目标主机系统弱点方案.ppt

第二篇网络攻击篇 第5章目标主机的系统弱点挖掘技术 第5章目标主机的系统弱点挖掘技术 系统弱点指的是系统难以克服的错误或缺陷和安全漏洞 漏洞则是指任意的允许非法用户未经授权获得访问或提高其访问层次的硬件或软件特征 网络攻防都是通过搜集目标系统信息并从中挖掘系统和应用服务程序的弱点来实现的 网络攻击主要利用了系统提供网络服务中的脆弱性 第5章目标主机的系统弱点挖掘技术 5 1系统弱点可造成的危害5 2系统弱点的分类5 3系统的主要漏洞分类5 4几种常见漏洞的分析5 5漏洞库及其使用5 6弱点挖掘的过程与方法5 7获取系统弱点的工具5 8实验 漏洞扫描 5 1系统弱点可造成的危害 1 系统的完整性 integrity 攻击者可以利用系统弱点入侵系统 对系统数据进行非法篡改 达到破坏数据完整性的目的 5 1系统弱点可造成的危害 2 系统的可用性 availability 攻击者利用系统弱点破坏系统或者网络的正常运行 导致信息或网络服务不可用 合法用户的正常服务要求得不到满足 5 1系统弱点可造成的危害 3 系统的机密性 confidentiality 攻击者利用系统弱点给非授权的个人和实体泄漏受保护信息 有些时候 机密性和完整性是交叠的 5 1系统弱点可造成的危害 4 系统的可控性 controllability 攻击者利用系统弱点对授权机构控制信息的完整控制权造成危害 5 1系统弱点可造成的危害 5 系统的可靠性 reliability 攻击者利用系统弱点对用户认可的质量特性 信息传递的迅速性 准确性以及连续地转移等 造成危害 5 2系统弱点的分类 5 2 1设计上的缺陷5 2 2操作系统的弱点5 2 3软件的错误 缺陷和漏洞5 2 4数据库的弱点5 2 5网络安全产品的弱点5 2 6用户的管理的疏忽 5 2 1设计上的缺陷 在进行软硬件及协议 安全策略设计时 难免会有考虑不周的地方 这就使得软硬件和协议在结构 功能等方面存在缺陷和疏漏 即使有些软硬件和协议在设计时没有漏洞 随着新的需求不断增加 使用场合不断变化 也很可能会出现不能适应新环境 新需求的缺陷和漏洞 比如 TCP IP在设计时就没有太多地考虑安全问题 使得现在它显得越来越脆弱 再比如加密算法的设计等等 5 2 2操作系统的弱点 现在的操作系统 无论是Windows 还是Unix Linux 都存在着漏洞 这些漏洞 有的是因为设计时考虑不周 有的是因为代码的编写有Bug 还有的是因为在权限管理和系统保密等方面不够完善 无论是哪一种 都对系统的安全构成很大威胁 5 2 3软件的错误 缺陷和漏洞 软件在编写过程中 总难免有Bug 比如在内存分配 变量赋值 出错处理等方面 在正常使用情况下 不会出问题 但若随意分配内存 任意赋值 系统就可能因资源耗尽 缓冲区溢出等原因瘫痪或崩溃 5 2 3软件的错误 缺陷和漏洞 软件的弱点例如 操作系统弱点缓冲区溢出漏洞 轻易泄露操作系统信息 默认的用户名和口令或使用简单的口令 隐蔽通道 特洛伊木马 系统服务弱点www服务弱点 RPC 远程过程调用 漏洞 ftp服务漏洞 TCP IP通信协议弱点 软件老化 5 2 4数据库的弱点 数据库作为数据的存储和管理系统 在进行数据库设计时 在数据库系统进行代码实现时 在用户对数据库进行配置和使用时 都有可能出现疏漏和错误 而数据库系统存放的数据往往比计算机系统本身的价值大得多 因此 数据库的安全问题不容忽视 5 2 4数据库的弱点 数据库弱点举例现在多数数据库将原始数据以明文形式存储于数据库中 这是不够安全的 如果是重要数据 应该考虑使用密文的形式存储 一些数据库缺乏这方面的考虑 没有相应的安全机制 5 2 5网络安全产品的弱点 网络安全产品在很大程度上提高了网络系统的安全性 但不可否认这些安全产品中同样存在着弱点 如果网络安全产品本身存在安全漏洞 那么不仅不能保障网络安全 反而给人以安全的假象 系统管理员要了解网络安全产品的弱点 并针对其特点进行合理选择 正确配置才能发挥安全产品的有效作用 5 2 6用户的管理的疏忽 这是一种常见的情况 虽然这种情况的发生往往是由于人为的原因 但这种疏漏却非常普遍 管理人员疏忽 安全防范意识不强 或管理人员能力低下 都可能成为管理上的漏洞 比如因管理人员疏忽大意 造成口令的泄漏 重要的资料被偷窃 或因管理人员水平较低 造成系统配置错误等 大量攻击事件表明 一个网络系统被攻破 不是由于技术原因 而是因为管理上存在着弱点 比如用户的安全理念不强 或是员工蓄意破坏等 5 3系统的主要漏洞分类 5 3 1根据漏洞被攻击者利用的方式分类5 3 2根据漏洞所指目标分类5 3 3根据漏洞导致的直接威胁分类5 