第3章計算機網絡入侵與攻擊重點和難點典型攻擊方法及原理入侵檢測技術方法掌握防止入侵和攻擊的主要技術措施典型的攻擊方法及其原理入侵檢測系統原理、功能特點及其存在的缺陷了解入侵和攻擊的基本概念、關系及導致入侵和攻擊的原因入侵檢測的概念和基本方法3.1概述

“入侵”是一個廣義上的概念，所謂入侵是指任何威脅和破壞系統資源的行為。實施入侵行為的“人”稱為入侵者。攻擊是入侵者為進行入侵所采取的技術手段和方法。3.1.1入侵和攻擊的概念入侵者所采用的攻擊手段主要有以下8種特定類型：1）冒充：將自己偽裝成具有較高權限的用戶，并以他的名義攻擊系統；2）重演：利用復制合法用戶所發出的數據（或部分數據）并重發，以欺騙接收者；3）篡改：通過秘密篡改合法用戶所傳送數據的內容；4）服務拒絕：中止或干擾服務器為合法用戶提供服務或抑制所有流向某一特定目標的數據。5）內部攻擊：利用其所擁有權力或越權對系統進行破壞活動。6）外部攻擊：通過搭線竊聽、截獲輻射信號、冒充系統管理人員或授權用戶或系統的組成部分、設置旁路躲避鑒別和訪問控制機制等各種手段入侵系統；7）陷井門：首先通過某種方式侵入系統，然后，安裝陷井門。并通過更改系統功能屬性和相關參數，使入侵者在非授權情況下能對系統進行各種非法操作。8）特洛伊木馬：這是一種具有雙重功能的客戶/服務體系結構。特洛伊木馬系統不但擁有授權功能，而且還擁有非授權功能，一旦建立這樣的體系，整個系統便被占領。3.1.2入侵與攻擊的關系入侵與攻擊是直接相關的，入侵是目的，攻擊是手段，攻擊存在于整個入侵過程之中。攻擊是由入侵者發起并由攻擊者實現的一種“非法”行為。無論是入侵，還是攻擊，僅僅是在形式上和概念描述上有所區別而已。對計算機系統和網絡而言，入侵與攻擊沒有什么本質區別，入侵伴隨著攻擊，攻擊的結果就是入侵。當攻擊得手而侵入目標網絡之后，入侵者利用各種手段掠奪和破壞別人的資源。3.1.3導致入侵和攻擊的原因導致入侵和攻擊的原因十分復雜，其可能的原因歸納如下：1）竊取情報、獲取文件和傳輸的數據信息；2）安裝有害程序、病毒、或特殊進程等；3）獲得更高的系統使用權限；4）搜索系統漏洞、安裝后門等；5）非法訪問、進行非法操作等；6）干擾網絡系統工作、拒絕服務等；7）其他目的，例如，傳播非法信息、篡改數據、欺騙、挑戰、政治企圖、危害國家經濟利益、破壞等。8）電子信息戰的需要。1．訪問控制技術訪問控制的主要目的是確保網絡資源不被非法訪問和非法利用，它所涉及的內容包括網絡登錄控制、網絡使用權限控制、目錄級控制以及屬性控制等多種手段。（1）網絡登錄控制

通過網絡登錄控制可以限制用戶對網絡服務器的訪問，或禁止用戶登錄，或限制用戶只能在指定的工作站上進行登錄，或限制用戶登錄到指定的服務器上，或限制用戶只能在指定的時間登錄網絡等。3.1.4防止入侵和攻擊的主要技術措施網絡登錄控制一般需要經過三個環節，一是驗證用戶身份，識別用戶名；二是驗證用戶口令，確認用戶身份；三是核查該用戶帳號的默認權限。在這三個環節中，只要其中一個環節出現異常，該用戶就不能登錄網絡。網絡登錄控制是由網絡管理員依據網絡安全策略實施的。（2）網絡使用權限控制

當用戶成功登錄網絡后，就可以使用其所擁有的權限對網絡資源進行訪問。網絡使用權限控制就是針對可能出現的非法操作或誤操作提出來的一種安全保護措施。網絡使用權限控制是通過訪問控制表來實現的。訪問控制表規定了用戶可以訪問的網絡資源以及能夠對這些資源進行的操作。根據網絡使用權限，可以將網絡用戶分為系統管理員用戶、審計用戶和普通用戶。（3）目錄級安全控制用戶獲得網絡使用權限后，即可對相應的目錄、文件或設備進行規定的訪問。一般情況下，對目錄和文件的訪問權限包括：系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限和訪問控制權限。目錄級安全控制可以限制用戶對目錄和文件的訪問權限，進而保護目錄和文件的安全，防止權限濫用。（4）屬性安全控制屬性安全控制是通過給網絡資源設置安全屬性標記實現的。當系統管理員給文件、目錄和網絡設備等資源設置訪問屬性后，用戶對這些資源的訪問將會受到一定的限制。（5）服務器安全控制

