网络安全复习.ppt

信息保障的核心思想 信息保障的核心思想是对系统或者数据的4个方面的要求 PDRR保障体系保护 Protect 检测 Detect 反应 React 恢复 Restore PDRR保障体系 保护 Protect 指采用可能采取的手段保障信息的保密性 完整性 可用性 可控性和不可否认性 密码技术 数字签名 报文摘要 安全协议 操作系统安全 数据库系统安全 访问控制等技术检测 Detect 指提供工具检查系统可能存在的黑客攻击 白领犯罪和病毒泛滥等脆弱性 病毒检测 漏洞扫描 入侵检测 身份鉴别等技术 PDRR保障体系 反应 React 指对危及安全的事件 行为 过程及时做出响应处理 杜绝危害的进一步蔓延扩大 力求系统尚能提供正常服务 监视 关闭 切换 跟踪 报警 修改配置 联动阻断等技术恢复 Restore 指一旦系统遭到破坏 尽快恢复系统功能 尽早提供正常的服务 备份 恢复 攻击技术 攻击技术主要包括五个方面 1 网络监听 不主动去攻击别人 在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据 2 网络扫描 利用程序去扫描目标计算机开放的端口等 目的是发现漏洞 为入侵该计算机做准备 3 网络入侵 当探测发现对方存在漏洞以后 入侵到目标计算机获取信息 4 网络后门 成功入侵目标计算机后 为了对 战利品 的长期控制 在目标计算机中种植木马等后门 5 网络隐身 入侵完毕退出目标计算机后 将自己入侵的痕迹清除 从而防止被对方管理员发现 如果不知道如何攻击 再好的防守也是经不住考验的 防御技术 防御技术包括 加密技术 为了防止被监听和盗取数据 将所有的数据进行加密 防火墙技术 利用防火墙 对传输的数据进行限制 从而防止被入侵 入侵检测 如果网络防线最终被攻破了 需要及时发出被入侵的警报 操作系统的安全配置 操作系统的安全是整个网络安全的关键 我国立法情况 目前网络安全方面的法规已经写入中华人民共和国宪法 于1982年8月23日写入中华人民共和国商标法于1984年3月12日写入中华人民共和国专利法于1988年9月 日写入中华人民共和国保守国家秘密法于1993年9月2日写入中华人民共和国反不正当竞争法 安全级别 2 1信息收集概述 信息收集的内容域名和IP地址操作系统类型开放的端口与服务应用程序类型防火墙 入侵检测等安全防范措施内部网络结构 域组织 2 3 1主机扫描 利用ICMP进行主机扫描PingPing使用ICMP协议进行工作 2 3 2端口扫描 端口扫描原理向目标主机的各个端口发送连接请求 根据返回的响应判断是否开放 端口是入侵的通道端口分为TCP端口与UDP端口 端口扫描可分类为TCP扫描UDP扫描 基本扫描 用Socket开发TCP应用 服务器端 客户端 2 3 2端口扫描 基本的扫描方法即TCPConnect扫描优点实现简单可以用普通用户权限执行缺点容易被防火墙检测 也会目标应用所记录 2 1 1可以利用的缺陷与漏洞 管理漏洞目标系统信息的泄露错误的配置信息未采用必要的防护系统弱口令系统漏洞未更新补丁设计缺陷协议漏洞身份验证协议以及网络传输协议 2 5操作系统类型探测 识别目标操作系统的意义识别操作系统类型的方法针对专门的操作系统的漏洞为社会工程法提供进一步的信息 2 5 1传统的操作系统探测方法 端口扫描结果分析操作系统往往提供一些自身特有的功能 而这些功能又很可能打开一些特定的端口WINDOWS9X 137 139WINDOWS2000 XP 135 139 445135 LocationService137 NetBIOSNameService UDP 139 NetBIOSFileandPrintSharing各种UNIX 512 514 2049 2 5 1传统的操作系统探测方法 应用程序BANNERBANNER服务程序接收到客户端的正常连接后所给出的欢迎信息 2 5 1传统的操作系统探测方法 MSFTPServ UforWindows 2 5 2TCP IP协议栈指纹 TCP IP协议栈指纹不同的操作系统在实现TCP IP协议栈时都或多或少地存在着差异 而这些差异 我们就称之为TCP IP协议栈指纹不同的操作系统在实现TCP IP协议栈的时候 并不是完全按照RFC所定义的标准来实现的在RFC中也没有对所有的问题给予精确的定义 2 5 2TCP IP协议栈指纹 FIN扫描对FIN报文的回复TCP标准关闭的端口 返回RST报文打开的端口 忽略BSD操作系统与TCP标准一致其他操作系统均返回RST报文 2 5 2TCP IP协议栈指纹 TCP IP协议栈指纹TCP包头信息相关FIN标志探测BOGUS 伪造 标记位探测TCPISN取样TCP初始化 窗口 测试ACK标志测试TCP选项测试IP ICMP包信息相关ICMP错误信息查询ICMP信息引用ICMP错误信息回显完整性服务类型 TOS 和TTL片段 碎片 处理 内容提要 本章将介绍目前常见的网络入侵手段 口令攻击ARP欺骗Unicode漏洞攻击缓冲区溢出拒绝服务攻击假消息攻击介绍流行的攻击工具的使用 相关概念 服务 系统提供的 用户所需要的功能 拒绝服务 任何对服务的干涉 如果使其可用性降低或者失去可用性均称为拒绝服务 拒绝服务攻击 是指攻击者通过某种手段 有意地造成计算机或网络不能正常运转 从而不能向合法用户提供所需要的服务或者使得服务质量降低 攻击运行原理 