黑客攻擊與入侵檢測講義

第七章黑客攻擊與入侵檢測1第一頁，共四十三頁。本章導言

知識點：●黑客定義●黑客攻擊●入侵檢測

難點：●黑客攻擊原理與防范●入侵追蹤技術◆要求熟練掌握以下內容：●熟知黑客攻擊手段●熟知入侵檢測技術●熟練掌握黑客攻擊防范措施了解以下內容：●了解入侵檢測的分類與工具使用2第二頁，共四十三頁。7.1黑客攻擊-1.什么是黑客黑客的發(fā)展黑客的分類網絡黑客計算機朋客網絡駭客3第三頁，共四十三頁。-7.1黑客攻擊-2.黑客常用的攻擊方法和防范措施黑客攻擊黑客攻擊的原因黑客攻擊的一般過程黑客攻擊防范措施協議欺騙類的攻擊與防范拒絕服務類的攻擊與防范網絡嗅探攻擊與防范緩沖區(qū)溢出攻擊與防范SQL注入式攻擊與防范木馬攻擊與檢查防范4第四頁，共四十三頁。黑客攻擊的原因由于少數高水平的黑客可以隨意入侵他人電腦，唄在被攻擊者毫不知情的情況下竊取電腦中的信息后悄悄退出，于是，很多人對此產生較強的好奇心和學習黑客技術的欲望，并在了解了黑客攻擊技術后不計后果地進行嘗試，給網絡造成極大的安全威脅。黑客常見攻擊的理由如下：想在別人面前炫耀自己的技術，如進入別人電腦修改一下文件和系統(tǒng)，算是打個招呼，也會讓對方對自己更加崇拜；看不慣他人的某些做法，又不方便當面指責，于是攻擊他的電腦教訓一下；好玩，惡作劇，這是許多人或者學生入侵或破壞的主要原因，除了有練功的效果外還有探險的感覺；竊取數據，偷取他人的QQ、網游密碼等，然后從事商業(yè)活動；對某個單位或者組織表示抗議。5第五頁，共四十三頁。黑客攻擊的一般過程第一步，收集被攻擊方的有關信息。第二步，建立模擬環(huán)境。第三步，利用適當的工具進行掃描。第四步，實施攻擊。第五步，清理痕跡。為了達到長期控制目標主機的目的，黑客災區(qū)的管理員權限之后會立刻在其中建立后門，這樣就可以隨時登錄該主機。為了避免被目標主機管理員發(fā)現，在完成入侵之后需要清楚其中的系統(tǒng)日志文件、應用程序日志文件和防火墻日志文件等，清理完畢即可從目標主機中退出。達到全身而退的效果是經驗老到的黑客的基本技能。6第六頁，共四十三頁。協議欺騙類的攻擊與防范-1.源IP地址欺騙攻擊與防范-許多應用程序認為如果數據包能夠使其自身沿著路由到達目的地，而且應答包也可回到源地址，那么源IP地址一定是有效的，而這恰恰使得源IP地址欺騙成為可能的前提。假定同一網段內兩臺主機A和B，另一網段內有主機X。X為了獲得與A、B相同的特權，所做的欺騙攻擊如下：首先，X冒充A向主機B發(fā)送一個帶有隨機序列號的SYS包。主機B相應，回送一個應答包給A，該應答號為原序列號加1。可是，此時的主機A已經被X用拒絕服務攻擊給“淹沒”了，導致主機A的服務失效。結果，主機A將B發(fā)來的包丟棄。為了完成傳輸層三次握手的協議，X還需向B回送一個應答包，其應答號為B向A發(fā)送的數據包的序列號加1。此時，主機X并不能檢測到主機B的數據包，因為二者不在同一網段內，只有利用TCP順序號估算法來預測應答的順序號并將其發(fā)送給目標主機B。如果猜測正確，B則認為收到的ACK是來自內部主機A。此時，X即獲得了主機A在主機B上享有的特權，并開始對這些服務實施攻擊。7第七頁，共四十三頁。-1.