网络安全复习要点.doc

第一章1、网络不安全的原因: 自身缺陷开放性黑客攻击安全的几个概念: 2、信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。网络安全：计算机网络环境下的信息安全。3、信息的安全需求：保密性：对信息资源开放范围的控制。（数据加密、访问控制、防计算机电磁泄漏等安全措施）完整性：保证计算机系统中的信息处于“保持完整或一种未受损的状态”。（任何对系统信息应有特性或状态的中断、窃取、篡改、伪造都是破坏系统信息完整性的行为。）可用性：合法用户在需要的时候，可以正确使用所需的信息而不遭服务拒绝。l 单机系统的信息保密阶段信息保密技术的研究成果： 发展各种密码算法及其应用：DES（数据加密标准）、RSA（公开密钥体制）、ECC（椭圆曲线离散对数密码体制）等。 计算机信息系统安全模型和安全评价准则：访问监视器模型、多级安全模型等；TCSEC（可信计算机系统评价准则）、ITSEC（信息技术安全评价准则）等。l 信息保障阶段信息保障技术框架IATF：由美国国家安全局制定，提出“纵深防御策略”DiD（Defense-in-Depth Strategy）。在信息保障的概念下，信息安全保障的PDRR模型的内涵已经超出了传统的信息安全保密，而是保护（Protection）、检测（Detection）、响应（Reaction）和恢复（Restore）的有机结合。信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。4、 计算机信息系统安全模型和安全评价准则：访问监视器模型、多级安全模型等；TCSEC（可信计算机系统评价准则）、ITSEC（信息技术安全评价准则）等。5、 PDRR模型的内涵：保护（Protection）、检测（Detection）、响应（Reaction）和恢复（Restore）的有机结合。 信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。6、 PDRR安全模型（1）PDRR安全模型1. 保护：采用一切手段（主要指静态防护手段）保护信息系统的五大特性2. 检测：检测本地网络的安全漏洞和存在的非法信息流，从而有效阻止网络攻击3. 响应：对危及网络安全的事件和行为做出反应，阻止对信息系统的进一步破坏并使损失降到最低4. 恢复: 及时恢复系统，使其尽快正常对外提供服务，是降低网络攻击造成损失的有效途径注意：保护、检测、恢复、响应这几个阶段并不是孤立的，构建信息安全保障体系必须从安全的各个方面进行综合考虑，只有将技术、管理、策略、工程过程等方面紧密结合，安全保障体系才能真正成为指导安全方案设计和建设的有力依据。7、 信息保障体系的组成：法律与政策体系、标准与规范体系、 人才培养体系、 产业支撑体系、 技术保障体系、 组织管理体系8、 WPDRRC安全体系模型：WPDRRC安全体系模型我国863信息安全专家组博采众长推出了WPDRRC安全体系模型。 该模型全面涵盖了各个安全因素，突出了人、策略、管理的重要性，反映了各个安全组件之间的内在联系。 人核心 政策（包括法律、法规、制度、管理）桥梁 技术落实在WPDRRC六个环节的各个方面，在各个环节中起作用l WPDRRC安全体系模型预警：根据以前掌握系统的脆弱性和了解当前的犯罪趋势，预测未来可能受到的攻击和危害。 虽然目前Internet是以光速传播的，但攻击过程还是有时间差和空间差。 如果只以个人的能力实施保护，结果永远是保障能力小于或等于攻击能力，只有变成举国体制、协作机制，才可能做到保障能力大于等于攻击能力。保护：采用一切手段保护信息系统的保密性、完整性、可用性、可控性和不可否认性。 我国已提出实行计算机信息系统的等级保护问题，应该依据不同等级的系统安全要求完善自己系统的安全功能和安全机制。 现有技术和产品十分丰富。检测：利用高技术提供的工具来检查系统存在的，可能提供黑客攻击、病毒泛滥等等的脆弱性。 具备相应的技术工具 形成动态检测制度 建立报告协调机制响应：对于危及安全的事件、行为、过程，及时做出响应的处理，杜绝危害进一步扩大，使得系统力求提供正常的服务。 通过综合建立起来响应的机制，如报警、跟踪、处理（封堵、隔离、报告）等； 提高实时性，形成快速响应的能力。恢复：对所有数据进行备份，并采用容错、冗余、替换、修复和一致性保证等相应技术迅速恢复系统运转。反击：利用高技术工具，提供犯罪分子犯罪的线索、犯罪依据，依法侦查犯罪分子处理犯罪案件，要求形成取证能力和打击手段，依法打击犯罪和网络恐怖主义分子。相关技术及工具：取证、证据保全、举证、起诉、打击、媒体修复、媒体恢复、数据检查、完整性分析、系统分析、密码分析破译、追踪。