7網(wǎng)絡(luò)安全技術(shù)

第七章網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)入侵和安全防范實(shí)際上就是指網(wǎng)絡(luò)攻防技術(shù)。攻擊技術(shù)包括目標(biāo)網(wǎng)絡(luò)信息收集技術(shù)，目標(biāo)網(wǎng)絡(luò)權(quán)限提升技術(shù)，目標(biāo)網(wǎng)絡(luò)滲透技術(shù)，目標(biāo)網(wǎng)絡(luò)摧毀技術(shù)四大類。我們面對(duì)越來(lái)越多的新技術(shù)的攻擊。網(wǎng)絡(luò)安全防護(hù)技術(shù)具體來(lái)說(shuō)包括攻擊檢測(cè)，攻擊防范，攻擊后的恢復(fù)這三個(gè)大方向，每一個(gè)方向上有代表性的產(chǎn)品：入侵檢測(cè)系統(tǒng)負(fù)責(zé)進(jìn)展攻擊檢測(cè)，防火墻和強(qiáng)制訪問(wèn)掌握系統(tǒng)負(fù)責(zé)攻擊防范，攻擊后的恢復(fù)則由自動(dòng)恢復(fù)系統(tǒng)來(lái)解決。這三大方向就說(shuō)明白在網(wǎng)絡(luò)安全防護(hù)上的多層安全防護(hù)措施。本課學(xué)問(wèn)點(diǎn)網(wǎng)絡(luò)存在的威逼、網(wǎng)絡(luò)安全技術(shù)分類、黑客的歷史與現(xiàn)狀。網(wǎng)絡(luò)攻擊的分類及一般步驟用掃描、監(jiān)聽(tīng)與嗅探。口令破解及如何設(shè)置安全的口令。如何實(shí)現(xiàn)隱蔽以及幾種常見(jiàn)的入侵攻擊方法后門和特洛伊木馬第1小節(jié)網(wǎng)絡(luò)安全概述隨著網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問(wèn)題。Internet所具有的開(kāi)放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí)，對(duì)安全提出了更高的要求。網(wǎng)絡(luò)存在的威逼網(wǎng)絡(luò)安全技術(shù)介紹網(wǎng)絡(luò)存在的威逼一般認(rèn)為，目前網(wǎng)絡(luò)存在的威逼主要表現(xiàn)如下幾點(diǎn)非授權(quán)訪問(wèn)，指沒(méi)有預(yù)先經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源。信息泄漏或喪失，指敏感數(shù)據(jù)在有意或無(wú)意中被泄漏出去或喪失破壞數(shù)據(jù)完整性，指以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)拒絕效勞攻擊，指它不斷對(duì)網(wǎng)絡(luò)效勞系統(tǒng)進(jìn)展干擾利用網(wǎng)絡(luò)傳播病毒，指通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，而且用戶很難防范。網(wǎng)絡(luò)安全技術(shù)簡(jiǎn)介

