网络通信安全课程讲解1.doc

第一章黑客攻击技术黑客攻击是当前计算机网络系统面临的主要安全威胁。 1.1 攻击的概念和分类网络史上第一宗黑客入侵 : 1988 年 , 美国康乃尔大学一位叫作 Robert-Morris 的研究生设计出的一套网络安全性测试程序出了差错，结果包括 NASA 、美国国家实验室、犹他州立大学等等在内，超过 6000 台的网络主机遭到破坏而瘫痪。净损失一千多万美元。 2001 年是网络安全的大灾年，具有代表性的是 2 月 7 日， Yahoo ！网站遭受黑客入侵，网络服务被迫停顿近 3 小时，造成数百万美元损失及恶劣影响。根据美国金融时报 2001 年报道，平均每 20 秒就发生一次入侵计算机互联网的事件 ; 互联网的防火墙，超过 1/3 被攻破。在 643 家接受调查的公司中，有 42% 的公司表示曾因安全问题遭受过财务损失，这些损失包括服务器故障导致的直接收入损失及系统修复费用，共计 2.65 亿美元，平均每家接近 100 万美元，而且实际数目恐怕远不止此，不排除有部分公司因担心产生负面影响而未将实情公之于众。 最新的 2002 年 FBI/CSI （计算机安全机构）调查报告指出， 90 的企业在一年当中曾侦测计算机遭受恶意攻击。调查结果显示，计算机攻击事件正在以每年 64% 的速度增加。公共企业最易遭受攻击，其中在电力及能源行业有 70% 的企业深受计算机攻击之苦，比 2001 年下半年增长了 13 。而来自美国、德国、韩国、中国、法国、加拿大、意大利、英国、日本等国家的网络攻击占据了全球总量的近 80 ，同 2001 年下半年相比增长了 10 。 国内黑客组织 : “ 绿色兵团 ” “ 中国红客联盟 ”( 红联 ) “ 中华黑客联盟 ”( 中黑联 ) “ 中国鹰派 ” 国外黑客组织Silver Lords Poizonb0x Prime Suspectz Hi-Tech Hate Unknown 谈起网络安全，人们总会想起 Hacker 这个词，可见网络安全和黑客是形影不离的，两者是矛盾的两个对立面。那么什么是黑客 (Hacker) 呢？简单来说，黑客就是指企图入侵别人的计算机或网络的人。 在最高层次，攻击可分为两类： 主动攻击 包含攻击者访问他所需信息的故意行为，如果要寻找他们是很容易发现的。 主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。 被动攻击被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动很难觉察到。 被动攻击包括嗅探、信息收集等攻击方法。 另一种攻击分类是根据攻击者是否是系统正常用户可以分为外部人员攻击和内部人员攻击。 外部人员攻击: 不是系统用户，不能通过正常的途径进入系统的攻击者发起的攻击。一般黑客攻击都是指外部人员发起的攻击。 内部人员攻击: 具有系统正常的用户身份，拥有系统用户帐号和授权。 内部人员攻击常常被忽略。与外部人员攻击不同，由于内部人员对被攻击系统更了解，有较多的访问权限，内部人员发起的攻击往往更容易造成危害。因此，要高度重视内部人员攻击。1.2 攻击的一般流程攻击者隐藏自身的目的是逃避责任追究。常见隐藏自身方式有几下几种： 从一个跳板主机通过 telnet 或 rsh 登录到攻击目标主机（称为穿梭）； 从 windows 主机上通过 wingates 等代理服务进行穿梭； 利用配置不当的代理服务器进行穿梭； 利用电话交换技巧先通过拨号找寻并连入某台主机，然后通过这台主机再联入因特网来穿梭。 信息收集：突破网络系统的第一步是各种形式的信息收集。黑客可以使用下面几种工具来收集这些信息： SNMP 协议，用来查阅非安全路由器的路由表，从而了解目标机构网络拓扑的内部细节。 TraceRoute 程序能够得出到达目标主机所要经过的网络数和路由器数。 Whois 协议是一种信息服务，能够提供有关所有 DNS 域和负责各个域的系统管理员数据。不过这些数据常常是过时的。 DNS 服务器可以访问主机的 IP 地址表和它们对应的主机名。 Finger 协议能够提供特定主机上用户们的详细信息（注册名、电话号码、最后一次注册的时间等）。 Ping 实用程序可以用来确定一个指定的主机的位置并确定其是否可达。把这个简单的工具用在扫描程序中，可以 Ping 网络上每个可能的主机地址，从而可以构造出实际驻留在网络上的主机的清单。 收集到目标机构的网络信息之后，黑客会探测每个主机以寻求一个安全上的弱点。有几种工具可能被黑客用来自动扫描驻留在网络上的主机。 