第十章網(wǎng)絡(luò)安全

2023/5/27第十章網(wǎng)絡(luò)安全

10.1網(wǎng)絡(luò)安全問題概述10.2數(shù)據(jù)加密技術(shù)10.2.1替代密碼與置換密碼10.2.2數(shù)據(jù)加密標(biāo)準(zhǔn)DES210.3公開密鑰密碼體制10.3.1公開密鑰密碼體制的特點(diǎn)10.3.2RSA公開密鑰密碼體制10.4防火墻技術(shù)10.5入侵檢測技術(shù)*10.6網(wǎng)絡(luò)攻擊及防御技術(shù)310.1.1計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全性威脅

計(jì)算機(jī)網(wǎng)絡(luò)上的通信面臨以下的四種威脅：(1)截獲——從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。(2)中斷——有意中斷他人在網(wǎng)絡(luò)上的通信。(3)篡改——故意篡改網(wǎng)絡(luò)上傳送的報(bào)文。(4)偽造——偽造信息在網(wǎng)絡(luò)上傳送。截獲信息的攻擊稱為被動(dòng)攻擊，而更改信息和拒絕用戶使用資源的攻擊稱為主動(dòng)攻擊。4對網(wǎng)絡(luò)的被動(dòng)攻擊和主動(dòng)攻擊

截獲篡改偽造中斷被動(dòng)攻擊主動(dòng)攻擊目的站源站源站源站源站目的站目的站目的站5被動(dòng)攻擊和主動(dòng)攻擊在被動(dòng)攻擊中，攻擊者只是觀察和分析某一個(gè)協(xié)議數(shù)據(jù)單元PDU而不干擾信息流。主動(dòng)攻擊是指攻擊者對某個(gè)連接中通過的PDU進(jìn)行各種處理。更改報(bào)文流拒絕報(bào)文服務(wù)偽造連接初始化

6(1)防止析出報(bào)文內(nèi)容；(2)防止通信量分析；(3)檢測更改報(bào)文流；(4)檢測拒絕報(bào)文服務(wù)；(5)檢測偽造初始化連接。計(jì)算機(jī)網(wǎng)絡(luò)通信安全的目標(biāo)

有可能發(fā)生分組丟失7(1)計(jì)算機(jī)病毒——會(huì)“傳染”其他程序的程序，“傳染”是通過修改其他程序來把自身或其變種復(fù)制進(jìn)去完成的。(2)計(jì)算機(jī)蠕蟲——通過網(wǎng)絡(luò)的通信功能將自身從一個(gè)結(jié)點(diǎn)發(fā)送到另一個(gè)結(jié)點(diǎn)并啟動(dòng)運(yùn)行的程序。(3)特洛伊木馬——一種程序，它執(zhí)行的功能超出所聲稱的功能。(4)邏輯炸彈——一種當(dāng)運(yùn)行環(huán)境滿足某種特定條件時(shí)執(zhí)行其他特殊功能的程序。

惡意程序(rogueprogram)

810.1.2計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容保密性安全協(xié)議的設(shè)計(jì)

接入控制

9一些重要概念

密碼編碼學(xué)(cryptography)是密碼體制的設(shè)計(jì)學(xué)，而密碼分析學(xué)(cryptanalysis)則是在未知密鑰的情況下從密文推演出明文或密鑰的技術(shù)。密碼編碼學(xué)與密碼分析學(xué)合起來即為密碼學(xué)(cryptology)。如果不論截取者獲得了多少密文，但在密文中都沒有足夠的信息來惟一地確定出對應(yīng)的明文，則這一密碼體制稱為無條件安全的，或稱為理論上是不可破的。如果密碼體制中的密碼不能被可使用的計(jì)算資源破譯，則這一密碼體制稱為在計(jì)算上是安全的。

1010.2數(shù)據(jù)加密技術(shù)

所謂常規(guī)密鑰密碼體制，即加密密鑰與解密密鑰是相同的密碼體制。這種加密系統(tǒng)又稱為對稱密鑰系統(tǒng)。我們先介紹在常規(guī)密鑰密碼體制中的兩種最基本的密碼。

1110.2.1替代密碼與置換密碼替代密碼(substitutioncipher)的原理可用一個(gè)例子來說明。（密鑰是3）

abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文密文明文c變成了密文F1210.2.1替代密碼與置換密碼替代密碼(substitutioncipher)的原理可用一個(gè)例子來說明。（密鑰是3）

abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文密文明文a變成了密文D1310.2.1替代密碼與置換密碼替代密碼(substitutioncipher)的原理可用一個(gè)例子來說明。（密鑰是3）

abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文密文明文e變成了密文H14CIPHER145326attackbeginsatfour置換密碼置換密碼(transpositioncipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。

密鑰順序明文根據(jù)英文字母在26個(gè)字母中的先后順序，我們可以得出密鑰中的每一個(gè)字母的相對先后順序。因?yàn)槊荑€中沒有A和B，因此C為第1。同理，E為第2，H為第3,……，R為第6。于是得出密鑰字母的相對先后順序?yàn)?45326。15CIPHER145326attackbeginsatfour置換密碼置換密碼(transpositioncipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。

密鑰順序明文根據(jù)英文字母在26個(gè)字母中的先后順序，我們可以得出密鑰中的每一個(gè)字母的相對先后順序。因?yàn)槊荑€中沒有A和B，因此C為第1。同理，E為第2，H為第3,……，R為第6。于是得出密鑰字母的相對先后順序?yàn)?45326。16CIPHER145326attackbeginsatfour置換密碼置換密碼(transpositioncipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。

密鑰順序明文根據(jù)英文字母在26個(gè)字母中的先后順序，我們可以得出密鑰中的每一個(gè)字母的相對先后順序。因?yàn)槊荑€中沒有A和B，因此C為第1。同理，E為第2，H為第3,……，R為第6。于是得出密鑰字母的相對先后順序?yàn)?45326。17CIPHER145326attackbeginsatfour置換密碼置換密碼(transpositioncipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。

密鑰順序明文根據(jù)英文字母在26個(gè)字母中的先后順序，我們可以得出密鑰中的每一個(gè)字母的相對先后順序。因?yàn)槊荑€中沒有A和B，因此C為第1。同理，E為第2，H為第3,……，R為第6。于是得出密鑰字母的相對先后順序?yàn)?45326。18CIPHER145326attackbeginsatfour置換密碼置換密碼(transpositioncipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。

密鑰順序明文根據(jù)英文字母在26個(gè)字母中的先后順序，我們可以得出密鑰中的每一個(gè)字母的相對先后順序。因?yàn)槊荑€中沒有A和B，因此C為第1。同理，E為第2，H為第3,……，R為第6。于是得出密鑰字母的相對先后順序?yàn)?45326。19CIPHER145326attackbeginsatfour置換密碼置換密碼(transpositioncipher)則是按照某一規(guī)則重新排列消息中的比特或字符順序。

