1、网络安全网络安全课程的目的 给普通用户提供有关安全方面的综合信息 给系统管理人员提供参考 提高大家对安全知识的必要性的认识主要内容 网络安全的基本概念 常见攻击手段和工具 网络安全的任务 保障网络安全采取的措施网络安全基础知识 什么是网络安全?网络安全是一门涉及计算机科学、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科,是指网络系统的硬件、软件及其系统中的数据受到保护、不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常的运行,网络服务不中断。从本质上讲,网络安全就是网络上的信息安全。网络安全基础知识 为什么网络安全变得非常重要 进行网络攻击变得越来
2、越简单 越来越多的个人或公司连入Internet 并不是所有的用户都具有基本的安全知识国外网络安全案例 94年末,俄罗斯黑客弗拉基米尔利文与其伙伴向美国CITYBANK银行发动攻击,以电子转账方式,窃取了1100万美元。96年初,据美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计,有53%的企业受到过计算机病毒的侵害,42%的企业的计算机系统在过去的一年里被非法使用过。96年,美国司法部、美国中央情报站、美国空军的网络相继受到攻击。2000年由于电脑病毒以及黑客的攻击,至少给美国的企业带来了2660亿美元左右的损失。国内网络安全案例 96年2月,刚开通不久的Chinanet受到攻击,且
3、攻击得逞.96年秋,北京某ISP的服务器受到其用户的攻击,致使服务中断了数小时。98年春节,华中理工大学的官方网站受到攻击,主页被修改达一个月之久。2019年有中美撞击事件引发的中美黑客大战,中方据说攻击美国网站超过1000个。美国黑客组织PoisonBOx袭击了至少一百家中国网站。常见不安全因素物理因素物理因素网络因素网络因素系统因素系统因素应用因素应用因素管理因素管理因素常见攻击手段和工具 网络扫描 口令入侵 特洛伊木马 信息窃取 隐藏身份 破坏装置 IP电子欺骗 平台安全性扫描器 什么是扫描器 扫描器是自动监测远程或本地主机安全性弱点的程序。扫描器如何工作 真正的扫描器是TCP端口扫描器
4、,这种程序选通TCP/IP端口和服务,并记录目标的回答。通过这种方法,可以搜集到关于目标主机的有用信息。扫描器 用于检查系统中可能存在的缺陷和服务用于检查系统中可能存在的缺陷和服务及及设置设置管理方面的弱点。可查出管理方面的弱点。可查出OSOS类型、类型、开放的端口,可搜集本网段的开放的端口,可搜集本网段的IPIP地址,再地址,再对这些地址进行扫描来报告出对这些地址进行扫描来报告出FTPDFTPD脆弱性、脆弱性、NFSNFS脆弱性、脆弱性、sendmailsendmail脆弱性、脆弱性、rexdrexd如何如何等。等。扫描器 为什么扫描器对Internet安全性很重要 扫描器对Internet
5、安全性之所以很重要,是因为它们能发现网络的弱点。至于这一信息是否被“黑客”或入侵者使用并不重要。如果系统管理人员使用了扫描器,它将直接有助于加强系统安全性;如果它被“入侵者”使用,也同样有助于加强系统安全性。这是因为一旦某个漏洞被“入侵者”发现,那么人们最终是会发现的。如果一个系统管理人员不能使其网络足够安全,那么他的工作失误就会以网络安全漏洞的形式暴露出来。扫描器 早期的扫描器-war dialer Toneloc 扫描器的属性 寻找一台主机或一个网络 一旦发现一台机器,可以找出机器正在运行的服务 测试具有有漏洞的那些服务扫描器 扫描器 Strobe-能够快速的识别指定机器上正在运行什么服务
6、。SATAN-运行于Unix之上,扫描远程主机已知的漏洞。Network Toolbox-windows上的端口扫描器 ISS公司(iss)的Internet Security Scanner等。口令入侵 口令不会被解开,多数口令加密过程都是单向、不可逆的。但是可以使用仿真工具,利用与原口令程序相同的方法,通过对比分析,用不同的加密口令去取匹配原口令。口令入侵 采用“蛮力”的方法来分析指定用户的口令。口令表加密系统比较成功不同找到找到NoImage字典字典口令设置的特别方法口令设置的特别方法 口令中加空格口令中加空格 不要用字头加号码的方法不要用字头加号码的方法 基于语句的口令:基于语句的口令
