（计算机应用技术专业论文）网络信息系统的安全防御设计.pdf

湖北3 - - 业大学硕士学位论文 摘要 随着网络和信息技术的发展，各种网络应用不断普及。网络在给人们带来巨 大便利的同时，也不可避免地遭受来自内、外网络的各种安全威胁。“如何应对网 络中新出现的、未知的瞬时攻击引起的潜在威胁和破坏，更好地保证网络的 安全”成为当前网络安全研究的重点。在网络安全防护中，主动防御的思想引起 了人们的高度重视。 本论文作者主要论述了构建一个网络安全防御系统的设计方案。 在方案设计部分，本文重点论述了设计过程中的两个关键阶段，即安全策略 与风险分析，在安全策略部分中详细描述了在设计一个完整的网络防御系统中所 考虑的方方面面，而风险分析部分则以生动的实例说明了如何分析一个系统所面 临的风险并将其量化的过程和算法。最后，本文对所做的相关研究和已解决的问 题进行了总结，提出了下一阶段需重点解决和研究的内容。 在实现部分，本文重点论述了作者所设计的网络安全防御系统采用的网络拓 扑结构及其中采用的各种安全技术和安全产品的具体细节。最后则详细描述了该 网络安全防御系统中的一个重要组件网络安全装置的功能及技术细节，以及为其 可用性而开发的远程控制台，并在此基础上提出了安全监控中心的概念及实现计 划。 关键词：网络安全，安全策略，风险分析，日志审计 湖北工业大学硕士学位论文 a b s t r a c t w i 血t h ed e v e l o p m e n to ft h en e t w o r ka n dm ei n f o r m a t i o nt e c h n o l o g y ，v a r i o u s n e t w o r ka p p l i c a t i o n sa r ep u t t e dt ob ep o p u l a r i z a t i o n h o w e v e li ti sf a c i n gd i v e r s i f i e d s e c u r i t yt h r e a tf r o mi n t e r n a la n de x t e r n a ln e t w o r ki n e v i t a b l yn o w a d a y s ，i ns p i t eo fi t s c o n v e n i e n c et op e o p l e h o wt od e a lw i t ht h ep o t e n t i a lt h r e a ta n dd e s t r o ya r o u s e df r o m t h eu n p r e c e d e n t e da n du n k n o w nz e r o d a ya t t a c k ，a s s u r i n gt h en e t w o r ks e c u r i t yb e t t e r t u r n si n t om a g n i t u d en e t w o r ks e c u r i t yr e s e a r c hp r o j e c tr e c e n t l y a c t i v ep r e v e n t i o ni n n e t w o r ks e c u r i t yp r e v e n t i o na t t r a c t sp e o p l ei nh i g hd e g r e e t h i sp a p e rd i s c u s s e st h ed e s i g na n di m p l e m e n t sp r o c e s so fan e t w o r ks e c u r i t y d e f e n s es y s t e mo nt h eb a s i so f t h ew o r ko f a u t h o ro w n i nt h ep a r to fd e s i g n t h i st h e s i sp u tt h ee m p h a s i so nt h ec r i t i c a lp h a s i so fd e s i g n p r o c e s s ，t h e ya r es e c u r i t yd i p l o m a t i ca n dr i s ka n a l y s i s t h ep a r to fs e c u r i t yd i p l o m a t i c d i s c u s se v e r ya s p e c tn e e dt oc o n s i d e rw h e nd e s i g nan e t w o r ks e c u r i t yd e f e n s es y s t e m a n dt h ep a r to fr i s ka n a l y s i sd i s c u s sh o wt oa n a l y s i st h er i s ko fan e t w o r ks y s t e ma n d h o wt oq u a n t i f yi t i nt h ep a r to fi m p l e