信息安全課件

信息安全概述主要內(nèi)容信息安全的概念信息安全的發(fā)展歷史信息安全的目標(biāo)信息安全的研究?jī)?nèi)容信息安全的概念信息（information）是經(jīng)過加工（獲取、推理、分析、計(jì)算、存儲(chǔ)等）的特定形式數(shù)據(jù)，是物質(zhì)運(yùn)動(dòng)規(guī)律的總和。信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。信息安全涉及的知識(shí)領(lǐng)域信息安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

信息安全的發(fā)展歷史信息安全的發(fā)展經(jīng)歷了如下幾個(gè)階段：古典信息安全輻射安全計(jì)算機(jī)安全網(wǎng)絡(luò)安全信息安全安全性攻擊被動(dòng)攻擊攻擊者在未被授權(quán)的情況下，非法獲取信息或數(shù)據(jù)文件，但不對(duì)數(shù)據(jù)信息作任何修改

搭線監(jiān)聽、無線截獲、其他截獲、流量分析破壞了信息的機(jī)密性主動(dòng)攻擊包括對(duì)數(shù)據(jù)流進(jìn)行篡改或偽造

偽裝、重放、消息篡改，破壞了信息的完整性拒絕服務(wù)，破壞了信息系統(tǒng)的可用性信息安全的目標(biāo)機(jī)密性：Confidentiality，指保證信息不被非授權(quán)訪問。完整性：Integrity，指信息在生成、傳輸、存儲(chǔ)和使用過程中不應(yīng)被第三方篡改?？捎眯裕篈vailability，指授權(quán)用戶可以根據(jù)需要隨時(shí)訪問所需信息。信息安全性質(zhì)之間的關(guān)系信息安全的目標(biāo)是致力于保障信息的這三個(gè)特性不被破壞。構(gòu)建安全系統(tǒng)的一個(gè)挑戰(zhàn)就是在這些特性中找到一個(gè)平衡點(diǎn)，因?yàn)樗鼈兂３Ｊ窍嗷ッ艿摹Ｒ虼?，三個(gè)特征是可以獨(dú)立，也可以有重疊。其它信息安全性質(zhì)可靠性：是指系統(tǒng)在規(guī)定條件下和規(guī)定時(shí)間內(nèi)、完成規(guī)定功能的概率。不可抵賴性：也稱作抗否認(rèn)性，是面向通信雙方（人、實(shí)體或進(jìn)程）信息真實(shí)統(tǒng)一的安全要求，它包括收、發(fā)雙方均不可抵賴?？蓪彶樾裕菏褂脤徲?jì)、監(jiān)控、防抵賴等安全機(jī)制，使得使用者（包括合法用戶、攻擊者、破壞者、抵賴者）的行為有證可查，并能夠?qū)W(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段?？煽匦裕菏菍?duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控。管理機(jī)構(gòu)對(duì)危害國(guó)家信息的來往、使用加密手段從事非法的通信活動(dòng)等進(jìn)行監(jiān)視審計(jì)，對(duì)信息的傳播及內(nèi)容具有控制能力。信息安全的研究?jī)?nèi)容信息安全的研究范圍非常廣泛，其領(lǐng)域劃分成三個(gè)層次信息安全基礎(chǔ)理論研究信息安全應(yīng)用技術(shù)研究信息安全管理研究

信息安全基礎(chǔ)研究密碼理論數(shù)據(jù)加密算法消息認(rèn)證算法數(shù)字簽名算法密鑰管理安全理論身份認(rèn)證、授權(quán)和訪問控制、安全審計(jì)和安全協(xié)議信息安全應(yīng)用研究安全技術(shù)防火墻技術(shù)、漏洞掃描和分析、入侵檢測(cè)、防病毒等。平臺(tái)安全物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、用戶安全和邊界安全。信息安全管理研究安全策略研究包括安全風(fēng)險(xiǎn)評(píng)估、安全代價(jià)評(píng)估、安全機(jī)制的制定以及安全措施的實(shí)施和管理等。

安全標(biāo)準(zhǔn)研究主要內(nèi)容包括安全等級(jí)劃分、安全技術(shù)操作標(biāo)準(zhǔn)、安全體系結(jié)構(gòu)標(biāo)準(zhǔn)、安全產(chǎn)品測(cè)評(píng)標(biāo)準(zhǔn)和安全工程實(shí)施標(biāo)準(zhǔn)等。

安全測(cè)評(píng)研究主要內(nèi)容有測(cè)評(píng)模型、測(cè)評(píng)方法、測(cè)評(píng)工具、測(cè)評(píng)規(guī)程等。

