版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
计算机系统安全及应用安全第一页,共七十八页,2022年,8月28日2一、操作系统安全的概念我们的学术观点:
硬件结构的安全和操作系统的安全是信息系统安全的基础,密码、网络安全等是关键技术。
第二页,共七十八页,2022年,8月28日3一、操作系统安全的概念1、操作系统是信息系统安全的基础之一:
①操作系统是软件系统的底层;
②操作系统是系统资源的管理者;
③操作系统是软硬件的接口。
2、操作系统安全的困难性
①操作系统的规模庞大,以至于不能保证完全正确。
②理论上一般操作系统的安全是不可判定问题。
3、我国必须拥有自己的操作系统①操作系统受治于人,不能从根本上确保信息安全;
②立足国内,发展自己的操作系统。第三页,共七十八页,2022年,8月28日4二、操作系统的安全评价1、操作系统安全要求 一般对安全操作系统有以下要求:
①安全策略:要有明确、严谨、文档齐全的安全策略
②标识:每个实体必须标识其安全级别
③
认证:
每个主体必须被认证
④审计:对影响安全的事件,必须记录日志,并进行审计。
⑤保证:系统必须确保上述4项要求被实施⑥连续性保护:实现安全的机制必须是不间断地发挥作用,并且未经许可不可改动。
第四页,共七十八页,2022年,8月28日5网络存在的安全威胁网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫第五页,共七十八页,2022年,8月28日6防火墙、VPNDDoS防御NISGWeb过滤QoS防病毒、反垃圾邮件“六脉神剑”、构筑安全基本安全防护:-安全、可靠的防火墙及VPN深度应用层安全防护
入侵防御
防病毒
反垃圾邮件
Web过滤功能可用性保证-DDoS防御及QoS入侵防御Web过滤第六页,共七十八页,2022年,8月28日71、攻击的位置一、攻击的一些基本概念(1)远程攻击:从该子网以外的地方向该子网或者该子网内的系统发动攻击。(2)本地攻击:通过所在的局域网,向本单位的其他系统发动攻击,在本机上进行非法越权访问也是本地攻击。(3)伪远程攻击:指内部人员为了掩盖攻击者的身份,从本地获取目标的一些必要信息后,攻击过程从外部远程发起,造成外部入侵的现象。第七页,共七十八页,2022年,8月28日82、攻击的层次一、攻击的一些基本概念1)简单拒绝服务(如邮件炸弹攻击).2)本地用户获得非授权读或者写权限3)远程用户获得了非授权的帐号4)远程用户获得了特权文件的读写权限5)远程用户拥有了根(root)权限)第八页,共七十八页,2022年,8月28日93、攻击的目的一、攻击的一些基本概念1)进程的执行2)获取文件和传输中的数据3)获得超级用户权限4)对系统的非法访问5)进行不许可的操作6)拒绝服务7)涂改信息8)暴露信息9)挑战10)政治意图11)经济利益12)破坏第九页,共七十八页,2022年,8月28日104、攻击的人员一、攻击的一些基本概念1)黑客:为了挑战和获取访问权限2)间谍:为了政治情报信息3)恐怖主义者:为了政治目的而制造恐怖4)公司雇佣者:为了竞争经济利益5)职业犯罪:为了个人的经济利益6)破坏者:为了实现破坏第十页,共七十八页,2022年,8月28日115、攻击的工具一、攻击的一些基本概念1)用户命令:攻击者在命令行状态下或者图形用户接口方式输入命令。2)脚本或程序:在用户接口处初始化脚本和程序。3)自治主体:攻击者初始化一个程序或者程序片断,独立地执行操作,挖掘弱点。4)工具箱:攻击者使用软件包(包含开发弱点的脚本、程序、自治主体)。5)分布式工具:攻击者分发攻击工具到多台主机,通过协作方式执行攻击特定的目标。6)电磁泄漏第十一页,共七十八页,2022年,8月28日126、攻击的时间一、攻击的一些基本概念大部分的攻击(或至少是商业攻击时间)一般是服务器所在地的深夜。客观原因。在白天,大多数入侵者要工作或学习,以至没空进行攻击。速度原因。网络正变得越来越拥挤,因此最佳的工作时间是在网络能提供高传输速度的时间速率的时间。保密原因。白天系统管理员一旦发现有异常行为。他们便会跟踪而来。第十二页,共七十八页,2022年,8月28日131、寻找目标主机并收集目标信息二、远程攻击的步骤1)锁定目标因特网上每一台网络主机都有一个名字,术语称做域名;然而在网上能真正标识主机的是IP地址,域名只是用IP地址指定的主机便于好记而起的名字。利用域名和IP地址都可以顺利找到主机。DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。黑客只需实施一次域转换操作就能得到所有主机的名称以及内部IP地址。第十三页,共七十八页,2022年,8月28日141、寻找目标主机并收集目标信息二、远程攻击的步骤2)服务分析用提供不同服务的应用程序试一试就知道了,例如:使用Telnet、FTP等用户软件向目标主机申请服务,如果主机有应答就说明主机提供了这个服务,开放了这个端口的服务。