網(wǎng)絡(luò)安全復(fù)習(xí)

1、信息保證的中心思想信息保證的中心思想是對系統(tǒng)或者數(shù)據(jù)的4個(gè)方面的要求：PDRR保證體系 維護(hù)Protect檢測Detect反響React恢復(fù)Restore.PDRR保證體系維護(hù)Protect 指采用能夠采取的手段保證信息的嚴(yán)密性、完好性、可用性、可控性和不可否認(rèn)性。 密碼技術(shù)、數(shù)字簽名、報(bào)文摘要、平安協(xié)議、操作系統(tǒng)平安、數(shù)據(jù)庫系統(tǒng)平安、訪問控制等技術(shù)檢測Detect 指提供工具檢查系統(tǒng)能夠存在的黑客攻擊、白領(lǐng)犯罪和病毒泛濫等脆弱性。 病毒檢測、破綻掃描、入侵檢測、身份鑒別等技術(shù).PDRR保證體系反響React指對危及平安的事件、行為、過程及時(shí)做出呼應(yīng)處置，杜絕危害的進(jìn)一步蔓延擴(kuò)展，力求系統(tǒng)尚能

2、提供正常效力。 監(jiān)視、封鎖、切換、跟蹤、報(bào)警、修正配置、聯(lián)動阻斷等技術(shù)恢復(fù)Restore指一旦系統(tǒng)遭到破壞，盡快恢復(fù)系統(tǒng)功能，盡早提供正常的效力。 備份、恢復(fù)。.攻擊技術(shù)攻擊技術(shù)主要包括五個(gè)方面：1、網(wǎng)絡(luò)監(jiān)聽：不自動去攻擊他人，在計(jì)算機(jī)上設(shè)置一個(gè)程序去監(jiān)聽目的計(jì)算機(jī)與其他計(jì)算機(jī)通訊的數(shù)據(jù)。2、網(wǎng)絡(luò)掃描：利用程序去掃描目的計(jì)算機(jī)開放的端口等，目的是發(fā)現(xiàn)破綻，為入侵該計(jì)算機(jī)做預(yù)備。3、網(wǎng)絡(luò)入侵：當(dāng)探測發(fā)現(xiàn)對方存在破綻以后，入侵到目的計(jì)算機(jī)獲取信息。4、網(wǎng)絡(luò)后門：勝利入侵目的計(jì)算機(jī)后，為了對“戰(zhàn)利品的長期控制，在目的計(jì)算機(jī)中種植木馬等后門。5、網(wǎng)絡(luò)隱身：入侵終了退出目的計(jì)算機(jī)后，將本人入侵的痕跡去除

3、，從而防止被對方管理員發(fā)現(xiàn)。假設(shè)不知道如何攻擊，再好的防守也是經(jīng)不住考驗(yàn)的。.防御技術(shù)防御技術(shù)包括：加密技術(shù)：為了防止被監(jiān)聽和盜取數(shù)據(jù)，將一切的數(shù)據(jù)進(jìn)展加密。防火墻技術(shù)：利用防火墻，對傳輸?shù)臄?shù)據(jù)進(jìn)展限制，從而防止被入侵。入侵檢測：假設(shè)網(wǎng)絡(luò)防線最終被攻破了，需求及時(shí)發(fā)出被入侵的警報(bào)。操作系統(tǒng)的平安配置：操作系統(tǒng)的平安是整個(gè)網(wǎng)絡(luò)平安的關(guān)鍵。.我國立法情況目前網(wǎng)絡(luò)平安方面的法規(guī)曾經(jīng)寫入中華人民共和國憲法。于1982年8月23日寫入中華人民共和國商標(biāo)法于1984年3月12日寫入中華人民共和國專利法于1988年9月日寫入中華人民共和國保守國家法于1993年9月2日寫入中華人民共和國反不正當(dāng)競爭法。 .平

4、安級別 類別級別名稱主要特征DD低級保護(hù)沒有安全保護(hù)CC1自主安全保護(hù)自主存儲控制C2受控存儲控制單獨(dú)的可查性，安全標(biāo)識BB1標(biāo)識的安全保護(hù)強(qiáng)制存取控制，安全標(biāo)識B2結(jié)構(gòu)化保護(hù)面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗(yàn)證設(shè)計(jì)形式化的最高級描述和驗(yàn)證.2.1 信息搜集概述信息搜集的內(nèi)容域名和IP地址操作系統(tǒng)類型開放的端口與效力運(yùn)用程序類型防火墻、入侵檢測等平安防備措施內(nèi)部網(wǎng)絡(luò)構(gòu)造、域組織.2.3.1 主機(jī)掃描利用ICMP進(jìn)展主機(jī)掃描PingPing運(yùn)用ICMP協(xié)議進(jìn)展任務(wù).2.3.2 端口掃描端口掃描原理向目的主機(jī)的各個(gè)端口發(fā)送銜接懇求，根據(jù)前往的呼應(yīng)判別能否開

5、放。端口是入侵的通道端口分為TCP端口與UDP端口，端口掃描可分類為TCP掃描UDP掃描.根本掃描用Socket開發(fā)TCP運(yùn)用效力器端客戶端.2.3.2 端口掃描根本的掃描方法即TCP Connect掃描優(yōu)點(diǎn)實(shí)現(xiàn)簡單可以用普通用戶權(quán)限執(zhí)行缺陷容易被防火墻檢測，也會目的運(yùn)用所記錄.2.1.1 可以利用的缺陷與破綻管理破綻目的系統(tǒng)信息的泄露錯(cuò)誤的配置信息未采用必要的防護(hù)系統(tǒng)弱口令系統(tǒng)破綻未更新補(bǔ)丁設(shè)計(jì)缺陷協(xié)議破綻身份驗(yàn)證協(xié)議以及網(wǎng)絡(luò)傳輸協(xié)議.2.5 操作系統(tǒng)類型探測識別目的操作系統(tǒng)的意義識別操作系統(tǒng)類型的方法針對專門的操作系統(tǒng)的破綻為社會工程法提供進(jìn)一步的信息.2.5.1 傳統(tǒng)的操作系統(tǒng)探測方法

6、端口掃描結(jié)果分析操作系統(tǒng)往往提供一些本身特有的功能，而這些功能又很能夠翻開一些特定的端口 WINDOWS 9X：、WINDOWS 2000/XP：、445Location ServiceNetBIOS Name Service (UDP) NetBIOS File and Print Sharing各種UNIX：512-514、20 傳統(tǒng)的操作系統(tǒng)探測方法運(yùn)用程序BANNERBANNER效力程序接納到客戶端的正常銜接后所給出的歡迎信息.2.5.1 傳統(tǒng)的操作系統(tǒng)探測方法MS FTPServ-U for Windows.2.5.2 TCP/IP協(xié)議棧指紋TCP/IP協(xié)議棧指紋不同

7、的操作系統(tǒng)在實(shí)現(xiàn)TCP/IP協(xié)議棧時(shí)都或多或少地存在著差別。而這些差別，我們就稱之為TCP/IP協(xié)議棧指紋不同的操作系統(tǒng)在實(shí)現(xiàn)TCP/IP協(xié)議棧的時(shí)候，并不是完全按照RFC所定義的規(guī)范來實(shí)現(xiàn)的在RFC中也沒有對一切的問題給予準(zhǔn)確的定義 .2.5.2 TCP/IP協(xié)議棧指紋FIN掃描對FIN報(bào)文的回復(fù)TCP規(guī)范封鎖的端口前往RST報(bào)文翻開的端口忽略BSD操作系統(tǒng)與TCP規(guī)范一致其他操作系統(tǒng)均前往RST報(bào)文.2.5.2 TCP/IP協(xié)議棧指紋TCP/IP協(xié)議棧指紋TCP包頭信息相關(guān)FIN標(biāo)志探測BOGUS偽造標(biāo)志位探測TCP ISN 取樣TCP 初始化“窗口測試ACK標(biāo)志測試TCP選項(xiàng)測試IP/I

