（计算机软件与理论专业论文）网络安全防御系统的设计与实现.pdf

u 了科披大学硕士毕业论文一1 呵络安全防御系统的设计与实现 摘要 学科专业：计算机软件与理论 论文题目：网络安全防御系统的设计和实现 硕士生：张剑( 9 8 s 6 2 0 )导师：周明天教授 r ，吁随着网络时代的飞速发展，i n t e m e t 和i n t r a n e t 日益普及，网络安全问题也 日益突出，如何在开放网络环境中保证数据和系统的安全性已经成为众多业内 人士关心的问题，并越来越迫切和重要。虽然目前对安全技术的研究也越来越 深入，但目前的技术研究重点都放在了某一个单独的安全技术上，却很少考虑 如何对各种安全技术加以整合，构建个完整的网络安全防御系统。j 本论文以作者的实际工作为基础，重点论述了构建一个网络安全防御系统 的方案设计和实现过程。 ， ，f 在方案设计部分，本文重点论述了设计过程中的两个关键阶段，即安全策 略与风险分析，在安全策略部分中详细描述了作者在设计一个完整的网络防御 系统中所考虑的方方面面，而风险分析部分则以生动的实例说明了如何分析一 个系统所面临的风险并将其量化的过程和算法。 在实现部分，本文重点论述了作者所设计的网络安全防御系统采用的网络 拓扑结构及其中采用的各种安全技术和安全产品的具体细节。最后则详细描述 了该网络安全防御系统中的一个重要组件一网络安全监测仪的功能及技术细 节，以及为其可用性而开发的远程控制台，并在此基础上提出了安全监控中心 j 的概念及实现计划。 关键字：网络安全安全策略风险分析入侵检测日志审计漏洞规 则f ) 认证加密c g i 第l 撕 一! 王! ! 丝= ! j ；兰堡! 兰些堡兰二塑垒窒盒型堕坚墼型旦坠盐土型! 生一 a b s t r a c t s p e c i a l t y ：c o m p u t e r s o f t w a r ea n dt h e o r y t i t l e ：t h ed e s i g na n di m p l e m e n t a t i o no f n e t w o r ks e c u r i t yd e f e n s e s y s t e m m a s t e r ：z h a n gj m n ( 9 8 s 6 2 0 ) a d v i s o r ：p r o f z h o um i n g t i a n w i t ht h ed e v e l o p m e n to fn e t w o r ks o c i e t y a n dt h ee x t e n s i o no f 、i n t e m e ta n di n t r a n e t ，t h ep r o b l e mo f n e t w o r ks e c u r i t yb e c o m e sm o r ea n d m o r ea c u t e a n dh o w t op r o t e c tt h ed a t aa n ds y s t e mi nt h eo p e nn e t w o r k e n v i r o n m e n th a sb e c a m eam o r ea n dm o r ei m p o r t a n t a n di m m i n e n t q u e s t i o n a l t h o u g ht h e r e s e a r c ha b o u tt h es e c u r i t yt e c h n o l o g yh a sa l s o g a i n e ds o m ea c h i e v e m e n t ，b u tm o s to f t h e mp u tt h e i re m p h a s i so no n e k i n do fs e c u r i t yt e c h n o l o g y , f e wc o n s i d e rh o w t oi n t e g r a t ea l lk i n do f s e c u r i t yt e c h n o l o g y i n t oo n ep e r f e c tn e t w o r ks e c u r i t yd e f e n s es y s t e m t h i st h e s i sd i s c u s s e st h ed e s i g na n di m p l e m e n tp r o c e s so f an e t w o r k s e c u r i t yd e f e n s es y s t e m o nt h eb a s i so f t h ew o r ko f a u t h o ro w n i nt h ep a r to f d e s i g n ，t h i st h e s i sp u t t h ee m p h a s i so nt h ec r i t i c a lp h a s i s o f d e s i g np r o c e s s ，t