由于已经知道的服务脆弱性较少，水平高的黑客能够写出短小的程序来试图连接到目标主机上特定的服务端口上。而程序的输出则是支持可攻击的服务的主机清单。 有几种公开的工具，如 ISS(Internet Security Scanner, Internet 安全扫描程序）， SATAN(Security Analysis Tool for Auditing Networks ，审计网络用的安全分析工具），可以对整个域或子网进行扫描并寻找安全上的漏洞。这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集来的信息去获得对目标系统的非法访问权。 聪明的网络管理员能够在其网络内部使用这些工具来发现潜藏的安全弱点并确定那个主机需要用新的软件补丁（ Patches ）进行升级。 预攻击探测 (1). Ping sweep ( 寻找存活主机 ) (2).Port scan( 寻找存活主机的开放服务（端口） ) (3). OS fingerprint( 操作系统识别 ) (4). 资源和用户信息扫描 ( 网络资源，共享资源，用户名和用户组等 ) (5). 用户和用户组查找 操作系统本身的 ping 工具 Windows 平台 Pinger Ping Sweep 、 WS_Ping ProPack 端口扫描基础 TCP 是一个面向连接的可靠传输协议。面向连接表示两个应用端在利用 TCP 传送数据前必须先建立 TCP 连接。 TCP 的可靠性通过校验和、定时器、数据序号和应答来提供。通过给每个发送的字节分配一个序号，接收端接收到数据后发送应答， TCP 协议保证了数据的可靠传输。数据序号用来保证数据的顺序，剔除重复的数据。在一个 TCP 会话中，有两个数据流（每个连接端从另外一端接收数据，同时向对方发送数据），因此在建立连接时，必须要为每一个数据流分配 ISN （初始序号）。为了了解实现过程，我们假设客户端 C 希望跟服务器端 S 建立连接，然后分析连接建立的过程（这通常称作三阶段握手） 首先 C 发送一个 TCP 包（ SYN 请求）给 S ，其中标记 SYN （同步序号）要打开。 SYN 请求指明了客户端希望连接的服务器端端口号和客户端的初始序列号 ISN 。然后，服务器端发回应答，包含自己的 SYN 信息 ISN 和对 C 的 SYN 应答，应答时返回下一个希望得到的字节序号。最后， C 对从 S 来的 SYN 进行应答，数据发送开始。 在一个 TCP/IP 实现中，一般遵循以下原则： 当一个 SYN 或者 FIN 数据包到达一个关闭的端口， TCP 丢弃数据包同时发送一个 RST 数据包。 当一个 RST 数据包到达一个监听端口， RST 被丢弃。 当一个 RST 数据包到达一个关闭的端口， RST 被丢弃。 当一个包含 ACK 的数据包到达一个监听端口时，数据包被丢弃，同时发送一个 RST 数据包。 当一个 SYN 位关闭的数据包到达一个监听端口时，数据包被丢弃。 当一个 SYN 数据包到达一个监听端口时，正常的三阶段握手继续，回答一个 SYN|ACK 数据包。 当一个 FIN 数据包到达一个监听端口时，数据包被丢弃。 许多端口扫描技术都是基于以上原则来设计的 NetScanTools WinScan SuperScan NTOScanner WUPS NmapNT 可以通过Ping的TTL值来判断 ! 但是不准备。 除前面介绍的 ping 扫射、端口扫描和操作类型扫描外，还有一类扫描和探测也非常重要，这就是资源扫描和用户扫描。资源扫描用户扫描网络资源和共享资源，如目标网络计算机名、域名和共享文件等等；而用户扫描则用户扫描目标系统上合法用户的用户名和用户组名。这些扫描都是攻击目标系统的很有价值的信息，而 Windows 系统，特别是 Windows NT/2000 在这些方面存在着严重的漏洞，很容易让非法入侵者获取到关于该目标系统的很多有用信息，如共享资源、 Netbios 名和用户组等 Net View Netviewx Nbtstat 和 Nbtscan Windows NT/2000 资源工具箱 Legion 和 Shed DumpSec nbtstat （ NetBIOS over TCP/IP ）是 Windows NT/2000 内置的命令行工具，利用它可以查询涉及到 NetBIOS 信息的网络机器。另外，它还可以用来消除 NetBIOS 高速缓存器和预加载 LMHOSTS 文件等。这个命令在进行安全检查时非常有用。 在NetBIOS 扫描中，很重要的一项就是扫描网络中的共享资源，以窃取资源信息或植入病毒木马。