8、CMP包信息相關(guān) ICMP錯(cuò)誤信息查詢ICMP信息援用ICMP錯(cuò)誤信息回顯完好性效力類型TOS和TTL片段碎片處置.內(nèi)容提要本章將引見目前常見的網(wǎng)絡(luò)入侵手段：口令攻擊ARP欺騙Unicode破綻攻擊緩沖區(qū)溢出回絕效力攻擊假音訊攻擊引見流行的攻擊工具的運(yùn)用。 .相關(guān)概念效力：系統(tǒng)提供的，用戶所需求的功能。回絕效力：任何對效力的干涉，假設(shè)使其可用性降低或者失去可用性均稱為回絕效力?；亟^效力攻擊：是指攻擊者經(jīng)過某種手段，有意地呵斥計(jì)算機(jī)或網(wǎng)絡(luò)不能正常運(yùn)轉(zhuǎn)，從而不能向合法用戶提供所需求的效力或者使得效力質(zhì)量降低。.攻擊運(yùn)轉(zhuǎn)原理個(gè)比較完善的DDoS攻擊體系分成四大部分， 黑客 控制傀儡機(jī) 攻擊傀儡機(jī) 受

9、害者對受害者來說，DDoS的實(shí)踐攻擊包是從攻擊傀儡機(jī)上發(fā)出的，控制機(jī)只發(fā)布命令而不參與實(shí)踐的攻擊。對第2和第3部分計(jì)算機(jī)，黑客有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的DDoS程序上傳到這些平臺上，這些程序與正常的程序一樣運(yùn)轉(zhuǎn)并等待來自黑客的指令，通常它還會利用各種手段隱藏本人不被他人發(fā)現(xiàn)。在平常，這些傀儡機(jī)器并沒有什么異常，只是一旦黑客銜接到它們進(jìn)展控制，并發(fā)出指令的時(shí)候，攻擊傀儡機(jī)就成為害人者去發(fā)起攻擊了。.攻擊運(yùn)轉(zhuǎn)原理 DDoS攻擊體系構(gòu)造.攻擊運(yùn)轉(zhuǎn)原理.按照攻擊機(jī)制將回絕效力攻擊分為3類第一類是風(fēng)暴型Flood Type攻擊，攻擊者經(jīng)過大量的無用數(shù)據(jù)包非正常用戶的正常懇求，這些數(shù)據(jù)包是旨在

10、攻擊受害者，由攻擊者發(fā)出的或者由攻擊主機(jī)呼應(yīng)攻擊者的指令而發(fā)出的，因此有時(shí)也稱之為攻擊性數(shù)據(jù)包占用過多的資源以到達(dá)回絕效力的目的。這種攻擊有時(shí)也稱為帶寬攻擊Bandwidth Attack，緣由是其經(jīng)常占用大量的帶寬，即使有時(shí)攻擊的最終目的是占用系統(tǒng)資源，但在客觀上也會占用大量帶寬。攻擊類型.攻擊類型在這類攻擊中，攻擊數(shù)據(jù)包可以是各種類型的TCP, IP, UDP, ICMP等，數(shù)據(jù)包中的數(shù)據(jù)也可以是多種多樣的，這些數(shù)據(jù)包與正常效力的數(shù)據(jù)包是難以區(qū)分的。風(fēng)暴攻擊的效果完全依賴于數(shù)據(jù)包的數(shù)量，僅當(dāng)大量的數(shù)據(jù)包傳到目的系統(tǒng)受害者時(shí)，攻擊方才有效。分布式回絕效力攻擊闡明，即使是擁有大量資源的網(wǎng)絡(luò)在風(fēng)

11、暴型攻擊下也難以幸免。.攻擊類型第二類是毒包Killer Packet型攻擊，它主要是利用協(xié)議本身或者其軟件實(shí)現(xiàn)中的破綻，經(jīng)過一些非正常的畸形的數(shù)據(jù)包使得受害者系統(tǒng)在處置時(shí)出現(xiàn)異常，導(dǎo)致受害者系統(tǒng)解體。由于這類攻擊主要是利用協(xié)議或軟件破綻來到達(dá)攻擊效果的，因此，有的也稱這類攻擊為破綻攻擊，也有稱之為協(xié)議攻擊的。.攻擊類型由于這類攻擊對攻擊者的運(yùn)算才干或帶寬沒有要求，一個(gè)經(jīng)過Modem銜接的低檔的PC機(jī)就可以攻破一個(gè)具有高帶寬的大型系統(tǒng)。因此，這類攻擊也是一種非對稱DoS攻擊。此類攻擊普通可以經(jīng)過打補(bǔ)丁或者在防火墻處過濾特定的畸形數(shù)據(jù)包到達(dá)對受害者的維護(hù)目的。.攻擊類型第三類攻擊稱為重定向攻擊，

12、它既不是利用劇毒包，也不是利用風(fēng)暴來攻擊受害者。它是經(jīng)過修正網(wǎng)絡(luò)中的一些參數(shù)如ARP表、DNS緩存，使得從受害者發(fā)出的或者發(fā)向受害者的數(shù)據(jù)包被重定向到了其他的地方。很多人不把它當(dāng)成回絕效力攻擊。但假設(shè)數(shù)據(jù)包被重定向到不存在的主機(jī)或者存在但不將數(shù)據(jù)包轉(zhuǎn)發(fā)到其真正目的地的主機(jī)，那么構(gòu)成實(shí)踐的回絕效力。.SYN Flood原理 TCP銜接的三次握手 .SYN Flood原理Syn Flood攻擊者不會完成三次握手 .SYN Flood原理假設(shè)一個(gè)客戶向效力器發(fā)送了SYN報(bào)文段后忽然掉線，那么效力器在發(fā)出SYN+ACK應(yīng)對報(bào)文后是無法收到客戶端的ACK報(bào)文的第三次握手無法完成，這種情況下效力器端普通會

13、重試再次發(fā)送SYN+ACK給客戶端并等待一段時(shí)間后丟棄這個(gè)未完成的銜接，這段時(shí)間的長度稱為SYN Timeout，普通來說這個(gè)時(shí)間大約為30秒-2分鐘；同時(shí)，對于每個(gè)銜接，雙方都要為這個(gè)銜接分配必要的內(nèi)存資源，用來存放所運(yùn)用的協(xié)議，地址、端口、時(shí)鐘以及初始序號等信息，這些內(nèi)存資源大約占用280字節(jié)。.SYN Flood原理當(dāng)一個(gè)效力器收到大量延續(xù)的SYN包時(shí)，就會為這些銜接分配必要的內(nèi)存資源，這些半銜接將耗盡系統(tǒng)的內(nèi)存資源和CPU時(shí)間，從而回絕為合法的用戶提供效力。此時(shí)從正常客戶的角度看來，效力器失去呼應(yīng)，這種情況我們稱做：效力器端遭到了SYN Flood攻擊SYN洪水攻擊。 .SYN Flo

14、od防護(hù)戰(zhàn)略優(yōu)化系統(tǒng)配置縮短超時(shí)時(shí)間，使無效的半銜接盡快釋放，也能夠?qū)е履承┖戏ㄣ暯邮?；添加半銜接?duì)列長度，使系統(tǒng)可以處置更多的半銜接；封鎖不用要或不重要的效力，減少被攻擊的時(shí)機(jī)。優(yōu)化路由器配置丟棄那些來自內(nèi)網(wǎng)而源地址具有外網(wǎng)IP地址的包。加強(qiáng)監(jiān)測在網(wǎng)絡(luò)的關(guān)鍵點(diǎn)上安裝監(jiān)測軟件，繼續(xù)監(jiān)視TCP/IP流量，分析通訊形狀，區(qū)分攻擊行為。.SYN Flood防護(hù)戰(zhàn)略防火墻有些防火墻具有SYN Proxy功能，這種方法設(shè)置每秒經(jīng)過指定對象目的地址和端口、僅目的地址或僅源地址的SYN片段數(shù)的閾值，當(dāng)來自一樣源地址或發(fā)往一樣目的地址的SYN片段數(shù)到達(dá)這些閾值之一時(shí)，防火墻就開場截取銜接懇求和代理回復(fù)SYN

15、/ACK片段，并將不完全的銜接懇求存儲到銜接隊(duì)列中直到銜接完成或懇求超時(shí)。當(dāng)防火墻中代理銜接的隊(duì)列被填滿時(shí)，防火墻回絕來自一樣區(qū)域中一切地址的新SYN片段，防止網(wǎng)絡(luò)主機(jī)蒙受不完好的三次握手的攻擊。這種方法在攻擊流量較大的時(shí)候，銜接出現(xiàn)較大的延遲，網(wǎng)絡(luò)的負(fù)載較高，很多情況下反而成為整個(gè)網(wǎng)絡(luò)的瓶頸。.SYN Flood防護(hù)戰(zhàn)略防護(hù)算法SYN proxy算法：這種算法對一切的SYN包均自動回應(yīng)，探測發(fā)起SYN包的源IP地址能否真實(shí)存在；假設(shè)該IP地址真實(shí)存在，那么該IP會回應(yīng)防護(hù)設(shè)備的探測包，從而建立TCP銜接；大多數(shù)的國內(nèi)外抗回絕效力產(chǎn)品采用此類算法。SafeReset算法：此算法對一切的SYN包

