- 网络中存在的安全威胁
从信息流动的角度:中断、截取、捏造、修改。
从威胁的来源来看:内部和外部威胁,自然和人为威胁。
从攻击者的行为来看:主动和被动威胁。
从威胁动机来看:故意和偶发性威胁。 - 常见安全攻击方法
(1)利用系统自身安全漏洞;
(2)特洛伊木马程序:伪装成工具程序或者游戏等诱使用户打开或下载,然后使用户在无意中激活,导致系统后门被安装;
(3)WWW欺骗:诱使用户访问纂改过的网页;
(4)电子邮件攻击(邮件炸弹、邮件欺骗);
(5)网络监听(获取明文传输的敏感信息);
(6)跳板攻击
(7)拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)
(8)窃取口令进入系统(网络监听、暴力破解)。 - 软件漏洞的原因
技术:软件的复杂性(需求缺失、设计缺陷、开发时间紧迫、软件开发工具本身的错误)。
人员:人的缺陷。
成本:软件的安全保障需要投入成本(非直接效益)
配置、管理:管理人员惰性,缺乏安全意识(默认配置、管理员疏忽、临时端口、信任关系)。 - 入侵系统的常用步骤
- 攻击的过程:踩点(信息收集)—>定位(分析目标)—>入侵(实施攻击)—>留后门(方便再次进入)—>抹去痕迹(打扫战场)。
- 攻击的一般过程:预攻击—>攻击—>后攻击。
预攻击:目的是收集信息,进行进一步决策攻击。预攻击的内容为获得域名及IP分布、获得拓扑及OS等、获得端口和服务、获得应用系统情况、跟踪新漏洞发布。
攻击:目的是进行攻击,获得系统的一定权限。攻击的内容为:获得远程权限、进入远程系统、提升本地权限、进一步扩展权限、进行实质性操作。
后攻击:目的是消除痕迹,长期维持一定的权限,后攻击的内容为植入后门木马、删除日志、修补明显地漏洞、进一步渗透扩展。 - 攻击的种类:预攻击、攻击、后攻击。其他攻击种类:拒绝服务攻击、嗅探攻击、恶意网页攻击、社会工程攻击。
预攻击:端口扫描、漏洞扫描、操作系统类型鉴别、网络拓扑分析。
攻击:缓冲区溢出攻击、脚本程序漏洞攻击、口令攻击、错误及弱配置攻击、网络欺骗与劫持攻击。
后攻击:后门木马、痕迹擦除。 - 预攻击概述
Ping sweep:寻找存活主机Port scan:寻找开放服务(端口)OS fingerprint:操作系统识别。资源和用户信息扫描。 - 网络扫描器
简介:自动检测远程或本地系统安全性弱点(漏洞)的程序。
主要功能(步骤/工作原理):
a.扫描目标主机识别其工作状态(开/关机);
b.识别目标主机端口的状态(监听/关闭);
c.识别目标主机系统及服务程序的类型和版本;
d.根据已知漏洞信息,分析系统脆弱点;
e.生成扫描结果报告
扫描技术:
(1)传统的主机扫描技术:目的是确定在目标网络上的主机是否可达,常用手段有:ICMP Echo扫描、ICMP Sweep扫描、Broadcast ICMP扫描、Non-Echo ICMP扫描。
(2)高级扫描技术:防火墙和网络过滤设备常导致传统的探测手段变得无效。利用ICMP协议提供网络间传送错误信息的手段有:异常IP包头、在IP中设置无效的字段值、错误的数据分片、通过超长包探测内部路由器、反向映射探测。
(3)端口扫描技术:向计算机端口发送信息,观察有无应答或应答类型,目的是发现主机的开放端口,不同端口对应着不同的网络服务。主要包括三类:开放扫描(TCP Connect扫描)、半开放扫描(TCP SYN扫描)、隐蔽扫描(TCP FIN扫描、分段扫描) - 操作系统识别:漏洞与操作系统相关,与版本相对应。主要技术:主动协议栈指纹识别:向目标主机发送特定IP包,根据响应不同判断操作系统类型和版本。常用手段:ACK、SYN(两个都可以针对开放或者封闭端口),UDP包(针对封闭端口)。被动协议栈指纹识别:被动监测网络通信确定操作系统类型。可靠性比主动协议栈指纹识别差。
- 漏洞扫描:根据目标主机开放的应用和服务来扫描和判断可能存在的漏洞。意义:网络安全评估、为网络系统加固提供依据、被网络攻击者利用获取重要数据信息。常用方法:漏洞库匹配方法、模拟黑客攻击方法、漏洞扫描工具。
- 网络监听:监视网络的流量、状态、数据等信息,分析数据包,获得有价值的信息。网络监听是一把双刃剑,既是管理工具(实时观测分析数据包,从而进行网络故障定位)又是信息收集工具(攻击者们常用的收集信息工具)。
窃听信息:口令、账号、机密数据、流量信息。
共享式网络监听原理:网卡工作在数据链路层——以帧为单位进行传输,帧头部分含有目的MAC地址和源MAC地址。
(1)普通模式:网卡只接收与自己MAC地址相同的数据包,并将其传递给操作系统。
(2)混杂模式:网卡将所有经过的数据包都传递给操作系统。
交换式网络监听原理
(1)正常模式:交换机按MAC地址转发数据包,此时只能监听广播数据包;
(2)网络监听:使不应到达的数据包到达本地(利用ARP欺骗等)。 - Sniffer网络环境
共享式网络:
(1)用HUB连接网络.
