1、赵 洋 副教授 电子科技大学计算机学院,,网络时代的信息安全,内容提要,黑客素描,1. 安全概述,什么是信息安全,信息、信息技术、信息安全,信息,信息技术,信息安全,信息安全演变历程,Copyright电子科技大学计算机学院,上世纪60年代,上世纪80-90年代,信息安全,通信保密,信息保障,上世纪90年代,机密性,机密性,完整性,可用性,保护,检测,反应,恢复,案例一:防不胜防的网络欺骗,QQ网络钓鱼,QQ盗号木马,案例一的安全启示,系统安全防护,网络诈骗,病毒/木马,案例二无处不在的黑客入侵,明文密码!,机密信息,企业网络,案例二的安全启示,木马/黑客,系统漏洞,犯罪/取证,电子商务安全,
2、案例三没有硝烟的信息战场,enigma,监听到德军 军事部署(密),破解成功,网络时代信息是国家最重要的战略资源之一,击中,击中,案例三的安全启示,网络攻击,网络防御,应急响应,1.2 黑客素描,“头号电脑黑客”凯文 米特尼克 Kevin Mitnick,1964年出生。3岁父母离异,致性格内向、沉默寡言。4岁玩游戏达到专家水平。 13岁喜欢上无线电活动,开始与世界各地爱好者联络。编写的电脑程序简洁实用、倾倒教师。 15岁闯入“北美空中防务指挥系统”主机,翻阅了美国所有的核弹头资料、令大人不可置信。 不久破译了美国“太平洋电话公司”某地的改户密码,随意更改用户的电话号码。并与中央联邦调查局的特
3、工恶作剧。 被电脑信息跟踪机发现第一次被逮捕。,“头号电脑黑客”凯文 米特尼克 Kevin Mitnick,出狱后,又连续非法修改多家公司电脑的财务帐单。1988年再次入狱,被判一年徒刑。 1993年(29岁)逃脱联邦调查局圈套。 1994年向圣地亚哥超级计算机中心发动攻击,该中心安全专家下村勉决心将其捉拿归案。 期间米特尼克还入侵了美国摩托罗拉、NOVELL、SUN公司及芬兰NOKIA公司的电脑系统,盗走各种程序和数据(价4亿美金)。 下村勉用“电子隐形化”技术跟踪,最后准确地从无线电话中找到行迹,并抄获其住处电脑。,“头号电脑黑客”凯文 米特尼克 Kevin Mitnick,1995年2月
4、被送上法庭,“到底还是输了”。 2000年1月出狱,3年内被禁止使用电脑、手机及互联网。(材料引自骇世黑客余开亮 张兵编),罗伯特 泰潘 莫里斯,1965年生,父为贝尔实验室计算机安全专家。 从小对电脑兴趣,有自己账号。 初中时(16岁)发现UNIX漏洞,获取实验室超级口令并提醒其父。 1983年入哈佛大学,一年级改VAX机为单用户系统。 可以一连几个小时潜心阅读2000多页的UNIX手册,是学校里最精通UNIX的人。学校为他设专线。 1988年成为康奈尔大学研究生,获“孤独的才华横溢的程序专家”称号。,罗伯特 泰潘 莫里斯,1988年10月试图编写一个无害病毒,要尽可能传播。11月2日病毒开
5、始扩散,但一台台机器陷入瘫痪!10%互联网上的主机受影响,莫里斯受到控告,被判3年缓刑、1万元罚金和400小时的社区服务,也停顿了康奈尔大学的学习。,什么是黑客 ?,黑客hacker是那些检查(网络)系统完整性和安全性的人,他们通常非常精通计算机硬件和软件知识,并有能力通过创新的方法剖析系统。“黑客”通常会去寻找网络中漏洞,但是往往并不去破坏计算机系统。 入侵者Cracker只不过是那些利用网络漏洞破坏网络的人,他们往往会通过计算机系统漏洞来入侵,他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。 现在hacker和Cracker已经混为一谈,人们通常将入侵计算机系统的人统称为黑客.
