信息安全工程師教程學(xué)習(xí)筆記

1、信息安全工程師教程學(xué)習(xí)筆記（一） 全國(guó)計(jì)算機(jī)技術(shù)與軟件專(zhuān)業(yè)技術(shù)資格 （水平） 考試，這門(mén)新開(kāi)的信息安全工 程師分屬該考試“信息系統(tǒng)”專(zhuān)業(yè)，位處中級(jí)資格。官方教材信息安全工程師 教程及考試大綱于 7 月 1 日出版，希賽小編整理了 信息安全工程師教程學(xué)習(xí) 筆記，供大家參考學(xué)習(xí)。 網(wǎng)站安全威脅 網(wǎng)站安全問(wèn)題原因何在？總結(jié)種種形式，目前網(wǎng)站安全存在以下威脅： 服務(wù)器系統(tǒng)漏洞 利用系統(tǒng)漏洞是網(wǎng)站遭受攻擊的最常見(jiàn)攻擊方式。網(wǎng)站是基于計(jì)算機(jī)網(wǎng)絡(luò) 的，而計(jì)算機(jī)運(yùn)行又是少不了操作系統(tǒng)的。 操作系統(tǒng)的漏洞會(huì)直接影響到網(wǎng)站的 安全，一個(gè)小小的系統(tǒng)漏洞可能就是讓系統(tǒng)癱瘓， 比如常見(jiàn)的有緩沖區(qū)溢出漏洞、 iis 漏洞

2、、以及第三方軟件漏洞等。 注意：虛擬機(jī)用戶(hù)注意了，請(qǐng)選擇穩(wěn)定、安全的空間，這個(gè)尤為重要！ 網(wǎng)站程序設(shè)計(jì)缺陷 網(wǎng)站設(shè)計(jì)， 往往只考慮業(yè)務(wù)功能和正常情況下的穩(wěn)定， 考慮滿(mǎn)足用戶(hù)應(yīng)用， 如何實(shí)現(xiàn)業(yè)務(wù)需求。 很少考慮網(wǎng)站應(yīng)用開(kāi)發(fā)過(guò)程中所存在的漏洞， 這些漏洞在不 關(guān)注安全代碼設(shè)計(jì)的人員眼里幾乎不可見(jiàn)， 大多數(shù)網(wǎng)站設(shè)計(jì)開(kāi)發(fā)者、 網(wǎng)站維護(hù)人 員對(duì)網(wǎng)站攻防技術(shù)的了解甚少； 在正常使用過(guò)程中， 即便存在安全漏洞， 正常的 使用者并不會(huì)察覺(jué)。 網(wǎng)站源程序代碼的安全也對(duì)整個(gè)網(wǎng)站的安全起到舉足輕重的作用。若代碼 漏洞危害嚴(yán)重， 攻擊者通過(guò)相應(yīng)的攻擊很容易拿到系統(tǒng)的最高權(quán)限， 那時(shí)整個(gè)網(wǎng) 站也在其掌握之中， 因此代碼

3、的安全性至關(guān)重要。 目前由于代碼編寫(xiě)的不嚴(yán)謹(jǐn)而 引發(fā)的漏洞很多，最為流行攻擊方法示意圖如下： （ 1）注入漏洞攻擊 （2）上傳漏洞攻擊 （3）CGI 漏洞攻擊 （4）XSS 攻擊 （5）構(gòu)造入侵 （ 6）社會(huì)工程學(xué) （7）管理疏忽 安全意識(shí)薄弱 很多人都認(rèn)為，部署防火墻、IDS、IPS、防毒墻等基于網(wǎng)絡(luò)的安全產(chǎn)品后， 通過(guò) SSL 加密網(wǎng)絡(luò)、服務(wù)器、網(wǎng)站都是安全的。實(shí)事上并不是如此，基于應(yīng)用 層的攻擊如 SQL 注入、跨站腳本、構(gòu)造入侵這種特征不唯一的網(wǎng)站攻擊，就是 通過(guò) 80 端口進(jìn)行的，并且攻擊者是通過(guò)正常 GET、 POST 等正常方式提交，來(lái) 達(dá)到攻擊的效果， 基于特征匹配技術(shù)防御攻擊

4、， 不能精確阻斷攻擊， 防火墻是無(wú) 法攔截的。SSL加密后，只能說(shuō)明網(wǎng)站發(fā)送和接受的信息都經(jīng)過(guò)了加密處理，但 無(wú)法保障存儲(chǔ)在網(wǎng)站里面的信息安全。 同時(shí)還有管理人員的安全意識(shí)不足， 默認(rèn) 配置不當(dāng)，使用弱口令密碼等。 提示：防火墻等安全產(chǎn)品是攔截基于網(wǎng)絡(luò)的攻擊 （如 DDOS 、端口掃描等）， 可以限制不必對(duì)外開(kāi)放的端口，可以方便集中管理、分劃網(wǎng)絡(luò)拓?fù)洹?網(wǎng)絡(luò)欺騙 網(wǎng)絡(luò)欺騙就是使入侵者相信信息系統(tǒng)存在有價(jià)值的、 可利用的安全弱點(diǎn)， 并 具有一些可攻擊竊取的資源 （當(dāng)然這些資源是偽造的或不重要的） ，并將入侵者 引向這些錯(cuò)誤的資源。 它能夠顯著地增加入侵者的工作量、 入侵復(fù)雜度以及不確 定性，從而

