《信息系统攻击与防御(第三章)》由会员分享,可在线阅读,更多相关《信息系统攻击与防御(第三章)(41页珍藏版)》请在金锄头文库上搜索。
1、第三章 攻击概述1.网络攻击概述 2.一次完整的入侵 内容简介 现在国际上几乎每20秒就有一起黑客事件发生 ,仅美国,每年由黑客所造成的经济损失就高 达100亿美元。“黑客攻击”在今后的电子对抗 中可能成为一种重要武器,2001年5月,在中美 撞机事件后,中国的“红客”与美国的“黑客 ”就进行了针对对方网络的大规模的网上攻防 对抗。随着互联网的日益普及和在社会经济活 动中的地位不断加强,互联网安全性得到更多 的关注。因此,有必要对黑客现象、黑客行为 、黑客技术、黑客防范进行分析研究。本章作 为学习攻击的开始,介绍了现有的主要黑客组 织,网络攻击的基本分类,并重点介绍了一次 完整攻击的一般过程,
2、并举了一个完整的实例 进行说明。3.1.网络攻击概述 网络史上第一宗黑客入侵是1988年,美国 康乃尔大学一位叫作Robert-Morris的研究生设 计出的一套网络安全性测试程序出了差错,结 果包括NASA、美国国家实验室、犹他州立大学 等等在内,超过6000台的网络主机遭到破坏而 瘫痪。净损失一千多万美元。事实上,“黑客”并没有明确的定义,它 具有“两面性”。黑客在造成重大损失的同时 ,也有利于系统漏洞发现和技术进步。 安全性攻击的的主要形式信息安全的目标 机密性 完整性 认证性 不可否认性机密性机密性是指保证信息不泄露给非授权的用户或实体,确保存储的信息和被传输的信息仅能被授权的各方得到
3、,而非授权用户得到信息也无法知晓信息内容,不能使用。通常通过访问控制阻止非授权用户获得机密信息,通过加密变换阻止非授权用户获知信息内容。完整性完整性是指信息未经授权不能进行改变的特征,维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改(插入、修改、删除、重排序等)。一般通过访问控制阻止篡改行为,同时通过消息摘要算法来检验信息是否被篡改。认证性认证性是指确保一个消息的来源或消息本身 被正确地标识,同时确保该标识没有被伪造,分为 实体认证和消息认证。消息认证是指能向接收方保证该消息确实 来自于它所宣称的源。实体认证是指在连接发起时能确保这两个 实体是可信的,即每
4、个实体的确是它们宣称的那个 实体,使得第三方不能假冒这两个合法方中的任何 一方。不可否认性不可否认性是防止发送方或接收方抵赖所传输的信息,要求无论发送方还是接收方都不能抵赖所进行的传输。因此,当发送一个信息时,接收方能证实该消息的确是由所宣称的发送方发来的(源非否认性)。当接收方收到一个消息时,发送方能够证实该消息的确送到了指定的接收方(宿非否认性)。一般通过数字签名来提供抗否认服务。信息安全研究内容及相互关系3.1.1.主要黑客组织 1、国内黑客组织 因特网在中国的迅速发展也使国内的黑客逐渐成长起来。纵观中国 黑客发展史,可以分为3代。 第1代(19961998),中国第1代黑客大都是从事科
5、研、机械等方面 工作的人,只有他们才有机会频繁地接触计算机和网络。他们有着 较高的文化素质和计算机技术水平,凭着扎实的技术和对网络的热 爱迅速发展成为黑客。现在他们都有稳定的工作,有的专门从事网 络安全技术研究或成为网络安全管理员,有的则开了网络安全公司 ,演变为派客(由黑客转变为网络安全者)。黑客代表组织为“绿色 兵团”。 第2代(19982000),随着计算机的普及和因特网的发展,有越来 越多的人有机会接触计算机和网络,在第1代黑客的影响和指点下 ,中国出现了第2代黑客。他们一部分是从事计算机的工作者和网 络爱好者,另一部分是在校学生。黑客代表组织为原“中国黑客联 盟”。 第3代(2000