黑客常用一些象PORTSCAN这样的工具软件,对目标主机一定范围的端口进行扫描。这样可全部掌握目标主机的端口情况。HAKTEK是一个非常实用的一个工具软件,它将许多应用集成在一起的工具,其中包括:Ping、IP地址范围扫描、目标主机端口扫描、邮件炸弹、过滤邮件、Finger主机等都是非常实用的工具。第十四页,共七十八页,2022年,8月28日151、寻找目标主机并收集目标信息二、远程攻击的步骤3)系统分析目标主机采用的是什么操作系统。黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法。通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。打开WIN95的RUN窗口,然后输入命令:Telnetxx.xx.xx.xx(目标主机)然后按"确定",会出现什么?DigitalUNIX(xx.xx.xx)(ttyp1)login:第十五页,共七十八页,2022年,8月28日161、寻找目标主机并收集目标信息二、远程攻击的步骤4)获取帐号信息对于陌生的目标主机可能只知道它有一个ROOT用户,至于其他帐户一无所知,要想登录目标主机我们至少要知道一个普通用户a.利用目标主机的Finger功能对黑客软件HAKTEK,它的Finger功能可以完全胜任,记录帐号信息,经过一段时间的监测,就会积累一定的帐号信息。finger很可能暴露入侵者的行为,为了避免finger查询产生标记,绝大多数入侵者使用fingergateways(finger网关)。第十六页,共七十八页,2022年,8月28日171、寻找目标主机并收集目标信息二、远程攻击的步骤b.来源于电子邮件地址有些用户电子邮件地址(指@符号前面的部分)与其取邮件的帐号是一致的c.非常全面的X.500功能有些主机提供了X.500的目录查询服务。如何知道是否提供X.500的功能,扫描目标主机的端口,如果端口105的状态已经被"激活",在自己的机器上安装一个X.500的客户查询的工具,选择目标主机,可以获得意想不到的信息。第十七页,共七十八页,2022年,8月28日181、寻找目标主机并收集目标信息二、远程攻击的步骤d.习惯性常用帐号根据平时的经验,一些系统总有一些习惯性的常用帐号,这些帐号都是系统中因为某种应用而设置的。例如:制作WWW网站的帐号可能是html、www、web等,安装ORACLE数据库的可能有oracle的帐号,用户培训或教学而设置的user1、user2、student1、student2、client1、client2等帐户,一些常用的英文名字也经常会使用,例如:tom、john等,因此可以根据系统所提供的服务和在其主页得到的工作人员的名字信息进行猜测。第十八页,共七十八页,2022年,8月28日191、寻找目标主机并收集目标信息二、远程攻击的步骤5)获得管理员信息运行一个查询命令host,可获得保存在目标域服务器中的所有信息。WHOIS查询,可识别出技术管理人员。运行一些Usenet和WEB查询。系统管理员的职责是维护站点的安全,当他们遇到各种问题时,许多管理员会迫不及待地将这些问题发到Usenet或邮件列表上以寻求答案。只要肯花一些时间来寻找此系统管理员的地址(和其他的一些信息)便能彻底地了解他的网络、他的安全概念以及他的个性。因为发出这种邮件的系统管理员总会指明他们的组织结构、网络的拓补结构和他们面临的问题。第十九页,共七十八页,2022年,8月28日202、攻击测试二、远程攻击的步骤大部分的入侵者并不想尝试这种行为,因为这需要一定的费用。在此步骤中,首先要建立一个和目标一样的环境。一旦将此环境建立起来后,就可对它进行一系列的攻击。在此过程中,有两件事需要注意:(l)从攻击方来看这些攻击行为着上去像什么,(2)从被攻击方来看这些攻击行为看上去像什么。通过检查攻击方的日志文件入侵者能大致了解对一个几乎没有保护措施的目标进行攻击时攻击行为着上去像什么第二十页,共七十八页,2022年,8月28日213、各种相关工具的准备二、远程攻击的步骤紧接着应该收集各种实际使用的工具,最有可能是一些扫描工具,判断出目标网上的所有设备。基于对操作系统的分析需要对工具进行评估以判断有哪些漏洞和区域它们没有覆盖到。在只用一个工具而不用另一个工具就可覆盖某特定设备的情况下,最好还是同时使用这两个工具。这些工具的联合使用是否方便主要依赖于这些工具是否能简易地作为外部模块附加到一个扫描工具上如SATAN或SAFESuite。在此进行测试变得极为有价值,因为在多数情况下附加一个外部模块非让它正常地工作并不那么简单。为了得到这些工具工作的确切结果,最好先在某台机器上进行实验。