信息保障的核心思想信息保障的核心思想是对系统或者数据的4个方面的要求:PDRR保障体系保护(Protect)检测(Detect)反应(React)恢复(Restore)PDRR保障体系保护(Protect)指采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。密码技术、数字签名、报文摘要、安全协议、操作系统安全、数据库系统安全、访问控制等技术检测(Detect)指提供工具检查系统可能存在的黑客攻击、白领犯罪和病毒泛滥等脆弱性。病毒检测、漏洞扫描、入侵检测、身份鉴别等技术PDRR保障体系反应(React)指对危及安全的事件、行为、过程及时做出响应处理,杜绝危害的进一步蔓延扩大,力求系统尚能提供正常服务。监视、关闭、切换、跟踪、报警、修改配置、联动阻断等技术恢复(Restore)指一旦系统遭到破坏,尽快恢复系统功能,尽早提供正常的服务。备份、恢复。攻击技术攻击技术主要包括五个方面:1、网络监听:不主动去攻击别人,在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。2、网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。3、网络入侵:当探测发现对方存在漏洞以后,入侵到目标计算机获取信息。4、网络后门:成功入侵目标计算机后,为了对“战利品”的长期控制,在目标计算机中种植木马等后门。5、网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。如果不知道如何攻击,再好的防守也是经不住考验的。防御技术防御技术包括:1.加密技术:为了防止被监听和盗取数据,将所有的数据进行加密。2.防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。3.入侵检测:如果网络防线最终被攻破了,需要及时发出被入侵的警报。4.操作系统的安全配置:操作系统的安全是整个网络安全的关键。我国立法情况目前网络安全方面的法规已经写入中华人民共和国宪法。于1982年8月23日写入中华人民共和国商标法于1984年3月12日写入中华人民共和国专利法于1988年9月5日写入中华人民共和国保守国家秘密法于1993年9月2日写入中华人民共和国反不正当竞争法。安全级别类别级别名称主要特征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性,安全标识BB1标识的安全保护强制存取控制,安全标识B2结构化保护面向安全的体系结构,较好的抗渗透能力B3安全区域存取监控、高抗渗透能力AA验证设计形式化的最高级描述和验证2.1信息收集概述信息收集的内容域名和IP地址操作系统类型开放的端口与服务应用程序类型防火墙、入侵检测等安全防范措施内部网络结构、域组织2.3.1主机扫描利用ICMP进行主机扫描PingPing使用ICMP协议进行工作2.3.2端口扫描端口扫描原理向目标主机的各个端口发送连接请求,根据返回的响应判断是否开放。端口是入侵的通道端口分为TCP端口与UDP端口,端口扫描可分类为TCP扫描UDP扫描基本扫描用Socket开发TCP应用服务器端客户端2.3.2端口扫描基本的扫描方法即TCPConnect扫描优点实现简单可以用普通用户权限执行缺点容易被防火墙检测,也会目标应用所记录2.1.1可以利用的缺陷与漏洞管理漏洞目标系统信息的泄露错误的配置信息未采用必要的防护系统弱口令系统漏洞未更新补丁设计缺陷协议漏洞身份验证协议以及网络传输协议2.5操作系统类型探测识别目标操作系统的意义识别操作系统类型的方法针对专门的操作系统的漏洞为社会工程法提供进一步的信息2.5.1传统的操作系统探测方法端口扫描结果分析操作系统往往提供一些自身特有的功能,而这些功能又很可能打开一些特定的端口WINDOWS9X:137、139WINDOWS2000/XP:135、139、445135——LocationService137——NetBIOSNameService(UDP)139——NetBIOSFileandPrintSharing各种UNIX:512-514、20492.5.1传统的操作系统探测方法应用程序BANNERBANNER服务程序接收到客户端的正常连接后所给出的欢迎信息2.5.1传统的操作系统探测方法MSFTPServ-UforWindows2.5.2TCP/IP协议栈指纹TCP/IP协议栈指纹不同的操作系统在实现TCP/IP协议栈时都或多或少地存在着差异。而这些差异,我们就称之为TCP/IP协议栈指纹不同的操作系统在实现TCP/IP协议栈的时候,并不是完全按照RFC所定义的标准来实现的在RFC中也没有对所有的问题给予精确的定义2.5.2TCP/IP协议栈指纹FIN扫描对FIN报文的回复TCP标准关闭的端口——返回RST报文打开的端口——忽略BSD操作系统与TCP标准一致其他操作系统均返回RST报文2.5.2TCP/IP协议栈指纹TCP/IP协议栈指纹TCP包头信息相关FIN标志探测BOGUS(伪造)标记位探测TCPISN取样TCP初始化“窗口”测试ACK标志测试TCP选项测试IP/ICMP包信息相关ICMP错误信息查询ICMP信息引用ICMP错误信息回显完整性服务类型(TOS)和TTL片段(碎片)处理内容提要本章将介绍目前常见的网络入侵手段:口令攻击ARP欺骗Unicode漏洞攻击缓冲区溢出拒绝服务攻击假消息攻击介绍流行的攻击工具的使用。相关概念服务:系统提供的,用户所需要的功能。拒绝服务:任何对服务的干涉,如果使其可用性降低或者失去可用性均称为拒绝服务。