3 4根据漏洞对系统安全性造成的损害分类 5 3系统的主要漏洞分类 漏洞是指系统硬件 操作系统 软件 网络协议 数据库等在设计上 实现上出现的可以被攻击者利用的错误 缺陷和疏漏 通俗一点说 漏洞就是可以被攻击者利用的系统弱点 没有漏洞就不会有成功的入侵和攻击 但没有漏洞的系统是不存在的 至少到现在为止 没有哪个操作系统和软件的生产者敢说自己的产品没有漏洞 事实上 主要的操作系统和软件都发现有漏洞 有的还很严重 5 3系统的主要漏洞分类 漏洞形成的主要原因分类 输入验证错误 缓冲区溢出 设计错误 意外情况处置错误 访问验证错误 配置错误 竞争条件 环境错误 其他等 5 3 1根据漏洞被攻击者利用的方式分类 本地 local 攻击漏洞 要想利用此类漏洞 攻击者必须是系统的本地合法用户或已经通过其他攻击方法获得了本地权限的非法用户 远程 remote 攻击漏洞 利用此类漏洞 攻击者可通过网络 对连接在网络上的远程主机进行攻击 5 3 2根据漏洞所指目标分类 漏洞所指目标或者说是漏洞存在的位置 比如是硬件本身存在问题 还是操作系统或者某个应用服务存在问题 从这个角度可以分成 操作系统 网络协议栈 非服务器程序 服务器程序 硬件 通信协议 口令恢复和其他 5 3 3根据漏洞导致的直接威胁分类 漏洞导致的最直接的威胁是指攻击者利用此类漏洞可以获得的最直接的非法权限或者攻击效果 据此 系统安全漏洞可以归为以下几类 5 3 3根据漏洞导致的直接威胁分类 普通用户访问权限 攻击者可以获得系统的普通用户存取权限 通常是利用服务器的某些漏洞 本地管理员权限 已有本地用户权限的攻击者通过攻击本地某些有缺陷的SUID程序 得到系统管理员权限 远程管理员权限 攻击者不需要本地用户权限可直接获得远程系统的管理员权限 通常是通过以root身份执行有缺陷的系统守护进程而获得 5 3 3根据漏洞导致的直接威胁分类 权限提升 攻击者在本地通过攻击某些有缺陷的程序 把自己的普通权限提升为管理员权限 本地拒绝服务 攻击者使系统本身或应用程序不能正常运转或者正常提供服务 远程拒绝服务 攻击者利用此类漏洞对远程系统发起拒绝服务攻击 使系统或相关的应用程序崩溃或失去响应能力 5 3 3根据漏洞导致的直接威胁分类 读取受限文件 攻击者通过利用某些漏洞 读取系统中自己没有权限读取的文件 远程非授权文件存取 攻击者可以不经授权地从远程存取系统的某些文件 口令恢复 攻击者很容易分析出口令的加密方法 从而通过某种方法得到密码 然后通过密码还原出明文 5 3 3根据漏洞导致的直接威胁分类 欺骗 攻击者对目标系统实施某种形式的欺骗 信息泄露 攻击者收集有利于进一步攻击的目标系统信息 其他 5 3 4根据漏洞对系统安全性造成的损害分类 根据漏洞对系统的安全性造成的危害可分为有效性 隐密性 完整性 安全保护 其中安全保护还可分为 获得超级用户权限 获得普通用户权限 获得其他用户权限 5 3 4根据漏洞对系统安全性造成的损害分类 系统安全漏洞根据其对系统造成的潜在威胁以及被利用的可能性可将各种系统安全漏洞进行分级 高级别 大部分远程和本地管理员权限漏洞属于 高 级别 中级别 大部分普通用户权限 权限提升 读取受限文件 远程和本地拒绝服务漏洞属于 中 级别 低级别 大部分远程非授权文件存取 口令恢复 欺骗 信息泄露漏洞属于 低 级别 但这只是一般情况 具体情况还需要具体分析 5 4几种常见漏洞的分析 1 缓冲区溢出2 拒绝服务攻击漏洞3 权限提升漏洞4 远程命令执行漏洞5 文件泄漏 信息泄漏漏洞6 其他类型的漏洞 1 缓冲区溢出 缓冲区溢出漏洞是很典型的一类漏洞 现有的漏洞很多都可以归为此类 对于存在此漏洞的系统 攻击者通过往程序的缓冲区写超出其长度的内容 造成缓冲区的溢出 从而破坏程序的堆栈 使程序转而执行其它指令 以达到攻击的目的 如NSFOCUS安全小组发现微软FrontPage2000服务器扩展软件包中的一个程序存在一个缓冲区溢出漏洞 远程攻击者可能利用这个漏洞执行任意代码 缓冲区溢出 在当前网络与分布式系统安全中 被广泛利用的50 以上都是缓冲区溢出 其中最著名的例子是1988年利用fingerd漏洞的蠕虫 而缓冲区溢出中 最为危险的是堆栈溢出 因为入侵者可以利用堆栈溢出 在函数返回时改变返回程序的地址 让其跳转到任意地址 带来的危害一种是程序崩溃导致拒绝服务 另外一种就是跳转并且执行一段恶意代码 比如得到shell 然后为所欲为 缓冲区溢出 如果把一加仑的水注入容量为一品脱的容量中 水会四处冒出 这时你就会充分理解溢出的含义 同样的道理 在计算机内部 如果你向一个容量有限的内存空间里存储过量数据 这时数据也会溢出存储空间 输入数据通常被存放在一个临时空间内 