《网络中的安全问题》

第10章网络中的平安问题10.1网络平安概述10.2IP欺骗10.3端口扫描10.4网络监听10.5拒绝效劳攻击10.6特洛伊木马实训工程10.1网络平安概述TCP/IP是目前Internet使用的协议。TCP/IP存在着一系列的平安缺陷。有的缺陷是由于源地址的认证问题造成的，有的缺陷那么来自网络控制机制和路由协议等。这些缺陷，是所有使用TCP/IP的系统所共有的.10.1.1TCP序列号预计 TCP序列号预计由莫里斯首先提出，是网络平安领域中最有名的缺陷之一。这种攻击的实质，是在不能接到目的主机应答确认时，通过预计序列号建立连接。这样，入侵者可以伪装成信任主机与目的主机通话10.1.2路由协议缺陷

(1)源路由选项的使用 (2)伪造ARP包 (3)RIP的攻击 (4)OSPF的攻击(1)源路由选项的使用 在IP包头中的源路由选项用于该IP包的路由选择，这样，一个IP包可以按照预告指定的路由到达目的主机。对于Cisco路由器，禁止源路由包可通过命令：noipsource-route实现。(2)伪造ARP包 伪造ARP包是一种很复杂的技术，涉及到TCP/IP及以太网特性的很多方面。伪造ARP包的主要过程是，以目的主机的IP地址和以太网地址为源地址发一ARP包，这样即可造成另一种IPspoof。(3)RIP的攻击如果入侵者宣布经过自己的一条通向目的主机的路由，将导致所有往目的的主机数据包发往入侵者。这样，入侵者就可以冒充是目的主机，也可以监听所有目的主机的数据包，甚至在数据流中插入任意的包。

解决上述问题的方法是：注意路由的改变信息。一个聪明的网关可以有效地摈弃任何明显错误的路由信息。RIP的认证、加密也是一种较好的方法。(4)OSPF的攻击 OSPF〔OpenShortestPathFirst〕协议是用于自治域内部的另一种路由协议。OSPF协议使用的路由算法是链路状态〔Link-State〕算法。在该算法中，每个路由器给相邻路由器宣布的信息是一个完整的路由状态，包括可到达的路由器，连接类型和其他相关信息。和RIP相比，虽然OSPF协议中实施了认证过程，但是该协议还存在着一些平安的问题。10.1.3网络监听 如果有一个网络设备专门收集播送而决不应答，那么，它就可以看到本网的任何计算机在网上传输的数据。如果数据没有经过加密，那么它就可以看到所有的内容。Sniffer就是一个在以太网上进行监听的专用软件。监听这个现象对网络的平安威胁是相当大的，因为它可以做到以下几点:〔1〕抓到正在传输的密码。〔2〕抓到别人的秘密〔信用卡号〕或不想共享的东西。〔3〕暴露网络信息。10.2IP欺骗10.2IP欺骗原理 1、信任关系 2、Rlogin 3、TCP序列号预测 4、序列编号、确认和其他标志信息 5、IP欺骗 6、IP欺骗的防止1、信任关系 信任关系是基于IP地址的。2、Rlogin Rlogin允许用户从一台主机登录到另一台主机上，并且，如果目标主机信任它，Rlogin将允许在不应答口令的情况下使用目标主机上的资源。平安验证完全是基于源主机的IP地址。3、TCP序列号预测 可以对IP堆栈进行修改，在源地址和目的地址中放入任意满足要求的IP地址，也就是说，提供虚假的IP地址。4、序列编号、确认和其他标志信息 TCP序列号预测最早是由Morris对这一平安漏洞进行阐述的。它使用TCP序列号预测，即使没有从效劳器得到任何响应也能产生一个TCP包序列，这使得它能欺骗在本地网络上的主机。5、IP欺骗IP欺骗由假设干步骤组成：〔1〕使被信任主机丧失工作能力 一旦发现被信任的主机，为了伪装成它，往往使其丧失工作能力。由于攻击者将要代替真正的被信任主机，攻击者必须确保真正被信任的主机不能接收到任何有效的网络数据，否那么将会被揭穿。有许多方法可以做到这些。〔2〕序列号取样和猜测 要对目标主机进行攻击，必须知道目标主机使用的数据包序列号。 一个和这种TCP序列号攻击相似的方法是使用NETSTAT效劳。在这个攻击中，入侵者模拟一个主机关机。如果目标主机上有NETSTAT，它能提供在另一端口上必须的序列号。这取消了所有要猜测的必要。6、IP欺骗的防止〔1〕抛弃基于地址的信任策略 阻止这类攻击的一种非常容易的方法就是放弃以地址为根底的验证。不允许r*类远程调用命令的使用；删除.rhosts文件；清空/etc/hosts.equiv文件。这将迫使所有用户使用其他远程通信手段，如telnet、ssh、skey等等。〔2〕进行包过滤 如果网络是通过路由接入Internet的，那么可以利用路由器来进行包过滤。确信只有您的内部LAN可以使用信任关系，而内部LAN上的主机对于LAN以外的主机要慎重处理。您的路由器可以帮助您过滤掉所有来自于外部而希望与内部建立连接的请求。〔3〕使用加密方法 阻止IP欺骗的另一种明显的方法是在通信时要求加密传输和验证。当有多种手段并存时，可能加密方法最为适用。〔4〕使用随机化的初始序列号 黑客攻击得以成功实现的一个很重要的因素，就是序列号不是随机选择的或者随机增加的。10.3端口扫描10.3.1端口扫描简介 扫描器是一种自动检测远程或本地主机平安性弱点的程序，通过使用它，能够扫描TCP端口，并记录反响信息，可以不留痕迹地发现远程效劳器中各种TCP端口的分配、提供的效劳和它们的软件版本。这就能直观地或间接地了解远程主机存在的平安问题。10.3.2端口扫描的原理 最简单的端口扫描程序仅仅是检查一下目标主机在哪些端口可以建立TCP连接，如果可以建立连接，那么说明该主机在那个端口监听。当然，这种端口扫描程序不能进一步确定端口提供什么样的效劳，也不能确定该效劳是否有众所周知的那些缺陷。 下面介绍入侵者们如何利用上述这些信息，来隐藏自己的端口扫描