網(wǎng)絡(luò)與信息安全

系統(tǒng)安全：Linux系統(tǒng)安全內(nèi)容Linux系統(tǒng)介紹Linux內(nèi)核Linux文件系統(tǒng)Linux的網(wǎng)絡(luò)結(jié)構(gòu)Linux攻防技術(shù)一次針對(duì)Linux的入侵過程Linux操作系統(tǒng)背景最初由LinusBenedictTorvalds于1991年開發(fā)的1994年3月發(fā)布第一個(gè)正式版本內(nèi)核升級(jí)模式穩(wěn)定的內(nèi)核，第二個(gè)數(shù)字為偶數(shù)，例如2.2.14開發(fā)的內(nèi)核，第二個(gè)數(shù)字為奇數(shù)，例如2.1.14Linux系統(tǒng)特點(diǎn)兼容UNIX：API兼容，管理命令和各種工具源碼開放支持各種硬件平臺(tái)，支持多CPULinux平臺(tái)上存在大量的應(yīng)用軟件，以及應(yīng)用開發(fā)工具Linux內(nèi)核多用戶，多任務(wù)，分時(shí)，軟實(shí)時(shí)處理不是微內(nèi)核系統(tǒng)，但具有某些微內(nèi)核特征Intel版本：i386的保護(hù)模式，特權(quán)級(jí)內(nèi)核態(tài)（0）和用戶態(tài)（3）中斷和系統(tǒng)調(diào)用——兩種特權(quán)級(jí)的切換PCB：進(jìn)程控制塊，常駐內(nèi)存進(jìn)程是最基本的調(diào)度單元進(jìn)程是動(dòng)態(tài)的，每一個(gè)進(jìn)程都有一個(gè)進(jìn)程控制塊沒有專門的調(diào)度進(jìn)程，內(nèi)核中有一個(gè)schedule函數(shù)完成調(diào)度任務(wù)進(jìn)程在調(diào)度過程中有多種狀態(tài)進(jìn)程調(diào)度：狀態(tài)轉(zhuǎn)換圖TASK_RUNNINGHoldingCPUTASK_UNINTERRUPTIBLETASK_INTERRUPTIBLETASK_ZOMBIETASK_STOPPEDdo_fork()schedule()時(shí)間片到do_exit()申請(qǐng)資源未果申請(qǐng)資源未果跟蹤系統(tǒng)調(diào)用所申請(qǐng)資源有效時(shí)收到SIG_KILL或SIG_CONT后所申請(qǐng)資源有效或者收到信號(hào)時(shí)Linux的系統(tǒng)調(diào)用編程接口，與POSIX兼容，C語言函數(shù)集合實(shí)現(xiàn)形式與DOS的INT21H相似Linux使用int80h函數(shù)名“sys_xxx”比如系統(tǒng)調(diào)用fork的相應(yīng)函數(shù)sys_fork()系統(tǒng)調(diào)用號(hào)和系統(tǒng)調(diào)用表系統(tǒng)調(diào)用都轉(zhuǎn)換為Int80h軟中斷所有的系統(tǒng)調(diào)用只有一個(gè)入口system_call出口：ret_from_sys_callLinux內(nèi)存管理在i386機(jī)器上，每個(gè)進(jìn)程有獨(dú)立的4G虛存空間32位線性地址——利用硬件的分頁機(jī)制內(nèi)核的代碼段和數(shù)據(jù)段被映射到3G以上的空間中用戶態(tài)下的代碼實(shí)際可申請(qǐng)的虛存空間為0-3GB每個(gè)進(jìn)程用兩套段描述符來訪問內(nèi)存，分別用來訪問內(nèi)核態(tài)和用戶態(tài)下的內(nèi)存空間在用戶態(tài)下，代碼不可能訪問3G以上的地址空間，如果要訪問內(nèi)核空間，必須通過系統(tǒng)調(diào)用或者中斷Linux對(duì)虛存的管理使用vma(virtualmemoryarea)機(jī)制在進(jìn)程數(shù)據(jù)結(jié)構(gòu)中，指定了用戶空間的上界，在系統(tǒng)調(diào)用時(shí)，用戶指定的指針不能超過此上界，但是內(nèi)核代碼可以重新設(shè)定此上界頁交換機(jī)制：缺頁中斷、頁面換入Linux的段選擇符情況Linux的模塊機(jī)制可動(dòng)態(tài)裝載的內(nèi)核模塊(lkm)一組命令：insmod/rmmod/lsmod/modprobe/…關(guān)于模塊機(jī)制可以讓核心保持比較小的尺寸動(dòng)態(tài)裝載，避免重新啟動(dòng)模塊機(jī)制常常用于設(shè)備驅(qū)動(dòng)內(nèi)核模塊一旦加載之后，與原有的核心代碼同等可動(dòng)態(tài)裝載的內(nèi)核模塊的一些缺點(diǎn)可能會(huì)導(dǎo)致一定的性能損失，和內(nèi)存開銷代碼不規(guī)范的模塊可能導(dǎo)致核心崩潰如果調(diào)用系統(tǒng)核心功能時(shí)，參數(shù)錯(cuò)誤，同樣會(huì)有問題Linux的模塊機(jī)制原理insmod裝載模塊Linux內(nèi)核中有一個(gè)模塊鏈表首先通過一個(gè)特權(quán)級(jí)系統(tǒng)調(diào)用來找到核心的輸出符號(hào)然后將模塊讀入虛擬內(nèi)存，并利用來自核心的輸出符號(hào)，修改其未解析的核心例程和資源的引用地址再次使用特權(quán)級(jí)系統(tǒng)調(diào)用來申請(qǐng)足夠的空間來容納新的核心模塊，并拷貝到此內(nèi)存空間中每個(gè)模塊必須包括初始化例程和注銷例程，insmod將調(diào)用初始化代碼，并執(zhí)行一個(gè)特權(quán)級(jí)系統(tǒng)調(diào)用將模塊的初始化與注銷例程地址傳遞給核心rmmod卸載模塊當(dāng)一個(gè)模塊不再被引用的時(shí)候，它可以被卸載核心調(diào)用注銷例程，釋放相應(yīng)的核心資源從模塊鏈表中移除，它所占用的核心內(nèi)存被回收內(nèi)核中的ROOTKIT通過LKM機(jī)制，可以在系統(tǒng)內(nèi)核中插入木馬模塊一個(gè)典型的以Linux2.2.x為基礎(chǔ)的rootkit——knark使用insmodknark.o就可以加載到內(nèi)核中一旦加載了knark后門之后可以改變netstat的輸出結(jié)果可以改變運(yùn)行進(jìn)程的UID和GID可以不用SUID就能夠獲得root訪問權(quán)限……還有其他的ROOTKITS，比如adore內(nèi)核ROOTKITS的對(duì)策根據(jù)每個(gè)rootkit的特征進(jìn)行檢測(cè)，然后設(shè)法刪除預(yù)防為主，安裝內(nèi)核檢測(cè)系統(tǒng)，比如LIDSLinux文件系統(tǒng)Linux支持多種文件系統(tǒng)，包括ext、ext2、hpfs、vfat、ntfs、…通過虛擬文件系統(tǒng)VFS，Linux操作系統(tǒng)可以支持不同類型的文件系統(tǒng)文件系統(tǒng)類型管理文件系統(tǒng)類型的注冊(cè)途徑：在編譯內(nèi)核時(shí)確定在文件系統(tǒng)作為模塊裝入時(shí)登記nextnext=0nextfile_systemfile_system_type虛擬文件系統(tǒng)(VFS)是物理文件系統(tǒng)與服務(wù)之間的一個(gè)接口層，只存在于內(nèi)存中定義了關(guān)于各種特殊文件系統(tǒng)的公共接口——抽象性Super_block、inode、文件操作函數(shù)入口把所有的文件系統(tǒng)映射到同一個(gè)層次結(jié)構(gòu)中，通過super_block與inode中的關(guān)聯(lián)關(guān)系來實(shí)現(xiàn)，如下圖所示處理面向文件系統(tǒng)的通用操作把針對(duì)文件系統(tǒng)的操作映射到相關(guān)的物理文件系統(tǒng)許多復(fù)雜的cache機(jī)制，提高了文件系統(tǒng)的訪問效率VFSinodecacheVFSdirectorycacheBuffercache……rooti_mounti_sbs_coverds_mountedext2文件系統(tǒng)這是Linux系統(tǒng)專用的文件系統(tǒng)文件也是分塊存儲(chǔ)，以塊為整單位數(shù)據(jù)塊三次間接塊二次間接塊一次間接塊12個(gè)直接塊數(shù)據(jù)塊數(shù)據(jù)塊數(shù)據(jù)塊數(shù)據(jù)塊數(shù)據(jù)塊...組0組1組Ns_blockfs描述符塊位圖inode位圖inode表數(shù)據(jù)塊數(shù)據(jù)結(jié)構(gòu)ext2_super_blockext2_inode:內(nèi)含一個(gè)32位的文件訪問控制表和一個(gè)32位的目錄訪問控制表Linux文件系統(tǒng)的安全性Linux文件系統(tǒng)安全模型與兩個(gè)屬性相關(guān)文件的所有者(ownership)文件所有者的id文件所有者所在用戶組的id訪問權(quán)限(accessrights)10個(gè)標(biāo)志第1個(gè)標(biāo)志：d(目錄),b(塊系統(tǒng)設(shè)備),c(字符設(shè)備),.(普通文件)第2-4個(gè)標(biāo)志：所有者的讀、寫、執(zhí)行權(quán)限第5-7個(gè)標(biāo)志：所有者所在組的讀、寫、執(zhí)行權(quán)限第8-10個(gè)標(biāo)志：其他用戶的讀、寫、執(zhí)行權(quán)限用chmod修改權(quán)限：字符方式和數(shù)字方式Linux文件的安全性SUID程序正常情況下，一個(gè)程序在運(yùn)行的時(shí)候，它的進(jìn)程將屬于當(dāng)前用戶但是，對(duì)于SUID程序，它的進(jìn)程不屬于啟動(dòng)用戶，而是屬于該程序的所有者用戶通常，SUID/SGID程序中的bug往往是入侵的基礎(chǔ)mount和fstab命令用mount裝載文件系統(tǒng)的時(shí)候，可以使用一些選項(xiàng)控制文件系統(tǒng)的安全性，對(duì)于裝載FAT系統(tǒng)比較有意義。umash=Nuid=Ngid=NLinux文件系統(tǒng)安全性權(quán)限管理的不靈活只能對(duì)所有者、所有者所在組和其他用戶分配權(quán)限，無法做到進(jìn)一步的細(xì)致化POSIXACLsforLinux軟件包內(nèi)核補(bǔ)丁，可以做到用ACL來管理權(quán)限需要重新編譯內(nèi)核，下載補(bǔ)?。篽ttp://acl.bestbits.at兩個(gè)命令：setfacl、getfacl真正刪除文件工具wipeLinux用戶管理用戶文件/etc/passwdShadowpassword:/etc/shadow此文件只對(duì)root可讀讓用戶擁有單獨(dú)的組，而不是加入到共享的users組中g(shù)roupadd創(chuàng)建用戶：useradd改口令：passwd管理口令的有效期chageLinux中crypt口令加密方案crypt()是一個(gè)口令加密函數(shù)，它基于DES算法。我們可以認(rèn)為這是一個(gè)單向加密操作函數(shù)原型：char*crypt(constchar*key,constchar*salt);*salt是兩個(gè)字符，每個(gè)字符可從[a-zA-Z0-9./]中選出來算法UNIX標(biāo)準(zhǔn)算法使用DES加密算法，用key對(duì)一個(gè)常量進(jìn)行加密，獲得一個(gè)13字節(jié)的密文編碼輸出，其中包括salt的兩個(gè)字符[fromRedHatLinux6.2]Salt的作用同樣的口令產(chǎn)生不同的密文增加了窮舉空間建議使用更為安全的MD5算法Linux中Kerberos認(rèn)證協(xié)議的支持建立KDC下載和安裝Kerberos5配置Kerberos啟動(dòng)服務(wù)管理Kerberoskadmin,管理Kerberos數(shù)據(jù)庫使用Kerberoskinit,獲得一個(gè)ticketklist,列出所有的ticketskpasswd,修改口令kdestroy,刪除一個(gè)ticket使用支持Kerberos的網(wǎng)絡(luò)應(yīng)用，例如ftp,telnet,等PAM(PluggableAuthenticationModules)一種可插入的認(rèn)證機(jī)制針對(duì)一個(gè)服務(wù)，指定一些認(rèn)證相關(guān)的動(dòng)作，放到/etc/pam.conf文件中，或者放到/etc/pam.d/下與服務(wù)同名的配置文件中每一行包含一個(gè)模塊類型、一個(gè)控制級(jí)別、一個(gè)模塊：servicemodule-typecontrol-flagmodule[args]例如passwdpasswordrequiredpam_cracklib.sotype=userretry=3passwdpasswordrequiredpam_pwdb.souse_authtokPAM結(jié)構(gòu)圖logintelnetftp……用戶認(rèn)證管理(auth)帳戶管理(account)會(huì)話管理(session)口令管理(password)PAM配置文件管理員PAMAPIUNIX認(rèn)證Kerberos認(rèn)證S/Key認(rèn)證PAMSPIPAM核心庫系統(tǒng)服務(wù)PAM服務(wù)模塊……Linux內(nèi)核安全性Linux內(nèi)核機(jī)制存在的一些潛在缺陷超級(jí)用戶的特權(quán)可能會(huì)被濫用系統(tǒng)文檔不安全系統(tǒng)內(nèi)核可以比較容易地插入模塊內(nèi)核中，進(jìn)程不受保護(hù)Linux對(duì)網(wǎng)絡(luò)的支持Linux從UNIX繼承了在網(wǎng)絡(luò)方面的優(yōu)勢(shì)Linux自身的發(fā)展也是與Internet息息相關(guān)的介紹內(nèi)容Linux網(wǎng)絡(luò)層次Linux協(xié)議棧Linux網(wǎng)絡(luò)配置內(nèi)核防火墻Linux中網(wǎng)絡(luò)的層次結(jié)構(gòu)BSDSocketsINETSocketsTCPUDPIPPPPSLIPEthernetARPUserKernelNetworkApplicationsSocketInterfaceProtocolLayersNetworkDevicesAppletalkIPXBSDSocket一個(gè)通用的接口ApartofVFSinodeAsocketcanbeoperatedjustthesameasafilebysystemcallread(),write(),lseek()…一個(gè)套接字描述一個(gè)通訊連接的一端，兩個(gè)通訊程序中各自有一個(gè)套接字來描述它們自己那一端。每一類型的套接字有它自己的通信尋址方法。Linux支持下列套接字地址族或域UNIXUnix域套接字INETInternet地址族支持通過TCP/IP協(xié)議的通信AX25AmateurradioX25IPXNovellIPXAPPLETALKAppletalkDDPX25X25對(duì)BSDsocket進(jìn)行準(zhǔn)確操作要依賴于它下面的地址族Client/ServerCommunicationClient1.Createasocket2.Bindanaddr3.Listentheclient4.CreateasocketServer

