（计算机科学与技术专业论文）可扩展的网络安全扫描器的研究与实现.pdf

一望堕型堂丝查叁堂塑壅尘堕兰堡堡苎 摘要 f 计算机网络发展非常迅速，在社会的各个方面都得到了广泛的应用。然而，最初 的设计并没有从网络体系结构上保证网络的安全性，同时在系统软件和应用软件中也 存在着很多的安全问题，这些都阻碍了网络的迸一步发展。为此，人们从多个方面对 ：皇全问题展开了大量的研究工作 本文从一个新的角度来研究网络安全，这种新方法就是通过主动探测的方式发现 目标网络中存在的安全问题，使用有针对性的措施解决各个安全漏洞问题。 沦文首先概括地介绍了网络安全的有关内容，包括计算机网络面临的安全问题、 汁算机网络对安全提出的各种要求、和具有普遍意义的安全解决原则和方案，并详细 地分析了各种常见的网络攻击手段，提出了各种可能的解决办法。f 然后从入侵者的角 霞剖瓠了攻击的步骤和主要方法，提出了“安全评估”这种解决阿络安全问题的新思 路，并且根据这种思路没计实现了一个网络安全扫描器n s s c a n n e r 。n s s c a n n e r 包括两 小部分内部扫描程序和扫描工具，它具有良好的可扩展性和快速性。实际应用表明 n s s c a n n e r 具有较好的实用性，能为管理员实施最弱连接的安全策略提供具体指导。 n s s c a n n e r 中仍存在一些不足，如扫描工具不够丰富和增加工具不够方便等，需 、 要下一步工作加强解决。1 关键词：网络安全、扫描器、安全评估、网络攻击、主动检测 第1 页 国防科+ 亨技术火。1 产研究生院学伊论文 _ _ _ 一一 a b s t r a c t c o m p u t e r n e t w o r kd e v e l o p sv e r yq u i c k l ya n di th a sb e e nw i d e l ya p p l i e di nm a n yf i e l d s b u tt h e o r i g i n a ld e s i g no fn e t w o r ka r c h i t e c t u r e d o e sn o tg u a r a n t e et h es e c u r i t y , a n dt h e s o f t w a r e ，i n c l u d i n gs y s t e ms o f t w a r ea n da p p l i c a t i o n s ，h a sm a n ys e c u r i t yv u l n e r a b i l i t i e s a l l o ft h e s ea r eh u r d l e sf o rt h ef u r t h e rd e v e l o p m e n to fn e t w o r k f o rt h i sr e a s o np e o p l eh a v e m a d eai o to fr e s e a r c hw o r ko ni t t h i sp a p e rp r e s e n t san e wm e t h o dt or e s e a r c hn e t w o r ks e c u r i t y t h a ti st of i n dt h e e x i s t i n gs e c u r i t yp r o b l e m si n t h ed e s t i n a t i o nn e t w o r kt h r o u g ha c t i v ep r o b e sa n du s et h e r e s c u em e t h o d st or e s o l v ea l lo ft h ef o u n d s e c u r i t yv u t n e r a b i l i t i e s t h et h e s i sf i r s ti n t r o d u c e st h ec o n t e n ta b o u tt h en e t w o r ks e c u r i t yt h a ti n c l u d e st h e s e c u r i t yp r o b l e m st h en e t w o r kf a c e s ，t h er e q u i r e m e n t st h en e t w o r kn e e d s a n dt h eg e n e r a l s e c u r i t yr e s o l u t i o np r i n c i p l e sa n dm e t h o d s t h e nt h em e c h a n i s m so ft h en e t w o r ka t t a c kt o o l s c o m m o n l yu s e da r ea n a l y z e da n dt h ep o s s i b l er e s o l v em e t h o d