版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
10.1平安威逼分析10.1.1入侵行为分析怎样才算是受到了黑客的入侵和攻击呢?狭义的定义认为:攻击仅仅发生在入侵行为完成且入侵者已经在其目标网络中。广义的定义认为:使网络受到入侵和破坏的全部行为都应被称为“攻击”。本书接受广义的定义,即认为当入侵者试图在目标机上“工作”的那个时刻起,攻击就已经发生了。下面我们从以下几个方面对入侵行为进行分析:(1)入侵目的执行过程获得文件和数据获得超级用户权限进行非授权操作运用系统拒绝服务篡改信息披露信息(2)实施入侵的人员伪装者:未经授权运用计算机者或者绕开系统访问机制获得合法用户账户权限者。违法者:未经授权访问数据库、程序或资源的合法用户,或者是具有访问权限错误运用其权利的用户。隐私用户:拥有账户管理权限者,利用这种机制来躲避审计和访问数据库,或者禁止收集审计数据的用户。(3)入侵过程中的各个阶段和各个阶段的不同特点窥探设施顾名思义也就是对环境的了解,目的是要了解目标接受的是什么操作系统,哪些信息是公开的,有何价值等问题,这些问题的答案对入侵者以后将要发动的攻击起着至关重要的作用。攻击系统在窥探设施的工作完成后,入侵者将依据得到的信息对系统发动攻击。攻击系统分为对操作系统的攻击、针对应用软件的攻击和针对网络的攻击三个层次。掩盖踪迹入侵者会想方设法的避开自己被检测出来。10.1.2平安威逼分析计算机面临的平安威逼有来自计算机系统外部的,也有来自计算机系统内部的。来自计算机系统外部的威逼主要有:自然灾难、意外事故;计算机病毒人为行为,比如运用不当、平安意识差等;“黑客”行为:由于黑客的入侵或侵扰,比如非法访问、拒绝服务、非法连接等;内部泄密外部泄密信息丢失电子谍报,比如信息流量分析、信息窃取等;信息战;计算机系统内部存在的平安威逼主要有:操作系统本身所存在的一些缺陷;数据库管理系统平安的脆弱性;管理员缺少平安方面的学问,缺少平安管理的技术规范,缺少定期的平安测试与检查;网络协议中的缺陷,例如TCP/IP协议的平安问题;应用系统缺陷,等等;在此,我们关注的重点是来自计算机系统外部的黑客的攻击和入侵。攻击的分类方法是多种多样的。这里依据入侵者运用的方式和手段,将攻击进行分类。口令攻击反抗入侵者的第一道防线是口令系统。几乎全部的多用户系统都要求用户不但供应一个名字或标识符(ID),而且要供应一个口令。口令用来鉴别一个注册系统的个人ID。在实际系统中,入侵者总是试图通过揣测或获得口令文件等方式来获得系统认证的口令,从而进入系统。入侵者登陆后,便可以查找系统的其他平安漏洞,来得到进一步的特权。为了避开入侵者轻易的揣测出口令,用户应避开运用担忧全的口令。有时候即使好的口令也是不够的,尤其当口令须要穿过担忧全的网络时将面临极大的危急。很多的网络协议中是以明文的形式传输数据,假如攻击者监听网络中传送的数据包,就可以得到口令。在这种状况下,一次性口令是有效的解决方法。拒绝服务攻击拒绝服务站DOS(DenialofServices)使得目标系统无法供应正常的服务,从而可能给目标系统带来重大的损失。值得关注的是,现实状况中破坏一个网络或系统的运行往往比取得访问权简洁得多。像TCP/IP之类的网络互联协议是依据在彼此开放和信任的群体中运用来设计的,在现实环境中表现出这种理念的内在缺陷。此外,很多操作系统和网络设备的网络协议栈也存在缺陷,从而减弱了反抗DOS攻击的实力。下面介绍4种常见的DOS攻击类型及原理。(1)带宽耗用(bandwidth-consumption):其本质是攻击者消耗掉通达某个网络的全部可用带宽。(2)资源耗竭(resource-starvation):一般地说,它涉及诸如CPU利用率、内存、文件系统限额和系统进程总数之类系统资源的消耗。(3)编程缺陷(programmingflaw):是应用程序、操作系统或嵌入式CPU在处理异样文件上的失败。(4)路由和DNS攻击:基于路由的DOS攻击涉及攻击者操纵路由表项以拒确定合法系统或网络供应服务。利用型攻击利用型攻击是一种试图干脆对主机进行限制的攻击。它有两种主要的表现形式:特洛伊木马和缓冲区溢出。(1)特洛伊木马:表面看是有用的软件工具,而事实上却在启动后暗中安装破坏性的软件。(2)缓冲区溢出攻击(BufferOverflow):通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行一段恶意代码,以达到攻击的目的。信息收集型攻击信息收集型攻击并不干脆对目标系统本身造成危害,它是为进一步的入侵供应必需的信息,这种攻击手段大部分在黑客入侵三部曲中的第一步—窥探设施时运用。
