信息对抗技术-绪论.ppt

信息对抗技术 韩 宏 网络攻防绪论 n网络安全现状堪忧 当今网络不断普及和信息化不断推广渗 透的背景下，黑客入侵已经严重影响到 各个领域的工作。 （一）网络攻击呈现的趋势 攻击自动化 攻击人员组织化和非技术化 攻击目标多样化 攻击的协同化 攻击的智能化 普遍泛滥的拒绝服务攻击 攻击的主动性 （二）网络攻击的分类 按攻击目标的分类主要包括以下几种 （1）攻击信息保密性 （2）攻击信息完整性 （3攻击服务的可用性 （1）攻击保密性 n网络监听：通过网络监听能够获得许多 信息。因为我们一般局域网是以太网， 具有广播的性质，所以，只要将网卡设 定为混杂模式就可以接受网络上所有的 报文。 一般我们会用一个库libpcap来抓包，这 是unix上的一个库，其windows版本也可 以获得叫winpcap. n一个盗看email的例子 因为email使用的smtp协议是不加密的， 所以可以通过监听，获取其中的内容。 我们只需要用sniffer去抓包，然后将包含 口令的报文找出来，这时口令是明文方 式存放的，那么我们就可以用别人的身 份去check mail了。 n社会工程 这是最被一般人忽略，但实际很有效的一 种方法，比如，从废纸中收集重要信息 ，假冒权威机构发送信息，骗取密码等 等。 保密的最大强度就是所涉及环节中最弱环 节的保密强度，而社会工程往往成为最 薄弱的环节。甚至可能买了防火墙，却 从来不配置，密码用非常简单的等等 n一次亲历的密码问题 我曾经中过一次病毒，每次删除后又有， 后来到网上查询，发现该病毒是猜测用 户的口令，然后再网络上传递。当时我 的口令已经是10个字符，但可能规律了 一点，当我重新修改为16个字符后，该 病毒就销声匿迹了。 nIp spoof 假冒某个IP或者网站诱惑被攻击者。比如 可以假冒某银行的网站，或做的和真正 的差不多，域名也有混淆性，比如， 和 。这样用户如果真 的登陆并输入密码，他可以报一个服务 器错误麻痹你，但是却获得了重要信息 n电子信息拦截 比如，可以在街上就能通过捕获显示器上 微弱的辐射，重现上面的图像。 手机可以监听，无线网可以监听等等 （2）攻击信息的完整性 n信息完整性是防止未经授权修改信息， 比如我们平常的口令保护就是维护完整 性的手段。 身份认证攻击 密码猜测 口令盗窃 攻击协议实现/设计缺陷 中继攻击 会话劫持 把别人的会话霸占，然后攻击者继续被劫 持的会话。典型的例子是tcp劫持，可以 参考hunt这个程序，他可以劫持telnet. 程序异常输入 n这里包括缓冲区溢出攻击，sql攻击等， 以最简单的SQL攻击为例，可以比较容易 的绕过口令的限制 比如，我们写sql时，可能在验证身份 时，初学者会写出如下代码： “select . Where _password = ” + password + “ and _userid =” + userid + “”; n这里的_password时字段名字，而password 是从界面获得的用户输入的口令,本来是要比 较用户的口令是否为设定值，但如果攻击者 输入的是or 1=1 - select where _password= or 1=1 - 后门程序 n就是在系统上悄悄安放的程序，可以监 测系统活动情况，可以避开被攻击者的 检查，对被控系统为所欲为。 国内比较著名的是冰河。 n最强力攻击是溢出攻击 因为它直接入侵到对方的主机和服务器。当 攻击者以根权限入侵到你的主机，他就几乎 可以为所欲为了。 什么是溢出攻击呢？就是向有问题的服务程序 发送一段特别构建的超长字符串，使得被攻 击程序把它当作代码执行，最直接的作用就 是获得一个远程shell,如同telnet （3）攻击网络可用性 n简单地讲，就是使正常可以使用的服务 ，无法使用 n消耗网络带宽 主要的Dos攻击都是这种类型，比如ping 洪水，smurf，tcp半开连接洪水攻击， 分布式拒绝服务攻击DDos。 n一个email断尾攻击的故事 一个月使得信息中心多付出10多万的 费用作为出国流量费。 n消耗磁盘空间 故意制造出错信息，造成系统日志消耗大 量空间 n垃圾邮件 n消耗cpu和内存资源 比如早期的winNT上有一个泪滴攻击就是 使cpu利用率达到100%。 n网络蠕虫 这是一个综合体，主要是消耗带宽，也破 坏主机系统。最大的特色就是能自己在 网络中传播。它是多种技术的综合体， 关键部分是溢出攻击。 网络防御技术的分类 n针对攻击技术攻击的三个部分防御技术 也是有的放矢。 针对保密性： 加密/认证技术 社会工程，加强保密教育 防电子信息泄漏 防止网络侦听 n针对完整性 完善的认证机制 基于不同策略的溢出攻击检查和防护 文件完整性检查 后门监测工具 容错系统，灾难恢复系统 n针对普遍的攻击手段 防火墙（防止了可用性攻击，也防止了一部分 网络泄密） 入侵检测系统，又针对特殊攻击，也有针对普 遍攻击的入侵发现系统 漏洞探测系统，一方面被应用于入侵，一方面 也用于防护，提前发现漏洞加以改善。 审计系统，用于事后分析，发现问题 蜜罐系统，诱骗攻击者，并分析其攻击手段 攻击的流程 n一般分为以下几个步骤： 扫描：发现网络拓扑结构，可用端口服务，漏 洞检测。 入侵服务，获得根权限：寻找到弱点后，通过 ，口令猜测、溢出攻击利用等不同手段获得根 权限。 收集所需信息，安装后门：在收集了相关信息 后，安装后门，供未来再次入侵作准备。 离开系统，隐藏痕迹：将可能纪录入侵的痕迹擦 除。 n根据攻击目的的不同，有些步骤会有差 异： 例如，获取根权限，可以不通过扫描然后 溢出攻击完成，而可以通过诱骗被攻击 者安放特洛伊木马完成。 例如：openssl的下载网站被攻陷后，有 人将加入了后门的源代码放在网站上， 那么下载后，使用这些代码的程序就成 了后门 n又比如，为了发起拒绝服务攻击，攻击 者在被攻击者上安装拒绝服务的软件， 然后发起分布式拒绝服务攻击 一个攻击servU的例子 n首先扫描被攻击主机，发现相关服务。 n发现有21端口，可以尝试连接，根据回 复字符串判定服务器的类型。 n发现是servU，尝试用相关漏洞利用工具 。可以用servux。这里我们用一个自己 写的小程序来在被攻击机器上打开一个 本地shell并结束servU服务器。 网络防护的基本框架 入侵检测子系统 目标网络 防御子系统 入侵反击子系统 入侵告急子系统 入侵响应子系统 外部攻击 响应 反击 预防子系统内部攻击 处罚 内部网络 网络防御系统体系结构 效能评估子系统 Net Firewall Sensor Firewall response loop Network Sensor Sensor Trusted computer Sensor Sensor Modem Level1 event Level2 situation Level3 impact Threat template database Audit database Audits Level 4 incident response Remote warning Incident response sytem Control to All compoent Event correlation Incident detection and classify Structured attack detection Network situation Assessment Risk assess Alert level