《汽车自动变速器原理与维修-第5章 系统攻击与入侵检测-课件》由会员分享,可在线阅读,更多相关《汽车自动变速器原理与维修-第5章 系统攻击与入侵检测-课件(48页珍藏版)》请在金锄头文库上搜索。
1、第5章 系统攻击与入侵检测 本章学习目标:系统入侵的基本原理、主要方法以及如何 实现入侵检测,进行主动防御。 本章应该掌握以下内容: 入侵的概念 几种系统攻击方法的原理 入侵检测的原理 入侵检测系统的组成及结构5.1 系统攻击概述系统攻击或入侵是指利用系统安全漏洞,非授权进入他人系 统(主机或网络)的行为。了解自己系统的漏洞及入侵者的 攻击手段,才能更好的保护自己的系统。5.1.1 黑客与入侵者 Hacker Cracker,Intruder 5.1.2系统攻击的三个阶段 (1)收集信息 (2)探测系统安全弱点 (3)实施攻击 5.1.3网络入侵的对象1. 固有的安全漏洞 2. 系统维护措施不
2、完善的系统 3缺乏良好安全体系的系统5.2 系统攻击方法5.2.1 口令攻击 1获取口令的一些方法 (1)是通过网络监听非法得到用户口令 (2)口令的穷举攻击 (3)利用系统管理员的失误 5.2.1 口令攻击 2设置安全的口令 (1)口令的选择:字母数字及标点的组合,如: Ha,Ppy!和w/(X,y)*;使用一句话的开头字母做口令,如: 由A fox jumps over a lazy dog!产生口令:AfJoAld!。 (2)口令的保存:记住、放到安全的地方,加密最好。 (3)口令的使用:输入口令不要让别人看到;不要在不同 的系统上使用同一口令;定期改变口令。3一次性口令 (OTP,On
3、e-Time Password)。所谓的一次性口令就是一个口令仅使用一次 ,能有效地抵制重放攻击,这样窃取系统的口令 文件、窃听网络通信获取口令及穷举攻击猜测口 令等攻击方式都不能生效。 OTP的主要思路是:在登录过程中加入不确定因 素,使每次登录过程中的生成的口令不相同。使用一次性口令的系统中,用户可以得到一个口令列表 ,每次登录使用完一个口令后就将它从列表明中删除; 用户也可以使用IC卡或其他的硬件卡来存储用户的秘密 信息,这些信息再随机数、系统时间等参数一起通过散 列得到一个一次性口令。 5.2.2 IP欺骗伪造某主机的IP地址并实现与该目标主机的处于 同一信用域内的其他主机之间的连接的
4、技术。3个步骤:(1)使目标主机丧失工作能力。(2)采样目标主机发出的TCP序列号,猜测出 它的后续序列号(3)伪装成被信用主机,与目标主机建立起基 于IP地址验证的应用连接。建立TCP连接的3次握手客户机服务器 SYN请求SYN/ACKACKSYN Flooding攻击 对Windows NT攻击很有效 使用一个伪装的地址向目标计算机发送连接请求叫做IP欺 骗技术。当目标计算机收到这样的请求后,就会使用一些 资源来为新的连接提供服务,接着回复请求一个肯定答复 (叫做SYNACK)。由于SYNACK是返回到一个伪装 的地址,没有任何响应。于是目标计算机将继续设法发送 SYNACK。一些系统都有
5、缺省的回复次数和超时时间, 只有回复一定的次量、或者超时时,占用的资源才会释放 。NT设罢为可回复5次,每次等待时间加倍:则: 3+6+12+24+48+96=189S SYN-Flooding攻击示 意图1IP欺骗的工作原理 (1)使被信任主机丧失工作能力 TCP SYN-Flood : t1: Z (X) SYN BZ (X) SYN BZ (X) SYN B t2: X SYN/ACK-BX SYN/ACK-B t3: X RST B(2)序列号猜测方法如下:攻击者先与被攻击主机的一个端口(SMTP是一个很好的选择)建立起正常的连接。通常,这个过程被重复若干次,并将目标主机最后所发送的I
