《第4章 网络攻击的概念与发展.ppt》由会员分享,可在线阅读,更多相关《第4章 网络攻击的概念与发展.ppt(48页珍藏版)》请在三一办公上搜索。
1、第4章网络攻击的概念与发展,基本内容,网络攻击的相关概念攻击的目标和分类网络攻击的基本过程攻击技术的演变与发展趋势,重 点 与 难 点,重点:网络攻击的发展变化趋势;网络攻击的目标与分类;网络攻击的基本步骤 难点:网络攻击的基本步骤,网络攻击的发展,Internet的飞速发展和普及,促进了网络信息系统的应用和发展。社会信息化、信息网络化。信息化和网络化是一把双刃剑,对网络的依赖性越大,所产生的风险也越大由于网络中的信息具有共享和易于扩散等特性,它在存储、传输和使用过程中极易受到各种威胁,19892006年的连入网的主机,中国计算机网络的发展趋势,主要的安全事件及其影响,1988年著名的“Int
2、ernet蠕虫事件”使得6000余台计算机的运行受到影响。1998年2月份,黑客利用Solar Sunrise弱点入侵美国国防部网络,攻击相关系统超过500台计算机,而攻击者只是采用了中等复杂工具。2000年春季黑客分布式拒绝服务攻击(DDOS)大型网站,导致大型ISP服务机构Yahoo网络服务瘫痪。2001年8月,“红色代码”蠕虫利用微软web服务器IIS 6.0或5.0中index服务的安全缺陷,攻破目的机器,并通过自动扫描感染方式传播蠕虫,已在互联网上大规模泛滥。2003年,“冲击波”蠕虫的破坏力就更大,安全专家Bruce Schneier撰文分析认为,美国2003年8月份大停电与“冲击
3、波蠕虫”相关。,信息安全与国家安全,兰德公司信息安全专家认为,“信息战没有前线,潜在的战场是一切联网系统可以访问的地方如电力网、电话交换网。总体来说,美国本土不再是能提供逃避外部攻击的避难所。”信息攻击方法用于军事对抗领域,“信息战”(information war)成为新的军事对抗模式,“数字空间”将变成新战场。计算机病毒和网络黑客攻击技术将会用作军事武器,3 网络攻击的目标和分类,1 网络攻击目标2 网络攻击的分类方法,网络信息的保密性,网络中需要保密的信息包括:网络重要配置文件、用户个人信息、商业数据等。常见的攻击方法:网络信息拦截Tempest技术社交工程信息重定向数据推理网络监听邮件
4、病毒:“梅丽莎”,网络信息的完整性,未授权地修改信息。常见的针对网络信息完整性的攻击方法:身份认证攻击会话劫持程序异常输入,最常用的是缓冲区溢出攻击方法,对网络的可用性进行攻击,拒绝服务攻击 常见的拒绝服务攻击方法有:消耗网络带宽:攻击者有意制造大量的数据包或传输大量文件以占据有限的网络带宽,使合法的用户无法正常使用网络资源。消耗磁盘空间:如产生大量的邮件信息、故意制造出错的log信息、在磁盘上制造垃圾文件、在匿名ftp站点的公开目录下或者网上邻居的共享区域下放置垃圾文件。消耗CPU资源和内存资源。,网络的可控性,利用网络或者系统的弱点,使网络失去可控性。常见的针对网络运行可控性的攻击方法有:
5、网络蠕虫垃圾邮件破坏域名服务数据,网络攻击的分类方法,根据攻击术语分类基于攻击种类列表基于攻击效果分类基于弱点和攻击者的攻击分类基于攻击过程的分类Cert组织的攻击分类中科院的分类方法,3.2网络攻击的分类方法,1基于攻击术语分类Cohen给出了下面的例子:特洛伊木马 制造漏洞 伪造网络 包监测 伪造人名 PBX漏洞 监测网络基础结构 旧磁盘信息 电子邮件溢出 输入溢出 时间炸弹 悬挂进程 刺探保护措施 伪造访问 社交工程 非法值插入 口令猜测 邮件欺骗 包插入 注册欺骗 扰乱数据 制造失效事件 计算机病毒 网络服务攻击 无效调用 组合攻击,3.2网络攻击的分类方法,1基于攻击术语分类Icov
6、e给出另一种攻击术语列表:窃听 潜入 电磁泄漏 拒绝服务 口令窃听 扫描 伪造 软件盗版 未授权复制数据 超越特权 流量分析 陷门 隐蔽信道 病毒 蠕虫 会话拦截 时间戳攻击 隧道 特洛伊木马 IP欺骗 逻辑炸弹 数据扰乱,3.2网络攻击的分类方法,2.基于攻击种类列表Cheswick和Bellovin给出了下述攻击分类方法,将攻击分为如下7种类型:窃取口令、社会工程、错误和后门、认证失效、协议失效、信息泄漏、拒绝服务。,3.2网络攻击的分类方法,3基于攻击效果分类Russel和Gangemi把攻击分为:针对秘密和机密性的攻击;针对准确性、完整性和授权性的攻击;针对可用性的攻击。,3.2网络攻