Legion 和 Shed 就是其中的典型 用户和用户组查找 利用前面介绍的方法，可以很容易获取远程 Windows NT/2000 主机的共享资源、 NetBIOS 名和所处的域信息等。但黑客和非法入侵者更感兴趣的是通过 NetBIOS 扫描，获取目标主机的用户名列表。如果知道了系统中的用户名（即账号）后，就可以对该账号对应的口令进行猜测攻击（有些口令往往很简单），从而对远程目标主机进行更深入的控制。 在 Windows NT/2000 的资源工具箱 NTRK 中提供了众多的工具用于显示远程主机用户名和组信息，如前面介绍的 nbtstat 和 nbtscan, 另外还有其他工具（后续介绍） NTRK( 工具箱 ) enum User2sid/sid2user DumpSec针对预攻击探测的防范措施 Ping sweep 安装防火墙或相关工具软件，禁止某些 ICMP ping ，使用 NAT 隐藏内部网络结构 Port scan 安装防火墙或相关工具软件，禁止访问不该访问的服务端口 OS fingerprint 安装防火墙或相关工具软件，只允许访问少量服务端口，由于攻击者缺乏必要的信息，无法判断 OS 类型 资源和用户扫描 防范 NetBIOS 扫描的最直接方法就是不允许对 TCP/UDP 135 到 139 端口的访问，如通过防火墙或路由器的配置等。另外，对单独的主机，可使用 NetBIOS over TCP/IP 项失效或注册表配置来实现。 清除痕迹为了避免攻击行为被发现，攻击者在攻击行动结束后，还需要清除攻击行为相关的系统记录。清除攻击痕迹主要就是清除系统日志和服务日志。有些工具可以帮助清除日志，如 THC 提供的 cleara.c 。该工具可以清除 utmp/utmpx,wtmp/wtmpx, 修复 lastlog 让其仍然显示该用户的上次登录信息。攻击者也可以自己对日志文件进行修改，但不同的 UNIX 版本日志存储位置不同，大致位置如下： UTMP : /etc 或 /var/adm 或 /usr/adm 或 /usr/var/adm 或 /var/log WTMP : /etc 或 /var/adm 或 /usr/adm 或 /usr/var/adm 或 /var/log LASTLOG : /usr/var/adm 或 /usr/adm 或 /var/adm 或 /var/log 在一些旧 unix 版本中 lastlog 数据被写到 $HOME/.lastlog 文件中。 一般的黑客都会把自己的行为痕迹从日志中删除，但他们往往忘记删掉在机器中留下的其他一些痕迹：在 /tmp 和 $HOME 中的 shell 记录文件；一些 shell 会保留一个 history 文件 ( 依赖于环境设置 ) 记录用户执行的命令。因此，要消除这些痕迹最好的方法就是登录以后先启动一个新 shell ，然后在 $HOME 中查找历史纪录。可以直接使用 ls alt ./* 来查看当前的记录文件情况，可以使用 cat /dev/null ./*history 来清空记录文件。需要注意的是，启动新的 shell 的这条命令也会在 root 所分配的 shell 记录文件里，这可能成为追踪入侵者的一个关键命令。 不同 shell 工具的历史记录文件名称如下： sh : .sh_history csh : .history ksh : .sh_history bash: .bash_history zsh : .history1.3 攻击技术方法操作系统识别扫描 操作系统识别扫描的目的是探测被攻击系统使用的操作系统的类型和版本，从而根据对系统的已知信息（包括漏洞信息）对目标系统发起试探攻击。操作系统识别扫描最基本的技术就是根据各种版本的操作系统提供的服务的差异编写探测程序。当综合利用了足够多的不同特征时，对操作系统版本的探测精度就可以大大的提高。主要的操作系统识别扫描探测技术有： 1）FIN 探测 通过发送一个 FIN 数据包 ( 或任何未设置 ACK 或 SYN 标记位的数据包 ) 到一个打开的端口，并等待回应。 RFC793 定义的标准行为是“不”响应，但诸如 MS Windows 、 BSDi 、 CISCO 、 HP/UX 、 MVS 和 IRIX 等操作系统会回应一个 RESET 包。大多数的探测器都使用了这项技术。2）伪造标记位 原理是在一个 SYN 数据包 TCP 头中设置未定义的 TCP “标记”字段 (64 或 128) 。低于 2.0.35 版本的 Linux 内核会在回应包中保持这个标记，而其它操作系统一般不会。不过，有些操作系统当接收到一个 SYN+BOGUS 数据包时会复位连接。