(2)广播:通过网络的所有数据包发往每一个主机。
交换式网络:
(1)通过交换机连接网络.
(2)交换机构造“MAC地址-端口“映射表.
(3)发送包的时候,只发到特定的端口上。 - ARP工作过程:发IP包时,判断目标是否在同一网段;
(1)同一网段:a. 检查ARP缓存,是否有<目的IP、MAC>表项,有直接发送b. 无,广播ARP Request<谁IP跟目的IP相同,报告位置(MAC)>c. 目的IP主机收到Request,回应ARP Reply(包含自己MAC地址),更新自己ARP表,添加或更新发送方的ARP表项<ip,mac>d. 发送方接收Reply,获取目标MAC,发送并添加ARP表项,否则传输失败(找不到目的主机)。
(2)不同网段:发送给网关,同样查找网关MAC
ARP动态刷新:所有收到ARP Reply的主机都更新自己的ARP缓存。 - ARP协议的问题:广播请求:request(广播),全部接受者添加关于发送者ARP表项;发送错误的ARP请求,错误的<发送方IP,MAC>,污染大家的ARP缓存。单播应答:无状态,无问自答;主动的ARP应答被视为有效的信息而接受。Eg:利用ARP进行欺骗:攻击者可以伪装ARP Reply报文假冒其它主机。
- IP欺骗:攻击者伪装成目标主机与其他主机进行通信,达到:隐藏自己的IP,防止被跟踪;以IP地址作为授权依据;穿越防火墙的目的。利用了IP协议中的缺陷:信任服务的基础仅仅是建立在网络地址的验证上,而IP地址容易被伪造;IP欺骗的形式:单向IP欺骗:不考虑回传的数据包;双向IP欺骗:要求看到回传的数据包;更高级IP欺骗:TCP回话劫持。如何避免:主机保护:保护自己的IP不被用来实施IP欺骗。网络防护:路由上设置欺骗过滤器;保护免受源路由攻击:路由器上禁止这样的数据包
- 拒绝服务(DoS)
攻击可用性:通过某些手段使得目标系统或者网络不能提供正常服务。
目的:破坏组织正常运行;使某个服务器瘫痪,以方便黑客冒充;强制服务器重启,以便于黑客启动木马程序。
DoS的形式:
(1)资源耗尽型
(2)配置修改型
(3)基于系统缺陷型
(4)物理实体破坏型。
拒绝服务攻击的本质:(1)资源对抗:消耗受害者的资源;(2)简单DOS攻击:使用攻击者单机资源;(3)反射攻击:使用反射服务器的资源进行攻击;(4)分布式拒绝服务攻击:控制网络中的傀儡主机,僵尸网络,使用其资源进行攻击。(SYN Flood:伪造地址进行SYN请求)
典型的DOS攻击:land、ping of death、teardrop、SYN Flood、Smurf
防止DOS:(1)对于网络:路由器和防火墙配置得当;入侵检测系统,检测异常行为;(2)对于系统:升级系统内核,打上必要的补丁,特别是简单的DOS攻击;关闭不必要的服务和网络组件;如果有配额功能的话,正确设置这些配额;监视系统的运行,避免降低到基线以下;检测系统配置信息的变化情况;(3)保证物理安全(4)建立备份和恢复机制 - DDoS(分布式拒绝服务攻击DDoS):通过植入代理程序,将多个存安全弱点的计算机联合起来作为攻击平台,攻击者通过主控程序与代理程序的通信;操纵傀儡主机对一个或多个目标发动DOS攻击,从而成倍地提高拒绝服务攻击的威力。攻击过程有两个步骤:发展团队:攻占代理主机;协同攻击:向目标发起攻击。具体步骤:探测扫描大量主机以寻找可入侵主机,入侵有安全漏洞的主机并获取控制权,安装攻击所用的客户进程或守护进程,向客户进程发出命令,操纵代理主机进行协同入侵。防范:最有效防御(网络出口禁IP欺骗,无驱动力),各司其职协调防御(建立纵深体系)。