密鑰順序明文根據(jù)英文字母在26個(gè)字母中的先后順序，我們可以得出密鑰中的每一個(gè)字母的相對先后順序。因?yàn)槊荑€中沒有A和B，因此C為第1。同理，E為第2，H為第3,……，R為第6。于是得出密鑰字母的相對先后順序?yàn)?45326。20CIPHER145326attackbeginsatfour密文的得出密鑰順序明文先讀順序?yàn)?的明文列，即aba

21CIPHER145326attackbeginsatfour密文的得出密鑰順序明文再讀順序?yàn)?的明文列，即cnu

22CIPHER145326attackbeginsatfour密文的得出密鑰順序明文再讀順序?yàn)?的明文列，即aio

23CIPHER145326attackbeginsatfour密文的得出密鑰順序明文再讀順序?yàn)?的明文列，即tet

24CIPHER145326attackbeginsatfour密文的得出密鑰順序明文再讀順序?yàn)?的明文列，即tgf

25CIPHER145326attackbeginsatfour密文的得出密鑰順序明文最后讀順序?yàn)?的明文列，即ksr

因此密文就是：abacnuaiotettgfksr

26CIPHER145326attackbeginsatfour接收端收到密文后按列寫下密鑰順序明文先寫下第1列密文aba

收到的密文：abacnuaiotettgfksr

27CIPHER145326attackbeginsatfour接收端收到密文后按列寫下密鑰順序明文再寫下第2列密文cnu

收到的密文：abacnuaiotettgfksr

28CIPHER145326attackbeginsatfour接收端收到密文后按列寫下密鑰順序明文再寫下第3列密文aio

收到的密文：abacnuaiotettgfksr

29CIPHER145326attackbeginsatfour接收端收到密文后按列寫下密鑰順序明文再寫下第4列密文tet

收到的密文：abacnuaiotettgfksr

30CIPHER145326attackbeginsatfour接收端收到密文后按列寫下密鑰順序明文再寫下第5列密文tgf

收到的密文：abacnuaiotettgfksr

31CIPHER145326attackbeginsatfour接收端收到密文后按列寫下密鑰順序明文最后寫下第6列密文ksr

收到的密文：abacnuaiotettgfksr

32CIPHER145326attackbeginsatfour接收端從密文解出明文密鑰順序明文最后按行讀出明文收到的密文：abacnuaiotettgfksr

33CIPHER145326attackbeginsatfour接收端從密文解出明文密鑰順序明文最后按行讀出明文收到的密文：abacnuaiotettgfksr

34CIPHER145326attackbeginsatfour接收端從密文解出明文密鑰順序明文最后按行讀出明文收到的密文：abacnuaiotettgfksr

得出明文：attackbeginsatfour

35序列密碼與分組密碼

序列碼體制是將明文X看成是連續(xù)的比特流(或字符流)x1x2…，并且用密鑰序列Kk1k2…中的第i個(gè)元素ki對明文中的xi進(jìn)行加密，即

36序列密碼體制

密鑰序列產(chǎn)生器種子I0發(fā)端ki密鑰序列產(chǎn)生器種子I0收端ki密文序列明文序列明文序列xixiyiyi在開始工作時(shí)種子I0對密鑰序列產(chǎn)生器進(jìn)行初始化。按照模2進(jìn)行運(yùn)算，得出：

(10-1)37序列密碼體制

密鑰序列產(chǎn)生器種子I0發(fā)端ki密鑰序列產(chǎn)生器種子I0收端ki密文序列明文序列明文序列xixiyiyi在收端，對yi的解密算法為：(10-2)序列密碼又稱為密鑰流密碼。38序列密碼體制的保密性

序列密碼體制的保密性完全在于密鑰的隨機(jī)性。如果密鑰是真正的隨機(jī)數(shù)，則這種體制就是理論上不可破的。這也可稱為一次一密亂碼本體制。嚴(yán)格的一次一密亂碼本體制所需的密鑰量不存在上限，很難實(shí)用化。密碼學(xué)家試圖模仿這種一次一密亂碼本體制。目前常使用偽隨機(jī)序列作為密鑰序列。關(guān)鍵是序列的周期要足夠長，且序列要有很好的隨機(jī)性（這很難尋找）。

39分組密碼它將明文劃分成固定的

n比特的數(shù)據(jù)組，然后以組為單位，在密鑰的控制下進(jìn)行一系列的線性或非線性的變化而得到密文。這就是分組密碼。分組密碼一次變換一組數(shù)據(jù)。分組密碼算法的一個(gè)重要特點(diǎn)就是：當(dāng)給定一個(gè)密鑰后，若明文分組相同，那么所變換出密文分組也相同。分組密碼的一個(gè)重要優(yōu)點(diǎn)是不需要同步

40分組密碼體制

輸入輸出加密算法密鑰明文輸入輸出解密算法密鑰明文nbitnbitnbitnbit密文密文4110.2.2數(shù)據(jù)加密標(biāo)準(zhǔn)DES數(shù)據(jù)加密標(biāo)準(zhǔn)DES屬于常規(guī)密鑰密碼體制，是一種分組密碼。在加密前，先對整個(gè)明文進(jìn)行分組。每一個(gè)組長為64bit。然后對每一個(gè)64bit二進(jìn)制數(shù)據(jù)進(jìn)行加密處理，產(chǎn)生一組64bit密文數(shù)據(jù)。最后將各組密文串接起來，即得出整個(gè)的密文。使用的密鑰為64bit（實(shí)際密鑰長度為56bit，有8bit用于奇偶校驗(yàn))。

42DES加密標(biāo)準(zhǔn)

L0R0L1=R0IPL2=R1L15=R14R1=L0

f(R0,K1)R2=L1

f(R1,K2)R15=L14

f(R14,K15)L16=R15R16=L15

f(R15,K16)IP1fff輸出密文Y(64bit)明文X(64bit)輸入K16(48bit)K2(48bit)K1(48bit)X0的左半邊(32bit)X0(64bit)X0的右半邊(32bit)R16L16(64bit)43DES的明顯缺點(diǎn)

DES實(shí)際上就是一種單字符替代，而這種字符的長度是64bit。也就是說，對于DES算法，相同的明文就產(chǎn)生相同的密文。這對DES的安全性來說是不利的。為了提高DES的安全性，可采用加密分組鏈接的方法。

44加密分組的鏈接

X0Y0X1Y1X2Y2X3Y3X0Y0X1Y1X2Y2X3Y3……初始向量初始向量密鑰密鑰明文明文密文密文加密解密EEEEDDDD45DES的保密性DES

的保密性僅取決于對密鑰的保密，而算法是公開的。盡管人們在破譯DES方面取得了許多進(jìn)展，但至今仍未能找到比窮舉搜索密鑰更有效的方法。DES是世界上第一個(gè)公認(rèn)的實(shí)用密碼算法標(biāo)準(zhǔn)，它曾對密碼學(xué)的發(fā)展做出了重大貢獻(xiàn)。目前較為嚴(yán)重的問題是DES的密鑰的長度。現(xiàn)在已經(jīng)設(shè)計(jì)出來搜索DES密鑰的專用芯片。