7、击的分类方法,4基于弱点和攻击者的攻击分类,3.2网络攻击的分类方法,5基于攻击过程的分类Stallings基于攻击过程,将攻击分为以下四类:中断:中断发送方与接收方之间的通信;拦截侦听:作为第三者,截获或者侦听通信内容;篡改:攻击者截断通信,将截获的数据更改之后交付给接收者,接收者认为窜改后的信息就是发送者的原始信息。伪造:攻击者伪造信息,将其以原始发送者的身份发送给接收者。,3.2网络攻击的分类方法,6Cert组织的攻击分类缓冲区溢出文件非安全处理参数检查不完全非安全程序特征特洛伊木马弱认证或加密配置错误程序实现错误,3.2网络攻击的分类方法,7中科院的分类方法中科院信息安全研究中心分析了
8、网络攻击的过程,从攻击者、攻击工具、对目标网络和系统进行的访问、达到的攻击效果、攻击者的预期目标等多个方面,给出了一种多维度攻击方法分类:,3.2网络攻击的分类方法,7中科院的分类方法(1)攻击者 黑客:攻击的动机与目的是为了表现自己或获取访问权限;间谍:攻击的动机与目的是获取情报信息;恐怖主义者:攻击的动机与目的是获取恐怖主义集团的利益;公司职员:攻击的动机与目的是获取经济利益;职业犯罪分子:攻击的动机与目的是是获取个人利益;破坏者:攻击的动机与目的是破坏目标网络和系统。,3.2网络攻击的分类方法,7中科院的分类方法(2)攻击访问:一般的,攻击过程主要依赖于非法访问和使用目标网络的资源,即未
9、授权访问或未授权使用目标系统的资源。攻击者能够进行未授权访问和使用系统资源的前提是目标网络和系统存在安全弱点,包括设计弱点、实现弱点、和配置弱点。进入目标系统之后,攻击者就开始执行相关命令,如修改文件、传送数据等,以实施各类不同的攻击。,3.2网络攻击的分类方法,7中科院的分类方法(3)攻击效果破坏信息:删除或修改系统中存储的信息或者网络中传送的信息;信息泄密:窃取或公布敏感信息;窃取服务:未授权使用计算机或网络服务;拒绝服务:干扰系统和网络的正常服务,降低系统和网络的性能,甚至使系统和网络崩溃。,3.2网络攻击的分类方法,7中科院的分类方法(4)攻击工具集用户命令:攻击者在命令行状态下或者以
10、图形用户接口方式输入攻击命令;脚本或程序:利用脚本或者程序挖掘弱点;自治主体:攻击者初始化一个程序或者程序片段,独立执行弱点挖掘;工具包:攻击者使用的攻击工具软件包,包含开发弱点的脚本、程序、自治主体;分布式工具:攻击者分发攻击工具到多台主机,通过协作方式执行攻击;电磁泄漏工具:通过Tempest方法实施电磁泄漏攻击。,攻击基本过程,网络攻击的基本过程,攻击身份和位置隐藏:隐藏网络攻击者的身份以及主机的位置,隐藏的主机位置使得系统管理无法追踪;目标系统信息收集:确定攻击目标并收集目标系统的有关信息;弱点信息挖掘分析:从收集到的目标信息中提取可使用的漏洞信息;目标使用权限获取:获取目标系统的普通
11、或者特权帐户的权限;攻击行为隐蔽:隐蔽在目标系统中的操作,防止攻击行为被发现;攻击实施:实施攻击或者以目标系统为跳板向其他系统发起新的攻击;开辟后面:在目标系统中开辟后门,方便以后的入侵;攻击痕迹清除:清除攻击痕迹,逃避攻击取证。,攻击身份和位置隐藏,攻击者通常应用如下技术隐藏攻击的IP地址或域名:利用被侵入的主机作为跳板,如利用配置不当的Proxy作为跳板;应用电话转接技术隐蔽攻击者身份,如利用电话的转接服务连接ISP盗用他人的帐号上网通过免费代理网关实施攻击;伪造IP地址假冒用户帐号等,目标系统信息收集,在侵入系统的过程中,收集信息是最重要的步骤。通过信息收集,从中发现有利用价值的东西,这
