网络安全威胁与防御.doc

PAGE 1 PAGE 1 网络安全威胁与防御 安全威胁分类 按位置分类 外部威胁：FW+IDS+VPN（构成网络一种新的架构） 内部威胁：使用者发起的威胁占60%恶意的身份认证：802.1x/NAC 按目的分类 有组织的：有联盟有明确目标有人组织和水平高 无组织的：无明确目标、水平低找工作 按攻击方法分类 侦察攻击：了解情况 访问攻击：有实质破坏性 DOS 攻击：耗尽目标资源 1.3.1 1.1.1 扫描攻击 扫描攻击原理：Scan，是一切入侵的基础，扫描探测一台主机包括是为了确定主机是否活动、主机系统、正在使用哪些端口、提供了哪些服务、相关服务的软件版本等等 扫描IP(通过广播ping)——》扫描端口——》针对脆弱的端口进行攻击 扫描攻击方法：地址扫描攻击：PING程序探测目标地址 端口扫描攻击 免费扫描攻击：大名鼎鼎的nmap、netcat、superscan，Nessus以及国内的X-Scanner等 nmap -v -n -sP /24 查active主机 nmap -v -n -A 7 查service 防御：使用过滤设备（ACL），关闭不必要的服务 1.1.2 什么是窃听攻击：可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络上所产生的众多的信息 如何窃听网络上的信息：网卡设成混杂模式就可以了 窃听工具：Sniffer、Ethereal 防御：加密传输(SSH、IPSec) 链路层加密(p--to--p)沿途路径有加解密硬件，delay 大，将整个数据帧加密，强度大，扩展性不好，代价高 1.2 访问攻击——对网络资源未授权的或非法的访问 1.2.1 未授权访问攻击 猜测众所周知口令root /admin x-scan 使用协议分析仪窃听口令 访问一个口令文件，强制破解 社会工程学：利用人与人之间的交往取得被害人的信 防御：强大的口令（PAP CHAP）和要对用户进行培训 1.2.2 数据操纵攻击：改变信息的内容 可以通过在文件服务器上修改或在数据在源和目标传输时修改 涂鸭：发现口令——》未授权访问攻击（也有使用java/activeX发现口令） 防御：使用一套集中式的健壮的认证和授权系统（ACS） 1.2.3 攻击会话层连接——通过这些信息发起另外的攻击/伪装成源或目标通过欺骗将会话劫持过来 伪装攻击——稳藏身份的一种攻击方式（IP欺骗） 为了获得访问权，入侵者生成一个带有伪造源地址的报文 防范：RPF 攻击时往往使用伪装和重路由一起实现 会话重放攻击——先捕获数据包——》利用这些信息对源目进行攻击 使用cookie扮成一个网站，使客户端相信黑客的计算机是真正的web站点 会话劫持攻击——介于两台计算机之间已存在的会话 对源扮成目标，对目标扮成源 例：TCP会话劫持（建立在IP欺骗和TCP序列号攻击的基础上） 三个条件：流量没有加密、知道序列号和下一个序列号、能接收目标不是自己的数据 以telnet为例 序列号猜测难点 目标主机的初始序列号（ISN） RTT（round-trip time）值 序列号的增加规律（128000/秒或者其它） 序列号估计值对攻击的影响 准确地等于目标主机的TCP所期望的值 小于目标主机的TCP所期望的值 大于目标主机的TCP所期望的值 TCP会话劫持 由于认证技术是在刚开始建立连接的时候，一般会话建立和相互认证后不再提供其它的保护措施，所以TCP 会话劫持可以绕过口令认证机制 防御：加密技术（TCP加密/应用层加密） 抵赖攻击——不能证明业务处理发生在两个特定的实体之间 利用公司E-Mail 系统（）生成垃圾邮件来攻击别人 垃圾邮件——未经请求的E-Mail E-Mail炸弹——包含有可执行代码的E-mail 防御会话攻击 使用VPN——加密连接信息 SSL VPN——保护web流量 使用数字签名进行认证——惟一确定特定用户（ca) 过滤Java 和Active 脚本 Block来自公共E-Mail站点的E-Mail 病毒、特洛伊木马、蠕虫攻击 引导区病毒、DOS 病毒、Windows 病毒、宏病毒、Script 病毒、Java 病毒 病毒——恶意程序 发展：物理介质——》邮件——》邮件和互联网 特洛伊木马——远程控制程序 蠕虫——能自我复制、能自动传播的一种恶意程序 防御 用户培训 防病毒软件(node) 应用程序验证软件(360、NAC) 1.3 Dos攻击(应用层面和网络层面） 应用攻击（邮件炸弹）：目的是使系统失效 IP分片报文攻击 ICMP Redirect攻击 E-mail炸弹：占用系统上的E-mail资源（大邮件或很多邮件） 黑客发送垃圾数据到这个端口，希望系统处理这些信息，占有资源。chargen:port=19 类似Smurf攻击，只是它使