1、1,第二部分 网络安全中的攻防技术,2.1 网络攻击技术 2.1.1 概述 2.1.2 网络攻击技术原理 2.1.3 恶意软件技术原理,2.2 网络安全防护技术 2.2.1 安全体系结构 2.2.2 密码学 2.2.3 身份认证技术 2.2.4 访问控制 2.2.5 防火墙技术 2.2.6 入侵检测技术,2,2.1 网络攻击技术,2.1.1 概述网络攻击目标网络信息的保密性(机密性)网络信息的完整性网络的可用性网络运行的可控性,3,2.1 网络攻击技术,2.1.1 概述网络攻击的基本过程攻击身份和位置隐藏目标系统信息收集弱点信息挖掘与分析目标使用权限获取攻击实施开辟后门清除攻击痕迹,4,信息收
2、集,判断系统,选择最简方式入侵,分析可能有漏洞的服务,获取系统一定权限,提升为最高权限,安装多个系统后门,清除入侵脚印,攻击其他系统,获取敏感信息,作为其他用途,黑客入侵步骤,5,2.1 网络攻击技术,2.1.1 概述网络攻击技术的演变网络攻击自动化攻击工具智能化系统漏洞迅速增多防火墙渗透网络攻击协同化分布式拒绝服务攻击攻击的影响与速度日益提高,6,2.1.2 网络攻击技术原理,网络欺骗(Spoofing)通过伪造网络上的身份从而获得目标主机或者网络的访问权限。IP欺骗电子邮件欺骗Web欺骗非技术类欺骗(社会工程、社交工程),7,电子邮件欺骗,8,网络钓鱼,9,什么是网络钓鱼?,10,工行后续
3、事件的追踪 涉案金额惊人,11,利用IRIS 实现ARP欺骗,12,抓到ARP Sniffer发出的欺骗ARP数据包,然后选中它们再用鼠标右键选择发送这些网络数据包,13,2.1.2 网络攻击技术原理,嗅探技术(Sniffer)利用计算机的网络接口截获目的地为其他计算机的数据包的一种工具。(被动攻击)以太网嗅探原理嗅探器的实现Linux tcpdumpWindows Network Monitor (WinPcap函数库)Solaris Snoop,14,2.1.2 网络攻击技术原理,扫描技术(Scanner)是一种自动检测远程或本地主机安全性弱点的程序。常用的网络诊断命令ping trace
4、rt netstat rusers finger host端口扫描TCP Connect 扫描TCP SYN扫描秘密扫描(TCP FIN|ACK扫描 SYN/ACK扫描 NULL扫描 XMAS扫描)其他扫描(IP分片扫描 FTP反弹扫描 UDP扫描),15,2.1.2 网络攻击技术原理,操作系统探测用于发现目标主机的操作系统类型和版本脆弱性(Vulnerability)扫描又称漏洞,是指计算机系统在硬件、软件、协议的具体实现和系统安全策略上存在缺陷和不足,从而可以使攻击者能够在未授权的情况下访问或破坏系统。常用扫描器Nmap(开源)SSS(Shadow Security Scanner)X-S
5、can流光(Fluxag)SatanNessus,16,2.1.2 网络攻击技术原理,口令破解技术尝试猜测或者解密用户的口令。离线破解和在线破解口令文件 etc/shadow etc/passwd常用的口令加密算法:MD5 SHA-1暴力破解和字典破解穷举法口令字典口令窃听远程登录,17,2.1.2 网络攻击技术原理,缓冲区溢出攻击(Buffer Overflow)缓冲区是计算机程序运行过程中系统为变量动态分配的内存空间。缓冲区溢出攻击的目的在于扰乱具有某种特权的程序的功能,从而获得系统控制权。Malloc函数 与 new()栈(Stack)与SP指针ShellCode程序设计问题,18,2.
