信息安全概论网络安全

网络安全第11章12网络安全的特殊性网络攻击与入侵3网络安全技术11.1网络安全的特殊性11.1.1网络与Internet随着计算机网络的迅速普及和计算机通信技术的飞速发展，信息产业迅速兴起，对社会的经济、文化、生活以及国家之间的竞争等各个方面产生了巨大的影响。网络计算和分布式计算环境基于开放性技术，而开放性与安全性是一对基本的矛盾，在计算机网络和以网络为基础的各类信息系统的建设中，这个矛盾贯穿于发展的始终，并且处于长期的对抗面，因此，不可能存在一劳永

逸、绝对安全的系统安全策略和安全机制，安全的目标和实施的安全策略，是在一定条件（环境与技术）下的合理性。11.1.1网络与Internet下面介绍几个重要的网络概念。（1）局域网与广域网概念（4）外联网（Extranet）（3）内联网（Intranet）（2）因特网（Internet）11.1.2网络安全的威胁“网络就是计算机”，因此，计算机系统安全的几乎所有领域都在网络安全中得以体现。网络系统安全的主要威胁也来源于各个方面，有自然的、硬件的、软件的，也有人为的疏忽、失误等。网络安全的类别包括了网络崩溃、网络阻塞、网络滥用、网络入侵、网络干扰和网络破坏。11.1.2网络安全的威胁归纳起来，网络中的安全风险主要有以下几种：破坏保密性伪装认证破坏完整性不可否认性破坏可用性11.1.3网络安全的研究范围网络安全是计算机安全在网络环境下的扩展和延伸。计算机网络系统的安全是一个整体的概念。上述五类安全性的实施，仍然主要包括用户身份验证、访问控制、数据完整、数据加密、防抵赖和审计追踪等安全要求。它们各自的可靠性和安全性与网络的安全性有紧密的关系，对网络安全的性能有直接的影响11.1.4黑客与黑客技术“Hacker”，网络“黑客”，原意是泛指对任何计算机系统、操作系统、网络系统的奥秘都具有强烈兴趣的人。他们大部分都具有计算机操作系统和编程语言方面的高级知识，了解系统中的漏洞及其原因，他们不断追求新的、更深的知识和技术，并公开他们的发现，与其他人分享，他们自己宣称绝不、也从来没有破坏数据的企图。窃客与黑客不同，他们主要与电话公司打交道。采用不同的种种“手段”和“诡计”来操纵电话公司，可以从电话中得到他们想要的有价值的信息，还可以免费地拨打区域和长途电话，当然，这也是非法的。怪客则是网络中真正的窃贼，其兴趣就是专门进入别人的网络和网站，找寻他们感兴趣的东西，从而带来种种网络问题。11.1.4黑客与黑客技术黑客对于网络的攻击一般分成三个步骤，如图11-1所示。第一步，黑客利用某些公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息。第二步，利用自编程序或一些公开的工具对主机或系统进行弱点探测。第三步，实施攻击。11.1.5网络安全的社会性问题随着网络信息的高速发展，网络安全方面的问题显

