第10章网络中的安全问题.ppt

《第10章网络中的安全问题.ppt》由会员分享，可在线阅读，更多相关《第10章网络中的安全问题.ppt（95页珍藏版）》请在三一办公上搜索。

1、第10章 网络中的安全问题,10.1网络安全概述 10.2 IP欺骗10.3端口扫描,10.4网络监听10.5拒绝服务攻击10.6 特洛伊木马实训项目,10.1网络安全概述,TCP/IP是目前Internet使用的协议。TCP/IP存在着一系列的安全缺陷。有的缺陷是由于源地址的认证问题造成的，有的缺陷则来自网络控制机制和路由协议等。这些缺陷，是所有使用TCP/IP的系统所共有的.,10.1.1 TCP序列号预计 TCP序列号预计由莫里斯首先提出，是网络安全领域中最有名的缺陷之一。这种攻击的实质，是在不能接到目的主机应答确认时，通过预计序列号建立连接。这样，入侵者可以伪装成信任主机与目的主机通话

2、,10.1.2 路由协议缺陷(1)源路由选项的使用(2)伪造ARP包(3)RIP的攻击(4)OSPF的攻击,(1)源路由选项的使用 在IP包头中的源路由选项用于该IP包的路由选择，这样，一个IP包可以按照预告指定的路由到达目的主机。对于Cisco路由器，禁止源路由包可通过命令：no ip source-route实现。,(2)伪造ARP包 伪造ARP包是一种很复杂的技术，涉及到TCP/IP及以太网特性的很多方面。伪造ARP包的主要过程是，以目的主机的IP地址和以太网地址为源地址发一ARP包，这样即可造成另一种IP spoof。,(3)RIP的攻击 如果入侵者宣布经过自己的一条通向目的主机的路由

3、，将导致所有往目的的主机数据包发往入侵者。这样，入侵者就可以冒充是目的主机，也可以监听所有目的主机的数据包，甚至在数据流中插入任意的包。,解决上述问题的方法是：注意路由的改变信息。一个聪明的网关可以有效地摈弃任何明显错误的路由信息。RIP的认证、加密也是一种较好的方法。,(4)OSPF的攻击 OSPF（Open Shortest Path First）协议是用于自治域内部的另一种路由协议。OSPF协议使用的路由算法是链路状态（Link-State）算法。在该算法中，每个路由器给相邻路由器宣布的信息是一个完整,的路由状态，包括可到达的路由器，连接类型和其他相关信息。和RIP相比，虽然OSPF协议

4、中实施了认证过程，但是该协议还存在着一些安全的问题。,10.1.3 网络监听 如果有一个网络设备专门收集广播而决不应答，那么，它就可以看到本网的任何计算机在网上传输的数据。如果数据没有经过加密，那么它就可以看到所有的内容。Sniffer就是一个在以太网上进行监听的专用软件。监听这个现象对网络的安全威胁是相当大的，因为它可以做到以下几点:,（1）抓到正在传输的密码。（2）抓到别人的秘密（信用卡号）或不想共享的东西。（3）暴露网络信息。,10.2 IP欺骗,10.2 IP欺骗原理1、信任关系2、Rlogin3、TCP序列号预测4、序列编号、确认和其他标志信息5、IP欺骗6、IP欺骗的防止,1、信任

5、关系 信任关系是基于IP地址的。2、Rlogin Rlogin允许用户从一台主机登录到另一台主机上，并且，如果目标主机信任它，Rlogin将允许在不应答口令的情况下使用目标主机上的资源。安全验证完全是基于源主机的IP地址。,3、TCP序列号预测 可以对IP堆栈进行修改，在源地址和目的地址中放入任意满足要求的IP地址，也就是说，提供虚假的IP地址。,4、序列编号、确认和其他标志信息 TCP序列号预测最早是由Morris对这一安全漏洞进行阐述的。它使用TCP序列号预测，即使没有从服务器得到任何响应也能产生一个TCP包序列，这使得它能欺骗在本地网络上的主机。,5、IP欺骗IP欺骗由若干步骤组成：（1