m e n t ，t h i st h e s i sp u tt h ee m p h a s i so nt h es e c u r i t yt o p o l o g yo f n e t w o r ka n da l lk i n d so fs e c u f i t yt e c h n o l o g ya d o p ti n t h i ss e c u r i t yn e t w o r k e n v i r i o n m e n t t h e nt h i st h e s i sd i s c u s st h ei m p o r t a n tc o m p o n e n to ft h i sn e t w o r ks e c u r i t y d e f e n s es y s t e m - n e t w o r k s e c u r i t ym o n i t o r , i n c l u d ei t s f u n c t i o na n dd e t a i lo fi t s t e c h n o l o g y , a tl a s t ，t h i st h e s i sd i s c u s st h er e m o t ep a n e lo f t h en e t w o r ks e c u r i t ym o n i t o r , a n dp r e s e n tt h ec o n c e p to fs e c u r i t ym o n i t o rc e n t e r k e y w o r d s ：n e t w o r ks e c u r i t y ，s e c u r i t yd i p l o m a t i c ，r i s ka n a l y s i s ，l o ga u d i t o r 佩 l 亡工孽失港 学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工作所取 得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个人或集体已经 发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中以明确方 式标明。本声明的法律结果出本人承担。 学位论文作者签名：1 麓叔 日期：口一年蠼月2 。日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保留 并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授 权湖北工业大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复制手段保存和汇编本学位论文。 学位论文作者签名：诅表 e l 期：沙6 年6 f 月功日 指导教师签名：7 点应辛彳 日期：加嘶口s 月1 日 湖北工业大学硕士学位论文 第1 章引言 1 1 计算机网络安全概述 计算机安全事业始于本世纪6 0 年代。当时，计算机系统的脆弱性己同益为 美国政府和私营的一些机构所认识。但是，由于当时计算机的速度和性能较落后， 使用的范围电不广，再加上美国政府把它当作敏感问题而施加控制，因此，有关 计算机安全的研究一直局限在比较小的范围内 进入8 0 年代后，计算机的性能得到了成百上千倍的提高，应用的范围也在 不断扩大，计算机已遍及世界各个角落。并且，人 l j n 用通信网络把孤立的单机 系统连接起来，相互通信和共享资源。但是，随之而来并r 益严峻的问题是计算 机网络的安全问题。人们在这方面所做的研究与计算机性能和应用的飞速发展不 相适应，因此，它已成为未来信息技术中的主要问题之一。 由于汁算机网络信息有共享和易扩散等特性，它在处理、存储、传输和使用 上有着严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、 篡改、冒充和破坏，还有可能受到计算机病毒的感染。 根据美国f b i 的调查，美国每年因为网络安全造成的经济损失超过1 7 0 亿美 元。7 5 的公司报告财政损失是由于计算机系统的安全问题造成的。但只有1 7 的公司愿意报告黑客入侵，大部分公司由于担心负面影响而不愿声张。在所有的 损失中虽然只有5 9 可以定量估算，但平均每个组织的损失已达4 0 万美元之多。 对r 企业网络来说，入侵的来源可能是企业内部心怀不满的员工、网络黑客， 甚至是竞争对手。攻击者可以窃听网络上的信息，窃取用户的口令、数据库的信 息：还可以篡改数据库内容，伪造用户身份，否认自己的签名。更有甚者，攻击 者可以删除数据库的内容，摧毁网络节点，释放汁算机病毒，直到整个企业网络 陷入瘫痪。黑客威胁的报到如今已经屡见不鲜了，国内外甚至美国国防部的计算 机网络也都常被黑客们光顾。 国内由于计算机及网络的普及较低，加之黑客们的攻击技术和手段都相应较 为落后，因此，前几年计算机安全问题暴露得不是太明显：但随着计算机的飞速 发展、普及、攻击技术和手段的不断提高，对我们本就卜分脆弱的系统带来了严 重的威胁。