sa r ea l s og i v e na f t e rt h a t ，t h e t h e s i s a n a l y z e st h es t a g e sa n dt h em a i nm e t h o d so fa t t a c k ，a n dp r e s e n t st h en e wi d e a s e c u r i t y a c c e s s ”t or e s o l v en e t w o r ks e c u r i t y o nt h ef o u n d a t i o no ft h i st h e p r o j e c t d e s i g n sa n di m p l e m e n t san e t w o r ks e c u r i t ys c a n n e r - - - n s s c a n n e r n s s c a n n e rh a st w op a n s t h a ta r et h ei n t e r n a ls c a n n i n gp r o g r a n a n dt h es c a n n i n gt o o l s i tc a nb ee x t e n d e de a s i l ya n d 1 3 1 n sv e r yq u i c k l y i ti sp r o v e dt h a tn s s c a r m e r i sa g o o d t o o lf o rn e t w o r k s e c u r i t ya n d i tg i v e s g u i d e sf o ra d m i n i s t r a t o r st oi m p l e m e n t t h ew e a k e s tc o n n e c t i o n ”s e e u g t y p o l i c y b u tn s s c a r m e rh a ss o m ef l a w s ，s u c ha st h es c a n n i n gt o o l sa r en o ta d e q u a t ea n dt h e m e c h a n i s mt oa d dn e w s c a n t l i n gt o o li s n o tc o n v e n i e n t a l lo ft h e s es h o u l db ei m p r o v e di n f u t u r ew o r k k e y w o r d ：n e t w o r ks e c u r i t y , s c a n n e r , s e c u r i t ya c c e s s ，n e t w o r ka a a c k ，a c t i v ep r o b e 第1 i 页 国防科学技术人学研究生院学位论文 引言 网络在我国得到了迅猛的发展，去年国内掀起了政府上网热，很多重要单位和部 门都上了因特网这列信息快车，今年又迎来了电子商务年。网络给人们的生活带来了 很大的方便，但是网络日益广泛的应用也向人们提出了更多的挑战，如何解决好网络 安全问题就是一个非常重要而又非常困难的课题。 计算机网络面临很多的安全威胁，包括计算机入侵者的恶意攻击，公司内部人员 的非法操作或报复行为，国家政府之间的信息战等等，人们对于计算机安全的研究已 有较长的历史，提出了很多行之有效的安全策略，例如身份认证、访问控制、加密 解密等方法，这些都是从研究者和信息保护者的角度来考察安全问题，其实质是构筑 一个峰固的防护屏障，将各种信息置于保护屏障之后。 计算机安全是入侵者与系统管理员之间的斗争，仅仅从任何一方考虑问题都是不 够的，需要将二者有机地结合起来。有一句很通俗的话说：“解决计算机安全首先需 要研究不安全”，它向我们提示了一种解决安全问题的新思路，即站在入侵者的角度 束考虑系统安全，这种方法要求我们模仿入侵者的常用手段攻击目标系统，按照他们 的思路全面了解系统的各种脆弱点，并采用相应的补救措施解决系统中存在的这些漏 洞。使用这种方法可以加强网络和系统的安全性，避免入侵者再次利用这些漏洞侵入 系统，因此，根据这种思路研究安全问题，设计出方便实用的软件工具对解决安全问 题是很有意义的。事实证明，将传统的安全解决方案和这种新的安全解决办法结合使 用可以极大地提高系统的安全性。实际上，目前很多网络安全领域的公司在他们提供 的安全解决方案中都包括了这样的产品，如n a t 的c y b e r c o ps c a n n e r 、i s s 的i n t e m e t s c a n n e r 扫描器和c i s c o 的n e t s o n a r 等。 本课题仔细分析了网络和系统的安全要求以及各种常用的安全解决方法，对攻击 者入侵系统的攻击步骤和攻击手段及其实现机制也做了全面的分析，在此基础上设计 并实现了一个网络安全扫描器n s s c a n n e r 。