这个临时存放空间被称为缓冲区 缓冲区的长度事先已经被程序或者操作系统定义好了 缓冲区溢出 缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量 溢出的数据覆盖在合法数据上 理想情况是 程序检查数据长度并且不允许输入超过缓冲区长度的字符串 但是绝大多数程序都会假设数据长度总是与所分配的存储空间相匹配 这就为缓冲区溢出埋下隐患 操作系统所使用的缓冲区又被称为堆栈 在各个操作进程之间 指令被临时存储在堆栈当中 堆栈也会出现缓冲区溢出 缓冲区溢出 当一个超长的数据进入到缓冲区时 超出部分就会被写入其他缓冲区 其他缓冲区存放的可能是数据 下一条指令的指针 或者是其他程序的输出内容 这些内容都被覆盖或者破坏掉 可见一小部分数据或者一套指令的溢出就可能导致一个程序或者操作系统崩溃 缓冲区溢出是由编程错误引起的 如果缓冲区被写满 而程序没有去检查缓冲区边界 也没有停止接收数据 这时缓冲区溢出就会发生 缓冲区边界检查被认为是不会有收益的管理支出 计算机资源不够或者内存不足是编程者不编写缓冲区边界检查语句的理由 缓冲区溢出 缓冲区溢出之所以泛滥 是由于开放源代码程序的本质决定的 一些编程语言对于缓冲区溢出是具有免疫力的 例如Perl能够自动调节字节排列的大小 Ada95能够检查和阻止缓冲区溢出 但是被广泛使用的C语言却没有建立检测机制 标准C语言具有许多复制和添加字符串的函数 这使得标准C语言很难进行边界检查 C 略微好一些 但是仍然存在缓冲区溢出 一般情况下 覆盖其他数据区的数据是没有意义的 最多造成应用程序错误 但是 如果输入的数据是经过 黑客 或者病毒精心设计的 覆盖缓冲区的数据恰恰是 黑客 或者病毒的入侵程序代码 一旦多余字节被编译执行 黑客 或者病毒就有可能为所欲为 获取系统的控制权 缓冲区溢出 尽管缓冲区溢出也会发生在非C C 语言上 但考虑到各种语言的运用程度 我们可以在某种程度上说 缓冲区溢出是C C 的专利 如果你在一个用VB写的程序里面找溢出漏洞 你将会很出名 在C C 这两种使用非常广泛的语言里面 并没有边界来检查数组和指针的引用 这样做的目的是为了提高效率 而不幸的是 这也留下了严重的安全问题 先看下面一段简单的代码 缓冲区溢出 includevoidmain charbuf 8 gets buf 程序运行的时候 如果你输入 Hello 或者 Kitty 那么一切正常 但是如果输入 Todayisagoodday 那么我得通知你 程序发生溢出了 缓冲区溢出 很显然 buf这个数组只申请到8个字节的内存空间 而输入的字符却超过了这个数目 于是 多余的字符将会占领程序中不属于自己的内存 因为C C 语言并不检查边界 于是 程序将看似正常继续运行 如果被溢出部分占领的内存并不重要 或者是一块没有使用的内存 那么 程序将会继续看似正常的运行到结束 但是 如果溢出部分占领的正好的是存放了程序重要数据的内存 那么一切将会不堪设想 缓冲区溢出 缓冲区溢出是病毒编写者和特洛伊木马编写者偏爱使用的一种攻击方法 攻击者或者病毒善于在系统当中发现容易产生缓冲区溢出之处 运行特别程序 获得优先级 指示计算机破坏文件 改变数据 泄露敏感信息 产生后门访问点 感染或者攻击其他计算机 2000年7月 微软Outlook以及OutlookExpress被发现存在漏洞能够使攻击者仅通过发送邮件就能危及目标主机安全 只要邮件头部程序被运行 就会产生缓冲区溢出 并且触发恶意代码 2001年8月 红色代码 利用微软IIS漏洞产生缓冲区存溢出 成为攻击企业网络的 罪魁祸首 2003年1月 Slammer蠕虫利用微软SQL漏洞产生缓冲区溢出对全球互联网产生冲击 而在近几天 一种名为 冲击波 的蠕虫病毒利用微软RPC远程调用存在的缓冲区漏洞对Windows2000 XP WindowsServer2003进行攻击 波及全球网络系统 据CERT安全小组称 作系统中超过50 的安全漏洞都是由内存溢出引起的 其中大多数与微软技术有关 这些与内存溢出相关的安全漏洞正在被越来越多的蠕虫病毒所利用 缓冲区溢出 缓冲区溢出是目前导致 黑客 型病毒横行的主要原因 从红色代码到Slammer 再到日前爆发的 冲击波 都是利用缓冲区溢出漏洞的典型 缓冲区溢出是一个编程问题 防止利用缓冲区溢出发起的攻击 关键在于程序开发者在开发程序时仔细检查溢出情况 不允许数据溢出缓冲区 此外 用户需要经常登录 作系统和应用程序提供商的网站 跟踪公布的系统漏洞 及时下载补丁程序 弥补系统漏洞 Oracle远程缓冲区溢出漏洞 发布日期 2003年2月16日受影响系统 