信息安全概論網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全第11章12網(wǎng)絡(luò)安全的特殊性網(wǎng)絡(luò)攻擊與入侵3網(wǎng)絡(luò)安全技術(shù)11.1網(wǎng)絡(luò)安全的特殊性11.1.1網(wǎng)絡(luò)與Internet隨著計算機網(wǎng)絡(luò)的迅速普及和計算機通信技術(shù)的飛速發(fā)展，信息產(chǎn)業(yè)迅速興起，對社會的經(jīng)濟、文化、生活以及國家之間的競爭等各個方面產(chǎn)生了巨大的影響。網(wǎng)絡(luò)計算和分布式計算環(huán)境基于開放性技術(shù)，而開放性與安全性是一對基本的矛盾，在計算機網(wǎng)絡(luò)和以網(wǎng)絡(luò)為基礎(chǔ)的各類信息系統(tǒng)的建設(shè)中，這個矛盾貫穿于發(fā)展的始終，并且處于長期的對抗面，因此，不可能存在一勞永

逸、絕對安全的系統(tǒng)安全策略和安全機制，安全的目標和實施的安全策略，是在一定條件（環(huán)境與技術(shù)）下的合理性。11.1.1網(wǎng)絡(luò)與Internet下面介紹幾個重要的網(wǎng)絡(luò)概念。（1）局域網(wǎng)與廣域網(wǎng)概念（4）外聯(lián)網(wǎng)（Extranet）（3）內(nèi)聯(lián)網(wǎng)（Intranet）（2）因特網(wǎng)（Internet）11.1.2網(wǎng)絡(luò)安全的威脅“網(wǎng)絡(luò)就是計算機”，因此，計算機系統(tǒng)安全的幾乎所有領(lǐng)域都在網(wǎng)絡(luò)安全中得以體現(xiàn)。網(wǎng)絡(luò)系統(tǒng)安全的主要威脅也來源于各個方面，有自然的、硬件的、軟件的，也有人為的疏忽、失誤等。網(wǎng)絡(luò)安全的類別包括了網(wǎng)絡(luò)崩潰、網(wǎng)絡(luò)阻塞、網(wǎng)絡(luò)濫用、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)干擾和網(wǎng)絡(luò)破壞。11.1.2網(wǎng)絡(luò)安全的威脅歸納起來，網(wǎng)絡(luò)中的安全風險主要有以下幾種：破壞保密性偽裝認證破壞完整性不可否認性破壞可用性11.1.3網(wǎng)絡(luò)安全的研究范圍網(wǎng)絡(luò)安全是計算機安全在網(wǎng)絡(luò)環(huán)境下的擴展和延伸。計算機網(wǎng)絡(luò)系統(tǒng)的安全是一個整體的概念。上述五類安全性的實施，仍然主要包括用戶身份驗證、訪問控制、數(shù)據(jù)完整、數(shù)據(jù)加密、防抵賴和審計追蹤等安全要求。它們各自的可靠性和安全性與網(wǎng)絡(luò)的安全性有緊密的關(guān)系，對網(wǎng)絡(luò)安全的性能有直接的影響11.1.4黑客與黑客技術(shù)“Hacker”，網(wǎng)絡(luò)“黑客”，原意是泛指對任何計算機系統(tǒng)、操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)的奧秘都具有強烈興趣的人。他們大部分都具有計算機操作系統(tǒng)和編程語言方面的高級知識，了解系統(tǒng)中的漏洞及其原因，他們不斷追求新的、更深的知識和技術(shù)，并公開他們的發(fā)現(xiàn)，與其他人分享，他們自己宣稱絕不、也從來沒有破壞數(shù)據(jù)的企圖。竊客與黑客不同，他們主要與電話公司打交道。采用不同的種種“手段”和“詭計”來操縱電話公司，可以從電話中得到他們想要的有價值的信息，還可以免費地撥打區(qū)域和長途電話，當然，這也是非法的。怪客則是網(wǎng)絡(luò)中真正的竊賊，其興趣就是專門進入別人的網(wǎng)絡(luò)和網(wǎng)站，找尋他們感興趣的東西，從而帶來種種網(wǎng)絡(luò)問題。11.1.4黑客與黑客技術(shù)黑客對于網(wǎng)絡(luò)的攻擊一般分成三個步驟，如圖11-1所示。第一步，黑客利用某些公開協(xié)議或工具，收集駐留在網(wǎng)絡(luò)系統(tǒng)中的各個主機系統(tǒng)的相關(guān)信息。第二步，利用自編程序或一些公開的工具對主機或系統(tǒng)進行弱點探測。第三步，實施攻擊。11.1.5網(wǎng)絡(luò)安全的社會性問題隨著網(wǎng)絡(luò)信息的高速發(fā)展，網(wǎng)絡(luò)安全方面的問題顯

