第10章网络攻防技术..ppt

第10章网络攻防技术,本章要求,了解网络攻击带来的问题理解常见的网络入侵手段和网络攻击手段掌握安全防范的基本原则和安全监测技术掌握安全审计和安全扫描技术。,本章主要内容,10.1网络攻击10.2网络入侵技术10.3网络攻击技术10.4安全防范和安全监测,10.1网络攻击,10.1.1网络攻击概念10.1.2网络攻击分类10.1.3网络攻击的一般过程,10.1.1网络攻击概念,网络的入侵是指对接入网络的计算机系统的非法进人，即攻击者未经合法的手段和程序而取得了使用该系统资源的权力。网络入侵的目的有多种，或者是取得使用系统的存储能力、处理能力以及访问其存储的内容的权力，或者是作为进人其他系统的跳板，或者是想破坏这个系统(使其毁坏或丧失服务能力)。网络攻击是指对网络系统的机密性、完整性、可用性、可控性、抗抵赖性产生危害的行为。这些行为可抽象地分为四个基本情形：信息泄漏攻击、完整性破坏攻击、拒绝服务攻击和非法使用攻击。网络攻击的全过程是：攻击者发起并应用一定的攻击工具（包括攻击策略与方法），对目标网络系统进行攻击操作，达到一定的攻击效果，实现攻击者预定义的攻击效果。,10.1.2网络攻击分类,在最高层次，网络攻击可分为主动攻击和被动攻击两类。被动攻击主要是收集信息而不是进行访问，通过网络窃听截取数据包并进行分析，从中窃取重要的敏感信息。数据的合法用户对这种活动一点也不会觉察。被动攻击包括嗅探以及信息收集等攻击方法。,主动攻击包含窃取、篡改、假冒和破坏等，是攻击者访问他所需信息的故意行为。从攻击的目的来看，可以有拒绝服务攻击、获取系统权限的攻击、获取敏感信息的攻击；从攻击的切入点来看，有缓冲区溢出攻击、系统设置漏洞的攻击；从攻击的纵向实施过程来看，有获取初级权限攻击、提升最高权限的攻击、后门攻击、跳板攻击；从攻击的类型来看，有对各种操作系的攻击、对网络设备的攻击、对特定应用系统的攻击。,10.1.3网络攻击的一般过程,进行网络攻击主要工作流程：收集信息，远程攻击，远程登录，取得普通用户名及权限，取得超级用户名及权限，留下后门，清除日志。主要内容包括目标分析，文档获取，破解密码，日志清除等技术。一次成功的攻击，一般都经过下面步骤：,1.隐藏IP：通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。2.踩点扫描：踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。扫描的目的是利用各种工具对攻击目标的IP地址或地址段的主机上寻找漏洞。,3.获得系统或管理员权限：得到管理员权限的目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得系统及管理员权限的方法有：通过系统漏洞获得系统权限；通过管理漏洞获得管理员权限；通过软件漏洞得到系统权限；通过监听获得敏感信息进一步获得相应权限；通过弱口令获得远程管理员的用户密码；通过穷举法获得远程管理员的用户密码；通过攻破与目标机有信任关系的另一台机器进而得到目标机的控制权；通过欺骗获得权限以及其他有效的方法。,4.种植后门：为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。5.在网络中隐身：一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现。在入侵完毕后需要清除登录日志已经其他相关的日志。,10.2网络入侵技术,10.2.1端口扫描10.2.2漏洞扫描10.2.3网络监听10.2.4口令破译,10.2.1端口扫描,一个端口就是一个潜在的通信通道，也就是一个入侵通道。端口扫描技术通过对目标系统的所有端口进行扫描，查看哪些端口处于打开状态，正在提供什么服务，再凭经验得知这种服务可能存在什么缺陷，为黑客的入侵收集可利用的信息。进行扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行。,扫描器是一种自动检测远程或本地主机系统安全性缺陷或漏洞的专用程序。扫描器不是直接攻击网络漏洞的程序，而是用来帮助用户（包括合法和非法的用户）发现目标的某些内在的弱点。常用的端口扫描工具有SuperScan，XScan，Fluxay（流光）等。根据端口扫描利用的技术，可将扫描分成以下类型：,1、TCPconnect()扫描2、TCPSYN扫描3、TCPFIN扫描4、IP段扫描5、UDPICMP端口不能到达扫描6、ICMPecho扫描,10.2.2漏洞扫描,漏洞是指硬件、软件或策略上的缺陷，从而可使攻击者能够在未经授权的情况下访问系统。漏洞涉及的范围很广，涉及到网络的各个环节、各个方面，包括：路由器、防火墙、操作系统、客户和服务器软件。漏洞扫描是一种自动检测远程或本地安全漏洞的软件，通过漏洞扫描器，可以自动发现系统的安全漏洞。常见漏洞扫描技术有CGI漏洞扫描，弱口令扫描，操作系统漏洞扫描、数据库漏洞扫描等。,下面以Xscan为例，来介绍漏洞扫描X-Scan是一个完全免费漏洞扫描软件，由“安全焦点”开发。对于黑客们来讲，X-Scan是一款非常优秀的扫描器了。,10.2.3网络监听,网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。网络监听，通常也称为网络嗅探，即监视探听。嗅探器的英文名称是Sniff，可以理解为一个安装在计算机上的窃听设备，它可以用来窃听计算机在网络上所传送的信息。计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据，不过这些数据是大量无意义的二进制数据。必须使用特定的网络协议来分析嗅探到的数据，只有这样才能够进行正确的解码。Snifferpro就是一个完善的网络监听工具。