<4D F736F F F696E74202D20D0C5CFA2D3EBCDF8C2E7B0B2C8ABA1AAA1AABADABFCDB9A5B7C0BCBCCAF5A3A A3A92E BBCE6C8DDC4A3CABD5D>

Size: px

Start display at page:

Download "<4D F736F F F696E74202D20D0C5CFA2D3EBCDF8C2E7B0B2C8ABA1AAA1AABADABFCDB9A5B7C0BCBCCAF5A3A A3A92E BBCE6C8DDC4A3CABD5D>"

曳而王
7 years ago
Views:

1 信息与网络安全黑客攻防技术中山大学网络与信息技术中心李磊博士 QQ: 年 11 月信息与网络安全概述信息与网络安全概述信息与网络安全的本质和内容计算机网络的脆弱性信息与网络安全的目标信息与网络安全的主要威胁信息与网络安全的六方面属性信息与网络安全的八大机制信息与网络安全概念与技术的发展阶段 1

2 信息与网络安全的本质和内容网络安全从其本质上来讲就是网络上的信息安全信息安全是对信息的保密性完整性和可用性的保护, 包括物理安全网络系统安全数据安全信息内容安全和信息基础设施安全等网络安全主要涉及网络安全威胁的主要类型网络攻击的手段网络安全机制网络安全技术以及信息安全等级标准等方面内容计算机网络的脆弱性体系结构的脆弱性网络体系结构要求上层调用下层的服务, 上层是服务调用者, 下层是服务提供者, 当下层提供的服务出错时, 会使上层的工作受到影响网络通信的脆弱性网络安全通信是实现网络设备之间网络设备与主机节点之间进行信息交换的保障, 然而通信协议或通信系统的安全缺陷往往危及到网络系统的整体安全网络操作系统的脆弱性目前的操作系统, 无论是 Windows UNIX 还是 Netware 都存在安全漏洞, 这些漏洞一旦被发现和利用将对整个网络系统造成巨大的损失网络应用系统的脆弱性随着网络的普及, 网络应用系统越来越多, 网络应用系统也可能存在安全漏洞, 这些漏洞一旦被发现和利用将可能导致数据被窃取或破坏, 应用系统瘫痪, 甚至威胁到整个网络的安全网络管理的脆弱性在网络管理中, 常常会出现安全意识淡薄安全制度不健全岗位职责混乱审计不力设备选型不当和人事管理漏洞等, 这种人为造成的安全漏洞也会威胁到整个网络的安全信息与网络安全的目标进不来拿不走看不懂改不了跑不了 2

3 要胁保密性息安2009/11/4 信息与网络安全的主要威胁内部窃密和破坏安全的主要威胁主窃听和截收非法访问 ( 以未经授权的方式使用网络资源 ) 破坏信息的完整性 ( 的完整性 ) 通过篡改删除和插入等方式破坏信息威冒充 ( 攻击者利用冒充手段窃取信息入侵系统破坏网络正常通讯或欺骗合法主机和合法用户 ) 流量分析攻击 ( 分析通信双方通信流量的大小, 以期获得相关信息 ) 其他威胁 ( 病毒电磁泄漏各种自然灾害战争失窃操作失误等 ) 特洛伊木马黑客攻击天灾后门隐蔽通道计算机病毒信息泄漏篡改破坏网络信息系统拒绝服务攻击逻辑炸弹蠕虫系统 Bug 内部人员威胁社会工程信息与网络安全的六方面属性六方面属性信息全可靠性可用性保密性完整性真实性不可抵赖性 3

4 可靠性可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性可靠性包括 : 硬件可靠性软件可靠性通讯可靠性人员可靠性环境可靠性可用性可用性即网络信息系统在需要时, 允许授权用户或实体使用的特性 ; 或者是网络信息系统部分受损或需要降级使用时, 仍能为授权用户提供有效服务的特性真实性确保网络信息系统的访问者与其声称的身份是一致的 ; 确保网络应用程序的身份和功能与其声称的身份和功能是一致的 ; 确保网络信息系统操作的数据是真实有效的数据 4