Oracle9iDatabaseRelease2Oracle9iRelease1Oracle8i 8 1 7 8 0 6详细描述 Oracle数据库服务器存在远程缓冲区溢出漏洞 攻击者可以通过使用超长的用户名登录导致基于栈的缓冲区溢出 攻击者可以利用这个漏洞获得用户权限执行任意代码 此漏洞可能危及操作系统和数据库中的敏感数据 Oracle远程缓冲区溢出漏洞 解决方案 请到下列网址下载补丁程序或查阅详细信息 2 拒绝服务攻击漏洞 拒绝服务攻击漏洞也是一类典型的漏洞 攻击者利用此漏洞进行攻击主要是为了使服务器资源最终会被耗尽而无法对正常的服务作出响应 WindowsNTServicePack2之前的部分Win32K函数不正确检查输入参数 远程攻击者可以利用这个漏洞对系统进行拒绝服务攻击 Win32K sys是Windows设备驱动程序 用于处理GDI 图形设备接口 服务调用 但是ServicePack2之前的系统不是所有Win32K函数对输入参数缺少充分检查 攻击者可以写一程序传递非法参数可以导致Win32K函数并导致系统崩溃 也可以利用构建包含ActivX的页面触发此漏洞 分布式拒绝服务攻击与防范手段 一 从DoS到DDoS拒绝服务 DenialofService DoS 由来已久 自从有了Internet 就有了拒绝服务式攻击方法 由于过去没有大型网站或机构受到过这种攻击 其劣性并不突出 直到2000年初 Yahoo eBay及Amazon等遭其暗算 它才露出庐山真面目 分布式拒绝服务攻击与防范手段 在典型的Internet连接中 用户访问一个网站时 客户端会先向网站服务器发送一条信息要求建立连接 只有当服务器确认该请求合法 并将访问许可返回给用户时 用户才可对该服务器进行访问 DoS攻击的方法是 恶意用户会向服务器发送多个连接请求 使其呈满负载状态 并且将所有请求的返回地址进行伪造 这样 在服务器企图将认证结构返回给用户时 它将无法找到这些用户 此时 服务器只好等待 有时可能会等上1分钟才关闭此连接 分布式拒绝服务攻击与防范手段 可怕的是 在服务器关闭连接后 攻击者又会发送新的一批虚假请求 重复上一次过程 直到服务器因过载而拒绝提供服务 这些攻击事件并没有入侵网站 也没有篡改或是破坏资料 只是利用程序在瞬间产生大量的网络封包 让对方的网络及主机瘫痪 使正常使用者无法获得主机及时的服务 分布式拒绝服务攻击与防范手段 然而 年初攻击Yahoo 的元凶还不是简单的DoS 虽然与DoS攻击一样 也是向被攻击目标连续发送大量伪造的IP包 以导致服务器不能为合法用户提供正常服务 比如此次给Yahoo 站点路由器发出的无效请求高达1GB s 但是它区别于DoS的 绝妙 之处在于 动员了大量 无辜 的计算机向目标共同发起进攻 采用了分布式拒绝服务 DistributedDenialofService DDoS 攻击手段 分布式拒绝服务攻击与防范手段 DDoS把DoS又向前发展了一步 DDoS的行为更为自动化 它可以方便地协调从多台计算机上启动的进程 让一股DoS洪流冲击网络 并使网络因过载而崩溃 确切地讲 DDoS攻击是指在不同的高带宽主机上安装大量的DoS服务程序 它们等待来自中央客户端的命令 中央客户端随后通知全体受控服务程序 并批示它们对一个特定目标发送尽可能多的网络访问请求 作为攻击者 必须通过telnet连接到他想利用的每一台远程主机上 并以用户身份登录 然后手工输入命令 启动每一台主机向攻击目标发送海量信息流 分布式拒绝服务攻击与防范手段 DDoS与DoS的最大区别是人多力量大 原来的DoS是一台机器攻击目标 现在的DDoS是很多台机器利用他们的高带宽攻击目标 更容易将目标网站攻掉 除此之外 DDoS攻击方式较为自动化 攻击者可以把他的程序安装到网络中的多台机器上 所采用的攻击工具致使被攻击对象难以察觉 只要攻击者发下攻击命令 这些机器便发起进攻 分布式拒绝服务攻击与防范手段 二 DoS的攻击方法对DoS而言 其攻击方式很多 主要使用的攻击有3种 分别是TCP SYNflood UDPflood和ICMPflood 分布式拒绝服务攻击与防范手段 当用户进行一次标准的TCP连接时 会有一个3次握手过程 首先是请求服务方发送一个SYN消息 服务方收到SYN后 会向请求方回送一个SYN ACK表示确认 当请求方收到SYN ACK后 再次向服务方发送一个ACK消息 这样 一次TCP连接建立成功 但是TCP SYNflood在实现过程中只进行前2个步骤 当服务方收到请求方的SYN ACK确认消息后 请求方由于采用源地址欺骗等手段使得服务方收不到ACK回应 于是 服务方会在一定时间处于等待接收请求方ACK消息的状态 