第四章網(wǎng)絡(luò)安全PPT課件.ppt

網(wǎng)絡(luò)安全問(wèn)題 第四章 1 本章學(xué)習(xí)內(nèi)容 網(wǎng)絡(luò)安全框架網(wǎng)絡(luò)安全機(jī)制網(wǎng)絡(luò)攻擊原理與步驟常見的網(wǎng)絡(luò)攻擊手段IPv4的安全問(wèn)題Internet網(wǎng)絡(luò)服務(wù)的安全問(wèn)題IPv6新一代網(wǎng)絡(luò)的安全機(jī)制 2 4 1網(wǎng)絡(luò)安全框架 1989 2 15頒布 確立了基于OSI參考模型的七層協(xié)議之上的信息安全體系結(jié)構(gòu)五大類安全服務(wù) 鑒別 訪問(wèn)控制 保密性 完整性 抗否認(rèn) 八類安全機(jī)制 加密 數(shù)字簽名 訪問(wèn)控制 數(shù)據(jù)完整性 鑒別交換 業(yè)務(wù)流填充 路由控制 公證 OSI安全管理 3 安全服務(wù) 安全服務(wù)的基本類型 ISO對(duì)OSI規(guī)定了五種級(jí)別的安全服務(wù) 對(duì)象認(rèn)證訪問(wèn)控制數(shù)據(jù)保密性數(shù)據(jù)完整性防抵賴 4 鑒別服務(wù)鑒別服務(wù)包括同等實(shí)體鑒別和數(shù)據(jù)源鑒別兩種服務(wù) 使用同等實(shí)體鑒別服務(wù)可以對(duì)兩個(gè)同等實(shí)體 用戶或進(jìn)程 在建立連接和開始傳輸數(shù)據(jù)時(shí)進(jìn)行身份的合法性和真實(shí)性驗(yàn)證 以防止非法用戶的假冒 也可防止非法用戶偽造連接初始化攻擊 數(shù)據(jù)源鑒別服務(wù)可對(duì)信息源點(diǎn)進(jìn)行鑒別 可確保數(shù)據(jù)是由合法用戶發(fā)出 以防假冒 5 訪問(wèn)控制服務(wù)訪問(wèn)控制包括身份驗(yàn)證和權(quán)限驗(yàn)證 訪問(wèn)控制服務(wù)防止未授權(quán)用戶非法訪問(wèn)網(wǎng)絡(luò)資源 也防止合法用戶越權(quán)訪問(wèn)網(wǎng)絡(luò)資源 6 數(shù)據(jù)保密性服務(wù)采用數(shù)據(jù)保密性服務(wù)的目的是保護(hù)網(wǎng)絡(luò)中各通信實(shí)體之間交換的數(shù)據(jù) 即使被非法攻擊者截獲 也使其無(wú)法解讀信息內(nèi)容 以保證信息不失密 該服務(wù)也提供面向連接和無(wú)連接兩種數(shù)據(jù)保密方式 保密性服務(wù)還提供給用戶可選字段的數(shù)據(jù)保護(hù)和信息流安全 即對(duì)可能從觀察信息流就能推導(dǎo)出的信息提供保護(hù) 信息流安全的目的是確保信息從源點(diǎn)到目的點(diǎn)的整個(gè)流通過(guò)程的安全 7 數(shù)據(jù)完整性服務(wù)數(shù)據(jù)完整性服務(wù)防止非法用戶對(duì)正常數(shù)據(jù)的變更 如修改 插入 延時(shí)或刪除 以及在數(shù)據(jù)交換過(guò)程中的數(shù)據(jù)丟失 數(shù)據(jù)完整性服務(wù)可分為以下五種情形 通過(guò)這些服務(wù)來(lái)滿足不同用戶 不同場(chǎng)合對(duì)數(shù)據(jù)完整性的要求 帶恢復(fù)功能的面向連接的數(shù)據(jù)完整性 不帶恢復(fù)功能的面向連接的數(shù)據(jù)完整性 選擇字段面向連接的數(shù)據(jù)完整性 選擇字段無(wú)連接的數(shù)據(jù)完整性 無(wú)連接的數(shù)據(jù)完整性 8 非否認(rèn)服務(wù)非否認(rèn)服務(wù)可防止發(fā)送方發(fā)送數(shù)據(jù)后否認(rèn)自己發(fā)送過(guò)數(shù)據(jù) 也可防止接收方接收數(shù)據(jù)后否認(rèn)已接收過(guò)數(shù)據(jù) 它由兩種服務(wù)組成 一是發(fā)送 源點(diǎn) 非否認(rèn)服務(wù) 二是接收 交付 非否認(rèn)服務(wù) 這實(shí)際上是一種數(shù)字簽名服務(wù) 9 安全服務(wù)與協(xié)議層中的位置 10 ISO7498 2到TCP IP的映射 11 4 2支持安全服務(wù)的基本機(jī)制 為了實(shí)現(xiàn)上述5種安全服務(wù) ISO7408 2中制定了支持安全服務(wù)的8種安全機(jī)制 它們分別是 加密機(jī)制 EnciphrementMechanisms 