（计算机应用技术专业论文）桌面防御系统的设计与实现.pdf

， 南京航空航天大学硕士学位论文 摘要 主动防御技术，是防火墙的重要补充，起到了第二道防线的作用。因而需要将防火墙 与入侵检测技术相结合，来构造一个比较完善的防御系统。为了使防御系统有更好的 针对性，本文首先对各种黑客入侵手段进行了详细的分析。随后给出了桌面防御系统 的整体设计方案，分析了各模块的功能及模块间的关系。然后对数据包截获平台、桌 面防火墙构件、基于网络的入侵检铡构件进行了深入的探讨。在分析现有技术的各自 优缺点的基础上，结合桌面系统的应用环境与安全要求，提出了一个结合入侵检测的 桌面防御系统的实现手段。 关键词：防火墙、入侵检测、网络安全、个人防火墙、黑客攻击 桌面防御系统的设计与实现 a b s t r a c t w i t ht h ed e v e l o p m e n to fn e t w o r k t e c h n o l o g y , p r o b l e m so f n e t w o r k s e c u r i t ya r ei n c r e a s i n g n o t o n l yt h eh o s t so fi a r g en e t w o r k sb u t a l s od e s k t o pc o m p u t e r sa r eu n d e rs e r i o u ss i t u a t i o n t h e s e c u r i t ys y s t e mf o rd e s k t o pi sa ne f f i c i e n tm e a n st og u a r a n t e e 也es a f e t yo f d e s k t o p b e c a u s eo fi t sf l a w s ，af i r e w a l lc a n n o t p r o v i d ec o m p l e t ep r o t e c t i o n i n t r u s i o nd e t e c t i o n a l l i m p o r t a n ts u p p l e m e n tt ot h ef i r e w a l l s h o u l dc o m b i n ew i 也t h ef i r e w a l lt ob u i l dab e t t e r s e c u r i t ys y s t e m f o rb e t t e rp e r f o r m a n c eo ft h es e c u r i t ys y s t e m ，w ef i r s t l yd i s c u s si nd e t a i lo nh o w h a c k e r s i n t r u d e 也en e t w o r k sa n dc o m p u t e r s t h e nt h es c h e m eo fo u rd e s k t o ps e c u r i t ys y s t e mi s e x p o u n d e d ，i n c l u d i n g t h ef u n c t i o no fe a c hm o d u l ea n dt h e t e l a t i o n s a m o n gt h e m ， f o l l o w i n gt h i s ，也et h r e em o d u l e s ，d e s k t o pf l r e w a l l ，n e t w o r k b a s e di n t r u s i o nd e t e c t i o na n d t h em o d u l ef o rp a c k e tc a p t u r i n ga r ep r o b e di n t o a f t e rt h ec o m p a r i s o no ft h ea d v a n t a g e s a n dd i s a d v a n t a g e so f e x i s t i n gt e c h n o l o g ya n dt h ea n a l y s i so ft h ee n v i r o n m e n to f d e s k i o p ， t h er e a l i z a t i o nm e t h o do f o u r d e s k t o ps e c u r i t ys y s t e mi sp r e s e n t e d k e yw o r d s ：f i r e w a l l ；i n t r u s i o nd e t e c t i o n ；n e t w o r ks e c u r i t y ；p e r s o n a lf i r e w a l l ；h a c k e r a t t a c k i n g n 南京航空航天大学硕士学位论文 第一章绪论 随着计算机网络技术的迅猛发展和i n t e m e t i n t r a n e t 用户数量的激增，网络已深入 到社会的各个领域，人类社会各种恬动对信息网络的依赖程度已经越来越大。