網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。2．防火墻技術防火墻是用來保護內部網絡免受外部網絡的惡意攻擊和入侵，將入侵者拒之門外的網絡安全技術。防火墻是內部網絡與外部網絡的邊界，它能夠嚴密監視進出邊界的數據包信息，能夠阻擋入侵者，嚴格限制外部網絡對內部網絡的訪問，也可有效的監視內部網絡對外部網絡的訪問。3．入侵檢測技術入侵檢測技術是網絡安全技術和信息技術結合的產物。使用入侵檢測技術可以實時監視網絡系統的某些區域，當這些區域受到攻擊時，能夠及時檢測和立即響應處理。4．安全掃描安全掃描是對計算機系統或其他網絡設備進行相關安全檢測，以查找安全隱患和可能被攻擊者利用的漏洞。安全掃描分主動式和被動式兩種。主動式安全掃描是基于網絡的，主要通過模擬攻擊行為記錄系統反應來發現網絡中存在的漏洞，這種掃描稱為網絡安全掃描；而被動式安全掃描是基于主機的，主要通過檢查系統中不合適的設置、脆弱性口令、以及其他同安全規則相抵觸的對象來發現系統中存在的安全隱患，這種掃描稱為系統安全掃描。安全掃描所涉及到的檢測技術主要有以下四種：1）基于應用的檢測技術。2）基于主機的檢測技術。3）基于目標的漏洞檢測技術。4）基于網絡的檢測技術。另外，安全掃描技術正逐漸向模塊化和專家系統兩個方向發展。5．安全審計安全審計是對網絡系統的活動進行監視、記錄并提出安全意見和建議的一種機制。利用安全審計可以有針對性的對網絡運行狀態和過程進行記錄、跟蹤和審查。通過安全審計不僅可以對網絡風險進行有效評估，還可以為制訂合理的安全策略和加強安全管理提供決策依據，使網絡系統能夠及時調整對策。計算機網絡安全審計主要包括對操作系統、數據庫、Web、郵件系統、網絡設備和防火墻等項目的安全審計，以及加強安全教育，增強安全責任意識。網絡安全審計系統包含的主要功能和所涉及的共性問題（1）網絡安全審計系統主要功能：采集多種類型的日志數據

日志管理

日志查詢入侵檢測自動生成安全分析報告網絡狀態實時監視事件響應機制集中管理（2）網絡安全審計系統所涉及的共性問題日志格式兼容問題

日志數據的管理問題

日志數據的集中分析問題分析報告及統計報表的自動生成問題6．安全管理（1）信息安全管理的內涵根據我國計算機信息系統安全等級保護管理要求（GA/T391—2002）中的描述，信息安全管理的內涵是對一個組織或機構中信息系統的生命周期全過程實施符合安全等級責任要求的科學管理，它包括：1）落實安全組織及安全管理人員，明確角色與職責，制定安全規劃；2）開發安全策略；3）實施風險管理；4）制定業務持續性計劃和災難恢復計劃；5）選擇與實施安全措施；6）保證配置、變更的正確與安全；7）進行安全審計；8）保證維護支持；9）進行監控、檢查，處理安全事件；10）安全意識與安全教育；11）人員安全管理等內容。一般意義上講，安全管理就是指為實現信息安全目標而采取的一系列管理制度和技術手段，包括安全檢測、監控、響應和調整的全部控制過程。而對整個系統進行風險分析和評估是明確信息安全目標要求的重要手段。（2）信息安全管理的基本原則不論多么先進的安全技術，都只是實現信息安全管理的手段。信息安全源于有效的管理，要使先進的安全技術發揮較好的效果，就必須建立良好的信息安全管理體系，這是一個根本問題。人們總是認為信息安全是一個技術上的問題，并將信息安全管理的責任限制在技術人員身上，這種觀點和做法是十分錯誤的。在我國，加強對信息安全工作的領導，建立健全信息安全管理責任制，通常以誰主管誰負責、誰運營誰負責和誰使用誰負責為基本要求，堅持的總原則是：主要領導人負責原則；規范定級原則；依法行政原則；以人為本原則；適度安全原則；全面防范、突出重點原則；系統、動態原則；以及控制社會影響原則。而信息安全管理的主要策略是：分權制衡、最小特權、選用成熟技術和普遍參與的四條策略。（3）信息安全管理的基本過程安全管理是一個不斷發展、不斷修正的動態過程，貫穿于信息系統生命周期，涉及到信息系統管理層面、物理層面、網絡層面、操作系統層面、應用系統層面和運行層面的安全風險管理。在這些層面上的安全管理是保證信息系統安全技術、安全工程、安全運行正確、安全、有效的基礎。圖3.1描述了一個信息系統安全管理過程的基本模型，在該模型中，每個階段的管理工作重點不同，要求也不同。總的安全目標是防止國家秘密和單位敏感信息的失密、泄密和竊密，防止數據的非授權修改、丟失和破壞，防止系統能力的喪失、降低，防止欺騙，保證信息及系統的可信度和資產的安全。安全目標戰略政策和策略組織、環境和法律等的影響風險分析

與評估確定安全保護等級，選擇和實施保護措施監控、安全意識、配置管理、變更管理、業務持續性計劃等圖3.1信息系統安全管理過程的基本模型3.2典型攻擊方法及其原理

1．掃描器法原理該方法是利用C/S結構中的請求-應答機制實現的。它通過使用不同的請求信息依次向遠程主機或本地主機發送服務請求，然后根據遠程主機或本地主機的響應情況來判別它們目前所處的工作狀態，最后決定下一步的操作。如果遠程主機或本地主機有響應，則表明與服務請求所對應的服務正在進行中，這時，再進一步分析和確定服務軟件的版本信息，并試探該版本中的漏洞是否存在，從而實現掃描的目的。3.2.1掃描器法