个比较完善的DDoS攻击体系分成四大部分 黑客控制傀儡机攻击傀儡机受害者对受害者来说 DDoS的实际攻击包是从攻击傀儡机上发出的 控制机只发布命令而不参与实际的攻击 对第2和第3部分计算机 黑客有控制权或者是部分的控制权 并把相应的DDoS程序上传到这些平台上 这些程序与正常的程序一样运行并等待来自黑客的指令 通常它还会利用各种手段隐藏自己不被别人发现 在平时 这些傀儡机器并没有什么异常 只是一旦黑客连接到它们进行控制 并发出指令的时候 攻击傀儡机就成为害人者去发起攻击了 攻击运行原理 DDoS攻击体系结构 攻击运行原理 按照攻击机制将拒绝服务攻击分为3类第一类是风暴型 FloodType 攻击 攻击者通过大量的无用数据包 非正常用户的正常请求 这些数据包是旨在攻击受害者 由攻击者发出的或者由攻击主机响应攻击者的指令而发出的 因此有时也称之为攻击性数据包 占用过多的资源以达到拒绝服务的目的 这种攻击有时也称为带宽攻击 BandwidthAttack 原因是其常常占用大量的带宽 即使有时攻击的最终目的是占用系统资源 但在客观上也会占用大量带宽 攻击类型 攻击类型 在这类攻击中 攻击数据包可以是各种类型的 TCP IP UDP ICMP等 数据包中的数据也可以是多种多样的 这些数据包与正常服务的数据包是难以区分的 风暴攻击的效果完全依赖于数据包的数量 仅当大量的数据包传到目标系统 受害者 时 攻击方才有效 分布式拒绝服务攻击表明 即使是拥有大量资源的网络在风暴型攻击下也难以幸免 攻击类型 第二类是毒包 KillerPacket 型攻击 它主要是利用协议本身或者其软件实现中的漏洞 通过一些非正常的 畸形的 数据包使得受害者系统在处理时出现异常 导致受害者系统崩溃 由于这类攻击主要是利用协议或软件漏洞来达到攻击效果的 因此 有的也称这类攻击为漏洞攻击 也有称之为协议攻击的 攻击类型 由于这类攻击对攻击者的运算能力或带宽没有要求 一个通过Modem连接的低档的PC机就可以攻破一个具有高带宽的大型系统 因此 这类攻击也是一种非对称DoS攻击 此类攻击一般可以通过打补丁或者在防火墙处过滤特定的畸形数据包达到对受害者的保护目的 攻击类型 第三类攻击称为重定向攻击 它既不是利用剧毒包 也不是利用风暴来攻击受害者 它是通过修改网络中的一些参数如ARP表 DNS缓存 使得从受害者发出的或者发向受害者的数据包被重定向到了其他的地方 很多人不把它当成拒绝服务攻击 但如果数据包被重定向到不存在的主机或者存在但不将数据包转发到其真正目的地的主机 则构成实际的拒绝服务 SYNFlood原理 TCP连接的三次握手 SYNFlood原理 SynFlood攻击者不会完成三次握手 SYNFlood原理 假设一个客户向服务器发送了SYN报文段后突然掉线 那么服务器在发出SYN ACK应答报文后是无法收到客户端的ACK报文的 第三次握手无法完成 这种情况下服务器端一般会重试 再次发送SYN ACK给客户端 并等待一段时间后丢弃这个未完成的连接 这段时间的长度称为SYNTimeout 一般来说这个时间大约为30秒 2分钟 同时 对于每个连接 双方都要为这个连接分配必要的内存资源 用来存放所使用的协议 地址 端口 时钟以及初始序号等信息 这些内存资源大约占用280字节 SYNFlood原理 当一个服务器收到大量连续的SYN包时 就会为这些连接分配必要的内存资源 这些半连接将耗尽系统的内存资源和CPU时间 从而拒绝为合法的用户提供服务 此时从正常客户的角度看来 服务器失去响应 这种情况我们称做 服务器端受到了SYNFlood攻击 SYN洪水攻击 SYNFlood防护策略 优化系统配置缩短超时时间 使无效的半连接尽快释放 也可能导致某些合法连接失败 增加半连接队列长度 使系统能够处理更多的半连接 关闭不必要或不重要的服务 减少被攻击的机会 优化路由器配置丢弃那些来自内网而源地址具有外网IP地址的包 加强监测在网络的关键点上安装监测软件 持续监视TCP IP流量 分析通信状态 辨别攻击行为 SYNFlood防护策略 防火墙有些防火墙具有SYNProxy功能 这种方法设置每秒通过指定对象 目标地址和端口 仅目标地址或仅源地址 的SYN片段数的阈值 当来自相同源地址或发往相同目标地址的SYN片段数达到这些阈值之一时 防火墙就开始截取连接请求和代理回复SYN ACK片段 并将不完全的连接请求存储到连接队列中直到连接完成或请求超时 当防火墙中代理连接的队列被填满时 防火墙拒绝来自相同区域中所有地址的新SYN片段 避免网络主机遭受不完整的三次握手的攻击 这种方法在攻击流量较大的时候 连接出现较大的延迟 网络的负载较高 很多情况下反而成为整个网络的瓶颈 SYNFlood防护策略 防护算法SYNproxy算法 这种算法对所有的SYN包均主动回应 探测发起SYN包的源IP地址是否真实存在 如果该IP地址真实存在 则该IP会回应防护设备的探测包 从而建立TCP连接 大多数的国内外抗拒绝服务产品采用此类算法 SafeReset算法 此算法对所有的SYN包均主动回应 探测包特意构造错误的字段 真实存在的IP地址会发送rst包给防护设备 然后发起第2次连接 从而建立TCP连接 部分国外产品采用了这样的防护算法 SYNFlood防护策略 SYN重传算法 该算法利用了TCP IP协议的重传特性 来自某个源IP的第一个syn包到达时被直接丢弃并记录状态 