版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
第3章計(jì)算機(jī)網(wǎng)絡(luò)入侵與攻擊重點(diǎn)和難點(diǎn)典型攻擊方法及原理入侵檢測(cè)技術(shù)方法掌握防止入侵和攻擊的主要技術(shù)措施典型的攻擊方法及其原理入侵檢測(cè)系統(tǒng)原理、功能特點(diǎn)及其存在的缺陷了解入侵和攻擊的基本概念、關(guān)系及導(dǎo)致入侵和攻擊的原因入侵檢測(cè)的概念和基本方法3.1概述
“入侵”是一個(gè)廣義上的概念,所謂入侵是指任何威脅和破壞系統(tǒng)資源的行為。實(shí)施入侵行為的“人”稱(chēng)為入侵者。攻擊是入侵者為進(jìn)行入侵所采取的技術(shù)手段和方法。3.1.1入侵和攻擊的概念入侵者所采用的攻擊手段主要有以下8種特定類(lèi)型:1)冒充:將自己偽裝成具有較高權(quán)限的用戶(hù),并以他的名義攻擊系統(tǒng);2)重演:利用復(fù)制合法用戶(hù)所發(fā)出的數(shù)據(jù)(或部分?jǐn)?shù)據(jù))并重發(fā),以欺騙接收者;3)篡改:通過(guò)秘密篡改合法用戶(hù)所傳送數(shù)據(jù)的內(nèi)容;4)服務(wù)拒絕:中止或干擾服務(wù)器為合法用戶(hù)提供服務(wù)或抑制所有流向某一特定目標(biāo)的數(shù)據(jù)。5)內(nèi)部攻擊:利用其所擁有權(quán)力或越權(quán)對(duì)系統(tǒng)進(jìn)行破壞活動(dòng)。6)外部攻擊:通過(guò)搭線(xiàn)竊聽(tīng)、截獲輻射信號(hào)、冒充系統(tǒng)管理人員或授權(quán)用戶(hù)或系統(tǒng)的組成部分、設(shè)置旁路躲避鑒別和訪(fǎng)問(wèn)控制機(jī)制等各種手段入侵系統(tǒng);7)陷井門(mén):首先通過(guò)某種方式侵入系統(tǒng),然后,安裝陷井門(mén)。并通過(guò)更改系統(tǒng)功能屬性和相關(guān)參數(shù),使入侵者在非授權(quán)情況下能對(duì)系統(tǒng)進(jìn)行各種非法操作。8)特洛伊木馬:這是一種具有雙重功能的客戶(hù)/服務(wù)體系結(jié)構(gòu)。特洛伊木馬系統(tǒng)不但擁有授權(quán)功能,而且還擁有非授權(quán)功能,一旦建立這樣的體系,整個(gè)系統(tǒng)便被占領(lǐng)。3.1.2入侵與攻擊的關(guān)系入侵與攻擊是直接相關(guān)的,入侵是目的,攻擊是手段,攻擊存在于整個(gè)入侵過(guò)程之中。攻擊是由入侵者發(fā)起并由攻擊者實(shí)現(xiàn)的一種“非法”行為。無(wú)論是入侵,還是攻擊,僅僅是在形式上和概念描述上有所區(qū)別而已。對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)而言,入侵與攻擊沒(méi)有什么本質(zhì)區(qū)別,入侵伴隨著攻擊,攻擊的結(jié)果就是入侵。當(dāng)攻擊得手而侵入目標(biāo)網(wǎng)絡(luò)之后,入侵者利用各種手段掠奪和破壞別人的資源。3.1.3導(dǎo)致入侵和攻擊的原因?qū)е氯肭趾凸舻脑蚴謴?fù)雜,其可能的原因歸納如下:1)竊取情報(bào)、獲取文件和傳輸?shù)臄?shù)據(jù)信息;2)安裝有害程序、病毒、或特殊進(jìn)程等;3)獲得更高的系統(tǒng)使用權(quán)限;4)搜索系統(tǒng)漏洞、安裝后門(mén)等;5)非法訪(fǎng)問(wèn)、進(jìn)行非法操作等;6)干擾網(wǎng)絡(luò)系統(tǒng)工作、拒絕服務(wù)等;7)其他目的,例如,傳播非法信息、篡改數(shù)據(jù)、欺騙、挑戰(zhàn)、政治企圖、危害國(guó)家經(jīng)濟(jì)利益、破壞等。8)電子信息戰(zhàn)的需要。1.訪(fǎng)問(wèn)控制技術(shù)訪(fǎng)問(wèn)控制的主要目的是確保網(wǎng)絡(luò)資源不被非法訪(fǎng)問(wèn)和非法利用,它所涉及的內(nèi)容包括網(wǎng)絡(luò)登錄控制、網(wǎng)絡(luò)使用權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。(1)網(wǎng)絡(luò)登錄控制
通過(guò)網(wǎng)絡(luò)登錄控制可以限制用戶(hù)對(duì)網(wǎng)絡(luò)服務(wù)器的訪(fǎng)問(wèn),或禁止用戶(hù)登錄,或限制用戶(hù)只能在指定的工作站上進(jìn)行登錄,或限制用戶(hù)登錄到指定的服務(wù)器上,或限制用戶(hù)只能在指定的時(shí)間登錄網(wǎng)絡(luò)等。3.1.4防止入侵和攻擊的主要技術(shù)措施網(wǎng)絡(luò)登錄控制一般需要經(jīng)過(guò)三個(gè)環(huán)節(jié),一是驗(yàn)證用戶(hù)身份,識(shí)別用戶(hù)名;二是驗(yàn)證用戶(hù)口令,確認(rèn)用戶(hù)身份;三是核查該用戶(hù)帳號(hào)的默認(rèn)權(quán)限。在這三個(gè)環(huán)節(jié)中,只要其中一個(gè)環(huán)節(jié)出現(xiàn)異常,該用戶(hù)就不能登錄網(wǎng)絡(luò)。網(wǎng)絡(luò)登錄控制是由網(wǎng)絡(luò)管理員依據(jù)網(wǎng)絡(luò)安全策略實(shí)施的。(2)網(wǎng)絡(luò)使用權(quán)限控制
當(dāng)用戶(hù)成功登錄網(wǎng)絡(luò)后,就可以使用其所擁有的權(quán)限對(duì)網(wǎng)絡(luò)資源進(jìn)行訪(fǎng)問(wèn)。網(wǎng)絡(luò)使用權(quán)限控制就是針對(duì)可能出現(xiàn)的非法操作或誤操作提出來(lái)的一種安全保護(hù)措施。網(wǎng)絡(luò)使用權(quán)限控制是通過(guò)訪(fǎng)問(wèn)控制表來(lái)實(shí)現(xiàn)的。訪(fǎng)問(wèn)控制表規(guī)定了用戶(hù)可以訪(fǎng)問(wèn)的網(wǎng)絡(luò)資源以及能夠?qū)@些資源進(jìn)行的操作。根據(jù)網(wǎng)絡(luò)使用權(quán)限,可以將網(wǎng)絡(luò)用戶(hù)分為系統(tǒng)管理員用戶(hù)、審計(jì)用戶(hù)和普通用戶(hù)。(3)目錄級(jí)安全控制用戶(hù)獲得網(wǎng)絡(luò)使用權(quán)限后,即可對(duì)相應(yīng)的目錄、文件或設(shè)備進(jìn)行規(guī)定的訪(fǎng)問(wèn)。一般情況下,對(duì)目錄和文件的訪(fǎng)問(wèn)權(quán)限包括:系統(tǒng)管理員權(quán)限、讀權(quán)限、寫(xiě)權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限和訪(fǎng)問(wèn)控制權(quán)限。目錄級(jí)安全控制可以限制用戶(hù)對(duì)目錄和文件的訪(fǎng)問(wèn)權(quán)限,進(jìn)而保護(hù)目錄和文件的安全,防止權(quán)限濫用。(4)屬性安全控制屬性安全控制是通過(guò)給網(wǎng)絡(luò)資源設(shè)置安全屬性標(biāo)記實(shí)現(xiàn)的。當(dāng)系統(tǒng)管理員給文件、目錄和網(wǎng)絡(luò)設(shè)備等資源設(shè)置訪(fǎng)問(wèn)屬性后,用戶(hù)對(duì)這些資源的訪(fǎng)問(wèn)將會(huì)受到一定的限制。(5)服務(wù)器安全控制
