【正文】 ? 傳輸安全：數(shù)據(jù)保密，內(nèi)容完整； ? 訪問(wèn)安全：身份認(rèn)證，訪問(wèn)控制； ? 運(yùn)行安全：基礎(chǔ)設(shè)施的可靠性，安全監(jiān)測(cè)。 ? 端系統(tǒng)訪問(wèn)控制 ? 自主訪問(wèn)控制 ? 強(qiáng)制訪問(wèn)控制 ? 基于角色的訪問(wèn)控制政策 ? 網(wǎng)絡(luò)的訪問(wèn)控制：防火墻技術(shù) 構(gòu)建安全的網(wǎng)絡(luò) 構(gòu)建安全的網(wǎng)絡(luò) ? 明確安全需求 ? 制定安全政策 ? 在邊界建立符合安全政策的防火墻體系 ? 劃分內(nèi)部的安全政策域 ? 對(duì)特定的主機(jī)節(jié)點(diǎn)進(jìn)行加固 ? 使用合理的訪問(wèn)控制政策、鑒別機(jī)制和數(shù)據(jù)安全體制 ? 建立有效的可承受的監(jiān)測(cè)體制 明確安全需求 ? 不同的網(wǎng)絡(luò)安全需求是不同的 ? 安全需求是建立安全政策的基礎(chǔ) ? 例如校園網(wǎng)可以有： ? 保證網(wǎng)絡(luò)的可用：路由器不癱瘓、郵件發(fā)送正常等等 ? 保證網(wǎng)絡(luò)用戶使用的可管理 ? 防止出現(xiàn)異常的流量導(dǎo)致異常的費(fèi)用 ? 防止對(duì)核心服務(wù)器的攻擊，以保護(hù)學(xué)校的聲望 ? 對(duì)學(xué)校某學(xué)生的機(jī)器不特別關(guān)心，除非他報(bào)案 制定安全政策 ? 根據(jù)安全需求制定安全政策 ? 安全政策可以是形式化的，也可以是口語(yǔ)化的 ? 安全政策表示的是什么是允許的什么是不允許的 ? 例如 (可以不用書面定義，可以包括所采用的技術(shù)手段的種類 )： ? 在邊界使用防火墻，允許內(nèi)部注冊(cè)用戶的對(duì)外訪問(wèn)，禁止隨意的對(duì)內(nèi)部訪問(wèn)等 ? 內(nèi)部開(kāi)發(fā)網(wǎng)段使用 SSH作為數(shù)據(jù)安全手段 ? 鑒別采用口令認(rèn)證的方式 在邊界建立符合安全政策的防火墻體系 Inter 路由器 防火墻 WWW、 SMTP Proxy 內(nèi)部用戶 DMZ 劃分內(nèi)部的安全政策域 ? 例如某公司可以劃為：用戶上網(wǎng)域、服務(wù)器域、開(kāi)發(fā)域等 Inter 路由器 WWW、 SMTP 內(nèi)部開(kāi)發(fā)區(qū) 服務(wù)器域 (DMZ) 用戶上網(wǎng)區(qū) 服務(wù)器 開(kāi)發(fā) 服務(wù)器 禁止 開(kāi)發(fā) 禁止 (允許 FTP) 對(duì)特定的主機(jī)節(jié)點(diǎn)進(jìn)行加固 ? 對(duì)特殊位置的主機(jī)必須進(jìn)行加固 ? 如上例 ? WWW服務(wù)器和 Mail服務(wù)器 ? 對(duì)于內(nèi)部開(kāi)發(fā)服務(wù)器也需要加固 ? 可以制定一定的制度，要求內(nèi)部員工也對(duì)各自的主機(jī)進(jìn)行加固 使用合理的訪問(wèn)控制、鑒別機(jī)制和數(shù)據(jù)安全體制 ? 建立授權(quán)訪問(wèn)控制的政策，例如：哪些人可以訪問(wèn)哪些信息、權(quán)限如何等 ? 選擇內(nèi)部或外部使用的鑒別機(jī)制，例如口令機(jī)制、證書、 LDAP、 NIS ? 選擇使用或不使用數(shù)據(jù)安全體制，使用哪種數(shù)據(jù)安全體制，例如 CA、 KDC。Trojan) ? 蠕蟲、病毒 網(wǎng)絡(luò)入侵的步驟 ? (簡(jiǎn)單服務(wù)失效攻擊 ) ? 獲取目標(biāo)系統(tǒng)信息 ? 從遠(yuǎn)程獲取系統(tǒng)的部分權(quán)利 ? 從遠(yuǎn)程獲取系統(tǒng)的特權(quán) ? 清除痕跡 ? 留后門 ? 破壞系統(tǒng) 常見(jiàn)網(wǎng)絡(luò)攻擊 －－ DoS ? 消耗有限資源 ? 網(wǎng)絡(luò)鏈接 ? 帶寬消耗 ? 其他資源 ?處理時(shí)間 ?磁盤空間 ?賬號(hào)封鎖 ? 配置信息的改變 DoS分類 ? Syn flood ? 其他 flood（ smurf等） ? 分布式 DoS(DDoS) Syn flood 攻擊原理 ? 攻擊 TCP協(xié)議的實(shí)現(xiàn) ? 攻擊者不完成 TCP的三次握手 ? 服務(wù)器顯示 TCP半開(kāi)狀態(tài)的數(shù)目 ? 與帶寬無(wú)關(guān) ? 通常使用假冒的源地址 ? 給追查帶來(lái)很大的困難 TCP ThreeWay Handshake SYN Client wishes to establish connection SYNACK Server agrees to connection request ACK Client finishes handshake Client initiates request Connection is now halfopen Client connection Established Server connection Established Client connecting to a TCP port SYN Flood Illustrated Client spoofs request halfopen S halfopen S halfopen S Queue filled S Queue filled S Queue filled S SA Client SYN Flood Syn flood攻擊實(shí)例 ? 