在该源IP的第2个syn包到达时进行验证 然后放行 综合防护算法 结合了以上算法的优点 并引入了IP信誉机制 当来自某个源IP的第一个syn包到达时 如果该IP的信誉值较高 则采用synproxy算法 而对于信誉值较低的源IP 则基于协议栈行为模式 如果syn包得到验证 则对该连接进入synproxy校验 一旦该IP的连接得到验证则提高其信誉值 有些设备还采用了表结构来存放协议栈行为模式特征值 大大减少了存储量 SYNFlood防护策略 无论哪种防护策略都只针对一种特定的攻击 不能针对各类攻击 无论哪种防护策略单独使用收效都不会理想 必须配合使用 无论哪种防护策略都必须根据攻击的不断变化而不断发展 才能起效 上述三点对其他类型的攻击同样适用 攻击实例3 Smurf攻击 这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统 引起目标系统拒绝为正常系统进行服务 Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求 ping 数据包 来淹没受害主机 最终导致该网络的所有主机都对此ICMP应答请求做出答复 导致网络阻塞 更加复杂的Smurf将源地址改为第三方的受害者 最终导致第三方崩溃 Smurf攻击 攻击通常分为以下五步 黑客锁定一个被攻击的主机 通常是一些Web服务器 黑客寻找中间代理 路由器 用来对攻击实施放大 黑客给中间代理站点的广播地址发送大量的ICMP包 主要是指Ping命令的ECHO包 这些数据包全都以被攻击的主机的IP地址做为IP包的源地址 中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包 中间代理子网主机对被攻击的网络进行响应 攻击实例 Smurf攻击 分析和对抗 首先 防止让你的网络里的人发起这样的攻击 在Smurf攻击中 大量源欺骗的IP数据包离开了第一个网络 通过在路由器上使用输出过滤 滤掉这样的包 从而阻止从你的网络中发起的Smurf攻击 其次 防止你的网络做为中间代理 如果没有必须要发送广播数据包的情况 就可以在路由器的每个接口上设置禁止直接广播 配置主机的操作系统 使其不响应ICMP广播包 攻击实例6 UDPDNSQueryFlood攻击 UDPDNSQueryFlood攻击实质上是UDPFlood的一种 但是由于DNS服务器的不可替代的关键作用 一旦服务器瘫痪 影响一般都很大 攻击采用的方法 向被攻击的服务器发送大量的域名解析请求 通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名 被攻击的DNS服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存 如果查找不到并且该域名无法直接由服务器解析的时候 DNS服务器会向其上层DNS服务器递归查询域名信息 UDPDNSQueryFlood攻击 域名解析的过程给服务器带来了很大的负载 每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时 根据微软的统计数据 一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求 而在一台普通的PC机上可以轻易地构造出每秒钟几万个域名解析请求 足以使一台硬件配置极高的DNS服务器瘫痪 由此可见DNS服务器的脆弱性 UDPDNSQueryFlood防护 在UDPFlood的基础上对UDPDNSQueryFlood攻击进行防护 根据域名IP自学习结果主动回应 减轻服务器负载 使用DNSCache 对突然发起大量频度较低的域名解析请求的源IP地址进行带宽限制 在攻击发生时降低很少发起域名解析请求的源IP地址的优先级 限制每个源IP地址每秒的域名解析请求次数 毒包型攻击 Teardrop攻击小片段攻击重叠分片攻击重组攻击Land攻击 攻击实例 Teardrop攻击 Teardrop本是一段用于拒绝服务攻击的程序名 该程序利用Windows和低版本Linux中处理IP分片的漏洞 向受害者发送偏移地址重叠的UDP数据包分片 使得目标机器在将分片重组时出现异常错误 导致目标系统崩溃或重启 攻击实例7 Teardrop攻击 Teardrop攻击原理当数据在不同的网络介质之间传输时 由于不同的网络介质和协议允许传输的数据包的最大长度 即最大传输单元 MTU 可能是不同的 为了确保数据包顺利到达目的地 分片功能是必需的 当一个数据包传输到了一个网络环境中 如果该网络环境的MTU小于数据包的长度 则该数据包需要分片才能通过该网络 Teardrop攻击 为了使得同一数据包的分片能够在其目的端顺利重组 每个分片必须遵从如下规则 同一数据包的所有片段的标识号必须相同 每个片段必须指明其在原未分段的数据包中的位置 也称偏移 每个片段必须指明其数据的长度 每个片段必须说明其是否是最后一个片段 即其后是否还有其他的片段 Teardrop攻击 假设原始IP包有150字节数据 不含IP头 该数据包可以被分成两块 前一块有120字节 偏移为0 后一块有30字节 偏移应该为120 当接收方收到数据长为120的第一个分片数据包以后 如果收到第二个数据长度为30 偏移为120的分片时 其将第二个数据包的数据长度和偏移加起来 作为第一 二两个分片的总长度 