h e ya r es e c u r i t yd i p l o m a t i ca n d r i s ka n a l y s i s t h ep a r t o fs e c u r i t yd i p l o m a t i cd i s c u s se v e r ya s p e c tn e e dt oc o n s i d e rw h e nd e s i g n an e t w o r ks e c u r i t yd e f e n s es y s t e m a n dt h ep a r to fr i s ka n a l y s i sd i s c u s s h o wt oa n a l y s i st h er i s ko fan e t w o r k s y s t e m a n dh o wt oq u a n t i f yi t i nt h ep a r to f i m p l e m e n t ，t h i st h e s i sp u t t h ee m p h a s i so nt h es e c u r i t y t o p o l o g yo f n e t w o r ka n da l lk i n d so fs e c u r i t yt e c h n o l o g ya d o p ti nt h i s s e c u r i t y n e t w o r ke n v i r i o n m e n t t h e nt h i st h e s i sd i s c u s st h e i m p o r t a n t 第2 页 i ! 王壁丝盔兰堡! 望些丝皇二塑堑窒全堕型至竺塑堡生! 丝婴 c o m p o n e n to ft h i s n e t w o r ks e c u r i t yd e f e n s es y s t e m n e t w o r ks e c u r i t y m o n i t o r , i n c l u d ei t sf u n c t i o na n d d e t a i lo fi t st e c h n o l o g y , a tl a s t ，t h i st h e s i s d i s c u s st h er e m o t ec o n t r o lp a n e lo ft h en e t w o r ks e c u r i t ym o n i t o r , a n d p r e s e n t t h ec o n c e p to f s e c u r i t ym o n i t o r c e n t e r k e y w o r d s ： 、 n e t w o r k s e c u r i t y s e c u r i t yd i p l o m a t i c r i s ka n a l y s i s i n t r u s i o nd e t e c t i o n l o ga u d i t o r h o l e r u l e a u t h e n t i c a t i o n e n c r y p t c g i 簿3 斑 ! ! 王! ! 垫盔兰堡! 兰些丝兰= 塑竺窒全堕塑墨竺些墼生：! 塑 第一章网络安全概述 1 1 信息系统安全的定义 信息安全事业始于本世纪6 0 年代末期。当时，计算机系统的脆弱性已日益 为美国政府和私营部门的一些机构所认识。但是，由于当时计算机的速度和性 能较落后，使用的范围也不广，再加上美国政府把它当作敏感f o 题而施加控制， 因此，有关信息安全的研究一直局限在比较小的范围内。进入8 0 年代后，计算 机的性能得到了成百上千倍的提高，应用的范围也在不断扩大，计算机已遍及 世界各个角落。并且，人们利用通信网络把孤立的单机系统连接起来，相互通 信和共享资源。但是，随之而来并日益严峻的问题是计算机信息的安全问题。 人们在这方面所做的研究与计算机性能和应用的飞速发展不相适应，因此，它 已成为未来信息技术中的主要问题之一。由于计算机信息有共享和易于扩散等 特性，它在处理、存储、传输和使用上有着严重的脆弱性，很容易被干扰、滥 用、遗漏和丢失，甚至被泄露、窃取、篡改、冒充和破坏，还有可能受到计算 机病毒的感染。国际标准化组织( i s o ) 将“信息系统安全”定义为：“为数据 处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不 因偶然和恶意的原因而遭到破坏、更改和泄露。”此概念偏重于静态信息保护。 也有人将“信息系统安全”定义为：“计算机的硬件、软件和数据受到保护，不 因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行。”该定义着 重于动态意义描述。信息系统安全的内容应包括两方面：即物理安全和逻辑安 全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑 安全包括信息完整性、保密性和可用性。 