數(shù)字簽名機(jī)制 DigitalSignatureMechanisms 訪問(wèn)控制機(jī)制 AccessControlMechanisms 數(shù)據(jù)完整性機(jī)制 DataIntegrityMechanisms 鑒別交換機(jī)制 AuthenticationMechanisms 通信業(yè)務(wù)填充機(jī)制 TrafficPaddingMechanisms 路由控制機(jī)制 RoutingControlMechanisms 公證機(jī)制 NotarizationMechanisms 12 1 加密機(jī)制 密碼機(jī)制 可以支持?jǐn)?shù)據(jù)保密性 完整性等多種安全服務(wù) 算法可以是可逆的 也可以是不可逆的2 數(shù)字簽名機(jī)制數(shù)字簽名機(jī)制主要解決以下安全問(wèn)題 1 否認(rèn) 2 偽造 3 冒充 4 篡改 數(shù)字簽名機(jī)制具有可證實(shí)性 不可否認(rèn)性 不可偽造性和不可重用性 13 3 訪問(wèn)控制機(jī)制訪問(wèn)控制可以防止未經(jīng)授權(quán)的用戶非法使用系統(tǒng)資源 這種服務(wù)不僅可以提供給單個(gè)用戶 也可以提供給用戶組的所有用戶 訪問(wèn)控制是通過(guò)對(duì)訪問(wèn)者的有關(guān)信息進(jìn)行檢查來(lái)限制或禁止訪問(wèn)者使用資源的技術(shù) 分為高層訪問(wèn)控制和低層訪問(wèn)控制 高層訪問(wèn)控制包括身份檢查和權(quán)限確認(rèn) 是通過(guò)對(duì)用戶口令 用戶權(quán)限 資源屬性的檢查和對(duì)比來(lái)實(shí)現(xiàn)的 低層訪問(wèn)控制是通過(guò)對(duì)通信協(xié)議中的某些特征信息的識(shí)別 判斷 來(lái)禁止或允許用戶訪問(wèn)的措施 14 4 數(shù)據(jù)完整性機(jī)制數(shù)據(jù)完整性是指在數(shù)據(jù)傳輸過(guò)程中 接收到的數(shù)據(jù)和原來(lái)數(shù)據(jù)之間保持完全一致 數(shù)據(jù)完整性包括數(shù)據(jù)單元的完整性和數(shù)據(jù)序列的完整性兩個(gè)方面 數(shù)據(jù)單元的完整性是指組成一個(gè)單元的一段數(shù)據(jù)不被破壞和增刪篡改 數(shù)據(jù)序列的完整性是指發(fā)出的數(shù)據(jù)分割為按序列號(hào)編排的許多單元時(shí) 在接收時(shí)還能按原來(lái)的序列把數(shù)據(jù)串聯(lián)起來(lái) 而不要發(fā)生數(shù)據(jù)單元的丟失 重復(fù) 亂序 假冒等情況 目前保持?jǐn)?shù)據(jù)完整性的算法多是數(shù)據(jù)摘壓算法和數(shù)字簽名算法 15 5 鑒別交換機(jī)制 AuthenticationExchange 交換鑒別機(jī)制是通過(guò)互相交換信息的方式來(lái)確定彼此的身份 用于交換鑒別的技術(shù)有以下2種 1 口令 由發(fā)送方給出自己的口令 以證明自己的身份 接收方則根據(jù)口令來(lái)判斷對(duì)方的身份 2 密碼技術(shù) 發(fā)送方和接收方各自掌握的密鑰是成對(duì)的 接收方在收到已加密的信息時(shí) 通過(guò)自己掌握的密鑰解密 能夠確定信息的發(fā)送者是掌握了另一個(gè)密鑰的那個(gè)人 在許多情況下 密碼技術(shù)常需用到時(shí)間標(biāo)記 同步時(shí)鐘 雙方或三方 握手 協(xié)議以及數(shù)字簽名和公證機(jī)構(gòu) 此外 還可利用實(shí)體的特征或所有權(quán)進(jìn)行鑒別 如指紋識(shí)別和身份卡等 16 6 通信業(yè)務(wù)流填充流量填充機(jī)制提供針對(duì)流量分析的保護(hù)7 路由控制路由控制機(jī)制可以指定通過(guò)網(wǎng)絡(luò)發(fā)送數(shù)據(jù)的路徑 這樣 可以選擇那些可信的網(wǎng)絡(luò)結(jié)點(diǎn) 從而確保數(shù)據(jù)不會(huì)暴露在安全攻擊之下 而且 如果數(shù)據(jù)進(jìn)入某個(gè)沒(méi)有正確安全標(biāo)志的專用網(wǎng)絡(luò)時(shí) 網(wǎng)絡(luò)管理員可以選擇拒絕該數(shù)據(jù)包 17 8 公證機(jī)制網(wǎng)絡(luò)的開放性使網(wǎng)絡(luò)魚龍混雜 人們難辨真?zhèn)?