然而网 络如同其它技术一样，危险伴随着强大的功能一道而来。有关网络入侵、黑客攻击和 计算机犯罪等网络安全事件时有报导，最近几年这类事件几乎成为最热门话题之一。 为了保障计算机系统、网络系统和信息的安全，涌现出许多安全技术和产品，对各个 环节提供安全保护。这些产品包括防火墙、安全路由器、身份认证系统、v p n 设备、 入侵检测系统、网络和系统安全性分析系统等等。但是对于网络的重要组成部分p c 桌面系统的安全问题所投以的关注并不是很多。 许多企业网用户认为在网络系统中采用了防火墙一类的安全产品就能够保证整 个内部网络的安全。但事实上这些网关型的防火墙产品，主要解决企业内部网与 i n t e m e t 互连时的安全问题，它们防外不防内，无法真正实现对局域网内每一台主机 的保护。这对于整个网络的安全来说是远远不够的，根据f b i 的调查揭示5 0 以上 的入侵来自于内部【，并不是所有企业内部的人都值得信任。而且如果有企业内部人 员通过拨号连接i n t e m e t ，就绕过了企业防火墙，造成一个潜在的后门攻击渠道。 对于一般的家庭用户来说，其安全问题同样不容忽视。黑客对入侵技术的掌握也 存在一个从入门到精通的过程，因而黑客往往通过攻击一些没有或者只有很少防御措 施的系统来获取宝贵的经验。尽管个人用户可能认为自己的资料并不是什么十分重要 的秘密，但肯定不希望陌生人阅读自己的e m i l ，查看，窃取存储在计算机上的诸如 信用卡账号、密码等个人信息，修改，销毁硬盘上的资料。2 0 0 0 年2 月y a h o o 、a n l a z o n 、 c n n 等大型网站遭受到d d o s 攻击的事件正好反映了家庭用户所面临的另一个问题， 家庭用户的计算机被用来参与对其他系统的拒绝服务攻击，成为攻击的媒介。由于 i n t e r n e t 上的站点安全是相互关联的，一个受到侵害的计算机不仅仅对计算机所有者 造成麻烦，也成为对其他站点的威胁。 另外随着宽带越来越普及，人们在使用a d s l 、c a b l em o d e m 的同时- 安全问题 也相应增加了。首先是由于全天候在线给予黑客的机会大大增加：其次宽带技术本 身也带来相应的问题：固定口地址使得机器更容易成为黑客入侵的目标；c a b l e m o d e m 使得嗅探器的危害更严重因为整个邻近区域的c a b l em o d e m 用户都属于 同一个局域网只需把嗅探器安装在这个区域的任何一个用户的计算机上就能够捕获 同个区域中任意一个c a b l em o d e m 的数据传输，从而就可以获得用户名、密码等在 网络上用明文传输的信息。 随着网络安全事故越来越频繁其造成的危害越来越严重，桌面系统的安全问题 也引起了人们的重视。国内外已出现了几款桌面防火墙产品，如n e t w o r k l c e 的 桌面防御系统的设计与实现 “b l a c k i c ed e f e n d e r ”、s y g a t e 的“s y g a t ep e r s o n a lf i r e w a l l ”、a l l a d i n 的“e s a f e ”、t i n y s o f t w a r e 的“t i n yp e r s o n a lf i r e w a l l ”、s y m a n t e c 的“n o r t o n p e r s o n a lf i r e w a l l ”、z o n e l a b s 的“z o n e a l a r m ”等，国内如天网、冠群等。 大多数的产品都通过从高到低不同安全级别的设定，来达到不同程度地保护用户 安全的目的。s y g a t e 还可以让用户根据不同的时间段及不同的活动情况设置不同的安 全级别。天网等防火墙将网络分为本地局域网和互联网，针对来自不同网络的信息， 设置不同的安全方案。一些产品还提供了对系统在其他方面的保护。如n o r t o n p e r s o n a lf i r e w a l l 可以防止j a v aa p p l e t s 和a c t i v e x 的攻击，以防用户私人信息被窃取 和损坏：z o n ea l a r m 具有一项m a l l s a f e 功能，对e - m a i l 附件进行扫描，防止v bs c r i p t 攻击；国内的安全之星x p 将病毒防火墙与网络防火墙合二为一，n o r t o ni n t e m e t s e c u r i t y 将n o r t o na n t i v i r u s 和n o r t o n p e r s o n a lf i r e w a l l 捆绑在一起，提供对病毒的舫 护；b l a c k l c ed e f e n d e r 具有一定的入侵检测功能，可以回溯定位攻击者，并进行详 细的日志记录以方便今后对攻击特征的提取。 然而这些产品还不是很完普，在各方面存在着或多或少的问题。在保护的程度上， n o r t o np e r s o n a lf i r e w a i l 即使设置在最高安全级，也不能将桌面系统完全置于隐蔽状 态，对外系统仍是可见的。