《網絡中的安全問題》

第10章網絡中的平安問題10.1網絡平安概述10.2IP欺騙10.3端口掃描10.4網絡監(jiān)聽10.5拒絕效勞攻擊10.6特洛伊木馬實訓工程10.1網絡平安概述TCP/IP是目前Internet使用的協(xié)議。TCP/IP存在著一系列的平安缺陷。有的缺陷是由于源地址的認證問題造成的，有的缺陷那么來自網絡控制機制和路由協(xié)議等。這些缺陷，是所有使用TCP/IP的系統(tǒng)所共有的.10.1.1TCP序列號預計 TCP序列號預計由莫里斯首先提出，是網絡平安領域中最有名的缺陷之一。這種攻擊的實質，是在不能接到目的主機應答確認時，通過預計序列號建立連接。這樣，入侵者可以偽裝成信任主機與目的主機通話10.1.2路由協(xié)議缺陷

(1)源路由選項的使用 (2)偽造ARP包 (3)RIP的攻擊 (4)OSPF的攻擊(1)源路由選項的使用 在IP包頭中的源路由選項用于該IP包的路由選擇，這樣，一個IP包可以按照預告指定的路由到達目的主機。對于Cisco路由器，禁止源路由包可通過命令：noipsource-route實現(xiàn)。(2)偽造ARP包 偽造ARP包是一種很復雜的技術，涉及到TCP/IP及以太網特性的很多方面。偽造ARP包的主要過程是，以目的主機的IP地址和以太網地址為源地址發(fā)一ARP包，這樣即可造成另一種IPspoof。(3)RIP的攻擊如果入侵者宣布經過自己的一條通向目的主機的路由，將導致所有往目的的主機數(shù)據(jù)包發(fā)往入侵者。這樣，入侵者就可以冒充是目的主機，也可以監(jiān)聽所有目的主機的數(shù)據(jù)包，甚至在數(shù)據(jù)流中插入任意的包。

解決上述問題的方法是：注意路由的改變信息。一個聰明的網關可以有效地擯棄任何明顯錯誤的路由信息。RIP的認證、加密也是一種較好的方法。(4)OSPF的攻擊 OSPF〔OpenShortestPathFirst〕協(xié)議是用于自治域內部的另一種路由協(xié)議。OSPF協(xié)議使用的路由算法是鏈路狀態(tài)〔Link-State〕算法。在該算法中，每個路由器給相鄰路由器宣布的信息是一個完整的路由狀態(tài)，包括可到達的路由器，連接類型和其他相關信息。和RIP相比，雖然OSPF協(xié)議中實施了認證過程，但是該協(xié)議還存在著一些平安的問題。10.1.3網絡監(jiān)聽 如果有一個網絡設備專門收集播送而決不應答，那么，它就可以看到本網的任何計算機在網上傳輸?shù)臄?shù)據(jù)。如果數(shù)據(jù)沒有經過加密，那么它就可以看到所有的內容。Sniffer就是一個在以太網上進行監(jiān)聽的專用軟件。監(jiān)聽這個現(xiàn)象對網絡的平安威脅是相當大的，因為它可以做到以下幾點:〔1〕抓到正在傳輸?shù)拿艽a?！?〕抓到別人的秘密〔信用卡號〕或不想共享的東西?！?〕暴露網絡信息。10.2IP欺騙10.2IP欺騙原理 1、信任關系 2、Rlogin 3、TCP序列號預測 4、序列編號、確認和其他標志信息 5、IP欺騙 6、IP欺騙的防止1、信任關系 信任關系是基于IP地址的。2、Rlogin Rlogin允許用戶從一臺主機登錄到另一臺主機上，并且，如果目標主機信任它，Rlogin將允許在不應答口令的情況下使用目標主機上的資源。平安驗證完全是基于源主機的IP地址。3、TCP序列號預測 可以對IP堆棧進行修改，在源地址和目的地址中放入任意滿足要求的IP地址，也就是說，提供虛假的IP地址。4、序列編號、確認和其他標志信息 TCP序列號預測最早是由Morris對這一平安漏洞進行闡述的。它使用TCP序列號預測，即使沒有從效勞器得到任何響應也能產生一個TCP包序列，這使得它能欺騙在本地網絡上的主機。