所以这种方法能够比较有效地识别出操作系统。 3）TCP 的 ISN 分析 其原理是通过在操作系统对连接请求的回应中寻找 TCP 连接初始化序列号的特征。目前可以区分的类别有传统的 64K( 旧 UNIX 系统使用 ) 、随机增加 ( 新版本的 Solaris 、 IRIX 、 FreeBSD 、 DigitalUNIX 、 Cray 和其它许多系统使用 ) 、真正“随机” (Linux 2.0.* 及更高版本、 OpenVMS 和新版本的 AIX 等操作系统使用 ) 等。 Windows 平台 ( 还有其它一些平台 ) 使用“基于时间”方式产生的 ISN 会随着时间的变化而有着相对固定的增长。老式的 64K 方式很容易受到攻击，而采用“固定” ISN 的系统最容易识别。确实有些机器总是使用相同的 ISN ，如某些 3Com 集线器（使用 0x83 ）和 Apple LaserWriter 打印机 ( 使用 0xC7001) 。根据计算 ISN 的变化、最大公约数和其它一些有迹可循的规律，还可以将这些类别分得更细、更准确。 4）“无碎片”标记位 许多操作系统逐渐开始在它们发送的数据包中设置 IP“ 不分片 ( 无碎片 ) ”位。这对于提高传输性能有好处 ( 虽然有时它很讨厌这也是为什么 nmap 不对 Solaris 系统进行碎片探测的原因 ) 。但并不是所有操作系统都有这个设置，或许并不总是使用这个设置，因此通过留意这个标记位的设置可以收集到关于目标主机操作系统的更多有用信息。 5）TCP 初始化“窗口” 就是检查返回数据包的“窗口”大小。以前的探测器仅仅通过 RST 数据包的非零“窗口”值来标识为“起源于 BSD 4.4” 。而象 queso 和 nmap 这些新的探测器会记录确切的窗口值，因为该窗口随操作系统类型有较为稳定的数值。这种探测能够提供许多有用的信息，因某些系统总是使用比较特殊的窗口值 ( 例如， AIX 是唯一使用0x3F25 窗口值的操作系统 ) 。而在声称“完全重写”的 NT5 的 TCP 栈中， Microsoft 使用的窗口值总是 0x402E 。有意思的是，这个数值同时也被 OpenBSD 和 FreeBSD 使用。 6）ACK 值 向一个关闭的 TCP 端口发送一个 FIN|PSH|URG 包，许多操作系统会将 ACK 值设置为 ISN 值，但 Windows 和某些愚蠢的打印机会设置为 seq+1 。如果向打开的端口发送 SYN|FIN|URG|PSH 包， Windows 的返回值就会非常不确定。有时是 seq 序列号值，有时是 S+ ，有时回送的是一个似乎很随机性的数值。令人疑惑的是为什么 MS 总是能写出这种莫名其妙的代码。 7）ICMP 错误包频率 有些操作系统根据 RFC 1812 的建议对某些类型的错误信息发送频率作了限制。例如， Linux 内核 ( 在 net/ipv4/icmp.h) 限制发送“目标不可到达”信息次数为每 4 秒 80 次，如果超过这个限制则会再减少 1/4 秒。一种测试方法是向随机选择的高段UDP 端口发送成批的数据包，并计算接收到的“目标不可到达”数据包的数量。在 nmap 中只有 UDP 端口扫描使用了这个技术。这种探测操作系统方法需要稍微长的时间，因为需要发送大量的数据包并等待它们的返回。这种数据包处理方式也会对网络性能造成一定程度的影响。 ）ICMP 错误包长度 RFC 定义了一些 ICMP 错误信息格式。如对于一个端口不可到达信息，几乎所有操作系统都只回送 IP 请求头加上 8 字节长度的包，但 Solaris 返回的包会稍微长一点， Linux 则返回更长的包。这样即使操作系统没有任何监听任何端口， nmap 仍然有可能确定 Linux 和 Solaris 操作系统的主机。 ）ICMP 错误包内容 在前面已谈到，机器必须根据接收到的数据包返回“端口不可到达” ( 如果确实是这样 ) 数据包。有些操作系统会在初始化处理过程中弄乱了请求头，这样当你接收到这种数据包时会出现不正常。例如， AIX 和 BSDI 返回的 IP 包中的“总长度”域会被设置为 20 字节 ( 太长了 ) 。某些 BSDI 、 FreeBSD 、 OpenBSD 、 ULTRIX 和 VAX 操作系统甚至会修改请求头中的 IP 、 ID 值。另外，由于 TTL 值的改变导致包校验和需要修改时，某些系统 ( 如 AIX 、 FreeBSD 等 ) 返回数据包的校验和会不正确或为 0 。有时这种情况也出现在 UDP 的包检验和中。 nmap 使用了九种不同的 ICMP 错误信息探测技术来区分不同的操作系统。 