網絡安全第11章12網絡安全的特殊性網絡攻擊與入侵3網絡安全技術11.1網絡安全的特殊性11.1.1網絡與Internet隨著計算機網絡的迅速普及和計算機通信技術的飛速發展，信息產業迅速興起，對社會的經濟、文化、生活以及國家之間的競爭等各個方面產生了巨大的影響。網絡計算和分布式計算環境基于開放性技術，而開放性與安全性是一對基本的矛盾，在計算機網絡和以網絡為基礎的各類信息系統的建設中，這個矛盾貫穿于發展的始終，并且處于長期的對抗面，因此，不可能存在一勞永

逸、絕對安全的系統安全策略和安全機制，安全的目標和實施的安全策略，是在一定條件（環境與技術）下的合理性。11.1.1網絡與Internet下面介紹幾個重要的網絡概念。（1）局域網與廣域網概念（4）外聯網（Extranet）（3）內聯網（Intranet）（2）因特網（Internet）11.1.2網絡安全的威脅“網絡就是計算機”，因此，計算機系統安全的幾乎所有領域都在網絡安全中得以體現。網絡系統安全的主要威脅也來源于各個方面，有自然的、硬件的、軟件的，也有人為的疏忽、失誤等。網絡安全的類別包括了網絡崩潰、網絡阻塞、網絡濫用、網絡入侵、網絡干擾和網絡破壞。11.1.2網絡安全的威脅歸納起來，網絡中的安全風險主要有以下幾種：破壞保密性偽裝認證破壞完整性不可否認性破壞可用性11.1.3網絡安全的研究范圍網絡安全是計算機安全在網絡環境下的擴展和延伸。計算機網絡系統的安全是一個整體的概念。上述五類安全性的實施，仍然主要包括用戶身份驗證、訪問控制、數據完整、數據加密、防抵賴和審計追蹤等安全要求。它們各自的可靠性和安全性與網絡的安全性有緊密的關系，對網絡安全的性能有直接的影響11.1.4黑客與黑客技術“Hacker”，網絡“黑客”，原意是泛指對任何計算機系統、操作系統、網絡系統的奧秘都具有強烈興趣的人。他們大部分都具有計算機操作系統和編程語言方面的高級知識，了解系統中的漏洞及其原因，他們不斷追求新的、更深的知識和技術，并公開他們的發現，與其他人分享，他們自己宣稱絕不、也從來沒有破壞數據的企圖。竊客與黑客不同，他們主要與電話公司打交道。采用不同的種種“手段”和“詭計”來操縱電話公司，可以從電話中得到他們想要的有價值的信息，還可以免費地撥打區域和長途電話，當然，這也是非法的。怪客則是網絡中真正的竊賊，其興趣就是專門進入別人的網絡和網站，找尋他們感興趣的東西，從而帶來種種網絡問題。11.1.4黑客與黑客技術黑客對于網絡的攻擊一般分成三個步驟，如圖11-1所示。第一步，黑客利用某些公開協議或工具，收集駐留在網絡系統中的各個主機系統的相關信息。第二步，利用自編程序或一些公開的工具對主機或系統進行弱點探測。第三步，實施攻擊。11.1.5網絡安全的社會性問題隨著網絡信息的高速發展，網絡安全方面的問題顯

得極為重要，網絡與信息系統的安全也成了人們高度關

注的社會性問題。但網絡安全的問題和現實安全問題一

樣，將會是一個永恒的問題，短期內沒有較好的解決方

法。網絡攻擊和防守的不對稱、網絡安全的動態性、規

避安全風險的投入和產出問題都會造成網絡安全管理的

極大困難。尤其突出的是人的因素在網絡安全中占據非

常重要的地位，所謂“三分技術，七分管理”重點強調的就是克服人性的弱點，在安全技術的保證下，從思想和行動上加強安全的管理，才能夠獲得適當的網絡安全。網絡的飛速發展也相應帶來一系列的社會問題。11.1.5網絡安全的社會性問題網絡的飛速發展也相應帶來一系列的社會問題。1．信息垃圾與網絡垃圾3．網絡騙術問題2．高科技犯罪11.2網絡攻擊與入侵當前網絡安全事件的特點可歸納如下：入侵者難以追蹤拒絕服務攻擊頻繁發生攻擊者需要的技術水平逐漸降低但危害增大攻擊手段更加靈活，聯合攻擊急劇增多系統漏洞發現加快，攻擊爆發時間變短垃圾郵件問題嚴重間諜軟件、惡意軟件威脅安全無線網絡、移動手機漸成安全重災區11.2.1網絡探測由于初始信息的未知性，網絡攻擊通常具備一定的難度。因此，探測是攻擊者在攻擊開始前必需的情報收集工作，攻擊者通過這個過程需要盡可能多地了解攻擊目標安全相關的方方面面信息，以便能夠集中火力進行攻擊。探測又可以分為三個基本步驟：踩點、掃描和查點。11.2.1網絡探測攻擊者探測包受害者響應包以下列舉一些常見的掃描類型：TCP連接掃描TCP

