交大网络安全培训Chapter-6

网络安全技术第六章攻击与防攻击网络安全技术6.1常见攻击方法网络安全技术6.1常见攻击方法HighLow19801985199019952000passwordguessingself-replicatingcodepasswordcrackingexploitingknownvulnerabilitiesdisablingauditsbackdoorshijackingsessionssweeperssnifferspacketspoofingGUIautomatedprobes/scansdenialofservice“stealth”/advancedscanningtechniquesburglariesnetworkmgmt.diagnosticsDDOSattacks•两大趋势-攻击方法和工具越来越复杂-对攻击者的技术要求越来越低网络安全技术6.1常见攻击方法一、寻找系统漏洞•漏洞分类-操作系统漏洞-系统软件/应用软件漏洞•一般地，几乎所有的系统都有潜在的漏洞-软件越来越复杂(功能、大小)-更新换代速度很快软件的漏洞尚未完全发现和修补完毕就被新版软件替代•对系统漏洞进行攻击的目的-使软件或系统崩溃-取得系统控制权网络安全技术6.1常见攻击方法•一种典型漏洞：缓冲区溢出-Bufferoverflow、bufferoverrun-实际的数据长度大于程序为其分配的存储空间，所造成的程序运行出错-示例代码voidf(char*s){charbuf[64];strcpy(buf,s);…}调用函数f时，如果参数s的长度长于63，就会造成缓冲区溢出-缓冲区溢出漏洞在发现的系统漏洞中所占比例最大网络安全技术6.1常见攻击方法•一种典型漏洞：缓冲区溢出-缓冲区溢出类型-栈溢出-堆溢出-数组索引溢出-对缓冲区溢出漏洞的攻击方法：-植入代码-跳转到指定位置(栈溢出)-传递参数，执行已有程序或命令-举例1：CodeRed病毒，利用MicrosoftIIS中IndexService的缓冲区溢出漏洞，使模块idq.dll溢出，执行植入的蠕虫代码，2001年夏发作-举例2：SQLSlammer病毒，利用MicrosoftSQLServer缓冲区溢出漏洞，2003年1月24-25日发作-避免缓冲区溢出漏洞的方法：-在程序中对所有的输入数据进行仔细的检查网络安全技术6.1常见攻击方法•寻找系统漏洞的常用工具：扫描程序(Scanner)-功能-获取目标系统正在运行的服务(、FTP、…)-获取目标系统中的用户-寻找系统脆弱点-典型的扫描程序：-SATAN-NMAP-ISSInternetScanner-可用于提高系统安全性，也可用于黑客攻击网络安全技术6.1常见攻击方法•减少或避免系统漏洞的一般方法：-避免安装、使用不必要的软件及服务-尽快安装厂商提供的补丁程序-定期进行安全性测试-使用专用测试软件-检查系统日志、运行的进程、正在使用的端口、用户清单、…网络安全技术6.1常见攻击方法二、破解口令•偷听口令-常用的网络应用如FTP、Telnet等的口令以明文形式传输-偷听工具一般称为sniffer(嗅探器)-防范措施：-网络分段(使用网络交换机)，可以在一定程度上减少被偷听的风险-对口令不加密的网络应用，尽量避免通过不安全的网络使用-使用会话加密技术，如Kerberos、OTP等•破解口令(passwordcrack)-常用方法：字典攻击，已经出现各种口令字典-举例：Unix系统中口令以加密形式(DES算法)存于/etc/passwd文件中，从中可以得知用户名，口令字典+解密匹配，概率30%-防范措施：-Unix系统中的口令进行shadow处理-避免使用单词做口令，尽量使用复合词，或与数字组合，并定期更换网络安全技术6.1常见攻击方法三、拒绝服务攻击(DoS---DenialofService)•目标：破坏可用性•手段：-消耗稀缺资源：网络带宽、处理器、内存、硬盘空间、…-更改配置信息网络安全技术6.1常见攻击方法•DoS攻击之一：TCPSYNFlooding-TCP连接的建立采用3次握手方式-服务器收到连接请求后(SYN)将分配数据结构以记录连接状态，并返回SYNACK-一般系统只允许有限个数的Half-open状态TCP连接-攻击者连续发送大量SYN报文，但却不对SYNACK报文做出响应-服务器内部数据结构满，无法对正常用户的TCP连接请求做出响应-此类攻击大多使用IP地址伪装，使得对攻击源的定位比较困难-非对称攻击(Asymmetricattack)：使用有限资源攻击大型系统SYNACKSYNBACKAattackervictim建立TCP连接的3次握手网络安全技术6.1常见攻击方法•DoS攻击之二：Smurf-1997年出现，用于消耗网络带宽-发送大量的ICMPechorequest报文-源IP地址：victim的IP-目的IP地址：Intermediary的广播地址-结果：Intermediary子网内所有主机返回ICMPechoreply报文，使victim的网络出现阻塞-解决方法：设置路由器和主机操作系统，不对目标地址为广播地址的ICMPechorequest进行应答attacker…RoutervictimIntermediary网络安全技术6.1常见攻击方法•DoS攻击之三：UDPFlooding-另一种消耗网络带宽的攻击方式•DoS攻击之四：占用其他资源的攻击-邮件炸弹(e-mailboming)-产生大量错误日志-…•DoS攻击之五：修改配置信息-修改路由表-修改域名解析数据库(BIND服务)-…网络安全技术6.1常见攻击方法•DoS攻击的高级形式：分布式拒绝服务(DDoS---DistributedDoS)-网络上多台计算机在