人機(jī)交互智能安全第4講

2.2.2側(cè)信道攻擊與防御側(cè)信道攻擊(Side-ChannelAttack，簡稱SCA)也叫邊信道攻擊或旁路攻擊，是密碼分析的一種主要攻擊方式。側(cè)信道攻擊主要通過從密碼算法的硬件實(shí)現(xiàn)運(yùn)行過程中獲取旁路信息，而非暴力破解法或是利用算法中的理論弱點(diǎn)。在側(cè)信道攻擊中密碼算法正常執(zhí)行，并不會(huì)對密碼算法的執(zhí)行和硬件實(shí)現(xiàn)造成破壞或影響，所以側(cè)信道攻擊是一種被動(dòng)型非入侵式攻擊。目前市場上大多數(shù)嵌入式設(shè)備的電路設(shè)計(jì)都是基于互補(bǔ)金屬氧化物半導(dǎo)體(ComplementaryMetalOxideSemiconductor，CMOS)工藝的，其實(shí)現(xiàn)的基礎(chǔ)元件是與、非、異或門電路，密碼算法得實(shí)現(xiàn)可以通過門電路的狀態(tài)變化實(shí)現(xiàn)。CMOS反相器是由PMOS(又稱負(fù)載管)和NMOS(又稱驅(qū)動(dòng)管)管組成，如圖2-5所示為CMOS反相器的反向電路原理：當(dāng)輸入電壓為高電平時(shí)，即Vin=1，與PMOS管的電壓相等，此時(shí)PMOS管截止，NMOS管導(dǎo)通，負(fù)載電荷將通過接地將電荷釋放，輸出為低電壓，即Vout=0；當(dāng)輸入為低電平時(shí)，即Vin=0，與NMOS管的電壓相等，此時(shí)，NMOS管截止，PMOS管導(dǎo)通，Vout=Vdd=1。

反相器的能量消耗主要分為兩部分，一部分是靜態(tài)消耗，即狀態(tài)沒有任何變化時(shí)的能量消耗；另一部分是動(dòng)態(tài)消耗，即當(dāng)輸入信號(hào)發(fā)生變化時(shí)，還要產(chǎn)生額外的能量消耗。一個(gè)邏輯元件的能量消耗總和由靜態(tài)能量和動(dòng)態(tài)能量組成。漢明距離模型(HammingDistance，HD)：通過計(jì)算在某個(gè)特定時(shí)間段內(nèi)CMOS反相器由0→1和1→0的狀態(tài)變化總數(shù)。依據(jù)數(shù)據(jù)狀態(tài)變化總數(shù)反應(yīng)算法在該時(shí)刻的能量消耗值。漢明重量模型(HammingWeight，簡稱HW)：漢明距離模型是建立在攻擊者對設(shè)備網(wǎng)表十分熟悉的前提下，而漢明重量是一種更加有效的方式，即使攻擊者對網(wǎng)表一無所知，分析者仍然可以根據(jù)漢明重量模型對能量消耗進(jìn)行建模仿真。在HW模型中，假定能量消耗與被分析數(shù)據(jù)中比特位為1的個(gè)數(shù)成正比，不考慮該數(shù)據(jù)在處理前后的數(shù)值；在CMOS電路中，能量消耗根據(jù)邏輯狀態(tài)的變化而變化，并不是數(shù)據(jù)本身的值，因此，HD模型對電路的能量消耗仿真并不合適。計(jì)時(shí)攻擊主要依據(jù)密碼芯片在不同密鑰的作用下執(zhí)行的時(shí)間有所差異，通過測量密碼算法的執(zhí)行時(shí)間而獲得密鑰。該攻擊方法對密碼芯片、協(xié)議、智能卡均是有效的。在計(jì)時(shí)攻擊中，攻擊者通過獲得一系列密碼算法處理的返回信息和處理時(shí)間，進(jìn)而對信息分析獲得密碼參數(shù)。其攻擊模型如圖2-6所示：我們設(shè)定符號(hào)意義為m消息，k密鑰，S輸出，,*是指算法，T:算法計(jì)算需要的時(shí)間，

。假定計(jì)算中密鑰恒定，且監(jiān)聽者已經(jīng)破解一組消息及計(jì)算時(shí)間T，現(xiàn)為了攻擊密鑰的第i個(gè)比特ki,當(dāng)監(jiān)聽者捕獲時(shí)間

，則可建立函數(shù)判斷比特位的值。假定隨機(jī)變量

的分布是不同的，通過觀察實(shí)際的

與

的分布，則有可能推測出ki，進(jìn)而推測出完整的密鑰值。能量攻擊由Kocher等人提出，該技術(shù)方便實(shí)用且簡單有效，幾乎對所有的密碼算法均適用，也是發(fā)展最快的攻擊手段。主要包含簡單能量攻擊、差分能量攻擊、相關(guān)能量攻擊、互信息分析等。具體攻擊描述如下：簡單能量攻擊(SimplePowerAnalysis,SPA)是根據(jù)密碼芯片在計(jì)算過程中消耗的功耗特征獲取與密鑰有關(guān)的信息，通過該方法攻擊者能夠根據(jù)能量曲線的特征及其本身具備的經(jīng)驗(yàn)?zāi)軌蛑庇^的分析出指令執(zhí)行的順序，從而對指令順序與數(shù)據(jù)相關(guān)的密碼算法進(jìn)行破解。該攻擊方法只需采集少量的能量曲線，便可實(shí)現(xiàn)對密碼算法的破解，但是對攻擊者的要求較高，需要了解算法的具體執(zhí)行過程，具備深厚的密碼理論知識(shí)。例如，在RSA密碼算法的執(zhí)行過程中，當(dāng)比特位為1和為0時(shí)所對應(yīng)的操作時(shí)不一樣的，當(dāng)比特位為1時(shí)，執(zhí)行平方及模乘運(yùn)算，當(dāng)比特位為0時(shí)，僅有平方運(yùn)算，因此，我們可以通過直觀上的觀察，對其能量消耗進(jìn)行區(qū)別以判別密鑰信息。因?yàn)槊艽a算法在執(zhí)行過程中，針對每一比特的能量消耗信息在一些時(shí)段中會(huì)出現(xiàn)較大差別，因此，如果測量設(shè)備的精度很高，那么算法所執(zhí)行的每條指令都能夠通過SPA觀察出來。RSA密碼算法SPA分析如圖2-7所示：差分能量攻擊(DifferentialPowerAnalysis,DPA)經(jīng)過采集大量的能量曲線，分析能量曲線微小的差分信號(hào)來獲取關(guān)鍵信息。DPA首先采集大量的能量曲線，將其作為先驗(yàn)函數(shù)，然后，對密鑰的猜測值進(jìn)行中間值計(jì)算并采集能量，將其進(jìn)行分類并作為后驗(yàn)函數(shù)，通過分析兩組函數(shù)之間的相關(guān)性來判斷猜測密鑰是否正確，如果相關(guān)性強(qiáng)，則猜測密鑰正確，反之，猜測錯(cuò)誤。最早的DPA模型由Kocher提出，如下所示為DPA模型：其中，表示能量區(qū)分函數(shù)；

表示輸入的消息，

可以是明文或密文，是所猜測的密鑰值；表示所采集的能量，

其中i表示能量曲線數(shù)，j表示各個(gè)能量曲線中的采樣點(diǎn)。在能量采集結(jié)束之后，猜測密鑰值，通過對區(qū)分函數(shù)