据凋查，国内考虑并实施完整安全措施的机构寥寥无儿，很多机构仅 仅简陋的用了一点点安全策略或根本无任何安全防范。 湖北_ t - 业大学硕士学位论文 1 1 1 网络面临的威胁 网络自身的安全漏洞 企业之间是通过公共i n t e r n e t 来连接的，而i n t e r n e t 产生的初衷是为创建一个 开放的方便信息自由交换的网络环境，因而没有考虑安全性，大多数目前使用的 通讯协议存在安全漏洞。网络黑客们通过地下联络网络已经开发并公丌共享了一 些复杂的工具，如s n i f f e r i n g ，c r a c k i n g 与s p o o f i n g 等，这些工具用于对在网上传送 中的数据进行截获、篡改，并能在i n t e m e t 免费获得。这意味着给远方的同事、商 家、客户、大夫、病人、朋友或亲戚发送的一则消息在到达它的目的地的中途任 处，消息的内容对每一个人都是可见的，包括竞争对手。i n t e r n e t 在帮助通讯双 方确定对方的真实身份方面也无能为力，这意味着每一个人都可以假冒成一个合 法身份骗取对方从而得到对方不想让自已得到的数据。 数据可被截获，则个人隐私就会被损害，商业机密就会被泄漏，身份可以任 意假冒，商业交易就无法在网i ：进行。 黑客的恶意攻击 另外，连接到i n t e r n e t 上的主机系统或企业内部局域网络极易遭受攻击，一些 i n t e m e t 服务如f t p 、d n s 等，为网络黑客开了方便之门。网络黑客通过一些i n t e r n e t 的安全漏洞，非法攫取特权口令从而偷看或篡改机要文件，或者恶意耗费内部网 络的带宽、内存或处理器时间，现在能有效攻击w i n d o w s n t 及u n i x 系统的工具 在i n t e r n e t 能很容易找到。美国计算机安全研究所( c o m p u t e rs e c u r i t yi n s t i t u t e ) 公布 的统计资料表明，9 6 年全美每年涉及网络安全的举报有几千例，网络安全缺口导 致的公司经济损失近1 亿美元，而且连防范森严的五角大楼，也屡失面子。1 9 9 6 年1 1 月至1 2 月，好事的计算机天刁d a nf a r m e r 用他的工具s a t a n ( s e c u r i t y a d m i n i s t r a t o r t o o l f o r a n a l y z i n g n e t w o r k s ) 对全球2 2 1 3 个w w w 站点的安全漏洞 进行了检测，所抽样的站点涉及银行、美国联邦政府、报刊等社会各个行业的站 点，结果显示，其中2 8 的站点很容易被攻击，3 0 1 的站点有一定程度的漏洞，4 2 的站点可算安全。计算机病毒是攻击计算机系统的另一方面，世界上第一个计算 机病毒w o r m 就是通过i n t e m e t 传播的，而现在在网上通过f t p 或h t t p 传送的文 件可能是病毒的携带者，象m i c r o s o f t 的w o r d 与e x c e l 文档极易感染的宏病毒，最 让人头疼而往往都是通过i n t e m e t 窜入的。可见，i n t e m e t 也带来了对计算机系统 自身的威胁。 内部员工与其他授权用户 湖北工业大学硕士学位论文 虽然来自外部的攻击与以前相比威胁更大，但内部员工、以前的员工以及其 它内部网络使用者仍然是不容忽视的安全考虑对象。其它网络使用者是一些准员 工，包括商、i k 伙伴、或临时兼职员工等，他们没有正式员工的义务。因为为了对 系统的访问，可能确定准是不是员丁是很困难的，而这些人对企业、人员及系统 很了解，这给那些不诚实或常做使人不高兴的事的人带来了通过系统漏洞或通过 授权的方式来进行未授权的活动的机会。 来自内部的威胁比来自外部的威胁更不容易察觉，也不容易控制，因为内部 人员是以系统认可的身份使用系统，支配系统，操纵信息的流动。这种内部的因 素主要从管理上加强防范，因为这里面不仅仅涉及计算机系统，还更多的涉及了 人的冈素，人也参与了信息的存贮、加工与传播，而人的行为不是任何计算机安 全体系所能约束的。 1 1 2 信息系统安全的定义 国际标准化组织f i s o ) 将“信息系统安全”定义为：“为数据处理系统建立和采 取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因 而遭到破坏、更改和泄露。”此概念偏重于静态信息保护。 也有人将“信息系统安全”定义为：“计算机的硬件、软件和数据受到保护，不因 偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行。”该定义着重于 动态意义描述。信息系统安全的内容应包括两方面：即物理安全和逻辑安全。物理 安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信 息完整性、保密性和可用性。 信息入侵者无论采用什么手段，他们都要通过攻击信息的安全属性来达到目 的。所谓“信息安全”，在技术的含义就是保证在客观上杜绝对信息属性的安全威 胁，使得信息的主人在主观上对其信息的本源性放心。