信息對(duì)抗技術(shù)-緒論.ppt

1、信息對(duì)抗技術(shù),韓 宏,網(wǎng)絡(luò)攻防緒論,網(wǎng)絡(luò)安全現(xiàn)狀堪憂 當(dāng)今網(wǎng)絡(luò)不斷普及和信息化不斷推廣滲透的背景下，黑客入侵已經(jīng)嚴(yán)重影響到各個(gè)領(lǐng)域的工作。,（一）網(wǎng)絡(luò)攻擊呈現(xiàn)的趨勢(shì),攻擊自動(dòng)化 攻擊人員組織化和非技術(shù)化 攻擊目標(biāo)多樣化 攻擊的協(xié)同化 攻擊的智能化 普遍泛濫的拒絕服務(wù)攻擊 攻擊的主動(dòng)性,（二）網(wǎng)絡(luò)攻擊的分類,按攻擊目標(biāo)的分類主要包括以下幾種 （1）攻擊信息保密性 （2）攻擊信息完整性 （3攻擊服務(wù)的可用性,（1）攻擊保密性,網(wǎng)絡(luò)監(jiān)聽：通過網(wǎng)絡(luò)監(jiān)聽能夠獲得許多信息。因?yàn)槲覀円话憔钟蚓W(wǎng)是以太網(wǎng)，具有廣播的性質(zhì)，所以，只要將網(wǎng)卡設(shè)定為混雜模式就可以接受網(wǎng)絡(luò)上所有的報(bào)文。 一般我們會(huì)用一個(gè)庫libpca

2、p來抓包，這是unix上的一個(gè)庫，其windows版本也可以獲得叫winpcap.,一個(gè)盜看email的例子 因?yàn)閑mail使用的smtp協(xié)議是不加密的，所以可以通過監(jiān)聽，獲取其中的內(nèi)容。我們只需要用sniffer去抓包，然后將包含口令的報(bào)文找出來，這時(shí)口令是明文方式存放的，那么我們就可以用別人的身份去check mail了。,社會(huì)工程 這是最被一般人忽略，但實(shí)際很有效的一種方法，比如，從廢紙中收集重要信息，假冒權(quán)威機(jī)構(gòu)發(fā)送信息，騙取密碼等等。 保密的最大強(qiáng)度就是所涉及環(huán)節(jié)中最弱環(huán)節(jié)的保密強(qiáng)度，而社會(huì)工程往往成為最薄弱的環(huán)節(jié)。甚至可能買了防火墻，卻從來不配置，密碼用非常簡單的等等,一次親歷的密

3、碼問題 我曾經(jīng)中過一次病毒，每次刪除后又有，后來到網(wǎng)上查詢，發(fā)現(xiàn)該病毒是猜測(cè)用戶的口令，然后再網(wǎng)絡(luò)上傳遞。當(dāng)時(shí)我的口令已經(jīng)是10個(gè)字符，但可能規(guī)律了一點(diǎn)，當(dāng)我重新修改為16個(gè)字符后，該病毒就銷聲匿跡了。,Ip spoof 假冒某個(gè)IP或者網(wǎng)站誘惑被攻擊者。比如可以假冒某銀行的網(wǎng)站，或做的和真正的差不多，域名也有混淆性，比如， 和。這樣用戶如果真的登陸并輸入密碼，他可以報(bào)一個(gè)服務(wù)器錯(cuò)誤麻痹你，但是卻獲得了重要信息,電子信息攔截 比如，可以在街上就能通過捕獲顯示器上微弱的輻射，重現(xiàn)上面的圖像。 手機(jī)可以監(jiān)聽，無線網(wǎng)可以監(jiān)聽等等,（2）攻擊信息的完整性,信息完整性是防止未經(jīng)授權(quán)修改信息，比如我們平常

4、的口令保護(hù)就是維護(hù)完整性的手段。,身份認(rèn)證攻擊,密碼猜測(cè) 口令盜竊 攻擊協(xié)議實(shí)現(xiàn)/設(shè)計(jì)缺陷 中繼攻擊,會(huì)話劫持,把別人的會(huì)話霸占，然后攻擊者繼續(xù)被劫持的會(huì)話。典型的例子是tcp劫持，可以參考hunt這個(gè)程序，他可以劫持telnet.,程序異常輸入,這里包括緩沖區(qū)溢出攻擊，sql攻擊等，以最簡單的SQL攻擊為例，可以比較容易的繞過口令的限制 比如，我們寫sql時(shí)，可能在驗(yàn)證身份時(shí)，初學(xué)者會(huì)寫出如下代碼： “select . Where _password = ” + password + “ and _userid =” + userid + “”;,這里的_password時(shí)字段名字，而pas

