[互联网]系统网络安全4

《[互联网]系统网络安全4》由会员分享，可在线阅读，更多相关《[互联网]系统网络安全4（101页珍藏版）》请在金锄头文库上搜索。

1、网络安全 第四节 网络入侵及其安全防御 第八章 一、入侵和攻击的种类 有多种不同的入侵和攻击行为，这 里只给出最常见的种类。 在Internet上 在局域网上 本地 离线 在Internet上 协作攻击：Internet允许全世界范围的连接，这很 容易使来自全世界的人们在一个攻击中进行合作参与 。 会话劫持：在合法的用户得到鉴别可以访问后，攻 击者接管一个现存动态会话的过程。 欺骗：欺骗是一种模仿或采取不是自己身份的行为 。 转播：是攻击者通过第三方的机器转播或反射他的 通信，这样攻击就好象来自第三方的机器而不是他。 特洛伊木马或病毒：特洛伊木马的常见用途是安装 后门。 在局域网上 嗅探流量：

2、观察网络上所有流量的被动攻击。 广播：攻击者发送一个信息包到广播地址，以 达到产生大量流量的目的。 文件访问：通过找到用户标识和口令，可以对 文件进行访问。 远程控制：通过安装木马实现对机器的远程控 制。 应用抢劫：接收应用并且达到非授权访问。 本地 旁侧偷看 未上锁的终端 被写下的口令 拔掉机器 本地登录 离线 下载口令文件 下载加密的文本 复制大量的数据 欺骗技术 IP欺骗 假冒他人的IP地址来获得信息或发送信息 邮件欺骗 假冒他人的email地址发送信息 Web欺骗 你能相信你所看到的信息吗？ 非技术性欺骗 把精力集中在攻击公司的人力因素上 网络安全 二、网络攻击 网络攻击的步骤 （1）

3、信息收集，获取目标系统的信息，操作 系统的类型和版本，主要提供的服务和服务进 程的类型和版本，网络拓扑结构 （2）获得对系统的访问权力 （3）获得系统超级用户的权力。利用（2）的 权力和系统的漏洞，可以修改文件，运行任何 程序，留下下次入侵的缺口，或破坏整个系统 （4）消除入侵痕迹 入侵者可利用的弱点 （1）网络传输和协议的漏洞 攻击者利用网络传输时对协议的信任以及网络传 输的漏洞进入系统。 （2）系统的漏洞 攻击者可以利用系统内部或服务进程的BUG和配置 错误进行攻击。 （3）管理的漏洞 攻击者可以利用各种方式从系统管理员和用户那 里诱骗或套取可用于非法进入的系统信息，包括 口令、用户名等。

4、 信息收集步骤 1）找到初始信息 Open source Whois Nslookup 2）找到网络的地址范围 Traceroute 3）找到活动的机器 Ping 4）找到开放端口和入口点 Nmap Nessus 5）弄清操作系统 Nmap 6）弄清端口运行的服务 . 1)初始信息收集: 公开信息、网页、 新闻报道、出版发行物、 新闻组或论坛 Whois 为Internet提供目录服务，包括名字、通讯地址、电话 号码、电子邮箱、IP地址等信息 Client/Server结构 Client端 发出请求，接受结果，并按格式显示到客户屏幕上 Server端 建立数据库，接受注册请求 提供在线查询服务

5、 客户程序 UNIX系统自带whois程序 Windows也有一些工具 直接通过Web查询 1)初始信息收集（续）:Nslookup 关于DNS 是一个全球分布式数据库，对于每一个DNS节点 ，包含有该节点所在的机器的信息、邮件服务器的 信息、主机CPU和操作系统等信息 Nslookup是一个功能强大的客户程序 使用Nslookup可查到域名服务器地址和IP地址 C:nslookup Server: Address: 202.112.7.13 Non-authoritative answer: Name: Address: 162.105.203.7 1)初始信息收集:Ping 得到IP地址的

