信息系统安全导论第六章之网络安全

一、网络安全形势

二、网络安全基本概念

2.1  定义：网络安全简单的说是在网络环境下能够识别和消除不安全因素的能力。

2.2  特征：

• 机密性：保证信息与信息系统不被未授权的用户、实体或者过程所获取与使用。
• 完整性：保证信息真实可信，不被非法修改。
• 可用性：保证授权实体当需要时能够存取所需信息。
• 可控性：对信息的传播和内容具有控制能力。
• 可审查性：对出现的安全问题提供依据与手段。

三、网络安全威胁手段

3.1  分布式拒绝服务攻击（DDoS）

1）定义：分布式拒绝服务攻击DDoS（Distributed Denial of Service）是阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式。

针对TCP／IP协议中的某个弱点，或者系统存在的某些漏洞，对目标系统发起的大规模进攻使服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致目标网络或系统不胜负荷以至于瘫痪而无法向合法的用户提供正常的服务。

2）DDoS攻击思想

• 服务器的缓冲区满，不接收新的请求。
• 使用IP欺骗，迫使服务器把合法用户的连接复位。

3）DDoS攻击模式

• 消耗资源（网络带宽、存储空间、CPU时间等）
• 破坏或改变配置信息
• 利用服务程序中的错误处理程序使服务失效

4）DDoS攻击特点

• 集中了成百上千台机器同时进行攻击，其攻击力是十分巨大的。
• 大部分攻击机群的合法用户并不知道自己是整个DDoS网络中的一部分（僵尸）。

5）被DDoS攻击时可能的现象

• 被攻击主机上有大量等待的TCP连接
• 端口随意
• 网络中充斥着大量源地址为假的无用的数据包，造成网络拥塞
• 严重时会造成死机

6）DDoS攻击防御

• 一是主控端和代理端主机应当防止被攻击者入侵并加以利用。
• 二是在目标端建立监控机制，实时检测网络流量变化判断是否发生DDoS攻击以便采取措施。

7）DDoS分类：

①  SYN Flood

• 特点：

        ■ 针对TCP/IP协议的薄弱环节进行攻击

        ■ 只需要很少的数据流量就可以产生显著的效果

        ■ 攻击来源无法定位

        ■ 在服务器端无法分辨TCP连接请求是否合法

• 应对：对TCP/IP的协议连接状态进行监控，没有ACK包的连接将直接丢弃，不维持等待。

②  Smurf攻击：这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络数据充斥目标系统，引起目标系统拒绝为正常请求进行服务。

• 攻击过程：Attacker向一个具有大量主机的网络的广播地址发送一个欺骗性Ping分组（echo请求），源地址设为被攻击对象的IP地址，因此网络中的所有主机都会向该地址发送echo响应。

• 应对：对边界路由器的回音应答（echo reply）信息包进行过滤并丢弃。 

③  ACK Flood

• 攻击过程：攻击方向目标发送大量ACK包，被攻击者需要花费大量精力检查ACK包、回应RST报文，从而无法及时处理正常的数据包。
• ACK Flood检测与防护：攻击者通常会采用大量ACK包，并且为了提高攻击速度，一般采用内容基本一致的小包发送。这可以作为判断是否发生ACK Flood的依据。

④  UDP Flood

• 攻击过程：利用大量UDP小包冲击服务器。
• UDP攻击防护：关掉不必要的TCP/IP服务，或者配置防火墙以阻断来自Internet的UDP服务请求，不过这可能会阻断一些正常的UDP服务请求。

⑤  利用错误处理的DDoS攻击

• Ping of Death：发送超大尺寸的ICMP数据包，使得封装该ICMP数据包的IP数据包大于65535字节，目标主机无法重新组装这种数据包分片，可能造成缓冲区溢出、系统崩溃。
• Teardrop：是一种畸形报文攻击，其工作原理是向目标发送多个重叠偏移的分片数据包（例如：第一个包的偏移量为0，长度为N，第二个包的偏移量小于N），为了合并这些数据段，系统会耗费巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。

