【正文】 可能是由于軟件的弱點(diǎn)或者對(duì)程序的錯(cuò)誤配置造成的。 典型的拒絕服務(wù)攻擊有如下兩種形式：資源耗盡和資源過(guò)載 。 ? 緩沖區(qū)溢出的危害很大 : – 可以植入并運(yùn)行攻擊代碼 – 比大部分 DoS攻擊危害嚴(yán)重 系統(tǒng)脆弱性分析 ? 在進(jìn)程的地址空間安排適當(dāng)?shù)拇a ? 通過(guò)適當(dāng)?shù)某跏蓟拇嫫骱蛢?nèi)存，跳轉(zhuǎn)到以上代碼段執(zhí)行 ? 利用進(jìn)程中存在的代碼 – 傳遞一個(gè)適當(dāng)?shù)膮?shù) – 如程序中有 exec(arg)，只要把 arg指向 “ /bin/sh”就可以了 ? 植入法 – 把指令序列放到緩沖區(qū)中 – 堆、棧、數(shù)據(jù)段都可以存放攻擊代碼，最常見(jiàn)的是利用棧 系統(tǒng)脆弱性分析 拒絕服務(wù)攻擊 軟件弱點(diǎn)是包含在操作系統(tǒng)或應(yīng)用程序中與安全相關(guān)的系統(tǒng)缺陷，這些缺陷大多是由于錯(cuò)誤的程序編制，粗心的源代碼審核，無(wú)心的副效應(yīng)或一些不適當(dāng)?shù)慕壎ㄋ斐傻摹? ? 有時(shí)并不引發(fā)溢出也能進(jìn)行攻擊。 系統(tǒng)脆弱性分析 ? 類(lèi)似函數(shù)有 strcat、 sprintf、 vsprintf、 gets、scanf等 ? 一般溢出會(huì)造成程序讀 /寫(xiě)或執(zhí)行非法內(nèi)存的數(shù)據(jù)，引發(fā) segmentation fault異常退出 ? 如果在一個(gè) suid程序中特意構(gòu)造內(nèi)容，可以有目的的執(zhí)行程序，如 /bin/sh，得到 root權(quán)限。 strcpy(buf,str)。 ?最早的攻擊 1988年 UNIX下的 Morris worm ?最近的攻擊 –Codered 利用 IIS漏洞 –SQL Server Worm 利用 SQL Server漏洞 –Blaster 利用 RPC漏洞 –Sasser利用 LSASS漏洞 系統(tǒng)脆弱性分析 ? 向緩沖區(qū)寫(xiě)入超過(guò)緩沖區(qū)長(zhǎng)度的內(nèi)容，造成緩沖區(qū)溢出，破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令，達(dá)到攻擊的目的。 821 IIS安全 問(wèn)題 Windows的 IIS服務(wù)器存在著很多漏洞，如拒絕服務(wù)、泄露信息、泄露源代碼、獲得更多權(quán)限、目錄遍歷、執(zhí)行任意命令、緩沖區(qū)溢出執(zhí)行任意代碼等。 漏洞掃描概述 4 漏洞掃描的必要性 ?幫助網(wǎng)管人員了解網(wǎng)絡(luò)安全狀況 ?對(duì)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估的依據(jù) ?安全配置的第一步 ?向領(lǐng)導(dǎo)上報(bào)數(shù)據(jù)依據(jù) 82 系統(tǒng)脆弱性分析 信息系統(tǒng)存在 著 許多漏洞 ，如 IIS的安全性 、 CGI的安全性、 DNS與 FTP協(xié)議的安全性、緩沖區(qū)溢出問(wèn)題、拒絕服務(wù)和后門(mén)。國(guó)內(nèi)乃至全世界的網(wǎng)絡(luò)安全形勢(shì)非常不容樂(lè)觀。 目前，因特網(wǎng)上已有 3萬(wàn)多個(gè)黑客站點(diǎn)，而且黑客技術(shù)不斷創(chuàng)新，基本的攻擊手法已多達(dá) 800多種。 