5、IP欺騙IP欺騙由假設干步驟組成：〔1〕使被信任主機喪失工作能力 一旦發(fā)現(xiàn)被信任的主機，為了偽裝成它，往往使其喪失工作能力。由于攻擊者將要代替真正的被信任主機，攻擊者必須確保真正被信任的主機不能接收到任何有效的網絡數(shù)據(jù)，否那么將會被揭穿。有許多方法可以做到這些?！?〕序列號取樣和猜測 要對目標主機進行攻擊，必須知道目標主機使用的數(shù)據(jù)包序列號。 一個和這種TCP序列號攻擊相似的方法是使用NETSTAT效勞。在這個攻擊中，入侵者模擬一個主機關機。如果目標主機上有NETSTAT，它能提供在另一端口上必須的序列號。這取消了所有要猜測的必要。6、IP欺騙的防止〔1〕拋棄基于地址的信任策略 阻止這類攻擊的一種非常容易的方法就是放棄以地址為根底的驗證。不允許r*類遠程調用命令的使用；刪除.rhosts文件；清空/etc/hosts.equiv文件。這將迫使所有用戶使用其他遠程通信手段，如telnet、ssh、skey等等?！?〕進行包過濾 如果網絡是通過路由接入Internet的，那么可以利用路由器來進行包過濾。確信只有您的內部LAN可以使用信任關系，而內部LAN上的主機對于LAN以外的主機要慎重處理。您的路由器可以幫助您過濾掉所有來自于外部而希望與內部建立連接的請求?！?〕使用加密方法 阻止IP欺騙的另一種明顯的方法是在通信時要求加密傳輸和驗證。當有多種手段并存時，可能加密方法最為適用?！?〕使用隨機化的初始序列號 黑客攻擊得以成功實現(xiàn)的一個很重要的因素，就是序列號不是隨機選擇的或者隨機增加的。10.3端口掃描10.3.1端口掃描簡介 掃描器是一種自動檢測遠程或本地主機平安性弱點的程序，通過使用它，能夠掃描TCP端口，并記錄反響信息，可以不留痕跡地發(fā)現(xiàn)遠程效勞器中各種TCP端口的分配、提供的效勞和它們的軟件版本。這就能直觀地或間接地了解遠程主機存在的平安問題。10.3.2端口掃描的原理 最簡單的端口掃描程序僅僅是檢查一下目標主機在哪些端口可以建立TCP連接，如果可以建立連接，那么說明該主機在那個端口監(jiān)聽。當然，這種端口掃描程序不能進一步確定端口提供什么樣的效勞，也不能確定該效勞是否有眾所周知的那些缺陷。 下面介紹入侵者們如何利用上述這些信息，來隱藏自己的端口掃描

: 1、TCPconnect()掃描 2、TCPSYN掃描

3、TCPFIN掃描 4、Fragmentation掃描 5、UDPrecfrom()和write()掃描 6、ICMP掃描1、TCPconnect()掃描 TCPconnect()是最根本的一種掃描方式。使用系統(tǒng)提供的connect()系統(tǒng)調用建立與目標主機端口的連接。如果端口正在監(jiān)聽，connect()就成功返回；否那么，說明該端口不可訪問。2、TCPSYN掃描 一個RST響應說明該端口沒有被監(jiān)聽。如果收到一個SYN/ACK，那么通過立即發(fā)送一個RST來關閉連接。這樣做的好處是極少有主機來記錄這種連接請求。不利之處在于，必須有超級用戶權限才能建立這種可配置的SYN數(shù)據(jù)包。3.TCPFIN掃描 根本思想是關閉的端口將會用正確的RST來應答發(fā)送的FIN數(shù)據(jù)包；相反，翻開的端口往往忽略這些請求。這是一個TCP實現(xiàn)上的錯誤，也不是所有的系統(tǒng)都存在這類錯誤，因此，并不是100％有效。4、Fragmentation掃描 Fragmentation掃描并不是僅僅發(fā)送探測的數(shù)據(jù)包，而是將要發(fā)送的數(shù)據(jù)包分成一組更小的IP包。通過將TCP包頭分成幾段，放入不同的IP包中，使得包過濾程序難以過濾。