源IP地址欺騙攻擊與防范為防止源端IP地址欺騙，可以采取以下措施來加以防范，盡可能地保護系統(tǒng)免受這類攻擊。第一，放棄基于地址的信任策略。抵御這種攻擊的一種簡易方法就是拋棄以地址為基礎的驗證。不允許remote類別的遠程調用命令的使用，這將迫使所有用戶使用其它遠程通信手段。第二，數據包加密。在數據包發(fā)送到網絡之前對數據包加密，能在很大程度上保證數據的完整性和真實性。第三，數據包過濾。利用網絡設備的配置來進行數據包過濾，比如配置路由器，使其能夠拒絕來自網絡外部但具有網絡內部IP地址的數據包的連接請求。8第八頁，共四十三頁。-協議欺騙類的攻擊與防范2.源路由器欺騙攻擊與防范-一般情況下，信息報從起點到終點走過的路徑是由位于此兩點間的路由器決定的，數據包本身只是知道從哪里出發(fā)，到達目的地是哪里，不知道也不關心沿途經過的具體路徑。源路由可以使信息包的發(fā)送者將此信息包經過的路徑寫在數據包里，是數據包沿著一個對方不可預料的途徑到達目的主機。仍以上面源IP地址欺騙例子說明如下：9第九頁，共四十三頁。-2.源路由器欺騙攻擊與防范-主機A享有主機B的某些特權，主機X想冒充主機A從主機B獲得某些服務，主機B的IP地址為xxx.xxx.xxx.xxx。首先，攻擊者修改距離X最近的路由器，使得到達此路由器且包含目的地址xxx.xxx.xxx.xxx的數據包以主機X的所在的網絡為目的地；然后，攻擊者X利用IP欺騙向主機B發(fā)送源路由（制定最近的路由器）數據包。當B回送數據包時，就傳送到被更改過的路由器，這就使得入侵者可以假冒一個主機的名義通過一個特殊的路徑來獲得某些被保護的服務和數據。10第十頁，共四十三頁。-2.源路由器欺騙攻擊與防范為防范路由器欺騙攻擊，一般采用的措施如下。第一，配置好網絡互聯設備——路由器。使得它能拋棄那些來自外部網絡卻冒充內部網絡來的報文，這是對付這種攻擊的最好的辦法。第二，在路由器上關閉源路由使用。源路由默認是被開啟的，可以在路由器上用全局配置命令noipsource-route來關閉。11第十一頁，共四十三頁。拒絕服務類的攻擊與防范1拒絕服務攻擊，顧名思義，就是攻擊者加載過多的服務將被攻擊者資源全部耗盡，使其沒有多余的資源來供其他用戶使用，從而實現不了服務。SYNFlood攻擊是典型的拒絕服務攻擊。它常常是源IP地址的前奏，也叫做半開式連接攻擊。正常情況下，一次標準的TCP連接，會有一個三次握手的情況。然而這個SYNFlood在其實現過程中，只有前兩個步驟，當服務方收到請求方的SYN并回送SYN-ACKnowledegeCharacter確認報文后，請求方由于采用源IP地址欺騙等手段，使得服務方得不到ACK回應，這樣，服務方會在一定時間內處于等待接收請求方ACK報文的狀態(tài)，一臺服務器可用的TCP連接服務時有限的，如果惡意攻擊方快速連續(xù)的發(fā)送此類請求，則服務器的系統(tǒng)可用資源、網絡可用帶寬將急劇下降，導致無法向用戶提供正常的網絡服務。12第十二頁，共四十三頁。拒絕服務類的攻擊與防范2為防范拒絕服務攻擊,可采用如下措施：第一，對于信息淹沒攻擊，采取措施是關掉可能產生無限序列的服務。比如，可以在服務器端拒絕所有的ICMP包，或者在該網段內，對路由器上的ICMP包進行帶寬限制，控制其在一定范圍內。