與所有的能量曲線做處理，當(dāng)密鑰值猜測錯(cuò)誤時(shí)，區(qū)分函數(shù)將對所有的能量曲線進(jìn)行隨機(jī)分類，差分結(jié)果為隨機(jī)噪聲；若密鑰猜測正確，則區(qū)分函數(shù)所引起的差分峰值就會(huì)顯示出來，從而驗(yàn)證密鑰猜測正確。相關(guān)性能量攻擊(CorrelationPowerAnalysis,CPA)是由Brier等提出，該攻擊方法通過一個(gè)未知但恒定的參考值，構(gòu)造具有數(shù)據(jù)相關(guān)性的漢明模型，利用能量消耗樣點(diǎn)與被處理數(shù)據(jù)的漢明重量之間的相關(guān)系數(shù)進(jìn)行分析。該攻擊方法的假設(shè)前提是攻擊者已知明文，并能夠變化明文且同時(shí)采集對應(yīng)的能量曲線。通過猜測算法的密鑰值，結(jié)合明文與密鑰計(jì)算中間變量，利用中間變量的漢明權(quán)重和能量的相關(guān)系數(shù)進(jìn)行分析，相關(guān)系數(shù)最高的就是猜測正確的密鑰，而對于錯(cuò)誤密鑰，由于不能正常顯示中間變量與功耗之間的正比關(guān)系，因此，相關(guān)系數(shù)較低。其計(jì)算公式如下：其中，ρ代表相關(guān)系數(shù)，P表示能量消耗，HW表示漢明重量，E表示期望值，D表示方差。故障注入攻擊(FaultInjectionAttack，F(xiàn)IA)是指攻擊者通過某種手段(瞬時(shí)高壓、電磁脈沖、激光等)在密碼算法運(yùn)行過程中的某一時(shí)刻注入故障，使得算法執(zhí)行錯(cuò)誤的操作或者產(chǎn)生錯(cuò)誤結(jié)果，然后依據(jù)這些錯(cuò)誤信息進(jìn)行分析，獲取密鑰相關(guān)的信息。故障注入攻擊分為兩種：一、當(dāng)密碼算法遭受故障注入攻擊之后一直處于非正常的工作模式，使得密碼算法在運(yùn)行過程中一直產(chǎn)生錯(cuò)誤結(jié)果，稱為永久性故障。二、在密碼算法運(yùn)行過程中進(jìn)行故障注入，使得其某些操作出現(xiàn)錯(cuò)誤，當(dāng)再次運(yùn)行密碼算法時(shí)，該算法正常工作，稱為短暫性故障。故障分析屬于主動(dòng)攻擊，攻擊者需要充分掌握算法原理，不同的算法其實(shí)現(xiàn)過程也不一樣，故障發(fā)生的位置、時(shí)間等都不一樣，在實(shí)際的分析過程中，往往需要借助SPA來確定實(shí)施攻擊的位置。防御對策的目的都是使密碼算法的物理消耗減少或不依賴密碼算法執(zhí)行時(shí)的中間值。主流的研究方向分為：低功耗設(shè)計(jì)、功耗平衡、隨機(jī)化功耗。其中，低功耗設(shè)計(jì)是通過降低硬件的能量消耗，減少攻擊者可獲取的泄露信息；平衡功耗主要是通過平衡不同指令之間的能量消耗，盡可能的使不同指令消耗相同的能量，達(dá)到混淆的目的；隨機(jī)化功耗主要是為了消除能量消耗與密鑰之間的依賴性，從而無法根據(jù)能量信息獲取密鑰值。常見的實(shí)現(xiàn)方法分為兩種，一種稱作隱藏(Hiding)，一種稱作掩碼(Masking)。隱藏的目的是破壞被處理數(shù)據(jù)與能量消耗之間的關(guān)聯(lián)，從而防御側(cè)信道攻擊，主要是通過改變算法的實(shí)現(xiàn)過程實(shí)現(xiàn)。掩碼技術(shù)是通過引入隨機(jī)數(shù)，對算法執(zhí)行過程中的中間值進(jìn)行隨機(jī)化運(yùn)算，使得數(shù)據(jù)在掩碼狀態(tài)下進(jìn)行操作，從而達(dá)到防御側(cè)信道攻擊的目的。隱藏防御方案主要通過插入偽操作、亂序等方法來實(shí)現(xiàn)隱藏能量與中間值之間的關(guān)聯(lián)，該方案相對較為容易實(shí)現(xiàn)。1)插入偽操作插入偽操作的根本思想是在密碼算法執(zhí)行的前后，及算法執(zhí)行的過程中，隨機(jī)插入偽操作。插入的偽操作數(shù)量越多，算法執(zhí)行消耗的時(shí)間越長，加密操作的位置隨機(jī)性變化越大，攻擊者越難實(shí)施攻擊。2)亂序亂序操作的核心是在某些密碼算法的實(shí)現(xiàn)過程中，將不需要順序執(zhí)行的操作進(jìn)行隨機(jī)化處理。亂序操作與插入偽操作效果相同，都能將算法的能量消耗隨機(jī)化。但是，亂序操作沒有引入過多的操作，所以對算法的數(shù)據(jù)吞吐量影響不是很明顯。亂序操作對算法的整體性能影響較小，且易于實(shí)現(xiàn)，是一種很好的隱藏措施。然而，缺點(diǎn)在于并不是一切密碼算法都跟操作順序無關(guān)，這取決于算法自身的設(shè)計(jì)及實(shí)現(xiàn)的體系結(jié)構(gòu)，該方法只能針對限定的操作執(zhí)行，其實(shí)際應(yīng)用范圍比較局限。掩碼是通過引入隨機(jī)數(shù)，對算法執(zhí)行過程中涉及到的中間值進(jìn)行掩碼處理，使所有數(shù)據(jù)在掩碼狀態(tài)下進(jìn)行計(jì)算，從而達(dá)到防御側(cè)信道攻擊的目的，是最常見也最廣泛的一種算法級(jí)防御技術(shù)。該措施不需改變密碼算法的能量消耗特征，僅改變其算法的實(shí)現(xiàn)過程，消除密碼算法的能量消耗與中間值之間的依賴性。在掩碼方案的計(jì)算過程中，所有中間數(shù)據(jù)值通過與掩碼值進(jìn)行轉(zhuǎn)換操作，使其滿足

，其中*表示兩者之間的運(yùn)算關(guān)系，常見的掩碼運(yùn)算包括異或

、模加＋、模乘×。其中，掩碼值是隨機(jī)產(chǎn)生，每一次計(jì)算過程中的值均不相同，且對攻擊者來說是保密的。因此，該方法能夠有效的保護(hù)中間值信息。根據(jù)掩碼計(jì)算方式的不同，可以將其分為布爾型掩碼方案和算術(shù)型掩碼方案。布爾型掩碼方案是指中間數(shù)據(jù)值與掩碼值通過異或操作運(yùn)算