6、1.2 网络攻击技术原理,拒绝服务攻击(Denial of Service)目的是使目标主机停止网络服务。对系统资源的合理请求远远超过系统的处理能力时就会造成DoS。网络带宽文件系统容量内存空间CPU处理能力处理队列(如打印队列),19,2.1.2 网络攻击技术原理,拒绝服务攻击(Denial of Service)Smurf 攻击(ICMP echo重定向)SYN Flood 攻击(TCP连接建立问题)Teardrop 攻击(IP分片重装长度计算问题)分布式拒绝服务攻击(Distributed DoS)人多力量大原理(Trinoo TFN TFN2k等)攻击控制进程(Master)攻击守护进
7、程(Daemon)客户端软件(如telnet),20,2005年元月黑客操控六万台电脑制造攻击网络被抓获,僵尸网络案例,21,僵尸网络案例,类似于俗话中的“肉鸡”,指已经被入侵或感染,并且植入后门程序的计算机。不同的是Bot-Net代表有组织的一群“肉鸡”,能够有计划地升级后门控制程序,一旦被有所目的的破坏者利用,可以造成巨大的破坏力。“烦你“病毒通过MSN好友列表构建的庞大身份网络进一步构成了蠕虫病毒网络,并利用这个网络向目标IP发动DDoS攻击。在某些国家,如果由于自身不慎而使得计算机加入了攻击他人的行动,计算机所有者需要承担相关责任。,22,僵尸网络,僵尸网络是指由“肉鸡”组成的部队 黑
8、客集中控制僵尸网络 每天有数万台“肉鸡”加入,23,僵尸网络,24,僵尸主机传播扫描报文实例,25,僵尸主机程序扫描图片,26,2.1.2 网络攻击技术原理,SQL注入攻击(SQL Injection)是利用目标主机提供的数据库服务和数据库应用系统设计缺陷而非法执行系统存储过程获取系统控制权。MS SQL Server sa用户系统存储过程Web页面参数Query StringForm,27,使用sql注入工具,28,进行注入,29,关键内容,username内容:adminpassword内容:511284fb26d1f7a6,30,管理入口,31,在线MD5破解,32,登录,33,进一步,
9、34,2.1.3 恶意软件技术原理,恶意代码(Malicious Code)恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。病毒(Virus)蠕虫(Worm)通过网络连接进行自我复制的程序。梅丽莎、ILoveYou、红色代码、尼姆达、冲击波、欢乐时光等等js vbs特洛伊木马(Trojan Horse)服务器程序和控制端程序不能自我复制,35,2.2 网络安全防护技术,2.2.1 安全体系结构X.800 OSI安全体系结构安全攻击安全机制安全服务X.800安全服务认证访问控制数据完整性数据机密性不可抵赖性可用性服务,36,Telnet,SMTP,DNS,FTP,UDP,TCP,
10、IP,以太网,无线网络,SATNET,ARPNET,应用程序攻击,监听,拒绝服务,系统漏洞利用,硬件设备破坏电磁监听,Windows,*nix,*BSD,Linux,每个层次都存在风险,37,建立信息网络安全层次架构,38,安全防护体系,39,如果将计算机网络比作城堡:,防火墙就是城堡的护城桥(河)只允许己方的队伍通过。 入侵监测系统就是城堡中的了望哨监视有无敌方或其他误入城堡的人出现。VPN就是城褒外到城堡内的一个安全地道有时城堡周围遍布敌军而内外需要联络。漏洞评估就是巡逻检测城堡是否坚固以及是否存在潜在隐患。防病毒产品就是城堡中的将士想方设法把发现的敌人消灭。,信息与网络安全组件,40,网
11、络安全模型,41,安全评估标准,TCSEC(可信计算机系统评价准则)1983年 美国国防部 C2级CC标准1993.6 六国(加英法德荷美)七方计算机信息系统安全保护等级划分准则1999.9 国家质监局,42,2.2.2 密码学,简单密码算法移位与替换对称密钥密码算法DES 3DES IDEA加密模式 ECB CBC CFB OFB公开密钥密码算法加密/解密 密钥交换 数字签名RSA散列函数(HMAC MD5 SHA-1),43,2.2.3 身份认证技术,基于口令的认证简单口令认证多因素认证Kerberos认证基于PKI的身份认证CAX.509证书基于生物特征的身份认证,44,PKI技术,企业