ConnectAcceptSendRecvINETSocketBSDsocket層從已注冊(cè)的INETproto_ops數(shù)據(jù)結(jié)構(gòu)中調(diào)用INET層socket支持例程來為它執(zhí)行工作。BSDsocket層把socket結(jié)構(gòu)傳到INET層。為了不把BSDsocket與TCP/IP的特定信息搞混，INETsocket層使用它自己的數(shù)據(jù)結(jié)構(gòu)：sock，它與BSDsocket結(jié)構(gòu)相連。建立BSDsocket：地址族，socket類型，協(xié)議將地址與INETsocket綁定

綁定操作在INETsocket層內(nèi)處理，下面的TCP和UDP協(xié)議層提供一些支持。綁定的地址在sock結(jié)構(gòu)中的recv_addr和saddr字段。例如，fd=socket(AF_INET,SOCK_STREAM,0)下層網(wǎng)絡(luò)設(shè)備接收的包必須通過正確的INET和BSDsocket才能被處理。因此，UDP和TCP維護(hù)了一些hash表用來在輸入IP消息內(nèi)查找地址并將它們導(dǎo)向正確的socket/sock對(duì)。INETSocket(續(xù))在INETSocket上建立連接UDP：IP地址和端口號(hào)TCP：建立虛聯(lián)接監(jiān)聽I(yíng)NETSocketUDP：改變socket的狀態(tài)TCP：建立一個(gè)新的sock結(jié)構(gòu)，加到兩個(gè)hash表中并激活tcp_bound_hash表和tcp_listening_hash表。接收連接請(qǐng)求只用于TCP協(xié)議阻塞和非阻塞狀態(tài)socket()sys_socket()socket()sock_create()inet_create()get_fd()returncheckprotocol,type,familynet_families[family]->create(sock,protocol)createsocketstructuretcp_v4_init_sock()sk->prot->init()INETinet_create()IPXipx_create()UNIXunix_create()LinuxBSDSocketDataStructure

files_structcountclose_on_execopen_fsfd[0]fd[1]fd[255]filef_modef_posf_flagsf_countf_ownerf_opf_inodef_versioninodesocksockettypeprotocoldata(sk)typeprotocolsocketSOCK_STREAMSOCK_STREAMAddressFamilysocketoperationsBSDSocketFileOperationslseekreadwriteselectioctlclosefasyncINETsocketBSDsocketIP層Socket緩存sk_buff每一個(gè)包到來之后，都被放到一個(gè)sk_buff中sk_buff是一個(gè)數(shù)據(jù)結(jié)構(gòu)，包含一些與該包有關(guān)的信息在包和sk_buff之間是一對(duì)一的關(guān)系sk_buff大小按16字節(jié)的倍數(shù)分配空間接收IP包將接收的數(shù)據(jù)轉(zhuǎn)換成sk_buff結(jié)構(gòu)。這些sk_buff則被網(wǎng)絡(luò)驅(qū)動(dòng)加入到了backlog隊(duì)列中。如果backlog隊(duì)列太長(zhǎng)，則丟棄接收的sk_buff。發(fā)送IP包建立sk_buff加上各種頭。IP用路由表為目的IP地址解析路由IP分片PacketsinLinuxkernel2.2sys_write()sock_write()inet_sendmsg()tcp_v4_sendmsg()

tcp_do_sendmsg()

tcp_send_skb()

tcp_transmit_skb()ip_queue_xmit()

ip_output()

ip_finish_output()dev_queue_xmit()hard_start_xmit()sys_read()sock_read()inet_recvmsg()tcp_recvmsg()

tcp_v4_recv()ip_local_deliver()

ip_rcv()

net_bh()Netif_rx()Block_input()

ei_receive()

ei_interrupt()outputinput接收數(shù)據(jù)包的過程首先是硬件接收到數(shù)據(jù)包然后，硬件產(chǎn)生中斷驅(qū)動(dòng)程序把數(shù)據(jù)從硬件拷貝到一個(gè)sk_buff中調(diào)用netif_rx()把數(shù)據(jù)包放到系統(tǒng)全局的backlog隊(duì)列中通知net_bh()在適當(dāng)?shù)臅r(shí)候net_bh()執(zhí)行net_bh()試圖發(fā)送所有的數(shù)據(jù)包，然后從backlog隊(duì)列中移除，送到適當(dāng)?shù)陌幚砥?，例如ip_rcv()ip_rcv()可能會(huì)調(diào)用ip_local_deliver()或ip_forward()ip_local_deliver()會(huì)導(dǎo)致調(diào)用tcp_v4_rcv()tcp_v4_rcv()將數(shù)據(jù)放到某個(gè)socket的隊(duì)列中當(dāng)socket的進(jìn)程讀數(shù)據(jù)時(shí)，tcp_recvmsg()被調(diào)用如果socket進(jìn)程阻塞在讀操作上，則進(jìn)程將被喚醒OnNetworklevel…Ip_rcv()RoutetableIp_forward()DemasqIp_output()RoutetableIp_local_deliver()inputforwardoutputTransportlevelDatalinklevelmasq網(wǎng)絡(luò)設(shè)備工作原理圖網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)數(shù)據(jù)結(jié)構(gòu)面向?qū)ο蟮姆椒╯tructdevice可見部分和隱藏部分?？梢姴糠质怯赏獠抠x值隱藏部分的域段僅面向系統(tǒng)內(nèi)部，它們可以隨時(shí)被改變初始化主要工作是檢測(cè)設(shè)備的存在、初始化設(shè)備的device結(jié)構(gòu)及在系統(tǒng)中登記該設(shè)備。

兩種方式：模塊初始化模式&啟動(dòng)初始化模式網(wǎng)絡(luò)接口管理表：dev_base模塊初始化模式網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)的職責(zé)提供初始化功能支持啟動(dòng)初始化模式：網(wǎng)絡(luò)設(shè)備的檢測(cè)及初始化函數(shù)支持模塊初始化模式：網(wǎng)絡(luò)設(shè)備的初始化函數(shù)，供register_netdev調(diào)用；還需提供init_module和cleanup_module函數(shù)提供該網(wǎng)絡(luò)設(shè)備的打開和關(guān)閉操作(ifconfig命令使用)提供該網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)傳輸函數(shù)，負(fù)責(zé)向硬件發(fā)送數(shù)據(jù)包，供dev_queue_xmit調(diào)用；提供該網(wǎng)絡(luò)設(shè)備的中斷服務(wù)程序，處理數(shù)據(jù)傳輸完畢的善后事宜和數(shù)據(jù)的接收。當(dāng)物理網(wǎng)絡(luò)設(shè)備有新數(shù)據(jù)到達(dá)或數(shù)據(jù)傳輸完畢時(shí)，將向系統(tǒng)發(fā)送硬件中斷請(qǐng)求，該函數(shù)用來響應(yīng)中斷請(qǐng)求Linux網(wǎng)絡(luò)配置Linux用daemon程序來提供網(wǎng)絡(luò)服務(wù)有些服務(wù)直接由daemon程序一直運(yùn)行有些服務(wù)通過inetd提供Inetd它的職責(zé)是監(jiān)聽大范圍內(nèi)的網(wǎng)絡(luò)端口，根據(jù)進(jìn)來的請(qǐng)求動(dòng)態(tài)啟動(dòng)相應(yīng)的服務(wù)daemon——節(jié)約資源在Linux上，其實(shí)大多數(shù)inetd服務(wù)并不是必需的，雖然，這些服務(wù)本身有一定的安全認(rèn)證能力，但是為了安全起見，應(yīng)該關(guān)閉這些服務(wù)如何配置inetd?編輯inetd.conf

