《网络安全第二章.ppt》由会员分享,可在线阅读,更多相关《网络安全第二章.ppt(41页珍藏版)》请在三一办公上搜索。
1、第2章 网络入侵技术,随着网络技术的广泛应用,网络遭受各种攻击的概率也越来越大,如何有效地应对黑客的入侵和攻击已成为当前网络安全领域的重要课题。有效地防范黑客的入侵和破坏,不仅需要掌握网络安全技术,还应该了解一些常见的黑客入侵手段,做到知己知彼,从而针对各种攻击有的放矢地采取不同的措施,将网络攻击造成的损失降到最小。,2.1 黑客技术,2.1.1 黑客的由来黑客最早源自英文hacker,原指热衷于计算机程序的设计者和精通网络、系统、外围设备及软硬件技术的人。这些人具有操作系统和编程语言方面的知识,通过分析知道系统中的漏洞及其原因所在,并公开他们的发现,与其他人分享。他们以改进的目的编写程序去检
2、查远程机器的安全体系。现今,黑客一词已被用于泛指那些专门利用计算机网络搞破坏或恶作剧的人,所以人们常常把从事网络攻击和破坏的人统称为“黑客”。,2.1.2 黑客攻击的动机,1恶作剧有些黑客往往是以验证自己的能力为目的,专门利用网络漏洞入侵主机,扮演恶作剧的角色,如中美黑客联盟大战。这种黑客在早期出现较多,以青少年居多。2窃取信息部分人往往会偷窥他人在计算机中的隐私和机密资料,以盗取隐私和相关资料为目的,甚至对该资料进行删改。如“蜜蜂大盗”(偷拍对方照片)。3金钱目的有些黑客为达到牟利的目的而盗取或篡改机密资料。这种黑客近年来有所发展,并逐步形成了完整产业链,如图21所示。如盗取网民网上银行账号
3、及密码的“网银大盗”、“证券大盗”等。,2.1.2 黑客攻击的动机,4政治目的如敌对国家之间利用网络进行破坏,或是由于个人对政府不满而产生的破坏活动都属于这个类型。有些黑客专门以破坏政府部门保密系统为乐,如白宫主页就曾遭黑客攻击。5报复由于个人对组织、公司不满或是对他人的怨恨,进而采取破坏网络、盗取数据等行为对其进行报复,或是借此引起别人的注意。6提升个人声望通过破坏具有高价值的目标,或者具有高技术难度的破坏行为引起他人的关注。借此向他人炫耀技术,并证明自己的能力。,黑客产业链条,2.1.3 黑客入侵攻击的一般过程,黑客的攻击步骤一般可以分踩点(foot printing)、扫描(scanni
4、ng)、查点(enumeration)、获取权限(gaining access)、提升权限(escalating)、窃取(pilfering)信息、隐藏痕迹(covering track)、创建后门(creating back door),如图所示。,2.2 网络扫描,网络扫描就是对计算机系统或其他网络设备进行相关的安全检测,以便发现安全隐患和可被黑客利用的漏洞。而非授权用户入侵一台目标主机,要先测试出网络上的哪些主机是活动的,哪些端口在监听等,这些工作是由扫描器来实现的。扫描器也是网络管理员的得力助手,网络管理员可以通过及时了解自己系统的运行状态和可能存在的漏洞,在黑客攻击之前将系统中的隐患
5、清除,保证服务器的安全稳定。,2.2.1 地址扫描,地址扫描就是判断某个IP地址上有无活动主机以及某台主机是否在线。这是信息收集的初级阶段,其效果直接影响到后续的扫描。ping就是最原始的主机存活扫描技术,利用ICMP的Echo字段,用ping命令去连接某台主机,发出的请求如果收到回应则代表主机是活动的。传统的地址扫描手段有:(1)ICMP Echo扫描:精度相对较高,向目标主机发送ICMP Echo Request 数据包,并等待回复的ICMP Echo Reply数据包。(2)ICMP Sweep扫描:ICMP进行扫射式的扫描,就是并发性扫描,使用ICMP Echo Request一次探测
6、多个目标主机。通常这种探测包会并行发送,以提高探测效率,适用于大范围的评估。,2.2.1 地址扫描,(3)Broadcast ICMP扫描:广播型ICMP扫描,利用了一些主机在ICMP实现上的差异,设置ICMP请求包的目标地址为广播地址或网络地址,则可以探测广播域或整个网络范围内的主机,子网内所有活动主机都会给以回应。但这种情况只适合于UNIX/Linux系统。(4)NonEcho ICMP扫描:在ICMP协议中不仅ICMP Echo的ICMP查询信息类型,ICMP扫描技术中也用到NonEcho ICMP技术,它利用了ICMP的多种服务类型,如Timestamp和Timestamp Reply