同時(shí) 網(wǎng)絡(luò)的有些故障和缺陷也可能導(dǎo)致信息的丟失或延誤 為了免得事后說(shuō)不清 可以找一個(gè)大家都信任的公證機(jī)構(gòu) 各方交換的信息都通過(guò)公證機(jī)構(gòu)來(lái)中轉(zhuǎn) 公證機(jī)構(gòu)從中轉(zhuǎn)的信息里提取必要的證據(jù) 日后一旦發(fā)生糾紛 就可以據(jù)此作出仲裁 18 安全服務(wù)和安全機(jī)制的關(guān)系 19 4 3網(wǎng)絡(luò)攻擊原理與步驟 1 網(wǎng)絡(luò)攻擊的概念利用目標(biāo)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全缺陷 為竊取 修改 偽造或破壞信息 以及降低 破壞網(wǎng)絡(luò)使用效能而采取的各種措施和行動(dòng) 通俗的說(shuō) 網(wǎng)絡(luò)攻擊就是在沒(méi)有授權(quán)的情況下而使用了網(wǎng)絡(luò)資源目的 降低 破壞網(wǎng)絡(luò)使用效能破壞目標(biāo)的秘密 20 2 安全漏洞 在計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域 漏洞 是因設(shè)計(jì)不周而導(dǎo)致的硬件 軟件或策略存在的缺陷 正是由于這種缺陷的存在而導(dǎo)致了許多非法用戶未經(jīng)授權(quán)而獲得訪問(wèn)系統(tǒng)的權(quán)限或提高其訪問(wèn)權(quán)限 事實(shí)上 目前出現(xiàn)的所有軟 硬件都存在不同程度的漏洞 計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域要達(dá)到絕對(duì)安全是不可能的 但是 可以努力使其安全漏洞減少到最小的程度 使由漏洞帶來(lái)的損失盡量減少 21 1 與軟件 硬件供應(yīng)商相關(guān)的安全漏洞 這類主要包括軟件的各種Bugs 操作系統(tǒng)的補(bǔ)丁 脆弱的服務(wù)程序 網(wǎng)絡(luò)系統(tǒng)及程序的缺省配置中可能設(shè)置的不安全選項(xiàng) 硬件中固有的脆弱性代碼及硬件設(shè)計(jì)與實(shí)現(xiàn)時(shí)的缺陷等也是系統(tǒng)產(chǎn)生安全漏洞的重要原因 這部分的漏洞原因有兩點(diǎn) 第一 在程序編寫過(guò)程中 編程人員在授意下或?yàn)榱四撤N目的 有意地在程序的隱蔽處留下各種各樣的后門 供日后使用 第二 由于編程人員水平 經(jīng)驗(yàn)和當(dāng)時(shí)的安全技術(shù)所限 在程序中總會(huì)或多或少的有些不足之處 這些地方有的是影響程序的運(yùn)行效率 有的會(huì)導(dǎo)致非授權(quán)用戶的權(quán)限提升 安全漏洞的成因 22 2 與系統(tǒng)管理者有關(guān)的安全漏洞 實(shí)際上 UNIX類操作系統(tǒng)和微軟的NT類操作系統(tǒng)內(nèi)部都采取了較強(qiáng)的安全機(jī)制 并且為系統(tǒng)管理員提供了許多安全選項(xiàng) 用于配置符合用戶單位安全需要的系統(tǒng) 但是 如果系統(tǒng)管理員不能正確理解各安全選項(xiàng)的作用 并適當(dāng)?shù)剡x用它們 那么操作系統(tǒng)許多內(nèi)在的安全機(jī)制就不能發(fā)揮作用 甚至形成系統(tǒng)安全的 短板 23 3 與用戶活動(dòng)有關(guān)的安全漏洞 共享目標(biāo)的授權(quán) 賬戶口令的不經(jīng)意泄漏 病毒檢測(cè)不完備 自接Modem繞過(guò)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全防范邊界 一機(jī)同時(shí)跨接或分時(shí)跨接內(nèi)部網(wǎng)與Internet 從網(wǎng)上下載含病毒或木馬軟件的文檔資料 私自安裝有缺陷的應(yīng)用軟件 利用軟盤或U盤和其他計(jì)算機(jī)隨意交換文件 私自提高訪問(wèn)權(quán)限等 此外 還有內(nèi)部不滿用戶以及惡意的離職用戶的實(shí)施的攻擊更是對(duì)系統(tǒng)安全的嚴(yán)重威脅 24 安全漏洞的類型 1 允許拒絕服務(wù)的漏洞 拒絕服務(wù) 是一種常見的惡作劇式的攻擊方式 它使服務(wù)器忙于處理一些亂七八糟的任務(wù) 消耗大量的處理時(shí)間 以至于服務(wù)器無(wú)暇顧及用戶的請(qǐng)求 