9、安全产品类型信息保密产品、用户授权认证产品、安全平台/系统、 安全检测与监控产品第二章1、网络攻击：网络攻击者利用目前网络通信协议（如TCP/IP协议）自身存在的或因配置不当而产生的安全漏洞、用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等，通过使用网络命令、从Internet上下载的专用软件或者攻击者自己编写的软件，非法进入本地或远程用户主机系统，非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息（如特洛伊木马）等一系列过程的总称。2、常见的网络攻击手段：阻塞类攻击、控制类攻击、探测类攻击、欺骗类攻击、漏洞类攻击、破坏类攻击。注意：在一次网络攻击中，并非只使用上述六种攻击手段中的某一种，而是多种攻击手段相综合，取长补短，发挥各自不同的作用。3、阻塞类攻击阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。 拒绝服务攻击（DoS，Denial of Service）是典型的阻塞类攻击，它是一类个人或多人利用Internet协议组的某些工具，拒绝合法用户对目标系统（如服务器）和信息的合法访问的攻击。常见的方法：TCP SYN洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹等多种方式。4、TCP SYN 洪泛攻击5、Land攻击 land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。 在Land攻击中，一个特别打造的SYN包中的源地址和目标地址都被设置成某一个服务器地址，这时将导致接受服务器向它自己的地址发送SYN一ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。 对Land攻击反应不同，许多UNIX系统将崩溃，而 Windows NT 会变的极其缓慢（大约持续五分钟）。 6、Smurf攻击 Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。 这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。7、电子邮件炸弹 电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。 由于这种攻击方式简单易用，也有很多发匿名邮件的工具，而且只要对方获悉你的电子邮件地址就可以进行攻击，所以这是大家最值得防范的一个攻击手段。8、阻塞类攻击后果：DoS攻击的后果： 使目标系统死机； 使端口处于停顿状态； 在计算机屏幕上发出杂乱信息、改变文件名称、删除关键的程序文件； 扭曲系统的资源状态，使系统的处理速度降低。9、 控制类攻击控制型攻击是一类试图获得对目标机器控制权的攻击。最常见的三种：口令攻击、特洛伊木马、缓冲区溢出攻击。口令截获与破解仍然是最有效的口令攻击手段，进一步的发展应该是研制功能更强的口令破解程序；木马技术目前着重研究更新的隐藏技术和秘密信道技术；缓冲区溢出是一种常用的攻击技术，早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击，现在研究制造缓冲区溢出。10、口令攻击攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能猜测或者确定用户的口令，他就能获得机器或者网络的访问权，并能访问到用户能访问到的任何资源。如果这个用户有域管理员或root用户权限，攻击就变得极其危险。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法很多，如： 利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上； 利用目标主机的X.500服务：有些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径； 从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的帐号；查看主机是否有习惯性的帐号：有经验的用户都知道，很多系统会使用一些习惯性的帐号，造成帐号的泄露。 1）猜测攻击。首先使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令，像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后，黑客可以列举出几百种可能的口令，并在很短的时间内就可以完成猜测攻击。2）字典攻击。