在产品的易用性方面，只有对网络安全比较精通的用户才 能对z o n ea l a r m 进行正确的设置，获得理想的效果。这一问题存在于不少产品中， 如e s a f e 、t i n y 、s y a g e 、天网等。在对系统资源的占用方面b l a c k i c e d e f e n d e r 的系 统开销很大，对桌面系统造成了较重的负担。而且还没有一款产品提供了文件完整性 检查，对用户设置的保护也普遍较弱。 同时还应看到，国内在桌面防火墙产品的开发上与国外相比还存在着一定的差 距。随着对入侵检测功能的认识逐步深入，在防火墙产品中加入入侵检测功能已成为 新的趋势。b l a c k l c ed e f e n d e r 在刚推出时就提供了一定的入侵检测功能，并将该功 能作为其卖点之一。在新推出的s y g a t e 和t i n y p e r s o n a lf i r e w a l l 版本中，也均加入了 内嵌的入侵检测模块。然而国内的防火墙产品中都还没有加入这一功能。 本课题就是在这种背景下提出的，在对各种技术的深入了解后，进行多方面的探 索，尝试提出一种新型的桌面防御系统。该系统同时具有防火墙和入侵检测的功能， 其中入侵检测包括基于网络的入侵检测和文件完整性检查模块。防火墙采用包过滤技 术基于网络的入侵检测采用经改进的模式匹配技术，文件完整性检查采用m d 5 h a s h 算法。 南京航空航天大学硕士学位论文 第二章黑客攻击手段分析 孙子兵法日：“知己知彼，百战不殆。”如果能够对威胁网络安全的各种根源 分析清楚，则在设计系统时就可以有更好的针对| 生。因而接下来的篇章将对黑客入侵 计算机网络的各种攻击技术进行详细的分析，解析黑客在入侵时所选择的攻击目标、 攻击策略、攻击方法和攻击工具等。 2 1 拒绝服务攻击 拒绝服务攻击的英文名字是“d e n i a lo f s e r v i c e ”，简称d o s 。d o s 的攻击方式有 很多种最基本的d o s 攻击就是利用合理的服务请求来占用过多的服务资源致使 服务超载，无法响应其他的请求。这些服务资源包括网络带宽，文件系统空间容量 开放的进程数等。这种攻击会导致资源的匮乏，无论计算机的处理速度多么快，内存 容量多么大，互连网的速度多么快都无法避免这种攻击带来的后果。因为任何事都有 一个极限，所以，总能找到一个方法使请求的值大于该极限值，因此就会使所提供的 服务资源匮乏，不胜负荷以至于瘫痪进而停止提供正常的服务。下面的图示将进一步 解释这种攻击的过程。 翰圭 i n t e m e t 用户 b 圈2 1 正常登录 通过普通的网络连线，用户传送信息要求服务器予以确定服务器于是回复用户， 用户被确定后，就可登入服务器。拒绝服务的攻击方式为：用户传送众多要求确认的 信息到服务器使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地 址，以至于当服务器试图回传时，却无法找到用户。服务器于是暂时等候，直至超过 预先设定的等待时间，然后再切断连接。服务器切断连接时，黑客再度传送新一批需 要确认的信息，这个过程周而复始，最终导致服务器瘫痪。 却无旷躺待 图2 - 2 拒绝服务攻击 桌面防御系统的设计与实现 w i n d o w sn ts e r v e r4 0 就可能遭受到d o s 攻击。w i n d o w sn ts e r v e r4 , 0 在t c p 端口3 3 8 9 监听终端连接，一旦某个t c p 连接上这个端口，服务器就开始分配系统资 源，以处理新的客户端连接，并作连接的认证工作。其中存在的安全漏洞就是：在认 证工作完成以前，系统需要拨出相当多的资源去处理新的连接，而系统并未对分配出 去的资源作节制。因而远端的攻击者就可以利用建立大量t c p 连接到3 3 8 9 端口的方 法，造成系统存储体配置达到饱和。此时服务器上所有使用者连接都会处于超时状态， 而无法继续连接到服务器上。远端攻击者还可利用一个程序进行持续性攻击，让此服 务器始终处于最多内存被耗用的状态，来避免产生新的连接。测试报告指出，长期持 续不断针对此项弱点的攻击，甚至可以导致服务器持续性停机，除非重新开机，否则 服务器将无法再允许新连接的完成。 常见的拒绝服务攻击有：死亡之p i n g ( p i n g o f d e a t h ) 、s y nf l o o d 、i c m pf l o o d 、 u d p f l o o d 、e c h l 攻击、f i n g e r 炸弹、碎片攻击、l a n d 攻击、s m u r f 攻击、f r a g g l e 攻 击、r w h o d 攻击等。 1 死亡之p i n g 由于在早期阶段，路由器对包的最大尺寸都要限制。许多操作系统对t c p i p 堆 栈的实现在i c m p 包上都是规定6 4 k b ，并且在对包头进行读取之后，要根据该包头 里包含的信息作为有效载荷生成缓冲区。当收到畸形的，声称自己尺寸超过i c m p 上 限的包也就是加载的尺寸超过6 4 k 上限时，就会出现内存分配错误导致t c p b p 堆栈崩溃直至包接收方死机。 