信息安全的三种基本属性 是： 完整性( in t e g r i t y ) 完整性是指信息在存储或传输过程中保持不被修改、不被破坏、不被插入、 不延迟、不乱序和不丢失的特性。对于军用信息来说，完整性被破坏可能意味着 延误战机、自相残杀或阑置战斗力。破坏信息的完整性是对信息安全发动攻击的 目的之一。 可用性( a v a li a b ii t y ) 湖北工业大学硕士学位论文 可用性是指信息可被合法用户访问并按要求i t l 页g j 使用的特性，即指当需要时 可以取用所需信息。对可用性的攻击就是阻断信息的可用性，例如破坏网络和有 关系统的正常运行就属于这种类型的攻击。 保密性( c o n f i d e n t i a ii t y ) 保密性是指信息不泄漏给非授权的个人和实体，或供其利用的特性。军用信 息安全尤为注重信息的保密性( 比较而言，商用则更注重信息的完整性) 。 1 2 课题研究的背景 随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运 算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到 基于企业复杂的内部网( i n t r a n e t ) 、企业外部网( e x t r a n e t ) 、全球互联网 ( i n t e r n e t ) 的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系 统处理能力提高的同时，系统的连接能力也在不断地提高。但在连接能力，信息、 流通能力提高的同时，基于网络连接的系统安全问题也日益突出。 另一方面，系统的安全漏洞和系统的加密系统已经不再像以前那样仅仅被为 数不多的专业人士知道，在国际互联网上，有数以万计的黑客站点在时时刻刻地 发布这些信息，并提供各种： 具和技术以利用这些漏洞来破解保密体系，进行系 统攻击。 一个普通的计算机用户，只要能上i n t e r n e t 网络，他就能轻易地获取这些信 息，轻松地变为一个具有很大威胁的黑客。国内也有大量的中文黑客站点，你只 要在搜狐或y a h o o 中围、新浪网上键入“黑客”即可发现，他们提供大量的中文 版黑客教材，当前最新的漏洞列表，黑客工具和使用说明书，不懂英文和网络理 论薄弱的中学生都可轻松地获得必要的知识和工具，从而变成一个威胁很大的黑 客。更有甚者，清华大学的b b s 上竟然有黑客组织贴上了三千个他们所攻破的站 点和网络的用户名和口令，鼓励其他人去攻击。 计算机网络安全问题，应该像每家每户的防火防盗问题一样，做到防范于未 然。甚至不会想到你自己也会成为日标的时候，威胁就已经出现了，一旦发生， 常常措手不及，造成极大的损失。 可以说，我国日前的网络安全现状是十分令人担忧的，且不说存在许多根本 没有意识到网络安全的单位和组织，从而对其网络根本没有采取安全防范。就是 现在号称己经采用了安全防范的单位，实际上有许多的安全根本不符合要求。许 多大型的信息港和企业的i n t r a n e t 在配置方案中仪配置了一道防火墙作为安全的 湖北工业大学硕士学位论文 保障，并没有在安全方面下太大的功夫。结果往往在遭受重大损失后才意识到安 全问题的重要性。许多个人用户经常为自己的邮箱遭受“邮箱炸弹”的攻击而苦 恼，而一些大单位更是为自己的主页被黑客的任意篡改感到尴尬，至于那些由于 网络安全漏洞造成的大型经济犯罪案前更足屡见不鲜。 一般来说，现在我困采用安全防范的手段有如下几种： 安装一般的防火墙 防火墙的安全功能是有限的，它很难防止伪造i p 攻击。不能对付层出不穷的 应用层后门、应用设计缺陷、通过加密通道的攻击。 采用一般应用程序中的安全手段 这些安全手段大部分都是利用简单的清求响应模式，由客户将密码传送给服 务方用来做身份认证。由于其中缺少完善的密钥管理手段，根本防止不了监听+ 重 放攻击。 直接采用目前在美国使用的安全应用系统 这些应用系统在美国使用可能漏洞很少。但是由于美国政府对安全的出口限 制，使得这些系统出口到中国后，其中的安全漏洞大大增加了。比如：目前比较流 行的s s l 。h t t p s 协议，按照安全要求，这些协议中的分组加密算法密钥长度至少 应该是1 2 8 位公钥算法的密钥要求1 0 2 4 位。但是出口到我困后的密钥长度远远 没有达到要求：分组加密算法是d e s ( 6 4 位密钥) 或者r c 2 ( 4 0 位) ，而公钥加密算 法的密钥也只有5 1 2 位。 1 3 确保网络信息系统安全的意义 在当今的信息社会中，网络信息系统的安全对于整个社会都具有极其重要的 意义，大到国家，小到个人，以及公司，企业，其网络信息系统的安全性都需要 得到充分的保护。 国家与个人 在国家和国防都着重信息体系的当代，必须保证信息安全。网络信息安全事 关政权的巩固、国防的强大，直接关系到国家安全。国家国防信息的命根就在于 安全。信息的保密与安全，跟各国的国防建设和国计民生息息相关，它严重影晌 着国家的安危、战争的胜负、外交斗争的成败、经济竞争的输赢。人们希望，大 至国家决策和军事行动，小到家庭状况( 如存款数目) 和个人隐私( 如健康水平) 等 机密或敏感信息都能得到充分的合法保护。 湖北工业大学硕士学位论文 公司与企业 在当今的电子信息时代，大多数公司和企业的日常商业行为都建立在电子数 据的基础之上。