允許拒絕服務(wù)的漏洞則可能導(dǎo)致拒絕服務(wù)發(fā)生 2 允許有限權(quán)限的本地用戶未經(jīng)授權(quán)提高其權(quán)限的漏洞3 允許外來(lái)團(tuán)體 在遠(yuǎn)程主機(jī)上 未經(jīng)授權(quán)訪問(wèn)網(wǎng)絡(luò)的漏洞 25 3 網(wǎng)絡(luò)攻擊基本過(guò)程 網(wǎng)絡(luò)攻擊是網(wǎng)絡(luò)信息戰(zhàn)中的主動(dòng)行為 目標(biāo)是為了獲取網(wǎng)絡(luò)空間的控制權(quán) 網(wǎng)絡(luò)攻擊是利用目前網(wǎng)絡(luò)通信協(xié)議自身存在的或因配置不當(dāng)而產(chǎn)生的安全漏洞 用戶使用的操作系統(tǒng)內(nèi)在缺陷或者用戶使用的程序語(yǔ)言本身所具有的安全隱患等 使用網(wǎng)絡(luò)命令 或者從Internet上下載的專用攻擊工具 或者攻擊者自己編寫的攻擊程序 攻擊目標(biāo)主機(jī)使其無(wú)法正常工作 或者通過(guò)非法進(jìn)入本地或者遠(yuǎn)程用戶主機(jī)系統(tǒng) 非法獲得 修改 刪除用戶系統(tǒng)的信息以及在用戶系統(tǒng)上添加各種惡意信息等一系列過(guò)程的總稱 26 3 網(wǎng)絡(luò)攻擊基本過(guò)程 27 1 目標(biāo)探測(cè)1 通過(guò)網(wǎng)絡(luò) 查InterNIC 使用搜索引擎2 通過(guò)電信3 掃描目標(biāo)主機(jī) Nmap X Scan Satan2 定位3 獲取一般用戶訪問(wèn)權(quán)4 提升訪問(wèn)權(quán)5 獲取目標(biāo)主機(jī)上的信息6 擴(kuò)展攻擊效果與消除入侵痕跡 28 1 有阻塞類攻擊2 控制類攻擊3 探測(cè)類攻擊4 欺騙類攻擊5 漏洞類攻擊6 破壞類攻擊任何一次網(wǎng)絡(luò)攻擊 都可能不止采用一種攻擊手段 很可能是多種攻擊手段的集合 常見的網(wǎng)絡(luò)攻擊手段 29 1 阻塞類攻擊 阻塞類攻擊企圖強(qiáng)制占有信道資源 網(wǎng)絡(luò)連接資源 存儲(chǔ)空間資源 使服務(wù)器崩潰或資源耗盡無(wú)法對(duì)外繼續(xù)提供服務(wù)拒絕服務(wù)攻擊是典型的阻塞類攻擊拒絕服務(wù)攻擊是由人或非人為發(fā)起的行動(dòng) 使你的主機(jī)硬件 軟件或者兩者同時(shí)失去工作能力 使你的系統(tǒng)不可訪問(wèn)并因此拒絕合法的用戶服務(wù)要求 這種攻擊往往是針對(duì)TCP IP協(xié)議中的某個(gè)弱點(diǎn) 或者系統(tǒng)存在的某些漏洞 對(duì)目標(biāo)系統(tǒng)發(fā)起的大規(guī)模進(jìn)攻致使攻擊目標(biāo)無(wú)法向合法的用戶提供正常的服務(wù) 拒絕服務(wù)攻擊簡(jiǎn)單有效 能夠產(chǎn)生迅速的效果 目的 攻擊者并不單純?yōu)榱诉M(jìn)行拒絕服務(wù)攻擊而攻擊 往往是為了完成其他的攻擊面必須做的 例如 在目標(biāo)主機(jī)上放了木馬 需要讓目標(biāo)主機(jī)重啟 為了完成IP欺騙 而使被冒充的主機(jī)癱瘓 在正式攻擊之前 使目標(biāo)主機(jī)的日志系統(tǒng)不能正常工作 30 常用的拒絕服務(wù)攻擊 ping拒絕服務(wù)攻擊 pingofdeath ping 攻擊是向目標(biāo)端口發(fā)送大量的超大尺寸的ICMP包來(lái)實(shí)現(xiàn)的 由于在早期的階段 路由器對(duì)所傳輸?shù)奈募畲蟪叽缍加邢拗?許多操作系統(tǒng)對(duì)TCP IP的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB 并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后 要根據(jù)該標(biāo)題頭里包含的信息來(lái)為有效載荷生成緩沖區(qū) 一旦產(chǎn)生畸形即聲稱自己的尺寸超過(guò)ICMP上限的包 也就是加載的尺寸超過(guò)64KB上限時(shí) 就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤 導(dǎo)致TCP IP堆棧崩潰 從而導(dǎo)致系統(tǒng)崩潰 這類攻擊只要簡(jiǎn)單地使用命令 ping l65510目標(biāo)主機(jī)IP 但是這種攻擊方式主要是針對(duì)Windows9X操作系統(tǒng)的 