7、、Information Request和Information Reply、Address Mask Request 和Address Mask Reply。它既能探测主机,也可以探测网络设备(如路由)。,2.2.2 端口扫描,在完成主机活动性判断之后,就应该去判定主机开放信道的状态,端口就是在主机上面开放的信道,01 024为知名端口,端口总数是65 535。端口实际上就是从网络层映射到进程的通道。端口是目标系统向外提供服务的窗口,是一个潜在的通信通道,当然也就能够成为一个入侵的通道。黑客常常采用对端口进行扫描的方法攻击。对目标主机进行端口扫描,能得到许多有用的信息,能够发现系统的安全漏洞
8、,还可以掌握什么样的进程使用了什么样的通信。通过进程取得的信息,为查找后门、了解系统状态提供了有力的支撑。,2.2.2端口扫描,常见的端口扫描方法有以下几种:(1)TCP connect()扫描。这是最基本的TCP扫描技术,很容易实现。如果目标主机能够进行connect操作,就说明有一个相应的端口打开。否则,这个端口是不能用的,即没有提供服务。使用这种方法可以检测到目标主机开放了哪些端口。在执行这种扫描方式时,不需要对目标主机拥有任何权限。不过,这种扫描是最原始和最先被防护工具拒绝的一种方法。因为在扫描时往往被远程系统记入日志,非常容易被发觉并被过滤掉。(2)TCP SYN扫描。为了克服TCP
9、 connect()扫描缺陷,便产生了TCP SYN扫描。这种扫描是向远程主机某端口发送一个只有SYN标志位的TCP数据包,也就是发出一个连接请求。如果收到了远程目标主机的SYN/ACK数据包,那么说明远程主机的该端口是打开的;若没有收到远程目标主机的SYN/ACK数据包,而收到的是RST数据包,则说明远程主机的该端口没有打开。这对扫描要获得的信息已经足够了,这种扫描的特点是不会在目标主机的日志中留下记录。,2.2.2端口扫描,(3)TCP FIN扫描。由于上述扫描的广泛应用,使得防火墙和路由器都采取了相应的措施,会对端口扫描进行完全记录。有些入侵扫描系统也能检测到TCP SYN扫描,许多过滤
10、设备能过滤SYN数据包。于是端口扫描开始采用FIN扫描。FIN是中断连接的数据包,很多日志不记录这类数据包。(4)IP段扫描。这种方法不直接发送TCP探测数据包,而是预先将数据包分成几个较小的IP数据包传送给目标主机,目标主机收到这些IP数据包后,会把它们组合还原为原先的TCP探测数据包。将数据包分片的目的是使这些数据包能够通过防火墙和包过滤器而到达目标主机。,2.2.2端口扫描,(5)UDP ICMP扫描。这种方法与上面几种方法的不同之处在于,此方法使用的是UDP协议。由于防火墙设备的流行,TCP端口的管理状态越来越严格,不会轻易开放,并且通信监视严格。为了避免这种监视,达到评估的目的,就出
11、现了UDP扫描。UDP的扫描方法比较单一,基本原理是:当发送一个报文给UDP端口,该端口是关闭状态时,端口会返回一个ICMP信息;如果端口是打开的,什么信息都不发。这种扫描方式的特点是利用UDP端口关闭时返回的ICMP信息,不包含标准的TCP三次握手协议的任何部分,隐蔽性好,但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息。,2.2.3 漏洞扫描,漏洞扫描能自动检测远程或本地主机的安全性弱点及存在的安全缺陷。其原理是采用模拟攻击的形式,对工作站、服务器、交换机、数据库等可能存在已知安全漏洞的目标对象进行逐项检查,根据扫描结果形成安全性分析报告。按常规标准,可以将漏洞扫描分为两
12、种类型:主机漏洞扫描(host scanner)和网络漏洞扫描(network scanner)。主机漏洞扫描是指在系统本地运行检测系统漏洞的程序,该类型的软件有著名的COPS、tripwire、tiger等。网络漏洞扫描是指基于Internet远程检测目标网络和主机系统漏洞的程序,该类型的软件有Satan、ISS Internet Scanner等。,2.2.3 漏洞扫描,通过漏洞扫描,系统管理员能够发现所维护的Web服务器的各种TCP端口的分配、提供的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。从而在计算机网络系统安全保卫中做到有的放矢,及时修补漏洞。漏洞扫