得极为重要，网络与信息系统的安全也成了人们高度关

注的社会性问题。但网络安全的问题和现实安全问题一

样，将会是一个永恒的问题，短期内没有较好的解决方

法。网络攻击和防守的不对称、网络安全的动态性、规

避安全风险的投入和产出问题都会造成网络安全管理的

极大困难。尤其突出的是人的因素在网络安全中占据非

常重要的地位，所谓“三分技术，七分管理”重点强调的就是克服人性的弱点，在安全技术的保证下，从思想和行动上加强安全的管理，才能够获得适当的网络安全。网络的飞速发展也相应带来一系列的社会问题。11.1.5网络安全的社会性问题网络的飞速发展也相应带来一系列的社会问题。1．信息垃圾与网络垃圾3．网络骗术问题2．高科技犯罪11.2网络攻击与入侵当前网络安全事件的特点可归纳如下：入侵者难以追踪拒绝服务攻击频繁发生攻击者需要的技术水平逐渐降低但危害增大攻击手段更加灵活，联合攻击急剧增多系统漏洞发现加快，攻击爆发时间变短垃圾邮件问题严重间谍软件、恶意软件威胁安全无线网络、移动手机渐成安全重灾区11.2.1网络探测由于初始信息的未知性，网络攻击通常具备一定的难度。因此，探测是攻击者在攻击开始前必需的情报收集工作，攻击者通过这个过程需要尽可能多地了解攻击目标安全相关的方方面面信息，以便能够集中火力进行攻击。探测又可以分为三个基本步骤：踩点、扫描和查点。11.2.1网络探测攻击者探测包受害者响应包以下列举一些常见的扫描类型：TCP连接扫描TCP

SYN扫描

TCP

FIN扫描

TCP

ACK扫描TCP窗口扫描TCP

RPC扫描UDP扫描ICMP协议扫描11.2.2

网络窃听窃听技术指攻击者通过非法手段对系统活动的监视从而获得一些安全关键信息。目前属于窃听技术的流行攻击方法有键击记录器、网络监听、非法访问数据和攫取密码文件。1．键击记录器4．攫取密码文件手段2．网络监听3．非法访问数据11.2.3网络欺骗欺骗技术是攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的攻击方法，属于此类的有获取口令攻击、恶意代码、IP欺骗、邮件欺骗、WEB欺骗、会话劫持等攻击手法。口令攻击获取口令的方式有通过缺省口令、口令猜测和口令破解三种途径。恶意代码包括特洛伊木马应用程序、邮件病毒、网页病毒等，通常冒充成有用的软件工具、重要的信息等，诱导用户下载运行或利用邮件客户端和浏览器的自动运行机制，在启动后暗地里安装邪恶的或破坏性软件的程序，通常为攻击者给出能够完全控制该主机的远程连接。11.2.3网络欺骗3．IP欺骗（1）单向IP欺骗：不考虑回传的数据包，如图11-3所示。主机A：被骗者

到202.112.10.5

的应答202.112.10.5主机B202.112.10.10从202.112.10.5到202.112.10.10攻击者：202.112.10.4（2）双向IP欺骗：要求看到回传的数据包；如图11-4所示。11.2.3网络欺骗4．电子邮件欺骗普通电子邮件欺骗的形式有以下几种：11.2.3网络欺骗5．WEB欺骗相似域名改写URL6．ARP欺骗和路由欺骗地址解析协议ARP提供将IP地址动态映射到MAC地址的机制，但ARP机制很容易被欺骗，攻击主机可以发送假冒的ARP回答给目标主机发起的ARP查询，从而使其错误地将网络数据包都发往攻击主机，导致拒绝服务或者中间人攻击。11.2.3网络欺骗会话劫持（Session

Hijacking）中间人攻击（Man

In

The

Middle，简称MITM）注射式攻击（Injection）远程登录（建立会话，完成认证）

服务器被劫持主机A迫使A下线，完成攻击监听流量，然后劫持会话攻击者图11-5会话劫持示意图11.2.4拒绝服务导致异常型拒绝服务攻击通常利用软硬件实现上的编程缺陷，导致其出现异

常，从而使其拒绝服务。如著名的Ping

of

Death攻击和利用IP协议栈对IP分片重叠处理异常的泪（Teardrop）攻击。资源耗尽型拒绝服务攻击这种方式通过大量消耗资源使得攻击目标由于资源耗尽不能提供正常的服务。根据资源类型的不同可分为带宽耗尽和系统资源耗尽两类。SYN