12、些信息暴露出系统的安全脆弱性或潜在入口。攻击者对系统了解得越多,就越可能达到自己的目的,同时,落网的可能性就越小。攻击者通常使用端口扫描工具或者通过服务信息、电话号码簿、电子邮件帐号、网页等获取信息。目标信息收集工具:扫描器之王-NMAP漏洞检查利器NESSUS大范围扫描工具 X-SCAN常用扫描工具SHADOW SCAN、CIS、SUPERSCAN和HOLESCAN 等。Neotrc20 图形化的Trace杂项工具,生动地显示出各节点和路由,弱点信息的挖掘与分析,击者收集到大量目标系统的信息后,开始从中挖掘可用于攻击目标的弱点信息。常用的弱点挖掘技术方法如下:系统或者应用服务软件的漏洞主机信
13、任关系漏洞目标网络的管理漏洞;通信协议漏洞网络业务系统漏洞,漏洞挖掘工具实例:SNIFFER工具:常见免费的SNIFFER有tcpdump、Windump、SNIFFIT、NETXRAY口令窃听工具:dsniff 密码破解工具:WINDOWS密码导出工具PWDDUMP,WINDOWS密码破解工具L0phtCrack,大众型破解2000/Nt的小工具NtKill其他工具:IDA、W32dasm 优秀的反汇编工具Softice、Trw2000 优秀的调试工具,目标使用权限获取,最终的目标是获得超级用户权限对目标系统的绝对控制。获得系统管理员权限通常有以下途径:专门针对root用户的口令进行破解。利
14、用系统管理上的漏洞,如错误的文件许可权,错误的系统配置等。令系统管理员运行特洛伊木马程序,截获LOGIN口令等。窃听管理员口令。,攻击行为隐蔽,进入系统之后,攻击者要作的第一件事就是隐藏行踪,避免安全管理发现或IDS发现.通常使用下述技术来隐藏行踪:连接隐藏:如冒充其他用户,修改LOGNAME环境变量、修改登录日志文件、使用IPSPOOF技术等。进程隐藏:如使用重定向技术减少ps给出的信息量、用特洛伊木马代替ps程序等。文件隐藏:如利用字符串的相似来麻痹系统管理员,或修改文件属性使普通显示方法无法看到。利用操作系统可加载模块特性,隐藏攻击时所产生的信息,实施攻击,进行非法活动或者以目标系统为跳
15、板向其他系统发起新的攻击。不同的攻击者有不同的攻击目标。一般来说,攻击目标有以下几个方面:1)信息访问和破坏:信息经常成为攻击的目标。通过对信息的访问,他们可以使用、破坏或篡改信息。攻击者也可以通过拥有信息来获取利益,例如对专有信息、信用卡信息、个人信息和政府机密信息的利用等。2)资源利用:系统资源可能是系统成为攻击目标的原因所在。这些资源可能是独一无二的,例如黑客希望使用专业硬件或专用外设;资源也可能是非常丰富,例如,高速的计算机系统或具备高速网络的系统经常成为黑客的目标。黑客可能利用这些资源来实现自己的企图。攻击其他被信任的主机和网络;3)系统破坏:修改或删除重要数据,删除用户帐号,停止网
16、络服务等。,开辟后门,一次成功的入侵通常要耗费攻击者大量的时间与资源,因此攻击者在退出系统之前会在系统中制造一些后门,方便下次入侵。攻击者开辟后门时通常会应用以下方法:放宽文件许可权重新开放不安全的服务,如REXD、TFTP等。修改系统的配置,如系统启动文件、网络服务配置文件等。替换系统的共享文件。修改系统的源代码,安装各种特洛伊木马;安装木马或者嗅探器;建立隐蔽信道;,攻击痕迹清除,加固攻击“根据地”切断攻击追踪链常用的方法有:篡改日志文件中的审计信息;改变系统时间造成日志文件数据紊乱;删除或者停止审计服务进程;干扰入侵检测系统的正常进行;修改完整性检测标签等。,攻击者能否成功攻破一个系统,
17、取决于多方面的因素。一方面,攻击者在实施攻击之前要先摸清目标的防范措施,挖掘目标系统的脆弱点,乘虚而入,攻破系统。另一方面,网络的安全防范不仅要从正面去进行防御,还要从攻击者的角度出发,设计更加安全的保障系统,网络攻击技术的演变,网络攻击自动化:网络攻击者利用已有攻击技术,编制能够自动进行攻击的攻击软件。自动扫描可能的受害者:自1997年起,广泛的扫描变得司空见惯。目前,扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。破坏存在脆弱点的系统:以前,安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分,从而加快了攻击的传播速度。自动传播攻击:在20
