【文章內容簡介】 畢業(yè)設計 (論文 ) 第 13 頁 這些缺陷來進行攻擊。解決這方面的問題，一是教育，教育用戶樹立安全意 識，如注意口令的設置、正確配置設備和服務等二是不斷地升級系統(tǒng)軟件和應用軟件的版本，及時安裝“補丁”軟件。 操控 IP 包 端口欺騙 利用常用服務的端口，如 80、 53 等，避開包過濾防火墻的過濾規(guī)則。 盲 IP 欺騙 改變源 IP 地址進行欺騙。這種 IP 欺騙稱為“盲”欺騙，是因為黑客修改其發(fā)送數據包的源地址后，不能與目標主機進行連接并收到來自目標主機的響應。但是，這種“盲”IP 欺騙往往是黑客能夠事先預計到目標主機可能會做出的響應，從而構成其他攻擊的組成部分。對 IP 欺騙攻擊的防范中，路由器的 正確設置最為關鍵和重要。如果路由器沒有正確設置，對聲稱源地址是本網絡的進網數據包不進行過濾，則容易使 IP 欺騙攻擊得逞。 盲 IP 欺騙可能造成嚴重的后果，基于 IP 源地址欺騙的攻擊可穿過過濾路由器防火墻，并可能獲得受到保護的主機的 root 權限。 IP 操縱小結 針對 以上的 攻擊行為可以采取以下措施 1 檢測 令使用網絡監(jiān)視軟件，例如 log 軟件，監(jiān)視外來的數據包。如果發(fā)現(xiàn)外部接口上通過的數據包，其源地址和目的地址與內部網絡的一致，則可以斷定受到 IP 欺騙攻擊令另一個辦法是比較內部網絡中不同系統(tǒng)的進程統(tǒng)計 日志。如果 IP 欺騙對內部某個系統(tǒng)進行了成功地攻擊，該受到攻擊主機的日志會記錄這樣的訪問，“攻擊主機”的源地址是內部某個主機而在“攻擊主機”上查找日志時，卻沒有這樣的記錄。 2 防治措施 防治“盲” IP 欺騙攻擊的最佳辦法是安裝配置過濾路由器，限制從外部來的進網流量，特別是要過濾掉那些源地址聲稱是內部網絡的進網數據包。不僅如此，過濾路由器還要過濾掉那些聲稱源地址不是本網絡的出網數據包，以防止 IP 欺騙從本網絡發(fā)生。 內部攻擊 北京航空航天大學畢業(yè)設計 (論文 ) 第 14 頁 所謂的“ from the inside”有兩方面的含義一方面可以指是內部人員另一 面是指網絡黑客控制了遠程網絡上某臺主機后的所做所為。 “后門”守護程序 黑客成功入侵了遠程網絡上某臺計算機后 (一般指的是擁有管理員權限，或 root 權限 )，為了達到其進一步訪問或進行其他攻擊的目的，往往在該主機上安裝某些特定的軟件，例如守護程序 deamon。同 C/S 服務模式一樣，守護程序開放該主機上的某個端口，并隨時監(jiān)聽發(fā)送到該端口的來自黑客的命令，允許黑客更進一步的遠程訪問或進行其他的攻擊。 日志修改 在被攻擊的計算機日志等事件記錄裝置上修改黑客非法入侵訪問和攻擊的蹤跡，修改日志文件 是黑客學習的第一件事情，其道理是顯然的。因為，計算機系統(tǒng)的事件一記錄裝置，如日志文件等，就如同一記錄了黑客的“指紋”。黑客攻擊發(fā)生后，日志中的信息就成為緝拿黑客的最主要的線索之一，并且也是將黑客定罪的重要證據。因此，黑客甚至在攻擊發(fā)生之前就應該預計到如何更改日志文件。 隱蔽 如果黑客在被其入侵的計算機上安裝了諸如后門守護程序等為其服務的特殊軟件，往往是該主機一開機后就運行著一個或多個進程。主機的系統(tǒng)管理員使用通用的工具，例如，就可以顯示出當前主機上運行著的所有進程，從而暴露了主機遭到黑客入侵這一事實。這是黑客不愿意看到的。因此，黑客要使用特洛伊化的文件替代系統(tǒng)文件，不顯示在正常情況下應該顯示的信息，監(jiān)聽網絡數據，過濾和記錄敏感信息，如口令和帳號等。黑客必須能夠在某個網絡上成功地控制 一 臺主機，并在該主機上安裝嗅探器，然后在合適的時間取回嗅探器 的記錄信息。 非盲欺騙 這同“盲”欺騙有根本的區(qū)別。因為“盲”欺騙不能夠獲得從被欺騙的目標發(fā)送回來的響應，即黑客不可能與被欺騙目標主機建立真正的連接。而在“非盲欺騙”中黑客使用數據監(jiān)聽等技術獲得一些重要的信息，比如當前客戶與服務器之間包的序列號，而后或 通過拒絕服務攻擊切斷合法客戶端與服務器的連接，或在合法客戶端關機時，利用地址偽裝，序列號預測等方法巧妙的構造數據包接管當前活躍的連接或者建立偽造的連 北京航空航天大學畢業(yè)設計 (論文 ) 第 15 頁 接，以獲取服務器中的敏感信息，或以合法用戶權限遠程執(zhí)行命令。 CGI 攻擊 從 CERT 等安全組織的安全報告分析，近期對 CGI 的黑客攻擊發(fā)生的較為頻繁。