这里是150 由于已经拷贝了第一个分片的120字节 因此 系统从第二个分片中拷贝150 120 30字节数据到为重组开设的缓冲区中 这样 一切正常 没有错误发生 Teardrop攻击 如果攻击者刻意修改第二个分片数据包 使得数据长度为30 偏移却为80 则结果就不一样了 在收到第一个分片后 如果接收者收到第二个偏移80 数据长度30的分片时 系统计算80 30 110作为两个分片的总长度 为了确定应该从第二个分片中拷贝多少字节 系统需要用总长度110减去第一个分片中已拷贝的120字节 结果得到 10字节 由于系统采用的是无符号整数 则 10相当于一个很大的整数 这时候系统处理出现异常 根据系统不同 出现的异常情况也不一样 但通常会导致堆栈损坏 IP模块不可用和系统挂起 不能响应 等 WinNT 95在接收到10至50个Teardrop分片时也会崩溃 Teardrop攻击 攻击实例8 小片段攻击 这种攻击用于穿透防火墙 通过很小的片段使得防火墙需要检测的信息进入到下一个片段中 例如 对于TCP包 攻击者可以把TCP头信息分到下一个片段之中 或者把TCP头分到两个片段中 使TCP的标志 TCPFlag 进入到下一个片段中 从而使得一些通过检查这些标志位进行过滤的防火墙因找不到标志位而放行 这种攻击寄希望于防火墙只检查数据包的第一个片段 小片段攻击 这种攻击也可以用于逃避入侵检测系统 IDS 的追踪 因为从对策的角度 IDS却无法像防火墙一样限制分片数据包长度的下限 IDS只有对数据包重组后才能判断是否有攻击者利用这种小片段逃避检测 同样地 这也为攻击者针对IDS进行拒绝服务攻击创造了条件 对付这种攻击 可以采用的一个策略是在防火墙处设置分片数据包长度的下限 确保第一个分片中包含了所有必需的头信息 或者 防火墙在检测时进行数据包的重组 仅当重组后的数据包符合放行规则时 数据包片段才得以放行 只不过这又为攻击者攻击防火墙创造了条件 攻击实例11 Land攻击 Land原是一段C程序 其向受害者发送TCPSYN包 而这些包的源IP地址和目的IP地址被伪造成相同的 即受害者的IP地址 源端口和目的端口也是相同的 此将导致接受服务器向它自己的地址发送SYN ACK消息 结果这个地址又发回ACK消息并创建一个空连接 被攻击的服务器每接收一个这样的连接都将保留 直到超时 目标系统在收到这样的包以后可能会崩溃或者重启 Land攻击 防御有针对性地更改协议算法 打最新的相关的安全补丁 在防火墙上进行配置 将那些在外部接口上进入的含有内部源地址的包过滤掉 包括10域 127域 192 168域 172 16到172 31域 对毒包进行识别 如 由于Land攻击主要是构造IP包 使源IP和目标IP相同 源端口和目的端口相同 可以对此类包进行单独辨别 处理 5 2Unicode漏洞 Unicode统一的字符编码标准Unicode是目前用来解决ASCII码256个字符限制问题的一种通用解决方案 Unicode通过用双字节来表示一个字符 从而在更大范围内将数字代码映射到多种语言的字符集 Unicode给每个字符提供了一个唯一的数字 与平台或编程语言无关 Windows2000 XP以及微软Office2000及其后的产品都是Unicode内核 因此 无论何种文字 都可以在上面正常显示 而且是同屏显示 Unicode漏洞 Unicode漏洞是最容易让入侵者得手的一个漏洞之一 可以轻易将主页改掉 或者删除硬盘上的数据 甚至获取administrator权限 Unicode漏洞是2000 10 17发布的 受影响的版本 MicrosoftIIS5 0 MicrosoftWindows2000系列版本MicrosoftIIS4 0 MicrosoftWindowsNT4 0 Unicode漏洞的原理 在Windows的目录结构中 可以使用 来访问上一级目录 在浏览器中利用 scripts 可以访问到系统盘根目录 访问 scripts winnt system32 就访问到系统的系统目录 在system32目录下包含许多重要的系统文件 比如cmd exe文件 可以利用该文件新建用户 删除文件等操作 Unicode漏洞的原理 scripts目录一般位于系统盘根目录下的Inetpub目录下 如图所示 Unicode漏洞的原理 浏览器地址栏中禁用符号 但是可以使用符号 的Unicode的编码 c0 2f 就是 的Unicode编码 比如语句 scripts c0 2f winnt system32 cmd exe c dir是执行dir命令列出目录结构 Unicode漏洞的原理 利用Unicode漏洞攻击1 读取系统盘目录 利用语句得到对方计算机上装了几个操作系统以及操作系统的类型 只要读取C盘下的boot ini文件就可以了 http 172 18 25 109 scripts c0 2f winnt system32 cmd exe c type c boot ini 利用Unicode漏洞攻击2 删除主页 利用Unicode可以方便的更改对方的主页 比如已经知道对方网站的根路径在 C Initpub wwwroot 系统默认 下 可以删除该路径下的文件 default asp 来删除主页 这里的 default asp 文件是IIS的默认启动页面 使用的语句是 http 172 18 25 109 scripts c0 2f