美国的安全状况，我国的安全状况比之更令人不安。 防火墙在网络安全中的应用 信息共享和信息安全是一对矛盾。i n t e r n e t 的迅猛发展，标志着信息共享 的程度发展到了一个新的高度，因而信息安全的问题也日益突出。在这种形势下， 从保护国家利益出发，各国政府无不重视信息和网络安全。特别是西方发达国家 均火力加强信息安全的研究和督导。我们必须充分认识到问题的严重性、迫切性， 进行网络安全的研究，发展自主的网络安全系统、网络安全工具。本论文便是在 这种背景下，对如何建立一个安全的网络，如何确保网络运行的安全和信息系统 的安全展开研究的。 4 防火墙在网络安全中的血用 第二章计算机网络安全概述 对于一个网络而言，其性能、可靠性、可用性及信息安全等等都是不可忽视 的问题。这些问题通常都由网络管理负责处理，它借助于相应的软、硬件实现对 网络活动和资源的规划、组织、监视、审计和控制。国际标准化组织i s o 把网络 管理划分为五个领域，包括故障、性能、配置、审计和安全管理。故障管理负责 检测或发现异常的网络运转、隔离和控制网络故障：性能管理负责分析网络出错 串、网络吞吐串并建立优化的网络状态；配置管理负责检测网络的物理和逻辑配 置，了解和控制网络连接状态；审计管理负责收集并处理用户使用网络资源的有 关数据；安全管理负责控制网络访问，包括防止未授权者访问网络资源及网络管 珲系统。 2 1 网络安全的定义 网络安全是指借助于网络管理，使网络环境中信息的机密性、完整性及可使 用性 c i a 受到保护，其主要目标是确保经过网络传输的信息到达目的计算机时 没有任何改变或丢失。因此必须确保所有组网部件能根据需求提供必要的功能且 只有授权者可以访问网络。 机密性( c o n f i d e n t i a l i t y ) 定义哪些信息不能被窥探、哪些网络资源不能 被未授权者访问； 完整性( i n t e g r i t y ) 决定系统资源应该怎样运转而且信息不能被未授权的 来源替换或破坏； 可用性( a v a i l a b 订i t y ) 意味着一个网络资源，每当用户需要时就可以使 用。 信息安全是指从防止偶然的泄露或未授权者的恶意泄露、修改、破坏或防止 信息无法处理等方面保护信息财产这个定义也隐含着需要保护整个网络及有关 资源，因此，必须有适当的机制便于发送者和接收者对网络传输的认证，防止从 外界干涉整个网络环境，即信息不能被未授权者从网上窥测、窜改或提取。 安全不仅是技术问题更重要的是管理问题。这意味着要制定一个组织内部的 有效的安全管理策略，有正确的管理委员会和组织机构，例如，某单位的信息应 当由管理者们做出决策、确定哪些信息可以共享，哪些信息是内部机密，不得泄 露以免损害单位利益。安全管理涉及：1 需要保护什么；2 为什么需要保护：3 怎样保护；4 何时保护：5 在哪里保护：1 和2 体现管理者的决策，3 到5 涉及实 现技术。网络安全与使用方便之间存在矛盾，强调安全，使用方便将受到影响， 强调使用方便，安全性能会受到减弱，这也是需要管理者权衡的事。 2 2 安全服务与安全机制 针对计算机网络系统受到威胁，o s i 安全体系结构提出了六类安全服务。 l 、对等实体鉴别服务：这种服务是在两个计算机网络开放系统同等层中的 计算机实体建立连接和数据传输期间，为提供对连接计算机实体身份的鉴别而规 定的一种服务。这种服务防止假冒计算机实体或重放以前的连接，也即防止伪造 连接初始化这种类型的黑客攻击。这种鉴别服务可以是双向的，也可以是单向的。 防火墙在刚络安全中的应用 2 、数据源鉴别：这是计算机网络传输协议中第n 层向第n + 1 层提供的服务。 e 要用来确保数据是由合法的计算机实体发出的，它为第n + 1 层提供对数据源 的对等实体进行鉴别。 