入侵檢測(cè)技術(shù)目的是供給實(shí)時(shí)的入侵檢測(cè)及實(shí)行相應(yīng)的防護(hù)手段防火墻〔FireWall〕技術(shù)防火墻〔FireWall〕是用一個(gè)或一組網(wǎng)絡(luò)設(shè)備〔計(jì)算機(jī)系統(tǒng)或路由器等〕，在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問(wèn)掌握，以愛(ài)護(hù)一個(gè)網(wǎng)絡(luò)不受來(lái)自另一個(gè)網(wǎng)絡(luò)攻擊的安全技術(shù)網(wǎng)絡(luò)加密和認(rèn)證技術(shù)網(wǎng)絡(luò)防病毒技術(shù)。網(wǎng)絡(luò)備份技術(shù)第2小節(jié)黑客黑客與入侵者什么是黑客呢？黑客一詞，源于英文Hacker，原指熱心于計(jì)算機(jī)技術(shù)，水平超群的電腦專家，尤其是程序設(shè)計(jì)人員。入侵者〔Cracker，有人翻譯成“駭客”〕是那些利用網(wǎng)絡(luò)漏洞破壞系統(tǒng)的人，他們往往會(huì)通過(guò)計(jì)算機(jī)系統(tǒng)漏洞來(lái)入侵。黑客的歷史與現(xiàn)狀黑客動(dòng)向有以下幾個(gè)特點(diǎn)：組織越來(lái)越擴(kuò)大化行動(dòng)越來(lái)越公開(kāi)化案件越來(lái)越頻繁化狀況越來(lái)越簡(jiǎn)單化第3小節(jié)網(wǎng)絡(luò)攻擊在最高層次，攻擊可被分為如下兩類：主動(dòng)攻擊主動(dòng)攻擊包含攻擊者訪問(wèn)他所需信息的有意行為被動(dòng)攻擊被動(dòng)攻擊主要是收集信息而不是進(jìn)展訪問(wèn)，數(shù)據(jù)的合法用戶對(duì)這種活動(dòng)一點(diǎn)也不會(huì)覺(jué)察。攻擊的步驟：隱蔽探測(cè)找出被信任的主機(jī)查找目標(biāo)網(wǎng)中的漏洞攻擊第4小節(jié)掃描

探測(cè)、收集目標(biāo)信息的方法主要有掃描、監(jiān)聽(tīng)和嗅探。掃描是一種主動(dòng)獵取信息的方法，而監(jiān)聽(tīng)、嗅探是被動(dòng)的探測(cè)方法。掃描按內(nèi)容可分為:端口掃描系統(tǒng)掃描漏洞掃描掃描的范圍可分為單機(jī)掃描網(wǎng)段掃描端口掃描

“端口掃描”通常指用同一信息對(duì)目標(biāo)計(jì)算機(jī)的全部所需掃描的端口進(jìn)展發(fā)送，然后依據(jù)返回的端口狀態(tài)來(lái)分析目標(biāo)計(jì)算機(jī)的端口是否翻開(kāi)、是否可用。端口掃描器在掃描過(guò)程中主要具有以下三個(gè)方面的力量。〔1〕覺(jué)察一個(gè)計(jì)算機(jī)或網(wǎng)絡(luò)的力量。〔2〕一旦覺(jué)察一臺(tái)計(jì)算機(jī)，就有覺(jué)察目標(biāo)計(jì)算機(jī)正在運(yùn)行什么效勞的力量。〔3〕通過(guò)測(cè)試目標(biāo)計(jì)算機(jī)上的這些效勞，覺(jué)察存在的漏洞的力量。利用原始套接字編程進(jìn)展掃描可以制定特定的數(shù)據(jù)格式實(shí)現(xiàn)更為隱蔽的掃描如:TCPSYN掃描TCPFIN掃描IP段掃描ICMP掃描ICMP掃描ICMP〔InternetControlMessageProtocol，Internet掌握信息協(xié)議〕為IP堆棧發(fā)送簡(jiǎn)潔的信息，其中也包括錯(cuò)誤信息?！?〕Ping操作是最常用的ICMP應(yīng)用。〔2〕ICMP的時(shí)間戳〔Timestamp，類型13〕會(huì)產(chǎn)生一個(gè)時(shí)間戳應(yīng)答〔TimestampReply，類型14〕，但是只有在UNIX系統(tǒng)中才消失這種狀況，微軟的IP堆棧中沒(méi)有此項(xiàng)功能。〔3〕ICMP地址掩碼懇求〔AddressMaskRequest，類型16〕只會(huì)被路由器通過(guò)地址掩碼應(yīng)AddressMaskReply，類型17〕來(lái)答復(fù)。〔4〕重定向報(bào)文〔Redirect，類型5〕用于調(diào)整路由表。〔5〕超時(shí)報(bào)文〔TimeExceeded，類型11〕通常用于錯(cuò)誤處理，也可以用于定位網(wǎng)絡(luò)。系統(tǒng)掃描\漏洞掃描

