网络安全基础教程第3章 网络入侵的初步分析.ppt

1、,3.1 网络入侵的概念,3.2 网络入侵的基本原理,3.3 网络入侵的基本防范,第3章 计算机网络安全体系,在近几年来，网络普及的速度极快，“网站”、“电子邮件”、“电子商务”、“网虫”和“ICQ”等新名词扑面而来。由于网络发展规模的极度膨胀，网络制度和网络自由之间存在着很多冲突，从而出现一个新的团体，那就是“网络黑客”。 黑客来自英文“Hacker”，从本身的意义来讲，Hacker 是指用斧头做家具的人，意思是指某人手艺高超，不需要太好的工具，只用斧头也能做出好的东西。延伸到网络世界，Hacker便引申为那些乐于深入探究系统的奥秘，寻找系统的漏洞，为别人解决困难，并不断克服网络和计算机给人

2、们带来的限制的计算机技术行家。“黑客”一词翻译得非常贴切，一听到黑客，人们马上会联想到“神秘”、“高超”、“隐蔽”和“怪异”等字眼，而这正是黑客表现出来的显著特点。,3.1.1 黑客的历史,说到黑客（网络入侵者）的历史首先要从“真正的程序员（Real Programmer）”谈起。“真正的程序员”这个名词在20世纪80年代才出现。这批程序员当时主要来自工程界和物理界，他们用机器语言、汇编语言和 FORTRAN 以及很多古老的语言编写程序，是各个实验室中的“精英分子”，也是黑客群体的先驱者他们大部分的时间都耗费在计算机上，以编写软件和进行各种程序设计为乐。虽然没有理论上的体系，但他们在实践中逐渐

3、形成了一套计算机文化。 一般情况下，这些黑客并不自称为“黑客”，在他们的世界里自有一套伦理制度，谁违反了这些游戏规则，就会变成其他人唾弃的对象。,3.1 网络入侵的概念,例如，他们称那些搞破坏的黑客为“Dark-Side-Hacker”（黑暗武士），而对那些以“国家正义”与“民族存亡”等所谓的“严正”理由而从事破坏的人则称为“Samurai”（日本武士），至于技术不佳却自以为是的人，他们给出的称号非常难听，叫做“Bogus”（假货）。 随着交互式计算的兴起，各大学以及研究机构逐渐建立了计算机网络，这段时间可以说是黑客群体出现的萌芽阶段。从1969年起，也就是ARPANET诞生的第一年，由于网络

4、这条信息高速公路将全球黑客的能量聚集在一起，因此汇聚成了一股强大的力量。在这段时间，黑客们集中精力解决交互式计算的问题，研究共享操作系统，使用LISP语言编程，最终还推出了UNIX和C语言。,3.1 网络入侵的概念,Apple计算机公司在1977年成立，并以飞快的速度发展起来。计算机的潜在应用立刻吸引了另一批年轻的黑客，他们最偏爱的编程语言是Basic，由于它过于简单，大型机和UNIX迷们根本不屑用它，而更看不起使用它的人。 在这群不被注意的人中就有一位现在人们已经非常熟悉的人物，他就是比尔盖茨，最初的Basic编译器就是由他在8080处理器上开发出来的。由盖茨建立起来的微软帝国标志着一个全新

5、黑客时代的到来，因为可以有更多的人参与到计算机技术的学习中来，黑客的群体逐渐扩大，影响力也越来越广。 应该说前面所说的“古典”黑客与当前人们所谈论的黑客有些不同。古典黑客是真正的程序员，可以说是他们创造了计算机工业。,3.1 网络入侵的概念,但是，到了20世纪80年代，随着工业进程加快以及网络技术的发展，黑客们越来越把精力放在寻找各种系统漏洞上，并通过暴露网络系统中的缺陷与非授权更改服务器等行为，来达到表现自我和反对权威的目的。 1995年初，VISA、MASTER、微软和Netscape结成联盟，允诺在互联网上建立安全电子商务服务时，Netscape于当年9月18日发布了一个供人们通过互联网

6、进行信用卡购物的软件，但第二天报纸上就出现了轰动性新闻：两名加州大学的研究生发现了软件中的一个漏洞。于是，Netscape立刻推出了修订版。然而仅隔8天，一名法国黑客又破解了这个新版本，同时警告说那些声称金融交易安全的公司将很快发现他们的声明会受到挑战。,3.1 网络入侵的概念,步入21世纪后，随着信息技术的高度发达，黑客群体又有了新的特征，主要表现在以下几个方面。 首先是扩大化。由于计算机和网络技术的普及，越来越多的人尤其是青年人热衷于黑客技术，因此也快速造就了一大批没有受过系统的计算机和网络技术教育的黑客人才。经与国内知名黑客的接触，可以发现他们中的很多人并不是什么名牌大学计算机专业的毕业

7、生，甚至有一些仅是中专或技校的学生，而且他们的专业也多种多样。不过这种扩大化的趋势也带来了不良的影响，如由于人员良莠不齐，恶意攻击政府、组织和公司的事件屡有发生。 其次是组织化和集团化。以前那种以个人行为为主的黑客越来越少，取而代之的是大批黑客组织。黑客组织的优势是利用成员各自的不同特长进行合作攻击，从而提高成功率。例如，DDOS攻击就需要形成足够的攻击流量。另外，成员之间的相互交流也会促进整体水平的提高。,3.1 网络入侵的概念,第三是商业化。除了少数黑客通过进行违法活动取得高额收入外，更多的黑客把技术当成谋生的手段。这些人一般在与网络技术有紧密联系的公司就职，依靠自己高超的计算机和网络技术