如果猜测攻击不成功，入侵者会继续扩大攻击范围，对所有英文单词进行尝试，程序将按序取出一个又一个的单词，进行一次又一次尝试，直到成功。据有的传媒报导，对于一个有8 万个英文单词的集合来说，入侵者不到一分半钟就可试完。所以，如果用户的口令不太长或是单词、短语，那么很快就会被破译出来。3）穷举攻击如果字典攻击仍然不能成功，入侵者会采取穷举攻击。一般从长度为1的口令开始，按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令，穷举攻击的成功率很高。如果每千分之一秒检查一个口令，那么86%的口令可以在一周内破译出来。4）混合攻击结合了字典攻击和穷举攻击，先字典攻击，再暴力攻击5）直接破解系统口令文件所有的攻击都不能奏效时，入侵者会寻找目标主机的安全漏洞和薄弱环节，伺机偷走存放系统口令的文件，然后破译加密的口令，以便冒充合法用户访问这台主机。6）网络嗅探通过嗅探器在局域网内嗅探明文传输的口令字符串。7）键盘记录在目标系统中安装键盘记录后门，记录操作员输入的口令字符串。11、探测类攻击信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。主要包括：扫描技术、体系结构刺探、系统信息服务收集等。目前正在发展更先进的网络无踪迹信息探测技术。网络安全扫描技术：网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。它既可用于对本地网络进行安全增强，也可被网络攻击者用来进行网络攻击。12、欺骗类攻击欺骗类攻击包括IP欺骗和假消息攻击，前一种通过冒充合法网络主机骗取敏感信息，后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。主要包括：ARP缓存虚构、DNS高速缓存污染、伪造电子邮件等。13、漏洞类攻击针对扫描器发现的网络系统的各种漏洞实施的相应攻击，伴随新发现的漏洞，攻击手段不断翻新，防不胜防。漏洞（Hole）：系统硬件或者软件存在某种形式的安全方面的脆弱性，这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高其访问权限。要找到某种平台或者某类安全漏洞也是比较简单的。在Internet上的许多站点，不论是公开的还是秘密的，都提供漏洞的归档和索引等。14、破坏类攻击破坏类攻击指对目标机器的各种数据与软件实施破坏的一类攻击，包括计算机病毒、逻辑炸弹等攻击手段。计算机中的“逻辑炸弹”是指在特定逻辑条件满足时，实施破坏的计算机程序，该程序触发后造成计算机数据丢失、计算机不能从硬盘或者软盘引导，甚至会使整个系统瘫痪，并出现物理损坏的虚假现象。 逻辑炸弹与计算机病毒的主要区别：逻辑炸弹没有感染能力，它不会自动传播到其他软件内。注意：由于我国使用的大多数系统都是国外进口的，其中是否存在逻辑炸弹，应该保持一定的警惕。对于机要部门中的计算机系统，应该以使用自己开发的软件为主。15、攻击的目的攻击动机：恶作剧、恶意破坏、商业目的、政治军事攻击目的：破坏、入侵16、攻击的步骤攻击的准备阶段：确定攻击目的、准备攻击工具、收集目标信息攻击的实施阶段：隐藏自己的位置、利用收集到的信息获取帐号和密码，登录主机、利用漏洞或者其他方法获得控制权并窃取网络资源和特权攻击的善后阶段：1.对于Windows系统：禁止日志审计、清除事件日志、清除IIS服务日志2.对于UNIX系统3.为了下次攻击的方便，攻击者都会留下一个后门，充当后门的工具种类非常多，最典型的是木马程序。17、攻击诀窍基本方法:A口令入侵: 获取账号：Finger ，X.500 ，电子邮件地址 ，默认账号;获取密码：网络监听 ，Bruce，漏洞与失误;特洛伊木马程序 ;WWW欺骗;电子邮件攻击;电子邮件轰炸 ，电子邮件欺骗B黑客软件:Back Orifice2000、冰河C安全漏洞攻击：Outlook ，IIS，Serv-UD对防火墙的攻击：Firewalking、Hping E渗透 F路由器攻击 常用攻击工具 ：1.网络侦查工具 ：superscan ，Nmap；2.拒绝服务攻击工具：DDoS攻击者1.4 , sqldos , Trinoo；3.木马:BO2000 ，冰河 ，NetSpy 18、网络安全攻击（或者叫渗透测试）是网络安全评估的重要手段。第三章 网络侦察技术1、 网络扫描（网络扫描重点介绍三种扫描类型）a 地址扫描：发现计算机网络上存活的计算机；b 端口扫描：发现计算机网络的服务；端口号和网络服务相关联；（1）入侵者在进行攻击前，首先要了解目标系统的一些信息：如目标主机运行的是什么操作系统；是否有保护措施，运行什么服务；运行的服务的版本等等。（2）判断运行服务的方法就是通过端口扫描，因为常用的服务是使用标准的端口，只要扫描到相应的端口，就能知道目标主机上运行着什么服务，然后入侵者才能针对这些服务进行相应的攻击。