一個完整的掃描器應具備的基本功能包括：（1）發現目標主機和網絡；（2）發現目標主機后，能夠掃描正在運行的各種服務；（3）能夠測試這些服務中是否存在漏洞。2．利用網絡命令大多數網絡操作系統都會提供一些用于網絡管理和維護的網絡命令，利用這些網絡命令可收集到許多有用的信息。但這些工具也常被入侵者用來掃描網絡信息，當它們知道了目標主機上運行的操作系統、服務軟件及其版本號后，就可利用已經發現的漏洞來攻擊系統。3．端口掃描（1）端口掃描的工作原理通過使用一系列TCP或UDP端口號，不斷向目標主機發出連接請求，試圖連接到目標主機上，并記錄目標主機的應答信息。然后，進一步分析主機的響應信息，從中判斷是否可以匿名登錄，是否有可寫入的FTP目錄，是否可以使用telnet登錄等。（2）常用的端口掃描技術向目標主機提出連接請求的方式很多，這些連接請求并不是真的要與目標主機建立連接，只是想獲取目標主機的響應信息，以便進一步分析目標主機上可利用的信息資源。1）TCPconnect請求使用標準的connect()函數向目標主機提出連接請求，如果目標主機在指定的端口上處于偵聽狀態并且準備接收連接請求，則connect()將操作成功，此時表明目標主機的端口處于開放狀態，如果connect()操作失敗，則表明目標主機的端口未開放。使用這種方法可以檢測到目標主機上的各個端口的開放情況。2）TCPSYN請求這種請求是通過TCP三次握手的過程實現的。首先向目標主機發送一個SYN數據包，接著等待目標主機的應答；如果目標主機返回RST，則說明目標主機的端口不可用，中止連接。如果目標主機返回SYN|ACK，則說明目標主機的端口可用，此時，向目標主機發送RST數據包中止連接。3）TCPFIN請求當向目標主機的某個端口發送FIN數據包后，一般會出現兩種情況：一是目標主機沒有任何回應信息；二是目標主機返回RST。第一種情況說明目標主機的端口可用，第二種情況說明目標主機的端口不可用。4）IP分段請求事先將一個探測用的TCP數據包分成兩個較小的IP數據包，然后向目標主機傳送。目標主機收到這些IP分段后，會將它們重新組合成原來的TCP數據包。這樣不直接發送TCP數據包而選擇IP分段發送的目的是使它們能夠穿過防火墻和包過濾器而到達目標。5）FTP反射請求在FTP中，當某臺主機與目標主機在FTPserver-PI上建立一個控制連接后，可以通過對server-PI進行請求來激活一個有效的server-DTP，并使用這個server-DTP向網絡上的其他主機發送數據。利用這種特性，可以借助一個代理FTP服務器來掃描TCP端口。其實現過程是：首先連接到FTP服務器上；然后向FTP服務器寫入數據；最后激活數據傳輸過程由FTP服務器把數據發送到目標主機上的端口。對于端口掃描，可先利用FTP和PORT命令來設定主機和端口，然后執行其他FTP文件命令，根據命令的響應碼可以判斷出端口的狀態。該方法的優點是能穿過防火墻和不被懷疑，缺點是速度慢和完全依賴于代理FTP服務器。6）UDP請求當向目標主機的某個端口發送UDP數據包時，會產生兩種情況：一是無任何信息返回；二是返回一個ICMP_PORT_UNREACH錯誤。第一種情況說明目標主機的UDP端口已打開或UDP數據包已丟失；而第二種情況則說明目標主機的UDP端口不可用。在第一種情況下，如果可以確認所發送的UDP數據包沒有丟失，則可確認目標端口的狀態。如果估計所發送的UDP數據包已丟失，則需要重新發送數據包，直到探明目標主機端口的狀態或終止掃描為止。4．漏洞掃描漏洞掃描是根據已發現的漏洞來判斷正在運行的服務中是否還存在著相應的漏洞問題，如果存在，則應立即打上補丁，否則就可能被入侵者利用來攻擊系統。目前存在的掃描器分為基于主機的和基于網絡的兩種類型。基于主機的掃描器是運行在被檢測的主機上的，用于檢測所在主機上存在的漏洞信息；而基于網絡的掃描器則是用于檢測其他主機的，它通過網絡來檢測其他主機上存在的漏洞現象。3.2.2特洛伊木馬法特洛伊木馬是一種C/S結構的網絡應用程序。其中，木馬的服務器端程序可以駐留在目標主機上并以后臺方式自動運行。攻擊者使用木馬的客戶端程序與駐留在目標主機上的服務器木馬程序進行通信，進而獲取目標主機上的各種信息。木馬的服務器端程序常以下列三種形式存在于目標主機上，極具隱蔽性和危害性。1）將它的程序代碼作為單獨的程序出現，這個程序可以在設定的時間自動運行。2）將它的程序代碼集中隱藏在合法程序中，隨合法程序運行而獨立工作。3）更改合法程序，將其代碼分布到合法程序中，隨合法程序運行而獨立工作。安裝木馬程序的主要目的是用于遠程管理和控制主機系統。但也經常被攻擊者用作對系統進行攻擊的一種手段。根據木馬程序的啟動特點，在Windows系統中，可以通過檢查windows系統啟動時自動加載程序的幾種方法來檢查并清除木馬程序。檢查和清除windows系統中的木馬程序的一般方法如下：1）在“開始/程序/啟動”菜單組中，如果發現有異常程序，則可直接清除。2）在autoexec.bat文件中，如果發現有類似“win程序名”的命令行，則在命令中的程序很可能就是木馬程序。3）在win.ini文件中，檢查[windows]段上由“run=”和“load=”兩個項目指定的程序是否有異常，如果有，很可能是木馬，則應立即清除。4）在system.ini文件中，檢查[boot]段上由“shell=”項指定的程序是否有異常。正常情況下，應該為：“shell=explorer.exe”，如果變成：“shell=explorer.exe