第二，防止SYN數據段攻擊。采取措施是對系統(tǒng)設定相應的內核參數，使得系統(tǒng)強制對超時的SYN請求連接數據包復位，同時通過縮短超時常數和加長等候隊列來使得系統(tǒng)能迅速處理無效的SYN請求數據包。第三，調整該網段的路由器配置。比如限制SYN半開數據包的流量和個數。第四，在路由器前端進行TCP攔截。在路由器的前端對TCP做必要攔截，使得只有完成TCP三次握手的數據包才可以進入網段，可以有效地保護本網段內的服務器不受此類攻擊。13第十三頁，共四十三頁。網絡嗅探攻擊與防范1網絡嗅探對于一般的網絡來說，操作極其簡單但威脅卻是巨大的。很多黑客使用嗅探器進行網絡入侵。網絡嗅探器對信息安全的威脅來自其被動性和非干擾性，使得網絡嗅探具有很強的隱蔽性，往往讓網絡信息泄密而不易被發(fā)現。嗅探器（Sniffer）就像一個安裝在計算機上的竊聽器，可以竊聽計算機在網絡上的產生的信息。嗅探器的工作原理如下。14第十四頁，共四十三頁。網絡嗅探攻擊與防范2以太網的數據傳輸都是基于信道共享的原理，所有同一本地網范圍內的計算機共同接收到相同的數據包，以太網卡構造了硬件過濾，將與自己無關的網絡信息過濾掉，實現了忽略掉與自身MAC地址不符的信息。網絡嗅探就是利用這個特點將過濾器關閉掉，把網卡設置為混雜模式，成為雜錯節(jié)點，嗅探程序就能接收整個以太網上的包括不屬于本機的數據信息。嗅探器工作在網絡的底層，把網絡傳輸的全部數據記錄下來。它可以幫助網絡管理員查找網絡漏洞和監(jiān)測網絡性能，可以分析網絡流量。嗅探器對廣播型網絡可監(jiān)聽能力比較高。15第十五頁，共四十三頁。網絡嗅探攻擊與防范3網絡嗅探器一般具有幾個威脅。首先，它能夠捕獲密碼。這是絕大多數非法使用Sniffer者的原因。其次，它能捕獲專用機密信息。通過攔截數據包，可以方便的記錄敏感信息。第三，可以分析網絡數據，實現更大威脅的網絡攻擊的前奏。這在前面已經提到。16第十六頁，共四十三頁。網絡嗅探攻擊與防范4對于網絡嗅探攻擊，可以采用以下措施來實現防范主動檢測嗅探器網絡通信丟包率很高網絡帶寬分配反常被動隱藏數據網絡分段加密一次性口令技術禁用雜錯節(jié)點ARP或者IP-MAC映射表用靜態(tài)代替動態(tài)17第十七頁，共四十三頁。緩沖區(qū)溢出攻擊與防范1許多程序都是用C語言編寫的，而C語言不做緩沖區(qū)下屆檢查;若用戶輸入數據長度超過應用程序給定的緩沖區(qū)，則會覆蓋其他數據區(qū)，這就是緩沖區(qū)溢出，也叫做堆棧溢出緩沖區(qū)溢出攻擊時一種系統(tǒng)攻擊手段，通過向程序的緩沖區(qū)寫超出其長度的內容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉而執(zhí)行其他指令，以達到攻擊的目的。當然，普通的緩沖區(qū)內容是達不到攻擊的目的的。最常見的手段是通過制造緩沖區(qū)溢出使程序運行一個用戶Shell，再通過Shell執(zhí)行其他命令。如果該程序具有root權限，攻擊者就可以對系統(tǒng)就行任意操作了18第十八頁，共四十三頁。緩沖區(qū)溢出攻擊與防范2要有效防止該種攻擊，應做到以下幾點