电子数据广泛的存在于产品信息，商业合同，金融交易，统计数 据等等之中，假如一旦这些电子数据泄露到竞争者手中，或者出现错误，毁坏， 虚假甚至消失，那将会是怎样一种情况，后果又将会如何呢? i 顾客或者财务信息的泄露将会影响信誉。 2 商业信息的泄露将会给竞争者们可乘之机，使之能够制定更有针对性的市场战 略。 3 竞争者可以发动一场不可见却又很有效的信息攻击，影响你的顾客或财务信 息，影响你的市场信誉，从而扩大自己的市场份额。 而在当今的网络时代里，网络安全己经成为信息系统安全中一个重要的组成 部分，在很多时候，网络安全已经成为信息系统安全的代名词。 湖北工业大学硕士学位论文 第2 章典型攻击行为技术特点分析及应对措施 安全与攻击之间存在着不可分割的因果关系，如果在信息世界中不存在攻击 行为，我们还需要在这里讨论安全吗? 似乎没有太多的必要了，所以在本文中， 我们将把攻击放在前面，在讨论网络安全防御系统方案之前，先分析一下目前因 特网上各种黑客攻击方法的技术特点，本章将对具有代表性的几种攻击方法的技 术原理作以简单的分析，并提出相应的应对措施。 2 1 操纵ip 包( i pp a c k e tm a n i p u l a t i o n ) 2 1 1 端口欺骗( p o r ts p o o f i n g ) 利用常用服务的端口，如2 0 5 3 8 0 1 0 2 4 等，避开包过滤防火墙的过滤规则。 2 1 2 化整为零( t i n yf r a g m e n t s ) 黑客将正常长度的数据包分解为若干小字节的数据包，从而避丌防火墙过滤 规则，如对f l a g p o r t s i z o 等的检测规则等。 2 1 3 “盲”ip 欺骗( b i a n di ps p o o f in g ) 改变源i p 地址进行欺骗。这种i p 欺骗称为“盲”i p 欺骗，是因为黑客修改 其发送数据包的源地址后，不能与目标主机进行连接并收到来自目标主机的响应。 但是，这种“盲”i p 欺骗往往是黑客能够事先预计到目标主机可能会做出的响应， 从而构成其他攻击的组成部分。例如， s m u r f 攻击，黑客事先预计到网络上的计 算机会对i c m p 广播包做出响应，从而达到攻击预定目标的目的。而黑客本人却无 意接收网络上计算机的任何回应。 下面三种路由器配置情况下，都可能遭致“盲”i p 欺骗攻击： 在应用代理防火墙中，应用代理使用源i p 地址进行认证： 为了支持将内部网络再划分为子网，配备具有两个接口的路由器： 与外部不可信刚络相连的路由器支持多个内部接口 盲i p 欺骗可能造成严重的后果，基于i p 源地址欺骗的攻击可穿过过滤路由 湖北工业大学硕士学位论文 器( 防火墙) ，并可能获得受到保护的主机的f o o t 权限。 针对这种攻击行为可以采取以下措施： 检测 使用网络监视软件，例如n e t l o g 软件，监视外来的数据包。如果发现外部接 口上通过的数据包，其源地址和目的地址与内部网络的一致，则可以断定受到i p 欺骗攻击： 另一个办法是比较内部网络中不同系统的进程统计日志。如果i p 欺骗对内部 某个系统进行了成功地攻击，该受到攻击主机的日志会记录这样的访问，“攻击主 机”的源地址是内部某个主机：而在“攻击主机”上查找同志时，却没有这样的记 录。 防治措施 防治“盲”i p 欺骗攻击的最佳办法是：安装配置过滤路由器，限制从外部来的 进网流量，特别是要过滤掉那些源地址声称是内部网络的进网数据包。不仅如此， 过滤路由器还要过滤掉那些声称源地址不是本网络的出网数据包，以防止i p 欺骗 从本网络发生。 2 2 和j 用脆弱性( e x p l0 i t i n gv u l n e r a b iii t e s ) 2 2 1 访问权限( a c c e s sp e r m i s s i o n s ) 黑客利用系统文件的读写等访问控制权限配置不当造成的弱点，获取系统的 访m 权。 2 2 2 蛮力攻击( b r u t ef o r c e ) 黑客通过多次尝试主机上默认或安全性极弱的登录口令，试登录到某个帐 号。还有一种形式是采用口令破解程序，对用户加密后的口令文件进行破解，如 使用c r a c k e r ，l o p h t c r a c k e r ， n t c r a c k 等破解软件。 2 2 3 缓冲区溢出( b u f f e ro v e r f l o w ) 一种形式的缓冲区溢出攻击足黑客本人编写并存放在缓冲区后任意的代码 然后执行这些代码。这对黑客的技术水平要求很高，一般的黑客少有此举。 湖北工业大学硕士学位论文 另一种形式的缓冲区溢出攻击是程序代码编写时欠考虑。典型的一种形式是 对用户输入的边界检查问题。例如，c 语言中，函数f g e t 0 不对用户输入的数量 进行检查，如果程序员不考虑这个情况就会出问题。统计表明，在操作系统和应 用软件中，因为编写的原因，其中约有3 0 的代码存在着缓冲区溢出的漏洞。这就 是为什么王见在针对缓冲区溢出的攻击事件刁i 断地发生的主要原因。有理由相信， 随着某些操作系统和应用软件源代码的公布，还会有更多的类似攻击事件的发生。 