《计算机网络安全(第三版)》第章计.ppt

第七章黑客攻击与入侵检测 1 本章导言 知识点 黑客定义 黑客攻击 入侵检测 难点 黑客攻击原理与防范 入侵追踪技术 要求熟练掌握以下内容 熟知黑客攻击手段 熟知入侵检测技术 熟练掌握黑客攻击防范措施了解以下内容 了解入侵检测的分类与工具使用 2 7 1黑客攻击 1 什么是黑客黑客的发展黑客的分类网络黑客计算机朋客网络骇客 3 7 1黑客攻击 2 黑客常用的攻击方法和防范措施黑客攻击黑客攻击的原因黑客攻击的一般过程黑客攻击防范措施协议欺骗类的攻击与防范拒绝服务类的攻击与防范网络嗅探攻击与防范缓冲区溢出攻击与防范SQL注入式攻击与防范木马攻击与检查防范 4 黑客攻击的原因 由于少数高水平的黑客可以随意入侵他人电脑 呗在被攻击者毫不知情的情况下窃取电脑中的信息后悄悄退出 于是 很多人对此产生较强的好奇心和学习黑客技术的欲望 并在了解了黑客攻击技术后不计后果地进行尝试 给网络造成极大的安全威胁 黑客常见攻击的理由如下 想在别人面前炫耀自己的技术 如进入别人电脑修改一下文件和系统 算是打个招呼 也会让对方对自己更加崇拜 看不惯他人的某些做法 又不方便当面指责 于是攻击他的电脑教训一下 好玩 恶作剧 这是许多人或者学生入侵或破坏的主要原因 除了有练功的效果外还有探险的感觉 窃取数据 偷取他人的QQ 网游密码等 然后从事商业活动 对某个单位或者组织表示抗议 5 黑客攻击的一般过程 第一步 收集被攻击方的有关信息 第二步 建立模拟环境 第三步 利用适当的工具进行扫描 第四步 实施攻击 第五步 清理痕迹 为了达到长期控制目标主机的目的 黑客灾区的管理员权限之后会立刻在其中建立后门 这样就可以随时登录该主机 为了避免被目标主机管理员发现 在完成入侵之后需要清楚其中的系统日志文件 应用程序日志文件和防火墙日志文件等 清理完毕即可从目标主机中退出 达到全身而退的效果是经验老到的黑客的基本技能 6 协议欺骗类的攻击与防范 1 源IP地址欺骗攻击与防范 许多应用程序认为如果数据包能够使其自身沿着路由到达目的地 而且应答包也可回到源地址 那么源IP地址一定是有效的 而这恰恰使得源IP地址欺骗成为可能的前提 假定同一网段内两台主机A和B 另一网段内有主机X X为了获得与A B相同的特权 所做的欺骗攻击如下 首先 X冒充A向主机B发送一个带有随机序列号的SYS包 主机B相应 回送一个应答包给A 该应答号为原序列号加1 可是 此时的主机A已经被X用拒绝服务攻击给 淹没 了 导致主机A的服务失效 结果 主机A将B发来的包丢弃 为了完成传输层三次握手的协议 X还需向B回送一个应答包 其应答号为B向A发送的数据包的序列号加1 此时 主机X并不能检测到主机B的数据包 因为二者不在同一网段内 只有利用TCP顺序号估算法来预测应答的顺序号并将其发送给目标主机B 如果猜测正确 B则认为收到的ACK是来自内部主机A 此时 X即获得了主机A在主机B上享有的特权 并开始对这些服务实施攻击 7 1 源IP地址欺骗攻击与防范为防止源端IP地址欺骗 可以采取以下措施来加以防范 尽可能地保护系统免受这类攻击 第一 放弃基于地址的信任策略 抵御这种攻击的一种简易方法就是抛弃以地址为基础的验证 不允许remote类别的远程调用命令的使用 这将迫使所有用户使用其它远程通信手段 第二 数据包加密 在数据包发送到网络之前对数据包加密 能在很大程度上保证数据的完整性和真实性 第三 数据包过滤 利用网络设备的配置来进行数据包过滤 比如配置路由器 使其能够拒绝来自网络外部但具有网络内部IP地址的数据包的连接请求 8 协议欺骗类的攻击与防范 2 源路由器欺骗攻击与防范 一般情况下 信息报从起点到终点走过的路径是由位于此两点间的路由器决定的 数据包本身只是知道从哪里出发 到达目的地是哪里 不知道也不关心沿途经过的具体路径 源路由可以使信息包的发送者将此信息包经过的路径写在数据包里 是数据包沿着一个对方不可预料的途径到达目的主机 仍以上面源IP地址欺骗例子说明如下 9 2 源路由器欺骗攻击与防范 主机A享有主机B的某些特权 主机X想冒充主机A从主机B获得某些服务 主机B的IP地址为xxx xxx xxx xxx 首先 攻击者修改距离X最近的路由器 使得到达此路由器且包含目的地址xxx