死亡之p i n g 被用来执行拒绝服务攻击，但从其实质上讲，却是一个缓冲区溢出 的问题。 2 s y n f l o o d s y nf l o o d 攻击即是最基本的d o s 攻击方式。通过只发送初始化的s y n 包，而 不发送对服务器的a c k 确认包，导致服务器一直等待a c k 包。一些t c p i p 堆栈的 实现只能等待从有限数量计算机发来的a c k 消息，也就是说，只有有限的内存缓冲 区用于创建连接。如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下 来的连接停止响应，直至缓冲区里的连接企图超时。 s y nf l o o d 攻击往往结合冲地址伪造技术。攻击者发送s y n 请求所使用的源地 址是一个合法但虚假的i p 地址。由于客户端是由i p 地址确定的，因而服务器就向该 i p 地址发送响应，结果自然杳无音信。与此同时，i p 包会通知服务器该主机不可到 达。但服务器会认为是一种暂时错误因而继续尝试连接，直至确信无法连接，自然 在这段时间内服务器就停止了对新的连接请求的响应。 当然欺骗性的i p 源地址不会是那些正在工作的i p 地址。因为这样一来真正i p 持有者会收到s y n a c k 响应，而随之发送r s t 给服务器，从而断开连接。 3 碎片攻击 i p 碎片攻击的原理是利用发送异常的分片，如果操作系统内核在处理分片重组 4 南京航空航天大学硕士学位论文 时没有考虑到所有的异常情况，将可能引向异常的流程，造成拒绝服务。该类攻击的 典型例子是t e a r d r o p 和j o l t 2 。 1 ) 泪滴( t e a r d r o p ) 泪滴攻击利用那些在t c p i p 堆栈实现中信任i p 碎片包头所包含的信息来实现自 己的攻击。i p 分段信息指示该分段所包含的是原数据包中哪一段，某些t c p i p 在收 到含有重叠偏移的伪造分段时将崩溃。 攻击者发送两个分片i p 包，其中第二个与第一个在位置上完全重合，如下图2 3 所示。操作系统在处理时发现有位置重合：o f f s e t 2 6 5 5 3 6 ) 至巫口 e l l d 2 图2 - 4j o l t 2 攻击 4 l a n d 攻击 在l a n d 攻击中，攻击者发送一个伪造的s y n 包，它的源地址和目的地址都被设 置成某一个服务器地址。此举将导致接收方服务器向它自己的地址发送s y n a c k 响 应，结果这个地址又发回a c k 响应并创建一个空连接，每一个这样的连接都将保留 直到超时。不同的操作系统对l a n d 攻击反应不同，许多u n i x 实现将崩溃，n t 交 的极其缓慢。 5 s m u r f 攻击 s m u r f 攻击以最初发动这种攻击的程序名s m u r f 来命名。这种攻击结合使用了i p 欺骗和i c m p 回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为其他系 统进行服务。s m u r f 比死亡之p i n g 的流量高出一或两个数量级。 攻击者向某个网络的广播地址发送一个欺骗性p i n g 分组( e c h or e q u e s t ) ，该网 络应具有大量主机并和互联网连接。这个网络就称为反弹站点，而欺骗性p i n g 分组 的源地址就是攻击者希望攻击的系统。 5 桌面防 i i | 系统的设计与实现 s m u r f 攻击要想成功的前提是路由器接收到这个发送给l p 广播地址( 如 2 0 6 1 2 1 7 3 2 5 5 ) 的分组后，会认为这就是广播分组，并且把以太网广播地址 f f ：f f ：f f ：f f ：f f ：f f ：映射过来。这样路由器从互联网上接收到该分组，然后会对本地 网段中的所有主机进行广播。 于是网段中的所有主机都会向欺骗性分组的i p 源地址发送e c h o 响应信息( e c h o r e p l y ) 。由于多数系统都会尽快地处理i c m p 传输信息，因此目标系统很快就会被 大量的e c h o 信息吞没。这样就能够轻而易举地阻止该目标系统处理其它任何网络传 输，从而拒绝提供正常的系统服务。 由于反弹站点也会因其所有结点都在试图发送e c h o 响应信息而被阻塞。因而 s m u r f 攻击也对反弹站点造成危害，使之网络性能降低。 2 , 2 分布式拒绝服务攻击 要进行拒绝服务攻击，传统上，攻击者所面临的主要问题是网络带宽。由于较小 的网络规模和较慢的网络速度，无法使攻击者发出过多的请求。尽管类似死亡之p i n g 的攻击类型只需要饭少量的包就可以摧毁一个系统但是多数的d o s 攻击还是需要 相当大的带宽。但是高带宽是大公司所拥有的而以个人为主的黑客很难享用。为了 克服这个缺点，攻击者开发了分布式的攻击。这样，攻击者就可以利用工具集合许多 的网络带宽来对同一个目标发送大量的请求。 分布式拒绝服务攻击的英文名字是“d i s t r i b u t e dd e n i a lo f s e r v i c e ”，简称d d o s 。 通过使分散在互连网各处的机器共同完成对一台主机攻击的操作，从而使主机看起来 好像是遭到了来自不同位置许多主机的攻击。 