5 保密性保密性是防止信息泄漏给非授权个人或实体, 只允许授权用户访问的特性保密性是一种面向信息的安全性, 它建立在可靠性和可用性的基础之上, 是保障网络信息系统安全的基本要求完整性完整性是信息在未经合法授权时不能被改变的特性, 也就是信息在生成存储或传输过程中保证不被偶然或蓄意地删除修改伪造乱序插入等破坏和丢失的特性完整性是一种面向信息的安全性, 它要求保持信息的原样, 即信息的正确生成正确存储和正确传输不可抵赖性不可抵赖性也称作不可否认性, 即在网络信息系统的信息交互过程中所有参与者都不可能否认或抵赖曾经完成的操作的特性 5

6 信息与网络安全的八大机制数据加密机制访问控制机制数据完整性机制数字签名机制实体认证机制业务填充机制路由控制机制公证机制数据加密机制密码技术是保障信息安全的核心技术消息被称为明文用某种方法伪装消息以隐藏它的内容的过程称为加密加了密的消息称为密文而把密文转变为明文的过程称为解密信息加密是保障信息安全的最基本最核心的技术措施和理论基础信息加密也是现代密码学主要组成部分访问控制机制访问控制的目的是防止对信息资源的非授权访问和非授权使用信息资源它允许用户对其常用的信息库进行适当权限的访问, 限制他随意删除修改或拷贝信息文件访问控制技术还可以使系统管理员跟踪用户在网络中的活动, 及时发现并拒绝黑客的入侵访问控制采用最小特权原则 : 即在给用户分配权限时, 根据每个用户的任务特点使其获得完成自身任务的最低权限, 不给用户赋予其工作范围之外的任何权力自主访问控制 (DAC) 强制访问控制 (MAC) 和基于角色的访问控制 (RBAC) 6

7 数据完整性机制是保护数据, 以免未授权的数据乱序丢失重放插入和纂改数据完整性机制的两个方面单个数据单元或字段的完整性 ( 不能防止单个数据单元的重放 ) 附加一个量比较这个量发送方接收方数据单元串或字段串的完整性还要加上顺序号时间标记和密码链数字签名机制传统签名的基本特点 : 能与被签的文件在物理上不可分割签名者不能否认自己的签名签名不能被伪造容易被验证数字签名是传统签名的数字化, 基本要求 : 能与所签文件绑定签名者不能否认自己的签名签名不能被伪造容易被自动验证用于认证交换的技术认证信息, 如口令密码技术被认证实体的特征实体认证机制为防止重放攻击, 常与以下技术结合使用时间戳两次或三次握手数字签名 7

8 路由控制机制路由控制机制可使信息发送者选择特殊的路由, 以保证连接传输的安全其基本功能为 : 路由选择路由可以动态选择, 也可以预定义, 以便只用物理上安全的子网中继或链路进行连接和 / 或传输 ; 路由连接在监测到持续的操作攻击时, 端系统可能同志网络服务提供者另选路由, 建立连接 ; 安全策略携带某些安全标签的数据可能被安全策略禁止通过某些子网中继或路连接的发起者可以提出有关路由选择的警告, 要求回避某些特定的子网中继或链路进行连接和 / 或传输业务填充机制所谓的业务填充即使在业务闲时发送无用的随机数据, 增加攻击者通过通信流量获得信息的困难, 是一种制造假的通信产生欺骗性数据单元或在数据单元中产生数据的安全机制该机制可用于提供对各种等级的保护, 用来防止对业务进行分析, 同时也增加了密码通讯的破译难度发送的随机数据应具有良好的模拟性能, 能够以假乱真该机制只有在业务填充受到保密性服务时才有效可利用该机制不断地在网络中发送伪随机序列, 使非法者无法区分有用信息和无用信息公证机制有关在两个或多个实体之间通信的数据的性质, 如完整性原发时间和目的地等能够借助公证机制而得到确保这种保证是由第三方公证人提供的公证人为通公证人为通信实体所信任, 并掌握必要信息以一种可证实方式提供所需的保证每个通信实例可使用数字签名加密和完整性机制以适应公证人提供的服务当这种公证机制被用到时, 数据便在参与通信的实体之间经由受保护的通信和公证方进行通信 8