8、来设计、研制和管理安全产品。例如，世界著名的网络安全公司 ISS 的克劳斯本来就是美国著名的黑客，他现在是美国总统的网络安全顾问。再如国内原著名的黑客组织“绿色兵团”，已改建成绿盟公司，成为国内知名的商业网络安全公司。 第四是政治化。由于网络在人们生产生活，尤其是在国家军事安全中占有越来越重要的地位，网络安全可能会直接影响到国家安全。因此，各国政府都在准备迎接信息战争的挑战。相当多的黑客被政府部门雇佣，从事国家网络安全与攻击的研究，如我国台湾 CIH 病毒的制作者陈盈豪就被台湾军方收编。,3.1 网络入侵的概念,在现代黑客群体中，有两大类截然不同的阵营：第一类，也就是本书介绍的，是黑客（Hac

9、ker）；另一类是从事破坏活动的骇客（Cracker），有时也将其叫做破译者或入侵者。 黑客是那些对任何操作系统和网络神秘而深奥的工作方式由衷地充满兴趣的人。正如前面所说的，黑客通常是一些程序员，他们掌握有操作系统和编程语言方面的高级知识，能发现系统中存在的安全漏洞以及导致这些漏洞的原因。黑客们不断地探索新的知识领域，自由共享他们的发现，他们基本上不会有意破坏他人的系统和数据。,3.1 网络入侵的概念,在现代黑客群体中，有两大类截然不同的阵营：第一类，也就是本书介绍的，是黑客（Hacker）；另一类是从事破坏活动的骇客（Cracker），有时也将其叫做破译者或入侵者。 黑客是那些对任何操作系统

10、和网络神秘而深奥的工作方式由衷地充满兴趣的人。正如前面所说的，黑客通常是一些程序员，他们掌握有操作系统和编程语言方面的高级知识，能发现系统中存在的安全漏洞以及导致这些漏洞的原因。 黑客们不断地探索新的知识领域，自由共享他们的发现，他们基本上不会有意破坏他人的系统和数据。,3.1 网络入侵的概念,骇客是那些强行闯入远程系统或者恶意干扰远端系统完整性的人，他们通过非授权的访问权限，盗取重要数据、破坏系统、干扰被攻击方的正常工作。 从定义上说，黑客和骇客的区分是非常明确的。但是，这种严格的定义在现实世界中并不实用，因为从人性的角度出发，人们都充满各种好奇心和争强好胜的念头，因此，即使是一名黑客，在好

11、奇心的驱使下或别人的怂恿下，也可能会做出一些不太合法的事情。因此，对大多数人来说，可能会把所谓的“黑客”和“骇客”不加区别地当成一类人。 要防止出现骇客肆虐的现象，就应该依靠建立良好的黑客道德观念和严格的法律来制约恶意的和不负责任的攻击行为。,3.1 网络入侵的概念,黑客的个人行为上升到政治和军事的高度时，黑客技术就会变成国家政治和军事能力的重要组成部分。由于网络技术的快速发展，网络的普及率越来越高，网络逐步演变为一个国家重要的基础设施。各个政府部门对网络的依赖性空前提高，人们的日常生活也越来越离不开网络。攻击一个国家的政治、文化、教育、金融、通信、运输等重要领域的计算机网络，并使之彻底瘫痪，

12、对一个国家来说将是难以承受的打击。因此，网络安全事关国家安全。 随着计算机技术和网络技术在军事领域内的应用，各个国家军队的指挥、控制、情报和通信的各个环节对网络的依赖性也越来越强。战场局域网络广泛应用于现代战争的各个领域，看不见的信息流把一支部队组织成一个有机的整体。,3.1 网络入侵的概念,同时，以阻断、截获战场上各个作战单元与作战要素之间的信息流动而进行战争行动所形成的新型作战样式，统称为信息战。信息战由电子战和网络战两个部分组成，在网络战领域内，黑客技术和黑客行为演变为政府行为，成为维护国家和民族利益的重要手段。 美国拥有地球上超强的军事能力，似乎是无可匹敌的，但信息战的领域并非如此。高

13、性能计算机的引入改变了力量的平衡，一般奔腾处理器的性能已经超过了5年前的中小型机。其他国家完全有可能对美国的信息基础设施构成威胁。使用高性能计算机和高速连接，这些国家可以较小的成本和代价对美国开展一场信息战，并完全在战争中取得胜利。所以，网络战可以成为以弱胜强的“杀手锏”。,3.1 网络入侵的概念,Shane D. Deichmen在他的文章“信息战”中写道：“信息战环境中的关键部分是参与者不需要超级能力。任何势力拥有适当技术就可以破坏脆弱的C2级网络并拒绝关键信息服务。相对Mahanian的信息控制战略而言，美国军方更现实的战略方法是信息拒绝中的一种”。 来自兰德公司的专家们提出了一些粗浅的

14、计划，他们在提交的一份报告中提出了关于美国所做准备的各种问题，并提议对该主题进行深入的研究：“我们建议进行分析研究以确定在下一个世纪初新技术较现在更先进、更可靠，互联性更强时，网络战争会是怎样。这些研究将考虑美国在高强度或低强度冲突中所面临的敌人。网络战争正在到来！”,3.1 网络入侵的概念,攻击的目的如下： （1）执行程序。 （2）获取文件和传输中的数据。 （3）获得超级用户的权限。 （4）对系统的非法访问。 （5）进行不许可的操作。 （6）拒绝服务。 （7）修改信息。 （8）暴露信息。,3.2 网络入侵的基本原理,3.2 网络入侵的基本原理,黑客们入侵某一目标除了本身就怀着特定的目的外，一