得極為重要，網(wǎng)絡(luò)與信息系統(tǒng)的安全也成了人們高度關(guān)

注的社會性問題。但網(wǎng)絡(luò)安全的問題和現(xiàn)實安全問題一

樣，將會是一個永恒的問題，短期內(nèi)沒有較好的解決方

法。網(wǎng)絡(luò)攻擊和防守的不對稱、網(wǎng)絡(luò)安全的動態(tài)性、規(guī)

避安全風險的投入和產(chǎn)出問題都會造成網(wǎng)絡(luò)安全管理的

極大困難。尤其突出的是人的因素在網(wǎng)絡(luò)安全中占據(jù)非

常重要的地位，所謂“三分技術(shù)，七分管理”重點強調(diào)的就是克服人性的弱點，在安全技術(shù)的保證下，從思想和行動上加強安全的管理，才能夠獲得適當?shù)木W(wǎng)絡(luò)安全。網(wǎng)絡(luò)的飛速發(fā)展也相應(yīng)帶來一系列的社會問題。11.1.5網(wǎng)絡(luò)安全的社會性問題網(wǎng)絡(luò)的飛速發(fā)展也相應(yīng)帶來一系列的社會問題。1．信息垃圾與網(wǎng)絡(luò)垃圾3．網(wǎng)絡(luò)騙術(shù)問題2．高科技犯罪11.2網(wǎng)絡(luò)攻擊與入侵當前網(wǎng)絡(luò)安全事件的特點可歸納如下：入侵者難以追蹤拒絕服務(wù)攻擊頻繁發(fā)生攻擊者需要的技術(shù)水平逐漸降低但危害增大攻擊手段更加靈活，聯(lián)合攻擊急劇增多系統(tǒng)漏洞發(fā)現(xiàn)加快，攻擊爆發(fā)時間變短垃圾郵件問題嚴重間諜軟件、惡意軟件威脅安全無線網(wǎng)絡(luò)、移動手機漸成安全重災(zāi)區(qū)11.2.1網(wǎng)絡(luò)探測由于初始信息的未知性，網(wǎng)絡(luò)攻擊通常具備一定的難度。因此，探測是攻擊者在攻擊開始前必需的情報收集工作，攻擊者通過這個過程需要盡可能多地了解攻擊目標安全相關(guān)的方方面面信息，以便能夠集中火力進行攻擊。探測又可以分為三個基本步驟：踩點、掃描和查點。11.2.1網(wǎng)絡(luò)探測攻擊者探測包受害者響應(yīng)包以下列舉一些常見的掃描類型：TCP連接掃描TCP

SYN掃描

TCP

FIN掃描

TCP

ACK掃描TCP窗口掃描TCP

RPC掃描UDP掃描ICMP協(xié)議掃描11.2.2

網(wǎng)絡(luò)竊聽竊聽技術(shù)指攻擊者通過非法手段對系統(tǒng)活動的監(jiān)視從而獲得一些安全關(guān)鍵信息。目前屬于竊聽技術(shù)的流行攻擊方法有鍵擊記錄器、網(wǎng)絡(luò)監(jiān)聽、非法訪問數(shù)據(jù)和攫取密碼文件。1．鍵擊記錄器4．攫取密碼文件手段2．網(wǎng)絡(luò)監(jiān)聽3．非法訪問數(shù)據(jù)11.2.3網(wǎng)絡(luò)欺騙欺騙技術(shù)是攻擊者通過冒充正常用戶以獲取對攻擊目標訪問權(quán)或獲取關(guān)鍵信息的攻擊方法，屬于此類的有獲取口令攻擊、惡意代碼、IP欺騙、郵件欺騙、WEB欺騙、會話劫持等攻擊手法?？诹罟臬@取口令的方式有通過缺省口令、口令猜測和口令破解三種途徑。惡意代碼包括特洛伊木馬應(yīng)用程序、郵件病毒、網(wǎng)頁病毒等，通常冒充成有用的軟件工具、重要的信息等，誘導(dǎo)用戶下載運行或利用郵件客戶端和瀏覽器的自動運行機制，在啟動后暗地里安裝邪惡的或破壞性軟件的程序，通常為攻擊者給出能夠完全控制該主機的遠程連接。11.2.3網(wǎng)絡(luò)欺騙3．IP欺騙（1）單向IP欺騙：不考慮回傳的數(shù)據(jù)包，如圖11-3所示。主機A：被騙者

