《计算机网络安全技术ch》由会员分享,可在线阅读,更多相关《计算机网络安全技术ch(60页珍藏版)》请在金锄头文库上搜索。
1、第4章 攻击检测与 系统恢复技术,本章学习目标,网络攻击的原理、步骤,以及黑客攻击企业内部局域网的典型流程 网络攻击的防范措施及处理对策 入侵检测系统的组成、内容、特点及其数学模型 入侵检测的过程 异常检测、误用检测、特征检测,基于主机和基于网络的IDS各自特点 系统恢复技术,4.1 网络攻击技术,网络攻击的方法十分丰富,令人防不胜防。分析和研究网络攻击活动的方法和采用的技术,对加强网络安全建设、防止网络犯罪有很好的借鉴作用。,4.1.1 网络攻击概述,攻击的分类 从攻击的行为是否主动来分:主动攻击和被动攻击 从攻击的位置来分,可分为远程攻击、本地攻击和伪远程攻击。 攻击的人员 黑客与破坏者、
2、间谍 、恐怖主义者 、公司雇佣者 、计算机犯罪 、内部人员。 攻击的目的 主要包括:进程的执行、获取文件和传输中的数据、获得超级用户权限、对系统的非法访问、进行不许可的操作、拒绝服务、涂改信息、暴露信息、挑战、政治意图、经济利益、破坏等。,攻击者常用的攻击工具,DOS攻击工具 木马程序 BO2000(BackOrifice):它是功能最全的TCP/IP构架的攻击工具,可以搜集信息,执行系统命令,重新设置机器,重新定向网络的客户端/服务器应用程序。感染BO2000后机器就完全在别人的控制之下,黑客成了超级用户,用户的所有操作都可由BO2000自带的“秘密摄像机”录制成“录像带”。 “冰河”:冰河
3、是一个国产木马程序,具有简单的中文使用界面,且只有少数流行的反病毒、防火墙才能查出冰河的存在。它可以自动跟踪目标机器的屏幕变化,可以完全模拟键盘及鼠标输入,即在使被控端屏幕变化和监控端产生同步的同时,被监控端的一切键盘及鼠标操作将反映在控端的屏幕。它可以记录各种口令信息,包括开机口令、屏幕保护口令、各种共享资源口令以及绝大多数在对话框中出现过的口令信息;它还可以进行注册表操作,包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作。 分布式工具,4.1.2 网络攻击的原理,口令入侵:所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须
4、先得到该主机上的某个合法用户的账号,然后再进行合法用户口令的破译。 获取用户账号的方法: 利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上。 利用目标主机的X.500服务:有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径。 从电子邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的账号。 查看主机是否有习惯性的账号:有经验的用户都知道,很多系统会使用一些习惯性的账号,造成账号的泄露。,口令入侵(2),获取用户口令的方法:被用来窃取口令的服务包括FTP、TFTP、邮件系统、F
5、inger和Telnet等。所以,系统管理员对口令的使用应十分小心、谨慎。 通过网络监听非法得到用户口令。 在知道用户的账号后(如电子邮件前面的部分),利用一些专门软件强行破解用户口令,这种方法不受网段限制。 利用系统安全漏洞。在Windows/Unix操作系统中,用户的基本信息、口令分别存放在某些固定的文件中,攻击者获取口令文件后,就会使用专门的破解程序来解口令。同时,由于为数不少的操作系统都存在许多安全漏洞、Bug或一些其他设计缺陷,这些缺陷一旦被找出,攻击者就可以长驱直入。,放置特洛伊木马程序,特洛伊木马程序可以直接侵入用户的计算机并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带
6、有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的计算机中,并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当用户连接到因特网上时,这个程序就会通知攻击者,并报告用户的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改用户的计算机的参数设定、复制文件、窥视用户整个硬盘中的内容等,从而达到控制用户的计算机的目的。,WWW的欺骗技术,一般Web欺骗使用两种技术手段,即URL地址重写技术和相关信息掩盖技术。 攻击者修改网页
7、的URL地址,即攻击者可以将自已的Web地址加在所有URL地址的前面。当用户浏览目标网页的时候,实际上是向攻击者的服务器发出请求,于是用户的所有信息便处于攻击者的监视之下,攻击者就达到欺骗的目的了。但由于浏览器一般均设有地址栏和状态栏,当浏览器与某个站点链接时,用户可以在地址栏和状态栏中获得连接中的Web站点地址及其相关的传输信息,由此发现已出了问题。所以攻击者往往在URL地址重写的同时,利用相关信息掩盖技术(一般用Java Script程序来重写地址栏和状态栏),以掩盖欺骗。,电子邮件攻击,电子邮件是Internet上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向
8、目标邮箱发送大量内容重复、无用的垃圾邮件,从而使目标邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。 电子邮件攻击主要表现为两种方式: 邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪。 电子邮件欺骗,攻击者佯称自己为系统管理员,给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序。,通过一个节点来攻击其他节点,攻击者在突破一台主机后,往往以此主机作为根据地