針對 CGI 的攻擊，從攻擊所利用的脆弱性、攻擊的目標和所造成的破壞等各方面都有所不同。具體來說大致有，以下兩種類型的 CGI 攻擊。 低級的 CGI 攻擊、 黑客可以獲得系統(tǒng)信息或者口令文件、非法獲得 服務、獲得服務器資源，有時甚至獲得 root 權限。這種情況的 CGI 攻擊發(fā)生的一個重要原因是服務器上運行著不安全的 CGI 腳本。如果是這樣，則可能給黑客查詢本服務器信息提供了方便，例如，可以根據黑客的提交，查詢某個文件是否存在可以給黑客發(fā)送本機的口令文件等第二個重要原因是 d 以 root 方式運行。如果是這樣，那么一旦 d 出現(xiàn)任何形式的漏洞都將是致命的。因為任何漏洞都可使黑客擁有 root 的權限。第三個重要原因是使用了安全性脆弱的口令。應該采取的措施包括①更新軟件②定期進行料安全檢查。 高級的 CGI 攻擊 黑客可以獲得數據庫訪問權獲得用戶的資料、獲得權限，還可以修改頁面。這種情況的攻擊發(fā)生的原因一是服務器的腳本太過陳舊二是腳本編寫不規(guī)范，或者是管理員自己編寫的腳本。這樣的攻擊所造成的損害會很嚴重，因為黑客有權篡改用戶信息，進行非法交易等。另外，黑客能夠修改所造成的影響也比較廣泛。所以，這樣的攻擊對電子商務服務器、域名服務器、搜索引擎、以及政府站點等影響最大。應該采取的措施包括①使用防火墻②定期進行 /CGI 安全檢查。 小結 本章對目前典型的網絡攻擊行為技術特點進行了分析，主要包括、拒絕服 務 DoS、惡意軟件、利用脆弱、操縱包、內部攻擊和 CGI 攻擊，并針對它們的 特點提出了相關的應對方法。從技術上講，攻擊行為檢測系統(tǒng)存在一些 待解決的問題，主要表現(xiàn)在以下幾個方面 ： 1 如何識別“大規(guī)模的組合式、分布式的入侵攻擊”目前還沒有較好的方法和成熟的解決方案。從 Yahoo 等著名的 CGI 攻擊事件中，了解到安全問題日漸突出，攻擊者的水平在不斷地提高，加上日趨成熟多樣的攻擊工具，以及越來越復雜的攻擊手法，使入 北京航空航天大學畢業(yè)設計 (論文 ) 第 16 頁 侵檢測系統(tǒng)必須不斷跟蹤最新的安全技術。 2 網絡入侵檢測系統(tǒng)通過匹配網絡數據包發(fā)現(xiàn)攻擊行為，入侵檢測系統(tǒng)往 往假設攻擊信息是明文傳輸的，因此對信息的改變或重新編碼就可能騙過入侵檢測系統(tǒng)的檢測，因此字符串匹配的方法對于加密過的數據包就顯得無能為力。 3 網絡設備越來越復雜、越來越多樣化就要求入侵檢測系統(tǒng)能有所定制，以 適應更多的環(huán)境的要求。 4 對入侵檢測系統(tǒng)的評價還沒有客觀的標準，標準的不統(tǒng)一使得入侵檢測系統(tǒng)之間不易互聯(lián)。入侵檢測系統(tǒng)是一項新興技術，隨著技術的發(fā)展和對新攻擊識別的增加，入侵檢測系統(tǒng)需要不斷的升級才能保證網絡的安全性。 5 采用不恰當的自動反應同樣會給入侵檢測系統(tǒng)造成風險。入侵檢測系統(tǒng)通常可以與防火 墻結合在一起工作，當入侵檢測系統(tǒng)發(fā)現(xiàn)攻擊行為時，過濾掉所有來自攻擊者的數據包，當一個攻擊者假冒大量不同的 IP 進行模擬攻擊時，入侵檢測系統(tǒng)自動配置防火墻將這些實際上并沒有進行任何攻擊的地址都過濾掉，于是造成新的拒絕服務訪問。 6 對 IDS 自身的攻擊。與其他系統(tǒng)一樣， IDS 本身也存在安全漏洞，若對 IDS 攻擊成功，則導致報警失靈，入侵者在其后的行為將無法被記錄，因此要求系統(tǒng)應該采取多種安全防護手段。 7 隨著網絡的帶寬的不斷增加，如何開發(fā)基于高速網絡的檢測器 （ 事件分析器 ） 仍然存在很多技術上的困難。 3 網絡安全防護實 現(xiàn)策略 影響網絡安全的因素很多，保護網絡安全的技術、手段也很多。一般來說，保護網絡安全的主要技術有防火墻技術、入侵檢測技術、加密技術、安全評估技術、防病毒技術、身份認證技術等等。為了保護網絡系統(tǒng)的安全，必須結合網絡的具體需求，將多種安全措施進行整合，建立一個立體的、完整的、多層次的網絡安全防御體系，這樣一個全方位的網絡安全解決方案，可以防止安全風險各個方面的問題。 網絡安全的目標 那么安全的目的是什么？毫無疑問：保障用戶業(yè)務的順利進行，滿足用戶的業(yè)務需求是網絡安全的首要任務。離開這一主題，奢談安全技術 和產品無異于南轅北轍。