winnt system32 cmd exe c del c inetpub wwwroot default asp 利用Unicode漏洞攻击3 拷贝文件 为了使用方便 利用语句将cmd exe文件拷贝到scripts目录 并改名为c exe 使用的语句是 http 172 18 25 109 scripts c0 2f winnt system32 cmd exe c copy C winnt system32 cmd exe c exe 3 ARP欺骗 在实现TCP IP协议的网络环境下 一个ip包走到哪里 要怎么走是靠路由表定义 但是 当ip包到达该网络后 哪台机器响应这个ip包却是靠该ip包中所包含的硬件mac地址来识别 只有机器的硬件mac地址和该ip包中的硬件mac地址相同的机器才会应答这个ip包 因为在网络中 每一台主机都会有发送ip包的时候 在每台主机的内存中 arp 硬件mac的转换表 会被主机在一定的时间间隔后刷新 这个时间间隔就是ARP高速缓存的超时时间 ARP欺骗 A ip地址192 168 0 1硬件地址AA AA AA AA AA AAB ip地址192 168 0 2硬件地址BB BB BB BB BB BBC ip地址192 168 0 3硬件地址CC CC CC CC CC CC ARP欺骗 一个位于主机B的入侵者想非法进入主机A 可是这台主机上安装有防火墙 通过收集资料他知道这台主机A的防火墙只对主机C有信任关系 入侵者必须让主机A相信主机B就是主机C 如果主机A和主机C之间的信任关系是建立在ip地址之上的 如果单单把主机B的ip地址改的和主机C的一样 那是不能工作的 至少不能可靠地工作 ARP欺骗 如果告诉以太网卡设备驱动程序 自己IP是192 168 0 3 那么这只是一种纯粹的竞争关系 并不能达到目标 于是可以先研究C这台机器如果我们能让这台机器暂时当掉 竞争关系就可以解除 这个是有可能实现的 在机器C当掉的同时 将机器B的ip地址改为192 168 0 3 这样就可以成功的通过23端口telnet到机器A上面 而成功的绕过防火墙的限制 ARP欺骗 如果主机A和主机C之间的信任关系是建立在硬件地址的基础上 这个时候还需要用ARP欺骗的手段让主机A把自己的ARP缓存中的关于192 168 0 3映射的硬件地址改为主机B的硬件地址 于是可以人为的制造一个arp reply的响应包 发送给想要欺骗的主机 这是可以实现的 因为协议并没有规定必须在接收到arp echo后才可以发送响应包 这样的工具很多 我们也可以直接用snifferpro抓一个arp响应包 然后进行修改 指定ARP包中的源IP 目标IP 源MAC地址 目标MAC地址 这样你就可以通过虚假的ARP响应包来修改主机A上的动态ARP缓存达到欺骗的目的 具体的步骤 1 先研究192 168 0 3这台主机 发现这台主机的漏洞 2 根据发现的漏洞使主机C当掉 暂时停止工作 3 这段时间里 入侵者把自己的IP改成192 168 0 34 用工具发一个源IP地址为192 168 0 3 源MAC地址为BB BB BB BB BB BB的包给主机A 要求主机A更新自己的ARP转换表 5 主机更新了ARP表中关于主机C的IP MAC对应关系 6 防火墙失效了 入侵的IP变成合法的MAC地址 ok ARP欺骗的检测与控制办法 目前比较有效的检测ARP欺骗攻击的方法主要有两种 一种是在局域网内部使用抓包软件进行抓包分析 另一种是直接到到三层交换机上查询ARP表 这两种方法各有优缺点 抓包分析方法 使用抓包软件 如snifferpro 在局域网内抓ARP的reply包 如果最后的mac不是网关的真实mac的话 那就说明有ARP欺骗存在 而这个mac就是那台进行ARP欺骗主机的mac 优点 简单易行 无需特别权限设置 所有用户都可以做 误判率较小 缺点 必须在局域网内部 广播域内部 听包才有效 三层交换机上查询ARP缓存表方法 登陆局域网的三层交换机 并查看交换机的ARP缓存表 如果在ARP表中存在一个MAC对应多个IP 的情况 那么就表明存在ARP欺骗攻击 而这个MAC就是欺骗主机的MAC 优点 可以远程操作 无需到局域网内部 可以通过脚本来自动分析 缺点 需要特殊权限 普通用户无法进行操作 ARP欺骗的控制方法 1 主机静态绑定网关MAC方法使用arp命令静态绑定网关MAC 格式如下 arp s网关IP网关MAC优点 简单易行 普通用户都能操作缺点 只能单向绑定 需要跟网关绑定MAC结合使用 ARP欺骗的控制方法 2 网关使用IP MAC绑定模式方法交换机启用静态ARP绑定功能 将用户的IP与MAC进行静态绑定 防止ARP欺骗发生 优点 效果明显缺点 操作复杂 工作量巨大 无法保证主机端不被欺骗 需要与主机端绑定网关MAC结合使用 ARP欺骗的控制方法 3 使用防ARP攻击的软件方法下载和使用防ARP攻击的软件 如ARPFix或者是AntiARP等 优点 简单易行缺点 需要用户端都安装 无法保证网关不被欺骗 总结 因为ARP欺骗利用的是ARP协议本身的缺陷 所以到目前为止 依然没有一个十分有效的方法去控制这种攻击 目前难点主要集中在网关上 还没有找到一个很有效的方法来防范网关上的ARP列表不被欺骗修改 当前最理想的办法还是迅速阻断这种攻击的来源 这就要求能够快速检测到攻击并定位出攻击主机位置后加以处理 