12、用户,注册机关管理员,注册机关(本地),45,2.3.4 访问控制,访问控制是指主体依据某些控制策略对客体进行的不同授权访问,其基本任务是防止非法用户对资源的访问以及合法用户对资源的非法使用。访问控制模型访问控制策略及实现访问控制列表ACL访问控制矩阵ACM访问控制能力列表ACCL访问控制安全标签列表ACSLL网络中的访问控制接入访问控制资源访问控制网络端口和节点的访问控制,46,边界防御,控制访问您系统的用户:是否可以进入系统?可以看什么? 可以做什么?,威胁管理:处理真实的威胁分布处理,身份管理管理用户的一切!跨系统和流程统一控制,访问控制技术,47,走进控制层,Web应用,内部应用,操作
13、系统,安全系统,数据存储,授权:允许我做什么?,交易流程,认证 证明是我,传统应用,访问控制 我是否能进入,能做什么?,隐私 什么时候可以共享我的信息?,审计 我做过什么?,运行成本高 很少的身份管理预算导致很低的安全性高开发成本,管理的孤岛重复的身份管理功能,48,2.2.5 防火墙技术,防火墙是两个网络之间或网络的不同安全域之间实施访问控制策略的一个或一组系统,是网络边界实施访问控制策略的软硬件系统。防火墙特征所有入站和出站的网络流量都必须经过防火墙只有经过授权的网络流量才允许通过防火墙防火墙本身不能被攻破防火墙局限性不能阻止绕过防火墙的攻击不能防止内部攻击不能阻止感染病毒的程序或文件的传
14、递,49,2.2.5 防火墙技术,防火墙类型包过滤路由器(Packet Filter)-网络层应用级网关(Application-Level Gateway)电路级网关(Circuit-Level Gateway)网络地址转换NAT(Network Address Translation)堡垒主机(Bastion Host),50,包过滤路由器,工作原理检查每个网络包的源IP地址、目的IP地址、协议类型、TCP/UDP源端口号和目的端口号、ICMP消息类型、数据包大小等信息过滤包来自于两个不同的方向两个缺省的策略:允许通过和禁止通过仅仅检查IP包首部信息,不检查数据部分优缺点简单 对用户透明
15、速度快设置包过滤精细规则很困难 缺乏认证,51,包过滤路由器,可能遭受的攻击方式IP地址欺骗(IP Address Spoofing)源路由攻击(Source Routing Attack)细小分段攻击(Tiny Fragment Attack)状态检测防火墙考虑更高层的上下文信息创建出站TCP连接状态目录强制执行TCP流量的规则,52,电路级网关,工作原理OSI/RM会话层在内外网络主机之间建立一个虚拟电路进行通信检查TCP连接信息是否合乎规则,判断后决定是否传递数据,并不分析内容独自建立2条TCP连接,不允许端到端的TCP连接典型的例子:Socks软件包,53,应用层网关,工作原理OSI/
16、RM应用层,又称代理服务器(Proxy Server)使用代理软件来转发和过滤特定的应用服务禁止在网络层直接转发IP包,具有较强的访问控制能力优缺点安全性高 检测粒度精细 很容易实现日志和审计针对每种应用需要专门的代理软件,效率较低,54,网络地址转换,工作原理在网关处修改数据包的IP地址多台计算机共享一个Internet连接内网中的主机IP对外网不可见,从而保护了内网主机通常集成于路由器、防火墙等设备中,也可单独使用软件实现NAT几种防火墙技术对比应用层网关安全性最高,检测粒度精细;包过滤防火墙效率最高,对网络性能影响最小;电路层网关和NAT介于二者之间。,55,防火墙配置,屏蔽主机防火墙系
17、统包过滤路由器堡垒主机包过滤路由器设置IP包过滤策略:A外部流量B内部流量堡垒主机执行认证和代理功能,56,防火墙配置,屏蔽子网防火墙系统2个包过滤路由器堡垒主机为阻止入侵提供了3层防护内部网络对Internet不可见,内部网络系统不能建立到达Internet的直接路由,57,2.2.6 入侵检测技术,基本概念黑客(Hacker)和骇客(Cracker)入侵( Intrusion )入侵检测技术(Intrusion Detection)体现了动态防御的思想,根据安全策略的规定,检测和识别出存在或者潜在的入侵行为,并可以针对入侵行为作出适当的响应,动态地修正已有的安全保护措施,使系统在不断的调整