15、般是偶然的因素居多，但在这偶然的因素下面也有许多必然的原因，如系统本身存在一些安全漏洞或Bug等，让黑客有机可乘。黑客通常采用以下的几个步骤来实现入侵目标主机的目的。 第一步：寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址，域名是为了便于记忆主机的IP地址而另起的名字，只要利用域名和IP地址就可以顺利地找到目标主机。当然，知道了要攻击目标的位置还是远远不够的，还必须将主机的操作系统类型及其所提供服务等资料进行全面的了解，这样才能做到“知己知彼，百战不殆”。,3.2 网络入侵的基本原理,此时，黑客们常会使用一些扫描器工具，轻松获取目标主机运行的是哪种操作系统的哪个版本

16、，系统有哪些账户，WWW，FTP，Telnet，SMTP等服务器程序是何种版本等资料，为入侵做好充分的准备。 第二步：获取账号和密码，登录主机。黑客要想入侵一台主机，首先要有该主机的一个账号和密码，否则连登录都无法进行。这样常迫使黑客先设法盗窃账户文件，进行破解，从中获取某用户的账户和口令，再寻觅合适时机以此身份进入主机。当然，利用某些工具或系统漏洞登录主机也是黑客们常用的一种技法。,3.2 网络入侵的基本原理,第三步：得到超级用户权限，控制主机。黑客如果有了普通用户的账号，便可以利用FTP，Telnet等工具进入目标主机。在进入目标主机后，黑客一般是不会就此罢手的，因为普通用户的权限实在有限

17、，所以他们就要想方设法获得超级用户权力，然后做该主机的主人。 第四步：打扫战场，隐藏自己。在黑客真正控制主机后，就可以盗取甚至篡改某些敏感数据信息，同时也会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序，作为日后入侵该主机的“后门”。入侵目的任务完成后，便会清除日志、删除复制的文件等手段来隐藏自己的踪迹。之后，他就可以实现“远程办公”，更为方便地进出俘虏到的主机。,3.2 网络入侵的基本原理,“攻击”是指任何的非授权行为。这种行为的目的在于干扰、破坏、摧毁用户服务器的安全。攻击的范围从简单地使某服务无效到完全破坏用户的服务器。在用户网络上成功实施的攻击的级别依赖于用户采用的安全

18、措施。 1. 攻击时间 大部分的攻击时间（或至少是商业攻击时间）一般是服务器所在地的深夜。换句话说，如果用户在洛杉矶而入侵者在伦敦，那么攻击可能会发生在洛杉矶的深夜到早晨之间的几个小时中。用户也许认为入侵者会在白天（目标所在地的时间）发起攻击，因为大量的数据传输能掩饰他们的行为。 2. 入侵者使用的操作系统 入侵者使用的操作系统各不相同。UNIX是使用最多的平台，其中包括FreeBSD和Linux。,3.2 网络入侵的基本原理,3. 攻击的源头 数年前，许多攻击来源于大学，因为从那里能对Internet进行访问。大多数入侵者是年轻人，没有其他地方比在大学更容易上Internet了。自然地，这不

19、仅影响了攻击的起源地而且影响着攻击发生的时间。同时，使用TCP/IP不像今天这样简单。 如今形势发生了巨大的变化，入侵者可在他们的家里、办公室或车中入侵用户的网络。 4. 典型入侵者的特点 典型的入侵者至少具备下述几个特点。,3.2 网络入侵的基本原理,能用C、C+或Perl进行编码。因为许多基本的安全工具是用这些语言的某一种编写的。至少入侵者能正确地解释、编译和执行这些程序。更厉害的入侵者能把不专门为某特定平台开发的工具移植到他用的平台上，同时还可能开发出可扩展的工具来，如SATAN 和SAFESuite（这些工具允许将用户开发的工具附加到它们上）。 对TCP/IP有透彻的了解，这是任何一个

20、有能力的入侵者所必备的素质，至少一个入侵者必须知道Internet是如何运转的。 每月至少花50个小时上Internet。经验是不可替代的，入侵者必须要有丰富的经验。一些入侵者是Internet的痴迷者，常忍受着失眠的痛苦。,3.2 网络入侵的基本原理,有一份和计算机相关的工作，并不是每个入侵者都是把一天中的大部分时间投入到入侵行为中，其中一些人从事着系统管理或系统开发的工作。 收集旧的、过时的但经典的计算机硬件或软件。 5. 典型目标的特征 很难说什么才是典型目标，因为不同入侵者会因不同的原因而攻击不同类型的网络。然而一种常见的攻击是小型的私有网，这是因为： 网络的拥有者们对Internet

21、的使用还处于入门阶段。 其系统管理员更熟悉局域网，而不是TCP/IP。 其设备和软件都很陈旧（可能是过时的）。,3.2 网络入侵的基本原理,6. 入侵者入侵的原因 入侵者入侵的原因如下： 怨恨。 挑战。 愚蠢。 好奇。 政治目的。 所有的这些原因都是不道德的行为，此行为过头后便触犯了法律。 7. 攻击 攻击的法律定义：攻击仅仅发生在入侵行为完全完成且入侵者已在目标网络内。也就是说，从一个入侵者开始在目标机上工作的那个时间起，攻击就开始了。,3.2 网络入侵的基本原理,8. 入侵层次索引 入侵层次索引如下： 邮件炸弹攻击。 简单拒绝服务。 本地用户获得非授权读访问。 本地用户获得他们本不应拥有的