IP欺骗 IP欺骗是一种中间人攻击 IP欺骗不是进攻的结果 而是进攻的手段 进攻实际上是信任关系的破坏 IP欺骗是多种网络攻击的必要步骤 IP欺骗原理 信任关系假如在主机A和B上各有一个帐户 则在主机A上使用时需要输入在A上的相应帐户 在主机B上使用时必须输入在B上的帐户 主机A和B把你当作两个互不相关的用户 显然有些不便 为了减少这种不便 可以在主机A和主机B中建立起两个帐户的相互信任关系 则可以毫无阻碍地使用远程登录而无口令验证的麻烦 这些命令将允许以地址为基础的验证 或者允许或者拒绝以IP地址为基础的存取服务 这里的信任关系是基于IP地址的 IP欺骗原理 IP只是发送数据包 并且保证它的完整性 如果不能收到完整的IP数据包 IP会向源地址发送一个ICMP错误信息 希望重新处理 由于IP是无连接的 所以不保持任何连接状态的信息 每个IP数据包被松散地发送出去 而不关心前一个和后一个数据包的情况 由此看出 可以对IP包进行修改 在源地址和目的地址中放入任意满足要求的IP地址 也就是说 提供虚假的IP地址 IP欺骗原理 TCP提供可靠传输 可靠性是由数据包中的多个控制字段来提供的 其中最重要的是数据序列和数据确认 TCP向每一个数据字节分配一个序列号 并且可以向已成功接收的 源地址所发送的数据包表示确认 目的地址ACK所确认的数据包序列是源地址的数据包序列 而不是自己发送的数据包序列 ACK在确认的同时 还携带了下一个期望获得的数据序列号 显然 TCP提供的这种可靠性相对于IP来说更难于作假 IP欺骗原理 接收端利用序列号确保数据的先后顺序 除去重复的数据包 TCP序列编号可以看作是32位的计数器 它们从0至232 1排列 每一个TCP连接交换的数据都是顺序编号的 在TCP数据包中定义序列号 SEQ 字段于数据段的前端 确认序号 ACK 对所接收的数据进行确认 并且指出下一个期待接收的数据序列号 IP欺骗原理 TCP标志位 RST PSH和FIN 如果RST被接收 TCP连接将立即断开 RST通常在接收端接收到一个与当前连接不相关的数据包时被发送 当TCP模块需要立即传送数据而不能等整段都充满时再传 一个高层的进程将会触发在TCP头部的PSH标示 并且告诉TCP模块立即将所有排列好的数据发给数据接收端 FIN表示一个应用连接结束 当接收端接收到FIN时 确认它 认为将接收不到任何数据了 IP欺骗的步骤 假定 首先 目标主机已经选定 其次 信任模式已被发现 并找到了一个被目标主机信任的主机 步骤 使得被信任的主机丧失工作能力 采样目标主机发出的TCP序列号 猜测出它的数据序列号 伪装成被信任的主机 同时建立起与目标主机基于地址验证的应用连接 如果成功 黑客可以使用一种简单的命令放置一个系统后门 以进行非授权操作 IP欺骗的防止 抛弃基于地址的信任策略阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证 这将迫使所有用户使用其它远程通信手段 如telnet等 进行包过滤如果网络是通过路由器接入Internet的 那么可以利用路由器来进行包过滤 确信只有内部LAN可以使用信任关系 而内部LAN上的主机对于LAN以外的主机要慎重处理 路由器可以过滤掉所有来自于外部而希望与内部建立连接的请求 IP欺骗的防止 使用随机化的初始序列号黑客攻击得以成功实现的一个很重要的因素就是 序列号不是随机选择的或者随机增加的 为弥补TCP不足的方法 可以采用分割序列号空间 每一个连接将有自己独立的序列号空间 序列号将仍然按照以前的方式增加 但是在这些序列号空间中没有明显的关系 可以通过下列公式来说明 SEQ M F localhost localport remotehost remoteport M 4微秒定时器F 加密HASH函数 F产生的序列号 对于外部来说是不应该能够被计算出或者被猜测出的 内容提要 为了保持对已经入侵的主机长久的控制 需要在主机上建立网络后门 以便直接通过后门入侵系统 网络后门的主要策略 建立远程服务克隆管理员账号种植木马为了入侵的痕迹不被发现 需要隐藏或清除入侵的痕迹实现隐身的主要方法 设置代理跳板清除系统日志 网络后门 只要能不通过正常登录进入系统的途径都称之为网络后门 目的是保持对目标主机长久控制 后门的好坏取决于被管理员发现的概率 只要是不容易被发现的后门都是好后门 留后门的原理和选间谍是一样的 让管理员看了感觉没有任何特别的 通过建立远程服务端口和克隆管理员帐号来实现 木马简介 木马 木马来自于 特洛伊木马 英文名称为TrojanHorse 由于特洛伊木马程序的功能和此类似 故而得名 木马程序在表面上看上去没有任何的损害 实际上隐藏着可以控制用户整个计算机系统 打开后门等危害系统安全的功能 木马比普通后门功能强大 有远程控制功能 木马是一种可以驻留在对方系统中的一种程序 木马 木马一般由两部分组成 服务器端和客户端 驻留在对方服务器的称之为木马的服务器端 远程的可以连到木马服务器的程序称之为客户端 木马的功能是通过客户端可以操纵服务器 进而操纵对方的主机 这里介绍一种最常见的木马程序 冰河 网络隐身 IP隐藏 网络代理跳板清除系统日志 1 3恶意代码长期存在的原因 1 系统漏洞层出不穷AT T实验室的S Bellovin提供的安全报告进行过分析 分析结果表明 大约50 的计算机网络安全问题是由软件工程中产生的安全缺陷引起的 其中 