6、简单方法是PING域名 C:ping Pinging 162.105.202.100 with 32 bytes . . 2)找到网络地址范围 Traceroute 用来发现实际的路由路径 原理：给目标的一个无效端口发送一系列UDP，其TTL依 次增一，中间路由器返回一个ICMP Time Exceeded消息 v关于traceroute traceroute有一些命令行参数，可以改变缺省的行为 可以用来发现到一台主机的路径，为勾画出网络拓扑图提 供最基本的依据 Windows平台上为“tracert”, Traceroute允许指定宽松的源路由选项。 不过，许多防火墙是禁止带源路由的包的 主

7、机扫描的目的是确定在目标网络上 的主机是否可达，同时尽可能多映射目 标网络的拓扑结构 传统主机扫描技术 高级主机扫描技术 3)主机扫描 网络安全 三、网络攻击方法 1、远程攻击的概念 远程攻击的对象是攻击者暂时还 无法控制的计算机，远程攻击是专门 攻击除攻击者本机以外的计算机，远 程计算机是能够利用某种协议、通过 英特网或者其他网络介质而被使用的 计算机远程攻击的分析。 网络安全 网络攻击既可是因为某种需要直接 发起攻击，也可以在防御系统受到攻 击时发起反击，有时候，攻击对方往 往是最好的防御。网络攻击的应用主 要包括：窃取安全信息、获取有用信 息、破坏网络服务、恶化数据、网络 欺骗等等。 第

8、四节 网络入侵及其安全防御 网络安全第四节 网络入侵及其安全防御 发现一个系统的弱点是展开攻击或防 御的前提，途径包括： 1）开发检测系统易损性的工具 目前，已经有大量的扫描器（scanner） 和嗅探器（sniffer）出现，如NSS、 strobe、Gobbler、ETHLoad等。 2）开发高性能的扫描器 如何使嗅探器对付网络分段和加密算法 等；将当前最先进的工具结合起来，设 计出一个有复合功能的、拥有学习能力 的、自适应系统。 网络安全第四节 网络入侵及其安全防御 3）人工分析 为了进一步发展易损性检测系统，还应对 新兴的防御技术进行深入的分析，比如分 析新的安全协议中的漏洞等等。 只

9、有深入研究和了解网络系统的易损性，获 悉系统的漏洞和弱点，才可能对症下药，实 施强有力的攻击。 网络安全 4）使用Ping命令 Ping命令本来是用做检测目标服务器的响应 速度，发送一个32KB的封包到对方服务器，来 获得对方服务器的响应时间。但是，一旦受到 大范围IP的PING，很容易导致带宽被占，影响 普通用户对其网页的连接速度以及使用在该服 务器上的一切服务，严重的可以使该服务器 DOWN机（即死机）。要达到这个目的，不是 一个人可以达到的，如果上网人数极多，而且 大家都在PING一个网站，就可能产生如此效果 。例如： 第四节 网络入侵及其安全防御 网络安全 具体的操作方法： 1、在上网

10、后，进入WINDOWS的DOS模式下 2、输入 ping 这里输入对方的网页地址或者IP,如果再加上-t 参数则为无限循环的PING。 ping -t 第四节 网络入侵及其安全防御 入侵检测的定义 v对系统的运行状态进行监视，发现各种攻 击企图、攻击行为或者攻击结果，以保证 系统资源的机密性、完整性和可用性 v进行入侵检测的软件与硬件的组合便是入 侵检测系统 vIDS : Intrusion Detection System 五、入侵检测 IDS基本结构 入侵检测系统包括三个功能部件 （1）信息收集 （2）信息分析 （3）结果处理 信息收集 v入侵检测的第一步是信息收集，收集内容包括系统 、网