5、使入侵者不知道其進(jìn)攻是否奏效或成功。 而且， 它允許防護(hù)者跟蹤入 侵者的行為，在入侵者之前修補(bǔ)系統(tǒng)可能存在的安全漏洞。 主要技術(shù) Honey Pot 和分布式 Honey Pot 網(wǎng)絡(luò)欺騙一般通過(guò)隱藏和安插錯(cuò)誤信息等技術(shù)手段實(shí)現(xiàn)，前者包括隱藏服 務(wù)、多路徑和維護(hù)安全狀態(tài)信息機(jī)密性， 后者包括重定向路由、 偽造假信息和設(shè) 置圈套等等。綜合這些技術(shù)方法，最早采用的網(wǎng)絡(luò)欺騙是 Honey Pot 技術(shù)，它 將少量的有吸引力的目標(biāo)（我們稱(chēng)之為 Honey Pot ）放置在入侵者很容易發(fā)現(xiàn) 的地方，以誘使入侵者上當(dāng)。 這種技術(shù)的目標(biāo)是尋找一種有效的方法來(lái)影響入侵者， 使得入侵者將技術(shù)、 Honey 精力

6、集中到 Honey Pot 而不是其它真正有價(jià)值的正常系統(tǒng)和資源中 Pot 技術(shù)還可以做到一旦入侵企圖被檢測(cè)到時(shí)，迅速地將其切換 但是，對(duì)稍高級(jí)的網(wǎng)絡(luò)入侵， Honey Pot 技術(shù)就作用甚微了。因此，分布 式 Honey Pot 技術(shù)便應(yīng)運(yùn)而生，它將欺騙( Honey Pot )散布在網(wǎng)絡(luò)的正常系 統(tǒng)和資源中， 利用閑置的服務(wù)端口來(lái)充當(dāng)欺騙， 從而增大了入侵者遭遇欺騙的可 能性。它具有兩個(gè)直接的效果，一是將欺騙分布到更廣范圍的 IP 地址和端口空 間中，二是增大了欺騙在整個(gè)網(wǎng)絡(luò)中的百分比， 使得欺騙比安全弱點(diǎn)被入侵者掃 描器發(fā)現(xiàn)的可能性增大。 盡管如此，分布式 Honey Pot 技術(shù)仍有局

7、限性，這體現(xiàn)在三個(gè)方面：一是 它對(duì)窮盡整個(gè)空間搜索的網(wǎng)絡(luò)掃描無(wú)效； 二是只提供了相對(duì)較低的欺騙質(zhì)量； 三 是只相對(duì)使整個(gè)搜索空間的安全弱點(diǎn)減少。 而且，這種技術(shù)的一個(gè)更為嚴(yán)重的缺 陷是它只對(duì)遠(yuǎn)程掃描有效。 如果入侵已經(jīng)部分進(jìn)入到網(wǎng)絡(luò)系統(tǒng)中， 處于觀(guān)察 (如 嗅探)而非主動(dòng)掃描階段時(shí)， 真正的網(wǎng)絡(luò)服務(wù)對(duì)入侵者已經(jīng)透明， 那么這種欺騙 將失去作用 主要形式 欺騙空間技術(shù) 欺騙空間技術(shù)就是通過(guò)增加搜索空間來(lái)顯著地增加入侵者的工作量，從而 達(dá)到安全防護(hù)的 目的 。利 用計(jì) 算機(jī)系統(tǒng) 的多 宿主能力 ( multi homed capability )，在只有一塊以太網(wǎng)卡的計(jì)算機(jī)上就能實(shí)現(xiàn)具有眾多 IP

8、 地址的主機(jī)， 而且每個(gè) IP 地址還具有它們自己的 MAC 地址。這項(xiàng)技術(shù)可用于建立填充一大 段地址空間的欺騙，且花費(fèi)極低。實(shí)際上，現(xiàn)在已有研究機(jī)構(gòu)能將超過(guò) 4000 個(gè) IP 地址綁定在一臺(tái)運(yùn)行 Linux 的 PC 上。這意味著利用 16 臺(tái)計(jì)算機(jī)組成的網(wǎng)絡(luò) 系統(tǒng)，就可做到覆蓋整個(gè) B 類(lèi)地址空間的欺騙。盡管看起來(lái)存在許許多多不同 的欺騙，但實(shí)際上在一臺(tái)計(jì)算機(jī)上就可實(shí)現(xiàn)。 從效果上看，將網(wǎng)絡(luò)服務(wù)放置在所有這些 IP 地址上將毫無(wú)疑問(wèn)地增加了入 侵者的工作量， 因?yàn)樗麄冃枰獩Q定哪些服務(wù)是真正的， 哪些服務(wù)是偽造的， 特別 是這樣的 4 萬(wàn)個(gè)以上 IP 地址都放置了偽造網(wǎng)絡(luò)服務(wù)的系統(tǒng)。而且，