而Unix Linux Solaris MacOS都具有抵抗一般pingofdeath攻擊的能力 31 SYNflood攻擊正常的一個(gè)TCP連接需要連接雙方進(jìn)行三個(gè)動(dòng)作 即 三次握手 其過(guò)程如下 請(qǐng)求連接的客戶機(jī)首先將一個(gè)帶SYN標(biāo)志位的包發(fā)給服務(wù)器 服務(wù)器收到這個(gè)包后產(chǎn)生一個(gè)自己的SYN標(biāo)志 并把收到到包的SYN 1作為ACK標(biāo)志返回給客戶機(jī) 客戶機(jī)收到該包后 再發(fā)一個(gè)ACK SYN 1的包給服務(wù)器 經(jīng)過(guò)這三次握手 連接才正式建立 32 在服務(wù)器向客戶機(jī)發(fā)返回包時(shí) 它會(huì)等待客戶機(jī)的ACK確認(rèn)包 這時(shí)這個(gè)連接被加到未完成連接隊(duì)列中 直到收到ACK應(yīng)答后或超時(shí)才從隊(duì)列中刪除 這個(gè)隊(duì)列是有限的 一些TCP IP堆棧的實(shí)現(xiàn)只能等待從有限數(shù)量的計(jì)算機(jī)發(fā)來(lái)的ACK消息 因?yàn)樗麄冎挥邢薅葦?shù)量的內(nèi)存緩沖區(qū)用于創(chuàng)建連接 如果這些緩沖區(qū)內(nèi)充滿了虛假連接的初始信息 該服務(wù)器就會(huì)對(duì)接下來(lái)的連接停止響應(yīng) 直到緩沖區(qū)里的連接企圖超時(shí) 如果客戶機(jī)偽裝大量SYN包進(jìn)行連接請(qǐng)求并且不進(jìn)行第三次握手 則服務(wù)器的未完成連接隊(duì)列就會(huì)被塞滿 正常的連接請(qǐng)求就會(huì)被拒絕 這樣就造成了拒絕服務(wù) 在一些創(chuàng)建連接不受限制的實(shí)現(xiàn)里 SYNflood具有類似的影響 不過(guò)未來(lái)的SYNflood令人擔(dān)憂 這是由于發(fā)出SYNflood的攻擊者并不尋求響應(yīng) 所以無(wú)法從一個(gè)簡(jiǎn)單高容量的傳輸中鑒別出來(lái) 33 Land攻擊Land攻擊由著名黑客組織RootShell發(fā)現(xiàn) 原理比較簡(jiǎn)單 向目標(biāo)機(jī)發(fā)送源地址與目的地址一樣的數(shù)據(jù)包 造成目標(biāo)機(jī)解析Land包占用太多資源 從而使網(wǎng)絡(luò)功能完全癱瘓 在Land攻擊中 一個(gè)特別打造的SYN包中的原地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址 這時(shí)將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN ACK消息 結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接 每一個(gè)這樣的連接都將保留直到超時(shí)掉 對(duì)Land攻擊反應(yīng)不同 許多UNIX實(shí)現(xiàn)將崩潰 而WindowsNT會(huì)變的極其緩慢 大約持續(xù)五分鐘 34 Smurf攻擊 原理 向廣播地址發(fā)送偽造地址的ICMPEcho數(shù)據(jù)包 攻擊者向一個(gè)廣播地址發(fā)送ICMPEcho請(qǐng)求 并且用受害者的IP地址作為源地址 于是 廣播地址網(wǎng)絡(luò)上的每臺(tái)機(jī)器響應(yīng)這些Echo請(qǐng)求 同時(shí)向受害者主機(jī)發(fā)送ICMPEcho Reply應(yīng)答 于是 受害者主機(jī)會(huì)被這些大量的應(yīng)答包淹沒(méi)受影響的系統(tǒng) 大多數(shù)操作系統(tǒng)和路由器技術(shù)細(xì)節(jié)兩個(gè)主要的特點(diǎn) 使用偽造的數(shù)據(jù)包 使用廣播地址 不僅被偽造地址的機(jī)器受害 目標(biāo)網(wǎng)絡(luò)本身也是受害者 它們要發(fā)送大量的應(yīng)答數(shù)據(jù)包 35 Smurf攻擊示意圖 36 電子郵件炸彈電子郵件炸彈是最古老的匿名攻擊之一 傳統(tǒng)的郵件炸彈大多只是簡(jiǎn)單的向郵箱內(nèi)扔去大量的垃圾郵件 從而充滿郵箱 大量的占用了系統(tǒng)的可用空間和資源 使機(jī)器暫時(shí)無(wú)法正常工作 過(guò)多的郵件垃圾往往會(huì)加劇網(wǎng)絡(luò)的負(fù)載力和消耗大量的空間資源來(lái)儲(chǔ)存它們 