crypto4c-ch18-入侵漏洞和防范

B密码编码学与网络安全电子工业出版社2006-2007B第18章入侵漏洞和防范•18.1入侵↓•18.2入侵检测↓•18.3口令管理↓*18.a代码安全(Bufferoverflow)↓*18.b破解示例↓B入侵和缺陷•入侵是由于存在安全缺陷，是操作系统或应用软件的漏洞被利用造成的。用户的不当设置或使用也会产生漏洞，如弱口令等。B刑法节选•第二百八十五条违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。•第二百八十六条违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。•第二百八十七条利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。B18.1入侵•入侵Intruder–Anentitythatgainsorattemptstogainaccesstoasystemorsystemresourcewithouthavingauthorizationtodoso.•未经允许的对资源的访问和使用–有危害的故意和行为事实–善意的入侵也是入侵•成功的入侵体现为–对非授权资源的访问和使用–资源指硬件、软件、系统、文件、带宽等等–获得口令是集中体现B安全事件统计•摘自CERT–安全事件报告网站•MicrosoftSecurityBulletins–‎•WooYun.org|自由平等开放的漏洞报告平台–•看雪安全论坛–•WebSploit•OWASPB入侵者Intruder•区分–hacker、cracker、intruder–外部入侵者、内部攻击者–恶性、良性、好心(帮倒忙)的–假冒者、越权者、秘密用户•黑客组织•安全应对组织，如CERT––入侵的前奏：扫描•主机（IP）存在/开机–OS•端口•服务•漏洞B扫描工具•手工•ping•netcraft•nmap•••Whatsthatsiterunning?––•练习:发现网络拓扑结构–tracerouteserverBNmap•FreeStealthPortScannerForNetworkExploration&SecurityAudits.–•命令行–见备注行•NMapWin–*审慎练习–scan是违反法规的B入侵技术•获取口令–字典攻击＋穷举尝试•利用漏洞–利用漏洞获取口令，或者绕过口令的保护–技术漏洞、管理漏洞•木马和病毒－MaliciousCode–被远程可控制–自动执行某些破坏活动•欺骗和社会工程B漏洞Hole•操作系统–Windows、Linux/Unix•常用软件–服务软件，如sendmail、apache–客户端软件，如IE、Outlook–套组件，如office•设计和实现•配置和管理•用户因素•及时更新和补丁B举例：输入法漏洞•未补丁的Win2k你并不知道其任何口令•在登录窗口按“CTL+SP”或“CTL+SHIFT”激活比如全拼输入法•进入输入法的帮助界面•在按钮栏上鼠标右键“跳至URL”，输入比如“C:\”，即见文件及目录列表•有些操作不能用*补丁patchupdateB输入法漏洞屏图•B举例：Unicodehole•Win2kIIS5(unpatched)•PatchB举例：ipc$入侵•win9x的vredir.vxd漏洞•win2k的c$/d$/admin$共享–138、139、445–137、138–C:\WINNT\system32\drivers\etc\servicesB协议漏洞攻击•FTP重定向攻击–openftpserver–userftp–passxxx–portxxx,xxx,xxx,xxx,xx,xx–retrdoc•某些FTP服务器•TCP/IP漏洞攻击–TeardropLand–利用了某些实现的缺陷，而不是TCP/IP协议设计上的漏洞TCP-IP攻击原理.txtB18.2入侵检测•技术手段–收集信息•网关、sniffer、OSlog/审计–分析发现:异常现象和行为–响应干预•及时制止/被动补丁•规则定义和行为描述–AAA–异常检测•主机vs.网络,Firewall,IDSB入侵者comp.授权用户•B收集信息：审计日志•Windows–事件查看器–IISLog–本地安全策略－本地策略－审核策略等•Linux–access-log记录HTTP/web的传输–acct/pacct记录用户命令–aculog记录MODEM的活动–btmp记录失败的记录–lastlog记录最近几次成功登录的事件和最后一次不成功的登录–messages从syslog中记录信息（有的链接到syslog文件）–sudolog记录使用sudo发出的命令–sulog记录使用su命令的使用–syslog从syslog中记录信息（通常链接到messages文件）–utmp记录当前登录的每个用户–wtmp一个用户每次登录进入和退出时间的永久记录–xferlog记录FTP会话B专门的检测日志•一般内