16、均自動回應(yīng)，探測包特意構(gòu)造錯(cuò)誤的字段，真實(shí)存在的IP地址會發(fā)送rst包給防護(hù)設(shè)備，然后發(fā)起第2次銜接，從而建立TCP銜接；部分國外產(chǎn)品采用了這樣的防護(hù)算法。.SYN Flood防護(hù)戰(zhàn)略SYN重傳算法：該算法利用了TCP/IP協(xié)議的重傳特性，來自某個(gè)源IP的第一個(gè)syn包到達(dá)時(shí)被直接丟棄并記錄形狀，在該源IP的第2個(gè)syn包到達(dá)時(shí)進(jìn)展驗(yàn)證，然后放行。 綜合防護(hù)算法：結(jié)合了以上算法的優(yōu)點(diǎn)，并引入了IP信譽(yù)機(jī)制。當(dāng)來自某個(gè)源IP的第一個(gè)syn包到達(dá)時(shí)，假設(shè)該IP的信譽(yù)值較高，那么采用syn proxy算法；而對于信譽(yù)值較低的源IP，那么基于協(xié)議棧行為方式，假設(shè)syn包得到驗(yàn)證，那么對該銜接進(jìn)入syn

17、 proxy校驗(yàn)，一旦該IP的銜接得到驗(yàn)證那么提高其信譽(yù)值。有些設(shè)備還采用了表構(gòu)造來存放協(xié)議棧行為方式特征值，大大減少了存儲量。.SYN Flood防護(hù)戰(zhàn)略無論哪種防護(hù)戰(zhàn)略都只針對一種特定的攻擊，不能針對各類攻擊。無論哪種防護(hù)戰(zhàn)略單獨(dú)運(yùn)用收效都不會理想，必需配合運(yùn)用。無論哪種防護(hù)戰(zhàn)略都必需根據(jù)攻擊的不斷變化而不斷開展，才干起效。上述三點(diǎn)對其他類型的攻擊同樣適用。.攻擊實(shí)例3- Smurf攻擊這種攻擊方法結(jié)合運(yùn)用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目的系統(tǒng)，引起目的系統(tǒng)回絕為正常系統(tǒng)進(jìn)展效力。Smurf攻擊經(jīng)過運(yùn)用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)對懇求(ping)數(shù)據(jù)包，

18、來淹沒受害主機(jī)，最終導(dǎo)致該網(wǎng)絡(luò)的一切主機(jī)都對此ICMP應(yīng)對懇求做出回答，導(dǎo)致網(wǎng)絡(luò)阻塞。更加復(fù)雜的Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方解體。.Smurf攻擊攻擊通常分為以下五步：黑客鎖定一個(gè)被攻擊的主機(jī)通常是一些Web效力器；黑客尋覓中間代理路由器，用來對攻擊實(shí)施放大；黑客給中間代理站點(diǎn)的廣播地址發(fā)送大量的ICMP包主要是指Ping命令的ECHO包。這些數(shù)據(jù)包全都以被攻擊的主機(jī)的IP地址做為IP包的源地址；中間代理向其所在的子網(wǎng)上的一切主機(jī)發(fā)送源IP地址欺騙的數(shù)據(jù)包；中間代理子網(wǎng)主機(jī)對被攻擊的網(wǎng)絡(luò)進(jìn)展呼應(yīng)。.攻擊實(shí)例- Smurf攻擊.分析和對抗首先，防止讓他的網(wǎng)絡(luò)里的人發(fā)起這樣

19、的攻擊。在Smurf攻擊中，大量源欺騙的IP數(shù)據(jù)包分開了第一個(gè)網(wǎng)絡(luò)。經(jīng)過在路由器上運(yùn)用輸出過濾，濾掉這樣的包，從而阻止從他的網(wǎng)絡(luò)中發(fā)起的Smurf攻擊。其次，防止他的網(wǎng)絡(luò)做為中間代理。假設(shè)沒有必需求發(fā)送廣播數(shù)據(jù)包的情況，就可以在路由器的每個(gè)接口上設(shè)置制止直接廣播；配置主機(jī)的操作系統(tǒng)，使其不呼應(yīng)ICMP廣播包。.攻擊實(shí)例6 - UDP DNS Query Flood攻擊 UDP DNS Query Flood攻擊本質(zhì)上是UDP Flood的一種，但是由于DNS效力器的不可替代的關(guān)鍵作用，一旦效力器癱瘓，影響普通都很大。攻擊采用的方法：向被攻擊的效力器發(fā)送大量的域名解析懇求，通常懇求解析的域名是隨

20、機(jī)生成或者是網(wǎng)絡(luò)世界上根本不存在的域名；被攻擊的DNS 效力器在接納到域名解析懇求的時(shí)候首先會在效力器上查找能否有對應(yīng)的緩存，假設(shè)查找不到并且該域名無法直接由效力器解析的時(shí)候，DNS 效力器會向其上層DNS效力器遞歸查詢域名信息。.UDP DNS Query Flood攻擊域名解析的過程給效力器帶來了很大的負(fù)載，每秒鐘域名解析懇求超越一定的數(shù)量就會呵斥DNS效力器解析域名超時(shí)。根據(jù)微軟的統(tǒng)計(jì)數(shù)據(jù)，一臺DNS效力器所能接受的動態(tài)域名查詢的上限是每秒鐘9000個(gè)懇求。而在一臺普通的PC機(jī)上可以隨便地構(gòu)造出每秒鐘幾萬個(gè)域名解析懇求，足以使一臺硬件配置極高的DNS效力器癱瘓，由此可見DNS 效力器的脆

21、弱性。.UDP DNS Query Flood防護(hù)在UDP Flood的根底上對 UDP DNS Query Flood 攻擊進(jìn)展防護(hù)；根據(jù)域名 IP 自學(xué)習(xí)結(jié)果自動回應(yīng)，減輕效力器負(fù)載運(yùn)用 DNS Cache；對忽然發(fā)起大量頻度較低的域名解析懇求的源 IP 地址進(jìn)展帶寬限制，在攻擊發(fā)生時(shí)降低很少發(fā)起域名解析懇求的源 IP 地址的優(yōu)先級；限制每個(gè)源 IP 地址每秒的域名解析懇求次數(shù)。.毒包型攻擊Teardrop攻擊小片段攻擊重疊分片攻擊重組攻擊Land攻擊 .攻擊實(shí)例- Teardrop攻擊Teardrop本是一段用于回絕效力攻擊的程序名，該程序利用Windows 和低版本Linux中處置IP

22、分片的破綻，向受害者發(fā)送偏移地址重疊的UDP數(shù)據(jù)包分片，使得目的機(jī)器在將分片重組時(shí)出現(xiàn)異常錯(cuò)誤，導(dǎo)致目的系統(tǒng)解體或重啟。 .攻擊實(shí)例7 - Teardrop攻擊Teardrop攻擊原理當(dāng)數(shù)據(jù)在不同的網(wǎng)絡(luò)介質(zhì)之間傳輸時(shí)，由于不同的網(wǎng)絡(luò)介質(zhì)和協(xié)議允許傳輸?shù)臄?shù)據(jù)包的最大長度即最大傳輸單元MTU能夠是不同的，為了確保數(shù)據(jù)包順利到達(dá)目的地，分片功能是必需的。當(dāng)一個(gè)數(shù)據(jù)包傳輸?shù)搅艘粋€(gè)網(wǎng)絡(luò)環(huán)境中，假設(shè)該網(wǎng)絡(luò)環(huán)境的MTU小于數(shù)據(jù)包的長度，那么該數(shù)據(jù)包需求分片才干經(jīng)過該網(wǎng)絡(luò)。.Teardrop攻擊為了使得同一數(shù)據(jù)包的分片可以在其目的端順利重組，每個(gè)分片必需服從如下規(guī)那么：同一數(shù)據(jù)包的一切片段的標(biāo)識號必需一樣。每