5、sword是從界面獲得的用戶輸入的口令,本來是要比較用戶的口令是否為設(shè)定值，但如果攻擊者輸入的是or 1=1 - select where _password= or 1=1 -,后門程序,就是在系統(tǒng)上悄悄安放的程序，可以監(jiān)測(cè)系統(tǒng)活動(dòng)情況，可以避開被攻擊者的檢查，對(duì)被控系統(tǒng)為所欲為。 國內(nèi)比較著名的是冰河。,最強(qiáng)力攻擊是溢出攻擊 因?yàn)樗苯尤肭值綄?duì)方的主機(jī)和服務(wù)器。當(dāng)攻擊者以根權(quán)限入侵到你的主機(jī)，他就幾乎可以為所欲為了。 什么是溢出攻擊呢？就是向有問題的服務(wù)程序發(fā)送一段特別構(gòu)建的超長字符串，使得被攻擊程序把它當(dāng)作代碼執(zhí)行，最直接的作用就是獲得一個(gè)遠(yuǎn)程shell,如同telnet,（3）攻擊網(wǎng)絡(luò)

6、可用性,簡單地講，就是使正常可以使用的服務(wù)，無法使用,消耗網(wǎng)絡(luò)帶寬 主要的Dos攻擊都是這種類型，比如ping 洪水，smurf，tcp半開連接洪水攻擊，分布式拒絕服務(wù)攻擊DDos。,一個(gè)email斷尾攻擊的故事 一個(gè)月使得信息中心多付出10多萬的費(fèi)用作為出國流量費(fèi)。,消耗磁盤空間 故意制造出錯(cuò)信息，造成系統(tǒng)日志消耗大量空間 垃圾郵件 消耗cpu和內(nèi)存資源 比如早期的winNT上有一個(gè)淚滴攻擊就是使cpu利用率達(dá)到100%。,網(wǎng)絡(luò)蠕蟲 這是一個(gè)綜合體，主要是消耗帶寬，也破壞主機(jī)系統(tǒng)。最大的特色就是能自己在網(wǎng)絡(luò)中傳播。它是多種技術(shù)的綜合體，關(guān)鍵部分是溢出攻擊。,網(wǎng)絡(luò)防御技術(shù)的分類,針對(duì)攻擊技術(shù)攻

7、擊的三個(gè)部分防御技術(shù)也是有的放矢。 針對(duì)保密性： 加密/認(rèn)證技術(shù) 社會(huì)工程，加強(qiáng)保密教育 防電子信息泄漏 防止網(wǎng)絡(luò)偵聽,針對(duì)完整性 完善的認(rèn)證機(jī)制 基于不同策略的溢出攻擊檢查和防護(hù) 文件完整性檢查 后門監(jiān)測(cè)工具 容錯(cuò)系統(tǒng)，災(zāi)難恢復(fù)系統(tǒng),針對(duì)普遍的攻擊手段 防火墻（防止了可用性攻擊，也防止了一部分網(wǎng)絡(luò)泄密） 入侵檢測(cè)系統(tǒng)，又針對(duì)特殊攻擊，也有針對(duì)普遍攻擊的入侵發(fā)現(xiàn)系統(tǒng) 漏洞探測(cè)系統(tǒng)，一方面被應(yīng)用于入侵，一方面也用于防護(hù)，提前發(fā)現(xiàn)漏洞加以改善。 審計(jì)系統(tǒng)，用于事后分析，發(fā)現(xiàn)問題 蜜罐系統(tǒng)，誘騙攻擊者，并分析其攻擊手段,攻擊的流程,一般分為以下幾個(gè)步驟： 掃描：發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，可用端口服務(wù)，漏洞檢

8、測(cè)。 入侵服務(wù)，獲得根權(quán)限：尋找到弱點(diǎn)后，通過，口令猜測(cè)、溢出攻擊利用等不同手段獲得根權(quán)限。 收集所需信息，安裝后門：在收集了相關(guān)信息后，安裝后門，供未來再次入侵作準(zhǔn)備。 離開系統(tǒng)，隱藏痕跡：將可能紀(jì)錄入侵的痕跡擦除。,根據(jù)攻擊目的的不同，有些步驟會(huì)有差異： 例如，獲取根權(quán)限，可以不通過掃描然后溢出攻擊完成，而可以通過誘騙被攻擊者安放特洛伊木馬完成。 例如：openssl的下載網(wǎng)站被攻陷后，有人將加入了后門的源代碼放在網(wǎng)站上，那么下載后，使用這些代碼的程序就成了后門,又比如，為了發(fā)起拒絕服務(wù)攻擊，攻擊者在被攻擊者上安裝拒絕服務(wù)的軟件，然后發(fā)起分布式拒絕服務(wù)攻擊,一個(gè)攻擊servU的例子,首先掃描被攻擊主機(jī)，發(fā)現(xiàn)相關(guān)服務(wù)。 發(fā)現(xiàn)有21端口，可以嘗試連接，根據(jù)回復(fù)字符串判定服務(wù)器的類型。 發(fā)現(xiàn)是servU，嘗試用相關(guān)漏洞利用工具?？梢杂胹ervux。這里我們用一個(gè)自己寫的小程序來在被攻擊機(jī)器上打開一個(gè)本地shell并結(jié)束servU服務(wù)器。,網(wǎng)絡(luò)防