1、第第10章章 安全脆弱性分析安全脆弱性分析李文媛李文媛第1页,共51页。第2页,共51页。第3页,共51页。10.1 安全威胁分析安全威胁分析 信息系统不安全的主要原因是系统自身存在的安全脆弱点,因此信息系统安全脆弱性分析是评估信息系统安全强度和设计安全体系的基础。第4页,共51页。10.1.1 入侵行为分析入侵行为分析狭义定义:攻击仅仅发生在入侵行为完成且入侵者已狭义定义:攻击仅仅发生在入侵行为完成且入侵者已经在其目标网络中。经在其目标网络中。广义定义:广义定义:使网络受到入侵和破坏的所有行为都应使网络受到入侵和破坏的所有行为都应该被称为该被称为“攻击攻击”,即当入侵者试图在目标机上,即当入
2、侵者试图在目标机上“工作工作”的那个时刻起,攻击就已经发生了。的那个时刻起,攻击就已经发生了。第5页,共51页。从不同方面对入侵行为的分析:1.入侵目的:执行进程:执行进程:n目标:目标:运行一些程序。运行一些程序。n危害:危害:对目标机器本身无害,可是消耗系统资源,造对目标机器本身无害,可是消耗系统资源,造成潜在危害。成潜在危害。获取文件和数据:获取文件和数据:n目的:目的:获取系统中的数据。获取系统中的数据。n危害:危害:获取特权数据,进行非授权操作。获取特权数据,进行非授权操作。获取超级用户权限获取超级用户权限n目的:目的:获取超级用户权限。获取超级用户权限。n危害:危害:可以进行任何操
3、作。可以进行任何操作。善意善意恶意恶意第6页,共51页。进行非授权操作:进行非授权操作:n目的:目的:获得超出许可的一些权限。获得超出许可的一些权限。n危害:危害:进行越权操作。进行越权操作。使系统拒绝服务使系统拒绝服务n目的:目的:使目标系统中断正常服务。使目标系统中断正常服务。n危害:危害:使目标系统中断或者完全拒绝对合法用户、网使目标系统中断或者完全拒绝对合法用户、网络、系统或其他资源的服务。络、系统或其他资源的服务。篡改信息篡改信息n目的:目的:对重要文件进行修改、更换、删除等。对重要文件进行修改、更换、删除等。n危害:危害:错误的信息给用户将造成巨大的损失。错误的信息给用户将造成巨大
4、的损失。披露信息披露信息n目的:目的:将目标站点重要信息进行扩散。将目标站点重要信息进行扩散。n危害:危害:目标站点的重要信息泄漏。目标站点的重要信息泄漏。第7页,共51页。2.入侵人员入侵者大致可以分为三类:伪装者。伪装者。未经授权使用计算机者或绕开系统访问控未经授权使用计算机者或绕开系统访问控制机制获得合法用户账户权限者制机制获得合法用户账户权限者-外部人员。外部人员。违法者。违法者。未经授权访问数据、程序或者资源的合法未经授权访问数据、程序或者资源的合法用户,或者具有访问授权但错误使用其权利的人用户,或者具有访问授权但错误使用其权利的人-内部人员。内部人员。秘密用户。秘密用户。拥有账户管
5、理权限者,利用这种控制来拥有账户管理权限者,利用这种控制来逃避审计和访问数据,或者禁止收集审计数据逃避审计和访问数据,或者禁止收集审计数据-内内外兼有。外兼有。第8页,共51页。3.入侵过程入侵和攻击需要一个时间过程,大致分为窥探设施、攻击入侵和攻击需要一个时间过程,大致分为窥探设施、攻击系统、掩盖踪迹。系统、掩盖踪迹。窥探设施。窥探设施。对目标系统的环境进行了解。包括:目标使对目标系统的环境进行了解。包括:目标使用的操作系统?哪些信息是公开的?运行的用的操作系统?哪些信息是公开的?运行的WEB服务器是什服务器是什么类型?版本是?么类型?版本是?此步骤需要得到的信息至少有:此步骤需要得到的信息
6、至少有:通过收集尽可能多的关于一个系统的安全态势的各个方面的信息,进而构造出关于该目标机构的因特网、远程访问及内联网/外联网之间的结构。通过使用ping扫描、端口扫描以及操作系统检测等工具和技巧,进一步掌握关于目标环境所依赖的平台、服务等相关信息。从系统中抽取有效帐号或者导出资源名。第9页,共51页。攻击系统攻击系统n针对操作系统的攻击。针对操作系统的攻击。n针对应用软件的攻击。针对应用软件的攻击。n针对网络的攻击。针对网络的攻击。掩盖踪迹掩盖踪迹-设置后门。设置后门。第10页,共51页。10.1.2 10.1.2 安全威胁分析安全威胁分析1.1.威胁来源威胁来源计算机系统外部威胁计算机系统外
