常见网络攻击与防御

网络攻击与防御1网络安全基础知识网络安全信息安全关键技术安全威胁及分类威胁来源网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛，这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。确保网络系统的信息安全是网络安全的目标，信息安全包括两个方面：信息的存储安全和信息的传输安全。信息的存储安全是指信息在静态存放状态下的安全，如信息是否会被非授权调用等。信息的传输安全是指信息在动态传输过程中安全，如信息是否被篡改、重放等。1.1网络安全&信息安全1.2信息安全的概念信息安全是指确保以电磁信号为主要形式的、在计算机网络化（开放互连）系统中进行自动通信、处理和利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性，与人、网络、环境有关的技术安全、结构安全和管理安全的总和。人指信息系统的主题，包括各类用户、支持人员，以及技术管理和行政管理人员。网络则指以计算机、网络互连设备、传输介质、信息内容及其操作系统、通信协议和应用程序所构成的物理的与逻辑的完整体系。环境则是系统稳定和可靠运行所需要的保障体系，包括建筑物、机房、动力保障与备份，以及应急与恢复体系。信息窃取信息冒充信息篡改信息抵赖加密技术完整性技术认证技术数字签名1.3关键技术1.4安全威胁拒绝服务攻击内部、外部泄密逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫Internet信息丢失信息战内部泄密外部泄密自然灾害、意外事故计算机犯罪网络协议中的缺陷，例如TCP/IP协议的缺陷电子谍报，比如信息流量分析、信息窃取等人为行为，比如使用不当，安全意识差等“黑客”行为，比如非法访问、非法连接主要分类：内部人员（包括信息系统的管理者、使用者和决策者）准内部人员（包括信息系统的开发者、维护者等）特殊身份人员（具有特殊身份的人，比如，审计人员、稽查人员、记者等）外部黑客或小组竞争对手网络恐怖组织军事组织或国家组织等1.5安全威胁的主要来源2远程攻击基础A．攻击的位置（1）远程攻击（2）本地攻击（3）伪远程攻击B.攻击的层次简单拒绝服务；本地用户获得非授权读权限；本地用户获得非授权写权限；远程用户获得非授权帐号信息；远程用户获得特权文件的读权限；远程用户获得特权文件的写权限；远程用户拥有了系统管理员权限。C.攻击分类在最高层次，攻击被分为两类：主动攻击：包含攻击者访问他所需要信息的故意行为。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。被动攻击：主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。探测攻击隐藏踩点扫描查点窃听欺骗拒绝服务数据驱动攻击键击记录网路监听非法访问数据攫取密码文件获取口令恶意代码网络欺骗导致异常型资源耗尽型欺骗型缓冲区溢出格式化字符串攻击输入验证攻击同步漏洞攻击信任漏洞攻击日志清理安装后门内核套件图1、攻击分类就目前常见的攻击，大致可以分为几大类（参见图1）：窃听：指攻击者通过非法手段对系统活动的监视从而获得一些安全关键信息。目前属于窃听技术的常用攻击方法有：键击记录：是植入操作系统内核的隐蔽软件，通常实现为一个键盘设备驱动程序，能够把每次键击都记录下来，存放到攻击者指定的隐藏的本地文件中。如Win32平台下适用的IKS等。网络监听：是攻击者一旦在目标网络上获得一个立足点之后刺探网络情报的最有效方法，通过设置网卡的混杂模式获得网络上所有的数据包，并从中抽取安全关键信息，如明文方式传输的口令。如Win32平台下的sniffer等免费工具，Unix平台下的libpcap网络监听工具库。非法访问数据：是攻击者或内部人员违反安全策略对其访问权限之外的数据进行非法访问。获取密码文件：攻击者进行口令破解获取特权用户或其他用户口令的必要前提。欺骗：指攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的攻击方法，属于此类攻击的方法有：获取口令：通过缺省口令、口令猜测和口令破解三种途径。针对一些弱口令进行猜测。也可以使用专门的口令猜测工具进行口令破解，如遍历字典或高频密码列表从而找到正确的口令。如Win32平台的LOphtcrack等。恶意代码：包括特洛伊木马应用程序、邮件病毒、网页病毒等，通常冒充成有用的软件工具、重要的信息等，诱导用户下载运行或利用邮件客户端和浏览器的自动运行机制，在启动后悄悄安装恶意程序，通常为攻击者给出能够完全控制该主机的远程连接。网络欺骗：攻击者通过向攻击目标发送冒充其信任主机的网络数据包，达到获取访问权或执行命令的攻击方法。具体的有IP欺骗、会话劫持、ARP重定向和RIP路由欺骗等。拒绝服务：指终端或者完全拒绝对合法用户、网络、系统和其他资源的服务的攻击方法，其意图就是彻底破坏，这也是比较容易实现的攻击方法。特别是分布式拒绝服务攻击对目前的互联网构成了严重的威胁，造成的经济损失也极为庞大。拒绝服务攻击的类型按其攻击形式分为：导致异常型：利用软硬件实现上的编程缺陷，导致其出现异常，从而使其拒绝服务。如PingofDeath攻击等。资源耗尽型：通过大量消耗资源使得攻击目标由于资源耗尽不能提供正常的服务。视资源类型的不同可分为带宽耗尽和系统资源耗尽两类。带宽耗尽攻击的本质是攻击着通过放大等技巧消耗掉目标网络的所有带宽，如Smurf攻击等。系统资源耗尽型攻击指对系统内存、CPU或程序中的其他资源进行消耗，使其无法满足正常提供服务的需求。如SynFlood攻击等。