每行格式：<service_name><sock_type><proto><flags><user><server_path><args>通過/etc/services文件，可以查到每個(gè)service的端口和協(xié)議類型停止inetd進(jìn)程，并重新啟動(dòng)inetd.conf配置文件/etc/services配置文件只影響inetd啟動(dòng)的網(wǎng)絡(luò)服務(wù)，由其他腳本(例如rcN.d)啟動(dòng)的服務(wù)可能不受影響TCPwrappers在Linux中為/usr/sbin/tcpd，用法TCPwrapper使得系統(tǒng)可以在請(qǐng)求登錄或者輸入口令之前拒絕進(jìn)來的連接TCPwrapper的兩個(gè)配置文件/etc/hosts.deny——滿足條件則拒絕/etc/hosts.allow——滿足條件則允許配置規(guī)則：service:host(s)[::action]兩個(gè)工具tcpdchk,檢查配置文件有沒有錯(cuò)誤，是否與其他文件沖突tcpdmatch,模擬規(guī)則是否如期起作用日志、syslogdsyslogd是一個(gè)專門用于記錄日志信息的服務(wù)配置文件/etc/syslog.conf可以記錄本地日志，也可以記錄遠(yuǎn)程的日志信息可以指定把什么樣的日志消息記錄到哪個(gè)文件中Linux的內(nèi)核防火墻協(xié)議棧在IP層上調(diào)用三個(gè)函數(shù)，防火墻的功能將在這三個(gè)函數(shù)中實(shí)現(xiàn)：ip_rcv()：接收ip_forward()：轉(zhuǎn)發(fā)ip_output()：發(fā)送三條規(guī)則鏈Input鏈Output鏈Forward鏈Linux內(nèi)核支持的NATLinux內(nèi)核防火墻的發(fā)展從ipfwadm->ipchains->netfilterNetfilter是2.4內(nèi)核中實(shí)現(xiàn)網(wǎng)絡(luò)安全功能的通用框架在框架中，定義了5個(gè)鉤子在每個(gè)鉤子上可以掛接多個(gè)模塊Iptables模塊掛接在LOCAL_IN、FORWARD、LOCAL_OUT上提供多種功能包過濾防火墻地址轉(zhuǎn)換NAT網(wǎng)絡(luò)狀態(tài)檢測(cè)……Pre-routeForwardRoutePost-RouteLocal-inRouteLocal-out針對(duì)Linux的攻防技術(shù)Linux平臺(tái)上有大量的黑客工具，而且往往以源碼方式發(fā)布，所以，學(xué)會(huì)編譯和使用這些工具，可以在攻擊對(duì)抗中發(fā)揮作用探查信息用nmap可以查到Linux的版本信息改變Linux的協(xié)議棧行為，可以掩蓋這些信息許多早期的標(biāo)準(zhǔn)TCP/IP服務(wù)，可以暴露系統(tǒng)的內(nèi)部信息，比如finger，還有一些基于RPC的服務(wù)盡量關(guān)閉不必要的服務(wù)一些服務(wù)的歡迎界面，比如ftp、telnet服務(wù)修改這些服務(wù)的配置信息口令破解如何獲得Linux的口令文件口令文件的格式是公開的口令文件passwd中，如果口令移到了shadow中，則沒有口令信息有一些工具能夠獲得shadow文件的副本破解程序Crack——猜口令JohntheRipper——字典攻擊，也可以窮舉攻擊XIT——字典攻擊，DOS程序……對(duì)策使用shadow，MD5使用強(qiáng)口令失敗多次之后，帳號(hào)鎖定結(jié)合其他的認(rèn)證技術(shù)日志記錄Linux數(shù)據(jù)驅(qū)動(dòng)攻擊目標(biāo)：獲得root權(quán)限兩種類型緩沖區(qū)溢出攻擊通過緩沖區(qū)溢出，植入惡意代碼，獲得一個(gè)shell，可以是遠(yuǎn)程的shell，也可以是本地的輸入驗(yàn)證攻擊對(duì)于輸入沒有合理地檢查，導(dǎo)致執(zhí)行破壞性的代碼(命令或者腳本等)在Web服務(wù)中比較多見，缺乏對(duì)于輸入數(shù)據(jù)的語法檢查對(duì)策：加強(qiáng)編程中的安全意識(shí)。由用戶輸入的腳本代碼，或者在腳本代碼中要用到用戶輸入的數(shù)據(jù)，則一定要檢查輸入數(shù)據(jù)不會(huì)危害整條語句Linux的X及其他針對(duì)X的攻擊X的功能太強(qiáng)大，一旦獲得X的服務(wù)器訪問控制權(quán)，則可以為所欲為X的認(rèn)證機(jī)制基于主機(jī)的認(rèn)證，脆弱基于token交換的認(rèn)證對(duì)策：關(guān)閉X服務(wù)其他攻防技術(shù)木馬技術(shù)網(wǎng)絡(luò)監(jiān)聽技術(shù)NFS不安全性檢查SUID程序的安全性日志記錄……一次針對(duì)Linux的入侵過程(一)1.收集信息

一般ftp服務(wù)器都使用了linux系統(tǒng)，所以用ftp搜索器尋找

一次針對(duì)Linux的入侵過程(二)進(jìn)一步探查目標(biāo)一次針對(duì)Linux的入侵過程(三)2.漏洞掃描

一次針對(duì)Linux的入侵過程(四)3嘗試進(jìn)入Wu-ftp2.6.0(1)是一個(gè)有漏洞的版本，首先使用ftp攻擊，

wuftpdgod是一個(gè)針對(duì)redhatlinux的wu-ftp2.6.0的siteexec漏洞的攻擊腳本

一次針對(duì)Linux的入侵過程(五)前面的入侵企圖沒有成功原因是該服務(wù)器上沒有開放上載權(quán)限，沒有可寫目錄。嘗試另外一個(gè)漏洞：rpc.statd緩沖區(qū)溢出。Statdx2是一個(gè)針對(duì)此漏洞攻擊的腳本，但是要求提供準(zhǔn)確的字符串地址。否則一次攻擊過后如果不成功可能會(huì)使對(duì)方的rpc.statd進(jìn)程終止，無法進(jìn)行第二次攻擊嘗試。如何獲得這個(gè)地址：找一臺(tái)自己控制的主機(jī)，這臺(tái)主機(jī)的系統(tǒng)版本必須和目標(biāo)主機(jī)相同。將攻擊腳本傳到該主機(jī)上。以root身份運(yùn)行，如下圖所示一次針對(duì)Linux的入侵過程(六)執(zhí)行腳本statdx2一次針對(duì)Linux的入侵過程(七)再次對(duì)目標(biāo)主機(jī)進(jìn)行遠(yuǎn)程攻擊成功！獲得rootshell,輸入命令ls一次針對(duì)Linux的入侵過程(八)4.裝上后門把后門程序放在一個(gè)ftp站點(diǎn)上，讓目標(biāo)主機(jī)去下載

命令ls命令ftp命令mv執(zhí)行后門加一個(gè)帳號(hào)一次針對(duì)Linux的入侵過程(九)5銷毀證據(jù)/痕跡銷毀證據(jù)和消滅痕跡是有區(qū)別的銷毀證據(jù)是指不讓對(duì)方找到證據(jù)進(jìn)行追蹤。方法很簡(jiǎn)單：刪除消滅痕跡是指不讓對(duì)方感覺到被入侵：

做法是，有選擇地刪除一些記錄，而且刪除的動(dòng)作也不能被記錄。以上動(dòng)作主要留下的記錄在：/var/log/messages、/var/log/secure、/var/log/wtmp、/var/spool/ftpd等。可以刪除之，如右圖所示參考資料Sourcecode:

LinuxSourcecode(release2.2)in/usr/src/linuxdirectory書“黑客大曝光”(第二版)，清華出版社Linx系統(tǒng)安全基礎(chǔ)(SamsTeachYourselfLinuxSecurityBasicsin24Hours)，人民郵電出版社，2002PracticalUNIX&InternetSecurity(2e),O’ReillyWebsites網(wǎng)絡(luò)與信息安全

