【文章內(nèi)容簡(jiǎn)介】 DoS攻擊并不利用軟件的缺陷，而是利用實(shí)施特定協(xié)議的缺陷。這些攻擊會(huì)中斷計(jì)算平臺(tái)和網(wǎng)絡(luò)設(shè)備的運(yùn)行，使特定的網(wǎng)絡(luò)端口、應(yīng)用程序（如 SMTP代理）和操作系統(tǒng)內(nèi)核超載。這些攻擊的例子有TCP SYN淹沒(méi)、 ICMP炸彈、電子郵件垃圾、 Web欺騙、域名服務(wù)（ Domain Name System,DNS）攔劫等。保持計(jì)算平臺(tái)和網(wǎng)絡(luò)設(shè)備的及時(shí)更新能避免大多數(shù)這些攻擊。防止有一些攻擊需要諸如網(wǎng)絡(luò)防火墻這類網(wǎng)絡(luò)過(guò)濾系統(tǒng)。 7. DNS欺騙 域名系統(tǒng)（ DNS）是一個(gè)分布式數(shù)據(jù)庫(kù)，用于TCP/IP應(yīng)用中，映射主機(jī)名和 IP地址，以及提供電子郵件路由信息。如果 Inter地址值到域名的映射綁定過(guò)程被破壞，域名就不再是可信的。這些易破壞的點(diǎn)是訛用的發(fā)送者、訛用的接收者、訛用的中介，以及服務(wù)提供者的攻擊。例如，假如一個(gè)攻擊者擁有自己的 DNS服務(wù)器，或者破壞一個(gè) DNS服務(wù)器，并加一個(gè)含有受害者 .rhosts文件的主機(jī)關(guān)系，攻擊者就很容易登錄和訪問(wèn)受害者的主機(jī)。 對(duì) DNS攻擊的保護(hù)措施包括網(wǎng)絡(luò)防火墻和過(guò)程方法。網(wǎng)絡(luò)防火墻安全機(jī)制依靠雙 DNS服務(wù)器，一個(gè)用于企業(yè)網(wǎng)絡(luò)的內(nèi)部，另一個(gè)用于外部，即對(duì)外公開的部分。這是為了限制攻擊者了解內(nèi)部網(wǎng)絡(luò)主機(jī)的 IP地址，從而加固內(nèi)部 DNS服務(wù)。 Inter工程任務(wù)組（ Inter Engineering Task Force,IETF）正致力于標(biāo)準(zhǔn)安全機(jī)制工作以保護(hù) DNS。所謂反對(duì)這些攻擊的過(guò)程方法是對(duì)關(guān)鍵的安全決定不依賴于 DNS。 8. 源路由 通常 IP路由是動(dòng)態(tài)的，每個(gè)路由器決定將數(shù)據(jù)報(bào)發(fā)往下面哪一個(gè)站。但 IP的路由也可事先由發(fā)送者來(lái)確定，稱源路由。嚴(yán)格的源路由依賴于發(fā)送者提供確切的通路， IP數(shù)據(jù)報(bào)必須按此通路走。松散的源路由依賴于發(fā)送者提供一張最小的 IP地址表，數(shù)據(jù)報(bào)必須按該表的規(guī)定通過(guò)。攻擊者首先使受害者可信主機(jī)不工作，假裝該主機(jī)的 IP地址，然后使用源路由控制路由到攻擊者主機(jī)。受害者的目標(biāo)主機(jī)認(rèn)為分組來(lái)自受害者的可信主機(jī)。源路由攻擊的保護(hù)措施包括網(wǎng)絡(luò)防火墻和路由屏幕。路由器和防火墻能攔阻路由分組進(jìn)入企業(yè)網(wǎng)絡(luò)。 9. 內(nèi)部威脅 內(nèi)部威脅包括前面提到的由內(nèi)部人員作惡或犯罪的威脅。大多數(shù)計(jì)算機(jī)安全統(tǒng)計(jì)表明， 70%~80%的計(jì)算機(jī)欺騙來(lái)自內(nèi)部。這些內(nèi)部人員通常有反對(duì)公司的動(dòng)機(jī)，能對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)進(jìn)行直接物理訪問(wèn)，以及熟悉資源訪問(wèn)控制。在應(yīng)用層的主要威脅是被授權(quán)的人員濫用和誤用授權(quán)。網(wǎng)絡(luò)層的威脅是由于能對(duì) LAN進(jìn)行物理訪問(wèn)，使內(nèi)部人員能見(jiàn)到通過(guò)網(wǎng)絡(luò)的敏感數(shù)據(jù)。 針對(duì)內(nèi)部威脅的防護(hù)應(yīng)運(yùn)用一些基本的安全概念：責(zé)任分開、最小特權(quán)、對(duì)個(gè)體的可審性。責(zé)任分開是將關(guān)鍵功能分成若干步，由不同的個(gè)體承擔(dān)，如財(cái)務(wù)處理的批準(zhǔn)、審計(jì)、分接頭布線的批準(zhǔn)等。