xxx xxx xxx的数据包以主机X的所在的网络为目的地 然后 攻击者X利用IP欺骗向主机B发送源路由 制定最近的路由器 数据包 当B回送数据包时 就传送到被更改过的路由器 这就使得入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护的服务和数据 10 2 源路由器欺骗攻击与防范 为防范路由器欺骗攻击 一般采用的措施如下 第一 配置好网络互联设备 路由器 使得它能抛弃那些来自外部网络却冒充内部网络来的报文 这是对付这种攻击的最好的办法 第二 在路由器上关闭源路由使用 源路由默认是被开启的 可以在路由器上用全局配置命令noipsource route来关闭 11 拒绝服务类的攻击与防范1 拒绝服务攻击 顾名思义 就是攻击者加载过多的服务将被攻击者资源全部耗尽 使其没有多余的资源来供其他用户使用 从而实现不了服务 SYNFlood攻击是典型的拒绝服务攻击 它常常是源IP地址的前奏 也叫做半开式连接攻击 正常情况下 一次标准的TCP连接 会有一个三次握手的情况 然而这个SYNFlood在其实现过程中 只有前两个步骤 当服务方收到请求方的SYN并回送SYN ACKnowledegeCharacter确认报文后 请求方由于采用源IP地址欺骗等手段 使得服务方得不到ACK回应 这样 服务方会在一定时间内处于等待接收请求方ACK报文的状态 一台服务器可用的TCP连接服务时有限的 如果恶意攻击方快速连续的发送此类请求 则服务器的系统可用资源 网络可用带宽将急剧下降 导致无法向用户提供正常的网络服务 12 拒绝服务类的攻击与防范2 为防范拒绝服务攻击 可采用如下措施 第一 对于信息淹没攻击 采取措施是关掉可能产生无限序列的服务 比如 可以在服务器端拒绝所有的ICMP包 或者在该网段内 对路由器上的ICMP包进行带宽限制 控制其在一定范围内 第二 防止SYN数据段攻击 采取措施是对系统设定相应的内核参数 使得系统强制对超时的SYN请求连接数据包复位 同时通过缩短超时常数和加长等候队列来使得系统能迅速处理无效的SYN请求数据包 第三 调整该网段的路由器配置 比如限制SYN半开数据包的流量和个数 第四 在路由器前端进行TCP拦截 在路由器的前端对TCP做必要拦截 使得只有完成TCP三次握手的数据包才可以进入网段 可以有效地保护本网段内的服务器不受此类攻击 13 网络嗅探攻击与防范1 网络嗅探对于一般的网络来说 操作极其简单但威胁却是巨大的 很多黑客使用嗅探器进行网络入侵 网络嗅探器对信息安全的威胁来自其被动性和非干扰性 使得网络嗅探具有很强的隐蔽性 往往让网络信息泄密而不易被发现 嗅探器 Sniffer 就像一个安装在计算机上的窃听器 可以窃听计算机在网络上的产生的信息 嗅探器的工作原理如下 14 网络嗅探攻击与防范2 以太网的数据传输都是基于信道共享的原理 所有同一本地网范围内的计算机共同接收到相同的数据包 以太网卡构造了硬件过滤 将与自己无关的网络信息过滤掉 实现了忽略掉与自身MAC地址不符的信息 网络嗅探就是利用这个特点将过滤器关闭掉 把网卡设置为混杂模式 成为杂错节点 嗅探程序就能接收整个以太网上的包括不属于本机的数据信息 嗅探器工作在网络的底层 把网络传输的全部数据记录下来 它可以帮助网络管理员查找网络漏洞和监测网络性能 可以分析网络流量 嗅探器对广播型网络可监听能力比较高 15 网络嗅探攻击与防范3 网络嗅探器一般具有几个威胁 首先 它能够捕获密码 这是绝大多数非法使用Sniffer者的原因 其次 它能捕获专用机密信息 通过拦截数据包 可以方便的记录敏感信息 第三 可以分析网络数据 实现更大威胁的网络攻击的前奏 这在前面已经提到 16 网络嗅探攻击与防范4 对于网络嗅探攻击 可以采用以下措施来实现防范主动检测嗅探器网络通信丢包率很高网络带宽分配反常被动隐藏数据网络分段加密一次性口令技术禁用杂错节点ARP或者IP MAC映射表用静态代替动态 17 缓冲区溢出攻击与防范1 许多程序都是用C语言编写的 而C语言不做缓冲区下届检查 若用户输入数据长度超过应用程序给定的缓冲区 则会覆盖其他数据区 这就是缓冲区溢出 也叫做堆栈溢出缓冲区溢出攻击时一种系统攻击手段 通过向程序的缓冲区写超出其长度的内容 