c 漏洞扫描：发现计算机系统上的漏洞。 （1）漏洞扫描是指使用漏洞扫描程序对目标系统进行信息查询 ；（3）漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序 ； （4）外部扫描与内部扫描：1） 是否通过Internet来进行。常用的扫描器：Nmap、Nessus、X-Scan2、扫描器扫描器的定义：扫描器是一种收集系统信息，自动检测远程或本地主机安全性弱点的程序。 扫描器的作用：可以发现远程服务器是否存活;它对外开放的各种TCP端口的分配及提供的服务;它所使用的软件版本(如操作系统或其他应用软件的版本);所存在可能被利用的系统漏洞.3、常用的扫描器：（1）Nmap(端口扫描器)（a） UDP、TCP connect、TCP SYN（半开）、ftp proxy（跳跃攻击）、Reverse-ident、ICMP(ping)、FIN、ACK sweep、Xmas Tree、SYN sweep和NULL扫描。 （b）通过TCP/IP来鉴别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的Ping侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活目标选择以及端口的描述。 （2）Nessus(漏洞扫描器) ；Nessus是图形化的界面，使得它使用起来相当简便，它还对扫描出的漏洞给出详细的利用方法和补救方法。所以，Nessus是攻击者和网管都应该学会使用的漏洞检查利器 。（3）X-scan ； 提供了图形界面和命令行两种操作方式 ；远程操作系统类型及版本、标准端口状态及端口banner信息、CGI漏洞、RPC漏洞、SQL-SERVER默认帐户、弱口令，NT主机共享信息、用户信息、组信息、NT主机弱口令用户 。4、对抗扫描的方法 防火墙：阻止扫描数据。 网络入侵检测系统：检测扫描数据。 仅仅允许必须的端口开放，过滤或关闭其他端口。 管理员适当配置系统的TCP/IP协议栈的性质，以对抗操作系统的指纹识别。 使用者的安全教育。5、网络监听网络监听:监视网络状态，数据流程以及网络上信息传输的技术。 网络嗅探的目的是截获通信的内容。 嗅探（监听）的方法是对协议进行分析。 当黑客成功地登录进一台网络上的主机，并取得了root权限之后，而且还想利用这台主机去攻击同一网段上的其它主机时，这时网络监听是一种最简单而且最有效的方法，它常常能轻易地获得用其他方法很难获得的信息。 （1）以太网的监听 共享以太网上的嗅探器 以太网逻辑上是总线拓扑结构，采用广播的通信方式。 数据的传输是依靠帧中的MAC地址来寻找目的主机。只有与数据帧中目标地址一致的那台主机才能接收数据（广播帧除外，它永远都是发送到所有的主机）。 但是，当网卡工作在混杂模式（Promiscuous）下时，无论帧中的目标物理地址是什么，主机都将接收。如果在这台主机上安装嗅探器，就可以达到监听的目的。 （2）交换式网络上的嗅探器（Ethernet Switch） 交换以太网中，交换机能根据数据帧中的目的MAC地址将数据帧准确地送到目的主机的端口，而不是所有的端口。 所以交换式网络环境在一定程度上能抵御Sniffer攻击。 在交换环境中，Sniffer的简单的做法就是伪装成为网关（欺骗交换机） （3）常用工具 ARP欺骗（ARP poisoning/spoofing）/“中间人”攻击6、什么是ARP？ ARP (Address Resolution Protocol) 提供IP地址到相应的硬件地址（物理地址或MAC地址）之间的映射 应用在局域网中（广播ARP请求） IP地址称为逻辑地址，数据在物理网络上传输使用的是硬件地址（数据链路层协议帧封装的需要）。 如果一台主机需要知道路由器或另外一台主机的物理地址，就需要使用ARP协议。 控制信息有：ARP请求（广播）和ARP应答（单播） ARP请求和响应是内核处理的。7、网络监听的防范方法 ：确保以太网的整体安全性 、采用加密技术 8、检测网络监听的手段 ：反应时间、 DNS测试 、利用ping进行监测 、利用ARP数据包进行监测 9、口令破解 黑客攻击目标时常常把破译普通用户的口令作为攻击的开始。 字典文件 用户的名字、生日、电话号码、身份证号码、所居住街道的名字等。10、口令攻击类型 ：字典攻击、强行攻击、组合攻击 11、口令破解器 ：工作原理第四章 拒绝服务攻击1、 拒绝服务攻击概述 DoS定义：拒绝服务攻击DoS（Denial of Service）是阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式。 DoS攻击思想：a.