我们在实际的使用过程中，利用该扫描器 发现了网络和系统中存在的一些安全漏洞，实践证明我们实现的扫描器有较高的实用 价值，具有速度快、可扩展、安全性好、和用户界面友好等特点，只要能够及时跟踪 各个主要的安全漏洞列表，不断更新扩充新的扫描内容，就可以保证扫描器的实用性， 第1 页 旦堕型兰壁查叁堂竺窒尘堕堂堡兰婆 发挥它在安全解决方案中的重要作用。 第2 页 国防科学技术人学研究生院学傅论文 第1 章计算机网络安全概述 1 1 计算机网络面临的安全问题 在最近的几十年时间里，计算机和网络技术及其应用得到了迅猛的发展和普及， 因特网作为世界上最大的互联网，已经连接着1 6 0 多个囤家和地区，上网的计算机已 魈过5 0 0 0 月台，人们在这个新的信息世界里交流通信，共享巨大的信息资源。然而， 资源其辜和信息安全从来就是一对矛盾，随着因特网的发展，网络资源共享的进一步 加强，随之而来的信息安全问题也同益突出。 目前，计算机网络面i 临着各种各样的威胁，这些威胁来自各个方面，有些属于偶 然的威胁，是因为用户失误或设备和设施工作失常产生的，也有的是产生于外界自然 医l 素，对这类偶然因素我们可以采取一定的措施加强教育，提高系统和网络的工作稳 ；董性，尽量避免这些问题的发生。 另一种威胁则是来自入侵者的主动攻击，他们的目的就是通过攻击使被攻击者蒙 受损失，或者使自己从中获取非法利益，这是最危险的一类问题。概括来说，这类威 胁可以分为以下若干类型： ( 1 ) 束自内部的入侵：内部入侵是成功侵入系统的最大的攻击源。这可能会引 起大家的震惊，调查结果表明，在所有的入侵事件中，来自内部的入侵占8 0 以上。 ( 2 ) 攻击者入侵：这主要来自一些爱好恶作剧的或试图证明自己能力的人。 ( 3 ) 不良信息的侵入：包括特洛伊木马程序和病毒程序的侵入。 ( 4 ) 访问秘密信息：包括秘密信息的泄露和修改网络的关键数据，这将可能造 成i n t e m e t 商业的经济损失，甚至国家机密的泄露。 ( 5 ) 造成网络瘫痪：这是通过使用拒绝服务攻击方法造成系统和网络无法响应 用户请求。 第3 页 国防科学技术人学研究生院学位论文 1 2 计算机网络的安全要求 1 2 1 计算机网络安全的本质 一个计算机网络通常涉及到很多因素，包括人、各种设施和设备、计算机系统软 件与应用软件、计算机系统内存储的数据等等，网络的运行需要依赖于这些因素的f 常工作，因此计算机网络安全的本质就是要保证这些因素避免各种偶然的和人为的破 坏与攻击，并且要求它们在被攻击的状况下能够发挥或尽快恢复下常的工作，保证系 统的安全可靠性。 汁算机网络安全包括以下几方面的内容： ( i ) 要保护系统和网络的资源免遭自然与人为的破坏； f2 ) 要明确网络系统的脆弱性与它的安全弱点； r 3 ) 要估计到对计算机系统和网络的各种威胁： r 4 j 要丌发与实施有效的安全策略，尽可能减少面临的各种风险； f5 ) 要准备适当的应急计划，使网络系统遭到破坏或攻击时能够尽快恢复i f 常 j 作： ( 6 ) 要定期检查各种安全管理措施的实施情况与有效性。 一j 移 院束，计算机网络系统的安全性越高，它需要的成本也就越高，因此系统管 理员还应该根据实际情况进行权衡，灵活地采取相应的措簏，使被保护的信息的价值 与付出的代价能够达到一个合理的水平。 1 2 2 计算机网络安全的要求 1 2 2 1 安全性 计算机网络的安全性包括内部安全和外部安全两个方面的内容。内部安全是在系 统的软硬件中实现的，它包括对用户进行识别和认证，防止非授权用户访问系统：确 保系统的可信性，避免脆弱的软件成为系统的入侵点；对用户实施访问控制，拒绝他 人访问超出其权限的内容：加密传输和存储的数据，防止重要信息被非法用户理解或 第4 页 国防科学技术人学研究生院学位论文 修改：对用户的行为进行实时监控和审计，检查其是否对系统有攻击行为，并对入侵 用户进行跟踪。外部安全包括加强系统的物理安全，防止其他用户直接访问系统；保 证人事安全，加强安全教育，防止用户，特别是内部用户泄密。 内部安全和外部安全是相互补充的，应该有机地结合二者，确保系统的强壮性。 1 2 2 2 完整性 完整性技术是保护计算机系统内软件和数据不被非法删改的一种技术手段。它包 括软件完整性和数据完整性。 ( 1 ) 软件完整性 软件是计算机系统的重要组成部分，它能完成各种不同的复杂的系统功能，软件 的优点是编程人员在开发或应用过程中可以随时对它更改，以使系统具有新的功能， 恒这种优点给系统的可靠性带来了严重的威胁。 在丌发应用环境下，对软件的无意或恶意修改已经成为对计算机系统安全的一种 i 9 重威胁。虽然目前人们把对计算机系统的讨论与研究大都集中在信息的非法泄露 i ，但是在许多应用中，软件设计或源代码的泄露为攻击系统提供了一个有利的机会。 非法的程序员可以对软件进行不可检测的修改，例如他们可以将特洛伊木马程序引入 系统软件，在系统软件中为自己设置一个后门，导致机密信息的非法泄露，如目前受 到普遍关注的b o 及b 0 2 k ：另外，非法程序员还可以将一段病毒程序附加到软件中， 一旦病毒感染系统，将会给系统带来严重的损失，甚至会对系统造成恶意的破坏，导 致系统的完全失效，如臭名昭著的c i h 病毒。