6、,黑客入侵和破坏的危险,黑客在网上的攻击活动每年以十倍速增长。 修改网页恶作剧、窃取网上信息兴风作浪。 非法破坏程序、阻塞用户、窃取密码。 进入银行网络转移金钱、电子邮件骚扰。 攻击网络设备,使网络设备瘫痪。 利用网络安全的脆弱性,无孔不入!,CIA HOMEPAGE,DOJ HOMEPAGE,USAF,HOMEPAGE,被黑的WEB页面,黑客站点,INTERNET 上有超过30,000 个黑客站点: 黑客咨询站 http:/ 黑暗魔域 http:/ 黑客专家 http:/ 黑客工作室 http:/ 中国红客 http:/ 黑客俱乐部 http:/ ,G. Mark Hardy,通用信息安全模
7、型,2. 信息安全防护体系,安全防护体系实例,行政楼,学生宿舍,运动场,实验楼,教学楼,食堂,校门,校园,行政楼,学生宿舍,运动场,实验楼,教学楼,食堂,校门,校园安全防护体系,安全防护分析,安全防护阶段,事先防御实时监测事后响应,校园安全防护,围墙隔离 门卫核查 特殊接送 视频监控 保卫巡逻 火灾探测 报警、急救 事故认定、问责 修复、加固,信息安全防护,网络隔离 防火墙 加密传输 病毒监控 入侵监测 系统/用户行为监控 报警、急救 取证、问责 修复、加固,一个通用的信息安全模型,恢复,反应,检测,保护,攻击,成功,成功,身份认证 加解密 访问控制 防火墙 操作系统安全,入侵检测 漏洞检测,
8、电子取证 入侵追踪,数据恢复 系统恢复,3. 常用攻击及防护手段,漏洞扫描,特洛伊木马,网络嗅探(Sniffer)技术,拒绝服务和分布式拒绝服务,窃取口令,欺骗技术,缓冲区溢出,3.1 缓冲区溢出,什么是缓冲区溢出?简单地说,缓冲区溢出就是向堆栈中分配的局部数据块中写入了超出其实际分配大小的数据,导致数据越界,结果覆盖了原先的堆栈数据缓冲区溢出可以使得主机系统瘫痪;可以获取系统的登录账号;可以获得系统的超级用户权限。,黑客攻击目标是常常把破译普通用户的口令作为攻击的开始。先找出主机上的用户帐号,然后就采用蛮力攻击法和解密破译法进行攻击。,3.2 窃取口令,原理:根据网络上的用户常采用的一些英语
9、单词或自己的姓氏作为口令的实际情况。通过一些程序,自动地从计算机字典中取出一个单词,作为用户口令输入给远端的主机,尝试进入系统。若口令错误,就按序取出下一个单词,进行下一个尝试,并且一直循环下去,直到找到正确的口令或直到找到正确的口令或字典的单词试完为止。,方法一:蛮力攻击法,方法二 解密破译法,首先夺取目标中存放口令的文件shadow或passwd 现代的Unix操作系统中,用户的基本信息存放在passwd文件中,而所有的口令则经过DES加密方法加密后专门存放在一个叫shadow(影子)的文件中 老版本的Unix没有shadow文件,它所有的口令都存放在passwd文件中 用专解DES加密法
10、的程序来解口令,3.3 特洛伊木马基本原理及分类,远程控制类 输出shell类 信息窃取类,特洛伊木马植入方式,利用系统漏洞安装,电子邮件或其他网络联系工具传播,手工放置,特洛伊木马发展趋势,跨平台性 模块化设计 与病毒技术的结合,3.4 漏洞扫描,扫描类型地址扫描,XXX.XXX.XXX.XXX,扫描类型端口扫描,主机可使用的端口号为065535,前1024个端口是保留端口,这些端口被提供给特定的服务使用。 常用的服务都是使用标准的端口,只要扫描到相应的端口开着,就能知道目标主机上运行着什么服务。然后入侵者才能针对这些服务进行相应的攻击。,扫描类型漏洞扫描,漏洞扫描是使用漏洞扫描程序对目标系
11、统进行信息查询,通过漏洞扫描,可以发现系统中存在的不安全的地方 例如:操作系统漏洞、弱口令用户、应用程序漏洞、配置错误等,高级扫描技术半开放扫描,正常三次握手,高级扫描技术 FIN扫描,高级扫描技术慢速扫描,如果扫描是对非连续性端口、源地址不一致、时间间隔很长且没有规律的扫描的话,这些扫描的记录就会淹没在其他众多杂乱的日志内容中 使用慢速扫描的目的就是骗过防火墙和入侵检测系统而收集信息。虽然扫描所用的时间较长,但是这是一种较难发现的扫描,高级扫描技术乱序扫描,普通的扫描器在扫描远程系统的端口时,对端口扫描的顺序是有序的,这种按照一定的顺序扫描端口的方式很容易被入侵检测系统发觉。 乱序扫描的端口