3 、禁【i ：否认 不得否认发送：这种服务向数据接受者提供数据源的证据，从而可防 止发送者否认发送过数据。 不得否认接受：这种服务向数据发送者提供数据已交付给接受者的证 据，因而接受者事后不能否认曾收到数据。 4 、访问控制：汁算机网络访问控制服务可以防治没有被授权的用户非法使 用计算机系统资源。 5 、数掘完整性 可恢复的数据连接完整性：该服务对一个连接上所有用户数据的完整 性提供保障，而且对任何服务数据单元的修改、插入、删除或重放都 能够使之复原。 数据无连接完整性：该服务提供单个无连接数据单元的完整性，能确 定收到的数据单元是否已被修改。 选择字段数据无连接完整性：该服务提供单个无连接数据单元中各个 选择字段的完整性，能确定选择字段是否被修改。 选择字段的数据连接完整性：该服务提供在连接上传送的选择字段的 完整性，并能确定所选字段是否已被修改、插入、删除或重放。 无恢复的数据连接完整性：该服务除了不具备恢复功能外，其余的功 能与前面的几个服务相同。 6 、数据保密 选择字段保密：即对一个协议数据单元中的用户数据的一些经选择的 字段提供保密。 连接保密：即对某个连接上所有的用户数据提供保密。 信息流保密：即对有可能从观察信息流就能推导出的信息提供保密。 无连接保密：即对一个无连接的数据包的所有用户数据提供保密。 安全机制是操作系统、硬件和软件功能部件、管理程序以及它们的任意组 合，用于为一个信息系统的任一部件来检测和防止被动与主动威胁。安全机制与 安全服务有关，机制是用于实现服务的程序。为了实现上述各种服务，安全体系 结构建议采用加密、数字签名、鉴别、数据完整性、公证等几种安全机制。 2 3 安全攻击 安全攻击的范围很广，不能光局限于黑客( h a c k e r ) 的攻击行为，任何危 及有关信息安全的行为都可以称之为安全攻击。所以，安全攻击可以是有意识的， 也町以足无意识的，其中包括内部人员的无知( 无安全意识) 或是误操作引起的 安全威胁问题。 针对计算机系统或网络的安全攻击的类型可以通过考查该计算机系统提供 服务的功能得到。通常，信息服务要通过信息传输实现，故存在以一文件或存储 器作为源端，以另一文件或用户为目的端的信息流。正常情况下的信息流如图 2 3 1 ( a ) 所示。根据信息流的流向，安全攻击的类型可分别表示为图2 3 1 中 的( b ) 、( c ) 、( d ) 、( e ) 。 6 防火墙在网络安全中的应用 中断( i n t e r r u p t i o n ) 变得无法使用。 截取( i n t e r c e p t i o n ) 络线路上的窃听与分析。 篡改( m o d i f i c a t i o n ) 自+ 关数据。 该种攻击是通过破坏硬件基础设施，使得系统瘫痪 未授权的攻击方可以访问到系统，最典型的是对网 未授权的攻击方可以访问到系统，并能篡改系统的 伪造( f a b r ic a t i o n ) ：未授权的攻击方利用伪造的信息诱骗系统。 根据上述攻击行为，安全攻击又可分为被动攻击( p a s s i v ea t t a c k s ) 和主动 攻击 (a c t i v e a t t a c k s ) 。 被动攻击的 实质是窃听 或监听传输 的内容，主 要从传输线 路上截取、 筛选、拷贝 有关敏感 的、保密的 信息。这种 攻击包括： 信息的泄漏 和数据包的 分析。由于 攻击者并不 修改传输的 内容，被动 攻击是很难 发现的，但 是可以通过 s ：发送者即信息流源头；r ：接受者既信息流目的地：a ：攻击者 图2 3 1 安全攻击 加密技术( 如：链路加密、端对断加密等) 来防止该类的攻击，所以对于被动攻 击应是以防范为主。主动攻击主要包括对传输数据流的篡改或伪造数据流来达到 蒙骗的目的，其危害要比被动攻击大的多。