《安全问题概述》PPT课件

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第二章 安全问题概述,2.1 常见的安全威胁与攻击,2.2 安全问题根源,本章重点和复习要点,本章重点和复习要点,拒绝服务攻击,SYN Flood,攻击的实现原理,Smurf,攻击的实现原理,分布式拒绝服务攻击,缓冲区溢出攻击的实现原理,社交工程攻击,返回首页,2.1 常见的安全威胁与攻击,2.1.1 窃取机密攻击,未经授权的攻击者（黑客）非法访问网络、,窃取信息的情况。,返回首页,1.网络踩点（,Footprinting）,攻击者事先汇集目标的信息，通常采用,Whois、,Finger、Nslookup、Ping,等工具获得目标的一些信,息，如域名、,IP,地址、网络拓扑结构、相关的用户,信息等，这往往是黑客入侵所做的第一步工作。,2.扫描攻击（,Scanning）,这里的扫描主要指,端口扫描,，通常采用,Nmap,等各种端口扫描工具，可以获得目标计算机的,一些有用信息，比如机器上打开了哪些端口，,这样就知道开设了哪些网络服务。,黑客就可以利用这些服务的漏洞，进行进一步,的入侵。这往往是黑客入侵所做的第二步工作。,3.协议栈指纹（,Stack Fingerprinting）,鉴别（也称操作系统探测）,黑客对目标主机发出探测包，由于不同,OS,厂,商的,IP,协议栈实现之间存在许多细微差别，因此,每种,OS,都有其独特的响应方法，黑客经常能够,确定目标主机所运行的,OS。,这往往也可以看作,是扫描阶段的一部分工作。,4.信息流嗅探（,Sniffering）,通过在共享局域网中将某主机网卡设置成混,杂（,Promiscuous）,模式，或在各种局域网中某,主机使用,ARP,欺骗，该主机就会接收该局域网,上传输的所有数据包。,基于这样的原理，黑客可以使用一个嗅探器,（软件或硬件）对网络信息流进行监视，从而,收集到帐号和口令等信息。这是黑客入侵的第,三步工作。,5.会话劫持（,Session Hijacking）,所谓会话劫持,，,就是在一次正常的通信过程,中，黑客作为第三方参与到其中。这种攻击方,式可认为是黑客入侵的第四步工作真正的,攻击中的一种。,1,）在数据流里注射额外的信息；,2,）或将双方的通信模式暗中改变，即从直接联系变成交由黑客中转。,2.1.2,非法访问,1.口令破解,1,）攻击者可以通过获取口令文件然后运用口令破解工具进行字典攻击或暴力攻击来获得口令；,2,）也可通过猜测或窃听等方式获取口令；,从而进入系统进行非法访问，选择安全的口令非,常重要。这也是黑客入侵中真正攻击方式一种。,2.,IP,欺骗,攻击者可通过伪装成被信任源,IP,地址等方式来,骗取目标主机的信任，这主要针对,Linux/UNIX,下建立起,IP,地址信任关系的主机实施欺骗。这也,是黑客入侵中真正攻击方式的一种。,详见,IP,欺骗攻击,课件,3.,DNS,欺骗,当,DNS,服务器向另一个,DNS,服务器发送某个,解析请求（由域名解析出,IP,地址）时，因为不进,行身份验证，这样黑客就可以冒充被请求方，,向请求方返回一个被篡改了的应答（,IP,地址），,将用户引向,黑客设定的主机,。这也是黑客入侵,中真正攻击方式的一种。,4.重放（,Replay）,攻击,在消息没有时间戳的情况下，攻击者利用身,份认证机制中的漏洞先把别人有用的消息记录,下来，过一段时间后再发送出去。,5.特洛伊木马（,Trojan Horse）,把一个能帮助黑客完成某一特定动作的程序,依附在某一合法用户的正常程序中，而一旦用,户触发正常程序，黑客代码同时被激活，这些,代码往往能完成黑客早已指定的任务（如监听,某个不常用端口，假冒登录界面获取帐号和口,令等）。,2.1.3 恶意攻击,在当今最为突出的就是拒绝服务攻击,DoS,（Denial of Service）,了。拒绝服务攻击并非某,一种具体的攻击方式，而是,攻击所表现出来的,结果,。,黑客可以采用种种手段，最终使得目标系统因,遭受某种程度的破坏而不能继续提供正常的服,务，甚至导致物理上的瘫痪或崩溃。,参见,拒绝服务攻击,课件,1.,Ping of Death,在早期操作系统,TCP/IP,协议栈实现中，对单,个,IP,报文的处理过程中通常是设置有一定大小的,缓冲区（65535,Byte），,以应付,IP,分片的情况。,接收数据包时，网络层协议要对,IP,分片进行重,组。但如果重组后的数据报文长度超过了,IP,报文,缓冲区的上限时，就会出现溢出现象，导致,TCP,/IP,协议栈的崩溃。,2.泪滴（,Teardrop）,协议栈在处理,IP,分片时，要对收到的相同,ID,的分片进行重组，这时免不了出现一些重叠现,象，分片重组程序要对此进行处理。,对一个分片的标识，可以用,offset,表示其在整,个包中的开始偏移，用,end,表示其结束偏移。对,于其他一些重叠情况，分片重组程序都能很好,地处理，但对于,一种特殊情况,，分片重组程序,就会出现致命失误，即第二个分片的位置整个,包含在第一个分片之内。