過(guò)多的垃圾信件還將導(dǎo)致系統(tǒng)的log文件變得很大 甚至有可能溢出文件系統(tǒng) 這樣會(huì)給Unix Windows等系統(tǒng)帶來(lái)危險(xiǎn) 除了系統(tǒng)有崩潰的可能之外 大量的垃圾信件還會(huì)占用大量的CPU時(shí)間和網(wǎng)絡(luò)帶寬 造成正常用戶的訪問(wèn)速度成了問(wèn)題 例如 同時(shí)間內(nèi)有近百人同時(shí)向某國(guó)的大型軍事站點(diǎn)發(fā)去大量的垃圾信件的話 那么這樣很有可能會(huì)使這個(gè)站的郵件服務(wù)器崩潰 甚至造成整個(gè)網(wǎng)絡(luò)中斷 37 2 控制類攻擊 1 口令攻擊也不是一種具體的攻擊方式 而是一類攻擊的總稱 這類攻擊的攻擊目標(biāo)都是口令 具體方式有以下幾種 A 手工猜測(cè) 通過(guò)正常的網(wǎng)絡(luò)登錄 如Telnet等 來(lái)嘗試口令 B 暴力攻擊 BruteForceattack 嘗試所有口令字符串的組合方式 例如數(shù)字 字母等 C 字典攻擊 Dictionaryattack 根據(jù)字典文件中提供的可能的字符串值進(jìn)行嘗試 D 網(wǎng)絡(luò)嗅探 sniffer 通過(guò)嗅探器在局域網(wǎng)內(nèi)嗅探明文傳輸?shù)目诹钭址?E 鍵盤記錄 在目標(biāo)系統(tǒng)中安裝鍵盤記錄后門 記錄操作員輸入的口令字符串 38 2 特洛伊木馬是在執(zhí)行看似正常的程序時(shí) 還同時(shí)運(yùn)行了未被察覺(jué)的有破壞性的程序 木馬通常能夠?qū)⒅匾男畔魉徒o攻擊者 而且攻擊者可以把任意數(shù)量的程序植入木馬木馬是設(shè)計(jì)藏在電腦中進(jìn)行特定工作或依照黑客的操作來(lái)進(jìn)行某些工作的程序 它是一個(gè)C S結(jié)構(gòu)的程序 運(yùn)行在黑客的電腦上的是client端 運(yùn)行在目標(biāo)電腦上的是server端 當(dāng)目標(biāo)電腦連上互聯(lián)網(wǎng)后 Client端會(huì)發(fā)給Server端信息 然后聽候黑客指令 執(zhí)行黑客指令 39 機(jī)器中木馬的原因大概有以下幾種 A 黑客入侵后植入 B 利用系統(tǒng)或軟件 IE OutlookExpress 的漏洞植入 c 寄電子郵件后植入 寄一封夾帶木馬程序的信件 只要收件者沒(méi)有警覺(jué)心 不注意網(wǎng)絡(luò)安全而運(yùn)行它就可可能成功植入 或通過(guò)即時(shí)聊天軟件 如QQ 發(fā)送含木馬的鏈接或者文件 接受者運(yùn)行后木馬就被成功植入 不過(guò)現(xiàn)在騰訊也越來(lái)越重視安全了 最新版2006版就不允許發(fā)送可執(zhí)行文件 并且登錄時(shí)使用了鍵盤加密保護(hù)技術(shù) d 在自己的網(wǎng)站上放一些偽裝后的木馬程序 宣稱它是好玩的或者有用的工具等名目 讓不知情的人下載后運(yùn)行后便可成功植入木馬程序 這點(diǎn)有點(diǎn)象姜太公釣魚 愿者上鉤 40 這必須看黑客選用的木馬程序而定 一般我們說(shuō)的木馬程序多半是指功能強(qiáng)大且完整的工具 如冰河 SubSever等 他們通?？梢赃M(jìn)行如下黑客任務(wù) A 復(fù)制各類文件或電子郵件 可能包含商業(yè)秘密 個(gè)人隱私 刪除各類文件 查看被黑者電腦中的文件 就如同使用資源管理器查看一樣 B 轉(zhuǎn)向入侵 redirectionIntrusion 利用被黑者的電腦來(lái)進(jìn)入其他電腦或服務(wù)器進(jìn)行各種黑客行為 也就是找個(gè)替罪羊 C 監(jiān)控被黑者的電腦屏幕畫面 鍵盤操作來(lái)獲取各類密碼 例如進(jìn)入各種會(huì)員網(wǎng)頁(yè)的密碼 撥號(hào)上網(wǎng)的密碼 網(wǎng)絡(luò)銀行的密碼 郵件密碼等 D 遠(yuǎn)程遙控 操作對(duì)方的windows系統(tǒng) 程序 鍵盤 預(yù)防方法 及時(shí)給系統(tǒng)打布丁 不隨意打開來(lái)歷不明的郵件 不隨意下載和運(yùn)行不明軟件 打開殺毒軟件的即時(shí)監(jiān)控功能 由以上木馬植入方式可以看出 黑客的成功其實(shí)多半時(shí)利用使用者的疏忽與不重視網(wǎng)絡(luò)安全而造成的 并非無(wú)法阻擋 只要上網(wǎng)時(shí)多小心 黑客是很難得逞的 