收藏
下载资源 加入VIP免费专享

第10章安全脆弱性分析.ppt

上传人:本田雅阁 文档编号:2907886 上传时间:2019-06-04 格式:PPT 页数:51 大小:364.52KB
返回 下载 相关 举报
第10章安全脆弱性分析.ppt_第1页
第1页 / 共51页
第10章安全脆弱性分析.ppt_第2页
第2页 / 共51页
第10章安全脆弱性分析.ppt_第3页
第3页 / 共51页
第10章安全脆弱性分析.ppt_第4页
第4页 / 共51页
第10章安全脆弱性分析.ppt_第5页
第5页 / 共51页
点击查看更多>>
资源描述

《第10章安全脆弱性分析.ppt》由会员分享,可在线阅读,更多相关《第10章安全脆弱性分析.ppt(51页珍藏版)》请在三一文库上搜索。

1、第10章 安全脆弱性分析,李文媛,教学目标,本章主要分析安全威胁的基本原理和类型,介绍一种安全分析的主要技术。 理解入侵的目的 理解入侵者分类 掌握攻击分类 掌握端口扫描技术,教学内容, 10.1 安全威胁分析 10.2 安全扫描技术,4,10.1 安全威胁分析,信息系统不安全的主要原因是系统自身存在的安全脆弱点,因此信息系统安全脆弱性分析是评估信息系统安全强度和设计安全体系的基础。,5,10.1.1 入侵行为分析 狭义定义:攻击仅仅发生在入侵行为完成且入侵者已经在其目标网络中。 广义定义:使网络受到入侵和破坏的所有行为都应该被称为“攻击”,即当入侵者试图在目标机上“工作”的那个时刻起,攻击就

2、已经发生了。,6,从不同方面对入侵行为的分析: 1. 入侵目的: 执行进程: 目标:运行一些程序。 危害:对目标机器本身无害,可是消耗系统资源,造成潜在危害。 获取文件和数据: 目的:获取系统中的数据。 危害:获取特权数据,进行非授权操作。 获取超级用户权限 目的:获取超级用户权限。 危害:可以进行任何操作。,善意,恶意,7,进行非授权操作: 目的:获得超出许可的一些权限。 危害:进行越权操作。 使系统拒绝服务 目的:使目标系统中断正常服务。 危害:使目标系统中断或者完全拒绝对合法用户、网络、系统或其他资源的服务。 篡改信息 目的:对重要文件进行修改、更换、删除等。 危害:错误的信息给用户将造

3、成巨大的损失。 披露信息 目的:将目标站点重要信息进行扩散。 危害:目标站点的重要信息泄漏。,8,2.入侵人员 入侵者大致可以分为三类: 伪装者。未经授权使用计算机者或绕开系统访问控制机制获得合法用户账户权限者-外部人员。 违法者。未经授权访问数据、程序或者资源的合法用户,或者具有访问授权但错误使用其权利的人-内部人员。 秘密用户。拥有账户管理权限者,利用这种控制来逃避审计和访问数据,或者禁止收集审计数据-内外兼有。,9,3. 入侵过程 入侵和攻击需要一个时间过程,大致分为窥探设施、攻击系统、掩盖踪迹。 窥探设施。对目标系统的环境进行了解。包括:目标使用的操作系统?哪些信息是公开的?运行的WE

4、B服务器是什么类型?版本是? 此步骤需要得到的信息至少有:,通过收集尽可能多的关于一个系统的安全态势的各个方面的信息,进而构造出关于该目标机构的因特网、远程访问及内联网/外联网之间的结构。,通过使用ping扫描、端口扫描以及操作系统检测等工具和技巧,进一步掌握关于目标环境所依赖的平台、服务等相关信息。,从系统中抽取有效帐号或者导出资源名。,10,攻击系统 针对操作系统的攻击。 针对应用软件的攻击。 针对网络的攻击。 掩盖踪迹-设置后门。,11,10.1.2 安全威胁分析 1.威胁来源 计算机系统外部威胁 自然灾害、意外事故; 人为行为; 计算机病毒; “黑客”行为; 内部泄密; 外部泄密; 信