通過(guò)端口掃描，初步確定了系統(tǒng)供給的效勞和存在的后門。但這種確定是選取默認(rèn)值，即認(rèn)定某一端口供給某種效勞，例如80端口便認(rèn)定為供給HTTP效勞，這種認(rèn)定是不準(zhǔn)確的。另外為要了解目標(biāo)的漏洞和進(jìn)一步的探測(cè)，則需對(duì)目標(biāo)的操作系統(tǒng)、供給各項(xiàng)效勞所使用的軟件、用戶、系統(tǒng)配置信息等進(jìn)展掃描，這就是系統(tǒng)掃描。漏洞掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。通過(guò)使用漏洞掃描器，系統(tǒng)治理員能夠覺(jué)察所維護(hù)效勞器的各種TCP端口的安排、供給的效勞、Web效勞軟件版本和這些效勞及軟件呈現(xiàn)在Internet上的安全漏洞。掃描器實(shí)例

在國(guó)外比較常用的有Nmap、CerberusInternetScanner〔簡(jiǎn)稱CIS〕以及SATAN；國(guó)內(nèi)的有安全焦點(diǎn)的X-Scanner與小榕的流光。Nmap

安裝Nmap常用掃描類型常用掃描類型下面是Nmap支持的四種最根本的掃描方式?！?〕TCPconnect端口掃描〔-sT參數(shù)〕。〔2〕TCP同步〔SYN〕端口掃描〔-sS參數(shù)〕?！?〕UDP端口掃描〔-sU參數(shù)〕?！?〕Ping掃描〔-sP參數(shù)〕X-Scanner

掃描設(shè)置掃描過(guò)程及結(jié)果X-Scanner會(huì)將掃描結(jié)果保存在/log/名目中，index_*.htm為掃描結(jié)果索引文件,并對(duì)于一些漏洞，X-Scanner給出了相應(yīng)的漏洞描述，利用程序及解決方案。X-Scanner掃描的內(nèi)容是絕大多數(shù)的效勞器簡(jiǎn)潔消失的漏洞和安全設(shè)置問(wèn)題。最常用的還是其中的SQL默認(rèn)賬戶、FTP弱口令和共享掃描，他們能提醒出很多麻痹大意的網(wǎng)管簡(jiǎn)潔犯的一些低級(jí)錯(cuò)誤。第5小節(jié)監(jiān)聽(tīng)與嗅探

監(jiān)聽(tīng)與嗅探是用于捕獲流過(guò)嗅探器位置的網(wǎng)絡(luò)數(shù)據(jù)包，并對(duì)其進(jìn)展分析。由于流過(guò)的數(shù)據(jù)量特別大，因而必需有針對(duì)性的對(duì)數(shù)據(jù)過(guò)濾和分析，按分析的數(shù)據(jù)劃分可分為本機(jī)監(jiān)聽(tīng)、網(wǎng)段監(jiān)聽(tīng)和密文嗅探。通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)、嗅探可了解網(wǎng)絡(luò)中通信狀況，截獲傳輸?shù)男畔ⅲ崛∨c口令相關(guān)的數(shù)據(jù)。監(jiān)聽(tīng)、嗅探的實(shí)施受網(wǎng)絡(luò)物理構(gòu)造的限制，它們是將網(wǎng)卡設(shè)置為混雜〔promiscuous〕模式，即對(duì)流經(jīng)網(wǎng)卡的全部數(shù)據(jù)全部接收。本機(jī)監(jiān)聽(tīng)\網(wǎng)段監(jiān)聽(tīng)

