信息对抗技术-绪论

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,信息对抗技术,韩 宏,网络攻防绪论,网络安全现状堪忧,当今网络不断普及和信息化不断推广渗透的背景下，黑客入侵已经严重影响到各个领域的工作。,（一）网络攻击呈现的趋势,攻击自动化,攻击人员组织化和非技术化,攻击目标多样化,攻击的协同化,攻击的智能化,普遍泛滥的拒绝服务攻击,攻击的主动性,（二）网络攻击的分类,按攻击目标的分类主要包括以下几种,（1）攻击信息保密性,（2）攻击信息完整性,（3攻击服务的可用性,（1）攻击保密性,网络监听：通过网络监听能够获得许多信息。因为我们一般局域网是以太网，具有广播的性质，所以，只要将网卡设定为混杂模式就可以接受网络上所有的报文。,一般我们会用一个库libpcap来抓包，这是unix上的一个库，其windows版本也可以获得叫winpcap.,一个盗看email的例子,因为email使用的smtp协议是不加密的，所以可以通过监听，获取其中的内容。我们只需要用sniffer去抓包，然后将包含口令的报文找出来，这时口令是明文方式存放的，那么我们就可以用别人的身份去check mail了。,社会工程,这是最被一般人忽略，但实际很有效的一种方法，比如，从废纸中收集重要信息，假冒权威机构发送信息，骗取密码等等。,保密的最大强度就是所涉及环节中最弱环节的保密强度，而社会工程往往成为最薄弱的环节。甚至可能买了防火墙，却从来不配置，密码用非常简单的等等,一次亲历的密码问题,我曾经中过一次病毒，每次删除后又有，后来到网上查询，发现该病毒是猜测用户的口令，然后再网络上传递。当时我的口令已经是10个字符，但可能规律了一点，当我重新修改为16个字符后，该病毒就销声匿迹了。,Ip spoof,假冒某个IP或者网站诱惑被攻击者。比如可以假冒某银行的网站，或做的和真正的差不多，域名也有混淆性，比如， 和。这样用户如果真的登陆并输入密码，他可以报一个服务器错误麻痹你，但是却获得了重要信息,电子信息拦截,比如，可以在街上就能通过捕获显示器上微弱的辐射，重现上面的图像。,手机可以监听，无线网可以监听等等,（2）攻击信息的完整性,信息完整性是防止未经授权修改信息，比如我们平常的口令保护就是维护完整性的手段。,身份认证攻击,密码猜测,口令盗窃,攻击协议实现/设计缺陷,中继攻击,会话劫持,把别人的会话霸占，然后攻击者继续被劫持的会话。典型的例子是tcp劫持，可以参考hunt这个程序，他可以劫持telnet.,程序异常输入,这里包括缓冲区溢出攻击，sql攻击等，以最简单的SQL攻击为例，可以比较容易的绕过口令的限制,比如，我们写sql时，可能在验证身份时，初学者会写出如下代码：,“select . Where _password = ” + password + “ and _userid =” + userid + “”;,这里的_password时字段名字，而password是从界面获得的用户输入的口令,本来是要比较用户的口令是否为设定值，但如果攻击者输入的是or 1=1 -,select where _password= or 1=1 -,后门程序,就是在系统上悄悄安放的程序，可以监测系统活动情况，可以避开被攻击者的检查，对被控系统为所欲为。,国内比较著名的是冰河。,最强力攻击是溢出攻击,因为它直接入侵到对方的主机和服务器。当攻击者以根权限入侵到你的主机，他就几乎可以为所欲为了。,什么是溢出攻击呢？就是向有问题的服务程序发送一段特别构建的超长字符串，使得被攻击程序把它当作代码执行，最直接的作用就是获得一个远程shell,如同telnet,（3）攻击网络可用性,简单地讲，就是使正常可以使用的服务，无法使用,消耗网络带宽,主要的Dos攻击都是这种类型，比如ping 洪水，smurf，tcp半开连接洪水攻击，分布式拒绝服务攻击DDos。,一个email断尾攻击的故事,一个月使得信息中心多付出10多万的费用作为出国流量费。,消耗磁盘空间,故意制造出错信息，造成系统日志消耗大量空间,垃圾邮件,消耗cpu和内存资源,比如早期的winNT上有一个泪滴攻击就是使cpu利用率达到100%。,网络蠕虫,这是一个综合体，主要是消耗带宽，也破坏主机系统。最大的特色就是能自己在网络中传播。它是多种技术的综合体，关键部分是溢出攻击。,网络防御技术的分类,针对攻击技术攻击的三个部分防御技术也是有的放矢。,针对保密性：,加密/认证技术,社会工程，加强保密教育,防电子信息泄漏,防止网络侦听,针对完整性,完善的认证机制,基于不同策略的溢出攻击检查和防护,文件完整性检查,后门监测工具,容错系统，灾难恢复系统,针对普遍的攻击手段,防火墙,（防止了可用性攻击，也防止了一部分网络泄密）,入侵检测系统,，又针对特殊攻击，也有针对普遍攻击的入侵发现系统,漏洞探测系统,，一方面被应用于入侵，一方面也用于防护，提前发现漏洞加以改善。,审计系统,，用于事后分析，发现问题,蜜罐系统,，诱骗攻击者，并分析其攻击手段,攻击的流程,一般分为以下几个步骤：,扫描：发现网络拓扑结构，可用端口服务，漏洞检测。,入侵服务，获得根权限：寻找到弱点后，通过，口令猜测、溢出攻击利用等不同手段获得根权限。,收集所需信息，安装后门：在收集了相关信息后，安装后门，供未来再次入侵作准备。,离开系统，隐藏痕迹：将可能纪录入侵的痕迹擦除。,根据攻击目的的不同，有些步骤会有差异：,例如，获取根权限，可以不通过扫描然后溢出攻击完成，而可以通过诱骗被攻击者安放特洛伊木马完成。,例如：openssl的下载网站被攻陷后，有人将加入了后门的源代码放在网站上，那么下载后，使用这些代码的程序就成了后门,又比如，为了发起拒绝服务攻击，攻击者在被攻击者上安装拒绝服务的软件，然后发起分布式拒绝服务攻击,一个攻击servU的例子,首先扫描被攻击主机，发现相关服务。,发现有21端口，可以尝试连接，根据回复字符串判定服务器的类型。,发现是servU，尝试用相关漏洞利用工具。可以用servux。这里我们用一个自己写的小程序来在被攻击机器上打开一个本地shell并结束servU服务器。,网络防护的基本框架,入侵检测子系统,目标网络,防御子系统,入侵反击子系统,入侵告急子系统,入侵响应子系统,外部攻击,响应,反击,预防子系统,内部攻击,处罚,内部网络,网络防御系统体系结构,效能评估子系统,Net,Firewall,Sensor,Firewall,response,loop,Network,Sensor,Sensor,Trusted computer,Sensor,Sensor,Modem,Level1 event,Level2 situation,Level3 impact,Threat template database Audit database,Audits,Level 4 incident response,Remote warning,Incident response sytem,Control to All compoent,Event correlation,Incident detection and classify,Structured attack detection,Network situation,Assessment,Risk assess,Alert level,Response control,结合数据融合的网络异常响应结构,研究网络安全的注意,网络安全是计算机领域少有的几个可以融合各个领域知识的综合性范畴。,必须掌握编译原理，掌握逆向工程的能力。,熟悉网络协议，也是真正掌握它的一个契机。,熟悉操作系统。,最关键的是实践，我认为溢出攻击是一个突破点，,突破的关键要写代码,。,