您好,欢迎访问三七文档
1第二讲网络安全威胁牛秋娜2网络安全威胁分类•网络系统面临的威胁主要来自外部的人为影响和自然环境的影响,尤其是“人为攻击”。•人为攻击:攻击者对系统的攻击范围从随便浏览信息到使用特殊技术对系统进行攻击,以便得到有针对性的信息。主动攻击:被动攻击:网络威胁---人为攻击–只通过监听网络线路上的信息流获得信息内容,破坏了信息的保密性。–攻击者对传输中的信息或存储的信息进行各种非法处理,有选择地更改、插入、延迟、删除或复制这些信息。3CompanyLogo网络安全威胁分类依据威胁对象分类依据威胁动机分类依据威胁起因分类1234网络拓扑安全网络协议安全网络软件安全网络设备安全网络安全威胁分类网络安全威胁1、根据威胁对象分类5网络拓扑安全v常见的网络拓扑结构6网络拓扑安全v总线型拓扑结构7总线型拓扑安全缺陷1故障诊断困难网络非集中控制,需在各节点分别检测2故障隔离困难故障发生在传输4终端必须是智能的没有网络控制设备3中继器配置在干线基础上扩充,需重新配置一切信息介质时…8网络拓扑安全v星型拓扑结构9星型拓扑安全缺陷1电缆的长度与安装需大量的电缆,电缆沟、维护、安装麻烦2扩展困难需事先设置好大量的冗余电缆3对中央节点的依赖性太大10网络拓扑安全v环型拓扑结构11环型拓扑安全缺陷1节点故障将引起全网故障24影响访问协议3不易重新配置网络诊断故障困难12网络拓扑安全网络协议安全网络软件安全网络设备安全网络安全威胁分类网络安全威胁1、根据威胁对象分类13网络协议安全通信网的运行机制基于通信协议网络协议安全各传输协议之间的不一致性会大大影响信息的安全质量TCP/IP协议存在漏洞14网络协议安全15网络拓扑安全网络协议安全网络软件安全网络设备安全网络安全威胁分类网络安全威胁1、根据威胁对象分类16网络软件缺陷网络软件缺陷操作系统漏洞数据库安全网络应用缺陷OS是网络信息系统中的核心控制模块;对于设计上不够安全的OS,事后采用增加安全特性和补丁的方法是一项很艰巨的任务。应用软件是用户使用网络服务的接口;应用软件的缺陷会直接导致用户遭受损失。DB中数据备份方面的不足;网络软件缺陷机制的不完善;数据存储的完整性、机密性不足。17网络拓扑安全网络协议安全网络软件安全网络设备安全网络安全威胁分类网络安全威胁1、根据威胁对象分类18网络设备安全网络设备安全:Hub、网桥、交换机、路由器等安全隐患路由器的安全隐患低等级加密,WiFi密码容易被破解;使用默认的路由器管理IP地址;路由器固件存在漏洞。网桥的安全隐患:网桥只能最大限度地使网络沟通、互连,而不负责网络之间数据的校验。广播风暴(BroadcastingStorm)19拒绝服务攻击利用型攻击信息收集型攻击消息伪造攻击网络安全威胁分类网络安全威胁2、根据威胁动机分类安全威胁分类20北京邮电大学信息安全中心威胁对象威胁动机威胁起因网络拓扑安全信息收集型网络信息收集网络协议安全消息伪造攻击拒绝服务攻击网络软件安全拒绝服务攻击有害程序网络设备安全利用型攻击网络系统缺陷网络欺骗网络攻击流程21北京邮电大学信息安全中心v网络攻击的一般步骤攻击过程可以归纳为:信息收集、实施攻击、隐藏攻击行为、创建后门和消除攻击痕迹五个步骤1、信息收集•通过各种方式获取所需要的信息,比如目标系统使用的操作系统、管理员账号等,信息收集属于攻击前的准备阶段,也称之为踩点。•确定攻击目的和收集攻击目标信息•目标信息类型:系统一般信息、系统管理和配置信息、系统口令的安全性、提供的服务•收集方式:使用扫描攻击进行大规模扫描、利用第三方资源进行信息收集、使用查询手段进行信息收集。网络攻击流程22北京邮电大学信息安全中心2、实施攻击•获取系统权限,进行破坏性或其它攻击;•攻击者进入系统后,如权限不够,需要再次提升权限,直到获取超级用户权限。权限提升主要有两种方式,一种是口令破解或截取,另一种方式是缓冲区溢出攻击。3、隐藏攻击行为•获取系统权限,进行破坏性或其它攻击攻击者在获得系统最高管理员权限之后,可以随意修改系统上的文件。