2 2 4 信息流泄露( r a c ec o n d i t i o n l 黑客利用在某个程序执行时所产生的某些暂时的不安全条件，例如在执行 s u i d 时执行用户具有同被执行程序的属主同等权限，这样执行用户就可以获得对 某些敏感数据的访问权。 2 2 5 利用脆弱性小结 计算机和计算机网络构成了一个复杂的大系统，这个大系统内部又有各种型 号和计算机、各种版本的服务和各种类型的协议构成，不可能保证计算机系统的 硬件、软件( 操作系统和应用软件) 、网络协议、系统配置等各方面都完美无缺， 黑客就能够发现并利用这些缺陷来进行攻击。 解决这方面的问题，一是教育，教育用户树立安全意识，如注意口令的设置、 正确配置设备和服务等：二是不断地升级系统软件和应用软件的版本，及时安装 “补丁”软件。 2 3 恶意软件( m a ii c i o u ss o f t w a r e ) 2 3 1 逻辑炸9 单( l o g i c a lb o m b ) 用。 它是一种程序，在特定的条件下( 通常是由于漏洞) 会对目标系统产生破坏作 2 3 2 后f ( b a c k d o o r l 它是一种程序，允许黑客远程执行任意命令。一般情况下，黑客攻破某个系 统后，即使系统管理员发现了黑客行为并堵住了系统的漏洞，为了能够再次访问 该系统，黑客往往在系统中安放这样的程序。 湖北工业大学硕士学位论文 2 3 3 蠕虫( w o r m ) 它是一种独立的程序，能够繁殖并从一个系统到另一个系统传播其自身的拷 贝，通常在整个网络上。像病毒一样，蠕虫可以直接破坏数据，或者因消耗系统 资源而减低系统性能，甚至使整个网络瘫痪。最著名的就是1 9 8 8 年m o r r i s 因特网 蠕虫事件。 23 4 特洛伊木马( t r o j a n ) 一种独立的、能够执行任意命令的程序。特洛伊木马往往能够执行某种有用 的功能，而这种看似有用的功能却能够隐藏在其中的非法程序。当合法用户使用 这样合法的功能时，特洛伊木马也同时执行了非授权的功能，而且通常篡夺了用 户权限。 2 3 5 恶意软件攻击方法小结 恶意软件通常能够造成严重的安全威胁，秘密的信息可以被截获和发送到敌 手中，关键的信息可以被修改，计算机的软件配置可以被改动以允许黑客进行连 续的入侵。 排除恶意软件的威胁代价是高昂的。采取预防措施和教育用户所花费的代价， 要比被攻击后恢复的代价要低的多。 第一，制定一个保护计算机防止被病毒等恶意软件威胁的计划。 这样的计划应该包括要保护计算机被病毒和其他恶意软件威胁，系统管理员 和合法用户应该拥有的明确责任。例如，确定谁有权在计算机上下载和安装软件； 谁负责检测和清除恶意软件，用户还是管理员；禁止用户运行从e - m a i l 上接收到 的可执行文件、禁止从公共站点上下载软件等。 第二，安装有效的反病毒等工具 要考虑反病毒等工具要进行脱线备份，以防止它们可能被病毒等恶意软件修 改而失去检测功能。应积极地经常在线检测，同时也要不时进行脱线检测，以确 保在线检测工具的e 常功能。一般情况下，这种方法在初始安装和配置操作系统 时最为可靠。 第三，教育用户预防和识别病毒等恶意软件的技术 用户应该接受诸如病毒等恶意软件传播及防止它们进一步传播的教育。这包 括教育用户在装载和使用公共软件之前，要使用安全扫描工具对其进行检测。另 湖北工业大学硕士学位论文 外，许多病毒等恶意软件有一定的特点，用户应该得到一定的识别知识，并且能 够使用适当的软件清除。最好能够及时进行新类型的安全威胁以及入侵方面的教 育。 第四，及时更新清除恶意软件的：r 具 许多反恶意软件的工具，如反病毒软件，使用已知恶意软件特征的数据库， 而新类型的恶意软件不断地出现，因此，检测软件应该不断地更新以确保有最新 的检洲版本。否则，结果是只能自认为安全的自欺欺人。 2 4 拒绝服务d o s ( d e n ia i o fs e r v i c e ) 24 1 淹没( f l o o d in g ) 是指黑客向目标主机发送大量的垃圾数据或者无效的请求，阻碍服务器为合 法用户提供正常服务。 典型的情况是“半，j j 的s w ”连接请求拒绝服务攻击( 称为s y nf l o o d i n g ) 。 刺于每个t c p 连接请求，t c p 协议实现时要为该连接请求保留一定的存储空间。由 于存储空间有限，而且黑客可以采用i p 地址欺骗的办法，伪造s y n 请求的源地址 并大量地发出这样的请求，使得服务器认为连接请求是来自不同的用户。因为服 务器需要等待某个连接请求的确认，并认为请求过期是需要一定的时间的，在得 到客户端确认之前服务器将一直保留对应的存储空间，但是黑客却大量发出无效 的连接请求s y n ，当服务器接收到超过其存储能力的t c p 连接请求数量后，便不能 再接收任何请求，包括合法用户的正常请求。 2 4 2s m u r f in g 拒绝服务攻击 s m u r f i n g 拒绝服务攻击的主要原理 黑客使用i p 广播和i p 欺骗使f l o o d i n g 攻击的效果倍增，使用伪造的l c m p e c h o r e q u e s t 包发往目标网络的i p 广播地址。s m u r f i n g 攻击的原理如图2 1 所示。 湖北工业大学硕士学位论文 图2 1s m u r f i n g 攻击的图示 i c m p 是用来处理错误和交换控制信息的，并且可以用来确定网络上的某台主 机是否响应。