SYN掃描

TCP

FIN掃描

TCP

ACK掃描TCP窗口掃描TCP

RPC掃描UDP掃描ICMP協議掃描11.2.2

網絡竊聽竊聽技術指攻擊者通過非法手段對系統活動的監視從而獲得一些安全關鍵信息。目前屬于竊聽技術的流行攻擊方法有鍵擊記錄器、網絡監聽、非法訪問數據和攫取密碼文件。1．鍵擊記錄器4．攫取密碼文件手段2．網絡監聽3．非法訪問數據11.2.3網絡欺騙欺騙技術是攻擊者通過冒充正常用戶以獲取對攻擊目標訪問權或獲取關鍵信息的攻擊方法，屬于此類的有獲取口令攻擊、惡意代碼、IP欺騙、郵件欺騙、WEB欺騙、會話劫持等攻擊手法。口令攻擊獲取口令的方式有通過缺省口令、口令猜測和口令破解三種途徑。惡意代碼包括特洛伊木馬應用程序、郵件病毒、網頁病毒等，通常冒充成有用的軟件工具、重要的信息等，誘導用戶下載運行或利用郵件客戶端和瀏覽器的自動運行機制，在啟動后暗地里安裝邪惡的或破壞性軟件的程序，通常為攻擊者給出能夠完全控制該主機的遠程連接。11.2.3網絡欺騙3．IP欺騙（1）單向IP欺騙：不考慮回傳的數據包，如圖11-3所示。主機A：被騙者

到202.112.10.5

的應答202.112.10.5主機B202.112.10.10從202.112.10.5到202.112.10.10攻擊者：202.112.10.4（2）雙向IP欺騙：要求看到回傳的數據包；如圖11-4所示。11.2.3網絡欺騙4．電子郵件欺騙普通電子郵件欺騙的形式有以下幾種：11.2.3網絡欺騙5．WEB欺騙相似域名改寫URL6．ARP欺騙和路由欺騙地址解析協議ARP提供將IP地址動態映射到MAC地址的機制，但ARP機制很容易被欺騙，攻擊主機可以發送假冒的ARP回答給目標主機發起的ARP查詢，從而使其錯誤地將網絡數據包都發往攻擊主機，導致拒絕服務或者中間人攻擊。11.2.3網絡欺騙會話劫持（Session

Hijacking）中間人攻擊（Man

In

The

Middle，簡稱MITM）注射式攻擊（Injection）遠程登錄（建立會話，完成認證）

服務器被劫持主機A迫使A下線，完成攻擊監聽流量，然后劫持會話攻擊者圖11-5會話劫持示意圖11.2.4拒絕服務導致異常型拒絕服務攻擊通常利用軟硬件實現上的編程缺陷，導致其出現異

常，從而使其拒絕服務。如著名的Ping

of

Death攻擊和利用IP協議棧對IP分片重疊處理異常的淚（Teardrop）攻擊。資源耗盡型拒絕服務攻擊這種方式通過大量消耗資源使得攻擊目標由于資源耗盡不能提供正常的服務。根據資源類型的不同可分為帶寬耗盡和系統資源耗盡兩類。SYN

