网络安全概述ppt课件.ppt_三一文库31doc.com

资源描述

《网络安全概述ppt课件.ppt》由会员分享，可在线阅读，更多相关《网络安全概述ppt课件.ppt（132页珍藏版）》请在三一文库上搜索。

1、网络安全概述,2,网络安全概述,网络安全的概念网络安全的内容网络安全面临的问题网络安全的客观必要性常见的网络信息攻击模式网络安全保障体系网络安全工作的目的,3,什么是网络安全（五要素）可用性：授权实体有权访问数据机密性：信息不暴露给未授权实体或进程完整性：保证数据不被未授权修改可控性：控制授权范围内的信息流向及操作方式可审查性：对出现的安全问题提供依据与手段,4,网络安全的内容,物理安全网络安全传输安全应用安全用户安全,5,网络安全面临的问题,來源: CSI / FBI Computer Crime Survey, March 1998.,外国政府竞争对

2、手黑客不满的雇员,6,网络安全威胁的来源,1.外部渗入（penetration）未被授权使用计算机的人； 2.内部渗入者被授权使用计算机，但不能访问某些数据、程序或资源，它包括： -冒名顶替:使用别人的用户名和口令进行操作； -隐蔽用户:逃避审计和访问控制的用户； 3.滥用职权者: 被授权使用计算机和访问系统资源，但滥用职权者。,7,冒名顶替,废物搜寻,身份识别错误,不安全服务,配置,初始化,乘虚而入,代码炸弹,病毒,更新或下载,特洛伊木马,间谍行为,拨号进入,算法考虑不周,随意口令,口令破解,口令圈套,窃听,偷窃,网络安全威胁,线缆连接,身份鉴别,编程,系统漏洞,物理威胁,网络安全威

3、胁的几种类型,8,网络安全面临严峻挑战,网上犯罪形势不容乐观有害信息污染严重网络病毒的蔓延和破坏网上黑客无孔不入机要信息流失与信息间谍潜入网络安全产品的自控权信息战的阴影不可忽视互联网正以巨大的力度和广度冲击和改造着社会、经济、生活的传统模式互联网正在成为社会公众强烈依赖的社会重要基础设施互联网安全正在成为普遍关注的焦点,9,网上犯罪形势不容乐观,计算机犯罪以100%的速度增加网上攻击事件每年以10倍速度增涨银行的电子购物账户密码曝光事件增多 2000年2月7日攻击美国知名网站案件：损失$12亿，影响百万网民 Yahoo、Amazon、CNN、Buy、eBay、E-

4、Trade、ZDNet 网上勒索、诈骗不断：用户信用卡被曝光美国网络安全造成损失$170亿/年美国金融界计算机犯罪损失$100亿/年,10,有害信息污染严重,黄色信息：涉及1%网站，10亿美元年营业额邪教信息：法轮功160多个反宣传网站虚假新闻：美校园炸弹恐吓事件、网上股市欺诈宣扬暴力：炸药配方、帮助自杀政治攻击：考克斯报告、政治演变论,11,网络病毒的蔓延和破坏,10年内以几何级数增长病毒达55000种（2000.12 亚洲计算机反病毒大会）网络病毒有更大的破坏性 1988年莫里斯事件（UNIX/Email） 6000台、$9000万 1998年4月的CIH病毒 2000万

5、台计算机 1999年2月的梅利莎案件（Window/Email） $12亿 2000年5月4日的我爱你病毒 $87亿 2001年7、8月红色代码（CodeRed）到目前为止 $26亿,12,网上黑客无孔不入,美国网络屡遭扫荡军事、政治、经济美国五角大楼情报网络、美国海军研究室、空军、美国中央情报局、许多贸易及金融机构都有被黑的历史全球网络危机四伏非法侵入、破坏系统、窃取机密中国网络不断被侵入五一中美黑客大战800多网站被黑黑客是一些发自好奇、寻求刺激、富有挑战的家伙是一群以攻击网络，搜寻并破坏信息为了的无赖；是一帮为了扬名，专与政府作对的极端分子；是一些恐怖主义分子或政治、