7、部威胁自然灾害、意外事故;自然灾害、意外事故;人为行为;人为行为;计算机病毒;计算机病毒;“黑客黑客”行为;行为;内部泄密;内部泄密;外部泄密;外部泄密;信息丢失;信息丢失;电子谍报,如信息流量分析、信息窃取;电子谍报,如信息流量分析、信息窃取;信息战。信息战。第11页,共51页。计算机系统内部威胁计算机系统内部威胁操作系统本身存在的缺陷;操作系统本身存在的缺陷;数据库管理系统安全的脆弱性;数据库管理系统安全的脆弱性;管理员缺少安全方面的知识;管理员缺少安全方面的知识;网络协议中的缺陷;网络协议中的缺陷;应用系统缺陷。应用系统缺陷。第12页,共51页。2.攻击分类攻击分类根据入侵者使用的手段和
8、方式,分为口令攻击、拒绝服务根据入侵者使用的手段和方式,分为口令攻击、拒绝服务攻击、利用型攻击、信息收集攻击和假消息攻击。攻击、利用型攻击、信息收集攻击和假消息攻击。口令口令(破译破译)攻击攻击口令破译原理口令破译原理口令认证是计算机网络中安全管理的重要组成部分,目口令认证是计算机网络中安全管理的重要组成部分,目前很多网络环境都利用口令认证机制来管理用户入网,口令前很多网络环境都利用口令认证机制来管理用户入网,口令是用来确认用户身份的一种最常用方法,由于它的输入和管是用来确认用户身份的一种最常用方法,由于它的输入和管理方式简单,一直广泛应用于网络安全。但是它有脆弱性,理方式简单,一直广泛应用于
9、网络安全。但是它有脆弱性,一旦入侵者或黑客获得了一个用户尤其是管理员的帐号及口一旦入侵者或黑客获得了一个用户尤其是管理员的帐号及口令,就可以非法闯入网络系统,进行肆意地破坏,给整个网令,就可以非法闯入网络系统,进行肆意地破坏,给整个网络系统带来不可估量的损失。因此口令破译成了黑客常用的络系统带来不可估量的损失。因此口令破译成了黑客常用的一种入侵手段。一种入侵手段。第13页,共51页。口令文件可通过下列方式获得:口令文件可通过下列方式获得:p嗅探获得,如网络上传输的口令,如果口令是明文形嗅探获得,如网络上传输的口令,如果口令是明文形式传输就无需破解了;式传输就无需破解了;p也可以通过某个系统漏洞
10、获得;也可以通过某个系统漏洞获得;p还可以因为本人是主机的普通用户,并且具有阅读口还可以因为本人是主机的普通用户,并且具有阅读口令文件的权限而获得,在令文件的权限而获得,在Windows中,口令是保存在一个中,口令是保存在一个名为名为SAM的文件中。的文件中。第14页,共51页。穷举法穷举法也称强力破解、暴力破解,它是对所有可能的口令组合进行也称强力破解、暴力破解,它是对所有可能的口令组合进行猜测,最终找到真正的口令。基于穷举法原理进行口令猜测的软猜测,最终找到真正的口令。基于穷举法原理进行口令猜测的软件称为件称为口令破解器口令破解器。口令破解器是一个程序,它能将口令解译出来,或是让口令口令破
11、解器是一个程序,它能将口令解译出来,或是让口令保护失效。保护失效。从口令破译的原理来说,可分为:穷举法、字典法及漏洞利用从口令破译的原理来说,可分为:穷举法、字典法及漏洞利用法。法。第15页,共51页。与信息的加与信息的加/解密不同,解密不同,口令破解器一般不是对加密后的口令执口令破解器一般不是对加密后的口令执行解密操作以获取口令,行解密操作以获取口令,因为很多系统对口令的加密使用了不可因为很多系统对口令的加密使用了不可逆的算法,如逆的算法,如MD5MD5、SHA1SHA1等。这时,仅从被加密的数据和加密算等。这时,仅从被加密的数据和加密算法不可能解密出原来未加密的口令。法不可能解密出原来未加
12、密的口令。因此,口令破解器通常尝试因此,口令破解器通常尝试一个一个的由字母、数字临时组一个一个的由字母、数字临时组成的字符串,成的字符串,用口令加密时所有的加密算法来加密这些单词,用口令加密时所有的加密算法来加密这些单词,直到发现一个单词加密后的结果和要解密的信息一样,认为这直到发现一个单词加密后的结果和要解密的信息一样,认为这个单词就是要找的口令了。个单词就是要找的口令了。第16页,共51页。口令破解程序的工作过程如图所示:口令破解程序的工作过程如图所示:p它首先产生侯选口令,使用与口令加密相同的加密算法对它首先产生侯选口令,使用与口令加密相同的加密算法对侯选口令进行加密;侯选口令进行加密;
13、p将加密后的结果与口令文件中保存的信息进行比较;将加密后的结果与口令文件中保存的信息进行比较;p如果相同,则认为找到了口令,否则,尝试下一个侯选口令。如果相同,则认为找到了口令,否则,尝试下一个侯选口令。侯选口令侯选口令加密口令加密口令口令文件口令文件输出口令输出口令比较比较不匹配不匹配匹配匹配图图 口令破解程序的工作过程口令破解程序的工作过程第17页,共51页。穷举法是一种较笨拙的方法,但它是目前最有效的方法,穷举法是一种较笨拙的方法,但它是目前最有效的方法,主要主要原因在于许多用户设置口令时随意性很大,密码选择较随便,并且原因在于许多用户设置口令时随意性很大,密码选择较随便,并且新型加密方
