信息安全与技术课件07(清华大学)

信息安全与技术清华大学出版社第7章黑客攻防剖析在计算机网络日益成为生活中不可或缺的工具时，计算机网络的安全性已经引起了公众的高度重视。计算机网络的安全威胁来自诸多方面，黑客攻击是最重要的威胁来源之一。有效的防范黑客的攻击首先应该做到知己知彼，方可百战不殆。7.1概述7.1.1黑客与骇客7.1.2黑客分类及目的7.1.1黑客与骇客黑客起源于20世纪50年代美国著名高校的实验室中，他们智力非凡、技术高超、精力充沛，热衷于解决一个个棘手的计算机网络难题。60、70年代，“黑客”一词甚至于极富褒义，从事黑客活动意味着对计算机网络的最大潜力进行智力上的自由探索，所谓的“黑客”文化也随之产生了。然后并非所有的人都能恪守“黑客”文化的信条专注于技术的探索，恶意的计算机网络破坏者、信息系统的窃密者随后层出不穷，人们把这部分主观上有恶意企图的人称为“骇客”(Cracker破坏者)，试图区别于“黑客”，同时也诞生了诸多的黑客分类方法。7.1.1黑客与骇客黑客起源于20世纪50年代美国著名高校的实验室中，他们智力非凡、技术高超、精力充沛，热衷于解决一个个棘手的计算机网络难题。60、70年代，“黑客”一词甚至于极富褒义，从事黑客活动意味着对计算机网络的最大潜力进行智力上的自由探索，所谓的“黑客”文化也随之产生了。然后并非所有的人都能恪守“黑客”文化的信条专注于技术的探索，恶意的计算机网络破坏者、信息系统的窃密者随后层出不穷，人们把这部分主观上有恶意企图的人称为“骇客”(Cracker破坏者)，试图区别于“黑客”，同时也诞生了诸多的黑客分类方法。7.1.2黑客分类及目的任何职业都有相关的职业道德，一名黑客同样有职业道德，一些守则是必须遵守的，不让会给自己招来麻烦。归纳起来就是“黑客十二条守则”。不要恶意破坏任何的系统，这样做只会给你带来麻烦。不要破坏别人的软件和资料。不要修改任何系统文件，如果是因为进入系统的需要而修改了系统文件，请在目的达到后将他改回原状。不要轻易的将你要黑的或者黑过的站点告诉你不信任的朋友。在发表黑客文章时不要用你的真实名字。正在入侵的时候，不要随意离开你的电脑。不要入侵或破坏政府机关的主机。将你的笔记放在安全的地方。已侵入的电脑中的账号不得清除或修改。可以为隐藏自己的侵入而作一些修改，但要尽量保持原系统的安全性，不能因为得到系统的控制权而将门户大开。不要做一些无聊、单调并且愚蠢的重复性工作。做真正的黑客，读遍所有有关系统安全或系统漏洞的书。7.1.2黑客分类及目的任何职业都有相关的职业道德，一名黑客同样有职业道德，一些守则是必须遵守的，不让会给自己招来麻烦。归纳起来就是“黑客十二条守则”。不要恶意破坏任何的系统，这样做只会给你带来麻烦。不要破坏别人的软件和资料。不要修改任何系统文件，如果是因为进入系统的需要而修改了系统文件，请在目的达到后将他改回原状。不要轻易的将你要黑的或者黑过的站点告诉你不信任的朋友。在发表黑客文章时不要用你的真实名字。正在入侵的时候，不要随意离开你的电脑。不要入侵或破坏政府机关的主机。将你的笔记放在安全的地方。已侵入的电脑中的账号不得清除或修改。可以为隐藏自己的侵入而作一些修改，但要尽量保持原系统的安全性，不能因为得到系统的控制权而将门户大开。不要做一些无聊、单调并且愚蠢的重复性工作。做真正的黑客，读遍所有有关系统安全或系统漏洞的书。7.2黑客攻击分类黑客攻击在最高层次，攻击可被分为两类，主动攻击和被动攻击。主动攻击：包含攻击者访问他所需信息的故意行为。攻击者是在主动地做一些不利于你或你的公司系统的事情。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。被动攻击：主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。