管理者需要制定一個(gè)收集、分析以及抽取信息的策略，以便獲取有用的信息。 通常收集安全信息的途徑包括：新聞組、郵件列表、 Web站點(diǎn)、 FTP文檔。 每當(dāng)有新的漏洞出現(xiàn)，黑客和安全服務(wù)商組織的成員通常會(huì)警告安全組織機(jī)構(gòu)；破譯者也許不會(huì)警告任何官方組織，只是在組織內(nèi)部發(fā)布消息。 漏洞掃描概述 2 漏洞的發(fā)現(xiàn) 一個(gè)漏洞并不是自己突然出現(xiàn)的，必須有人發(fā)現(xiàn)它。 1 漏洞的概念 信息安全的 “ 木桶理論 ” 對(duì)一個(gè)信息系統(tǒng)來(lái)說(shuō)，它的安全性不在于它是否采用了最新的加密算法或最先進(jìn)的設(shè)備，而是由系統(tǒng)本身最薄弱之處，即漏洞所決定的。一般認(rèn)為，漏洞是指硬件、軟件或策略上存在的的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問(wèn)、控制系統(tǒng)。 課程小結(jié) ?防火墻章節(jié)重要在防火墻的功能高級(jí)應(yīng)用 ?與管理維護(hù)部署 ， 重點(diǎn)突出了日常運(yùn)維中 的各種常見(jiàn)問(wèn)題總結(jié)與注意要點(diǎn) 。 ?規(guī)則策略應(yīng)該定期進(jìn)行必要的配置調(diào)整完善。 ?對(duì)防火墻性能的測(cè)試指標(biāo)主要有 ? 吞吐量 ? 延遲 ? 幀丟失率 防火墻－防火墻評(píng)測(cè)指標(biāo) 防火墻評(píng)測(cè)指標(biāo) (2) ?對(duì)防火墻的功能測(cè)試通常包含 ? 身份鑒別 ? 訪問(wèn)控制策略及功能 ? 密碼支持 ? 審計(jì) ? 管理 ? 對(duì)安全功能自身的保護(hù) 防火墻的日常運(yùn)維管理 ?定期升級(jí)系統(tǒng)配置，關(guān)注廠商升級(jí)包。 ?單向防火墻 （ 又叫網(wǎng)絡(luò)二極管 ） 將作為一種產(chǎn)品門(mén)類(lèi)而出現(xiàn) ； ?利用防火墻建立專用網(wǎng) (VPN)是較長(zhǎng)一段時(shí)間的用戶使用的主流 ， IP的加密需求越來(lái)越強(qiáng) ， 安全協(xié)議的開(kāi)發(fā)是一大熱點(diǎn)； ?對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和告警將成為防火墻的重要功能； ?安全管理工具不斷完善 ， 特別是可疑活動(dòng)的日志分析工具等將成為防火墻產(chǎn)品中的一部分 。 ISP的網(wǎng)絡(luò) ISP的網(wǎng)絡(luò) ISP的網(wǎng)絡(luò) 內(nèi)網(wǎng) 以太網(wǎng)通道功能 極大地節(jié)省企業(yè)租用網(wǎng)絡(luò)線路和帶寬的投資 1000M 2022M 聚合鏈路 Port 1 Port 2 Port 3 Port n 幀分發(fā)器 發(fā)送隊(duì)列 Higherlayer Protocols Port 1 Port 2 Port 3 Port n 幀接收器 接收隊(duì)列 Higherlayer Protocols …… …… System A System B 實(shí)現(xiàn)鏈路備份，單條鏈路故障不影響應(yīng)用的正常運(yùn)行 網(wǎng)絡(luò)設(shè)備通過(guò)兩個(gè)或多個(gè)端口并行傳輸數(shù)據(jù)以提供更高的帶寬 網(wǎng)絡(luò)適應(yīng)性－虛擬防火墻 ? 建立有自己的地址簿、策略和管理系統(tǒng)的虛擬防火墻 ? 