信息入侵者无论采用什么手段，他们都要通过攻击信息的安全属性来达到 目的。所谓“信息安全”，在技术的含义就是保证在客观上杜绝对信息属性的安 全威胁，使得信息的主人在主观上对其信息的本源性放心。信息安全的三种基 本属性是： 。完，整性( i n t e 鲥t y ) 完整性是指信息在存储或传输过程中保持不被修改、不被破坏、不被插入、 第7 页 i ! 王! ! 垫叁兰堡! ：圭些丝塞= 堕垫塞竺旦堕堕墼型堕鳖生皇兰塑 _ 一 不延迟、不乱序和不丢失的特性。对于军用信息来说，完整性被破坏可能意味 着延误，钱机、自相残杀或闲置战斗力。破坏信息的完整性是对信息安全发动攻 击的目的之一。 可用性( a v a l i a b i l i t y ) 可用性是指信息可被合法用户访问并按要求顺利使用的特性，即指当需要 时可以取用所需信息。对可用性的攻击就是阻断信息的可用性，例如破坏网络 和有关系统的正常运行就属于这种类型的攻击。 保密性( c o n f i d e n t i a l i t y ) 保密性是指信息不泄漏给非授权的个人和实体，或供其n , n 的特性。军用 信息安全尤为注重信息的保密性( 比较而言，商用则更注重信息的完整性) 。 近年来，国内外有人认为技术上的信息安全属性应有“四性”或“五性”， 即增加信息的 。可控性( c o n t r o l a b i l i t y ) 可控性是指授权机构可以随时控制信息的机密性，美国政府所提倡的“密 钥托管”、“密钥恢复”等措施就是实现信息安全可控性的例子。 。可靠性( r e l i a b i l i t y ) 可靠性指信息以用户认可的质量连续服务于用户的特性( 包括信息的迅速、 准确、连续的转移等) ，但也有人认为可靠性是人们对信息系统而不是对信息本 身的要求。 1 2 确保信息系统安全的意义 在当今的信息社会中，信息系统的安全对于整个社会都具有极其重要的意 义，大到国家，d , n 个人，以及公司，企业，其信息系统的安全性都需要得到 充分的保护。 国家与个人： 在国家和国防都依重信息体系的当代，必须保证信息安全。信息安全事关 政权的巩固、国防的强大，直接关系到国家安全。国家国防信息的命根就在于 安全。信息的保密与安全，跟各国的国防建设和国计民生息息相关，它严重影 响着国家的安危、战争的胜负、外交斗争的成败、经济竞争的输赢。人们希望， 第8 页 ! ! 王! ! 塑盔兰! ! ：! 兰些堡兰二堕堑窒全堕塑墨竺盟墼生兰茎型一 大至国家决策和军事行动，小到家庭状况( 如存款数目) 和个人隐私( 如健康 水平) 等机密或敏感信息都能得到充分的合法保护。 公司与企业： 在当今的电子信息时代，大多数公司和企业的日常商业行为都建立在电子 数据的基础之上。电子数据广泛的存在于产品信息，商业合同，金融交易，统 计数据等等之中，假如一旦这些电子数据泄露到竞争者手中，或者出现错误， 毁坏，虚假甚至消失，那将会是怎样一种情况，后果又将会如何呢? 夺顾客或者财务信息的泄露将会影响信誉。 夺商业信息的泄露将会给竞争者们可乘之机，使之能够制定更有针对性 的市场战略。 夺竞争者可以发动一场不可见却又很有效的信息攻击，影响你的顾客或 财务信息，影响你的市场信誉，从而扩大自己的市场份额。 而在当今的网络时代里，网络安全已经成为信息系统安全中一个重要的组 成部分，在很多时候，网络安全已经成为信息系统安全的代名词。 1 3 网络安全现状 信息系统处于攻击之下已经几十年了，但安全问题在过去并没有被大多数 人所重视，而在今天却受到越来越多的人的关注，这其中甚至包括对计算机一 无所知的普通大众，原因究竟何在呢? 1 从来没有象现在这样有如此多的电脑通过网络相连，网络的巨大范围 使得安全管理员很难，甚至不可能觉察到攻击行为，以及判断其来源。 2 大量的廉价却很好用的攻击工具充斥于网络中，自动化攻击工具大量 泛滥，几年前仅仅适用于高智能范围的工具已经能够从商业途径购买 并使用。而使用这些工具并不需要很高的技术水平，这使得一个普通 的攻击者也可以对系统造成巨大的危害。 3 攻击技术的普及使得高水平的攻击者越来越多，反而言之，安全管理 员面f 临着巨大的挑战，我们的系统面i 临的安全威胁也越来越大。 4 病毒在最近的一两年以惊人的速度发展，一个新病毒在一夜之间就可 以通过网络传到整个信息世界，很少有公司或企业没有受到病毒的感 第9 页 t ! 王生! 垫点堂堡：生望些望塞二型垫窒全堕塑墨竺堕丝旦兰兰堡一 染和影响。 综上我们可以看出在当今的网络时代，信息安全问题已经突出的表现在了 网络安全方面，即如何在一个开放的网络环境中保证信息的安全，保证整个信 息系统的正常运行。这也正是本文论述的重点。 薷1 0 页 ! ! 王! ! 垫盔兰堡圭堂些堡苎二型堡窒全堕塑墨堕堕丝旦型! 生一 第二章典型攻击行为技术特点分析及应对 措施 安全与攻击之间存在着不可分割的因果关系，如果在信息世界中不存在攻 击行为，我们还需要在这里讨论安全吗? 似乎没有太多的必要了，所以在本文 中，我们将把攻击放在前面，在讨论网络安全防御系统方案之前，先分析一下 目前因特网上各种黑客攻击方法的技术特点，本章将对每种攻击方法的技术原 理作以简单的分析，并提出相应的应对措施。 