服务器的缓冲区满，不接收新的请求。B.使用IP欺骗，迫使服务器将合法用户的连接复位，影响合法用户的连接。2、拒绝服务攻击分类 攻击模式 ：消耗资源（网络带宽、存储空间、 CPU时间等）；破坏或改变配置信息；物理破坏或者改变网络部件；利用服务程序中的处理错误使服务失效 发起方式：传统的拒绝服务攻击 ；分布式拒绝服务攻击（Distributed Denial of Service ）（1）攻击模式：消耗资源 针对网络连接的拒绝服务攻击 ping 、flooding、SYN flooding ping、finger广播包 广播风暴（SMURF攻击） 消耗磁盘空间 Email ERROR-LOG FTP站点的incoming目录 制造垃圾文件 消耗CPU资源和内存资源 main() fork()； main()； （2）攻击模式：破坏或更改配置信息 修改服务用户群（apache服务器，access.conf配置文件） 删除口令文件（tmp目录安全问题，Linux）（3）攻击模式：物理破坏或改变网络部件 计算机、路由器、网络配线室、网络主干段、电源、冷却设备、其它的网络关键设备 （4）攻击模式：利用服务程序中的处理错误使服务失效 LAND攻击3、服务端口攻击【1】（1） SYN Flooding（同步包风暴拒绝服务攻击） Smurf攻击 利用处理程序错误的拒绝服务攻击 （2）SYN Flooding 具有以下特点 针对TCP/IP协议的薄弱环节进行攻击 发动攻击时，只要很少的数据流量就可以产生显著的效果 攻击来源无法定位（IP欺骗） 在服务端无法区分TCP连接请求是否合法 同步包风暴攻击的本质是利用TCP/IP协议集的设计弱点和缺陷 只有对现有的TCP/IP协议集进行重大改变才能修正这些缺陷（3）SYN Flooding应对：化系统配置、化路由器配置、用防火墙、动监视、完善基础设施 【2】（1）Smurf攻击 ：种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络数据充斥目标系统，引起目标系统拒绝为正常请求进行服务。 （2）Smurf攻击 应对 ： 实际发起攻击的网络 过滤掉源地址为其他网络的数据包 被攻击者利用的中间网络 配置路由器禁止IP广播包 被攻击的目标 与ISP协商，由ISP暂时阻止这些流量（3）Land攻击 攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能 对Land攻击反应不同，许多UNIX系统将崩溃，而Windows会变的极其缓慢（大约持续五分钟） 4、 电子邮件轰炸 定义：在很短时间内收到大量无用的电子邮件 SMTP端口 (TCP 25)【1】 邮件列表炸弹 KaBoom! 这种攻击有两个特点 真正的匿名，发送邮件的是邮件列表 难以避免这种攻击，除非被攻击者更换电子邮件地址，或者向邮件列表申请退出 病毒发送电子邮件炸弹 应对方法： 配置路由器和防火墙，识别邮件炸弹的源头，不使其通过 提高系统记账能力，对事件进行追踪 禁止邮件匿名发送5、分布式拒绝服务攻击DDoS 分布式拒绝服务DDoS（Distributed Denial of Service）攻击是对传统DoS攻击的发展。 定义：攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。 6、传统的拒绝服务攻击的缺点 受网络资源的限制 隐秘性差7、DDoS克服了这两个致命弱点 l 突破了传统攻击方式从本地攻击的局限性和不安全性 l 其隐蔽性和分布性很难被识别和防御 8、被DDoS攻击时可能的现象 被攻击主机上有大量等待的TCP连接 端口随意 大量源地址为假的无用的数据包 高流量的无用数据造成网络拥塞 利用缺陷，反复发出服务请求，使受害主机无法及时处理正常请求 严重时会造成死机9、DDoS工具 Trinoo UDP TFN（Tribe Flooding Network） Stacheldraht TFN2K（Tribe Flooding Network 2000） 多点攻击、加密传输、完整性检查、随机选择底层协议和攻击手段、IP地址欺骗、哑代理、隐藏身份等特点 Trinity v3 技术挑战：需要Internet范围的分布式响应、缺少攻击的详细信息、缺少防御系统的性能、大范围测试的困难性 社会挑战：DDoS的分布性、所有受保护的目标都需要防护 防御基本方式：给单个主机打上补丁、优化网络结构、过滤危险数据包 防御方法1） 保护：数据源证实；数据证实；资源分配；目标隐藏2） 检测：异常检测；误用检测；特征检测3） 响应：流量策略（过滤；流量限制）；攻击追踪；服务区分第五章 缓冲区溢出攻击1、 缓冲区溢出攻击的原理 定义：缓冲区溢出攻击是一种通过往程序的缓冲区写超出其长度的内容，造成缓冲区溢出，从而破坏程序的堆栈，使程序转而执行其他预设指令，以达到攻击目的的攻击方法。 