12、号的顺序是随机生产的,这种方式能有效的欺骗某些入侵检测系统而不会被入侵检测系统发觉,反扫描技术,禁止不必要的服务 屏蔽敏感信息 合理配置防火墙和IDS 陷阱技术Honeypot,3.5 嗅探器(Sniffer),定义嗅探器 (Sniffer)是能够从网络设备上捕获网络报文的一种工具Sniffer名称的来由通用网络公司开发的一个程序NAI,Sniffer危害,嗅探器能够捕获口令 能够捕获专用的或者机密的信息危害网络邻居的安全 获取更高级别的访问权限 获得进一步进行攻击需要的信息,Sniffer防治及检测,规划网络合理的利用交换机、路由器、网桥等设备来对网络进行分段 采用加密会话 对安全性要求高的
13、数据通讯进行加密传输 例如采用目前比较流行的SSL协议以及使用SSH这样的安全产品 使用检测工具TripWar Anti-Sniffer,3.6 拒绝服务攻击,什么是拒绝服务攻击? 为什么要进行Dos攻击 放置木马需要重启 使用IP欺骗,使冒用主机瘫痪 使得被攻击的目标主机的日志系统失效 DoS攻击 land, teardrop, SYN flood ICMP: smurf,拒绝服务: LAND 攻击,攻击者 172.18.1.1,目标 204.241.161.12,欺骗性的 IP 包 源地址 204.241.161.12 Port 139 目的地址 204.241.161.12 Port 1
14、39 TCP Open,G. Mark Hardy,拒绝服务: LAND 攻击,攻击者 172.18.1.1,目标 204.241.161.12,IP包欺骗 源地址 204.241.161.12 Port 139 目的地址 204.241.161.12 Port 139 包被送回它自己,G. Mark Hardy,防范:代理类的防火墙,攻击者 172.18.1.1,目标 204.241.161.12,IP包欺骗 源地址 204.241.161.12 Port 139 目标地址 204.241.161.12 Port 139 TCP Open,防火墙,防火墙把有危险的包 阻隔在网络外,G. Ma
15、rk Hardy,TCP同步泛滥,攻击者 172.18.1.1,目标 192.0.2.1,欺骗性的 IP 包 源地址不存在 目标地址是 192.0.2.1 TCP Open,G. Mark Hardy,TCP SYN 泛滥,攻击者 172.18.1.1,目标 192.0.2.1,同步应答响应 源地址 192.0.2.1 目标地址不存在 TCP ACK,G. Mark Hardy,SYN攻击示意图,Smuff攻击示意图,第一步:攻击者向被利用网络A的广播地址发送一个ICMP 协议的echo请求数据报,该数据报源地址被伪造成10.254.8.9,第二步:网络A上的所有 主机都向该伪造的源地址 返回
16、一个echo响应,造成该主机服务中断。,分布式拒绝服务(DDOS),以破坏系统或网络的可用性为目标 常用的工具: Trin00, TFN/TFN2K, Stacheldraht 很难防范 伪造源地址,流量加密,因此很难跟踪,client,target,DDoS攻击网络结构图,客户端,客户端,主控端,主控端,主控端,主控端,代理端,代理端,代理端,代理端,代理端,代理端,代理端,代理端,分布式拒绝服务攻击步骤1,Scanning Program,不安全的计算机,Hacker,Internet,Hacker,被控制的计算机(代理端),黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后
17、门、sniffer或守护程序甚至是客户程序。,2,Internet,分布式拒绝服务攻击步骤2,Hacker,黑客在得到入侵计算机清单后,从中选出满足建立网络所需要的主机,放置已编译好的守护程序,并对被控制的计算机发送命令。,3,被控制计算机(代理端),Master Server,Internet,分布式拒绝服务攻击步骤3,Hacker,Using Client program, 黑客发送控制命令给主机,准备启动对目标系统的攻击,4,被控制计算机(代理端),Targeted System,Master Server,Internet,分布式拒绝服务攻击步骤4,Internet,Hacker,主机