2 1 拒绝服务d o s ( d e n i a lo f s e r v i c e ) 2 1 1 淹没( f l o o d i n g ) 是指黑客向目标主机发送大量的垃圾数据或者无效的请求，阻碍服务器的 为合法用户提供正常服务。 典型的情况是“半开的s y n ”连接请求拒绝服务攻击( 称为s y nf l o o d i n g ) 。 对于每个t c p 连接请求，t c p 协议实现时要为该连接请求保留一定的存储空间。 由于存储空间有限，而且黑客可以采用1 p 地址欺骗的办法，伪造s y n 请求的 源地址并大量地发出这样的请求，使得服务器认为连接请求是来自不同的用户。 因为服务器需要等待某个连接请求的确认，并认为请求过期是需要一定的时间 的，在得到客户端确认之前服务器将一直保留对应的存储空间，但是黑客却大 量发出无效的连接请求s y n ，当服务器接收到超过其存储能力的t c p 连接请求 数量后，便不能再接收任何请求，包括合法用户的正常请求。 2 1 2 s m u r f i n g 拒绝服务攻击 s r fin g 拒绝服务攻击的主要原理 黑客使用i p 广播和i p 欺骗使f l o o d i n g 攻击的效果倍增，使用伪造的i c m p e c h or e q u e s t 包发往目标网络的i p 广播地址。s m u r f i n g 攻击的原理如图2 1 所示。 c m p 是用来处理错误和交换控制信息的，并且可以用来确定网络上的某台 。 第1 l 页 ，! 至! ! 丝盔兰堡! ：主些堡苎二塑堡室全堕塑! 墨垄塑生兰型- 二一 主机是否响应。在一个网络上，可以向某个单一主机也可以向局域网的广播地 址发送i p 包。当黑客向某个网络的广播地址发送i c m pe c h o r e q u e s t 包时， 如果网络的路由器对发往网络广播地址的i c m p 包不进行过滤，则网络内部的 所有主机都可以接收到该i c m p 请求包，并且都要向i c m p 包所指示的源地址 回应以i c m pe c h or e p l y 包。如果黑客将发送的i c m p 请求包的源地址伪造 为被攻击者的地址，则该网络上所有主机的i c m pe c h or e p 【，y 包都要发往被 攻击的主机，不仅造成被攻击者的主机出现流量过载，减慢甚至停止正常的服 务，而且发出i c m p 回应包的中间受害网络也会出现流量拥塞甚至网络瘫痪。 可以说，s m 啪n g 攻击的受害者是黑客的攻击目标，和无辜的充当黑客攻击工 具的第三方网络。 图2 - l ：s m 啪n g 攻击的图示 注释：图中实线部分表示黑客发出的i c 伊包，虚线部分表示对目标攻击的i c m p 包 s m u r f 攻击的小结 s m u r f 攻击的影响面 s m u r f 攻击使得被黑客利用的“无辜”中问网络和被攻击的目标，无论是 它们的内部网络还是与因特网的连接，网络性能都受到影响，严重时整个网络 都无法使用。而且，为这些网络提供服务的中小i s p ，也会因此减低其网络效 薷1 2 页 ! ! 三壁丝盔兰堡兰生些堡苎= 型垫壅全堕塑墨苎苎丝堕三兰堡一 率和服务性能。对大型的i s p 而言，其骨干网可能会出现流量饱和的现象而部 分影响其服务质量。 被黑客利用进行攻击的“无辜”中间网络应采取的措施 夺配置路由器禁止i p 广播包进网。在几乎所有的情况下，这种功能 是不必要的。应该要在网络的所有路由器上都要禁止这种功能，而 不仅仅在与外部网络连接的路由器上禁止。例如，网络上有五个路 由器连接着十个l a n ，应在这五个路由器上都禁止i p 广播包的通 过。 夺配置网络上所有计算机的操作系统，禁止对目的地址为广播地址的 i c m p 包响应。虽然对路由器进行了禁止网外的i c m p 广播包的进 入，但是黑客很可能已经攻破了网络内部的某台主机，黑客仍然可 以使用网络上这台被他控制的这台主机发起s m u r f 攻击。 被黑客攻击的目标应采取的措施 对被攻击的目标而言，要防止接受到大量的i c m pe c h or e p l y 包的攻击 没有一个简单的解决办法，甚至要防止受到其他类型的d o s 攻击都没有太好的 办法，y a h o o ! 等站点被d o s 攻击这一事实就说明了这一点。虽然可以对被攻 击网络的路由器进行配置，禁止i c m pe c h or e p l a y 包的进入，但这并不能 阻止网络路由器到其i s p 之间的网络拥塞。这样，较为妥当的解决办法是与其i s p 协商，由i s p 暂时阻止这样的垃圾流量。另外，被攻击目标应及时与被黑客利 用而发起攻击的中间网络管理员联系。 黑客攻击实际发起的网络应采取的措施 对于从本网络向外部网络发送的数据包，本网络应该将目的地址为其他网 络的这部分数据包过滤掉。虽然当前的i p 协议技术不可能消除i p 伪造数据包， 但使用过滤技术可以减少这种伪造发生的可能。 2 1 3 分片攻击( f r a g m e n t a t t a c k s ) 这种攻击方法利用了t c p i p 协议的弱点，第一种形式的分片攻击是，有一 些t c p p 协议实现中，对i p 分段出现重叠时并不能正确地处理。