到202.112.10.5

的應(yīng)答202.112.10.5主機B202.112.10.10從202.112.10.5到202.112.10.10攻擊者：202.112.10.4（2）雙向IP欺騙：要求看到回傳的數(shù)據(jù)包；如圖11-4所示。11.2.3網(wǎng)絡(luò)欺騙4．電子郵件欺騙普通電子郵件欺騙的形式有以下幾種：11.2.3網(wǎng)絡(luò)欺騙5．WEB欺騙相似域名改寫URL6．ARP欺騙和路由欺騙地址解析協(xié)議ARP提供將IP地址動態(tài)映射到MAC地址的機制，但ARP機制很容易被欺騙，攻擊主機可以發(fā)送假冒的ARP回答給目標主機發(fā)起的ARP查詢，從而使其錯誤地將網(wǎng)絡(luò)數(shù)據(jù)包都發(fā)往攻擊主機，導(dǎo)致拒絕服務(wù)或者中間人攻擊。11.2.3網(wǎng)絡(luò)欺騙會話劫持（Session

Hijacking）中間人攻擊（Man

In

The

Middle，簡稱MITM）注射式攻擊（Injection）遠程登錄（建立會話，完成認證）

服務(wù)器被劫持主機A迫使A下線，完成攻擊監(jiān)聽流量，然后劫持會話攻擊者圖11-5會話劫持示意圖11.2.4拒絕服務(wù)導(dǎo)致異常型拒絕服務(wù)攻擊通常利用軟硬件實現(xiàn)上的編程缺陷，導(dǎo)致其出現(xiàn)異

常，從而使其拒絕服務(wù)。如著名的Ping

of

Death攻擊和利用IP協(xié)議棧對IP分片重疊處理異常的淚（Teardrop）攻擊。資源耗盡型拒絕服務(wù)攻擊這種方式通過大量消耗資源使得攻擊目標由于資源耗盡不能提供正常的服務(wù)。根據(jù)資源類型的不同可分為帶寬耗盡和系統(tǒng)資源耗盡兩類。SYN

FooldUDP洪水攻擊Land攻擊郵件炸彈Smurf攻擊11.2.4拒絕服務(wù)目標網(wǎng)絡(luò)進入目標網(wǎng)絡(luò)：廣播地址流量流出目標網(wǎng)絡(luò)：放大N倍的流量11.2.4拒絕服務(wù)3．分布式拒絕服務(wù)攻擊攻擊者被控制機器群向目標發(fā)送數(shù)據(jù)包被攻擊者攻擊者入侵機器并取得控制一般的DDoS攻擊模型可以分為攻擊者、主控端和代理端。攻擊者主控端代理端11.2.5數(shù)據(jù)驅(qū)動攻擊數(shù)據(jù)驅(qū)動攻擊是通過向某個程序發(fā)送數(shù)據(jù)，以產(chǎn)生非預(yù)期結(jié)果的攻擊，通常為攻擊者給出訪問目標系統(tǒng)的權(quán)限，數(shù)據(jù)驅(qū)動攻擊分為緩沖區(qū)溢出攻擊、格式化字符串攻擊、輸入驗證攻擊、同步漏洞攻擊、信任漏洞攻擊等。11.3網(wǎng)絡(luò)安全技術(shù)11.3.1常規(guī)安全技術(shù)在通用計算機安全技術(shù)中所涉及的幾乎所有安全技術(shù)，都可以應(yīng)用和集成到網(wǎng)絡(luò)系統(tǒng)中，并根據(jù)網(wǎng)絡(luò)的運行特點，尤其是網(wǎng)絡(luò)的安全接入，改進和發(fā)展這些安全技術(shù)。1．用戶認證（Authentication）3．數(shù)據(jù)保密與完整性2．訪問控制（Authorization）原則4．管理審計（Accounting）11.3.2防火墻技術(shù)1．防火墻的概念網(wǎng)絡(luò)防火墻是在一個可信任的內(nèi)部網(wǎng)絡(luò)與一個不可信任的外界網(wǎng)絡(luò)之間，為控制信息流通所設(shè)立的安全防護措施，是在兩個網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)。防火墻可以在內(nèi)部網(wǎng)（Intranet）和公共互聯(lián)網(wǎng)（Internet）間建立，也可以在要害部門、敏感部門與公共網(wǎng)間建立，還可以在各個子網(wǎng)間設(shè)立，其關(guān)鍵區(qū)別在于隔離與連通的程度。但必須注意，當分離型子網(wǎng)過多并采用不同防火墻技術(shù)時，所構(gòu)成的網(wǎng)絡(luò)系統(tǒng)很可能使原有網(wǎng)絡(luò)互聯(lián)的完整性受到損害。11.3.2防火墻技術(shù)2．防火墻的安全機制防火墻技術(shù)主要分為三類，即鏈路層技術(shù)、網(wǎng)絡(luò)層技術(shù)和應(yīng)用層技術(shù)，在具體的產(chǎn)品實施中上述技術(shù)具有雙重或者多重性。（1）電路網(wǎng)關(guān)（4）新一代智能防火墻（2）包過濾機制（3）應(yīng)用代理11.3.2防火墻技術(shù)3．防火墻的應(yīng)用11.3.3入侵檢測技術(shù)1．入侵檢測系統(tǒng)分類基于主機的入侵檢測系統(tǒng)（Host-based