22、文件的写权限。 远程用户获得了非授权的账号。 远程用户获得了特权文件的读权限。 远程用户获得了特权文件的写权限。 远程用户拥有了根权限（已经攻克了用户的系统）。,3.2 网络入侵的基本原理,所谓口令入侵，是指使用某些合法用户的账号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的账号，然后再进行合法用户口令的破译。 获得普通用户账号的方法很多，如利用目标主机的Finger功能，即当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上；利用目标主机的X.500服务，即某些主机没有关闭X.500的目录查询服务，给

23、黑客提供了获得信息的一条简易途径；从电子邮件地址中收集，即用户电子邮件地址透露其在目标主机上的账号；查看主机是否有习惯性的账号，即很多系统会使用一些习惯性的账号，造成账号的泄漏等。,3.2 网络入侵的基本原理,1. 口令攻击 首先应当明确在目前的普通机器上没有绝对安全的口令，因为目前UNIX工作站或服务器口令密码都是用8位（有的新系统是用13位）DES算法进行加密的，即有效密码只有前8位，超过8位的密码就没用了（这是DES算法决定的），所以一味靠密码的长度来加密是不可以的，而且DES加密算法已经可以被人很快破译。 因为设置密码的是人而不是机器，所以就存在安全的口令和不安全的口令。安全的口令可以

24、让机器算5000年，不安全的口令只需要一次就能猜出。,3.2 网络入侵的基本原理,2. 破解口令的攻击方法 （1）字典攻击（Dictionary Attack）。 到目前为止，一个简单的字典攻击是闯入机器的最快方法。字典文件（一个充满字典文字的文本文件）被装入破解应用程序（如L0phtCrack），它是根据由应用程序定位的用户账户运行的。因为大多数密码通常是简单的，所以运行字典攻击通常足以实现目的了。 （2）混合攻击（Hybrid Attack）。 混合攻击将数字和符号添加到文件名以成功破解密码。许多人只通过在当前密码后加一个数字来更改密码。其模式通常采用这一种形式：第一月的密码是“cat”；

25、第二个月的密码是“cat1”；第三个月的密码是“cat2”，依次类推。,3.2 网络入侵的基本原理,（3）蛮力攻击（Brute Force Attack）。 蛮力攻击是最全面的攻击形式，虽然它通常需要很长的时间工作，这取决于密码的复杂程度。根据密码的复杂程度，某些蛮力攻击可能花费一个星期的时间。在蛮力攻击中还可以使用L0phtcrack。,3.2 网络入侵的基本原理,在正式开始介绍这个问题前，我们先打一个比方：在一个充斥着0和1的星球上有无数的城堡，它们大多看起来壁垒森严，远远地把崇尚自由的人隔离在了自己的躯体之外，而在这些堡垒中，通常都留出了很多供人进出使用的道路，最初一些聪明的人发现，这些

26、通道的功能各自不同，而且有规律可循，如果仔细寻找，总能找到一些由于管理者或是城堡建造者的粗心大意而留下的漏洞供人们自由地进出城堡的内外，而完全不受城堡管理者的约束。 在上面这个例子中，我们完全可以把星球本身看成是我们的网络，而城堡则是网络中一台台主机，而计算机网络技术中的端口，我们通常可以形象地看作是城堡的一条条连接内外的道路。大家注意，我们这里说的端口不是计算机硬件的I/O端口，而是软件形式上的概念。,3.2 网络入侵的基本原理,比如说在一台服务器上开了FTP服务和HTTP服务，为了保证两个服务的互不干扰，人们区分了它们进行通信时的出入口，如定义FTP服务通过21端口进行通信，而HTTP服务

27、则通过80端口。这就是计算机为什么可以同时提供那么多服务而互不干扰的原因，由此我们看到了端口的重要性。 根据计算机提供服务类型的不同，端口也分为了两大类：一类是TCP端口；另一类是UDP端口。计算机间相互通信也分为两大类：一类是发送方发送外信息后需要接收方响应这个信息并给予应答，即有应答方式；另一类则是发送方在发送外信息后不去理会接收方是否收到信息，即无应答方式。这两种计算机通信方式与上边的两大类端口一一对应，即有应答（TCP端口）与无应答（UDP端口）。,3.2 网络入侵的基本原理,端口扫描者是对网络中主机的端口进行一定规则的批量检测的意思，通常我们所掌握及使用的是以下3种方式。 对某一特定

28、端口进行指定IP段的检测，以了解该端口在该域段的使用情况。通常我们使用这种扫描方式是在没有指定目标而针对某一已知存在漏洞的服务所进行的整域段的搜索。 对某一特定主机进行全端口或指定端口区间的检测以了解该主机的端口使用情况。通常我们使用这种扫描方式是在指定目标的前提下，对目标主机服务开放情况进行的检测分析，这将有助于我们尽快了解目标主机。 前两者的综合。通常进行这种扫描也是盲目的，没有具体攻击目标。,3.2 网络入侵的基本原理,拒绝服务攻击的英文是Denial Of Service，简称DOS。这种攻击行动使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫

29、痪而停止提供正常的网络服务。 以下是攻击者常用的分布式拒绝服务攻击工具。 （1）Trinoo 客户端、主控端和代理端主机相互间通信时使用如下端口。 1524 tcp 27665 tcp 27444 udp 31335 udp 重要提示：以上所列出的只是该工具的默认端口，仅作参考。这些端口可以轻易被修改。,3.2 网络入侵的基本原理,（2）TFN 客户端、主控端和代理端主机相互间通信时使用ICMP ECHO和ICMP ECHO REPLY数据包。 （3）Stacheldraht 客户端、主控端和代理端主机相互间通信时使用如下端口和数据包。 16660 tcp 65000 tcp ICMP ECH

30、O ICMP ECHO REPLY 重要提示：以上所列出的只是该工具的默认端口，仅作参考。这些端口可以轻易被修改。,3.2 网络入侵的基本原理,（4）TFN2K 客户端、主控端和代理端主机相互间通信时并没有使用任何指定端口（在运行时指定或由程序随机选择），但结合了UDP，ICMP和TCP数据包进行通信。 对于这几个分布式拒绝服务攻击工具的详细技术分析，可以访问中国著名网络安全组织绿色兵团站点。,3.2 网络入侵的基本原理,在网络中，当信息进行传播的时候，可以利用工具将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。网络监听在网络中的任何一个位置模式下都可实施。

31、 黑客一般都是利用网络监听来截取用户口令的。比如当有人占领了一台主机之后，如果他要想将战果扩大到这个主机所在的整个局域网的话，监听往往就是他们选择的捷径。在各类安全论坛上一些初学者认为如果占领了某主机之后想进入它的内部网络应该是很简单的。其实并非如此，进入了某主机再想转入它的内部网络里的其他机器也不是一件容易的事情。因为除了要得到它们的口令之外要得到它们共享的绝对路径，当然，这个路径的尽头必须是有写的权限。在这个时候，运行已经被控制的主机上的监听程序就会有很大收效。不过，这是一件费神的事情，而且还需要当事者有足够的耐心和应变能力。,3.2 网络入侵的基本原理,在这个时候，运行已经被控制的主机上

32、的监听程序就会有很大收效。不过，这是一件费神的事情，而且还需要当事者有足够的耐心和应变能力。 现在网络中所使用的协议都是较早设计的，许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上的。在通常的网络环境下，用户的信息包括口令都是以明文的方式在网上传输的，因此进行网络监听从而获得用户信息并不是一件很难的事情，只要掌握有初步的TCPIP协议知识就可以轻松地监听到想要的信息。前些时间美籍华人China-babble曾提出将网络监听从局域网延伸到广域网中，但这个想法很快就被否定了。事实上，现在在广域网里也可以监听和截获到一些用户信息，只是还不够明显而已。在整个Internet中就更显得

33、微不足道了。,3.2 网络入侵的基本原理,IP欺骗的3种基本形式是：基本地址变化；使用源路由选择截取数据包；利用UNIX机器上的信任关系。 （1）基本地址变化。 IP欺骗的最基本形式是搞清楚一个网络的配置，然后改变自己的IP地址，伪装成别人机器的IP地址。这样做会使所有被发送的数据包都带有假冒的源地址。这是非常低等级的技术，因为所有的应答都回到了被盗用了地址的机器上，而不是攻击者的机器。这被叫做盲目飞行攻击（Flying Blind Attack），或者叫做单向攻击（One-Way Attack）。,3.2 网络入侵的基本原理,（2）源路由攻击。 有关欺骗的一个重要问题是被盗用的地址会收到返回

34、的信息流，而攻击者从来不会接收到它们。对于更高级的攻击，攻击者更愿意看到对话的双方。 （3）信任关系。 在UNIX领域中，信任关系能够很容易得到。假如在主机A和B上各有一个账户，在使用当中会发现，在主机A上使用时需要输入在A上的相应账户，在主机B上使用时必须输入在B上的账户，主机A和B将其当作两个互不相关的用户，显然有些不便。为了减少这种不便，可以在主机A和主机B中建立两个账户的相互信任关系。,3.2 网络入侵的基本原理,在主机A和主机B上home目录中创建“.rhosts”文件。从主机A上，在home目录中输入“echoBusername /.rhosts”；从主机B上，在home目录中输入

35、“echoAusername/.rhosts”。至此，即可毫无阻碍地使用任何以r*开头的远程调用命令，如rlogin，rcall，rsh等，而无需口令验证。这些命令将允许以地址为基础的验证，或者允许或者拒绝以IP地址为基础的存取服务。,3.3 网络入侵的基本防范,作为近年来新兴的保护计算机网络安全的技术性措施，防火墙（Firewall）是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止专利信息从企业的网络上被非法输出。 防火墙是一种被动防卫技术，由于它假设了网络的边界和服务，因此对内部的非法访问难以有效地控制，因

36、此，防火墙最适合于相对独立的，与外部网络互联途径有限的、网络服务种类相对集中的单一网络。,3.3 网络入侵的基本防范,作为Internet的安全性保护软件，防火墙已经得到广泛的应用。通常企业为了维护内部的信息系统安全，在企业网和Internet之间设立。企业信息系统对于来自Internet的访问，采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。 如果在某一台IP主机上有需要禁止的信息或危险的用户，则可以通过设置使用防火墙过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息，那么就可以在

37、防火墙上设置使得只有这两类应用的数据包可以通过。,3.3 网络入侵的基本防范,这对于路由器来说，不仅要分析IP层的信息，还要进一步了解TCP传输层甚至应用层的信息以进行取舍。防火墙一般安装在路由器上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。 1. 防火墙的基本思想 如果网络在没有防火墙的环境中，网络安全性完全依赖主系统的安全性。在一定意义上，所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大，把所有主系统保持在相同的安全性水平上的可管理能力就越小，随着安全性的失策和失误越来越普遍，入侵时有发生。,3.3 网络入侵的基本防范,防火墙有助于提高主系统总体安全性。防火墙的