程序指針完整性檢查--在程序指針被引用之前，檢測它是否改變。即使一個攻擊者成功改變了程序指針，由于系統(tǒng)實現檢測到了指針改變，因此指針也不會被使用。

保護堆棧--這是一種提供程序指針完整性檢查的編譯器技術。通過檢查函數活動記錄中的返回地址來實現。在堆棧中函數返回地址后面增加了附加的字節(jié)，在函數返回時，首先檢查附加的字節(jié)是否被改動過。如果發(fā)生過緩沖區(qū)溢出的攻擊，那么這種攻擊很容易在函數返回前被檢測到。

數組邊界檢查--所有對數組的讀寫操作都應當被檢查以確保對數組的操作在正確的范圍內。最直接的方法是檢查所有的數組操作，通?？梢圆捎靡恍﹥?yōu)化的技術來減少檢查單次數。19第十九頁，共四十三頁。SQL注入式攻擊與防范SQL注入式攻擊是目前比較流行，也是研究最多的一種黑客攻擊技術。它主要是針對網頁進行的一種攻擊。詳細的描述見本書關于Web的安全一章介紹。20第二十頁，共四十三頁。木馬攻擊與檢查防范1木馬——又稱特洛伊木馬，是一種用于竊取用戶的密碼資料、破壞硬盤內的數據或程序的軟件。其入侵方式與《荷馬史詩》中記載的特洛伊木馬及其類似。黑客的主要攻擊手段之一，就是使用木馬技術滲透到對方的主機系統(tǒng)中，從而實現對遠程目標主機的控制。凡是在表面上偽裝成正常的程序，而實際上卻偷偷把正常的程序換掉，并留下一些特殊的系統(tǒng)后門，以方便以后可以控制主機運行或者執(zhí)行破壞行為的程序，就是一種特洛伊木馬程序，俗稱后門（Backdoor）程序或者木馬（Trojan）程序。21第二十一頁，共四十三頁。木馬攻擊與檢查防范2黑客利用木馬入侵網絡中的電腦，從而達到操作被入侵電腦的目的。功過控制被入侵的電腦，黑客可以任意在其中瀏覽信息，上傳下載文件以及竊取密碼信息等，而且還可以通過該電腦向其他電腦進行攻擊，達到既能攻擊更多主機又能隱藏自身信息的目的，所以木馬已經成為黑客攻擊電腦的首選工具。22第二十二頁，共四十三頁。木馬攻擊與檢查防范3黑客常將已經被木馬入侵的主機成為服務器，而將用于接收或控制木馬運行的電腦稱為客戶端，因此一個完整的木馬軟件一般是由兩部分組成，即入侵軟件和控制軟件，它們的關系如圖7-1所示。23第二十三頁，共四十三頁。木馬攻擊與檢查防范4根據木馬的原理和危害，可知木馬具有偽裝性、隱蔽性和頑固性的特點。偽裝性——由于人們對于病毒以及木馬警覺性的提高，木馬通常需要將自己偽裝成其他程序才能消除用戶的戒心，使用戶不會認為它是來歷不明的程序，達到不知不覺進入主機的目的。隱蔽性——目前不少木馬在傳播時，大多會與一些常見的軟件一起被用戶存儲到電腦中，很難被發(fā)現，當用戶使用該軟件時，木馬就自動運行了。頑固性——某些木馬會在系統(tǒng)文件中留下備份文件，當用戶用殺毒軟件清除木馬時，備份文件很難被清除掉，使這些病毒具有了“死灰復燃”的能力。另外，木馬一般都隨系統(tǒng)啟動而啟動，并且有進程保護設置，所以查殺木馬非常麻煩。24第二十四頁，共四十三頁。木馬攻擊與檢查防范5防治木馬，常用簡單使用措施如下：安裝殺毒軟件和個人防火墻，并及時升級；將個人防火墻設置好安全等級，防治未知程序向外傳送數據；考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具；如果使用IE瀏覽器，應該看裝一些安全助手，防止惡意網站在自己的電腦上安裝不明軟件和瀏覽器插件，以免被木馬乘機侵入。25第二十五頁，共四十三頁。木馬攻擊與檢查防范6進一步幫助判斷是否被植入木馬的方法軟件Hash值校驗——此方法就是檢驗文件是否被篡改。無論何時，當用戶從網站上下載一個軟件的時候，都應該生成相應文件的Hash值，之后與發(fā)布廠商網站上的Hash值進行比較。如，從某網站下載軟件時，軟件連接旁邊看到軟件的MD5值，下載之后，利用MD5工具生成下載文件的MD5散列值，兩個散列值進行比較，若相等說明軟件沒有被篡改，若不等則要懷疑軟件的真實性。進程和端口監(jiān)控——監(jiān)控端口指監(jiān)控系統(tǒng)當前哪些端口是處于監(jiān)聽、連接狀態(tài)，哪些進程在使用哪些端口，即進行進程與端口的關聯。通過監(jiān)視計算機上打開的非常用端口，能夠檢測出等待建立連接的木馬。常用的netstat–na命令就可以實現這一功能。26第二十六頁，共四十三頁。7.2入侵檢測1.入侵檢測的定義2.入侵響應3.入侵追蹤4.入侵檢測工具介紹27第二十七頁，共四十三頁。（1）入侵檢測的定義入侵檢測（IntrusionDetection）——就是對入侵行為的發(fā)覺。它通過對計算機網絡或計算機系統(tǒng)中若干關鍵點收集信息并對其進行分析，從中發(fā)現網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監(jiān)測。這些都通過它執(zhí)行以下任務來實現：監(jiān)視、分析用戶及系統(tǒng)活動；

系統(tǒng)構造和弱點的審計；

識別反映已知進攻的活動模式并向相關人士報警；

異常行為模式的統(tǒng)計分析；

評估重要系統(tǒng)和數據文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為28第二十八頁，共四十三頁。（2）入侵檢測系統(tǒng)入侵檢測系統(tǒng)（簡稱“IDS”）——是一種對網絡傳輸進行即時監(jiān)視，在發(fā)現可疑傳輸時發(fā)出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處便在于，IDS是一種積極主動的安全防護技術。29第二十九頁，共四十三頁。（3）