9 普适性安全机制安全标签事件检测审计跟踪安全恢复信息与网络安全概念与技术的发展阶段信息安全的概念与技术是随着人们的需求, 随着计算机通信与网络等信息技术的发展而不断发展的单机系统的信息保密阶段网络信息安全阶段信息保障阶段网络信息安全阶段 1988 年莫里斯蠕虫爆发对网络安全的关注与研究 CERT 成立该阶段中, 除了采用和研究各种加密技术外, 还开发了许多针对网络环境的信息安全与防护技术 ( 被动防御 ): 安全漏洞扫描技术安全路由器防火墙技术入侵检测技术网络攻防技术网络监控与审计技术等 9

10 信息保障阶段信息保障 (IA) 概念与思想是 20 世纪 90 年代由美国国防部长办公室提出定义 : 通过确保信息和信息系统的可用性完整性可控性保密性和不可否认性来保护信息系统的信息作战行动, 包括综合利用保护探测和反应能力以恢复系统的功能美国国家安全局制定的信息保障技术框架 IATF, 提出纵深防御策略 DiD(Defense-in-Depth Strategy) 信息保障阶段不仅包含安全防护的概念, 更重要的是增加了主动和积极的防御观念黑客攻防技术网络攻击被动攻击窃听或者偷窥流量分析 sniffer 源目的被动攻击非常难以检测, 但可以防范 10

11 网络攻击主动攻击 : 指攻击者对某个连接的中的 PDU 进行各种处理 ( 更改删除迟延复制伪造等 ) 阻断攻击篡改攻击伪造攻击拒绝服务攻击重放攻击主动攻击可以检测, 但难以防范信息与网络安全的攻击手段物理破坏嗅探数据阻断攻击数据篡改攻击数据伪造攻击数据重放攻击盗用口令攻击中间人攻击缓冲区溢出攻击分发攻击野蛮攻击 SQL 注入攻击计算机病毒与蠕虫跨站点脚本后门攻击欺骗攻击拒绝服务攻击特洛伊木马物理破坏攻击者可以直接接触到信息与网络系统的硬件软件和周边环境设备通过对硬件设备网络线路电源空调等的破坏, 使系统无法正常工作, 甚至导致程序和数据无法恢复 11

12 嗅探嗅探 (sniffer) 就是侦听网络数据流, 获取通信数据, 造成通信信息外泄, 甚至危及敏感数据的安全 sniffer 嗅探的工作方式和危害危害 : 很多协议都是以明文发送 ( 如 ftp http POP3 等 ), 容易被窃取重要信息嗅探难以被检测 Sniffer 软件的使用 : 把网卡置于混杂模式捕获数据包分析数据包与嗅探相关的攻击策略使用 Arp 欺骗方法冒充网关, 截取数据包向交换机大量发送包含伪造发送方 MAC 地址的数据帧, 冲垮交换机的 MAC 地址 12

13 对嗅探的防范数据加密传输, 如 SSH 使用安全拓扑结构 ( 成本高 ) 防火墙加强网络监控防止 Sniffer 的工具, 如 Antisnff VLAN sniffer 数据阻断攻击攻击者在不破坏物理线路的前提下, 通过干扰连接配置等方式, 阻止通信各方之间的数据交换阻断攻击 2007 年 11 月 21 日亚太计算机网络应急组织联盟 (APCERT) 于今日成功完成了其一年一度的应急演练今年的演练背景是 2008 年的北京奥运会, 通过以阻断奥运会期间的网络攻击为目的, 来检验 APCERT 成员组织在亚太区面对网络威胁的应急处理能力数据篡改攻击攻击者在非法读取数据后, 进行篡改数据, 以达到通信用户无法获得真实信息的攻击目的篡改攻击 13

