1、第一篇 网络攻击与防范概论,第3章 网络攻击与防范模型,第一篇 网络攻击与防范概论,对正常的网络行为建立模型,把所有通过安全设备的网络数据拿来和保存在模型内的正常模式相匹配,如果不是这个正常范围以内,那么就认为是攻击行为,对其做出处理。这样做的最大好处是可以阻挡未知攻击。,第3章 网络攻击与防范模型,3.1 网络攻击的整体模型 3.2 网络防范的原理及模型 3.3 网络攻防实训平台的建设总体方案,3.1 网络攻击的整体模型,网络攻击模型将攻击过程划分为以下阶段: 1.攻击身份和位置隐藏; 2.目标系统信息收集; 3.弱点信息挖掘分析; 4.目标使用权限获取; 5.攻击行为隐藏; 6.攻击实施;
2、 7.开辟后门; 8.攻击痕迹清除。,3.1 网络攻击的整体模型,攻击身份和位置隐藏:隐藏网络攻击者的身份及主机位置。可以通过利用被入侵的主机(肉鸡)作跳板;利用电话转接技术;盗用他人帐号上网;通过免费网关代理;伪造IP地址;假冒用户帐号等技术实现。目标系统信息收集:确定攻击目标并收集目标系统的有关信息,目标系统信息收集包括:系统的一般信息(软硬件平台、用户、服务、应用等);系统及服务的管理、配置情况;系统口令安全性;系统提供服务的安全性等信息。,3.1 网络攻击的整体模型,弱点信息挖掘分析:从收集到的目标信息中提取可使用的漏洞信息。包括系统或应用服务软件漏洞、主机信任关系漏洞、目标网络使用者
3、漏洞、通信协议漏洞、网络业务系统漏洞等。目标使用权限获取:获取目标系统的普通或特权账户权限。获得系统管理员口令、利用系统管理上的漏洞获取控制权(如缓冲区溢出)、令系统运行特洛伊木马、窃听帐号口令输入等。,3.1 网络攻击的整体模型,攻击行为隐藏:隐蔽在目标系统中的操作,防止攻击行为被发现。连接隐藏,冒充其他用户、修改logname环境变量、修改utmp日志文件、IP SPOOF;隐藏进程,使用重定向技术ps给出的信息、利用木马代替ps程序;文件隐藏,利用字符串相似麻痹管理员;利用操作系统可加载模块特性,隐藏攻击时产生的信息等。,3.1 网络攻击的整体模型,攻击实施:实施攻击或者以目标系统为跳板
4、向其他系统发起新的攻击。攻击其他网络和受信任的系统;修改或删除信息;窃听敏感数据;停止网络服务;下载敏感数据;删除用户帐号;修改数据记录。开辟后门:在目标系统中开辟后门,方便以后入侵。放宽文件许可权;重新开放不安全服务,如TFTP等;修改系统配置;替换系统共享库文件;修改系统源代码、安装木马;安装嗅探器;建立隐蔽通信信道等。,3.1 网络攻击的整体模型,攻击痕迹清除:清除攻击痕迹,逃避攻击取证。篡改日志文件和审计信息;改变系统时间,造成日志混乱;删除或停止审计服务;干扰入侵检测系统的运行;修改完整性检测标签等。,3.1 网络攻击的整体模型,典型的网络攻击的一般流程:,图3-1典型的网络攻击的一
5、般流程,3.1 网络攻击的整体模型,攻击过程中的关键阶段是:弱点挖掘和权获取限;攻击成功的关键条件之一是:目标系统存在安全漏洞或弱点;网络攻击难点是:目标使用权的获得。能否成功攻击一个系统取决于多方面的因素。,3.2 网络防范的原理及模型,面对当前的如此猖獗的黑客攻击,必须做好网络的防范工作。网络防范分为积极防范和消极防范,下面介绍这两种防范的原理:,积极安全防范的原理,积极安全防范的原理是:对正常的网络行为建立模型,把所有通过安全设备的网络数据拿来和保存在模型内的正常模式相匹配,如果不是这个正常范围以内,那么就认为是攻击行为,对其做出处理。这样做的最大好处是可以阻挡未知攻击,如攻击者才发现的
6、不为人所知的攻击方式。对这种方式来说,建立一个安全的、有效的模型就可以对各种攻击做出反应了。,积极安全防范的原理,例如,包过滤路由器对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据报以便确定其是否与某一条包过滤规则匹配。管理员可以配置基于网络地址、端口和协议的允许访问的规则,只要不是这些允许的访问,都禁止访问。,积极安全防范的原理,但对正常的网络行为建立模型有时是非常困难的,例如在入侵检测技术中,异常入侵检测技术就是根据异常行为和使用计算机资源的异常情况对入侵进行检测,其优点是可以检测到未知的入侵,但是入侵性活动并不总是与异常活动相符合,因而就会出现漏检和虚报。,消极安全防范的原理,消
7、极安全防范的原理是:以已经发现的攻击方式,经过专家分析后给出其特征进而来构建攻击特征集,然后在网络数据中寻找与之匹配的行为,从而起到发现或阻挡的作用。它的缺点是使用被动安全防范体系,不能对未被发现的攻击方式做出反应。,消极安全防范的原理,消极安全防范的一个主要特征就是针对已知的攻击,建立攻击特征库,作为判断网络数据是否包含攻击特征的依据。使用消极安全防范模型的产品,不能对付未知攻击行为,并且需要不断更新的特征库。,消极安全防范的原理,例如在入侵检测技术中,误用入侵检测技术就是根据已知的入侵模式来检测入侵。入侵者常常利用系统和应用软件中的弱点攻击,而这些弱点易编成某种模式,如果入侵者攻击方式恰好
8、匹配上检测系统中的模式库,则入侵者即被检测到,其优点是算法简单、系统开销小,但是缺点是被动,只能检测出已知攻击,模式库要不断更新。,3.2 网络防范的原理及模型,为更好实现网络安全,应两种防范原理结合使用。网络防范的目的就是实现网络安全目标,网络安全的工作目标通俗地说就是下面的“六不”1.“进不来”访问控制机制。2.“拿不走”授权机制。3.“看不懂”加密机制。4.“改不了”数据完整性机制。5.“逃不掉”审计、监控、签名机制。6.“打不跨”数据备份与灾难恢复机制。,3.2 网络防范的原理及模型,为实现整体网络安全的工作目标,有两种流行的网络安全模型(1)P2DR模型(2)APPDRR模型。,3.