第二十一页,共七十八页,2022年,8月28日224、攻击策略的制定二、远程攻击的步骤没有任何理由就实施入侵是很不明智的。攻击策略主要依赖于入侵者所想要达到的目的。需要说明的是扫描时间花得越长,也就是说越多的机器被涉及在内,那么扫描的动作就越有可能被发现;同时有越多的扫描数据需要筛选,因此,扫描的攻击的时间越短越好。因为你所想要的是一个主系统上或者是一个可用的最大网段的根权限,所以对一个更小、更安全的网络进行扫描不可能获得很大的好处。无论如何,一旦你确定了扫描的参数,就可以开始行动了。第二十二页,共七十八页,2022年,8月28日235、数据分析二、远程攻击的步骤完成扫描后,开始分析数据。首先应考虑通过此方法得到的信息是否可靠(可靠度在某种程度上可通过在类似的环境中进行的扫描实验得到。)然后再进行分析,扫描获得的数据不同则分析过程也不同。在SATAN中的文档中有一些关于漏洞的简短说明,并且真接而富有指导性。如果找到了某个漏洞,就应该重新参考那些通过搜索漏洞和其他可用资源而建立起来的数据库信息。在真正理解了攻击的本质和什么应从攻击中剔除之前,可能要花上数个星期来研究源码、漏洞、某特定操作系统和其他信息,这些是不可逾越的。在攻击中经验和耐心是无法替代的。一个经过很好计划和可怕的远程攻击,需要实施者对TCP/IP以及系统等方面的知识有着极深刻的了解。第二十三页,共七十八页,2022年,8月28日246、实施攻击二、远程攻击的步骤获得了对攻击的目标系统的访问权后,可能有下述多种选择:·毁掉攻击入侵的痕迹,并在受到损害的系统上建立另外的新的安全漏洞或后门,以便今后继续访问这个系统。·在目标系统中安装探测器软件,包括特洛伊木马程序,用来窥探所在系统的活动,收集黑客感兴趣的一切信息,如Telnet和FTP的帐号名和口令等等。·发现受损系统在网络中的信任等级,这样黑客就可以通过该系统信任级展开对整个系统的攻击。·如果获得了特许访问权,那么它就可以读取邮件,搜索和盗窃私人文件,毁坏重要数据,破坏整个系统的信息。第二十四页,共七十八页,2022年,8月28日251、漏洞的概念三、系统漏洞漏洞的概念漏洞是指硬件、软件或策略上的缺陷,从而可使攻击者能够在未经授权的情况下访问系统。所有软件都是有错的通常情况下99.99%无错的程序很少会出问题,利用那0.01%的错误导致100%的失败第二十五页,共七十八页,2022年,8月28日261、漏洞的概念三、系统漏洞出现漏洞的原因当今的系统功能越来越强,体积也越做越大。庞大的系统是由小组完成的,不能指望每个人都不犯错,也不能指望无纰漏的合作。加上人的惰性,不愿意仔细地进行系统的安全配置。这样一来,本来比较安全的系统也变的不安全了。一个简单的例子就是缺省口令。第二十六页,共七十八页,2022年,8月28日271、漏洞的概念三、系统漏洞漏洞的范围漏洞涉及的范围很广,涉及到网络的各个环节、各个方面,包括:路由器、防火墙、操作系统、客户和服务器软件。比如一台提供网上产品搜索的Web服务器,就需要注意操作系统、数据库系统、Web服务软件及防火墙。
第二十七页,共七十八页,2022年,8月28日281、漏洞的概念三、系统漏洞漏洞的时间性系统发布——漏洞暴露——发布补丁——新漏洞出现一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补,或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时,也会引入一些新的漏洞和错误。因而随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现。漏洞问题也会长期存在。
第二十八页,共七十八页,2022年,8月28日291、漏洞的概念三、系统漏洞安全漏洞与系统攻击之间的关系漏洞暴露—(可能的攻击)—发布补丁系统攻击者往往是安全漏洞的发现者和使用者,要对于一个系统进行攻击,如果不能发现和使用系统中存在的安全漏洞是不可能成功的。
第二十九页,共七十八页,2022年,8月28日301、漏洞的概念三、系统漏洞漏洞的类型(1)管理漏洞-如两台服务器用同一个用户/密码,则入侵了A服务器后,B服务器也不能幸免。(2)软件漏洞-很多程序只要接收到一些异常或者超长的数据和参数,就会导致缓冲区溢出。(3)结构漏洞-比如在某个重要网段由于交换机、集线器设置不合理,造成黑客可以监听网络通信流的数据;又如防火墙等安全产品部署不合理,有关安全机制不能发挥作用,麻痹技术管理人员而酿成黑客入侵事故。(4)信任漏洞-比如本系统过分信任某个外来合作伙伴的机器,一旦这台合作伙伴的机器被黑客入侵,则本系统的安全受严重威胁。第三十页,共七十八页,2022年,8月28日3120个最危险的安全漏洞2002年5月发布()三类安全漏洞:1)影响所有系统的七个漏洞(G1~G7)2)影响Windows系统的六个漏洞(W1~W6)3)影响Unix系统的七个漏洞(U1~U7)第三十一页,共七十八页,2022年,8月28日32G1-操作系统和应用软件的缺省安装三、系统漏洞软件开发商的逻辑是最好先激活还不需要的功能,而不是让用户在需要时再去安装额外的组件。