網(wǎng)絡(luò)允許在服務(wù)器控制臺(tái)上執(zhí)行一系列操作。用戶(hù)使用控制臺(tái)可以裝載和卸載模塊,可以安裝和刪除軟件等操作。2.防火墻技術(shù)防火墻是用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的惡意攻擊和入侵,將入侵者拒之門(mén)外的網(wǎng)絡(luò)安全技術(shù)。防火墻是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的邊界,它能夠嚴(yán)密監(jiān)視進(jìn)出邊界的數(shù)據(jù)包信息,能夠阻擋入侵者,嚴(yán)格限制外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪(fǎng)問(wèn),也可有效的監(jiān)視內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)的訪(fǎng)問(wèn)。3.入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全技術(shù)和信息技術(shù)結(jié)合的產(chǎn)物。使用入侵檢測(cè)技術(shù)可以實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)系統(tǒng)的某些區(qū)域,當(dāng)這些區(qū)域受到攻擊時(shí),能夠及時(shí)檢測(cè)和立即響應(yīng)處理。4.安全掃描安全掃描是對(duì)計(jì)算機(jī)系統(tǒng)或其他網(wǎng)絡(luò)設(shè)備進(jìn)行相關(guān)安全檢測(cè),以查找安全隱患和可能被攻擊者利用的漏洞。安全掃描分主動(dòng)式和被動(dòng)式兩種。主動(dòng)式安全掃描是基于網(wǎng)絡(luò)的,主要通過(guò)模擬攻擊行為記錄系統(tǒng)反應(yīng)來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的漏洞,這種掃描稱(chēng)為網(wǎng)絡(luò)安全掃描;而被動(dòng)式安全掃描是基于主機(jī)的,主要通過(guò)檢查系統(tǒng)中不合適的設(shè)置、脆弱性口令、以及其他同安全規(guī)則相抵觸的對(duì)象來(lái)發(fā)現(xiàn)系統(tǒng)中存在的安全隱患,這種掃描稱(chēng)為系統(tǒng)安全掃描。安全掃描所涉及到的檢測(cè)技術(shù)主要有以下四種:1)基于應(yīng)用的檢測(cè)技術(shù)。2)基于主機(jī)的檢測(cè)技術(shù)。3)基于目標(biāo)的漏洞檢測(cè)技術(shù)。4)基于網(wǎng)絡(luò)的檢測(cè)技術(shù)。另外,安全掃描技術(shù)正逐漸向模塊化和專(zhuān)家系統(tǒng)兩個(gè)方向發(fā)展。5.安全審計(jì)安全審計(jì)是對(duì)網(wǎng)絡(luò)系統(tǒng)的活動(dòng)進(jìn)行監(jiān)視、記錄并提出安全意見(jiàn)和建議的一種機(jī)制。利用安全審計(jì)可以有針對(duì)性的對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)和過(guò)程進(jìn)行記錄、跟蹤和審查。通過(guò)安全審計(jì)不僅可以對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行有效評(píng)估,還可以為制訂合理的安全策略和加強(qiáng)安全管理提供決策依據(jù),使網(wǎng)絡(luò)系統(tǒng)能夠及時(shí)調(diào)整對(duì)策。計(jì)算機(jī)網(wǎng)絡(luò)安全審計(jì)主要包括對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)、Web、郵件系統(tǒng)、網(wǎng)絡(luò)設(shè)備和防火墻等項(xiàng)目的安全審計(jì),以及加強(qiáng)安全教育,增強(qiáng)安全責(zé)任意識(shí)。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)包含的主要功能和所涉及的共性問(wèn)題(1)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主要功能:采集多種類(lèi)型的日志數(shù)據(jù)
日志管理
日志查詢(xún)?nèi)肭謾z測(cè)自動(dòng)生成安全分析報(bào)告網(wǎng)絡(luò)狀態(tài)實(shí)時(shí)監(jiān)視事件響應(yīng)機(jī)制集中管理(2)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)所涉及的共性問(wèn)題日志格式兼容問(wèn)題
日志數(shù)據(jù)的管理問(wèn)題
日志數(shù)據(jù)的集中分析問(wèn)題分析報(bào)告及統(tǒng)計(jì)報(bào)表的自動(dòng)生成問(wèn)題6.安全管理(1)信息安全管理的內(nèi)涵根據(jù)我國(guó)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求(GA/T391—2002)中的描述,信息安全管理的內(nèi)涵是對(duì)一個(gè)組織或機(jī)構(gòu)中信息系統(tǒng)的生命周期全過(guò)程實(shí)施符合安全等級(jí)責(zé)任要求的科學(xué)管理,它包括:1)落實(shí)安全組織及安全管理人員,明確角色與職責(zé),制定安全規(guī)劃;2)開(kāi)發(fā)安全策略;3)實(shí)施風(fēng)險(xiǎn)管理;4)制定業(yè)務(wù)持續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃;5)選擇與實(shí)施安全措施;6)保證配置、變更的正確與安全;7)進(jìn)行安全審計(jì);8)保證維護(hù)支持;9)進(jìn)行監(jiān)控、檢查,處理安全事件;10)安全意識(shí)與安全教育;11)人員安全管理等內(nèi)容。一般意義上講,安全管理就是指為實(shí)現(xiàn)信息安全目標(biāo)而采取的一系列管理制度和技術(shù)手段,包括安全檢測(cè)、監(jiān)控、響應(yīng)和調(diào)整的全部控制過(guò)程。而對(duì)整個(gè)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析和評(píng)估是明確信息安全目標(biāo)要求的重要手段。(2)信息安全管理的基本原則不論多么先進(jìn)的安全技術(shù),都只是實(shí)現(xiàn)信息安全管理的手段。信息安全源于有效的管理,要使先進(jìn)的安全技術(shù)發(fā)揮較好的效果,就必須建立良好的信息安全管理體系,這是一個(gè)根本問(wèn)題。人們總是認(rèn)為信息安全是一個(gè)技術(shù)上的問(wèn)題,并將信息安全管理的責(zé)任限制在技術(shù)人員身上,這種觀(guān)點(diǎn)和做法是十分錯(cuò)誤的。在我國(guó),加強(qiáng)對(duì)信息安全工作的領(lǐng)導(dǎo),建立健全信息安全管理責(zé)任制,通常以誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)和誰(shuí)使用誰(shuí)負(fù)責(zé)為基本要求,堅(jiān)持的總原則是:主要領(lǐng)導(dǎo)人負(fù)責(zé)原則;規(guī)范定級(jí)原則;依法行政原則;以人為本原則;適度安全原則;全面防范、突出重點(diǎn)原則;系統(tǒng)、動(dòng)態(tài)原則;以及控制社會(huì)影響原則。而信息安全管理的主要策略是:分權(quán)制衡、最小特權(quán)、選用成熟技術(shù)和普遍參與的四條策略。(3)信息安全管理的基本過(guò)程安全管理是一個(gè)不斷發(fā)展、不斷修正的動(dòng)態(tài)過(guò)程,貫穿于信息系統(tǒng)生命周期,涉及到信息系統(tǒng)管理層面、物理層面、網(wǎng)絡(luò)層面、操作系統(tǒng)層面、應(yīng)用系統(tǒng)層面和運(yùn)行層面的安全風(fēng)險(xiǎn)管理。在這些層面上的安全管理是保證信息系統(tǒng)安全技術(shù)、安全工程、安全運(yùn)行正確、安全、有效的基礎(chǔ)。圖3.1描述了一個(gè)信息系統(tǒng)安全管理過(guò)程的基本模型,在該模型中,每個(gè)階段的管理工作重點(diǎn)不同,要求也不同。總的安全目標(biāo)是防止國(guó)家秘密和單位敏感信息的失密、泄密和竊密,防止數(shù)據(jù)的非授權(quán)修改、丟失和破壞,防止系統(tǒng)能力的喪失、降低,防止欺騙,保證信息及系統(tǒng)的可信度和資產(chǎn)的安全。安全目標(biāo)戰(zhàn)略政策和策略組織、環(huán)境和法律等的影響風(fēng)險(xiǎn)分析
與評(píng)估確定安全保護(hù)等級(jí),選擇和實(shí)施保護(hù)措施監(jiān)控、安全意識(shí)、配置管理、變更管理、業(yè)務(wù)持續(xù)性計(jì)劃等圖3.1信息系統(tǒng)安全管理過(guò)程的基本模型3.2典型攻擊方法及其原理