工作原理 : －根據(jù) IP地址、物理接口或 VLAN標(biāo)記將流量路由到 VSYS － VSYS可以支持多個(gè)客戶或域而不需要共享策略 －可以獨(dú)立進(jìn)行管理以便于分工 ? 優(yōu)點(diǎn) : －簡(jiǎn)化管理 －通過(guò)對(duì)網(wǎng)絡(luò)進(jìn)行分段來(lái)提高安全性 －無(wú)需部署額外的硬件，從而降低總擁有成本 Vsys 1 Vsys 2 Vsys 3 VLAN 標(biāo)記 IP 地址 物理 接口 內(nèi)網(wǎng) 2/專網(wǎng) 2 網(wǎng)絡(luò)適應(yīng)性－策略路由 ?當(dāng)防火墻同一接口有多個(gè)路由網(wǎng)關(guān)，可以根據(jù)源 IP、端口、協(xié)議來(lái)進(jìn)行網(wǎng)絡(luò)流量分流，防止網(wǎng)絡(luò)擁塞，提高網(wǎng)絡(luò)利用率 電信網(wǎng) 教育網(wǎng) 內(nèi)部專網(wǎng) 內(nèi)網(wǎng) 1/專網(wǎng) 1 通往電信網(wǎng)的出口 通往教育網(wǎng)的出口 Inter 應(yīng)用適應(yīng)性：服務(wù)器負(fù)載均衡 Web Server A Inter 分支機(jī)構(gòu) 遠(yuǎn)程用戶 Intra Web Server C Web Server B Inter DMZ ?Email ?Ftp ?HTTP 財(cái)務(wù)部 市場(chǎng)部 研發(fā)部 Router 來(lái)自內(nèi)部的攻擊 來(lái)自外部的攻擊 告警 ! 攻擊次數(shù) 比率(%) 源地址 目的地址 攻擊方法 20 1307 1921683270 1921683212 Port scan 內(nèi)置入侵檢測(cè)系統(tǒng) 和入侵檢測(cè)產(chǎn)品聯(lián)動(dòng)的工作方式 DMZ EMail File Transfer HTTP Intra 企業(yè)網(wǎng)絡(luò) 生產(chǎn)部 工程部 市場(chǎng)部 人事部 路由 Inter 中繼 外部攻擊 商務(wù)伙伴 警告 ! 記錄進(jìn)攻 , 發(fā)送消息 , 終止連接 外部攻擊 中止連接 重新配置 防火墻以便 阻斷攻擊者 郵件等多種方式 通知管理員 VPN 設(shè)備容易被攻擊 例如： denial of service （ DOS） 需要在防火墻上開(kāi)通 VPN流量的通道 VPN流量的安全性得不到保證 VPN Inter Firewall Inter VPN Firewall Inter VPN Firewall Inter 不同種類(lèi)的 VPN/Firewall 結(jié)構(gòu) VPN 設(shè)備容易被攻擊 例如： denial of service （ DOS） 需要在防火墻上開(kāi)通 VPN流量的通道 VPN流量的安全性得不到保證 VPN Inter Firewall Inter VPN Firewall Inter VPN Firewall Inter 不同種類(lèi)的 VPN/Firewall 結(jié)構(gòu) 只有 VPN/firewall集成的解決方案 才能實(shí)現(xiàn)完全的訪問(wèn)控制 和全局一致的安全策略 安全 =最少服務(wù)最小權(quán)限 ?公理：所有的程序都有缺陷（摩菲定理） ?大程序定律：大程序的缺陷甚至比它包含的內(nèi)容還多 ?推理：一個(gè)安全相關(guān)程序有安全性缺陷 ?定理：只要不運(yùn)行這個(gè)程序，那么這個(gè)程序有缺陷，也無(wú)關(guān)緊要 ?推理：只要不運(yùn)行這