5、息丢失; 电子谍报,如信息流量分析、信息窃取; 信息战。,12,计算机系统内部威胁 操作系统本身存在的缺陷; 数据库管理系统安全的脆弱性; 管理员缺少安全方面的知识; 网络协议中的缺陷; 应用系统缺陷。,13,2. 攻击分类 根据入侵者使用的手段和方式,分为口令攻击、拒绝服务攻击、利用型攻击、信息收集攻击和假消息攻击。 口令(破译)攻击,口令破译原理 口令认证是计算机网络中安全管理的重要组成部分,目前很多网络环境都利用口令认证机制来管理用户入网,口令是用来确认用户身份的一种最常用方法,由于它的输入和管理方式简单,一直广泛应用于网络安全。但是它有脆弱性,一旦入侵者或黑客获得了一个用户尤其是管理员

6、的帐号及口令,就可以非法闯入网络系统,进行肆意地破坏,给整个网络系统带来不可估量的损失。因此口令破译成了黑客常用的一种入侵手段。,14,口令文件可通过下列方式获得: 嗅探获得,如网络上传输的口令,如果口令是明文形式传输就无需破解了; 也可以通过某个系统漏洞获得; 还可以因为本人是主机的普通用户,并且具有阅读口令文件的权限而获得,在Windows中,口令是保存在一个名为SAM的文件中。,15,穷举法 也称强力破解、暴力破解,它是对所有可能的口令组合进行猜测,最终找到真正的口令。基于穷举法原理进行口令猜测的软件称为口令破解器。 口令破解器是一个程序,它能将口令解译出来,或是让口令保护失效。,从口令

7、破译的原理来说,可分为:穷举法、字典法及漏洞利用法。,16,与信息的加/解密不同,口令破解器一般不是对加密后的口令执行解密操作以获取口令,因为很多系统对口令的加密使用了不可逆的算法,如MD5、SHA1等。这时,仅从被加密的数据和加密算法不可能解密出原来未加密的口令。 因此,口令破解器通常尝试一个一个的由字母、数字临时组成的字符串,用口令加密时所有的加密算法来加密这些单词,直到发现一个单词加密后的结果和要解密的信息一样,认为这个单词就是要找的口令了。,17,口令破解程序的工作过程如图所示: 它首先产生侯选口令,使用与口令加密相同的加密算法对侯选口令进行加密; 将加密后的结果与口令文件中保存的信息

8、进行比较; 如果相同,则认为找到了口令,否则,尝试下一个侯选口令。,图 口令破解程序的工作过程,18,穷举法是一种较笨拙的方法,但它是目前最有效的方法,主要原因在于许多用户设置口令时随意性很大,密码选择较随便,并且新型加密方法是不可逆的,如果把可能出现的字母和数字、符号组合起来进行试验肯定能验出结果。但穷举法有它的劣势,穷举一个口令所需的试验次数随着口令长度的增加而成指数级增长。,19,字典法破译口令 也是黑客最常用的方法之一。它是将字典文件作为口令猜测的来源交由验证程序进行试验。而字典文件就是一个文本文件,它里面有许多文字行,每行代表一个可能的密码,文字行的内容多为单词及可能的姓名、生日、电

9、话号码、邮编等。 当黑客进行口令破译时,运行口令破译器,口令破译器读入字典文件,每次读入一行进行验证,如不正确再读下一行,然后又进行验证,就这样一直循环下去,直到口令被验证为正确或字典里的字符串试验完毕为止。,20,漏洞破译法 如缓冲区溢出漏洞。在Windows平台上,用户的基本信息存放在Systemrootsystem32configsam文件中,如果黑客得到此文件后可以使用专门的破译工具如LOphtCrack来破译。 除了上述方法可以进行口令破译外,还有其他方法可以得到用户的用户名和口令,如网络监听和键盘记录器进行截取。 键盘记录器是一种可以记录键盘击键操作的软件。在Windows系统中,