分布式拒绝服务攻击与防范手段 对于某台服务器来说 可用的TCP连接是有限的 如果恶意攻击方快速连续地发送此类连接请求 该服务器可用的TCP连接队列将很快被阻塞 系统可用资源急剧减少 网络可用带宽迅速缩小 长此下去 网络将无法向用户提供正常的服务 分布式拒绝服务攻击与防范手段 三 DDoS的攻击方法目前 我们知道的对网络进行DDoS攻击所使用的工具有 Trinoo TribeFloodNetwork TFN TFN2k和Stacheldraht等 它们的攻击思路基本相近 1 Trinoo 它是基于UDPflood的攻击软件 它向被攻击目标主机的随机端口发出全零的4字节UDP包 在处理这些超出其处理能力垃圾数据包的过程中 被攻击主机的网络性能不断下降 直到不能提供正常服务 乃至崩溃 它对IP地址不做假 此攻击方法用得不多 分布式拒绝服务攻击与防范手段 2 TFN 它是利用ICMP给代理服务器下命令 其来源可以做假 它可以发动SYNflood UDPflood ICMPflood及Smurf 利用多台服务器发出海量数据包 实施DoS攻击 等攻击 TFN的升级版TFN2k的特点是 对命令数据包加密 更难查询命令内容 命令来源可以做假 还有一个后门控制代理服务器 分布式拒绝服务攻击与防范手段 3 Stacheldraht 对命令来源做假 而且可以防范一些路由器用RFC2267过滤 若检查出有过滤现象 它将只做假IP地址最后8位 从而让用户无法了解到底是哪几个网段的哪台机器被攻击 此外 它还具有自动更新功能 可随软件的更新而自动更新 值得一提的是 像Trinoo和TFN等攻击软件都是可以从网上随意找到的公开软件 所以任何一个上网者都可能构成网络安全的潜在威胁 面对凶多吉少的DDoS险滩 我们该如何对付随时出现的黑客攻击呢 那要看用户处于何种状态 是正身处被攻击的困围中 还是准备事先预防 分布式拒绝服务攻击与防范手段 四 怎样对付正在进行的攻击如果用户正在遭受攻击 他所能做的抵御工作非常有限 因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户 很可能用户在还没回过神之际 网络已经瘫痪 但是 用户还是可以抓住机会寻求一线希望的 分布式拒绝服务攻击与防范手段 首先 检查攻击来源 通常黑客会通过很多假的IP地址发起攻击 此时 用户若能够分辨出哪些是真IP地址 哪些是假IP地址 然后了解这些IP来自哪些网段 再找网段管理员把机器关掉 即可消除攻击 其次 找出攻击者所经过的路由 把攻击屏蔽掉 比如黑客发射SNP包 用户可把此包过滤掉 若黑客从某些端口发动攻击 用户可把这些端口屏蔽掉 以狙击入侵 最后一种比较折衷的方法是在路由器上滤掉ICMP InternetControlMessageProtocol 和UDP ICMP用于提交错误和改变控制信息 常用来判断网络的连通性 分布式拒绝服务攻击与防范手段 五 如何事先预防攻击其实 很多攻击方法并不新 存在时间也很长了 就像DoS 基本上人们对它们已经有所了解 只是当它被有恶意的人利用 破坏网络安全 人们才意识到问题的严重性 因此 人们应充分重视建立完善的安全系统 防患于未然 在具体工作中 我们不妨从以下一些方面预防黑客攻击 分布式拒绝服务攻击与防范手段 1 用足够的机器承受黑客攻击 这是一种较为理想的应对策略 如果用户拥有足够的容量和足够的资源给黑客攻击 在它不断访问用户 夺取用户资源之时 自己的能量也在逐渐耗失 或许未等用户被攻死 黑客已无力支招儿 分布式拒绝服务攻击与防范手段 2 充分利用网络设备保护网络资源 所谓网络设备是指路由器 防火墙等负载均衡设备 它们可将网络有效地保护起来 当Yahoo 被攻击时最先死掉的是路由器 但其他机器没有死 死掉的路由器经重启后会恢复正常 而且启动起来还很快 没有什么损失 若其他服务器死掉 其中的数据会丢失 而且重启服务器又是一个漫长的过程 相信没有路由器这道屏障 Yahoo 会受到无法估量的重创 分布式拒绝服务攻击与防范手段 3 使用Inexpress ExpressForwarding过滤不必要的服务和端口 即在路由器上过滤假IP 比如Cisco公司的CEF CiscoExpressForwarding 可以针对封包SourceIP和RoutingTable做比较 并加以过滤 4 使用UnicastReversePathForwarding检查访问者的来源 它通过反向路由表查询的方法检查访问者的IP地址是否是真 如果是假的 它将予以屏蔽 许多黑客攻击常采用假IP地址方式迷惑用户 很难查出它来自何处 因此 利用UnicastReversePathForwarding可减少假IP地址的出现 