程序名”，則其中的程序名很可能是木馬程序。5）在注冊表中，與啟動相關的注冊表項是需要注意的。打開注冊表編輯器后，依次檢查相關的注冊表項的值，如果發現異常，則需要及時修正。下列注冊表項是需要重點檢查的項目內容。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunonceHKEY_CLASSES_ROOT\exefile\shell\open\command一般采用對比的方法來檢查注冊表項，用正確的注冊表與當前的注冊表進行對比，從中找出可疑的內容。例如，在HKEY_CLASSES_ROOT\exefile\shell\open\command表項中包含的正確值為“”%1“%*”，如果被改為“程序名”%1“%*”，則可能是木馬程序名。如果發現異常程序，除了在上述文件中刪除它們之外，還要找到它們所在的目錄，徹底清除，否則，它們有可能還會自動加到相應的啟動位置。3.2.3緩沖區溢出法緩沖區溢出是利用系統中的堆棧實現的。下面以32位的CPU的堆棧操作為例來說明緩沖區溢出的攻擊原理。當CPU執行入棧（PUSH）操作時，首先將堆棧寄存器ESP減4，然后將數據存入由ESP指向的存貯單元；而執行出棧操作時，則先取出由ESP指向的存貯單元中的數據，然后將ESP加4。在調用函數時，CPU先將下一條指令的地址值（返回地址）EIP入棧保存，然后再依次把函數的參數入棧。如果函數內部還有局部變量時，則在堆棧中再開辟空間以保存這些變量。正常情況下，函數調用結束時，由函數參數和局部變量所占用的堆棧空間全部被釋放出棧，并恢復EIP寄存器的值開始執行下一條指令。同時，堆棧指針被恢復成函數調用前的狀態。圖3.2描述了正常調用C函數main(int