10、在键盘上按下任何一个键,都会产生按键消息,系统把该消息发送给相应的应用程序,交由应用程序去处理。使用钩子技术和动态链接库技术,黑客可以截获这些按键消息,并对消息进行相应的处理,例如记录下所按键并保存到文件中或发邮件给指定用户。,21,通信传输中最好采用加密传输如SSH、SSL、VPN; 对用户的验证方面最好提高用户身份鉴别机制,如应用数字签名和Kerberos鉴别技术; 尽量使用难以猜测的、复杂的口令,其中包含大小写字符、数字、标点、控制符号及空格等,不要用自己及家人的姓名拼音字母、生日、电话号码、邮政编码、身份证号及它们的简单组合作为口令,不要用已经存在的英文单词和常用的单词缩写作为口令;

11、使用较长位数的口令。长度至少要保证在6个字符长度位以上。,口令破译防范技术,22,定期或不定期地修改口令。应在网络服务器上设置口令的有效期限,到期时提示用户更改,这样就提高了系统的安全性。还要注意: 不要将口令内容写下来或以文件的方式存于计算机中; 不要让他人知道自己的口令,也不要让他人看到自己输入口令内容; 不要重复交替曾使用过的口令; 不要在不同的系统中使用同一个口令。 管理人员还应对用户设置的口令进行检测,及时发现弱口令; 对某些网络服务的错误登录次数进行限定,防止猜解用户口令。,23,拒绝服务攻击(Denial of Service,DoS)是一种遍布全球的系统漏洞,它是一种简单的破坏

12、性攻击,它的技术含量低,攻击效果明显。通常黑客利用TCP/IP中的某种漏洞,或者系统存在的某些漏洞,对目标系统发起大规模地攻击,使得攻击目标失去工作能力,使得系统不可访问因而合法用户不能及时得到应得的服务或系统资源,如CPU处理时间与网络带宽等。它最本质的特征是延长正常的应用服务的等待时间。,拒绝服务攻击原理,拒绝服务攻击,24,拒绝服务攻击的目的不在于闯入一个站点或更改数据,而在于使站点无法服务于合法的请求。入侵者并不单纯为了进行拒绝服务而入侵,往往是为了完成其他的入侵而必须的前提。 根据TCP/IP协议的原理,当客户端要和服务器进行通信时,会经过请求/确认的方式进行联系,如用户登录服务器时

13、,首先是用户传送信息要求服务器确认,服务器给予响应回复客户端请求,当被确认后客户端才能正式和服务器交流信息。,25,在拒绝服务攻击情况下,黑客凭借虚假地址向服务器提交连接请求,当然服务器回复信息时就送给这个虚假地址,但是服务器回传时却无法找到这个地址,根据TCP/IP连接原理,此时服务器会进行等待,达到超时设置时才会断开这个连接。 如果攻击者传送多个这样的请求或利用多个站点同时传送这样的请求,那么服务器就会等待更长的时间,这个过程周而复始,最终会导致服务器资源用尽,网络带宽用完,正常的服务请求不能被服务器处理及回复而形成服务器的拒绝服务。 拒绝服务并不是服务器不接受服务,而是服务器太忙,不能及

14、时地响应请求,相对于客户来说就认为是服务器拒绝给予服务,它严重时会造成服务器死机,甚至导致整个网络瘫痪。,26,1Ping攻击 通过Ping命令向被攻击者发送大量超大字节的ICMP报文来攻击。 2SYN Flood 以假IP发送伪造数据却不接收响应请求半开连接。,典型的拒绝服务攻击,27,分布式拒绝服务攻击(DDoS)是在传统的DoS攻击基础之上产生的一类攻击方式。它和传统的DoS攻击不同的是采用多点对一点的攻击策略,它是目前黑客经常采用而难以防范的攻击手段,当今尚无有效手段进行防范。 分布式拒绝服务攻击的原理很简单,如果计算机服务器与网络的处理能力提高了2倍,用一台攻击机来攻击不再起作用了,

15、但是攻击者使用10台、100台攻击机同时攻击则后果就可想而知了,DDoS就是利用更多的傀儡机来发起进攻,用比从前更大的规模来攻击受害者。,分布式拒绝服务攻击DDoS,28,被攻击主机上有大量等待的TCP连接。 网络中充斥着大量的无用的数据包,源地址为伪造的。 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通信。 利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求。 严重时会造成系统死机。,被攻击时的现象 :,29,通常入侵者是通过常规方法进入有漏洞或配置有错误的主机。在成功侵入后,安装一些特殊的后门程序,以便自己以后可以轻易进