9、,攻击其他主机,以隐蔽其入侵路径,避免留下蛛丝马迹。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。 这类攻击很狡猾,但由于某些技术很难掌握,如TCP/IP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机器来实现。它能破坏两台计算机间通信链路上的数据,其伪装的目的在于哄骗网络中的其它机器误将其攻击者作为合法机器加以接受,诱使其它机器向他发送据或允许它修改数据。TCP/IP欺骗可以发生TCP/IP系统的所有层次上,包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害,则应用层的所有协议都将处于危险之中。另外由于用户本身不直
10、接与底层相互相交流,因而对底层的攻击更具有欺骗性。,网络监听,网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具如NetXRay、Sniffer等就可轻而易举地截取包括口令和账号在内的信息资料。虽然网络监听获得的用户账号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户账号及口令。,利用黑客软件攻击,利用黑客软件攻击是Internet
11、上比较多的一种攻击手法。如利用特洛伊木马程序可以非法地取得用户计算机的超级用户级权限,除了可以进行完全的控制操作外,还可以进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登陆上已安装好服务器端程序的计算机,这些服务器端程序都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,黑客软件的服务器端就安装完成了,而且大部分黑客软件的重生能力比较强,给用户进行清除造成一定的麻烦。特别是最近出现了一种TXT文件欺骗手法,表面看上去是一个TXT文本文件,但实际上却是一个附带黑客程序的可执行程序,另外有些程序也会伪装成图片和其他格式的
12、文件。,安全漏洞攻击,许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的,如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符,甚至可以访问根目录,从而拥有对整个网络的绝对控制权。 另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击,破坏的根目录,从而获得超级用户的权限。 又如,ICMP协议也经常被用于发动拒绝服务攻击。,端口扫描攻
13、击,所谓端口扫描,就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。 常用的扫描方式有:Connect()扫描。Fragmentation扫描。,4.1.3 网络攻击的步骤,攻击者在一次攻击过程中的通常做法是:首先隐藏位置,接着网络探测和资料收集、对系统弱点进行挖掘、获得系统控制权、隐藏行踪,最后实施攻击、开辟后门等七个步骤,如右图所示。,1隐藏位置,攻击者经常使用如下技术隐藏其真实的IP地址或者域名: 利用被侵入的主机作为跳板,如在安装Windows的计算机内利
14、用Wingate软件作为跳板,利用配置不当的Proxy作为跳板; 使用电话转接技术隐蔽自己,如利用800电话的无人转接服务联接ISP; 盗用他人的账号上网,通过电话联接一台主机,再经由主机进入Internet; 免费代理网关; 伪造IP地址; 假冒用户账号。,2网络探测和资料收集,网络探测和资料收集主要是为了寻找目标主机和收集目标信息。 攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和IP地址就可以顺利地找到目标主机。当然,知道了要攻击目标的位置还是远远不够的,还必须将主机的操作系统类型及其所提
15、供服务等资料作个全面的了解,为攻击作好充分的准备。攻击者感兴趣的信息主要包括:操作系统信息、开放的服务端口号、系统默认账号和口令、邮件账号、IP地址分配情况、域名信息、网络设备类型、网络通信协议、应用服务器软件类型等。 步骤:锁定目标、服务分析 、系统分析 、获取账号信息 、获得管理员信息,3弱点挖掘,系统中漏洞的存在是系统受到备种安全威胁的根源。外部攻击者的攻击主要利用了系统提供的网络服务中的漏洞;内部人员作案则利用了系统内部服务及其配置上的漏洞,而拒绝服务攻击主要是利用资源分配上的漏洞,长期占用有限资源不释放,使其它用户得不到应得的服务,或者是利用服务处理中的漏洞,使该服务崩溃。攻击者攻击
16、的重要步骤就是尽量挖掘出系统的弱点/漏洞,并针对具体的漏洞研究相应的攻击方法。常见的漏洞有:,系统或应用服务软件漏洞。 主机信任关系漏洞。 寻找有漏洞的网络成员。 安全策略配置漏洞。 通信协议漏洞。 网络业务系统漏洞。,4获得控制权,攻击者要想入侵一台主机,首先要有该主机的一个账号和口令,再想办法去获得更高的权限,如系统管理账户的权限。获取系统管理权限通常有以下途径: 获得系统管理员的口令,如专门针对root用户的口令攻击; 利用系统管理上的漏洞:如错误的文件许可权,错误的系统配置,某些SUID程序中存在的缓冲区溢出问题等; 让系统管理员运行一些特洛伊木马程序,使计算机内的某一端口开放,再通过这一端口进入用户的计算机。,5隐藏行踪,作为一个入侵者,攻击者总是惟恐自己的行踪被发现,所以在进入系统之后,聪明的攻击者要做的第一件事就是隐藏自己的行踪,攻击者隐藏自己的行踪通常要用到如下技术: 连接隐藏,如冒充其他用户、修改 LOGNAME环境变量、修改utmp日志文件、使用IP SPOOF技术等; 进程隐藏,如使用重定向技术减少PS给出的信息量、用特洛伊木马代替PS程序等; 篡改
