1、Page 1,网络与信息安全,蒋 睿 东南大学信息安全研究中心2010年4月,Page 2,基本技术与理论,黑客 远程攻击 计算机病毒 防火墙与VPN 密码学原理 安全协议理论 信息隐藏理论,Page 3,黑客,概念主要黑客组织黑客主要工具分类 安全扫描类、网络监听类、远程控制类、入侵工具类、加密解密类,Page 4,远程攻击,远程攻击攻击的一般过程 寻找目标和收集信息 系统安全弱点的探测 隐藏自己并实施攻击 口令攻击 IP欺骗 特洛伊木马 缓冲区溢出攻击 拒绝服务攻击 ARP欺骗,Page 5,DRDoS攻击(1),概念 DRDoS攻击(分布式反射拒绝服务攻击),与普通DDoS不同,它不需要
2、在实际攻击之前占领大量的“傀儡”机,而是将其他系统用作攻击的中继和放大,形成洪水数据包反弹给目标服务器,造成该机忙于处理这些回应而被拒绝服务攻击。 攻击体系 主控端:黑客所用的主机,也称为攻击主控台。它操纵整个攻击过程,向代理攻击端发送攻击命令; 代理攻击端:是攻击者非法侵入并控制的一些“傀儡”机,在攻击者控制下同时向反弹服务器端发送伪造源地址的连接请求数据包; 反弹服务器:接收代理攻击端发送的虚假数据包,向目标服务器发出SYN+ACK或RST包来响应这个请求; 目标服务器:被攻击的目标主机。,Page 6,DRDoS攻击(2),Page 7,DRDoS攻击(3),攻击过程 发动攻击时,主控端
3、以欲攻击的主机的IP地址为源地址,从构造的反弹IP列表中循环选择目的地址,从而形成TCP-SYN包。,Page 8,DRDoS攻击的特点(1),隐蔽性强 一般DDoS攻击中,受控主机伪造的每个IP包的源IP地址是在一个指定网段内通过随机函数产生的,而DRDoS攻击中受控主机伪造的每个IP包的源IP地址却是真实的,并对应网上的一台主机或路由器,即攻击的目标服务器。因此,DRDoS攻击的隐蔽性更强。 另一方面,反弹服务器上发送数据报的流量远小于代理攻击端,反弹服务器将无法根据网络流量来自动检测是否自身是DRDoS攻击源。每一个代理攻击端可以把它发送的网络流量分散到若干个反弹服务器,最终在目标服务器
4、处汇集为洪水,使目标服务器更难以隔离攻击洪水流,并且更难以用ICMP Traceback、IP Traceback跟踪技术去找到洪水流的来源。 难度低 通过反弹IP列表,攻击者不需要把服务器作为网络流量的放大器,而是先使洪水流量变弱,最终在目标服务器汇合为大容量的洪水。这样的机制让攻击者可以利用不同网络结构机制的服务器作为反弹服务器,即更容易找到足够数量的反弹服务器,用以发起攻击。,Page 9,DRDoS攻击的特点(2),力度大 攻击者发送的请求和信息包很少能生成足够的数据流量来填满传输链路,然而来自目标的响应通常会使数据流量大大增加。基本的例子就是SYN洪水。64字节的SYN信息包令目标生
5、成三个SYN-ACK。简单的HTTP请求通常约有200字节,同时发回到客户端的数据通常大约10,000字节。 较难阻止 由于互联网上的反弹服务是开放给网络上所有用户的,如果拦阻一台服务器对外的连线,可能造成合法使用者无法发送电子邮件或浏览某网站,所以无法切断攻击路径。,Page 10,Web服务攻击(1),Coercive parsing:强制分析 通常称为“XML-based Attacks”,利用XML解析器来处理SOAP消息。通过放入递归关系来扩展实体,那些错误的参数和大量的空白会造成XML解析器过载,或者会导致一些意想不到的问题。 SOAP Action spoofing:SOAP行为
6、欺骗 其中一种攻击方式是由中间攻击人执行的,基于更改HTTP协议头,来试图调用SOAP体外的其他操作。另一种是以Web服务客户的身份执行的,其目的是绕过HTTP网关。 XML injection:XML注入攻击 通过对SOAP消息(或者其他任何XML文件)插入含有XML标记的内容,以此来改变其XML结构的攻击方式。写入包含“”符号的语句,使得服务器认为这是SOAP消息的一部分,以此造成不良后果。,Page 11,Web服务攻击(2),WSDL scanning:WSDL扫描 WSDL提供了Web服务所用的技术,以及外露的方法,调用的模式等信息。假如Web服务对不必要的方法没有禁止的话,攻击者可