: 1、TCPconnect()扫描 2、TCPSYN扫描

3、TCPFIN扫描 4、Fragmentation扫描 5、UDPrecfrom()和write()扫描 6、ICMP扫描1、TCPconnect()扫描 TCPconnect()是最根本的一种扫描方式。使用系统提供的connect()系统调用建立与目标主机端口的连接。如果端口正在监听，connect()就成功返回；否那么，说明该端口不可访问。2、TCPSYN扫描 一个RST响应说明该端口没有被监听。如果收到一个SYN/ACK，那么通过立即发送一个RST来关闭连接。这样做的好处是极少有主机来记录这种连接请求。不利之处在于，必须有超级用户权限才能建立这种可配置的SYN数据包。3.TCPFIN扫描 根本思想是关闭的端口将会用正确的RST来应答发送的FIN数据包；相反，翻开的端口往往忽略这些请求。这是一个TCP实现上的错误，也不是所有的系统都存在这类错误，因此，并不是100％有效。4、Fragmentation扫描 Fragmentation扫描并不是仅仅发送探测的数据包，而是将要发送的数据包分成一组更小的IP包。通过将TCP包头分成几段，放入不同的IP包中，使得包过滤程序难以过滤。5.UDPrecfrom()和write()扫描 没有root权限的用户不能直接得到端口不可访问的错误，但是Linux可以间接地通知用户。6、ICMP扫描 ICMP扫描并不是一个真正的端口扫描，因为ICMP并没得到端口的信息。然而，用PING这个命令，通常可以得到网上目标主机是否正在运行的信息。10.3.3端口扫描的工具1、NSS NSS，即网络平安扫描器，是一个非常隐蔽的扫描器。如果用流行的搜索程序搜索它，所能发现的入口不超过20个。这并非意味着NSS使用不广泛，而是意味着多数有该扫描器的FTP的站点处在暗处，或无法通过WWW搜索器找到它们。2.SATAN SATAN的英文全称为SecurityAdministratorToolforAnalyzingNetworks，即平安管理员的网络分析工具。SATAN是一个分析网络的平安管理、测试与报告工具。它用来收集网络上主机的信息，可以识别并且自动报告与网络相关的平安问题。3.Strobe Strobe是一个超级优化TCP端口检测程序，能快速地识别指定机器上正运行什么效劳，用于扫描网络漏洞。它可以记录指定机器的所有开放端口。Strobe运行速度很快，它的主要特点是能快速识别指定机器上正在运行什么效劳10.4网络监听10.4.1网络监听的原理 网络监听工具是提供给管理员的一类管理工具。这种工具本来是用来管理网络，监视网络的状态、数据流动情况以及网络上传输的信息的。但是，由于它能有效地截获网上的数据，因此也成了网上黑客使用最多的方法1、监听的可能性 网络监听是黑客们常用的一种方法。当黑客成功地登录到一台网络上的主机，并取得这台主机超级用户的权限之后，往往要扩大战果，尝试登录或者夺取网络中其他主机的控制权。而网络监听那么是一种最简单而且最有效的方法，它常常能轻易地获得用其他方法很难获得的信息。