18、发送攻击信号给被控制计算机开始对目标系统发起攻击。,5,Master Server,TargetedSystem,被控制计算机(代理端),分布式拒绝服务攻击步骤5,Targeted System,Hacker,目标系统被无数的伪造的请求所淹没,从而无法对合法用户进行响应,DDOS攻击成功。,6,Master Server,User,Internet,被控制计算机(代理端),分布式拒绝服务攻击步骤6,分布式拒绝服务攻击,DDOS攻击的效果由于整个过程是自动化的,攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说,在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数
19、据量的猛烈攻击,这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。,3.7 欺骗攻击,纯技术性 利用了TCP/IP协议的缺陷 不涉及系统漏洞 较为罕见 1994.12.25,凯文.米特尼克利用IP欺骗技术攻破了San Diego计算中心 1999年,RSA Security公司网站遭受DNS欺骗攻击 1998年,台湾某电子商务网站遭受Web欺骗攻击,造成大量客户的信用卡密码泄漏 欺骗攻击的主要类型: IP欺骗攻击 Web欺骗攻击 DNS欺骗攻击,IP欺骗攻击,利用主机间的信任关系 在admin的home目录中创建文件,在A上使用echo “B admin”/.rhosts,实现A与B的
20、信任关系 从主机B上可以调用所有远程调用命令 该信任关系基于IP地址,A: admin,B: admin,Web欺骗,何谓Web欺骗? 创造一个Web站点的映像,使得用户的连接被接入到Hacker的服务器,达到欺骗网络用户的目的。 为什么会受到Web欺骗? 监控网络用户; 窃取帐户信息; 损坏网站形象;,DNS欺骗,比较复杂;使用起来比IP欺骗简单 RSA Security网站曾被成功攻击 DNS欺骗原理 IP与域名的关系 DNS的域名解析,保护网络安全的常用手段,1)制定详细的安全策略。 2)安装防火墙。 3)加强主机安全。 4)采用加密和认证技术。 5)加强入侵检测。 6)安装备份恢复与审
21、计报警系统。,4. 个人信息与信息系统安全,如何保护个人信息与信息系统安全? 从信息安全意识开始 认识问题是解决问题的第一步 留个人信息要谨慎 使用安全的账户 良好的使用习惯 从个人信息系统入手 处理个人信息的基本工具,系统保护安装、配置、维护装机安全 装机安全 密码问题 配置安全 帐户管理:禁止不用的帐户 服务管理:关掉不必要的服务 防火墙:启用和管理防火墙 使用安全 防病毒系统 自动更新 远程桌面 常见服务进程与开放端口,4.1 个人信息系统保护,从个人计算机保护入手 你的需求机器主要用来做什么? 软件列表: 操作系统、驱动程序、杀毒软件 办公软件、下载工具、虚拟光驱、多媒体播放器等 IP
22、地址,掩码,网关,DNS 用户名/密码,个人信息系统安全装机安全,装机过程的注意事项 使用正版软件(或者安全渠道得到的软件) 安装过程拔掉网线 一定要设密码(用户名/密码) 立即安装防病毒软件 插上网线之前,启用系统防火墙 立即打补丁,个人信息系统安全装机安全,密码选择:易记不易猜 床前明月光 疑是地上霜 举头望明月 低头思故乡 Cyjd!1 密码策略 别少于6位 定期更换,区别使用 忘掉生日,姓名和字典吧! 长度,广度,深度,个人信息系统安全密码问题,帐户管理:禁止不用的帐户 服务管理:关掉不必要的服务 防火墙:管理例外 系统属性:关闭远程桌面,个人信息系统安全配置安全,个人信息系统安全用户