18、00年之前,攻击工具需要人来发动新一轮攻击。目前,攻击工具可以自己发动新一轮攻击。像红色代码和Nimda(尼姆达)这类工具能够自我传播,在不到18个小时内就传遍全球。攻击工具的协调管理:随着分布式攻击工具的出现,攻击者可以管理和协调分布在许多Internet系统上的大量已部署的攻击工具,有效地发动拒绝服务攻击,扫描潜在的受害者,危害存在安全隐患的系统。目前主要是利用大量大众化的协同协议,如IRC(Internet Relay Chat)、IR(Instant Message)等。,攻击工具越来越复杂 1)反侦破:攻击者采用隐蔽攻击工具特性的技术,这使安全专家分析新攻击工具和了解新攻击行为所耗费
19、的时间增多;2)动态行为:早期的攻击工具是以单一确定的顺序执行攻击步骤,今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它们的模式和行为;3)攻击工具的成熟性:与早期的攻击工具不同,目前攻击工具可以通过升级或更换工具的一部分迅速变化,发动迅速变化的攻击,且在每一次攻击中会出现多种不同形态的攻击工具。此外,攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。许多常见攻击工具使用IRC或HTTP(超文本传输协议)等协议,从入侵者那里向受攻击的计算机发送数据或命令,使得人们将攻击特性与正常、合法的网络传输流区别开变得越来越困难。,已知漏洞数迅速增多 近年每年报告
20、给CERT/CC的漏洞数量都成倍增长,因此对于管理员来说,想要跟上补丁的步伐是很困难的,另外,每年都会发现新类型的漏洞,而且,入侵者往往能够在软件厂商更正这些漏洞之前先发现这些漏洞,特别是随着发现漏洞工具变得自动化后,留给用户打补丁的时间将越来越短。新发现的安全漏洞每年都要增加一倍,管理人员不断用最新的补丁修补这些漏洞,而且每年都会发现安全漏洞的新类型。,(4)直接渗透防火墙 当前,很多企业都把提供安全边界保护的重任交给了防火墙,但实际上,却存在一些可绕过防火墙的更“高明”的技术,如IPP(Internet Printing Protocol)和WebDAV(Web-based Distrib
21、uted Authoring and Versioning),特别是一些标榜是“防火墙适用”的协议,实际上却被设计为可绕过典型防火墙的配置;还有,如ActiveX控件、Java和JavaScript等“移动代码”,使得发现已知漏洞的系统以及有恶意企图的软件变得更困难;而且,一旦某些计算机遭到了入侵,它就有可能成为入侵者的栖息地和跳板,作为进一步攻击的工具。对于网络基础架构如DNS系统、路由器的攻击也越来越成为严重的安全威胁。,网络攻击发生的变化,网络攻击者从以前的技术人员向非技术人员转化,从单独个体向有组织的攻击行为变化;网络攻击目标从以往的以UNIX主机为主转向网络的各个层面上。网络通信协议
22、、密码协议、域名服务、路由服务、网络应用服务,甚至网络安全保障系统自身。,网络攻击协同化:攻击者利用Internet上巨大的资源开发特殊的程序,将不同地域的计算机协同起来,向特定的目标发起攻击。2000年2月,黑客以DDoS方法攻击Yahoo等大型网站,导致服务瘫痪。爱尔兰数学家Robert Harley和它的3位同事动用Internet网络中9500台计算机强行破解了应用椭圆曲线算法加密的信息,其中密钥长度为109位。网络攻击智能化:网络攻击与病毒程序相结合,病毒的复制传播特点使攻击程序如虎添翼。2001年出现的红色代码就是这样的一个典型例子。,拒绝服务攻击:拒绝服务攻击是使用最多、一般很难有效防治的一类攻击。网络攻击的主动性:网络攻击者掌握主动权,而防御者被动应付。攻击者处于暗处,攻击目标处于明处。攻击者往往先发现系统中存在的弱点,然后开发初弱点攻击工具。弱点攻击工具的档次越来越高,并广泛传播,最后才出现弱点的检测和消除工具。,小结,分析了网络攻击的目标;从不同的角度对网络攻击进行分类;网络攻击模型;总结了网络攻击技术的演变与发展趋势。,