分类： 基于栈（Stack-based）的缓冲区溢出（本章内容） 基于堆的（Heap-based）缓冲区溢出2、缓冲区溢出程序原理及要素 缓冲区溢出程序的原理 众所周知，C语言不进行数组的边界检查 在许多C语言实现的应用程序中，都假定缓冲区的长度是足够的，即它的长度肯定大于要拷贝的字符串的长度。3、缓冲区溢出程序的原理 内存结构 内存操作原则： 缓冲区由高地址向低地址增长； 函数返回地址存放在函数地址空间的高地址部分； 字符串拷贝由低地址向高地址进行； 缓冲区由高地址向低地址增长； 函数返回地址存放在函数地址空间的高地址部分； 字符串拷贝由低地址向高地址进行；4、缓冲区溢出攻击的破坏性由哪些因素决定？ ShellCode 被攻击程序的权限5、缓冲区溢出程序原理及要素 关键技术 在程序的地址空间安排适当的代码（ShellCode的编写） 将控制程序转移到攻击代码的方式 Function Pointers Overwrite（覆盖函数指针） Activation Records（覆盖函数调用的返回地址） Longjmp buffers（利用跳转指令） 植入码和流程控制（覆盖函数栈） 可执行的地址空间：代码段/数据段/堆栈段6、攻击UNIX实例分析 Shell Code 的编写 1、构造C语言版的攻击代码 void main() char *name2；name0 = /bin/sh；name1 = NULL；execve(name0， name， NULL)； 在父进程中fork一个子进程，在子进程中调用exec函数启动新的程序。exec函数一共有六个，其中execve为内核级系统调用，其他（execl，execle，execlp，execv，execvp）都是调用execve的库函数 攻击UNIX实例分析 Shell Code 的编写 汇编语言程序 相对偏移 消除0 机器代码 攻击程序7、攻击WINDOWS 与UNIX的不同 WINDOWS系统的用户进程空间是0-2G，操作系统所占的空间为2-4G 用户进程的加载位置为：0x00400000 这个进程的所有指令地址，数据地址和堆栈指针都会含有0，那么我们的返回地址就必然含有0 攻击WINDOWS实例分析 编写Shellcode 汇编程序 机器代码 攻击 WINDOWS 2000 IIS 5 ISAPI msw3prt.dll 攻击程序8、如何防御缓冲区溢出攻击？ 检查程序源代码，特别是边界处理； 禁止运行栈空间的指令； 安全的C库； 编译技术 RAD（Return Address Defender） StackGuard第七章 欺骗攻击1、什么是DNS？ DNS 是域名系统 (Domain Name System) 的缩写，对于以TCP/IP为基础协议的Internet来说，必须找到访问对象的IP地址，才能进行访问，但由于IP地址难于记忆，也不够灵活，Internet规则的制定者发明了一套域名体系与其对应，这时用户无需记忆大量的IP地址数字而能通过域名访问丰富多彩的互联网内容，这给用户带来了极大的方便，但也产生了相关的安全隐患。 DNS可以采用递归查询和迭代查询两种工作方式。【1】DNS欺骗原理：P158；DNS欺骗过程P1592、DNS服务的工作原理 【1】递归查询是最常见的查询方式，域名服务器将代替提出请求的客户机进行域名查询，若域名服务器不能直接回答，则域名服务器会在域各树中的各分支的上下进行递归查询，最终将返回查询结果给客户机，在域名服务器查询期间，客户机将完全处于等待状态。 上图是用户访问一个域名后，通过本地DNS服务器发出递归查询请求的流程图，以下为它的执行流程：a) 一个用户在浏览器中输入。首先计算机询问它的本地DNS服务器，以确定的IP地址。b) 本地的DNS服务器首先在它的本地表（或缓存）中进行查找“”，如果找到那么将其返回客户端，如果没有发现，那么DNS服务器发送一个查询给根服务器，来查询“”的IP地址。c) 根服务器收到信息后会回应“”顶级域（TLD）服务器的地址。d) 然后由本地的DNS服务器联系顶级域名（TLD）服务器来确定“”的IP地址。e) 顶级域（TLD）服务器会回应针对“”的名称的服务器地址。f) 本地DNS服务器联系得到的“”的名称服务器来确定它的IP地址。g) 本地DNS服务器发送这个响应给最初的用户：=4 【2】迭代查询又称重指引，当服务器使用迭代查询时能够使其他服务器返回一个最佳的查询点提示或主机地址，若此最佳的查询点中包含需要查询的主机地址，则返回主机地址信息，若此时服务器不能够直接查询到主机地址，则是按照提示的指引依次查询，直到服务器给出的提示中包含所需要查询的主机地址为止，一般的，每次指引都会更靠近根服务器（向上），查询到根域名服务器后，则会再次根据提示向下查找。