黑客入侵常用方法与防范措施

黑客入侵防范技术综述许榕生中科院高能物理所计算中心研究员国家计算机网络入侵防范中心首席科学家010-88257981xurs@sun.ihep.ac.cnGlobalOpportunities622Mbps+10Gbpsl基于MotorolaDragonBall系列的处理器68k核心：DragonBall68328、EZ、VZ、SuperVZARM核心：DragonBallMX1网络存在的安全威胁网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫黒客攻击技术入侵系统类攻击1.信息窃听Sniffer2.口令攻击John3.漏洞攻击WIN/IIS、RPC缓冲区溢出攻击获取ROOT口令欺骗类攻击拒绝服务攻击DDOS1.拒绝服务攻击2.分布式拒绝服务攻击对防火墙等安全设备的攻击利用病毒攻击木马程序攻击后门攻击……网络安全防范体系图Internet路由器管理平台安全监控设备防火墙IDS防病毒服务器内部网备份系统网络隐患扫描系统陷阱机取证系统其它智能系统广域网的基本概念广域网组成：结点交换机+链路结点交换机执行分组存储转发的功能；一个结点交换机可连接多个信道。距离：广域网相隔几十或几百公里甚至几千公里。提供的两类服务网络隐患扫描HP-UXScoSolarisNT服务器Web服务器NT安全管理员评估、服务检查、攻击性测试、提交安全建议报告等功能网络隐患扫描硬件产品化iTOPNet-Scanner网络入侵检测系统—IDSHP-UXScoSolarisNT服务器Web服务器NT实时发现、发布警报、与防火墙联动等功能分布式IDS架构产品图NIDS产品技术(一)降低误报率与漏报率基于应用会话的分析检测技术高级模式匹配无阻塞处理实时响应技术提供多种响应方式响应过滤技术防火墙互动开放接口--OpenNIDSNIDS产品技术(二)系统自身保护无IP抓包响应过滤模块化多重监控应用部署支持双向连接及加密认证引擎串接部署参考对比表格项目产品引擎平台检测项目双向连接防范STICK警报过滤无IP抓包响应方法RealSecureNTSolaris500～600不支持不支持支持支持R,V,L,M,O,SeTrustNT300不支持支持不支持支持R,V,L,MO,SNISDetectorLinux300不支持不支持不支持支持R,V,L天阗Linux？不支持？不支持支持R,V,L,M,T天眼Linux850支持支持TCP数据攻击警报过滤支持支持R,V,L,M,T,S,O,GNIDS技术－体系结构网络入侵检测系统示意图简单网络环境复杂网络环境安全产品的性能问题规则集膨胀产品性能降低流量增加网络入侵监控系统—IMSHP-UXScoSolarisNT服务器Web服务器NT指定IP、实时发现、制止阻断IP包的格式普通用户普通用户HUB/SWITCH普通用户普通用户HUB/SWITCHHUB路由器/网关监控系统Internet网络入侵取证系统—nIFS识别保存分析提交国际计算机网络安全技术交流FIRST年会介绍FIRST（ForumofIncidentResponseandSecurityTeams）计算机网络事件响应和安全组织论坛。旨在联络全世界的网络安全组织以及专家，针对日益严重的网络安全课题采取技术及管理对策的高级研讨会。该会议已在世界各地召开过，其中包括：法国的图卢兹、美国的芝加哥、澳大利亚的布里斯班、墨西哥的蒙特雷、英国的布鲁斯托尔以及美国加州的克拉拉。每届都有来自30多个不同国家的大致300多位参加者，我国代表近几年参加会议。近年FIRST年会讨论的热点内容主要集中几个方面：1.取证方面：相关的技术报告有：1）ForensicDiscovery（取证的发现）；2）文件系统的内部结构调查导引；3）WindowsXP客户端的取证功能；4）计算机取证在网络入侵调查中的重要作用；5）计算机取证协议与步骤的标准化；6）Pdd:手持式操作系统设备的存储映像与取证分析。近年FIRST年会讨论的热点内容主要集中几个方面：2.传统安全防护技术和手段的报告，如：1）使用个人防火墙加固安全防范；2）使用Ethereal实现入侵检测；3）电子商务的安全：保护Web应用；4）ESA网络安全策略的设计、处理及其实现；5）NASIRC公告板实现方法和PKI；6）UDP扫描的问题；7）一种防止绕过NIDS的适应规则评估算法（ARE）；8）识别路由器配置中的安全漏洞；近年FIRST年会讨论的热点内容主要集中几个方面：3.事件或具体攻击的分析研究报告：一个全球性Internet蠕虫事件的调查；911事件的相关情况报告；DoS攻击数据流量的分析；SYNDEF:战胜DoS/DDoSSYN洪水攻击的一种方法。4.与法律相关的报告：CERTs新的合法性问题讨论；CSIRT培训：合法性问题；版权侵范问题-未来十年事件响应的最大挑战；5.标准方面的报告：CVE的研究进展报告；传统防范工具的局限防火墙用于网络隔离与过滤，仅类似于门岗。大多数入侵检测系统（IDS）依赖于网络数据的片断，从法律的角度来看证据不够完整；但可以将IDS看作盗贼警报。=网络取证设备如视频相机用来捕获盗贼的行踪记录证据，通过分析报告或者提交法庭、或者提供加强防卫的具体措施。入侵取证取证(Forensic)针对计算机入侵与犯罪进行证据获取、保存、分析和出示的科学与技术。证据的分析可以看作是对受侵计算机系统进行详细的解剖过程，对入侵的事件过程进行重建。所提供的计算机证据与分析必须能够给法庭呈堂供证。取证科学取证技术的有效性和可靠性以及取证专家基于科学分析的结果所得出的报告将作为法庭判决至关重要的依据。整个取证过程中需要遵照操作规程和协议以确保证据进行过正确的分析并保证自始至终没有被篡改过。