46三重DES(TripleDES)

三重DES使用兩個(gè)密鑰，執(zhí)行三次DES算法。下圖中的方框E和D分別表示執(zhí)行加密和解密算法。因此加密時(shí)是E-D-E，解密時(shí)是D-E-D。

EDEK1K2K1明文密文DEDK1K2K1密文明文加密解密4710.3公開密鑰密碼體制

10.3.1公開密鑰密碼體制的特點(diǎn)公開密鑰密碼體制使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導(dǎo)出解密密鑰在計(jì)算上是不可行的”密碼體制。

公開密鑰密碼體制的產(chǎn)生主要是因?yàn)閮蓚€(gè)方面的原因，一是由于常規(guī)密鑰密碼體制的密鑰分配問題，另一是由于對數(shù)字簽名的需求?，F(xiàn)有三種公開密鑰密碼體制，其中最著名的是RSA體制，它基于數(shù)論中大數(shù)分解問題的體制，由美國三位科學(xué)家Rivest,Shamir和Adleman于1976年提出并在1978年正式發(fā)表的。48加密密鑰與解密密鑰

在公開密鑰密碼體制中，加密密鑰(即公開密鑰)PK是公開信息，而解密密鑰(即秘密密鑰)SK是需要保密的。加密算法E和解密算法D也都是公開的。雖然秘密密鑰SK是由公開密鑰PK決定的，但卻不能根據(jù)PK計(jì)算出SK。

49應(yīng)當(dāng)注意

任何加密方法的安全性取決于密鑰的長度，以及攻破密文所需的計(jì)算量。在這方面，公開密鑰密碼體制并不具有比傳統(tǒng)加密體制更加優(yōu)越之處。

由于目前公開密鑰加密算法的開銷較大，在可見的將來還看不出來要放棄傳統(tǒng)的加密方法。公開密鑰還需要密鑰分配協(xié)議，具體的分配過程并不比采用傳統(tǒng)加密方法時(shí)更為簡單。

50公開密鑰算法的特點(diǎn)

(1)發(fā)送者用加密密鑰PK對明文X加密后，在接收者用解密密鑰SK解密，即可恢復(fù)出明文，或?qū)憺椋篋SK(EPK(X))X(10-5)解密密鑰是接收者專用的秘密密鑰，對其他人都保密。

此外，加密和解密的運(yùn)算可以對調(diào)，即EPK(DSK(X))X51公開密鑰算法的特點(diǎn)(2)加密密鑰是公開的，但不能用它來解密，即DPK(EPK(X))X(10-6)(3)在計(jì)算機(jī)上可容易地產(chǎn)生成對的PK和SK。(4)從已知的PK實(shí)際上不可能推導(dǎo)出SK，即從PK到SK是“計(jì)算上不可能的”。(5)加密和解密算法都是公開的。

52公開密鑰密碼體制

接收者發(fā)送者E加密算法D解密算法加密密鑰PK解密密鑰SK明文X密文Y=EPK(X)密鑰對產(chǎn)生源明文X=DSK(EPK(X))5310.3.2RSA公開密鑰密碼體制RSA公開密鑰密碼體制所根據(jù)的原理是：根據(jù)數(shù)論，尋求兩個(gè)大素?cái)?shù)比較簡單，而將它們的乘積分解開則極其困難。每個(gè)用戶有兩個(gè)密鑰：加密密鑰PK{e,n}和解密密鑰SK{d,n}。用戶把加密密鑰公開，使得系統(tǒng)中任何其他用戶都可使用，而對解密密鑰中的

d則保密。N為兩個(gè)大素?cái)?shù)

p和

q之積（素?cái)?shù)

p和

q一般為100位以上的十進(jìn)數(shù)），e和

d滿足一定的關(guān)系。當(dāng)敵手已知

e和

n時(shí)并不能求出

d。

54(1)加密算法

若用整數(shù)X表示明文，用整數(shù)Y表示密文（X和Y均小于

n），則加密和解密運(yùn)算為：

加密：YXemodn(10-7)

解密：XYdmodn(10-8)55(2)密鑰的產(chǎn)生①

計(jì)算

n。用戶秘密地選擇兩個(gè)大素?cái)?shù)

p和

q，計(jì)算出

n

pq。n稱為RSA算法的模數(shù)。明文必須能夠用小于

n的數(shù)來表示。實(shí)際上

n是幾百比特長的數(shù)。②

計(jì)算(n)。用戶再計(jì)算出

n的歐拉函數(shù)

(n)(p

1)(q

1)(10-9)

(n)定義為不超過

n并與

n互素的數(shù)的個(gè)數(shù)。③

選擇

e。用戶從[0,(n)1]中選擇一個(gè)與

(n)互素的數(shù)

e作為公開的加密指數(shù)。

56(2)密鑰的產(chǎn)生（續(xù)）④

計(jì)算

d。用戶計(jì)算出滿足下式的

d

ed

1mod(n)(10-10)

作為解密指數(shù)。⑤

得出所需要的公開密鑰和秘密密鑰：

公開密鑰（即加密密鑰）PK{e,n}

秘密密鑰（即解密密鑰）SK{d,n}57(3)正確性的例子說明

設(shè)選擇了兩個(gè)素?cái)?shù)，p

7,q

17。

計(jì)算出

n

pq

717119。

計(jì)算出

(n)(p

1)(q

1)96。

從[0,95]中選擇一個(gè)與96互素的數(shù)e。

選

e

5。然后根據(jù)(9-10)式，5d

1mod96解出

d。不難得出，d

77,因?yàn)?/p>

ed

57738549611mod96。于是，公開密鑰PK(e,n){5,119},

秘密密鑰SK{77,119}。

58(3)正確性的例子說明（續(xù)）

對明文進(jìn)行加密。先把明文劃分為分組，使每個(gè)

明文分組的二進(jìn)制值不超過

n,即不超過119。設(shè)明文X19。用公開密鑰加密時(shí)，先計(jì)算

Xe

195

2476099。再除以119，得出商為20807，余數(shù)為66。這就是對應(yīng)于明文19的密文Y的值。在用秘密密鑰SK{77,119}進(jìn)行解密時(shí)，先計(jì)算Yd

6677

1.27...10140。再除以119，得出商為1.06...10138，余數(shù)為19。此余數(shù)即解密后應(yīng)得出的明文X。59RSA算法舉例

明文1919==20807公開密鑰={5,119}加密52476099119及余數(shù)

66密文6666==1.0610秘密密鑰={77,119}解密771.27...10119及余數(shù)

19

明文191401386010.8防火墻(firewall)防火墻是由軟件、硬件構(gòu)成的系統(tǒng)，用來在兩個(gè)網(wǎng)絡(luò)之間實(shí)施接入控制策略。接入控制策略是由使用防火墻的單位自行制訂的，為的是可以最適合本單位的需要。防火墻內(nèi)的網(wǎng)絡(luò)稱為“可信賴的網(wǎng)絡(luò)”(trustednetwork)，而將外部的因特網(wǎng)稱為“不可信賴的網(wǎng)絡(luò)”(untrustednetwork)。防火墻可用來解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問題。