例如，当黑 客远程向目标主机发送i p 的片段，然后在目标主机上重新构造成一个无效的 第1 3 页 ! ! 王! ! 垫叁兰堡! 兰些堡兰二型堑窒全堕塑墨篓型生兰兰些一 u d p 包，这个无效的u d p 包使得目标主机处于不稳定状态。一旦处于不稳定 状态，被攻击的目标主机要么处于蓝屏幕的停机状态，要么死机或重新启动。 类似这样的黑客攻击工具有：t e a r d r o p ，n e w t e a r ，b o n k 和b o i n k 等a 第二种形式的分片攻击是，一些t c p i p 的实现对出现一些特定的数据包会 呈现出脆弱性。例如，当黑客远程向目标主机发出的s y n 包，其源地址和端口 与目标主机的地址和端口一致时，目标主机就可能死机或挂起。典型这样的黑 客工具是：l a n d 。 2 1 4 带外数据包攻击n u k i n g ( o u t o fb a n d ) 向一个用户w i n d o w s 系统的1 3 9 口( n e t b i o s 的端口) ，发送带外数据包o o b ( 垃圾数据) ，w i n d o w s 不知如何处理这些o o b ，可以远程造成该用户系统运 行异常。对方用户只有重新启动才能正常工作。 2 1 5 分布式拒绝服务攻击d d o s 传统d o s 攻击的缺点是： 受网络资源的限制。黑客所能够发出的无效请求数据包的数量要受到其 主机出口带宽的限制； 隐蔽性差。如果从黑客本人的主机上发出拒绝服务攻击，即使他采用伪 造i p 地址等手段加以隐蔽，从网络流量异常这一点就可以大致判断其 位置，与i s p 合作还是较容易定位和缉拿到黑客的。 而d d o s 却克服了以上两个致命弱点。 隐蔽性更强。通过间接操纵因特网上“无辜”的计算机实施攻击，突破 了传统攻击方式从本地攻击的局限性和不安全性。 攻击的规模可以根据情况做得很大，使目标系统完全失去提供服务的功 能。所以，分布式网络攻击体现了对黑客本人能力的急剧放大和对因特 网上广阔资源的充分利用。由于攻击点众多，被攻击方要进行防范就更 加不易。对y a h o o ! 等世界上最著名站点的成功攻击证明了这一点。 第1 4 页 ! ! 至! ! 丝盔兰堡主望些堡兰= 堕竺窒全堕塑墨堕竺坠生! ! 壅盟 2 1 6 拒绝服务攻击小结 分布式网络攻击d n a ( d i s t r i b u t e dn e t w o r ka t t a c k s ) 成为黑客的主要攻 击手段，这也是未来连接在因特网上机构所面临的严重威胁之一。d n a 攻击形式是随着因特网快速发展的必然结果。现在是d d o s 攻击，那么 下一次攻击也许就是分布式欺骗( d i s t r i b u t e ds p o o f i n g ) 、分布式监听 ( d i s f i b u t e ds n i f f i n g ) 、或者是分布式分段攻击( d i s t i b u t e df r a g m e n t a t i o n a t t a c k ) 。 从根本上还是要维护好上网主机的安全性。 i s p 与i s p 之间、i s p 与网络管理员管理员之间相互协调合作，共同对 付d o s 。 2 2 恶意软件( m a l i c i o u ss o f t w a r e ) 2 2 1 逻辑炸弹( l o g i c a lb o m b ) 它是一种程序，在特定的条件下( 通常是由于漏洞) 会对目标系统产生破 坏作用。 2 2 2 后门( b a c k d o o r ) 它是一种程序，允许黑客远程执行任意命令。一般情况下，黑客攻破某个 系统后，即使系统管理员发现了黑客行为并堵住了系统的漏洞，为了能够再次 访问该系统，黑客往往在系统中安放这样的程序。 2 2 3 蠕虫( w o r m ) ， 它是一种独立的程序，能够繁殖并从一个系统到另一个系统传播其自身的 拷贝，通常在整个网络上。像病毒一样，蠕虫可以直接破坏数据，或者因消耗 系统资源而减低系统性能，甚至使整个网络瘫痪。最著名的就是1 9 8 8 年m o 耐s 因特网蠕虫事件。 第1 5 页 ! ! 王盟垫查堂堡主兰些堕兰= 塑塑窒全堕塑墨竺塑壁生! ! 兰些一 2 2 4 病毒( v i r u s ) 它是一种程序或代码( 但并不是独立的程序) ，能够在当前的应用中自我复 制，并且可以附着在其他程序上。病毒也能够通过过度占用系统资源而降低系 统性能，使得其他合法的授权用户也不能够正常使用系统资源。 2 2 5 特洛伊木马( t r o j a n ) 一种独立的、能够执行任意命令的程序。特洛伊木马往往能够执行某种有 用的功能，而这种看似有用的功能却能够隐藏在其中的非法程序。当合法用户 使用这样合法的功能时，特洛伊木马也同时执行了非授权的功能，而且通常篡 夺了用户权限。 2 2 6 恶意软件攻击方法小结 恶意软件通常能够造成严重的安全威胁，秘密的信息可以被截获和发送到 敌手处，关键的信息可以被修改，计算机的软件配置可以被改动以允许黑客进 行连续的入侵。 排除恶意软件的威胁代价是高昂的。