服務(wù)器很容易遭到該種攻擊 ? 南郵“紫金飛鴻”曾遭受該攻擊的困擾 SYN Flood Protection ? Cisco routers ? TCP 截取 ? 截取 SYN報(bào)文，轉(zhuǎn)發(fā)到 server ? 建鏈成功后在恢復(fù) client與 server的聯(lián)系 ? Checkpoint Firewall1 ? SYN Defender ? 與 Cisco 路由器的工作原理累死 ? 攻擊者依然可以成功 ? 耗盡路由器或者防火墻的資源 TCP Intercept Illustrated Request connection Answers for server S SA Finishes handshake A Request connection Server answers S SA Finishes handshake A Knit half connections SYN Flood Prevention ? 增加監(jiān)聽(tīng)隊(duì)列長(zhǎng)度 ? 依賴與操作系統(tǒng)的實(shí)現(xiàn) ? 將超時(shí)設(shè)短 ? 半開(kāi)鏈接能快速被淘汰 ? 有可能影響正常使用 ? 采用對(duì)該攻擊不敏感的操作系統(tǒng) ? BSD ? Windows Smurf 攻擊原理 ? 一些操作系統(tǒng)的實(shí)現(xiàn)會(huì)對(duì)目的地址是本地網(wǎng)絡(luò)地址的 ICMP應(yīng)答請(qǐng)求報(bào)文作出答復(fù)。 ? 攻擊者將 ICMP報(bào)文源地址填成受害主機(jī)，那么應(yīng)答報(bào)文會(huì)到達(dá)受害主機(jī)處，造成網(wǎng)絡(luò)擁塞。 ? 成為 smurf攻擊的目標(biāo)，需要在上級(jí)網(wǎng)絡(luò)設(shè)備上做報(bào)文過(guò)濾。 } show(char*p) { strbuff[24]。 } Stack main() data main() return Saved register Show() data Strbuf 24 bytes strcpy() return E R S ! T H I S . I S . M O R E . T H A N . 2 4 . C H A R A C T Return address corrupt 緩沖區(qū)溢出的預(yù)防 ? 聯(lián)系供應(yīng)商 ? 下載和安裝相關(guān)的補(bǔ)丁程序 ? 如果有源代碼 ? 自己修改源代碼，編譯安裝 后門和木馬 ? 應(yīng)用背景：攻入系統(tǒng)之后，為以后方便、隱蔽的進(jìn)入系統(tǒng)，有時(shí)候攻擊者會(huì)在系統(tǒng)預(yù)留后門。 后門、木馬的檢測(cè)和預(yù)防 ? MD5 基線 ? 給干凈系統(tǒng)文件做 MD5校驗(yàn) ? 定時(shí)做當(dāng)前系統(tǒng)的 MD5校驗(yàn)，并做比對(duì) ? 入侵檢測(cè)系統(tǒng) ? 后門活動(dòng)有一定的規(guī)律 ? 安裝入侵檢測(cè)系統(tǒng)，一定程度上能夠發(fā)現(xiàn)后門 ? 從 CDROM啟動(dòng) ? 防止后門隱藏在引導(dǎo)區(qū)中 蠕蟲 ? 能夠自行擴(kuò)散的網(wǎng)絡(luò)攻擊程序 ? 各種攻擊手段的組合 ? 有時(shí)候?yàn)?DDoS做攻擊準(zhǔn)備 ? 具體問(wèn)題具體分析 一個(gè)蠕蟲實(shí)例 ? 第一步 ， 隨機(jī)生成 IP作為二級(jí)受害主機(jī)的超集 ，對(duì)這些 IP所在的 C類網(wǎng)段的 111口進(jìn)行橫向掃描 （ 檢測(cè)是否存在 rpc服務(wù) ） ， 保存結(jié)果 ， 獲得存在 rpc服務(wù)的主機(jī)集合； ? 第二步 ， 對(duì)上述存在 rpc服務(wù)的主機(jī) ， 檢測(cè)是否運(yùn)行 sadmind服務(wù) ， 保存檢測(cè)結(jié)果 ， 獲得存在 sadmind服務(wù)的主機(jī)集合 ， 即二級(jí)受害主機(jī)集合一； ? 第三步 ， 對(duì)二級(jí)受害主機(jī)集一以輪詢方式嘗試sadmind棧溢出攻擊； 蠕蟲實(shí)例（續(xù)上） ? 第四步 ， 檢查棧溢出攻擊是否成功 。 攻擊程序利用這個(gè) shell， 添加二級(jí)受害主機(jī)對(duì)一級(jí)受害主機(jī)的信任關(guān)系 ， 使一級(jí)受害主機(jī)可以執(zhí)行二級(jí)受害主機(jī)的遠(yuǎn)程 shell指令 。 ? 第七步 ， 一級(jí)受害主機(jī)遠(yuǎn)程啟動(dòng)二級(jí)受害主機(jī)的攻擊進(jìn)程 。 這樣 ， 二級(jí)受害主機(jī)迅速完成了從受害者到 “ 幫兇 ” 的角色轉(zhuǎn)換 。 ? 第九步 ， 隨機(jī)生成 IP作為二級(jí)受害主機(jī)的超集 ，對(duì)這些 IP所在的 C類網(wǎng)段的 80口進(jìn)行橫向掃描（ 檢測(cè)是否為 WWW服務(wù)器 ）