最小特權(quán)原則是限制用戶訪問(wèn)的資源，只限于工作必需的資源。這些資源的訪問(wèn)模式可以包括文件訪問(wèn)（讀、寫、執(zhí)行、刪除）或處理能力（系統(tǒng)上生成或刪除處理進(jìn)程的能力）。個(gè)體的可審性是保持各個(gè)體對(duì)其行為負(fù)責(zé)?？蓪徯酝ǔＪ怯上到y(tǒng)的用戶標(biāo)識(shí)和鑒別以及跟蹤用戶在系統(tǒng)中的行為來(lái)完成。 當(dāng)前安全體系結(jié)構(gòu)的能力水平應(yīng)從安全成熟度模型的 3個(gè)方面進(jìn)行評(píng)估，即對(duì)計(jì)劃、布局和配置、運(yùn)行過(guò)程的評(píng)估。 安全評(píng)估方法的第 1步是發(fā)現(xiàn)階段，所有有關(guān)安全體系結(jié)構(gòu)適用的文本都必須檢查，包括安全策略、標(biāo)準(zhǔn)、指南，信息等級(jí)分類和訪問(wèn)控制計(jì)劃，以及應(yīng)用安全需求。全部基礎(chǔ)設(shè)施安全設(shè)計(jì)也須檢查，包括網(wǎng)絡(luò)劃分設(shè)計(jì)，防火墻規(guī)則集，入侵檢測(cè)配置；平臺(tái)加固標(biāo)準(zhǔn)、網(wǎng)絡(luò)和應(yīng)用服務(wù)器配置。 安全評(píng)估方法 安全評(píng)估過(guò)程 評(píng)估的第 2步是人工檢查階段，將文本描述的體系結(jié)構(gòu)與實(shí)際的結(jié)構(gòu)進(jìn)行比較，找出其差別。可以采用手工的方法，也可采用自動(dòng)的方法。使用網(wǎng)絡(luò)和平臺(tái)發(fā)現(xiàn)工具，在網(wǎng)絡(luò)內(nèi)部執(zhí)行，可表示出所有的網(wǎng)絡(luò)通路以及主機(jī)操作系統(tǒng)類型和版本號(hào)。NetSleuth工具是一個(gè) IP可達(dá)性分析器，能提供到網(wǎng)絡(luò)端口級(jí)的情況。 QUESO和 NMAP這些工具具有對(duì)主機(jī)全部端口掃描的能力，并能識(shí)別設(shè)備的類型和軟件版本。 評(píng)估的第 3步是漏洞測(cè)試階段。這是一個(gè)系統(tǒng)的檢查，以決定安全方法的適用、標(biāo)識(shí)安全的差別、評(píng)價(jià)現(xiàn)有的和計(jì)劃的保護(hù)措施的有效性。漏洞測(cè)試階段又可分成 3步。 第 1步包括網(wǎng)絡(luò)、平臺(tái)和應(yīng)用漏洞測(cè)試。網(wǎng)絡(luò)漏洞測(cè)試的目標(biāo)是從攻擊者的角度檢查系統(tǒng)。可以從一個(gè)組織的 Intra內(nèi)，也可以從 Inter的外部，或者一個(gè) Extra合作伙伴進(jìn)入組織。用于網(wǎng)絡(luò)漏洞測(cè)試的工具通常是多種商業(yè)化的工具（例如 ISS掃描器、 Cisco的 Netsonar）以及開放給公共使用的工具（例如 Nessus和 NMAP）。這些測(cè)試工具都以相同的方式工作。首先對(duì)給出的網(wǎng)絡(luò)組件（例如防火墻、路由器、 VPN網(wǎng)關(guān)、平臺(tái)）的所有網(wǎng)絡(luò)端口進(jìn)行掃描。一旦檢測(cè)到一個(gè)開啟的端口，就使用已知的各種方法攻擊這端口（例如在 Microsoft 、Kerberos、 SSHdaemon和 Sun Solstice AdminSuite Daemon的緩沖器溢出）。大部分商業(yè)產(chǎn)品能生成一個(gè)詳細(xì)的報(bào)告，根據(jù)攻擊產(chǎn)生的危害，按風(fēng)險(xiǎn)級(jí)別列出分類的漏洞。 漏洞測(cè)試的第 2步是平臺(tái)掃描，又稱系統(tǒng)掃描。平臺(tái)掃描驗(yàn)證系統(tǒng)配置是否遵守給定的安全策略。此外，它還檢測(cè)任何安全漏洞和配置錯(cuò)誤（例如不安全的文件保護(hù) —— 注冊(cè)和配置目錄）以及可利用的網(wǎng)絡(luò)服務(wù)（例如 HTTP、 FTP、 DNS、 SMTP等）。一旦平臺(tái)的安全加固已經(jīng)構(gòu)建，系統(tǒng)掃描將構(gòu)成基礎(chǔ)，它定時(shí)地檢測(cè)任何重要的變化（例如主頁(yè)更換、Web站點(diǎn)受損）。 