23、個(gè)片段必需指明其在原未分段的數(shù)據(jù)包中的位置也稱偏移。每個(gè)片段必需指明其數(shù)據(jù)的長度。每個(gè)片段必需闡明其能否是最后一個(gè)片段，即其后能否還有其他的片段。.Teardrop攻擊假設(shè)原始IP包有150字節(jié)數(shù)據(jù)不含IP頭，該數(shù)據(jù)包可以被分成兩塊，前一塊有120字節(jié)，偏移為0；后一塊有30字節(jié)，偏移應(yīng)該為120。當(dāng)接納方收到數(shù)據(jù)長為120的第一個(gè)分片數(shù)據(jù)包以后，假設(shè)收到第二個(gè)數(shù)據(jù)長度為30、偏移為120的分片時(shí)，其將第二個(gè)數(shù)據(jù)包的數(shù)據(jù)長度和偏移加起來，作為第一、二兩個(gè)分片的總長度這里是150。由于曾經(jīng)拷貝了第一個(gè)分片的120字節(jié)，因此，系統(tǒng)從第二個(gè)分片中拷貝150-120=30字節(jié)數(shù)據(jù)到為重組開設(shè)的緩沖區(qū)中

24、。這樣，一切正常，沒有錯(cuò)誤發(fā)生。.Teardrop攻擊假設(shè)攻擊者刻意修正第二個(gè)分片數(shù)據(jù)包，使得數(shù)據(jù)長度為30、偏移卻為80，那么結(jié)果就不一樣了。在收到第一個(gè)分片后，假設(shè)接納者收到第二個(gè)偏移80、數(shù)據(jù)長度30的分片時(shí)，系統(tǒng)計(jì)算80+30=110作為兩個(gè)分片的總長度，為了確定應(yīng)該從第二個(gè)分片中拷貝多少字節(jié)，系統(tǒng)需求用總長度110減去第一個(gè)分片中已拷貝的120字節(jié)，結(jié)果得到-10字節(jié)。由于系統(tǒng)采用的是無符號整數(shù)，那么-10相當(dāng)于一個(gè)很大的整數(shù)，這時(shí)候系統(tǒng)處置出現(xiàn)異常。根據(jù)系統(tǒng)不同，出現(xiàn)的異常情況也不一樣，但通常會導(dǎo)致堆棧損壞、IP模塊不可用和系統(tǒng)掛起不能呼應(yīng)等。WinNT/95在接納到10至50個(gè)T

25、eardrop分片時(shí)也會解體。 .Teardrop攻擊.攻擊實(shí)例8-小片段攻擊這種攻擊用于穿透防火墻。經(jīng)過很小的片段使得防火墻需求檢測的信息進(jìn)入到下一個(gè)片段中。例如，對于TCP包，攻擊者可以把TCP頭信息分到下一個(gè)片段之中，或者把TCP頭分到兩個(gè)片段中，使TCP的標(biāo)志TCP Flag進(jìn)入到下一個(gè)片段中，從而使得一些經(jīng)過檢查這些標(biāo)志位進(jìn)展過濾的防火墻因找不到標(biāo)志位而放行。這種攻擊寄希望于防火墻只檢查數(shù)據(jù)包的第一個(gè)片段。 .小片段攻擊這種攻擊也可以用于逃避入侵檢測系統(tǒng)IDS的追蹤，由于從對策的角度，IDS卻無法像防火墻一樣限制分片數(shù)據(jù)包長度的下限，IDS只需對數(shù)據(jù)包重組后才干判別能否有攻擊者利用這

26、種小片段逃避檢測，同樣地，這也為攻擊者針對IDS進(jìn)展回絕效力攻擊發(fā)明了條件。對付這種攻擊，可以采用的一個(gè)戰(zhàn)略是在防火墻處設(shè)置分片數(shù)據(jù)包長度的下限，確保第一個(gè)分片中包含了一切必需的頭信息；或者，防火墻在檢測時(shí)進(jìn)展數(shù)據(jù)包的重組，僅當(dāng)重組后的數(shù)據(jù)包符合放行規(guī)那么時(shí)，數(shù)據(jù)包片段才得以放行，只不過這又為攻擊者攻擊防火墻發(fā)明了條件。.攻擊實(shí)例11 - Land攻擊 Land原是一段C程序，其向受害者發(fā)送TCP SYN包，而這些包的源IP地址和目的IP地址被偽呵斥一樣的，即受害者的IP地址，源端口和目的端口也是一樣的；此將導(dǎo)致接受效力器向它本人的地址發(fā)送SYN-ACK音訊，結(jié)果這個(gè)地址又發(fā)回ACK音訊并創(chuàng)建

27、一個(gè)空銜接。被攻擊的效力器每接納一個(gè)這樣的銜接都將保管，直到超時(shí)。 目的系統(tǒng)在收到這樣的包以后能夠會解體或者重啟。 .Land攻擊防御有針對性地更改協(xié)議算法，打最新的相關(guān)的平安補(bǔ)?。辉诜阑饓ι线M(jìn)展配置，將那些在外部接口上進(jìn)入的含有內(nèi)部源地址的包過濾掉，包括10域，127域，192.168域，172.16到172.31域。對毒包進(jìn)展識別。如：由于Land攻擊主要是構(gòu)造IP包，使源IP和目的IP一樣，源端口和目的端口一樣，可以對此類包進(jìn)展單獨(dú)區(qū)分、處置。.5.2 Unicode破綻Unicode 一致的字符編碼規(guī)范Unicode是目前用來處理 ASCII 碼 256 個(gè)字符限制問題的一種通用途理方

28、案。Unicode 經(jīng)過用雙字節(jié)來表示一個(gè)字符，從而在更大范圍內(nèi)將數(shù)字代碼映射到多種言語的字符集。Unicode給每個(gè)字符提供了一個(gè)獨(dú)一的數(shù)字，與平臺或編程言語無關(guān)。Windows 2000/XP以及微軟Office2000及其后的產(chǎn)品都是Unicode內(nèi)核，因此，無論何種文字，都可以在上面正常顯示，而且是同屏顯示。 .Unicode破綻Unicode破綻是最容易讓入侵者得手的一個(gè)破綻之一 ,可以隨便將主頁改掉，或者刪除硬盤上的數(shù)據(jù)，甚至獲取administrator權(quán)限。Unicode破綻是2000-10-17發(fā)布的，受影響的版本：Microsoft IIS 5.0+Microsoft Wi

29、ndows 2000系列版本Microsoft IIS 4.0+ Microsoft Windows NT 4.0.Unicode破綻的原理在Windows的目錄構(gòu)造中，可以運(yùn)用 “./來訪問上一級目錄；在閱讀器中利用“scripts/././可以訪問到系統(tǒng)盤根目錄;訪問“scripts/././winnt/system32就訪問到系統(tǒng)的系統(tǒng)目錄;在system32目錄下包含許多重要的系統(tǒng)文件，比如cmd.exe文件，可以利用該文件新建用戶，刪除文件等操作。.Unicode破綻的原理scripts目錄普通位于系統(tǒng)盤根目錄下的Inetpub目錄下，如下圖。.Unicode破綻的原理閱讀器地址欄中

30、禁用符號“./.，但是可以運(yùn)用符號“/的Unicode的編碼“%c0%2f就是“/的Unicode編碼。比如語句/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir 是執(zhí)行dir命令列出目錄構(gòu)造。.Unicode破綻的原理.利用Unicode破綻攻擊1：讀取系統(tǒng)盤目錄利用語句得到對方計(jì)算機(jī)上裝了幾個(gè)操作系統(tǒng)以及操作系統(tǒng)的類型，只需讀取C盤下的boot.ini文件就可以了。09/scripts/.%c0%2f./winnt/system32/ cmd.exe?/c+type+c:boot.ini.利用Unicode破綻攻擊2：刪除主頁利用Unicode可

31、以方便的更改對方的主頁，比如曾經(jīng)知道對方網(wǎng)站的根途徑在“C:Initpubwwwroot系統(tǒng)默許下，可以刪除該途徑下的文件“default.asp來刪除主頁，這里的“default.asp文件是IIS的默許啟動頁面。運(yùn)用的語句是：09/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+del+c:inetpubwwwrootdefault.asp.利用Unicode破綻攻擊3：拷貝文件為了運(yùn)用方便，利用語句將cmd.exe文件拷貝到scripts目錄，并改名為c.exe，運(yùn)用的語句是：09/scripts/.%c0%2f./winnt/system32/cm