1.掃描器法原理該方法是利用C/S結(jié)構(gòu)中的請(qǐng)求-應(yīng)答機(jī)制實(shí)現(xiàn)的。它通過(guò)使用不同的請(qǐng)求信息依次向遠(yuǎn)程主機(jī)或本地主機(jī)發(fā)送服務(wù)請(qǐng)求,然后根據(jù)遠(yuǎn)程主機(jī)或本地主機(jī)的響應(yīng)情況來(lái)判別它們目前所處的工作狀態(tài),最后決定下一步的操作。如果遠(yuǎn)程主機(jī)或本地主機(jī)有響應(yīng),則表明與服務(wù)請(qǐng)求所對(duì)應(yīng)的服務(wù)正在進(jìn)行中,這時(shí),再進(jìn)一步分析和確定服務(wù)軟件的版本信息,并試探該版本中的漏洞是否存在,從而實(shí)現(xiàn)掃描的目的。3.2.1掃描器法
一個(gè)完整的掃描器應(yīng)具備的基本功能包括:(1)發(fā)現(xiàn)目標(biāo)主機(jī)和網(wǎng)絡(luò);(2)發(fā)現(xiàn)目標(biāo)主機(jī)后,能夠掃描正在運(yùn)行的各種服務(wù);(3)能夠測(cè)試這些服務(wù)中是否存在漏洞。2.利用網(wǎng)絡(luò)命令大多數(shù)網(wǎng)絡(luò)操作系統(tǒng)都會(huì)提供一些用于網(wǎng)絡(luò)管理和維護(hù)的網(wǎng)絡(luò)命令,利用這些網(wǎng)絡(luò)命令可收集到許多有用的信息。但這些工具也常被入侵者用來(lái)掃描網(wǎng)絡(luò)信息,當(dāng)它們知道了目標(biāo)主機(jī)上運(yùn)行的操作系統(tǒng)、服務(wù)軟件及其版本號(hào)后,就可利用已經(jīng)發(fā)現(xiàn)的漏洞來(lái)攻擊系統(tǒng)。3.端口掃描(1)端口掃描的工作原理通過(guò)使用一系列TCP或UDP端口號(hào),不斷向目標(biāo)主機(jī)發(fā)出連接請(qǐng)求,試圖連接到目標(biāo)主機(jī)上,并記錄目標(biāo)主機(jī)的應(yīng)答信息。然后,進(jìn)一步分析主機(jī)的響應(yīng)信息,從中判斷是否可以匿名登錄,是否有可寫(xiě)入的FTP目錄,是否可以使用telnet登錄等。(2)常用的端口掃描技術(shù)向目標(biāo)主機(jī)提出連接請(qǐng)求的方式很多,這些連接請(qǐng)求并不是真的要與目標(biāo)主機(jī)建立連接,只是想獲取目標(biāo)主機(jī)的響應(yīng)信息,以便進(jìn)一步分析目標(biāo)主機(jī)上可利用的信息資源。1)TCPconnect請(qǐng)求使用標(biāo)準(zhǔn)的connect()函數(shù)向目標(biāo)主機(jī)提出連接請(qǐng)求,如果目標(biāo)主機(jī)在指定的端口上處于偵聽(tīng)狀態(tài)并且準(zhǔn)備接收連接請(qǐng)求,則connect()將操作成功,此時(shí)表明目標(biāo)主機(jī)的端口處于開(kāi)放狀態(tài),如果connect()操作失敗,則表明目標(biāo)主機(jī)的端口未開(kāi)放。使用這種方法可以檢測(cè)到目標(biāo)主機(jī)上的各個(gè)端口的開(kāi)放情況。2)TCPSYN請(qǐng)求這種請(qǐng)求是通過(guò)TCP三次握手的過(guò)程實(shí)現(xiàn)的。首先向目標(biāo)主機(jī)發(fā)送一個(gè)SYN數(shù)據(jù)包,接著等待目標(biāo)主機(jī)的應(yīng)答;如果目標(biāo)主機(jī)返回RST,則說(shuō)明目標(biāo)主機(jī)的端口不可用,中止連接。如果目標(biāo)主機(jī)返回SYN|ACK,則說(shuō)明目標(biāo)主機(jī)的端口可用,此時(shí),向目標(biāo)主機(jī)發(fā)送RST數(shù)據(jù)包中止連接。3)TCPFIN請(qǐng)求當(dāng)向目標(biāo)主機(jī)的某個(gè)端口發(fā)送FIN數(shù)據(jù)包后,一般會(huì)出現(xiàn)兩種情況:一是目標(biāo)主機(jī)沒(méi)有任何回應(yīng)信息;二是目標(biāo)主機(jī)返回RST。第一種情況說(shuō)明目標(biāo)主機(jī)的端口可用,第二種情況說(shuō)明目標(biāo)主機(jī)的端口不可用。4)IP分段請(qǐng)求事先將一個(gè)探測(cè)用的TCP數(shù)據(jù)包分成兩個(gè)較小的IP數(shù)據(jù)包,然后向目標(biāo)主機(jī)傳送。目標(biāo)主機(jī)收到這些IP分段后,會(huì)將它們重新組合成原來(lái)的TCP數(shù)據(jù)包。這樣不直接發(fā)送TCP數(shù)據(jù)包而選擇IP分段發(fā)送的目的是使它們能夠穿過(guò)防火墻和包過(guò)濾器而到達(dá)目標(biāo)。5)FTP反射請(qǐng)求在FTP中,當(dāng)某臺(tái)主機(jī)與目標(biāo)主機(jī)在FTPserver-PI上建立一個(gè)控制連接后,可以通過(guò)對(duì)server-PI進(jìn)行請(qǐng)求來(lái)激活一個(gè)有效的server-DTP,并使用這個(gè)server-DTP向網(wǎng)絡(luò)上的其他主機(jī)發(fā)送數(shù)據(jù)。利用這種特性,可以借助一個(gè)代理FTP服務(wù)器來(lái)掃描TCP端口。其實(shí)現(xiàn)過(guò)程是:首先連接到FTP服務(wù)器上;然后向FTP服務(wù)器寫(xiě)入數(shù)據(jù);最后激活數(shù)據(jù)傳輸過(guò)程由FTP服務(wù)器把數(shù)據(jù)發(fā)送到目標(biāo)主機(jī)上的端口。對(duì)于端口掃描,可先利用FTP和PORT命令來(lái)設(shè)定主機(jī)和端口,然后執(zhí)行其他FTP文件命令,根據(jù)命令的響應(yīng)碼可以判斷出端口的狀態(tài)。該方法的優(yōu)點(diǎn)是能穿過(guò)防火墻和不被懷疑,缺點(diǎn)是速度慢和完全依賴(lài)于代理FTP服務(wù)器。6)UDP請(qǐng)求當(dāng)向目標(biāo)主機(jī)的某個(gè)端口發(fā)送UDP數(shù)據(jù)包時(shí),會(huì)產(chǎn)生兩種情況:一是無(wú)任何信息返回;二是返回一個(gè)ICMP_PORT_UNREACH錯(cuò)誤。第一種情況說(shuō)明目標(biāo)主機(jī)的UDP端口已打開(kāi)或UDP數(shù)據(jù)包已丟失;而第二種情況則說(shuō)明目標(biāo)主機(jī)的UDP端口不可用。在第一種情況下,如果可以確認(rèn)所發(fā)送的UDP數(shù)據(jù)包沒(méi)有丟失,則可確認(rèn)目標(biāo)端口的狀態(tài)。如果估計(jì)所發(fā)送的UDP數(shù)據(jù)包已丟失,則需要重新發(fā)送數(shù)據(jù)包,直到探明目標(biāo)主機(jī)端口的狀態(tài)或終止掃描為止。4.漏洞掃描漏洞掃描是根據(jù)已發(fā)現(xiàn)的漏洞來(lái)判斷正在運(yùn)行的服務(wù)中是否還存在著相應(yīng)的漏洞問(wèn)題,如果存在,則應(yīng)立即打上補(bǔ)丁,否則就可能被入侵者利用來(lái)攻擊系統(tǒng)。目前存在的掃描器分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種類(lèi)型?;谥鳈C(jī)的掃描器是運(yùn)行在被檢測(cè)的主機(jī)上的,用于檢測(cè)所在主機(jī)上存在的漏洞信息;而基于網(wǎng)絡(luò)的掃描器則是用于檢測(cè)其他主機(jī)的,它通過(guò)網(wǎng)絡(luò)來(lái)檢測(cè)其他主機(jī)上存在的漏洞現(xiàn)象。3.2.2特洛伊木馬法特洛伊木馬是一種C/S結(jié)構(gòu)的網(wǎng)絡(luò)應(yīng)用程序。其中,木馬的服務(wù)器端程序可以駐留在目標(biāo)主機(jī)上并以后臺(tái)方式自動(dòng)運(yùn)行。攻擊者使用木馬的客戶(hù)端程序與駐留在目標(biāo)主機(jī)上的服務(wù)器木馬程序進(jìn)行通信,進(jìn)而獲取目標(biāo)主機(jī)上的各種信息。木馬的服務(wù)器端程序常以下列三種形式存在于目標(biāo)主機(jī)上,極具隱蔽性和危害性。