木馬被植入后黑客可以進(jìn)行那些動(dòng)作 41 3 探測(cè)攻擊 收集目標(biāo)系統(tǒng)的各種與網(wǎng)絡(luò)安全有關(guān)的信息 為下一步入侵提供幫助 包括 掃描技術(shù)體系結(jié)構(gòu)刺探系統(tǒng)信息服務(wù)收集等 最常用的工具 Ping和Traceroute 端口掃描的技術(shù)已經(jīng)非常成熟 目前有大量的商業(yè) 非商業(yè)的掃描器 42 域名經(jīng)過(guò)網(wǎng)絡(luò)可以到達(dá)的IP地址每個(gè)主機(jī)上運(yùn)行的TCP和UDP服務(wù)系統(tǒng)體系結(jié)構(gòu)訪問(wèn)控制機(jī)制系統(tǒng)信息 用戶名和用戶組名 系統(tǒng)標(biāo)識(shí) 路由表 SNMP信息等 其他信息 如模擬 數(shù)字電話號(hào)碼 認(rèn)證機(jī)制等 攻擊者需要的信息 43 4 欺騙類攻擊 IP欺騙 冒充合法網(wǎng)絡(luò)主機(jī)騙取敏感信息假消息攻擊 設(shè)置假消息Arp緩存虛構(gòu)Dns高速緩存污染偽造電子郵件 IP欺騙的動(dòng)機(jī)隱藏自己的IP地址 防止被跟蹤以IP地址作為授權(quán)依據(jù)穿越防火墻IP欺騙的形式單向IP欺騙 不考慮回傳的數(shù)據(jù)包雙向IP欺騙 要求看到回傳的數(shù)據(jù)包更高級(jí)的欺騙 TCP會(huì)話劫持IP欺騙成功的要訣IP數(shù)據(jù)包路由原則 根據(jù)目標(biāo)地址進(jìn)行路由 44 IP攻擊的整個(gè)步驟 1 首先使被信任主機(jī)的網(wǎng)絡(luò)暫時(shí)癱瘓 以免對(duì)攻擊造成干擾 2 然后連接到目標(biāo)機(jī)的某個(gè)端口來(lái)猜測(cè)ISN基值和增加規(guī)律 3 接下來(lái)把源址址偽裝成被信任主機(jī) 發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段請(qǐng)求連接 4 然后等待目標(biāo)機(jī)發(fā)送SYN ACK包給已經(jīng)癱瘓的主機(jī) 5 最后再次偽裝成被信任主機(jī)向目標(biāo)機(jī)發(fā)送的ACK 此時(shí)發(fā)送的數(shù)據(jù)段帶有預(yù)測(cè)的目標(biāo)機(jī)的ISN 1 6 連接建立 發(fā)送命令請(qǐng)求 45 5 漏洞類攻擊 1 空白或默認(rèn)口令把管理性口令留為空白或使用產(chǎn)品生產(chǎn)商所設(shè)置的默認(rèn)口令 雖然某些運(yùn)行在Linux上的服務(wù)包含默認(rèn)管理口令 這種行為在硬件 如路由器和BIOS 中最常見 在路由器 防火墻 VPN和網(wǎng)絡(luò)連接的貯存設(shè)備 NAS 中最常見 在許多過(guò)時(shí)了的操作系統(tǒng) 特別是附帶服務(wù)的OS 如UNIX和Windows 管理員有時(shí)會(huì)在匆忙間創(chuàng)建一個(gè)有特權(quán)的用戶而把口令留為空白 這就會(huì)成為發(fā)現(xiàn)了這個(gè)用戶帳戶的入侵者的完美入口 46 2 竊聽通過(guò)竊聽網(wǎng)絡(luò)中的兩個(gè)活躍節(jié)點(diǎn)的連接來(lái)收集它們之間傳遞的信息 這類攻擊多數(shù)在使用純文本傳輸協(xié)議 如Telnet FTP 和HTTP傳輸 時(shí)發(fā)生 遠(yuǎn)程怪客必須具備到某個(gè)LAN上的一個(gè)已被弱化的系統(tǒng)的進(jìn)入權(quán) 通常 攻擊者已經(jīng)使用了某種積極攻擊方式 如IP假冒或中間人攻擊 來(lái)弱化這個(gè)LAN上的某個(gè)系統(tǒng) 47 3 服務(wù)弱點(diǎn)攻擊者尋找缺陷或漏洞 通過(guò)這個(gè)弱點(diǎn) 攻擊者可以危及整個(gè)系統(tǒng)以及系統(tǒng)上的任何數(shù)據(jù) 甚至還能夠危及網(wǎng)絡(luò)上的其它系統(tǒng) 在開發(fā)和測(cè)試中 某些服務(wù)中的弱點(diǎn)可能沒(méi)有被注意到 這些弱點(diǎn) 如 緩沖區(qū)溢出 能夠給攻擊者完全的管理控制 管理員應(yīng)該確保服務(wù)不是以根用戶身份運(yùn)行 并時(shí)刻關(guān)注來(lái)自開發(fā)商或安全組織 如CERT和CVE 的補(bǔ)丁和勘誤更新 48 4 