FooldUDP洪水攻击Land攻击邮件炸弹Smurf攻击11.2.4拒绝服务目标网络进入目标网络：广播地址流量流出目标网络：放大N倍的流量11.2.4拒绝服务3．分布式拒绝服务攻击攻击者被控制机器群向目标发送数据包被攻击者攻击者入侵机器并取得控制一般的DDoS攻击模型可以分为攻击者、主控端和代理端。攻击者主控端代理端11.2.5数据驱动攻击数据驱动攻击是通过向某个程序发送数据，以产生非预期结果的攻击，通常为攻击者给出访问目标系统的权限，数据驱动攻击分为缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。11.3网络安全技术11.3.1常规安全技术在通用计算机安全技术中所涉及的几乎所有安全技术，都可以应用和集成到网络系统中，并根据网络的运行特点，尤其是网络的安全接入，改进和发展这些安全技术。1．用户认证（Authentication）3．数据保密与完整性2．访问控制（Authorization）原则4．管理审计（Accounting）11.3.2防火墙技术1．防火墙的概念网络防火墙是在一个可信任的内部网络与一个不可信任的外界网络之间，为控制信息流通所设立的安全防护措施，是在两个网络之间执行控制策略的系统。防火墙可以在内部网（Intranet）和公共互联网（Internet）间建立，也可以在要害部门、敏感部门与公共网间建立，还可以在各个子网间设立，其关键区别在于隔离与连通的程度。但必须注意，当分离型子网过多并采用不同防火墙技术时，所构成的网络系统很可能使原有网络互联的完整性受到损害。11.3.2防火墙技术2．防火墙的安全机制防火墙技术主要分为三类，即链路层技术、网络层技术和应用层技术，在具体的产品实施中上述技术具有双重或者多重性。（1）电路网关（4）新一代智能防火墙（2）包过滤机制（3）应用代理11.3.2防火墙技术3．防火墙的应用11.3.3入侵检测技术1．入侵检测系统分类基于主机的入侵检测系统（Host-based

IDS）基于网络的入侵检测系统（Network-based

IDS）混合分布式入侵检测系统（Hybrid

Distributed

IDS）2．CIDF入侵检测系统模型控制台响应单元事件分析器事件产生器事件数据库数据流控制流图11-8

入侵检测系统框图11.3.3入侵检测技术入侵检测系统响应机制事件响应或报警部分是入侵检测系统不可缺少的部分，报警的方法可以大致分为被动方式和主动方式，前者包括记录日志、通知管理员等；后者则包括切断攻击者的连接，甚至调整防火墙的配置以阻止攻击者的入侵等。入侵检测技术（1）基于行为的入侵检测技术阈值线超出统计阈值，确定为入侵输入层隐含层输出层主机或正常网络攻击1数据攻击nNorm

Profile确定为入侵，但事实上为误报11.3.3入侵检测技术（2）基于知识的入侵检测技术①专家系统②模型推理③状态转换分析T1T2登录失败登录失败登录失败登录失败S1S5S2

S3

S4图11-11

Petri

网分析一分钟内4

次登录失败11.3.3入侵检测技术5．检测方式简例（1）通过监视入侵端口/系统线程判别入侵监视入侵端口网络上都是通过端口通信的，不同的端口作用不同。使用浏览器查看网页，是通过80端口，在

IRC中聊天是通过6667端口。而类似于NETSPY等特洛伊木马软件，则通过7306或者其他端口进行通信，泄露资料。如果用软件监视7306等相应端口，就可以监视网络黑客的入侵。例如NukeNabber软件可设定监视7306端口，如果有人扫描该端口或试图进入你的7306端口，就会发出警告，同时提示攻击者的地址。11.3.3入侵检测技术5．检测方式简例（2）通过分析入侵原理确定检测策略拒绝服务攻击（DoS，Denial

of

ServiceAttack）是目前网络上比较普遍的入侵种类之一，对于几种常见的DoS攻击（其原理参见前面章节），分析如下。11.3.3入侵检测技术5．检测方式简例（2）通过分析入侵原理确定检测策略SYNFlood如果某一地址短时间内发出大量的建立连接的请求且没有ACK回应，则证明此IP被用来做SYN湮没攻击（具体的源IP地址往往不能说明任何问题，并且这种方法并不能检查出所有的SYN湮没）。Land攻击伪造IP地址和端口号，并将源地址和端口号设置成与目的地址及端口相同值，某些路由器设备及一些操作系统遇到此种情况就会不能正常工作甚至出现死机。检测，检查TCP或UDP包的源、目的地址、端口号是否相同即可发觉。11.3.3入侵检测技术5．检测方式简例（2）通过分析入侵原理确定检测策略Ping