1)將它的程序代碼作為單獨(dú)的程序出現(xiàn),這個(gè)程序可以在設(shè)定的時(shí)間自動(dòng)運(yùn)行。2)將它的程序代碼集中隱藏在合法程序中,隨合法程序運(yùn)行而獨(dú)立工作。3)更改合法程序,將其代碼分布到合法程序中,隨合法程序運(yùn)行而獨(dú)立工作。安裝木馬程序的主要目的是用于遠(yuǎn)程管理和控制主機(jī)系統(tǒng)。但也經(jīng)常被攻擊者用作對(duì)系統(tǒng)進(jìn)行攻擊的一種手段。根據(jù)木馬程序的啟動(dòng)特點(diǎn),在Windows系統(tǒng)中,可以通過(guò)檢查windows系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載程序的幾種方法來(lái)檢查并清除木馬程序。檢查和清除windows系統(tǒng)中的木馬程序的一般方法如下:1)在“開(kāi)始/程序/啟動(dòng)”菜單組中,如果發(fā)現(xiàn)有異常程序,則可直接清除。2)在autoexec.bat文件中,如果發(fā)現(xiàn)有類(lèi)似“win程序名”的命令行,則在命令中的程序很可能就是木馬程序。3)在win.ini文件中,檢查[windows]段上由“run=”和“l(fā)oad=”兩個(gè)項(xiàng)目指定的程序是否有異常,如果有,很可能是木馬,則應(yīng)立即清除。4)在system.ini文件中,檢查[boot]段上由“shell=”項(xiàng)指定的程序是否有異常。正常情況下,應(yīng)該為:“shell=explorer.exe”,如果變成:“shell=explorer.exe
程序名”,則其中的程序名很可能是木馬程序。5)在注冊(cè)表中,與啟動(dòng)相關(guān)的注冊(cè)表項(xiàng)是需要注意的。打開(kāi)注冊(cè)表編輯器后,依次檢查相關(guān)的注冊(cè)表項(xiàng)的值,如果發(fā)現(xiàn)異常,則需要及時(shí)修正。下列注冊(cè)表項(xiàng)是需要重點(diǎn)檢查的項(xiàng)目?jī)?nèi)容。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunonceHKEY_CLASSES_ROOT\exefile\shell\open\command一般采用對(duì)比的方法來(lái)檢查注冊(cè)表項(xiàng),用正確的注冊(cè)表與當(dāng)前的注冊(cè)表進(jìn)行對(duì)比,從中找出可疑的內(nèi)容。例如,在HKEY_CLASSES_ROOT\exefile\shell\open\command表項(xiàng)中包含的正確值為“”%1“%*”,如果被改為“程序名”%1“%*”,則可能是木馬程序名。如果發(fā)現(xiàn)異常程序,除了在上述文件中刪除它們之外,還要找到它們所在的目錄,徹底清除,否則,它們有可能還會(huì)自動(dòng)加到相應(yīng)的啟動(dòng)位置。3.2.3緩沖區(qū)溢出法緩沖區(qū)溢出是利用系統(tǒng)中的堆棧實(shí)現(xiàn)的。下面以32位的CPU的堆棧操作為例來(lái)說(shuō)明緩沖區(qū)溢出的攻擊原理。當(dāng)CPU執(zhí)行入棧(PUSH)操作時(shí),首先將堆棧寄存器ESP減4,然后將數(shù)據(jù)存入由ESP指向的存貯單元;而執(zhí)行出棧操作時(shí),則先取出由ESP指向的存貯單元中的數(shù)據(jù),然后將ESP加4。在調(diào)用函數(shù)時(shí),CPU先將下一條指令的地址值(返回地址)EIP入棧保存,然后再依次把函數(shù)的參數(shù)入棧。如果函數(shù)內(nèi)部還有局部變量時(shí),則在堆棧中再開(kāi)辟空間以保存這些變量。正常情況下,函數(shù)調(diào)用結(jié)束時(shí),由函數(shù)參數(shù)和局部變量所占用的堆??臻g全部被釋放出棧,并恢復(fù)EIP寄存器的值開(kāi)始執(zhí)行下一條指令。同時(shí),堆棧指針被恢復(fù)成函數(shù)調(diào)用前的狀態(tài)。圖3.2描述了正常調(diào)用C函數(shù)main(int
arg,char*arv)時(shí),堆棧的變化情況。假設(shè)C函數(shù)定義為:int
main(int
arg,char*arv){charbuff[60];strcpy(buff,arv);}由于字符串處理函數(shù)沒(méi)有對(duì)超長(zhǎng)字符加以判斷和限制,因此,對(duì)于那些超出緩沖區(qū)長(zhǎng)度的字符內(nèi)容必將覆蓋緩沖區(qū)以外的數(shù)據(jù)。在函數(shù)main()中,如果使用strcpy()函數(shù)把多于60個(gè)字符的字符串拷貝到堆棧內(nèi)的緩沖區(qū)中,則堆棧中的其他數(shù)據(jù)將會(huì)被覆蓋。如果經(jīng)心設(shè)計(jì)所覆蓋的內(nèi)容,如用特定的地址值覆蓋堆棧中的EIP值(圖3.2中的斜體字部分就是覆蓋后的堆棧內(nèi)容),那么,當(dāng)函數(shù)調(diào)用結(jié)束時(shí),就會(huì)將這個(gè)特定的地址值賦給指令寄存器EIP,進(jìn)而導(dǎo)致指令執(zhí)行的順序發(fā)生改變。argarvEIP緩沖區(qū)EIP’argarvEIP緩沖區(qū)EIP’argarvEIPESP緩沖區(qū)EIP’argarvEIP緩沖區(qū)EIP’argarvEIPESPESPESPESPESP低高調(diào)用前EIP、參數(shù)入棧緩沖區(qū)入棧釋放緩沖區(qū)正常返回異常返回圖3.2正常調(diào)用C函數(shù)時(shí)堆棧指針的變化情況3.2.4拒絕服務(wù)攻擊法拒絕服務(wù)攻擊(DOS,DenyofService)是以停止目標(biāo)主機(jī)的網(wǎng)絡(luò)服務(wù)為目的。采用這種攻擊方法時(shí),攻擊者不需獲取目標(biāo)主機(jī)的任何操作權(quán)限,就可以對(duì)目標(biāo)主機(jī)進(jìn)行攻擊。其攻擊原理是:利用各種手段不斷向目標(biāo)主機(jī)發(fā)送虛假請(qǐng)求、或垃圾信息等,使用目標(biāo)主機(jī)一直處于忙于應(yīng)付或一直處于等待回應(yīng)的狀態(tài)而無(wú)法為其他主機(jī)提供服務(wù)。1.廣播風(fēng)暴當(dāng)某臺(tái)主機(jī)使用廣播地址發(fā)送一個(gè)ICMPecho請(qǐng)求包時(shí),其他一些主機(jī)會(huì)向該主機(jī)回應(yīng)ICMPecho應(yīng)答包。如果不斷的發(fā)送這樣的數(shù)據(jù)包,則會(huì)有大量的數(shù)據(jù)包被回應(yīng)到相應(yīng)的主機(jī)上,導(dǎo)致該主機(jī)一直處于接收響應(yīng)數(shù)據(jù)包的狀態(tài)而無(wú)法做其他的事。2.SYN淹沒(méi)正常情況下,建立一個(gè)TCP連接需要一個(gè)三方握手的過(guò)程,即需要進(jìn)行三次包交換。當(dāng)服務(wù)器收到一個(gè)由客戶(hù)發(fā)來(lái)的SYN包時(shí),必須回應(yīng)一個(gè)SYN/ACK包,然后再等待該客戶(hù)回應(yīng)一個(gè)ACK包來(lái)確認(rèn)后,才建立連接。但是,如果客戶(hù)機(jī)只發(fā)送SYN包,而不向服務(wù)器發(fā)送確認(rèn)包,則導(dǎo)致服務(wù)器一直處于等待狀態(tài)直到超時(shí)為止。SYN淹沒(méi)攻擊就是利用這樣一個(gè)原理,定時(shí)向服務(wù)器發(fā)送SYN包而不去回應(yīng)它,致使服務(wù)器無(wú)法響應(yīng)其他客戶(hù)的請(qǐng)求,服務(wù)被中斷。3.IP分段攻擊某些操作系統(tǒng)在處理分段的IP數(shù)據(jù)包時(shí),存在一個(gè)致命的漏洞。當(dāng)IP包被分段發(fā)送時(shí),操作系統(tǒng)需要將分段的IP包組合成一個(gè)完整的IP包。在這個(gè)組合過(guò)程中,需要不斷的調(diào)整和計(jì)算每一個(gè)IP分段在IP包中的數(shù)據(jù)偏移地址和有效長(zhǎng)度,直到組合完成。如果計(jì)算出某個(gè)IP分段的有效長(zhǎng)度為負(fù)數(shù),那么,將會(huì)導(dǎo)致向內(nèi)核緩沖區(qū)拷貝大量的數(shù)據(jù),從而導(dǎo)致死機(jī)。