應(yīng)用程序弱點(diǎn)攻擊者在桌面系統(tǒng)和工作站應(yīng)用程序 如電子郵件客戶程序 中尋找缺陷并執(zhí)行任意編碼 插入用于未來(lái)攻擊行為的特洛伊木馬 或者崩潰系統(tǒng) 如果被危及的工作站擁有對(duì)整個(gè)網(wǎng)絡(luò)的管理特權(quán) 還會(huì)發(fā)生進(jìn)一步的漏洞利用 工作站和桌面系統(tǒng)更容易被蓄意利用 因?yàn)槭褂霉ぷ髡竞妥烂嫦到y(tǒng)的用戶沒(méi)有防止或檢測(cè)攻擊活動(dòng)的專業(yè)知識(shí)或經(jīng)驗(yàn) 把安裝未經(jīng)授權(quán)的軟件或打開不請(qǐng)自來(lái)的郵件的危險(xiǎn)性通知給用戶是極端重要的 49 6 破壞類攻擊 對(duì)目標(biāo)機(jī)器的各種數(shù)據(jù)與軟件實(shí)施破壞的一類攻擊 包括 計(jì)算機(jī)病毒 邏輯炸彈 信息刪除等 邏輯炸彈與病毒的主要區(qū)別 沒(méi)有感染能力 不會(huì)自動(dòng)傳播 軟件編制者故意安放的目標(biāo)代碼中 50 1 安全目標(biāo)可用性 機(jī)密性 完整性 真實(shí)性 不可否認(rèn)性2 IPv4版TCP TP的缺陷 1 不提供加密傳輸 2 不提供對(duì)等實(shí)體鑒別 3 不支持流填充機(jī)制 4 協(xié)議本身缺陷 如服務(wù)端口半連接 5 各子網(wǎng)平等 難以實(shí)現(xiàn)有效的安全管理 6 應(yīng)用層實(shí)用軟件存在的安全漏洞 4 4IPv4的安全問(wèn)題 51 3 5網(wǎng)絡(luò)服務(wù)的安全問(wèn)題 Web基本結(jié)構(gòu) Web是一個(gè)運(yùn)行于Internet和TCP IPintranet之上的基本的client server應(yīng)用 C S B S1 服務(wù)器 規(guī)定了服務(wù)器的傳輸設(shè)定 信息傳輸格式及服務(wù)器的基本開放結(jié)構(gòu)2 客戶機(jī) 統(tǒng)稱Web瀏覽器 用于向服務(wù)器發(fā)送資源索取請(qǐng)求 并將接收到的信息進(jìn)行解碼和顯示3 通信協(xié)議 Web瀏覽器與服務(wù)器之間遵照HTTP協(xié)議進(jìn)行通信 52 Web服務(wù)的安全問(wèn)題 HTTP協(xié)議 是分布式Web應(yīng)用的核心技術(shù)協(xié)議 它定義了Web瀏覽器向Web服務(wù)器發(fā)送索取Web頁(yè)面請(qǐng)求的格式 以及Web頁(yè)面在Internet上的傳輸方式 HTTP工作過(guò)程 1 Web服務(wù)器在80端口等候Web瀏覽器的請(qǐng)求 2 Web瀏覽器通過(guò)三次握手與服務(wù)器建立起TCP IP連接 然后Web瀏覽器向Web服務(wù)器發(fā)送索取頁(yè)面的請(qǐng)求 Get dailynews html 3 服務(wù)器以相應(yīng)的文件為內(nèi)容響應(yīng)Web瀏覽器的請(qǐng)求 53 HTTP協(xié)議 B S之間的通訊協(xié)議 HTTP HTTP位于TCP之上 默認(rèn)的端口為80 客戶發(fā)出對(duì)頁(yè)面的請(qǐng)求 服務(wù)器送回這些頁(yè)面 動(dòng)態(tài)頁(yè)面和靜態(tài)頁(yè)面 Web頁(yè)面的表述和交互能力 各種標(biāo)記 超鏈接 交互功能 表單 腳本 交互能力的擴(kuò)展 JavaApplet ActiveX 54 WEB服務(wù)1 漏洞操作系統(tǒng)明文或弱口令web服務(wù)器 IIS等 漏洞CGI安全漏洞 55 Web是應(yīng)用層上提供的服務(wù) 直接面向Internet用戶 欺騙的根源在于由于Internet的開放性 任何人都可以建立自己的Web站點(diǎn)Web站點(diǎn)名字 DNS域名 可以自由注冊(cè) 按先后順序并不是每個(gè)用戶都清楚Web的運(yùn)行規(guī)則Web欺騙的動(dòng)機(jī)商業(yè)利益 商業(yè)競(jìng)爭(zhēng)政治目的Web欺騙的形式使用相似的域名改寫URL劫持Web會(huì)話 2 Web欺騙 56 注冊(cè)一個(gè)與目標(biāo)公司或組織相似的域名 然后建立一個(gè)欺騙網(wǎng)站 騙取該公司的用戶的信任 以便得到這些用戶的信息例如 針對(duì)ABC公司 用來(lái)混淆如果客戶提供了敏感信息 那么這種欺騙可能會(huì)造成進(jìn)一步的危害 例如 用戶在假冒