采取预防措施和教育用户所花费的代 价，要比被攻击后恢复的代价要低的多。 第一，制定一个保护计算机防止被病毒等恶意软件威胁的计划。 这样的计划应该包括要保护计算机被病毒和其他恶意软件威胁，系统管理员 和合法用户应该拥有的明确责任。例如，确定谁有权在计算机上下载和安装软 件：谁负责检测和清除恶意软件，用户还是管理员；禁止用户运行从e m a i l 上接收到的可执行文件、禁止从公共站点上下载软件等。 第二，安装有效的反病毒等工具。 要考虑反病毒等工具要进行脱线备份，以防止它们可能被病毒等恶意软件修 改而失去检测功能。应积极地经常在线检测，同时也要不时进行脱线检测，以 确保在线检测工具的正常功能。一般情况下，这种方法在初始安装和配置操作 系统时最为可靠。 第三，教育用户预防和识别病毒等恶意软件的技术 用户应该接受诸如病毒等恶意软件传播及防止它们进一步传播的教育。这包 蒴1 6m ! ! 王! ! 垫点兰堡主兰些笙苎= 塑堡窒全堕塑墨竺堕丝旦三型型生一 括教育用户在装载和使用公共软件之前，要使用安全扫描工具对其进行检测。 另外，许多病毒等恶意软件有一定的特点，用户应该得到一定的识别知识，并 且能够使用适当的软件清除。最好能够及时进行新类型的安全威胁以及入侵方 面的教育。 第四，及时更新清除恶意软件的工具 许多反恶意软件的工具，如反病毒软件，使用已知恶意软件特征的数据库， 而新类型的恶意软件不断地出现，因此，检测软件应该不断地更新以确保有最 新的检测版本。否则，结果是只能自认为安全的自欺欺人。 2 3 利用脆弱性( e x p l o i t i n g v u l n e r a b i l i t e s ) 2 3 1 访问权限( a c c e s sp e r m i s s i o n s ) 黑客利用系统文件的读写等访问控制权限配置不当造成的弱点，获取系统 的访问权。 2 3 2 蛮力攻击( b r u t ef o r c e ) 黑客通过多次尝试主机上默认或安全性极弱的登录d 令，试登录到某个帐 号。还有一种形式是采用口令破解程序，对用户加密后的口令文件进行破解， 如使用c r a c k e r 、l 0 p h t c r a c k e r 、n t c r a c k 等破解软件。 2 3 3 缓冲区溢出( b u f f e ro v e r f l o w ) 一种形式的缓冲区溢出攻击是黑客本人编写并存放在缓冲区后任意的代 码，然后执行这些代码。这对黑客的技术水平要求很高，一般的黑客少有此举。 另一种形式的缓冲区溢出攻击是程序代码编写时欠考虑。典型的一种形式 是对用户输入的边界检查问题。例如，c 语言中，函数f g e t ( ) 不对用户输入 的数量进行检查，如果程序员不考虑这个情况就会出问题。统计表明，在操作 系统和应用软件中，因为编写的原因，其中约有3 0 的代码存在着缓冲区溢出 的漏洞。这就是为什么现在针对缓冲区溢出的攻击事件不断地发生的主要原因。 有理由相信，随着某些操作系统和应用软件源代码的公布，还会有更多的类似 第1 7 页 ! ! 三! ! 垫盔堂堕! 望些笙苎二型垒窒全堕塑墨竺堕旦型兰茎里生一 攻击事件的发生。 2 3 4 信息流泄露( r a c e c o n d i t i o n ) 黑客利用在某个程序执行时所产生的某些暂时的不安全条件，例如在执行 s u i d 时执行用户具有同被执行程序的属主同等权限，这样执行用户就可以获得 对某些敏感数据的访问权。 2 3 5 利用脆弱性小结 计算机和计算机网络构成了一个复杂的大系统，这个大系统内部又有各种 型号和计算机、各种版本的服务和各种类型的协议构成，不可能保证计算机系 统的硬件、软件( 操作系统和应用软件) 、网络协议、系统配置等各方面都完美 无缺，黑客就能够发现并利用这些缺陷来进行攻击。 解决这方面的问题，一是教育，教育用户树立安全意识，如注意口令的设 置、正确配置设备和服务等；二是不断地升级系统软件和应用软件妁版本，及 时安装“补丁”软件。 2 4 操纵i p 包( i pp a c k e tm a n i p u l a t i o n ) 2 4 1 端口欺骗( p o r ts p o o f i n g ) 利用常用服务的端口，如2 0 5 3 8 0 1 0 2 4 等，避开包过滤防火墙的过滤规则。 2 4 2 划整为零( t i n yf r a g m e n t s ) 黑客将正常长度的数据包分解为若干小字节的数据包，从而避开防火墙过 滤规则，如对f l a g p o r t s i z e 等的检测规则等。 2 4 3 “盲”l p 欺骗( b l i n di ps p o o f i n g ) 改变源i p 地址进行欺骗。这种i p 欺骗称为“盲”i p 欺骗，是因为黑客修 改其发送数据包的源地址后，不能与目标主机进行连接并收到来自目标主机的 响应。但是，这种“盲”i p 欺骗往往是黑客能够事先预计到目标主机可能会做 第1 8 页 i ! 王盟丛生兰型! 望些笙兰二坚塑室全堕塑墨篓塑壁生! 盎些一 出的响应，从而构成其他攻击的组成部分。例如，前面所将到的s m u r f 攻击， 黑客事先预计到网络上的计算机会对i c m p 广播包做出响应，从而达到攻击预 定目标的目的。