38、基本思想不是对每台主机系统进行保护，而是让所有对系统的访问通过某一点，并且保护这一点，并尽可能地对外界屏蔽保护网络的信息和结构。它是设置在可信任的内部网络和不可信任的外界之间的一道屏障，它可以实施比较广泛的安全政策来控制信息流，防止不可预料的、潜在的入侵破坏。 防火墙系统可以是路由器，也可以是个人机、主系统或者是一批主系统，专门用于把网点或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。 防火墙可以从通信协议的各个层次以及应用中获取、存储并管理相关的信息，以便实施系统的访问安全决策控制。 防火墙的技术已经经历了3个阶段，即包过滤技术、代理技术和状态监视技术。,3.3 网络入侵的基本防范,2

39、. 防火墙的类型 真正意义上的防火墙有两类：一类被称为标准防火墙；一类叫双家网关。标准防火墙系统包括一个UNIX工作站，该工作站的两端各有一个路由器进行缓冲。其中一个路由器的接口是外部世界，即公用网；另一个则连接内部网。标准防火墙使用专门的软件，并要求较高的管理水平，而且在信息传输上有一定的延迟。双家网关则是对标准防火墙的扩充，双家网关又称堡垒主机或应用层网关，它是一个单个的系统，却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用，同时防止在互联网和内部系统之间建立的任何直接的连接，可以确保数据包不能直接从外部网络到达内部网络，反之亦然。,3.3 网络入侵的基本防范,E-mail在2

40、0世纪末被如此广泛地应用是人们始料未及的。它迅速、快捷、高效，大大缩减了整个世界的时空距离，也是人类对所谓的信息社会勾画的绝妙之笔。 正是E-mail应用的广泛性以及与我们自身的工作学习越来越紧的相溶关系，其安全问题也日渐突出，其解决也越来越迫切。这里只是针对个人日常生活、学习的一个实用的E-mail安全方案并忽略其背后详细的密码和认证的理论基础。 本文以现在通行的Outlook Express为应用实例，从3方面介绍关于E-mail安全使用的策略。,3.3 网络入侵的基本防范,本文以现在通行的Outlook Express为应用实例，从3方面介绍关于E-mail安全使用的策略。 1. 安全邮

41、件与数字签名 由于越来越多的人通过电子邮件进行重要的商务活动和发送机密信息，而且随着互联网的飞速发展，这类应用会更加频繁。因此保证邮件的真实性（不被他人伪造）和不被其他人截取和偷阅也变得日趋重要。众所周知：许多黑客软件（如E-mail Bomber）能够很容易地发送假地址邮件和匿名邮件，另外即使是正确地址发来的邮件在传递途中也很容易被别人截取并阅读。这些对于重要信件来说是难以容忍的。,3.3 网络入侵的基本防范,2. E-mail炸弹与邮箱保护 E-mail炸弹并非无中生有，越来越多的人受到这种或成功或失败的“信骚扰”。对于E-mail炸弹治疗，有很多的相关讨论，本文不作赘述。关于E-mail

42、炸弹的彻底预防现在还没有一个真正全面有效的方法，下面推荐一种比较可行的方法，即利用转信服务。 目前比较流行的转信服务在一定程度上能够解决特大邮件攻击的问题。如果去申请一个转信信箱（如），利用转信站提供的过滤功能，可以将那些不愿看到的邮件统统过滤删除在邮件服务器中，或者将那些广告垃圾邮件转移到别处，最坏的情况无非是抛弃这个免费E-mail。,3.3 网络入侵的基本防范,具体方法（以163信箱为例）是在进入163转信信箱后选择“过滤邮件”，在“新建过滤器”框内设置不愿看到的邮件的相关信息，然后在“则转到”文本框内填写准备用来牺牲的免费信箱即可。如果想拒绝接收特大邮件或某个特定地址的邮件，则在“拒收

43、邮件”中设置。 3. 邮件附件 平时利用E-mail可以发送一些小型的程序软件。正是如此，一些人利用它发一些带有烈性病毒附件的E-mail让受害的计算机受到侵害；看好每一个附件，看看发信人是否可靠，收到附件后先不要急于执行，要先用杀毒软件杀毒，确定安全后才可以使用。,3.3 网络入侵的基本防范,先进的认证措施，如智能卡、认证令牌、生物统计学和基于软件的工具已被用来克服传统口令的弱点。尽管认证技术各不相同，但它们产生的认证信息不能让通过非法监视连接的攻击者重新使用。在目前黑客智能程度越来越高的情况下，可访问Internet的防火墙，如果不使用先进认证装置或者不包含使用先进认证装置的挂接工具，防火

44、墙几乎是没有意义的。 当今使用的一些比较流行的先进认证装置叫做一次性口令系统。 例如，智能卡或认证令牌产生一个主系统，可以用来取代传统口令的响应信号，由于智能卡或认证令牌是与主系统上的软件或硬件协同工作的，因此，所产生的响应对每次注册都是独一无二的。其结果是产生一种一次性口令。,3.3 网络入侵的基本防范,这种口令即使被入侵者获得，也不可能被入侵者重新使用来获得某一个账户，就非常有效地保护了Internet。由于防火墙可以集中并控制网络的访问，因而防火墙是安装先进认证系统的合适场所。,3.3 网络入侵的基本防范,预防拒绝服务攻击的措施如下： 为防止SYN flood攻击，对默认安装的系统进行强