10）服务类型 对于 ICMP 的“端口不可到达”信息，经过对返回包的服务类型 (TOS) 值的检查，几乎所有的操作系统使用的是 ICMP 错误类型 0 ，而 Linux 使用的值是 0xC0 。 11)碎片处理 不同操作系统在处理 IP 片段重叠时采用了不同的方式。有些用新的内容覆盖旧的内容，而又有些是以旧的内容为优先。有很多探测方法能确定这些包是被如何重组的，从而能帮助确定操作系统类型。 12）TCP 字段选项这也是收集操作系统类型及版本的方法之一，主要原理在于： (1) 由于在 RFC 推荐标准中对 TCP 字段选项的实现要求不是强制性的，因此并不是所有的操作系统都支持它们。 (2) 向目标主机发送带有可选项标记的数据包时，如果操作系统支持这些选项，会在返回包中也设置这些标记。 (3) 可以一次在数据包中设置多个可选项，从而增加了探测的准确度。 口令攻击 口令攻击软件 John The Ripper 1.4 这个软件由著名的黑客组织 -UCF 出的 , 它支持 Unix, Dos, Windows, 速度超快 , 可以说是目前同类中最杰出的作品。 对于老式的 passwd 档 ( 就是没 shadow 的那种 , 任何人能看的都可以把 passwd 密文存下来 ),John 可以直接读取并用 字典穷举击破。 对于现代的 passwd + shadow 的方式 , John 提供了 UNSHADOW 程序直接把两者合成出老式 passwd 文 件。Clear-text sniffing 大量的应用程序都是传送明文密码 Encrypted sniffing 窃听加密密码并解密 Password file stealing 窃取密码文件，利用工具破解 Social Engineering 社会诈骗 针对口令破解攻击的防范措施 : 不用中文拼音、英文单词 不用生日、纪念日、有意义的字符串 使用大小写字母、符号、数字的组合 * 不要将口令写下来。 * 不要将口令存于电脑文件中。 * 不要让别人知道。 * 不要在不同系统上使用同一口令。 * 为防止眼明手快的人窃取口令 , 在输入口令时应确认无人在身边。定期改变口令 , 至少 2 个月要改变一次。 缓冲区溢出 什么是缓冲区溢出 -简单地说，缓冲区溢出就是向堆栈中分配的局部数据块中写入了超出其实际分配大小的数据，导致数据越界，结果覆盖了原先的堆栈数据。 例如 : void function(char *str) char buffer16; strcpy(buffer,str); 十年来最大的安全问题 这是一种系统攻击手段，通过向程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。这种攻击可以使得一个匿名的 Internet 用户有机会获得一台主机的部分或全部的控制权。 RPC 溢出漏洞 Remote Procedure Call(RPC) 是 Windows 操作系统使用的一种远程过程调用协议 ,RPC 协议提供一种进程间的交互通信机制，它允许本地机器上的程序进程无缝的在远程系统中运行代码。该协议的前身是 OSF RPC 协议，但是增加了微软自己的一些扩展。 路由攻击 注入假的路由到路由选择系统 重定向业务流到黑洞 重定向业务流到慢的链接 重定向业务流到可以分析与修改的地点 逻辑炸弹 逻辑炸弹是一段潜伏的程序，它以某种逻辑状态为触发条件，可以用来释放病毒和蠕虫或完成其他攻击性功能，如破坏数据和烧毁芯片。它平时不起作用，只有当系统状态满足触发条件时才被激活。 蠕 虫 蠕虫是一段独立的可执行程序，它可以通过计算机网络把自身的拷贝（复制品）传给其他的计算机。蠕虫可以修改、删除别的程序，但它也可以通过疯狂的自我复制来占尽网络资源，从而使网络瘫痪。 后门与隐蔽通道 调试后门：为方便调试而设置的机关，系统调试完成后未能及时消除。维护后门：为方便远程维护所设置的后门，被黑客恶意利用。恶意后门：由设计者故意设置的机关，用以监视用户的秘密乃至破坏用户的系统隐蔽通道：是一种允许违背合法的安全策略的方式进行操作系统进程间通信（ IPC ）的通道。隐蔽通道又分为隐蔽存储通道与隐蔽时间通道。隐蔽通道的重要参数是带宽。操作系统后门至今我国使用的处理器和操作系统等重要软硬件依然靠国外进口，有的发达国家出于种种目的，在软硬件上留下缺口或者 “ 后门 ” ，给我国信息安全留下了巨大的隐患。 据报道，曾上市的奔腾三处理器中设置了用以识别用户身份的序列码，每一台机器只有唯一的序列码且永久不变，电脑用户在网络或互联网上所做的每一件事都会留下痕迹，或处于别人的监视之下。 