；而算術(shù)型掩碼方案是指中間數(shù)據(jù)值與掩碼值之間的操作為加法或乘法運(yùn)算

。掩碼技術(shù)的核心思想是通過掩碼來改變中間值，對于給定的信息

能夠有效的計(jì)算出中間值v。當(dāng)給定

中的任何一個(gè)時(shí)，不會(huì)泄露關(guān)于中間值的任何信息，因此，掩碼技術(shù)又可以看作是基于兩個(gè)共享因子的秘密共享方案。根據(jù)需要防護(hù)的DPA攻擊階數(shù)，可以設(shè)定不同的掩碼數(shù)量，一般來說，為了防御n階DPA攻擊，需要n個(gè)掩碼值。但是，將多個(gè)掩碼值作用到同一個(gè)中間值，需要寄存器存儲(chǔ)掩碼值及更大的內(nèi)存提供計(jì)算，增加資源開銷。公鑰密碼算法的實(shí)現(xiàn)主要為算術(shù)運(yùn)算，一般采用加法掩碼或者乘法掩碼實(shí)現(xiàn)側(cè)信道攻擊的防御，對應(yīng)的算術(shù)掩碼操作稱作“盲化”。通過利用算法實(shí)現(xiàn)過程中的運(yùn)算方法，適當(dāng)添加一些隨機(jī)數(shù)，對中間值進(jìn)行掩碼處理。如在RSA算法的實(shí)現(xiàn)過程中，可以對密鑰采用加法掩碼操作，也可以對密文進(jìn)行乘法掩碼操作。在實(shí)施掩碼操作的過程中，掩碼所達(dá)到的效果取決于隨機(jī)數(shù)的隨機(jī)性好壞，只有生成隨機(jī)性好的隨機(jī)數(shù)，才能實(shí)現(xiàn)對數(shù)據(jù)的有效掩蓋，得到的差分能量曲線沒有較大的波動(dòng)，造成DPA區(qū)分函數(shù)對能量曲線的劃分出現(xiàn)錯(cuò)誤，消除或降低其相關(guān)性。2.2.3黑客常用攻擊方法與防御黑客，這個(gè)時(shí)代的獨(dú)有詞，起源于50年代麻省理工學(xué)院的實(shí)驗(yàn)室中，他們精力充沛，熱衷于解決難題。60、70年代，“黑客”一詞極富褒義，用于指獨(dú)立思考、奉公守法的計(jì)算機(jī)迷，他們智力超群，對電腦全身心投入，對計(jì)算機(jī)的最大潛力進(jìn)行智力上的自由探索，為電腦技術(shù)的發(fā)展做出了巨大貢獻(xiàn)。到了80、90年代，計(jì)算機(jī)越來越重要，大型數(shù)據(jù)庫也越來越多，同時(shí)，信息越來越集中在少數(shù)人的手里。這樣一場新時(shí)期的“圈地運(yùn)動(dòng)”引起了黑客們的極大反感。黑客認(rèn)為，信息應(yīng)共享而不應(yīng)被少數(shù)人所壟斷，于是將注意力轉(zhuǎn)移到涉及各種機(jī)密的信息數(shù)據(jù)庫上。本節(jié)將抽取幾種黑客攻擊方法加以闡述。1.掃描攻擊掃描技術(shù)是一種基于網(wǎng)絡(luò)遠(yuǎn)程檢測目標(biāo)網(wǎng)絡(luò)或本地主機(jī)安全性脆弱點(diǎn)的技術(shù)。獲取與網(wǎng)絡(luò)有關(guān)的敏感數(shù)據(jù)的手段是網(wǎng)絡(luò)掃描，也稱為網(wǎng)絡(luò)信息采集。它既可能被黑客利用，對網(wǎng)絡(luò)安全造成危害，也可能被系統(tǒng)管理員用來檢測危險(xiǎn)。黑客在一次入侵過程中通常會(huì)有以下這些動(dòng)作：(1)搜集目標(biāo)信息(finger／telnet／rusers，各種掃描器如NMAP，ISS，SATAN)；(2)查找系統(tǒng)已知漏洞，構(gòu)造攻擊方案(通過安全郵件列表、討論組的消息等)；(3)獲得普通用戶權(quán)限(口令破解，偽裝，竊聽等)；(4)獲得超級(jí)用戶權(quán)限(緩沖區(qū)溢出，符號(hào)連接，root的木馬)；(5)清除入侵痕跡(utmp，lastlog，messages…)；(6)設(shè)置后門，為下一次進(jìn)入系統(tǒng)提供方便；(7)作為中轉(zhuǎn)站攻擊另一目標(biāo)。要完成一次成功的網(wǎng)絡(luò)攻擊，第一步就是要收集目標(biāo)站點(diǎn)的各種信息。對于黑客來說，信息是最好的工具。它可能就是黑客發(fā)動(dòng)攻擊的最終目的(如絕密文件、經(jīng)濟(jì)情報(bào)等等)：也可能是黑客獲得系統(tǒng)訪問權(quán)的通行證，如用戶口令、認(rèn)證票據(jù)(ticket)：也可能是黑客獲取系統(tǒng)訪問權(quán)的前奏，如目標(biāo)系統(tǒng)的軟硬件平臺(tái)類型、提供的服務(wù)與應(yīng)用及其安全性的強(qiáng)弱等等。攻擊者主要利用手工探測或一些掃描軟件對目標(biāo)進(jìn)行徹底分析，盡可能收集攻擊目標(biāo)的大量可能而有效的信息，以至最后可以分析得到所攻擊目標(biāo)的漏洞列表。分析結(jié)果包括：操作系統(tǒng)類型，操作系統(tǒng)版本，所開服務(wù)，所開服務(wù)版本，網(wǎng)絡(luò)拓樸結(jié)構(gòu)，網(wǎng)絡(luò)設(shè)備，防火墻，入侵檢測裝置等等。一次完整的網(wǎng)絡(luò)安全掃描分為三個(gè)階段：第一階段：發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)；通常稱為主機(jī)掃描；第二階段：發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息，包括操作系統(tǒng)類型、運(yùn)行的服務(wù)以及服務(wù)軟件的版本等；通常稱為OS探測和端口掃描；第三階段：根據(jù)搜集到的信息判斷或者進(jìn)一步測試系統(tǒng)是否存在安全漏洞，通常稱為漏洞掃描。主機(jī)掃描用于網(wǎng)絡(luò)安全掃描第一階段，目的是識(shí)別系統(tǒng)是否處于活動(dòng)狀態(tài)，采用ping命令實(shí)現(xiàn)。ping是潛水艇人員的專用術(shù)語，表示回應(yīng)的聲納脈沖。在網(wǎng)絡(luò)中，用ping命令向目標(biāo)主機(jī)發(fā)送ICMP回顯請求報(bào)文，并等待ICMP回顯應(yīng)答，從而檢測網(wǎng)絡(luò)的連通情況和分析網(wǎng)絡(luò)速度。經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)命令使用者可以手工輸入各種探測命令，收集和比較各個(gè)目標(biāo)系統(tǒng)的返回信息，建立一個(gè)信息庫。此后，當(dāng)他得到某一返回信息時(shí)，便將該返回信息和信息庫進(jìn)行比較，以確認(rèn)系統(tǒng)版本或所開放的服務(wù)等。1)操作系統(tǒng)識(shí)別掃描操作系統(tǒng)(OperatingSystem，簡稱OS)識(shí)別是入侵或安全檢測需要收集的重要信息，是分析漏洞和各種安全隱患的基礎(chǔ)。只有確定了遠(yuǎn)程主機(jī)的操作系統(tǒng)類型、版本，才能對其安全狀況作進(jìn)一步的評(píng)估。由于TCP/IP協(xié)議棧只是在RFC文檔中進(jìn)行了描述，并沒有一個(gè)統(tǒng)一的實(shí)現(xiàn)標(biāo)準(zhǔn)，可以利用操作系統(tǒng)里的TCP/IP協(xié)議棧作為特殊的“指紋”，通過對不同操作系統(tǒng)的TCP/IP協(xié)議棧存在的細(xì)微差異的鑒別來判定操作系統(tǒng)類型。主動(dòng)協(xié)議棧指紋識(shí)別①FIN探測向目標(biāo)主機(jī)上一個(gè)打開的端口發(fā)送一個(gè)FIN分組(或無ACK和SYN標(biāo)記的包)，然后等待回應(yīng)。許多系統(tǒng)如WindowsNT、CISCOIOS、HP/UX、IRIX都將返回一個(gè)Reset，而有的沒有回應(yīng)。②BOGUS標(biāo)記探測向目標(biāo)主機(jī)發(fā)送一個(gè)含有未定義的TCP標(biāo)記的TCP頭的SYN包，一些操作系統(tǒng)如Linux將在回應(yīng)里包含這個(gè)未定義的標(biāo)記，而其它一些系統(tǒng)收到這種包將關(guān)閉連接。③初始化序列號(hào)(ISN)采樣探測尋找初始化序列號(hào)的值與特定的操作系統(tǒng)之間的規(guī)律。如早期的Unix系統(tǒng)初始化序列號(hào)以64K遞增，而一些新的Unix系統(tǒng)如Solaris、IRIX、FreeBSD、DigitalUnix、Cray等則是隨機(jī)增加初始化序列號(hào)的值。④Don’tFragment(DF)位探測一些操作系統(tǒng)會(huì)設(shè)置IP頭部“Don’tFragment位”(不分片位)以改善性能，監(jiān)視這個(gè)位就可以判定區(qū)分遠(yuǎn)程OS。⑤TCP初始窗口的大小檢測這種方法檢查返回的數(shù)據(jù)包里包含的窗口大小。某些操作系統(tǒng)在實(shí)現(xiàn)TCP/IP協(xié)議棧時(shí)將這個(gè)域設(shè)置為獨(dú)特的值。如AIX是0x3F25，WindowsNT和BSD是0x402E。⑥TCP可選項(xiàng)探測利用發(fā)送的TCP數(shù)據(jù)包里所設(shè)定的一些TCP可選項(xiàng)，根據(jù)返回包的內(nèi)容判斷操作系統(tǒng)。⑦ACK值探測尋找不同的操作系統(tǒng)在設(shè)置ACK序列號(hào)上存在的差異和規(guī)律。有些操作系統(tǒng)會(huì)將其設(shè)置為所確認(rèn)的TCP數(shù)據(jù)包的序列號(hào)，而另外一些則將所確認(rèn)的TCP數(shù)據(jù)包序列號(hào)加1作為ACK序列號(hào)返回。⑧ICMP錯(cuò)誤消息抑制有些操作系統(tǒng)限制返回ICMP錯(cuò)誤消息的速率。發(fā)送一些UDP包給某個(gè)隨機(jī)選定的高端口，統(tǒng)計(jì)在給定時(shí)間段內(nèi)接受到的不可達(dá)錯(cuò)誤消息的數(shù)目。⑨ICMP錯(cuò)誤消息引用當(dāng)需要發(fā)送ICMP錯(cuò)誤消息時(shí)，不同的操作系統(tǒng)所引用的原網(wǎng)絡(luò)包信息量不同。