圈2 - 5 分布式拒绝攻击 a g c n t 图2 5 是一个典型的分布式拒绝服务攻击网络结构图。攻击者在c l m m ( 客户端) 操纵攻击过程。h a n d l e r ( 主控端) 是一台已被入侵并运行特定程序的系统主机，每 个主控端主机能够控制多个a g e n t ( 代理端) ，每个代理端也是一台己被入侵并运行 - 6 - m f一燃酬瞅。 一瀚 南京航空航天大学硕士学位论文 另一个特定程序的系统主机。代理端响应攻击命令，向被攻击目标主机发送拒绝服务 攻击数据包。 为了提高分布式拒绝服务攻击的成功率，攻击者需要控制成百上千的被入侵主 机。这些主机通常是l i n u x 和s u n 机器，但这些攻击工具也能够移植到其它平台上 运行。这些攻击工具入侵主机和安装程序的过程都是自动进行，这个过程可分为以下 几个步骤：1 探测扫描大量主机以寻找可入侵主机目标；2 入侵有安全漏洞的主机 并获取控制权；3 在每台入侵主机中安装攻击程序；4 利用已入侵主机继续进行扫 描和入侵。由于整个过程是自动化的，攻击者能够在5 秒钟内入侵一台主机并安装攻 击工具。也就是说，在短短的一小时内可以入侵数千台主机。 至今为止，攻击者最常使用的分布式拒绝服务攻击程序包括：t r i n o o 、t f n 、 t f n 2 k 、s t a c h e l d r a h t 、b l i t z n e t 、f a p i 、t r a n k 等。 1 t r i n o o t r i n o o 一次典型的攻击过程很可能是这样的： 1 ) 一个盗取来的账号被用于编译各种扫描工具、攻击工具( 如缓冲区溢出程序) 、 r o o t k i t 和s n i f f e r 、w i n o o 守护程序等等。这个账号所在的系统往往是一些拥有很 多用户、存在管理漏洞和具有高速连接速率的大型主机系统。 2 ) 然后对一个大范围的网络进行扫描以确定潜在的入侵目标。 3 ) 在得到入侵主机清单后，编写实现入侵攻击、监听t c p 端口( 通常为1 5 2 4 ) 和 连接到该端口以确定入侵成功的脚本程序。或者通过发送电子邮件到一个免费 w e b 邮箱以确认已入侵该主机。 4 ) 从已入侵系统清单中选出满足建立t r i n o o 网络需要的主机，放置已编译好的t r i n o o 守护程序。 5 ) 最后，运行d o s 攻击脚本，该脚本根据上面建立的被入侵主机清单，生成另外的 脚本程序，在后台以最快韵速度自动安装。脚本使用“n e t c a t ”将s h e l l 脚本发送 到被入侵主机的1 5 2 4 t c p 端口。 6 ) 作为一种选择，r o o t l d t 常常被安装到系统中以隐藏攻击程序、文件和网络连接。 这对于主控端来说更为重要，因为它是t r i n o o 网络的核心部份。 在构建好攻击网络后，攻击者在客户端通过t e l n e t 协议与主控端建立t c p 连接， 并通过发送带有口令的攻击指令，实现大范围、大流量、并发性的拒绝服务攻击。 t r i n o o 攻击工具还具有口令保护功能。为了阻止系统管理员( 或其他黑客组织) 得到该t r i n o o 网络的控制权，主控端程序和守护程序都有口令保护。口令使用对称式 加密方式进行加密，经过加密的口令保存在己编译的主控端程序和守护程序中，并与 以明文方式在网络中传输的口令比较。初始化运行时，出现主守护进程提示符等待 输入口令。如果口令不正确，程序退出；如果口令正确，提示进程正在运行，然后产 生子进程在后台运行，最后退出。从主控端发送到t r i n o o 守护程序的某些命令也会有 口令保护这些口令在主控端与守护程序之间同样以明文形式传送。 7 桌面防御系统的设计与实现 2 i f n 2 k t f n 2 k 是t f n 的后续版本，当前互联网中的u n i x 、s o l a r i s 和w i n d o w sn t 等 平台的主机能被用于此类攻击，而且这个工具非常容易被移植到其它系统平台上。 与t r i n o o 只能实现u d p 攻击不同，t f n 2 k 对目标的攻击方法包括s y nf l o o d 、 u d pf l o o d 、i c m pf l o o d 、s m u r f 攻击等。而且由一个主控端控制的多个代理端主机 能够在攻击过程中相互协同，保证攻击的连续| 生。 t f n 2 k 在客户端、主控端和代理端相互之间通讯所使用的协议与t r i n o o 和t f n 均有所不同。t r i n o o 使用t c p 、u d p ，t f n 使用i c m pe c h o r e p l y 包来实现，而 在t f n 2 k 中主控端通过t c p 、u d p 、i c m p 或随机性使用其中之一的数据包向代 理端主机发送命令。除了i c m p 总是使用i c m pe c h o r e p l y 类型数据包外，数据 包的头信息也是随机的。 与其上一代版本t f n 不同，t f n 2 k 的守护程序是完全沉默的，它不会对接收到 的命令有任何回应。主控端重复发送每一个命令2 0 次，并且认为守护程序应该至少 能接收到其中一个。