14 数据伪造攻击攻击者在了解通信协议的前提下, 伪造数据包发给通讯各方, 导致通讯各方的信息系统无法正常的工作, 或者造成数据错误伪造攻击数据重放攻击攻击者尽管不了解通信协议的格式和内容, 但只要能够对线路上的数据包进行窃听, 就可以将收到的数据包再度发给接收方, 导致接收方的信息系统无法正常的工作, 或者造成数据错误收到大量数据包重放攻击为了抵御重放攻击, 现在的身份认证一般采用挑战因答方式盗用口令攻击盗用口令攻击 (password-based attacks) 攻击者通过多种途径获取用户合法账号进入目标网络, 攻击者也就可以随心所欲地盗取合法用户信息以及网络信息 ; 修改服务器和网络配置 ; 增加篡改和删除数据等等直接看木马 & 蠕虫野蛮攻击 sniffer 14

15 中间人攻击中间人攻击 (man-in-the-middle attack) 是指通过第三方进行网络攻击, 以达到欺骗被攻击系统反跟踪保护攻击者或者组织大规模攻击的目的控制攻击中间人攻击类似于身份欺骗, 被利用作为中间人的的主机称为 Remote Host( 黑客取其谐音称之为肉鸡 ) 网络上的大量的计算机被黑客通过这样的方式控制, 将造成巨大的损失, 这样的主机也称做僵尸主机缓冲区溢出攻击者输入的数据长度超过应用程序给定的缓冲区的长度, 覆盖其它数据区, 造成应用程序错误, 而覆盖缓冲区的数据恰恰是黑客的入侵程序代码, 黑客就可以获取程序的控制权利用计算机缓冲区溢出漏洞进行攻击的最著名的案例是莫里斯蠕虫, 发生在 1988 年 11 月 15

16 安全漏洞获得管理员权限系统崩溃执行非法程序工作方式与危害数据段程序段数据段程序段变量 S 储存 Char S [100]; Strcpy (s,t); 没有检验长度, 若提交的长度超过 100 就出问题数据段程序段数据段程序段黑客提交的数据超出的部分覆盖程序段, 如果黑客编写的是恶意的程序代码, 计算机就被入侵相关的攻击策略最常见的手段是通过制造缓冲区溢出使程序运行一个用户 shell, 再通过 shell 执行其它命令如果该程序具有 root 权限的话, 攻击者就可以对系统进行任意操作了 16

17 防范正确编写代码打补丁检查数组边界程序指针完整检查软件防护分发攻击攻击者在硬件和软件的安装配置期间, 利用分发过程去破坏 ; 或者是利用系统或管理人员向用户分发帐号和密码的过程窃取资料破坏或窃取窃取发送用户输入要求重新输入显示密码错误野蛮攻击野蛮攻击包括字典攻击和穷举攻击字典攻击是使用常用的术语或单词列表进行验证, 攻击取决于字典的范围和广度由于人们往往偏爱简单易记的口令, 字典攻击的成功率往往很高如果字典攻击仍然不能够成功, 入侵者会采取穷举攻击穷举攻击采用排列组合的方式生成密码一般从长度为 1 的口令开始, 按长度递增进行尝试攻击 17

18 SQL 注入攻击攻击者利用被攻击主机的 SQL 数据库和网站的漏洞来实施攻击, 入侵者通过提交一段数据库查询代码, 根据程序返回的结果获得攻击者想得知的数据, 从而达到攻击目的攻击实例 ' or ''=' ' or ''=' Select * from [ 表名 ] Where user= And password = 登陆成功, 进行后续入侵 Select * from [ 表名 ] Where user= or = And password = or = 防范对用户提交信息进行字符验证检查 IIS 日志和数据表如果在后端数据库运行了第三方代码, 用户有必要考虑独立软件开发商 (ISV,Independent Software Vendors) 所可能造成的 SQL 注入影响确保使用数据库的 Web 应用程序最少访问权限使用 SQL 参数查询使用存储策略使用 SQL 单一执行允许 18