7、:我是华工学人我是华工学人Ws Hg Xr,wH hO xE 基于键盘的口令:基于键盘的口令:6413714Yrq Euqr,Hfa Djaf口令入侵口令入侵 口令破解工具 John the Ripper 运行于DOS/Windown95平台 LC3 Windows2000/NT 口令破解 l0pht/research/lc3/特洛伊木马 一种未经授权的程序,或一种未经授权的程序,或在合法程序中有一段未经授权在合法程序中有一段未经授权的程序代码,或在合法程序中的程序代码,或在合法程序中包含有一段用户不了解的程序包含有一段用户不了解的程序功能功能。上述程序对用户来说具上述程序对用户来说具有恶意的
8、行为有恶意的行为。什么是特洛伊木马程序?UNIX的特洛伊木马对任意用户进行对任意用户进行FINGER请求请求对对FANG用户进行用户进行FINGER请求请求LOGOUT前释放权限前释放权限对一般用户正常响对一般用户正常响应应,保持原功能保持原功能识别是用户识别是用户FANG,将之赋予将之赋予ROOT权限权限拥有ROOT权限LOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUT
9、LOGOUTLOGOUTLOGOUTFANG在退出前注销在退出前注销ROOT权限,以免被系统人员查出权限,以免被系统人员查出取消取消ROOT权限权限 对运行程序进行信息对运行程序进行信息签名以识别其未被篡改。签名以识别其未被篡改。利用利用TAMU之类的安之类的安全工具程序包来预防。全工具程序包来预防。特洛伊木马 特洛伊程序的由来 特洛伊程序是由编程人员创造的。它的作者都有着自己的意图。这种意图可以是任意的。但是基于在Internet的安全的前题,一个特洛伊程序将要做的是下列两件事中的一件(或两者兼有):提供一些功能,这些功能可以泄露一些系统的私有信息给程序的作者或者控制该系统。隐藏了一些功能,
10、这些功能能够将系统的私有信息泄露给程序的作者,或者能够控制该系统。特洛伊木马 特洛伊程序代表哪一级别的危险?特洛伊程序代表了一种很高级别的危险,主要是因为我们已经提到的几中原因:特洛伊程序很难以被发现 在许多情况下,特洛伊程序是在二进制代码中发现的,它们大多数以无法阅读的形式存在 特洛伊程序可作用于许多机器中特洛伊木马 用netstat对系统的守护进程端口号进行扫描,以检测是否存在未知的守护进程。利用ISS之类的扫描器进行检测。特洛伊木马 Back Orifice 工作于windows95/98,client/server结构,使被安装计算机能够从远程控制 BoDetect v3.5 Back
11、 Orifice 2000(All variations!)SubSeven(16 different variations)PrettyPark Internet Worm Hack Attack Back Orifice(6 different variations)Netbus(7 variations)对特洛伊木马程序的防范 利用利用TAMUTAMU之类的安全工之类的安全工具程序包来预防具程序包来预防所用的网络相对封闭,轻易不所用的网络相对封闭,轻易不 与外界联系与外界联系 检查自己的文件,采用数字签检查自己的文件,采用数字签 名技术名技术防住第一次进入是至关重要的 信息窃取搭线窃听捕
12、包收音机+MODEM建立屏蔽措施,防止硬件窃听数据加密,防止破译特定软件可查获窃听者特定软件可查获窃听者信息窃取 sniffer既可以是硬件,也可以是软件,它用来接收在网络上传输的信息。sniffer成为一种很大的危险,因为:它们可以截获口令 它们可以截获秘密的或专有的信息 它们可以被用来攻击相邻的网络信息窃取 Ethereal 最好的freeware sniffer ethereal NetXray 网络协议分析工具 Analyzer:a public domain protocol analyzer netgroup-serv.polito.it/analyzer/robertgraham