61防火墻在互連網(wǎng)絡(luò)中的位置

G內(nèi)聯(lián)網(wǎng)可信賴的網(wǎng)絡(luò)不可信賴的網(wǎng)絡(luò)分組過濾路由器

R分組過濾路由器

R應(yīng)用網(wǎng)關(guān)外局域網(wǎng)內(nèi)局域網(wǎng)防火墻因特網(wǎng)62防火墻的功能防火墻的功能有兩個(gè)：阻止和允許。“阻止”就是阻止某種類型的通信量通過防火墻（從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)，或反過來）。“允許”的功能與“阻止”恰好相反。防火墻必須能夠識(shí)別通信量的各種類型。不過在大多數(shù)情況下防火墻的主要功能是“阻止”。

63防火墻技術(shù)一般分為兩類

(1)網(wǎng)絡(luò)級(jí)防火墻——用來防止整個(gè)網(wǎng)絡(luò)出現(xiàn)外來非法的入侵。屬于這類的有分組過濾和授權(quán)服務(wù)器。前者檢查所有流入本網(wǎng)絡(luò)的信息，然后拒絕不符合事先制訂好的一套準(zhǔn)則的數(shù)據(jù)，而后者則是檢查用戶的登錄是否合法。(2)應(yīng)用級(jí)防火墻——從應(yīng)用程序來進(jìn)行接入控制。通常使用應(yīng)用網(wǎng)關(guān)或代理服務(wù)器來區(qū)分各種應(yīng)用。例如，可以只允許通過訪問萬維網(wǎng)的應(yīng)用，而阻止FTP應(yīng)用的通過。6410.5入侵檢測技術(shù)

入侵檢測是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

6510.5.1入侵檢測的概念

入侵檢測是從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種機(jī)制。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過它執(zhí)行以下任務(wù)來實(shí)現(xiàn)：

66監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；

系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；

識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；

評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。

6710.5.2入侵檢測系統(tǒng)的系統(tǒng)模型

為解決入侵檢測系統(tǒng)之間的互操作性，國際上的一些研究組織開展了標(biāo)準(zhǔn)化工作，目前對IDS進(jìn)行標(biāo)準(zhǔn)化工作的有兩個(gè)組織：IETF的IntrusionDetectionWorkingGroup（IDWG）和CommonIntrusionDetectionFramework（CIDF）。CIDF早期由美國國防部高級(jí)研究計(jì)劃局贊助研究，現(xiàn)在由CIDF工作組負(fù)責(zé)，是一個(gè)開放組織。

68CIDF闡述了一個(gè)入侵檢測系統(tǒng)（IDS）的通用模型，如圖10-11所示。它將一個(gè)入侵檢測系統(tǒng)分為以下組件：事件產(chǎn)生器（Eventgenerators），用E盒表示；事件分析器（Eventanalyzers），用A盒表示；響應(yīng)單元（Responseunits），用R盒表示；事件數(shù)據(jù)庫（Eventdatabases），用D盒表示。

69事件產(chǎn)生器事件分析器EADRE70

在CIDF模型結(jié)構(gòu)中：E盒通過傳感器收集事件數(shù)據(jù)，并將信息傳送給A盒，A盒檢測誤用模式；D盒存儲(chǔ)來自A、E盒的數(shù)據(jù)，并為額外的分析提供信息；R盒從A、E盒中提取數(shù)據(jù)，D盒啟動(dòng)適當(dāng)?shù)捻憫?yīng)。A、E、D及R盒之間的通信都基于GIDO（generalizedIntrusiondetectionobjects，通用入侵檢測對象）和CISL（commonintrusionspecificationlanguage，通用入侵規(guī)范語言）。如果想在不同種類的A、E、D及R盒之間實(shí)現(xiàn)互操作，需要對GIDO實(shí)現(xiàn)標(biāo)準(zhǔn)化并使用CISL。7110.5.3入侵檢測系統(tǒng)分類

按照檢測對象和工作凡是的不同，入侵檢測系統(tǒng)劃分為：1．基于主機(jī)的入侵檢測系統(tǒng)?；谥鳈C(jī)的入侵檢測系統(tǒng)將檢測模塊駐留在被保護(hù)系統(tǒng)上，通過提取被保護(hù)系統(tǒng)的運(yùn)行數(shù)據(jù)并進(jìn)行入侵分析來實(shí)現(xiàn)入侵檢測的功能。722．基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)通過網(wǎng)絡(luò)監(jiān)視來實(shí)現(xiàn)數(shù)據(jù)提取。

3．混合型入侵檢測系統(tǒng)：基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)都有不足之處，會(huì)造成防御體系的不全面，綜合了基于網(wǎng)絡(luò)和基于主機(jī)的混合型入侵檢測系統(tǒng)既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況。7310.5.4入侵檢測系統(tǒng)發(fā)展趨勢

對分析技術(shù)加以改進(jìn)：采用當(dāng)前的分析技術(shù)和模型，會(huì)產(chǎn)生大量的誤報(bào)和漏報(bào)，難以確定真正的入侵行為。采用協(xié)議分析和行為分析等新的分析技術(shù)后，可極大地提高檢測效率和準(zhǔn)確性，從而對真正的攻擊做出反應(yīng)。協(xié)議分析是目前最先進(jìn)的檢測技術(shù)，通過對數(shù)據(jù)包進(jìn)行結(jié)構(gòu)化協(xié)議分析來識(shí)別入侵企圖和行為，這種技術(shù)比模式匹配檢測效率更高，并能對一些未知的攻擊特征進(jìn)行識(shí)別，具有一定的免疫功能；行為分析技術(shù)不僅簡單分析單次攻擊事件，還根據(jù)前后發(fā)生的事件確認(rèn)是否確有攻擊發(fā)生、攻擊行為是否生效，是入侵檢測技術(shù)發(fā)展的趨勢。

74

增進(jìn)對大流量網(wǎng)絡(luò)的處理能力：隨著網(wǎng)絡(luò)流量的不斷增長，對獲得的數(shù)據(jù)進(jìn)行實(shí)時(shí)分析的難度加大，這導(dǎo)致對所在入侵檢測系統(tǒng)的要求越來越高。入侵檢測產(chǎn)品能否高效處理網(wǎng)絡(luò)中的數(shù)據(jù)是衡量入侵檢測產(chǎn)品的重要依據(jù)。

向高度可集成性發(fā)展：集成網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)管理的相關(guān)功能。入侵檢測可以檢測網(wǎng)絡(luò)中的數(shù)據(jù)包，當(dāng)發(fā)現(xiàn)某臺(tái)設(shè)備出現(xiàn)問題時(shí)，可立即對該設(shè)備進(jìn)行相應(yīng)的管理。未來的入侵檢測系統(tǒng)將會(huì)結(jié)合其他網(wǎng)絡(luò)管理軟件，形成入侵檢測、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體的工具。75*10.6網(wǎng)絡(luò)攻擊及防御技術(shù)