通常,攻擊者向目標(biāo)主機(jī)發(fā)送兩個(gè)特殊的IP分段包(正常情況下,不會(huì)有這樣的分段),第1個(gè)IP分段包的數(shù)據(jù)偏移地址為0,有效長(zhǎng)度為N,分段標(biāo)志位置1,表示后面還有IP分段包。第2個(gè)IP分段包的數(shù)據(jù)偏移地址為K,并使K<N,有效數(shù)據(jù)長(zhǎng)度為S,并使K+S<N,分段標(biāo)志位置0,表示后面沒(méi)有IP分段包了。目標(biāo)主機(jī)收到第2個(gè)IP分段包后,發(fā)現(xiàn)該分段的偏移地址指向了第1個(gè)分段中的有效數(shù)據(jù)部分(如果K>=N,則不會(huì)出現(xiàn)這個(gè)問(wèn)題),這時(shí),操作系統(tǒng)需要調(diào)整第2個(gè)分段的數(shù)據(jù)偏移地址和有效長(zhǎng)度的值。調(diào)整后,第2個(gè)分段的數(shù)據(jù)偏移地址為N,有效長(zhǎng)度為((K+S)-N),因此得到第2個(gè)IP分段的有效長(zhǎng)度為負(fù)數(shù),導(dǎo)致系統(tǒng)癱瘓。4.OOB攻擊在某些網(wǎng)絡(luò)協(xié)議中,沒(méi)有全面考慮如何處理帶外數(shù)據(jù)OOB(outofband)的問(wèn)題,一旦遇到帶外數(shù)據(jù)將會(huì)導(dǎo)致異常發(fā)生。5.分布式攻擊由于攻擊者自身的帶寬有很,所以很難通過(guò)大量的網(wǎng)絡(luò)傳輸來(lái)威脅目標(biāo)主機(jī)。為了克服自身帶寬的限制,出現(xiàn)了分布式拒絕服務(wù)攻擊(DDOS,DistributedDenyOfService)。攻擊者把攻擊用的工具軟件駐留到多臺(tái)主機(jī)上,利用這些主機(jī)的帶寬一起向目標(biāo)主機(jī)發(fā)送大量的具有欺騙性的請(qǐng)求信息,致使目標(biāo)主機(jī)中斷服務(wù)。這種攻擊方法,既使目標(biāo)主機(jī)沒(méi)有漏洞,也能對(duì)目標(biāo)主機(jī)構(gòu)成嚴(yán)重威脅,導(dǎo)致目標(biāo)主機(jī)的服務(wù)中斷。攻擊者客戶(hù)機(jī)客戶(hù)機(jī)客戶(hù)機(jī)端口監(jiān)控程序目標(biāo)主機(jī)端口監(jiān)控程序端口監(jiān)控程序端口監(jiān)控程序端口監(jiān)控程序端口監(jiān)控程序圖3.3分布式s拒絕服務(wù)攻擊示意圖TFN(TribeFloodNetwork)攻擊就采用了分布式攻擊的方法。TFN由客戶(hù)機(jī)和端口監(jiān)控程序構(gòu)成,可選擇廣播風(fēng)暴、SYN淹沒(méi)、UDP等多種攻擊手段,同時(shí)提供了一個(gè)綁定在TCP端口上的即時(shí)響應(yīng)的命令處理器。攻擊者可控制一個(gè)或多個(gè)客戶(hù)機(jī),每個(gè)客戶(hù)機(jī)能夠控制多個(gè)端口監(jiān)控程序,并通過(guò)指令來(lái)控制端口監(jiān)控制程序向目標(biāo)主機(jī)發(fā)起攻擊。6.IIS上傳攻擊在Internet服務(wù)中,某些協(xié)議對(duì)上傳到服務(wù)器上的數(shù)據(jù)長(zhǎng)度一般沒(méi)有限制,這使得拒絕服務(wù)攻擊十分容易。例如,在HTTP協(xié)議中,利用POST方法上傳數(shù)據(jù)時(shí),所上傳的數(shù)據(jù)長(zhǎng)度是由字段ContentLenth指定的,但沒(méi)有大小限制。如果用戶(hù)指定一個(gè)非常大的數(shù)值,則導(dǎo)致IIS一直等待接收這些數(shù)據(jù),直到傳送完成,才會(huì)釋放所占用的內(nèi)存資源。攻擊者就是利用這種缺陷,輕而易舉的向IIS發(fā)送大量的垃圾數(shù)據(jù),導(dǎo)致服務(wù)器的內(nèi)存資源耗盡。當(dāng)內(nèi)存資源不足時(shí),服務(wù)器將會(huì)頻繁使用磁盤(pán)緩沖區(qū)進(jìn)行數(shù)據(jù)交換,CPU的處理速度明顯3.2.5網(wǎng)絡(luò)監(jiān)聽(tīng)法在網(wǎng)絡(luò)上,任何一臺(tái)主機(jī)所發(fā)送的數(shù)據(jù)包,都會(huì)通過(guò)網(wǎng)絡(luò)線(xiàn)路傳輸?shù)街付ǖ哪繕?biāo)主機(jī)上,所有在這個(gè)網(wǎng)絡(luò)線(xiàn)路上的主機(jī)都可以偵聽(tīng)到這個(gè)傳輸?shù)臄?shù)據(jù)包。正常情況下,網(wǎng)卡對(duì)所經(jīng)過(guò)的數(shù)據(jù)包只做簡(jiǎn)單的判斷處理,如果數(shù)據(jù)包中的目標(biāo)地址與網(wǎng)卡的相同,則接收該數(shù)據(jù)包,否則不做任何處理。如果將網(wǎng)卡設(shè)為雜湊模式,則該網(wǎng)卡就可接收任何流經(jīng)它的數(shù)據(jù)包,不論數(shù)據(jù)包的目標(biāo)地址是什么。攻擊者利用這樣一個(gè)原理,將網(wǎng)卡設(shè)置成雜湊模式,然后截獲流經(jīng)它的各種數(shù)據(jù)包進(jìn)行分析,對(duì)一些具有敏感性的數(shù)據(jù)包做進(jìn)一步的解析,如含有用戶(hù)名(username)和密碼(password)字樣的數(shù)據(jù)包。防止網(wǎng)絡(luò)被監(jiān)聽(tīng)的一般方法有:①經(jīng)常檢查當(dāng)前正在運(yùn)行的程序列表,如發(fā)現(xiàn)有不明身份的程序在運(yùn)行,則應(yīng)提高警惕;②檢查可疑的日志文件,如果有大小不斷增加和時(shí)間不斷更新的日志文件存在,則應(yīng)立即檢查其內(nèi)容;③檢測(cè)網(wǎng)卡的工作模式,如果處于雜湊模式,則應(yīng)加強(qiáng)防范,查明原因;④使用安全通信協(xié)議,加強(qiáng)通信數(shù)據(jù)的保密性;⑤使用安全的網(wǎng)絡(luò)拓樸結(jié)構(gòu),縮小數(shù)據(jù)包流經(jīng)的范圍。3.2.6電子欺騙法攻擊者為了獲取目標(biāo)主機(jī)上的資源,可能會(huì)采用電子欺騙的手法來(lái)達(dá)到目的。電子欺騙法主要是通過(guò)偽造數(shù)據(jù)包,并使用目標(biāo)主機(jī)可信任的IP地址作為源地址把偽造好的數(shù)據(jù)包發(fā)送到目標(biāo)主機(jī)上,以此獲取目標(biāo)主機(jī)的信任,進(jìn)而訪(fǎng)問(wèn)目標(biāo)主機(jī)上的資源。由于TCP/IP協(xié)議本身存在很多缺陷,因此,不論目標(biāo)主機(jī)上運(yùn)行的是何種操作系統(tǒng),電子欺騙都是容易實(shí)現(xiàn)的,它也常被用作獲取目標(biāo)主機(jī)信任的一種攻擊方式。1.TCP序列號(hào)欺騙TCP序列號(hào)欺騙是通過(guò)TCP的三次握手過(guò)程,推測(cè)服務(wù)器的響應(yīng)序列號(hào)而實(shí)現(xiàn)的。這種欺騙既使在沒(méi)有得到服務(wù)器響應(yīng)的情況下,也可以產(chǎn)生TCP數(shù)據(jù)包與服務(wù)器進(jìn)行通信。為了確保端到端的可靠傳輸,TCP對(duì)所發(fā)送出的每個(gè)數(shù)據(jù)包都分配序列編號(hào),當(dāng)對(duì)方收到數(shù)據(jù)包后則向發(fā)送方進(jìn)行確認(rèn),接收方利用序列號(hào)來(lái)確認(rèn)數(shù)據(jù)包的先后順序,并丟棄重復(fù)的數(shù)據(jù)包。TCP序列號(hào)在TCP數(shù)據(jù)包中占32位字節(jié),有發(fā)送序列號(hào)SEQS和確認(rèn)序列號(hào)SEQA兩種,它們分別對(duì)應(yīng)SYN和ACK兩個(gè)標(biāo)志。當(dāng)SYN置1時(shí),表示所發(fā)送的數(shù)據(jù)包的序列號(hào)為SEQS
;當(dāng)ACK置1時(shí),表示接收方準(zhǔn)備接收的數(shù)據(jù)包的序列號(hào)為SEQA
。在客戶(hù)機(jī)與服務(wù)器建立連接的三次握手過(guò)程中,序列號(hào)的變化如下:①ClientServer:SYN(SEQS=ISNC)②
Server
Client:SYN