arg,char*arv)時，堆棧的變化情況。假設C函數定義為：int

main(int

arg,char*arv){charbuff[60];strcpy(buff,arv);}由于字符串處理函數沒有對超長字符加以判斷和限制，因此，對于那些超出緩沖區長度的字符內容必將覆蓋緩沖區以外的數據。在函數main()中，如果使用strcpy()函數把多于60個字符的字符串拷貝到堆棧內的緩沖區中，則堆棧中的其他數據將會被覆蓋。如果經心設計所覆蓋的內容，如用特定的地址值覆蓋堆棧中的EIP值（圖3.2中的斜體字部分就是覆蓋后的堆棧內容），那么，當函數調用結束時，就會將這個特定的地址值賦給指令寄存器EIP，進而導致指令執行的順序發生改變。argarvEIP緩沖區EIP’argarvEIP緩沖區EIP’argarvEIPESP緩沖區EIP’argarvEIP緩沖區EIP’argarvEIPESPESPESPESPESP低高調用前EIP、參數入棧緩沖區入棧釋放緩沖區正常返回異常返回圖3.2正常調用C函數時堆棧指針的變化情況3.2.4拒絕服務攻擊法拒絕服務攻擊（DOS，DenyofService）是以停止目標主機的網絡服務為目的。采用這種攻擊方法時，攻擊者不需獲取目標主機的任何操作權限，就可以對目標主機進行攻擊。其攻擊原理是：利用各種手段不斷向目標主機發送虛假請求、或垃圾信息等，使用目標主機一直處于忙于應付或一直處于等待回應的狀態而無法為其他主機提供服務。1．廣播風暴當某臺主機使用廣播地址發送一個ICMPecho請求包時，其他一些主機會向該主機回應ICMPecho應答包。如果不斷的發送這樣的數據包，則會有大量的數據包被回應到相應的主機上，導致該主機一直處于接收響應數據包的狀態而無法做其他的事。2．SYN淹沒正常情況下，建立一個TCP連接需要一個三方握手的過程，即需要進行三次包交換。當服務器收到一個由客戶發來的SYN包時，必須回應一個SYN/ACK包，然后再等待該客戶回應一個ACK包來確認后，才建立連接。但是，如果客戶機只發送SYN包，而不向服務器發送確認包，則導致服務器一直處于等待狀態直到超時為止。SYN淹沒攻擊就是利用這樣一個原理，定時向服務器發送SYN包而不去回應它，致使服務器無法響應其他客戶的請求，服務被中斷。3．IP分段攻擊某些操作系統在處理分段的IP數據包時，存在一個致命的漏洞。當IP包被分段發送時，操作系統需要將分段的IP包組合成一個完整的IP包。在這個組合過程中，需要不斷的調整和計算每一個IP分段在IP包中的數據偏移地址和有效長度，直到組合完成。如果計算出某個IP分段的有效長度為負數，那么，將會導致向內核緩沖區拷貝大量的數據，從而導致死機。通常，攻擊者向目標主機發送兩個特殊的IP分段包（正常情況下，不會有這樣的分段），第1個IP分段包的數據偏移地址為0，有效長度為N，分段標志位置1，表示后面還有IP分段包。第2個IP分段包的數據偏移地址為K，并使K<N，有效數據長度為S，并使K+S<N，分段標志位置0，表示后面沒有IP分段包了。目標主機收到第2個IP分段包后，發現該分段的偏移地址指向了第1個分段中的有效數據部分（如果K>=N，則不會出現這個問題），這時，操作系統需要調整第2個分段的數據偏移地址和有效長度的值。調整后，第2個分段的數據偏移地址為N，有效長度為（(K+S)-N），因此得到第2個IP分段的有效長度為負數，導致系統癱瘓。4．OOB攻擊在某些網絡協議中，沒有全面考慮如何處理帶外數據OOB（outofband）的問題，一旦遇到帶外數據將會導致異常發生。5．分布式攻擊由于攻擊者自身的帶寬有很，所以很難通過大量的網絡傳輸來威脅目標主機。為了克服自身帶寬的限制，出現了分布式拒絕服務攻擊（DDOS，DistributedDenyOfService）。攻擊者把攻擊用的工具軟件駐留到多臺主機上，利用這些主機的帶寬一起向目標主機發送大量的具有欺騙性的請求信息，致使目標主機中斷服務。這種攻擊方法，既使目標主機沒有漏洞，也能對目標主機構成嚴重威脅，導致目標主機的服務中斷。攻擊者客戶機客戶機客戶機端口監控程序目標主機端口監控程序端口監控程序端口監控程序端口監控程序端口監控程序圖3.3分布式s拒絕服務攻擊示意圖TFN（TribeFloodNetwork）攻擊就采用了分布式攻擊的方法。TFN由客戶機和端口監控程序構成，可選擇廣播風暴、SYN淹沒、UDP等多種攻擊手段，同時提供了一個綁定在TCP端口上的即時響應的命令處理器。攻擊者可控制一個或多個客戶機，每個客戶機能夠控制多個端口監控程序，并通過指令來控制端口監控制程序向目標主機發起攻擊。6．IIS上傳攻擊在Internet服務中，某些協議對上傳到服務器上的數據長度一般沒有限制，這使得拒絕服務攻擊十分容易。例如，在HTTP協議中，利用POST方法上傳數據時，所上傳的數據長度是由字段ContentLenth指定的，但沒有大小限制。如果用戶指定一個非常大的數值，則導致IIS一直等待接收這些數據，直到傳送完成，才會釋放所占用的內存資源。攻擊者就是利用這種缺陷，輕而易舉的向IIS發送大量的垃圾數據，導致服務器的內存資源耗盡。當內存資源不足時，服務器將會頻繁使用磁盤緩沖區進行數據交換，CPU的處理速度明顯3.2.5網絡監聽法在網絡上，任何一臺主機所發送的數據包，都會通過網絡線路傳輸到指定的目標主機上，所有在這個網絡線路上的主機都可以偵聽到這個傳輸的數據包。正常情況下，網卡對所經過的數據包只做簡單的判斷處理，如果數據包中的目標地址與網卡的相同，則接收該數據包，否則不做任何處理。如果將網卡設為雜湊模式，則該網卡就可接收任何流經它的數據包，不論數據包的目標地址是什么。攻擊者利用這樣一個原理，將網卡設置成雜湊模式，然后截獲流經它的各種數據包進行分析，對一些具有敏感性的數據包做進一步的解析，如含有用戶名（username）和密碼（password）字樣的數據包。防止網絡被監聽的一般方法有：①經常檢查當前正在運行的程序列表，如發現有不明身份的程序在運行，則應提高警惕；②檢查可疑的日志文件，如果有大小不斷增加和時間不斷更新的日志文件存在，則應立即檢查其內容；③檢測網卡的工作模式，如果處于雜湊模式，則應加強防范，查明原因；④使用安全通信協議，加強通信數據的保密性；⑤使用安全的網絡拓樸結構，縮小數據包流經的范圍。3.2.6電子欺騙法攻擊者為了獲取目標主機上的資源，可能會采用電子欺騙的手法來達到目的。電子欺騙法主要是通過偽造數據包，并使用目標主機可信任的IP地址作為源地址把偽造好的數據包發送到目標主機上，以此獲取目標主機的信任，進而訪問目標主機上的資源。由于TCP/IP協議本身存在很多缺陷，因此，不論目標主機上運行的是何種操作系統，電子欺騙都是容易實現的，它也常被用作獲取目標主機信任的一種攻擊方式。1．TCP序列號欺騙TCP序列號欺騙是通過TCP的三次握手過程，推測服務器的響應序列號而實現的。這種欺騙既使在沒有得到服務器響應的情況下，也可以產生TCP數據包與服務器進行通信。為了確保端到端的可靠傳輸，TCP對所發送出的每個數據包都分配序列編號，當對方收到數據包后則向發送方進行確認，接收方利用序列號來確認數據包的先后順序，并丟棄重復的數據包。TCP序列號在TCP數據包中占32位字節，有發送序列號SEQS和確認序列號SEQA兩種，它們分別對應SYN和ACK兩個標志。當SYN置1時，表示所發送的數據包的序列號為SEQS