DNS欺骗的原理 DNS协议具有以下特点： （1）DNS报文只使用一个序列号来进行有效性鉴别，序列号由客户程序设置并由服务器返回结果，客户程序通过它来确定响应与查询是否匹配,这就引入了序列号攻击的危险; (2) 在DNS 应答报文中可以附加信息，该信息可以和所请求的信息没有直接关系，这样，攻击者就可以在应答中随意添加某些信息，指示某域的权威域名服务器的域名及IP，导致在被影响的域名服务器上查询该域的请求都会被转向攻击者所指定的域名服务器上去，从而对网络的完整性构成威胁; (3) DNS的高速缓存机制，当一个域名服务器收到有关域名和IP的映射信息时，它会将该信息存放在高速缓存中，当再次遇到对此域名的查询请求时就直接使用缓存中的结果而无需重新查询。针对DNS协议存在的安全缺陷，可采用的DNS 欺骗技术有： （1）内应攻击。攻击者在非法或合法地控制一台DNS 服务器后，可以直接操作域名数据库，修改指定域名所对应的IP 为自己所控制的主机IP。 （2） 序列号攻击。 DNS协议格式中定义了序列号ID是用来匹配请求数据包和响应数据报，客户端首先以特定的ID向 DNS服务器发送域名查询数据包，在DNS服务器查询之后以相同的ID号给客户端发送域名响应数据包。这时客户端会将收到的DNS响应数据包的ID和自己发送的查询数据包ID相比较，如果匹配则表明接收到的正是自己等待的数据报，如果不匹配则丢弃之。 利用序列号进行DNS欺骗的关键是伪装DNS服务器向客户端发送DNS 响应数据包，并在DNS服务器发送的真实DNS响应数据报之前到达客户端，从而使客户端DNS缓存中查询域名所对应的IP就是攻击者伪造的IP，因此将客户端带到攻击者所希望的网站。 其欺骗的前提条件是攻击者发送的DNS响应数据包ID必须匹配客户的DNS查询数据包ID。在实际欺骗攻击中，利用序列号进行DNS欺骗可分两种情况： 第一，当攻击者至少与DNS服务器或客户端主机中的某一个处在同一个局域网内时，对于共享式以太网攻击者可以通过嗅探得到DNS查询报文的序列号。 第二，当攻击者与DNS服务器、本地主机与客户端主机均不在同一个局域网内时。 可以采用的方法有： 1）随机地测试所有ID的可能存在的值。 2）DNS服务器进行泛洪攻击。 3）利用BIND漏洞。3、DNS欺骗攻击 攻击成功的条件 嗅探获取“DNS解析请求”数据包（实际上是ID） 欺骗的“DNS应答”数据包比真实的数据包提前到达 与DNS相关的其它安全威胁 利用DNS服务器进行DDOS攻击 DNS缓存感染 DNS重定向 与ARP欺骗结合4、Email欺骗攻击（Email Spoofing） Email欺骗方法 攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序 Email欺骗实现步骤 SMTP服务器 允许匿名登录 填写假的名称和发信人地址 使用web形式骗取密码，或者使用附件植入木马 Email欺骗的防护 查看邮件原文，检查真正的发件服务器地址 通过邮件链接网页的时候，注意真正的网站地址 在不同的应用中，尽可能使用不相同的、无关的密码5、Web欺骗攻击（Web Spoofing） Web欺骗攻击原理 攻击者通过伪造某个WWW站点的镜像拷贝，使该Web的入口进入到攻击者的Web镜像服务器，并经过攻击者机器的过滤作用，从而达到攻击者监控受攻击者的任何活动以获取有用信息的目的，或者直接从镜像服务器的输入记录中获取有用信息。 一般结合“社会工程学”以及Email的方法，诱惑使用者访问构造好的网站。又被称为“钓鱼攻击”（Phishing Attack），参考“Know your Enemy:Phishing” Web欺骗方法 改写URL Web中的脚本 利用Web脚本进行欺骗（网页木马，Trojans ） 原理 攻击者设计一个网页，并诱使受害者浏览该网页 该网页中包含有一个图片和一个脚本 当浏览时，该图片被下载到受害者计算机的临时目录中，而脚本被运行 脚本的功能是将图片中隐藏的木马提取出来，并设置为自动执行 Web欺骗的防护 很隐蔽，不容易被发现 预防手段 禁止浏览器中的JavaScript功能 确保浏览器的连接状态是可见的 时刻注意所点击的URL链接会在位置状态行中得到正确的显示6、IP欺骗攻击（Session Hijacking） IP欺骗的基础 通过伪造IP地址能够获得更高的收益或者权限 伪造的IP地址可以被接受而不被发现 应用对象 Unix下基于远程过程调用RPC的命令，比如rlogin、rcp、rsh等等，根据/etc/hosts.equiv以及$HOME/.rhosts文件进行安全校验，其实质是仅仅根据信源IP地址进行用户身份确认，以便允许或拒绝用户RPC命令。 