漏洞測(cè)試的第 3步是應(yīng)用掃描。應(yīng)用掃描工具不像網(wǎng)絡(luò)或平臺(tái)工具那樣是自動(dòng)的，因此，它是一個(gè)手動(dòng)的處理過(guò)程。其理念是模仿攻擊者成為授權(quán)用戶是如何誤用這應(yīng)用。 安全評(píng)估的最后 1步是認(rèn)證安全體系結(jié)構(gòu)的處理過(guò)程部分。包括自動(dòng)的報(bào)警設(shè)施以及負(fù)責(zé)配置所有安全體系結(jié)構(gòu)組件（如防火墻、 IDS、 VPN等）的人。安全控制出現(xiàn)的問(wèn)題最多的是人為的差錯(cuò)。例如，引起防火墻不能安全運(yùn)行的主要原因是配置的錯(cuò)誤以及不好的變更管理過(guò)程，如下面一些情況： ①有一個(gè)防火墻管理員在深夜接到一個(gè)緊急電話，聲稱由于網(wǎng)絡(luò)的問(wèn)題使應(yīng)用出錯(cuò)。②管理員取消管理集對(duì)分組的限制，觀察是否是防火墻阻斷了這個(gè)分組。③應(yīng)用開始正常工作，管理員回去睡覺(jué)，但忘了防火墻管理集是打開著的。④之后企業(yè)網(wǎng)絡(luò)被入侵，因?yàn)榉阑饓Σ⒉粓?zhí)行任何訪問(wèn)控制。 在漏洞分析測(cè)試期間，安全體系結(jié)構(gòu)監(jiān)控和報(bào)警設(shè)施應(yīng)在最忙的狀態(tài)。測(cè)試可以事先通知，允許凈化安全日志、分配合適的磁盤空間。測(cè)試也可以事先不通知，可以測(cè)量安全支持人員的反應(yīng)時(shí)間。測(cè)量Inter服務(wù)提供者的反應(yīng)時(shí)間是有用的，特別是他們負(fù)責(zé)管理 Inter防火墻的情況。 將上面 5個(gè)漏洞分析測(cè)試階段的結(jié)果匯總、分析，可得出總的風(fēng)險(xiǎn)分析文本，從 5個(gè)階段中產(chǎn)生的信息是覆蓋的。很多自動(dòng)工具廠商有內(nèi)置的報(bào)告產(chǎn)生器，根據(jù)可能引起危害的漏洞進(jìn)行分類。風(fēng)險(xiǎn)分析信息必須應(yīng)用到經(jīng)營(yíng)業(yè)務(wù)，轉(zhuǎn)而成為經(jīng)營(yíng)業(yè)務(wù)影響的文本。很多安全評(píng)估報(bào)告沒(méi)有將風(fēng)險(xiǎn)分析反饋到對(duì)經(jīng)營(yíng)業(yè)務(wù)的影響，安全評(píng)估的價(jià)值就很小。圖 3個(gè)方面的安全評(píng)估階段。 圖 安全評(píng)估階段 由于 Inter協(xié)議 TCP/IP的實(shí)施沒(méi)有任何內(nèi)置的安全機(jī)制，因此大部分基于網(wǎng)絡(luò)的應(yīng)用也是不安全的。網(wǎng)絡(luò)安全評(píng)估的目標(biāo)是保證所有可能的網(wǎng)絡(luò)安全漏洞是關(guān)閉的。多數(shù)網(wǎng)絡(luò)安全評(píng)估是在公共訪問(wèn)的機(jī)器上，從 Inter上的一個(gè) IP地址來(lái)執(zhí)行的，諸如Email服務(wù)器、域名服務(wù)器（ DNS）、 Web服務(wù)器、FTP和 VPN網(wǎng)關(guān)等。另一種不同的網(wǎng)絡(luò)評(píng)估實(shí)施是給出網(wǎng)絡(luò)拓?fù)?、防火墻?guī)則集和公共可用的服務(wù)器及其類型的清單。 網(wǎng)絡(luò)安全評(píng)估 網(wǎng)絡(luò)評(píng)估的第 1步是了解網(wǎng)絡(luò)的拓?fù)?。假如防火墻在阻斷跟蹤路由分組，這就比較復(fù)雜，因?yàn)楦櫬酚善魇怯脕?lái)繪制網(wǎng)絡(luò)拓?fù)涞摹? 第 2步是獲取公共訪問(wèn)機(jī)器的名字和 IP地址，這是比較容易完成的。只要使用 DNS并在 ARIN（ American Registry for Inter Number）試注冊(cè)所有的公共地址。 最后 1步是對(duì)全部可達(dá)主機(jī)做端口掃描的處理。端口是用于 TCP/IP和 UDP網(wǎng)絡(luò)中將一個(gè)端口標(biāo)識(shí)到一個(gè)邏輯連接的術(shù)語(yǔ)。端口號(hào)標(biāo)識(shí)端口的類型，例如 80號(hào)端口專