这种方法尽管对用户很方便,但却产生了很多危险的安全漏洞,因为用户不会主动的给他们不使用的软件组件打补丁。而且很多用户根本不知道实际安装了什么,很多系统中留有安全漏洞就是因为用户根本不知道安装了这些程序。大多数操作系统和应用程序。应该对任何连到Internet上的系统进行端口扫描和漏洞扫描。卸载不必要的软件,关掉不需要的服务和额外的端口。这会是一个枯燥而且耗费时间的工作。第三十二页,共七十八页,2022年,8月28日33G2-没有口令或使用弱口令的帐号三、系统漏洞易猜的口令或缺省口令是个严重的问题,更严重的是有的帐号根本没有口令。应进行以下操作:1.审计你系统上的帐号,建立一个使用者列表。2.制定管理制度,规范增加帐号的操作,及时移走不再使用的帐号。3.经常检查确认有没有增加新的帐号,不使用的帐号是否已被删除。当雇员或承包人离开公司时,或当帐号不再需要时,应有严格的制度保证删除这些帐号。4.对所有的帐号运行口令破解工具,以寻找弱口令或没有口令的帐号。第三十三页,共七十八页,2022年,8月28日34G3-没有备份或者备份不完整三、系统漏洞从事故中恢复要求及时的备份和可靠的数据存储方式。应列出一份紧要系统的列表。制定备份方式和策略。重要问题:1. 系统是否有备份?2. 备份间隔是可接受的吗?3. 系统是按规定进行备份的吗?4. 是否确认备份介质正确的保存了数据?5. 备份介质是否在室内得到了正确的保护?6. 是否在另一处还有操作系统和存储设施的备份?(包括必要的licensekey)7. 存储过程是否被测试及确认?第三十四页,共七十八页,2022年,8月28日35G4-大量打开的端口三、系统漏洞合法的用户和攻击者都通过开放端口连接系统。端口开得越多,进入系统的途径就越多。netstat命令可以在本地运行以判断哪些端口是打开的,但更保险的方法是对你的系统进行外部的端口扫描.在众多的端口扫描器中,最流行的是nmap。一旦你确定了哪些端口是打开的,接下来的任务是确定所必须打开的端口的最小集合-关闭其他端口,找到这些端口对应的服务,并关闭/移走它们。第三十五页,共七十八页,2022年,8月28日36G5-没有过滤地址不正确的包三、系统漏洞IP地址欺诈。例如smurf攻击。对流进和流出你网络的数据进行过滤。1.任何进入你网络的数据包不能把你网络内部的地址作为源地址;必须把你网络内部的地址作为目的地址。任何离开你网络的数据包必须把你网络内部的地址作为源地址;不能把你网络内部的地址作为目的地址。3.任何进入或离开你网络的数据包不能把一个私有地址(privateaddress)或在RFC1918中列出的属于保留空间(包括10.x.x.x/8,172.16.x.x/12或192.168.x.x/16和网络回送地址/8.)的地址作为源或目的地址。第三十六页,共七十八页,2022年,8月28日37G6-不存在或不完整的日志三、系统漏洞安全领域的一句名言是:"预防是理想的,但检测是必须的"。一旦被攻击,没有日志,你会很难发现攻击者都作了什么。在所有重要的系统上应定期做日志,而且日志应被定期保存和备份,因为你不知何时会需要它。查看每一个主要系统的日志,如果你没有日志或它们不能确定被保存了下来,你是易被攻击的。所有系统都应在本地记录日志,并把日志发到一个远端系统保存。这提供了冗余和一个额外的安全保护层。不论何时,用一次性写入的媒质记录日志。第三十七页,共七十八页,2022年,8月28日38G7-易被攻击的CGI程序三、系统漏洞大多数的web服务器,都支持CGI程序。1.从你的web服务器上移走所有CGI示范程序。2.审核剩余的CGI脚本,移走不安全的部分。3.保证所有的CGI程序员在编写程序时,都进行输入缓冲区长度检查。4.为所有不能除去的漏洞打上补丁。5.保证你的CGIbin目录下不包括任何的编译器或解释器。6.从CGIbin目录下删除"view-source"脚本。7.不要以administrator或root权限运行你的web服务器。大多数的web服务器可以配置成较低的权限,例如"nobody."8.不要在不需要CGI的web服务器上配置CGI支持。第三十八页,共七十八页,2022年,8月28日39W1-Unicode漏洞三、系统漏洞不论何种平台,何种程序,何种语言,Unicode为每一个字符提供了一个独一无二的序号。通过向IIS服务器发出一个包括非法UnicodeUTF-8序列的URL,攻击者可以迫使服务器逐字"进入或退出"目录并执行任意(程序)(script-脚本),这种攻击被称为目录转换攻击。Unicode用%2f和%5c分别代表/和\。但你也可以用所谓的"超长"序列来代表这些字符。"