6、）使被信任主机丧失工作能力 一旦发现被信任的主机，为了伪装成它，往往使其丧失工作能力。由于攻击者将要代替真正的被信任主机，攻击者必须确保真正被信任的主机不能接收到任何有效的网络数据，否则将会被揭穿。有许多方法可以做到这些。,（2）序列号取样和猜测 要对目标主机进行攻击，必须知道目标主机使用的数据包序列号。一个和这种TCP序列号攻击相似的方法是使用NETSTAT服务。在这个攻击中，入侵者模拟一个主机关机。如果目标主机上有NETSTAT，它能提供在另一端口上必须的序列号。这取消了所有要猜测的必要。,6、IP欺骗的防止（1）抛弃基于地址的信任策略阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的

7、验证。不允许 r*类远程调用命令的使用；删除.rhosts 文件；清空/etc/hosts.equiv 文件。这将迫使所有用户使用其他远程通信手段，如telnet、ssh、skey等等。,（2）进行包过滤如果网络是通过路由接入Internet的，那么可以利用路由器来进行包过滤。确信只有您的内部LAN可以使用信任关系，而内部LAN上的主机对于LAN以外的主机要慎重处理。您的路由器可以帮助您过滤掉所有来自于外部而希望与内部建立连接的请求。,（3）使用加密方法阻止IP欺骗的另一种明显的方法是在通信时要求加密传输和验证。当有多种手段并存时，可能加密方法最为适用。（4）使用随机化的初始序列号黑客攻击得以

8、成功实现的一个很重要的因素，就是序列号不是随机选择的或者随机增加的。,10.3端口扫描,10.3.1 端口扫描简介 扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用它，能够扫描TCP端口，并记录反馈信息，可以不留痕迹地发现远程服务器中各种TCP端口的分配、提供的服务和它们的软件版本。这就能直观地或间接地了解远程主机存在的安全问题。,10.3.2端口扫描的原理 最简单的端口扫描程序仅仅是检查一下目标主机在哪些端口可以建立TCP连接，如果可以建立连接，则说明该主机在那个端口监听。当然，这种端口扫描程序不能进一步确定端口提供什么样的服务，也不能确定该服务是否有众所周知的那些缺陷。,下面介

9、绍入侵者们如何利用上述这些信息，来隐藏自己的端口扫描:1、TCP connect()扫描2、TCP SYN扫描,3、TCP FIN扫描4、Fragmentation 扫描5、UDP recfrom()和write()扫描6、ICMP扫描,1、TCP connect()扫描TCP connect()是最基本的一种扫描方式。使用系统提供的connect()系统调用建立与目标主机端口的连接。如果端口正在监听，connect()就成功返回；否则，说明该端口不可访问。,2、TCP SYN扫描一个RST响应表明该端口没有被监听。如果收到一个SYN/ACK，则通过立即发送一个RST来关闭连接。这样做的好处是

10、极少有主机来记录这种连接请求。不利之处在于，必须有超级用户权限才能建立这种可配置的SYN数据包。,3.TCP FIN扫描 基本思想是关闭的端口将会用正确的RST来应答发送的FIN数据包；相反，打开的端口往往忽略这些请求。这是一个TCP实现上的错误，也不是所有的系统都存在这类错误，因此，并不是100有效。,4、Fragmentation 扫描Fragmentation扫描并不是仅仅发送探测的数据包，而是将要发送的数据包分成一组更小的IP包。通过将TCP包头分成几段，放入不同的IP包中，使得包过滤程序难以过滤。,5.UDP recfrom()和write()扫描没有root 权限的用户不能直接得到

11、端口不可访问的错误，但是Linux可以间接地通知用户。,6、ICMP扫描ICMP扫描并不是一个真正的端口扫描，因为ICMP并没得到端口的信息。然而，用PING这个命令，通常可以得到网上目标主机是否正在运行的信息。,10.3.3端口扫描的工具1、NSSNSS，即网络安全扫描器，是一个非常隐蔽的扫描器。如果用流行的搜索程序搜索它，所能发现的入口不超过20个。这并非意味着NSS使用不广泛，而是意味着多数有该扫描器的FTP的站点处在暗处，或无法通过WWW搜索器找到它们。,2.SATANSATAN的英文全称为Security Administrator Tool for Analyzing Networ