然而一旦入侵系统,就必然会留下痕迹;所以在入侵系统之后,攻击者大多都会采取隐藏技术来消隐自己的攻击行为。(1)隐藏连接:删除或修改日志文件(2)隐藏进程:系统程序替换(3)隐蔽文件:利用字符的相似性麻痹系统管理员,或采用其他手段隐瞒攻击时产生的信息。网络攻击流程24北京邮电大学信息安全中心4、创建后门•一次成功的入侵往往要耗费攻击者的大量时间与精力,为了长期保持对已攻系统的访问权,在退出之前攻击者常在系统中创建一些后门,以便下次入侵。木马就是创建后门的一个典型范例。远程管理型木马可以提供很好的后门服务。木马的安装主要是利用系统操作者不好的使用习惯和薄弱的安全意识潜入系统,如操作人员随意上网抓资料或太信任电子邮件送来的文件等。•创建后门的常见方法:放宽文件许可权、重新开放不安全的服务、修改系统配置、替换系统共享库文件、修改系统源代码、安装嗅探器、建立隐蔽信道。(1)登录程序后门。其身份验证过程可能存在漏洞,使用这类后门可以方便地登录系统,并且不容易被发现。这类后门的引入可能是由于程序设计漏洞,如存在缓冲区溢出漏洞或验证算法不合理等;也可能是程序开发人员为了调试方便或怀有特殊目的故意加入,如缺省空口令、缺省固定口令、万能口令等;还有就是攻击者替换或修改了登录程序,不影响原有的登录过程,但有捷径可以方便地进入系统。这类后门有Rootkit,Netbios,SQLServer,PBBSER,Hidepak和Hidesource等。(2)网络服务后门。一些系统服务程序或应用服务程序中存在着漏洞,如系统服务Telnet,Ftp,E-mail,Rlogin等和应用服务IRC,OICQ等。利用这种漏洞产生的后门很多,如常见的AOLAdmin,AttackFTP,Hack’a’Tack和GateCrasher等(3)系统库后门。(4)内核后门。后门的种类后门隐藏包括应用级隐藏和内核级隐藏。应用级隐藏是常规的隐藏方法.(1)选择一个隐秘的目录存放后门程序文件,在Windows平台,可以选用:Autoexec.bat,Config.sys,System.ini和Win.ini注册表等。(2)修改或替换管理命令。修改或替换用于查看程序文件和进程信息的管理命令,使后门程序和进程可以很好地隐身。如替换“ls”“find”“du”可以实现文件和目录隐藏;替换“ps”“top”“pidof”可以实现进程隐藏;替换Netstat,Ifconfig可实现网络的连接状态隐藏;替换Kill,Killall可防止删除攻击者的进程,替换Crontab能隐藏攻击者的定时启动信息,替换Tcpd,Syslogd隐藏攻击者的连接信息等。后门的隐藏(3)通信端口隐藏:①选用不常用的通信端口,早期的后门一般都选用确定的端口,大多数的后门检测工具也是通过判断相应的端口来进行工作的,因此定制端口可以避过大多数检测软件的检测;②将后门隐藏在合法端口,为后门数据包设定标志,通过标志来区分会话,同时不会影响原有端口的服务,这种方法的优点在于无法通过端口来判断后门的类型,也不容易通过流量分析来检测,只能通过查找相应的标志来检测,但标志是易变的,因此该方法可以很好地隐藏通信端口。具有端口定制功能的后门代理程序有PingBackdoor,WinShell等。Executor利用80端口传递控制信息和数据,实现其远程控制。而CodeRedII则利用80端口来进行传播。后门的隐藏网络攻击流程28北京邮电大学信息安全中心5、清除攻击痕迹•攻击者为了隐蔽自身,一般在入侵后要做善后工作,避免系统管理员发现其攻击行为。•方法:修改日志文件中的审计信息、改变系统事件造成日志文件数据文件紊乱、删除或停止审计服务进程、干扰入侵检测系统正常工作、修改完整性标签。