(SEQS=ISNS),ACK(SEQA=ISNC+1)
③ServerClient:ACK(SEQA=ISNS+1)其中,客戶(hù)機(jī)首先向服務(wù)器發(fā)送一個(gè)初始序列號(hào)ISNC
,并置SYN=1,表示需要與服務(wù)器建立連接;服務(wù)器確認(rèn)這個(gè)傳輸后,向客戶(hù)機(jī)返回它本身的序列號(hào)ISNS,并置ACK=1,同時(shí)通知客戶(hù)機(jī)下一個(gè)期待獲得的數(shù)據(jù)序列號(hào)是ISNC+1;最后,客戶(hù)機(jī)再次確認(rèn),完成三次握手的過(guò)程。在這個(gè)三次握手的過(guò)程中,如果能夠推測(cè)出由服務(wù)器返回的序列號(hào)ISNS的值,則可實(shí)現(xiàn)序列號(hào)欺騙攻擊。假設(shè)User是服務(wù)器上的可信任主機(jī),Xser是冒充User的入侵者,那么,如果Xser預(yù)測(cè)出了ISNS的值,則TCP序列號(hào)欺騙攻擊的過(guò)程如下:①
XserServer:SYN(SEQS=ISNC);使用User的IP作為源地址②ServerUser
:SYN(SEQS=ISNS),ACK(SEQA=ISNC+1)③XserServer:ACK(SEQA=ISNS+1);使用User的IP作為源地址在這里,Xser以User的身份向服務(wù)器發(fā)送初始序列號(hào),并置SYN=1,請(qǐng)求與服務(wù)器建立連接;當(dāng)服務(wù)器收到該請(qǐng)求后,向User返回應(yīng)答序列號(hào),如果此時(shí)User能正常工作,則認(rèn)為這是一個(gè)非法數(shù)據(jù)包,而終止連接,使攻擊者的目的落空,否則,攻擊者將繼續(xù)以User的身份向服務(wù)器發(fā)送已推測(cè)出的確認(rèn)序列號(hào)ISNS+1,并與服務(wù)器建立連接,進(jìn)而可在服務(wù)器上行使User的權(quán)限,執(zhí)行相應(yīng)的操作。使用這種攻擊需要具備兩個(gè)基本條件:一是能推測(cè)出序列號(hào)ISNS的值;二是所冒充的可信任主機(jī)不能正常工作。其中,最關(guān)鍵的是要推測(cè)出由服務(wù)器返回的序列號(hào)ISNS的值。由服務(wù)器返回的這個(gè)值可能是個(gè)隨機(jī)數(shù),它通常與被信任主機(jī)和服務(wù)器間的RTT時(shí)間有關(guān),必須經(jīng)過(guò)多次采樣和統(tǒng)計(jì)分析,才可能推測(cè)到這個(gè)值。通常,可重復(fù)多次與被攻擊主機(jī)的某個(gè)端口(如SMTP)建立正常連接,然后斷開(kāi),并記錄每次連接所設(shè)定的ISN值。另外,還需要多次測(cè)試可信任主機(jī)與服務(wù)器間的RTT時(shí)間,并統(tǒng)計(jì)出平均值。根據(jù)這個(gè)RTT時(shí)間值,可以通過(guò)下式估算出ISN的值。一旦估計(jì)出ISN的值,就可進(jìn)行攻擊,這個(gè)攻擊過(guò)程是利用IP欺騙法實(shí)現(xiàn)的。ISN=64000×RTT64000×(RTT+1)當(dāng)目標(biāo)主機(jī)剛剛建立過(guò)一個(gè)連接時(shí)2.IP欺騙IP欺騙是利用可信任主機(jī)的IP地址向服務(wù)器發(fā)起攻擊的。3.2.7計(jì)算機(jī)病毒1.計(jì)算機(jī)病毒的概念與特征所謂計(jì)算機(jī)病毒(ComputerViruses)是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù),影響計(jì)算機(jī)使用,并具有自我復(fù)制功能的一組計(jì)算機(jī)指令或者程序代碼。2.病毒的傳播途徑病毒的傳播途徑大致分為兩類(lèi),一類(lèi)是通過(guò)主機(jī)上的移動(dòng)介質(zhì);另一類(lèi)是通過(guò)網(wǎng)絡(luò)。3.病毒的種類(lèi)根據(jù)病毒的破壞性質(zhì),可將病毒分為良性病毒和惡性病毒兩類(lèi);根據(jù)病毒所攻擊的操作系統(tǒng)情況,可將病毒分為DOS病毒、Windows病毒、Linux病毒和Unix病毒等類(lèi)型;根據(jù)病毒所應(yīng)用的技術(shù)情況,可將病毒分為引導(dǎo)型、文件型和混合型病毒三種類(lèi)型;根據(jù)Internet應(yīng)用情況,可將病毒分為變形病毒、宏病毒、電子郵件病毒、腳本病毒、網(wǎng)絡(luò)蠕蟲(chóng)病毒、黑客、木馬/后門(mén)、Java/ActiveX惡意代碼等多種類(lèi)型。4.感染病毒的癥狀當(dāng)系統(tǒng)受到病毒感染時(shí),可能會(huì)出現(xiàn)下列癥狀:1)程序裝入時(shí)間比平時(shí)長(zhǎng),運(yùn)行異常;2)有規(guī)律的發(fā)現(xiàn)異常信息;3)用戶(hù)訪(fǎng)問(wèn)設(shè)備時(shí)發(fā)現(xiàn)異常情況;4)磁盤(pán)的空間突然變小了,或不識(shí)別磁盤(pán)設(shè)備;5)程序或數(shù)據(jù)神秘的丟失了,文件名不能辨認(rèn);6)顯示器上經(jīng)常出現(xiàn)一些莫名奇妙的信息或異常顯示;7)機(jī)器經(jīng)常出現(xiàn)死機(jī)現(xiàn)象或不能正常啟動(dòng);8)發(fā)現(xiàn)可執(zhí)行文件的大小發(fā)生變化或發(fā)現(xiàn)來(lái)歷不明的隱藏文件等。5.清除病毒的基本方法清除病毒的基本方法包括人工處理和利用反病毒軟件兩種。人工處理方法通過(guò)準(zhǔn)確的分析判斷直接清除病毒,如果發(fā)現(xiàn)磁盤(pán)引導(dǎo)區(qū)的記錄被破壞,可直接用正確的引導(dǎo)記錄復(fù)蓋磁盤(pán)引導(dǎo)區(qū);如果發(fā)現(xiàn)某一文件被病毒感染,可直接使用正常的文件復(fù)蓋被感染的文件或消除鏈接在該文件上的病毒,或者干脆清除該文件等就可清除病毒。通常反病毒軟件具有對(duì)特定種類(lèi)的病毒進(jìn)行檢測(cè)的功能,有的軟件可查出幾十種甚至幾百種病毒,并且大部分反病毒軟件可同時(shí)消除查出來(lái)的病毒。6.預(yù)防病毒的基本措施計(jì)算機(jī)病毒的危害極大。必須采取有效措施,防止計(jì)算機(jī)感染病毒。人工預(yù)防也稱(chēng)標(biāo)志免疫法。因?yàn)槿魏我环N病毒均有一定標(biāo)志,將此標(biāo)志固定在某一位置,然后把程序修改正確,達(dá)到免疫的目的。軟件預(yù)防主要是使用計(jì)算機(jī)病毒的疫苗程序,這種程序能夠監(jiān)督系統(tǒng)運(yùn)行,并防止某些病毒入侵。硬件預(yù)防主要采取兩種方法:一是改變計(jì)算機(jī)系統(tǒng)結(jié)構(gòu);二是插入附加固件。管理預(yù)防是目前最有效和普遍采用一種預(yù)防措施,它通過(guò)以下兩種途徑實(shí)現(xiàn):1)法律制度。規(guī)定制造計(jì)算機(jī)病毒是違法行為,對(duì)罪犯用法律制裁。2)計(jì)算機(jī)系統(tǒng)管理制度。建立系統(tǒng)使用權(quán)限體系、建立健全系統(tǒng)資料和文件的使用管理制度、建立定期清除病毒和更新磁盤(pán)的管理規(guī)定等。3.3入侵檢測(cè)技術(shù)
入侵檢測(cè)(ID,IntrusionDetection)是通過(guò)監(jiān)視各種操作、分析、審計(jì)各種數(shù)據(jù)和現(xiàn)象來(lái)實(shí)時(shí)檢測(cè)入侵行為的過(guò)程,它是一種積極的和動(dòng)態(tài)的安全防御技術(shù)。用于入侵檢測(cè)的所有軟硬件統(tǒng)稱(chēng)為入侵檢測(cè)系統(tǒng)(IDS,IntrusionDetectionSystem)。這個(gè)系統(tǒng)可以通過(guò)網(wǎng)絡(luò)和計(jì)算機(jī)動(dòng)態(tài)地搜集大量關(guān)鍵信息資料,并能及時(shí)分析和判斷整個(gè)系統(tǒng)環(huán)境的目前狀態(tài),一旦發(fā)現(xiàn)有違反安全策略的行為或系統(tǒng)存在被攻擊的痕跡等,立即啟動(dòng)有關(guān)安全機(jī)制進(jìn)行應(yīng)對(duì)。3.3.1入侵檢測(cè)的概念