13、/pubs/sniffing-faq.html数据加密防信息窃取技术 数据加密分为私钥及公钥密码体数据加密分为私钥及公钥密码体制两种,其中制两种,其中私钥密码体制私钥密码体制用于存储用于存储和传输安全信息(如口令、密钥、权和传输安全信息(如口令、密钥、权限表和认证结果等)和文件内容(如限表和认证结果等)和文件内容(如电子邮件、数据传输、图形声音等)电子邮件、数据传输、图形声音等)的加密解密等。的加密解密等。公钥密码体制公钥密码体制用于进用于进行密钥分配、身份认证等。行密钥分配、身份认证等。安全的加密方法是指对安全的加密方法是指对手找不到更好的攻击方法,手找不到更好的攻击方法,只能通过穷举密钥的
14、手段进只能通过穷举密钥的手段进行解密,即解密的难度与密行解密,即解密的难度与密钥空间成正比。钥空间成正比。隐藏身份 在设计Internet时,设计者假定所有的用户都希望能被别人发现,觉得没有人有理由把自己隐藏起来;同时研究人员能够定位到每一个人的要求也是合理的。因此制造了有许多能够提供方便的查询方式的工具。隐藏身份 常见的Unix查询服务 finger .plan whois/etc/passwd 危险的 ypcat隐藏身份 关于cookie Cookie现在主要用来存放当用户浏览主页是的一些信息。“这个简单的机制提供了一个强有力的工具,它使得一种新的基于Web环境的应用程序可以被开发出。网络
15、购物应用程序现在可以存储当前选项的信息。对于免费的服务,它可以送回注册信息,从而客户在重新连接使不比输入userid,节点可以存储每个用户喜爱的悬想,而且使得每次连接到这个节点时,客户端都支持这些选项。”隐藏身份 Cookie并不是无害的!D.Krisol和L.Montulli在RFC2109中这样解释的:“原始的服务器可以设置一套cookie头来跟踪用户在服务器上走过的路径。用户可以反对这种行为,因为这种积累信息的行为具有侵略性,即是他们的身份是不明显的(身份可以通过发送一个填有身份信息的表格而明确起来)。”隐藏身份 用cookie做用户权限控制是不安全的!一些Java脚本程序(或Perl脚
16、本程序)被设计来得到你的IP地址,这种类型的代码也可以用来得到你用的浏览器类型、你的操作系统等等。隐藏身份 whois服务 Whois服务包含了所有Internet节点的登录信息。Whois主要位于rs.internic.登录数据有每个Internet节点上的详细信息,包括域名服务器、技术联系、电话号码以及地址。破坏装置 破坏装置 破坏装置即可以是一种软件,也可以是一种技术。其目的是达到下列目的:使别人感到烦恼 破坏数据 这种装置通常是底层的工具和技术,但是随着GUI的广泛应用,这种装置越来越容易得到和便于使用。破坏装置 最典型的四种装置 逻辑炸弹 网络炸弹 Denial of Service
17、工具 病毒 逻辑炸弹 逻辑炸弹是程序逻辑炸弹是程序中的一部分,满足一中的一部分,满足一定条件时激活某种特定条件时激活某种特定的程序,并产生系定的程序,并产生系统自毁,并附带破坏。统自毁,并附带破坏。逻辑炸弹潜伏代码潜伏代码满足条满足条件否?件否?监视监视满足而满足而爆炸爆炸满足而满足而爆炸爆炸伊拉克的打印机伊拉克的打印机香港的银行系统香港的银行系统上海的控制系统上海的控制系统KV300 .网络炸弹 以利用计算机协议处理的漏洞来攻击网上计算机使之死机为目的的网络程序。攻击IP协议的网络炸弹IP协议处理死机假长度攻击更新IP处理用Telnet向80口发也可摧毁Windows NT向139端口发0字
18、节也可摧毁Windows95/NT必须对恶意攻击的情况作假设必须对恶意攻击的情况作假设邮件炸弹服务阻塞攻击MAIL服务处理停止服务大量的Mail请求阻碍服务器.大量的Mail请求阻碍服务器返回类似MAIL信息。返回相应的Mail信息返回相应的返回相应的Mail信息信息拒绝服务攻击 Denial of Service工具 Ping of Death 这是一个非常简单的技术,通过发送异常的、大的用来进行ping操作的包,当目标收到这些包的时候,就会“死掉”。在这种状态下,机器只能重新启动。早期的WindowsNT 3.51就受这种攻击影响。Syn Flooder 它采用的也是一种非常简单的floo
