《《网络安全与管理》电子教案-戚文静 第5章 系统攻击及入侵检测》由会员分享,可在线阅读,更多相关《《网络安全与管理》电子教案-戚文静 第5章 系统攻击及入侵检测(34页珍藏版)》请在金锄头文库上搜索。
1、第5章,系统攻击及入侵检测,本章学习目标 本章主要讲解系统入侵的基本原理、主要方法以及如何实现入侵检测,进行主动防御。通过本章学习,读者应该掌握以下内容: l 系统入侵的概念 l 几种系统攻击方法的原理 l 入侵检测的原理 l 入侵检测系统的组成及结构,5.1 系统攻击概述 系统攻击或入侵是指利用系统安全漏洞,非授权进入他人系统(主机或网络)的行为。了解自己系统的漏洞及入侵者的攻击手段,才能更好的保护自己的系统。 5.1.1 黑客与入侵者 5.1.2系统攻击的三个阶段 (1)收集信息 (2)探测系统安全弱点 (3)实施攻击,5.1.3网络入侵的对象 1. 固有的安全漏洞 2. 系统维护措施不完
2、善的系统 3缺乏良好安全体系的系统,5.2 系统攻击方法,5.2.1 口令攻击 1获取口令的一些方法 (1)是通过网络监听非法得到用户口令 (2)口令的穷举攻击 (3)利用系统管理员的失误 2设置安全的口令 (1)口令的选择:字母数字及标点的组合,如:Ha,Ppy!和w/(X,y)*;使用一句话的开头字母做口令,如:由A fox jumps over a lazy dog!产生口令:AfJoAld!。 (2)口令的保存:记住、放到安全的地方,加密最好。 (3)口令的使用:输入口令不要让别人看到;不要在不同的系统上使用同一口令;定期改变口令。,3一次性口令 (OTP,One-Time Passw
3、ord)。 所谓的一次性口令就是一个口令仅使用一次,能有效地抵制重放攻击,这样窃取系统的口令文件、窃听网络通信获取口令及穷举攻击猜测口令等攻击方式都不能生效。OTP的主要思路是:在登录过程中加入不确定因素,使每次登录过程中的生成的口令不相同。 使用一次性口令的系统中,用户可以得到一个口令列表,每次登录使用完一个口令后就将它从列表明中删除;用户也可以使用IC卡或其他的硬件卡来存储用户的秘密信息,这些信息再随机数、系统时间等参数一起通过散列得到一个一次性口令。,5.2.2 IP欺骗,1IP欺骗的工作原理 (1)使被信任主机丧失工作能力 TCP SYN-Flood : t1: Z (X) SYN B
4、 Z (X) SYN B Z (X) SYN B t2: X SYN/ACK-B X SYN/ACK-B t3: X RST B,(2)序列号猜测 序列号的猜测方法如下:攻击者先与被攻击主机的一个端口(SMTP是一个很好的选择)建立起正常的连接。通常,这个过程被重复若干次,并将目标主机最后所发送的ISN(初始序列号)存储起来。攻击者还需要估计他的主机与被信任主机之间的RTT时间(往返时间),这个RTT时间是通过多次统计平均求出的。RTT对于估计下一个ISN是非常重要的。一般每秒钟ISN增加128000,每次连接增加64000。现在就不难估计出ISN的大小了,它是128000乘以RTT的一半,如
5、果此时目标主机刚刚建立过一个连接,那么再加上一个64000。,(3)实施欺骗 Z伪装成A信任的主机B攻击目标A的过程如下: t1: Z(B)SYN A t2: B SYN/ACK A t3: Z(B)ACK A t4: Z(B)PSH A,2. IP欺骗的防止 (1)抛弃基于地址的信任策略 (2)进行包过滤 (3)使用加密方法 (4)使用随机化的初始序列号,5.2.3 端口扫描,1端口与服务,许多的TCP/IP程序都是可以通过网络启动的客户/服务器结构。服务器上运行着一个守护进程,当客户有请求到达服务器时,服务器就启动一个服务进程与其进行通信。为简化这一过程,每个应用服务程序(如WWW、FTP