3.2  网络欺骗攻击

1）DNS欺骗攻击

• DNS欺骗原理：假设当提交给某个域名服务器的域名解析请求的数据包被截获，攻击者将一个虚假的IP地址作为应答信息返回给请求者，原始请求者就会把这个虚假的IP地址作为它所要请求的域名而进行连接。

2）电子邮件欺骗

• Email欺骗方法：攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令，或在附件中加载病毒或其他木马程序。
• Email欺骗的防护：查看邮件原文，检查真正的发件服务器地址；通过邮件链接网页的时候，注意真正的网站地址。

3）Web欺骗

• Web欺骗原理：攻击者通过伪造某个WWW站点的影像拷贝，使该Web的入口进入到攻击者的Web影像服务器，从而对被攻击者进行监控。
• Web欺骗形式：使用相似的域名、改写URL、劫持Web会话。

4）IP欺骗

• IP欺骗原理：攻击者使用伪造的IP地址冒充其他主机身份。
• IP欺骗的动机：隐藏自己的IP地址、以IP地址作为授权依据、穿越防火墙。

3.3  SQL注入

1）技术概述：SQL Injection是指攻击者通过某种方法向应用程序中插入一些SQL语句，然后传递到sql服务器使其解析并执行的一种攻击手法。

2）攻击特点：

• 攻击的广泛性：由于其利用的是SQL语法，使得攻击普遍存在。
• 攻击代码的多样性：不同的数据库软件使用的代码可能不同。

3.4  跨站脚本攻击

XSS又叫CSS  (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意javascript代码，当用户浏览该网页之时，嵌入其中Web里面的代码会被执行，从而达到恶意用户的特殊目的。

四、网络安全防护技术

4.1  网络漏洞扫描

1）扫描的类型

• 地址扫描
• 端口扫描
• 漏洞扫描

2）常用的网络扫描器

• Nmap
• Nessus
• X-scan

4.2  防火墙技术

1）防火墙的基本概念：防火墙（FireWall）是位于两个(或多个)网络间，实施网络间访问控制的一组组件的集合。

2）防火墙的特点：

• 不同安全级别的网络或安全域之间的唯一通道：

防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

• 只有被防火墙策略明确授权的通信才可以通过：

• 系统自身具有高安全性和高可靠性：

防火墙自身应具有非常强的抗攻击免疫力。

防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其他应用程序在防火墙上运行。

3）防火墙的安全规则

• 匹配条件：计算一个逻辑表达式，若结果为真说明匹配
• 处理方式：

        ■ Accept：允许数据包或信息通过。

        ■ Reject：拒绝数据包或信息通过，并且通知该信息源。

        ■ Drop：直接将数据包或信息丢弃，不通知该信息源。

4.3  入侵检测系统（Intrusion Detection System，IDS）

1）定义：对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。进行入侵检测的软件与硬件的组合便是入侵检测系统。

2）基本结构：IDS包括三个功能部件

• 信息收集
• 信息分析
• 结果处理

3）分类

①  按照分析方法（检测方法）：

• 异常检测模型（Anomaly Detection )：首先总结正常操作应该具有的特征，当用户活动与正常行为有重大偏离时即被认为是入侵。
• 误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，就认为这种行为是入侵。

②  按照数据来源：

• 基于主机：系统获取数据的来源是系统运行所在的主机，保护的目标也是系统运行所在的主机
• 基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行。
• 混合型

③  按系统各模块的运行方式

• 集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行。
• 分布式：系统的各个模块分布在不同的计算机和设备上。

④  根据时效性：

• 脱机分析：行为发生后，对产生的数据进行分析。
• 联机分析：在数据产生的同时或者发生改变时进行分析。

4.4  入侵防御系统（Intrusion Prevention System，IPS）

1）IPS的两个关键特征：

• 深入七层的数据流攻击特征检测（可检测蠕虫、基于Web的攻击、利用漏洞的攻击、网页篡改、木马、病毒、P2P滥用、DoS/DDoS等）
• 在线部署，实时阻断攻击

2）IDS VS IPS