【正文】 管理的動態(tài)性，主張通過安全性檢測、漏洞監(jiān)測，自適應(yīng)地填充“安全間隙”，從而提高網(wǎng)絡(luò)系統(tǒng)的安全性。） 18 網(wǎng)絡(luò)的開放性 ? 互聯(lián)機制提供了廣泛的可訪問性 ? ClientServer模式提供了明確的攻擊目標 ? 開放的網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)為入侵提供了線索 ? 用戶的匿名性為攻擊提供了機會 19 技術(shù)的公開性 ? 如果不能集思廣益，自由地發(fā)表對系統(tǒng)的建議，則會增加系統(tǒng)潛在的弱點被忽視的危險，因此 Inter要求對網(wǎng)絡(luò)安全問題進行坦率公開地討論。網(wǎng)絡(luò)安全概述 2 網(wǎng)絡(luò)安全概述 ? 網(wǎng)絡(luò)安全的概念 ? 網(wǎng)絡(luò)安全的內(nèi)容 ? 網(wǎng)絡(luò)安全面臨的問題 ? 網(wǎng)絡(luò)安全的客觀必要性 ? 常見的網(wǎng)絡(luò)信息攻擊模式 ? 網(wǎng)絡(luò)安全保障體系 ? 網(wǎng)絡(luò)安全工作的目的 3 什么是網(wǎng)絡(luò)安全（五要素） ? 可用性 ： 授權(quán)實體有權(quán)訪問數(shù)據(jù) ? 機密性 ： 信息不暴露給未授權(quán)實體或進程 ? 完整性 ： 保證數(shù)據(jù)不被未授權(quán)修改 ? 可控性 ： 控制授權(quán)范圍內(nèi)的信息流向及操作方式 ? 可審查性：對出現(xiàn)的安全問題提供依據(jù)與手段 4 網(wǎng)絡(luò)安全的內(nèi)容 ?物理安全 ?網(wǎng)絡(luò)安全 ?傳輸安全 ?應(yīng)用安全 ?用戶安全 5 網(wǎng)絡(luò)安全面臨的問題 來源 : CSI / FBI Computer Crime Survey, March 1998. 21% 48% 72% 89% 外國政府 競爭對手 黑客 不滿的雇員 6 網(wǎng)絡(luò)安全威脅的來源 （ peration） 未被授權(quán)使用計算機的人； 被授權(quán)使用計算機 ， 但不能訪問某些數(shù)據(jù) 、 程序或資源 ， 它包括： 冒名頂替 :使用別人的用戶名和口令進行操作； 隱蔽用戶 :逃避審計和訪問控制的用戶； : 被授權(quán)使用計算機和訪問系統(tǒng)資源 ， 但濫用職權(quán)者 。 ? 基于上述原則，高水平的網(wǎng)絡(luò)安全資料與工具在 Inter中可自由獲得。完善的網(wǎng)絡(luò)安全體系，必須合理協(xié)調(diào)法律、技術(shù)和管理三種因素，集成防護、監(jiān)控和恢復(fù)三種技術(shù)，力求增強網(wǎng)絡(luò)系統(tǒng)的健壯性與免疫力。 32 網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護體系 （ PDRR ） 隨著信息網(wǎng)絡(luò)的飛速發(fā)展，信息網(wǎng)絡(luò)的安全防護技術(shù)已逐漸成為一個新興的重要技術(shù)領(lǐng)域，并且受到政府、軍隊和全社會的高度重視。信息保障有別于傳統(tǒng)的加密、身份認證、訪問控制、防火墻等技術(shù)，它強調(diào)信息系統(tǒng)整個生命周期的主動防御。 ? 檢測 ( DETECT ) 從監(jiān)視、分析、審計信息網(wǎng)絡(luò)活動的角度，發(fā)現(xiàn)對于信息網(wǎng)絡(luò)的攻擊、破壞活動，提供預(yù)警、實時響應(yīng)、事后分析和系統(tǒng)恢復(fù)等方面的支持，使安全防護從單純的被動防護演進到積極的主動防御 。 42 MAC地址的前三個字節(jié) 制造商 00000C CISCO 0000A2 BAY NETWORKS 0080D3 SHIVA 00AA00 INTEL 02608C 3COM 080009 HEWLETPACKARD 080020 SUN 08005A IBM FFFFFFFFFF 廣播地址 43 地址解析協(xié)議 ? 地址解析協(xié)議 索引 物理位址 IP地址 類型 物理口（接口） 設(shè)備的物理地址 與物理位址對應(yīng)的 IP地址 這一行對應(yīng)入口類型 入口1 入口2 入口N 注：數(shù)值 2表示這個入口是非法的 ， 數(shù)值 3表示這種映像是動態(tài)的 ， 數(shù)值 4表示是靜態(tài)的 （ 如口不改變 ） ， 數(shù)值 1表示不是上述任何一種 。 