安全关联及基本问题

原创 2015年11月21日 18:45:37

安全关联-SA创建步骤

1、通过像IKE这样的密钥管理协议在通信对等方之间协商而生成

2、当一个SA协商完成后,两个对等方都在其安全关联数据库(SAD)中存储该SA参数

3SA具有一定的生存期,当过期时,要么中止该SA,要么用新的SA替换

4、终止的SA将从SAD中删除

SA的管理就是创建和删除。

手工方式:安全参数由管理员按安全策略手工指定、手工维护。

动态方式:SA有一个存活时间与其关联在一起。这个存活时间通常是由密钥管理协议在IPSec通信双方之间加以协商而确立下来的,

 

SA的自动建立和动态维护是通过IKE进行的。如果安全策略要求建立安全、保密的连接,但却不存在相应的SAIPsec的内核则启动或触发IKE协商。

SAD为进入和外出包维持一个活动的SA列表。SAD的字段包括:

 

外部头目的IP地址:SA的目的地址(单播地址)。

IPsec协议:标识用的是AH还是ESP

SPI32比特的安全参数索引,标识同一个目的地的SA

 

 

3. TCP/IP堆栈指纹

 

1)  FIN扫描

给打开的端口发送FIN(或任何没有ACKSYN标志的包),然后等待应答。RFC 793中规定是不返回响应,但许多OS的实现如MS WindowsBSDICISCOHP/UXMVSIRIX都发回一个RESET分组。

 

2)  TCP初始序列号(ISN)采样

TCP初始序列号采样是利用TCP实现中在响应一个连接请求时所使用的初始序列号模式来识别系统类型。这可以分成多种模式:传统的64K增加(UNIX OS),随机增加(新版SolarisIRIXFreeBSDDigital UNIXCray),真正随机(Linux 2.0.*OpenVMS和新版AIX)Windows系统使用所谓的“时间依赖性”模型,即ISN的增加同某一个短固定时间间隔有关。有些主机始终使用固定相同的ISN,。

值得注意的是ISN的产生蕴涵重要的安全意义。TCP/IP欺骗攻击其中的一个步骤就是要猜测ISN

 

3)不分片位

目前有许多操作系统开始在它们发送的包中使用IP “不分片”位,这主要是想获得好的运行性能。不过也不是所有的操作系统都有此功能,即使有,其实现的方式可能也不同。因此利用此位或许有利于我们收集更多的有关目标OS的信息。

4TCP初始窗

TCP初始窗只是简单地检查返回包的窗口尺寸。旧的扫描器简单地使用RST包的非零窗口对BSD 4.4衍生的系统进行识别。更先进的扫描器例如QuesoNmap可以对实际的窗口进行跟踪。在很多操作系统中,这通常是一个常数。例如,AIX是惟一使用0x3F25的操作系统。对于完全重新编写代码的NT 5TCP堆栈,使用0x402E。有趣的是,这跟OpenBSDFreeBSD使用的窗口大小相同。

 

3)不分片位

目前有许多操作系统开始在它们发送的包中使用IP “不分片”位,这主要是想获得好的运行性能。不过也不是所有的操作系统都有此功能,即使有,其实现的方式可能也不同。因此利用此位或许有利于我们收集更多的有关目标OS的信息。

4TCP初始窗

TCP初始窗只是简单地检查返回包的窗口尺寸。旧的扫描器简单地使用RST包的非零窗口对BSD 4.4衍生的系统进行识别。更先进的扫描器例如QuesoNmap可以对实际的窗口进行跟踪。在很多操作系统中,这通常是一个常数。例如,AIX是惟一使用0x3F25的操作系统。对于完全重新编写代码的NT 5TCP堆栈,使用0x402E。有趣的是,这跟OpenBSDFreeBSD使用的窗口大小相同。

 

7)  ICMP消息引用(Message Quoting)

RFC规定:ICMP错误消息将引用一小部分导致此错误消息包的ICMP消息内容。对于端口不可到达消息,几乎所有的实现都只发送所需要的IP+8字节。不过Solaris发送的内容更多,而Linux发送的东西最多。这就允许识别没有打开任何端口的LinuxSolaris主机。

8)  ICMP错误消息回射完整性

正如前面所描述的,主机对于端口不可到达错误消息将送回一小部分原始消息的内容。某些机器送回的包中所包括的协议头部分已经被改变。例如,AIXBSDI送回的IP总长度是20字节。而系统BSDIFreeBSDOpenBSDULTRIXVAXen则将原样送回你所发送的IP标识符。某些系统(AIXFreeBSD)将送回不一致或等于0的校验和。这同样适用于UDP校验和。NmapICMP错误消息包进行九种不同的测试以识别系统之间的微小差别。