超长"序列是非法的Unicode表示符,它们比实际代表这些字符的序列要长。/和\均可以用一个字节来表示。超长的表示法,例如用%c0%af代表/用了两个字节。IIS不对超长序列进行检查。这样在URL中加入一个超长的Unicode序列,就可以绕过Microsoft的安全检查。如果你在运行一个未打补丁的IIS,那么你是易受到攻击的。最好的判断方法是运行hfnetchk。第三十九页,共七十八页,2022年,8月28日40W2-ISAPI缓冲区扩展溢出三、系统漏洞安装IIS后,就自动安装了多个ISAPIextensions。ISAPI,代表InternetServicesApplicationProgrammingInterface,允许开发人员使用DLL扩展IIS服务器的性能。一些动态连接库,例如idq.dll,有编程错误,使得他们做不正确的边界检查。特别是,它们不阻塞超长字符串。攻击者可以利用这一点向DLL发送数据,造成缓冲区溢出,进而控制IIS服务器。安装最新的Microsoft的补丁。该漏洞不影响WindowsXP.同时,管理员应检查并取消所有不需要的ISAPI扩展。经常检查这些扩展没有被恢复。请记住最小权限规则,你的系统应运行系统正常工作所需的最少服务。第四十页,共七十八页,2022年,8月28日41W3-IISRDS的使用(MicrosoftRemoteDataServices)三、系统漏洞黑客可以利用IIS'sRemoteDataServices(RDS)中的漏洞以administrator权限在远端运行命令。如果你在运行一个未打补丁的系统,你是易被攻击的。第四十一页,共七十八页,2022年,8月28日42W4-NETBIOS-未保护的Windows网络共享三、系统漏洞ServerMessageBlock(SMB)协议,也称为CommonInternetFileSystem(CIFS),允许网络间的文件共享。不正确的配置可能会导致系统文件的暴露,或给予黑客完全的系统访问权。在Windows的主机上允许文件共享使得它们容易受到信息窃贼和某种快速移动的病毒的攻击。第四十二页,共七十八页,2022年,8月28日43三、系统漏洞1.在共享数据时,确保只共享所需目录。2.为增加安全性,只对特定IP地址进行共享,因为DNS名可以欺诈。3.对Windows系统(NT,2000),只允许特定用户访问共享文件夹。4.对Windows系统,禁止通过"空对话"连接对用户,组,系统配置和注册密钥进行匿名列举。在W5中有更详尽的信息。5.对主机或路由器上的NetBIOS会话服务(tcp139),MicrosoftCIFS(TCP/UDP445)禁止不绑定的连接。6.考虑在独立或彼此不信任的环境下,在连接Internet的主机上部署RestrictAnonymousregistrykey。第四十三页,共七十八页,2022年,8月28日44W5-通过空对话连接造成的信息泄露三、系统漏洞空对话连接(nullsession),也称为匿名登录,是一种允许匿名用户获取信息(例如用户名或共享文件),或不需认证进行连接的机制。explorer.exe利用它来列举远程服务器上的共享文件。在WindowsNT和Windows2000系统下,许多本地服务是在SYSTEM帐号下运行的,又称为Windows2000的LocalSystem。很多操作系统都使用SYSTEM帐号。当一台主机需要从另一台主机上获取系统信息时,SYSTEM帐号会为另一台主机建立一个空对话。SYSTEM帐号实际拥有无限的权利,而且没有密码,所以你不能以SYSTEM的方式登录。SYSTEM有时需要获取其它主机上的一些信息,例如可获取的共享资源和用户名等典型的网上邻居功能。由于它不能以用户名和口令进入,所以它使用空对话连接进入,不幸的是攻击者也可以相同的方式进入。第四十四页,共七十八页,2022年,8月28日45W6-WeakhashinginSAM(LMhash)三、系统漏洞尽管Windows的大多数用户不需要LANManager的支持,微软还是在WindowsNT和2000系统里缺省安装了LANManager口令散列。由于LANManager使用的加密机制比微软现在的方法脆弱,LANManager的口令能在很短的时间内被破解。LANManager散列的主要脆弱性在于:长的口令被截成14个字符短的口令被填补空格变成14个字符口令中所有的字符被转换成大写口令被分割成两个7个字符的片断另外,LANManager容易被侦听口令散列。侦听可以为攻击者提供用户的口令。第四十五页,共七十八页,2022年,8月28日46U1-RPC服务缓冲区溢出三、系统漏洞远程请求(RemoteProcedureCalls)允许一台机器上的程序执行另一台机器上的程序。用来提供网络服务如NFS文件共享。由于RPC缺陷导致的弱点正被广泛的利用着。