目前,根據(jù)獲取原始數(shù)據(jù)的方法可以將入侵檢測(cè)系統(tǒng)分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種類(lèi)型?;谥鳈C(jī)的入侵檢測(cè)系統(tǒng)(IDS—HIDS)是通過(guò)監(jiān)視與分析主機(jī)的審計(jì)記錄實(shí)現(xiàn)的,它的關(guān)鍵問(wèn)題是能否及時(shí)準(zhǔn)確的采集到審計(jì)資料,如果這個(gè)采集過(guò)程被入侵者控制,那么入侵檢測(cè)就沒(méi)有意義了。而基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(IDS—NIDS)是通過(guò)在共享網(wǎng)段上對(duì)通信數(shù)據(jù)的偵聽(tīng)采集數(shù)據(jù),并檢測(cè)所有數(shù)據(jù)包的包頭信息,分析可疑現(xiàn)象,從而達(dá)到入侵檢測(cè)的目的。這種方法不需要主機(jī)提供嚴(yán)格的審計(jì),故較少消耗主機(jī)資源。入侵檢測(cè)的三個(gè)環(huán)節(jié)(1)采集信息。采集的主要內(nèi)容包括:系統(tǒng)和網(wǎng)絡(luò)日志、目錄和文件中的敏感數(shù)據(jù)、程序執(zhí)行期間的敏感行為、以及物理形式的入侵等;(2)信息分析。主要通過(guò)與安全策略中的模式匹配、與正常情況下的統(tǒng)計(jì)分析對(duì)比、與相關(guān)敏感信息屬性要求的完整性分析對(duì)比等;(3)入侵檢測(cè)響應(yīng),分主動(dòng)響應(yīng)和被動(dòng)響應(yīng),主動(dòng)響應(yīng)可對(duì)入侵者和被入侵區(qū)域進(jìn)行有效控制。被動(dòng)響應(yīng)只是監(jiān)視和發(fā)出告警信息,其控制需要人介入。3.3.2入侵檢測(cè)技術(shù)及發(fā)展入侵檢測(cè)技術(shù)的發(fā)展已經(jīng)歷了四個(gè)主要階段:第一階段是以基于協(xié)議解碼和模式匹配為主的技術(shù),其優(yōu)點(diǎn)是對(duì)于已知的攻擊行為非常有效,各種已知的攻擊行為可以對(duì)號(hào)入座,誤報(bào)率低;缺點(diǎn)是高超的黑客采用變形手法或者新技術(shù)可以輕易躲避檢測(cè),漏報(bào)率高。第二階段是以基于模式匹配+簡(jiǎn)單協(xié)議分析+異常統(tǒng)計(jì)為主的技術(shù),其優(yōu)點(diǎn)是能夠分析處理一部分協(xié)議,可以進(jìn)行重組,缺點(diǎn)是匹配效率較低,管理功能較弱。第三階段是以基于完全協(xié)議分析+模式匹配+異常統(tǒng)計(jì)為主的技術(shù),其優(yōu)點(diǎn)是誤報(bào)率、漏報(bào)率和濫報(bào)率較低,效率高,可管理性強(qiáng),并在此基礎(chǔ)上實(shí)現(xiàn)了多級(jí)分布式的檢測(cè)管理,缺點(diǎn)是可視化程度不夠,防范及管理功能較弱。第四階段是以基于安全管理+協(xié)議分析+模式匹配+異常統(tǒng)計(jì)為主的技術(shù),其優(yōu)點(diǎn)是入侵管理和多項(xiàng)技術(shù)協(xié)同工作,建立全局的主動(dòng)保障體系,具有良好的可視化、可控性和可管理性。以該技術(shù)為核心,可構(gòu)造一個(gè)積極的動(dòng)態(tài)防御體系,即IMS--入侵管理系統(tǒng)。1.入侵檢測(cè)技術(shù)分類(lèi)從技術(shù)上講,入侵檢測(cè)技術(shù)大致分為基于知識(shí)的模式識(shí)別、基于知識(shí)的異常識(shí)別和協(xié)議分析三類(lèi)。(1)基于知識(shí)的模式識(shí)別這種技術(shù)是通過(guò)事先定義好的模式數(shù)據(jù)庫(kù)實(shí)現(xiàn)的,其基本思想是:首先把各種可能的入侵活動(dòng)均用某種模式表示出來(lái),并建立模式數(shù)據(jù)庫(kù),然后監(jiān)視主體的一舉一動(dòng),當(dāng)檢測(cè)到主體活動(dòng)違反了事先定義的模式規(guī)則時(shí),根據(jù)模式匹配原則判別是否發(fā)生攻擊行為。(2)基于知識(shí)的異常識(shí)別這種技術(shù)是通過(guò)事先建立正常行為檔案庫(kù)實(shí)現(xiàn)的,其基本思想是:首先把主體的各種正?;顒?dòng)用某種形式描述出來(lái),并建立“正?;顒?dòng)檔案”,當(dāng)某種活動(dòng)與所描述的正常活動(dòng)存在差異時(shí),就認(rèn)為是“入侵”行為,進(jìn)而被檢測(cè)識(shí)別。利用行為進(jìn)行識(shí)別時(shí),存在四種可能:一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據(jù)異常識(shí)別思想,把第二種和第四種情況判定為“入侵”行為。以下是幾種基于知識(shí)的異常識(shí)別的檢測(cè)方法:1)基于審計(jì)的攻擊檢測(cè)技術(shù)根據(jù)用戶(hù)的歷史行為、先前的證據(jù)或模型,使用統(tǒng)計(jì)分析方法對(duì)用戶(hù)當(dāng)前的行為進(jìn)行檢測(cè)和判別,當(dāng)發(fā)現(xiàn)可疑行為時(shí),保持跟蹤并監(jiān)視其行為,同時(shí)向系統(tǒng)安全員提交安全審計(jì)報(bào)告。2)基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)技術(shù)而基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)技術(shù)是一個(gè)對(duì)基于傳統(tǒng)統(tǒng)計(jì)技術(shù)的攻擊檢測(cè)方法的改進(jìn)方向,它能夠解決傳統(tǒng)的統(tǒng)計(jì)分析技術(shù)所面臨的若干問(wèn)題。3)基于專(zhuān)家系統(tǒng)的攻擊檢測(cè)技術(shù)所謂專(zhuān)家系統(tǒng)就是一個(gè)依據(jù)專(zhuān)家經(jīng)驗(yàn)定義的推理系統(tǒng)。這種檢測(cè)是建立在專(zhuān)家經(jīng)驗(yàn)基礎(chǔ)上的,它根據(jù)專(zhuān)家經(jīng)驗(yàn)進(jìn)行推理判斷得出結(jié)論。4)基于模型推理的攻擊檢測(cè)技術(shù)攻擊者在入侵一個(gè)系統(tǒng)時(shí)往往采用一定的行為程序,這種行為程序構(gòu)成了某種具有一定行為特征的模型,根據(jù)這種模型所代表的攻擊意圖的行為特征,可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖。用基于模型的推理方法,人們能夠?yàn)槟承┬袨榻⑻囟ǖ哪P停瑥亩軌虮O(jiān)視具有特定行為特征的某些活動(dòng)。根據(jù)假設(shè)的攻擊腳本,這種系統(tǒng)就能檢測(cè)出非法的用戶(hù)行為。(3)協(xié)議分析這種檢測(cè)方法是根據(jù)針對(duì)協(xié)議的攻擊行為實(shí)現(xiàn)的,其基本思想是:首先把各種可能針對(duì)協(xié)議的攻擊行為描述出來(lái),其次建立用于分析的規(guī)則庫(kù),最后利用傳感器檢查協(xié)議中的有效荷載,并詳細(xì)解析,從而實(shí)現(xiàn)入侵檢測(cè)。2.入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)(1)入侵技術(shù)發(fā)展的特點(diǎn)(2)入侵檢測(cè)存在的問(wèn)題IDS的檢測(cè)模型始終落后于攻擊者的新知識(shí)和技術(shù)手段。主要表現(xiàn)在:1)利用加密技術(shù)欺騙IDS;2)躲避IDS的安全策略;3)快速發(fā)動(dòng)進(jìn)攻,使IDS無(wú)法反應(yīng);4)發(fā)動(dòng)大規(guī)模攻擊,使IDS判斷出錯(cuò);5)直接破壞IDS系統(tǒng);6)智能攻擊技術(shù),邊攻擊邊學(xué)習(xí),變IDS為攻擊者的工具。(3)入侵檢測(cè)技術(shù)發(fā)展趨勢(shì)。1)分布式入侵檢測(cè),擴(kuò)大檢測(cè)范圍和類(lèi)別;2)智能化入侵檢測(cè),自學(xué)習(xí)、自適應(yīng);3)應(yīng)用層入侵檢測(cè);4)高速入侵檢測(cè);5)標(biāo)準(zhǔn)化和系統(tǒng)化入侵檢測(cè)。