入侵檢測的分類1）按照分析方法（檢測方法）異常檢測（AnomalyDetection)誤用檢測（MisuseDetection)2）按照數據來源基于主機基于網絡混合型3）按系統(tǒng)各模塊的運行方式集中式分布式4）根據時效性脫機分析聯機分析30第三十頁，共四十三頁。2.入侵響應入侵響應（IntrusionResponse）——是指當檢測到入侵或攻擊時，采取適當的措施阻止入侵和攻擊的進行；入侵響應系統(tǒng)（IntrusionResponseSystem）是指實施入侵響應的系統(tǒng)。31第三十一頁，共四十三頁。入侵響應系統(tǒng)的分類1）按響應類型分類報警型響應系統(tǒng)人工響應系統(tǒng)自動響應系統(tǒng)2）按響應方式分類基于主機的響應基于網絡的響應3）按照響應范圍分類本地響應系統(tǒng)網絡協同響應系統(tǒng)32第三十二頁，共四十三頁。入侵響應的方式入侵響應的方式，根據嚴厲程度不同，可以分為以下幾個級別第一級別，較溫和的被動響應方式，包括以下幾種響應：記錄安全事件

產生報警信息

記錄附加日志

激活附加入侵檢測工具

第二，介于溫和與嚴厲之間的主動響應方式：隔離入侵者IP禁止被攻擊對象的特定端口和服務

隔離被攻擊對象第三級別，較為嚴厲的主動響應方式：警告攻擊者

跟蹤攻擊者

斷開危險連接

攻擊攻擊者

33第三十三頁，共四十三頁。自動入侵響應入侵預防、入侵檢測和容忍入侵在解決網絡入侵問題上都發(fā)揮了很大的作用，但這些方法都是被動地解決入侵問題。而入侵響應系統(tǒng)在入侵發(fā)生后能夠主動保護受害系統(tǒng)，阻擊入侵者。目前，入侵防范研究的重點還是在入侵預防和入侵檢測上，入侵響應還大都只是在IDS系統(tǒng)中實現，其響應方式和響應能力受到一定限制。34第三十四頁，共四十三頁。35第三十五頁，共四十三頁。自動入侵響應系統(tǒng)的模型如圖7-2所示，系統(tǒng)的輸入是入侵檢測系統(tǒng)輸出的安全事件；響應決策模塊依據響應決策知識庫，決定對于輸入的安全事件做出什么響應，產生響應策略響應某種中間語言描述，然后由響應執(zhí)行模塊解釋執(zhí)行，并調用響應工具庫中預先編制好的響應工具；響應評估模塊對作出的響應進行評估，評估結果再反饋到響應決策模塊，調整和改進響應決策機制。在自動入侵響應中，響應決策模塊是整個系統(tǒng)的核心，因為及時、有效、合理的響應策略是提高系統(tǒng)響應性能的關鍵。36第三十六頁，共四十三頁。常見自動入侵響應有以下幾種類型基于代理自適應響應系統(tǒng)AAIRS（AdaptiveAgent-basedIntrusionResponseSystem）基于移動代理（MobileAgent)的入侵響應系統(tǒng)基于IDIP協議的響應系統(tǒng)（IDIP——IntruderDetectionandIsolationProtocol）基于主動網絡(ActiveNetwork)的響應系統(tǒng)37第三十七頁，共四十三頁。3.入侵追蹤網絡攻擊的追蹤是對網絡攻擊做出的正確響應的前提。一旦網絡遭到攻擊，如何追蹤入侵者并將其繩之以法，是十分必要的。入侵追蹤一般包括兩個各方面的工作。第一，發(fā)現入侵者的IP地址、MAC地址或是認證的主機名。第二，追蹤攻擊源，確定入侵者的真實位置。38第三十八頁，共四十三頁。(1)IP地址追蹤使用netstat命令：發(fā)現入侵者的IP地址是很基礎的一項追蹤技術。使用netstat命令可以獲得所有連接被測主機的網絡用戶的IP地址。Windows系列系統(tǒng)、Unix系統(tǒng)、Linux系統(tǒng)等常用操作系統(tǒng)都可以使用該命令。日志數據：系統(tǒng)的日志數據提供了詳細的用戶登錄信息。在追蹤網絡攻擊時，這些數據是最直接最有效的證據。原始數據報文：由于系統(tǒng)主機有被攻陷的可能，因此，利用系統(tǒng)日志獲取攻擊者信息有時候就不可靠。捕獲原始數據報文并對數據進行分析，是確定攻擊源的另一個比較重要的可靠方法。搜索引擎：此方法是人為因素較多。黑客們經?？赡茉谡搲染W絡社區(qū)炫耀自己的攻擊成果，借助搜索引擎，可以搜集這些信息，獲取被攻擊證據。39第三十九頁，共四十三頁。(2)

攻擊源追蹤在追蹤網絡攻擊中，大部分網絡攻擊者都采用IP地址欺騙技術，這樣，采用IP地址追蹤方法難以實現追蹤目的。因此，網絡攻擊追蹤技術研究重點就轉為如何重構攻擊路徑，或者說如何真實定位攻擊源地