有证据显示,1999年到2000年间的大部分分布式拒绝服务型攻击都是在那些通过RPC漏洞被劫持的机器上执行的。按照下面步骤保护你的系统避免该攻击:1.只要允许,在可以从Internet直接访问的机器上关闭或删除这些服务2.在你必须运行该服务的地方,安装最新的补丁:3.定期搜索供应商的补丁库查找最新的补丁并立刻安装。4.在路由或防火墙关闭RPC端口(port111)。5.关闭RPC"loopback"端口,32770-32789(TCPandUDP)第四十六页,共七十八页,2022年,8月28日47U2-Sendmail漏洞三、系统漏洞Sendmail是在UNIX和Linux上用的最多的发送,接收和转发电子邮件的程序。Sendmail在Internet上的广泛应用使它成为攻击者的主要目标。过去的几年里发现了若干个缺陷。事实上,第一个建议是CERT/CC在1988年提出的,指出了Sendmail中一个易受攻击的脆弱性。其中最为常用的是攻击者可以发送一封特别的邮件消息给运行Sendmail的机器,Sendmail会根据这条消息要求受劫持的机器把它的口令文件发给攻击者的机器(或者另一台受劫持的机器),这样口令就会被破解掉。Sendmail有很多的易受攻击的弱点,必须定期的更新和打补丁。第四十七页,共七十八页,2022年,8月28日48U3-Bind脆弱性三、系统漏洞BerkeleyInternetNameDomain(BIND)是域名服务DNS(DomainNameService)用的最多的软件包。DNS非常重要,我们利用它在Internet上通过机器的名字(例如)找到机器而不必知道机器的IP地址。这使它成为攻击者钟爱的目标。不幸的是,根据1999年中期的调查,连接在Internet上的50%的DNS服务器运行的都是易受攻击的版本。在一个典型的BIND攻击的例子里,入侵者删除了系统日志并安装了工具来获取管理员的权限。然后他们编辑安装了IRC工具和网络扫描工具,扫描了12个B类网来寻找更多的易受攻击的BIND。在一分钟左右的时间里,他们就使用已经控制的机器攻击了几百台远程的机器,并找到了更多的可以控制的机器。第四十八页,共七十八页,2022年,8月28日49U4-R命令三、系统漏洞在UNIX世界里,相互信任关系到处存在,特别是在系统管理方面。公司里经常指定一个管理员管理几十个区域或者甚至上百台机器。管理员经常使用信任关系和UNIX的r命令从一个系统方便的切换到另一个系统。R命令允许一个人登录远程机器而不必提供口令。取代询问用户名和口令,远程机器认可来自可信赖IP地址的任何人。如果攻击者获得了可信任网络里的任何一台的机器,他(她)就能登录任何信任该IP的任何机器。下面命令经常用到:1. rlogin-remotelogin,远程登录2. rsh-remoteshell,远程shell3. rcp-remotecopy,远程拷贝第四十九页,共七十八页,2022年,8月28日50U5-LPD(remoteprintprotocoldaemon)三、系统漏洞Unix里,in.lpd为用户提供了与本地打印机交互的服务。lpd侦听TCP515端口的请求。程序员在写代码时犯了一点错误,使得当打印工作从一台机器传到另一台机器时会导致缓冲区溢出的漏洞。如果在较短的时间里接受了太多的任务,后台程序就会崩溃或者以更高的权限运行任意的代码。第五十页,共七十八页,2022年,8月28日51U6-sadmindandmountd三、系统漏洞Sadmind允许远程登录到Solaris系统进行管理,并提供了一个系统管理功能的图形用户接口。Mountd控制和判断到安装在UNIX主机上的NFS的连接。由于软件开发人员的错误导致的这些应用的缓冲区溢出漏洞能被攻击者利用获取root的存取权限。第五十一页,共七十八页,2022年,8月28日52U7-缺省SNMP字串三、系统漏洞SNMP(SimpleNetworkManagementProtocol,简单网络管理协议)是管理员广泛使用的协议,用来管理和监视各种各样与网络连接的设备,从路由器到打印机到计算机。SNMP使用没有加密的公共字符串作为唯一的认证机制。没有加密已经够糟了,不仅如此,绝大部分SNMP设备使用的公共字符串还是"public",只有少部分"聪明"的设备供应商为了保护敏感信息把字符串改为"private"。攻击者可以利用这个SNMP中的漏洞远程重新配置或关闭你的设备。被监听的SNMP通讯能泄漏很多关于网络结构的信息,以及连接在网络上的设备。入侵者可以使用这些信息找出目标和谋划他们的攻击。第五十二页,共七十八页,2022年,8月28日531、扫描技术四、扫描器扫描技术是主要的一种信息收集型攻击。地址扫描:运用ping这样的程序探测目标地址端口扫描:向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。反响映射:黑客向主机发送虚假消息,然后根据返回"hostunreachable"这一消息特征判断出哪些主机是存在的。慢速扫描:由于一般扫描侦测器的实现是通过监视某个时间里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。第五十三页,共七十八页,2022年,8月28日542、什么是扫描器