9) 服务类型

对于ICMP端口不可到达的消息,可查看返回包中的服务类型(TOS)值。几乎所有的实现都使用了0这个值,虽然Linux使用的是0xC0

 

10)分片处理方式

分片处理方式主要利用了这样一个事实:不同的系统在处理重叠IP分片方式上也不同。有些是以新的覆盖旧的部分,而有些是旧的部分有更高的优先权。使用此技术可以确定目标OS是如何重新组装包的。但由于很难产生分片包,因此也没有办法测试。有关更多的重叠分片信息,可以查看IDS(入侵检测系统)论文(http://www.secnet.com)

 

11)  TCP选项

TCP选项是实现TCP/IP协议时可选的一部分功能,它跟不同的系统实现有关,这些选项都是发掘有用信息的好方法。原因是:

(1) 它们都是可选项,不是所有主机都实现; 

(2) 如果你所发送的包中对某个选项进行了设置,只要目标主机支持,那么目标主机就会返回此选项;

(3) 可以通过在一个包中设置所有的选项来进行测试。

例如,Nmap在每个探询包中设置下面的选项:

 Window Scale=10NOPMax Segment Size = 265TimestampEnd of Ops

在返回包中查看哪些选项有值,就可以知道支持什么选项了。有些操作系统如最近的FreeBSD支持所有上述选项,而其它的,如Linux 2.0.X几乎就没有这些选项。最新的Linux 2.1.X内核却支持所有上述选项。

 

即使某些操作系统支持相同的选项集,有时我们也可以通过查看选项的数值来区分它们。例如,如果你发送一个小数值的MSS(最大分段大小)Linux系统,它将返回相同的MSS给你。而其他操作系统将给出不同的数值。

在有些情况下即使有相同的选项集和同样的数值,我们还可以通过所返回的选项的顺序来区分它们。例如,Solaris 返回顺序为“NNTNWME”。各个字符的意义为

 

<no op><no op><Timestamp><no op><Window Scale><echoed MSS>

 

Linux 2.1.122 返回顺序为“MENNTNW”。同样的选项,同样的值,但顺序不同。

 

系统级关键进程smss.exe 

smss.exe 

Session Manager Subsystem 

会话管理子系统用以初始化系统变量,调用Win32壳子系统和运行在Windows登陆过程。

注:smss.exe也可能是win32.ladex.a木马。

Winlogon.exe

Windows Logon ProcessWindows NT 用户登陆程序,管理用户登录和退出。

进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行,若不是以上路径且不以 SYSTEM 用户运行,则可能是 W32.Netsky.D@mm 蠕虫病毒

csrss.exe

Microsoft Client/Server Runtime Subsystem 

是微软客户端/服务端运行时子系统,维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境 。 

lsass.exe

Local Security Authority Service

Windows系统的安全机制,用于本地安全和登陆策略 

System Idle Process 

不是一个真正的进程,是windows核心虚拟出来的,多任务操作系统都有。

CPU空闲的时候,发出一个IDLE命令,使CPU挂起,有效的降低CPU内核的温度,操作系统服务中没有禁止选项;默认它是占用除了当前应用程序所分配的处理器(CPU)百分比之外的所有占用率 。

SYSTEM

WINDOWS页面内存管理进程,拥有0级优先权。没有它系统无法启动。 

svchost.exe 

Generic Service Host Process for Win32 Services 

从动态链接库 (DLL) 中运行的服务的通用主机进程名称。不能被结束 。

explorer.exe

Windows程序管理器或者Windows资源管理器,用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理,删除该程序会导致Windows图形界面无法适用。

相关文章推荐

专题:深度神经网络基本问题的原理详细分析和推导

这是一篇关于神经网络算法设计的几个基本问题的理论分析的专题文章,涉及到比较多的原理推导。文章的主体来自Ian Goodfellow 的《Deep Learning》;Andrew Ng在Courser...
  • zpcxh95
  • zpcxh95
  • 2017年04月10日 17:23
  • 3125

BP+SGD+激活函数+代价函数+基本问题处理思路

1. Sigmoid激活函数和交叉商代价函数 2. Softmax激活函数和对数似然成本函数 3. tanh激活函数...
  • MyArrow
  • MyArrow
  • 2016年05月13日 16:49
  • 4011

解决需求工程中的基本问题

  • 2006年01月05日 10:20
  • 234KB
  • 下载

物联网技术上面临的基本问题和操作系统设计

时下,在操作系统界,有一个热得发紫的名词“物联网操作系统”,但物联网和操作系统究竟是什么关系,物联网将面临什么问题,操作系统又能为其解决什么问题呢?     操作系统和其他电子产品一样,是个不断迭代...
  • djyos
  • djyos
  • 2015年06月04日 16:25
  • 2384
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:安全关联及基本问题
举报原因:
原因补充:

(最多只允许输入30个字)