6、军事、商业和科技间谍。,13,机要信息流失与信息间谍潜入,国家机密信息、企业关键信息、个人隐私 Web发布、电子邮件、文件传送的泄漏预谋性窃取政治和经济情报 CIA统计入侵美国要害系统的案件年增长率为30% 我国信息网络发展必然成为其重要目标,14,网络安全产品的自控权,安全产品隐通道、嵌入病毒、缺陷、可恢复密钥大量外购安全产品缺少自控权我国缺少配套的安全产品控制政策和机制我国安全产业还比较稚嫩是重大安全隐患之一,15,信息战的阴影不可忽视,有组织、大规模的网络攻击预谋行为：国家级、集团级无硝烟的战争：跨国界、隐蔽性、低花费、跨领域高技术性、情报不确定性美国的“信息战执

7、行委员会”：网络防护中心（1999年）信息作战中心（2000年）网络攻击演练（2000年）要害目标：金融支付中心、证券交易中心空中交管中心、铁路调度中心电信网管中心、军事指挥中心,16,网络的脆弱性,网络的扩展与业务负荷膨胀：信息量半年长一倍，网民年增涨30% 网络带宽瓶颈和信息拥挤社会与经济对网络的巨大经济依赖性： 20%股市、25%产品、30%金融、40%人口灾难情况下的网络脆弱性 “AOL”96年10小时瘫痪：影响700万用户安全的模糊性网络的开放性技术的公开性人类的天性,17,安全的模糊性,安全是相对的，不易明确安全的目标安全是复杂的，不易认清存在的问题

8、安全是广泛的，不易普及安全的知识安全链条：链条的强度等于其最弱一环的强度（木桶原理：网络安全最薄弱之处好比木桶壁上最短的木块，也是黑客对网络攻击的首选之处。）,18,网络的开放性,互联机制提供了广泛的可访问性 Client-Server模式提供了明确的攻击目标开放的网络协议和操作系统为入侵提供了线索用户的匿名性为攻击提供了机会,19,技术的公开性,如果不能集思广益，自由地发表对系统的建议，则会增加系统潜在的弱点被忽视的危险，因此Internet要求对网络安全问题进行坦率公开地讨论。基于上述原则，高水平的网络安全资料与工具在Internet中可自由获得。,20,人类的天性,好奇心这扇

9、门为什么锁上，我能打开吗？惰性和依赖心理安全问题应由专家来关心恐惧心理家丑不可外扬,21,网络攻击形式按网络服务分： E-Mail、FTP、Telnet、R服务、IIS 按技术途径分：口令攻击、Dos攻击、种植木马按攻击目的分：数据窃取、伪造滥用资源、篡改数据,22,主要攻击与威胁十大攻击手段 1.Dos：使目标系统或网络无法提供正常服务网络Flooding:syn flooding、 ping flooding 、DDos 系统Crash: Ping of death、泪滴、 land 、WinNuke 应用Crash/Overload：利用应用程序缺陷，如长邮件 2.扫

10、描探测：系统弱点探察 SATAN、ISS 、Cybercop Scanner 、 ping （嗅探加密口令,口令文件),23,3.口令攻击: 弱口令口令窃取：嗅探器、偷窥、社会工程（垃圾、便条、伪装查询）口令猜测：常用字无法获得加密的口令-强力攻击口令Crack：字典猜测、字典攻击可获得加密的口令（嗅探加密口令,口令文件) 4.获取权限，提升权限（root/administrator）猜/crack root口令、缓冲区溢出、利用NT注册表、访问和利用高权限控制台、利用启动文件、利用系统或应用Bugs 5. 插入恶意代码: 病毒、特洛伊木马（BO)、后门、恶意Applet,24,6.