通過檢測返回的ICMP錯(cuò)誤消息中所引用的消息可以粗略的判斷操作系統(tǒng)類型。⑩ICMP錯(cuò)誤消息回射完整性某些操作系統(tǒng)對TCP/IP協(xié)議棧的實(shí)現(xiàn)在返回ICMP錯(cuò)誤消息的時(shí)候會(huì)修改所引用的IP頭，可以通過檢測其對IP頭的改動(dòng)粗略判斷操作系統(tǒng)。(2)被動(dòng)協(xié)議棧指紋識(shí)別主動(dòng)協(xié)議棧指紋識(shí)別需要主動(dòng)往目標(biāo)發(fā)送數(shù)據(jù)包，但由于正常使用網(wǎng)絡(luò)時(shí)數(shù)據(jù)包不會(huì)按這樣的順序出現(xiàn)，因此這些數(shù)據(jù)包在網(wǎng)絡(luò)流量中比較惹人注意，容易被IDS(IntrusionDetectionSystem入侵檢測系統(tǒng))捕獲。為了提高隱秘性，需要使用被動(dòng)協(xié)議棧指紋識(shí)別。它的原理和主動(dòng)協(xié)議棧指紋識(shí)別相似，但是它從不主動(dòng)發(fā)送數(shù)據(jù)包，只是被動(dòng)的捕獲遠(yuǎn)程主機(jī)返回的包來分析其操作系統(tǒng)類型，一般觀察以下4個(gè)方面：①TTL值操作系統(tǒng)對出站的數(shù)據(jù)包設(shè)置的存活時(shí)間。②WindowSize操作系統(tǒng)設(shè)置的TCP窗口大小，這個(gè)大小是在發(fā)送FIN信息包時(shí)包含的選項(xiàng)。③DF可以查看操作系統(tǒng)是否設(shè)置了不準(zhǔn)分片位。④TOS查看操作系統(tǒng)是否設(shè)置了服務(wù)類型。被動(dòng)分析這些屬性并將得到的結(jié)果與屬性庫比較，以判斷遠(yuǎn)程操作系統(tǒng)類型。當(dāng)然，探測到的系統(tǒng)不可能100%正確，也不可能依靠上面的單個(gè)信號(hào)特征來判斷系統(tǒng)類型，但是，通過查看多個(gè)信號(hào)特征，把足夠多的差異組合起來，可以大大提高對遠(yuǎn)程主機(jī)系統(tǒng)判斷的精確程度。2)端口掃描TCP/IP協(xié)議提出的端口是網(wǎng)絡(luò)通信進(jìn)程與外界通訊交流的出口，可被命名和尋址，可以認(rèn)為是網(wǎng)絡(luò)通信進(jìn)程的一種標(biāo)識(shí)符。進(jìn)程通過系統(tǒng)調(diào)用與某端口建立連接綁定后，便會(huì)監(jiān)聽這個(gè)端口，傳輸層傳給該端口的數(shù)據(jù)都被相應(yīng)進(jìn)程所接收，而相應(yīng)進(jìn)程發(fā)給傳輸層的數(shù)據(jù)都從該端口輸出。在互聯(lián)網(wǎng)上通信雙方不僅需要知道對方的IP地址，也需要知道通信程序的端口號(hào)。目前使用的IPv4協(xié)議支持16位的端口，端口號(hào)范圍是0～65535。其中，0～1023號(hào)端口稱為熟知端口，被提供給特定的服務(wù)使用，由IANA(網(wǎng)絡(luò)AssignedNumberAuthority)管理；1024～49151號(hào)端口稱為注冊端口，由IANA記錄和追蹤；49152～65535號(hào)端口稱為動(dòng)態(tài)端口或?qū)Ｓ枚丝?，提供給專用應(yīng)用程序。一個(gè)端口就是一個(gè)潛在的通信通道，也就是一個(gè)入侵通道。表2-5列出了常用的TCP和UDP端口號(hào)以及在相應(yīng)端口上開放的服務(wù)。許多常用的服務(wù)是使用標(biāo)準(zhǔn)的端口，只要掃描到相應(yīng)的端口，就能知道目標(biāo)主機(jī)上運(yùn)行著什么服務(wù)。端口掃描技術(shù)就是利用這一點(diǎn)向目標(biāo)系統(tǒng)的TCP/UDP端口發(fā)送探測數(shù)據(jù)包，記錄目標(biāo)系統(tǒng)的響應(yīng)，通過分析響應(yīng)來查看該系統(tǒng)處于監(jiān)聽或運(yùn)行狀態(tài)的服務(wù)。一個(gè)端口就是一個(gè)潛在的通信通道，也就是一個(gè)入侵通道。表2-5列出了常用的TCP和UDP端口號(hào)以及在相應(yīng)端口上開放的服務(wù)。這是網(wǎng)絡(luò)掃描技術(shù)的核心技術(shù)之一，廣泛用于掃描過程的第二階段。不過，它僅能對接收到的數(shù)據(jù)進(jìn)行分析，幫助我們發(fā)現(xiàn)目標(biāo)主機(jī)的某些內(nèi)在的弱點(diǎn)，而不會(huì)提供進(jìn)入一個(gè)系統(tǒng)的詳細(xì)步驟。在TCP/IP網(wǎng)絡(luò)中，端口號(hào)是主機(jī)上提供的服務(wù)的標(biāo)識(shí)。入侵者知道了被攻擊主機(jī)的IP地址后，還需要知道通信程序的端口號(hào)。一個(gè)打開的端口就是一個(gè)潛在的入侵通道。只要掃描到相應(yīng)的端口已打開，就知道目標(biāo)主機(jī)上運(yùn)行著什么服務(wù)，以便采取針對相應(yīng)服務(wù)的攻擊手段。下面介紹幾種常用的端口掃描技術(shù)。(1)全連接掃描與半連接掃描TCP連接通過三次握手(three-wayhandshake)建立。圖2-8表示了一個(gè)建立TCP連接的三次握手過程。若主機(jī)B運(yùn)行一個(gè)服務(wù)器進(jìn)程，則它要首先發(fā)出一個(gè)被動(dòng)打開命令，要求它的TCP準(zhǔn)備接收客戶進(jìn)程的連接請求，然后服務(wù)器進(jìn)程就處于“聽”狀態(tài)，不斷檢測有無客戶進(jìn)程發(fā)起連接的請求。①若主機(jī)A中運(yùn)行有客戶進(jìn)程，當(dāng)它需要服務(wù)器的服務(wù)時(shí)，就要向它的TCP發(fā)出主動(dòng)連接請求：用SYN=1和ACK=0表示連接請求，用SEQ=x表示選擇了一個(gè)序號(hào)。主機(jī)B收到A的連接請求報(bào)文，就完成了第一次握手。②主機(jī)B如果同意連接，其TCP就向A發(fā)回確認(rèn)報(bào)文：用SYN=1表示同意連接，用ACK=x+1表示對x的確認(rèn)，用SEQ=y表示B選擇的一個(gè)序號(hào)。主機(jī)A接收到該確認(rèn)報(bào)文，完成第二次握手。③接著，主機(jī)A的TCP就還要向主機(jī)B發(fā)出確認(rèn)：用SYN=1表示同意連接，用ACK=y+1表示對y的確認(rèn)，同時(shí)發(fā)送A的第一個(gè)數(shù)據(jù)。主機(jī)B收到主機(jī)A的確認(rèn)報(bào)文，完成第三次握手過程。完成這樣一個(gè)三次握手，才算建立了可靠的TCP連接，才能可靠地傳輸數(shù)據(jù)報(bào)文，也可以獲取端口是否開放的信息。這種掃描稱為全連接掃描或TCPconnect掃描。但是，這種掃描往往會(huì)被遠(yuǎn)程系統(tǒng)記入日志。為避免被記入日志，可以使用半開放掃描——TCPSYN掃描。因?yàn)?，?dāng)客戶端發(fā)出一個(gè)SYN連接請求報(bào)文后，如果收到了遠(yuǎn)程目標(biāo)主機(jī)的ACK/SYN確認(rèn)，就說明遠(yuǎn)程主機(jī)的該端口是打開的；而若沒有收到遠(yuǎn)程目標(biāo)主機(jī)的ACK/SYN確認(rèn)，而是收到RST數(shù)據(jù)報(bào)文(表明連接出現(xiàn)了問題)，就說明遠(yuǎn)程主機(jī)的該端口沒有打開。這樣對于掃描要獲得的信息已經(jīng)足夠了，也不會(huì)在目標(biāo)主機(jī)的日志中留下記錄。這種掃描稱為半連接掃描或SYN掃描。(2)TCPFIN掃描FIN是釋放連接的數(shù)據(jù)報(bào)文，表明發(fā)送方已經(jīng)沒有數(shù)據(jù)要發(fā)送了。很多日志不記錄這類報(bào)文。TCPFIN掃描的原理是向目標(biāo)端口發(fā)送FIN報(bào)文，當(dāng)FIN數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口時(shí)，會(huì)返回一個(gè)RST的回復(fù)；當(dāng)FIN數(shù)據(jù)包到達(dá)一個(gè)開放的端口時(shí)，該包將被忽略，沒有回復(fù)。由此可以判斷一個(gè)端口是關(guān)閉還是打開的。這種方法還可以用來區(qū)別操作系統(tǒng)是Windows，還是Unix。這種方法比TCPSYN掃描更隱蔽，也被稱為秘密掃描。(3)UDPICMP端口不能到達(dá)掃描這種方法與上面幾種方法的不同之處在于使用的是UDP。許多主機(jī)在一個(gè)關(guān)閉的UDP端口上收到一個(gè)數(shù)據(jù)幀時(shí)，會(huì)返回一個(gè)ICMP_PORT_UNREACH錯(cuò)誤，由此可以判斷被掃描端口是否關(guān)閉。這種掃描方法很慢的，且需要具有root權(quán)限。(4)亂序掃描亂序掃描就是對掃描的端口號(hào)集合隨機(jī)地產(chǎn)生掃描順序，并且每次的掃描順序不同。這就給入侵檢測系統(tǒng)的發(fā)覺端口掃描帶來困難。3)漏洞掃描漏洞掃描用于安全掃描第三階段，它通常是在端口掃描的基礎(chǔ)上，對得到的信息進(jìn)行相關(guān)處理，進(jìn)而檢測出目標(biāo)系統(tǒng)存在的安全漏洞。獲取權(quán)限往往是利用漏洞進(jìn)行的。系統(tǒng)漏洞分為遠(yuǎn)程漏洞和本地漏洞兩種，遠(yuǎn)程漏洞是指黑客可以在別的主機(jī)上直接利用該漏洞進(jìn)行攻擊并獲取一定的權(quán)限。這種漏洞的威脅性相當(dāng)大，黑客的攻擊一般都是從遠(yuǎn)程漏洞開始的。攻擊者掃描到系統(tǒng)的漏洞，測試出目標(biāo)主機(jī)的漏洞信息后，往往會(huì)先通過使用插件(功能模塊技術(shù))進(jìn)行模擬攻擊，或者采用漏洞庫的匹配方法，制定出攻擊的策略。網(wǎng)絡(luò)管理者也會(huì)針對這些漏洞制定相關(guān)對策。(1)系統(tǒng)安全漏洞的類型對于漏洞可以從不同的角度進(jìn)行分類，來討論它們的特點(diǎn)。