在网络上，监听效果最好的地方是网关、路由器和防火墙。监听最方便的地方是以太网中任何一台上网的主机，这是大多数黑客的做法2、以太网中可以监听的原因 以太网协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包含着应该接收数据包的主机的正确地址。因此，只有与数据包中目标地址一致的那台主机才能接收数据包。但是，当主机工作在监听模式下，那么，无论数据包中的目标物理地址是什么，主机都将接收。10.4.2网络监听的检测1、简单的检测方法 网络监听是很难被发现的。运行网络监听的主机只是被动地接收在局域网上传输的信息，并没有主动的行动，既不会与其他主机交换信息，也不会修改在网上传输的信息包。这一切决定了网络监听的检测是非常困难的。(1)方法一 对于疑心运行监听程序的机器，用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处于监听状态的机器能接收，如果他的IPstack不再次反向检查，就会响应。这种方法依赖于系统的IPstack，对一些系统可能行不通(2)方法二 往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，会导致性能下降。通过比较前后该机器性能〔icmpechodelay等方法〕加以判断。这种方法难度比较大。

一个比较可行的检查监听程序的方法是搜索所有主机上运行的进程。当然，这几乎是不可能的。但是至少管理员可以确定是否有一个进程被从管理员机器上启动。在不同平台上执行这个操作的命令是不同的。那些使用Dos、Windowsforworkgroup或者Windows95的机器很难做到这一点。而使用UNIX和WindowsNT/2000的机器可以很容易地得到当前进程的清单。2、对付一个监听 击败一个监听程序的攻击并不十分困难。用户有多种选择，而最终采用哪一种取决于用户真正想做什么，剩下的就取决于运行时的开销了。3、其他防范监听的方法 一般能够接受的击败网络监听的方法是使用平安的拓扑结构。这种技术通常被称为分段技术。将网络分成一些小的网络，每一网段的集线器连接到一个交换机上(Switch)，因为网段是硬件连接的，因而包只能在该子网的网段之内被监听工具截获。这样，网络中剩余的局部〔不在同一网段的局部〕就被保护了4、ifstatus工具Ifstatus的开发者是DaveCurry。Ifstatus运行的UNIX操作系统中，它可以识别出系统的网络接口是否正处于调试状态或者说监听状态下。当网络接口运行在这种模式下，很可能是一个入侵者侵入了系统，正在运行一个监听程序，用来截获在网络上传送的口令和其他明文形式的信息。 网络监听是网络管理很重要的一个环节，同时也是黑客们常用的一种方法。事实上，网络监听的原理和方法是广义的，例如路由器也是将传输中的包截获，进行分析并重新发送出去。许多的网络管理软件都少不了监听这一环节。而网络监听工具只是这一大类应用中的一个小的方面。对网上传输的信息进行加密，可以有效地防止网络监听的攻击10.5拒绝效劳攻击10.5.1概述 拒绝效劳，即DenialofService，简称DoS，从因特网诞生以来就伴随着因特网的开展而一直存在，并不断地开展和升级。