其具体形式分为：伪造信息、篡改信 息和拒绝服务( d e n i a lo fs e r v i c e ，简称d o s ) 。伪造信息是攻击方可以假冒 合法的或对方所信任的主机发放信息，来获取对系统的访问。篡改信息是攻击者 有选择地修改、删除、延误、重排序以及复制真正的消息或插入虚假的消息。常 见的d o s 攻击表现为攻击者发出大量的信息冲垮站点。主动攻击可以通过有关 软、硬件检测到，但难以做到彻底防范。这些在以后的有关章节中会重点讨论。 防火墙右：网络安全中的应用 第三章黑客常用攻击手段和工具的分析 3 1 典型的攻击过程 俗话说，知己知彼，百战不殆，让我们先来看看黑客是如何攻击一个远程 计算机的。所谓远程计算机是指它不是攻击者正在使用的计算机，而是能利用某 种协议通过i n t e r n e t 网或其他任何网络介质被使用的计算机。入侵者开始如同 普通用户一样，并没有任何特权，但通过各种手段达到非法访问或非法使用的目 的。 尽管现在入侵方式、手段层出不穷，但大体上入侵者对远程目标进行攻击 可以分为以下几步： 一、外围扫描。入侵者先以正常用户的身份出现，通过各种正常合法的手 段来收集关于目标网络所有可用的信息。实际上，在这一阶段是不能发现这些怀 有恶意企图的用户的。入侵者可以利用网络提供的一些服务，如： w e b ，f t p ，w h 0 1 s ，d n s ，f i n g e r 等以及一些端口扫描工具来获取目标网络的所有可 用的信息，并加以分析。 二、小心试探。入侵者分析出相关信息后，会进一步用更富有攻击性的手 法以获取更多有用的信息，但他们不会对目标网络有任何不良影响。入侵者也许 会仔细查看目标主机网站上的所有c g i 脚本；也许会p i n g 所有的目标主机，以 查看哪个机子是活动的；也许会利用一些命令工具来试看哪一个是可用的。这时， 入侵者的所有活动对于网络来说都是f 常的，并没有任何明显的特征将其与普通 用，、区别开来。只不过这些活动普通用户很少做而已。 二、攻击策略的形成并开始攻击。在搜集到目标网络及其系统管理员的相 关资料后，入侵者会制定一个安全的攻击策略，因为一般而言，实际的攻击一定 要一气呵成，如果中间被打断，那很少会有第二次机会的。 列、进行非授权活动。入侵者在攻击得手后，会利用其得到权利进行窃取 机密数据、滥用系统资源、修改主页、删除文件、安装特洛伊木马程序创建属于 他们自己的帐号，以便以后再次入侵等等，更有甚者，入侵者会利用攻破的主机 最为跳板对其他的网络目标或系统中的其他部分实旋攻击。 五、掩盖痕迹。入侵者攻击成功后，入侵者就会想方设法来消除攻击痕迹， 如将系统审计文件和同志文件中相关的记录抹去等。 还有一种攻击，攻击者并没有明确的攻击目标，他只是盲目的扫描某一地 址范围内的主机，看是否有主机存在着漏洞，如果有，便用特定的黑客工具进行 攻击。他们并不是针对某个机构、某个网络，他们也不关心目标是谁。这种攻击 被称之为“生日攻击“( b i r t h d a ya t t a c k ) 列出一系列的漏洞和一系列的 i p 地址，攻击者总有机会从中找到有漏洞的主机。 3 2 常用的攻击工具 黑客攻击时使用的武器多种多样，但万变不离其宗，离不开扫描器、嗅探 器、l l 令攻击器、特洛伊木马以及这些武器的综合使用。 、扫描器。 扫描器是一种自动检测远程或本地主机安全性弱点的程序。如果使用 防火墙在网络安会中的应用 扫描器，攻击者可以令任何人都毫无觉察的发现远程服务器的各利，t c p 端 口的分配，以及他们所提供的服务和软件版本。这就能让攻击者间接或直 观的了解远程主机所存在的安全问题。好的扫描器是进行黑客活动的基础。 