12、ks，即安全管理员的网络分析工具。SATAN是一个分析网络的安全管理、测试与报告工具。它用来收集网络上主机的信息，可以识别并且自动报告与网络相关的安全问题。,3.StrobeStrobe是一个超级优化TCP端口检测程序，能快速地识别指定机器上正运行什么服务，用于扫描网络漏洞。它可以记录指定机器的所有开放端口。Strobe运行速度很快，它的主要特点是能快速识别指定机器上正在运行什么服务,10.4网络监听,10.4.1网络监听的原理 网络监听工具是提供给管理员的一类管理工具。这种工具本来是用来管理网络，监视网络的状态、数据流动情况以及网络上传输的信息的。但是，由于它能有效地截获网上的数据，因此也成

13、了网上黑客使用最多的方法,1、监听的可能性网络监听是黑客们常用的一种方法。当黑客成功地登录到一台网络上的主机，并取得这台主机超级用户的权限之后，往往要扩大战果，尝试登录或者夺取网络中其他主机的控制权。而网络监听则是一种最简单而且最有效的方法，它常常能轻易地获得用其他方法很难获得的信息。,在网络上，监听效果最好的地方是网关、路由器和防火墙。监听最方便的地方是以太网中任何一台上网的主机，这是大多数黑客的做法,2、以太网中可以监听的原因以太网协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包含着应该接收数据包的主机的正确地址。因此，只有与数据包中目标地址,一致的那台主机才能接收数据

14、包。但是，当主机工作在监听模式下，那么，无论数据包中的目标物理地址是什么，主机都将接收。,10.4.2网络监听的检测1、简单的检测方法网络监听是很难被发现的。运行网络监听的主机只是被动地接收在局域网上传输的信息，并没有主动的行动，既不会与其他主机交换信息，也不会修改在网上传输的信息包。这一切决定了网络监听的检测是非常困难的。,(1)方法一对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处于监听状态的机器能接收，如果他的IP stack不再次反向检查，就会响应。这种方法依赖于系统的IP stack，对一些

15、系统可能行不通,(2)方法二往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，会导致性能下降。通过比较前后该机器性能（icmp echo delay等方法）加以判断。这种方法难度比较大。,一个比较可行的检查监听程序的办法是搜索所有主机上运行的进程。当然，这几乎是不可能的。但是至少管理员可以确定是否有一个进程被从管理员机器上启动。在不同平台上执行这个操作的命令是,不同的。那些使用Dos、Windows for workgroup或者 Windows95的机器很难做到这一点。而使用UNIX和Windows NT/2000的机器可以很容易地得到当前进程的清单。,2、对付一个监听击败一个监听

16、程序的攻击并不十分困难。用户有多种选择，而最终采用哪一种取决于用户真正想做什么，剩下的就取决于运行时的开销了。,3、其他防范监听的办法一般能够接受的击败网络监听的方法是使用安全的拓扑结构。这种技术通常被称为分段技术。将网络分成一些小的网络，每一网段的集线器连接到一个交换机上(Switch)，因为网段是硬件连接的，因而包只能在该子网的网段之内被监听工具截获。这样，网络中剩余的部分（不在同一网段的部分）就被保护了,4、ifstatus工具 Ifstatus的开发者是Dave Curry。Ifstatus运行的UNIX操作系统中，它可以识别出系统的网络接口是否正处于调试状态或者说监听状态下。当网络接