①基于觸發(fā)主動(dòng)性的漏洞分類：A.主動(dòng)觸發(fā)漏洞。該漏洞可以被攻擊者直接用于攻擊，如直接訪問他人計(jì)算機(jī)。B.被動(dòng)觸發(fā)漏洞。這種漏洞必須有計(jì)算機(jī)操作人員配合才能起作用。②基于發(fā)現(xiàn)時(shí)間的漏洞分類：A.已發(fā)現(xiàn)很久的漏洞。廠商發(fā)布補(bǔ)丁或修補(bǔ)方法已經(jīng)有一段時(shí)間，廣為知曉。由于很多人已經(jīng)進(jìn)行了修補(bǔ)，因此宏觀危害較小。B.剛發(fā)現(xiàn)的漏洞。廠商剛發(fā)布補(bǔ)丁或修補(bǔ)方法，知道的人還不多。這種漏洞相對于已發(fā)現(xiàn)很久的漏洞危害性較大。C.0day漏洞。還沒有公開，或因私下交易而形成的漏洞。這類漏洞會(huì)導(dǎo)致目標(biāo)受到精確攻擊，危害非常大。③基于系統(tǒng)或部位的漏洞分類：A.操作系統(tǒng)漏洞。指計(jì)算機(jī)操作系統(tǒng)本身所存在的問題或技術(shù)缺陷。操作系統(tǒng)產(chǎn)品提供商通常會(huì)定期對已知漏洞發(fā)布補(bǔ)丁程序提供修復(fù)服務(wù)。B.Web服務(wù)器漏洞。主要包括物理路徑泄露、CGI源代碼泄露、執(zhí)行任意命令、緩沖區(qū)溢出、拒絕服務(wù)、SQL注入、條件競爭和跨站腳本執(zhí)行漏洞。C.不同服務(wù)相互感染漏洞。有時(shí)候在一臺(tái)服務(wù)器上會(huì)運(yùn)行多種網(wǎng)絡(luò)服務(wù)，如Web服務(wù)、FTP服務(wù)等。這就很可能會(huì)造成服務(wù)之間的相互感染，攻擊者只要攻擊一種服務(wù)，就可以利用相關(guān)的技術(shù)作為平臺(tái)，攻陷另一種服務(wù)。D.數(shù)據(jù)庫服務(wù)器漏洞。如某些數(shù)據(jù)庫服務(wù)器在處理請求數(shù)據(jù)時(shí)存在緩沖區(qū)溢出漏洞，遠(yuǎn)程攻擊者可能利用此漏洞控制服務(wù)器，向數(shù)據(jù)庫服務(wù)器發(fā)送畸形請求觸發(fā)漏洞，最終導(dǎo)致執(zhí)行任意指令。E.應(yīng)用程序漏洞。這種漏洞由應(yīng)用程序編寫時(shí)的錯(cuò)誤導(dǎo)致。F.內(nèi)存覆蓋漏洞。內(nèi)存覆蓋漏洞主要為內(nèi)存單元可指定，寫入內(nèi)容可指定。這樣就能執(zhí)行攻擊者想執(zhí)行的代碼(如緩沖區(qū)溢出漏洞、格式化字符串漏洞、PTrace漏洞、Windows2000的硬件調(diào)試寄存器用戶可寫漏洞)或直接修改內(nèi)存中的機(jī)密數(shù)據(jù)。④基于成因的漏洞分類：A.操作性漏洞：可以分為兩種情形。a.寫入內(nèi)容被控制。導(dǎo)致可偽造文件內(nèi)容、權(quán)限提升或直接修改重要數(shù)據(jù)(如修改存貸數(shù)據(jù))。b.內(nèi)容信息被輸出。包含內(nèi)容被打印到屏幕、記錄到可讀的日志文件、產(chǎn)生可讀的core文件等。B配置漏洞：可以分為如下兩種。a.系統(tǒng)配置漏洞。多源于管理員疏漏，如共享文件配置漏洞、服務(wù)器參數(shù)配置漏洞、使用默認(rèn)參數(shù)配置的漏洞等。b.網(wǎng)絡(luò)結(jié)構(gòu)配置漏洞。多與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有關(guān)，如將重要設(shè)備與一般設(shè)備設(shè)置在同一網(wǎng)段等。C協(xié)議漏洞。這種漏洞主要源于網(wǎng)絡(luò)上的現(xiàn)行協(xié)議在設(shè)計(jì)之初僅考慮了效率和可靠性，沒有考慮安全性。這類漏洞很多。ARP欺騙、IP源地址欺騙、路由欺騙、TCP會(huì)話劫持、DNS欺騙和Web欺騙等都是由于協(xié)議漏洞引起的。此外還有UDPFlood(循環(huán))攻擊(基于UDP端口漏洞)、SYNFlood攻擊、Land攻擊、Smurt攻擊、WinNuke攻擊、Fraggle攻擊和Pingtodeath攻擊等都源于相關(guān)協(xié)議漏洞。D程序漏洞。程序漏洞緣于程序設(shè)計(jì)的復(fù)雜性、程序設(shè)計(jì)語言的漏洞和運(yùn)行環(huán)境的不可預(yù)見性。下面是一些常見程序漏洞。a.緩沖區(qū)溢出漏洞。b.格式字符串漏洞。c.BIND漏洞。d.Finger漏洞。e.SendMail漏洞。操作系統(tǒng)中一些知名的安全漏洞有：(1)RPC遠(yuǎn)程過程調(diào)用RPC(RemoteProcedureCall)提供了一種進(jìn)程間通信的機(jī)制，允許一臺(tái)計(jì)算機(jī)上的程序執(zhí)行另一臺(tái)計(jì)算機(jī)上的程序。它們廣泛應(yīng)用于網(wǎng)絡(luò)服務(wù)，如NFS文件共享和NIS。在SolarSunrise事件期間，對美國陸軍廣為人知的成功攻擊就是因?yàn)樵跀?shù)百臺(tái)國防部的系統(tǒng)中找到了一個(gè)RPC漏洞。(2)BINDBIND(Berkeley網(wǎng)絡(luò)NameDomain)軟件包是域名服務(wù)(DNS)的一個(gè)應(yīng)用最廣泛的實(shí)現(xiàn)軟件——它將機(jī)器的域名轉(zhuǎn)換成IP地址。通過它，我們只需要知道域名而不用知道IP地址，就可以定位網(wǎng)絡(luò)上的系統(tǒng)。由于任何網(wǎng)絡(luò)都需要相應(yīng)的域名服務(wù)器，這使得它成為攻擊者鐘愛的目標(biāo)。這一漏洞影響大多數(shù)Unix和Linux系統(tǒng)。(3)Sendmail大多數(shù)Unix和Linux系統(tǒng)都使用Sendmail程序發(fā)送、接收、和轉(zhuǎn)發(fā)電子郵件。由于其廣泛應(yīng)用，它成為攻擊者選取的主要目標(biāo)。最常見的漏洞之一是，攻擊者發(fā)送一封特意構(gòu)造的郵件給運(yùn)行Sendmail的機(jī)器，Sendmail把郵件作為命令讀出執(zhí)行，使目標(biāo)機(jī)器把本機(jī)上的口令文件發(fā)送到攻擊者的機(jī)器上(或其它被侵入的機(jī)器)，然后破解口令。多數(shù)Unix和Linux系統(tǒng)受該漏洞的影響。(4)MicrosoftIISMicrosoftIIS(網(wǎng)絡(luò)InformationServer)是用在WindowsNT/2000/2003服務(wù)器上的Web服務(wù)軟件，它也存在著多個(gè)安全漏洞，如ISAPI緩沖區(qū)溢出漏洞以及RDS安全漏洞等。安裝IIS的同時(shí)會(huì)自動(dòng)安裝多個(gè)ISAPI擴(kuò)展。ISAPI是網(wǎng)絡(luò)ServicesApplicationProgrammingInterface的縮寫，它允許開發(fā)者使用動(dòng)態(tài)鏈接庫(DLL)來擴(kuò)展IIS服務(wù)器的功能。其中一些動(dòng)態(tài)鏈接庫如idq.dll中存在編程錯(cuò)誤，沒有對輸入進(jìn)行適當(dāng)?shù)倪吔鐧z查，特別是它們不阻止輸入的超長字符串，攻擊者可以利用這一點(diǎn)向DLL發(fā)送數(shù)據(jù)，造成緩沖區(qū)溢出，進(jìn)而控制IIS服務(wù)器。IIS的遠(yuǎn)程數(shù)據(jù)服務(wù)(RDS)中也存在編程缺陷，可被惡意用戶用來遠(yuǎn)程執(zhí)行管理員級(jí)別的命令。所有使用MicrosoftIIS的Windows系統(tǒng)都受到這些漏洞的威脅。(5)文件共享許多系統(tǒng)都提供了在網(wǎng)絡(luò)上共享文件的服務(wù)，如Windows系統(tǒng)中基于NetBIOS的SMB協(xié)議、Unix中的NFS服務(wù)、Macintosh提供的Web共享服務(wù)。但是，如果配置不正確，那么在允許文件共享的同時(shí)也常常會(huì)給出系統(tǒng)的敏感信息。允許文件共享的系統(tǒng)都存在著類似由于配置不正確導(dǎo)致的安全隱患，因此它影響的系統(tǒng)包括Unix、Windows和Macintosh系統(tǒng)。(6)LSASS漏洞LSASS服務(wù)即本地安全驗(yàn)證子系統(tǒng)服務(wù)，它提供了一個(gè)用于管理本地安全、域身份驗(yàn)證和ActiveDirectory進(jìn)程的接口，處理客戶端和服務(wù)器的身份驗(yàn)證。LSASSDCE/RPC末端導(dǎo)出的Microsoft活動(dòng)目錄服務(wù)存在一個(gè)緩沖區(qū)溢出漏洞(MS04-011)，遠(yuǎn)程攻擊者可以利用這個(gè)漏洞以管理員權(quán)限在系統(tǒng)上執(zhí)行任意指令，成功利用此漏洞的攻擊者可以完全控制系統(tǒng)。