9、在這種情況 下，欺騙服務(wù)相對(duì)更容易被掃描器發(fā)現(xiàn)， 通過(guò)誘使入侵者上當(dāng)， 增加了入侵時(shí)間， 從而大量消耗入侵者的資源，使真正的網(wǎng)絡(luò)服務(wù)被探測(cè)到的可能性大大減小。 當(dāng)入侵者的掃描器訪(fǎng)問(wèn)到網(wǎng)絡(luò)系統(tǒng)的外部路由器并探測(cè)到一欺騙服務(wù)時(shí)， 還可將掃描器所有的網(wǎng)絡(luò)流量重定向到欺騙上， 使得接下來(lái)的遠(yuǎn)程訪(fǎng)問(wèn)變成這個(gè) 欺騙的繼續(xù)。 當(dāng)然，采用這種欺騙時(shí)網(wǎng)絡(luò)流量和服務(wù)的切換（重定向）必須嚴(yán)格保密， 因?yàn)橐坏┍┞毒蛯⒄兄鹿簦?從而導(dǎo)致入侵者很容易將任一已知有效的服務(wù)和這 種用于測(cè)試入侵者的掃描探測(cè)及其響應(yīng)的欺騙區(qū)分開(kāi)來(lái) 增強(qiáng)欺騙質(zhì)量 面對(duì)網(wǎng)絡(luò)攻擊技術(shù)的不斷提高， 一種網(wǎng)絡(luò)欺騙技術(shù)肯定不能做到總是成功， 必須不斷地提

10、高欺騙質(zhì)量，才能使入侵者難以將合法服務(wù)和欺騙區(qū)分開(kāi)來(lái)。 網(wǎng)絡(luò)流量仿真、網(wǎng)絡(luò)動(dòng)態(tài)配置、多重地址轉(zhuǎn)換和組織信息欺騙是有效增強(qiáng) 網(wǎng)絡(luò)欺騙質(zhì)量的幾種主要方法，下面分別予以介紹。 網(wǎng)絡(luò)流量仿真 產(chǎn)生仿真流量的目的是使流量分析不能檢測(cè)到欺騙。在欺騙系統(tǒng)中產(chǎn)生仿 真流量有兩種方法。一種方法是采用實(shí)時(shí)方式或重現(xiàn)方式復(fù)制真正的網(wǎng)絡(luò)流量， 這使得欺騙系統(tǒng)與真實(shí)系統(tǒng)十分相似， 因?yàn)樗械脑L(fǎng)問(wèn)連接都被復(fù)制了。 第二種 方法是從遠(yuǎn)程產(chǎn)生偽造流量，使入侵者可以發(fā)現(xiàn)和利用。 網(wǎng)絡(luò)動(dòng)態(tài)配置 真實(shí)網(wǎng)絡(luò)是隨時(shí)間而改變的，如果欺騙是靜態(tài)的，那么在入侵者長(zhǎng)期監(jiān)視 的情況下就會(huì)導(dǎo)致欺騙無(wú)效。 因此，需要?jiǎng)討B(tài)配置欺騙網(wǎng)絡(luò)以模擬正常的網(wǎng)絡(luò)

11、行 為，使欺騙網(wǎng)絡(luò)也象真實(shí)網(wǎng)絡(luò)那樣隨時(shí)間而改變。 為使之有效， 欺騙特性也應(yīng)該 能盡可能地反映出真實(shí)系統(tǒng)的特性。 例如，如果辦公室的計(jì)算機(jī)在下班之后關(guān)機(jī)， 那么欺騙計(jì)算機(jī)也應(yīng)該在同一時(shí)刻關(guān)機(jī)。 其它的如假期、 周末和特殊時(shí)刻也必須 考慮，否則入侵者將很可能發(fā)現(xiàn)欺騙。 多重地址轉(zhuǎn)換 ( multiple address translation ) 地址的多次轉(zhuǎn)換能將欺騙網(wǎng)絡(luò)和真實(shí)網(wǎng)絡(luò)分離開(kāi)來(lái)，這樣就可利用真實(shí)的 計(jì)算機(jī)替換低可信度的欺騙， 增加了間接性和隱蔽性。 其基本的概念就是重定向 代理服務(wù)(通過(guò)改寫(xiě)代理服務(wù)器程序?qū)崿F(xiàn))，由代理服務(wù)進(jìn)行地址轉(zhuǎn)換，使相同 的源和目的地址象真實(shí)系統(tǒng)那樣被維護(hù)在欺騙系統(tǒng)中。 右圖中，從 m.n.o.p 進(jìn)入 到 a.b.c.g 接口的訪(fǎng)問(wèn)， 將經(jīng)過(guò)