造成缓冲区的溢出 从而破坏程序的堆栈 使程序转而执行其他指令 以达到攻击的目的 当然 普通的缓冲区内容是达不到攻击的目的的 最常见的手段是通过制造缓冲区溢出使程序运行一个用户Shell 再通过Shell执行其他命令 如果该程序具有root权限 攻击者就可以对系统就行任意操作了 18 缓冲区溢出攻击与防范2 要有效防止该种攻击 应做到以下几点程序指针完整性检查 在程序指针被引用之前 检测它是否改变 即使一个攻击者成功改变了程序指针 由于系统实现检测到了指针改变 因此指针也不会被使用 保护堆栈 这是一种提供程序指针完整性检查的编译器技术 通过检查函数活动记录中的返回地址来实现 在堆栈中函数返回地址后面增加了附加的字节 在函数返回时 首先检查附加的字节是否被改动过 如果发生过缓冲区溢出的攻击 那么这种攻击很容易在函数返回前被检测到 数组边界检查 所有对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内 最直接的方法是检查所有的数组操作 通常可以采用一些优化的技术来减少检查单次数 19 SQL注入式攻击与防范 SQL注入式攻击是目前比较流行 也是研究最多的一种黑客攻击技术 它主要是针对网页进行的一种攻击 详细的描述见本书关于Web的安全一章介绍 20 木马攻击与检查防范1 木马 又称特洛伊木马 是一种用于窃取用户的密码资料 破坏硬盘内的数据或程序的软件 其入侵方式与 荷马史诗 中记载的特洛伊木马及其类似 黑客的主要攻击手段之一 就是使用木马技术渗透到对方的主机系统中 从而实现对远程目标主机的控制 凡是在表面上伪装成正常的程序 而实际上却偷偷把正常的程序换掉 并留下一些特殊的系统后门 以方便以后可以控制主机运行或者执行破坏行为的程序 就是一种特洛伊木马程序 俗称后门 Backdoor 程序或者木马 Trojan 程序 21 木马攻击与检查防范2 黑客利用木马入侵网络中的电脑 从而达到操作被入侵电脑的目的 功过控制被入侵的电脑 黑客可以任意在其中浏览信息 上传下载文件以及窃取密码信息等 而且还可以通过该电脑向其他电脑进行攻击 达到既能攻击更多主机又能隐藏自身信息的目的 所以木马已经成为黑客攻击电脑的首选工具 22 木马攻击与检查防范3 黑客常将已经被木马入侵的主机成为服务器 而将用于接收或控制木马运行的电脑称为客户端 因此一个完整的木马软件一般是由两部分组成 即入侵软件和控制软件 它们的关系如图7 1所示 23 木马攻击与检查防范4 根据木马的原理和危害 可知木马具有伪装性 隐蔽性和顽固性的特点 伪装性 由于人们对于病毒以及木马警觉性的提高 木马通常需要将自己伪装成其他程序才能消除用户的戒心 使用户不会认为它是来历不明的程序 达到不知不觉进入主机的目的 隐蔽性 目前不少木马在传播时 大多会与一些常见的软件一起被用户存储到电脑中 很难被发现 当用户使用该软件时 木马就自动运行了 顽固性 某些木马会在系统文件中留下备份文件 当用户用杀毒软件清除木马时 备份文件很难被清除掉 使这些病毒具有了 死灰复燃 的能力 另外 木马一般都随系统启动而启动 并且有进程保护设置 所以查杀木马非常麻烦 24 木马攻击与检查防范5 防治木马 常用简单使用措施如下 安装杀毒软件和个人防火墙 并及时升级 将个人防火墙设置好安全等级 防治未知程序向外传送数据 考虑使用安全性比较好的浏览器和电子邮件客户端工具 如果使用IE浏览器 应该看装一些安全助手 防止恶意网站在自己的电脑上安装不明软件和浏览器插件 以免被木马乘机侵入 25 木马攻击与检查防范6 进一步帮助判断是否被植入木马的方法软件Hash值校验 此方法就是检验文件是否被篡改 无论何时 当用户从网站上下载一个软件的时候 都应该生成相应文件的Hash值 之后与发布厂商网站上的Hash值进行比较 如 从某网站下载软件时 软件连接旁边看到软件的MD5值 下载之后 利用MD5工具生成下载文件的MD5散列值 两个散列值进行比较 若相等说明软件没有被篡改 若不等则要怀疑软件的真实性 进程和端口监控 监控端口指监控系统当前哪些端口是处于监听 连接状态 哪些进程在使用哪些端口 即进行进程与端口的关联 通过监视计算机上打开的非常用端口 能够检测出等待建立连接的木马 常用的netstat