拒绝服务攻击:是指攻击者通过某种手段,有意地造成计算机或网络不能正常运转,从而不能向合法用户提供所需要的服务或者使得服务质量降低。攻击运行原理个比较完善的DDoS攻击体系分成四大部分,黑客控制傀儡机攻击傀儡机受害者对受害者来说,DDoS的实际攻击包是从攻击傀儡机上发出的,控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。攻击运行原理DDoS攻击体系结构攻击运行原理按照攻击机制将拒绝服务攻击分为3类第一类是风暴型(FloodType)攻击,攻击者通过大量的无用数据包(非正常用户的正常请求,这些数据包是旨在攻击受害者,由攻击者发出的或者由攻击主机响应攻击者的指令而发出的,因此有时也称之为攻击性数据包)占用过多的资源以达到拒绝服务的目的。这种攻击有时也称为带宽攻击(BandwidthAttack),原因是其常常占用大量的带宽,即使有时攻击的最终目的是占用系统资源,但在客观上也会占用大量带宽。攻击类型攻击类型在这类攻击中,攻击数据包可以是各种类型的(TCP,IP,UDP,ICMP等),数据包中的数据也可以是多种多样的,这些数据包与正常服务的数据包是难以区分的。风暴攻击的效果完全依赖于数据包的数量,仅当大量的数据包传到目标系统(受害者)时,攻击方才有效。分布式拒绝服务攻击表明,即使是拥有大量资源的网络在风暴型攻击下也难以幸免。攻击类型第二类是毒包(KillerPacket)型攻击,它主要是利用协议本身或者其软件实现中的漏洞,通过一些非正常的(畸形的)数据包使得受害者系统在处理时出现异常,导致受害者系统崩溃。由于这类攻击主要是利用协议或软件漏洞来达到攻击效果的,因此,有的也称这类攻击为漏洞攻击,也有称之为协议攻击的。攻击类型由于这类攻击对攻击者的运算能力或带宽没有要求,一个通过Modem连接的低档的PC机就可以攻破一个具有高带宽的大型系统。因此,这类攻击也是一种非对称DoS攻击。此类攻击一般可以通过打补丁或者在防火墙处过滤特定的畸形数据包达到对受害者的保护目的。攻击类型第三类攻击称为重定向攻击,它既不是利用剧毒包,也不是利用风暴来攻击受害者。它是通过修改网络中的一些参数如ARP表、DNS缓存,使得从受害者发出的或者发向受害者的数据包被重定向到了其他的地方。很多人不把它当成拒绝服务攻击。但如果数据包被重定向到不存在的主机或者存在但不将数据包转发到其真正目的地的主机,则构成实际的拒绝服务。SYNFlood原理TCP连接的三次握手SYNFlood原理SynFlood攻击者不会完成三次握手SYNFlood原理假设一个客户向服务器发送了SYN报文段后突然掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度称为SYNTimeout,一般来说这个时间大约为30秒-2分钟;同时,对于每个连接,双方都要为这个连接分配必要的内存资源,用来存放所使用的协议,地址、端口、时钟以及初始序号等信息,这些内存资源大约占用280字节。SYNFlood原理当一个服务器收到大量连续的SYN包时,就会为这些连接分配必要的内存资源,这些半连接将耗尽系统的内存资源和CPU时间,从而拒绝为合法的用户提供服务。此时从正常客户的角度看来,服务器失去响应,这种情况我们称做:服务器端受到了SYNFlood攻击(SYN洪水攻击)。SYNFlood防护策略优化系统配置缩短超时时间,使无效的半连接尽快释放,也可能导致某些合法连接失败;增加半连接队列长度,使系统能够处理更多的半连接;关闭不必要或不重要的服务,减少被攻击的机会。优化路由器配置丢弃那些来自内网而源地址具有外网IP地址的包。加强监测在网络的关键点上安装监测软件,持续监视TCP/IP流量,分析通信状态,辨别攻击行为。SYNFlood防护策略防火墙有些防火墙具有SYNProxy功能,这种方法设置每秒通过指定对象(目标地址和端口、仅目标地址或仅源地址)的SYN片段数的阈值,当来自相同源地址或发往相同目标地址的SYN片段数达到这些阈值之一时,防火墙就开始截取连接请求和代理回复SYN/ACK片段,并将不完全的连接请求存储到连接队列中直到连接完成或请求超时。当防火墙中代理连接的队列被填满时,防火墙拒绝来自相同区域中所有地址的新SYN片段,避免网络主机遭受不完整的三次握手的攻击。这种方法在攻击流量较大的时候,连接出现较大的延迟,网络的负载较高,很多情况下反而成为整个网络的瓶颈。SYNFlood防护策略防护算法SYNproxy算法:这种算法对所有的SYN包均主动回应,探测发起SYN包的源IP地址是否真实存在;如果该IP地址真实存在,则该IP会回应防护设备的探测包,从而建立TCP连接;大多数的国内外抗拒绝服务产品采用此类算法。SafeReset算法:此算法对所有的SYN包均主动回应,探测包特意构造错误的字段,真实存在的IP地址会发送rst包给防护设备,然后发起第2次连接,从而建立TCP连接;部分国外产品采用了这样的防护算法。SYNFlood防护策略SYN重传算法:该算法利用了TCP/IP协议的重传特性,来自某个源IP的第一个syn包到达时被直接丢弃并记录状态,在该源IP的第2个syn包到达时进行验证,然后放行。综合防护算法:结合了以上算法的优点,并引入了IP信誉机制。当来自某个源IP的第一个syn包到达时,如果该IP的信誉值较高,则采用synproxy算法;而对于信誉值较低的源IP,则基于协议栈行为模式,如果syn包得到验证,则对该连接进入synproxy校验,一旦该IP的连接得到验证则提高其信誉值。有些设备还采用了表结构来存放协议栈行为模式特征值,大大减少了存储量。SYNFlood防护策略无论哪种防护策略都只针对一种