；當ACK置1時，表示接收方準備接收的數據包的序列號為SEQA

。在客戶機與服務器建立連接的三次握手過程中，序列號的變化如下：①ClientServer:SYN（SEQS=ISNC）②

Server

Client:SYN

（SEQS=ISNS），ACK（SEQA=ISNC+1）

③ServerClient:ACK（SEQA=ISNS+1）其中，客戶機首先向服務器發送一個初始序列號ISNC

，并置SYN=1，表示需要與服務器建立連接；服務器確認這個傳輸后，向客戶機返回它本身的序列號ISNS，并置ACK=1，同時通知客戶機下一個期待獲得的數據序列號是ISNC+1；最后，客戶機再次確認，完成三次握手的過程。在這個三次握手的過程中，如果能夠推測出由服務器返回的序列號ISNS的值，則可實現序列號欺騙攻擊。假設User是服務器上的可信任主機，Xser是冒充User的入侵者，那么，如果Xser預測出了ISNS的值，則TCP序列號欺騙攻擊的過程如下：①

XserServer:SYN（SEQS=ISNC）；使用User的IP作為源地址②ServerUser

:SYN（SEQS=ISNS），ACK（SEQA=ISNC+1）③XserServer:ACK（SEQA=ISNS+1）；使用User的IP作為源地址在這里，Xser以User的身份向服務器發送初始序列號，并置SYN=1，請求與服務器建立連接；當服務器收到該請求后，向User返回應答序列號，如果此時User能正常工作，則認為這是一個非法數據包，而終止連接，使攻擊者的目的落空，否則，攻擊者將繼續以User的身份向服務器發送已推測出的確認序列號ISNS+1，并與服務器建立連接，進而可在服務器上行使User的權限，執行相應的操作。使用這種攻擊需要具備兩個基本條件：一是能推測出序列號ISNS的值；二是所冒充的可信任主機不能正常工作。其中，最關鍵的是要推測出由服務器返回的序列號ISNS的值。由服務器返回的這個值可能是個隨機數，它通常與被信任主機和服務器間的RTT時間有關，必須經過多次采樣和統計分析，才可能推測到這個值。通常，可重復多次與被攻擊主機的某個端口（如SMTP）建立正常連接，然后斷開，并記錄每次連接所設定的ISN值。另外，還需要多次測試可信任主機與服務器間的RTT時間，并統計出平均值。根據這個RTT時間值，可以通過下式估算出ISN的值。一旦估計出ISN的值，就可進行攻擊，這個攻擊過程是利用IP欺騙法實現的。ISN=64000×RTT64000×（RTT+1）當目標主機剛剛建立過一個連接時2．IP欺騙IP欺騙是利用可信任主機的IP地址向服務器發起攻擊的。3.2.7計算機病毒1．計算機病毒的概念與特征所謂計算機病毒（ComputerViruses）是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并具有自我復制功能的一組計算機指令或者程序代碼。2．病毒的傳播途徑病毒的傳播途徑大致分為兩類，一類是通過主機上的移動介質；另一類是通過網絡。3．病毒的種類根據病毒的破壞性質，可將病毒分為良性病毒和惡性病毒兩類；根據病毒所攻擊的操作系統情況，可將病毒分為DOS病毒、Windows病毒、Linux病毒和Unix病毒等類型；根據病毒所應用的技術情況，可將病毒分為引導型、文件型和混合型病毒三種類型；根據Internet應用情況，可將病毒分為變形病毒、宏病毒、電子郵件病毒、腳本病毒、網絡蠕蟲病毒、黑客、木馬/后門、Java/ActiveX惡意代碼等多種類型。4．感染病毒的癥狀當系統受到病毒感染時，可能會出現下列癥狀：1）程序裝入時間比平時長，運行異常；2）有規律的發現異常信息；3）用戶訪問設備時發現異常情況；4）磁盤的空間突然變小了，或不識別磁盤設備；5）程序或數據神秘的丟失了，文件名不能辨認；6）顯示器上經常出現一些莫名奇妙的信息或異常顯示；7）機器經常出現死機現象或不能正常啟動；8）發現可執行文件的大小發生變化或發現來歷不明的隱藏文件等。5．清除病毒的基本方法清除病毒的基本方法包括人工處理和利用反病毒軟件兩種。人工處理方法通過準確的分析判斷直接清除病毒，如果發現磁盤引導區的記錄被破壞，可直接用正確的引導記錄復蓋磁盤引導區；如果發現某一文件被病毒感染，可直接使用正常的文件復蓋被感染的文件或消除鏈接在該文件上的病毒，或者干脆清除該文件等就可清除病毒。通常反病毒軟件具有對特定種類的病毒進行檢測的功能，有的軟件可查出幾十種甚至幾百種病毒，并且大部分反病毒軟件可同時消除查出來的病毒。6．預防病毒的基本措施計算機病毒的危害極大。必須采取有效措施，防止計算機感染病毒。人工預防也稱標志免疫法。因為任何一種病毒均有一定標志，將此標志固定在某一位置，然后把程序修改正確，達到免疫的目的。軟件預防主要是使用計算機病毒的疫苗程序，這種程序能夠監督系統運行，并防止某些病毒入侵。硬件預防主要采取兩種方法：一是改變計算機系統結構；二是插入附加固件。管理預防是目前最有效和普遍采用一種預防措施，它通過以下兩種途徑實現：1）法律制度。規定制造計算機病毒是違法行為，對罪犯用法律制裁。2）計算機系統管理制度。建立系統使用權限體系、建立健全系統資料和文件的使用管理制度、建立定期清除病毒和更新磁盤的管理規定等。3.3入侵檢測技術