(7)Unix系統(tǒng)的遠(yuǎn)程命令在Unix系統(tǒng)中，為了管理方便，經(jīng)常使用主機(jī)之間的相互信任關(guān)系。主機(jī)之間建立信任關(guān)系之后，管理員就可以方便地使用Unix的遠(yuǎn)程命令從一臺(tái)主機(jī)中遠(yuǎn)程登錄另一臺(tái)主機(jī)進(jìn)行管理。信任關(guān)系是基于IP地址的，不需要用戶名和口令，而是認(rèn)可來自信賴IP地址的任何人。4)常用掃描軟件端口掃描技術(shù)和漏洞掃描技術(shù)是網(wǎng)絡(luò)安全掃描技術(shù)中的兩種核心技術(shù)，并且廣泛運(yùn)用于當(dāng)前較成熟的網(wǎng)絡(luò)掃描器中，如著名的Nmap和Nessus。(1)NMap網(wǎng)址：/nmap。NMap是運(yùn)行在Linux/Unix下的一個(gè)功能非常強(qiáng)大的掃描工具，被稱為掃描之王。它支持多種協(xié)議(如TCP、UDP、ICMP等)掃描，可以用來查看有哪些主機(jī)以及其上運(yùn)行何種服務(wù)。NMap的掃描方式如下。①TCPconnect掃描。②TCPSYN(halfopen)掃描。③TCPFIN、Xmas或NULL(stealth)掃描。④TCPftpproxy(bounceattack)掃描。⑤使用IP分片包的SYN/FIN掃描。⑥TCPACK和Window掃描。⑦UDPrawICMPportunreachable掃描。⑧ICMPping掃描。⑨TCPping掃描。⑩Direct(nonportmapper)RPC掃描。(2)Nessus：Nessus是一款可以運(yùn)行在Linux、BSD、Solaris以及其他一些系統(tǒng)上的遠(yuǎn)程漏洞掃描與分析軟件，它采用B/S架構(gòu)的方式安裝，以網(wǎng)頁的形式向用戶展現(xiàn)。用戶登錄之后可以指定對本機(jī)或者其他可訪問的服務(wù)器進(jìn)行漏洞掃描。Nessus的掃描程序與漏洞庫相互獨(dú)立，因而可以方便地更新其漏洞庫，同時(shí)提供多種插件的擴(kuò)展和一種語言NASL(NessusAttackScriptingLanguage)用來編寫測試選項(xiàng)，極大地方便了漏洞數(shù)據(jù)的維護(hù)、更新。在蠕蟲病毒中也使用了掃描技術(shù)，蠕蟲病毒程序的掃描子模塊負(fù)責(zé)探測存在漏洞的主機(jī)。當(dāng)程序向某個(gè)主機(jī)發(fā)送探測漏洞的信息并收到成功的反饋信息后，就會(huì)得到一個(gè)可傳播的對象。一般說來，蠕蟲希望隱蔽地傳播，并盡快地傳播到更多的主機(jī)。根據(jù)這一原則，掃描模塊采取的掃描策略是：隨機(jī)選取一段IP地址，然后對這一地址段上的主機(jī)進(jìn)行掃描。差的掃描程序并不知道一段地址是否已經(jīng)被掃描過，只是隨機(jī)地掃描網(wǎng)絡(luò)，很有可能重復(fù)掃描一個(gè)地址段。于是，蠕蟲傳播得越廣，網(wǎng)上的掃描包越多，即使探測包很小，但積少成多，就會(huì)引起嚴(yán)重的網(wǎng)絡(luò)擁塞。掃描策略改進(jìn)的原則是，盡量減少重復(fù)的掃描，使掃描發(fā)送的數(shù)據(jù)包盡量少，并保證掃描覆蓋盡量大的范圍。按照這一原則，可以有如下一些策略。①在網(wǎng)段的選擇上，可以主要對當(dāng)前主機(jī)所在網(wǎng)段進(jìn)行掃描，對外網(wǎng)段隨機(jī)選擇幾個(gè)小的IP地址段進(jìn)行掃描。②對掃描次數(shù)進(jìn)行限制。③將掃描分布在不同的時(shí)間段進(jìn)行，不集中在某一時(shí)間內(nèi)。④針對不同的漏洞設(shè)計(jì)不同的探測包，提高掃描效率。例如，對遠(yuǎn)程緩沖區(qū)溢出漏洞，通過發(fā)出溢出代碼進(jìn)行探測。對WebCGI漏洞，發(fā)出一個(gè)特殊的HTTP請求探測。攻擊子模塊按照漏洞攻擊步驟自動(dòng)攻擊已經(jīng)找到的攻擊對象，獲得一個(gè)shell，就擁有了對整個(gè)系統(tǒng)的控制權(quán)。對Windows2000來說，就是cmd.exe。5)防御傳統(tǒng)的端口掃描監(jiān)測，一般是依據(jù)短時(shí)間內(nèi)來自同一數(shù)據(jù)源的到達(dá)目標(biāo)主機(jī)一些連續(xù)端口的數(shù)據(jù)包數(shù)量來判斷的，黑客如果有意放大掃描的間隔時(shí)間，以較慢的速度來掃描，這樣對端口掃描的判斷就比較困難了。監(jiān)測端口掃描的工具有好多種，最簡單的一種是在某個(gè)不常用的端口進(jìn)行監(jiān)聽；另一類工具，不是靠監(jiān)聽某些端口來發(fā)現(xiàn)掃描，而是在混雜模式下抓包并進(jìn)一步分析判斷。(1)蜜罐系統(tǒng)蜜罐系統(tǒng)是一種非常好的防御方法，四種監(jiān)測端口掃描的蜜罐工具有：ProtectX是通過在一些端口上監(jiān)聽來自外部的連接請求來判斷端口掃描情況，Winetd和DTK則是典型的蜜罐工具，PortSentry作為一個(gè)基于主機(jī)的網(wǎng)絡(luò)入侵檢測系統(tǒng)的一部分，主要用于檢測主機(jī)的端口活動(dòng)情況和外部對主機(jī)的端口掃描情況。(2)安裝防火墻目前，防火墻的應(yīng)用已經(jīng)非常普遍，它也可以用于對掃描的防御中。稍有一些安全意識(shí)的機(jī)構(gòu)都會(huì)在其網(wǎng)絡(luò)邊界安裝防火墻，以阻隔并控制網(wǎng)絡(luò)內(nèi)外的連接。邊界防火墻雖然能夠阻擋來自外部的入侵，但是在網(wǎng)絡(luò)內(nèi)部仍然隱藏著許多不安定因素。除了建立多層防護(hù)體系保護(hù)重要的服務(wù)器和網(wǎng)絡(luò)設(shè)備，也要注意保護(hù)單個(gè)桌面系統(tǒng)的信息不被偷竊，個(gè)人防火墻是一個(gè)比較好的選擇。(3)針對Web服務(wù)的日志審計(jì)針對掃描攻擊，一個(gè)很穩(wěn)妥的追蹤辦法就是審計(jì)各種日志。以網(wǎng)絡(luò)上的Web服務(wù)器為例，它不可避免地要面臨各種蠕蟲病毒和CGI漏洞掃描器的威脅，當(dāng)系統(tǒng)遭受攻擊時(shí)，分析日志記錄，尤其是Web服務(wù)器的日志記錄，能幫助我們跟蹤客戶端IP地址，確定其地理位置信息，檢測訪問者所請求的路徑和文件，了解訪問狀態(tài)，檢查訪問者使用的瀏覽器版本和操作系統(tǒng)類型等。下面簡要介紹兩種服務(wù)器，IIS服務(wù)器和Apache服務(wù)器的日志文件。①IIS服務(wù)器日志記錄IIS服務(wù)器工作在WindowsNT/2000/XP/2003Server平臺(tái)上。服務(wù)器日志一般放在“%SystemRoot%/System32/LogFiles”目錄下的，該目錄用于存放IIS服務(wù)器關(guān)于WWW、FTP、SMTP等服務(wù)的日志目錄。WWW服務(wù)的日志目錄是“W3SVCn”，這里的“n”是數(shù)字，表示第幾個(gè)WWW網(wǎng)站(虛擬主機(jī))，F(xiàn)TP服務(wù)的日志目錄是“MSFTPSVCn”，“n”的含義與前類似。