32、d.exe?/c+copy+C:winntsystem32cmd.exe+c.exe.3、ARP欺騙在實(shí)現(xiàn)TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境下，一個(gè)ip包走到哪里，要怎樣走是靠路由表定義，但是，當(dāng)ip包到達(dá)該網(wǎng)絡(luò)后，哪臺機(jī)器呼應(yīng)這個(gè)ip包卻是靠該ip包中所包含的硬件mac地址來識別。只需機(jī)器的硬件mac地址和該ip包中的硬件mac地址一樣的機(jī)器才會應(yīng)對這個(gè)ip包，由于在網(wǎng)絡(luò)中，每一臺主機(jī)都會有發(fā)送ip包的時(shí)候。在每臺主機(jī)的內(nèi)存中，arp- 硬件mac 的轉(zhuǎn)換表。會被主機(jī)在一定的時(shí)間間隔后刷新。這個(gè)時(shí)間間隔就是ARP高速緩存的超時(shí)時(shí)間。.ARP欺騙 A: ip地址 硬件地址 AA:AA:AA:AA:AA

33、:AAB: ip地址 硬件地址 BB:BB:BB:BB:BB:BBC: ip地址 硬件地址CC:CC:CC:CC:CC:CC.ARP欺騙一個(gè)位于主機(jī)B的入侵者想非法進(jìn)入主機(jī)A，可是這臺主機(jī)上安裝有防火墻。經(jīng)過搜集資料他知道這臺主機(jī)A的防火墻只對主機(jī)C有信任關(guān)系。入侵者必需讓主機(jī)A置信主機(jī)B就是主機(jī)C，假設(shè)主機(jī)A和主機(jī)C之間的信任關(guān)系是建立在ip地址之上的。假設(shè)單單把主機(jī)B的ip地址改的和主機(jī)C的一樣，那是不能任務(wù)的，至少不能可靠地任務(wù)。.ARP欺騙假設(shè)通知以太網(wǎng)卡設(shè)備驅(qū)動程序， 本人IP是，那么這只是一種純粹的競爭關(guān)系，并不能到達(dá)目的。于是可以先研討C這臺機(jī)器假設(shè)我們能讓這臺機(jī)器暫時(shí)當(dāng)?shù)?，競?/p>

34、關(guān)系就可以解除,這個(gè)是有能夠?qū)崿F(xiàn)的。在機(jī)器C當(dāng)?shù)舻耐瑫r(shí)，將機(jī)器B的ip地址改為,這樣就可以勝利的經(jīng)過23端口telnet到機(jī)器A上面，而勝利的繞過防火墻的限制。.ARP欺騙假設(shè)主機(jī)A和主機(jī)C之間的信任關(guān)系是建立在硬件地址的根底上。這個(gè)時(shí)候還需求用ARP欺騙的手段讓主機(jī)A把本人的ARP緩存中的關(guān)于映射的硬件地址改為主機(jī)B的硬件地址。于是可以人為的制造一個(gè)arp_reply的呼應(yīng)包,發(fā)送給想要欺騙的主機(jī),這是可以實(shí)現(xiàn)的,由于協(xié)議并沒有規(guī)定必需在接納到arp_echo后才可以發(fā)送呼應(yīng)包.這樣的工具很多,我們也可以直接用snifferpro抓一個(gè)arp呼應(yīng)包,然后進(jìn)展修正。指定ARP包中的源IP、目的

35、IP、源MAC地址、目的MAC地址。這樣他就可以經(jīng)過虛偽的ARP呼應(yīng)包來修正主機(jī)A上的動態(tài)ARP緩存到達(dá)欺騙的目的。 .詳細(xì)的步驟：1.先研討這臺主機(jī)，發(fā)現(xiàn)這臺主機(jī)的破綻。2.根據(jù)發(fā)現(xiàn)的破綻使主機(jī)C當(dāng)?shù)?，暫時(shí)停頓任務(wù)。3.這段時(shí)間里，入侵者把本人的IP改成4.用工具發(fā)一個(gè)源IP地址為,源MAC地址為BB:BB:BB:BB:BB:BB的包給主機(jī)A，要求主機(jī)A更新本人的ARP轉(zhuǎn)換表。5.主機(jī)更新了ARP表中關(guān)于主機(jī)C的IP-MAC對應(yīng)關(guān)系。6.防火墻失效了，入侵的IP變成合法的MAC地址，ok。 .ARP欺騙的檢測與控制方法目前比較有效的檢測ARP欺騙攻擊的方法主要有兩種：一種是在局域網(wǎng)內(nèi)部運(yùn)用抓

36、包軟件進(jìn)展抓包分析；另一種是直接到到三層交換機(jī)上查詢ARP表，這兩種方法各有優(yōu)缺陷，.抓包分析方法運(yùn)用抓包軟件如sniffer pro在局域網(wǎng)內(nèi)抓ARP的reply包，假設(shè)最后的mac不是網(wǎng)關(guān)的真實(shí)mac的話，那就闡明有ARP欺騙存在，而這個(gè)mac就是那臺進(jìn)展ARP欺騙主機(jī)的mac。優(yōu)點(diǎn)簡單易行，無需特別權(quán)限設(shè)置，一切用戶都可以做，誤判率較小。缺陷必需在局域網(wǎng)內(nèi)部廣播域內(nèi)部聽包才有效。 .三層交換機(jī)上查詢ARP緩存表方法登陸局域網(wǎng)的三層交換機(jī)，并查看交換機(jī)的ARP緩存表，假設(shè)在ARP表中存在一個(gè)MAC對應(yīng)多個(gè)IP的情況，那么就闡明存在ARP欺騙攻擊，而這個(gè)MAC就是欺騙主機(jī)的MAC。優(yōu)點(diǎn)可以遠(yuǎn)

37、程操作，無需到局域網(wǎng)內(nèi)部，可以經(jīng)過腳本來自動分析。缺陷需求特殊權(quán)限，普通用戶無法進(jìn)展操作。 .ARP欺騙的控制方法1、主機(jī)靜態(tài)綁定網(wǎng)關(guān)MAC方法運(yùn)用arp命令靜態(tài)綁定網(wǎng)關(guān)MAC，格式如下：arp s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC優(yōu)點(diǎn)簡單易行，普通用戶都能操作缺陷只能單向綁定。需求跟網(wǎng)關(guān)綁定MAC結(jié)合運(yùn)用。 .ARP欺騙的控制方法2、網(wǎng)關(guān)運(yùn)用IP+MAC綁定方式方法交換機(jī)啟用靜態(tài)ARP綁定功能，將用戶的IP與MAC進(jìn)展靜態(tài)綁定，防止ARP欺騙發(fā)生。優(yōu)點(diǎn)效果明顯缺陷操作復(fù)雜，任務(wù)量宏大。無法保證主機(jī)端不被欺騙，需求與主機(jī)端綁定網(wǎng)關(guān)MAC結(jié)合運(yùn)用。 .ARP欺騙的控制方法3、運(yùn)用防ARP攻擊的軟件方法下載和

38、運(yùn)用防ARP攻擊的軟件，如ARPFix或者是AntiARP等。優(yōu)點(diǎn)簡單易行缺陷需求用戶端都安裝，無法保證網(wǎng)關(guān)不被欺騙。.總結(jié)由于ARP欺騙利用的是ARP協(xié)議本身的缺陷，所以到目前為止，依然沒有一個(gè)非常有效的方法去控制這種攻擊。目前難點(diǎn)主要集中在網(wǎng)關(guān)上，還沒有找到一個(gè)很有效的方法來防備網(wǎng)關(guān)上的ARP列表不被欺騙修正。當(dāng)前最理想的方法還是迅速阻斷這種攻擊的來源。這就要求可以快速檢測到攻擊并定位出攻擊主機(jī)位置后加以處置。 .IP欺騙 IP 欺騙是一種中間人攻擊。IP 欺騙不是進(jìn)攻的結(jié)果，而是進(jìn)攻的手段。進(jìn)攻實(shí)踐上是信任關(guān)系的破壞。IP 欺騙是多種網(wǎng)絡(luò)攻擊的必要步驟。.IP欺騙原理信任關(guān)系假設(shè)在主機(jī)A

39、和B上各有一個(gè)帳戶，那么在主機(jī)A上運(yùn)用時(shí)需求輸入在A上的相應(yīng)帳戶，在主機(jī)B上運(yùn)用時(shí)必需輸入在B上的帳戶，主機(jī)A和B把他當(dāng)作兩個(gè)互不相關(guān)的用戶，顯然有些不便。為了減少這種不便，可以在主機(jī)A和主機(jī)B中建立起兩個(gè)帳戶的互置信任關(guān)系。那么可以毫無妨礙地運(yùn)用遠(yuǎn)程登錄而無口令驗(yàn)證的費(fèi)事。這些命令將允許以地址為根底的驗(yàn)證，或者允許或者回絕以IP地址為根底的存取效力。這里的信任關(guān)系是基于IP地址的。.IP欺騙原理IP只是發(fā)送數(shù)據(jù)包，并且保證它的完好性。假設(shè)不能收到完好的IP數(shù)據(jù)包，IP會向源地址發(fā)送一個(gè)ICMP 錯(cuò)誤信息，希望重新處置。由于IP是無銜接的，所以不堅(jiān)持任何銜接形狀的信息。每個(gè)IP數(shù)據(jù)包被松散地發(fā)