FooldUDP洪水攻擊Land攻擊郵件炸彈Smurf攻擊11.2.4拒絕服務目標網絡進入目標網絡：廣播地址流量流出目標網絡：放大N倍的流量11.2.4拒絕服務3．分布式拒絕服務攻擊攻擊者被控制機器群向目標發送數據包被攻擊者攻擊者入侵機器并取得控制一般的DDoS攻擊模型可以分為攻擊者、主控端和代理端。攻擊者主控端代理端11.2.5數據驅動攻擊數據驅動攻擊是通過向某個程序發送數據，以產生非預期結果的攻擊，通常為攻擊者給出訪問目標系統的權限，數據驅動攻擊分為緩沖區溢出攻擊、格式化字符串攻擊、輸入驗證攻擊、同步漏洞攻擊、信任漏洞攻擊等。11.3網絡安全技術11.3.1常規安全技術在通用計算機安全技術中所涉及的幾乎所有安全技術，都可以應用和集成到網絡系統中，并根據網絡的運行特點，尤其是網絡的安全接入，改進和發展這些安全技術。1．用戶認證（Authentication）3．數據保密與完整性2．訪問控制（Authorization）原則4．管理審計（Accounting）11.3.2防火墻技術1．防火墻的概念網絡防火墻是在一個可信任的內部網絡與一個不可信任的外界網絡之間，為控制信息流通所設立的安全防護措施，是在兩個網絡之間執行控制策略的系統。防火墻可以在內部網（Intranet）和公共互聯網（Internet）間建立，也可以在要害部門、敏感部門與公共網間建立，還可以在各個子網間設立，其關鍵區別在于隔離與連通的程度。但必須注意，當分離型子網過多并采用不同防火墻技術時，所構成的網絡系統很可能使原有網絡互聯的完整性受到損害。11.3.2防火墻技術2．防火墻的安全機制防火墻技術主要分為三類，即鏈路層技術、網絡層技術和應用層技術，在具體的產品實施中上述技術具有雙重或者多重性。（1）電路網關（4）新一代智能防火墻（2）包過濾機制（3）應用代理11.3.2防火墻技術3．防火墻的應用11.3.3入侵檢測技術1．入侵檢測系統分類基于主機的入侵檢測系統（Host-based

IDS）基于網絡的入侵檢測系統（Network-based

IDS）混合分布式入侵檢測系統（Hybrid

Distributed

IDS）2．CIDF入侵檢測系統模型控制臺響應單元事件分析器事件產生器事件數據庫數據流控制流圖11-8

入侵檢測系統框圖11.3.3入侵檢測技術入侵檢測系統響應機制事件響應或報警部分是入侵檢測系統不可缺少的部分，報警的方法可以大致分為被動方式和主動方式，前者包括記錄日志、通知管理員等；后者則包括切斷攻擊者的連接，甚至調整防火墻的配置以阻止攻擊者的入侵等。入侵檢測技術（1）基于行為的入侵檢測技術閾值線超出統計閾值，確定為入侵輸入層隱含層輸出層主機或正常網絡攻擊1數據攻擊nNorm

Profile確定為入侵，但事實上為誤報11.3.3入侵檢測技術（2）基于知識的入侵檢測技術①專家系統②模型推理③狀態轉換分析T1T2登錄失敗登錄失敗登錄失敗登錄失敗S1S5S2

S3

S4圖11-11

Petri

網分析一分鐘內4

次登錄失敗11.3.3入侵檢測技術5．檢測方式簡例（1）通過監視入侵端口/系統線程判別入侵監視入侵端口網絡上都是通過端口通信的，不同的端口作用不同。使用瀏覽器查看網頁，是通過80端口，在

IRC中聊天是通過6667端口。而類似于NETSPY等特洛伊木馬軟件，則通過7306或者其他端口進行通信，泄露資料。如果用軟件監視7306等相應端口，就可以監視網絡黑客的入侵。例如NukeNabber軟件可設定監視7306端口，如果有人掃描該端口或試圖進入你的7306端口，就會發出警告，同時提示攻擊者的地址。11.3.3入侵檢測技術5．檢測方式簡例（2）通過分析入侵原理確定檢測策略拒絕服務攻擊（DoS，Denial

of

ServiceAttack）是目前網絡上比較普遍的入侵種類之一，對于幾種常見的DoS攻擊（其原理參見前面章節），分析如下。11.3.3入侵檢測技術5．檢測方式簡例（2）通過分析入侵原理確定檢測策略SYNFlood如果某一地址短時間內發出大量的建立連接的請求且沒有ACK回應，則證明此IP被用來做SYN湮沒攻擊（具體的源IP地址往往不能說明任何問題，并且這種方法并不能檢查出所有的SYN湮沒）。Land攻擊偽造IP地址和端口號，并將源地址和端口號設置成與目的地址及端口相同值，某些路由器設備及一些操作系統遇到此種情況就會不能正常工作甚至出現死機。檢測，檢查TCP或UDP包的源、目的地址、端口號是否相同即可發覺。11.3.3入侵檢測技術5．檢測方式簡例（2）通過分析入侵原理確定檢測策略Ping