系統(tǒng)安全：Windows系統(tǒng)安全內(nèi)容Windows安全結(jié)構(gòu)Windows的網(wǎng)絡(luò)結(jié)構(gòu)Windows攻防技術(shù)一次針對(duì)Windows2000的入侵過程Windows安全性設(shè)計(jì)目標(biāo)一致的、健壯的、基于對(duì)象的安全模型滿足商業(yè)用戶的安全需求一臺(tái)機(jī)器上多個(gè)用戶之間安全地共享資源進(jìn)程，內(nèi)存，設(shè)備，文件，網(wǎng)絡(luò)安全模型服務(wù)器管理和保護(hù)各種對(duì)象客戶通過服務(wù)器訪問對(duì)象服務(wù)器扮演客戶，訪問對(duì)象訪問的結(jié)果返回給服務(wù)器Windows

2000Architecture

用戶管理：帳戶(accounts)和組(groups)帳戶(useraccounts)定義了Windows中一個(gè)用戶所必要的信息，包括口令、安全I(xiàn)D(SID)、組成員關(guān)系、登錄限制，…組：universalgroups、globalgroups、localgroupsAccountIdentifier:Securityidentifier(SID)時(shí)間和空間唯一S-1-N-Y1-Y2-Y3-Y4Somewell-knownSIDs字符串形式和二進(jìn)制形式的SIDWindowsNT安全組件(TCB)ReferencemonitorAccessvalidationrequestsAuditgenerationrequestsKernelmodeusermodeLocalsecuritypolicydatabaseLocalSecurityAuthorityAuditLogfileAuthenticationServiceAccountdirectoryServicesUserAccountDatabaseWinlogonAdministraticeToolsAuditmessagessecuritypolicyLocalSecurityAuthorityLocalSecurityAuthority:AprotectedsubsystemofMicrosoft?Windows

NT/Windows?

2000thatauthenticatesandlogsusersontothelocalsystem.Inaddition,LSAmaintainsinformationaboutallaspectsoflocalsecurityonasystem,collectivelyknownastheLocalSecurityPolicyofthesystem.兩個(gè)概念LSAAuthenticationModelLSALogonSessions：從logon成功到logoffSecurityAccessToken是對(duì)一個(gè)進(jìn)程或者線程的安全環(huán)境的完整描述包括以下主要信息用戶帳戶的SID所有包含該用戶的安全組的SIDs特權(quán)：該用戶和用戶組所擁有的權(quán)利Owner

DefaultDiscretionaryAccessControlList(DACL)……這是一個(gè)基本的安全單元，每個(gè)進(jìn)程一個(gè)ObjectSecurity所有對(duì)對(duì)象的訪問都要通過安全子系統(tǒng)的檢查系統(tǒng)中的所有對(duì)象都被保護(hù)起來文件、目錄、注冊(cè)表鍵內(nèi)核對(duì)象同步對(duì)象私有對(duì)象(如打印機(jī)等)管道、內(nèi)存、通訊，等對(duì)象的安全描述符(securitydescriptor)OwnerSIDGroupSIDsDiscretionaryACLAuditSystemACLObjectSecurityAccessControlListmanipulationAccessCheckAuditGenerationSecuritytokenUserGroupsPrivilegesUserYprocessAccessobjectXSecurityReferencemonitorSecuritydescriptorOwnerDACLSACLUserYUserXACLACEACEAccessmaskUserY…AccessmaskAccessdeterminationNTFSfileobjectsecurityTokenUserxxxNTFS1.打開一個(gè)可寫的文件fileSD2.從文件中得到SDAccessCheck3.是否允許？Yes/No4.返回文件句柄WindowsExplorerFile,Properties,SecurityFileAccess基于policy的安全性AuditingCategories:Success/FailureeventsLogonandLogoff、FileandObjectAccess、UseofUserrights、UserandGroupManagement、SecurityPolicyChanges、Restart,Shutdownsystem、ProcessTrackingPrivilegesAllowspecialabilitiesoverandaboveaccessrightsFinegrained:OnePrivilege=oneAbilityWindowsNThas23definedprivileges,suchas:Backupfilesanddirectories,changethesystemtimeLogonRightsLogononLocally(Forinteractivelogon)Accessthiscomputerfromnetwork(forremotelogon)Logonasaservice(startserviceprocessesunderspecificserviceaccount)Logonasabatchjob(submitjobstobatchqueues)Authentication:WinlogonProcessingWinlogonModelDistinctdesktopsEverysystemisauthenticated(windowstation)WinlogonArchitectureWinlogonGINADLLMultiplenetwork

providersWinlogonGINANP登錄界面一些跟Winlogon有關(guān)的概念I(lǐng)nitializingWinlogon首先注冊(cè)CTRL+ALT+DELSAS(secureattentionsequence)然后在WinSta0windowstation內(nèi)創(chuàng)建三個(gè)desktopsWinlogondesktopApplicationdesktopScreen-saverdesktopWinlogon的狀態(tài)Logged-OutStateLogged-OnStateWorkstation-LockedStateWinlogon和GINA的職責(zé)ServicesprovidedbyWinlogonAdministrative:保護(hù)WindowstationanddesktopEventnotification:SASRecognitionUserinterfaceNotifynetworkproviders(ofpasswordchange)ServicesprovidedbyGINASASmonitoringShellactivationanddisplaymessagesAuthorization:determineiflockworkstationisallowedWinlogon圖示W(wǎng)inlogonLSAAuthPkg用戶登錄界面AccountDBGINANetlogonWin32ShellNetlogonAuthPkgAccountDBAD/DCCTRL+ALT+DELLSA(LocalSecurityAuthority):InteractiveAuthentication&NoninteractiveAuthenticationDomainCredentialsDomainCredentials

DomaincredentialsareusedbyoperatingsystemcomponentsandauthenticatedbytheLocalSecurityAuthority(LSA).Typically,domaincredentialsareestablishedforauserwhenaregisteredsecuritypackageauthenticateslogondataprovidedbytheuser.Thelogoncredentialsarecachedbytheoperatingsystemsothatasinglesign-ongivestheuseraccesstoavarietyofresources.Thesecretpartofdomaincredentials,thepassword,isprotectedbytheoperatingsystem.Onlycomponentsrunningin-processwiththeLSAcanreadandwritedomaincredentials.Applicationsarelimitedtowritingdomaincredentials.Windows安全性的其他方面NetworkconnectionsecurityAuthentication、integrity、privacySecuredistributedapplicationsAuthenticatedRPCDCOMsecurityClientServerRPCruntimeSSPSSPRPCruntimeWindowsRegistry(注冊(cè)表)注冊(cè)表是一個(gè)很大的層次結(jié)構(gòu)數(shù)據(jù)庫，包含了大量的Windows配置信息，對(duì)于Windows的安全也是至關(guān)重要。一旦攻擊者能夠修改注冊(cè)表信息，則系統(tǒng)安全會(huì)受到嚴(yán)重的威脅WindowsNT/2000中的每個(gè)注冊(cè)表鍵都是受保護(hù)的對(duì)象用RegEdt32可以遠(yuǎn)程訪問注冊(cè)表Windows2000中，注冊(cè)表和活動(dòng)目錄(activedirectory)的關(guān)系注冊(cè)表是活動(dòng)目錄的一個(gè)部分寫照兼容性Windows2000中的活動(dòng)目錄(ActiveDirectory)Windows2000支持兩個(gè)目錄服務(wù)DNS，擴(kuò)展——找到域控制器活動(dòng)目錄——訪問域中對(duì)象的信息活動(dòng)目錄一個(gè)數(shù)據(jù)庫訪問協(xié)議——LDAP信息的命名和組織方式LDAP://CN=smith,OU=users,OU=receivables,DC=us,DC=qwickbank,DC=com

活動(dòng)目錄的安全性客戶的身份認(rèn)證——默認(rèn)使用Kerberos作為認(rèn)證協(xié)議對(duì)信息的訪問——每個(gè)對(duì)象和對(duì)象的屬性都有自己?jiǎn)为?dú)的ACL表，從而實(shí)現(xiàn)精細(xì)的訪問控制活動(dòng)目錄的維護(hù)實(shí)現(xiàn)快速的數(shù)據(jù)庫搜索——索引和全局目錄(GC,globalcatalog)復(fù)制機(jī)制——站點(diǎn)的概念，基于USN(更新序列號(hào))的復(fù)制機(jī)制……一組管理工具兩個(gè)重要的安全服務(wù)KerberosPKIWindows2000中幾個(gè)證書存儲(chǔ)區(qū)SAM數(shù)據(jù)庫SAM:SecurityAccountsManager,包含有本地系統(tǒng)或者所控制域上所有用戶的用戶名和密文形式的密碼這是攻擊者最感興趣的部位獲取sam數(shù)據(jù)庫，然后進(jìn)行破解在系統(tǒng)運(yùn)行期間，sam數(shù)據(jù)庫是上鎖的獲取sam的手段從另一個(gè)文件系統(tǒng)進(jìn)行拷貝從關(guān)鍵文件的備份中獲取壓縮之后的sam文件在線提取密碼散列值從網(wǎng)絡(luò)上進(jìn)行監(jiān)聽破解工具無論是字典破解，還是窮舉攻擊，往往很奏效兩種手段結(jié)合起來使用使用syskey保護(hù)Windows2000中的網(wǎng)絡(luò)結(jié)構(gòu)NDISTDI:Transport