13、描的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的。它是安全漏洞扫描方案的一个重要组成部分。,2.2.4 常用的扫描软件,无论是地址扫描、端口扫描还是漏洞扫描,都离不开扫描软件。有些扫描软件只能做一种扫描,有些扫描软件功能非常强大,集多种扫描功能于一身。常用的扫描软件如下:(1)GetNTuser:扫描NT主机上存在的用户名、自动猜测空密码和与用户名相同的密码,可以使用指定密码字典猜测密码,也可以使用指定字符来穷举猜测密码等。(2)PortScan:可以得到对方计算机开放的端口,该工具软件可以将所有端口的开放情况做一个测试,通过端口扫描,可以知道对方开放了哪些网络服务,从而根据
14、某些服务的漏洞进行攻击。(3)Shed:通过该工具软件来扫描对方主机,就可以知道对方计算机哪些目录是共享的。,2.2.4 常用的扫描软件,(4)XScan(XScanv2.3):是国内最著名的综合扫描器之一,它主要进行漏洞检测。扫描内容包括远程操作系统类型及版本,标准端口状态、IIS漏洞、CGI漏洞、SQLSERVER、FTPSERVER、注册表信息等。该软件可以查看一台主机的端口开放情况,同时也可以查看一段连续IP地址的端口开放情况,这对分析整个网络的端口开放情况很有用处。(5)SuperScan:这是非常著名的端口扫描软件。该软件是一个集端口扫描、ping、主机名解析于一体的扫描器,支持使
15、用文件列表来指定扫描主机范围。该软件还可以自定义端口范围,并附带一些常用网络工具。(6)Nmap:寻找存在漏洞的目标主机。一旦发现有漏洞的目标,就开始对监听端口进行扫描。Nmap通过使用TCP协议栈指纹准确地判断出被扫描主机的操作系统类型。通过使用它,可以让安全管理员了解黑客欲攻击的站点,安全管理员还可以发现自己网站的漏洞,并逐步加以完善。,2.3 网络监听,网络监听也称嗅探(sniffer),其目的是截获通信的信息。网络监听是提供给管理员的一种管理工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息,但网络监听也是黑客常用的一种方法。当黑客成功地登录一台网络上的主机,并取
16、得了这台主机的超级用户的权限之后,往往要扩大其战果,尝试夺取网络中其他主机的控制权,网络监听就是一种简单且有效的方法,它常常能轻易地获得用其他方法很难获得的信息。,2.3.1 网络监听概述,1网络监听基本原理 在以太网中,填写了物理地址的帧从网卡中发送出去,传送到物理线路上。如果局域网由电缆连接而成,则数据包在电缆上传输,数据包的信号能够到达线路上的每一台主机。当使用集线器时,发送出去的数据包到达集线器,由集线器再发往连接在集线器上的每一条线路。,2.3.1 网络监听概述,2网络监听的实现 当在promiscuous模式下时,在同一条物理信道上传输的所有信息都可以被接收到。当信息在网络中进行传
17、播时,利用监听工具将网卡设置为监听模式,便可以源源不断地将网上传输的信息截获,然后进行攻击。,2.3.2 网络监听工具Sniffer,网络监听工具非常多。运行在Windows平台上的有Windump、Iris、Sniffer Pro、Win Sniffer、Pswmonitor等;运行在UNIX平台上的有TCPdump、Snort、Dsniff、Sniffit等。运行在Windows平台上的Sniffer Pro可以监听到网上传输的所有数据。网络可以是运行在各种协议之下的,包括以太网、TCP/IP、ZPX等,也可以是集中协议的联合体系。,2.4 木马攻击,计算机世界的特洛伊木马(Trojan
18、Horse)是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和拒绝服务攻击等特殊功能的后门程序。木马程序是未经授权的,它一般包含在合法用户的程序中。木马程序是常常把有预谋的功能藏在公开的功能之中,掩盖其真实企图的程序。这个程序表面上看是完成某一功能,如登录、编辑或游戏等,而实际上完成的却是其他操作,如删除文件、窃取口令或格式化磁盘等。一般来说,特洛伊木马是在合法用户的程序运行时悄悄地进行非法操作,而且一般不易被察觉。因此,它是一种极为危险的攻击手段。,2.4.1 木马攻击原理,完整的木马程序同远程控制软件一样,都是一个通过端口进行通信的网络客户机/服务