5.UDPrecfrom()和write()掃描 沒有root權限的用戶不能直接得到端口不可訪問的錯誤，但是Linux可以間接地通知用戶。6、ICMP掃描 ICMP掃描并不是一個真正的端口掃描，因為ICMP并沒得到端口的信息。然而，用PING這個命令，通?？梢缘玫骄W上目標主機是否正在運行的信息。10.3.3端口掃描的工具1、NSS NSS，即網絡平安掃描器，是一個非常隱蔽的掃描器。如果用流行的搜索程序搜索它，所能發(fā)現(xiàn)的入口不超過20個。這并非意味著NSS使用不廣泛，而是意味著多數(shù)有該掃描器的FTP的站點處在暗處，或無法通過WWW搜索器找到它們。2.SATAN SATAN的英文全稱為SecurityAdministratorToolforAnalyzingNetworks，即平安管理員的網絡分析工具。SATAN是一個分析網絡的平安管理、測試與報告工具。它用來收集網絡上主機的信息，可以識別并且自動報告與網絡相關的平安問題。3.Strobe Strobe是一個超級優(yōu)化TCP端口檢測程序，能快速地識別指定機器上正運行什么效勞，用于掃描網絡漏洞。它可以記錄指定機器的所有開放端口。Strobe運行速度很快，它的主要特點是能快速識別指定機器上正在運行什么效勞10.4網絡監(jiān)聽10.4.1網絡監(jiān)聽的原理 網絡監(jiān)聽工具是提供給管理員的一類管理工具。這種工具本來是用來管理網絡，監(jiān)視網絡的狀態(tài)、數(shù)據(jù)流動情況以及網絡上傳輸?shù)男畔⒌?。但是，由于它能有效地截獲網上的數(shù)據(jù)，因此也成了網上黑客使用最多的方法1、監(jiān)聽的可能性 網絡監(jiān)聽是黑客們常用的一種方法。當黑客成功地登錄到一臺網絡上的主機，并取得這臺主機超級用戶的權限之后，往往要擴大戰(zhàn)果，嘗試登錄或者奪取網絡中其他主機的控制權。而網絡監(jiān)聽那么是一種最簡單而且最有效的方法，它常常能輕易地獲得用其他方法很難獲得的信息。

在網絡上，監(jiān)聽效果最好的地方是網關、路由器和防火墻。監(jiān)聽最方便的地方是以太網中任何一臺上網的主機，這是大多數(shù)黑客的做法2、以太網中可以監(jiān)聽的原因 以太網協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機。在包頭中包含著應該接收數(shù)據(jù)包的主機的正確地址。因此，只有與數(shù)據(jù)包中目標地址一致的那臺主機才能接收數(shù)據(jù)包。但是，當主機工作在監(jiān)聽模式下，那么，無論數(shù)據(jù)包中的目標物理地址是什么，主機都將接收。10.4.2網絡監(jiān)聽的檢測1、簡單的檢測方法 網絡監(jiān)聽是很難被發(fā)現(xiàn)的。運行網絡監(jiān)聽的主機只是被動地接收在局域網上傳輸?shù)男畔ⅲ]有主動的行動，既不會與其他主機交換信息，也不會修改在網上傳輸?shù)男畔?。這一切決定了網絡監(jiān)聽的檢測是非常困難的。(1)方法一 對于疑心運行監(jiān)聽程序的機器，用正確的IP地址和錯誤的物理地址去ping，運行監(jiān)聽程序的機器會有響應。這是因為正常的機器不接收錯誤的物理地址，處于監(jiān)聽狀態(tài)的機器能接收，如果他的IPstack不再次反向檢查，就會響應。這種方法依賴于系統(tǒng)的IPstack，對一些系統(tǒng)可能行不通(2)方法二 往網上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序將處理這些包，會導致性能下降。通過比較前后該機器性能〔icmpechodelay等方法〕加以判斷。這種方法難度比較大。

