第十章网络攻防和入侵检测

第十章网络攻防和入侵检测第十章网络攻防和入侵检测网络层安全分析IP只是发送数据并保证数据的完整性，不保持任何连接状态的信息，每个IP数据报文被发送出去，不关心前后数据报文的情况，所以可以修改IP堆栈，在源地址和目的地址中放入任何满足要求的IP地址，即提供虚假的IP地址。突破防火墙系统最常用的方法是就IP地址欺骗，它同时也是其他一系列攻击方法的基础。黑客或入侵者利用伪造的IP发送地址产生虚假的数据分组，乔装成来自内部站的分组过滤器，这种类型的攻击是非常危险的。关于涉及到的分组真正是内部的还是外部的分组被包装得看起来象内部的种种迹象都已丧失殆尽。只要系统发现发送地址在其自己的范围之内，则它就把该分组按内部通信对待并让其通过。IP地址欺骗网络层安全分析IP地址欺骗假定入侵者知道主机192.168.0.1和192.168.0.2已经建立了信任关系，入侵者打算欺骗的是主机192.168.0.1。入侵者要对192.168.0.1实施欺骗，他必须假扮192.168.0.2，所有就必须让192.168.0.2的主机无法响应任何请求。进行一次IP欺骗需要经过以下步骤：①确定攻击目标②使得计划要冒充的主机无法响应目标主机的会话③猜出来自目标主机的正确序列号④冒充连接到目标主机⑤根据猜出的正确序列号向目标主机发送回应IP包⑥进行系列会话第十章网络攻防和入侵检测网络层安全分析(1)抛弃基于地址的信任策略(2)进行包过滤(3)使用加密方法(4)使用随机化的初始序列号IP地址欺骗的防止措施第十章网络攻防和入侵检测网络层安全分析泪滴(Teardrop)攻击（IP碎片攻击）链路层具有最大传输单元MTU这个特性，它限制了数据帧的最大长度，不同的网络类型都有一个上限值。以太网的MTU是1500。如果IP层有数据包要传，而且数据包的长度超过了MTU，那么IP层就要对数据包进行分片（fragmentation）操作，使每一片的长度都小于或等于MTU。每一IP分片都各自路由，到达目的主机后在IP层重组，首部中的数据能够正确完成分片的重组。若在IP分组中指定一个非法的片偏移值，将可能造成某些协议软件出现缓冲区覆盖，导致系统崩溃。第十章网络攻防和入侵检测国际互联网络服务器服务器防火墙其它网络广域网电话网企业网内域网网络层安全分析IP地址扫描第十章网络攻防和入侵检测国际互联网服务器服务器防火墙其它网络广域网电话网企业网内域网网络层安全分析防火墙扫描第十章网络攻防和入侵检测服务器服务器防火墙其它网络电话网广域网国际互联网络内域网企业网网络层安全分析服务器扫描第十章网络攻防和入侵检测服务器服务器防火墙企业网其它网络电话网广域网国际互联网络内域网网络层安全分析OS扫描第十章网络攻防和入侵检测网络层安全分析ICMP洪水(PINGflooding)攻击正常情况下，为了对网络进行诊断，一些诊断程序，比如ping等，会发出icmp响应请求报文(icmpecho)，接收计算机接收到icmpecho后，会回应一个icmpechoreply报文。而这个过程是需要cpu处理的，有的情况下还可能消耗掉大量的资源，比如处理分片的时候。这样如果攻击者向目标计算机发送大量的icmpecho报文(产生icmp洪水)，则目标计算机会忙于处理这些echo报文，而无法继续处理其它的网络数据报文，这也是一种拒绝服务攻击(dos)。第十章网络攻防和入侵检测网络层安全分析Smurf攻击第十章网络攻防和入侵检测网络层安全分析攻击者伪造来自目标网络的计算机数据包，IP目标地址＝广播地址广播域内的每台计算机给目标机发送错误消息，因此攻击效果同广播域内的机器数目成正比，结果形成拒绝服务攻击UDPFRAGGLE攻击FRAGGLE攻击对smurf作了简单的修改，使用的是UDP应答消息而非ICMP。第十章网络攻防和入侵检测网络层安全分析1.阻塞Smurf攻击的源头Smurf攻击依靠的是发送源地址假冒的echo请求。用户可以使用路由器的访问控制保证内部网络中发出的所有传输信息都具有合法的源地址，以防止这种攻击。