网络安全导论 课件 第三章 数据的状态与攻防

第三章

数据的状态与攻防2讨论议题1、数据的状态2、攻防模型3、攻防概述3提示网络安全之所以又叫信息安全，就是因为网络攻防一般都是围绕信息展开。数据是信息的载体，深入研究数据从产生到完全销毁的整个生命周期中的存在形式（信息的状态）和存在环境是攻击和防守的基础。处于加工处理状态的信息是以进程的形式体现的，处于存储状态的信息是以文件的形式体现的，而处于传输状态的信息则是以协议数据单元的形式体现的。攻击者攻击成功的标志是成功破坏了防护者信息安全目标中的一个或多个。对处于加工处理状态和存储状态的信息的攻击，攻击者往往利用操作系统在进程管理、内存管理、文件管理、设备管理等方面的漏洞或应用程序的漏洞来实现相关攻击。而对传输中的信息攻击往往是利用通信协议的脆弱性来实现。4本章重点要求(1)认真体会攻、防所需知识的深度和广度;(2)能针对每一种安全服务（如保密性）列出其对应的常用实现机制;(3)对进程、线程和协议数据单元的内部结构有个大致认识。5第一节数据的状态加工处理状态传输状态数据的状态存储状态1数据处于加工处理状态

数据在内存或寄存器中数据是属于进程的.进程控制块中的数据

数据区中的数据堆栈中的数据有些数据是可以共享的数据体现在进程中现代计算机都是在操作系统的统一指挥和控制下实现对信息的加工处理的。操作系统对内存和处理器的分配和管理都是以进程为单位来实现的。因此处于加工和处理状态中的数据都是属于某一个进程的。进程–正在执行的程序,包括代码指针堆栈:whichcontainstemporarydata.数据段：whichcontainsglobalvariables数据在内存中进程控制块(PCB)

操作系统通过进程控制块来感知和调度进程进程状态指针CPU寄存器的值CPU调度信息内存管理信息记帐信息输入输出信息ProcessControlBlock(PCB)例1：查看系统当前运行的进程下面的例子（02ProcessList工程）取得了一个正在运行的进程列表。首先使用CreateToolhelp32Snapshot函数给当前系统内执行的进程拍快照（Snapshot），也就是获得一个进程列表，这个列表中记录着进程的ID、进程对应的可执行文件的名称和创建该进程的进程ID等数据。然后使用Process32First函数和Process32Next函数遍历快照中记录的列表。对于每个进程，我们都将打印出其可执行文件的名称和进程ID号。具体代码如下。#include<windows.h>#include<tlhelp32.h>//声明快照函数的头文件intmain(intargc,char*argv[]){ PROCESSENTRY32pe32; //在使用这个结构之前，先设置它的大小

pe32.dwSize=sizeof(pe32); //给系统内的所有进程拍一个快照

HANDLEhProcessSnap=::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); if(hProcessSnap==INVALID_HANDLE_VALUE) { printf("CreateToolhelp32Snapshot调用失败！\n"); return-1; } //遍历进程快照，轮流显示每个进程的信息

BOOLbMore=::Process32First(hProcessSnap,&pe32); while(bMore) { printf("进程名称：%s\n",pe32.szExeFile); printf("进程ID号：%u\n\n",pe32.th32ProcessID); bMore=::Process32Next(hProcessSnap,&pe32); } //不要忘记清除掉snapshot对象

::CloseHandle(hProcessSnap); return0;}例2缓冲区溢出攻击例3：获取管理员密码

Windows环境下，用户登录后，所有的用户信息都存储在系统的一个进程winlogon.exe中。可以利用软件FindPass等工具对进程进行分析，找出用户的登录名和密码Windows2000/XP

进程通信机制

信号(signal)共享存储区(sharedmemory)管道(pipe)邮件槽(mailslot)套接字(socket)2数据处于存储状态数据在硬盘数据在信箱(硬盘中)数据在移动设备中光盘

大容量便携盘数据是以文件的形式存储的17磁道扇区DiskStructure18柱面扇区磁臂磁头

文件的概念文件是指存储在外存储器上的相关数据的集合，是操作系统定义和实现的一种抽象数据类型，是操作系统为信息存储提供的一个统一视图。Types:DatanumericcharacterbinaryProgramThemajortaskfortheOSistomapthelogicalfileconceptontophysicalstoragedevices.文件的组织文件系统一个典型的文件系统一种文件分配方案---链接分配索引式文件分配FileSystemMountingJustasafilemustbeopenedbeforeitisused,afilesystemmustbemounted

beforeitcanbeaccessed.E.g:Thedirectorystructurecanbebuiltoutofmultiplepartitions,whichmustbemountedtomakethemavailablewithinthefilesystemnamespace.Aun-mountedfilesystem(i.e.Fig.11-11(b))ismountedatamountpointFileSharingSharingoffilesonmulti-usersystemsisdesirable

Sharingmaybedonethroughaprotectionscheme

Ondistributedsystems,filesmaybesharedacrossanetwork

NetworkFileSystem(NFS)isacommondistributedfile-sharingmethod例3：数据恢复软件对于不小心删除了的文件，如果原来存储位置没有被别的数据覆盖，则原则上可以恢复。数据恢复软件就是根据文件系统的基本原理做出来的。例4、注册表修改注册表在计算机中由键名和键值组成，注册表中存储了Window操作系统的所有配置。黑客90%以上对Windows的攻击手段都离不开读写注册表。在运行窗口中输入“regedit”命令可以进入注册表，注册表的界面如图所示。