40、送出去，而不關(guān)懷前一個(gè)和后一個(gè)數(shù)據(jù)包的情況。由此看出，可以對IP包進(jìn)展修正，在源地址和目的地址中放入恣意滿足要求的IP地址，也就是說，提供虛偽的IP地址。.IP欺騙原理TCP提供可靠傳輸?？煽啃允怯蓴?shù)據(jù)包中的多個(gè)控制字段來提供的，其中最重要的是數(shù)據(jù)序列和數(shù)據(jù)確認(rèn)。TCP 向每一個(gè)數(shù)據(jù)字節(jié)分配一個(gè)序列號，并且可以向已勝利接納的、源地址所發(fā)送的數(shù)據(jù)包表示確認(rèn)(目的地址ACK 所確認(rèn)的數(shù)據(jù)包序列是源地址的數(shù)據(jù)包序列，而不是本人發(fā)送的數(shù)據(jù)包序列)。ACK在確認(rèn)的同時(shí)，還攜帶了下一個(gè)期望獲得的數(shù)據(jù)序列號。顯然，TCP提供的這種可靠性相對于IP來說更難于作假。.IP欺騙原理接納端利用序列號確保數(shù)據(jù)的先后順

41、序，除去反復(fù)的數(shù)據(jù)包。TCP 序列編號可以看作是32位的計(jì)數(shù)器。它們從0至232-1 陳列。每一個(gè)TCP銜接交換的數(shù)據(jù)都是順序編號的。在TCP數(shù)據(jù)包中定義序列號(SEQ)字段于數(shù)據(jù)段的前端。確認(rèn)序號(ACK)對所接納的數(shù)據(jù)進(jìn)展確認(rèn)，并且指出下一個(gè)等待接納的數(shù)據(jù)序列號。.IP欺騙原理TCP標(biāo)志位：RST、PSH和FIN 。假設(shè)RST 被接納，TCP銜接將立刻斷開。RST 通常在接納端接納到一個(gè)與當(dāng)前銜接不相關(guān)的數(shù)據(jù)包時(shí)被發(fā)送。當(dāng)TCP模塊需求立刻傳送數(shù)據(jù)而不能等整段都充溢時(shí)再傳，一個(gè)高層的進(jìn)程將會觸發(fā)在TCP頭部的PSH標(biāo)示，并且通知TCP模塊立刻將一切陳列好的數(shù)據(jù)發(fā)給數(shù)據(jù)接納端。FIN 表示一

42、個(gè)運(yùn)用銜接終了。當(dāng)接納端接納到FIN時(shí)，確認(rèn)它，以為將接納不到任何數(shù)據(jù)了。 .IP欺騙的步驟假定：首先，目的主機(jī)曾經(jīng)選定。其次，信任方式已被發(fā)現(xiàn)，并找到了一個(gè)被目的主機(jī)信任的主機(jī)。步驟：使得被信任的主機(jī)喪失任務(wù)才干；采樣目的主機(jī)發(fā)出的TCP 序列號；猜測出它的數(shù)據(jù)序列號；偽裝成被信任的主機(jī)，同時(shí)建立起與目的主機(jī)基于地址驗(yàn)證的運(yùn)用銜接；假設(shè)勝利，黑客可以運(yùn)用一種簡單的命令放置一個(gè)系統(tǒng)后門，以進(jìn)展非授權(quán)操作。.IP欺騙的防止 丟棄基于地址的信任戰(zhàn)略 阻止這類攻擊的一種非常容易的方法就是放棄以地址為根底的驗(yàn)證。這將迫使一切用戶運(yùn)用其它遠(yuǎn)程通訊手段，如telnet等。進(jìn)展包過濾 假設(shè)網(wǎng)絡(luò)是經(jīng)過路由器接

43、入Internet 的，那么可以利用路由器來進(jìn)展包過濾。確信只需內(nèi)部LAN可以運(yùn)用信任關(guān)系，而內(nèi)部LAN上的主機(jī)對于LAN以外的主機(jī)要慎重處置。路由器可以過濾掉一切來自于外部而希望與內(nèi)部建立銜接的懇求。.IP欺騙的防止運(yùn)用隨機(jī)化的初始序列號黑客攻擊得以勝利實(shí)現(xiàn)的一個(gè)很重要的要素就是，序列號不是隨機(jī)選擇的或者隨機(jī)添加的。為彌補(bǔ)TCP缺乏的方法，可以采用分割序列號空間。每一個(gè)銜接將有本人獨(dú)立的序列號空間。序列號將依然按照以前的方式添加，但是在這些序列號空間中沒有明顯的關(guān)系。可以經(jīng)過以下公式來闡明:SEQ=M+F(localhost，localport ，remotehost ，remoteport

44、 )M:4微秒定時(shí)器F:加密HASH函數(shù)。F產(chǎn)生的序列號，對于外部來說是不應(yīng)該可以被計(jì)算出或者被猜測出的。.內(nèi)容提要為了堅(jiān)持對曾經(jīng)入侵的主機(jī)長久的控制，需求在主機(jī)上建立網(wǎng)絡(luò)后門，以便直接經(jīng)過后門入侵系統(tǒng)。網(wǎng)絡(luò)后門的主要戰(zhàn)略：建立遠(yuǎn)程效力克隆管理員賬號種植木馬為了入侵的痕跡不被發(fā)現(xiàn)，需求隱藏或去除入侵的痕跡實(shí)現(xiàn)隱身的主要方法：設(shè)置代理跳板去除系統(tǒng)日志.網(wǎng)絡(luò)后門 只需能不經(jīng)過正常登錄進(jìn)入系統(tǒng)的途徑都稱之為網(wǎng)絡(luò)后門，目的是堅(jiān)持對目的主機(jī)長久控制。后門的好壞取決于被管理員發(fā)現(xiàn)的概率。只需是不容易被發(fā)現(xiàn)的后門都是好后門。留后門的原理和選間諜是一樣的，讓管理員看了覺得沒有任何特別的。經(jīng)過建立遠(yuǎn)程效力端口和

45、克隆管理員帳號來實(shí)現(xiàn)。.木馬簡介木馬木馬來自于“特洛伊木馬，英文稱號為Trojan Horse。由于特洛伊木馬程序的功能和此類似，故而得名。木馬程序在外表上看上去沒有任何的損害，實(shí)踐上隱藏著可以控制用戶整個(gè)計(jì)算機(jī)系統(tǒng)、翻開后門等危害系統(tǒng)平安的功能。木馬比普通后門功能強(qiáng)大，有遠(yuǎn)程控制功能。木馬是一種可以駐留在對方系統(tǒng)中的一種程序。.木馬木馬普通由兩部分組成：效力器端和客戶端。駐留在對方效力器的稱之為木馬的效力器端，遠(yuǎn)程的可以連到木馬效力器的程序稱之為客戶端。木馬的功能是經(jīng)過客戶端可以支配效力器，進(jìn)而支配對方的主機(jī)。這里引見一種最常見的木馬程序：“冰河。.網(wǎng)絡(luò)隱身IP隱藏 網(wǎng)絡(luò)代理跳板 去除系統(tǒng)日

46、志.1.3 惡意代碼長期存在的緣由1. 系統(tǒng)破綻層出不窮AT&T 實(shí)驗(yàn)室的S. Bellovin 提供的平安報(bào)告進(jìn)展過分析，分析結(jié)果闡明，大約50%的計(jì)算機(jī)網(wǎng)絡(luò)平安問題是由軟件工程中產(chǎn)生的平安缺陷引起的，其中，很多問題的根源都來自于操作系統(tǒng)的平安脆弱性。在信息系統(tǒng)的層次構(gòu)造中，包括從底層的操作系統(tǒng)到上層的網(wǎng)絡(luò)運(yùn)用在內(nèi)的各個(gè)層次都存在著許多不可防止的平安問題和平安脆弱性。而這些平安脆弱性的不可防止，直接導(dǎo)致了惡意代碼的必然存在。.計(jì)算機(jī)技術(shù)開展的同時(shí)并未使系統(tǒng)的平安性得到加強(qiáng)。技術(shù)提高帶來的平安加強(qiáng)才干最多只能彌補(bǔ)由運(yùn)用環(huán)境的復(fù)雜性帶來的平安要挾的增長程度。此外，計(jì)算機(jī)新技術(shù)的出現(xiàn)還很有能夠使計(jì)