黑客常用的扫描器主要有以下几种：n n s ( 网络安全扫描器) 、s t r o b e ( 超级 优化t c p 端口检测程序) 、s a t a n ( 安全管理员的网络分析工具) 、 】d e n t c p s c a n 、p a c k e t b o y 、m e s s a l a 、u c g i l 5 6 5c g i 漏洞扫描器等等。 二、嗅探器。 嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据包的 一种工具。利用嗅探器可以获得：口令、金融帐号、偷窥机密或敏感的数 据信息、窥探低级的协议信息等等。常用的嗅探器有o o b b l e r 、e t h l o a d 、 n e t m a n 、e s n i f f c 以及s i n f f i t 等等。其中s i n f f i t 尤为著名。它是由 l a w r e n c eb e r k e l e y 实验室开发的，运行于s o l a r i s 、s g i 和l i n u x 等平台 的种免费网络监听软件，具有功能强大且使用方便的特点。 扫描器和嗅探器如用在正确的方面，则可以帮助系统管理员解决网络 的某些安全性及其他某些方面的问题。 三、口令攻击器。 口令攻击器是一个程序，它能将口令破译出来，或者让口令失效。口 令破解器一般并不是真正的去解码，因为实际上很多加密算法是不可逆的。 即只是知道被加密的数据和加密算法，不可能从他们身上反解出原来未加 密的数据。其实大多数口令破解器是通过尝试一个个地单词，用知道的加 密算法来加密这些单词，知道发现一个单词经过加密后的结果和要解密的 数据一样，就认为这个单词就是要找的密码了。 四、特洛伊木马。 所谓木马，用通俗的话说就是一个可以在机器上悄悄打开某个端口的 程序。特洛伊木马是一个程序，它驻留在目标计算机早，随目标计算机系 统的启动而自动启动。然后在某一端口进行侦听。如果在该端口收到数据， 对这些数据进行识别，然后按识别后的命令，在目标计算机上执行一些操 作。 木马主要通过电子邮件和文件捆绑等方式传播。 血、邮件炸弹。 所谓邮件炸弹实际是一个地址不祥、容量很大、充满乱码或脏话或无 用信息的恶意邮件，也是垃圾邮件。每个人的邮件信箱的空间都是有限的， 所以当这种大量的垃圾到了用户信箱后，就会导致信箱容量不够而把正常 的邮件冲掉，同时占用了大量的网络资源，使用户不能正常运行系统。 六、其他工具。 除了上面所介绍的一些黑客工具外，还可以利用其他一些命令工具如 p i n g 等进行恶意破坏。 3 3 常用的攻击手段 现代黑客常用的攻击手段主要有以下几种： 、获耿口令 这又有三种方法： 1 通过网络监听非法得到用户口令，这类方法有一定的局限性，但危 9 防火墙在网络安全中的应用 害性极大，监听者往往能够获得其所在网段的所有用户账号和口 令，对局域网安全威胁巨大； 2 在知道用户的账号后( 如电子邮件 前面的部分) 利用一些专门软 件强行破解用户口令，这种方法不受网段限制，但黑客要有足够的 耐心和时间； 3 在获得一一个服务器上的用户口令文件( 此文件成为s h a d o w 文件) 后，用暴力破解程序破解用户口令，该方法的使用前提是黑客获得 口令的s h a d o w 文件。此方法在所有方法中危害最大，因为它不需 要像第二种方法那样一遍又一遍地尝试登录服务器，而是在本地将 加密后的口令与s h a d o w 文件中的口令相比较就能非常容易地破获 用户密码。 、w e b 欺骗 w e b 欺骗是指攻击者建 寸一个使人相信的w e b 站点的 拷贝，这个w e b 站点拷贝就像 真的一样：他具有所有的页面 和连接。然而攻击者控制了这 个w e b 站点的拷贝，被攻击对 象和真的w e b 站点之间的所有 信息流动都被攻击者控制了。 