而黑客本人却无意接收网络上计算机的任何回应。 容易受到i p 欺骗攻击脆弱的服务包括：s u n r p c & n f s ；b s d u n i x “r ” 命令；xw i n d o w s 其他任何使用i p 地址认证的应用。 对i p 欺骗攻击的防范中，路由器的正确设置最为关键和重要。如果路由器 没有正确设置，对声称源地址是本网络的进网数据包不进行过滤，则容易使i p 欺骗攻击得逞。 下面三种路由器配置情况下，都可能遭致“盲”i p 欺骗攻击： 在应用代理防火墙中，应用代理使用源i p 地址进行认证； 为了支持将内部网络再划分为予网，配备具有两个接口的路由器； 与外部不可信网络相连的路由器支持多个内部接口 盲i p 欺骗可能造成严重的后果，基于i p 源地址欺骗的攻击可穿过过滤路由 器( 防火墙) ，并可能获得受到保护的主机的r o o t 权限。 针对这种攻击行为可以采取以下措施： 检测 夺使用网络监视软件，例如n e t l o g 软件，监视外来的数据包。如果发 现外部接口上通过的数据包，其源地址和目的地址与内部网络的一 致，则可以断定受到i p 欺骗攻击； 夺另一个办法是比较内部网络中不同系统的进程统计日志。如果i p 欺骗对内部某个系统进行了成功地攻击，该受到攻击主机的日志会 记录这样的访问，“攻击主机”的源地址是内部某个主机；而在“攻 击主机”上查找日志时，却没有这样的记录。 防治措施 防治“盲”i p 欺骗攻击的最佳办法是：安装配置过滤路由器，限制从外部 来的进网流量，特别是要过滤掉那些源地址声称是内部网络的进网数据包。不 仅如此，过滤路由器还要过滤掉那些声称源地址不是本网络的出网数据包，以 防止i p 欺骗从本网络发生。 ! ! 王盟垫查堂塑! ：望些堡苎= 塑竺窒全堕塑墨竺塑丝生兰苎些一 2 4 4 序列号预测( s e q u e n c e n u m b e r g u e s s i n g ) 某些主机产生的随机序列号不够随机，这也就意味着不安全。黑客通过分 析和发现随机序列的产生规律，计算出该主机与服务器连接时的t c ps e q a c k 序列号，即可欺骗服务器并与之建立“合法”的连接，如微软的w i n d o w s 系列 中即有这样的问题，其t c p 序列号是根据本机系统时间产生的。 防治措施 防卫序列号预测入侵最有效的方法是确保你的路由器，防火墙，及所有服 务器中拥有全面的审计跟踪保护，由于序列号预测入侵方式是攻击者不断的测 试可能的顺序号，所以访问被拒绝的行将在你的系统日志中不断出现，运用你 的审计跟踪系统，将可以在这种访问被拒绝行出现到一定次数时，为你报警， 并及时切断入侵者的连接。 2 5 内部攻击( a t t a c k s “f r o m t h ei n s i d e ”) 所谓的“f r o mt h ei n s i d e ”有两方面的含义：一方面可以指是内部人员；另 一面是指网络黑客控制了远程网络上某台主机后的所做所为。 2 5 1 “后门”守护程序( “b a c k d o o r ”d a e m o n s ) 黑客成功入侵了远程网络上某台计算机后( 一般指的是拥有管理员权限， 或r o o t 权限) ，为了达到其进一步访问或进行其他攻击的目的，往往在该主机上 安装某些特定的软件，例如守护程序d a e m o n 。同c s 服务模式一样，守护程序 开放该主机上的某个端口，并随时监听发送到该端口的来自黑客的命令，允许 黑客更进一步的远程访问或进行其他的攻击。例如，二月份对y a h o o ! 等站点 发生的d d o s 攻击，前提是黑客入侵并控制了许多因特网上的计算机，并在这 些主机上安置了守护程序，听从黑客的统一指挥，并且在指定的时间发出对目 标主机的统一攻击。 2 5 2 日志修改( l o gm a n i p u l a t i o n ) 在被攻击的计算机日志等事件记录装置上修改黑客非法入侵访问和攻击的 第2 0 贝 ! ! 至! ! 丝查兰堡! 兰些丝塞二型塑塞全堕塑墨竺堕丝旦二苎坠生一 踪迹，这是一名黑客必须具备的基本能力之一。事实上，修改日志文件是黑客 学习的第一件事情，其道理是显然的。因为，计算机系统的事件记录装置，如 r 志文件等，就如同记录了黑客的“指纹”。黑客攻击发生后，日志中的信息就 成为缉拿黑客的最主要的线索之一，并且也是将黑客定罪的重要证据。因此， 黑客甚至在攻击发生之前就应该预计到如何更改日志文件。 现在，有许多修改日志的黑客工具，如u t c l e a n 是可以消除黑客留在w t m p 、 w t m p x 、u t m p 、u t m p x 和l a s f l o g 中黑客“痕迹”的工具。类似的还有r e m o v e 、 m a l t y 等工具。 2 5 3 隐蔽( c l o a k i n g ) 如果黑客在被其入侵的计算机上安装了诸如后门守护程序等为其服务的特 殊软件，往往是该主机一开机后就运行着一个或多个进程。主机的系统管理员 使用通用的工具，例如p s ，就可以显示出当前主机上运行着的所有进程，从而 暴露了主机遭到黑客入侵这一事实。这是黑客不愿意看到的。