11、网络破坏：主页篡改、文件删除、毁坏OS 、格式化磁盘 7. 数据窃取：敏感数据拷贝、监听敏感数据传输-共享媒介/服务器监听/远程监听RMON 8.伪造、浪费与滥用资源：违规使用 9.篡改审计数据: 删除、修改、权限改变、使审计进程失效 10. 安全基础攻击：防火墙、路由、帐户修改，文件权限修改。,25,我国网络安全现状,硬件设备上严重依赖国外网络安全管理存在漏洞网络安全问题还没有引起人们的广泛重视安全技术有待研究美国和西方国家对我过进行破坏、渗透和污染启动了一些网络安全研究项目建立一批国家网络安全基础设施,26,美2.7黑客案件的攻击方式分布式拒决服务（DDoS）,27,

12、美国2.7黑客事件的启示,互联网正在成为国家重要基础设施 9800万网民 3000万人参予网上购物，$1000亿元交易额 14%的股市交易互联网威胁给社会带来巨大冲击 CNN的100万网民阅读网络新闻受阻 Amason的820万注册用户无法购书 3天总损失高达$12亿互联网安全问题正在进入国家战略层克林顿2月16日召开网络安全高峰会议支持$900万建立高科技安全研究所拔款$20亿建基础设施打击网络恐怖活动,28,值得深思的几个问题,网络安全的全局性战略黑客工具的公开化对策网络安全的预警体系应急反应队伍的建设,29,传统安全观念受到挑战网络是变化的、风险是动态的传统安全观侧重

13、策略的技术实现现代安全观强调安全的整体性，安全被看成一个与环境相互作用的动态循环过程,30,网络安全策略,网络安全是一个系统的概念，可靠的网络安全解决方案必须建立在集成网络安全技术的基础上，网络系统安全策略就是基于这种技术集成而提出的，主要有三种： 1 直接风险控制策略（静态防御）安全=风险分析+安全规则+直接的技术防御体系+安全监控攻击手段是不断进步的，安全漏洞也是动态出现的，因此静态防御下的该模型存在着本质的缺陷。 2 自适应网络安全策略（动态性）安全=风险分析+执行策略+系统实施+漏洞分析+实时响应该策略强调系统安全管理的动态性，主张通过安全性检测、漏洞监测，自适应地填充“安

14、全间隙”，从而提高网络系统的安全性。完善的网络安全体系，必须合理协调法律、技术和管理三种因素，集成防护、监控和恢复三种技术，力求增强网络系统的健壮性与免疫力。局限性在于：只考虑增强系统的健壮性，仅综合了技术和管理因素，仅采用了技术防护。,31,网络安全策略（续）,3 智能网络系统安全策略（动态免疫力）安全=风险分析+安全策略+技术防御体系+攻击实时检测+安全跟踪+系统数据恢复+系统学习进化技术防御体系包括漏洞检测和安全缝隙填充；安全跟踪是为攻击证据记录服务的，系统学习进化是旨在改善系统性能而引入的智能反馈机制。模型中，“风险分析+安全策略”体现了管理因素；“技术防御体系+攻击实时检测+系

15、统数据恢复+系统学习进化”体现了技术因素；技术因素综合了防护、监控和恢复技术；“安全跟踪+系统数据恢复+系统学习进化”使系统表现出动态免疫力。,32,网络网络安全防护体系（ PDRR ）,随着信息网络的飞速发展，信息网络的安全防护技术已逐渐成为一个新兴的重要技术领域，并且受到政府、军队和全社会的高度重视。随着我国政府、金融等重要领域逐步进入信息网络，国家的信息网络已成为继领土、领海、领空之后的又一个安全防卫领域，逐渐成为国家安全的最高价值目标之一。可以说信息网络的安全与国家安全密切相关。,33,网络网络安全防护体系（ PDRR ）,最近安全专家提出了信息保障体系的新概念，即：为了保障网络安