TCP（ Transport control Protocal）傳輸控制協(xié)議具有重排 IP數(shù)據(jù)包順序和超時確認的功能。 TCP協(xié)議確認收到的 IP數(shù)據(jù)包。 4. IP Body包含的是 TCP分組。 與分組過濾有關(guān)的特性是： 分段示意圖： IP 選項：用于 Firewall中，對付 IP源路由。 TCP宿端口 ：同上 TCP旗標字段（ flag）， 含有 1bit的 ACK bit。它的目的就是拒絕你的服務(wù)訪問，破壞組織的正常運行，最終它會使你的部分 Inter連接和網(wǎng)絡(luò)系統(tǒng)失效。當服務(wù)器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復(fù)發(fā)送偽地址請求的情況下，服務(wù)器資源最終會被耗盡。 60 DDOS原理 61 DDOS原理 ? 從圖可以看出， DDoS攻擊分為 3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。主控端主機的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機上。 第三步，客戶端也返回一個確認報文 ACK給服務(wù)器端，同樣TCP序列號被加一，到此一個 TCP連接完成。 64 SYN Flood的基本 基本解決方法 ? 第一種是縮短 SYN Timeout時間，由于 SYN Flood攻擊的效果取決于服務(wù)器上保持的 SYN半連接數(shù)，這個值 =SYN攻擊的頻度 x SYN Timeout，所以通過縮短從接收到 SYN報文到確定這個報文無效并丟棄改連接的時間，例如設(shè)置為 20秒以下（過低的 SYN Timeout設(shè)置可能會影響客戶的正常訪問），可以成倍的降低服務(wù)器的負荷。下面我們來分析一下這些常用的黑客程序。攻擊方法增加了 Mix和 Targa3。 Stacheldrah中有一個內(nèi)嵌的代理升級模塊，可以自動下載并安裝最新的代理程序。 ? 使用 DDoS檢測工具 ? 當攻擊者想使其攻擊陰謀得逞時，他首先要掃描系統(tǒng)漏洞，目前市面上的一些網(wǎng)絡(luò)入侵檢測系統(tǒng)，可以杜絕攻擊者的掃描行為?？刹扇〉陌踩烙胧┯幸韵聨追N： 及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時安裝系統(tǒng)補丁程序。 在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。 比較好的防御措施就是和你的網(wǎng)絡(luò)服務(wù)提供商協(xié)調(diào)工作，讓他們幫助你實現(xiàn)路由的訪問控制和對帶寬總量的限制。 70 分布式拒絕服務(wù)（ DDoS）攻擊工具分析 TFN2K ? 客戶端 —— 用于通過發(fā)動攻擊的應(yīng)用程序，攻擊者通過它來發(fā)送各種命令。 目標主機 —— 分布式攻擊的目標（主機或網(wǎng)絡(luò)）。主控端向其代理端發(fā)送攻擊指定的目標主機列表。整個 TFN2K網(wǎng)絡(luò)可能使用不同的 TCP、 UDP或ICMP包進行通訊。對目標的攻擊方法包括 TCP/SYN、 UDP、ICMP/PING或 BROADCAST PING (SMURF)數(shù)據(jù)包 flood等。 73 ? ◆ 這些命令數(shù)據(jù)包可能混雜了許多發(fā)送到隨機 IP地址的偽造數(shù)據(jù)包。 ◆ 所有加密數(shù)據(jù)在發(fā)送前都被編碼（ Base 64）成可打印的 ASCII字符。偽造的進程名在編譯時指定，因此每次安裝時都有可能不同。 75 ? TFN2K仍然有弱點。)。)就成了捕獲TFN2K命令數(shù)據(jù)包的特征了 76 ? fork ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ /dev/urandom /dev/random %d.%d.%d.%d sh* ksh* ** ** tfndaemon*** tfnchild*** 77 ? 目前仍沒有能有效防御 TFN2K拒絕服務(wù)攻擊的方法。但只使用應(yīng) 用代理服務(wù)器通常是不切合實際的，因此只能盡可能使用最少的非代理服務(wù)。 78 ? ◆ 禁止不在允許端口列表中的所有 UDP和 TCP包。 ◆ 根據(jù)前面列出的特征字符串掃描所有可執(zhí)行文件。 ◆ 監(jiān)視含有相同數(shù)據(jù)內(nèi)容的連續(xù)數(shù)據(jù)包（有可能混合了 TCP、UDP和 ICMP包）。這些網(wǎng)絡(luò)通訊都可被追蹤。 一般來說，如下的服務(wù)易受到 IP欺騙攻擊： ■任何使用 Sun RPC調(diào)用的配置 ■任何利用 IP地址認證的網(wǎng)絡(luò)服務(wù) ■ MIT的 X Window系統(tǒng) ■ R服務(wù) 81 IP欺騙的原理 ? 假設(shè) B上的客戶運行 rlogin與 A上的 rlogind通信： 1. B發(fā)送帶有 SYN標志的數(shù)據(jù)段通知 A需要建立 TCP連接。 82 ? B SYN A B SYN+ACK A B ACK A 83 IP欺騙攻擊的描述 ? 1. 假設(shè) Z企圖攻擊 A，而 A信任 B，所謂信任指 /etc/$HOME/.rhosts中有相關(guān)設(shè)置。動用了自以為很有成就感的技術(shù)，卻不比人家酒桌上的巧妙提問，攻擊只以成功為終極目標，不在乎手段。 if ((initsockid = socket(...)) 0) { error(can39。 } 85 IP欺騙攻擊的描述 ? for (。 do(newsockid)。首先連向 25端口(SMTP是沒有安全校驗機制的 )，與 1中類似，不過這次需要記錄 A的 ISN，以及 Z到 A的大致的 RTT(round trip time)。 87 IP欺騙攻擊的描述 ? 4. Z向 A發(fā)送帶有 SYN標志的數(shù)據(jù)段請求連接，只是信源 IP改成了 B，注意是針對 TCP513端口(rlogin)。我也是想了又想，還沒來得及看看老外的源代碼，不妥之處有待商榷。然后 Z再次偽裝成 B向 A發(fā)送 ACK，此時發(fā)送的數(shù)據(jù)段帶有 Z預(yù)測的 A的 ISN+1。 90 IP欺騙攻擊的描述 ? Z(B) SYN A B SYN+ACK A Z(B) ACK A Z(B) PSH A ...... 6. IP欺騙攻擊利用了 RPC服務(wù)器僅僅依賴于信源 IP地址進行安全校驗的特性，建議閱讀rlogind的源代碼。否則 Z必須精確地預(yù)見可能從 A發(fā)往 B的信息，以及 A期待來自 B的什么應(yīng)答信息，這要求攻擊者對協(xié)議本身相當熟悉。并且與 A、 B、 Z之間具體的網(wǎng)絡(luò)拓撲有密切關(guān)系，在某些情況下顯然大幅度降低了攻擊難度。那么在 IP欺騙攻擊過程中是否存在 ARP沖突問題。相反，如果 Z修改了自己的 IP，這種 ARP沖突就有可能出現(xiàn)，示具體情況而言。就是如何以第三方身份切斷 A與 B之間的 TCP連接，實際上也是預(yù)測 sequence number的問題。 96 ? 電子欺騙攻擊很少見，但必竟也發(fā)生過。 cisio公司的產(chǎn)品就有這種功能。一個現(xiàn)成的 bug足以讓你取得 root權(quán)限 . 99 ? 其他形式的電子欺騙 電子欺騙還有其他一些形式，諸如 DNS欺騙。 在多數(shù)情況下，實施 DNS欺騙時，入侵者要取得 DNS服務(wù)器的信任并明目張膽地改變主機的 IP地址表，這些變化被寫入到 DNS服務(wù)器的轉(zhuǎn)換表數(shù)據(jù)庫中，因此，當客戶發(fā)出一個查詢請求時，他會等到假的 IP地址，這一地址會處于入侵者的完全控制之下。 應(yīng)用程序無法正常運行。 無法調(diào)入驅(qū)動程序。最好的情況就是用戶在使用軟件過程中沒有遇到到錯誤，而且那些看似微小的錯誤，可能會導(dǎo)致非常嚴重的后果。因此，誰也不可能測試所有的可能性，這樣就有不兼容的可能性存在。 如果計算機系統(tǒng)本身出現(xiàn)了問題，常常會導(dǎo)致注冊表的毀壞。 117 破壞注冊表的途徑 (2) 斷電 在非正常斷電情況下，可能會燒毀主板或者其他硬件設(shè)備。 118 破壞注冊表的途徑 由于注冊表中的數(shù)據(jù)是非常復(fù)雜的（在第 5章中，我們花費了大量的篇幅詳解了注冊表），所以，用戶在手工修改注冊表的時候，經(jīng)常導(dǎo)致注冊表中的內(nèi)容的毀壞。 120 分析問題及恢復(fù) ? 3. 在 MSDOS 狀 態(tài) 下 去 除 及 文 件 的 只 讀、 系 統(tǒng)、 隱 藏 屬 性： ? attrib r h s attrib r h s ? 4. 將 、 兩 文 件 改 名 為、 ： ? rename rename 5. 重 新 啟 動 機 器，