而此前上市的操作系统 Windows98 则会根据用户的计算机硬件配置情况生成一串用户名字、相关地址代码等全球唯一的识别码，然后通过电子注册程序在用户不知道的情况下传送到微软的网站上。 奔腾三处理器和微软公司的 Windows98 一方面带来更高性能和更快速度，但另一方面有可能成为随时会泄密的 “ 定时炸弹 ” 。 病 毒 是人编写的一段程序 ! 太多了 !手机病毒 引导型病毒 (WYX) 可执行文件病毒（ CIH 病毒） 宏病毒（七月杀手） 特洛伊木马型病毒 (BO) Worm 病毒 ( 爱虫 ) 脚本病毒 (Script.RedLof ) 混合型病毒 (Nimda) 拒绝服务攻击 不断对网络服务系统进行干扰，改变其正常的作业流程。 、执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。 ? 、DoS 攻击 ?land , teardrop, ?SYN flood ?ICMP : smurf （分布式）拒绝服务攻击 DDOS 攻击的效果 由于整个过程是自动化的，攻击者能够在 5 秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受 1000MB/S 数据量的猛烈攻击，这一数据量相当于 1.04 亿人同时拨打某公司的一部电话号码。 预防 DDOS 攻击的措施 - 确保主机不被入侵且是安全的； - 周期性审核系统； - 检查文件完整性； - 优化路由和网络结构； - 优化对外开放访问的主机； - 在网络上建立一个过滤器（ filter ）或侦测器（ sniffer ），在攻击信息到达网站服务器之前阻挡攻击信息。 分布式拒绝服务攻击的今后的发展趋势： - 如何增强自身的隐蔽性和攻击能力； - 采用加密通讯通道、 ICMP 协议等方法避开防火墙的检测； - 采用对自身进行数字签名等方法研究自毁机制，在被非攻击者自己使用时自行消毁拒绝服务攻击数据包，以消除证据。 对付 DDoS 攻击的方法 1 定期扫描现有的网络主节点，清查可能存在的安全漏洞。对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用最佳位置，因此对这些主机本身加强主机安全是非常重要的。 2 在骨干节点上的防火墙的配置至关重要。防火墙本身能抵御 DDOS 攻击和其它一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样保护真正的主机不被瘫痪。3 用足够的机器承受黑客攻击。这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿。 4 充分利用网络设备保护网络资源。所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。 5 使用 Inexpress 、 Express Forwarding 过滤不必要的服务和端口，即在路由器上过滤假 IP 。比如 Cisco 公司的 CEF （ Cisco Express Forwarding ）可以针对封包 Source IP 和 Routing Table 做比较，并加以过滤。 6 使用 Unicast Reverse Path Forwarding 检查访问者的来源。它通过反向路由表查询的方法检查访问者的 IP 地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假 IP 地址方式迷惑用户，很难查出它来自何处，因此，利用 UnicastReverse Path Forwarding 可减少假 IP 地址的出现，有助于提高网络安全性。7 过滤所有 RFC1918 IP 地址。 RFC1918 IP 地址是内部网的 IP 地址，像 、 和 ，它们不是某个网段的固定 IP 地址，而是 Internet 内部保留的区域性 IP 地址，应该把它们过滤掉。 8 限制 SYN/ICMP 流量。用户应在路由器上配置 SYN/ICMP 的最大流量来限制 SYN/ICMP 封包所能占有的最高频宽，这样，当出现大量的超过所限定的 SYN/ICMP 流量时，说明不是正常的网络访问，而是有黑客入侵。 怎样对付正在进行的 DDOS 攻击 ? 如果用户正在遭受攻击，他所能做的抵御工作非常有限。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能用户在还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。 