网络空间安全——网络安全与密码参考书目《网络安全》学习笔记（三）

《网络安全》徐国爱

序

• 书中已经熟知的概念不再记录，只建立一个框架。
• 删除线标记的是未弄懂的概念

第二章 安全分析

网络信息系统都不可避免地存在着这样或那样的安全缺陷，网络的安全缺陷通常分为物理网络的安全缺陷、过程网络的安全缺陷以及通信链路的安全缺陷等。

• 基本安全威胁：网络的规模，电磁辐射和电磁泄露，搭线和串音

• 中国特色的安全缺陷：技术被动性引起的安全缺陷，人员素质问题引起的安全缺陷，缺乏系统的安全标准所引起的安全缺陷

• 网络拓扑安全：①总线型：故障诊断困难、故障隔离困难、终端必须是智能的（总线型和环型不一样的一点在于它的终端没有网络控制设备，所以终端必须要有介质访问控制功能）；②星型：电缆的长度与安装、扩展困难、对中央节点的依赖性太大，容易出现瓶颈（中央节点的处理能力有限）；环型：节点故障会引起全网故障、诊断故障困难、不易重新配置网络、影响访问协议；树型：对根节点依赖性大。

• 网络软件漏洞

• 陷门及其防范：所谓陷门是一个程序模块秘密的、未记入文档的入口。一般陷门是在程序开发时插入的一小段程序, 其目的是测试这个模块或是有助于将来的更改和升级程序。通常在程序开发后期将去掉这些陷门, 但是由于各种有意或无意的原因, 陷门也可能被保留下来。

• 逻辑炸弹（到某一时间节点出现故障）、远程维护、远程遥控、非法通信（某些程控交换机具有单向监听功能，这本是一种合法的监听。但是, 从技术上来说, 这也可以实现隐蔽的非法通信）、贪婪程序（长期占用机时, 造成意外阻塞, 使合法用户被排挤在外, 不能得到服务）

• 对付陷门的方法：①加强程序开发阶段的安全控制（用先进的软件工程进行对等检查、模块结构、封装和信息隐藏、独立测试和程序正确性证明以及配置管理等;）、②在程序的使用过程中实行科学的安全控制（利用信息分割限制恶意程序和病毒的扩散, 利用审计日志跟踪入侵者和事故状态, 促进程序间信息的安全共享）、③制定规范的软件开发标准（加强管理, 对相关人员的职责进行有效监督）.

• 操作系统的安全漏洞与防范：操作系统是硬件和软件应用程序之间接口的程序模块, 它是整个网络信息系统的核心控制软件, 系统的安全体现在整个操作系统之中。

• 操作系统的主要功能包括: 进程控制和调度、信息处理、存储器管理、文件管理、输入输出管理、资源管理、时间管理等。操作系统的安全是深层次的安全, 主要的安全功能包括: 存储器保护( 限定存储区和地址重定位, 保护存储的信息) 、文件保护( 保护用户和系统文件, 防止非授权用户访问) 、访问控制、用户认证( 识别请求访问的用户权限和身份) 。

• 操作系统的安全漏洞：输入/ 输出(I/ O) 非法访问、访问控制的混乱、不完全的中介（完全的中介必须检查每次访问请求以进行适当的审批）、操作系统陷门。

• 为了建立安全的操作系统, 首先, 必须构造操作系统的安全模型( 单级安全模型、多级安全模型、系统流模型等) 和不同的实施方法; 其次, 应该采用诸如隔离、核化( 最小特权等) 和环结构( 开放设计和完全中介) 等安全科学的操作系统设计方法; 再者, 还需要建立和完善操作系统的评估标准、评价方法和测试质量。

• 数据库的安全漏洞与防范：数据库是从操作系统的文件系统基础上派生出来的, 用于大量数据的管理系统。数据库的全部数据都记录在存储媒体上, 并由数据库管理系统( DBMS) 统一管理。DBMS为用户及应用程序提供一种访问数据的方法, 并对数据库进行组织、管理以及维护和恢复。数据库系统（由硬件系统、数据库集合、数据库管理系统、应用系统和人员组成）的安全策略, 部分由操作系统来完成, 部分由强化 DBMS 自身安全措施来完成。

• 应当对数据库系统采取定期备份所有文件的方法来保护系统的完整性；DBMS 必须具有独立的用户身份认证机制, 以便构成一种双重保护；有时, 还可以对使用数据库的时间、地点加以限制；必要时应该对存储数据进行加密保护。数据库的加密应该采用独特的加密方法和密钥管理方法, 因为数据的生命周期一般较长, 密钥的保存时间也相应较长。