因此，软件产品的完整性问题对计算 机系统安全的影响越来越重要。通常，人们应该选择值得信任的系统设计者，同时还 要有相应的软件测试工具来检查软件的完整性，保证软件的可靠性。 ( 2 ) 数据完整性 数据完整性是指存储在计算机系统中或在系统之间传输的数据不受非法删改或意 外事件的破坏，保持数据整体的完整。数据完整性问题是目前许多应用计算机系统进 行信息处理的用户十分关切的个严重问题。通常，数据完整性的破坏般是由于下 列原因引起的：系统的误操作、应用程序的错误、存储介质损坏、人为的破坏。 第5 页 国防科学技术人学研究生院学位论文 1 2 2 3 保密性 保密性是计算机网络安全的一个重要方面，它是为了防止用户非法获职关键的敏 感信息，避免机密信息的泄露。 目前，政府和军事部门纷纷上网，电子商务得到曰益广泛的应用，人们越来越多 地通过网络传输数据，完成网络操作，而且网络上传输的数据的机密性和敏感性也越 来越强，如果非法用户盗取或篡改数据，将造成不可估量的损失。因此，必须保证敏 感数据的机密性，防止它们被非法地访问。加密是保护被传输的数据的重要方法，也 是保护存储在系统中的数据的一种有效手段，人们通常采用加密来保证数据的保密 | 峰。 1 2 2 4 可用性 可用性是指无论何时，只要用户需要，系统和网络资源必须是可用的尤其是当 计算机系统受到用户的非法攻击时，它必须仍然能够为用户提供f 常的系统功能。目 讥人们已经在系统软件和上层应用软件中发现了大量的问题和漏洞，其中包括很多 拒绝服务攻击，如泪滴攻击、邮件炸弹、p i n g o d e a t h 等，使用这些攻击方法攻击 系统时，会造成系统暂时无法响应用户请求，甚至会使系统死机，妨碍了f 常用户对 系统使用，破坏了可用性。为了保证系统和网络的可用性，必须解决网络和系统中存 在的各种破坏可用性的问题，编写更为强壮的软件。 1 3 计算机网络安全的解决方案 1 3 1 网络安全的防卫模式 由于计算机系统和网络存在着大量的安全问题以及来自外部和内部的威胁，因此 为了加强因特网站点的防范，尽量避免外来的攻击，必须对站点采取保安措施。目前， 有以下几种安全模式可供选择： 第6 页 里堕型堂垫查叁堂塑茎竺堕! ! 堡堡兰 一 _ 一一 1 3 1 1 无安全防卫 这是一种最简单的防卫模式，在这种模式用户只是使用销售商提供的安全防卫措 施，而不采用其它的安全措施。 】3 1 2 模糊安全防卫 采用这种安全模式的站点基于这样一种假设，他认为没有人知道它的站点，即使 知道，别人也不会对它进行攻击。这是一种非常错误的想法。事实上，只要是网络上 的一个站点，你就会很快地被他人发现，因为现在攻击者可以通过许多工具发现你的 站点并了解相关的信息。 另外，还有的系统管理员认为，他的公司是小公司或是个人站点，对攻击者来说 没有什么吸引力。实际上，攻击者通常并不是瞄准特定的目标，他们只想闯入尽可能 多的系统，小公司的站点或个人站点更是理想的攻击目标，他们可以通过该站点作为 桥梁对别的系统进行攻击，达到掩盖身份的目的。因此，这种模糊安全防卫模式也是 不可取的。 1 3 1 3 主机安全防卫 主机安全防卫是最常用的一种防卫模式，它要求对每台主机加强安全防卫，尽可 能地避免或减轻己知的可能影响特定主机安全的问题。主机安全防卫模式的对象是单 台主机，它的优点是可以针对不同主机做到细粒度的访问控制，这种安全防卫模式对 一个小站点或是有较强安全要求且和因特网直接相连的主机是很合适的。 但是，主机安全防卫模式有一个最大的障碍，即环境的复杂性和多样性。因为每 台计算机都有自己的操作系统和自己的一套安全问题，即使站点上的计算机都是使用 同一厂商的产品，操作系统和应用软件的不同版本也会带来不同的安全问题。如果所 有的机器都是运行同一版本的操作系统，不同的配置、服务和不同的子系统也会带来 不同的安全问题。因此，在目前的网络环境中，很难保持所有的机器绝对相同，机器 越多安全问题就越复杂，对管理员来说，预先要做大量的配置工作，运行过程中还要 不断地维护各台的主机的安全，它给系统管理员带来极大的不便。而且，就算所有的 工作都。e 确完成了，主机防卫还会受到厂商软件缺陷的影响。 第7 页 国防科学技术人学研究生院学位论文 1 3 1 4 网络安全防卫 由于上述原因，主机安全防卫模式在大型网络系统中显得力不从心了。现在，许 多站点转向采用网络安全防卫模式，把注意力集中在控制不同主机之间的网络通道和 它们所提供的服务上，这样做比对单个主机进行防卫更有效。网络安全防卫包括建立 防火墙保护内部网络和系统、运用可靠的认证方法、采用加密方法传输敏感数据等。 1 3 2 常用的安全措旅原则 1 3 2 1 最小特权 这是最基本的安全原则，最小特权原则是指对任意一个对象只给它需要履行某些 持定任务的特权。在网络中，需要最小特权的例子有很多，如每个用户并不需要使用 听有刚上的服务，每个用户或系统管理员不需要都知道系统的根口令等，最小特权原 则是网络安全的重要保证，很多安全问题就是因为破坏了该原则导致而成的，例如 n f s ，如果不能精确地指定访问输出文件系统的用户及其访问权限，就会给系统酸下 安全漏洞。