16、全，应重视提高系统的入侵检测能力、事件反应能力和遭破坏后的快速恢复能力。信息保障有别于传统的加密、身份认证、访问控制、防火墙等技术，它强调信息系统整个生命周期的主动防御。美国在信息保障方面的一些举措,如：成立关键信息保障办公室、国家基础设施保护委员会和开展对信息战的研究等等，表明美国正在寻求一种信息系统防御和保护的新概念，这应该引起我们的高度重视。,34,网络网络安全防护体系（PDRR ）,保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面，构成了一个完整的体系，使网络安全建筑在一个更加坚实的基础之上。,35,网络网络安全防护体系（ PDRR ）,保护 ( PROTECT )

17、传统安全概念的继承，包括信息加密技术、访问控制技术等等。检测 ( DETECT ) 从监视、分析、审计信息网络活动的角度，发现对于信息网络的攻击、破坏活动，提供预警、实时响应、事后分析和系统恢复等方面的支持，使安全防护从单纯的被动防护演进到积极的主动防御。,36,网络网络安全防护体系（ PDRR ）,响应 ( RESPONSE ) 在遭遇攻击和紧急事件时及时采取措施，包括调整系统的安全措施、跟踪攻击源和保护性关闭服务和主机等。恢复 ( RECOVER ) 评估系统受到的危害与损失，恢复系统功能和数据，启动备份系统等。,37,网络安全保障体系,安全管理与审计,物理层安全,网络层安全,传输层

18、安全,应用层安全,链路层物理层,网络层,传输层,应用层表示层会话层,审计与监控身份认证数据加密数字签名完整性鉴别端到端加密访问控制点到点链路加密物理信道安全,访问控制数据机密性数据完整性,用户认证防抵赖安全审计,网络安全层次,层次模型,网络安全技术,实现安全目标,用户安全,38,网络安全工作的目的,黑客攻击与防范,40,以太帧与MAC地址,一、以太资料帧的结构图,41,42,43,地址解析协议,地址解析协议,注：数值2表示这个入口是非法的，数值3表示这种映像是动态的，数值4表示是静态的（如口不改变），数值1表示不是上述任何一种。入口：ARP高速缓存。,44,

19、TIP/IP,IP（Internet Protocol）网际协议，把要传输的一个文件分成一个个的群组，这些群组被称之为IP数据包，每个IP数据包都含有源地址和目的地址，知道从哪台机器正确地传送到另一台机器上去。IP协议具有分组交换的功能，不会因为一台机器传输而独占通信线路。 TCP（Transport control Protocal）传输控制协议具有重排IP数据包顺序和超时确认的功能。IP数据包可能从不同的通信线路到达目的地机器，IP数据包的顺序可能序乱。TCP按IP数据包原来的顺序进行重排。IP数据包可能在传输过程中丢失或损坏，在规定的时间内如果目的地机器收不到这些IP数据包，TCP协议会

20、让源机器重新发送这些IP数据包，直到到达目的地机器。TCP协议确认收到的IP数据包。超时机制是自动的，不依赖于通讯线路的远近。 IP和TCP两种协议协同工作，要传输的文件就可以准确无误地被传送和接收,45,TIP/IP,TCP/IP协议族与OSI七层模型的对应关系，如下图所示,2002年3月,数据包是什么样的？ TCP/IP/Ethernet 举例,对分组过滤而言：涉及四层,1. Ethernet layer 2. IP layer 3. TCP layer 4. data layer,2002年3月,分组与数据封包：,Data,Data,Data,Data,Header,Header,Hea

21、der,Header,Header,Header,Application layer (SMTP, Telnet, FTP, etc),Transport layer (TCP,UDP,ICMP),Internet Layer (IP),Network Access Layer (Ethernet, FDDI, ATM, etc),2002年3月,Ethernet layer,1. 分组Ethernet HeaderEthernet Body,2. Header 说明：,3. Ethernet Body 包含的是 IP 分组,2002年3月,IP layer,1. IP分组IP header