• TCP/ IP 协议的安全漏洞与防范：通信网的运行机制基于通信协议。不同节点之间的信息交换按照事先约定的固定机制, 通过协议数据单元来完成。对每个节点来说, 所谓通信, 只是对接收到的一系列协议数据单元产生响应, 而对从网上来到的信息真实性或从节点发给网中其他节点的真实性均无法提供保证。 脆弱的认证机制;容易被窃听或监视; 易受欺骗; 有缺陷的 LAN 服务和相互信任的主机; 复杂的设置和控制; 基于主机的安全不易扩展;I P 地址的不保密性等。下一节重点介绍、

• 网络软件与网络服务的漏洞：一, 协议和服务所设计的交互机制可能存在漏洞; 二, 由于其规模的复杂性和人的局限性, 软件实现也必然存在各种可能的漏洞。

• 网络人为威胁：网络信息的安全与保密所面临的威胁可以宏观地分为人为威胁和自然威胁。自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。这些无目的的事件, 有时会直接威胁网络信息安全, 影响信息的存储媒体。人为威胁则通过攻击系统暴露的要害或弱点, 使得网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害, 造成不可估量的经济损失和政治上的损失。人为威胁又分为两种: 一种是以操作失误为代表的无意威胁( 偶然事故) ; 另一种是以计算机犯罪为代表的有意威胁( 恶意攻击)

• 以下是一些有代表性的恶意攻击：①信息战，可以说是一种国家行为的恶意攻击。信息战的攻击目标包括各种军事命令、通信系统、能源、运输和金融等与国家的政治、经济、文化密切相关的系统。②商业间谍, 即利用国际联网收集别国的重要商业情报, 其目标是获得有价值的信息、能力、技术和对自身有利的谈判地位。③众多的个人行为或者小团体行为的恶意攻击。

• 第③类恶意攻击的典型代表：窃听、流量分析、破坏完整性、重发、冒充、拒绝服务、资源的非授权使用、干扰、病毒、诽谤。

• TCP/IP 安全性

• 链路层安全：链路层的攻击原理大多数都是在数据链路上侦听数据、干扰数据收发以及截获并篡改数据。

• 以太网安全分析：①以太网中, 信道是共享的, 任何主机发送的每一个以太网帧都会到达别的与该主机处于同一网段的所有主机的以太网接口。有的实现可以使用杂错接点, 即能接收所有数据帧的机器节点。现在很多类型的网卡只要设置相应的参数就能进入杂错模式。解决该漏洞的对策是: 网络分段, 利用交换器、动态集线器和桥等设备对数据流进行限制, 链路层加密和禁用杂错接点等。②以太网卡的 MAC 地址在网卡初始化被读入寄存器，可以通过底层的I/O 操作对寄存器中的 MAC 地址进行修改，进行地址欺骗。这类攻击的防范策略是: 追踪综合布线以确定没有非授权的机器挂接在网络上; 确保线路上已授权的机器使用自身的 MAC地址【如何检查MAC地址是否是自身的？】 。现在很多交换机可以配置 MAC 地址和端口的映射。

• ARP 欺骗：在每台主机中都有一张ARP表，它记录着主机的IP地址和MAC地址的对应关系。当目标主机发送ARP请求另一主机A的MAC地址时，ARP 欺骗需要攻击者迅速地诱使目标主机( 192 .168 .0 .3) 和路由器( 192 .168 .0 .1)都和它建立通信, 从而使自己成为中间人 Mi M( Man in Middle)。就是告诉目标主机自己的IP地址就是A的IP，再使A相信自己的MAC地址就是目标主机的MAC地址，这样就可以获取目标主机和A之间的通信数据。【但是这样不是很容易被发现么，如果A收到ARP请求并且通过交换机之类回应，那目标主机不就会收到两份ARP回应了么】。防范措施：① 注意MAC 地址欺骗的防范。②监视局域网内所有的 MAC 地址和IP 地址的映射对, 一旦有改变, 将产生告警或日志。【怎么监视？谁监视？主机内有ARP缓存表，要监视每个主机么?自己监视自己？】

• 网络层安全： 主要有:IP 地址欺骗、IP 包碎片、IGMP Nuke 攻击、ICMP 攻击、路由欺骗等等。

• IP 地址欺骗：I P 地址欺骗就是攻击者假冒他人IP 地址, 发送数据包。因为I P 协议不对数据包中的IP 地址进行认证, 因此任何人不经授权就可伪造IP 包的源地址。IP 地址欺骗有两个难点：①因为远程主机只向伪造的IP 地址发送应答信号, 攻击者不可能收到远程主机发出的信息，②要在攻击者和被攻击者之间建立连接, 攻击者需要使用正确的 TCP 序列号。防范：使用防火墙决定是否允许外部的IP 数据包进入局域网, 对来自外部的IP 数据包进行检验。假如过滤器看到来自外部的数据包声称有内部的地址, 它一定是欺骗包, 反之亦然。过滤器分割能将Internet 分成小区域,除子网内部外, 子网之间不能欺骗。