14、法是不可逆的,新型加密方法是不可逆的,如果把可能出现的字母和数字、符号如果把可能出现的字母和数字、符号组合起来进行试验肯定能验出结果。但穷举法有它的组合起来进行试验肯定能验出结果。但穷举法有它的劣势劣势,穷,穷举一个口令所需的试验次数随着口令长度的增加而成指数级增长。举一个口令所需的试验次数随着口令长度的增加而成指数级增长。第18页,共51页。字典法破译口令字典法破译口令也是黑客最常用的方法之一。它是将字典文件作为口令猜测也是黑客最常用的方法之一。它是将字典文件作为口令猜测的来源交由验证程序进行试验。的来源交由验证程序进行试验。而字典文件就是一个文本文件,而字典文件就是一个文本文件,它里面有许
15、多文字行,每行代表一个可能的密码,文字行它里面有许多文字行,每行代表一个可能的密码,文字行的内容多为单词及可能的姓名、生日、电话号码、邮编等。的内容多为单词及可能的姓名、生日、电话号码、邮编等。当黑客进行口令破译时,运行口令破译器,口令破译器当黑客进行口令破译时,运行口令破译器,口令破译器读入字典文件,每次读入一行进行验证,如不正确再读下读入字典文件,每次读入一行进行验证,如不正确再读下一行,然后又进行验证,就这样一直循环下去,直到口令一行,然后又进行验证,就这样一直循环下去,直到口令被验证为正确或字典里的字符串试验完毕为止。被验证为正确或字典里的字符串试验完毕为止。第19页,共51页。漏洞破
16、译法漏洞破译法如缓冲区溢出漏洞。在如缓冲区溢出漏洞。在WindowsWindows平台上,用户的基本信息平台上,用户的基本信息存放在存放在SystemrootSystemrootsystem32configsamsystem32configsam文件中,如果文件中,如果黑客得到此文件后可以使用专门的破译工具如黑客得到此文件后可以使用专门的破译工具如LOphtCrack来来破译。破译。除了上述方法可以进行口令破译外,还有其他方法可以得除了上述方法可以进行口令破译外,还有其他方法可以得到用户的用户名和口令,如网络监听和键盘记录器进行截取。到用户的用户名和口令,如网络监听和键盘记录器进行截取。键盘记
17、录器是一种可以记录键盘击键操作的软件。在键盘记录器是一种可以记录键盘击键操作的软件。在WindowsWindows系统中,在键盘上按下任何一个键,都会产生按键消系统中,在键盘上按下任何一个键,都会产生按键消息,系统把该消息发送给相应的应用程序,交由应用程序去处息,系统把该消息发送给相应的应用程序,交由应用程序去处理。使用钩子技术和动态链接库技术,黑客可以截获这些按键理。使用钩子技术和动态链接库技术,黑客可以截获这些按键消息,并对消息进行相应的处理,例如记录下所按键并保存到消息,并对消息进行相应的处理,例如记录下所按键并保存到文件中或发邮件给指定用户。文件中或发邮件给指定用户。第20页,共51页
18、。r通信传输中最好采用加密传输如通信传输中最好采用加密传输如SSHSSH、SSLSSL、VPNVPN;r对用户的验证方面最好提高用户身份鉴别机制,如应用数字对用户的验证方面最好提高用户身份鉴别机制,如应用数字签名和签名和KerberosKerberos鉴别技术;鉴别技术;r尽量使用难以猜测的、复杂的口令,尽量使用难以猜测的、复杂的口令,其中包含大小写字其中包含大小写字符、数字、标点、控制符号及空格等符、数字、标点、控制符号及空格等,不要用自己及家人的姓不要用自己及家人的姓名拼音字母、生日、电话号码、邮政编码、身份证号及它们的简单名拼音字母、生日、电话号码、邮政编码、身份证号及它们的简单组合作为
19、口令,不要用已经存在的英文单词和常用的单词缩写作为组合作为口令,不要用已经存在的英文单词和常用的单词缩写作为口令口令;r使用较长位数的口令。使用较长位数的口令。长度至少要保证在长度至少要保证在6 6个字符长度位以个字符长度位以上。上。口令破译防范技术口令破译防范技术 第21页,共51页。r定期或不定期地修改口令。定期或不定期地修改口令。应在网络服务器上设置口令的应在网络服务器上设置口令的有效期限,到期时提示用户更改,这样就提高了系统的安全有效期限,到期时提示用户更改,这样就提高了系统的安全性。还要注意:性。还要注意:r不要将口令内容写下来或以文件的方式存于计算机中;不要将口令内容写下来或以文件
