搜索
1第二讲网络安全威胁牛秋娜2网络安全威胁分类•网络系统面临的威胁主要来自外部的人为影响和自然环境的影响,尤其是“人为攻击”。•人为攻击:攻击者对系统的攻击范围从随便浏览信息到使用特殊技术对系统进行攻击,以便得到有针对性的信息。主动攻击:被动攻击:网络威胁---人为攻击–只通过监听网络线路上的信息流获得信息内容,破坏了信息的保密性。–攻击者对传输中的信息或存储的信息进行各种非法处理,有选择地更改、插入、延迟、删除或复制这些信息。3CompanyLogo网络安全威胁分类依据威胁对象分类依据威胁动机分类依据威胁起因分类1234网络拓扑安全网络协议安全网络软件安全网络设备安全网络安全威胁分类网络安全威胁1、根据威胁对象分类5网络拓扑安全v常见的网络拓扑结构6网络拓扑安全v总线型拓扑结构7总线型拓扑安全缺陷1故障诊断困难网络非集中控制,需在各节点分别检测2故障隔离困难故障发生在传输4终端必须是智能的没有网络控制设备3中继器配置在干线基础上扩充,需重新配置一切信息介质时…8网络拓扑安全v星型拓扑结构9星型拓扑安全缺陷1电缆的长度与安装需大量的电缆,电缆沟、维护、安装麻烦2扩展困难需事先设置好大量的冗余电缆3对中央节点的依赖性太大10网络拓扑安全v环型拓扑结构11环型拓扑安全缺陷1节点故障将引起全网故障24影响访问协议3不易重新配置网络诊断故障困难12网络拓扑安全网络协议安全网络软件安全网络设备安全网络安全威胁分类网络安全威胁1、根据威胁对象分类13网络协议安全通信网的运行机制基于通信协议网络协议安全各传输协议之间的不一致性会大大影响信息的安全质量TCP/IP协议存在漏洞14网络协议安全15网络拓扑安全网络协议安全网络软件安全网络设备安全网络安全威胁分类网络安全威胁1、根据威胁对象分类16网络软件缺陷网络软件缺陷操作系统漏洞数据库安全网络应用缺陷OS是网络信息系统中的核心控制模块;对于设计上不够安全的OS,事后采用增加安全特性和补丁的方法是一项很艰巨的任务。应用软件是用户使用网络服务的接口;应用软件的缺陷会直接导致用户遭受损失。DB中数据备份方面的不足;网络软件缺陷机制的不完善;数据存储的完整性、机密性不足。17网络拓扑安全网络协议安全网络软件安全网络设备安全网络安全威胁分类网络安全威胁1、根据威胁对象分类18网络设备安全网络设备安全:Hub、网桥、交换机、路由器等安全隐患路由器的安全隐患低等级加密,WiFi密码容易被破解;使用默认的路由器管理IP地址;路由器固件存在漏洞。网桥的安全隐患:网桥只能最大限度地使网络沟通、互连,而不负责网络之间数据的校验。广播风暴(BroadcastingStorm)19拒绝服务攻击利用型攻击信息收集型攻击消息伪造攻击网络安全威胁分类网络安全威胁2、根据威胁动机分类安全威胁分类20北京邮电大学信息安全中心威胁对象威胁动机威胁起因网络拓扑安全信息收集型网络信息收集网络协议安全消息伪造攻击拒绝服务攻击网络软件安全拒绝服务攻击有害程序网络设备安全利用型攻击网络系统缺陷网络欺骗网络攻击流程21北京邮电大学信息安全中心v网络攻击的一般步骤攻击过程可以归纳为:信息收集、实施攻击、隐藏攻击行为、创建后门和消除攻击痕迹五个步骤1、信息收集•通过各种方式获取所需要的信息,比如目标系统使用的操作系统、管理员账号等,信息收集属于攻击前的准备阶段,也称之为踩点。•确定攻击目的和收集攻击目标信息•目标信息类型:系统一般信息、系统管理和配置信息、系统口令的安全性、提供的服务•收集方式:使用扫描攻击进行大规模扫描、利用第三方资源进行信息收集、使用查询手段进行信息收集。网络攻击流程22北京邮电大学信息安全中心2、实施攻击•获取系统权限,进行破坏性或其它攻击3、隐藏攻击行为•获取系统权限,进行破坏性或其它攻击攻击者在获得系统最高管理员权限之后,可以随意修改系统上的文件。然而一旦入侵系统,就必然会留下痕迹;所以在入侵系统之后,攻击者大多都会采取隐藏技术来消隐自己的攻击行为。