四、扫描器扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用扫描器可不留痕迹的发现远程服务器的各种TCP端口的分配、提供的服务、使用的软件版本!这就能间接的或直观的了解到远程主机所存在的安全问题。第五十四页,共七十八页,2022年,8月28日55四、扫描器安全扫描工具分类基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。第五十五页,共七十八页,2022年,8月28日56扫描器分类端口扫描器(如:NMAP,PORTSCAN)扫描目标机开放的服务端口及其有关信息漏洞扫描器(如:ISS、NESSUS、SATAN等)对于重视安全的网站进行漏洞扫描,可能一无所获,因为流行的漏洞早已打补丁了。因此端口扫描器对黑客或许更有用。第五十六页,共七十八页,2022年,8月28日57四、扫描器网络安全扫描的主要性能:(1)速度。在网络内进行安全扫描非常耗时。(2)网络拓扑。通过GUI的图形界面,可迭择一步或某些区域的设备。(3)能够发现的漏洞数量。(4)是否支持可定制的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别,所以预制的扫描方法肯定不能满足客户的需求。(5)报告,扫描器应该能够给出清楚的安全漏洞报告。(6)更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级,并给出相应的改进建议。第五十七页,共七十八页,2022年,8月28日583、扫描器的工作原理四、扫描器扫描器通过选用远程TCP/IP不同的端口的服务,并记录目标给予的回答,通过这种方法,可以搜集到很多关于目标主机的各种有用的信息扫描器能够发现目标主机某些内在的弱点,这些弱点可能是破坏目标主机安全性的关键性因素。但是,要做到这一点,必须了解如何识别漏洞。扫描器对于Internet安全性之所以重要,是因为它们能发现网络的弱点。
第五十八页,共七十八页,2022年,8月28日594、扫描器的功能四、扫描器扫描器并不是一个直接的攻击网络漏洞的程序,它仅仅能帮助我们发现目标机的某些内在的弱点。一个好的扫描器能对它得到的数据进行分析,帮助我们查找目标主机的漏洞。但它不会提供进入一个系统的详细步骤。扫描器应该有三项功能:1)发现一个主机或网络的能力;2)一旦发现一台主机,有发现什么服务正运行在这台主机上的能力;3)通过测试这些服务,发现漏洞的能力。第五十九页,共七十八页,2022年,8月28日605、常用的端口扫描技术四、扫描器TCPconnect()扫描这是最基本的TCP扫描。操作系统提供的connect()系统调用,用来与目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。不需要任何权限。系统中的任何用户都有权利使用这个调用。另一个好处就是速度。如果对每个目标端口以线性的方式,使用单独的connect()调用,那么将会花费相当长的时间,你可以通过同时打开多个套接字,从而加速扫描。这种方法的缺点是容易被发觉,并且被过滤掉。目标计算机的logs文件会显示一连串的连接和连接是出错的服务消息,并且能很快的使它关闭。
第六十页,共七十八页,2022年,8月28日615、常用的端口扫描技术四、扫描器TCPSYN扫描“半开放”扫描,这是因为扫描程序不必要打开一个完全的TCP连接。扫描程序发送的是一个SYN数据包,好象准备打开一个实际的连接并等待反应一样(参考TCP的三次握手建立一个TCP连接的过程)。一个SYN|ACK的返回信息表示端口处于侦听状态。一个RST返回,表示端口没有处于侦听态。如果收到一个SYN|ACK,则扫描程序必须再发送一个RST信号,来关闭这个连接过程。这种扫描技术的优点在于一般不会在目标计算机上留下记录。但这种方法的一个缺点是,必须要有root权限才能建立自己的SYN数据包。