容和格式–主题执行者•会话、进程、用户等类别–动作•读/写/执行、注册/注销、IO/网络等–对象•数据文件、系统文件、程序、数据库等–操作结果•返回，尤其是失败或例外的情况–资源使用•读写字节数、网络活动字节数等–发生和持续时间BAAA•Authentication,AuthorizationandAccounting–••RequestforComments:–AccountingAttributesandRecordFormats(RFC2924)–IntroductiontoAccountingManagement(RFC2975)–CriteriaforEvaluatingAAAProtocolsforNetworkAccess(RFC2989)–Authentication,Authorization,andAccounting:ProtocolEvaluation(RFC3127)B统计异常检测•用于对审计记录进行分析的方法(1)阈值检测–检测一段时间内特殊事件的发生次数(2)轮廓检测–检测用户行为和过去相比的重大偏差•统计学–平均值、标准差、方差–马尔可夫过程模型、时间序列模型、操作模型•不用预先知道安全漏洞的知识B基于规则的检测•观察用户的历史行为模式，建立规则库，刻画正常/异常行为•由专家(或投诚的黑客)设立规则，建立专家系统，进行渗透鉴别(假冒)B检测系统调用事件•系统调用–Unix/Linuxsyscalltable–DOS/WIN32int21h/sysDLL•定义并学习系统调用序列–正常的/异常的–定义规则/抽象为规则•模式识别和判断–模糊匹配+-----------+-----------+----+|Process1|Process2|...|+-----------+-----------+----+|LinuxKernel|+----------------------------+|Hardware|+----------------------------+BD.o.S•阅读:素材ddos.zipB分布式检测•分布式检测–对于大范围现象的检测•WAN•干线运营商和检测部门*蠕虫爆发预警–SQL蠕虫–口令蠕虫B蜜罐honeypot•可以引诱入侵者，获得关于攻击者的信息B系统文件的保护•不被窜改、删除–win2k/xp•C:\WINNT\system32\dllcache–Linux•系统重要配置文件的权限和修改记录B选读1《安全操作系统的实时报警》*•使用SecLinux•定义审计事件(审计点)–以系统调用、系统命令、特权命令为主；审计事件的参数•定义“正常”和“异常”序列–和平时类似的序列被视作正常，反之异常•建立正常库–收集并分析正常的事件序列，这是个学习的过程•实时监控、分析和报警–K步窗口匹配B选读2《基于粗糙集理论的入侵检测新方法》*•监控进程的非正常行为•匹配方法：粗糙集理论•RoughSetTheory–从数据样本空间提取规律和规则的方法–数据挖掘–~roughset/•Google，BingleB入侵检测工具：SnortAnOpenSourceNetworkIntrusionDetectionSystem•Snortisanopensourcenetworkintrusiondetectionsystem,capableofperformingreal-timetrafficanalysisandpacketloggingonIPnetworks.Itcanperformprotocolanalysis,contentsearching/matchingandcanbeusedtodetectavarietyofattacksandprobes,suchasbufferoverflows,stealthportscans,CGIattacks,SMBprobes,OSfingerprintingattempts,andmuchmore.-Snort.orgBSnort使用•下载和安装––源代码，或二进制执行文件(forWin32/Linux)•winpcap(仿libpcap)–•文档–命令行提示（见备注行）–manual手册“SnortUsersManual.pdf”BSnort运行模式•SnifferMode–snort–vde•PacketLoggerMode–snort-vde-l./log•NetworkIntrusionDetectionMode–snort-dev-l./log-h10.2.0.0/16-csnort.conf–/etc/snort.confBSnort规则•规则ActionProtocolIPPortDirOption–var、include–alerticmpanyany-10.2.3.251any–alertudpanyany-10.2.3.251any–alerttcpanyany-10.2.3.251any(flags:S;)–…•Rules目录–已知攻击特征（见备注行）–