18、中达到最大的安全性。入侵检测系统(Intrusion Detection System,IDS),58,1980,1985,1990,1995,2000,密码猜测,可自动复制的代码,密码破解,利用已知的漏洞,破坏审计系统,后门,会话劫持,擦除痕迹,嗅探,包欺骗,GUI远程控制,自动探测扫描,拒绝服务,www 攻击,工具,攻击者,入侵者技术水平,攻击手法,半开放隐蔽扫描,控制台入侵,检测网络管理,DDOS 攻击,2002,高,入侵技术的发展,59,威胁格局的发展,商业网络的发展,混合威胁,时间,利益驱动,威胁格局变化,60,IDS工作流程,信息收集来自主机的信息:各类日志来自网络的信息:网络嗅探
19、器来自其他IDS的信息信息分析入侵检测过程的核心阶段效率与性能动作响应报警 黑名单 禁止账号 停止服务 更新防火墙策略 记录,61,IDS分类,基于主机的入侵检测系统(Host Based IDS, HIDS)收集来自主机的信息:各类日志可监听主机网络端口,分析出入主机的网络信息部属于主机上基于网络的入侵检测系统(Network Based IDS,NIDS)收集来自网络的数据包通常部属于专门的计算机上网卡的混杂模式分布式入侵检测系统(Distributed IDS,DIDS)融合了HIDS和NIDS功能, 在分布式系统中实现集中控制对付分布式攻击,62,加州大学戴维斯分校开发的DIDS,主机
20、代理模块LAN监测代理模块中央管理器模块,63,入侵检测方法,误用检测(Misused Detection)对已知入侵行为的检测。首先对入侵行为建模,提取特征,然后进行模式匹配。模式匹配法规则推理法异常检测(Abnormal Detection)对系统中异常行为的检测。首先对正常行为建模,建立正常行为的标准(又称轮廓,Profile),不依赖于已知的入侵行为特征,可以发现未知入侵,但容易误报。统计分析法操作模型 均值与标准偏差模型 多元模型 马尔可夫过程模型等人工神经网络具备学习和适应能力具有容错能力,64,入侵检测面临的挑战与前景,挑战网络结构变化数据加密传输网络带宽迅猛增长入侵手段发展入侵
21、检测系统自身的不足误报率高自身安全防范弱适应能力低,65,入侵检测面临的挑战与前景,发展前景有针对性的信息收集新型的入侵检测方法入侵防御系统IPS分布式体系结构更好的可管理性入侵检测系统评价标准硬件实现蜜罐(Honey Pot)入侵检测工具Snort,66,旁路防护技术 疏导设计vs.堵截设计,区域1: WEB,区域2: DNS,区域3: E-Commerce 应用,Internet,Legitimate Traffic正常流量,攻击目标,2. 启动保护 (自动/手动),RemoteHealthInjection(RHI),3.将流量转移到Guard模块,5. 将正常流量重新注入,6. 到其他
22、区域的流量没有受到影响,O 192.168.3.0/24 110/2 via 100.0.0.3, 2d11h, GigabitEthernet2B 192.168.3.128/32 20/0 via 20.0.0.2, 00:00:01 192.168.3.128 = zone, 10.0.0.2 = Guard Module, 20.0.0.2 = MSFC,BGP announce,67,动态自动策略调整技术,ActiveVerification,StatisticalAnalysis,Layer 7Analysis,Rate Limiting,Legitimate + attack t
23、raffic to target,Dynamic & Static Filters,启动anti-spoofing阻挡恶意流量,动态增加访问列表阻挡攻击,启动速率限制,Legitimate traffic,68,终端安全技术与管理,69,建立内部安全技术体系,针对外部攻击的安全策略,针对内部信息的安全策略,病毒防御(Anti-Virus),防火墙(Firewall),入侵检测(IDS),漏洞扫描(Scanner),信息监控(Monitor),应用安全(SecureAPP),真正统一、全面的安全体系,资源管控系统,审计跟踪系统,网络控制系统,身份认证和访问控制,安全认证,计算机信息安全系统,70,综合安全技术体系,71,The End,联系方式:新疆大学信息学院 龚金辉 13809930586,