1、嚴(yán)峻的信息安全問題2000年2月6日前后，美國YAHOO等8家大型網(wǎng)站接連遭受黑客的攻擊，直接經(jīng)濟(jì)損失約為12億美元（網(wǎng)上拍賣“電子港灣”網(wǎng)站、亞馬遜網(wǎng)站、AOL）此次安全事故具有以下的特點(diǎn)：攻擊直接針對商業(yè)應(yīng)用攻擊造成的損失巨大信息網(wǎng)絡(luò)安全關(guān)系到全社會(huì)762、急需解決的若干安全問題信息安全與高技術(shù)犯罪1999年，上海XX證券部電腦主機(jī)被入侵2000年2月14日，中國選擇網(wǎng)（上海）受到黑客攻擊，造成客戶端機(jī)器崩潰，并采用類似攻擊YAHOO的手法，通過攻擊服務(wù)器端口，造成內(nèi)存耗盡和服務(wù)器崩潰我國約有64%的公司信息系統(tǒng)受到攻擊，其中金融業(yè)占總數(shù)的57%不受歡迎的垃圾郵件的現(xiàn)象愈演愈烈1999年4月26日，CIH病毒“世紀(jì)風(fēng)暴”媒體內(nèi)容的安全性77凱文米特尼克凱文?米特尼克是美國20世紀(jì)最著名的黑客之一，他是“社會(huì)工程學(xué)”的創(chuàng)始人1979年他和他的伙伴侵入了北美空防指揮部1983年的電影《戰(zhàn)爭游戲》演繹了同樣的故事，在片中，以凱文為原型的少年黑客幾乎引發(fā)了第三次世界大戰(zhàn)78莫里斯蠕蟲（MorrisWorm）

時(shí)間1988年肇事者-RobertT.Morris,美國康奈爾大學(xué)學(xué)生，其父是美國國家安全局安全專家機(jī)理-利用sendmail,finger等服務(wù)的漏洞，消耗CPU資源，拒絕服務(wù)影響-Internet上大約6000臺(tái)計(jì)算機(jī)感染，占當(dāng)時(shí)Internet聯(lián)網(wǎng)主機(jī)總數(shù)的10%，造成9600萬美元的損失CERT/CC的誕生-DARPA成立CERT（ComputerEmergencyResponseTeam），以應(yīng)付類似“蠕蟲（MorrisWorm）”事件7994年末，俄羅斯黑客弗拉基米爾·利文與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計(jì)算機(jī)上，向美國CITYBANK銀行發(fā)動(dòng)了一連串攻擊，通過電子轉(zhuǎn)帳方式，從CITYBANK銀行在紐約的計(jì)算機(jī)主機(jī)里竊取1100萬美元96年8月17日，美國司法部的網(wǎng)絡(luò)服務(wù)器遭到黑客入侵，并將“美國司法部”的主頁改為“美國不公正部”，將司法部部長的照片換成了阿道夫·希特勒，將司法部徽章?lián)Q成了納粹黨徽，并加上一幅色情女郎的圖片作為所謂司法部部長的助手。此外還留下了很多攻擊美國司法政策的文字96年9月18日，黑客光顧美國中央情報(bào)局的網(wǎng)絡(luò)服務(wù)器，將其主頁由“中央情報(bào)局”改為“中央愚蠢局”96年12月29日，黑客侵入美國空軍的全球網(wǎng)網(wǎng)址并將其主頁肆意改動(dòng)，其中有關(guān)空軍介紹、新聞發(fā)布等內(nèi)容被替換成一段簡短的黃色錄象，且聲稱美國政府所說的一切都是謊言。迫使美國國防部一度關(guān)閉了其他80多個(gè)軍方網(wǎng)址8098年2月25日，美國國防部四個(gè)海軍系統(tǒng)和七個(gè)空軍系統(tǒng)的電腦網(wǎng)頁遭侵入98年5月底，印度原子研究中心的主頁(www.barc.ernet.in)遭侵入98年8月31日，澳大利亞主要政黨和政府官員的網(wǎng)站遭黑客襲擊，網(wǎng)址被篡改98年9月13日，紐約時(shí)報(bào)站點(diǎn)（）遭黑客襲擊2000年2月，著名的Yahoo、eBay等高利潤站點(diǎn)遭到持續(xù)兩天的拒絕服務(wù)攻擊，商業(yè)損失巨大2002年3月底，美國華盛頓著名藝術(shù)家GloriaGeary在eBay拍賣網(wǎng)站的帳戶，被黑客利用來拍賣IntelPentium芯片2002年6月，日本2002年世界杯組委會(huì)的官方網(wǎng)站由于黑客成功侵入并在該網(wǎng)站上發(fā)布侮辱性內(nèi)容而被迫關(guān)閉81中美五一黑客大戰(zhàn)2001年5月1日是國際勞動(dòng)節(jié)，5月4日是中國的青年節(jié)，而5月7日則是中國在南斯拉夫的大使館被炸兩周年的紀(jì)念日。中國黑客在這幾個(gè)重大的紀(jì)念日期間對美國網(wǎng)站發(fā)起了大規(guī)模的攻擊美國部分被黑網(wǎng)站美國加利福尼亞能源部日美社會(huì)文化交流會(huì)白宮歷史協(xié)會(huì)UPI新聞服務(wù)網(wǎng)華盛頓海軍通信站82國內(nèi)網(wǎng)站遭攻擊的分布83紅色代碼2001年7月19日，全球的入侵檢測系統(tǒng)(IDS)幾乎同時(shí)報(bào)告遭到不名蠕蟲攻擊在紅色代碼首次爆發(fā)的短短9小時(shí)內(nèi)，以迅雷不及掩耳之勢迅速感染了250,000臺(tái)服務(wù)器最初發(fā)現(xiàn)的紅色代碼蠕蟲只是篡改英文站點(diǎn)主頁，顯示“Welcometo!HackedbyChinese!”隨后的紅色代碼蠕蟲便如同洪水般在互聯(lián)網(wǎng)上泛濫，發(fā)動(dòng)拒絕服務(wù)(DoS)攻擊以及格式化目標(biāo)系統(tǒng)硬盤，并會(huì)在每月20日～28日對白宮的WWW站點(diǎn)的IP地址發(fā)動(dòng)DoS攻擊，使白宮的WWW站點(diǎn)不得不全部更改自己的IP地址。84“紅色代碼”的蔓延速度85尼姆達(dá)（Nimda）尼姆達(dá)是在9·11恐怖襲擊整整一個(gè)星期后出現(xiàn)的，當(dāng)時(shí)傳言是中國為了試探美國對網(wǎng)絡(luò)恐怖襲擊的快速反應(yīng)能力而散布了尼姆達(dá)病毒尼姆達(dá)是在早上9:08發(fā)現(xiàn)的，明顯比紅色代碼更快、更具有摧毀功能，半小時(shí)之內(nèi)就傳遍了整個(gè)世界。隨后在全球各地侵襲了830萬部電腦，總共造成將近10億美元的經(jīng)濟(jì)損失傳播方式包括：電子郵件、網(wǎng)絡(luò)臨近共享文件、IE瀏覽器的內(nèi)嵌MIME類型自動(dòng)執(zhí)行漏洞、IIS服務(wù)器文件目錄遍歷漏洞、CodeRedII和Sadmind/IIS蠕蟲留下的后門等86SQLSlammer蠕蟲Slammer的傳播數(shù)度比“紅色代碼”快兩個(gè)數(shù)量級(jí)在頭一分鐘之內(nèi)，感染主機(jī)數(shù)量每8.5秒增長一倍；3分鐘后該病毒的傳播速度達(dá)到峰值（每秒鐘進(jìn)行5500萬次掃描）；接下來，其傳播速度由于自身擠占了絕大部分網(wǎng)絡(luò)帶寬而開始下降；10分鐘后，易受攻擊的主機(jī)基本上已經(jīng)被感染殆盡30分鐘后在全球的感染面積872003年8月11日首先被發(fā)現(xiàn)，然后迅速擴(kuò)散，這時(shí)候距離被利用漏洞的發(fā)布日期還不到1個(gè)月該蠕蟲病毒針對的系統(tǒng)類型范圍相當(dāng)廣泛（包括WindowsNT/2000/XP）截至8月24日，國內(nèi)被感染主機(jī)的數(shù)目為25~100萬臺(tái)全球直接經(jīng)濟(jì)損失幾十億美金RPCDCOM蠕蟲883、網(wǎng)絡(luò)威脅惡意代碼及黑客攻擊手段的三大特點(diǎn)