本機(jī)監(jiān)聽(tīng)多用于安全防范，查看是否有非法連接和后門程序的存在。進(jìn)展網(wǎng)段監(jiān)聽(tīng)可以覺(jué)察哪些主機(jī)之間正在進(jìn)展頻繁、大量的數(shù)據(jù)傳輸，以此來(lái)推想網(wǎng)段中主機(jī)之間的相互信任關(guān)系。通過(guò)監(jiān)聽(tīng)得悉網(wǎng)絡(luò)通信狀況，分析網(wǎng)絡(luò)中的數(shù)據(jù)流量，確定網(wǎng)絡(luò)中通信、掌握中樞。嗅探器及其防范嗅探器可以捕獲網(wǎng)絡(luò)上全部的報(bào)文，但實(shí)際上嗅探必需對(duì)報(bào)文進(jìn)展選擇，可以依據(jù)以下幾點(diǎn):地址協(xié)議關(guān)鍵字報(bào)文大小通常防范嗅探器主要有以下幾種方法:安全的拓?fù)錁?gòu)造用靜態(tài)的ARP或者IP－MAC對(duì)應(yīng)表代替動(dòng)態(tài)的ARP或者IP－MAC對(duì)應(yīng)表會(huì)話加密第6小節(jié)口

令

安

全

口令破解口令破解中最快的是利用系統(tǒng)漏洞進(jìn)展破解，其次利用字典破解，最慢的是利用加密算法的逆運(yùn)算進(jìn)展破解。設(shè)置安全的口令選擇有效的口令可從以下幾個(gè)方面入手:千萬(wàn)不要使用你的用戶名或真名做口令。不要認(rèn)為口令只能是數(shù)字，或只能是字母，口令可以使用：26×2〔大小寫(xiě)字母〕+10〔數(shù)字〕+33〔標(biāo)點(diǎn)符號(hào)〕=95個(gè)字符。不要使用對(duì)稱性密碼，如!dfd!。第6小節(jié)口

令

安

全

4.口令越長(zhǎng)，“暴力搜尋”需要的時(shí)間就越長(zhǎng)。5.不要使用你的配偶、孩子、寵物、朋友或所在地的名字，以及生日、證件號(hào)碼、號(hào)碼等有關(guān)你的任何信息做口令。6.不要使用任何語(yǔ)言的單詞或單詞的變形作口令。7.千萬(wàn)不要將口令告知他人，無(wú)論他是誰(shuí)或聲稱是誰(shuí)。8.在不同的登錄中不要使用同一個(gè)口令。9.永久不要對(duì)你的口令過(guò)于自信，要定期更換口令。10.假設(shè)登錄過(guò)程中消失了令人意外的現(xiàn)象，要考慮到是否有“特洛伊木馬”偽裝的登錄屏正在套取你的口令或用戶名？去除記錄日志文件具體記錄了系統(tǒng)中任何人所做的任何事情。很多治理員沒(méi)有將記錄日志文件的功能選項(xiàng)翻開(kāi)，而且即使翻開(kāi)了，也沒(méi)有對(duì)它進(jìn)展定期閱讀。除了系統(tǒng)自帶的安全審計(jì)外，網(wǎng)絡(luò)治理人員還可能安裝了第三方監(jiān)測(cè)程序，對(duì)于查找這些程序產(chǎn)生的記錄可以通過(guò)以下方法:〔1〕檢查已經(jīng)安裝的安全程序?！?〕檢查SYSLOG配置和記錄?！?〕搜尋全部在登錄后有變化的文件?！?〕查找全部翻開(kāi)的文件、程序。第7小節(jié)隱藏⑴通過(guò)跳板、代理實(shí)現(xiàn)隱蔽假設(shè)獲得了用戶登錄口令，則可進(jìn)一步登錄到系統(tǒng)中；假設(shè)沒(méi)能獲得口令，則實(shí)行其他的方法如測(cè)試系統(tǒng)可能存在的漏洞，如利用監(jiān)聽(tīng)、嗅探捕獲密文，暴力攻擊等方法，但在進(jìn)展這些行動(dòng)之前最好先完成必要的防范措施。首先監(jiān)聽(tīng)自身網(wǎng)絡(luò)安全性，假設(shè)覺(jué)察被追蹤跡象則馬上暫?；螂x線，接著查找防止被跟蹤〔即到達(dá)隱蔽目的〕的方法和途徑。實(shí)現(xiàn)隱蔽則要使對(duì)方不產(chǎn)生記錄或記錄錯(cuò)誤；假設(shè)掌握權(quán)限較高或利用漏洞可去除記錄，還可搜尋可用于作為中轉(zhuǎn)跳板的主機(jī)。第8小節(jié)入侵攻擊拒絕效勞攻擊緩沖區(qū)溢出攻擊哄騙攻擊拒絕效勞攻擊通常拒絕效勞攻擊可分為以下兩種類型第一種是使一個(gè)系統(tǒng)或網(wǎng)絡(luò)癱瘓其次種攻擊是向系統(tǒng)或網(wǎng)絡(luò)發(fā)送大量信息，使系統(tǒng)或網(wǎng)絡(luò)不能響應(yīng)拒絕效勞攻擊類型:PingofDeathTearDropLandSmurfSYNfloodWinNukeRPCLocator分布式拒絕效勞攻擊一個(gè)比較完善的DDoS攻擊體系分成以下四大局部。攻擊者所在機(jī)掌握機(jī)〔用來(lái)掌握傀儡機(jī)〕傀儡機(jī)受害者緩沖區(qū)溢出攻擊