假消息攻击攻击者用配备不正确的消息来欺瞒目标系统,以达到攻击的目的。常见的假消息攻击形式有以下几种。(1)电子邮件欺瞒:对于大部分一般因特网用户来说,电子邮件服务是他们运用的最多的网络服务之一。常见的通过电子邮件的攻击方法有:隐藏发信人的身份,发送匿名或垃圾信件;运用用户熟悉的人的电子邮件地址骗取用户的信任;通过电子邮件执行恶意的代码。(2)IP欺瞒:IP欺瞒的主要动机是隐藏自己的IP地址,防止被跟踪。(3)Web欺瞒:由于Internet的开放性,任何用户都可以建立自己的Web站点,同时并不是每个用户都了解Web的运行规则。常见的Web欺瞒的形式有:运用相像的域名;改写URL、Web会话挟持等。(4)DNS欺瞒:修改上一级DNS服务记录,重定向DSN恳求,使受害者获得不正确的IP地址平安扫描技术概论平安扫描技术是指手工的或运用指定的软件工具----平安扫描器,对系统脆弱点进行评估,找寻对系统扫成损害的平安漏洞。扫描可以分为系统扫描和网络扫描两个方面,系统扫描侧重主机系统的平台平安性以及基于此平台的系统平安性,而网络扫描则侧重于系统供应的网络应用和服务以及相关的协议分析。扫描的目的
扫描的主要目的是通过确定的手段和方法发觉系统或网络存在的隐患,以利于己方刚好修补或发动对敌方系统的攻击。同时,自动化的平安扫描器要对目标系统进行漏洞检测和分析,供应具体的漏洞描述,并针对平安漏洞提出修复建议和平安策略,生成完整的平安性分析报告,为网路管理完善系统供应重要依据。平安扫描器的类型平安扫描其主要有两种类型:(1)本地扫描器或系统扫描器:扫描器和待检系统运行于统一结点,进行自身检测。(2)远程扫描器或网络扫描器:扫描器和待检查系统运行于不同结点,通过网络远程探测目标结点,找寻平安漏洞。(3)网络扫描器通过网络来测试主机平安性,它检测主机当前可用的服务及其开放端口,查找可能被远程试图恶意访问者攻击的大量众所周知的漏洞,隐患及平安脆弱点。甚至很多扫描器封装了简洁的密码探测,可自设定规则的密码生成器、后门自动安装装置以及其他一些常用的小东西,这样的工具就可以称为网络扫描工具包,也就是完整的网络主机平安评价工具[比如鼻祖SATAN和国内最负盛名的流光(4).系统扫描器用于扫描本地主机,查找平安漏洞,查杀病毒,木马,蠕虫等危害系统平安的恶意程序,此类非本文重点,因此不再祥细分析
(5).另外还有一种相对少见的数据库扫描器,比如ISS公司的DatabaseScanner,工作机制类似于网络扫描器,主要用于检测数据库系统的平安漏洞及各种隐患。扫描技术工具信息收集是入侵及平安状况分析的基础,传统地手工收集信息耗时费劲,于是扫描工具出现了,它能依照程序设定自动探测及发掘规则内的漏洞,是探测系统缺陷的平安工具。扫描器主要功能(1)端口及服务检测
检测目标主机上开放端口及运行的服务,并提示平安隐患的可能存在与否(2)后门程序检测
检测PCANYWAYVNCBO2K冰河等等远程限制程序是否有存在于目标主机(3)密码探测
检测操作系统用户密码,FTP、POP3、Telnet等等登陆或管理密码的脆弱性(4)D.o.S探测
检测各种拒绝服务漏洞是否存在(5)系统探测
检测系统信息比如NT注册表,用户和组,网络状况等(6)输出报告
将检测结果整理出清单报告给用户,很多扫描器也会同时提出平安漏洞解决方案(7)用户自定义接口
一些扫描器允许用户自己添加扫描规则,并为用户供应一个便利的接口,比如俄罗斯SSS的BaseSDK系统扫描如何提高系统平安性平安扫描器可以通过两种途径提高系统平安性。一是提前警告存在的漏洞,从而预防入侵和误用二是检查系统中由于受到入侵或操作失误而造成的新漏洞。本地扫描器本地扫描器分析文件的内容,查找可能存在的配置问题。由于本地扫描器事实上是运行于目标结点上的进程,具有以下几个特点:
可以在系统上随意创建进程。为了运行某些程序,检测缓冲区溢出攻击,要求扫描器必需做到这一点。可以检查到平安补丁一级,以确保系统安装了最新的平安解决补丁。可以通过在本地查看系统配置文件,检查系统的配置错误。