• IP 包碎片：以太网的 MTU 是1 500，如果IP包数据再大，就要进行分段。某些系统的 TCP/ IP协议栈在收到含有重叠偏移的伪造分段时将崩溃。①泪滴：攻击者可以通过发送两段(或者更多) 数据包来实现teardrop 攻击: 第一个包的偏移量为0 , 长度为 N ; 第二个包的偏移量小于 N , 而且算上第二片IP 包的数据部分, 也未超过第一片的尾部。②Jolt2：原理是发送许多相同的分片包, 且这些包的offset 值与总长度之和超出了单个IP 包的长度限制(65 536 B) 。

• ICMP 攻击：ICMP 协议为I P 层的控制提供了信息报文, 告诉源主机有关网络拥塞、I P 数据报由于主机不可达或TTL 超时等原因不能传输等差错信息。但是, 主机对ICMP 数据报不作认证, 这使攻击者可以伪造ICMP 包, 使源主机产生错误的动作, 从而达到特定的攻击效果。① IP 地址扫描：攻击者收集信息的手段。② ping of death：当出现畸形的ICMP 包时, 例如, 声称自己的尺寸超过ICMP 上限的包, 也就是加载的尺寸超过64 K 上限时, 就会出现内存分配错误, 导致 TCP/ IP 堆栈崩溃, 致使接受方死机。③pingflooding：是一种DoS( 拒绝服务) 攻击方法, 在某一时刻多台主机对目标主机使用ping 程序, 就有可能耗尽目标主机的网络带宽和处理能力。④ smurf：一个简单的smurf 攻击是攻击者伪造一个源地址为受害主机的地址、目标地址是反弹网络的广播地址的ICMP 回应请求数据包, 当反弹网络的所有主机返回ICMP 回应应答数据包的时候将淹没受害主机。⑤ ICMP 重定向报文：攻击者可以冒充初始网关向目标主机发送I CMP 重定向报文, 诱使目标主机更改寻径表, 其结果是到达某一I P 子网的报文全部丢失或都经过一个攻击者能控制的网关。⑥ ICMP 主机不可达和 TTL 超时报文：此类报文一般由IP 数据报传输路径中的路由器发现错误时发送给源主机, 主机接收到此类报文后会重新建立TCP 连接。攻击者可以利用此类报文干扰正常的通信。防范：严格限制ICMP 报文的作用范围（比如与特定连接绑定使用等），主机与其他路由器的全局路由表也不能以重定向报文为依据修改等。

• 路由欺骗：TCP/ I P 网络中,I P 包的传输路径完全由路由表决定。若攻击者通过各种手段改变路由表, 使目标主机发送的IP 包到达攻击者能控制的主机或路由器, 就可以完成侦听、篡改等攻击方式。除了上一节的ICMP 重定向报文攻击外，还有RIP 路由欺骗（攻击者可以声称他所控制的路由器 A 可以最快地到达某一站点B, 从而诱使发往 B 的数据包由 A 中转）； IP 源路由欺骗。

• 传输层安全：主要有:TCP 初始序号预测、TCP 端口扫描、Land 攻击、TCP 欺骗、TCP 会话劫持、SYN flooding 、RST 和 FI N 攻击、winnuke 、UDP flooding 等等。

• 应用层安全：主要有电子邮件攻击、DNS 欺骗、Finger 、针对htt p 服务的攻击、缓冲区溢出攻击等等。

• 利用木马攻击：全称为特洛伊木马，实质上只是一个网络客户/ 服务程序, 是一种基于远程控制的黑客工具。被安装木马程序的主机是服务端，服务端会开启监听端口，客户端进行连接请求，连接建立后客户端就可以进行远程操作。

• 木马传播：e-mail，软件下载。

• 木马的运行：服务端用户运行木马或捆绑木马的程序后, 木马就会自动进行安装。首先将自身拷贝到 Windows 的系统文件夹中(c : \ windows 或c : \ windows \ system 目录下) , 然后在注册表、启动组、非启动组中设置好木马的触发条件 , 这样木马的安装就完成了【具体原理还不是很清楚，只知道大体】。控制端具有的控制权限：窃取密码，文件操作，修改注册表，系统操作。

• 木马的破解：端口扫描， 检查注册表，查找文件，杀病毒软件（防火墙等）