22、+ IP Body,3. IP可将分组细分为更小的部分段(fragments)，以便网络传输。,4. IP Body包含的是TCP分组。,2. IP header包括：,50,IP 分组字段,32 BIT,过滤字段,2002年3月,IP:,1、处于Internet中间层次。 2、其下有很多不同的层：如Ethernet，token ring，FDDI，PPP等。 3、其上有很多协议：TCP，UDP，ICMP。 4、与分组过滤有关的特性是：,5、分段示意图：,2002年3月,TCP Layer,1、TCP分组：TCP报头TCP 本体,2、报头中与过滤有关部分： TCP源端口：2 byte数，说明处

23、理分组的源机器。 TCP宿端口：同上 TCP旗标字段（flag），含有1bit的ACK bit。 3、本体内是实际要传送的数据。,2002年3月,TCP Layer,源端口宿端口序号确认号 HLEN 保留码位窗口校验和紧急指针选项填充字节数据,Bits,0,4,8,12,16,20,24,28,31,54,端口扫描攻击,WWW服务服务服务服务服务,55,Sniffer攻击,56,DOS原理,DoS的英文全称是Denial of Service，也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看，DoS算是一种很简单但又很有效的进攻方式。它

24、的目的就是拒绝你的服务访问，破坏组织的正常运行，最终它会使你的部分Internet连接和网络系统失效。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。DoS攻击的原理如图所示。,57,DOS原理,58,DOS原理,从图我们可以看出DoS攻击的基本过程：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下

25、，服务器资源最终会被耗尽。,59,DDOS原理,DDoS（分布式拒绝服务），它的英文全称为Distributed Denial of Service，它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，象商业公司，搜索引擎和政府部门的站点。从图1我们可以看出DoS攻击只要一台单机和一个modem就可实现，与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。DDoS的攻击原理如图所示。,60,DDOS原理,61,DDOS原理,从图可以看出，DDoS攻击分为3层：攻击者、主控端、代理

26、端，三者在攻击中扮演着不同的角色。 1、攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。 2、主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。 3、代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。,62,SYN Flood的基本原理,大家都知道，TCP与U

27、DP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号；第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。以上的连接过程在TC

28、P协议中被称为三次握手（Three-way Handshake）。,63,SYN Flood的基本原理,假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接

29、列表而消耗非常多的资源-数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃-即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。,64,SYN Flood的基本基本解决方法,第一种是缩短SYN Timeout时间，由于SYN Flood攻击的效果取决

30、于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYN Timeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。第二种方法是设置SYN Cookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。,65,DDoS攻击使用的常用工具,DDoS攻击实施起来有一定的难度，它要求攻击者必须具备入侵他人计算机的能力。但是很不幸的是一些傻瓜式的黑客程

31、序的出现，这些程序可以在几秒钟内完成入侵和攻击程序的安装，使发动DDoS攻击变成一件轻而易举的事情。下面我们来分析一下这些常用的黑客程序。 1、Trinoo Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP地址不做假，采用的通讯端口是：攻击者主机到主控端主机：27665/TCP 主控端主机到代理端主机：27444/UDP 代理端主机到主服务器主机：31335/UDPFN TFN由主控端程序和代理端程序两部分组成，它主要采取的攻击方法为：SYN风暴、P

32、ing风暴、UDP炸弹和SMURF，具有伪造数据包的能力。,66,DDoS攻击使用的常用工具,3、TFN2K TFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。攻击方法增加了Mix和Targa3。并且TFN2K可配置的代理端进程端口。 4、Stacheldraht Stacheldraht也是从TFN派生出来的，因此它具有TFN的特性。此外它增加了主控端与代理端的加密通讯能力，它对命令源作假，可以防范一些路由器的RFC2267过滤。Stacheldrah中