16、入系统。 然后在所侵入的主机上安装入侵软件。目的是隔离网络联系,保护入侵者,使其不会在入侵进行时受到监控系统的跟踪,同时也能更好地协调进攻。剩下的主机都被用来充当攻击执行器。 最后就是从攻击控制台向各个攻击服务器发出对特定目标的命令。攻击服务器将命令发布到各个攻击器,在攻击器接到命令后,每一个攻击器就开始向目标主机发出大量的服务请求数据包。导致目标主机网络和系统资源的耗尽,使目标主机无法为用户提供任何服务。,分布式拒绝服务攻击的原理,30,利用型攻击是一种试图直接对主机进行控制的攻击。,利用型攻击,特洛伊木马入侵原理 特洛伊木马 (Trojan Horse) 简称木马,是指隐藏在正常程序中的一

17、段具有特殊功能的恶意代码。它不是病毒,因为它不具备病毒的可传染性、自我复制能力等特性,但它是一种具备破坏和删除文件、发送密码、记录键盘及其他特殊功能的后门程序。如在用户不知情的情况下拷贝文件或窃取密码。随着互联网的迅速发展,特洛伊木马的攻击、危害性越来越大。,特洛伊木马,31,木马入侵的主要途径是通过一定的方法把木马执行文件复制到被攻击者的电脑系统里,利用的途径有邮件附件、下载软件等,然后通过一定的提示故意误导被攻击者打开执行文件,比如故意谎称这个木马执行文件是朋友送的贺卡,打开后也许确有贺卡画面出现,但这时木马可能已经在后台运行了。 通常木马文件非常小,大部分是几KB到几十KB,把木马捆绑到

18、正常文件上,用户很难发现。 特洛伊木马实质上是一个程序,必须运行后才能工作,所以会在进程表、注册表中留下一定的痕迹。,32,特洛伊木马程序采用C/S模式工作,它包括服务端和客户端两个程序,缺掉其中任何一个都很难发生攻击,因为木马不具有传染性,所以服务器端程序是以其他方式进入被入侵的计算机,当服务器端置入被攻击机后,会在一定情况下开始运行(如用户主动运行或重新启动电脑,因为很多木马程序会自动加入到启动信息中),这时它就在被攻击主机上打开一个1024以上端口,并一直监听这个端口,等待客户机端连结。 木马的客户端一般运行在攻击机上,当攻击机上的客户端向被攻击机上的这一端口提出连接请求时,被攻击机上的

19、服务端就会自动运行,来应答攻击机的请求,如果服务端在该端口收到数据,就对这些数据进行分析,然后按识别后的命令在被攻击机上执行相应的操作,如窃取用户名和口令、复制或删除文件、重新启动或关闭计算机等。木马隐藏着可以控制被攻击的系统危害系统安全的功能,可能造成对方资料和信息的泄漏、破坏,甚至使整个系统崩溃。,33,缓冲区溢出攻击,缓冲溢出攻击原理,缓冲区是系统为运行程序中的变量分配的内存空间。 缓冲区溢出是指数据被添加到分配给该缓冲区的内存块之外,原因是系统程序没有检测输入的参数,也就是没有检测为变量输入的值的长度是否符合要求。,缓冲区溢出是非常普遍和危险的漏洞,在各种操作系统、应用软件中广泛存在。

20、溢出造成了两种后果: 一是过长的字串覆盖了相邻的存储单元,引起程序运行失败,严重的可引起死机、系统重新启动等后果; 二是利用这种漏洞可以执行任意指令,甚至可以取得系统特权,使用一类精心编写的程序,可以很轻易地取得系统的超级用户权限。,34,信息收集型攻击并不直接对目标系统本身造成危害,它是为进一步的攻击做准备,信息收集型攻击,扫描技术,扫描技术大致可以分为ping扫描、端口扫描及操作系统检测三类。 ping扫描:标示存活的系统。 端口扫描:标示正在监听的潜在服务。 操作系统检测:确定目标系统的特定操作系统。,35,攻击者用配置不正确的消息来欺骗目标系统以达到攻击的目的。,假消息攻击,电子邮件欺