23、账户管理,删除或禁用不需要的账户,启用密码策略,个人信息系统安全用户账户管理,设定帐户锁定策略,个人信息系统安全用户账户管理,个人信息系统安全服务管理,禁用不需要的服务,个人信息系统安全服务管理,个人信息系统安全服务管理,必须禁用的 Remote Registry; Routing and Remote Access ; Telnet ; 建议关闭的:如果没有用就关掉吧 ClipBook ; Error Reporting Service ; Human Interface Device Access ; IMAPI CD-Burning COM Service; IMAPI CD-Burni
24、ng COM Service ; Messenger ; Print Spooler ; Shell Hardware Detection ; Wireless Zero Configuration ;,个人信息系统安全系统防火墙,启用系统防火墙,个人信息系统安全系统防火墙,设置防火墙规则,必须安装防病毒系统 一定要及时升级病毒库文件 实时监控功能一定要开着 推荐使用的杀毒软件 趋势科技的officescan防毒软件 赛门铁克的norton防毒软件 瑞星杀毒软件(rising) 360杀毒软件 卡巴斯基等,个人信息系统安全使用安全,个人信息系统安全使用安全,开启系统自动更新,个人信息系统安全使
25、用安全,关闭远程桌面,邮件附件 不明附件:不打开,或删除 不明链接:不点击 在IE中禁用不明和不用的加载项,个人信息系统安全使用安全(其他),信息保护 信息分类 归档与整理 信息保护 文件加密 OFFICE加密 WINRAR加密 EFS-加密文件系统 备份和恢复 系统备份恢复工具 自定义备份与恢复,4.2 如何保护个人信息安全,列出清单-要保护的对象 网络身份标识 银行账号 身份证号 手机号码 主要邮箱 关键文档等等 明确保护措施因地制宜 关键的:银行账号/密码,重要身份标示。-加密 重要的:手机,身份证号。-不能随意访问,散发 普通的:你认为可以公开的。 举例 身份证的扫描件-你意识到了吗?
26、 怎么归类,如何保护?,如何保护个人信息安全信息分类,个人信息保护文件加密,OFFICE加密 WINRAR加密,个人信息保护文件加密,对内容需要保护的OFFICE文档 针对单个文档,OFFICE加密,个人信息保护文件加密,OFFICE加密,个人信息保护WINRAR文件加密,WINRAR加密 多种文件格式,加密压缩 针对目录,或文件,选择要加密的文件或文件夹,点击鼠标右键,WINRAR加密,个人信息保护WINRAR文件加密,高级,WINRAR加密,个人信息保护WINRAR文件加密,个人信息保护数据备份与恢复,数据备份准备 计划和准备 分类归档(按机密性,因人而异):分归不同目录。 选择备份工具
27、选择备份存储方式 分类处理 加密,或压缩,或明文 例如使用WINRAR 备份实施:把需要备份的文档拷贝到备份介质 U盘,移动硬盘,刻录成光盘等 标注日期,或以Backup为目录,以日期为子目录,5. 个人观点,观点一:安全是相对的,不安全是绝对的!安全不是一个状态而是一个过程。通过一个过程将安全保障的各个环节结合起来,才可以达到保障安全的最终目的。 观点二:“发展”和“变化”是信息安全的主题。“攻”“守”双方当前争斗的暂时动态平衡体现了信息安全领域的现状。“攻”“守”双方的“后劲”决定了信息安全今后的走向。“攻”“守”双方既相互矛盾又相互统一.,观点二续:信息安全如何变,信息安全越变越重要,安全系统成了无价之宝。 安全标准在不断变化,安全目标需无限追求。 安全概念在不断扩展,安全手段需随时更新。 安全技术在迅速更新。,观点三 信息安全的特征快,观点三:信息安全的最大特征就是一个字:“快”! 新的理论分支诞生快。 理论水平提高快。 理论向应用的转化速度快。 “守方”技术进步快,“攻方”手段改进快。 安全需求增加速度和应用系统的复杂性增长快。 应用环境变化快。,观点四 信息安全的需求,观点四:信息安全需要什么? 网络安全需要辩证法。 网络安全需要它山石。 网络安全需要生力军。 网络安全需要服务观。 等等,谢谢大家! Mail to: ,