IP欺骗的过程 首先使被信任主机的网络暂时瘫痪 连接到目标机的某个端口来猜测ISN基值和增加规律 把源址址伪装成被信任主机，发送带有SYN标志的数据段请求连接 等待目标机发送SYN+ACK包给已经瘫痪的主机 再次伪装成被信任主机向目标机发送的ACK，此时发送的数据段带有预测的目标机的ISN+1 连接建立，发送命令请求 IP欺骗的预防 服务修改 删除/etc/hosts.equiv，$HOME/.rhosts 修改/etc/inetd.conf文件，使得RPC机制无法运作 IP过滤 设置路由器，过滤来自外部而信源地址却是内部IP的报文 TCP/IP协议栈修改 修改TCP的ISN变化规律，使得攻击者难以预测 应对方法 通信加密（IP层加密）第八章 利用处理程序错误攻击1、网络服务的攻击 概念 攻击对象 操作系统上的网络服务程序的漏洞，比如Web、FTP、RPC等 攻击目的 控制操作系统； 拒绝服务 攻击方法 缓冲区溢出 DoS2、网络服务漏洞的生命周期： 网络资源 发现漏洞：主要是一些网络安全论坛或者是邮件列表 Security Focus: /archive 漏洞发布：小范围的漏洞攻击代码的传播 漏洞公开：易用的攻击代码的发布和广泛传播 Packet Storm: / 黑客天下: / SecuriTeam: / 软件厂家的补丁发布 Microsoft Security Bulletin: /technet/security/current.aspx3、Web程序的攻击 概念 攻击对象： Web服务器上运行的使用服务端脚本语言PHP, ASP等编写的基于Web的应用程序。 攻击目的： 获取Web服务器的控制权； 获取未授权访问的信息； 拒绝服务。 攻击方法： 利用脚本程序的漏洞； 利用Web服务器的漏洞。 解决方法： 过滤用户输入的信息； 过滤web程序输出的信息；第九章 访问控制技术1、访问控制技术概述 要保证计算机系统实体的安全，必须对计算机系统的访问进行控制。 访问控制的基本任务（广义） 防止非法用户（即未授权用户）进入系统 合法用户（即授权用户）对系统资源的非法使用 访问控制是从计算机系统的处理能力方面对信息提供保护，它按照事先确定的规则决定主体（用户）对客体（资源）的访问是否合法，当一主体试图非法使用一个未经授权的资源时，访问控制机制将拒绝这一企图，并将这一事件报告给审计跟踪系统。审计跟踪系统将给出报警，并记入日志档案。网络的访问主要采用基于争用和定时两种方法；基于争用的方法意味着网上所有站点按先来先服务原则争用带宽，访问控制要对访问的申请、批准和撤消的全过程进行有效的控制 访问控制的内容包括 用户身份的识别和认证 对访问的控制 授权 、确定访问权限 、实施访问权限 附加控制 除了对直接的访问进行控制外，还应对信息的流动和推理攻击施加控制 审计跟踪 对用户使用何种系统资源、使用的时间、执行的操作等问题进行完整的记录，以备非法事件发生后能进行有效的追查 访问控制的类型 自主访问控制（DAC） 用户可以按自己的意愿对系统参数做适当的修改，可以决定哪个用户可以访问系统资源 强制访问控制（MAC） 用户和资源都是一个固定的安全属性，系统利用安全属性来决定一个用户是否可以访问某个资源 由于强制访问控制的安全属性是固定的，因此用户或用户程序不能修改安全属性 其他访问控制 基于角色的访问控制2、 入网认证P208 入网认证即入网访问控制，它为网络访问提供了第一层访问控制。入网认证控制哪些用户能够登录到服务器并获得网络资源，也控制准许用户入网的时间和准许他们在哪台工作站入网。入网认证实质上就是对用户的身份进行证实 认证方式 单向认证 双向认证（防止被窜改） 举例：询问认证 受理的用户可利用他所知道、而别人不太知道的一些信息向申请用户提问一系列不大相关的问题（比如Memorable Information）【1】身份认证（ Authentication ） 身份认证过程指的是当用户试图访问资源的时候，系统确定用户的身份是否真实的过程 认证对所有需要安全的服务来说是至关重要的，因为认证是访问控制执行的前提，是判断用户是否有权访问信息的先决条件，同时也为日后追究责任提供不可抵赖的证据 身份认证的依据 用户所知道的 密码（口令） 用户所拥有的 智能卡 用户的特征 生物学上的属性 根据特定地点（或特定时间） 通过信任的第三方 Kerberos , IKE 身份认证的评价标准 可行性： 从用户的观点看，认证方法应该提高用户访问应用的效率，减少多余的交互认证过程，提供一次性认证 另外所有用户可访问的资源应该提供友好的界面给用户访问 认证强度： 认证强度取决于采用的算法的复杂度以及密钥的长度 采用更复杂的算法，更长的密钥，将能提高系统的认证强度，提高系统的安全性 认证粒度： 身份认证只决定是否允许用户进入服务应用。之后如何控制用