首先，检查攻击来源，通常黑客会通过很多假的 IP 地址发起攻击，此时，用户若能够分辨出哪些是真 IP 地址，哪些是假 IP 地址，然后了解这些 IP 来自哪些网段，再找网段管理员把机器关掉，即可消除攻击。 其次，找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以狙击入侵。 最后一种比较折衷的方法是在路由器上滤掉 ICMP 。 木马概述 特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会在计算机系统中隐藏一个可以在启动时悄悄执行的程序。这种远程控制工具可以完全控制受害主机，危害极大。 Windows 下： Netbus 、 subseven 、 BO 、冰河、网络神偷等 UNIX 下： Rhost + 、 Login 后门、 rootkit 等对木马程序而言，它一般包括两个部分：客户端和服务器端。服务器端安装在被控制的计算机中，它一般通过电子邮件或其他手段让用户在其计算机中运行，以达到控制该用户计算机的目的。客户端程序是控制者所使用的，用于对受控的计算机进行控制。服务器端程序和客户端程序建立起连接就可以实现对远程计算机的控制了。木马运行时，首先服务器端程序获得本地计算机的最高操作权限，当本地计算机连入网络后，客户端程序可以与服务器端程序直接建立起连接，并可以向服务器端程序发送各种基本的操作请求，并由服务器端程序完成这些请求，也就实现对本地计算机的控制了。因为木马发挥作用必须要求服务器端程序和客户端程序同时存在，所以必须要求本地机器感染服务器端程序。服务器端程序是可执行程序，可以直接传播，也可以隐含在其他的可执行程序中传播，但木马本身不具备繁殖性和自动感染的功能。 远程访问型木马是现在最广泛的特洛伊木马，它可以访问受害人的硬盘，并对其进行控制。这种木马用起来非常简单，只要某用户运行一下服务端程序，并获取该用户的 IP 地址，就可以访问该用户的计算机。这种木马可以使远程控制者在本地机器上做任意的事情，比如键盘记录、上传和下载功能、截取屏幕等等。这种类型的木马有著名的 BO （ Back Office ）和国产的冰河等。 密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类的木马不会在每次的 Windows 重启时重启，而且它们大多数使用 25 端口发送 E-mail 。 键盘记录型木马非常简单的，它们只做一种事情，就是记录受害者的键盘敲击，并且在 LOG 文件里做完整的记录。这种特洛伊木马随着 Windows 的启动而启动，知道受害者在线并且记录每一件事。 毁坏型木马的唯一功能是毁坏并且删除文件。这使它们非常简单，并且很容易被使用。它们可以自动地删除用户计算机上的所有的 .DLL 、 INI 或 EXE 文件。 FTP 型木马打开用户计算机的 21 端口（ FTP 所使用的默认端口）， 使每一个人都可以用一个 FTP 客户端程序来不用密码连接到该计算机，并且可以进行最高权限的上传下载。针对木马攻击的防范措施 安装防火墙，禁止访问不该访问的服务端口，使用 NAT 隐藏内部网络结构安装防病毒软件 提高安全意识，尽量避免使用来历不明的软件 查看进程和不明端口 ( 用 netstat an 等命令 ) CGI 攻击 有许多 cgi 脚本文件存在安全漏洞（包括众多的 asp bug ），如果系统中有这种程序，入侵者可以轻易获得重要的文件，或通过缓冲区溢出造成更大危害。 已知的有漏洞的 cgi 程序非常多，如 Count.cgi ， phf,glimpse,handler, htmlscript,icat,info2www ，nph-test-cgi,pfdispaly,phf,php,php.cgi test-cgi,webdist,webgais,websendmail 等。 常见的 asp 漏洞有： showcode.asp ，它通过追加小数点或用 %20 代替小数点等漏洞阅读 ASP 文件源代码等漏洞。检测：检查数据段中的字符串，可以对已知的漏洞进行察觉。 Web 欺骗原理 Web 欺骗原理 改写 Web 页面的 URL 。如 / 发布自己的网站：热门站点、搜索引擎、电子邮件等； 用户单击错误连接； 向 请求文档； 向 返回文档； 改写文档中的所有连接； 向用户返回改写后的文档； Web 欺骗的预防： 浏览器状态显示连接为 ；鼠标连接目标提示； 攻击者可以凭借 Java Script 或 VB Script 修改以上信息；但可以通过禁止执行 Script 功能来揭露其面目； Source code 可以完全泄漏攻击者的信息 社会工程 社会工程指的是通过诱导人们的行为方式并造成信息系统、网络或数据的非授权访问、非授权使用、或非授权泄漏的一切尝试。