20、的方式存于计算机中;r不要让他人知道自己的口令,也不要让他人看到自己输不要让他人知道自己的口令,也不要让他人看到自己输入口令内容;入口令内容;r不要重复交替曾使用过的口令;不要重复交替曾使用过的口令;r不要在不同的系统中使用同一个口令。不要在不同的系统中使用同一个口令。r管理人员还应对用户设置的口令进行检测,及时发现弱管理人员还应对用户设置的口令进行检测,及时发现弱口令;口令;对某些网络服务的错误登录次数进行限定,防止猜对某些网络服务的错误登录次数进行限定,防止猜解用户口令。解用户口令。第22页,共51页。拒绝服务攻击拒绝服务攻击(Denial of Service,DoS)(Denial o
21、f Service,DoS)是一种遍布全球的系统是一种遍布全球的系统漏洞,它是一种简单的破坏性攻击,它的技术含量低,攻击效果明漏洞,它是一种简单的破坏性攻击,它的技术含量低,攻击效果明显。通常黑客利用显。通常黑客利用TCP/IPTCP/IP中的某种漏洞,或者系统存在的某些漏洞,中的某种漏洞,或者系统存在的某些漏洞,对目标系统发起大规模地攻击,使得攻击目标失去工作能力,使得对目标系统发起大规模地攻击,使得攻击目标失去工作能力,使得系统不可访问因而合法用户不能及时得到应得的服务或系统资源,系统不可访问因而合法用户不能及时得到应得的服务或系统资源,如如CPUCPU处理时间与网络带宽等。它最本质的特征
22、是延长正常的应用处理时间与网络带宽等。它最本质的特征是延长正常的应用服务的等待时间。服务的等待时间。拒绝服务攻击原理 拒绝服务攻击拒绝服务攻击第23页,共51页。p拒绝服务攻击的目的不在于闯入一个站点或更改数据,而在拒绝服务攻击的目的不在于闯入一个站点或更改数据,而在于使站点无法服务于合法的请求。于使站点无法服务于合法的请求。入侵者并不单纯为了进行拒绝入侵者并不单纯为了进行拒绝服务而入侵,往往是为了完成其他的入侵而必须的前提。服务而入侵,往往是为了完成其他的入侵而必须的前提。p根据根据TCP/IPTCP/IP协议的原理,当客户端要和服务器进行通信协议的原理,当客户端要和服务器进行通信时,会经过
23、请求时,会经过请求/确认的方式进行联系,如用户登录服务器确认的方式进行联系,如用户登录服务器时,首先是用户传送信息要求服务器确认,服务器给予响时,首先是用户传送信息要求服务器确认,服务器给予响应回复客户端请求,当被确认后客户端才能正式和服务器应回复客户端请求,当被确认后客户端才能正式和服务器交流信息。交流信息。第24页,共51页。在拒绝服务攻击情况下,黑客凭借虚假地址向服务器提交连在拒绝服务攻击情况下,黑客凭借虚假地址向服务器提交连接请求,当然服务器回复信息时就送给这个虚假地址,但是服接请求,当然服务器回复信息时就送给这个虚假地址,但是服务器回传时却无法找到这个地址,根据务器回传时却无法找到这
24、个地址,根据TCP/IPTCP/IP连接原理,此时连接原理,此时服务器会进行等待,达到超时设置时才会断开这个连接。服务器会进行等待,达到超时设置时才会断开这个连接。如果攻击者传送多个这样的请求或利用多个站点同时传送这样的请如果攻击者传送多个这样的请求或利用多个站点同时传送这样的请求,那么服务器就会等待更长的时间,这个过程周而复始,最终会导致求,那么服务器就会等待更长的时间,这个过程周而复始,最终会导致服务器资源用尽,网络带宽用完,正常的服务请求不能被服务器处理及服务器资源用尽,网络带宽用完,正常的服务请求不能被服务器处理及回复而形成服务器的拒绝服务。回复而形成服务器的拒绝服务。拒绝服务并不是服
25、务器不接受服务,而是服务器太忙,不能及拒绝服务并不是服务器不接受服务,而是服务器太忙,不能及时地响应请求,时地响应请求,相对于客户来说就认为是服务器拒绝给予服务,相对于客户来说就认为是服务器拒绝给予服务,它严重时会造成服务器死机,甚至导致整个网络瘫痪。它严重时会造成服务器死机,甚至导致整个网络瘫痪。第25页,共51页。1 1PingPing攻击攻击 通过通过PingPing命令向被攻击者发送大量超大字节的命令向被攻击者发送大量超大字节的ICMPICMP报文报文来攻击。来攻击。2 2SYN FloodSYN Flood以假以假IPIP发送伪造数据却不接收响应请求发送伪造数据却不接收响应请求半开连