在一个网络上，可以向某个单一主机也可以向局域网的广播地址发 送i p 包。当黑客向某个网络的广播地址发送i c m pe c h or e q u e s t 包时，如果网络 的路由器对发往网络广播地址的i c m p 包不进行过滤，则网络内部的所有主机都可 以接收到该i c m p 请求包，并且都要向i c m p 包所指示的源地址回应以i c m pe c h o r e p l y 包。如果黑客将发送的i c m p 请求包的源地址伪造为被攻击者的地址，则该 网络上所有主机的i c m pe c i i or e p l y 包都要发往被攻击的主机，不仅造成被攻击 者的主机出现流量过载，减慢甚至停止正常的服务，而且发出i c m p 回应包的中间 受害网络也会出现流量拥塞甚至网络瘫痪。 可以说，s m u r f i n g 攻击的受害者是黑客的攻击目标，和无辜的充当黑客攻击 工具的第三方网络。 s m u r f 攻击使得被黑客利用的“无辜”中间网络和被攻击的目标，无论是它们 的内部网络还是与因特网的连接，网络性能都受到影响，严重时整个网络都无法 使用。而且，为这些网络提供服务的中小i s p ，也会因此减低其网络效率和服务性 能。对大型的i s p 而言，其骨干网可能会出现流量饱和的现象而部分影响其服务 质量。 被黑客利用进行攻击的“无辜”中间网络应采取的措施 配置路由器禁止i p 广播包进网。在几乎所有的情况下，这种功能是不必要的。 应该在网络的所有路由器上都要禁止这种功能，而不仅仅在与外部网络连接的路 由器上禁止。例如，网络上有五个路由器连接着十个l a n ，应在这五个路由器上都 禁止i p 广播包的通过。 湖北工业大学硕士学位论文 配置网络上所有计算机的操作系统，禁止对目的地址为广播地址的i c m p 包响 应。虽然对路由器进行了禁止网外的i c m p 广播包的进入，但是黑客很可能已经攻 破了网络内部的某台主机，黑客仍然可以使用网络上这台被他控制的这台主机发 起s m u r f 攻击。 被黑客攻击的目标应采取的措施 对被攻击的目标而言，要防止接受到大量的i c m pe c h or e p l y 包的攻击没有 一个简单的解决办法，甚至要防l 受到其他类型的d o s 攻击都没有太好的办法， y a h o o ! 等站点被d o s 攻击这一事实就说明了这一点。虽然可以对被攻击网络的路 由器进行配置，禁止i c m pe c h or e p l a y 包的进入，但这并不能阻止网络路由器到 其i s p 之问的网络拥塞。这样，较为妥当的解决办法是与其i s p 协商，由i s p 暂 时阻止这样的垃圾流量。另外，被攻击目标应及时与被黑客利用而发起攻击的中 间网络管理员联系。 黑客攻击实际发起的网络应采取的措施 对于从本网络向外部网络发送的数据包，本网络应该将目的地址为其他网络 的这部分数据包过滤掉。虽然当前的i p 协议技术不可能消除i p 伪造数据包，但 使用过滤技术可以减少这种伪造发生的可能。 2 4 3 分片攻击( f r a g m e n ta t t a c k s1 这种攻击方法利用了t c p i p 协议的弱点，第一种形式的分片攻击是，有一些 t c p l p 协议实现中，对i p 分段出现重叠时并不能正确地处理。例如，当黑客远程 向目标主机发送i p 的片段，然后在目标主机上重新构造成一个无效的u d p 包，这 个无效的u d p 包使得目标主机处于不稳定状态。一旦处于不稳定状态，被攻击的 目标主机要么处于蓝屏幕的停机状态，要么死机或重新启动。类似这样的黑客攻 击工具有：t e a r d r o p ，n e w t e a r ，b o n k 和g o i n k 等。 第二种形式的分片攻击是，一些t c p i p 的实现对出现一些特定的数据包会呈 现出脆弱性。例如，当黑客远程向目标主机发出的s y n 包，其源地址和端口与目 标主机的地址和端v 1 一致时，目标主机就可能死机或挂起。典型这样的黑客工具 是：l a n d 。 2 4 4 带外数据包攻击n u k in g ( o u to fb a n d ) 向一个用户w ir l d o w s 系统的1 3 9 口( n e t b o s 的端口) ，发送带外数据包o o b ( 垃 湖北工业大学硕士学位论丈 圾数据) ，w in d o w s 不知如何处理这些o o b ，可以远程造成该用户系统运行异常。 对方用户只有重新启动才。能正常工作。 2 4 5 分布式拒绝服务攻击d d o s 传统d o s 攻击的缺点是： 受网络资源的限制。黑客所能够发出的无效请求数据包的数量要受到其主 机出口带宽的限制： 隐蔽性差。如果从黑客本人的主机上发出拒绝服务攻击，即使他采用伪造 i p 地址等手段加以隐蔽，从网络流量异常这一点就可以大致判断其位置， 与i s p 合作还是较容易定位和缉拿到黑客的。 而d d o s 却克服了以上两个致命弱点。 隐蔽性更强。通过间接操纵因特网上“无辜”的计算机实施攻击，突破了 传统攻击方式从本地攻击的局限性和不安全性。 攻击的规模可以根据情况做得很大，使目标系统完全失去提供服务的功 能。所以，分布式网络攻击体现了对黑客本人能力的急剧放大和对因特网 上广阔资源的充分利用。