(1)隐藏连接:删除或修改日志文件(2)隐藏进程:系统程序替换(3)隐蔽文件:利用字符的相似性麻痹系统管理员,或采用其他手段隐瞒攻击时产生的信息。网络攻击流程23北京邮电大学信息安全中心4、创建后门•一次成功的入侵往往要耗费攻击者的大量时间与精力,为了长期保持对已攻系统的访问权,在退出之前攻击者常在系统中创建一些后门,以便下次入侵。木马就是创建后门的一个典型范例。•创建后门的常见方法:放宽文件许可权、重新开放不安全的服务、修改系统配置、替换系统共享库文件、修改系统源代码、安装嗅探器、建立隐蔽信道。5、清除攻击痕迹•攻击者为了隐蔽自身,一般在入侵后要做善后工作,避免系统管理员发现其攻击行为。•方法:修改日志文件中的审计信息、改变系统事件造成日志文件数据文件紊乱、删除或停止审计服务进程、干扰入侵检测系统正常工作、修改完整性标签。网络攻击流程24北京邮电大学信息安全中心v网络攻击的一般流程信息收集获得用户E-mail获得域名或IP地址获得开放服务获得漏洞获得开放端口获得系统账户获取网络信息扫描DoS/DDoS攻击口令破解获取网络资源获取访问权限提升访问权限发送E-mail病毒入侵创建后门窃取/破坏文件安装嗅探器隐蔽攻击行为清除攻击痕迹25拒绝服务攻击利用型攻击信息收集型攻击消息伪造攻击网络安全威胁分类网络安全威胁2、根据威胁动机分类26利用型攻击v口令猜测§攻击者可获取口令文件运用口令破解工具进行字典攻击。v特洛伊木马v缓冲区溢出§来自于C语言本质的不安全性:没有边界来限制数组和指针的引用;标准C库中还有很多非安全字符串操作:strcpy(),gets(),etc.§通过往程序的缓冲区写超过其长度的内容,使缓冲区溢出,破坏程序的堆栈,达到攻击目的。§可导致程序运行失败,系统死机,重启27拒绝服务攻击利用型攻击信息收集型攻击消息伪造攻击网络安全威胁分类网络安全威胁2、根据威胁动机分类28信息收集型攻击v体系结构刺探(协议栈指纹)§确定目标主机所运行的操作系统§不同操作系统厂商的IP协议栈实现之间存在许多细微差别,因此每种操作系统都有独特的响应方法v利用信息服务v扫描技术§地址扫描§端口扫描§漏洞扫描:漏洞特征库;模拟攻击v网络安全扫描的基本原理通过向远程或本地主机发送探测数据包,获取主机的响应,并根据反馈的数据包,进行解包、分析,从而发现网络或主机的配置信息、TCP/UDP端口的分配、提供的网络服务、服务器的具体信息等。Ping扫描•ping扫描是判断主机是否“活动”的有效方式,目的就是确认目标主机的IP地址,即扫描的IP地址是否分配给了主机。端口扫描•向目标主机的TCP/UDP服务端口发送探测数据包,并记录目标主机的响应,通过响应分析判断服务端口处于打开/关闭状态,以获取端口提供的服务。分为TCP扫描和UDP扫描。信息收集—扫描技术29北京邮电大学信息安全中心Ping扫描原理Ping扫描是网络中最原始的扫描方法,主要用于网络连通性的测试与判断,也可用于主机的发现。原理:利用ICMP请求响应报文和ICMP应答报文来实现。优点:操作简单方便不足:使用受限,因为很多个人防火墙从安全角度考虑都对ICMPping报文进行了屏蔽。而且这种扫描过程容易被防火墙日志记录,屏蔽性不强。3031ICMPechorequestICMPechoreply本地主机目标主机图ping扫描原理端口扫描原理端口扫描主机发现技术是利用TCP/IP协议中TCP协议的确认机制,本地主机通过特定端口向目标主机发送连接请求,目标主机通常会回应一个数据包进行响应,以表明连接的状态。用户可以通过目标主机的响应报文来判断它是否存在。优点:效率较高,可避免防火墙记录,隐蔽性较强,可以对有防火墙的主机进行探测。不足之处:不同操作系统TCP/IP协议栈实现原理不一样,同一种方法在不同的OS上肯能结果不一样。3233TCP(ACK)destport=80TCP(rst)本地主机目标主机图端口扫描原理ARP扫描ARP扫描指通过ARP请求(查询目标主机的物理地址),如果目标主机回应一个ARP响应报文,则说明它是存活的。