：傳播速度驚人受害面驚人穿透深度驚人89傳播速度“大型推土機(jī)”技術(shù)(Massrooter)，是新一代規(guī)模性惡意代碼具備的顯著功能。這些惡意代碼不僅能實(shí)現(xiàn)自我復(fù)制，還能自動(dòng)攻擊內(nèi)外網(wǎng)上的其它主機(jī)，并以受害者為攻擊源繼續(xù)攻擊其它網(wǎng)絡(luò)和主機(jī)。以這些代碼設(shè)計(jì)的多線程和繁殖速度，一個(gè)新蠕蟲在一夜之間就可以傳播到互聯(lián)網(wǎng)的各個(gè)角落。90受害面許多國家的能源、交通、金融、化工、軍事、科技和政府部門等關(guān)鍵領(lǐng)域的信息化程度逐年提高，這些領(lǐng)域的用戶單位的計(jì)算機(jī)網(wǎng)絡(luò)，直接或間接地與Internet有所聯(lián)系。各種病毒、蠕蟲等惡意代碼，和各種黑客攻擊，通過Internet為主線，對全球各行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)用戶都造成了嚴(yán)重的影響。91穿透深度蠕蟲和黑客越來越不滿足于攻擊在線的網(wǎng)站，各種致力于突破各種邊界防線的攻擊方式層出不窮。一個(gè)新的攻擊手段，第一批受害對象是那些24小時(shí)在線的網(wǎng)站主機(jī)和各種網(wǎng)絡(luò)的邊界主機(jī)；第二批受害對象是與Internet聯(lián)網(wǎng)的，經(jīng)常收發(fā)郵件的個(gè)人用戶；第三批受害對象是OA網(wǎng)或其它二線內(nèi)網(wǎng)的工作站；終極的受害對象可能會(huì)波及到生產(chǎn)網(wǎng)絡(luò)和關(guān)鍵資產(chǎn)主機(jī)。92信息戰(zhàn)在海灣戰(zhàn)爭和最近的伊拉克戰(zhàn)爭中，美國大量采用了信息戰(zhàn)的手段在未來的局部戰(zhàn)爭中，信息戰(zhàn)或信息威懾將成為非常重要的非常規(guī)戰(zhàn)手段信息戰(zhàn)的范圍不僅僅局限于軍事領(lǐng)域，關(guān)系國家國計(jì)民生的行業(yè)（如政府、金融等）也會(huì)成為信息戰(zhàn)的攻擊目標(biāo)93信息時(shí)代威脅圖94類別攻擊舉例V敵國政府、間諜IV商業(yè)間諜III罪犯II惡意用戶、內(nèi)部人員、普通黑客I用戶誤操作95網(wǎng)絡(luò)攻擊的動(dòng)機(jī)偷取國家機(jī)密商業(yè)競爭行為內(nèi)部員工對單位的不滿對企業(yè)核心機(jī)密的企望網(wǎng)絡(luò)接入帳號(hào)、信用卡號(hào)等金錢利益的誘惑利用攻擊網(wǎng)絡(luò)站點(diǎn)而出名對網(wǎng)絡(luò)安全技術(shù)的挑戰(zhàn)對網(wǎng)絡(luò)的好奇心96攻擊的一般過程預(yù)攻擊內(nèi)容：獲得域名及IP分布獲得拓?fù)浼癘S等獲得端口和服務(wù)獲得應(yīng)用系統(tǒng)情況跟蹤新漏洞發(fā)布目的：收集信息，進(jìn)行進(jìn)一步攻擊決策攻擊內(nèi)容：獲得遠(yuǎn)程權(quán)限進(jìn)入遠(yuǎn)程系統(tǒng)提升本地權(quán)限進(jìn)一步擴(kuò)展權(quán)限進(jìn)行實(shí)質(zhì)性操作目的：進(jìn)行攻擊，獲得系統(tǒng)的一定權(quán)限后攻擊內(nèi)容：植入后門木馬刪除日志修補(bǔ)明顯的漏洞進(jìn)一步滲透擴(kuò)展目的：消除痕跡，長期維持一定的權(quán)限97攻擊的種類預(yù)攻擊階段端口掃描漏洞掃描操作系統(tǒng)類型鑒別網(wǎng)絡(luò)拓?fù)浞治龉綦A段緩沖區(qū)溢出攻擊操作系統(tǒng)漏洞應(yīng)用服務(wù)缺陷腳本程序漏洞攻擊口令攻擊錯(cuò)誤及弱配置攻擊網(wǎng)絡(luò)欺騙與劫持攻擊后攻擊階段后門木馬痕跡擦除其它攻擊種類拒絕服務(wù)攻擊嗅探攻擊惡意網(wǎng)頁攻擊社會(huì)工程攻擊98信息收集—非技術(shù)手段合法途徑從目標(biāo)機(jī)構(gòu)的網(wǎng)站獲取新聞報(bào)道，出版物新聞組或論壇社會(huì)工程手段假冒他人，獲取第三方的信任搜索引擎99信息收集—技術(shù)手段PingTracert/TracerouteRusers/FingerHost/nslookup100端口掃描目的判斷目標(biāo)主機(jī)開啟了哪些端口及其對應(yīng)的服務(wù)常規(guī)掃描技術(shù)調(diào)用connect函數(shù)直接連接被掃描端口無須任何特殊權(quán)限速度較慢，易被記錄高級(jí)掃描技術(shù)利用探測數(shù)據(jù)包的返回信息（例如RST）來進(jìn)行間接掃描較為隱蔽，不易被日志記錄或防火墻發(fā)現(xiàn)101TCPSYN掃描也叫半開式掃描利用TCP連接三次握手的第一次進(jìn)行掃描被掃描主機(jī)開放的端口不提供服務(wù)的端口防火墻過濾的端口