一個比較可行的檢查監(jiān)聽程序的方法是搜索所有主機上運行的進程。當然，這幾乎是不可能的。但是至少管理員可以確定是否有一個進程被從管理員機器上啟動。在不同平臺上執(zhí)行這個操作的命令是不同的。那些使用Dos、Windowsforworkgroup或者Windows95的機器很難做到這一點。而使用UNIX和WindowsNT/2000的機器可以很容易地得到當前進程的清單。2、對付一個監(jiān)聽 擊敗一個監(jiān)聽程序的攻擊并不十分困難。用戶有多種選擇，而最終采用哪一種取決于用戶真正想做什么，剩下的就取決于運行時的開銷了。3、其他防范監(jiān)聽的方法 一般能夠接受的擊敗網絡監(jiān)聽的方法是使用平安的拓撲結構。這種技術通常被稱為分段技術。將網絡分成一些小的網絡，每一網段的集線器連接到一個交換機上(Switch)，因為網段是硬件連接的，因而包只能在該子網的網段之內被監(jiān)聽工具截獲。這樣，網絡中剩余的局部〔不在同一網段的局部〕就被保護了4、ifstatus工具Ifstatus的開發(fā)者是DaveCurry。Ifstatus運行的UNIX操作系統(tǒng)中，它可以識別出系統(tǒng)的網絡接口是否正處于調試狀態(tài)或者說監(jiān)聽狀態(tài)下。當網絡接口運行在這種模式下，很可能是一個入侵者侵入了系統(tǒng)，正在運行一個監(jiān)聽程序，用來截獲在網絡上傳送的口令和其他明文形式的信息。 網絡監(jiān)聽是網絡管理很重要的一個環(huán)節(jié)，同時也是黑客們常用的一種方法。事實上，網絡監(jiān)聽的原理和方法是廣義的，例如路由器也是將傳輸中的包截獲，進行分析并重新發(fā)送出去。許多的網絡管理軟件都少不了監(jiān)聽這一環(huán)節(jié)。而網絡監(jiān)聽工具只是這一大類應用中的一個小的方面。對網上傳輸?shù)男畔⑦M行加密，可以有效地防止網絡監(jiān)聽的攻擊10.5拒絕效勞攻擊10.5.1概述 拒絕效勞，即DenialofService，簡稱DoS，從因特網誕生以來就伴隨著因特網的開展而一直存在，并不斷地開展和升級。由于它的不易識別和覺察性以及簡易性，因而一直是困擾網絡平安的重大隱患。 拒絕效勞是一種簡單的破壞性攻擊，通常攻擊者利用TCP/IP中的某個漏洞，或者系統(tǒng)存在的某些漏洞，對目標系統(tǒng)發(fā)起大規(guī)模的攻擊，使得攻擊目標失去工作能力，使得系統(tǒng)不可訪問因而合法用戶不能及時得到應得的效勞或系統(tǒng)資源，如CPU處理時間與存儲器等。它最本質的特征是延長正常的應用效勞的等待時間。主要表現(xiàn)為以下幾個方面：(1)企圖湮滅一個網絡，中斷正常的網絡流量；(2)企圖破壞兩個機器之間的連接，禁止訪問可用效勞；(3)企圖阻止某一特定用戶對網絡上效勞的訪問；(4)企圖破壞一個特定系統(tǒng)或使其不能提供正常訪問10.5.2拒絕效勞攻擊的原理1、拒絕效勞的模式 拒絕效勞有很多分類方法，按照入侵方式，拒絕效勞可以分為資源消耗型，配置修改型，物理破壞型以及效勞利用型。(1)資源消耗型 資源消耗型拒絕效勞是指入侵者試圖消耗目標的合法資源，例如網絡帶寬、內存和磁盤空間以及CPU使用率，從而到達拒絕效勞的目的。(2)配置修改型計算機配置不當可能造成系統(tǒng)運行不正常甚至根本不能運行。入侵者通過改變或者破壞系統(tǒng)的配置信息來阻止其他合法用戶來使用計算機和網絡提供的效勞，主要有以下幾種：改變路由信息；修改WindowsNT注冊表；修改UNIX的各種配置文件(3)物理破壞型 物理破壞型拒絕效勞主要針對物理設備的平安，入侵者可以通過破壞或改變網絡部件以實現(xiàn)拒絕效勞。