注册表修改注册表的句柄可以由调用RegOpenKeyEx()和RegCreateKeyEx()函数得到的，通过函数RegQueryValueEx()可以查询注册表某一项的值通过函数RegSetValueEx()可以设置注册表某一项的值。判断是否中了“冰河”中了“冰河”的计算机注册表都将被修改了，修改了扩展名为txt的文件的打开方式，在注册表中txt文件的打开方式定义在HKEY_CLASSES_ROOT主键下的“txtfile\shell\open\command”中，如图3-40所示。判断是否中了“冰河”main(){ HKEYhKEY; LPCTSTRdata_Set="txtfile\\shell\\open\\command"; longret0=(RegOpenKeyEx(HKEY_CLASSES_ROOT, data_Set,0,KEY_READ,&hKEY)); if(ret0!=ERROR_SUCCESS)//如果无法打开hKEY，则终止程序的执行

{ return0; } //查询有关的数据

LPBYTEowner_Get=newBYTE[80]; DWORDtype_1=REG_EXPAND_SZ; DWORDcbData_1=80; longret1=RegQueryValueEx(hKEY,NULL,NULL, &type_1,owner_Get,&cbData_1); if(ret1!=ERROR_SUCCESS) { return0; }

if(strcmp((constchar*)owner_Get,"%systemroot%\\system32\\notepad.exe%1")==0) { printf("没有中冰河"); } else { printf("可能中了冰河"); } printf("\n");}3数据处于传输状态数据在传输介质中。数据的传输是遵照一定协议的。TCP/IP协议是Internet最基本的协议。数据是分块传输的。33磁介质

高带宽、低费用、高延时（小时）例：7GB/8mm，1000盘/50*50*50cm，24h可送到任何地方。总容量=7*1000*8Gbits，总时间=24*60*60=86400s

传送速率=56000Gb/86400s=648Mb/s金属导体双绞线、同轴电缆(粗、细)光纤无线介质无线电、短波、微波、卫星、光波传输介质34常用传输媒体的比较35应用层传输层网络接口网际层●IP●ICMP●ARP●RARPTCP/IP网际层的四个主要协议36TCP/IP与应用层应用层协议支持了文件传输、电子邮件、远程登录、网络管理、Web浏览等应用。应用层传输层网络接口网际层文件传输

●FTP、TFTP、NFS电子邮件

●SMTP、POP3WWW应用

●HTTP远程登录

●Telnet、rlogin网络管理

●SNMP名字管理

●DNS37应用层传输层网络接口网际层面向连接的

●TCP无连接的

●UDP传输层提供了两种传输协议38两个基本概念面向连接的服务：通信之前建立连接，通信过程中保持连接，通信结束拆除连接。无连接的服务：通信双方不需要建立和维持连接IP数据包

IPHeaderTCP（UDP）

HeaderDataIPv4IP头的结构版本（4位）头长度（4位）服务类型（8位）封包总长度（16位）封包标识（16位）标志（3位）片断偏移地址（13位）存活时间（8位）协议（8位）校验和（16位）来源IP地址（32位）目的IP地址（32位）选项（可选）填充（可选）数据TCP协议的头结构和IP一样，TCP的功能受限于其头中携带的信息。因此理解TCP的机制和功能需要了解TCP头中的内容，下表显示了TCP头结构。来源端口（2字节）目的端口（2字节）序号（4字节）确认序号（4字节）头长度（4位）保留（6位）URGACKPSHRSTSYNFIN窗口大小（2字节）校验和（16位）紧急指针（16位）选项（可选）数据TCP的三次握手（第一次握手）43第二节信息攻、防模型2024/5/31存储和加工处理状态信息的攻防模型

2024/5/31模型要求Usingthismodelrequiresusto:大门:selectappropriategatekeeperfunctionstoidentifyusers内部控制与审查:implementsecuritycontrolstoensureonlyauthorisedusersaccessdesignatedinformationorresourcesTrustedcomputersystemsmaybeusefultohelpimplementthismodel传输状态下信息攻防模型Allthetechniquesforprovidingsecurityhave:Asecurity-relatedtransformationontheinformationtobesentSomesecretinformationsharedbythetwoprincipalsand,itishoped,unknowntotheopponent模型要求Usingthismodelrequiresusto:designasuitablealgorithmforthesecuritytransformationgeneratethesecretinformation(keys)usedbythealgorithmdevelopmethodstodistributeandsharethesecretinformationspecifyaprotocolenablingtheprincipalstousethetransformationandsecretinformationforasecurityservice48第三节攻防概述

攻击任何危及信息安全的行为都称为攻击，攻击者攻击成功的标志是成功破坏了防护者信息安全目标中的一个或多个，例如破坏数据的保密性、完整性等。对处于加工处理状态和存储状态的信息的攻击，攻击者往往利用操作系统在进程管理、内存管理、文件管理、设备管理等方面的漏洞或应用程序的漏洞来实现相关攻击。而对传输中的信息攻击往往是利用通信协议的脆弱性来实现。PassiveAttack--releaseofcontentsPassiveAttack—trafficanalysisActiveAttack—MasqueradeActiveAttack—ReplayActiveAttack—ModificationofmessagesActiveAttack—Denialofservice对安全的攻击Interruption:ThisisanattackonavailabilityInterception:ThisisanattackonconfidentialityModification:ThisisanattackonintegrityFabrication:Thisisanattackonauthenticity防护——安全服务RFC2828