这些命令数据包可能混杂了许多发送到随机l p 地址的伪造数据 包。t f n 2 k 的所有命令都使用c a s t - 2 5 6 算法( r f c2 6 1 2 ) 进行加密，加密关键字 在程序编译时定义，并作为n 州2 k 主控端程序的口令。 在发动攻击时，t f n 2 k 守护进程为每一个攻击产生子进程，并试图通过修改进 程名以掩饰自己。伪造的进程名在编译时指定，因此每次安装时都有可能不同。这个 功能使t f n 2 k 伪装成代理端主机的普通正常进程。因此，只是简单地检查进程列表 未必能找到t f n 2 k 守护进程及其子进程。 2 3 探测攻击 通过扫描运行连接的服务和开放的端口，能够迅速发现主机的t c p 或u d p 的端 口分配情况提供的各项服务和服务程序的版本号，使得黑客能够对目标机器作一个 大致的了解，找到有机可乘的服务或端口。例如黑客在作端口扫描时发现端口5 3 打 开了，而且其守护服务器是有安全漏洞的b i n d 版本，这时他只要找到相应的漏洞攻 击程序就可轻而易举地使守护进程崩溃。 通过查找b a n n e r 获得操作系统类型和版本的方法，虽然是一个比较古老的方法， 但迄今为止仍然是相当有效的。随着这个问题的严重性被广泛意识到，越来越多的人 已经开始将b a n n e r 去掉，许多系统的b a n n e r 也不再泄露重要的信息。但是即使关闭 了b a n n e r ，许多应用程序却仍然乐于向访问者提供这类信息，如f t p 服务器、w e b 服务器等。其它“传统”的技术还包括d n s 主机记录( i n f o ) 、社交工程( s o c i a l e n g i n e e r i n g ) 和s n m p 等。 利用堆栈特征探测操作系统是一种独特的方法。目前有许多网络堆栈特征探测技 术，最简单的就是寻找各种操作系统间的不同，并写出探测程序。当使用了足够的不 b 南京航空航天大学硕士学位论文 同特征时，操作系统的探测精度就有了很大保证。例如n m a p 能可靠地区分出s o l a r i s 2 4 、s o l a r i s2 5 - 2 5 1 和s o l a r i s2 6 ，也能区分2 0 3 0 、2 0 _ 3 1 3 4 或2 0 3 5 版本的l i n u x 内核。 接下来将详细分析一些利用堆栈特征进行探测的技术。 1 f i n 探测 通过发送一个f i n 数据包，或任何未设置a c k 或s y n 标记位的数据包到一个 打开的端口，并等待回应。r f c 7 9 3 定义的标准行为是“不”响应，但诸如m s w i n d o w s 、c i s c o 、h p i x 、m v s 和i r i x 等操作系统会回应一个r e s e t 包。 2 b o g u s ( 伪造) 标记位探测 其原理是在一个t c p s y n 数据包头中设置未定义的t c p “标记”。低于2 0 3 5 版本的l i n u x 内核会在回应包中保持这个标记，而有些操作系统当接收到一个 s y n + b o g u s 数据包时会复位连接。所以这种方法能够比较有效地识别出操作系统。 3 t c pi s n ( i s n ：i n i t i a ls e q u e n c en u m b e r ) 取样 其原理是通过在操作系统对连接请求的回应中寻找t c p 连接初始化序列号的特 征。目前可以区分的类别有：传统的6 4 k 这是旧u n i x 系统使用的值；新版本s o l a r i s 、 i l l i x 、f r e e b s d 、d i g i t a lu n i x 、c r a y 和其它许多系统使用的随机增加方式：真正“随 机”方式，这披l i n u x2 0 及更高版本、o p e n v m s 和新版本的a i x 等操作系统所使 用。w i n d o w s 平台，使用“基于时间”方式产生的i s n 会随着时间的变化而有着相 对固定的增长。还存在一些机器总是使用相同的i s n ，如某些3 c o m 集线器使用0 x 8 3 、 a p p l el a s e r w r i t e r 打印机使用0 x c 7 0 0 1 。 根据计算i s n 的变化、最大公约数和其它一些有迹可循的规律，还可以将这些类 别分得更细，更准确。 4 t c p 初始化“窗口” 其原理就是检查返回数据包的“窗口”大小。以前的探测器仅仅通过r s t 数据 包的非零“窗口”值来标识为“起源于b s d 4 4 ”。而象q u e s o 和n m a p 这些新的探测 器会记录确切的窗口值，因为该窟口随操作系统类型有较为稳定的数值。例如，a i x 是唯一使用0 x 3 f 2 5 窗口值的操作系统；而在w i n d o w s 2 0 0 0 的t c p 堆栈中，m i c r o s o f t 使用的窗口值总是0 x 4 0 2 e ，这个数值同时也被o p e n b s d 和f r e e b s d 使用。 5 a c k 值 操作系统在a c k 域值的实现也有所不同。