26、接。半开连接。典型的拒绝服务攻击典型的拒绝服务攻击第26页,共51页。分布式拒绝服务攻击(分布式拒绝服务攻击(DDoSDDoS)是在传统的)是在传统的DoSDoS攻击基础之上产生攻击基础之上产生的一类攻击方式。的一类攻击方式。它和传统的它和传统的DoSDoS攻击不同的是采用多点对一点的攻击不同的是采用多点对一点的攻击策略,攻击策略,它是目前黑客经常采用而难以防范的攻击手段,当它是目前黑客经常采用而难以防范的攻击手段,当今尚无有效手段进行防范。今尚无有效手段进行防范。分布式拒绝服务攻击的原理很简单,如果计算机服务器与网分布式拒绝服务攻击的原理很简单,如果计算机服务器与网络的处理能力提高了络的处理
27、能力提高了2 2倍,用一台攻击机来攻击不再起作用了,倍,用一台攻击机来攻击不再起作用了,但是攻击者使用但是攻击者使用1010台、台、100100台攻击机同时攻击则后果就可想而知台攻击机同时攻击则后果就可想而知了,了,DDoSDDoS就是利用更多的傀儡机来发起进攻,用比从前更大的规就是利用更多的傀儡机来发起进攻,用比从前更大的规模来攻击受害者。模来攻击受害者。分布式拒绝服务攻击分布式拒绝服务攻击DDoS 第27页,共51页。被攻击主机上有大量等待的被攻击主机上有大量等待的TCPTCP连接。连接。网络中充斥着大量的无用的数据包,源地址为伪造的。网络中充斥着大量的无用的数据包,源地址为伪造的。制造高
28、流量无用数据,造成网络拥塞,使受害主机无制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通信。法正常和外界通信。利用受害主机提供的服务或传输协议上的缺陷,反复高速的利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求。发出特定的服务请求,使受害主机无法及时处理所有正常请求。严重时会造成系统死机。严重时会造成系统死机。被攻击时的现象被攻击时的现象 :第28页,共51页。通常入侵者是通过常规方法进入有漏洞或配置有错误的主通常入侵者是通过常规方法进入有漏洞或配置有错误的主机机。在成功侵入后,安装一些特殊的后门程序,以便自己以后在成功侵入
29、后,安装一些特殊的后门程序,以便自己以后可以轻易进入系统。可以轻易进入系统。然后在所侵入的主机上安装入侵软件。然后在所侵入的主机上安装入侵软件。目的是隔离网络联目的是隔离网络联系,保护入侵者,使其不会在入侵进行时受到监控系统的跟踪,系,保护入侵者,使其不会在入侵进行时受到监控系统的跟踪,同时也能更好地协调进攻。剩下的主机都被用来充当攻击执行同时也能更好地协调进攻。剩下的主机都被用来充当攻击执行器。器。最后就是从攻击控制台向各个攻击服务器发出对特定目标最后就是从攻击控制台向各个攻击服务器发出对特定目标的命令。的命令。攻击服务器将命令发布到各个攻击器,在攻击器接到攻击服务器将命令发布到各个攻击器,
30、在攻击器接到命令后,每一个攻击器就开始向目标主机发出大量的服务请求命令后,每一个攻击器就开始向目标主机发出大量的服务请求数据包。导致目标主机网络和系统资源的耗尽,使目标主机无数据包。导致目标主机网络和系统资源的耗尽,使目标主机无法为用户提供任何服务。法为用户提供任何服务。分布式拒绝服务攻击的原理分布式拒绝服务攻击的原理 第29页,共51页。利用型攻击是一种试图直接对主机进行控制的攻击。利用型攻击利用型攻击特洛伊木马入侵原理特洛伊木马入侵原理特洛伊木马特洛伊木马 (Trojan Horse)(Trojan Horse)简称木马,是指隐藏在正常简称木马,是指隐藏在正常程序中的一段具有特殊功能的恶意
31、代码。它不是病毒,程序中的一段具有特殊功能的恶意代码。它不是病毒,因为因为它不具备病毒的可传染性、自我复制能力等特性,它不具备病毒的可传染性、自我复制能力等特性,但它是一但它是一种具备破坏和删除文件、发送密码、记录键盘及其他特殊功种具备破坏和删除文件、发送密码、记录键盘及其他特殊功能的能的后门程序后门程序。如在用户不知情的情况下拷贝文件或窃取密。如在用户不知情的情况下拷贝文件或窃取密码。随着互联网的迅速发展,特洛伊木马的攻击、危害性越码。随着互联网的迅速发展,特洛伊木马的攻击、危害性越来越大。来越大。特洛伊木马第30页,共51页。木马入侵的主要途径是通过一定的方法把木马执行文件复制到木马入侵的
