计算机网络

 

一、计算机网络安全概论

 

 

 

网页篡改：目前国内已有成熟网页自动保护技术

网络蠕虫：一般很难预先发现

拒绝服务攻击：通过网络管理部门解决

特洛伊木马：需要有经验的技术人员

网络信息安全与保密的技术特征:可靠性、可用性、保密性、完整性、不可抵赖性、可控性

1、可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。

可用公式描述为

    R=MTBF/(MTBF+MTTR)

    R为可靠性，MTBF表示平均故障间隔时间， MTTR表示平故障修复时间.

可靠性的测度主要有:

抗毁性：人为破坏下的可靠性

生存性：随机破坏下系统的可靠性

有效性：基于业务性的可靠性

可靠性主要表现在：硬件、软件、人员、环境可靠性等方面。

可用性是网络信息可被授权实体访问，并按需求使用的特性。

是网络信息系统面向用户的安全性能。

2、可用性应满足以下要求

身份识别与确认

访问控制

业务流控制

路由选择控制

审计跟踪

3、保密性是网络信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。（只为授权用户使用）

常用的保密技术：

防侦收

防辐射

信息加密

物理保密

4、完整性是网络信息技术未经授权不能进行改变的特性。是面向信息的安全性。

影响网络信息完整性的主要因素有：设备故障、误码、人为攻击、计算机病毒。

保障网络信息完整性的主要方法有：

协议

纠错编码方法

密码校验和方法

数字签名

公证

5、不可抵赖性也称不可否认性。就是在网络信息系统的交互过程中，所有参与者都不能否认或抵赖曾经完成的操作和承诺。

利用信息源证据防否认已发送

利用递交接收证据防否认已接收

 

 

6、可控性是对网络信息的传播及内容具有控制能力的特性。

网络信息安全的层次结构：物理安全、安全控制、安全服务

1、物理安全是指在物理介质层次上对存储和传输的网络信息的安全保护。

该层次上常见的不安全因素有：

自然灾害、物理损害、设备故障

电磁辐射、痕迹泄露

操作失误、意外疏漏

2、安全控制是指在网络信息系统中对存储和传输的信息的操作和进程进行控制和管理，主要通过OS或网管软件、路由器配置等实现，重点在网络信息处理层次上对信息进行初步的安全保护。

可分为三个层次：

操作系统的安全控制：对用户合法身份进行核实、对文件的读写存取的控制

网络接口模块的安全控制：对来自其它机器的网络通信进行安全控制，包括身份认证、客户权限设置和判别、审计日志等。

网络互联设备的安全控制：对整个子网内的所有主机的传输信息和运行状态进行安全检测和控制。

3、安全服务是指在应用程序层对网络信息的保密性、完整性和信源的真实性进行保护和鉴别，满足用户的安全需求，防止和抵御各种安全威胁和攻击手段。

主要包括：

安全机制：如加密和解密、数字签名和签名验证、信息认证。现代密码学有着重要作用。

安全连接：如会话密钥的分配和生成、身份验证

安全协议：使网络环境下互不信任的通信双方能相互配合，并通过以上实现来保证通信过程的安全、可靠和公平。

安全策略：是以上的有机组合方式，决定了系统的整体安全性和实用性

 

 

软件漏洞：操作系统的安全漏洞与防范

数据库的安全漏洞与防范

TCP/IP协议的安全漏洞与防范

网络软件与网络服务的漏洞

口令设置的漏洞

1、陷门是什么？是在程序开发时插入的一小段程序，目的是测试这个模块，或是为了将来的更改和升级程序，或是为了将来发生故障后，为程序员提供方便等。常在程序开发后期被去掉，但也可能有意或无意地被保留下来。