很多问题的根源都来自于操作系统的安全脆弱性 在信息系统的层次结构中 包括从底层的操作系统到上层的网络应用在内的各个层次都存在着许多不可避免的安全问题和安全脆弱性 而这些安全脆弱性的不可避免 直接导致了恶意代码的必然存在 计算机技术发展的同时并未使系统的安全性得到增强 技术进步带来的安全增强能力最多只能弥补由应用环境的复杂性带来的安全威胁的增长程度 此外 计算机新技术的出现还很有可能使计算机系统的安全变得比以往更加脆弱 脆弱性与规模成正比 测试技术只能证明系统存在脆弱性 不能证明系统不存在脆弱性 2 利益驱使目前 网络购物 网络支付 网络银行和网上证券交易系统的已经普及 各种盗号木马甚至被挂在了金融 门户等网站上 给用户造成了严重的经济损失 如果下载网银木马 该木马会监视IE浏览器正在访问的网页 如果发现用户正在登录某银行的网上银行 就会弹出伪造的登录对话框 诱骗用户输入登录密码和支付密码 通过邮件将窃取的信息发送出去 威胁用户网上银行帐号密码的安全 骗取IP流量 所谓的IP流量指的是访问某个网站的独立IP数量 IP流量是评估一个网站的重要指标 因此一些商家就出售这些流量 1 4恶意代码的定义 早期恶意代码的主要形式是计算机病毒 80年代 Cohen设计出一种在运行过程中可以复制自身的破坏性程序 Adleman将它命名为计算机病毒 它是早期恶意代码 Adleman将计算机病毒定义为 一个具有破坏 传染或模仿特点的相同性质的程序集合 这种定义有将病毒内涵扩大化的倾向 将任何具有破坏作用的程序都认为是病毒 掩盖了病毒潜伏 传染等其它重要特征 恶意代码的定义 Grimes将恶意代码定义为 经过存储介质和网络进行传播 从一台计算机系统到另外一台计算机系统 未经授权认证破坏计算机系统完整性的程序或代码 包括计算机病毒 ComputerVirus 蠕虫 Worms 特洛伊木马 TrojanHorse 逻辑炸弹 LogicBombs 病菌 Bacteria 用户级RootKit 核心级RootKit等 由此定义 恶意代码两个显著的特点是 非授权性和破坏性 恶意代码的相关定义 防火墙简介 防火墙是设置在不同网络或者安全域之间的一系列部件的组合 充当可信区域与不可信区域之间信息唯一出入口 通过对出入数据的过滤 监管 防范网络入侵 防火墙有硬件防火墙和软件防火墙两种 Internet 防火墙 防火墙的功能 根据不同的需要 防火墙的功能有比较大差异 但主要包含以下几种基本功能 过滤掉不安全的服务和数据包 限制内部用户访问特殊站点 隔离内部网络与外部不可信网络 提供逻辑地址的转换服务 对网络通信行为进行审计 防火墙适合于相对独立的网络 Internet上的Web网站中 超过三分之一的站点都是有某种防火墙保护的 任何关键性的服务器 都应该放在防火墙之后 防火墙的类型 按照防火墙处理数据的方法 可分为包过滤防火墙 代理防火墙和状态检测防火墙三大体系 具体包括 包过滤防火墙代理服务防火墙应用级代理防火墙电路级代理防火墙状态检测防火墙 规则的制定 规则次序同样的规则 以不同的次序放置 可能会完全改变防火墙的运转情况 防火墙以顺序方式检查信息包 当防火墙接收到一个信息包时 它先与第一条规则相比较 然后是第二条 第三条 当它发现一条匹配规则时 就停止检查并应用那条规则 如果信息包经过每一条规则而没有发现匹配 这个信息包便会被拒绝 通常的顺序是 较特殊的规则在前 较普通的规则在后 防止在找到一个特殊规则之前一个普通规则便被匹配 这可以使你的防火墙避免配置错误 规则不能出现矛盾网络的头号敌人是错误配置 规则不宜太多尽量保持规则集简洁和简短 规则的正确性验证复杂度与规则数量直接相关 规则越多 就越可能犯错误 规则越少 理解和维护就越容易 一个好的准则是最好不要超过30条 一旦规则超过50条 就会以失败而告终 规则越少 规则集就越简洁 错误配置的可能性就越小 系统就越安全 因为规则少意味着只分析少数的规则 防火墙的CPU周期就短 防火墙效率就可以提高 每条规则要有针对性 避免过宽或过严 数据包的处理 包过滤防火墙只在网络层和传输层检查数据 与应用层无关 有过滤规则 匹配 有更多条目 下一条目 动作 禁止或丢弃 丢弃 发送ICMP消息 允许 转发 数据包到达 N N N Y Y Y 数据包处理过程 包过滤防火墙评价 特点 只针对IP地址及端口 不关心数据内容 优点 速度快 对用户透明 配置简单 缺点 1 无法对数据包内容进行检查 2 无法提供详细日志记录 3 内外网不隔离 4 复杂配置下容易出错 防火墙的体系结构 双宿主主机体系结构主机屏蔽体系结构子网屏蔽体系结构 2 主机屏蔽体系结构 主机屏蔽防火墙比双宿主机防火墙更安全 主机屏蔽防火墙体系结构是在防火墙的前面增加了筛选路由器 防火墙不直接连接外网 这样的形式提供一种非常有效的并且容易维护的防火墙体系 因为路由器具有数据过滤功能 路由器通过适当配置后 可以实现一部分防火墙的功能 因此 有人把筛选路由器也成为防火墙的一种 实际上 筛选路由器作为保护网络的第一道防线 可以根据内网的安全策略 过滤掉不允许通过的数据包 3 子网屏蔽体系结构 屏蔽子网体系结构使用两个屏蔽路由器 位于堡垒主机的两端 一端连接内网 一端连接外网 子网屏蔽防火墙体系结构添加阻塞路由器到主机屏蔽体系结构 即通过添加周边网络更进一步地把内部网络与外网隔离 在主机屏蔽体系中 用户的内部网络对堡垒主机没有任何防御措施 