②Apache服務(wù)器的日志文件在缺省安裝情況下，Apache會(huì)使用兩個(gè)標(biāo)準(zhǔn)的日志文件記錄文件。一個(gè)是access_log，其中記錄了所有對ApacheWeb服務(wù)器訪問的活動(dòng)記錄；另一個(gè)是error_log，記錄了Apache服務(wù)器運(yùn)行期間所有的狀態(tài)診斷信息，包括對Web服務(wù)器的錯(cuò)誤訪問記錄。這兩個(gè)文件都放在/usr/local/apache/logs目錄下。access_log中的日志記錄包含七項(xiàng)內(nèi)容：A.訪問者的IP地址；B.一般是空白項(xiàng)(用-表示)；C.身份驗(yàn)證時(shí)的用戶名。在匿名訪問時(shí)是空白；D.訪問時(shí)間；其格式為：[Date/Month/Year:Hour:Minute:Second+/-*]，其中“+/-*”表示與UTC的時(shí)區(qū)差，加號(hào)表示在UTC之后，減號(hào)表示在UTC之前。E.訪問者HTTP數(shù)據(jù)包的請求行；F.Web服務(wù)器給訪問者的返回狀態(tài)碼；G.Web服務(wù)器返回給訪問者的總字節(jié)數(shù)。(4)修改Banner許多網(wǎng)絡(luò)服務(wù)器通常在用戶正常連接或登錄時(shí)，提供給用戶一些無關(guān)緊要的提示信息，其中往往包括操作系統(tǒng)類型、用戶所連接服務(wù)器的軟件版本、幾句無關(guān)痛癢的歡迎信息等，這些信息可稱之為旗標(biāo)信息(Banner)。修改Banner的方法很多，一種是修改網(wǎng)絡(luò)服務(wù)的配置文件，許多服務(wù)都在其配置文件中提供了對顯示版本號(hào)的配置選項(xiàng)；第二種是修改服務(wù)軟件的源代碼，然后重新編譯；第三種是，直接修改軟件的可執(zhí)行文件，這種方法往往具有一定的“危險(xiǎn)性”，不提倡使用。當(dāng)然，也可以利用一些專業(yè)的Banner修改工具。另外還有一些操作細(xì)則可供參考，比如:①設(shè)置SQLServer的“su”口令，絕對避免使用缺省配置(空口令)②刪除不必要的擴(kuò)展存儲(chǔ)過程，例如：usemaster；sp_dropextendedproc//xp_cmdshell’。如果網(wǎng)絡(luò)環(huán)境比較復(fù)雜，則將SQLServer設(shè)置為多協(xié)議的通信模式，并選擇協(xié)議加密。③Unix系統(tǒng)中要禁止網(wǎng)絡(luò)外部對TCP111和32771端口的訪問，防止黑客探測系統(tǒng)獲取RPC信息。④慎重配置LDAP服務(wù)器的訪問控制。⑤設(shè)置MySQL的“root”口令，避免使用空口令。⑥修改SNMPMIB庫的默認(rèn)訪問community。⑦對于單機(jī)用戶，建議使用個(gè)人防火墻。⑧最好禁止對路由器設(shè)備的遠(yuǎn)程telnet訪問，如果需要，應(yīng)該設(shè)置強(qiáng)壯的訪問口令。⑨防火墻上配置嚴(yán)格的過濾規(guī)則。⑩及時(shí)安裝系統(tǒng)補(bǔ)丁。2.網(wǎng)絡(luò)嗅探網(wǎng)絡(luò)嗅探(NetworkSniffer)又叫做網(wǎng)絡(luò)監(jiān)聽，顧名思義，這是一種在他方未察覺的情況下捕獲其通信報(bào)文或通信內(nèi)容的技術(shù)。它一方面可以協(xié)助網(wǎng)絡(luò)管理員監(jiān)測網(wǎng)絡(luò)傳輸數(shù)據(jù)，排除網(wǎng)絡(luò)故障。但另一方面，網(wǎng)絡(luò)嗅探也給網(wǎng)絡(luò)安全帶來了極大的隱患，許多的網(wǎng)絡(luò)入侵往往都直接或間接借助了網(wǎng)絡(luò)嗅探的手段，從而造成口令失竊，敏感數(shù)據(jù)被截獲等連鎖性安全事件，它是黑客們常用的手段之一。使用嗅探器的客戶端原理上可以捕獲到被攻擊設(shè)備的所有記錄，然后使用其它軟件就可對數(shù)據(jù)包進(jìn)行分析了，它可能造成以下危害:(l)捕獲口令(2)能夠捕獲專用或機(jī)密的信息(3)能夠用來危害網(wǎng)絡(luò)鄰居的安全，或者用來獲取更高級(jí)別的訪問權(quán)限(4)窺探低級(jí)的協(xié)議信息。(5)通過嗅探可以分析出網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，對網(wǎng)絡(luò)進(jìn)行滲透。1)嗅探流程將數(shù)據(jù)包從共享網(wǎng)絡(luò)中截獲，將其提取到應(yīng)用程序中，此過程需要依賴于網(wǎng)絡(luò)從物理層到應(yīng)用層以及操作系統(tǒng)本身各方面的協(xié)調(diào)。共享式局域網(wǎng)絡(luò)中數(shù)據(jù)包的接收流程如下:①物理層：物理層位于OSI參考模型的最低層，它直接面向?qū)嶋H承擔(dān)數(shù)據(jù)傳輸?shù)奈锢砻襟w(即信道)。在一個(gè)以太局域網(wǎng)中，數(shù)據(jù)在共享的網(wǎng)絡(luò)介質(zhì)(網(wǎng)線、Hub)中以廣播的形式到達(dá)局域網(wǎng)每一個(gè)節(jié)點(diǎn)。數(shù)據(jù)包從物理層開始進(jìn)入計(jì)算機(jī)。②數(shù)據(jù)鏈路層：節(jié)點(diǎn)的網(wǎng)絡(luò)適配器(網(wǎng)卡)查看到來的數(shù)據(jù)幀，通過一系列的檢驗(yàn)，將大量的數(shù)據(jù)幀中屬于自己且正確合法的數(shù)據(jù)幀重構(gòu)成數(shù)據(jù)包送入操作系統(tǒng)的協(xié)議棧中。③網(wǎng)絡(luò)層至傳輸層：操作系統(tǒng)的協(xié)議棧通過這兩層中的IP、TCP、UDP等協(xié)議判斷到來的數(shù)據(jù)包是否屬于本操作系統(tǒng)的接收范圍(根據(jù)IP地址)，是否屬于本操作系統(tǒng)上的應(yīng)用程序的接收范圍(根據(jù)端口號(hào))，如果所屬范圍正確并且數(shù)據(jù)包合法，操作系統(tǒng)通過端口將數(shù)據(jù)包重構(gòu)成報(bào)文送入應(yīng)用程序。2)嗅探機(jī)制前面己經(jīng)介紹了嗅探一個(gè)數(shù)據(jù)幀的基本過程。數(shù)據(jù)嗅探的復(fù)雜性是由于操作系統(tǒng)的分層機(jī)制所造成的，為了確保操作系統(tǒng)的穩(wěn)定，用戶只能位于被稱為用戶模式層次上，使用自己的內(nèi)存及其它資源，用戶的操作也要通過一定的轉(zhuǎn)換，才能送達(dá)核心層。內(nèi)核的資源是不允許用戶直接使用的，此設(shè)計(jì)雖然保證了操作系統(tǒng)的穩(wěn)定性，但是卻加大了CPU和內(nèi)存資源的負(fù)荷。一個(gè)簡單的嗅探系統(tǒng)結(jié)構(gòu)如圖2-9所示。