- 缓冲区溢出漏洞:不检查输入的数据长度是否超过缓冲区长度,总是默认相匹配,因此存在漏洞
缓冲区溢出攻击:利用缓冲区溢出漏洞,向缓冲区写超过其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈和使程序转而执行其它指令。(1)破坏程序的堆栈;(2)使程序转而执行其他指令。
缓冲区溢出攻击的危害性:a. 在UNIX平台上可获得一个交互式的shell;b.在Windows平台上可上载并执行任何的代码c.溢出漏洞发掘需较高技巧和知识背景d.一旦有人编写出溢出代码,则用起来非常简单e. 与其他的攻击类型相比,缓冲区溢出攻击不需要太多的先决条件,杀伤力很强,技术性强f.穿透防火墙
攻击步骤:攻击代码安排(代码植入)(在存在漏洞的某些存储结构(缓冲区)中安排适当的攻击代码shellcode)流程控制(改写程序执行流程,转移到攻击代码)一步完成代码植入和流程控制
攻击代码安排:植入法:将攻击代码写入某个缓冲区;利用已存在代码。
控制流程转移方法:激活记录;函数指针;长跳转缓冲区
缓冲区溢出攻击的防范:防止缓冲区溢出;允许溢出但不允许改变控制流;允许改变控制流但禁止敏感代码执行。 - 恶意代码分类:病毒:能自我传播、需用户干预来触发执行。蠕虫:能自我传播、不需用户干预即可触发执行。特洛伊木马(如冰河、网络渗透、灰鸽子):看起来具有正常功能,但实际上隐藏了很多其他功能的程序。后门:绕过安全性控制而获取对程序或系统访问权限的程序方法。RootKit:在安装目标隐藏自身及指定的文件、进程和网络链接等信息,使攻击者获得访问权。
- 木马,也称木马病毒,通过特定的程序(木马程序)来控制另一台计算机。
通常有两个程序:控制端:–客户端–攻击者、被控制端:–服务端–受害者
特洛伊木马隐蔽性:(1)存放位置及文件名;(2)通信方式;(3)进程隐藏。
存放位置及文件名:文件名和系统文件接近,文件位置放在系统文件的位置上。
通信方式:(1)基本通信方式:TCP协议,服务器端侦听,客户端连接;(2)反向连接:客户端:在有固定IP或者域名第三方(如公共邮箱,个人主页)发布自己IP ,打开端口监听,等待服务端连接。服务端:定期获取客户端IP,主动连接;(3)使用UDP协议:分为正向(服务端侦听,客户端连接)和反向(客户端侦听,服务端连接);(4)代码注入;(5)用ICMP协议来通讯。
进程隐藏:(1)进程名字迷惑(2)把木马写入驱动和内核的级别(3)木马进程不容易发现,发现后没法或不允许删除。
启动方式:开始菜单启动,自动启动,捆绑启动,修改文件关联 - 代码注入
无论正向反向,服务端和客户端试图建立连接时都会引起防火墙报警,因此使用代码注入。即服务端将自己注入可合法与外界网络通讯的进程地址空间,以新线程形式运行或者只是修改宿主进程,截获宿主进程的网络系统调用。 - 后门和木马的异同点
同:均隐藏在用户系统中向外发送信息,而且本身具有一定的权限,便于远程计算机对本机控制。
异:木马相对独立、完整且功能强大;后门不独立存在,体积小,功能单一。 - 木马和后门的防范方法
技术手段:运行实时监控程序,如防火墙、防病毒软件;端口扫描;查看连接。
安全意识:不随意打开来历不明的邮件和软件;及时修补漏洞和关闭可疑的端口;尽量少用共享文件夹;升级系统和更新病毒库。 - 蜜罐技术:一种攻击欺骗手段或工具,用以模拟正常系统,诱导攻击者实施攻击,收集攻击信息。作用意义:学习和研究攻击、改进防御能力、吸引攻击火力,迟滞延缓对实际系统的攻击。功能组件:系统模拟、数据收集、连接控制。
1138
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