因此，黑客要使 用特洛伊化的文件替代系统文件，不显示在正常情况下应该显示的信息，如当 前运行的进程等，从而隐藏黑客的非法访问迹象。r o o t l d t 就是这样的工具。 2 5 4 窃听( s n i f f i n g ) 监听网络数据，过滤和记录敏感信息，如口令和帐号等。黑客必须能够在 某个网络上成功地控制一台主机，并在该主机上安装嗅探器( s n i f f e r ) ，然后在 合适的时间取回嗅探器的记录信息。 2 5 5 “非盲”欺骗( n o n - b l i n ds p o o f i n g ) 这同“盲”欺骗有根本的区别。因为“盲”欺骗不能够获得从被欺骗的目 标发送回来的响应，即黑客不可能与被欺骗目标主机建立真正的连接。 而在“非盲欺骗”中黑客使用数据监听等技术获得一些重要的信息，比如 当前客户与服务器之间t c p 包的序列号，而后或通过拒绝服务攻击切断合法客 户端与服务器的连接，或在合法客户端关机时，利用i p 地址伪装，序列号预测 等方法巧妙的构造数据包接管当前活跃的连接或者建立伪造的连接，以获取服 第2 l 页 ! ! 王! ! 丝查兰塑，! 兰些堡兰二塑堡窒全! 堕墨竺堂型望! 兰里l 一 务器中的敏感信息，或以合法用户权限远程执行命令。 2 6 c g i 攻击 从c e r t 等安全组织的安全报告分析，近期对c g i 的黑客攻击发生的较为 频繁。针对c g i 的攻击，从攻击所利用的脆弱性、攻击的目标和所造成的破坏 等各方面都有所不同。具体来说大致有以下两种类型的c g i 攻击。 2 6 1 低级c g l 攻击 黑客可以获得系统信息或者口令文件、非法获得w w w 服务、获得服务器 的资源，有时甚至获得r o o t 权限。 这种情况的c g i 攻击发生的一个重要原因是：服务器上运行着不安全的c g i 脚本。如果是这样，则可能给黑客查询本服务器信息提供了方便，例如，可以 根据黑客的提交，查询某个文件是否存在；可以给黑客发送本机的口令文件等； 第二个重要原因是：h t t p d 以r o o t 方式运行。如果是这样，那么一旦h t t p d 出现任何形式的漏洞都将是致命的。因为任何漏洞都可使黑客拥有r o o t 的权限。 第三个重要原因是：使用了安全性脆弱的口令。 应该采取的措施包括：更新软件：定期进行w w w 安全检查。 2 6 2 高级c g l 攻击 黑客可以获得数据库访问权( 获得用户的资料) 、获得r o o t 权限，还可以修 改页面。 这种情况的c g i 攻击发生的原因：一是服务器的c g i 脚本太过陈旧；二是 c g i 脚本编写不规范，或者是管理员自己编写的c g i 脚本。这样的攻击所造成 的损害会很严重，因为黑客有权篡改用户信息，进行非法交易等。另外，黑客 能够修改所造成的影响也比较广泛。所以，这样的c g i 攻击对电子商务服务器、 域名w e b 服务器、搜索引擎、以及政府站点等影响最大。 应该采取的措施包括：使用防火墙；定期进行w w w c g i 安全检 查和审计。 第2 2 撕 ! ! 至! ! 垫盔兰堡圭兰些堡兰= 堕竺窒全堕塑墨堕塑丝堕三型! 生一 第三章网络安全防御系统方案的设计过程 及安全策略 在各种攻击行为日益猖獗的情况下，如何为客户构建一个完善的网络安全 防御系统就成为一个迫切需要解决的问题，以下本文将根据作者的工作，重点 论述构建一个网络安全防御系统的整个过程，包括设计阶段，实现阶段，实现 过程中的技术细节，以及我们在其中所开发的安全产品一网络安全监测仪的功 能和实现描述。 3 1 确定方案的目标与用户职责 设计一个网络安全防御系统的方案，其目标首先在于定义整个系统中期望 的计算机和网络的正确使用策略，其次是防卫安全事故的程序以及发生安全事 故的解决程序，要完成整个方案，你必须考虑你的的系统的几个特定的方面， 所以需要首先执行以下步骤： 1 考虑你所在公司或企业的目标与方向，例如：一个军事基地有别于一个 大学，而一个商用系统的安全考虑与军事基地和大学会相差很远。 2 你所开发的方案必须与目前你的组织现存的方案，条例，法律等不相抵 触，所以开发时你必须将这些逐个考虑在内。 3 除非你的网络完全与外部物理隔断，否则，你应该在全球范围内考虑你 的网络安全问题的复杂性。你的安全措施应考虑到远程计算机问题，这 是一个相互的问题，即远程计算机对本地的影响，以及本地对外部远程 计算机的影响，也包括如何对未授权的远程计算机的响应问题。 所以建立一个网络安全防御系统的方案并不是一个人就能够完成的工作， 它可能以不同的方式涉及到你的组织中的每一个计算机用户，而你会发现每个 用户在整个安全方案的实施中都承担了重要角色。例如组织里的个人用户应对 个人口令管理负责，而系统经理和i s 专家则应检修安全漏洞和监视系统。 在你制定一个网络安全方案之前，确定每个用户为整个安全方案承担的责 任是非常重要的，安全方案的相关人员可能有多个责任层次，例如在每个层次 罩，每个用户都有保护私人帐号的职责，而系统管理员有另外的保证系统安全 第2 3 页 ! ! 王! ! 丝盔堂堡：! 生些丝壅= 型竺窒全堕塑墨垒堂坐! 兰皇兰婴一 的职责，网络管理者则又是另外一个层次。在你确定谁应参与系统开发和谁负