第六十一页,共七十八页,2022年,8月28日625、常用的端口扫描技术四、扫描器TCPFIN扫描(发送者无数据)有的时候有可能SYN扫描都不够秘密。一些防火墙和包过滤器会对一些指定的端口进行监视,有的程序能检测到这些扫描。相反,FIN数据包可能会没有任何麻烦的通过。这种扫描方法的思想是关闭的端口会用适当的RST来回复FIN数据包。另一方面,打开的端口会忽略对FIN数据包的回复。这种方法和系统的实现有一定的关系。有的系统不管端口是否打开,都回复RST,这样,这种扫描方法就不适用了。并且这种方法在区分Unix和NT时,是十分有用的。第六十二页,共七十八页,2022年,8月28日635、常用的端口扫描技术四、扫描器UDPICMP端口不能到达扫描这种方法与以上方法的区别是使用UDP协议。由于这个协议很简单,所以扫描变得相对比较困难。这是由于打开的端口对扫描探测并不发送一个确认,关闭的端口也并不需要发送一个错误数据包。幸运的是,许多主机在你向一个未打开的UDP端口发送一个数据包时,会返回一个ICMP_PORT_UNREACH错误。这样你就能发现哪个端口是关闭的。UDP和ICMP错误都不保证能到达,因此这种扫描器必须还实现在一个包看上去是丢失的时候能重新传输。这种扫描方法是很慢的,因为RFC对ICMP错误消息的产生速率做了规定。同样,这种扫描方法需要具有root权限。第六十三页,共七十八页,2022年,8月28日645、常用的端口扫描技术四、扫描器UDPrecvfrom()和write()扫描当非root用户不能直接读到端口不能到达的错误时,Linux能间接地在它们到达时通知用户。比如,对一个关闭的端口的第二个write()调用将失败。在非阻塞的UDP套接字上调用recvfrom()时,如果ICMP出错还没有到达时回返回EAGAIN-重试。如果ICMP到达时,返回ECONNREFUSED-连接被拒绝。这就是用来查看端口是否打开的技术。
第六十四页,共七十八页,2022年,8月28日655、常用的端口扫描技术四、扫描器ICMPecho扫描这并不是真正意义上的扫描。但有时通过ping,在判断在一个网络上主机是否开机时非常有用。端口扫描:NMAP、PORTSCAN等漏洞扫描:ISS、NESSUS、SATAN、X-ScanCIS(CerberusInternetScanner),运行在Windows之下,主要用来对WindowsNT和2000的安全性作出评估,指出其存在的安全性弱点,并提供一定程度上的改进建议。当前版本是5.0.02版。第六十五页,共七十八页,2022年,8月28日666、扫描器
四、扫描器CIS的扫描范围包括:WWW服务、FTP服务、MSSQLSever、NetBIOS、注册表设置、NT服务、SMTP服务、POP3服务、RPC服务、端口映射、Finger服务、DNS服务、浏览器安全
第六十六页,共七十八页,2022年,8月28日676、扫描器
四、扫描器CIS包括了NT服务器的绝大部分容易引起安全问题的服务和设置。它最大的特色是NETBIOS扫描。它可以快速地得到目标计算机的NETBIOS信息、共享资源,包括用户名和组的信息,并能揭示薄弱的口令。操作过程:选择工具栏上的第一个按钮,在弹出的对话框中写入主机地址,点击第二个按钮开始扫描。因为缺省的扫描模块就是all(全部),所以在这里可以不必设定扫描模块。等到所有项的扫描都完成(Completed)之后,点击M按钮查看生成的报告。第六十七页,共七十八页,2022年,8月28日686、扫描器
四、扫描器端口扫描器IPProberIPProber是一款端口扫描工具而非漏洞扫描工具。它扫描目标主机的各个端口以找出该主机运行有哪些服务。在HOST中填入目标主机地址,Start和End栏中填入端口的扫范围,选择Run就可以进行扫描了。
第六十八页,共七十八页,2022年,8月28
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 机械原理车床课程设计
- 机械原理压片机课程设计
- 三年级体育上册 侧面投掷轻物教案
- 2016年山东省日照市中考真题语文试题(解析版)
- 2016年江苏省南通市中考真题语文试题(解析版)
- 河北省邢台市隆尧县尧山中学成龙校区七年级体育上册 第九套广播体操 扩胸踢腿教案2
- 八年级英语下册 Unit 9 Have you ever been to a museum第五课时 Self Check教案(新版)人教新目标版
- 八年级道德与法治上册 第三单元 勇担社会责任 第七课 积极奉献社会 第2框 服务社会教学设计 新人教版
- 机械与汽车制图课程设计
- 机构设计课程设计
- 新人教版八年级物理上册期中考试及答案【可打印】
- 2024年企业股东退股补偿协议版
- 河南省商丘市2023-2024学年高一上学期期中考试化学试题(含答案)
- 墓地长期租用合同模板
- 2024年心理咨询师基础知识考试题库(浓缩500题)
- 物 理第四章 第1节光沿直线传播课件-2024-2025学年八年级物理(人教版2024)
- 2024年银行考试-反洗钱考试近5年真题集锦(频考类试题)带答案
- 2025年九省联考新高考 语文试卷(含答案解析)
- 工业视觉系统运维员-国家职业标准(2023年版)
- 大概念统摄下跨学科课程的开发与实施
- 钢结构件竣工环保验收监测调查报告
评论
0/150
提交评论