21、骗,电子邮件攻击主要表现为两种方式: 一是电子邮件欺骗和破坏,黑客通过电子邮件的方式向被攻击者发送木马、病毒或者一段带有攻击特征的特定Html代码。 第二种方式是邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以百计、千计的内容相同的垃圾邮件,致使被攻击者邮箱被“炸”,严重者可能会给电子邮件服务器带来危险,甚至瘫痪。,36,电子邮件炸弹(EMail Bomb),是最常见的攻击方式之一。邮件炸弹造成的危害对商业用户来说是非常严重的,由于邮件是需要空间来保存的,而到来的邮件信息也需要系统来处理,过多的邮件会加剧网络连接负担、消耗大量的存储空间; 过多的投递会导致系统日志文件变得巨大,

22、甚至溢出文件系统,这将会给许多操作系统带来危险,除了操作系统有崩溃的危险之外,由于大量垃圾邮件集中涌来,将会占用大量的处理器时间与带宽,造成负载过重、网络堵塞而使正常用户的访问速度急剧下降。而对于一般的邮箱来说,由于其邮箱容量是有限制的,邮件容量一旦超过限定容量,系统就会拒绝服务,也就是常说的邮箱被“炸”了。,37,1.管好自己的邮件地址,不要在网上到处散布,以免别有用心的人利用它来攻击此地址。 2.采用过滤功能。 3.用转信功能。 4.谨慎使用自动回信功能。 5.用专用工具来对付。,电子邮件攻击防范技术,38,IP欺骗,IP欺骗即IP spoof,是指一台主机设备冒充另外一台主机的IP地址,

23、与其他设备进行通信,从而达到某种目的技术。 实际上,IP 欺骗不是黑客想要进攻的结果,而是他们利用它来达到其他目的。 几乎所有的欺骗都是基于计算机之间的相互信任关系的,例如在NT域之间的信任,最简单的如Windows共享信任,它可以不需要密码就能对网络邻居进行访问。IP欺骗实际上是计算机主机之间信任关系的破坏。,IP欺骗原理,教学内容, 10.1 安全威胁分析 10.2 安全扫描技术,40,10.2 安全扫描技术,安全扫描技术指手工地或使用特定的软件工具-安全扫描器,对系统脆弱点进行评估,寻找可能对系统造成损害的安全漏洞。 扫描主要分为系统扫描和网络扫描。 系统扫描:侧重主机系统的平台安全性以

24、及基于此平台的应用系统的安全; 网络扫描:侧重于系统提供的网络应用和服务以及相关的协议分析。,41,10.2.1 安全扫描技术概论 扫描的主要目的是通过一定的手段和方法发现系统或网络存在的隐患,以及时修补或发动攻击。 安全扫描器分为: 本地扫描器/系统扫描器 远程扫描器/网络扫描器 攻击者在选定攻击目标后首先就是对目标系统进行扫描侦察,搜集目标系统信息,查找可以利用的安全漏洞。,42,10.2.2 安全扫描的内容 1. 本地扫描器/系统扫描器 特点: 为了运行某些程序,检测缓冲区溢出攻击,本地扫描器可以在系统上任意创建进程。 可以检查到安全补丁一级,以确保系统安装了最新的安全补丁。 可以通过在

25、本地查看系统配置文件,配置错误。 2. 远程扫描器/网络扫描器 检查网络和分布式系统的安全漏洞。 二者相辅相成,在系统环境中应该综合利用。,43,10.2.3 安全扫描系统的选择 升级问题:安全扫描系统必须及时地更新自己的安全漏洞库。 可扩充性: 局限性:安全扫描系统并非万能,不能完全依赖。,44,10.2.4 安全扫描技术分析 扫描器的工作过程通常包括3个阶段:发现目标主机、进一步发现目标系统类型及配置等信息、测试哪些服务具有安全漏洞。 1. 端口扫描技术,计算机在进行网络通信时开放一定的网络端口,不同的服务以不同的商品进行通信。计算机提供的端口共有65536个,以供各种网络应用程序使用,W