圖2-9嗅探系統(tǒng)模型結(jié)構(gòu)如果要讓用戶的嗅探軟件可以真正“抓”到這些數(shù)據(jù)包，就需要一個(gè)直接與網(wǎng)卡驅(qū)動(dòng)程序接口的驅(qū)動(dòng)模塊，作為網(wǎng)卡驅(qū)動(dòng)與上層應(yīng)用的“中間人”，它將網(wǎng)卡設(shè)置成混雜模式，并從上層應(yīng)用(嗅探軟件)接收下達(dá)的各種抓包請求，對來自網(wǎng)卡驅(qū)動(dòng)程序的數(shù)據(jù)幀進(jìn)行過濾，最終將其要求的數(shù)據(jù)返回給嗅探軟件。我們可以看到，有了這個(gè)“中間人”，鏈路層的網(wǎng)卡驅(qū)動(dòng)程序上傳的數(shù)據(jù)幀就有了兩個(gè)去處：一個(gè)就是分組捕獲即過濾模塊，另一個(gè)是常規(guī)的TCP/IP協(xié)議棧處理方式。對于非本地的數(shù)據(jù)包，前者會(huì)根據(jù)分組捕獲的過濾準(zhǔn)則來決定上傳還是丟棄，而后者則根據(jù)IP地址的比較來選擇丟棄或接收，如圖2-10所示。在實(shí)際應(yīng)用中，流經(jīng)網(wǎng)卡的所有網(wǎng)絡(luò)流量里，存在著大量無用的或嗅探主機(jī)并不需要的數(shù)據(jù)，為了提高工作效率，需要進(jìn)行過濾處理。通?？梢詮囊韵聨讉€(gè)方面對數(shù)據(jù)包進(jìn)行過濾：①站過濾：根據(jù)MAC地址，篩選出某一工作站或服務(wù)器的數(shù)據(jù)。②協(xié)議過濾：根據(jù)傳輸層和網(wǎng)絡(luò)層中的特性過濾，如選擇TCP數(shù)據(jù)而非UDP數(shù)據(jù)或選擇某一特定IP層協(xié)議數(shù)據(jù)。③服務(wù)過濾：根據(jù)端口篩選特定類型服務(wù)。④通用過濾：根據(jù)數(shù)據(jù)包中某一偏移的16進(jìn)制值選擇特定數(shù)據(jù)包。數(shù)據(jù)包的過濾既可以在捕獲前進(jìn)行，根據(jù)設(shè)置的過濾條件，只捕獲滿足條件的數(shù)據(jù)包；也可以在捕獲后進(jìn)行，捕獲所有的數(shù)據(jù)包，而在用戶設(shè)置好過濾條件后，只顯示滿足條件的數(shù)據(jù)包。當(dāng)不希望緩沖區(qū)因無用的數(shù)據(jù)而溢出時(shí)，使用前一種過濾方法很有用。后一種過濾方法廣泛用于已捕獲數(shù)據(jù)后根據(jù)需要選出部分?jǐn)?shù)據(jù)包作進(jìn)一步分析。另一種基于點(diǎn)到點(diǎn)傳輸技術(shù)進(jìn)行數(shù)據(jù)交換的局域網(wǎng)被稱為交換式局域網(wǎng)，但其底層工作協(xié)議仍然以CSMA/CD為基礎(chǔ)。在這一類型的局域網(wǎng)中，通常采用交換機(jī)連接局域網(wǎng)中的各個(gè)客戶機(jī)或服務(wù)器。交換機(jī)是一種網(wǎng)絡(luò)開關(guān)，工作在鏈路層，其本質(zhì)是一個(gè)具有流量控制能力的多端口網(wǎng)橋。交換機(jī)由4個(gè)基本元素組成：端口、緩沖區(qū)、信息幀的轉(zhuǎn)發(fā)機(jī)構(gòu)和背板體系結(jié)構(gòu)。這使得交換機(jī)可以同時(shí)接收多個(gè)端口信息，并可以同時(shí)將這些信息發(fā)往多個(gè)目標(biāo)地址對應(yīng)的端口，還可以將從一個(gè)端口接收的信息發(fā)向多個(gè)端口。交換機(jī)為每個(gè)端口提供專用的帶寬，專門的轉(zhuǎn)發(fā)通道。它維護(hù)有一張地址表，其中保存與各個(gè)端口連接的各個(gè)主機(jī)的MAC地址。當(dāng)交換機(jī)從某個(gè)端口接收到一個(gè)數(shù)據(jù)幀時(shí)，它會(huì)判斷其目標(biāo)MAC地址，然后在地址表中查找該MAC地址對應(yīng)的交換機(jī)端口，繼而直接將數(shù)據(jù)幀從該端口傳送出去。這就避免了共享式的集線器因共享傳輸通道所造成的沖突。交換式局域網(wǎng)在技術(shù)、速度、安全等方面占有優(yōu)勢，現(xiàn)在正在市場上迅速普及。交換式局域網(wǎng)是用交換機(jī)或其它非廣播式交換設(shè)備組建成的局域網(wǎng)。這些設(shè)備根據(jù)收到的數(shù)據(jù)幀中的MAC地址決定數(shù)據(jù)幀應(yīng)發(fā)向交換機(jī)的哪個(gè)端口。由于端口間的幀傳輸彼此屏蔽，在很大程度上解決了網(wǎng)絡(luò)嗅探的困擾，但隨著嗅探技術(shù)的發(fā)展，交換式局域網(wǎng)中同時(shí)存在網(wǎng)絡(luò)嗅探的安全隱患。(1)溢出攻擊交換機(jī)在工作時(shí)要維護(hù)一張MAC地址與端口的映射表，但是用于維護(hù)這張表的內(nèi)存是有限的，如果向交換機(jī)發(fā)送大量的MAC地址錯(cuò)誤的數(shù)據(jù)幀，交換機(jī)就可能出現(xiàn)溢出。這時(shí)交換機(jī)就會(huì)退回到HUB的廣播方式，向所有的端口發(fā)送數(shù)據(jù)包。一旦如此，網(wǎng)絡(luò)嗅探就同共享式網(wǎng)絡(luò)中的嗅探一樣容易了。(2)采用ARP欺騙ARP協(xié)議(AddressResolutionProtocol)是地址轉(zhuǎn)換協(xié)議，與之對應(yīng)的是反向地址轉(zhuǎn)換協(xié)議(RARP)，它們負(fù)責(zé)把IP地址和MAC地址進(jìn)行相互轉(zhuǎn)換對應(yīng)。計(jì)算機(jī)中維護(hù)著這樣一個(gè)IP-MAC地址對應(yīng)表，它是隨著計(jì)算機(jī)不斷地發(fā)出ARP請求和收到ARP響應(yīng)而不斷地更新的。通過ARP欺騙，改變這個(gè)表中IP地址和MAC地址的對應(yīng)關(guān)系，攻擊者就可以成為被攻擊者與交換機(jī)之間的“中間人”，使交換式局域網(wǎng)中的所有數(shù)據(jù)包都先流經(jīng)攻擊者主機(jī)的網(wǎng)卡，這樣就可以像共享式局域網(wǎng)一樣截獲分析網(wǎng)絡(luò)上的數(shù)據(jù)包了。如圖2-11所示，經(jīng)過ARP欺騙，受害者主機(jī)的數(shù)據(jù)包交換都先通過攻擊者主機(jī)。圖2-11交換式局域網(wǎng)下用ARP欺騙實(shí)現(xiàn)嗅探示意圖ARP(AddressResolutionProtocol，地址解析協(xié)議)是一個(gè)將32位的IP地址翻譯成48位MAC地址的協(xié)議。表2-6是ARP的請求和應(yīng)答分組格式。ARP協(xié)議是一個(gè)無狀態(tài)的協(xié)議，一旦收到ARP應(yīng)答報(bào)文，就會(huì)對其高速緩存中的IP地址到MAC地址的映射記錄進(jìn)行更新，而不會(huì)關(guān)心之前是否發(fā)出過ARP請求。ARP欺騙的核心就是向目標(biāo)主機(jī)發(fā)送一個(gè)包含偽造的IP-MAC映射信息的ARP應(yīng)答報(bào)文。當(dāng)目的主機(jī)收到此應(yīng)答報(bào)文后就會(huì)更新其ARP高速緩存，從而使目標(biāo)主機(jī)將報(bào)文發(fā)送給錯(cuò)誤的對象。這種攻擊也稱為中