由于它的不易识别和觉察性以及简易性，因而一直是困扰网络平安的重大隐患。 拒绝效劳是一种简单的破坏性攻击，通常攻击者利用TCP/IP中的某个漏洞，或者系统存在的某些漏洞，对目标系统发起大规模的攻击，使得攻击目标失去工作能力，使得系统不可访问因而合法用户不能及时得到应得的效劳或系统资源，如CPU处理时间与存储器等。它最本质的特征是延长正常的应用效劳的等待时间。主要表现为以下几个方面：(1)企图湮灭一个网络，中断正常的网络流量；(2)企图破坏两个机器之间的连接，禁止访问可用效劳；(3)企图阻止某一特定用户对网络上效劳的访问；(4)企图破坏一个特定系统或使其不能提供正常访问10.5.2拒绝效劳攻击的原理1、拒绝效劳的模式 拒绝效劳有很多分类方法，按照入侵方式，拒绝效劳可以分为资源消耗型，配置修改型，物理破坏型以及效劳利用型。(1)资源消耗型 资源消耗型拒绝效劳是指入侵者试图消耗目标的合法资源，例如网络带宽、内存和磁盘空间以及CPU使用率，从而到达拒绝效劳的目的。(2)配置修改型计算机配置不当可能造成系统运行不正常甚至根本不能运行。入侵者通过改变或者破坏系统的配置信息来阻止其他合法用户来使用计算机和网络提供的效劳，主要有以下几种：改变路由信息；修改WindowsNT注册表；修改UNIX的各种配置文件(3)物理破坏型 物理破坏型拒绝效劳主要针对物理设备的平安，入侵者可以通过破坏或改变网络部件以实现拒绝效劳。(4)效劳利用型 利用入侵目标的自身资源实现入侵意图，由于被入侵系统具有漏洞和通信协议的弱点，这给了入侵者提供了入侵的时机2、拒绝效劳常用方法(1)死亡之Ping(PingofDeath)①原理Ping入侵是通过向目标端口发送大量超大尺寸的ICMP包来实现的。②防御这种方式主要是针对Windows9X操作系统的，而UNIX、Linux、Solaris与Mac等大多数操作系统都具有抵抗一般PingofDeath入侵的能力(2)Teardrop①原理 链路层具有最大传输单元MTU这个特性，它限制了数据帧的最大长度，不同的网络类型都有一个上限值。以太网的MTU是1500，可以用netstat—i命令查看这个值。如果IP层有数据包要传，而且数据包的长度超过了MTU，那么IP层就要对数据包进行分片操作，使每一片的长度都小于或等于MTU。每一IP分片都各自路由，到达目的主机在IP层重组，IP首部中的数据能够正确完成分片的重组。假设在IP分组中指定一个非法的偏移值，将可能造成某些协议软件出现缓冲区覆盖，导致系统崩溃。②防御 Windows操作系统应打上最新的ServicePack,目前的Linux内核已经不受影响；如果可能，应在网络边界上禁止碎片包通过，或者用iptables限定每秒通过碎片包的数目；如果防火墙有重组碎片的功能，应确保自身的算法没有问题，否那么拒绝效劳就会影响整个网络；在Windows2000操作系统中，可以自定义IP平安策略并设置碎片检查(3)Land①原理 Land是由著名黑客组织RootShell发现的，原理比较简单，就是向目标机发送源地址与目的地址一样的数据包，造成目标机解析Land包占用太多资源，从而使网络功能完全瘫痪。②防御 打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有源地址是内部地址的数据包过滤掉