DriverInterfaceNetworkAPIInterprocesscommWindows2000中的IPSecNetBIOSoverTCP/IP介紹NetBIOSNetBIOS(網(wǎng)絡(luò)基本輸入/輸出系統(tǒng))：最初由IBM開發(fā)，MS利用NetBIOS作為構(gòu)建LAN的上層協(xié)議NetBIOS使得程序和網(wǎng)絡(luò)之間有了標(biāo)準(zhǔn)的接口，方便應(yīng)用程序的開發(fā)。并且可以移植到其他的網(wǎng)絡(luò)中NetBIOS位于OSI模型的會(huì)話層，也位于TCP/IP之上NetBIOS有兩種通訊模式會(huì)話模式。一對(duì)一進(jìn)行通訊，LAN中的機(jī)器之間建立會(huì)話，可以傳輸較多的信息，并且可以檢查傳輸錯(cuò)誤數(shù)據(jù)報(bào)模式?？梢赃M(jìn)行廣播或者一對(duì)多的通訊，傳輸數(shù)據(jù)大小受限制，沒有錯(cuò)誤檢查機(jī)制，也不必建立通訊會(huì)話NetBIOSoverTCP/IP，支持三種服務(wù)名字服務(wù)會(huì)話服務(wù)數(shù)據(jù)報(bào)服務(wù)NetBIOS名字服務(wù)NetBIOS名字被用來標(biāo)識(shí)網(wǎng)絡(luò)上的資源。程序開始和結(jié)束會(huì)話都要使用這些名稱。我們可以為一臺(tái)機(jī)器配置多個(gè)程序，每個(gè)程序都有唯一的NetBIOS名稱NetBIOS名字至多可以有16個(gè)字母或數(shù)字。當(dāng)然，該名字在整個(gè)資源路由網(wǎng)絡(luò)里必須唯一。一臺(tái)使用NetBIOS的機(jī)器在網(wǎng)絡(luò)上工作之前，必須先注冊(cè)NetBIOS名稱當(dāng)一臺(tái)機(jī)器激活的時(shí)候，先廣播自己的名字，如果它廣播成功，并且沒有與別的機(jī)器重名，則注冊(cè)成功。過程如下：登錄時(shí)，機(jī)器廣播自己的名字6到10次，確保其他網(wǎng)絡(luò)成員收到信息如果其他的機(jī)器也使用了同樣的名字，則它發(fā)布自己的廣播，包括它正在使用的名字，于是，請(qǐng)求注冊(cè)的機(jī)器停止如果其他的機(jī)器沒有反對(duì)它的加入，則注冊(cè)成功NetBIOS名字服務(wù)(續(xù))NetBIOS名字服務(wù)允許名字中包含16個(gè)字母數(shù)字，但Windows只允許15個(gè)字母，第十六個(gè)為NetBIOS后綴。NetBIOS后綴用在MicrosoftNetworking軟件中，區(qū)別安裝的功能，登記的設(shè)備和服務(wù)。名字有兩種類型：Unique(U)、Group(G)用nbtstat–Aip-address可以查看已經(jīng)注冊(cè)的名字NetBIOS名字解析由NetBIOS名字到IP地址的解析過程DNS名字解析是靜態(tài)的，NetBIOS是動(dòng)態(tài)的名字解析的方式本地網(wǎng)絡(luò)廣播本地主機(jī)緩沖NetBIOS名字服務(wù)器客戶要首先登記自己的NetBIOS名字預(yù)定義文件lmhosts通過DNS和hosts文件解析NetBIOS會(huì)話服務(wù)和數(shù)據(jù)報(bào)服務(wù)會(huì)話服務(wù)為應(yīng)用程序提供一種面向連接的、可靠的雙向通訊機(jī)制Client/Server結(jié)構(gòu)雙方協(xié)作建立一個(gè)會(huì)話：一方調(diào)用Listen命令，另一方調(diào)用Call命令Listen命令指定雙方的名字結(jié)束會(huì)話：任何一方發(fā)出Hang-Up命令數(shù)據(jù)報(bào)服務(wù)是無連接的，不可靠的如果發(fā)送的目標(biāo)是組名，則組中所有的成員都可以收到Send_Datagram命令和Receive_Datagram命令如果NetBIOS收到數(shù)據(jù)，但卻沒有Receive_Datagram命令在等待，數(shù)據(jù)將被丟棄Send_Broadcast_Datagram命令和Receive_Broadcast_Datagram命令關(guān)于NetBIOS端口分配137端口是NetBIOS名稱UDP,138端口是NetBIOS數(shù)據(jù)報(bào)UDP，139端口是NetBIOS會(huì)話tcpWindows2000中，445端口也提供同樣的功能NetBIOS和WINSWINS是名字服務(wù)它是實(shí)現(xiàn)NetBIOS名字解析的一種方式(P-node)NetBIOS實(shí)現(xiàn)名字解析方式：B-node,P-node,M-node,H-modeWindowsNT/2000中的nullsessionWindows2000中，nullsession是系統(tǒng)內(nèi)置的一個(gè)功能Windows的網(wǎng)絡(luò)資源共享，通過445端口和139端口Null會(huì)話是同服務(wù)器建立的無信任支持的會(huì)話。Null會(huì)話也需要提供一個(gè)令牌，但是，令牌中不包含用戶信息，但是有一個(gè)SID，所對(duì)應(yīng)的用戶名為AnonymousLogon(在用戶列表中能看得到)Null會(huì)話的用途：有一些系統(tǒng)功能需要用到nullsessionNullSession的條件通過139端口或者445端口系統(tǒng)打開IPC$共享Nullsession的對(duì)策注冊(cè)表修改：HKLM\SYSTEM\CurrentControlSet\Control\LSA中的RestrictAnonymous=2做法：netuse\\Ip-address\IPC$“”/u:””net命令用nethelp可以查看net命令的使用指導(dǎo)netuse用于將計(jì)算機(jī)與共享的資源相連接，或者切斷計(jì)算機(jī)與共享資源的連接netview用于顯示一個(gè)計(jì)算機(jī)上共享資源的列表netstart/stop/pause用來啟動(dòng)/終止/掛起一個(gè)服務(wù)，也可以列出已經(jīng)啟動(dòng)的服務(wù)其他NetcomputerNetgroupNetlocalgroupNetuserNetsendNetprintNetshareNettime……Windows平臺(tái)上的共享資源在Windows平臺(tái)上，共享資源既是一個(gè)暴露信息的地方，也是受攻擊的入侵點(diǎn)文件資源的共享打印服務(wù)的共享IPC$也是一個(gè)共享資源在網(wǎng)絡(luò)環(huán)境下，又離不開共享功能功能與風(fēng)險(xiǎn)共存對(duì)策使用隱藏共享設(shè)置好權(quán)限控制Windows9x/ME它本身就不是一個(gè)安全的操作系統(tǒng)主要的危險(xiǎn)直接連接到共享資源上遠(yuǎn)程訪問注冊(cè)表安裝后門服務(wù)程序利用現(xiàn)有服務(wù)程序的漏洞拒絕服務(wù)本地系統(tǒng)的不安性重新啟動(dòng)口令的不安全WindowsNTWindowsNT是一個(gè)安全操作系統(tǒng)雖然已經(jīng)發(fā)現(xiàn)了大量的漏洞但是總算補(bǔ)丁來得很及時(shí)兩個(gè)顯著的安全性特點(diǎn)操作系統(tǒng)本身并不提供遠(yuǎn)程運(yùn)行代碼的能力對(duì)于控制臺(tái)的交互登錄權(quán)力僅限于少數(shù)帳號(hào)安全現(xiàn)狀對(duì)于WindowsNT的大量攻擊都是通過應(yīng)用服務(wù)器進(jìn)行的(比如IISWebServer)。盡快升級(jí)到Windows2000WindowsNT的administrator帳號(hào)這是攻擊者最期望得到的權(quán)限手段遠(yuǎn)程密碼猜測(cè)找到一個(gè)共享點(diǎn)，使用netuse命令行Nat工具從NT的認(rèn)證協(xié)議(LanMan、NTLM)著手防護(hù)禁止NIC得NetBIOS功能帳戶的管理策略：設(shè)定lockout功能、強(qiáng)制使用強(qiáng)口令失敗類型的審計(jì)總是需要的WindowsNT的遠(yuǎn)程攻擊遠(yuǎn)程BufferOverflows系統(tǒng)本身的bufferoverflows漏洞并不多拒絕服務(wù)特權(quán)升級(jí)往系統(tǒng)注入代碼(getadmin工具)對(duì)于執(zhí)行權(quán)限的控制(比如Web相關(guān)的文件)Trojan木馬可執(zhí)行注冊(cè)表鍵得到了NT的Administrator之后鞏固權(quán)力針對(duì)SAM獲取SAM破解SAM針對(duì)LSA自動(dòng)登錄功能鍵盤記錄器Sniffers遠(yuǎn)程控制和后門如何在NT上遠(yuǎn)程執(zhí)行代碼利用scheduleservice利用啟動(dòng)注冊(cè)表鍵HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion下RunRunOnceRunOnceExRunServicesWindows2000原來的產(chǎn)品號(hào)為NT5繼承了NT4的許多特性在安全性方面應(yīng)該增強(qiáng)許多，至少把已有的大量漏洞都堵上了但是，在引入新的強(qiáng)大功能的同時(shí)，也必然引入新的漏洞，特別是一些復(fù)雜的功能活動(dòng)目錄作為一個(gè)全局的信息倉庫容易成為暴露信息的焦點(diǎn)還要考慮兼容性認(rèn)證協(xié)議的變化，NTLM->Kerberos文件系統(tǒng)的增強(qiáng)，增強(qiáng)的NTFSIPSec的全面支持，提供了方便的配置界面新的安全工具：組策略提供了大量新的服務(wù)，帶來了危險(xiǎn)特別是TerminalService加強(qiáng)審核功能Windows的管理策略友好的界面，不安全的口令使用安全的口令了解缺省配置的不安全關(guān)閉不必要的服務(wù)和端口兼容性和安全性的平衡打開跟安全有關(guān)的日志功能，并且經(jīng)常備份和檢查用一些安全工具進(jìn)行自我保健應(yīng)用系統(tǒng)的不安全性也可以摧毀底層的安全防線緊跟Microsoft的補(bǔ)丁一次針對(duì)Windows2000的入侵過程(一)1.探測(cè)選擇攻擊對(duì)象，了解部分簡(jiǎn)單的對(duì)象信息。這里，針對(duì)具體的攻擊目標(biāo)，隨便選擇了一組IP地址，進(jìn)行測(cè)試，選擇處于活動(dòng)狀態(tài)的主機(jī)，進(jìn)行攻擊嘗試；針對(duì)探測(cè)的安全建議對(duì)于網(wǎng)絡(luò)：安裝防火墻，禁止這種探測(cè)行為對(duì)于主機(jī)：安裝個(gè)人防火墻軟件，禁止外部主機(jī)的ping包，使對(duì)方無法獲知主機(jī)當(dāng)前正確的活動(dòng)狀態(tài)一次針對(duì)Windows2000的入侵過程(二)2.掃描使用的掃描軟件這里選擇的掃描軟件是SSS（ShadowSecurityScanner），目前的最高版本是5.3.1，SSS是俄羅斯的一套非常專業(yè)的安全漏洞掃描軟件，能夠掃描目標(biāo)服務(wù)器上的各種漏洞，包括很多漏洞掃描、端口掃描、操作系統(tǒng)檢測(cè)、賬號(hào)掃描等等，而且漏洞數(shù)據(jù)可以隨時(shí)更新。（呵呵，使用的是盜版軟件，數(shù)據(jù)更新功能好像無效。