,监听器Sniffer的原理：在局域网中与其他计算机进行数据交换的时候，发送的数据包发往所有的连在一起的主机，也就是广播，在报头中包含目标机的正确地址。因此只有与数据包中目标地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目标地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。,防止监听的手段是：建设交换网络、使用加密技术和使用一次性口令技术。除了非常著名的监听软件SnifferPro以外，还有一些常用的监听软件：嗅探经典Iris；密码监听工具WinSniffer；密码监听工具pswmonitor和非交换环境局域网的fssniffer等等。SnifferPro是一款非常著名监听的工具，但是SnifferPro不能有效的提取有效的信息。,10.2.4口令破译,常见的口令破译形式：1、猜解简单口令：很多人使用自己或家人的生日、电话号码、房间号码、简单数字或者身份证号码中的几位；也有的人使用自己、孩子、配偶或宠物的名字；还有的系统管理员使用“password”，甚至不设密码，这样黑客可以很容易通过猜想得到密码。2、字典攻击：如果猜解简单口令攻击失败后，黑客开始试图字典攻击，即利用程序尝试字典中的单词的每种可能。字典攻击可以利用重复的登录或者收集加密的口令，并且试图同加密后的字典中的单词匹配。黑客通常利用一个英语词典或其他语言的词典。,3、暴力猜解：同字典攻击类似，黑客尝试所有可能的字符组合方式。一个由4个小写字母组成的口令可以在几分钟内被破解，而一个较长的由大小写字母组成的口令，包括数字和标点，其可能的组合达10万亿种。如果每秒钟可以试100万种组合，可以在一个月内破解。常用的口令破译工具有：1、L0phtCrack：它是目前破译WindowsNT系列操作系统用户口令最好的黑客软件。2、NetCat：对系统管理人员及网络调试人员而言，它是一个非常有用的工具。因为功能强大，黑客们称之为“黑客的瑞士军刀”。3、Fluxay（流光）：是一个功能强大的渗透测试工具，具有应用上的综合性和灵活性。同时，它还是一款免费软件。,10.3网络攻击技术,10.3.1拒绝服务攻击10.3.2后门和特洛伊木马攻击10.3.3缓冲区溢出攻击,10.3.1拒绝服务攻击,拒绝服务攻击（DenialofService即DoS）即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。它是一种简单的破坏性攻击，它的技术含量低，攻击效果明显。常见的拒绝服务攻击方式有以下几种：,1、SYNFooldSYNFlood是当前最流行的DoS(拒绝服务攻击)与DDoS(DistributedDenialofService，分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。2、IP欺骗DOS攻击这种攻击利用RST位来实现。,3、UDP洪水攻击攻击者利用简单的TCP/IP服务、如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间存在很多的无用数据流。这些无用数据流就会导致带宽的服务攻击。4Ping洪流攻击由于在早期的阶段，路由器对包的最大尺寸都是有限制的。许多操作系统对TCPIP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头的信息来为有效载荷生成缓冲区。当产生畸形时，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64KB上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方死机。,5泪滴(teardrop)攻击泪滴攻击是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现的攻击。IP分段含有指明该分段所包含的是原包的哪一段的信息。某些TCP/IP（包括servicepack4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。6、Land攻击Land攻击原理是：用一个特别打造的SYN包，它的源地址和目标地址都被设置成某一个服务器地址。此举将导致接受服务器向它自己的地址发送SYN-ACK消息。结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留，直到超时。,7、Smurf攻击一个简单的smurf攻击原理就是通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(Ping)数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞。它比Pingofdeath洪水的流量高出1或2个数量级。更加复杂的smurf将源地址改为第三方的受害者，最终导致第三方崩溃。8Fraggle攻击原理：Fraggle攻击实际上就是对smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP,9、垃圾邮件攻击者利用邮件系统制造垃圾信息，甚至通过专门的邮件炸弹（mailbomb）程序给受害用户的信箱发送垃圾信息，耗尽用户信箱的磁盘空间，使用户无法应用这个信箱。10、分布式拒绝服务攻击(DistributedDenialofServiceDDoS)。分布式拒绝服务攻击是指植入后门程序从远处遥控攻击，攻击者从多个已入侵的跳板主机控制数个代理攻击主机，是DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要针对比较大的站点，如商业公司、搜索引擎和政府部门的站点。DoS攻击只要一台连接网络的单机就可实现，而DDoS攻击是利用一批受控制的机器向同一台机器发起攻击，因此这样的攻击难以防备，具有较大的破坏性。