6、、Telnet等)被赋予一个唯一的地址,这个地址称为端口。端口号由16位的二进制数据表示,范围为065535。守护进程在一个端口上监听,等待客户请求。,2端口扫描 端口扫描是获取主机信息的一种常用方法。 利用端口扫描程序可以了解远程服务器提供的各种服务及其TCP端口分配,了解服务器的操作系统及目标网络结构等信息。作为系统管理员使用扫描工具,可以及时检查和发现自己系统存在的安全弱点和安全漏洞,是非很常用的网络管理工具,许多安全软件都提供扫描功能。 端口扫描也广泛被入侵者用来寻找攻击线索和攻击入口。通过这种方法,还可以搜集到很多关于目标主机的各种有用的信息,比如:是否能用匿名登陆,是否有可写的FT
7、P目录,是否能用TELNET等等。端口扫描程序在网上很容易找到,因而许多人认为扫描工具是入侵工具中最危险的一类。,5.2.4 网络监听 网络监听可以监视网络的状态、数据流动情况以及网络上传输的信息,是网络管理员的一种监视和管理网络的一种方法,但网络监听工具也常是黑客们经常使用的工具。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。只要将网络接口设置在监听模式,便可以源源不断地将网上传输的信息截获。 网络监听可以在网上的任何一个位置实施,如局域网中的主机、网关或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。,1网络监听的原理 以太网协议的工作方式为将要发送的数
8、据帧发往物理连接在一起的所有主机。在帧头中包含着应该接收数据包的主机的地址。数据帧到达一台主机的网络接口时,在正常情况下,网络接口读入数据帧,并检查数据帧帧头中的地址字段,如果数据帧中携带的物理地址是自己的,或者物理地址是广播地址,则将数据帧交给上层协议软件,否则就将这个帧丢弃。对于每一个到达网络接口的数据帧,都要进行这个过程。然而,当主机工作在监听模式下,不管数据帧的目的地址是什么,所有的数据帧都将被交给上层协议软件处理。,2网络监听工具及其作用 嗅探器(sniffer)就是一种网络监听工具。 sniffer工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,
9、可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局 , Sniffer实施的是一种消极的安全攻击,它们极其安静地躲在某个主机上偷听别人的通信,具有极好隐蔽性。 网络监听对系统管理员是很重要的,系统管理员通过监听可以诊断出大量的不可见问题,这些问题有些涉及两台或多台计算机之间的异常通讯,有些牵涉到各种协议的漏洞和缺陷。,3如何发现sniffer 通过下面的方法可以分析出网络上是否存在sniffer进行分析。 网络通讯掉包率反常的高。 网络带宽将出现异常。 对于怀疑运行监听程序的主机,用正确的IP地址和错误的物理地址去PING,正常的机器不接受错误的物理地址,处于监听状态的机器能接受,这
10、种方法依赖系统的IPSTACK,对有些系统可能行不通。 往网上发大量包含着不存在的物理地址的包 ,由于监听程序将处理这些包,将导致性能下降,通过比较前后该机器性能(icmp echo delay等方法)加以判断。,5.2.5 拒绝服务(DoS),1什么是拒绝服务 拒绝服务攻击(Denial of Service)是指一个用户占据了大量的共享资源,使系统没有剩余的资源给其它用户提供服务的一种攻击方式。拒绝服务攻击的结果可以降低系统资源的可用性, 2拒绝服务攻击的方式 信息数据包流量式: SYN-Flooding攻击 : 过载攻击 :服务过载 、进程过载攻击、系统过载攻击、磁盘过载攻击,3分布式拒
11、绝服务(DDoS) DDoS就是利用通过组织和操纵更多的机器来发起进攻,来实现拒绝服务攻击。 分布式拒绝服务攻击程序由两部分组成:在主控主机上的客户端和在代理主机上的守护进程。主控端向其代理端发送要攻击的目标主机的列表,代理端据此列表对目标进行拒绝服务攻击。由一个主控端控制的多个代理端能够在攻击过程中相互协同,保证攻击的连续性。,5.2.6 缓冲区溢出 缓冲区溢出是目前最为常见的安全漏洞,也是黑客利用最多的攻击漏洞。 1缓冲区溢出的原理 在程序试图将数据放到机器内存中的某一个位置的时候,如果没有足够的空间就会发生缓冲区溢出。 大多造成缓冲区溢出的原因是程序中没有仔细检查用户输入参数而造成的。