33、有一个内嵌的代理升级模块，可以自动下载并安装最新的代理程序。,67,DDoS的监测,现在网上采用DDoS方式进行攻击的攻击者日益增多，我们只有及早发现自己受到攻击才能避免遭受惨重的损失。检测DDoS攻击的主要方法有以下几种： 1、根据异常情况分析当网络的通讯量突然急剧增长，超过平常的极限值时，你可一定要提高警惕，检测此时的通讯；当网站的某一特定服务总是失败时，你也要多加注意；当发现有特大型的ICP和UDP数据包通过或数据包内容可疑时都要留神。总之，当你的机器出现异常情况时，你最好分析这些情况，防患于未然。 2、使用DDoS检测工具当攻击者想使其攻击阴谋得逞时，他首先要扫描系统漏洞，目前市

34、面上的一些网络入侵检测系统，可以杜绝攻击者的扫描行为。另外，一些扫描器工具可以发现攻击者植入系统的代理程序，并可以把它从系统中删除。,68,DDoS攻击的防御策略,由于DDoS攻击具有隐蔽性，因此到目前为止我们还没有发现对DDoS攻击行之有效的解决方法。所以我们要加强安全防范意识，提高网络系统的安全性。可采取的安全防御措施有以下几种： 1、及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息（例如系统配置信息）建立和完善备份机制。对一些特权帐号（例如管理员帐号）的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。 2、在网络管理方面，要经常检查系统的物理环境，

35、禁止那些不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。 3、利用网络安全设备（例如：防火墙）来加固网络的安全性，配置好它们的安全规则，过滤掉所有的可能的伪造数据包。 4、比较好的防御措施就是和你的网络服务提供商协调工作，让他们帮助你实现路由的访问控制和对带宽总量的限制。,69,DDoS攻击的防御策略,5、当你发现自己正在遭受DDoS攻击时，你应当启动您的应付策略，尽可能快的追踪攻击包，并且要及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡从已知攻击节点的流量。 6、当你是潜在的DDoS攻击受害者，你发现

36、你的计算机被攻击者用做主控端和代理端时，你不能因为你的系统暂时没有受到损害而掉以轻心，攻击者已发现你系统的漏洞，这对你的系统是一个很大的威胁。所以一旦发现系统中存在DDoS攻击的工具软件要及时把它清除，以免留下后患。,70,分布式拒绝服务（DDoS）攻击工具分析 - TFN2K,客户端用于通过发动攻击的应用程序，攻击者通过它来发送各种命令。守护程序在代理端主机运行的进程，接收和响应来自客户端的命令。主控端运行客户端程序的主机。代理端运行守护程序的主机。目标主机分布式攻击的目标（主机或网络）。,71,分布式拒绝服务（DDoS）攻击工具分析 - TFN2K,TFN2K通过主控端利用大量代理

37、端主机的资源进行对一个或多个目标进行协同攻击。当前互联网中的UNIX、Solaris和Windows NT等平台的主机能被用于此类攻击，而且这个工具非常容易被移植到其它系统平台上。 TFN2K由两部分组成：在主控端主机上的客户端和在代理端主机上的守护进程。主控端向其代理端发送攻击指定的目标主机列表。代理端据此对目标进行拒绝服务攻击。由一个主控端控制的多个代理端主机，能够在攻击过程中相互协同，保证攻击的连续性。主控央和代理端的网络通讯是经过加密的，还可能混杂了许多虚假数据包。整个TFN2K网络可能使用不同的TCP、UDP或ICMP包进行通讯。而且主控端还能伪造其IP地址。所有这些特性都使发展防御

38、TFN2K攻击的策略和技术都非常困难或效率低下。,72,主控端通过TCP、UDP、ICMP或随机性使用其中之一的数据包向代理端主机发送命令。对目标的攻击方法包括TCP/SYN、UDP、ICMP/PING或BROADCAST PING (SMURF)数据包flood等。主控端与代理端之间数据包的头信息也是随机的，除了ICMP总是使用 ICMP_ECHOREPLY类型数据包。与其上一代版本TFN不同，TFN2K的守护程序是完全沉默的，它不会对接收到的命令有任何回应。客户端重复发送每一个命令20次，并且认为守护程序应该至少能接收到其中一个。,73, 这些命令数据包可能混杂了许多发送到随机I