17、口运行在这种模式下，很可能是一个入侵者侵入了系统，正在运行一个监听程序，用来截获在网络上传送的口令和其他明文形式的信息。,网络监听是网络管理很重要的一个环节，同时也是黑客们常用的一种方法。事实上，网络监听的原理和方法是广义的，例如路由器也是将传输中的包截获，进行分析并重新发送出去。许多的网络管理软件都少不了监听这一环节。而网络监听工具只是这一大类应用中的一个小的方面。对网上传输的信息进行加密，可以有效地防止网络监听的攻击,10.5拒绝服务攻击,10.5.1概述拒绝服务，即Denial of Service，简称DoS，从因特网诞生以来就伴随着因特网的发展而一直存在，并不断地发展和升级。由于它的

18、不易识别和察觉性以及简易性，因而一直是困扰网络安全的重大隐患。,拒绝服务是一种简单的破坏性攻击，通常攻击者利用TCP/IP中的某个漏洞，或者系统存在的某些漏洞，对目标系统发起大规模的攻击，使得攻击目标失去工作能力，使得系统不可访问因而合法用户不能及时得到应得的服务或系统资源，如CPU处理时间与存储器等。它最本质的特征是延长正常的应用服务的等待时间。主要表现为以下几个方面：,(1)企图湮灭一个网络，中断正常的网络流量；(2)企图破坏两个机器之间的连接，禁止访问可用服务；(3)企图阻止某一特定用户对网络上服务的访问；(4)企图破坏一个特定系统或使其不能提供正常访问,10.5.2 拒绝服务攻击的原理

19、1、拒绝服务的模式拒绝服务有很多分类方法，按照入侵方式，拒绝服务可以分为资源消耗型，配置修改型，物理破坏型以及服务利用型。(1)资源消耗型资源消耗型拒绝服务是指入侵者试图消耗目标的合法资源，例如网络带宽、内存和磁盘空间以及CPU使用率，从而达到拒绝服务的目的。,(2)配置修改型 计算机配置不当可能造成系统运行不正常甚至根本不能运行。入侵者通过改变或者破坏系统的配置信息来阻止其他合法用户来使用计算机和网络提供的服务，主要有以下几种：改变路由信息；修改Windows NT注册表；修改UNIX的各种配置文件,(3)物理破坏型物理破坏型拒绝服务主要针对物理设备的安全，入侵者可以通过破坏或改变网络部件以

20、实现拒绝服务。(4)服务利用型利用入侵目标的自身资源实现入侵意图，由于被入侵系统具有漏洞和通信协议的弱点，这给了入侵者提供了入侵的机会,2、拒绝服务常用方法(1)死亡之Ping(Ping of Death)原理Ping入侵是通过向目标端口发送大量超大尺寸的ICMP包来实现的。防御这种方式主要是针对Windows 9X操作系统的，而UNIX、Linux、Solaris与Mac等大多数操作系统都具有抵抗一般Ping of Death入侵的能力,(2)Teardrop原理链路层具有最大传输单元MTU这个特性，它限制了数据帧的最大长度，不同的网络类型都有一个上限值。以太网的MTU是1500，可以用ne

21、tstati命令查看这个值。如果IP层有数据包要传，而且数据包的长度超过了MTU，,那么IP层就要对数据包进行分片操作，使每一片的长度都小于或等于MTU。每一IP分片都各自路由，到达目的主机在IP层重组，IP首部中的数据能够正确完成分片的重组。若在IP分组中指定一个非法的偏移值，将可能造成某些协议软件出现缓冲区覆盖，导致系统崩溃。,防御Windows操作系统应打上最新的 Service Pack,目前的Linux内核已经不受影响；如果可能，应在网络边界上禁止碎片包通过，或者用iptables限定每秒通过碎片包的数目；如果防火墙有重组碎片的功能，应确保自身的算法没有问题，否则拒绝服务就会影响整个

22、网络；在Windows 2000操作系统中，可以自定义IP安全策略并设置碎片检查,(3)Land原理Land是由著名黑客组织RootShell发现的，原理比较简单，就是向目标机发送源地址与目的地址一样的数据包，造成目标机解析Land包占用太多资源，从而使网络功能完全瘫痪。,防御打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有源地址是内部地址的数据包过滤掉,(4)Smurf原理这种方法结合了使用了IP欺骗和ICMP回复方法，使大量网络传输充斥目标系统，导致目标系统拒绝为正常系统服务。,防御可以分别在源站点、中间站点和目标站点采取下列步骤，以限制Smurf入侵。阻塞Smurf入侵的