19、器程序。一般由两个部分组成:一个是服务器程序(服务器端),另一个是控制器程序(客户端)。服务器端安装在被控制的计算机中,它一般通过电子邮件或其他手段让用户在其安装的计算机中运行,以达到控制该用户计算机的目的。客户端程序是控制者所使用的,用于对受控的计算机进行控制。服务器端程序和客户端程序建立连接后就可以实现对远程计算机的控制。,2.4.2 木马的隐藏,在木马的发展历史中,不管是哪一种类型的木马攻击,都是将服务端即木马程序隐藏在目标主机中,控制端的控制程序通过木马端口用木马进行远程攻击。将木马程序隐藏在目标主机中是木马攻击的最为关键的步骤。木马的隐藏大致有以下几种常见形式。1集成到程序中 2隐藏
20、在配置文件中 3潜伏在Win.ini中 4伪装在普通文件中 5内置到注册表中 6在System.ini中藏身 7隐藏于启动组中 8隐蔽在Winstart.bat中 9捆绑在启动文件中 10设置在超级链接中,2.4.3 木马的清除与防范,瑞星“云安全”系统提供的数据表明,2009年1月至3月,互联网上出现的木马网页累计达1.9亿多个,平均每天有889万余网民访问这些网页,累计有8亿网民遭木马攻击。大型网站、浏览器和流行软件成为黑客窥测的对象,一季度有24 202个大型网站被植入木马,这已经成为威胁国内互联网安全的最主要因素之一。,2.5 拒绝服务攻击,拒绝服务简称DoS(denial of se
21、rvice)。DoS是一种最常见的攻击形式,这种攻击是指一个用户占据了大量的共享资源,使系统没有剩余的资源给其他用户使用,即拒绝服务,造成DoS的攻击行为被称为DoS攻击。这种攻击的结果是使系统效率降低或者失去服务能力。DoS攻击降低了资源的可用性,这些资源可以是磁盘空间、CPU使用的时间、打印机、调制解调器等,目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。,2.5.1 拒绝服务攻击概述,2.5.1 拒绝服务攻击概述,DoS攻击主要是由以下两种情况引起:(1)由程序员所编程序的错误造成。由于程序员对程序错误的编制,导致系统不停地建立进程,最终耗尽资
22、源,只能重新启动机器。不同的系统平台都会采取某些方法防止一些特殊的用户占用过多的系统资源,建议尽量采用资源管理的方式降低这种安全威胁。(2)由磁盘存储空间引起。假如一个用户有权利存储大量的文件,那么他可能只为系统留下很小的空间用来存储日志文件等系统信息。这种不良的操作习惯会给系统留下隐患。此时,应对系统配额作出考虑。,2.5.1 拒绝服务攻击概述,DoS侧重于通过对主机特定漏洞的攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务。常见的DoS攻击手段有:1死亡之ping2UDP Flood(UDP洪泛)攻击3SYN Flood(洪泛)攻击4Land攻击5Smu
23、rf攻击6电子邮件炸弹7畸形消息攻击8泪滴(Teardrop攻击,2.5.2 分布式拒绝服务攻击,分布式拒绝服务DDoS攻击指借助于客户机/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。,1DDoS与DoS,DDoS是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一的方式,当攻击目标的CPU速度、内存或者网络带宽等各项性能指标不高时,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增强,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了。目标主机对恶意攻击包
24、的“消化能力”大大加强。例如,攻击软件每秒可以发送3 000个攻击包,但如果主机与网络带宽每秒钟可以处理10 000个攻击包,这样一来攻击就不会产生什么效果。这时,分布式拒绝服务攻击手段就应运而生了。,1DDoS与DoS,DDoS的攻击策略侧重于通过很多傀儡主机向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,其攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源。因此,又被称为洪水式攻击。,2DDoS攻击的原理,通常,攻击者通过木马将DDoS主控程序安装在Internet上的许多计算机上,