）掃描遠(yuǎn)程主機(jī)

開放端口掃描

操作系統(tǒng)識(shí)別

SSS本身就提供了強(qiáng)大的操作系統(tǒng)識(shí)別能力，也可以使用其他工具進(jìn)行主機(jī)操作系統(tǒng)檢測(cè)。

主機(jī)漏洞分析

掃描結(jié)果：端口掃描可以看出幾個(gè)比較知名的端口均處于打開狀態(tài)，如139、80等

嘗試使用Unicode漏洞攻擊，無效。可能主機(jī)已經(jīng)使用了SP進(jìn)行補(bǔ)丁或未開放遠(yuǎn)程訪問權(quán)限

掃描結(jié)果：操作系統(tǒng)識(shí)別

結(jié)果顯示該主機(jī)操作系統(tǒng)為Windows2000，正是我們期望的操作系統(tǒng)類型掃描結(jié)果：漏洞掃描SSS可對(duì)遠(yuǎn)程主機(jī)進(jìn)行漏洞檢測(cè)分析，這更方便了我們了解遠(yuǎn)程主機(jī)的狀態(tài)，選擇合適的攻擊入口點(diǎn)，進(jìn)行遠(yuǎn)程入侵

該主機(jī)存在的漏洞較多，我們可以確定選擇該主機(jī)作為攻擊對(duì)象。另外，主機(jī)的帳號(hào)密碼使用的是“永不過期”方式，我們可以在下面進(jìn)行帳號(hào)密碼的強(qiáng)行破解

一次針對(duì)Windows2000的入侵過程(三)3.查看目標(biāo)主機(jī)的信息在完成對(duì)目標(biāo)主機(jī)的掃描后，我們可以利用WindowsNT/2000對(duì)NetBIOS的缺省信賴，對(duì)目標(biāo)主機(jī)上的用戶帳號(hào)、共享資源等進(jìn)行檢查。事實(shí)上，在利用SSS進(jìn)行掃描的過程中，SSS已經(jīng)向我們報(bào)告了眾多有效的信息。這里，我們?cè)倮肳indows2000的IPC空會(huì)話查詢遠(yuǎn)程主機(jī)

一次針對(duì)Windows2000的入侵過程(四)4.滲透IIS攻擊嘗試?yán)肐IS中知名的Unicode和“Translate:f”漏洞進(jìn)行攻擊，沒有成功。目標(biāo)主機(jī)可能已修復(fù)相應(yīng)漏洞，或沒有打開遠(yuǎn)程訪問權(quán)限Administrator口令強(qiáng)行破解

目標(biāo)主機(jī)是一臺(tái)個(gè)人主機(jī)，絕大部分情況下，均使用Administrator帳號(hào)進(jìn)行登陸，且個(gè)人防范意識(shí)較差的話，選擇的密碼一般都較簡(jiǎn)單，如“主機(jī)名”、“11111”、“12345”之類的簡(jiǎn)單密碼（方便自己的快速登陸）。所以考慮利用NetBIOS會(huì)話服務(wù)（TCP139）進(jìn)行遠(yuǎn)程密碼猜測(cè)。

這里我們使用NAT（NetBIOSAuditingTool）進(jìn)行強(qiáng)行破解：構(gòu)造一個(gè)可能的用戶帳戶表，以及簡(jiǎn)單的密碼字典，然后用NAT進(jìn)行破解。成功Administrator口令破解情況一次針對(duì)Windows2000的入侵過程(五)5.鞏固權(quán)力現(xiàn)在我們得到了Administrator的帳戶，接下去我們需要鞏固權(quán)力添加一個(gè)迷惑性的帳戶，并加入administrators組，將來通過新帳戶進(jìn)入裝載后門裝載后門一般的個(gè)人主機(jī)為防范病毒，均會(huì)安裝反病毒軟件，如NortonAnti-Virus、金山毒霸等，并且大部分人也能及時(shí)更新病毒庫，而大部分的木馬程序在這類軟件的病毒庫中均被視為Trojan木馬病毒。所以，這為我們?cè)黾恿穗y度。除非一些很新的程序或自己編寫的程序才能夠很好地隱藏起來我們使用NetCat作為后門程序進(jìn)行演示安裝后門程序(一)利用剛剛獲取的Administrator口令，通過Netuse映射對(duì)方驅(qū)動(dòng)器

安裝后門程序(二)然后將netcat主程序nc.exe復(fù)制到目標(biāo)主機(jī)的系統(tǒng)目錄下（便于隱藏），可將程序名稱改為容易迷惑對(duì)方的名字，如rundl132.exe、ddedll32.exe等

利用at命令遠(yuǎn)程啟動(dòng)NetCat，供我們遠(yuǎn)程連接使用。還添加了每日運(yùn)行計(jì)劃，供以后使用

安裝后門程序(三)遠(yuǎn)程N(yùn)etCat服務(wù)程序啟動(dòng)后，我們可以在本地進(jìn)行遠(yuǎn)程連接，運(yùn)行命令（在遠(yuǎn)程主機(jī)上），這時(shí)，我們已經(jīng)完全控制了這臺(tái)機(jī)器了一次針對(duì)Windows2000的入侵過程(六)6.清除痕跡我們留下了痕跡了嗎用eventviewer看一看沒有成功看看它的日志文件無安全日志記錄通過入侵過程來看Win2k的防范盡量安裝防火墻軟件，并對(duì)安全規(guī)則庫定期進(jìn)行更新