7、以通过WSDL扫描找到潜在的攻击点。 Metadata spoofing:元数据欺骗 客户通过服务器提供的元数据文件,检索有关Web服务的所有信息(如:数据类型,网络位置,安全要求等)。目前,这些数据通常是使用通信协议或者邮件分发的。这种环境给攻击者伪装元数据进行攻击留下了可能。与这一类攻击最相关的就是WSDL欺骗和安全政策欺骗。 Attack obfuscation:混淆攻击 在Web服务中使用WS-Security,会产生关于服务实用性的新问题,通过给数据提供合理的加密,XML加密文件可以逃避检查。如果被加密的内容中包含例如强制分析或者XML注入等攻击,则这种保密反而掩盖了攻击。,Page
8、 12,Web服务攻击(3),BPEL state deviation:BPEL状态偏差 攻击者向开放的终端发送一些格式正确,但与现有的处理实例毫无关系的信息。这些信息在被丢弃之前需要被完整的阅读和处理,并与现有实例进行匹配。在这个过程中,系统耗费大量的资源处理无用的信息,达到了攻击目的。 Instantiation flooding:实例溢出 对于传入的每个SOAP消息,系统都会创建一个新的实例开始执行,直到遇到接收行为或者终止符为止。因此,系统将会处于信息分析、处理和执行实例的重负荷中,最终导致系统资源不足甚至崩溃。 WS-addressing spoofing:Web Services地
9、址欺骗 攻击者使用无效的终端URL作为回应终端,服务器在完成相关处理后,试图对发起者进行回应,但会导致无法连接或者超时的错误。攻击者以此达到耗费资源的目的。,Page 13,Web服务攻击(4),Middleware hijacking:中间件劫持 原理与地址欺骗相同,但攻击者并不是使用无效的终端URL作为回应终端,而是现实存在的目标系统。这样,服务器在完成相关处理后,就会对目标系统进行回应,导致其收到大量的回应信息,占用系统资源。,Page 14,计算机病毒,概念 计算机病毒工作原理 典型计算机病毒 引导型病毒 文件型病毒 宏病毒 蠕虫病毒病毒的防范与清除 主要杀毒软件,Page 15,防火
10、墙,基本概念 主要结构 主要技术 包过滤技术 代理服务技术 电路级网关,Page 16,VPN,概念 工作原理 主要实现技术 隧道技术 加解密技术 密钥管理技术 身份认证技术,Page 17,密码学原理,密码学 密码编码学:密码体制的设计 密码分析学:密码体制的破解 密码体制 对称密钥密码体制 非对称密钥密码体制 流密码 分组密码 古典密码学 现代密码学 公钥加密,Page 18,安全协议理论,安全协议概念 安全协议分类 基本安全协议 密钥交换协议 认证协议:SKEY,SKID 等 认证及密钥交换协议:Needham-Schroeder, 应用中的安全协议 链路层安全协议:PAP,CHAP,P
11、PTP,L2TP 网络层安全协议:IPSEC 传输层安全协议:SSL,TLS 应用层安全协议:PGP,S-HTTP,Kerberos,Radius,Page 19,典型安全协议攻击,考虑以下协议,其中A与B交换秘密信息M。,攻击者Z的攻击:,Page 20,安全协议形式化理论,计算流派 随机预言机ROM模型逻辑符号流派 攻击构造方法(Attack-Construction Methods) 推理构造方法(Inference-Construction Methods) 证据构造方法(Proof-Construction Methods),Page 21,信息隐藏示例,芦花丛中一扁舟,俊杰俄从此地
12、游,义士若能知此理,反躬难逃可无忧。 Apparently neutrals protest is thoroughly discounted and ignored. Isman hard hit. Blockade issue affects pretext for embargo on by products, ejecting suets and vegetable oils. Pershing sails from NY June 1(i). 金庸小说连城诀 Simmons的“囚犯问题”,Page 22,信息隐藏技术,时域替换技术变换域技术其他隐藏技术,Page 23,信息隐藏分析,分析方法 发现隐藏信息 提取隐藏信息 破坏隐藏信息,Page 24,Any Question?,Page 25,