实施最小特权原则时要注意两点，首先系统箩支持对资源的细粒度控制， 这是最小特权的根本保证，其次要保证分配的特权最小而且对完成任务是足够的。 i 3 2 2 纵深防御 简单地说，纵深防御是指网络安全不能依赖于一种安全机制，而是应该建立多种 饥制互相协作互相补充。例如，后面要谈到的入侵检测和审计，二者的有机结合可以 保证及时发现对网络的入侵实践。现在，人们都是使用多种工具构建全面的安全方案， 肓效地保证网络的安全。 1 3 2 3 阻塞点 阻塞点是用户进入网络或系统的唯途径，阻塞点原则是指通过阻塞点监视和控 制攻击者，保证任何从网络对该站点实施的攻击都必须经过该通道，并且能够立即响 应攻击。例如，放火墙就是一个阻塞点，另外，身份认证也是一个阻塞点，没有必要 第8 页 一国堕型兰丝查查：| ! ! 堕壅尘堕! 堡丝茎- j h 一一 应该取消系统的信任关系，防止攻击绕过阻塞点。 1 , 3 2 4 最弱连接 网络安全由整个系统中最薄弱的环节决定，因此必须加强系统的脆弱点，提高它 的安全性。为实施最弱连接原则，首先需要确定系统的脆弱点，这个工作可以由安全 扫描器柬完成，这是本课题的主要任务。 1 3 2 5 失败时的安全策略 这种策略指定安全措施失败时应该采取的策略，通常有默认拒绝和默认允许两种 方法。默认拒绝方法是指当系统失败时只允许执行预先指定的服务，其它的全部被禁 止。默认允许方法则是禁止预先指定的服务，而允许其它的全部服务。前者的安全可 靠性更高在实际环境中大多采用这种策略。 3 2 6 全体参与 建立一个安全的系统需要全体人员的努力，全体参与原则要求加强内部人员的安 全教育，避免机密信息的泄露，防止内部人员的攻击行为，并要求他们及时报告非l f 常的事件。 1 3 3 常用的安全工具 1 b 3 1 防火墙 放火墙是一种有效的网络安全机制，是保证主机和网络安全必不可少的工具。防 火墙是在内部网与外部网之间实施安全防范的系统，它可以看作是一种访问控制机 制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。防 火墙通常安装在被保护的内部网和互联网的连接点上，从互联网或从内部网上产生的 任何活动都必须经过防火墙，防火墙判断这些活动是否符合站点的安全策略从而确 定这种活动是否可以接受。 防火墙的基本类型有： 第9 页 国防科学技术大学研究生院学位论文 ( 1 ) 包过滤型：包过滤型防火墙工作在网络层，它以i p 包为对象，对i p 源目 的地址、封装协议、端口号等进行筛选，阻塞或允许i p 包通过。包过滤型防火墙通 常安装在路由器上，目前大多数商用路由器都提供了包过滤功能。另外，在p c 主机 上也可以安装包过滤软件。 ( 2 ) 代理服务器型：代理型防火墙包括两部分，服务器端程序和客户端程序。 服务器端程序作为客户与远程机器的中介，接收客户端的请求，对请求进行认证，如 果满足系统安全策略，服务器将代替用户与远程主机通信，发送请求消息，接收返回 内容信息，并将结果返回给用户。客户端程序实际上是与代理服务器通信，在客户与 远程目标机器之间没有建立真接的连接。服务器提供日志和审计服务。 ( 3 ) 复合型：将包过滤和代理服务器两种方法结合起来，构造堡垒主机，对包 进行过滤，并负责提供代理服务。 1 3 3 2 鉴别 在汁算机系统和网络中不断地进行着各种各样的信息交换，必须保证信息交换过 程的合法性和有效性。鉴别是证实信息交换过程合法有效的种重要手段，包括三方 面内容： ( 1 ) 报文鉴别 报文鉴别是指在两个通信者之间建立通信联系后，每个通信者对收到的信息进行 验证，以保证所收到的信息是真实的一个过程。报文鉴别必须确定报文源、报文内容、 报文顺序的正确性。其中，对报文源的鉴别有两种办法，一种办法是发送方利用单向 密码加密报文，接收方用相应的密钥解密报文，如果报文内容正确，就证明了报文是 来自正确的发送方；另一种办法是用加密过用户标识或通行字作为报文源的标识，接 收方在接收到报文后，解密标识得到正确的用户源。对报文内容的鉴别是通过发送方 在报文中加入鉴别码来实现的。鉴别码是通过对报文内容进行某种运算得到的：接收 方在收到报文后，用相同的算法操作报文内容得到新的鉴别码，然后比较这两个鉴别 码，如果二者相同，表示报文内容没有被修改。对报文顺序的鉴别是通过发送方和接 收方共同约定的时变量来保证的。 ( 2 ) 身份认证 身份认证是指对用户身份的正确识别和校验。它包括识别和验证两方面的内容。 燕l o 页 雯堕型兰壁查查堂堑塑生堕兰堡堡苎一 其中识别是指要明确访问者的身份，为了区别，任何不同用户的标识都不能相同。验 证则是指在访问者声称其身份后，系统对他的身份的检验，防止假冒。目前广泛使用 的有口令验证、信物验证、以及利用个人独有的特性进行验证等方法。 ( 3 ) 数字签名 报文鉴别可以防止非法用户篡改报文内容，确认发送者的身份，但无法解决对信 息内容和信息发送者的任何争执。而数字签名可以有效地解决上述问题，它可以保证 收方收到的报文内容是真实的，而且还能保证发送方不能否认他所发送的报文，同时 也能保证接收方不能伪造报文和签名。