例如，假设向一个关闭的t c p 端口发 送一个f i n p s h i u r g 包，许多操作系统会将a c k 值设置为i s n 值，但w i n d o w s 和 某些打印机会设置为s e q + l 。如果向打开的端口发送s y n i f i n i u r g i p s h 包，w i n d o w s 的返回值就会非常不确定。有时是s e q 序列号值，而有时回送的是一个似乎根随机性 的数值。 6 i c m p 错误信息查询 有些操作系统根据r f c1 8 1 2 的建议对某些类型的错误信息发送频率作了限制。 9 桌面防御系统的设计与实现 例如，l i n u x 内核限制发送“目标不可到达”信息次数为每4 秒8 0 次，如果超过这 个限制则会再减少1 4 秒。一种测试方法是向高端随机u d p 端口发送成批的数据包， 并计算接收到的“目标不可到达”数据包的数量。这种探测操作系统方法需要稍微长 的时间，因为需要发送大量的数据包并等待它们的返回。这种数据包处理方式也会对 网络性能造成某种程度的影响。 7 i c m p 信息引用 r f c 定义了一些i c m p 错误信息格式。如对于一个端口不可到达信息，几乎所有 操作系统都只回送i p 请求头+ 8 字节长度的包，但s o l a r i s 返回的包会稍微长一点， l i n u x 则返回更长的包。这样即使操作系统没有任何监听任何端1 2 ，n m a p 仍然有可能 确定l i n u x 和s o l a r i s 操作系统的主机。 8 服务类型 其原理是对i c m p 的“端口不可到达”信息返回包的服务类型字段值进行检查， 几乎所有的操作系统使用i c m p 错误类型0 ，而l i n u x 使用的值是0 x c 0 。 9 t c p 选项 这是收集信息的最有效方法之一。其原因是： 1 ) 它们通常真的是“可选的”，并不是所有的操作系统都使用它们。 2 ) 向目标主机发送带有可选项标记的数据包时，如果操作系统支持这些选项， 会在返回包中也设置这些标记。 3 ) 可毗一次在数据包中设置多个可选项，从而增加了探测的准确度。 n m a p 在几乎每一个探测数据包中都设置了如下选项： w i n d o w s c a l e = f 0 ；n o p ；m a xs e g m e n ts i z e = 2 6 5 ；t i m e s t a m p ；e n d o f o p s ； 当接收到返回包时，检查返回了哪些选项，它们就是目标操作系统支持的选项。有些 操作系统支持以上所有选项，如较新版本的f r e e b s d 、l i n u x 2 1 x 。而有些则几乎都 不支持，如l i n u x2 0 m 如果有几个操作系统支持相同的选项，可以通过选项的值来进行区分。例如，如 果向l i n u x 机器发送一个 l i d , 的m s s 值，它一般会将此m s s 值返回，而其它系统则 会返回不同数值。如果支持相同的选项，返回值也相同，仍然可以通过返回选项的顺 序进行区分。 2 4 特洛伊木马 特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户或是通 过欺骗用户的方式，秘密安装到目标系统具有特殊功能的程序。一旦安装成功并取得 管理员权限就可以直接远程控制目标系统。木马的实质就是一个网络客户机朋艮务 器程序，被控制端( 即目标系统) 成为一台服务器，控制端为客户机。当目标计算机 启动时，木马程序随之启动，然后在某一特定的端口监听。通过监听端口收到命令后， - 1 0 南京航空航天大学硕士学位论文 木马程序根据命令在目标计算机上执行一些操作，如传送或删除文件、窃取口令、重 新启动计算机等。 由于木马并不是一个合法的网络服务程序，因此必须要在任务栏、任务管理器等 的地方进行隐藏，同时要能做到悄无声息地启动。w i n d o w s 支持多种在系统启动时自 动加载应用程序的方法，故木马就可以在启动组、w i n i n i 、s y s t e m i n i 、注册表中藏身。 以冰河木马为例，一旦这个程序成功安装后，冰河就会在w i n d o w s 注册表的 h k e yl o c a lm a c h i n b s o f t w a r e h m i e r o s o m w i n d o w s c u r r e n t v e r s i o n k r u n 键值和 r u n s e r v i c e 键值中加上 、l k e m l 3 2 e x e ( 为系统目录) 。同时冰河的 服务器端会在c ：w i n d o w s 下生成一个叫s y s e x p l r e x e 文件，当然这个路径会随着目标 系统w i n d o w s 的安装目录变化而变化。s y s e x p l r e x e 文件是与文本文件相关联的，只 要打开了文本，该文件就会重新生成k e r n l 3 2 e x e ，从而保证即使注册表中的键值被删 除冰河仍然能够控制目标计算机。 木马的端口一般都在1 0 0 0 以上，而且呈越来越大的趋势。这是因为，1 0 0 0 以下 的端口是常用端口，占用这些端口可能会造成系统不正常这样木马就很容易暴露。 