na命令就可以实现这一功能 26 7 2入侵检测 1 入侵检测的定义2 入侵响应3 入侵追踪4 入侵检测工具介绍 27 1 入侵检测的定义 入侵检测 IntrusionDetection 就是对入侵行为的发觉 它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象 防火墙之后的第二道安全闸门 在不影响网络性能的情况下能对网络进行监测 这些都通过它执行以下任务来实现 监视 分析用户及系统活动 系统构造和弱点的审计 识别反映已知进攻的活动模式并向相关人士报警 异常行为模式的统计分析 评估重要系统和数据文件的完整性 操作系统的审计跟踪管理 并识别用户违反安全策略的行为 28 2 入侵检测系统 入侵检测系统 简称 IDS 是一种对网络传输进行即时监视 在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备 它与其他网络安全设备的不同之处便在于 IDS是一种积极主动的安全防护技术 29 3 入侵检测的分类 1 按照分析方法 检测方法 异常检测 AnomalyDetection 误用检测 MisuseDetection 2 按照数据来源基于主机基于网络混合型3 按系统各模块的运行方式集中式分布式4 根据时效性脱机分析联机分析 30 2 入侵响应 入侵响应 IntrusionResponse 是指当检测到入侵或攻击时 采取适当的措施阻止入侵和攻击的进行 入侵响应系统 IntrusionResponseSystem 是指实施入侵响应的系统 31 入侵响应系统的分类1 按响应类型分类报警型响应系统人工响应系统自动响应系统2 按响应方式分类基于主机的响应基于网络的响应3 按照响应范围分类本地响应系统网络协同响应系统 32 入侵响应的方式 入侵响应的方式 根据严厉程度不同 可以分为以下几个级别第一级别 较温和的被动响应方式 包括以下几种响应 记录安全事件产生报警信息记录附加日志激活附加入侵检测工具第二 介于温和与严厉之间的主动响应方式 隔离入侵者IP禁止被攻击对象的特定端口和服务隔离被攻击对象第三级别 较为严厉的主动响应方式 警告攻击者跟踪攻击者断开危险连接攻击攻击者 33 自动入侵响应 入侵预防 入侵检测和容忍入侵在解决网络入侵问题上都发挥了很大的作用 但这些方法都是被动地解决入侵问题 而入侵响应系统在入侵发生后能够主动保护受害系统 阻击入侵者 目前 入侵防范研究的重点还是在入侵预防和入侵检测上 入侵响应还大都只是在IDS系统中实现 其响应方式和响应能力受到一定限制 34 35 自动入侵响应系统的模型如图7 2所示 系统的输入是入侵检测系统输出的安全事件 响应决策模块依据响应决策知识库 决定对于输入的安全事件做出什么响应 产生响应策略响应某种中间语言描述 然后由响应执行模块解释执行 并调用响应工具库中预先编制好的响应工具 响应评估模块对作出的响应进行评估 评估结果再反馈到响应决策模块 调整和改进响应决策机制 在自动入侵响应中 响应决策模块是整个系统的核心 因为及时 有效 合理的响应策略是提高系统响应性能的关键 36 常见自动入侵响应有以下几种类型基于代理自适应响应系统AAIRS AdaptiveAgent basedIntrusionResponseSystem 基于移动代理 MobileAgent 的入侵响应系统基于IDIP协议的响应系统 IDIP IntruderDetectionandIsolationProtocol 基于主动网络 ActiveNetwork 的响应系统 37 3 入侵追踪 网络攻击的追踪是对网络攻击做出的正确响应的前提 一旦网络遭到攻击 如何追踪入侵者并将其绳之以法 是十分必要的 入侵追踪一般包括两个各方面的工作 第一 发现入侵者的IP地址 MAC地址或是认证的主机名 第二 追踪攻击源 确定入侵者的真实位置 38 1 IP地址追踪 使用netstat命令 发现入侵者的IP地址是很基础的一项追踪技术 使用netstat命令可以获得所有连接被测主机的网络用户的IP地址 Windows系列系统 Unix系统 Linux系统等常用操作系统都可以使用该命令 日志数据 系统的日志数据提供了详细的用户登录信息 在追踪网络攻击时 这些数据是最直接最有效的