26、WW使用80端口。 Internet使用的TCP/IP协议规定在网络的传输层有两种协议TCP和UDP。端口就是这两个协议打开的,是TCP和UDP协议与上层应用程序之间的接口点。 黑客要攻击目标系统就可以利用端口作为入侵系统的通道,但是前提是必须知道是哪些端口在提供服务,一个最好的办法就是利用端口扫描技术来对目标计算机进行端口扫描。,端口扫描原理,45,端口扫描就是通过向目标主机的指定端口发送数据包,根据目标端口的反应确定哪些端口是开放的。此外,还可以根据端口返回的旗标(Banners)信息进一步判断端口上运行的服务类型,以及对应软件版本甚至操作系统类型。 对黑客来说要攻击目标服务器,首先要对它

27、进行端口扫描找出其中的漏洞,并利用这些漏洞对目标服务器进行非法访问和操作。如有需要还要在服务器上开一个后门,把后门设在不常用的又常常被忽略的端口上。这些端口又为他人非法访问此服务器提供了方便。,46,全开扫描(open scan,TCP connect)扫描 全开扫描技术通过直接同目标主机通过一次完整的3次TCP/IP握手过程,建立标准TCP连接来检查目标主机的相应端口是否打开。 使用这种方法可以检测到目标主机开放了哪些端口,在执行这种扫描方式时,攻击者不需要对目标主机拥有任何权限,只需要连通网络即可。 优点:快速、准确、不需要特殊用户权限。 缺点:不能进行地址欺骗并且非常容易被检测到。,常见

28、的端口扫描技术,47,(1)C向S发送SYN,表示想发起一次TCP连接,假定序列号是X; (2)S接到请求后,产生(SYN|ACK)响应,包括:向C发送ACK,ACK的值为X+1,表示数据成功接收,并告知下一次希望接收到字节的序号是X+1;同时,S向C发送自己的序号,假定为值Y; (3)C向S发送ACK,表示接收到S的回应。这次它的序号值为X+1,同时它的ACK值为Y+1。 连接开放,C与S可以进行数据传输。,任何两台计算机Clients和Servers之间欲建立TCP连接,则需要一个两方都确认的过程,称三次握手,可分解如下面来表示:,返回,48,TCP SYN扫描 这种技术不用扫描程序打开一

29、个完全的TCP连接,常称为半开放扫描。 因为,扫描主机向目标主机的端口发送一个请求连接的SYN报文,似乎准备打开一个真正的连接并等待反应。如果目标主机返回SYN/ACK,表示端口处于侦听状态;若返回RST数据包,则表示端口没有处于侦听状态,从而可以判断端口是否开放。 如果收到SYN/ACK,则扫描程序必须再发送一个RST信号来关闭这个连接过程。这样,TCP的3次握手并没有完成,正常的TCP连接无法建立,因此这个扫描信息不会进入目标主机的系统日志,一般不会在目标计算机上留下痕迹。 TCP SYN扫描比TCP connect扫描更隐蔽。但是在大部分操作系统下,必须要有管理员权限。,49,2. 系统

30、类型检测技术 利用系统旗标 利用DNS信息 利用TCP/IP指纹,50,1关闭闲置和有潜在危险的端口 可以采用“定向关闭指定服务的端口”和“只开放允许端口”的方式,在操作系统中关闭掉一些闲置端口。 “定向关闭指定服务的端口”是将计算机的一些闲置的“服务”关闭掉,其对应的端口也就被关闭了。 “只开放允许端口的方式”,可以利用系统的“TCP/IP筛选”功能实现,设置的时候只允许系统的一些基本网络通信需要的端口即可。 2检查各端口,有端口扫描的症状时,立即屏蔽该端口 借助软件及网络防火墙来抵御端口扫描,并设定好防火墙拦截端口扫描的规则,有端口扫描的症状时,立即屏蔽该端口。,端口扫描防范技术,51,本章小结,本章主要分析了安全威胁的基本原理和类型,介绍了安全分析的主要技术端口扫描技术。 入侵的目的 入侵者分类 攻击分类 端口扫描技术,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1