39、P地址的伪造数据包。 TFN2K命令不是基于字符串的，而采用了“+“格式，其中是代表某个特定命令的数值，则是该命令的参数。所有命令都经过了CAST-256算法（RFC 2612）加密。加密关键字在程序编译时定义，并作为TFN2K客户端程序的口令。所有加密数据在发送前都被编码（Base 64）成可打印的ASCII字符。TFN2K 守护程序接收数据包并解密数据。,74, 守护进程为每一个攻击产生子进程。 TFN2K守护进程试图通过修改argv0内容（或在某些平台中修改进程名）以掩饰自己。伪造的进程名在编译时指定，因此每次安装时都有可能不同。这个功能使TFN2K伪装成代理端主机的普通正常

40、进程。因此，只是简单地检查进程列表未必能找到TFN2K守护进程（及其子进程）。来自每一个客户端或守护进程的所有数据包都可能被伪造。,75,TFN2K仍然有弱点。可能是疏忽的原因，加密后的Base 64编码在每一个TFN2K数据包的尾部留下了痕迹（与协议和加密算法无关）。可能是程序作者为了使每一个数据包的长度变化而填充了1到16个零(0x00)，经过Base 64编码后就成为多个连续的0x41(A)。添加到数据包尾部的0x41的数量是可变的，但至少会有一个。这些位于数据包尾部的0x41(A)就成了捕获TFN2K命令数据包的特征了,76,fork ABCDEFGHIJKLMNOPQRSTUVW

41、XYZabcdefghijklmnopqrstuvwxyz0123456789+/ /dev/urandom /dev/random %d.%d.%d.%d sh* ksh* command.exe* cmd.exe* tfn-daemon* tfn-child*,77,目前仍没有能有效防御TFN2K拒绝服务攻击的方法。最有效的策略是防止网络资源被用作客户端或代理端。预防只使用应用代理型防火墙。这能够有效地阻止所有的TFN2K通讯。但只使用应用代理服务器通常是不切合实际的，因此只能尽可能使用最少的非代理服务。禁止不必要的ICMP、TCP和UDP通讯。特别是对于ICMP数据，可只允许I

42、CMP类型3（destination unreachable目标不可到达）数据包通过。如果不能禁止ICMP协议，那就禁止主动提供或所有的ICMP_ECHOREPLY包。,78, 禁止不在允许端口列表中的所有UDP和TCP包。配置防火墙过滤所有可能的伪造数据包。对系统进行补丁和安全配置，以防止攻击者入侵并安装TFN2K。监测扫描客户端/守护程序的名字。根据前面列出的特征字符串扫描所有可执行文件。扫描系统内存中的进程列表。,79, 检查ICMP_ECHOREPLY数据包的尾部是否含有连续的0x41。另外，检查数据侧面内容是否都是ASCII可打印字符（2B，2F-39，0x41-

43、0x5A，0x61-0x7A）。监视含有相同数据内容的连续数据包（有可能混合了TCP、UDP和ICMP包）。响应一旦在系统中发现了TFN2K，必须立即通知安全公司或专家以追踪入侵进行。因为TFN2K的守护进程不会对接收到的命令作任何回复，TFN2K客户端一般会继续向代理端主机发送命令数据包。另外，入侵者发现攻击失效时往往会试图连接到代理端主机上以进行检查。这些网络通讯都可被追踪。,80,IP欺骗的原理,什么是IP电子欺骗攻击？所谓IP欺骗，无非就是伪造他人的源IP地址。其实质就是让一台机器来扮演另一台机器，籍以达到蒙混过关的目的。谁容易上当？ IP欺骗技术之所以独一无二，就在于只能