攻击者的控制下发起协同攻击-基于传统的DoS攻击方法，如TCPSYNFlooding、UDPFlooding等-前提：攻击者已攻破多台计算机并在其上安装了攻击代理程序-典型的DDoS攻击程序：trin00、stcheldraht、TFN、…-DDoS的攻击难度和防范难度都很大网络安全技术6.1常见攻击方法•DDoS攻击举例：trin00-Master的IP地址嵌入Daemon程序中，Daemon启动后向Master发Hello报文(31335/UDP)-攻击的发起：MasterMasterMasterDaemonDaemonDaemon…DaemonDaemon…attackervictimattackermasterdaemon27665/TCP口令保护27444/UDP-Daemon向受害者发起UDPFlooding攻击-近两年来，一些基于网络的病毒程序也具有DDoS的典型特征-如CodeRed、SQLSlammer等网络安全技术6.1常见攻击方法•近期DDoS攻击的发展趋势-安装部署-手工自动化-以Unix系统为目标以Windows为目标，如CodeRed、Nimda、SQLSlammer-有针对性地以路由器为目标-发作时间缩短-使用-控制通道：专用通道基于IRC协议,botnets更具隐蔽性-攻击发起：使用合法的协议或服务进行攻击，以避开被攻击网络的过滤机制网络安全技术01/24/2003,SQLSlammer10/22/2002,针对根域名服务器的DDoS攻击网络安全技术6.1常见攻击方法四、其他类型的攻击•特洛伊木马(TrojanHorse)-隐藏于常用软件中，当安装软件时侵入系统-典型攻击程序：BO2K(BackOrifice)、冰河、…•会话截取(SessionHijacking)-攻击者在合法用户通过身份认证后取而代之网络安全技术6.2防火墙技术(Firewall)网络安全技术6.2防火墙技术一、防火墙的功能及特点•防火墙的典型应用环境Extranet外网…防火墙Intranet内网•防火墙软件举例-LinuxIPchain-TIS防火墙工具包-Checkpoint防火墙----商用免费、开发源代码网络安全技术6.2防火墙技术•防火墙的功能-服务控制-控制内、外网之间可传输的报文服务类型-如限定IP地址、限定应用层协议(如允许、禁止Telnet、等)-方向控制-限定各种服务的传输方向(内网外网、外网内网)-如Telnet服务允许内网外网、禁止外网内网-用户控制-根据用户的不同确定允许的服务类型和传输方向，并提供一定的身份认证功能-行为控制-对各种服务的属性进行控制-如限定e-mail的来源等•局限性-无法防止绕过防火墙的攻击(如内部网拨号连接等)-无法防范来自内部网的攻击-防范有害程序的传输有难度(病毒、特洛伊木马等)网络安全技术6.2防火墙技术二、防火墙的分类•按工作层次不同-包过滤器(packetfilter)---工作在网络层-应用层网关(application-levelgateway)---工作在应用层-电路层网关(circuit-levelgateway)---工作在传输层•包过滤器-检查通过防火墙的IP报文，根据规则(rules)决定转发还是丢弃-检查内容-源、目标地址-传输层协议端口号-…-优点：对用户透明，性能较高-缺点：规则的确定比较困难、维护工作量大-举例：CiscoPIX网络安全技术6.2防火墙技术•应用层网关-对应用层服务提供中继，又称为代理服务器-如允许FTP、，禁止Telnet等-优点：能提供较高安全性、设置简单-缺点：工作效率低、性能较差；客户端需更改配置或安装专用软件•电路层网关-在传输层服务提供中继服务-性能及设置简便程度介于包过滤器和应用层网关之间-常作为代理服务器的一种功能-NAT(NetworkAddressTranslate)型代理服务器属于电路层网关-典型实例：SOCKS-RFC1928SOCKSProtocolversion5-RFC1929Username/PasswordAuthenticationforSOCKSv5网络安全技术6.2防火墙技术•防火墙的另一种分类方法-网络防火墙---保护内部网络-个人防火墙(单机防火墙)---保护单机系统•防火墙的发展趋势-兼有其他安全防护功能-病毒检测-入侵检测-…网络安全技术6.2防火墙技术三、防火墙的配置•几个基本概念-堡垒主机(Bastionhost)：专门用于安全的代理服务器-单穴(宿主)主机、双穴(宿主)主机、多穴(宿主)主机一个网络接口Single-homedhost单穴主机单宿主主机两个网络接口Dual-homedhost双穴主机双宿主主机三个网络接口网络安全技术6.2防火墙技术•防火墙典型配置之一-成本低、安装简便-对外公共信息服务(如服务器)也可安装在堡垒主机上-适用于小型、安全性要求不高的网络防护堡垒主机…Internet网络安全技术6.2防火墙技术•防火墙典型配置之二-通过设置路由器，使所有进出内外网的报文都由堡垒主机转发-缺点：如路由器被攻破，通过修改路由器可绕过堡垒主机堡垒主机(应用层网关)…RouterInternet网络安全技术6.2防火墙技术•防火墙典型配置之三-堡垒主机将内外网隔开-公共信息服务(服务器、FTP服务器等)放置在堡垒主机外侧-也可使用三宿主主机，将服务器、FTP服务器等放置在单独的网段上，此时这些服务器也能得到一定的安全防护堡垒主机…Router堡垒主机…Router防火墙技术•防火墙典型配置之四-设置一个缓冲地带，称为非军事区(DMZ---Demilitarizedzone)-公共信息服务(服务器、FTP服务器等)放置在非军事区堡垒主机…Router防火墙技术•配置使用防火墙时：-注意安全性与性能、可维护性