19、ding技术,它通过向某个服务不断发送请求,但是却不真正完成它,来耗尽服务器的端口资源。从而让服务器陷入瘫痪。拒绝服务攻击 DNSkiller 用来杀掉WindowsNT 4.0 DNS服务的工具。目前Linux等Unix平台,已经可以防止单纯的DoS攻击。很多路由器和防火墙厂家也在路由器加入了这个功能。病毒 病毒 随着Internet的出现,病毒比以往具有更大的危害性。Internet大大的加速了病毒的传播速度。一个计算机病毒是一个程序,有时是破坏性的(但并不总是这样)。它被设计为可以在计算机之间传播,感染它所经过的每一个地方。“感染”的过程通常是病毒把自己附着于其他文件之中。病毒 这和特罗
20、伊木马有明显不同。特罗伊木马是一个静态的程序,它存在于另外一个无害的程序之中。特罗伊木马不能从一台机器传播到另外一台机器,除非那个包含着特罗伊马程序的程序被传播。这些代码执行未经授权的功能,或者提供一个后门。后门指的是一种隐蔽的方法,通过它攻击者可以进入那台机器,并获得控制权利。病毒 病毒是自我复制的。病毒的自我复制是通过把自己附着于某一类文件之中来进行的。编制病毒也变得越来越简单!有许多可以使用的病毒制造工具 Virus Creation Laboratories Virus Factory Virus Creation 2000 Virus Construction Set The Win
21、dows Virus Engine病毒 目前在Unix上的病毒较少,Unix的结构决定了它不适合病毒的传播。病毒工具 Norton symantec 等 目前也没有根治病毒的有效方法,即使在采用了防病毒软件之后,也一样要经常进行备份。IP电子欺骗 IP电子欺骗就是伪造他人的源IP地址。其实质就是让一台机器扮演另一台机器。常见的攻击过程 让被替代的机器A休眠 发现目标机器B的序列号规律 冒充机器A向机器B发出请求,算出机器应该发来什么序列号,给出机器B想要的回应。IP电子欺骗 这样就可以利用机器B对机器A的信任关系进行攻击。IP电子欺骗并不容易:此技术只适用于少数平台 这项技术复杂难懂,甚至对接
22、密高手也是如此。用户可以很容易防范IP欺骗攻击IP电子欺骗 怎样防止IP欺骗的攻击 在路由器上通过配置你的网络系统参数,拒绝网络中声明来自本地的数据包。其它形式的电子欺骗 DNS欺骗平台安全性 漏洞 漏洞是指任意的允许非法用户未经授权获得访问许可或提高其访问层次的硬件或软件特征。没有一个系统是真正安全的,只能做到相对的安全。平台安全性 存在不同类型的漏洞:允许拒绝服务的漏洞 允许有权限的本地用户未经授权提高其权限的漏洞 允许外来团体(在远程主机上)为经受权访问网络平台安全性 我们可以按照严重程度进行分级:C级 允许恶意侵入者访问可能会破坏整个系统的漏洞 常见缺省的CGI脚本 B级 允许本地用户
23、提高访问权限,可能允许其获得系统控制的漏洞 rsh,暴露的/etc/passwd文件 A级 允许任何用户中断、降低或妨碍系统操作的漏洞 DoS平台安全性 允许拒绝服务的漏洞 允许拒绝服务的漏洞属于C类。这种攻击几乎都是基于操作系统的。也就是说这些漏洞存在于操作系统的网络传送本身。当存在这种漏洞的时,必须通过软件开发者或销售商的弥补。某些拒绝服务攻击的实现可以针对个人。不涉及任何bug或漏洞,而是利用了WWW基本设计。这种类型一般列入恶意代码中。平台安全性 例如,可以通过Java Script在对方机器上产生大量浏览器窗口,使目标机进入长期停顿状态。允许本地用户非法访问的漏洞 B级 Sendma
24、il 缓冲区溢出 危险的 gets()平台安全性 允许用户未经授权访问 A类 典型的设置错误是存放在驱动器上的例子脚本。这种漏洞每天都在Internet上重复!比如web服务器自带的例子文件。如早期Apache Server带的 test_cgi echo QUERY_STRING=$QUERY_STRING平台安全性 其它A类漏洞 FTP Telnet Sendmail NFS ARP Portmap finger平台安全性 漏洞对于Internet安全性的影响 任何攻击者可利用的缺陷可能导致别的缺陷。就是说,每个权限(或大或小)在网络链中都是一个环节。破坏了一个环节,攻击者就有希望破坏其它的环节。漏洞问题严重的程度 大部分漏洞都是C级漏洞 及时安装补丁软件和采用规避方法,能防止大多数B,A类攻击。平台安全性 常用的安全信息主页 securityfocus cert.org