本地扫描器对Unix系统,须要进行以下项目的检查:系统完整性检查关键系统文件变更检测用户账户变更检测黑客入侵标记检测未知程序版本不常见文件名可疑设备文件未经授权服务弱口令选择检测有平安漏洞程序版本检测标记可被攻击程序报告须要安装的平安补丁检查系统配置平安性全局信任文件crontab文件rc系统启动文件文件系统mount权限打印服务账户配置组配置检查网络服务平安性是否允许IP转发标记有风险服务FTP配置news服务器配置NFS配置本地扫描器对Unix系统,须要进行以下项目的检查:本地扫描器对Unix系统,须要进行以下项目的检查:邮件服务器配置检查用户环境变量平安性系统文件属主系统文件权限许可文件属主及权限许可sell启动文件用户信任文件应用程序配置文档其他本地扫描器对WindowsNT/2000系统,还有一些特定的平安检查项目是否允许建立guest账户guest账户有无口令口令构造和过时原则弱口令选择登陆失败临界值注册表权限许可允许远程注册访问独立的注册设置对系统文件和书目不正确的安排许可权非NT缺省配置的未知服务运行易遭到攻击的服务,如运行在Web服务器上的SMB服务等带有许可访问限制设置的共享,可能给远程用户全部访问权其他远程扫描器远程扫描器检查网络和分布式系统的平安漏洞。远程扫描器通过执行一整套综合的穿透测试程序集,发送细心构造的数据包来检测目标系统。被测系统和扫描器的操作系统可以是同一类型,也可以是不同类型的。远程扫描须要检查的项目很多,这些项目又可以分为以下几大类:远程扫描器网络端口扫描系统信息搜集和侦查漏洞:可用于明确目标站点有关信息身份认证机制漏洞拒绝服务攻击防火墙、包过滤及应用程序代理漏洞包过滤规则确认WWW、HTTP和CGI漏洞SMTP、POP、IMAP及邮件传输漏洞FTP平安漏洞NFS平安漏洞RPC远程过程调用服务网络协议欺瞒WindowsNT网络平安漏洞WindowsNT信息搜集和侦察错误配置和系统后门、特洛伊木马检测硬件外设平安漏洞:如打印机、路由器、交换机等设备其他平安扫描系统的选择与留意事项①升级问题②可扩充性
③全面的解决方案④人员培训
平安扫描技术或许有些计算机平安管理人员起先考虑购买一套平安扫描系统,那么,购买此类产品须要考虑哪些方面呢?升级问题
由于当今应用软件功能日趋困难化、软件公司在编写软件时很少考虑平安性等等多种缘由,网络软件漏洞层出不穷,这使优秀的平安扫描系统必需有良好的可扩充性和快速升级的实力。因此,在选择产品时,首先要留意产品是否能干脆从因特网升级、升级方法是否能够被非专业人员驾驭,同时要留意产品制造者有没有足够的技术力气来保证对新出现漏洞作出快速的反应可扩充性
对具有比较深厚的网络学问,并且希望自己扩充产品功能的用户来说,应用了功能模块或插件技术的产品应当是首选。全面的解决方案
前面已经指出,网络平安管理须要多种平安产品来实现,仅仅运用平安扫描系统是难以保证网络的平安的。选择平安扫描系统,要考虑产品制造商能否供应包括防火墙、网络监控系统等完整产品线的全面的解决方案。人员培训
前面已经分析过,网络平安中人是薄弱的一环,很多平安因素是与网络用户亲密相关的,提高本网络现有用户、特殊是网络管理员的平安意识对提高网络平安性能具有非同寻常的意义。因此,在选择平安扫描产品时,要考虑制造商有无实力供应平安技术培训。10.2.4平安扫描技术分析扫描器工作过程阶段1:发觉目标主机或网络阶段2:进一步发觉目标系统类型及配置等信息阶段3:测试哪些服务具有平安漏洞扫描技术端口扫描技术全开扫描(openscanning)半全开扫描(half-openscanning)隐私扫描(stealthscanning)区段扫描(sweepsscanning)系统类型检测技术端口扫描技术全开扫描(openscan,TCPconnect)3次TCP/IP握手过程建立标准TCP连接来检查主机的相应端口是否打开优点:快速,精确,不须要特殊用户权限缺点:不能进行地址欺瞒并且特别简洁被检测到ClientSYNServerSYN/ACKClientACKServe
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 防溺水安全活动总结
- 社会实践部的述职报告
- 橱柜销售经理工作总结
- 家乡环境建议书
- 微教育阅读心得7篇
- 蔬菜年终总结6篇
- 市政道路监理会议纪要范文(3篇)
- 销售主管工作汇报模板4篇
- 种草莓教案5篇
- 2024年危险化学品经营单位主要负责人理论试题及答案
- 常见词牌介绍
- 广东省省级政务信息化服务预算编制标准(运维服务分册)
- 工作汇报模板课件
- 汽车维修公务车辆定点维修车辆保养投标方案
- 5.2-质量管理体系要求-“5.2方针”条文理解与实施指导材料(雷泽佳编制-2023)
- 律师无业承诺书(共3篇)
- SWITCH 勇者斗恶龙11S 金手指 版本:v1.0.3 最大金币 最大迷你奖章 32倍经验 最大攻击 所有材料
- 园艺与健康知到章节答案智慧树2023年金陵科技学院
- 知识点解析《方向向量与直线的参数方程》
- 论思维可视化视域下的初中英语以读促写教学 论文
- 重度子痫前期、胎盘早剥急救演练
评论
0/150
提交评论