9、2 网络防范的原理及模型,P2DR模型是动态安全模型(可适应网络安全模型)的代表性模型。在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等手段)的同时,利用检测工具(如漏洞评估、入侵检测等系统)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。模型如下:,3.2 网络防范的原理及模型,图3-2 P2DR安全模型示意图,3.2 网络防范的原理及模型,据 P2DR 模型的理论,安全策略是整个网络安全的依据。不同的网络需要不同的策略,在制定策略以前,需要全面考虑局域网络中如何在网络层实现安全性,如何控制远程用户访问的安全性,在广域
10、网上的数据传输实现安全加密传输和用户的认证等等问题。对这些问题做出详细回答,并确定相应的防护手段和实施办法,就是针对企业网络的一份完整的安全策略。策略一旦制订,应当作为整个企业安全行为的准则。,3.2 网络防范的原理及模型,APPDRR模型则包括以下环节:网络安全=风险分析(A)+制定安全策略(P)+ 系统防护(P)+实时监测(D)+实时响应(R)+灾难恢复(R)通过对以上APPDRR的6个元素的整合,形成一套整体的网络安全结构。,3.2 网络防范的原理及模型,图3-3 APPDRR动态安全模型,3.2 网络防范的原理及模型,事实上,对于一个整体网络的安全问题,无论是P2DR还是APPDRR,
11、都将如何定位网络中的安全问题放在最为关键的地方。这两种模型都提到了一个非常重要的环节P2DR中的检测环节和APPDRR中的风险分析,在这两种安全模型中,这个环节并非仅仅指的是狭义的检测手段,而是一个复杂的分析与评估的过程。,3.2 网络防范的原理及模型,通过对网络中的安全漏洞及可能受到的威胁等内容进行评估,获取安全风险的客观数据,为信息安全方案制定提供依据。网络安全具有相对性,其防范策略是动态的,因而,网络安全防范模型是一个不断重复改进的循环过程。,3.3 网络攻防实训平台的建设总体方案,在攻防的实际操作训练或学习实验中,为了避免互联网上的实体成为被攻击对像,一般需要在局域网上建设专门的网络攻
12、防实训平台。网络攻防实训平台是通过构建适合攻防双方训练,能满足基本的攻防操作要求的软硬件平台。,3.3 网络攻防实训平台的建设总体方案,建立网络攻防平台需要考虑以下几个方面:(1) 经济实用性原则(2) 可拓展性原则(3) 整体性原则,3.3 网络攻防实训平台的建设总体方案,以下以网络攻防实训平台的网络拓扑图为例进行说明。实例一为非对称拓扑结构,左边为攻方,右边为防方。攻防双方通过模拟局域网分开,攻方的目标是要攻击防方非军事区内的服务器,包括Web服务器、Email服务器、文件服务器、身份认证服务器和入侵检测系统等。特别说明的是,攻方有一部分主机直接接入防方的主机网段的交换机,这样设计的目的主
13、要是为实施嗅探提供可操作环境,同时也可以发挥防方IDS的作用。,3.3 网络攻防实训平台的建设总体方案,3.3 网络攻防实训平台的建设总体方案,实例二为非对称拓扑结构,左边为甲方,右边为乙方,甲乙双方可同时进行攻击与防御。双方通过模拟局域网分开,攻击的目标是要攻击对方非军事区内的服务器,包括Web服务器、Email服务器、文件服务器、身份认证服务器和入侵检测系统等,同时各方有一部分主机直接接入对方的主机网段的交换机,目的同样是为实施嗅探提供可操作环境和发挥IDS的作用。各方的主机不经过防火墙可为相互攻击提供可靠通道。,3.3 网络攻防实训平台的建设总体方案,图3-5 实例二:对称网络攻防平台拓扑结构,