19 计算机病毒与蠕虫计算机病毒 (Computer Virus) 是指编制者编写的一组计算机指令或者程序代码, 它能够进行传播和自我复制, 修改其他的计算机程序并夺取控制权, 以达到破坏数据阻塞通信及破坏计算机软硬件功能的目的蠕虫也是一种程序, 它可以通过网络等途径将自身的全部代码或部分代码复制传播给其他的计算机系统, 但它在复制传播时, 不寄生于病毒宿主之中蠕虫病毒是能够是寄生于被感染主机的蠕虫程序, 具有病毒的全部特成, 通常利用计算机系统的漏洞在网络上大规模传播跨站点脚本 XSS 又叫 CSS (Cross Site Script), 跨站脚本攻击它指的是恶意攻击者往 Web 页面里插入恶意 html 代码, 当用户浏览该页之时, 嵌入其中 Web 里面的 html 代码会被执行, 从而达到恶意攻击者的特殊目的 XSS 属于被动式的攻击, 因为其被动且不好利用, 所以许多人常呼略其危害性例如 :<script>alert(document.cookie)</script> XSS 具有更强的欺骗性, 常用来窃取用户的信息后门攻击后门攻击 (backdoor attack) 是指攻击者故意在服务器操作系统或应用系统中制造一个后门, 以便可以绕过正常的访问控制攻击者往往就是设计该应用系统的程序员 19

20 欺骗攻击 ARP 欺骗 WEB 欺骗电子邮件欺骗钓鱼欺骗非技术类欺骗攻击者隐瞒个人真实信息, 欺骗对方, 以达到攻击的目的非技术类欺骗网关交换机获取用户信息或篡改信息后转发发送数据给路由欺骗计算机路由的 MAC 地址为 H 计算机的 MAC 地址 H 计算机 C 计算机拒绝服务攻击 (DoS) 纵观网络安全攻击的各种手段和方法,DoS(Denial of Service) 拒绝服务类攻击危害巨大, 有报道说黑客每周发起的 DoS 类网络攻击达到 4000 次之巨常见的方式是 : 使用极大的通信量冲击网络系统, 使得所有可用网络资源都被消耗殆尽, 最后导致网络系统无法向合法的用户提供服务 DDoS(Distributed Denial of Service) 分布式拒绝服务攻击的出现无疑是一场网络的灾难, 它是 DoS 攻击的演变和升级, 是黑客手中惯用的攻击方式之一, 破坏力极强, 往往会带给网络致命的打击 20

21 DoS/DDoS 攻击回顾华盛顿邮报称: 2000 年美国当地时间 2 月 7 日上午 10: 15 至下午 1:25 分, 世界最大和最受欢迎的网站之一雅虎被黑客攻击, 该网站自设立以来破天荒头一次中断服务长达 3 个小时之久, 损失达 50 万美元黑客来自因特网上多个网址, 显然是事先约定的, 这次攻击被人称为分布式拒绝访问一星期后, 美国 CNN 亚马逊 ebay BUY.COM 等商业网站都遭到了类似攻击, 致使 ebay BUY 等网站被迫关闭, 黑客们使用了同样简单的攻击手段, 向网站发送大量的信息使线路阻塞从而导致系统瘫痪 2001 年 5 月, 中美黑客采用同样手法发动了著名的中美黑客大战, 美国白宫国家安全局等站点不得不关闭服务, 而中国的某些政府网站也遭到了同样的攻击美国东部时间 2002 年 10 月 21 日下午 5 时左右, 国际互联网系统的核心, 位于美国瑞典英国日本等国家和地区的 13 个根名服务器, 遭受了有史以来规模最大最复杂的一次分布式拒绝服务攻击 (DDoS) 整个袭击横跨全世界, 规模巨大, 并持续了 1 小时左右 DOS/DDoS 的类型计算资源耗尽型请求的页面计算量很大, 如查询统计等通常表现为 cpu 内存耗尽网络资源耗尽型通过大量的请求, 造成大量的数据流量, 将网络堵塞, 使之无法为正常请求提供服务 21