掃描器SYNSYNSYNSYN+ACK握手RST重置沒有回應(yīng)或者其他102端口掃描工具Nmap簡介被稱為“掃描器之王”有forUnix和forWin的兩種版本需要Libpcap庫和Winpcap庫的支持能夠進(jìn)行普通掃描、各種高級(jí)掃描和操作系統(tǒng)類型鑒別等使用-sS：半開式掃描-sT:普通connect()掃描-sU：udp端口掃描-O：操作系統(tǒng)鑒別-P0：強(qiáng)行掃描（無論是否能夠ping通目標(biāo)）-p：指定端口范圍-v：詳細(xì)模式103NmapWinv1.3.0104端口掃描工具SuperScan簡介基于Windows平臺(tái)速度快，圖形化界面最新版本為4.0使用傻瓜化105漏洞掃描根據(jù)目標(biāo)主機(jī)開放的不同應(yīng)用和服務(wù)來掃描和判斷是否存在或可能存在某些漏洞積極意義進(jìn)行網(wǎng)絡(luò)安全評(píng)估為網(wǎng)絡(luò)系統(tǒng)的加固提供先期準(zhǔn)備消極意義被網(wǎng)絡(luò)攻擊者加以利用來攻陷目標(biāo)系統(tǒng)或獲取重要的數(shù)據(jù)信息106漏洞掃描的種類系統(tǒng)漏洞掃描特定服務(wù)的漏洞掃描WEB服務(wù)數(shù)據(jù)庫服務(wù)FTP服務(wù)Mail服務(wù)信息泄漏漏洞掃描用戶信息共享信息人為管理漏洞掃描弱口令錯(cuò)誤配置網(wǎng)絡(luò)及管理設(shè)備漏洞掃描路由器、交換機(jī)SNMP設(shè)備107漏洞掃描工具Nessus構(gòu)架服務(wù)器端：基于Unix系統(tǒng)客戶端：有GTK、Java和Win系統(tǒng)支持運(yùn)作客戶端連接服務(wù)器端，并下載插件和掃描策略真正的掃描由服務(wù)器端發(fā)起兩者之間的通信通過加密認(rèn)證優(yōu)勢：具有強(qiáng)大的插件功能完全免費(fèi)，升級(jí)快速非常適合作為網(wǎng)絡(luò)安全評(píng)估工具鏈接：108ClientServerTargetsNessus工作流程109漏洞掃描工具X-Scan國人自主開發(fā)完全免費(fèi)110X-Scan使用掃描開始111安全漏洞掃描器安全漏洞掃描器的種類網(wǎng)絡(luò)型安全漏洞掃描器主機(jī)型安全漏洞掃描器數(shù)據(jù)庫安全漏洞掃描器安全漏洞掃描器的選用ISS（InternetSecurityScanner）：安氏SSS（ShadowSecurityScanner）：俄羅斯黑客RetinaNetworkSecurityScanner：eEyeLANguardNetworkSecurityScannerCyberCopScanner：NAI112SSS（ShadowSecurityScanner）113RetinaNetworkSecurityScanner114LANguardNetworkSecurityScanner115操作系統(tǒng)類型鑒別主要依據(jù)利用不同操作系統(tǒng)對各種連接請求的不同反應(yīng)和特征來判斷遠(yuǎn)程主機(jī)操作系統(tǒng)的類型當(dāng)使用足夠多的不同特征來進(jìn)行判斷，操作系統(tǒng)的探測精度就能有很大保證116間接鑒別操作系統(tǒng)說明不直接進(jìn)行掃描利用網(wǎng)絡(luò)應(yīng)用服務(wù)使用過程中的信息來推斷和分析操作系統(tǒng)類型，并得到其他有用信息如Telnet