25、在一个设定的时间内,主控程序与大量代理程序通信,代理程序收到指令时就发动攻击。利用客户机/服务器技术,主控程序能在几秒内激活成百上千次代理程序的运行。这些计算机就如同传说中的“僵尸”一样被黑客所控制,有了大量“僵尸”或者称为傀儡机的计算机,发起DDoS攻击将是一件轻而易举的事。高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。在低速网络时代,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。,3DDoS的表现形式,DDoS攻击的表现形式主要有两种:一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法
26、网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。,3DDoS的表现形式,当受到DDoS攻击时还可能伴随以下现象:被攻击主机上有大量等待的TCP连接。网络中充斥着大量的无用的数据包,源地址为假。制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通信。利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求。严重时会造成系统死机。,2.5.2 分布式拒绝服务攻击,防止DDoS攻击是一个系统工程,仅仅依靠某种系统或
27、产品防范DDoS是不现实的,甚至可以说完全杜绝DDoS目前是不可能的。但通过适当的措施抵御90%的DDOS攻击是可以做到的。例如,像增强操作系统的TCP/IP栈、升级主机服务器硬件、安装专业抗DDOS防火墙等都可以收到很好的效果。攻击和防御都有成本开销的,所以通过适当的办法增强抵御DDoS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功地抵御了DDoS攻击。,2.6 缓冲区溢出,近些年来,以缓冲区溢出作为远程攻击类型的黑客入侵事件频繁发生。这种攻击可以使一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权,是一种十分危险的攻击。,
28、2.6.1 缓冲区溢出概述,缓冲区溢出之所以泛滥,与C语言的广泛使用不无关系。被广泛使用的C语言没有建立检测机制,标准C语言具有许多复制和添加字符串的函数,这使得标准C语言很难进行边界检查。C+虽然作了一些限制,但是仍然存在缓冲区溢出。一般情况下,覆盖其他数据区的数据是没有意义的,最多造成应用程序错误。现在,使用最多的操作系统如Windows、Linux、UNIX等和数据库的开发大都依赖于C语言,所以这些操作系统、数据库等大型应用程序成为了缓冲区溢出攻击的重灾区。,2.6.2 缓冲区溢出实例分析及其防范,缓冲区溢出攻击应注意以下几点:(1)编写正确的代码。编写正确的代码是一件非常有意义却耗时的
29、工作,特别是编写像C语言这种容易出错的程序。这是由只追求性能而忽视正确性的传统引起的。尽管程序员知道如何编写安全的程序,但具有安全漏洞的程序依旧出现。因此人们开发了一些工具和技术来帮助经验不足的程序员编写安全正确的程序。(2)通过操作系统使得缓冲区不可执行,从而阻止攻击者植入攻击代码。这种方法有效地阻止了很多缓冲区溢出的攻击,但是攻击者并不一定要通过植入攻击代码来实现缓冲区溢出的攻击,所以这种方法还是存在很多弱点的。,2.6.2 缓冲区溢出实例分析及其防范,(3)利用编译器的边界检查来实现缓冲区的保护。这个方法使得缓冲区溢出不可能出现,从而完全消除了缓冲区溢出的威胁,但是相对而言,代价比较大。
30、(4)在程序指针失效前进行完整性检查。虽然这种方法不能使得所有的缓冲区溢出失效,但它的确阻止了绝大多数的缓冲区溢出攻击。从长远来看,要想从根本上消除缓冲区溢出攻击,需要对编程模式或CPU体系进行基础性修改。随着信息技术的飞速发展和人们对网络安全重视程度的不断加强,相信总会有解决缓冲区溢出攻击的最佳途径。,本章小结,随着Internet在各领域的广泛应用,黑客入侵和攻击已成为当前网络安全领域的重要课题。本章介绍了黑客攻击的一般步骤及常见方法,对于网络安全的初学者了解网络安全的现状以及对后续章节的学习都是很有帮助的。只有做到知己知彼,才能有的放矢针对各种攻击采取有效的防范措施,因为根据不同的攻击类型和方式而采用不同的应对手段,是提高网络安全最有效的途径。,