,分片重组程序中，当发现,offset2,小于,end1,时，,会将,offset2,调整到和,end1,相同，然后更改,len2：,len2=end2-offset2，,在这里，分片重组程序想当,然地认为分片2的末尾偏移肯定是大于其起始偏,移的，但在这种情况下，分片2的新长度,len2,变,成了一个负值，这在随后的处理过程中将会产生,致命的操作失误。,3.UDP Flood,有些系统在安装后，没有对缺省配置进行必,要的修改，使得一些容易遭受攻击的服务端口对,外敞开着。,Echo,服务（,TCP7,和,UDP7）,对接收到的每个字,符进行回送；,Chargen,（,TCP19,和,UDP19）,对每,个接收到的数据包都返回一些随机生成的字符,（如果是与,Chargen,服务在,TCP19,端口建立了连,接，它会不断返回乱字符直到连接中断）。,黑客一般会选择两个远程目标，生成伪造的,UDP,数据包，目的地是一台主机的,Chargen,服务,端口，来源地假冒为另一台主机的,Echo,服务端,口。,这样，第一台主机上的,Chargen,服务返回的随,机字符就发送给第二台主机的,Echo,服务了，第二,台主机再回送收到的字符，如此反复，最终导致,这两台主机应接不暇而拒绝服务，同时造成网络,带宽的损耗。,4.,SYN Flood,一个正常的,TCP,连接，需要经过三次握手过程,才能真正建立。但是如果客户端不按常规办事,（假定源,IP,根本就是一个不会产生响应的虚假地,址），并不向服务器最终返回三次握手所必须,的,ACK,包，这种情况下服务器对于未完成连接,队列中的每个连接表项都设置一个超时定时器，,一旦超时时间到，则丢弃该表项。,但黑客并不会只发送一次这样的,SYN,包，如,果他源源不断发送，每个,SYN,包的源,IP,都是随机,产生的一些虚假地址（导致受害者不可能再进,行,IP,过滤或追查攻击源），受害者的目标端口未,完成队列就不断壮大，因为超时丢弃总没有新,接收的速度快，所以直到该队列满为止，正常,的连接请求将不会得到响应。,5.,Land Attack,如果向,Windows 95,的某开放端口（例如139端,口）发送一个包含,SYN,标识的特殊的,TCP,数据包，,将导致目标系统立即崩溃。做法很简单，就是设,置该,SYN,包的源,IP,为目标主机的,IP，,源端口为目,标主机受攻击的端口。,6.,Smurf Attack,黑客以受害主机的名义向某个网络地址发送,ICMP echo,请求广播，收到该,ICMP echo,请求的,网络中的所有主机都会向“无辜”的受害主机返回,ICMP echo,响应，使得受害主机应接不暇，导致,其对正常的网络应用拒绝服务。,7.,Fraggle Attack,它对,Smurf Attack,做了简单的修改，使用的是,UDP,应答消息而非,ICMP。,8.,电子邮件炸弹,黑客利用某个“无辜”的邮件服务器，持续不断,地向攻击目标（邮件地址）发送垃圾邮件，很,可能“撑破”用户的信箱，导致正常邮件的丢失。,9.,DDoS,攻击,DDoS,攻击是,DoS,攻击的一种延伸，它之所以,威力巨大，是因为其协同攻击的能力。,黑客使用,DDoS,工具，往往可以同时控制成百,上千台攻攻击源，向某个单点目标发动攻击，它,还可以将各种传统的,DoS,攻击手段结合使用。,缓冲区溢出攻击,十多年来应用非常广泛的一种攻击手段，近年来，许多著名的安全漏洞都与缓冲区溢出有关。,所谓缓冲区溢出，就是由于填充数据越界而导致程序原有流程的改变，黑客借此精心构造填充数据，让程序转而执行特殊的代码，最终获得系统的控制权。,2.1.4 社交工程（,Social Engineering）,一种低技术含量破坏网络安全的有效方法，,但它其实是高级黑客技术的一种，往往使得处,在看似严密防护下的网络系统出现致命的突破,口。,这种技术是利用说服或欺骗的方式，让网络,内部的人（安全意识薄弱的职员）来提供必要,的信息，从而获得对信息系统的访问。,2.2 安全问题根源,2.2.1 物理安全问题,物理设备本身问题,设备的位置安全,限制物理访问,物理环境安全,返回首页,2.2.2 方案设计的缺陷,网络的结构比较复杂,：给网络管理、拓扑设,计带来问题；,异构网络间的开放性,：牺牲一些安全机制；,不同环境下的不同方案,：往往存在不少漏洞。,2.2.3 系统的安全漏洞,操作系统漏洞,：非法文件访问、远程获得,root,权限、系统后门、,Finger,漏洞、,RPC,漏洞。,网络系统漏洞,：路由器/交换机的漏洞。,应用系统漏洞,：,TCP/IP,协议、,WWW Server、,Mail Server、FTP Server、DNS、DBS,的漏洞。,2.2.4,TCP/IP,协议的安全问题,最初设计,TCP/IP,协议时基本没有考虑安全问,题，最主要的是对数据包中的源主机,IP,地址不进,行检查，容易遭受两类攻击：,DoS,和会话劫持。,2.2.5 人的因素,人为的无意失误,：配置不当、口令不安全。,人为的恶意攻击,：主动攻击和被动攻击（嗅,探），网上有现成工具，自动攻击并非难事。,管理上的因素,：管理的缺陷。,