32、主要途径是通过一定的方法把木马执行文件复制到被攻击者的电脑系统里,利用的途径有邮件附件、下载软件等,然被攻击者的电脑系统里,利用的途径有邮件附件、下载软件等,然后通过一定的提示故意误导被攻击者打开执行文件,比如故意谎称后通过一定的提示故意误导被攻击者打开执行文件,比如故意谎称这个木马执行文件是朋友送的贺卡,打开后也许确有贺卡画面出现,这个木马执行文件是朋友送的贺卡,打开后也许确有贺卡画面出现,但这时木马可能已经在后台运行了。但这时木马可能已经在后台运行了。通常木马文件非常小,大部分是几通常木马文件非常小,大部分是几KBKB到几十到几十KBKB,把木马,把木马捆绑到正常文件上,用户很难发现。捆绑
33、到正常文件上,用户很难发现。特洛伊木马实质上是一个程序,必须运行后才能工作,所特洛伊木马实质上是一个程序,必须运行后才能工作,所以会在进程表、注册表中留下一定的痕迹。以会在进程表、注册表中留下一定的痕迹。第31页,共51页。特洛伊木马程序采用特洛伊木马程序采用C/SC/S模式工作,它包括模式工作,它包括服务端和客户端服务端和客户端两个程序,缺掉其中任何一个都很难发生攻击,因为木马不具两个程序,缺掉其中任何一个都很难发生攻击,因为木马不具有传染性,所以服务器端程序是以其他方式进入被入侵的计算有传染性,所以服务器端程序是以其他方式进入被入侵的计算机,当机,当服务器端置入被攻击机服务器端置入被攻击机
34、后,会在一定情况下开始运行后,会在一定情况下开始运行(如用户主动运行或重新启动电脑,因为很多木马程序会自动(如用户主动运行或重新启动电脑,因为很多木马程序会自动加入到启动信息中),这时它就在被攻击主机上打开一个加入到启动信息中),这时它就在被攻击主机上打开一个10241024以上端口,并一直监听这个端口,等待客户机端连结。以上端口,并一直监听这个端口,等待客户机端连结。木马的木马的客户端一般运行在攻击机客户端一般运行在攻击机上,当攻击机上的客户端上,当攻击机上的客户端向被攻击机上的这一端口提出连接请求时,被攻击机上的服务向被攻击机上的这一端口提出连接请求时,被攻击机上的服务端就会自动运行,来应
35、答攻击机的请求,如果服务端在该端口端就会自动运行,来应答攻击机的请求,如果服务端在该端口收到数据,就对这些数据进行分析,然后按识别后的命令在被收到数据,就对这些数据进行分析,然后按识别后的命令在被攻击机上执行相应的操作,如窃取用户名和口令、复制或删除攻击机上执行相应的操作,如窃取用户名和口令、复制或删除文件、重新启动或关闭计算机等。木马隐藏着可以控制被攻击文件、重新启动或关闭计算机等。木马隐藏着可以控制被攻击的系统危害系统安全的功能,可能造成对方资料和信息的泄漏、的系统危害系统安全的功能,可能造成对方资料和信息的泄漏、破坏,甚至使整个系统崩溃。破坏,甚至使整个系统崩溃。第32页,共51页。缓冲
36、区溢出攻击缓冲区溢出攻击 缓冲溢出攻击原理 缓冲区缓冲区是系统为运行程序中的变量分配的内存空间。是系统为运行程序中的变量分配的内存空间。缓冲区溢出缓冲区溢出是指数据被添加到分配给该缓冲区的内存块之是指数据被添加到分配给该缓冲区的内存块之外,原因是系统程序没有检测输入的参数,也就是没有检测外,原因是系统程序没有检测输入的参数,也就是没有检测为变量输入的值的长度是否符合要求。为变量输入的值的长度是否符合要求。缓冲区溢出是非常普遍和危险的漏洞,在各种操作系统、缓冲区溢出是非常普遍和危险的漏洞,在各种操作系统、应用软件中广泛存在。溢出造成了两种后果:应用软件中广泛存在。溢出造成了两种后果:一是过长的字
37、串覆盖了相邻的存储单元,引起程序运行失一是过长的字串覆盖了相邻的存储单元,引起程序运行失败,严重的可引起死机、系统重新启动等后果;败,严重的可引起死机、系统重新启动等后果;二是利用这种漏洞可以执行任意指令,甚至可以取得系统二是利用这种漏洞可以执行任意指令,甚至可以取得系统特权,使用一类精心编写的程序,可以很轻易地取得系统的超特权,使用一类精心编写的程序,可以很轻易地取得系统的超级用户权限。级用户权限。第33页,共51页。信息收集型攻击并不直接对目标系统本身造成危害,它是为进一步的攻击做准备 信息收集型攻击信息收集型攻击扫描技术扫描技术大致可以分为扫描技术大致可以分为pingping扫描、端口扫