有助于提高网络安全性 分布式拒绝服务攻击与防范手段 5 过滤所有RFC1918IP地址 RFC1918IP地址是内部网的IP地址 像10 0 0 0 192 168 0 0和172 16 0 0 它们不是某个网段的固定IP地址 而是Internet内部保留的区域性IP地址 应该把它们过滤掉 6 限制SYN ICMP流量 用户应在路由器上配置SYN ICMP的最大流量来限制SYN ICMP封包所能占有的最高频宽 这样 当出现大量的超过所限定的SYN ICMP流量时 说明不是正常的网络访问 而是有黑客入侵 分布式拒绝服务攻击与防范手段 六 几点忠告DDoS给著名网站带来巨大灾难的同时 也给人们再次敲响了警钟 作为网络用户 特别是负责网络安全的管理员 决策者 应该怎样维护好网络安全呢 1 一个企业必须有专人负责其网络安全 至少有一个人全权进行系统安全维护 他应该对企业网络中的所有机器进行检查 以减少漏洞 分布式拒绝服务攻击与防范手段 2 作为专门负责网络安全的管理员 必须对攻击方法了如指掌 换句话说 他要了解黑客是怎么工作的 只有这样 他才能保护好自己的机器 甚至负责人可在局域网中模仿黑客 入侵 自己的系统 以发现网络漏洞 及时补漏 3 网络安全管理员应该尽职尽责 仔细认真 在已发生的黑客攻击中 相当一部分事件是因为管理员工作疏忽造成的 分布式拒绝服务攻击与防范手段 4 严格控制密码 提高密码保险性 在网络中 有些密码设置得较易被破获 因此应尽量减少知道密码的人数 分别给不同的人设定不同的使用权限 5 选择一款优秀的防黑安全产品 即配备监测工具 不断提高对系统的认识 无论是从网上下载公开源代码的监测工具 还是购买网络监测工具 都要实时监测别人是否在扫描自己的端口 若有人扫描端口 意味着有人可能要攻击此网络 3 权限提升漏洞 本地或者利用终端服务访问的攻击者可以利用这个漏洞使本地用户提升权限至管理用户 如MicrosoftIIS5 0在处理脚本资源访问权限操作上存在问题 远程攻击者可以利用这个漏洞上传任意文件到受此漏洞影响的WEB服务器上并以高权限执行 MicrosoftIIS5 0服务程序在脚本资源访问权限文件类型列表中存在一个错误 可导致远程攻击者装载任意恶意文件到服务器中 脚本资源访问存在一个访问控制机制可防止用户上载任意执行文件或者脚本到服务器上 但是 这个机制没有防止用户上传 COM文件类型 远程攻击者如果在IIS服务器上有对虚拟目录写和执行权限 就可以上传 COM文件到服务器并以高权限执行这个文件 Win2000中文版防范输入法漏洞攻击 漏洞描述大家都知道 在安装Windows2000简体中文版的过程中 默认情况下同时安装了各种简体中文输入法 这些随系统装入的输入法可以在系统登录界面中使用 以便用户能使用基于字符的用户标识和密码登录到系统 在这种情况下 应限制提供给用户的功能 然而 在默认安装的情况下 Windows2000中的简体中文输入法不能正确地检测当前的状态 导致在系统登录界面中提供了不应有的功能 进而 一些别有用心的用户可以通过直接操作该计算机的键盘得到当前系统权限 运行他选择的代码 更改系统配置 新建用户 添加或删除系统服务 添加 更改或删除数据 或执行其他操作 让管理员伤透了脑筋 Win2000中文版防范输入法漏洞攻击 在Windows2000登录界面 把鼠标放到用户名框里点击一下 用 Ctrl Shift 切换输入法 切换至全拼输入法状态 这时在登录界面左下角将出现输入法状态条 用鼠标右键点击状态条 在弹出菜单中选择 帮助 把鼠标移到帮助上 在新弹出的选项里选择 输入法入门 然后就会弹出一个叫 输入法操作指南 的帮助窗口 这个窗口里有个栏目是 选项 把鼠标放在该项上面点击右键 在新弹出的小窗口里选择 跳至URL 此时将出现Windows2000的系统安装路径和要求我们填入的路径的空白栏 比如 该系统安装在C盘上 就在空白栏中填入 c Windowsntsystem32 如图1 然后按 确定 在 输入法操作指南 右边的框里就会出现c Windowsntsystem32目录下的内容 如图2 于是就成功地绕过了身份验证 进入了系统的SYSTEM32目录 当然这时他想做什么都不在话下喽 Win2000中文版防范输入法漏洞攻击 Win2000中文版防范输入法漏洞攻击 找到NET EXE命令 创建快捷方式 右键点击快捷方式 属性输入 net exeusertest123 add将该用户提升至管理员组net exelocalgroupadministratortest add Win2000中文版防范输入法漏洞攻击 1 给Windows2000打补丁Windows2000SP2以上的补丁已经堵住了这个漏洞 