6、至今),这一代黑客主要由在校学生组成,其技术水 平和文化素质与第1代、第2代相差甚远,大都只是照搬网上一些由 前人总结出来的经验和攻击手法。现在网络上所谓的入侵者也是由 这一代组成。但是领导这一代的核心黑客还是那些第1代、第2代的 前辈们。黑客代表组织为“红客联盟”、“中国鹰派”。3.1.1.主要黑客组织(续) 1、国内黑客组织 目前比较典型的黑客组织有: 1安全焦点 (代表人:冰河); 2绿色兵团(已解散)(代表人:龚蔚); 3中国鹰派联盟(代表人:老鹰); 4小榕软件(代表人:小榕); 5第八军团(代表人:陈三公子); 6邪恶八进制(代表人:冰血封情); 7黑客基地(代表人:孤独剑客);
7、8华夏黑客同盟(代表人:怪狗)等。3.1.1.主要黑客组织(续) 2、国外黑客组织 以下是一些国外黑客组织的站点或者是介绍黑客知识的网站。 http:/ Seltzer是美国eWEEK.com的 安全栏目编辑。 http:/www.security.nnov.ru/是俄罗斯一个安全站点。 http:/ 程序员)。 http:/chess.eecs.berkeley.edu/trust/是加州大学伯克利分校“普及安 全技术研究小组“。 http:/linsec.ca/是加拿大一个主要收集linux安全相关的文档资料的站 点, 也包括其它类Unix系统如OpenBSD, Mac OS X等。 ht
8、tp:/ 闻的网站,成立于2002年9月8日。3.1.2. 网络攻击分类 网络攻击在最高层次上可以分为两类:主动攻 击和被动攻击。 主动攻击是攻击者非法访问他所需信息的故意 行为,如果要寻找,攻击者是很容易被发现的 。主动攻击包括拒绝服务攻击、信息篡改、资 料非法使用、欺骗等攻击方法。 被动攻击主要是被动收集信息,而不是主动访 问,数据的合法用户对这种活动很难觉察到。 被动攻击包括嗅探、信息收集等攻击方法。3.1.2. 网络攻击分类(续) 1、服务拒绝攻击: 服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你 提供服务,服务拒绝攻击是最容易实施的攻击行为,主要包括: 1死亡之ping
9、(ping of death) 由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系 统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题 头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成 缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是 加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP 堆栈崩溃,致使接受方死机。 基本防御措施:现在所有的标准TCP/IP实现都已实现对付超大尺寸 的包,并且大多数防火墙能够自动过滤这些攻击,包括:从 windows98之后的windows,NT(service pack 3之后),linux、
10、 Solaris、和Mac OS都具有抵抗一般ping of death攻击的能力。此 外,对防火墙进行配置,阻断ICMP以及任何未知协议,都可以防止 此类攻击。 3.1.2. 网络攻击分类(续) 1、服务拒绝攻击: 2泪滴(teardrop) 泪滴攻击利用那些在TCP/IP堆栈实现中信任IP 碎片中的包的标题头所包含的信息来实现自己 的攻击。IP分段含有指示该分段所包含的是原 包的哪一段的信息,某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造 分段时将崩溃。 基本防御措施:服务器应用最新的服务包,或 者在设置防火墙时对分段进行重组,而不是转 发它们。3.