38、描及操作系统检扫描、端口扫描及操作系统检测三类。测三类。rpingping扫描:标示存活的系统。扫描:标示存活的系统。r端口扫描:标示正在监听的潜在服务。端口扫描:标示正在监听的潜在服务。r操作系统检测:确定目标系统的特定操作系统。操作系统检测:确定目标系统的特定操作系统。第34页,共51页。攻击者用配置不正确的消息来欺骗目标系统以达到攻击的目的。假消息攻击假消息攻击电子邮件欺骗电子邮件攻击主要表现为两种方式:电子邮件攻击主要表现为两种方式:一是电子邮件欺骗和破坏,一是电子邮件欺骗和破坏,黑客通过电子邮件的方式向被黑客通过电子邮件的方式向被攻击者发送木马、病毒或者一段带有攻击特征的特定攻击者发
39、送木马、病毒或者一段带有攻击特征的特定HtmlHtml代码。代码。第二种方式是邮件炸弹,第二种方式是邮件炸弹,指的是用伪造的指的是用伪造的IPIP地址和电子邮地址和电子邮件地址向同一信箱发送数以百计、千计的内容相同的垃圾邮件,件地址向同一信箱发送数以百计、千计的内容相同的垃圾邮件,致使被攻击者邮箱被致使被攻击者邮箱被“炸炸”,严重者可能会给电子邮件服务器,严重者可能会给电子邮件服务器带来危险,甚至瘫痪。带来危险,甚至瘫痪。第35页,共51页。电子邮件炸弹(电子邮件炸弹(E EMail BombMail Bomb),是最常见的攻击方式之),是最常见的攻击方式之一。邮件炸弹造成的危害对商业用户来说
40、是非常严重的,由于一。邮件炸弹造成的危害对商业用户来说是非常严重的,由于邮件是需要空间来保存的,而到来的邮件信息也需要系统来处邮件是需要空间来保存的,而到来的邮件信息也需要系统来处理,过多的邮件会加剧网络连接负担、消耗大量的存储空间;理,过多的邮件会加剧网络连接负担、消耗大量的存储空间;过多的投递会导致系统日志文件变得巨大,甚至溢出文件过多的投递会导致系统日志文件变得巨大,甚至溢出文件系统,这将会给许多操作系统带来危险,除了操作系统有崩溃系统,这将会给许多操作系统带来危险,除了操作系统有崩溃的危险之外,由于大量垃圾邮件集中涌来,将会占用大量的处的危险之外,由于大量垃圾邮件集中涌来,将会占用大量
41、的处理器时间与带宽,造成负载过重、网络堵塞而使正常用户的访理器时间与带宽,造成负载过重、网络堵塞而使正常用户的访问速度急剧下降。而对于一般的邮箱来说,由于其邮箱容量是问速度急剧下降。而对于一般的邮箱来说,由于其邮箱容量是有限制的,邮件容量一旦超过限定容量,系统就会拒绝服务,有限制的,邮件容量一旦超过限定容量,系统就会拒绝服务,也就是常说的邮箱被也就是常说的邮箱被“炸炸”了。了。第36页,共51页。1.1.管好自己的邮件地址,不要在网上到处散布,以管好自己的邮件地址,不要在网上到处散布,以免别有用心的人利用它来攻击此地址。免别有用心的人利用它来攻击此地址。2.2.采用过滤功能。采用过滤功能。3.
42、3.用转信功能。用转信功能。4.4.谨慎使用自动回信功能。谨慎使用自动回信功能。5.5.用专用工具来对付。用专用工具来对付。电子邮件攻击防范技术电子邮件攻击防范技术 第37页,共51页。IPIP欺骗欺骗 IPIP欺骗即欺骗即IP spoofIP spoof,是指一台主机设备冒充另外一台主,是指一台主机设备冒充另外一台主机的机的IPIP地址,与其他设备进行通信,从而达到某种目的技地址,与其他设备进行通信,从而达到某种目的技术。术。实际上,实际上,IP IP 欺骗不是黑客想要进攻的结果,而是他们欺骗不是黑客想要进攻的结果,而是他们利用它来达到其他目的。利用它来达到其他目的。几乎所有的欺骗都是基于计
43、算机之间的相互信任关系的,几乎所有的欺骗都是基于计算机之间的相互信任关系的,例如在例如在NTNT域之间的信任,最简单的如域之间的信任,最简单的如WindowsWindows共享信任,它共享信任,它可以不需要密码就能对网络邻居进行访问。可以不需要密码就能对网络邻居进行访问。IPIP欺骗实际上欺骗实际上是计算机主机之间信任关系的破坏。是计算机主机之间信任关系的破坏。IP欺骗原理第38页,共51页。第39页,共51页。10.2 安全扫描技术安全扫描技术安全扫描技术指手工地或使用特定的软件工具-安全扫描器,对系统脆弱点进行评估,寻找可能对系统造成损害的安全漏洞。扫描主要分为系统扫描和网络扫描。系统扫描
44、:侧重主机系统的平台安全性以及基于此平台的应用系统的安全;网络扫描:侧重于系统提供的网络应用和服务以及相关的协议分析。第40页,共51页。10.2.1 10.2.1 安全扫描技术概论安全扫描技术概论扫描的主要目的是通过一定的手段和方法发现系统或网络扫描的主要目的是通过一定的手段和方法发现系统或网络存在的隐患,以存在的隐患,以及时修补及时修补或或发动攻击发动攻击。安全扫描器分为:安全扫描器分为:n本地扫描器本地扫描器/系统扫描器系统扫描器n远程扫描器远程扫描器/网络扫描器网络扫描器攻击者在选定攻击目标后首先就是对目标系统进行扫描侦攻击者在选定攻击目标后首先就是对目标系统进行扫描侦察,搜集目标系统