目前广泛使用的数字签名技术是基于非对称密 钥加密算法的：考虑到安全性问题，人们也提出了利用对称密钥加密算法的数字签名 技术。 1 3 3 3 访问控制 访问控制的基本任务是防止非法用户进入系统及合法用户对系统资源的非法使 用，访问控制包括两个处理过程：识别与认证用户，这是身份认证的内容：决定陔用 户对某系统资源的访问权限。目前，有三种访问控制方法：自主访问控制、强制访 问控制、基于角色的访问控制。自主访问控制是指系统资源的所有者能够对他所有的 资源分配不同的访问权限。在强制访问控制中，系统对用户和系统资源都分配一个特 殊的安全属性，这种安全属性一般不能更改，系统比较用户和资源的安全属性来决定 他是否能访问该资源。 1 3 3 4 加，解密技术 对计算机数据的保护包括三个层次的内容，首先是要尽量避免非授权用户获取数 据，其次要保证即使用户获取了数据，仍无法理解数据的真正意义，最后要保证用户 窃取了数据后不能修改数据，或者修改了数据后也能被及时地发现。换句话说，信息 安全的根本措施应该是逻辑的。经过多年的研究和实践，人们认识到了密码学是安全 领域的最基本的技术，它的方法和技术不仅从体制上保证了信息不被窃取和篡改，成 为了实现数据安全的重要保障，同时，它还是其它安全技术的基础，例如，利用加密 可以方便地实现数字签名、身份认证和v p n 等技术。 加解密的基本思想是伪装信息，使非授权人不能理解信息的真实含义，而授权 第1 l 页 国防科学技术人学研究生院学位论文 一一一。 者刨能够理解伪装信息的原本含义。加密算法通常分为对称密码算法和非对称密码笋 法两类，对称密码算法使用的加密密钥和解密密钥相同，并且从加密过程能够推导出 解密过程，对称密码算法的优点是有很高的保密强度，可以承受国家级破译力量的攻 击，但它的一个缺点是拥：青加密能力就可以实现解密，因此必须加强密钥的管理，使 用最广泛的对称加密算法是d e s ，它使用6 4 位密钥加密信息。 非对称加密算法正好相反，它使用不同的密钥对数据进行加密和解密，而且从加 密过程不能推导出解密过程。最著名的非对称加密算法是r s a 加密算法，它是建立 在很难分解大整数的素因子的基础上的。非对称加密算法的优点是适合开放的使用环 境，密码管理方便，可以方便安全地实现数字签名和验证，缺点是保密强度远远不如 对称加密算法，已发明的非对称加密算法绝大多数被破译，剩下的几种也不能证明完 全无缺陷。 1 3 3 5 审计和入侵检测 审汁实际上是通过事后追查的手段来保证系统的安全。审计对涉及系统安全的操 作做了个完整的记录，当有违反系统安全策略的事件发生时能够有效地追查事件发 生的地点及过程。审计是操作系统的一个独立的过程，它保留的记录包括事件发生的 同期和时间、产生这一事件的用户、操作的对象、事件的类型以及该事件成功与否等 项。而入侵检测能够对用户的非法操作或误操作做实时的监控，并且将该事件报告给 管理员。入侵检测有基于主机的和分布式的两种方式，通常它是与系统的审计功能结 合使用的，能够监视系统中的多种事件，包括对系统资源的访问操作、登录系统、修 改用户特权文件、改变超级用户或其他用户的口令等。 1 3 3 6 安全扫描 安全扫描是一种新的安全解决思路，是由d a nf a r m e r 和w i e s t s ev e r l e m a 在1 9 9 5 年提出来的，它的基本思想是模仿入侵者的攻击方法，从攻毒者的角度来评估系统和 网络的安全性。扫描器是实施安全扫描的工具，它通过攻击后发现目标系统和网络中 存在的各种安全漏洞，并给出相应的处理办法，从而提高系统的安全性。 安全扫描这种方法能够更准确地向系统管理员指明系统中存在安全问题的地方以 及应该加强管理的方向，而且还指出了具体的解决措施，对管理员来说比其它安全方 第1 2 页 国防科学技术人学研究生院学位论文 案更有指导性和针对性。也正因为如此，安全扫描目前得到了广泛迅猛的发展很多 安全厂商，如n a i 、i s s ，甚至c i s c o 公司都开发了各自的安全扫描器，作为一个非 常有效的安全管理工具，扫描器已经成为了他们的安全解决方案中一个不可缺少的组 成部分。 第1 3 页 望堕型兰壁查叁堂堕壅竺堕! ! 堡堡兰 一 第2 章网络安全攻击及防范方法综述 2 。1 特洛伊木马 特洛伊木马程序因古希腊神话故事而得名，它是这样一种程序，表面上它是做某 件事情但实际上却是做另外的事情，特洛伊木马程序提供了用户所不希望的功能， 而且这些额外的功能往往是有害的。通常这些程序包含在一段正常的程序中，借以隐 藏自己。 因为在特洛伊木马程序中包含了一些用户不知道的代码，使得三常程序提供了未 授权的功能，因此这类程序的危害是很大的，恶意用户可以获取根用户口令、读写未 授权文件、获取目标机器的所有控制权。例如，曾经给我校校园网安全带来严重问题 的b o 和现在出现的b 0 2 k 就属于特洛伊木马程序，它们附带在某些程序或电子邮件 中，用户在运行这些程序或阅读邮件时，就激活rb o ，在用户机器上安装b o 服务 器程序，使入侵者能够远程控制目标主机。 