(4)效勞利用型 利用入侵目標的自身資源實現(xiàn)入侵意圖，由于被入侵系統(tǒng)具有漏洞和通信協(xié)議的弱點，這給了入侵者提供了入侵的時機2、拒絕效勞常用方法(1)死亡之Ping(PingofDeath)①原理Ping入侵是通過向目標端口發(fā)送大量超大尺寸的ICMP包來實現(xiàn)的。②防御這種方式主要是針對Windows9X操作系統(tǒng)的，而UNIX、Linux、Solaris與Mac等大多數(shù)操作系統(tǒng)都具有抵抗一般PingofDeath入侵的能力(2)Teardrop①原理 鏈路層具有最大傳輸單元MTU這個特性，它限制了數(shù)據(jù)幀的最大長度，不同的網絡類型都有一個上限值。以太網的MTU是1500，可以用netstat—i命令查看這個值。如果IP層有數(shù)據(jù)包要傳，而且數(shù)據(jù)包的長度超過了MTU，那么IP層就要對數(shù)據(jù)包進行分片操作，使每一片的長度都小于或等于MTU。每一IP分片都各自路由，到達目的主機在IP層重組，IP首部中的數(shù)據(jù)能夠正確完成分片的重組。假設在IP分組中指定一個非法的偏移值，將可能造成某些協(xié)議軟件出現(xiàn)緩沖區(qū)覆蓋，導致系統(tǒng)崩潰。②防御 Windows操作系統(tǒng)應打上最新的ServicePack,目前的Linux內核已經不受影響；如果可能，應在網絡邊界上禁止碎片包通過，或者用iptables限定每秒通過碎片包的數(shù)目；如果防火墻有重組碎片的功能，應確保自身的算法沒有問題，否那么拒絕效勞就會影響整個網絡；在Windows2000操作系統(tǒng)中，可以自定義IP平安策略并設置碎片檢查(3)Land①原理 Land是由著名黑客組織RootShell發(fā)現(xiàn)的，原理比較簡單，就是向目標機發(fā)送源地址與目的地址一樣的數(shù)據(jù)包，造成目標機解析Land包占用太多資源，從而使網絡功能完全癱瘓。②防御 打最新的補丁，或者在防火墻進行配置，將那些在外部接口上入站的含有源地址是內部地址的數(shù)據(jù)包過濾掉

(4)Smurf①原理 這種方法結合了使用了IP欺騙和ICMP回復方法，使大量網絡傳輸充滿目標系統(tǒng)，導致目標系統(tǒng)拒絕為正常系統(tǒng)效勞。②防御 可以分別在源站點、中間站點和目標站點采取以下步驟，以限制Smurf入侵。阻塞Smurf入侵的源頭阻塞Smurf的中間站點防止Smurf入侵目標站點(5)PingFlood①原理 當黑客偽裝成被入侵主機向一個播送地址發(fā)送ping請求時，所有這個播送地址內的主機都會回應這個Ping請求〔當然是回應入侵主機，人人都認為是它Ping的〕。這樣，相當于n倍的入侵力度〔n＝播送地址內回應Ping包的主機數(shù)量〕。②防范 關閉broadcast播送功能；實行包過濾〔packetfiltering〕；關閉ICMPEchoReply功能。(6)SYNFlood①原理 正常的一個TCP連接需要連接雙方進行“3次握手〞，假設一個用戶向效勞器發(fā)送了SYN報文后突然死機或掉線，那么效勞器在發(fā)出SYN＋ACK應答報文后是無法收到客戶端的ACK報文的〔第三次握手無法完成〕。②防范第一種是縮短SYNTimeout的時間，第二種方法是設置SYNCookie，(7)UDPFlood①原理 如果惡意入侵者將兩個UDP效勞互指，那么網絡可用帶寬會很快耗盡。②防范 對于UDPFlood入侵，防火墻只能通過防止數(shù)據(jù)報文的回應來減少效勞器的負荷，而無法防止網絡的擁塞。對于網絡擁塞的問題，那么需要相關的路由器和交換機等網絡根底設施的配合。10.6特洛伊木馬 特洛伊木馬程序并不是一種病毒，因為它不具有病毒的可傳染性、自我復制能力等特性，但是特洛伊木馬程序具有很大的破壞力和危害性。