45、化，主要是通过重新编译内核，以及设定相应的内核参数使得系统强制对超时的SYN请求连接数据包复位，同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的SYN请求数据包。如果不强制对这些无效的数据包进行清除复位，将大大加重系统的负载，最终将导致系统失去响应。 为防止ICMP炸弹的攻击，在系统内核中对ICMP数据包的流量进行限定允许，并在系统参数中对此限定值调整，以防止系统由此而无法响应。,3.3 网络入侵的基本防范, 在系统中加装防火墙系统，利用防火墙系统对所有出入的数据包进行过滤。 仔细调整服务器的各项参数。根据站点访问量大的特点，对Web服务器和Mail服务器进行适度的预加重处理，即通过

46、预先使服务器达到一定的负载，使得整个系统的负载变化在访问量变化时不会出现很大的变化，如果出现了很大的变化，很有可能使得服务器崩溃。这和在建筑中广泛采用的预应力技术的原理是一致的。 在完成了对服务器的强化后，还必须使用一些有效的方法和规则来检测和发现拒绝服务攻击，并能在检测到拒绝服务攻击后采取相应的对策。,3.3 网络入侵的基本防范,检测的手段很多，可以通过查看路由器记录和系统记录以及站点的目前状态来实现。 通常，在设计防火墙的时候预先对某些特殊类型的IP数据包进行过滤（不需要记录）。这些特殊的IP是不能在Internet上出现的（无法路由），而要进行拒绝服务攻击往往最需要这类有来无回的数据包，

47、以隐蔽攻击者的真实地址和身份。一旦此类地址出现，往往就标志着某种拒绝服务攻击开始。,3.3 网络入侵的基本防范,虚拟专网是一个综合运用入侵防范的很好的例子。 网络入侵防范必须考虑如下5个方面：网络层的安全性、操作系统的安全性、用户的安全性、应用程序的安全性、数据的安全性。 网络层的安全性问题是对网络的控制，即对进入网络的用户的地址进行检查和控制。每一个用户都会通过一个独立的IP地址对网络进行访问，这一IP地址能够大致表明用户的来源所在地和来源系统。目标网站通过对来源IP进行分析，便能够初步判断来自这一IP的数据是否安全。,3.3 网络入侵的基本防范,防火墙产品和VPN虚拟专用网就是用于解决网络

48、层安全性问题的。防火墙的主要目的在于判断来源IP，阻止危险或未经授权的IP的访问和交换数据。VPN主要解决的是数据传输的安全问题，其目的在于内部的敏感关键数据能够安全地借助公共网络进行频繁地交换。后面将对VPN进行具体的介绍。 在系统安全性问题中，主要防止病毒的威胁、黑客的破坏和侵入。 对于用户的安全性问题，考虑的是用户的合法性。认证和密码就是用于解决这个问题的。 通常根据不同的安全等级对用户进行分组管理。不同等级的用户只能访问与其等级相对应的系统资源和数据。然后采用强有力的身份认证，并确保密码难以被他人猜测到。,3.3 网络入侵的基本防范, 应用程序的安全性。即只有合法的用户才能够对特定的数

49、据进行合法的操作，包括应用程序对数据的合法权限和应用程序对用户的合法权限。 数据的安全性，即用加密的方法保护机密数据。在数据的保存过程中，机密的数据即使处于安全的空间，也要对其进行加密处理，以保证万一数据失窃，他人也不能读懂其中的内容。这是一种比较被动的安全手段，但往往能够收到最好的效果。 VPN技术的优点主要如下： 信息的安全性。虚拟专用网络采用安全隧道（Secure Tunnel）技术安全的端到端的连接服务，确保信息资源的安全。,3.3 网络入侵的基本防范, 方便的扩充性。用户可以利用虚拟专用网络技术方便地重构企业专用网络（Private Network），实现异地业务人员的远程接入。 方

50、便的管理。VPN将大量的网络管理工作放到互联网络服务提供者（ISP）一端来统一实现，从而减轻了企业内部网络管理的负担。同时VPN也提供信息传输、路由等方面的智能特性及其与其他网络设备相独立的特性，也便于用户进行网络管理。 显著的成本效益。利用现有互联网络发达的网络构架组建企业内部专用网络，从而节省了大量的投资成本及后续的运营维护成本。,3.3 网络入侵的基本防范,实现VPN的关键技术如下： 安全隧道技术（Secure Tunneling Technology）。通过将待传输的原始信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中，像普通数据包一样进行传输。经过这样的处理，只有源

51、端和目标端的用户对隧道中的嵌套信息能进行解释和处理，而对于其他用户而言只是无意义的信息。 用户认证技术（User Authentication Technology）。在正式的隧道连接开始之前需要确认用户的身份，以便系统进一步实施资源访问控制或用户授权。,3.3 网络入侵的基本防范, 访问控制技术（Access Control Technology）。由VPN服务的提供者与最终网络信息资源的提供者共同协商确定特定用户对特定资源的访问权限，以此实现基于用户的访问控制，以实现对信息资源的最大限度的保护。 VPN系统的结构如图3-1所示。 下面分别对安全传输平面STP和公共功能平面CFP进行详细的介