这样可以使欺骗性分组无法找到反弹站点。Smurf攻击的防止措施第十章网络攻防和入侵检测网络层安全分析Smurf攻击的防止措施2.阻塞Smurf的反弹站点用户可以有两种选择以阻塞Smurf攻击的反弹站点。第一种方法可以简单地阻塞所有入站echo请求，这样可以防止这些分组到达自己的网络。如果不能阻塞所有入站echo请求，用户就需要配置自己的路由器把网络广播地址映射成为LAN广播地址。制止了这个映射过程，自己的系统就不会再收到这些echo请求。如果使用Cisco路由器，则制止网络广播映射成为LAN广播的方法是在LAN接口的配置模式中输入命令：noipdirected-broadcast。第十章网络攻防和入侵检测网络层安全分析路由欺骗InterfaceInterfaceRAMROMFlashNVRAMInterfaceCPUInterfaceconsole第十章网络攻防和入侵检测网络层安全分析路由欺骗只读存储器（ROM）只读存储器，存放引导程序和IOS的一个最小子集，相当于PC的BIOS。闪存（Flash）包含压缩的IOS和微代码，是一种可擦写、可编程的ROM，系统掉电时数据不会丢失。NVRAM（No-VoliateRAM）存放路由器的配置文件，系统掉电时数据不会丢失。第十章网络攻防和入侵检测网络层安全分析路由欺骗RAM动态内存，系统掉电，内容丢失操作系统运行的空间命令解释器操作系统进程活动配置文件路由表缓冲区第十章网络攻防和入侵检测网络层安全分析路由欺骗PPP、CHAPMD5认证利用了RIP协议基于无连接的UDP,RIPvl没有身份认证机制,而RIPv2的认证形式采用16宇节的明文密码.攻击者很容易将分组发给RIP路由器,要求它将分组发给未授权网络或系统而不是真正的系统。第十章网络攻防和入侵检测网络层安全分析路由欺骗RAkeychainkalkey1key-string234interfaceSerial0ipaddress141.108.0.10255.255.255.252ipripauthenticationkey-chainkalrouterripversion2network141.108.0.0network70.0.0.0RBkeychainkalkey1key-string234interfaceSerial0ipaddress141.108.0.9255.255.255.252ipripauthenticationkey-chainkalclockrate64000!routerripversion2network141.108.0.0network80.0.0.0第十章网络攻防和入侵检测传输层安全分析将TCP包的源地址和目的地址，源端口和目的端口都设置成相同即可。其中，地址字段都设置为目标机器的IP地址。需要注意的是，对应的端口所提供的服务必须是激活的。LAND攻击可以非常有效地使目标机器重新启动或者死机。解决方案：过滤源地址和目标地址相同的IP数据包；给系统升级或打补丁。LAND攻击第十章网络攻防和入侵检测传输层安全分析SYNflooding攻击利用TCP连接三次握手过程，打开大量的半开TCP连接，使得目标机器不能进一步接受TCP连接。每个机器都需要为这种半开连接分配一定的资源，并且，这种半开连接的数量是有限制的，达到最大数量时，机器就不再接受进来的连接请求，从而不能够提供相应的服务。第十章网络攻防和入侵检测传输层安全分析连接请求是正常的，但是，源IP地址往往是伪造的，并且是一台不可达的机器的IP地址，否则，被伪造地址的机器会重置这些半开连接。一般，半开连接超时之后，会自动被清除，所以，攻击者的系统发出SYN包的速度要比目标机器清除半开连接的速度要快。任何连接到Internet上并提供基于TCP的网络服务，都有可能成为攻击的目标。这样的攻击很难跟踪，因为源地址往往不可信，而且不在线。