這一節(jié)里主要介紹特洛伊木馬的根本概念、原理以及如何預防和去除特洛伊木馬。10.6.1特洛伊木馬程序簡介所謂特洛伊木馬程序，是指以下幾種情況之一一種未經授權的程序，它包含在一段正常的程序當中。這個未經授權的程序提供了一些用戶不知道〔也可能是不希望實現(xiàn)的〕的功能。一段合法的程序，但是它的功能已經被安裝在其中的未經授權的代碼改變了。這些代碼提供了一些用戶不知道的〔也可能是不希望實現(xiàn)的〕功能。 任何一段程序，似乎是提供了一系列符合用戶需要的功能，但是由于在其中包含了一些用戶不知道的未經授權的代碼，使得該程序有一些不為用戶所知道〔也可能是不希望實現(xiàn)的〕功能10.6.2特洛伊木馬程序程序的位置和危險級別特洛伊木馬程序代表了一種很高級別的威脅危險，主要是有以下幾個原因。特洛伊木馬程序很難被發(fā)現(xiàn)。在許多情況下，特洛伊木馬程序是在二進制代碼中發(fā)現(xiàn)的，它們大多以無法閱讀的形式存在。特洛伊木馬程序可以作用于許多機器中10.6.3特洛伊木馬的類型 根據(jù)特洛伊木馬的不同特點，大致可以分為以下幾種類型1、遠程訪問型特洛伊木馬2、密碼發(fā)送型特洛伊木馬3、鍵盤記錄型特洛伊木馬4、毀壞型特洛伊木馬5、FTP型特洛伊木馬1、遠程訪問型特洛伊木馬 這種特洛伊木馬是現(xiàn)在使用最廣泛的特洛伊木馬。它可以訪問其他用戶的硬盤。2、密碼發(fā)送型特洛伊木馬 這種特洛伊木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。3、鍵盤記錄型特洛伊木馬 這種特洛伊木馬是非常簡單的。它們只做一種事情，就是記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼。4、毀壞型特洛伊木馬 這種特洛伊木馬的惟一功能是毀壞并且刪除文件，這使它們非常簡單，并且很容易被使用。5、FTP型特洛伊木馬 這種特洛伊木馬將翻開用戶機器的端口21，使每一個人都有一個FTP客戶端可以不用密碼就連接到用戶的機器，并且會有平安的上傳和下載選項。10.6.4特洛伊木馬的檢測1、檢測的根本方法 對于特洛伊木馬程序的檢測方式與用戶的平安需求和平安級別有關。如果用戶比較重要或敏感的數(shù)據(jù)放在效勞器上〔一般建議不要這樣做〕，那么可能需要采取比較嚴格的檢測措施。如果在效勞器上沒有這些信息，或者用戶數(shù)據(jù)是可以局部共享的，那么采取一般的簡單檢測措施即可。2、檢測工具MD5 有一些對付特洛伊木馬程序的方法，其中之一就是數(shù)字簽名技術，用來保護已有的程序不被更換，這需要計算現(xiàn)有的每個文件的數(shù)字指紋〔數(shù)字簽名〕，通過文件加密的方法和解密驗證來檢查文件的變化。這是由一些算法來實現(xiàn)的，其中最常用的是MD5算法10.6.5特洛伊木馬的防范1、特洛伊木馬的根本工作原理(1)在任務欄中隱藏自己，這時最根本的解決方法是把Form的Visible屬性設為False,ShowInTackBar屬性設為False，程序運行時就不會出現(xiàn)在任務欄中了。

(2)在任務管理器中隱形：將程序設為“系統(tǒng)效勞〞可以很輕松地偽裝自己。特洛伊木馬程序悄無聲息地啟動，而不是在用戶每次啟動后點擊特洛伊木馬圖標才運行效勞端程序。特洛伊木馬程序會在每次用戶啟動時自動裝載效勞端，它可以充分利用Windows操作系統(tǒng)啟動時自動加載應用程序的方法，例如，啟動組、win.ini、system.ini與注冊表等都是特洛伊木馬藏身的好地方2、去除特洛伊木馬的一般方法 知道了特洛伊木馬的工作原理，查殺就變得很容易。如果發(fā)現(xiàn)有特洛伊木馬存在，首要的一點是立即將計算機與網絡斷開，防止黑客通過網絡對用戶計算機所進行的攻擊。

在對付特洛伊木馬程序方面，綜合起