解决特洛伊木马程序的基本思想是要发现正常程序中隐藏的特洛伊木马，常用的 解决方法是使用数字签名技术为每个文件生成一个指纹，在程序运行时通过检查数字 签名发现文件是否被修改，从而保护已有的程序不被更换。这样的程序工具有m d 5 系统，它以一个任意长消息为输入，同时产生一个1 2 8 位的摘要消息。目前很多发布 操作系统安全补丁程序的站点都使用这种技术来保证程序未被修改。 2 2 拒绝服务 拒绝服务攻击是一种破坏性攻击，它的目的是通过对目标主机实施攻击，占用大 量的共享资源，目标系统降低了资源的可用性，甚至使系统暂时不能响应用户的服务 请求：另外攻击者还破坏资源，造成系统瘫痪，使其他用户不能再使用这些资源。虽 然入侵者不会得到任何好处，但是拒绝服务攻击给正常用户和站点的形象会带来较大 的影响。 第1 4 页 里堕型兰垫查盔! ：| ：! 婴至兰堕堂焦堡墨 一 ，_ - _ _ _ - - _ - _ _ _ _ _ - _ _ - _ - _ _ _ _ _ j _ _ _ _ _ _ _ _ _ _ _ r 2 2 1 邮件炸弹 邮件炸弹是指反复收到大量无用的电子邮件。过多的邮件会加剧网络的负担：消 耗大量的存储空间，造成邮箱的溢出，使用户不能再接收任何邮件：导致系统日志文 件变得很庞大，甚至溢出文件系统；同时，大量到来的邮件将消耗大量的处理器时间， 妨碍系统正常的处理活动。邮件炸弹通常有链式炸弹、错误信息炸弹、秘密分发通道 和邮件列表炸弹等几种手段。 解决邮件炸弹的方法有识别邮件炸弹的源头，跟踪信息来源；配置路由器，拒收 源端主机发送的邮件，或保证使外面的s m t p 连接只能到达指定服务器，而不能影 响其它系统。 2 2 2s y n 淹没攻击 s u n 淹没攻击是一种服务拒绝攻击它通常是进行i p 欺骗和其它攻击手段的前 宁步骡。t c p 连接的建立包括三次握手过程，在t c p i p 的实现程序中，t c p 处理模 块有一个处理并行s y n 请求的最上限，它可以看作是存放多条连接的队列长度。其 中，连接数目包括了那些三步握手法没有最终完成的连接，也包括了那些已成功完成 握手，但还没有被应用程序所调用的连接。如果达到队列的最上限，t c p 将拒绝所有 连接请求，直至处理了部分连接链路。攻击方法是，入侵者伪装一台不存在或已关机 的主机地址，向被攻击主机发送s y n 请求，目标主机接收到请求后，向被伪装的主 机发送s y n a c k 消息，并等待a c k 应答。显然，不会有a c k 应答发送给它，因 为该主机不存在或不活动，这时，目标主机会一直等待直到超时。如果攻击者不断发 送该s y n 请求，就会导致请求队列的溢出，造成目标主机无法响应其它任何连接请 求。 攻击过程如下： l 攻击端z ( x ) s y n ( 伪造自己的地址) 被攻击端b 攻击端z ( ) ( ) s y n ( 伪造自己的地址) 被攻击端b 攻击端z ( x ) s y n ( 伪造自己的地址) 被攻击端b 2 伪造的地址x 一s y n a c k 被攻击端b 第1 5 页 国防科学技术人学研究生院学位论文 伪造的地址x s y n a c k 一被攻击端b 3被攻击端b 等待伪造地址x 端的回答直到超时 这罩值得注意的是，攻击者不会使用那些正在工作的i p 地址，因为真正i p 持有 哲收到s y n a c k 响应后，会随之发送r s t 给受攻击主机，从而断开连接。 对s y n 淹没攻击的解决办法是，定时检查系统中处于s y n r e c e i v e d 状态的 建接，如果存在大量的连接线路处于s y n r e c e i v e d 状态，则表示系统可能遭到攻 击，如果连接数到达某个阀值，就可以拒绝其它请求，关闭这些连接，防止s y n 队 列溢出。另外，还可以使用中间节点来管理s y n 请求的处理过程，当它接收到s y n 请求后，立即向目标主机发送a c k 消息，防止处于半连接状态的s y n 请求存在。 2 2 3 过载攻击 过载攻击是使个共享资源或者服务器处理大量的请求，导致无法满足其他用户 的请求。过载攻击包括进程攻击和磁盘攻击等几种方法。 进程攻击实际上就是产生大量的进程，而且这些进程处理的工作需要大量的c p u 时例，这时系统就会处于非常繁忙的状态，不能迅速响应其他用户对c p u 的需求。 解决的办法有限制单个用户能拥有的最大进程数，或者使用d s 命令观察系统的活动 进程，杀死一些耗时的进程，保证系统的可用性。 磁盘攻击包括磁盘满攻击、索引节点攻击、树结构攻击、交换空间攻击、临时目 录攻击等几种方法。磁盘满攻击是对磁盘写入大量的信息，占用磁盘的所有空间。索 引节点攻击是产生大量的小的或空的文件，消耗磁盘索引节点，导致无法产生新的文 件。树结构攻击则是指产生一系列很深的目录，并在这些目录中放置大量文件，消耗 磁盘空f f i j ，这时删除文件将是一个很繁琐的工作。交换空间是一些大程序运行时所必 须的，交换空间攻击就是占用交换空间，阻止这些程序的运行。临时目录攻击是用完 临时目录空间，使某些程序，如v i ，不能运行。解决这些问题的方法是观察各个用户 使用磁盘空间的情况，终止消耗大量磁盘空间的进程运行；删除无用文件，为用户提 供更多的可用空间。 