IDS）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（Network-based

IDS）混合分布式入侵檢測系統(tǒng)（Hybrid

Distributed

IDS）2．CIDF入侵檢測系統(tǒng)模型控制臺響應(yīng)單元事件分析器事件產(chǎn)生器事件數(shù)據(jù)庫數(shù)據(jù)流控制流圖11-8

入侵檢測系統(tǒng)框圖11.3.3入侵檢測技術(shù)入侵檢測系統(tǒng)響應(yīng)機制事件響應(yīng)或報警部分是入侵檢測系統(tǒng)不可缺少的部分，報警的方法可以大致分為被動方式和主動方式，前者包括記錄日志、通知管理員等；后者則包括切斷攻擊者的連接，甚至調(diào)整防火墻的配置以阻止攻擊者的入侵等。入侵檢測技術(shù)（1）基于行為的入侵檢測技術(shù)閾值線超出統(tǒng)計閾值，確定為入侵輸入層隱含層輸出層主機或正常網(wǎng)絡(luò)攻擊1數(shù)據(jù)攻擊nNorm

Profile確定為入侵，但事實上為誤報11.3.3入侵檢測技術(shù)（2）基于知識的入侵檢測技術(shù)①專家系統(tǒng)②模型推理③狀態(tài)轉(zhuǎn)換分析T1T2登錄失敗登錄失敗登錄失敗登錄失敗S1S5S2

S3

S4圖11-11

Petri

網(wǎng)分析一分鐘內(nèi)4

次登錄失敗11.3.3入侵檢測技術(shù)5．檢測方式簡例（1）通過監(jiān)視入侵端口/系統(tǒng)線程判別入侵監(jiān)視入侵端口網(wǎng)絡(luò)上都是通過端口通信的，不同的端口作用不同。使用瀏覽器查看網(wǎng)頁，是通過80端口，在

IRC中聊天是通過6667端口。而類似于NETSPY等特洛伊木馬軟件，則通過7306或者其他端口進行通信，泄露資料。如果用軟件監(jiān)視7306等相應(yīng)端口，就可以監(jiān)視網(wǎng)絡(luò)黑客的入侵。例如NukeNabber軟件可設(shè)定監(jiān)視7306端口，如果有人掃描該端口或試圖進入你的7306端口，就會發(fā)出警告，同時提示攻擊者的地址。11.3.3入侵檢測技術(shù)5．檢測方式簡例（2）通過分析入侵原理確定檢測策略拒絕服務(wù)攻擊（DoS，Denial

of

ServiceAttack）是目前網(wǎng)絡(luò)上比較普遍的入侵種類之一，對于幾種常見的DoS攻擊（其原理參見前面章節(jié)），分析如下。11.3.3入侵檢測技術(shù)5．檢測方式簡例（2）通過分析入侵原理確定檢測策略SYNFlood如果某一地址短時間內(nèi)發(fā)出大量的建立連接的請求且沒有ACK回應(yīng)，則證明此IP被用來做SYN湮沒攻擊（具體的源IP地址往往不能說明任何問題，并且這種方法并不能檢查出所有的SYN湮沒）。Land攻擊偽造IP地址和端口號，并將源地址和端口號設(shè)置成與目的地址及端口相同值，某些路由器設(shè)備及一些操作系統(tǒng)遇到此種情況就會不能正常工作甚至出現(xiàn)死機。檢測，檢查TCP或UDP包的源、目的地址、端口號是否相同即可發(fā)覺。11.3.3入侵檢測技術(shù)5．檢測方式簡例（2）通過分析入侵原理確定檢測策略Ping