入侵檢測（ID，IntrusionDetection）是通過監視各種操作、分析、審計各種數據和現象來實時檢測入侵行為的過程，它是一種積極的和動態的安全防御技術。用于入侵檢測的所有軟硬件統稱為入侵檢測系統（IDS，IntrusionDetectionSystem）。這個系統可以通過網絡和計算機動態地搜集大量關鍵信息資料，并能及時分析和判斷整個系統環境的目前狀態，一旦發現有違反安全策略的行為或系統存在被攻擊的痕跡等，立即啟動有關安全機制進行應對。3.3.1入侵檢測的概念

目前，根據獲取原始數據的方法可以將入侵檢測系統分為基于主機的和基于網絡的兩種類型。基于主機的入侵檢測系統（IDS—HIDS）是通過監視與分析主機的審計記錄實現的，它的關鍵問題是能否及時準確的采集到審計資料，如果這個采集過程被入侵者控制，那么入侵檢測就沒有意義了。而基于網絡的入侵檢測系統（IDS—NIDS）是通過在共享網段上對通信數據的偵聽采集數據，并檢測所有數據包的包頭信息，分析可疑現象，從而達到入侵檢測的目的。這種方法不需要主機提供嚴格的審計，故較少消耗主機資源。入侵檢測的三個環節（1）采集信息。采集的主要內容包括：系統和網絡日志、目錄和文件中的敏感數據、程序執行期間的敏感行為、以及物理形式的入侵等；（2）信息分析。主要通過與安全策略中的模式匹配、與正常情況下的統計分析對比、與相關敏感信息屬性要求的完整性分析對比等；（3）入侵檢測響應，分主動響應和被動響應，主動響應可對入侵者和被入侵區域進行有效控制。被動響應只是監視和發出告警信息，其控制需要人介入。3.3.2入侵檢測技術及發展入侵檢測技術的發展已經歷了四個主要階段：第一階段是以基于協議解碼和模式匹配為主的技術，其優點是對于已知的攻擊行為非常有效，各種已知的攻擊行為可以對號入座，誤報率低；缺點是高超的黑客采用變形手法或者新技術可以輕易躲避檢測，漏報率高。第二階段是以基于模式匹配+簡單協議分析+異常統計為主的技術，其優點是能夠分析處理一部分協議，可以進行重組，缺點是匹配效率較低，管理功能較弱。第三階段是以基于完全協議分析+模式匹配+異常統計為主的技術，其優點是誤報率、漏報率和濫報率較低，效率高，可管理性強，并在此基礎上實現了多級分布式的檢測管理，缺點是可視化程度不夠，防范及管理功能較弱。第四階段是以基于安全管理+協議分析+模式匹配+異常統計為主的技術，其優點是入侵管理和多項技術協同工作，建立全局的主動保障體系，具有良好的可視化、可控性和可管理性。以該技術為核心，可構造一個積極的動態防御體系，即IMS--入侵管理系統。1．入侵檢測技術分類從技術上講，入侵檢測技術大致分為基于知識的模式識別、基于知識的異常識別和協議分析三類。（1）基于知識的模式識別這種技術是通過事先定義好的模式數據庫實現的，其基本思想是：首先把各種可能的入侵活動均用某種模式表示出來，并建立模式數據庫，然后監視主體的一舉一動，當檢測到主體活動違反了事先定義的模式規則時，根據模式匹配原則判別是否發生攻擊行為。（2）基于知識的異常識別這種技術是通過事先建立正常行為檔案庫實現的，其基本思想是：首先把主體的各種正常活動用某種形式描述出來，并建立“正常活動檔案”，當某種活動與所描述的正常活動存在差異時，就認為是“入侵”行為，進而被檢測識別。利用行為進行識別時，存在四種可能：一是入侵且行為正常；二是入侵且行為異常；三是非入侵且行為正常；四是非入侵且行為異常。根據異常識別思想，把第二種和第四種情況判定為“入侵”行為。以下是幾種基于知識的異常識別的檢測方法：1）基于審計的攻擊檢測技術根據用戶的歷史行為、先前的證據或模型，使用統計分析方法對用戶當前的行為進行檢測和判別，當發現可疑行為時，保持跟蹤并監視其行為，同時向系統安全員提交安全審計報告。2）基于神經網絡的攻擊檢測技術而基于神經網絡的攻擊檢測技術是一個對基于傳統統計技術的攻擊檢測方法的改進方向，它能夠解決傳統的統計分析技術所面臨的若干問題。3）基于專家系統的攻擊檢測技術所謂專家系統就是一個依據專家經驗定義的推理系統。這種檢測是建立在專家經驗基礎上的，它根據專家經驗進行推理判斷得出結論。4）基于模型推理的攻擊檢測技術攻擊者在入侵一個系統時往往采用一定的行為程序，這種行為程序構成了某種具有一定行為特征的模型，根據這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖。用基于模型的推理方法，人們能夠為某些行為建立特定的模型，從而能夠監視具有特定行為特征的某些活動。