6、SN(初始序列号)存储起来。攻击者还需要估计他的主机与被 信任主机之间的RTT时间(往返时间),这个RTT时间是通过多次统计平均求出的。(3)实施欺骗Z伪装成A所信任的主机B攻击目标A 的过程如下:t1: Z(B)SYN A t2: B SYN/ACK A t3: Z(B)ACK A t4: Z(B)PSH A2. IP欺骗的防止(1)抛弃基于地址的信任策略 (2)进行包过滤 (3)使用加密方法 (4)使用随机化的初始序列号 5.2.3 端口扫描1端口与服务许多的TCP/IP程序都是可以通过网络启动的 客户/服务器结构。服务器上运行着一个守 护进程,当客户有请求到达服务器时,服务 器就启动一个
7、服务进程与其进行通信。为简 化这一过程,每个应用服务程序(如WWW 、FTP、Telnet等)被赋予一个唯一的地址 ,这个地址称为端口。端口号由16位的二进 制数据表示,范围为065535。守护进程在 一个端口上监听,等待客户请求。 2端口扫描端口扫描是获取主机信息的一种常用方法。利用端口扫描程序可以了解远程服务器提供的 各种服务及其TCP端口分配,了解服务器的操作 系统及目标网络结构等信息。 作为系统管理员使用扫描工具,可以及时检查和发现自己系 统存在的安全弱点和安全漏洞,是非很常用的网络管理工具,许多安全软件都提供扫描功能。 端口扫描也广泛被入侵者用来寻找攻击线索和 攻击入口。通过这种方法
8、,还可以搜集到很多关于目标主机的各种有用 的信息,比如:是否能用匿名登陆,是否有可写的FTP目录,是否能 用TELNET等等。端口扫描程序在网上很容易找到,因而许多人认为 扫描工具是入侵工具中最危险的一类。 5.2.4 网络监听网络监听可以监视网络的状态、数据流动情况 以及网络上传输的信息,是网络管理员的一种监视 和管理网络的一种方法,但网络监听工具也常是黑 客们经常使用的工具。当信息以明文的形式在网络 上传输时,便可以使用网络监听的方式来进行攻击 。只要将网络接口设置在监听模式,便可以源源不 断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施,如 局域网中的主机、网关或远程网的调
9、制解调器之间 等。黑客们用得最多的是截获用户的口令。 1网络监听的原理 以太网协议的工作方式为将要发送的数据帧发 往物理连接在一起的所有主机。 在帧头中包含着应该接收数据包的主机的地址 。数据帧到达一台主机的网络接口时,在正常情况 下,网络接口读入数据帧,并检查数据帧帧头中的 地址字段,如果数据帧中携带的物理地址是自己的 ,或者物理地址是广播地址,则将数据帧交给上层 协议软件,否则就将这个帧丢弃。对于每一个到达 网络接口的数据帧,都要进行这个过程。 然而,当主机工作在监听模式下,不管数据帧 的目的地址是什么,所有的数据帧都将被交给上层 协议软件处理。 2网络监听工具及其作用 嗅探器(sniff
10、er)就是一种网络监听工具。 sniffer工作在网络环境中的底层,它会拦截所有的 正在网络上传送的数据,并且通过相应的软件处理 ,可以实时分析这些数据的内容,进而分析所处的 网络状态和整体布局 , Sniffer实施的是一种消极的 安全攻击,它们极其安静地躲在某个主机上偷听别 人的通信,具有极好隐蔽性。网络监听对系统管理员是很重要的,系统管理 员通过监听可以诊断出大量的不可见问题,这些问 题有些涉及两台或多台计算机之间的异常通讯,有 些牵涉到各种协议的漏洞和缺陷。 3如何发现sniffer 通过下面的方法可以分析出网络上是否存在 sniffer进行分析。网络通讯掉包率反常的高。 网络带宽将出
11、现异常。 对于怀疑运行监听程序的主机,用正确的IP地址 和错误的物理地址去PING,正常的机器不接受错 误的物理地址,处于监听状态的机器能接受,这 种方法依赖系统的IPSTACK,对有些系统可能行 不通。 往网上发大量包含着不存在的物理地址的包 ,由 于监听程序将处理这些包,将导致性能下降,通 过比较前后该机器性能(icmp echo delay等方法) 加以判断。 5.2.5 拒绝服务(DoS)1什么是拒绝服务 拒绝服务攻击(Denial of Service)是指一个用户占据了 大量的共享资源,使系统没有剩余的资源给其它用户提 供服务的一种攻击方式。拒绝服务攻击的结果可以降低 系统资源的可