欺骗型数据驱动攻击：通过向某个程序发送数据，以产生非预期结果的攻击，通常为攻击者给出访问目标系统的权限，大致可分为：缓冲区溢出：通过往程序的缓冲区写入超出其边界的内容，造成缓冲区的溢出，使得程序转而执行其他攻击者指定的代码，通常是为攻击者打开远程连接的ShellCode，以达到攻击目标。如Windows平台下的Code-Red、Blaster、Sasser等都是通过缓冲区溢出攻击获得系统管理员权限后进行传播。格式化字符串攻击：主要是利用由于格式化函数的微妙程序设计错误造成的安全漏洞，通过传递精心编制的含有格式化指令的文本字符串，以使目标程序执行任意命令。输入验证攻击：针对程序未能对输入进行有效的验证的安全漏洞，使得攻击者能够让程序执行指令的命令。最著名的是1996年的PHF攻击。同步漏洞攻击：利用程序在处理同步操作时的缺陷，如竞争状态、信号处理等问题，以获得更高权限的访问。信任漏洞攻击：利用程序滥设的信任关系获取访问权的一种方法，如Win32平台下互为映象的本地和域Administrator凭证、LSA密码等。3信息收集信息收集分类工具介绍3.1信息收集分类分为三种：使用各种扫描工具对入侵目标进行大规模扫描，得到系统信息和运行的服务信息。利用第三方资源对目标进行信息收集,比如我们常见的收索引擎利用各种查询手段得到与被入侵目标相关的一些信息，如社会工程学。社会工程学（SocialEngineering）：通常是利用大众的疏于防范的诡计，让受害者掉入陷阱。该技巧通常以交谈、欺骗、假冒或口语用字等方式，从合法用户中套取敏感的信息。Ping、fping、pingsweepARP探测FingerWhoisDNS/nslookup搜索引擎（google、百度）telnet3.2信息收集的工具软件ping作用和特点用来判断目标是否活动；最常用；最简单的探测手段；Ping程序一般是直接实现在系统内核中的，而不是一个用户进程。原理主机A主机BType=8Type=0ping类型为8，表示“回响请求”类型为0，表示“回响应答”回显请求类型8回显应答代码0类型0代码0校验和校验和主机在线情况回显请求类型8代码0校验和不在线主机不应答情况1）主机不在线2）防火墙阻断ICMP探测ping表示192.168.1.25机器不在线。举例1：Replyfrom192.168.3.10:bytes=32time1msTTL=32Replyfrom192.168.3.10表示回应ping的ip地址是192.168.3.10。bytes=32表示回应报文的大小，这里是32字节。time1ms表示回应所花费的时间，小于1毫秒。TTL=32，TTL是生存时间，报文经过一个路由器就减一，如果减到0就会被抛弃。这里是32。举例2：Pingwar2.0——群ping.ARP探测ARP请求广播ARP回应ARP请求广播ARP请求广播能探测同一局域网内的主机，因为防火墙不能阻断ARP请求。finger作用和特点网络服务服务端口：tcp79服务端程序fingerd,客户端程序finger不需要认证就提供用户信息姓名电话最后登录时间fingerwhois作用和特点网络服务服务端口：tcp43服务端程序whoisd,客户端程序finger提供目标系统的地址信息参考网站1参考网站2常规信息收集网络域名网络Ip地址分配使用单位地址DNS作用和特点网络服务服务端口：udp53服务端程序bind,客户端程序nslookup提供目标系统域名与地址的转换DNStelnet作用和特点网络服务服务端口：任意服务端程序任意,客户端程序telnet提供目标系统服务的版本信息瑞士军刀NC4端口扫描扫描基础扫描分类扫描工具介绍4.1扫描基础TCP数据报首部标志域TCP连接的建立过程TCP连接的释放过程TCP/IP实现遵循的原则TCP数据报首部标志域URG：紧急数据标志，指明数据流中已经放置紧急数据，紧急指针有效；ACK：确认标志，用于对报文的确认；PSH：推标志，通知接收端尽可能的将数据传递给应用层，在telnet登陆时，会使用到这个标志；RST：复位标志，用于复位TCP连接；SYN：同步标志，用于三次握手的建立，提示接收TCP连接的服务端检查序号；FIN：结束标志，表示发送端已经没有数据再传输了，希望释放连接，但接收端仍然可以继续发送数据。TCP连接的建立过程TCP连接的释放过程TCP/IP实现遵循的原则原则1：当一个SYN或者FIN数据包到达一个关闭了的端口，服务器丢弃该数据包，并返回一个RST数据包；TCP/IP实现遵循的原则原则2：当一个RST数据包到达一个监听端口或者关闭的端口，RST数据包都会服务器被丢弃。TCP/IP实现遵循的原则原则3：当一个ACK数据包到达一个监听的端口，服务器会丢弃这个数据包，并回应一个RST数据包。TCP/IP实现遵循的原则原则4：当一个FIN数据包到达一个监听端口时，数据包将会被丢弃。4.2端口扫描分类技术端口扫描分类扫描技术分析扫描分类TCP全连接开放扫描半开放扫描TCP反向ident扫描IP头信息dumb扫描SYN扫描FIN扫描隐蔽扫描TCP分段ACK扫描XMAS扫描空扫描扫射扫描SYN/ACK扫描ping扫射其它扫描UDP/ICMP不可达FTP弹跳UDP扫射UDPrecvfrom/write扫描ACK扫射SYN扫射ICMP扫射扫描技术分析完全连接扫描ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口开放端口关闭扫描技术分析半连接SYN扫描ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口开放端口关闭*立即切断连接扫描技术分析隐蔽扫描：SYN/ACKClientSYN/ACKServerRSTClientSYNServer--端口开