44、实现对某些特定的运行Free TCP/IP协议的计算机进行攻击。一般来说，如下的服务易受到IP欺骗攻击：任何使用Sun RPC调用的配置任何利用IP地址认证的网络服务 MIT的X Window系统 R服务,81,IP欺骗的原理,假设B上的客户运行rlogin与A上的rlogind通信： 1. B发送带有SYN标志的数据段通知A需要建立TCP连接。并将TCP报头中的sequence number设置成自己本次连接的初始值ISN。 2. A回传给B一个带有SYS+ACK标志的数据段，告之自己的ISN，并确认B发送来的第一个数据段，将acknowledge number设置成B的ISN+1。

45、3. B确认收到的A的数据段，将acknowledge number设置成A的ISN+1。,82,B - SYN - A B A,83,IP欺骗攻击的描述,1. 假设Z企图攻击A，而A信任B，所谓信任指/etc/hosts.equiv和$HOME/.rhosts中有相关设置。注意，如何才能知道A信任B呢？没有什么确切的办法。我的建议就是平时注意搜集蛛丝马迹，厚积薄发。一次成功的攻击其实主要不是因为技术上的高明，而是因为信息搜集的广泛翔实。动用了自以为很有成就感的技术，却不比人家酒桌上的巧妙提问，攻击只以成功为终极目标，不在乎手段。 2. 假设Z已经知道了被信任的B，应该想办法使B的网络功能暂时

46、瘫痪，以免对攻击造成干扰。著名的SYN flood常常是一次IP欺骗攻击的前奏。请看一个并发服务器的框架：,84,IP欺骗攻击的描述,int initsockid, newsockid; if (initsockid = socket(.) 0) error(“cant create socket“); if (bind(initsockid, .) 0) error(“bind error“); if (listen(initsockid, 5) 0) error(“listen error“); ,85,IP欺骗攻击的描述,for (;) newsockid = accept(initso

47、ckid, .); /* 阻塞 */ if (newsockid 0) error(“accept error“); if (fork() = 0) /* 子进程 */ close(initsockid); do(newsockid); /* 处理客户方请求 */ exit(0); close(newsockid); ,86,IP欺骗攻击的描述,3. Z必须确定A当前的ISN。首先连向25端口(SMTP是没有安全校验机制的)，与1中类似，不过这次需要记录A的ISN，以及Z到A的大致的RTT(round trip time)。这个步骤要重复多次以便求出RTT的平均值。现在Z知道了A的ISN基值和

48、增加规律(比如每秒增加128000，每次连接增加64000)，也知道了从Z到A需要RTT/2 的时间。必须立即进入攻击，否则在这之间有其他主机与A连接， ISN将比预料的多出64000。,87,IP欺骗攻击的描述,4. Z向A发送带有SYN标志的数据段请求连接，只是信源IP改成了B，注意是针对TCP513端口(rlogin)。A向B回送SYN+ACK数据段，B已经无法响应(凭什么？按照作者在2中所说，估计还达不到这个效果，因为Z必然要模仿B发起connect调用，connect调用会完成全相关，自动指定本地socket地址和端口，可事实上B很可能并没有这样一个端口等待接收数据。,88,IP欺骗攻击的描述,除非Z模仿B发起连接请求时打破常规，主动在客户端调用bind函数，明确完成全相关，这样必然知道A会向B的某个端口回送，在2中也针对这个端口攻击B。可是如果这样，完全不用攻击B，bind的时候指定一个B上根本不存在的端口即可。我也是想了又想，还没来得及看看老外的源代码，不妥之处有待商榷。总之，觉得作者好象在蒙我们，他自己也没有实践成功过吧。)，B的TCP层只是简单地丢弃A的回送数据段。,89,IP欺骗攻击的描述,5. Z暂停一小会儿，让A有足够时间发送SYN+ACK，因为Z看不到这个包。然后Z再次伪装成B向

展开阅读全文