23、源头阻塞Smurf的中间站点防止Smurf入侵目标站点,(5)Ping Flood原理当黑客伪装成被入侵主机向一个广播地址发送ping请求时，所有这个广播地址内的主机都会回应这个 Ping请求（当然是回应入侵主机，人人都认为是它Ping的）。这样，相当于n倍的入侵力度（n广播地址内回应Ping包的主机数量）。,防范关闭broadcast广播功能；实行包过滤（packet filtering）；关闭ICMP Echo Reply功能。,(6)SYN Flood原理正常的一个TCP连接需要连接双方进行“3次握手”，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYNACK应

24、答报文后是无法收到客户端的ACK报文的（第三次握手无法完成）。,防范第一种是缩短SYN Timeout的时间，第二种方法是设置SYN Cookie，,(7)UDP Flood原理如果恶意入侵者将两个UDP服务互指，则网络可用带宽会很快耗尽。,防范对于UDP Flood入侵，防火墙只能通过避免数据报文的回应来减少服务器的负荷，而无法避免网络的拥塞。对于网络拥塞的问题，则需要相关的路由器和交换机等网络基础设施的配合。,10.6特洛伊木马,特洛伊木马程序并不是一种病毒，因为它不具有病毒的可传染性、自我复制能力等特性，但是特洛伊木马程序具有很大的破坏力和危害性。这一节里主要介绍特洛伊木马的基本概念、原

25、理以及如何预防和清除特洛伊木马。,10.6.1特洛伊木马程序简介所谓特洛伊木马程序，是指以下几种情况之一一种未经授权的程序，它包含在一段正常的程序当中。这个未经授权的程序提供了一些用户不知道（也可能是不希望实现的）的功能。,一段合法的程序，但是它的功能已经被安装在其中的未经授权的代码改变了。这些代码提供了一些用户不知道的（也可能是不希望实现的）功能。,任何一段程序，似乎是提供了一系列合乎用户需要的功能，但是由于在其中包含了一些用户不知道的未经授权的代码，使得该程序有一些不为用户所知道（也可能是不希望实现的）功能,10.6.2 特洛伊木马程序程序的位置和危险 级别 特洛伊木马程序代表了一种很高级

26、别的威胁危险，主要是有以下几个原因。特洛伊木马程序很难被发现。在许多情况下，特洛伊木马程序是在二进制代码中发现的，它们大多以无法阅读的形式存在。特洛伊木马程序可以作用于许多机器中,10.6.3 特洛伊木马的类型根据特洛伊木马的不同特点，大致可以分为以下几种类型 1、远程访问型特洛伊木马2、密码发送型特洛伊木马3、键盘记录型特洛伊木马4、毁坏型特洛伊木马5、FTP型特洛伊木马,1、远程访问型特洛伊木马这种特洛伊木马是现在使用最广泛的特洛伊木马。它可以访问其他用户的硬盘。2、密码发送型特洛伊木马这种特洛伊木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。,3、键盘记

27、录型特洛伊木马这种特洛伊木马是非常简单的。它们只做一种事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。4、毁坏型特洛伊木马这种特洛伊木马的惟一功能是毁坏并且删除文件，这使它们非常简单，并且很容易被使用。,5、FTP型特洛伊木马这种特洛伊木马将打开用户机器的端口21，使每一个人都有一个FTP客户端可以不用密码就连接到用户的机器，并且会有安全的上传和下载选项。,10.6.4特洛伊木马的检测1、检测的基本方法 对于特洛伊木马程序的检测方式与用户的安全需求和安全级别有关。如果用户比较重要或敏感的数据放在服务器上（一般建议不要这样做），则可能需要采取比较严格的检测措施。如果在服务器上没有这些信