在這一前提下，我們必須清楚的是：不同用戶的業(yè)務所處的安全環(huán)境各有差異，其對安全的 北京航空航天大學畢業(yè)設計 (論文 ) 第 17 頁 需求和側重是各不相同的。比如證券、保險等金融行業(yè)較側重于信息的存取控制能力，而信息發(fā)布網站則更側重于服務保證能力；正如不能用一把鑰匙去開所有的鎖一樣，沒有任何一個單一的安全工具或方案能夠滿足所有用戶的所有安全要求。而安全的敏感性也決定了每一個用戶所配置的安全方案必須是獨一無二的。 因此說，安全必須個性化定制，通用的方案并不存在。 網絡安全要實現(xiàn)什么樣的目標呢？我們可以用三句話來描述： 1) 網絡訪問主體能夠 且只能夠訪問他被授權訪問的網絡資源； 2) 通過不當手段得到的信息是不可被理解的； 3) 被破壞的網絡資源應該能夠被及時恢復。 對第一句話，我們強調網絡訪問主體能夠訪問他被授權訪問的資源，因為這的確是一個很現(xiàn)實的安全問題。互聯(lián)網上有很大一部分攻擊行為就是拒絕服務攻擊 (Denial of Service)，使原本應該對外提供服務的網絡資源被惡意淹沒和終止。這句話的另一個隱含意義還有：網絡訪問主體對他的訪問行為不能抵賴 。 第二句話的含義就是指網絡中存儲和流動的信息不是以明文的形式存在，通過網絡漏洞或其它不當手段 得到的信息是不能被理解或至少在該信息失效前是不被理解的。 第三句話的含義就是網絡上的資源應有備份系統(tǒng)或有抗破壞能力，比如系統(tǒng)校驗恢復。 用更通俗的方式表達就是安全要實現(xiàn)：進不去、竊不走、看不懂、改不了、打不亂、賴不了、跑不掉 。 防火墻技術 防火墻是位于兩個（或多個）網絡間，通過執(zhí)行訪問控制策略來達到網絡安全的一個或一組軟、硬件系統(tǒng)，它隔離了內部和外部網絡，是內外網絡通訊的唯一途徑。它能根據制定的訪問規(guī)則對經過它的信息流進行監(jiān)控和審查，過濾掉任何不符合控制規(guī)則的信息，以保護內部網絡不受外界的非法訪問和 攻擊。它滿足以下條件： 1) 內部和外部之間的所有網絡數據流必須經過防火墻； 2) 只有符合安全政策的數據流才能通過防火墻； 3) 防火墻自身應對滲透（ peneration）免疫 ； 防火墻功能和安全策略 北京航空航天大學畢業(yè)設計 (論文 ) 第 18 頁 對防火墻的兩大需求是保障內部網的安全和保證內部網同外部網的連通。防火墻的主要功能有： 監(jiān)視控制信息：防火墻在一個公司內部網絡和外部網絡間建立一個檢查點。這種實現(xiàn)要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立，防火墻設備就可以監(jiān)視，過濾和檢查所有進來和出去的流量。 隔離內外網絡，保護內 部網絡：這是防火墻的最基本功能，它通過隔離內、外部網絡來確保內部網絡的安全。也限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。 強化網絡安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件 (如口令、加密、身份認證、審計等 )配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。 有效記錄和審計內、外部網絡之間的連接和使用：防火墻可以對內、外部網絡存取和訪問進行監(jiān)控審計。如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并進行日志記錄，同時也能提供網絡使用情況的 統(tǒng)計數據。當發(fā)生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監(jiān)測和攻擊的詳細信息。 集中安全保護和管理：將內部網絡中的所有或大部分需要改動的軟件以及附加的安全軟件集中放在防火墻系統(tǒng)中，而不是分散到每個主機中，這樣防火墻的保護就相對集中和便宜一些。 網絡安全策略是防火墻系統(tǒng)的最重要組成部分，它決定了受保護網絡的安全性和易用性。對防火墻而言有兩種層次的安全策略： （ 1）服務訪問策略。服務訪問策略是高層的策略，明確定義了受保護網絡允許和拒絕的網絡服務及其使用范圍，以及安全措施（如認證等）。兩種典型的服務訪問策略是：不允許外部網絡訪問內部網絡，但允許內部網絡訪問外部網絡；允許外部網絡訪問部分內部網絡服務 。 （ 2）防火墻設計