80端口查看WEB服務(wù)器類型從而初步判斷操作系統(tǒng)類型這種方法難以被發(fā)現(xiàn)防御對策修改服務(wù)器上應(yīng)用服務(wù)的banner信息，達(dá)到迷惑攻擊者的目的117直接鑒別操作系統(tǒng)類型TCP/IP棧指紋探測技術(shù)各個(gè)操作系統(tǒng)在實(shí)現(xiàn)TCP/IP棧的時(shí)候有細(xì)微的不同，可以通過下面一些方法來進(jìn)行判定TTL值Windows窗口值ToS類型DF標(biāo)志位初始序列號(hào)（ISN）采樣MSS（最大分段大?。┢渌?18TTL=4TTL=5TTL=6TTL=7TTL=8TTL=9TTL=3TTL=2destinationsourceTTL=10TTL（TimeToLive）119緩沖區(qū)溢出攻擊危害性據(jù)統(tǒng)計(jì)，緩沖區(qū)溢出攻擊占所有網(wǎng)絡(luò)攻擊總數(shù)的80%以上溢出成功后大都能直接拿到目標(biāo)系統(tǒng)的最高權(quán)限身邊的例子RPCDCOM溢出IIS.ida/idq溢出IIS.printer溢出IISWebDav溢出Wu-ftpd溢出120緩沖區(qū)溢出原理通過往程序的緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的緩沖區(qū)溢出攻擊的對象在于那些具有某些特權(quán)(如root或本地管理器)運(yùn)行的程序，這樣可以使得攻擊者取得該程序的控制權(quán)，如果該程序具有足夠的權(quán)限，那么整個(gè)主機(jī)就被控制了121緩沖區(qū)溢出示意圖字符串變量數(shù)組函數(shù)返回點(diǎn)n字節(jié)輸入數(shù)據(jù)>n字節(jié),尾部為跳轉(zhuǎn)的地址緩沖區(qū)用戶輸入正常流程溢出改變流程字符串變量數(shù)組函數(shù)返回點(diǎn)n字節(jié)輸入數(shù)據(jù)<n字節(jié)緩沖區(qū)用戶輸入正常流程122程序溢出時(shí)的表現(xiàn)SegmentationFault(coredumped)123以特權(quán)身份運(yùn)行的程序網(wǎng)絡(luò)服務(wù)程序HTTPServerFTPServerMailServerRPCDaemon…suid/sgid程序124Root溢出Remoterootexploit通過網(wǎng)絡(luò)，無需認(rèn)證即可獲得遠(yuǎn)程主機(jī)的root權(quán)限Localrootexploit本地普通用戶，利用系統(tǒng)程序的漏洞獲得root權(quán)限125遠(yuǎn)程控制技術(shù)概念危害性發(fā)展歷程技術(shù)類型126特洛伊木馬的來歷希臘人攻打特洛伊城十年，始終未獲成功，后來建造了一個(gè)大木馬，并假裝撤退，希臘將士卻暗藏于馬腹中。特洛伊人以為希臘人已走，就把木馬當(dāng)作是獻(xiàn)給雅典娜的禮物搬入城中。晚上，木馬中隱藏的希臘將士沖出來打開城門，希臘將士里應(yīng)外合毀滅了特洛伊城。后來我們把進(jìn)入敵人內(nèi)部攻破防線的手段叫做木馬計(jì)，木馬計(jì)中使用的里應(yīng)外合的工具叫做特洛伊木馬來源于希臘神話中的特洛伊戰(zhàn)爭127遠(yuǎn)程控制技術(shù)遠(yuǎn)程控制實(shí)際上是包含有服務(wù)器端和客戶端的一套程序服務(wù)器端程序駐留在目標(biāo)計(jì)算機(jī)里，隨著系統(tǒng)啟動(dòng)而自行啟動(dòng)。此外，使用傳統(tǒng)技術(shù)的程序會(huì)在某端口進(jìn)行監(jiān)聽，若接收到數(shù)據(jù)就對其進(jìn)行識(shí)別，然后按照識(shí)別后的命令在目標(biāo)計(jì)算機(jī)上執(zhí)行一些操作（比如竊取口令，拷貝或刪除文件，或重啟計(jì)算機(jī)等）攻擊者一般在入侵成功后，將服務(wù)端程序拷貝到目標(biāo)計(jì)算機(jī)中，并設(shè)法使其運(yùn)行，從而留下后門。日后，攻擊者就能夠通過運(yùn)行客戶端程序，來對目標(biāo)計(jì)算機(jī)進(jìn)行操作128遠(yuǎn)程控制技術(shù)的發(fā)展歷程第一代功能簡單、技術(shù)單一，如簡單的密碼竊取和發(fā)送等第二代在技術(shù)上有了很大的進(jìn)步，如國外的BO2000，國內(nèi)的冰河等第三代為了躲避防火墻而在數(shù)據(jù)傳遞技術(shù)上做了不小的改進(jìn)，比如利用ICMP協(xié)議以及采用反彈端口的連接模式第四代研究操作系統(tǒng)底層，在進(jìn)程隱藏方面有了很大的突破129傳統(tǒng)的遠(yuǎn)程控制步驟130如何遠(yuǎn)程植入程序直接攻擊電子郵件文件下載瀏覽網(wǎng)頁+合并文件經(jīng)過偽裝的木馬被植入目標(biāo)機(jī)器131遠(yuǎn)程受控端程序的自啟動(dòng)Windows啟動(dòng)目錄注冊表啟動(dòng)Run(RunOnce/RunOnceEx/RunServices）KnownDLLs修改文件關(guān)聯(lián)方式系統(tǒng)配置文件啟動(dòng)Win.iniSystem.ini服務(wù)啟動(dòng)其他啟動(dòng)132遠(yuǎn)程受控端程序的隱藏在任務(wù)欄（包括任務(wù)管理器）中隱藏自己初步隱藏注冊為系統(tǒng)服務(wù)不適用于Win2k/NT啟動(dòng)時(shí)會(huì)先通過窗口名來確定是否已經(jīng)在運(yùn)行，如果是則不再啟動(dòng)防止過多的占用資源進(jìn)程隱藏遠(yuǎn)程線程插入其他進(jìn)程（不適用于Win9X）Hook技術(shù)133遠(yuǎn)程控制數(shù)據(jù)傳輸方式ICMP協(xié)議傳送反彈端口+HTTP隧道技術(shù)134反彈端口連接模式>1024反彈式的遠(yuǎn)程控制程序防火墻IP數(shù)據(jù)包過濾目標(biāo)主機(jī)Windows系統(tǒng)騙取系統(tǒng)IE進(jìn)程木馬線程正常線程進(jìn)入合法應(yīng)用程序正常線程…InternetExplorer瀏覽網(wǎng)頁端口監(jiān)聽端口傳統(tǒng)遠(yuǎn)程控制程序135遠(yuǎn)程控制的防御遠(yuǎn)程端口掃描本地進(jìn)程—端口察看Fport/VisionAntiyPortsAPorts

本地進(jìn)程察看PslistListdlls注冊表監(jiān)控Regmon文件監(jiān)控Filemon使用專用的查殺工具加強(qiáng)使用者的安全意識(shí)136Vision137AntiyPorts138DoS與DDoS攻擊DoS(DenialofService)攻擊的中文含義是拒絕服務(wù)攻擊DDoS(DistributedDenialofService)攻擊的中文含義是分布式拒絕服務(wù)攻擊139拒絕服務(wù)攻擊的種類發(fā)送大量的無用請求，致使目標(biāo)網(wǎng)絡(luò)系統(tǒng)整體的網(wǎng)絡(luò)性能大大降低，喪失與外界通信的能力。利用網(wǎng)絡(luò)服務(wù)以及網(wǎng)絡(luò)協(xié)議的某些特性，發(fā)送超出目標(biāo)主機(jī)處理能力的服務(wù)請求，導(dǎo)致目標(biāo)主機(jī)喪失對其他正常服務(wù)請求的相應(yīng)能力。利用系統(tǒng)或應(yīng)用軟件上的漏洞或缺陷，發(fā)送經(jīng)過特殊構(gòu)造的數(shù)據(jù)包，導(dǎo)致目標(biāo)的癱瘓（稱之為nuke)140拒絕服務(wù)攻擊典型舉例SynFloodSmurfPingFloodUDPFlooder141拒絕服務(wù)攻擊—SynFlood正常的TCP/IP三次握手SynFlood攻擊服務(wù)器

客戶端SYNSYN+ACKACK握手完成，開始傳送數(shù)據(jù)，系統(tǒng)消耗很少被攻擊主機(jī)攻擊主機(jī)偽造源地址不存在的主機(jī)不斷重試及等待，消耗系統(tǒng)資源不響應(yīng)SYNSYN+ACK142SynFlood的防御對策重新設(shè)置一些TCP/IP協(xié)議參數(shù)增加TCP監(jiān)聽套解字未完成連接隊(duì)列的最大長度減少未完成連接隊(duì)列的超時(shí)等待時(shí)間類似于SYNCookies的特殊措施選擇高性能的防火墻SYNThreshold類SYNDefender類SYNProxy類143拒絕服務(wù)攻擊—Smurf攻擊AttackerTarget目標(biāo)機(jī)器會(huì)接收很多來自中介網(wǎng)絡(luò)的請求中介網(wǎng)絡(luò)放大器broadcastechorequest

源地址被欺騙為被攻擊主機(jī)地址144其它拒絕服務(wù)攻擊FragglePingof