w e b 攻击技术使得攻击 者可以创建整个w e b 站点的 “影子拷贝“，用户访问影子 w e b 会经过攻击者的机器，如 图3 3 1 所示，这样攻击者就 。以监视被攻击对象的所有 信息，包括帐号、口令以及其 图3 3 1攻击服务器截断 正常的连接 他的一些信息。攻击者既可以假冒成用户给服务器发送数据，也可以假冒 服务器给用户发送假冒的消息。 这种攻击的关键在于攻击者的w e b 服务器能够插在浏览者和其他的w e b 之i b j 。 一i 、i p 欺骗 i p 欺骗技术就是伪造某台主机的i p 地址的技术。通过i p 地址的伪装， 使得某台主机能够伪装成另外的台主机，而这台主机往往具有某种特权 或被另外的主机所信任。 入侵者为了获得访问远程主机的权限，一般都会创建有欺骗性源i p 地 址的数据包。他们所用这种方法是利用了使用基于i p 地址认证应用的特点， 并可能导致获取非授权访问的权限，甚至对目标机器系统的r o o t 访问权限。 这种攻击方法即便是在返回包不能到达入侵者的情况下也可以得逞。 i p 欺骗还有其他一些形式，诸如d n s 欺骗等等。在多数情况下，实施 d n s 欺骗时，入侵者要取得d n s 服务器的信任并明耳张胆地改变主机的i p 地址表，这些变化被写入到d n s 服务器的转换表数据库中。因此，当客户 发出一个查询请求时，他会得到假的i p 地址，这一地址会处于入侵者的完 1 0 防火墙在网络安伞中的应用 全控制之f 。 四、利用后门攻击 从早期的计算机入侵者开始，他们就努力发展能使自己重返被入侵系 统的技术或后门。目前常用的后门手法有：密码破解后门、r h o s s + + 后门、 校验和及时问戳后门、l o g i n 后门、t e l n e t 后门、应用服务后门、文件系 统后门等等。 五、d o s 攻击 d o s 是d e n i a lo fs e r v i c e 的简称，即拒绝服务，造成d o s 的攻击行 为被称为d o s 攻击，其目的是使计算机或网络无法提供正常的服务。最常 见的d o s 攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的 通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的 用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得 所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户 的请求。例如，2 0 0 0 年2 月6 日那个星期对y a h o o 网站发生的主要是带宽 攻击。 1 9 9 9 年8 月以来，出现了一种新的网络攻击方式，就是分布式拒绝服 务攻击( d d o s d i s t r i b u t e dd e n i a lo fs e r v i c e ) 。d d o s 系统与客户机 服务器工作模式非常相象。入侵者作为c li e n t 首先控制一些节点，将它们 设计成控制点，即受控主机，由这些控制点再去控制大量的i n t e r n e t 主机， 将这些主机设计成攻击点，即分布端。分布端将被装载攻击程序，通过攻击 者一受控主机一分布端一目标主机实施攻击，这种结构使人侵者远离被攻 击的目标，隐蔽了入侵者的具体位置，很难查出元凶，见图3 3 2 。 拒绝服务常用到的攻击方式有：s h a f t 攻击、s m u r f 攻击、t e a r d r o p 攻击、n m a p 攻 击、l a n d 攻 击、p i n go f d e a t h 攻击等 六、缓冲区 溢出( b u f