7.2黑客攻击分类按照TCP/IP协议层次进行分类，可以分成针对数据链路层的攻击、针对网络层的攻击、针对传输层的攻击、针对应用层的攻击。针对数据链路层的攻击：TCP/IP协议在该层次上有两个重要的协议—ARP（地址解析协议）和RARP（反地址解析协议）。针对网络层的攻击，该层次有三个重要协议：ICMP（互联网控制报文协议）、IP(网际协议)、IGMP(因特网组管理协议)。针对传输层的攻击：TCP/IP协议传输层有两个重要的协议TCP协议和UDP协议，该层次的著名攻击手法更多，常见的有Teardrop攻击（TeardropAttack）、Land攻击（LandAttack）、SYN洪水攻击（SYNFloodAttack）、TCP序列号欺骗和攻击等等，会话劫持和中间人攻击也应属于这一层次。针对应用层的攻击：该层次上面有许多不同的应用协议，比如说：DNS、FTP、SMTP等，针对协议本身的攻击主要是DNS欺骗和窃取7.3黑客攻击步骤通常黑客的攻击思路与策略分为三个阶段，预攻击阶段、攻击阶段、后攻击阶段。预攻击阶段主要是信息的搜集，包括一些常规的信息获取方式：端口扫描、漏洞扫描、搜索引擎、社会工程学等。在攻击阶段采取缓冲区溢出、口令猜测、应用攻击等技术手段。后攻击阶段主要释放木马、密码破解、隐身、清除痕迹。7.3黑客攻击步骤预攻击阶段略信息收集通常黑客的攻击思路与策略攻击阶段略后攻击阶段略端口扫描漏洞扫描搜索引擎社会工程学缓冲区溢出口令猜测应用攻击释放木马密码破解隐身清除痕迹本地溢出远程溢出SQL注入工具实验7.3黑客攻击步骤尽管黑客攻击系统的技能有高低之分，入侵系统手法多种多样，但他们对目标系统实施攻击的流程却大致相同。其攻击过程可归纳为以下9个步骤：踩点、扫描、查点、获取访问权、权限提升、窃取、掩盖踪迹、创建后门、拒绝服务攻击。7.4黑客工具软件7.4.1黑客工具软件分类7.4.2黑客工具软件介绍7.4.1黑客工具软件分类黑客攻击，除了掌握基本的操作系统知识以外，各种工具，如各类扫描器，一些比较优秀的木马软件、监听类软件等等。常用黑客软件按用途可以分成下面几类。7.4.1黑客工具软件分类黑客攻击，除了掌握基本的操作系统知识以外，各种工具，如各类扫描器，一些比较优秀的木马软件、监听类软件等等。常用黑客软件按用途可以分成下面几类。1．防范工具类2．信息搜集类3．木马与蠕虫类4．洪水类5．密码破解类6．欺骗类7．伪装类7.4.1黑客工具软件分类常用黑客软件按性质分类可以分成下面几类。1．扫描类软件2．远程监控类软件3．病毒和蠕虫4．系统攻击和密码破解5．监听类软件7.4.2黑客工具软件介绍1．国产经典软件简介（1）溯雪——密码探测器（2）乱刀——密码破解（3）天网——防火墙软件（4）冰河——木马类软件（5）小分析家——监测类软件（6）快速搜索——端口扫描器7.4.2黑客工具软件介绍2．常见网络安全软件简介（1）LocalPortScanner——本地端口扫描器（2）A-spy——系统进程察看器（3）Netmon——图形化Netstat命令（4）LANguardNetworkScanner——局域网资料收集器（5）Leechsoft'sNetMonitor——TCP/IP状态分析程序（6）Attacker——端口监听程序（7）IsecureIPScanner——netbios共享扫描器（8）AnalogXPortBlocker——端口屏蔽程序（9）buDummyServer——端口屏蔽程序（10）buRegistryEdit——注册表修改程序7.5黑客攻击防范7.5.1网络访问控制技术7.5.2防火墙技术7.5.3数据加密技术7.5.4入侵检测技术7.5.5安全审计7.5.6网络安全管理7.5.7发现黑客入侵后的对策7.5黑客攻击防范在网络环境下，由于种种原因，网络被入侵和攻击是难免的。但是，通过加强管理和采用必要的技术手段可以减少入侵和攻击行为，避免因入侵和攻击造成的各种损失。