52、绍。 1. 安全传输平面（STP） （1）安全隧道代理（STA）。 安全隧道代理在管理中心组织下将多段点到点的安全通道连接成端端的安全隧道，是VPN的主体，它主要的作用如下：,3.3 网络入侵的基本防范, 安全隧道的建立与释放（Secure Tunnel Connection & Release）：按照用户代理（UA）的请求，在UA与STA之间建立点到点的安全通道（Secure Channel），然后在此安全通道中进行用户身份验证和服务等级协商的必要交互，然后在管理中心（MC）的控制下建立发送端到目的端之间由若干点到点的安全通道依次连接组成的端到端的安全隧道。 将初始化过程置于安全通道中进行，

53、可以保护用户身份验证等重要信息的安全。在信息传输结束之后，由通信双方的任一方代理提出释放隧道连接请求。,3.3 网络入侵的基本防范, 用户身份的验证（User Authentication）：在安全隧道建立的初始化过程中，STA要求UA提交用户认证中心提供的证书，通过证书验证以确认用户代理身份。必要时还可进行UA对STA的反向认证以进一步提高系统的安全性。 服务等级的协商（Service Level Negotiation）：用户身份验证通过之后，安全隧道代理与VPN用户代理进行服务等级的协商，根据其要求与VPN系统的资源现状确定可能提供的服务等级并报告至VPN管理中心。 信息的透明传输（Tr

54、ansparent Information Transmission）：安全隧道建立之后，安全隧道代理负责通信双方之间信息的透明传输，并根据商定的服务参数进行相应的控制。,3.3 网络入侵的基本防范, 远程、拨号接入（Remote & Dial Access）：为了实现异地接入功能，STA还需要与远程、拨号用户的用户代理进行必要的接口适配工作，进行协议的转换等处理。这是远程接入VPN所特有的功能。 安全隧道的控制与管理（Secure Tunnel Control & Management）：在安全隧道连接维持期间，安全隧道代理还要按照管理中心（MC）发出的VPN网络性能及服务等级有关的管理命令

55、并对已经建立的安全隧道进行管理。 （2）VPN管理中心（MC）。 VPN管理中心只与安全隧道代理（STA）直接联系，负责协调安全传输平面上的各STA之间的工作，是整个VPN的核心部分。其主要功能如下：,3.3 网络入侵的基本防范, 安全隧道的管理与控制：确定最佳路由，并向该路由上包含的所有STA发出命令，建立连接。隧道建立以后，VPN管理中心继续监视各隧道连接的工作状态，对出错的安全通道，VPN管理中心负责重新选择路由并将该连接更换到替代路由。在信息传输过程中用户要求改变服务等级或者为了对整个网络性能优化的需要对已建立的隧道服务等级进行变更时，VPN管理中心向相应隧道连接上的STA发出更改服务

56、等级命令。 网络性能的监视与管理（VPN Performance Supervision & Administration）：VPN管理中心不断监视各个STA的工作状态，收集各种VPN性能参数，并根据收集到的信息对VPN网络进行故障排除、性能优化的工作。同时，VPN管理中心还负责完成对各种VPN网络事件进行日志记录、用户计费、追踪审计、故障报告等常用的网络管理功能。,3.3 网络入侵的基本防范,2. 公共功能平面（CFP） 公共功能平面（Common Function Plane，CFP）作为安全传输平面的辅助平面，向VPN用户代理提供相对独立的用户身份认证与管理及密钥的分配管理，分别由用户认

57、证管理中心（UAAC）和VPN密钥分配中心（ KDC）完成。 （1）认证管理中心（UAAC）。 这里的功能是提供用户认证和用户管理。 用户认证（User Authentication）：就是以第三者的客观身份向VPN用户代理和安全隧道代理（STA）之中的一方或双方提供用户身份的认证，以便服务使用者和服务提供者之间能够确认对方的身份。,3.3 网络入侵的基本防范, 用户管理（User Administration）：是与用户身份认证功能直接相联系的用户管理部分，即对各用户（VPN用户代理（UA）、安全隧道代理（STA）及认证管理中心（UAAC）的信用程度和认证情况进行日志记录，并可在VPN管理层

58、向建立安全隧道双方进行服务等级的协商时参考。这里的管理是面向服务的（Service-Oriented），有关用户权限与访问控制等方面的用户管理功能则不在这里实现。 （2）密钥分配中心（KDC）。 VPN密钥分配中心向需要进行身份验证和信息加密的双方提供使用密钥的分配、回收与管理。在VPN系统里，VPN用户代理（UA）、安全隧道代理（STA）、认证管理中心（UAAC） 都是密钥分配中心的用户。,3.3 网络入侵的基本防范,下面介绍一些入侵方式。 1. 服务拒绝攻击 服务拒绝攻击企图通过使用户的服务器崩溃或把它压垮来阻止用户提供服务，服务拒绝攻击是最容易实施的攻击行为，主要包括如下几项： （1）死

59、亡之ping （Ping of Death）。 概览：在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64KB上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接收方死机。,3.3 网络入侵的基本防范,防御：现在所有的标准TCP/IP实现都能处理超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括从Windows 98之后的Windows NT（service pack 3之后），Linux，SOLARIS和MAC OS都具有抵抗一般Ping of Death攻击的能力。此外，对防火墙进行配置、阻断ICMP以及任何未知协议都将防止此类攻击。 （2）泪滴（Tear Drop）。 概览：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是源包的哪一段的信息，某些TCP/IP（包括service pack 4以前的Windows NT）在收到含有重叠偏移的伪造分段时将崩溃。,3.3 网络入侵的基本防范,防御：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。 （3