早在 20 世纪六、七十年代美国著名的黑客 凯文 ? 米特尼克创立了社会工程学，并于 2002 年出版了堪称社会工程学的经典的欺骗的艺术 (The Art of Deception) 。他曾经在很小的时候就能够把这种天赋发挥到极致。像变魔术一样，不知不觉地进入了包括美国国防部、 IBM 等几乎不可能潜入的网络系统，并获取了管理员特权。 社会工程攻击不需要特殊的技术手段，不依靠调查和扫描来寻找系统的脆弱点，仅通过向某个人询问口令就能够获得相关系统或数据库的访问权。而且大多数计算机罪犯均是机会主义者，他们总是寻求进入系统最简单的方式。 “社会工程学” (Social Engineering) 是一种通过对受害者本能反应、好奇心、轻信、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已经呈现迅速上升甚至滥用的趋势。它并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕、最小心的人，一样会受到高明的社会工程学手段的损害。 “网络钓鱼”是近来社会工程学的代表应用利用欺骗性的电子邮件和伪造的网络站点来进行诈骗，专门骗取电子邮件接收者的个人资料，例如身份证号、银行密码、信用卡卡号等信息。第二章 密码算法2.1 密码学概述密码学基本概念 明文：需要秘密传送的消息。 密文：明文经过密码变换后的消息。 加密：由明文到密文的变换。 解密：从密文恢复出明文的过程。 破译：非法接收者试图从密文分析出明文的过程。 加密算法：对明文进行加密时采用的一组规则。 解密算法：对密文进行解密时采用的一组规则。 密钥：加密和解密时使用的一组秘密信息。 密码系统： 一个密码系统可以用以下数学符号描述：S = P ， C ， K ， E ， D P = 明文空间 C = 密文空间 K = 密钥空间 E = 加密算法 D = 解密算法 当给定密钥 k K 时，加解密算法分别记作 Ek 、 Dk ，密码系统表示为 Sk = P ， C ， k ， Ek ， Dk C = Ek （ P ） P = Dk （ C ） = Dk （ Ek （ P ） ） 密码分析 试图破译单条消息 试图识别加密的消息格式，以便借助直接的解密算法破译后续的消息 试图找到加密算法中的普遍缺陷（无须截取任何消息） 密码分析的条件与工具 已知加密算法 截取到明文、密文中已知或推测的数据项 数学或统计工具和技术 语言特性 计算机 技巧与运气 加密方案的安全性 无条件安全：无论提供的密文有多少，如果由一个加密方案产生的密文中包含的信息不足以唯一地决定对应的明文 除了一次一密的方案外，没有无条件安全的算法 安全性体现在： 破译的成本超过加密信息的价值 破译的时间超过该信息有用的生命周期 攻击的复杂性分析 数据复杂性（ data complexity ）用作攻击输入所需要的数据 处理复杂性（ processing complexity ）完成攻击所需要的时间 存储需求（ storage requirement ）进行攻击所需要的数据量 密码学的历史 密码学的演进 单表代替 多表代替 机械密 ( 恩格玛 ) 现代密码学 ( 对称与非对称密码体制 ) 量子密码学 密码编码学和密码分析学 应用领域 军事，外交，商业，个人通信，古文化研究等古典密码学 已经成为历史，但被传统密码学所借鉴； 加解密都很简单，易被攻破； 属于对称密钥算法； 包括置换密码、单表代换密码、多表代换密码等 Phaistos 圆盘，一种直径约为 160mm 的 Cretan-Mnoan 粘土圆盘，始于公元前 17 世纪。表面有明显字间空格的字母，至今还没有破解。 置换密码 古典密码 置换密码 用加密置换去对消息进行加密 举例： E = （ 1 ， 2 ， 3 ， 4 ） D = （ 2 ， 1 ， 4 ， 3 ） M =“ 置换密码 ” C = E(M) = “ 换置码密 ” 代换密码 明文中的字母用相应的密文字母进行替换 单表代换密码 多表代换密码 代换密码 单表代换密码举例 m = “Caser cipher is a shift substitution” c = “ FDVHDU FLSHU LV D VKLIW VXEVWLWXWLRO” 密钥管理所谓密码协议，就是两个或者两个以上的参与者，使用密码学为完成某项特定的任务，并满足安全需求而采取的一系列计算和通讯步骤。密码协议具