通过在周边网络上隔离堡垒主机 能减少在堡垒主机上入侵的影响 入侵者必须穿透两个屏蔽路由器才能进入内网 即使入侵者控制了堡垒主机 他仍然需要通过内网端的屏蔽路由器才能到达内网 阻塞路由器 筛选路由器 防火墙的部署 1 包过滤防火墙的部署2 代理网关 双宿主主机 防火墙的部署3 主机屏蔽防火墙的部署4 子网屏蔽防火墙的部署5 企业常见分布式防火墙的部署 1 包过滤防火墙的部署 2 代理网关 双宿主主机 防火墙的部署 3 主机屏蔽防火墙的部署 4 子网屏蔽防火墙的部署 防火墙的局限性 防火墙不能防范不经过防火墙的攻击 没有经过防火墙的数据 防火墙无法检查 防火墙不能防止策略配置不当或错误配置引起的安全威胁 防火墙是一个被动的安全策略执行设备 就像门卫一样 要根据政策规定来执行安全 防火墙对来自内部网络的攻击和安全问题防范能力弱 防火墙可以设计为既防外也防内 谁都不可信 但绝大多数单位因为不方便 不要求防火墙防内 防火墙不能防止利用标准网络协议中的缺陷进行的攻击 一旦防火墙准许某些标准网络协议 防火墙不能防止利用该协议中的缺陷进行的攻击 防火墙不能防止受病毒感染的文件的传输 防火墙本身并不具备查杀病毒的功能 即使集成了第三方的防病毒的软件 也没有一种软件可以查杀所有的病毒 防火墙不能防止数据加密式的攻击和利用隧道传输的数据 防火墙没有信息穿透能力 防火墙的安全性与多功能成反比 多功能与防火墙的安全原则是背道而驰的 因此 除非确信需要某些功能 否则 应该功能最小化 防火墙的安全性和速度成反比 防火墙的安全性是建立在对数据的检查之上 检查越细越安全 但检查越细速度越慢 防火墙不能防止可接触的人为或自然的破坏 防火墙是一个安全设备 但防火墙本身必须存在于一个安全的地方 IDS概念 入侵检测 通过从计算机网络或计算机系统的关键点收集信息并进行分析 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象 入侵检测系统 IDS 是硬件和软件的组合 是防火墙的合理补充 是防火墙之后的第二道安全闸门 入侵检测的内容 试图闯入 成功闯入 冒充其他用户 违反安全策略 合法用户泄露 资源独占或恶意使用 IDS分类 根据所检测的对象 基于主机的入侵检测系统HIDS主要用于保护运行关键应用的服务器 它通过监视与分析主机的审计记录和日志文件来检测入侵 日志中包含发生在系统上的不寻常和不期望活动的证据 这些证据可以指出有人正在入侵或已成功入侵了系统 通过查看日志文件 能够发现成功的入侵或入侵企图 并很快地启动相应的应急响应程序 基于网络的入侵检测系统NIDS主要用于实时监控网络关键路径的信息 它监听网络上的所有数据包和流量 分析可疑现象 根据工作方式 离线监测系统在线监测系统 IDS工作原理 第一步 信息收集 包括系统 网络 数据 以及用户的状态和行为 需要在多个不同的关键点 网段 交换机或主机 收集信息 多来源的信息有利于综合判断 日志文件目录和文件的不期望的改变程序执行的不期望改变物理形式入侵 IDS工作原理 第二步 信息分析模式匹配 实时入侵检测统计分析 实时入侵检测完整性分析 事后分析入侵检测系统的核心 它的效率高低直接决定了整个入侵检测系统的性能 根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与误用入侵检测两类 IDS工作原理 第三步 响应 响应并不局限于对可疑的攻击者 目前的入侵检测系统一般采取下列响应 1 将分析结果记录在日志文件中 并产生相应的报告 2 触发警报 如在系统管理员的桌面上产生一个告警标志位 向系统管理员发送传呼或电子邮件等等 3 修改入侵检测系统或目标系统 如终止进程 切断攻击者的网络连接 或更改防火墙配置等 基于规则的检测 模式匹配 基于异常检测 建立正常活动特征模式制定偏离正常特征许可阈值模式匹配难点在于匹配方式和阈值的确定 准确率相对较高对新的入侵方法无能为力难点在于如何设计模式既能表达入侵又不影响正常 IP安全概述 大型网络系统内运行多种网络协议 TCP IP IPX SPX和NETBEUA等 这些网络协议并非为安全通信设计 IP协议维系着整个TCP IP协议的体系结构 除了数据链路层外 TCP IP的所有协议的数据都是以IP数据报的形式传输的 TCP IP协议簇有两种IP版本 IPv4和IPv6 IPv6简化了IP头 其数据报更加灵活 同时IPv6还增加了对安全性的考虑 IP安全的必要性 目前占统治地位的是IPv4 IPv4在设计之初没有考虑安全性 IP包本身并不具备任何安全特性 导致在网络上传输的数据很容易受到各式各样的攻击 比如伪造IP包地址 修改其内容 重放以及在传输途中拦截并查看包的内容等 因此 通信双方不能保证收到IP数据报的真实性 为了加强因特网的安全性 制定了一套用于保护IP通信的IP安全协议 IPSecurity IPSec IPSec是IPv6的一个组成部分 是IPv4的一个可选扩展协议 IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足 IPSec通过使用基于密码学的保护服务 安全协议和动态密钥管理 实现以下目标 1 认证IP报文的来源基于IP地址的访问控制十分脆弱 因为攻击者可以很容易利用伪装的IP地址来发送IP报文 许多攻击者利用机器间基于IP地址的信任 来伪装IP地址 IPSec允许设备使用