优点:效率高,隐蔽性强,因为ARP解析是局域网中正常的活动,一般防火墙都不阻拦。不足:使用范围有限,只能用于局域网。这个方法适用于内网突破时使用。3435ARPrequest(广播)ARPreply本地主机目标主机图ARP扫描原理36北京邮电大学信息安全中心漏洞扫描•漏洞扫描绝大多数都是针对特定操作系统所提供的特定网络服务,也就是针对操作系统中某一个特定端口的。•两类基本的方法:漏洞特征库匹配和模拟攻击方法•漏洞特征库匹配:在端口扫描后得知目标主机开启端口和端口上提供的服务,将这些信息与网络漏洞扫描系统提供的漏洞信息库进行匹配,查看是否有漏洞存在。如FTP漏洞扫描、HTTP漏洞扫描、CGI漏洞扫描等•模拟攻击方法:通过模拟黑客的攻击方法,对目标主机系统进行攻击性漏洞扫描,如果模拟成功,则表示系统存在漏洞,主要是攻击者经验的直接体现,如Unicode遍历目录漏洞探测、FTP弱势密码探测等。信息收集—扫描技术37北京邮电大学信息安全中心1、控制台模块2、扫描活动处理模块3、扫描引擎模块4、结果处理模块5、漏洞库通用漏洞扫描原理38北京邮电大学信息安全中心常见扫描工具•漏洞扫描及分析工具:Nessus•网络漏洞扫描工具:SuperScan•网络主机扫描工具:Nmap•系统用户扫描工具:GetNTUser•漏洞扫描工具:X-Scan信息收集—扫描技术39拒绝服务攻击利用型攻击信息收集型攻击消息伪造攻击网络安全威胁分类网络安全威胁2、根据威胁动机分类40消息伪造攻击vDNS欺骗§DNS服务器交换信息时不进行身份认证;§黑客可以使用错误信息将用户引向设定主机v伪造电子邮件§SMTP不对邮件发送者身份进行鉴定41拒绝服务攻击利用型攻击信息收集型攻击消息伪造攻击网络安全威胁分类网络安全威胁2、根据威胁动机分类42拒绝服务攻击简单DoSDenialofService(DoS)反射式DoS分布式DoS43简单拒绝服务攻击vPingflooding§在某一时刻,多台主机对目标主机使用Ping程序,以耗尽其网络带宽和处理能力。vSYNflooding§当前最流行、最有效的DoS方式之一;§利用建立TCP连接的三次握手机制进行攻击;回顾TCP协议…§阻止服务器方接受客户方的TCP确认标志(ACK)vUDPflooding§UNIX系统中开放的测试端口:echo(UDP端口7),chargen(UDP端口19)v电子邮件炸弹§用伪造的IP地址或电子邮件地址向同一信箱发送垃圾邮件§导致目标邮箱或电子邮件服务器瘫痪伪造发送者快速发送大量邮件邮件炸弹45反射式拒绝服务攻击(DRDoS)DRDoS(DistributedReflectionDenialofService)vSmurf§利用Ping程序中使用的ICMP协议;§攻击者找出网络上有哪些路由器会回应ICMP请求;§然后用一个虚假的IP源地址向路由器的广播地址发出讯息,路由器会把这讯息广播到网络上所连接的每一台设备;§这些设备又马上回应,这样会产生大量讯息流量,从而占用所有设备的资源及网络带宽§回应的地址就是受攻击的目标;§Smurf攻击实际上是一种IP欺骗式的攻击,将导致拒绝服务攻击的结果。46Smurf47反射式拒绝服务攻击vLand攻击一种非常老的拒绝服务攻击。§攻击者不断地向被攻击的计算机发送具有IP源地址和IP目的地址完全一样,TCP源端口和目的端口也完全一样的伪造TCPSYN包;§导致该计算机系统向自己发送响应信息SYN/ACK和ACK消息,最后被攻击的计算机系统将会无法承受过多的流量而瘫痪或重启。§研究发现WindowsXPSP2和Windows2003的系统、Sun的操作系统对这种攻击的防范都是非常脆弱的。防范§服务供应商可以在网络入口处,安装防火墙对所有入内数据包的IP源地址进行检查和过滤,这样就可以阻止Land攻击。§如果一