下面就介绍几种主要的防范入侵和攻击的技术措施。防范黑客攻击，要从以下几个方面入手：网络访问控制技术、防火墙技术、入侵检测、漏洞扫描、发现黑客、发现黑客入侵后的对策。7.5.1网络访问控制技术访网络访问控制技术是网络安全防范和保护的主要核心策略，它的主要任务是保证网络资源不被非法使用和访问。访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以控制。网络访问控制技术是对网络信息系统资源进行保护的重要措施，也是计算机系统中最重要和最基础的安全机制。7.5.2防火墙技术防火墙是一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的惟一通道，它能根据有关的安全策略控制（允许、拒绝、监视、记录）进出网络的访问行为。防火墙是网络安全的屏障，是提供安全信息服务、实现网络安全的基础设施之一。7.5.3数据加密技术数据加密技术要求只有在指定的用户或网络下，才能解除密码而获得原来的数据，这就需要给数据发送方和接受方以一些特殊的信息用于加解密，这就是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分为专用密钥和公开密钥两种。7.5.4入侵检测技术入侵检测是对传统安全产品的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。它能监视分析用户及系统活动，查找用户的非法操作，评估重要系统和数据文件的完整性，检测系统配置的正确性，提示管理员修补系统漏洞；能实时地对检测到的入侵行为进行反应，在入侵攻击对系统发生危害前利用报警与防护系统驱逐入侵攻击，在入侵攻击过程中减少入侵攻击所造成的损失，在被入侵攻击后收集入侵攻击的相关信息，作为防范系统的知识，添加入侵策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵攻击。7.5.5安全审计网络安全审计就是对企业网络安全的脆弱性进行测试、评估、分析的过程。它就是在一个特定的网络环境下，为了保障网络和数据不受来自外网和内网用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件，以便集中报警、分析、处理的一种技术手段，它是一种积极、主动的安全防御技术。其目的是为了在最大限度内保障网络与信息的安全。7.5.6网络安全管理安全管理就是指为实现信息安全的目标而采取的一系列管理制度和技术手段，包括安全检测、监控、响应和调整的全部控制过程。需要指出的是，不论多么先进的安全技术，都只是实现信息安全管理的手段而已，信息安全源于有效地管理，要使先进的安全技术发挥较好的效果，就必须统一安全管理平台，来总体配置、调控整个网络多层面、分布式的安全系统，实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动，从而有效简化网络安全管理工作，提升网络的安全水平和可控制性、可管理性，降低用户的整体安全管理开销。7.5.7发现黑客入侵后的对策首先估计形势。当证实遭到入侵时，采取的第一步行动是尽可能快地估计入侵造成的破坏程度。然后要采取措施：（1）杀死这个进程来切断黑客与系统的连接。（2）使用工具询问他们究竟想要做什么。（3）跟踪这个连接，找出黑客的来路和身份。（4）管理员可以使用一些工具来监视黑客，观察他们在做什么。这些工具包括snoop、ps、lastcomm和ttywatch等。（5）ps、w和who这些命令可以报告每一个用户使用的终端。如果黑客是从一个终端访问系统，这种情况不太好，因为这需要事先与电话公司联系。（6）使用who和netstat可以发现入侵者从哪个主机上过来，然后可以使用finger命令来查看哪些用户登录进远程系统。（7）修复安全漏洞并恢复系统，不给黑客留有可乘之机。本章小结