目前,IDS發(fā)展的新趨勢(shì)主要表現(xiàn)在兩個(gè)方向上,一個(gè)是趨向構(gòu)建入侵防御系統(tǒng)(IPS)。二是趨向構(gòu)建入侵管理系統(tǒng)(IMS)。入侵檢測(cè)是一門(mén)綜合性技術(shù),既包括實(shí)時(shí)檢測(cè)技術(shù),也有事后分析技術(shù)。由于攻擊的不確定性,單一的IDS產(chǎn)品可能無(wú)法做到面面俱到。因此,IDS的未來(lái)發(fā)展必然是多元化的。只有通過(guò)不斷改進(jìn)和完善技術(shù)才能更好地協(xié)助網(wǎng)絡(luò)進(jìn)行安全防御。3.3.3入侵檢測(cè)系統(tǒng)1.基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)系統(tǒng)用于防止對(duì)單機(jī)節(jié)點(diǎn)的入侵,它駐留在單機(jī)節(jié)點(diǎn)內(nèi)部,并以單機(jī)節(jié)點(diǎn)上OS的審計(jì)信息為依據(jù)來(lái)檢測(cè)入侵行為,其檢測(cè)目標(biāo)主要是主機(jī)系統(tǒng)和本機(jī)用戶(hù),其檢測(cè)過(guò)程如圖3.4所示。這種檢測(cè)系統(tǒng)完全依賴(lài)于審計(jì)數(shù)據(jù)或系統(tǒng)日志數(shù)據(jù)的準(zhǔn)確性和完整性以及對(duì)安全事件的定義。如果攻擊者設(shè)法逃避審計(jì)或里應(yīng)外合,則該檢測(cè)系統(tǒng)就暴露出其至命的弱點(diǎn),特別是在網(wǎng)絡(luò)環(huán)境下。事實(shí)上,僅僅依靠主機(jī)的審計(jì)信息來(lái)完成入侵檢測(cè)功能很難適應(yīng)網(wǎng)絡(luò)安全的基本要求,這主要表現(xiàn)在以下幾個(gè)方面:1)主機(jī)審計(jì)信息極易受到攻擊,入侵者可以通過(guò)使用某些特權(quán)或調(diào)用比審計(jì)本身更低級(jí)的操作來(lái)逃避審計(jì);2)利用主機(jī)審計(jì)信息無(wú)法檢測(cè)到網(wǎng)絡(luò)攻擊,如域名欺騙、端口掃描等;3)由于在主機(jī)上運(yùn)行入侵檢測(cè)系統(tǒng),所以或多或少影響主機(jī)的性能;攻擊數(shù)據(jù)庫(kù)配置系統(tǒng)庫(kù)入侵檢測(cè)器應(yīng)急措施主機(jī)系統(tǒng)報(bào)警作操統(tǒng)系審計(jì)記錄圖3.4基于主機(jī)的入侵檢測(cè)系統(tǒng)2.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)用于防止對(duì)某網(wǎng)絡(luò)的入侵,它放置在防火墻附近,從防火墻內(nèi)部或外部監(jiān)視整個(gè)網(wǎng)絡(luò),并根據(jù)一些關(guān)鍵因素分析進(jìn)出網(wǎng)絡(luò)的網(wǎng)絡(luò)包,判斷是否與已知的攻擊或可疑的活動(dòng)相匹配,一經(jīng)發(fā)現(xiàn)立即響應(yīng)并做出處理。圖3.5所示的系統(tǒng)是由檢測(cè)器、分析引擎、網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)、以及安全策略構(gòu)成。檢測(cè)器的功能是按一定的規(guī)則從網(wǎng)絡(luò)上獲取與安全事件相關(guān)的數(shù)據(jù)包,然后將所捕獲的數(shù)據(jù)包傳遞給分析引擎;分析引擎從檢測(cè)器接收到數(shù)據(jù)包后立即結(jié)合網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)進(jìn)行安全分析和判斷,并將分析結(jié)果發(fā)送給安全策略;安全策略根據(jù)分析引擎?zhèn)鱽?lái)的結(jié)果構(gòu)造出滿(mǎn)足檢測(cè)器需要的配置規(guī)則,并將配置規(guī)則反饋給檢測(cè)器。與防火墻相比,入侵檢測(cè)系統(tǒng)并不具備阻止攻擊的能力,但它可以及時(shí)發(fā)現(xiàn)攻擊,并以報(bào)警方式向管理員發(fā)出警告。目前有些入侵檢測(cè)產(chǎn)品增加了中斷入侵會(huì)話(huà)和非法修改訪(fǎng)問(wèn)控制表的功能,但是,這也為攻擊者制造了拒絕服務(wù)攻擊的機(jī)會(huì)。網(wǎng)絡(luò)中的數(shù)據(jù)分析引擎安全策略網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)檢測(cè)器分析結(jié)果圖3.5基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜化和大型化,網(wǎng)絡(luò)系統(tǒng)的弱點(diǎn)或漏洞不斷呈分布式結(jié)構(gòu)。網(wǎng)絡(luò)入侵行為也不在是單一化,而是呈多元化、分布式和大規(guī)模入侵等特點(diǎn),在這種情況下,基于分布式的入侵檢測(cè)系統(tǒng)應(yīng)運(yùn)而生。這種系統(tǒng)的控制結(jié)構(gòu)是基于自治主體的,它采用相互獨(dú)立并獨(dú)立于系統(tǒng)而運(yùn)行的進(jìn)程組,進(jìn)程組中的每個(gè)進(jìn)程就是一個(gè)能完成特定檢測(cè)任務(wù)的自治主體,如圖3.6所示。訓(xùn)練模塊網(wǎng)絡(luò)層數(shù)據(jù)鏈路層自治主體操作員控制圖3.6基于分布式的入侵檢測(cè)系統(tǒng)在圖3.6所示的系統(tǒng)中,入侵檢測(cè)是由自治主體完成的,每個(gè)自治主體各負(fù)其責(zé),嚴(yán)密監(jiān)視網(wǎng)絡(luò)系統(tǒng)中各種信息流的狀態(tài)。在基于分布式的系統(tǒng)中,一個(gè)重要的應(yīng)用思想就是主體協(xié)作。每個(gè)自治主體負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)信息流的一個(gè)方面,多個(gè)自治主體相互協(xié)作,分布檢測(cè),共同完成一項(xiàng)檢測(cè)任務(wù)。綜上所述,不論是何種入侵檢測(cè)系統(tǒng)都存在這樣或那樣的不足,因而需要不斷改進(jìn)和完善,一個(gè)較為理想的入侵檢測(cè)系統(tǒng)應(yīng)具備以下特征:1)準(zhǔn)確性。檢測(cè)系統(tǒng)對(duì)發(fā)現(xiàn)的攻擊行為不應(yīng)出現(xiàn)誤報(bào)和漏報(bào)現(xiàn)象;
2)可靠性。
3)容錯(cuò)性。檢測(cè)系統(tǒng)本身必須具備完整性,保證檢測(cè)用的知識(shí)庫(kù)系
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 政府采購(gòu)圖書(shū)設(shè)備合同
- 工業(yè)用途管材采購(gòu)協(xié)議
- 商業(yè)店鋪?zhàn)赓U合同解除
- 四招標(biāo)文件的審核
- 市政建設(shè)質(zhì)量承諾
- 橋梁建設(shè)勞務(wù)分包協(xié)議書(shū)
- 二手大型機(jī)械買(mǎi)賣(mài)合同
- 水上交通艇購(gòu)買(mǎi)合同樣本
- 臨時(shí)貸款展期合同范本
- 全面咨詢(xún)合同資料
- CHT 9009.2-2010 基礎(chǔ)地理信息數(shù)字成果1:5 000 1:10 000 1:25 000 1:50 000 1:100 000數(shù)字高程模型
- A課堂懲罰游戲
- 中國(guó)畫(huà)基礎(chǔ)-梅蘭竹菊智慧樹(shù)知到期末考試答案章節(jié)答案2024年華僑大學(xué)
- 工作轉(zhuǎn)正答辯問(wèn)題
- 供應(yīng)鏈金融平臺(tái)設(shè)計(jì)方案
- 網(wǎng)絡(luò)安全技術(shù)知識(shí)競(jìng)賽考試題庫(kù)500題(含答案)
- 外墻水包水清工施工合同
- 2023年國(guó)家糧食和物資儲(chǔ)備局招聘考試真題及答案
- 自然資源學(xué)原理(緒論)蔡運(yùn)龍
- 《零件測(cè)繪》學(xué)業(yè)水平考試題庫(kù)(濃縮300題)
- 高空作業(yè)安全免責(zé)聲明
評(píng)論
0/150
提交評(píng)論