12、危害:一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重的可导致系统崩溃;另有一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统根用户的权限。,例如下面一段简单的C程序: void fuction(char *str) char buf10; gets(buf); strcat(str,buf); main() char str20; scanf(“%s”,str); printf(“%s”,fuction(str); ,3缓冲区溢出的保护 目前有四种基本的方法保护缓冲区免受缓冲区溢出的攻击和影响: 一是强制编写正确的代码的方法。 二是通过操作系统使得缓冲区不可执行,从而阻止
13、攻击者植入攻击代码。 三是利用编译器的边界检查来实现缓冲区的保护。 四是一种间接的方法,该方法在程序指针失效前进行完整性检查。,5.3 入侵检测,5.3.1 入侵检测概述 5.3.2. 入侵检测的主要任务和作用 5.3.3入侵检测系统的工作原理 信息收集 (1) 系统和网络日志文件 (2) 目录和文件中的不期望的改变 (3) 程序执行中的不期望行为 (4) 物理形式的入侵信息 2. 信号分析 (1)模式匹配: (2) 统计分析 (3) 完整性分析,5.3.4入侵检测系统的分类,按照入侵检测系统的数据来源划分 (1)基于主机的入侵检测系统 (2)基于网络的入侵检测系统 (3)采用上述两种数据来源
14、的分布式的入侵检测系统 2按照入侵检测系统采用的检测方法来分类 (1)基于行为的入侵检测系统: (2)基于模型推理的入侵检测系统: (3)采用两者混合检测的入侵检测系统:,3按照入侵检测的时间的分类 (1)实时入侵检测系统: (2)事后入侵检测系统:,5.3.5 入侵检测系统的CIDF模型,通用入侵检测框架(CIDF)是由美国加州大学Davis分校的安全实验室提出的框架。 CIDF从逻辑上把IDS分成面向任务的一个组件集合,这些组件一起定义了入侵检测系统的结构。 这些组件包括:事件发生器(E-boxes)、分析引擎(A-boxes)、存贮机制(D-boxes)以及对抗措施(C-boxes)。,
15、图5-1 CIDF组件关系,5.4 入侵检测系统的结构 入侵检测系统的结构大体上可分为三种模式: 基于主机系统的结构、 基于网络系统的结构、 基于分布式系统的结构,5.4.1基于主机的入侵检测系统,这种类型的系统依赖于审计数据或系统日志的准确性、完整性以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵,则基于主机的检测系统的弱点就暴露出来了。特别是在现代的网络环境下,单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。 这主要表现在以下四个方面:一是主机的审计信息弱点,如易受攻击,入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二是不能通过分析主机审计记录来检测网
16、络攻击。三是IDS的运行或多或少影响服务器性能。四是基于主机的IDS只能对服务器的特定用户、应用程序执行动作、日志进行检测,所能检测到的攻击类型受到限制。,5.4.2 基于网络的入侵检测系统,基于网络的IDS的优点是: (1)服务器平台独立:基于网络的IDS监视通信流量而不影响服务器平台的变化和更新。 (2)配置简单:基于网络的IDS环境只需要一个普通的网络访问接口。 (3)检测多种攻击:基于网络的IDS探测器可以监视多种多样的攻击包括协议攻击和特定环境的攻击,长于识别与网络低层操作有关的攻击。,5.4.3 基于分布式系统的入侵检测技术 典型的入侵检测系统是一个统一集中的代码块,它位于系统内核或内核之上,监控传送到内核的所有请求。但是,随着网络系统结构复杂化和大型化,系统的弱