由于攻击点众多，被攻击方要进行防范就更加不 易。对、a h o o ! 等世界上最著名站点的成功攻击证明了这一点。 24 6 拒绝服务攻击小结 分布式网络攻击d n a ( d i s t r i b u t e dn e t w o r ka t t a c k s ) 成为黑客的主要攻击 手段，这也是未来连接在因特网上机构所面临的严重威胁之一。d n a 攻击形式 是随着因特网快速发展的必然结果。现在是d d o s 攻击，那么下一次攻击也许 就是分布式欺骗( d i s l r i b u t e ds p o o f i n g ) 、分布式监听( d i s t i b u t e d s n i f f i n g ) 、或者足分布式分段攻击( d i s t i b u t e df r a g m e n t a t i o n a t t a c k ) 。 从根本一卜还是要维护好上网主机的安全性。 i s p 与i s p 之间、i s p 与网络管理员之间相互协调合作，共同对付d o s 。 2 5 内部攻击( a t t a c k s ”f r o mt h e im s i d e ”) 所谓的“f r o mt h ej n s i d e ”有两方面的含义：一方而可以指是内部人员；另一 面是指刚络黑客控制了远程网络上某台主机后的所作所为。 湖北工业大学硕士学位论文 2 5 1 “后门”守护程序( ”b a c k d o o r ”d a e m o n s ) 黑客成功入侵了远程网络上某台计算机后( 一般指的是拥有管理员权限，或 f o o t 权限) ，为了达到其迸一步访问或进行其他攻击的目的，往往在该主机上安装 某些特定的软件，例如守护程序d a e m o n 。同c s 服务模式一样，守护程序开放该 主机上的某个端口，并随时监听发送到该端l 的来自黑客的命令，允许黑客更进 一步的远程访问或进行其他的攻击。例如，二月份对y a h o o ! 等站点发生的d d o s 攻击，前提是黑客入侵并控制了许多因特网上的计算机，并在这些主机上安置了 守护程序，听从黑客的统一指挥，并且在指定的时间发出对目标主机的统一攻击。 2 5 2b 志修改( l o gm a n i p u i a t i o l 3 ) 在被攻击的计算机日志等事件记录装置上修改黑客非法入侵访问和攻击的踪 迹，这是一名黑客必须具备的基本能力之一。事实上，修改日志文件是黑客学习 的第一件事情，其道理是显然的。因为，计算机系统的事件记录装置，如臼志文 件等，就如同记录了黑客的“指纹”。黑客攻击发生后，日志中的信息就成为缉拿 黑客的最主要的线索之一，并且也足将黑客定罪的重要证据。因此，黑客甚至在 攻击发生之前就应该预计到如何更改日志文件。 现在，有许多修改日志的黑客工具，如u t c l e a n 是可以消除黑客留在 w t m p ，w t m p x ，u t m p ，u t m p x 和 a s t l o g 中黑客“痕迹”的工具。类似的还有 r e m o v e m a r r y 等1 具。 2 5 3 隐蔽( c i o a k in g ) 如果黑客在被其入侵的计算机上安装了皆如后门守护程序等为其服务的特殊 软件，往往是该主机开机后运行着一个或多个进程。主机的系统管理员使用通用 的工具，例如p s ，就可以显示出当前主机上运行着的所有进程，从而暴露了主机 遭到黑客入侵这一事实。这是黑客不愿意看到的。因此，黑客要使用特洛伊化的 文件替代系统文件，不最示在证常情况下应该显示的信息，如当前运行的进程等， 从而隐藏黑客的非法访迹象。r o o t k i t 就是这样的工具。 2 5 4 窃听( s n i f f in g ) 监听网络数据，过滤和记录敏感信息，如1 7 1 令和帐号等。黑客必须能够在某 个网络上成功地控制一台主机，并在该主机上安装嗅探器( s n i f f e r ) ，然后在合 湖北工业大学硕士学位论文 适的时间取回嗅探器的记录信息。 2 5 5 “非盲”欺骗( n o n b in ds p o o f in g ) 这同“盲”欺骗有根本的区别。因为“盲”欺骗不能够获得从被欺骗的目标 发送回来的响应，即黑客不可能与被欺骗目标主机建立真正的连接。 而在“非盲欺骗”中黑客使用数据监听等技术获得一些重要的信息，比如当 前客户与服务器之问t c p 包的序列号，而后或通过拒绝服务攻击切断合法客户端 与服务器的连接，或在合法客户端关机时，利用i p 地址伪装，序列号预测等方法 巧妙的构造数据包接管当前活跃的连接或者建立伪造的连接，以获取服务器中的 敏感信息，或以合法用户权限远程执行命令。 2 60 6 i 攻击 从c e r j l 等安全组织的安全报告分析，近期对c o l 的黑客攻击发生的较为频繁。 针对c g i 的攻击，从攻击所利用的脆弱性、攻击的目标和所造成的破坏等各方面 都有所不同。具体来说大致有，以下两种类型的c g i 攻击。 2 6 1 f 氐级0 1 3 i 攻击 黑客i 叮以获得系统信息或者口令文件、非法获得w w w 服务、获得服务器的资 源，有时甚至获得f o o 权限。 这种情况的c g i 攻击发生的一个重要原因是：服务器上运行着不安全的c g i 脚 本。如果是