可以从下列网址下载补丁程序 Win2000中文版防范输入法漏洞攻击 2 删除输入法帮助文件和多余的输入法为了防止恶意用户通过输入法漏洞对服务器进行攻击 删除不需要的输入法 例如郑码等 但是毕竟不能把所有的自带输入法都删除 对于不需要使用的有漏洞的输入法 要把那个输入法的帮助文件删除掉 这些帮助文件通常在Windows2000的安装目录下 如 C Windowsnt 的Help目录下 对应的帮助文件分别是 Windowsime chm输入法操作指南Windowssp chm双拼输入法帮助Windowszm chm郑码输入法帮助Windowspy chm全拼输入法帮助Windowsgb chm内码输入法帮助上面的两个步骤 执行了其中的一项 就可以防止恶意用户对Windows2000机器进行输入法漏洞攻击了 只要我们的网络管理员能够细心地维护系统 相信黑客们是没有可乘之机的 4 远程命令执行漏洞 攻击者可以利用这种漏洞直接获得访问权限 如Webshell是一款基于WEB的应用程序 可以作为文件管理器进行文件上传和下载处理 使用用户名 密码方式进行认证 以suidroot属性运行Webshell中多处代码对用户提交的请求缺少正确过滤检查 远程攻击者可以利用这个漏洞以root用户权限在系统上执行任意命令 5 文件泄漏 信息泄漏漏洞 比如KunaniFTP文件泄漏漏洞 KunaniFTPserver1 0 10存在一个漏洞 通过一个包含 的恶意请求可以对服务器进行目录遍历 远程攻击者可以利用这个漏洞访问系统FTP目录以外任意的文件 6 其他类型的漏洞 除了以上举例说明的几种漏洞外 按照漏洞造成的直接危害 还存在列举出其他一些漏洞 比如脚本执行漏洞 可绕过认证漏洞 远程访问漏洞等 这里就不一一举例 以上举出的漏洞多数已经有补丁发布 5 5漏洞库及其使用 对一般用户来说 面对如此之多的漏洞 会不知所措 这就需要用户了解漏洞的详细信息 使用户能够方便地检索自己的系统会有哪些漏洞 了解这些漏洞会造成什么样的危害 应该如何防范 如何打补丁 漏洞数据库就是让用户更详细地了解漏洞 方便查询 1 CVE漏洞库 MITRE公司建立的 通用漏洞列表 使数据库和工具间彼此交流 提供一个评估工具的标准 可以准确地知道每个工具的安全覆盖程度 这意味着可以判断工具的有效性和适应性 简而言之 CVE兼容的工具和数据库将提供更好的覆盖 更容易的互动和强化的安全 1 CVE漏洞库 CVE的优点就是将众所周知的安全漏洞的名称标准化 使不同的漏洞库和安全工具更容易共享数据 使得在其他数据库中搜索信息更容易 然而 CVE是一个字典 而不是一个数据库 对每种漏洞没有详细的信息 2 其他漏洞库 国外著名的漏洞发布站点 即Bugtraq http www cert org美国国家安全应急组织 由ISS公司发布的漏洞库 收集众多的安全漏洞 存放大量弱点文档资料 http icat nist gov icat cfmICAT漏洞发布及漏洞库搜索站点 参考链接 绿盟 中国信息安全论坛 网络安全响应中心 5 6弱点挖掘原理与方法 网络安全就像一条链条 只要链条上某一个地方存在弱点 攻击者就可能利用这个弱点破坏整个网络系统的安全 在这条链上 涉及到物理实体 网络通信 系统平台 应用软件 用户使用 系统管理等各个方面 下面给出弱点挖掘的基本过程 系统管理弱点 包括安全管理制度 安全策略 系统用户弱点 包括用户安全意识 安全知识 应用软件弱点 包括应用程序 运行流程 系统平台弱点 包括操作系统 数据库系统等 网络通信弱点 包括通信协议 网络服务等 物理实体和环境安全弱点 系统弱点挖掘的基本过程 5 6弱点挖掘原理与方法 从网络防范的角度来说 安全弱点挖掘的方法主要有安全策略分析 管理顾问访谈 管理问卷调查 网络架构分析 渗透测试 工具扫描和人工检查等 5 6弱点挖掘原理与方法 对攻击者来说 在收集到攻击目标的一批网络信息之后 攻击者会探测目标网络上的每台主机 以寻求该系统的安全漏洞或安全弱点 其主要使用下列方式进行探测 1 自编程序 对某些产品或者系统 已经发现了一些安全漏洞 但是用户并不一定及时使用对这些漏洞的 补丁 程序 因此入侵者可以自己编写程序 通过这些漏洞进入目标系统 2 利用公开的工具 比如nessus扫描器 还有像Internet的电子安全扫描程序IIS 审计网络用的安全分析工具SATAN等这样的工具 可以对整个网络或子网进行扫描 寻找安全漏洞 5 6弱点挖掘原理与方法 在进行探测活动中 为了防止对方发觉 攻击者一般要隐蔽其探测活动 由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描 