入侵取证技术动态1995年的一项美国SecretService调查报告指出，70％的法律部门拥有自己的计算机取证实验室，美国国防部至少在六年前就存在计算机取证实验室(CFLab)，近年来披露出丰富的实用工具与产品。中国至今还缺乏入侵取证方面专门有效的产品。21世纪的网络安全管理与取证技术13届FIRST年会报告Forensic（取证）的定义计算机犯罪斗争中的体系结构、IDS和取证技术一种新的取证范例案例研究-IIS漏洞（2001年中美黑客大战）2002年安然事件Guardent公司入侵取证模型技术标准类法律基准证据的法律和法规技术基准分析策略技术解决方案法律标准类（一）网络入侵取证网络取证的设计与有关步骤从网络取证的定义来看，需要进行的四个步骤是：识别保存分析提交网络取证分析过程系统信息分析模块网络数据分析模块相关性分析模块分析结果报表审计数据分析子模块系统日志分析子模块入侵分析子模块还原分析子模块统计分析子模块取证机记录系统信息网络数据事件分析案例按照时间顺序重建事件（2001年）12/0212:04-13:23attacker.org使用pingfloods攻击foo.com（flows）12/0310:57-11:23attacker.org缓慢扫描foo.com（flows）12/0211:24attacker.orgtelnet到foo.com（flows）12/0311:24foo.com显示4个失败登录（syslog）12/0311:24attacker.org成功登录到romig@foo.com12/0311:24-12:23roming帐号运行exploit脚本，该脚本调用了ls、ps、rm。事件分析案例USERftp331Guestloginok,sendyourcompletee-mailaddressaspassword.PASSmozilla@unsetHISTFILE;id;uname-a;uid=0(root)gid=0(root)groups=50(ftp)whereislynxlynx:/usr/bin/lynx/etc/lynx.cfg/usr/share/man/man1/lynx.1.gzTERM=linux“lynx事件分析案例（续）入侵来源：62.16.35.10（欧洲）简单描述：利用被取证机提供的FTP匿名服务，造成缓冲区溢出，入侵者已获得root权限。开始时间：03/16/2002-10:44:22结束时间：03/16/2002-11:08:33详细过程：10:44用户FTP匿名登录，并用mozilla@作为密码，向被取证机发送缓冲区溢出程序，并成功攻入获得了root权限。10:53开始用lynx从网站下载程序。11:08下载完毕。在被取证机上安装了后门。（二）计算机取证文件被删除后…典型的Unix和linux文件系统：ffs*,ext2fs**等当文件被删除时何种信息被破坏，何种信息被保留获取被删除文件信息的技巧和工具UNIX/Linux文件系统directory/home/youfoo123bar456andsoon…inode123owner/groupIDmactimesreferencecountfile/directory/etcdatablock#saccesspermsfilesizedatablocksdatablockdatablockdatablock直接和间接数据块inodeblock0block111indirect2indirect3indirectblock12blk20591indirect1indirect2indirect2indirectblk206041963631indirect1indirect…………………SpecificblocknumberaretypicalforBerkeleyFFS-likesystems典型的UNIX/Linux磁盘布局label/swap/usrpartition/homepartitionzonezonezonezonezonesuperinodedatainodedatablockbitmapbitmapblocksblocks---Entiredisk---UNIX/LinuxfilesystemFilesystemzone如果可能的话，文件的所有数据会放在同一区域内文件被删除后保留的信息directory/home/youFoo123bar456andsoon…inode123owner/groupIDmactimes**referencecount*file/directory/etcdatablock#saccesspermsfilesizedatablocksdatablockdatablockdatablock=UNIX+LINUX=LINUXonly*zeroreferences**statuschangetime=timeofdeletion被删除文件信息能存活很长时间现代操作系统避免了文件的分片现代操作系统将同一文件的所有信息存放在一个磁盘区域现代操作系统将相关的文件放在同一磁盘区域（比如，文件放在同一目录下）所有这些有利于操作和恢复好处：一个磁盘区域中的活动不会影响另一磁盘区域中的内容获取被删除文件信息的工具Coroner’stoolkitutilities（TCT):－通过inode获取文件的属性:ils/dev/hda830199－通过inode获取文件内容:icat/dev/hda830199－获取(未分配的)数据块:unrm/dev/hda8TCTutilsutilities(BrianCarrier)－列出（未分配的）目录项：fls/dev/hda8－其他这些工具同样也能在文件被删除前使用。计算机取证—WINDOWS2000/XP平台NTF