根據假設的攻擊腳本，這種系統就能檢測出非法的用戶行為。（3）協議分析這種檢測方法是根據針對協議的攻擊行為實現的，其基本思想是：首先把各種可能針對協議的攻擊行為描述出來，其次建立用于分析的規則庫，最后利用傳感器檢查協議中的有效荷載，并詳細解析，從而實現入侵檢測。2．入侵檢測技術的發展趨勢（1）入侵技術發展的特點（2）入侵檢測存在的問題IDS的檢測模型始終落后于攻擊者的新知識和技術手段。主要表現在：1）利用加密技術欺騙IDS；2）躲避IDS的安全策略；3）快速發動進攻，使IDS無法反應；4）發動大規模攻擊，使IDS判斷出錯；5）直接破壞IDS系統；6）智能攻擊技術，邊攻擊邊學習，變IDS為攻擊者的工具。（3）入侵檢測技術發展趨勢。1）分布式入侵檢測，擴大檢測范圍和類別；2）智能化入侵檢測，自學習、自適應；3）應用層入侵檢測；4）高速入侵檢測；5）標準化和系統化入侵檢測。目前，IDS發展的新趨勢主要表現在兩個方向上，一個是趨向構建入侵防御系統（IPS）。二是趨向構建入侵管理系統（IMS）。入侵檢測是一門綜合性技術，既包括實時檢測技術，也有事后分析技術。由于攻擊的不確定性，單一的IDS產品可能無法做到面面俱到。因此，IDS的未來發展必然是多元化的。只有通過不斷改進和完善技術才能更好地協助網絡進行安全防御。3.3.3入侵檢測系統1．基于主機的入侵檢測系統基于主機的入侵檢測系統用于防止對單機節點的入侵，它駐留在單機節點內部，并以單機節點上OS的審計信息為依據來檢測入侵行為，其檢測目標主要是主機系統和本機用戶，其檢測過程如圖3.4所示。這種檢測系統完全依賴于審計數據或系統日志數據的準確性和完整性以及對安全事件的定義。如果攻擊者設法逃避審計或里應外合，則該檢測系統就暴露出其至命的弱點，特別是在網絡環境下。事實上，僅僅依靠主機的審計信息來完成入侵檢測功能很難適應網絡安全的基本要求，這主要表現在以下幾個方面：1）主機審計信息極易受到攻擊，入侵者可以通過使用某些特權或調用比審計本身更低級的操作來逃避審計；2）利用主機審計信息無法檢測到網絡攻擊，如域名欺騙、端口掃描等；3）由于在主機上運行入侵檢測系統，所以或多或少影響主機的性能；攻擊數據庫配置系統庫入侵檢測器應急措施主機系統報警作操統系審計記錄圖3.4基于主機的入侵檢測系統2．基于網絡的入侵檢測系統基于網絡的入侵檢測系統用于防止對某網絡的入侵，它放置在防火墻附近，從防火墻內部或外部監視整個網絡，并根據一些關鍵因素分析進出網絡的網絡包，判斷是否與已知的攻擊或可疑的活動相匹配，一經發現立即響應并做出處理。圖3.5所示的系統是由檢測器、分析引擎、網絡安全數據庫、以及安全策略構成。檢測器的功能是按一定的規則從網絡上獲取與安全事件相關的數據包，然后將所捕獲的數據包傳遞給分析引擎；分析引擎從檢測器接收到數據包后立即結合網絡安全數據庫進行安全分析和判斷，并將分析結果發送給安全策略；安全策略根據分析引擎傳來的結果構造出滿足檢測器需要的配置規則，并將配置規則反饋給檢測器。與防火墻相比，入侵檢測系統并不具備阻止攻擊的能力，但它可以及時發現攻擊，并以報警方式向管理員發出警告。目前有些入侵檢測產品增加了中斷入侵會話和非法修改訪問控制表的功能，但是，這也為攻擊者制造了拒絕服務攻擊的機會。網絡中的數據分析引擎安全策略網絡安全數據庫檢測器分析結果圖3.5基于網絡的入侵檢測系統隨著網絡系統結構復雜化和大型化，網絡系統的弱點或漏洞不斷呈分布式結構。網絡入侵行為也不在是單一化，而是呈多元化、分布式和大規模入侵等特點，在這種情況下，基于分布式的入侵檢測系統應運而生。這種系統的控制結構是基于自治主體的，它采用相互獨立并獨立于系統而運行的進程組，進程組中的每個進程就是一個能完成特定檢測任務的自治主體，如圖3.6所示。訓練模塊網絡層數據鏈路層自治主體操作員控制圖3.6基于分布式的入侵檢測系統在圖3.6所示的系統中，入侵檢測是由自治主體完成的，每個自治主體各負其責，嚴密監視網絡系統中各種信息流的狀態。在基于分布式的系統中，一個重要的應用思想就是主體協作。每個自治主體負責監控網絡信息流的一個方面，多個自治主體相互協作，分布檢測，共同完成一項檢測任務。綜上所述，不論是何種入侵檢測系統都存在這樣或那樣的不足，因而需要不斷改進和完善，一個較為理想的入侵檢測系統應具備以下特征：1）準確性。檢測系統對發現的攻擊行為不應出現誤報和漏報現象；

2）可靠性。

3）容錯性。檢測系統本身必須具備完整性，保證檢測用的知識庫系