(4)Smurf①原理 这种方法结合了使用了IP欺骗和ICMP回复方法，使大量网络传输充满目标系统，导致目标系统拒绝为正常系统效劳。②防御 可以分别在源站点、中间站点和目标站点采取以下步骤，以限制Smurf入侵。阻塞Smurf入侵的源头阻塞Smurf的中间站点防止Smurf入侵目标站点(5)PingFlood①原理 当黑客伪装成被入侵主机向一个播送地址发送ping请求时，所有这个播送地址内的主机都会回应这个Ping请求〔当然是回应入侵主机，人人都认为是它Ping的〕。这样，相当于n倍的入侵力度〔n＝播送地址内回应Ping包的主机数量〕。②防范 关闭broadcast播送功能；实行包过滤〔packetfiltering〕；关闭ICMPEchoReply功能。(6)SYNFlood①原理 正常的一个TCP连接需要连接双方进行“3次握手〞，假设一个用户向效劳器发送了SYN报文后突然死机或掉线，那么效劳器在发出SYN＋ACK应答报文后是无法收到客户端的ACK报文的〔第三次握手无法完成〕。②防范第一种是缩短SYNTimeout的时间，第二种方法是设置SYNCookie，(7)UDPFlood①原理 如果恶意入侵者将两个UDP效劳互指，那么网络可用带宽会很快耗尽。②防范 对于UDPFlood入侵，防火墙只能通过防止数据报文的回应来减少效劳器的负荷，而无法防止网络的拥塞。对于网络拥塞的问题，那么需要相关的路由器和交换机等网络根底设施的配合。10.6特洛伊木马 特洛伊木马程序并不是一种病毒，因为它不具有病毒的可传染性、自我复制能力等特性，但是特洛伊木马程序具有很大的破坏力和危害性。这一节里主要介绍特洛伊木马的根本概念、原理以及如何预防和去除特洛伊木马。10.6.1特洛伊木马程序简介所谓特洛伊木马程序，是指以下几种情况之一一种未经授权的程序，它包含在一段正常的程序当中。这个未经授权的程序提供了一些用户不知道〔也可能是不希望实现的〕的功能。一段合法的程序，但是它的功能已经被安装在其中的未经授权的代码改变了。这些代码提供了一些用户不知道的〔也可能是不希望实现的〕功能。 任何一段程序，似乎是提供了一系列符合用户需要的功能，但是由于在其中包含了一些用户不知道的未经授权的代码，使得该程序有一些不为用户所知道〔也可能是不希望实现的〕功能10.6.2特洛伊木马程序程序的位置和危险级别特洛伊木马程序代表了一种很高级别的威胁危险，主要是有以下几个原因。特洛伊木马程序很难被发现。在许多情况下，特洛伊木马程序是在二进制代码中发现的，它们大多以无法阅读的形式存在。特洛伊木马程序可以作用于许多机器中10.6.3特洛伊木马的类型 根据特洛伊木马的不同特点，大致可以分为以下几种类型1、远程访问型特洛伊木马2、密码发送型特洛伊木马3、键盘记录型特洛伊木马4、毁坏型特洛伊木马5、FTP型特洛伊木马1、远程访问型特洛伊木马 这种特洛伊木马是现在使用最广泛的特洛伊木马。它可以访问其他用户的硬盘。2、密码发送型特洛伊木马 这种特洛伊木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。3、键盘记录型特洛伊木马 这种特洛伊木马是非常简单的。它们只做一种事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。4、毁坏型特洛伊木马 这种特洛伊木马的惟一功能是毁坏并且删除文件，这使它们非常简单，并且很容易被使用。5、FTP型特洛伊木马 这种特洛伊木马将翻开用户机器的端口21，使每一个人都有一个FTP客户端可以不用密码就连接到用户的机器，并且会有平安的上传和下载选项。10.6.4特洛伊木马的检测1、检测的根本方法 对于特洛伊木马程序的检测方式与用户的平安需求和平安级别有关。如果用户比较重要或敏感的数据放在效劳器上〔一般建议不要这样做〕，那么可能需要采取比较严格的检测措施。如果在效劳器上没有这些信息，或者用户数据是可以局部共享的，那么采取一般的简单检测措施即可。2、检测工具MD5 有一些对付特洛伊木马程序的方法，其中之一就是数字签名技术，用来保护已有的程序不被更换，这需要计算现有的每个文件的数字指纹〔数字签名〕，通过文件加密的方法和解密验证来检查文件的变化。这是由一些算法来实现的，其中最常用的是MD5算法10.6.5特洛伊木马的防范1、特洛伊木马的根本工作原理(1)在任务栏中隐藏自己，这时最根本的解决方法是把Form的Visible属性设为False,ShowInTackBar属性设为False，程序运行时就不会出现在任务栏中了。

(2)在任务管理器中隐形：将程序设为“系统效劳〞可以很轻松地伪装自己。特洛伊木马程序悄无声息地启动，而不是在用户每次启动后点击特洛伊木马图标才运行效劳端程序。特洛伊木马程序会在每次用户启动时自动装载效劳端，它可以充分利用Windows操作系统启动时自动加载应用程序的方法，例如，启动组、win.ini、system.ini与注册表等都是特洛伊木马藏身的好地方2、去除特洛伊木马的一般方法 知道了特洛伊木马的工作原理，查杀就变得很容易。如果发现有特洛伊木马存在，首要的一点是立即将计算机与网络断开，防止黑客通过网络对用户计算机所进行的攻击。

在对付特洛伊木马程序方面，综合起