SYNflooding攻击第十章网络攻防和入侵检测传输层安全分析SYNflooding攻击第十章网络攻防和入侵检测传输层安全分析SYNflooding攻击防止措施缩短SYNTimeout(连接等待超时)时间根据源IP记录SYN连接负反馈策略容忍策略利用DNS进行负载均衡利用防火墙技术第十章网络攻防和入侵检测在神话传说中，特洛伊木马表面上是“礼物”，但实际却藏匿了大量袭击特洛伊城的希腊士兵。现在，特洛伊木马是一些表面有用的软件程序，实际目的是危害计算机安全性并破坏计算机。黑客的特洛伊木马程序事先已经以某种方式潜入你的机器，并在适当的时候激活，潜伏在后台监视系统的运行，它同一般程序一样，能实现任何软件的任何功能。特洛伊木马第十章网络攻防和入侵检测1.修改图标木马服务端所用的图标也是有讲究的，木马经常故意伪装成了XT.HTML等你可能认为对系统没有多少危害的文件图标，这样很容易诱惑你把它打开。特洛伊木马木马采用的伪装方法第十章网络攻防和入侵检测2.捆绑文件这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷地进入了系统。被捆绑的文件一般是可执行文件(即EXE、COM一类的文件)。特洛伊木马木马采用的伪装方法第十章网络攻防和入侵检测3.出错显示如果打开一个文件，没有任何反应，这很可能就是个木马程序。木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框(这当然是假的)，错误内容可自由定义，大多会定制成一些诸如文件已破坏，无法打开!之类的信息，当服务端用户信以为真时，木马却悄悄侵人了系统。特洛伊木马木马采用的伪装方法第十章网络攻防和入侵检测4.自我销毁木马的自我销毁功能是指安装完木马后，源木马文件自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下。就很难删除木马了。特洛伊木马木马采用的伪装方法第十章网络攻防和入侵检测5.木马更名木马的命名也是千奇百怪，不过大多是改为和系统文件名差不多的名字，如果你对系统文件不够了解，那可就危险了。例如有的木马把名字改为window.exe，如果不告诉你这是木马的话，该文件不会被你轻易删除，还有就是更改一些后缀名，比如把dll改为dl等，如果你不仔细看，也很难发现。特洛伊木马木马采用的伪装方法第十章网络攻防和入侵检测6.在任务栏里隐藏如果在windows的任务栏里出现一个莫名其妙的图标，木马就很容易暴露了。因此木马程序总是把自己在任务栏中隐藏起来。这在编程时是很容易实现的。以VB为例，只要把form的Visible属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。特洛伊木马木马采用的伪装方法第十章网络攻防和入侵检测7.在任务管理器里隐藏查看正在运行的进程最简单的方法就是按下Ctrl+Alt+Del时出现的任务管理器。木马会千方百计地伪装自己，使自己不出现在任务管理器里。木马发现把自己设为系统服务“就可以轻松地骗过去。特洛伊木马木马采用的伪装方法第十章网络攻防和入侵检测8.隐藏通讯任何木马运行后都要和攻击者进行通讯连接，或者通过即时连接，如攻击者通过客户端直接接人被植人木马的主机;或者通过间接通讯。现在大部分木马一般在占领主机后会在1024以上不易发现的高端口上驻留;有一些木马会选择一些常用的端口，如80、23,特别是有一种木马还可以做到收到正常的HTTP请求仍然把它交与Web服务器处理，收到特殊约定的数据包后，才调用木马程序。特洛伊木马木马采用的伪装方法第十章网络攻防和入侵检测9.隐藏隐加载方式通过修改虚拟设备驱动程序(VXD)或修改动态遵掇库(DLL)来加载木马。它采用替代系统功能的方法(改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤。对于常用的调用，使用函数转发器直接转发给被替换的系统DLL。一旦发现控制端的请求就会激活自身，绑在一个进程上进行正常的木马操作。这样做的好处