47、算機(jī)系統(tǒng)的平安變得比以往更加脆弱。脆弱性與規(guī)模成正比測試技術(shù)只能證明系統(tǒng)存在脆弱性，不能證明系統(tǒng)不存在脆弱性。.2. 利益驅(qū)使目前，網(wǎng)絡(luò)購物、網(wǎng)絡(luò)支付、網(wǎng)絡(luò)銀行和網(wǎng)上證券買賣系統(tǒng)的曾經(jīng)普及，各種盜號木馬甚至被掛在了金融、門戶等網(wǎng)站上，給用戶呵斥了嚴(yán)重的經(jīng)濟(jì)損失。 假設(shè)下載網(wǎng)銀木馬，該木馬會監(jiān)視 IE 閱讀器正在訪問的網(wǎng)頁，假設(shè)發(fā)現(xiàn)用戶正在登錄某銀行的網(wǎng)上銀行，就會彈出偽造的登錄對話框，誘騙用戶輸入登錄密碼和支付密碼，經(jīng)過郵件將竊取的信息發(fā)送出去，要挾用戶網(wǎng)上銀行帳號密碼的平安。騙取 IP 流量，所謂的IP 流量指的是訪問某個(gè)網(wǎng)站的獨(dú)立IP 數(shù)量。IP 流量是評價(jià)一個(gè)網(wǎng)站的重要目的，因此一些商家

48、就出賣這些流量.1.4 惡意代碼的定義早期惡意代碼的主要方式是計(jì)算機(jī)病毒。80年代，Cohen 設(shè)計(jì)出一種在運(yùn)轉(zhuǎn)過程中可以復(fù)制本身的破壞性程序，Adleman將它命名為計(jì)算機(jī)病毒，它是早期惡意代碼。Adleman將計(jì)算機(jī)病毒定義為：一個(gè)具有破壞、傳染或模擬特點(diǎn)的一樣性質(zhì)的程序集合。這種定義有將病毒內(nèi)涵擴(kuò)展化的傾向，將任何具有破壞作用的程序都以為是病毒，掩蓋了病毒埋伏、傳染等其它重要特征。.惡意代碼的定義 Grimes 將惡意代碼定義為，經(jīng)過存儲介質(zhì)和網(wǎng)絡(luò)進(jìn)展傳播，從一臺計(jì)算機(jī)系統(tǒng)到另外一臺計(jì)算機(jī)系統(tǒng)，未經(jīng)授權(quán)認(rèn)證破壞計(jì)算機(jī)系統(tǒng)完好性的程序或代碼。包括計(jì)算機(jī)病毒(Computer Virus)、

49、蠕蟲(Worms)、特洛伊木馬(Trojan Horse)、邏輯炸彈(Logic Bombs)、病菌(Bacteria)、用戶級RootKit、中心級RootKit等。由此定義，惡意代碼兩個(gè)顯著的特點(diǎn)是：非授權(quán)性和破壞性。 .惡意代碼的相關(guān)定義 惡意代碼類型定義特點(diǎn)計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。傳染，附著，自我復(fù)制計(jì)算機(jī)蠕蟲指通過計(jì)算機(jī)網(wǎng)絡(luò)自我復(fù)制，消耗系統(tǒng)資源和網(wǎng)絡(luò)資源的程序自我復(fù)制，消耗資源特洛伊木馬指一種與遠(yuǎn)程計(jì)算機(jī)建立連接，使遠(yuǎn)程計(jì)算機(jī)能夠通過網(wǎng)絡(luò)控制本地計(jì)算機(jī)的程序。欺騙、隱蔽和信息竊取邏

50、輯炸彈指一段嵌入計(jì)算機(jī)系統(tǒng)程序的，通過特殊的數(shù)據(jù)或時(shí)間作為條件觸發(fā)，試圖完成一定破壞功能的程序。潛伏，條件破壞病菌指不依賴于系統(tǒng)軟件，能夠自我復(fù)制和傳播，以消耗系統(tǒng)資源為目的的程序。傳染和拒絕服務(wù)用戶級RootKit指通過替代或者修改被系統(tǒng)管理員或普通用戶執(zhí)行的程序進(jìn)入系統(tǒng)，從而實(shí)現(xiàn)隱藏和創(chuàng)建后門的程序。隱蔽，潛伏核心級RootKit指嵌入操作系統(tǒng)內(nèi)核進(jìn)行隱藏和創(chuàng)建后門的程序隱蔽，潛伏.防火墻簡介防火墻是設(shè)置在不同網(wǎng)絡(luò)或者平安域之間的一系列部件的組合。充任可信區(qū)域與不可信區(qū)域之間信息獨(dú)一出入口，經(jīng)過對出入數(shù)據(jù)的過濾、監(jiān)管，防備網(wǎng)絡(luò)入侵。防火墻有硬件防火墻和軟件防火墻兩種。Internet防火墻

51、.防火墻的功能根據(jù)不同的需求，防火墻的功能有比較大差別，但主要包含以下幾種根本功能。過濾掉不平安的效力和數(shù)據(jù)包；限制內(nèi)部用戶訪問特殊站點(diǎn)；隔離內(nèi)部網(wǎng)絡(luò)與外部不可信網(wǎng)絡(luò)；提供邏輯地址的轉(zhuǎn)換效力；對網(wǎng)絡(luò)通訊行為進(jìn)展審計(jì)。防火墻適宜于相對獨(dú)立的網(wǎng)絡(luò)，Internet上的Web網(wǎng)站中，超越三分之一的站點(diǎn)都是有某種防火墻維護(hù)的，任何關(guān)鍵性的效力器，都應(yīng)該放在防火墻之后。.防火墻的類型按照防火墻處置數(shù)據(jù)的方法，可分為包過濾防火墻、代理防火墻和形狀檢測防火墻三大體系。詳細(xì)包括： 包過濾防火墻 代理效力防火墻 運(yùn)用級代理防火墻 電路級代理防火墻 形狀檢測防火墻.規(guī)那么的制定規(guī)那么次序同樣的規(guī)那么，以不同的次序

52、放置，能夠會完全改動防火墻的運(yùn)轉(zhuǎn)情況。防火墻以順序方式檢查信息包，當(dāng)防火墻接納到一個(gè)信息包時(shí)，它先與第一條規(guī)那么相比較，然后是第二條、第三條當(dāng)它發(fā)現(xiàn)一條匹配規(guī)那么時(shí)，就停頓檢查并運(yùn)用那條規(guī)那么。假設(shè)信息包經(jīng)過每一條規(guī)那么而沒有發(fā)現(xiàn)匹配，這個(gè)信息包便會被回絕。通常的順序是，較特殊的規(guī)那么在前，較普通的規(guī)那么在后，防止在找到一個(gè)特殊規(guī)那么之前一個(gè)普通規(guī)那么便被匹配，這可以使他的防火墻防止配置錯(cuò)誤。 .規(guī)那么不能出現(xiàn)矛盾網(wǎng)絡(luò)的頭號敵人是錯(cuò)誤配置。規(guī)那么不宜太多盡量堅(jiān)持規(guī)那么集簡約和簡短，規(guī)那么的正確性驗(yàn)證復(fù)雜度與規(guī)那么數(shù)量直接相關(guān)。規(guī)那么越多，就越能夠犯錯(cuò)誤，規(guī)那么越少，了解和維護(hù)就越容易。一個(gè)好的

53、準(zhǔn)那么是最好不要超越30條。一旦規(guī)那么超越50條，就會以失敗而告終。規(guī)那么越少，規(guī)那么集就越簡約，錯(cuò)誤配置的能夠性就越小，系統(tǒng)就越平安。 由于規(guī)那么少意味著只分析少數(shù)的規(guī)那么，防火墻的CPU周期就短，防火墻效率就可以提高。每條規(guī)那么要有針對性，防止過寬或過嚴(yán).數(shù)據(jù)包的處置包過濾防火墻只在網(wǎng)絡(luò)層和傳輸層檢查數(shù)據(jù)，與運(yùn)用層無關(guān)。有過濾規(guī)那么？匹配？有更多條目？下一條目動作制止或丟棄丟棄，發(fā)送ICMP音訊允許轉(zhuǎn)發(fā)數(shù)據(jù)包到達(dá)NNNYYY數(shù)據(jù)包處置過程.包過濾防火墻評價(jià)特點(diǎn)：只針對IP地址及端口，不關(guān)懷數(shù)據(jù)內(nèi)容；優(yōu)點(diǎn)：速度快，對用戶透明，配置簡單。缺陷：1、無法對數(shù)據(jù)包內(nèi)容進(jìn)展檢查；2、無法提供詳細(xì)日志