及時(shí)更新操作系統(tǒng)廠商發(fā)布的ServicePack補(bǔ)丁程序

停止主機(jī)上不必要的服務(wù)，各種服務(wù)打開的端口往往成為黑客攻擊的入口

使用安全的密碼，最起碼不要直接使用常見的單詞、數(shù)字串以及可能暴露的主機(jī)信息(比如主機(jī)名、用戶名等)如果沒有文件和打印機(jī)共享要求，最好禁止139和445端口上的空會(huì)話

經(jīng)常利用netsession、netstat查看本機(jī)連接情況，并利用TaskManager查看本機(jī)運(yùn)行的進(jìn)程，及早發(fā)現(xiàn)異常情況

可以利用一些安全工具(如LockDown、BlackICE等)提供的本機(jī)程序安全管理功能，監(jiān)控本機(jī)程序的異常狀態(tài)(主動(dòng)連接外部陌生的地址)，增強(qiáng)主機(jī)對(duì)木馬程序的監(jiān)控能力

……參考資料書“黑客大曝光”(第二版)，清華出版社“HackersBeware”，中文版《黑客——攻擊透析與防范》，電子工業(yè)出版社DavidChappell,UnderstandingMicrosoftWindows2000DistributedServices,中文版(清華大學(xué)出版社，潘愛民譯),2001Web站點(diǎn)/library/default.asp,或者M(jìn)SDN-Library

安全評(píng)價(jià)標(biāo)準(zhǔn)主要內(nèi)容可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)通用評(píng)估準(zhǔn)則CC我國(guó)信息系統(tǒng)安全評(píng)價(jià)標(biāo)準(zhǔn)計(jì)算機(jī)系統(tǒng)的提供者需要對(duì)他們的產(chǎn)品的安全特性進(jìn)行說明，而用戶則需要驗(yàn)證這些安全特性的可靠性。國(guó)際上有多種為計(jì)算機(jī)安全系統(tǒng)構(gòu)筑獨(dú)立審查措施的安全評(píng)價(jià)體系,其內(nèi)容和發(fā)展深刻地反映了對(duì)信息安全問題的認(rèn)識(shí)程度。14.1可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)1985年12月美國(guó)國(guó)防部公布了評(píng)價(jià)安全計(jì)算機(jī)系統(tǒng)的六項(xiàng)標(biāo)準(zhǔn)。這套標(biāo)準(zhǔn)的文獻(xiàn)名稱即為“可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)”（TrustedComputerSystemEvaluationCriteria，簡(jiǎn)記為TCSEC），又稱為橘皮書。14.1.1TCSEC的主要概念1．考核標(biāo)準(zhǔn)（1）安全策略（SecurityPolicy）（2）標(biāo)識(shí)（Identification）（3）標(biāo)記（Marking）（4）可記賬性（Accountability）（5）保障機(jī)制（Assurance）（6）連續(xù)性保護(hù)（ContinuousProtection）2．主要概念安全性可信計(jì)算基(TCB)自主訪問控制（DiscretionaryAccessControl，DAC）強(qiáng)制訪問控制（MandatoryAccessControl，MAC）隱蔽信道3．系統(tǒng)模型主體審計(jì)信息訪問監(jiān)控器監(jiān)控器數(shù)據(jù)基：（用戶權(quán)限表、訪問控制表）客體14.1.2計(jì)算機(jī)系統(tǒng)的安全等級(jí)TCSEC將可信計(jì)算機(jī)系統(tǒng)的評(píng)價(jià)規(guī)則劃分為四類，即安全策略、可記賬性、安全保證措施和文檔根據(jù)計(jì)算機(jī)系統(tǒng)對(duì)上述各項(xiàng)指標(biāo)的支持情況及安全性相近的特點(diǎn)，TCSEC將系統(tǒng)劃分為四類(Division)七個(gè)等級(jí)1．D安全級(jí)最低級(jí)別,一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)，統(tǒng)統(tǒng)歸于D級(jí)。2．C1安全級(jí)只提供了非常初級(jí)的自主安全保護(hù),稱為自主安全保護(hù)系統(tǒng),現(xiàn)有的商業(yè)系統(tǒng)往往稍作改進(jìn)即可滿足要求。3．C2安全級(jí)稱為可控安全保護(hù)級(jí)，是安全產(chǎn)品的最低檔次很多商業(yè)產(chǎn)品已得到該級(jí)別的認(rèn)證。達(dá)到C2級(jí)的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色4．B1安全級(jí) 又稱為帶標(biāo)記的訪問控制保護(hù)級(jí)，其在C2級(jí)的基礎(chǔ)上增加了或加強(qiáng)了標(biāo)記、強(qiáng)制訪問控制、審計(jì)、可記賬性和保障等功能。B1級(jí)能夠較好地滿足大型企業(yè)或一般政府部門對(duì)數(shù)據(jù)的安全需求，這一級(jí)別的產(chǎn)品才被認(rèn)為是真正意義上的安全產(chǎn)品。滿足此級(jí)別的產(chǎn)品前一般多冠以“安全”(Security)或“可信的”(Trusted)字樣B類安全包含三個(gè)級(jí)別：B1、B2、B3級(jí)，他們都采用強(qiáng)制保護(hù)控制機(jī)制。B2安全級(jí)稱為結(jié)構(gòu)化保護(hù)級(jí)。該級(jí)系統(tǒng)的設(shè)計(jì)中把系統(tǒng)內(nèi)部結(jié)構(gòu)化地劃分成明確而大體上獨(dú)立的模塊，并采用最小特權(quán)原則進(jìn)行管理。目前，經(jīng)過認(rèn)證的B2級(jí)以上的安全系統(tǒng)非常稀少。B3安全級(jí)又稱為安全域保護(hù)級(jí)。該級(jí)的TCB必須滿足訪問監(jiān)控器的要求，審計(jì)跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過程。A1安全級(jí)又稱為可驗(yàn)證設(shè)計(jì)保護(hù)級(jí)，即提供B3級(jí)保護(hù)的同時(shí)給出系統(tǒng)的形式化設(shè)計(jì)說明和驗(yàn)證以確信各安全保護(hù)真正實(shí)現(xiàn)。14.2通用評(píng)估準(zhǔn)則CCCC(CommonCriteriaforInformationTechnologySecurityEvaluation)標(biāo)準(zhǔn)是國(guó)際標(biāo)準(zhǔn)化組織ISO/IECJTC1發(fā)布的一個(gè)標(biāo)準(zhǔn)，是信息技術(shù)安全性通用評(píng)估準(zhǔn)則，用來評(píng)估信息系統(tǒng)或者信息產(chǎn)品的安全性。14.2.1CC的主要用戶CC的主要用戶包括消費(fèi)者、開發(fā)者和評(píng)估者。1．消費(fèi)者消費(fèi)者可以用評(píng)估結(jié)果來決定一個(gè)已評(píng)估的產(chǎn)品和系統(tǒng)是否滿足他們的安全需求。2．開發(fā)者CC為開發(fā)者在準(zhǔn)備和參與評(píng)估產(chǎn)品或系統(tǒng)以及確定每種產(chǎn)品和系統(tǒng)要滿足安全需求方面提供支持。3．評(píng)估者當(dāng)要做出TOE及其安全需求一致性判斷時(shí)，CC為評(píng)估者提供了評(píng)估準(zhǔn)則。14.2.2CC的組成CC分為三個(gè)部分1.簡(jiǎn)介和一般模型: 正文介紹了CC中的有關(guān)術(shù)語、基本概念和一般模型以及與評(píng)估有關(guān)的一些框架，附錄部分主要介紹保護(hù)輪廓（PP）和安全目標(biāo)（ST）的基本內(nèi)容。2.安全功能要求:按“類-族-組件”的方式提出安全功能要求，提供了表示評(píng)估對(duì)象TOE安全功能要求的標(biāo)準(zhǔn)方法。3.安全保證要求:定義了評(píng)估保證級(jí)別，建立了一系列安全保證組建作為表示TOE保證要求的標(biāo)準(zhǔn)方法。CC的三個(gè)部分相互依存，缺一不可。14.2.3評(píng)估保證級(jí)別EAL評(píng)估保證級(jí)別是評(píng)估保證要求的一種特定組合（保證包），是度量保證措施的一個(gè)尺度，這種尺度的確定權(quán)衡了所獲得的保證級(jí)別以及達(dá)到該保證級(jí)別所需的代價(jià)和可能性。在CC中定義了7個(gè)遞增的評(píng)估保證級(jí)1．EAL1：功能測(cè)試EAL1適用于對(duì)正確運(yùn)行需要一定信任的場(chǎng)合2.EAL2：結(jié)構(gòu)測(cè)試 要求開發(fā)者遞