11、络、数据及用户活动的状态和行为 v需要在计算机网络系统中的若干不同关键点（不同 网段和不同主机）收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点 信息收集 v入侵检测很大程度上依赖于收集信息的可靠性和正 确性 v要保证用来检测网络系统的软件的完整性 v特别是入侵检测系统软件本身应具有相当强的坚固 性，防止被篡改而收集到错误的信息 信息收集的来源 v系统或网络的日志文件 v网络流量 v系统目录和文件的异常变化 v程序执行中的异常行为 系统或网络的日志文件 v攻击者常在系统日志文件中留下他们的踪迹，因此， 充分利用系统和网络日志文件信息是检测入侵的必要 条件 v日志文件中记录了各种行

12、为类型，每种类型又包含不 同的信息，例如记录“用户活动”类型的日志，就包含 登录、用户ID改变、用户对文件的访问、授权和认证 信息等内容 v显然，对用户活动来讲，不正常的或不期望的行为就 是重复登录失败、登录到不期望的位置以及非授权的 企图访问重要文件等等 系统目录和文件的异常变化 v网络环境中的文件系统包含很多软件和数据文件，包 含重要信息的文件和私有数据文件经常是黑客修改或 破坏的目标 v目录和文件中的不期望的改变（包括修改、创建和删 除），特别是那些正常情况下限制访问的，很可能就 是一种入侵产生的指示和信号 v入侵者经常替换、修改和破坏他们获得访问权的系统 上的文件，同时为了隐藏系统中他

13、们的表现及活动痕 迹，都会尽力去替换系统程序或修改系统日志文件 信息分析 信息分析 模式匹配 统计分析 完整性分析，往往用于事后分析 模式匹配 v模式匹配就是将收集到的信息与已知的网络入侵和系 统误用模式数据库进行比较，从而发现违背安全策略 的行为 v一般来讲，一种攻击模式可以用一个过程（如执行一 条指令）或一个输出（如获得权限）来表示。该过程 可以很简单（如通过字符串匹配以寻找一个简单的条 目或指令），也可以很复杂（如利用正规的数学表达 式来表示安全状态的变化） 统计分析 v统计分析方法首先给系统对象（如用户、文件、目录 和设备等）创建一个统计描述，统计正常使用时的一 些测量属性（如访问次数

14、、操作失败次数和延时等） v测量属性的平均值和偏差将被用来与网络、系统的行 为进行比较，任何观察值在正常值范围之外时，就认 为有入侵发生 完整性分析 v完整性分析主要关注某个文件或对象是否被更改 v这经常包括文件和目录的内容及属性 v在发现被更改的、被安装木马的应用程序方面特别 有效 结果处理 入侵检测性能关键参数 v误报(false positive)：如果系统错误地将异常 活动定义为入侵 v漏报(false negative)：如果系统未能检测出 真正的入侵行为 六、入侵检测的分类 v按照数据来源： 基于主机：系统获取数据的依据是系统运行所在 的主机，保护的目标也是系统运行所在的主机 基于

15、网络：系统获取的数据是网络传输的数据包 ，保护的是网络的运行 混合型 1、入侵检测产品特点： 1）记录尽可能多的“攻击特征”，并经 常更新以检测新的威胁。 2）给出尽可能详尽的检测信息，并使 这些信息能够完全为网络管理员所理解。 3）尽可能自动对威胁做出回应，能通 过指示网络设备在发生安全问题时如何动 作。 4）尽可能减少产品副作用。 网络安全 2、入侵检测产品分类： 第一类：对网络或主机上安全漏洞进行 扫描的脆弱性评估工具。 第二类：为查找非授权使用网络或主机 系统企图的产品。 后一类产品使用代理程序，这类代理程 序可以根据它们所识别的攻击特征来识别 遇到的问题。而且，新的版本可以识别可 疑的活动模式（采用人工智能判别，而非 具体的攻击特征的异常现象）来确定可疑 的活动。 网络安全 3、入侵检测工具： Haxor （IBM） NetRanger（Cisco） SessionWall-3（Computer Associates） CyberCop Scanner（Network Associates） NukeNabber 网络安全 入侵检测工具成为今天安全管 理员武器库的一个可行的选择。 黑客行为数量正在不断