,10.3.2后门和特洛伊木马攻击,后门程序攻击是指攻击者躲过日志、使自己重返被入侵系统的技术。后门程序的种类很多，常见的有：调试后门程序、管理后门程序、恶意后门程序、服务后门程序、文件系统后门程序、内核后门程序等。特洛伊木马就是一种后门程序，通过伪造合法的程序，偷偷侵入用户系统从而获得系统的控制权。它提供某些功能作为诱饵，当目标计算机启动时木马程序随之启动，然后在某一特定的端口监听，通过监听端口收到命令后，木马程序会根据命令在目标计算机上执行一些操作，如传送或删除文件，窃取口令、重新启动计算机等。随着互联网的迅速发展，特洛伊木马的攻击、危害性越来越大。特洛伊木马实质上是一个程序，必须运行后才能工作，所以会在进程表、注册表中留下一定的痕迹。,特洛伊木马程序采用C/S模式工作，它包括服务端和客户端两个程序，缺掉其中任何一个都很难发生攻击，因为木马不具有传染性，所以服务器端程序是以其他方式进入被入侵的计算机，当服务器端置入被攻击机后，会在一定情况下开始运行（如用户主动运行或重新启动电脑，因为很多木马程序会自动加入到启动信息中），这时它就在被攻击机上打开一个1024以上端口（大多数的端口号都在5000以上），并一直监听这个端口，等待客户机端连结。木马的客户端一般运行在攻击机上，当攻击机上的客户端向被攻击机上的这一端口提出连接请求时，被攻击机上的服务端就会自动运行，来应答攻击机的请求，如果服务端在该端口收到数据，就对这些数据进行分析，然后按识别后的命令在被攻击机上执行相应的操作，如窃取用户名和口令、复制或删除文件、重新启动或关闭计算机等。木马隐藏着可以控制被攻击的系统危害系统安全的功能，可能造成对方资料和信息的泄漏、破坏，甚至使整个系统崩溃。,10.3.3缓冲区溢出攻击,溢出区是内存中存放数据的地方在程序试图将数据放到计算机内存中的某一个地方时，因为没有足够的空间就会发生缓冲区溢出，而人为溢出则是攻击者编写一个超出溢出区长度的字符串，然后植入缓冲区，这样就可能导致两种结果。一是过长的字符串覆盖了相邻的存储单元引起程序远行错误，有时可能导致系统崩溃；另一方面是，通过字符串植入缓冲区，从而获得系统权限，可以执行任意指令。,在程序试图将数据放到机器内存中的某一个位置的时候，没有足够的空间就会发生缓冲区溢出。而人为的溢出则是有一定企图的，黑客写一个超过缓冲区长度的字符串，然后植入到缓冲区，而再向一个有限空间的缓冲区中植入超长的字符串可能会出现两个结果，一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃；另有一个结果就是利用这种漏洞可以执行任意指令，甚至可以取得系统超级用户权限。缓冲区溢出成为远程攻击的主要手段其原因在于缓冲区溢出漏洞给予了黑客他所想要的一切：植入并且执行攻击代码。被植入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程序，从而得到被攻击主机的控制权。大多造成缓冲区溢出的原因是程序中没有仔细检查用户输入参数而造成的。,10.4安全防范和安全监测,10.4.1安全防范10.4.2安全监测技术,10.4.1安全防范,安全管理谨慎开放缺乏安全保障的应用和端口确保数据的安全利用防火墙设置安全边界的防护能力通过安全监测系统进行经常性的系统检查、记录系统运行状况用安全管理软件测试自己的站点请第三方评估机构或专家来完成网络安全的评估做好数据的备份工作,10.4.2安全监测技术,网络安全监测工具是防范网络入侵的有力手段，它们帮助系统管理员发现系统的漏洞，监视系统异常的行为，以及追查安全事件。网络安全监测系统的基本功能包括检测出正在发生的攻击活动；发现攻击活动的范围和后果；诊断并发现攻击者的入侵方式和入侵地点,并给出解决建议，以及收集并记录入侵的活动证据。入侵检测系统（IDS）是一种网络监测系统，当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时，IDS能够检测出来，并进行报警，通知网络该采取措施进行响应。,入侵检测（IntrusionDetection），顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem,简称IDS）。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。,入侵检测系统的主要功能,监测并分析用户和系统的活动；核查系统配置和漏洞；评估系统关键资源和数据文件的完整性；识别已知的攻击行为；统计分析异常行为；操作系统日志管理，并识别违反安全策略的用户活动。,入侵检测系统的类型,根据入侵检测的信息来源不同，可以将入侵检测系统分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。,入侵检测技术,对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志（signature-based），另一种基于异常情况（anomaly-based）。基于标志的检测也称为特征检测，对于基于标志的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。,入侵检测的步骤,信息收集数据分析响应,信息收集,入侵检测的第一步就是信息收集，收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。系统和网络日志文件非正常的目录和文件改变非正常的程序执行,数据分析,模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。,统计分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵缺点是误报、漏报率高，且不适应用户正常行为的突然改变。,完整性