12、用性, 2拒绝服务攻击的方式 (1):信息数据包流量式: (2):SYN-Flooding攻击 : (3):过载攻击 : 服务过载 、进程过载攻击、系统过载攻击、磁盘 过载攻击 DoS攻击的基本过程 3分布式拒绝服务(DDoS)DDoS(分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式, 一个比较完善的DDoS攻击体系分成三层,如后图。(1)攻击者:攻击者所用的计算机是攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携机。攻击者操纵整个攻击过程,它向主控端发送攻击命令。 (2)主控端:主控端是攻击者非法侵入并控制的一些主机,这些主机还分别
13、控制大量的代理主 机。主控端主机的上面安装了特定的程序,因此 它们可以接受攻击者发来的特殊指令,并且可以 把这些命令发送到代理主机上。 (3)代理端:代理端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序,接受 和运行主控端发来的命令。代理端主机是攻击的 执行者,由它向受害者主机实际发起攻击。DDoS攻击体系 DDoS的主要攻击方式及防范策略 死亡之ping (ping of death) 由于在早期的阶段,路由器对包的最大尺 寸都有限制,许多操作系统对TCP/IP栈的 实现在ICMP包上都是规定64KB,并且在 对包的标题头进行读取之后,要根据该标 题头里包含的信息来为有效载荷生成
14、缓冲 区,当产生畸形的,声称自己的尺寸超过 ICMP上限的包也就是加载的尺寸超过 64K上限时,就会出现内存分配错误,导 致TCP/IP堆栈崩溃,致使接受方死机。5.2.6 缓冲区溢出缓冲区溢出是目前最为常见的安全漏洞,也是黑 客利用最多的攻击漏洞。 1缓冲区溢出的原理 在程序试图将数据放到机器内存中的某一个位置 的时候,如果没有足够的空间就会发生缓冲区溢 出。 大多造成缓冲区溢出的原因是程序中没有仔细检 查用户输入参数而造成的。 危害:一是过长的字符串覆盖了相邻的存储单元 ,引起程序运行失败,严重的可导致系统崩溃; 另有一个结果就是利用这种漏洞可以执行任意指 令,甚至可以取得系统根用户的权限
15、。 例如下面一段简单的C程序: #include “stdio.h“ #include “string.h“ void fuction(char *str) char buf10;gets(buf);strcat(str,buf); void main() char str20,str2;scanf(“%s“,str);scanf(“%c“,fuction(str);printf(“%s“,str); 3缓冲区溢出的保护目前有四种基本的方法保护缓冲区免受缓冲区 溢出的攻击和影响:一是强制编写正确的代码的方法。 二是通过操作系统使得缓冲区不可执行,从而 阻止攻击者植入攻击代码。三是利用编译器的边
16、界检查来实现缓冲区的保 护。四是一种间接的方法,该方法在程序指针失效 前进行完整性检查。5.3 入侵检测 5.3.1 入侵检测概述 入侵检测(Intrusion Detection),顾名思义,即是 对入侵行为的发觉。它在计算机网络或计算机系统中的若干关键 点收集信息,通过对这些信息的分析来发现网络或系统中是 否有违反安全策略的行为和被攻击的迹象。进行入侵检测的 软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须能将得到的数据 进行分析,并得出有用的结果。 早期的IDS模型设计用来监控单一服