45、信息,查找可以利用的安全漏洞。察,搜集目标系统信息,查找可以利用的安全漏洞。第41页,共51页。10.2.2 10.2.2 安全扫描的内容安全扫描的内容1.本地扫描器本地扫描器/系统扫描器系统扫描器特点:特点:为了运行某些程序,检测缓冲区溢出攻击,本地扫描器为了运行某些程序,检测缓冲区溢出攻击,本地扫描器可以在系统上任意创建进程。可以在系统上任意创建进程。可以检查到安全补丁一级,以确保系统安装了最新的安可以检查到安全补丁一级,以确保系统安装了最新的安全补丁。全补丁。可以通过在本地查看系统配置文件,配置错误。可以通过在本地查看系统配置文件,配置错误。2.远程扫描器远程扫描器/网络扫描器网络扫描器
46、检查网络和分布式系统的安全漏洞。检查网络和分布式系统的安全漏洞。二者相辅相成,在系统环境中应该综合利用。二者相辅相成,在系统环境中应该综合利用。第42页,共51页。10.2.3 10.2.3 安全扫描系统的选择安全扫描系统的选择升级问题升级问题:安全扫描系统必须及时地更新自己的安全安全扫描系统必须及时地更新自己的安全漏洞库。漏洞库。可扩充性:可扩充性:局限性:安全扫描系统并非万能,不能完全依赖。局限性:安全扫描系统并非万能,不能完全依赖。第43页,共51页。10.2.4 10.2.4 安全扫描技术分析安全扫描技术分析扫描器的工作过程通常包括扫描器的工作过程通常包括3 3个阶段:发现目标主机、进
47、个阶段:发现目标主机、进一步发现目标系统类型及配置等信息、测试哪些服务具有安全一步发现目标系统类型及配置等信息、测试哪些服务具有安全漏洞。漏洞。1.1.端口扫描技术端口扫描技术计算机在进行网络通信时开放一定的网络端口,不同的服计算机在进行网络通信时开放一定的网络端口,不同的服务以不同的商品进行通信。计算机提供的端口共有务以不同的商品进行通信。计算机提供的端口共有6553665536个,个,以供各种网络应用程序使用,以供各种网络应用程序使用,WWWWWW使用使用8080端口。端口。InternetInternet使用的使用的TCP/IPTCP/IP协议规定在网络的传输层有两种协协议规定在网络的传
48、输层有两种协议议TCPTCP和和UDPUDP。端口就是这两个协议打开的,是。端口就是这两个协议打开的,是TCPTCP和和UDPUDP协议协议与上层应用程序之间的接口点。与上层应用程序之间的接口点。黑客要攻击目标系统就可以利用端口作为入侵系统的通道,黑客要攻击目标系统就可以利用端口作为入侵系统的通道,但是前提是必须知道是哪些端口在提供服务,一个最好的办但是前提是必须知道是哪些端口在提供服务,一个最好的办法就是利用端口扫描技术来对目标计算机进行端口扫描。法就是利用端口扫描技术来对目标计算机进行端口扫描。端口扫描原理第44页,共51页。端口扫描就是通过向目标主机的指定端口发送数据包,根据目端口扫描就
49、是通过向目标主机的指定端口发送数据包,根据目标端口的反应确定哪些端口是开放的。此外,还可以根据端口返回标端口的反应确定哪些端口是开放的。此外,还可以根据端口返回的旗标的旗标(Banners)(Banners)信息进一步判断端口上运行的服务类型,以及对信息进一步判断端口上运行的服务类型,以及对应软件版本甚至操作系统类型。应软件版本甚至操作系统类型。对黑客来说要攻击目标服务器,首先要对它进行端口扫描找对黑客来说要攻击目标服务器,首先要对它进行端口扫描找出其中的漏洞,并利用这些漏洞对目标服务器进行非法访问和操出其中的漏洞,并利用这些漏洞对目标服务器进行非法访问和操作。如有需要还要在服务器上开一个后门
50、,把后门设在不常用的作。如有需要还要在服务器上开一个后门,把后门设在不常用的又常常被忽略的端口上。这些端口又为他人非法访问此服务器提又常常被忽略的端口上。这些端口又为他人非法访问此服务器提供了方便。供了方便。第45页,共51页。全开扫描全开扫描(open scan,TCP connect)(open scan,TCP connect)扫描扫描全开扫描技术通过直接同目标主机通过一次完整的全开扫描技术通过直接同目标主机通过一次完整的3 3次次TCP/IPTCP/IP握手过程,建立标准握手过程,建立标准TCPTCP连接来检查目标主机的相应端连接来检查目标主机的相应端口是否打开。口是否打开。使用这种方