22 DoS/DDoS 部分攻击手段 TCP-SYN Flood 攻击 TCP-SYN Flood 在三次握手机制中只有前两个步骤服务方会在一定时间处于等待接收请求方 ASK 消息的状态由于一台服务器可用的 TCP 连接是有限的, 如果恶意攻击方快速连续地发送此类连接请求, 则服务器可用 TCP 连接队列很快将会阻塞, 系统资源和可用带宽急剧下降, 无法提供正常的网络服务, 从而造成拒绝服务提交脚本攻击针对存在 ASP PHP CGI 等脚本程序, 并调用 MSSQL MYSQL ACCESS 等数据库的网站系统, 不断地向数据库提交注册查询刷新等消耗资源的命令, 最终将服务器的资源消耗掉从而导致拒绝服务 DRDoS: 分布式反射拒绝服务攻击每个良好连接的中介器都会接受它们 179 端口上连接也就是说任何一个 SYN 数据包到达一个网络路由器上后都会引出一个该路由的 SYN/ACK 回应包来入侵者利用带有请求的 SYN 数据包对网络路由器进行洪水攻击这些数据包伪装受害主机 ip 地址, 路由器以为这些 SYN 数据包是从 XXX 网站发送过来的, 便对它们发送 SYN/ACK 数据包作为三次握手过程的第二步恶意的数据包就反射到 XXX 网站的主机上, 形成了洪水攻击网络资源耗尽型 DoS 攻击单机大数据量请求堵塞占用带宽 DDoS 攻击多主机同时小请求量, 人多力量大防范方法与网络服务商协商, 在紧急情况下临时增加带宽过滤攻击者 IP 利用网路设备负载均衡在骨干节点配置防火墙计算资源耗尽型 DoS 攻击单机大数据量耗尽服务器计算资源 DDoS 攻击多主机同时小请求量, 耗尽服务器计算资源防范方法状态检测防火墙过滤攻击者 IP 完善程序, 采用防灌水防刷新机制多主机负载均衡 22

23 DoS 另类攻击电话拒绝服务 : 在奥运会火炬在美国传递期间, 活跃在西西河的一些中国网络工程师, 在火炬到达的前一天, 就发动了电话攻势, 利用网络技术, 造成藏独组织自己的公开电话间出现大量的自动连接结果, 湾区藏独组织所有公布的联系电话全被自己打爆, 通讯瘫痪, 也无法接受媒体的采访, 陷入一片混乱电话 1 电话 2 两电话接通通过程序拨通电话 1 再通过程序拨通电话 2 将电话 1 和电话 2 接通 C 计算机特洛伊木马特洛伊木马简称木马, 它由两部分组成 : 服务器程序和控制器程序, 当主机被装上服务器程序, 攻击者就可以使用控制器程序通过网络来控制主机木马通常是利用蠕虫病毒黑客入侵或者使用者的疏忽将服务器程序安装到主机上的 23

24 防范木马查杀软件打补丁不轻易点击不可靠的网址不用未经验证的第三方软件谢谢! 24

MASQUERADE # iptables -t nat -A POSTROUTING -s / o eth0 -j # sysctl net.ipv4.ip_forward=1 # iptables -P FORWARD DROP #

MASQUERADE # iptables -t nat -A POSTROUTING -s / o eth0 -j # sysctl net.ipv4.ip_forward=1 # iptables -P FORWARD DROP # iptables 默认安全规则脚本一 #nat 路由器 ( 一 ) 允许路由 # iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT ( 二 ) DNAT 与端口转发 1 启用 DNAT 转发 # iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 dprot 422 -j DNAT to-destination