其中最著名的例子是：1988年，Internet蠕蟲(chóng)程序在finger中利用緩沖區(qū)溢出感染了Internet中的數(shù)千臺(tái)機(jī)器。目前主要有以下四種根本的方法愛(ài)護(hù)緩沖區(qū)免受緩沖區(qū)溢出的攻擊和影響

非執(zhí)行的緩沖區(qū)編寫(xiě)正確的代碼數(shù)組邊界檢查程序指針完整性檢查哄騙攻擊ARP數(shù)據(jù)包哄騙DNS哄騙WEB哄騙根本的網(wǎng)站哄騙man-in-the-middle攻擊URL重寫(xiě)電子郵件哄騙相像的電子郵件地址修改郵件客戶身份登錄SMTP效勞器第9小節(jié)后門和特洛伊木馬什么是后門和木馬幾個(gè)常見(jiàn)的木馬怎樣檢測(cè)與去除木馬什么是后門和木馬簡(jiǎn)潔地說(shuō)，后門〔backdoor〕就是攻擊者再次進(jìn)入網(wǎng)絡(luò)或者是系統(tǒng)而不被覺(jué)察的隱蔽通道。特洛伊木馬是一個(gè)包含在一個(gè)合法程序中的非法的程序。該非法程序被用戶在不知情的狀況下執(zhí)行。其名稱源于古希臘的特洛伊木馬神話。一般的木馬都有客戶端和效勞器端兩個(gè)執(zhí)行程序，其中客戶端是用于攻擊者遠(yuǎn)程掌握植入木馬的機(jī)器，效勞器端程序即是木馬程序。攻擊OICQ密碼的GOP木馬幾個(gè)常見(jiàn)的木馬

BO2023BO的全稱是BackOrifice〔文雅一點(diǎn)的中文譯名應(yīng)當(dāng)叫后門〕。它是一個(gè)可以搜集信息、執(zhí)行系統(tǒng)命令、重設(shè)置機(jī)器、重定向網(wǎng)絡(luò)的客戶機(jī)／效勞器應(yīng)用程序。冰河冰河是一個(gè)免費(fèi)軟件，主要用于遠(yuǎn)程監(jiān)控。NetspyNetspy是國(guó)內(nèi)高手編寫(xiě)的一個(gè)Windows95／98下運(yùn)行的客戶機(jī)/效勞器模式的遠(yuǎn)程掌握軟件，它由客戶程序和效勞器程序兩局部組成Happy99Happy99是一個(gè)在Internet上傳播的蠕蟲(chóng)程序，主要以郵件的形式傳遞。怎樣檢測(cè)與去除木馬1．木馬程序的檢測(cè)鼠標(biāo)操作首先，查看system.ini、win.ini、啟動(dòng)組中的啟開(kāi)