第1 6 页 2 3 1 缓冲区溢出 国防科学技术人学研究生院学位论文 2 3 入侵 缓冲区溢出是编写程序时造成的错误 统中都广泛存在，同时它又是一个非常危险 它是一个非常普遍的漏洞，在各种操作系 的问题，给系统带来了巨大的威胁利用 s u i d 程序中的缓冲区溢出用户可以获取超级用户权限，利用服务器程序中存在的这 个问题可以造成拒绝服务攻击，因此对缓冲区溢出应该引起高度的重视。下面从原理 角度分折这类安全漏洞。 利用缓冲区溢出攻击系统需要两个条件第一是某个程序有存在缓冲区溢出问 题，其次，该程序是一个s u dr o o t 程序。所谓缓冲区溢出是指程序没有检查拷贝到 缓冲区的字符串长度，将一个超过缓冲区长度的字串拷贝到缓冲区，造成了缓冲区空 r e jj 的字串覆盖了与缓冲区相邻的内存区域，这是编程的常见错误。s u i d 程序是可以 改变u i d 的程序，也就是晚，进程的所有者和进程运行时具有的权限不同，s u i dr o o t 程序则是指程序在运行时具有根用户的权限。 进程在内存中的结构是由正文区、数据区和堆栈区三部分组成的，其中栈区包含 凋用陔函数时传递的参数值、函数的返回地址和局部变量。如果调用该函数时传递的 参数过长，那么参数值将覆盖函数的返回地址。经过精心设计，可以使函数的返回地 址指向一个s h e l l 程序，也就是说，函数不能正常返回，而是执行了一个s h e l l 程序， 如果被调用的程序是s u i dr o o t 程序，那么在s h e l l 程序中，用户将具有超级用户权 限，这时用户就有 的隐蔽性非常好， 管理员很难发现这 2 3 2 口令破译 很多方法可以获取实际的根用户权限了。缓冲区溢出这种攻击方法 即使用户获取了超级用户权限对系统还是表现为普通用户，系统 类安全隐患。 有两种方法破译口令，第一种称为字典遍历法，它的前提是已经获取了系统的【 令文件，具体的破洋方法是使用一个口令字典，按照口令的加密算法对字典中的每个 项进行加密，然后逐一比较得到的加密数据和口令文件的加密项，如果二者相同，那 么就有8 0 的概率可以肯定用户口令就是该数据项。这种方法的一个问题是字典需要 第1 7 页 国防科学技术人学研究生院学位论文 钉，1 常丰富的数据项，否则无法破译出口令。另一种方法是根据算法解密，目丽发明 的加密算法绝大多数都能被破译，例如，人们通过寻找大数的素因子达到解密r s a 算法的目的，在1 9 9 2 年利用普通微机就可以分解1 4 4 位的十迸制数，现在为了加强 保密性通常采用1 0 2 4 位，甚至是2 0 4 8 位的大数来提高解密的复杂性。 2 3 3 利用上层服务配置问题入侵 利用上层服务入侵非常普遍，包括利用n f s 、f t p 、xw i n d o w 、w w w 等服务 殴计和配置过程中存在的问题，具体的说明在第四章详细介绍。 2 3 4 网络欺骗入侵 网络欺骗入侵包括i p 欺骗、a r p 欺骗、d n s 欺骗和w w w 欺骗四种方式，它们 的实现方法有入侵者冒充合法用户的身份，骗过目标主机的认证，或者入侵者伪造 个嘘假的上下文环境，诱使其他用户泄露信息。 2 3 4 1i p 欺骗 i p 欺骗有两种实现方式，即冒充攻击和非同步攻击。冒充攻击是基于t c p 三步 握手建立连接和目标主机基于网络地址验证方式的应用，它的工作原理是入侵者假冒 目标的信任主机绕过主机身份认证，向目标主机发送命令，在其中留下后门，为进一 步攻击提供方便。入侵者进行冒充攻击时，首先要选台被目标主机信任的机器，对 其发起s y n 淹没攻击，使得被信任的主机丧失工作能力，同时采样并猜测目标主机 发出的t c p 序列号。然后，伪装成被信任的主机，建立起与目标主机的应用连接。 如果成功，入侵者可以使用一种简单的命令放置一个系统后门，以进行非授权操作。 冒充攻击实际上是- - e e 无反馈的攻击，入侵者看不到目标主机与信任主机之洲交换的 信息，因此这种攻击方法的关键点和难点就是准确地猜测t c p 序列号。通过多次采 样r t t 时间，尽量提高r t t 平均时间的精确性，同时提高发送连接请求的快速性， 就可以较为准确地猜测出t c p 序列号。 非同步攻击的实质是在目标机与信任主机问建立非同步状态，入侵者机器监视网 络中数据流量，作为目标主机和信任主机之间的信息传递桥梁，从中窥看或修改二：者 第1 8 页 一 里堕型兰壁查叁堂塑壅尘堕兰堡垒奎 删的信息。所谓非同步状态是指目标主机和信任主机认为它们已经建立了一条f 确的 连接，但实际上它们的t c p 序列号与对方的a c k 序列号不同，二者并不能正确地交 换信息，也就是说，它们处于相互断连状态。非同步攻击的隐蔽性非常强，因为目标 和信任主机都认为它们正确地建立了连接，但实际上二者没有任何联系。实施非同步 攻击的方法有两种，一种方法是在连接建立阶段实施，目标主机响应信任主机发送的 s y n 请求，应答s y n a c k 时，入侵者冒充信任主机先后向目标主机发送r s t 报文 和s y n 请求，这时就使目标和信任主机处于非同步状态