网络攻击流程29北京邮电大学信息安全中心v网络攻击的一般流程信息收集获得用户E-mail获得域名或IP地址获得开放服务获得漏洞获得开放端口获得系统账户获取网络信息扫描DoS/DDoS攻击口令破解获取网络资源获取访问权限提升访问权限发送E-mail病毒入侵创建后门窃取/破坏文件安装嗅探器隐蔽攻击行为清除攻击痕迹30拒绝服务攻击利用型攻击信息收集型攻击消息伪造攻击网络安全威胁分类网络安全威胁2、根据威胁动机分类31利用型攻击v口令猜测§攻击者可获取口令文件运用口令破解工具进行字典攻击。v特洛伊木马v缓冲区溢出§来自于C语言本质的不安全性:没有边界来限制数组和指针的引用;标准C库中还有很多非安全字符串操作:strcpy(),gets(),etc.§通过往程序的缓冲区写超过其长度的内容,使缓冲区溢出,破坏程序的堆栈,达到攻击目的。§可导致程序运行失败,系统死机,重启32拒绝服务攻击利用型攻击信息收集型攻击消息伪造攻击网络安全威胁分类网络安全威胁2、根据威胁动机分类33信息收集型攻击v体系结构刺探(协议栈指纹)§确定目标主机所运行的操作系统§不同操作系统厂商的IP协议栈实现之间存在许多细微差别,因此每种操作系统都有独特的响应方法v利用信息服务v扫描技术§地址扫描§端口扫描§漏洞扫描:漏洞特征库;模拟攻击v网络安全扫描的基本原理通过向远程或本地主机发送探测数据包,获取主机的响应,并根据反馈的数据包,进行解包、分析,从而发现网络或主机的配置信息、TCP/UDP端口的分配、提供的网络服务、服务器的具体信息等。Ping扫描•ping扫描是判断主机是否“活动”的有效方式,目的就是确认目标主机的IP地址,即扫描的IP地址是否分配给了主机。端口扫描•向目标主机的TCP/UDP服务端口发送探测数据包,并记录目标主机的响应,通过响应分析判断服务端口处于打开/关闭状态,以获取端口提供的服务。分为TCP扫描和UDP扫描。信息收集—扫描技术34北京邮电大学信息安全中心Ping扫描原理Ping扫描是网络中最原始的扫描方法,主要用于网络连通性的测试与判断,也可用于主机的发现。原理:利用ICMP请求响应报文和ICMP应答报文来实现。优点:操作简单方便不足:使用受限,因为很多个人防火墙从安全角度考虑都对ICMPping报文进行了屏蔽。而且这种扫描过程容易被防火墙日志记录,屏蔽性不强。3536ICMPechorequestICMPechoreply本地主机目标主机图ping扫描原理端口扫描原理端口扫描主机发现技术是利用TCP/IP协议中TCP协议的确认机制,本地主机通过特定端口向目标主机发送连接请求,目标主机通常会回应一个数据包进行响应,以表明连接的状态。用户可以通过目标主机的响应报文来判断它是否存在。优点:效率较高,可避免防火墙记录,隐蔽性较强,可以对有防火墙的主机进行探测。不足之处:不同操作系统TCP/IP协议栈实现原理不一样,同一种方法在不同的OS上肯能结果不一样。3738TCP(ACK)destport=80TCP(rst)本地主机目标主机图端口扫描原理ARP扫描ARP扫描指通过ARP请求(查询目标主机的物理地址),如果目标主机回应一个ARP响应报文,则说明它是存活的。优点:效率高,隐蔽性强,因为ARP解析是局域网中正常的活动,一般防火墙都不阻拦。不足:使用范围有限,只能用于局域网。这个方法适用于内网突破时使用。3940ARPrequest(广播)ARPreply本地主机目标主机图ARP扫描原理41北京邮电大学信息安全中心漏洞扫描•漏洞扫描绝大多数都是针对特定操作系统所提供的特定网络服务,也就是针对操作系统中某一个特定端口的。•两类基本的方法:漏洞特征库匹配和模拟攻击方法•漏洞特征库匹配:在端口扫描后得知目标主机开启端口和端口上提供的服务,将这些信息与网络漏洞扫描系统提供的漏洞信息库进行匹配,查看是否有漏洞存在。如FTP漏洞扫描、HTTP漏洞扫描、CGI漏洞扫描等•模拟攻击方法:通过模拟黑客的攻击方法,对目标主机系统进行攻击性漏洞扫描,如果模拟成功,则表示系统存在漏洞,主要是攻击者经验的直接体现,如Unicode遍历目录漏洞探测、FTP弱势密
本文标题:二网络安全威胁
链接地址:https://www.777doc.com/doc-4696123 .html