11、1.2. 网络攻击分类(续) 1、服务拒绝攻击: 3UDP洪水(UDP flood) 各种各样的假冒攻击利用简单的TCP/IP服务, 如填充和反射来传送毫无用处的占满带宽的数 据。通过伪造与某一主机的装载服务之间的一 次的UDP连接,回复地址指向开着Echo服务的 一台主机,这样就生成在两台主机之间的足够 多的无用数据流,如果足够多的数据流就会导 致带宽不够的拒绝服务攻击。 基本防御措施:关掉不必要的TCP/IP服务,或 者对防火墙进行配置阻断来自Internet的UDP请 求。 3.1.2. 网络攻击分类(续) 1、服务拒绝攻击: 4SYN洪水(SYN flood) 一些TCP/IP栈的实现
12、只能等待从有限数量的计算机发来 的ACK消息,因为他们只有有限的内存缓冲区用于创建 连接,如果这一缓冲区充满了虚假连接的初始信息,该 服务器就会对接下来的连接停止响应,直到缓冲区里的 连接企图超时。在一些创建连接不受限制的实现里, SYN洪水具有类似的影响。 基本防御措施:在防火墙上过滤来自同一主机的后续连 接,未来的SYN洪水令人担忧,由于释放洪水的并不寻 求响应,所以无法从一个简单高容量的传输中鉴别出来 。3.1.2. 网络攻击分类(续) 1、服务拒绝攻击: 5Land攻击 在Land攻击中,一个特别打造的SYN包,它的原地址和 目标地址都被设置成某一个服务器地址,此举将导致接 受服务器向
13、它自己的地址发送SYN-ACK消息,结果这 个地址又发回ACK消息并创建一个空连接,每一个这样 的连接都将保留直到超时掉,对Land攻击的反应,许多 UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟 )。 基本防御措施:打最新的补丁,或者在防火墙进行配置 ,将那些在外部接口上入站的含有内部源地址滤掉(包 括10域、127域、192.168域、172.16到172.31域)。3.1.2. 网络攻击分类(续) 1、服务拒绝攻击: 6Smurf攻击 一个简单的smurf攻击通过使用将回复地址设置成受害 网络的广播地址的ICMP应答请求ping数据包来淹没受害 主机的方式进行,最终导致该网络的所有
14、主机都对此 ICMP应答请求作出答复,导致网络阻塞,比ping of death洪水的流量高出一或两个数量级。更加复杂的 Smurf将源地址改为第三方的受害者,最终导致第三方 雪崩。 基本防御措施:为了防止黑客利用你的网络攻击他人, 关闭外部路由器或防火墙的广播地址特性。为防止被攻 击,在防火墙上设置规则,丢弃掉ICMP包。3.1.2. 网络攻击分类(续) 1、服务拒绝攻击: 7Fraggle攻击 Fraggle攻击对Smurf攻击作了简单的修改,使用的是UDP应答消息 而非ICMP。 基本防御措施:在防火墙上过滤掉UDP应答消息。 8电子邮件炸弹 电子邮件炸弹是最古老的匿名攻击之一,通过设置
15、一台机器不断的 大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带 宽。 基本防御措施:对邮件地址进行配置,自动删除来自同一主机的过 量或重复的消息。 9畸形消息攻击 各类操作系统上的许多服务都存在此类问题,由于这些服务在处理 信息之前没有进行适当正确的错误校验,在收到畸形的信息可能会 崩溃。 基本防御措施:打最新的服务补丁。3.1.2. 网络攻击分类(续) 2、利用型攻击 : 利用型攻击是一类试图直接对你的机器进行控 制的攻击,最常见的有三种: 1口令猜测 一旦黑客识别了一台主机而且发现了基于 NetBIOS、Telnet或NFS这样的服务可利用的用 户帐号,成功的口令猜测能提供对机器控制。 基本防御措施:要选用难以猜测的口令,比如 词和标点符号的组合。确保像NFS、NetBIOS 和Telnet这样可利用的服务不暴露在公共范围。 如果该服务支持锁定策略,就进行锁定。3.1.2. 网络攻击分类(续) 2、利用型攻击 : 2特洛伊木马 特洛伊木马是一种或是直接由一个黑客,或是通过一个 不令人起疑的用户秘密安装到目标系统的程序。一旦安 装成功并取得管理员权限,安装此程序的人就可以直接 远程控制目标系统。 最有效的一种叫做后门程序,恶意程序包括:NetBus、