54、記錄；3、內(nèi)外網(wǎng)不隔離；4、復(fù)雜配置下容易出錯(cuò)。.防火墻的體系構(gòu)造雙宿主主機(jī)體系構(gòu)造主機(jī)屏蔽體系構(gòu)造子網(wǎng)屏蔽體系構(gòu)造.2.主機(jī)屏蔽體系構(gòu)造主機(jī)屏蔽防火墻比雙宿主機(jī)防火墻更平安。主機(jī)屏蔽防火墻體系構(gòu)造是在防火墻的前面添加了挑選路由器。防火墻不直接銜接外網(wǎng)，這樣的方式提供一種非常有效的并且容易維護(hù)的防火墻體系。由于路由器具有數(shù)據(jù)過濾功能，路由器經(jīng)過適當(dāng)配置后，可以實(shí)現(xiàn)一部分防火墻的功能，因此，有人把挑選路由器也成為防火墻的一種。實(shí)踐上，挑選路由器作為維護(hù)網(wǎng)絡(luò)的第一道防線，可以根據(jù)內(nèi)網(wǎng)的平安戰(zhàn)略，過濾掉不允許經(jīng)過的數(shù)據(jù)包。.3.子網(wǎng)屏蔽體系構(gòu)造屏蔽子網(wǎng)體系構(gòu)造運(yùn)用兩個(gè)屏蔽路由器，位于堡壘主機(jī)的兩端，

55、一端銜接內(nèi)網(wǎng)，一端銜接外網(wǎng)。子網(wǎng)屏蔽防火墻體系構(gòu)造添加阻塞路由器到主機(jī)屏蔽體系構(gòu)造，即經(jīng)過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與外網(wǎng)隔離。在主機(jī)屏蔽體系中，用戶的內(nèi)部網(wǎng)絡(luò)對堡壘主機(jī)沒有任何防御措施，經(jīng)過在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)上入侵的影響。入侵者必需穿透兩個(gè)屏蔽路由器才干進(jìn)入內(nèi)網(wǎng)。即使入侵者控制了堡壘主機(jī)，他依然需求經(jīng)過內(nèi)網(wǎng)端的屏蔽路由器才干到達(dá)內(nèi)網(wǎng)。阻塞路由器挑選路由器.防火墻的部署1.包過濾防火墻的部署2. 代理網(wǎng)關(guān)雙宿主主機(jī)防火墻的部署3. 主機(jī)屏蔽防火墻的部署4. 子網(wǎng)屏蔽防火墻的部署5. 企業(yè)常見分布式防火墻的部署.1.包過濾防火墻的部署.2. 代理網(wǎng)關(guān)雙宿主主機(jī)防火墻

56、的部署.3. 主機(jī)屏蔽防火墻的部署.4. 子網(wǎng)屏蔽防火墻的部署.防火墻的局限性防火墻不能防備不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查。防火墻不能防止戰(zhàn)略配置不當(dāng)或錯(cuò)誤配置引起的平安要挾。防火墻是一個(gè)被動的平安戰(zhàn)略執(zhí)行設(shè)備，就像門衛(wèi)一樣，要根據(jù)政策規(guī)定來執(zhí)行平安。防火墻對來自內(nèi)部網(wǎng)絡(luò)的攻擊和平安問題防備才干弱。防火墻可以設(shè)計(jì)為既防外也防內(nèi)，誰都不可信，但絕大多數(shù)單位由于不方便，不要求防火墻防內(nèi)。防火墻不能防止利用規(guī)范網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)展的攻擊。一旦防火墻準(zhǔn)許某些規(guī)范網(wǎng)絡(luò)協(xié)議，防火墻不能防止利用該協(xié)議中的缺陷進(jìn)展的攻擊。.防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺

57、病毒的功能，即使集成了第三方的防病毒的軟件，也沒有一種軟件可以查殺一切的病毒。 防火墻不能防止數(shù)據(jù)加密式的攻擊和利用隧道傳輸?shù)臄?shù)據(jù)，防火墻沒有信息穿透才干。防火墻的平安性與多功能成反比。多功能與防火墻的平安原那么是背道而馳的。因此，除非確信需求某些功能，否那么，應(yīng)該功能最小化。防火墻的平安性和速度成反比。防火墻的平安性是建立在對數(shù)據(jù)的檢查之上，檢查越細(xì)越平安，但檢查越細(xì)速度越慢。防火墻不能防止可接觸的人為或自然的破壞。防火墻是一個(gè)平安設(shè)備，但防火墻本身必需存在于一個(gè)平安的地方。.IDS概念入侵檢測：經(jīng)過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)搜集信息并進(jìn)展分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中能否有違反平安戰(zhàn)略的

58、行為和被攻擊的跡象。入侵檢測系統(tǒng)(IDS)：是硬件和軟件的組合。是防火墻的合理補(bǔ)充，是防火墻之后的第二道平安閘門。入侵檢測的內(nèi)容：試圖闖入、勝利闖入、冒充其他用戶、違反平安戰(zhàn)略、合法用戶泄露、資源獨(dú)占或惡意運(yùn)用。.IDS分類根據(jù)所檢測的對象：基于主機(jī)的入侵檢測系統(tǒng)HIDS 主要用于維護(hù)運(yùn)轉(zhuǎn)關(guān)鍵運(yùn)用的效力器。它經(jīng)過監(jiān)視與分析主機(jī)的審計(jì)記錄和日志文件來檢測入侵。日志中包含發(fā)生在系統(tǒng)上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或已勝利入侵了系統(tǒng)。經(jīng)過查看日志文件，可以發(fā)現(xiàn)勝利的入侵或入侵企圖，并很快地啟動相應(yīng)的應(yīng)急呼應(yīng)程序?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)NIDS 主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵途徑的

59、信息，它監(jiān)聽網(wǎng)絡(luò)上的一切數(shù)據(jù)包和流量，分析可疑景象。根據(jù)任務(wù)方式：離線監(jiān)測系統(tǒng)在線監(jiān)測系統(tǒng).IDS任務(wù)原理第一步：信息搜集。包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)、以及用戶的形狀和行為，需求在多個(gè)不同的關(guān)鍵點(diǎn)網(wǎng)段/交換機(jī)或主機(jī)搜集信息。多來源的信息有利于綜合判別。日志文件目錄和文件的不期望的改動程序執(zhí)行的不期望改動物理方式入侵.IDS任務(wù)原理第二步：信息分析方式匹配：實(shí)時(shí)入侵檢測統(tǒng)計(jì)分析：實(shí)時(shí)入侵檢測完好性分析：事后分析入侵檢測系統(tǒng)的中心，它的效率高低直接決議了整個(gè)入侵檢測系統(tǒng)的性能。根據(jù)數(shù)據(jù)分析的不同方式可將入侵檢測系統(tǒng)分為異常入侵檢測與誤用入侵檢測兩類. .IDS任務(wù)原理第三步：呼應(yīng)，呼應(yīng)并不局限于對可疑的

60、攻擊者，目前的入侵檢測系統(tǒng)普通采取以下呼應(yīng)。1、將分析結(jié)果記錄在日志文件中，并產(chǎn)生相應(yīng)的報(bào)告。2、觸發(fā)警報(bào)：如在系統(tǒng)管理員的桌面上產(chǎn)生一個(gè)告警標(biāo)志位，向系統(tǒng)管理員發(fā)送傳呼或電子郵件等等。3、修正入侵檢測系統(tǒng)或目的系統(tǒng)，如終止進(jìn)程、切斷攻擊者的網(wǎng)絡(luò)銜接，或更改防火墻配置等。.基于規(guī)那么的檢測方式匹配.基于異常檢測建立正?；顒犹卣鞣绞街贫ㄆx正常特征答應(yīng)閾值方式匹配難點(diǎn)在于匹配方式和閾值確實(shí)定準(zhǔn)確率相對較高對新的入侵方法無能為力難點(diǎn)在于如何設(shè)計(jì)方式既能表達(dá)入侵又不影響正常。.IP平安概述 大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)轉(zhuǎn)多種網(wǎng)絡(luò)協(xié)議TCP/IP、IPX/SPX和NETBEUA等，這些網(wǎng)絡(luò)協(xié)議并非為平安通訊設(shè)計(jì)。