为了防止被检测出来，木马的端口通常还可以由用户自己定义。木马服务器端自定制 的奥秘就在于：首先生成了一个e x e 文件，这个e x e 文件里有一项读取自身进程内 容的操作，读取时，文件的指针直接指向进程的末尾，从末尾的倒数n 个字节处取 得用户定制的信息，比如端口号等，然后传递给程序的相关部分进行处理。 术马技术也在不断地更新，现在出现了一种新的技术，即驱动程序及动态链接库 技术。该技术和一般的木马不同，它基本上摆脱了原有监听端口的木马模式，而采用 通过改写驱动程序或动态链接库来替代系统功能的方法。这样做的结果就是：系统中 没有增加新的文件、不需要打开新的端口、没有新的进程。在正常运行时，木马几乎 没有任何的症状，而一旦木马的控制端向被控制端发出特定的信息后，隐藏的程序就 立即开始运作。 常见的特洛伊木马程序有：b o 、n c t s p y 、n e t b u s 、冰河等。下面以b o 为例说明。 b o 全称b a c ko r i f i c e ，由黑客群体t h ec u l to f t h ed e a dc o w 发布可以使用户经 由t c p u d p 网络进入并控制远程w i n d o w s 系统。黑客通过客户端程序访问b o 服务 器，b o 服务器允许黑客执行系统命令、列表文件、启动设备、共享目录、上载和下 载文件、修改注册表、中止进程、列出进程、重设置机器、重定向网络以及其他许多 操作，以达到监视、控制远程机器和搜集资料的目的。 b o 的入侵方法是先运行b o c o n t i g e x e 对b o s e r v e r e x e 进行设置，如服务端文件 名、使用的网络协议、监听的端口号、加密方法、密钥等。然后将b o s e r v e r e x e 发给 要攻击的计算机，一旦对方运行了这个程序，b o 服务器就自动安装到w i n d o w s 中并 销毁b o s e r v e r e x e 。此后，只要任何知道监听端口和b 0 密码的人都可以远程控制该 主机。 b o 客户机向特定的i p 地址发送命令来实现对b o 服务器的操作。如果b o 服务 】1 桌面防御系统的设计与实现 器没有静态的i p 地址，则扫描子网列表。当b o 服务器响应时，b o 客户机在子网列 表目录中浏览，并显示所匹配的行和子网地址。b o 客户机和b o 服务器之问的通信 使用的是加密后的u d p 包。b o 客户机发送数据到b o 服务器监听端口( 默认为 3 1 3 3 7 u d p 端口) ，如若b o 客户机密码和b o 服务器已配置好的密码匹配，则通信 成功。 2 5 口令攻击 合法的口令是阻挡黑客入侵网络的第一道防线，因而黑客攻击目标是常常把破译 用户口令作为攻击的开始。如先用“f i n g e r 远端主机名”找出主机上的用户账号，然 后用口令猜测程序等方法进行攻击。由于普通用户对系统安全没有具体的认识，习惯 选择拙劣的口令，重复的研究表明，猜测口令极易成功。而且对于黑客来说，他并不 需要所有人的口令，只需得到几个甚至一个用户口令就能获得系统的控制权。 猜测式口令攻击主要采用两种基本形式。第一种是在登录时尝试使用已知的或假 设的用户名和类似的猜测口令。这种方法常常获得惊人的成功，例如国内许多i s p 提 供给用户的口令和其e - m a i l 信箱的口令是一致的，有些用户的密码大部分和其账号 相同，如将账号的第一个字母大写或后面加一个数字等。而且站点常常有账号一口令 对，这些账号一1 3 令对还经常出现于系统手册中如f i e l d - - s e r v i c e 、g u e s t - - g u e s t 、a d m i n m a n a g e r 等。 黑客设法寻求口令的第二种方法是对偷来的e l 令文件进行匹配推测。例如在 u n i x 操作系统中用户的基本信息存放在p a s s w d 文件中，而所有的口令在经过d e s 加密后存放在s h a d o w 文件中。老版本的i n i x 没有s h a d o w 文件，所有的口令也都存 放在p a s s w d 文件中。黑客在获得口令文件后还要再获得一个字典文件，即一个用 户常用密码单词表。然后用用户的加密程序加密这些单词，接下来把每个单词加密后 的结果与目标加密后的结果进行比较，如果匹配，则该单词就是加密关键字。 如果只能获得用户账号信息，黑客还可能采用字典穷举法进行攻击。由于用户常 采用个英语单词或自己的姓或名或自己姓名汉语拼音的缩写作为口令，因而可以通 过一些程序，自动从电脑字典中取出一个单词，作为用户的口令输入给远端的主机， 申请进入系统。若口令错误，就按序取出下一个单词，进行下一个尝试。一直循环下 去，直至找到正确的口令或字典单词试完为止。整个破译过程由计算机程序自动完成， 几个小时就可以把字典的所有单词都试一遍。 黑客获取用户口令的另一种方法是从一个合法的终端上搭接电缆窃听会话并记 录用户口令。如用户使用t e l n e t 协议登录到一台主机上，由于t e l n e t 本身缺乏加密功 能，用户所键入的每一个字符( 包括用户名、密码等重要信息) ，都将被明文发送， 这就给黑客提供了机会。对于黑客的这种方法，无论用户选择的口令如何好都无济于 事。 1