这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描 黑客还会利用一些特定的数据包传送给目标主机 使其作出相应的响应 由于每种操作系统都有其独特的响应方式 将此独特的响应报与数据库中的已知响应进行匹配从而确定出目标主机所运行的操作系统及其版本等信息 1 InternetSecurityScanner ISS InternetSecurityScanner 是Internet上用来进行远程安全评估扫描的最早的工具之一 ISS工具是一个 多层次 的安全扫描程序 它将质问特定IP地址范围内的所有计算机 并针对几个常见的系统弱点来确定每台计算机的安全状况 它依赖公开的CERT和CIAC建议以及其他有关已知安全漏洞的信息 目前的产品有InternetScanner和ProventiaNetworkEnterpriseScanner 2 SATAN SATAN SystemAdministrator sToolforAnalyzingNetworks 用来帮助系统管理员检测安全 也能被基于网络的侵入者用来搜索脆弱的系统 SATAN包括一个有关网络安全问题的检测表 经过网络查找特定的系统或子网 并报告它的发现 SATAN 由DanFarmer和WietseVenema所写 在1995年第一次发布 程序的首字母缩略语能从 SATAN 魔鬼 改为 SANTA 圣人 有些人感觉运行一个叫作 SANTA 的程序比运行一个叫作 SATAN 的程序更好 Nessus是一个功能强大而又易于使用的远程安全扫描器 它不仅免费而且更新极快 安全扫描器的功能是对指定网络进行安全检查 找出该网络是否存在有导致对手攻击的安全漏洞 对于黑客来说 就是针对目标主机进行漏洞查找的工具 系统被设计为C S模式 服务器端负责进行安全检查 客户端用来配置管理服务器端 安全检测完成后 服务端将检测结果返回到客户端 客户端生成直观的报告 为了防止通信内容受到监听 其传输过程还可以选择加密 3 Nessus 4 Nmap Nmap工具是一个端口扫描工具 它能扫描整个网络或一台主机上的开放端口 开发者Fyodor把各种大量的扫描技术集成到Nmap中 Nmap工具还可以使用TCP IP指印来识别一个远程系统运行的是哪种操作系统 在确定了目标主机和网络之后 即可进行扫描 如果以root来运行Nmap Nmap的功能会大大的增强 因为超级用户可以创建便于Nmap利用的定制数据包 5 SAINT SAINT全称为安全管理员集成网络工具 SecurityAdministrator sIntegratedNetworkTool 它源于著名的网络脆弱性检测工具SATAN SAINT是一个集成化的网络脆弱性评估环境 它可以帮助系统安全管理人员收集网络主机信息 发现存在或者潜在的系统缺陷 提供主机安全性评估报告 进行主机安全策略测试 6 CHKACCT CHKACCT是一个检查用户帐号安全的工具 它检查文件的权限并能改正它们 它寻找那些能被所有用户可读的文件并查看以点号开头的文件 它可以被用户使用或者被系统或安全管理员专用 7 Courtney Courtney监测一个网络 查明SATAN探索的结果 并试图识别它们的来源 它从tcpdump获得输入并计算一台机器在一个特定的时段内产生新的服务请求的次数 如果在该时间段内 一台机器和大量的服务连接 Courtney就把该机器识别为一个潜在的SATAN主机 8 COPS COPS是由DanFarmer和GeneSpafford开发的系统检测工具 它报告系统的配置错误以及其他信息 9 Merlin Merlin是一个帮助用户使用其他工具的perl程序 它为COPS1 04 Tiger2 2 3 Crack4 1和Tripwire1 2提供一个Web浏览器界面 Merlin使用一个只接收从本地机利用任一个空闲socket端口发送的消息的HTTP服务器来为每一个会话产生一个 magiccookie 值 10 Tiger TexasA M大学的一个系统检测工具 Tiger可以检查的项目有 系统配置错误 不安全的权限设置 所有用户可写的文件 SUID和SGID文件 Crontab条目 Sendmail和ftp设置 脆弱的口令或者空口令 系统文件的改动 另外 它还能暴露各种弱点并产生详细报告 5 8实验 漏洞扫描 SSS ShadowSecurityScanner 漏洞扫描实验SSS在安全扫描市场中享有速度最快 功效最好的盛名 其功能远远超过了其它众多的扫描分析工具 SSS可以对很大范围内的系统漏洞进行安全 高效 可靠的安全检测 对系统全部扫