28、息，或者用户数据是可以部分共享的，那么采取一般的简单检测措施即可。,2、检测工具MD5 有一些对付特洛伊木马程序的方法，其中之一就是数字签名技术，用来保护已有的程序不被更换，这需要计算现有的每个文件的数字指纹（数字签名），通过文件加密的方法和解密验证来检查文件的变化。这是由一些算法来实现的，其中最常用的是MD5算法,10.6.5特洛伊木马的防范1、特洛伊木马的基本工作原理(1)在任务栏中隐藏自己，这时最基本的解决办法是把Form的Visible属性设为False,ShowInTackBar属性设为False，程序运行时就不会出现在任务栏中了。,(2)在任务管理器中隐形：将程序设为“系统服务”可

29、以很轻松地伪装自己。特洛伊木马程序悄无声息地启动，而不是在用户每次启动后点击特洛伊木马图标才运行服务端程序。特洛伊木马程序会在每次用户,启动时自动装载服务端，它可以充分利用Windows操作系统启动时自动加载应用程序的方法，例如，启动组、win.ini、system.ini与注册表等都是特洛伊木马藏身的好地方,2、清除特洛伊木马的一般方法知道了特洛伊木马的工作原理，查杀就变得很容易。如果发现有特洛伊木马存在，首要的一点是立即将计算机与网络断开，防止黑客通过网络对用户计算机所进行的攻击。,在对付特洛伊木马程序方面，综合起来，有以下几种办法和措施:(1)提高防范意识.在打开或下载文件之前，一定要确

30、认文件的来源是否可靠。(2)多读readme.txt文件。,(3)使用杀毒软件。现在的杀毒软件都推出了清除特洛伊木马的功能，如KV2003、金山毒霸2003和瑞星2003等，可以不定期地在脱机的情况下进行检查和清除。,(4)立即挂断。当用户在网上冲浪时，尽管造成上网速度突然变慢的原因有很多，但有理由怀疑这是由特洛伊木马造成的，当入侵者使用特洛伊木马的客户端程序访问用户的计算机时，会与用户,的正常访问抢占带宽，然别是当入侵者从远端下载用户硬盘上的文件时更是明显。这时应该立即断开网络连接，然后对硬盘有无特洛伊木马进行认真的检查。,(5)观察目录。用户应当经常观察位于c:,c:windows和 c:

31、windowssysterm这3个目录下的文件。用“记事本”逐一打开c:目录下的非执行类文件（除.exe、.bat、.com以外的文件）查看是否发现特洛伊木马与击键程序的,记录文件；在c:windows或 c:windowssysterm下如果有只有文件名没有图标的可执行程序，则应该把它们删除，然后再用杀毒软件进行认真的检查。,(6)再删除特洛伊木马之前，最重要的一项工作是备份文件和注册表，备份注册表的目的是防止系统崩溃；备份认为是特洛伊木马的文件的目的是，如果此文件不是特洛伊木马就可以恢复，如果是特洛伊木马就可以对其进行分析。需要注意的是，对不同的特洛伊木马有不同的清除方法,实训项目,1实训

32、目的了解黑客的常见攻击手段。2实训环境能够上互联网的机房。,3实训内容从黑客网站下载常见的攻击程序，对各种攻击进行记录，区分什么是IP欺骗、什么是拒绝服务攻击和什么是网络监听攻击，分析如何对这些攻击进行防范。,练习题,(1)端口扫描分为哪几类？它的原理是什么？有哪些端口扫描工具？(2)什么网络监听？对付网络监听有哪些方法？(3)什么是IP地址欺骗？IP电子欺骗的原理与特征有哪些？IP电子欺骗有哪几步？,(4)什么拒绝服务攻击？DoS有哪几种模式？有哪些常见的DoS攻击方法？(5)什么是分布式拒绝服务攻击？DDoS的体系结构是什么？怎样对付DDoS？(6)什么是特洛伊木马，它与病毒有什么区别？它有哪几种危险级别？防范特洛伊木马有哪些方法？,