常见的陷门实例：逻辑炸弹、遥控旁路、远程维护、非法通信、贪婪程序

防范方法：

加强程序开发阶段的安全控制

在程序使用中实行科学的安全控制

制定规范的软件开发标准，加强管理

2、操作系统的安全漏洞主要有：

输入/输出非法访问

访问控制的混乱

不完全的中介

操作系统的陷门

3、为防止数据库中的数据受到物理破坏而不能恢复原来的系统，应当对数据库系统采取定期备份所有文件的方法来保护系统的完整性。

数据库可以有自己的用户身份鉴别机制，以提供双重保护，还可以对使用数据库的事件和地点加以限制。

必要时对存储数据进行加密保护。

4、安全协议

SSL

S-HTTP

SEEP

SET

IKP

5、Finger的漏洞

匿名FTP

远程登录

电子邮件

6、口令选择应注意的问题

用姓名+数字做口令

用单词或操作系统命令做口令

多个主机用相同的口令

只用小写字母作口令

口令长度过短

网络拓扑结构的安全缺陷

总线型拓扑结构

星型

环型

树型

网络硬件的安全缺陷

网桥的安全隐患：

路由器的安全隐患：动态路由表的可修改性，IP冒用

“可信计算机系统评估准则”将计算机系统的安全分为以下4个等级8个级别：

D级

C级

C1级

C2级

B级

B1级

B2级

B3级

A级

根据该国家标准，我国计算机信息系统安全保护分为5个等级：

用户自主保护级

系统审计保护级

安全标记保护级

结构化保护级

访问验证保护级

 

 

二、黑客技术

入侵过程

- 侦察:信息的收集

 - 脆弱性识别:对信息进行判断如端口扫描

 - 渗透:进入目标系统，验证非法获得的口令、劫持TCP会话

 - 控制:对目标系统实施控制

 - 嵌入:对系统进行安装和修改，如特洛伊木马、后门、修改日志销毁痕迹

 - 数据抽取和修改:进行破坏活动

 - 攻击重放:利用被破坏的系统

踩点（Foot Printing）

扫描（Scanning）

查点（Enumeration）

获取访问权（Gain Access）

权限提升（Escalating Privilege）

窃取（Pilfering）

掩盖踪迹（Covering Track）

创建后门（Creating Back Doors）

拒绝服务攻击（Denial of Services）

(1)拒绝服务攻击  是最容易实施的攻击行为，它企图通过使目标计算机崩溃或把它压跨来阻止其提供服务。主要包括：Land，Syn flooding (UDP flooding)，Ping of death，Smurf (Fraggle)，Teardrop，TCP RST攻击，Jot2，电子邮件炸弹，畸形消息攻击。

(2)利用型攻击  是一类试图直接对你的机器进行控制的攻击。主要包括：口令猜测，特洛伊木马，缓冲区溢出。

(3)信息收集型攻击 不对目标本身造成危害，而是被用来为进一步入侵提供有用的信息。主要包括：扫描（包括：端口扫描、地址扫描、反向映射、慢速扫描），体系结构刺探，利用信息服务（包括：DNS域转换、Finger服务，LDAP服务）。

(4)假消息攻击  用于为攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。

网络信息收集技术  包括目标网络中主机的拓扑结构分析技术、目标网络服务分布分析技术和目标网络漏洞扫描技术。

目标网络权限提升技术  包括本地权限提升和远程权限提升。

目标网络渗透技术  包括后门技术、Sniffer技术、欺骗技术、tunnel及代理技术。

目标网络摧毁技术  包括目标服务终止、目标系统瘫痪和目标网络瘫痪。

Land攻击：原理：攻击者向目标发送一个特别打造的SYN包，包的原地址和目标地址都被设置成该目标服务器的地址，并将源和目的地址及端口设成相同值，这样就会导致接收服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。某些路由器设备和一些操作系统遇到此种情况将不能正常工作。不同系统对Land攻击反应不同，比如，许多UNIX系统将崩溃，NT将变得极其缓慢。

Smurf攻击 ：原理：攻击者伪造被攻击者的IP地址向广播地址连续发出icmp echo包，于是广播地址中的众多机器就会向受害者返回信息，过量的信息会使被攻击者负载上升，甚至造成拒绝服务。如果对Smurf攻击进行简单的修改，使用UDP应答消息而非ICMP，就成了Fraggle攻击。

Syn flooding：原理：

攻击者假冒服务器端无法连接的IP地址向服务器发出SYN请求，服务器向这个假的IP地址发回SYN/ACK，但由于IP地址是假的，所以没有ACK返回来，服务器只能等待连接超时掉（TIMEOUT）。

大量的无法完成的连接请求严重影响了系统性能。一些TCP/IP栈只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。

分布式拒绝服务攻击：分布式拒绝服务攻击（DDoS）是DoS攻击的进一步演化，它引进了Client/Server机制，增加了分布式的概念。是利用网络协议缺陷而实施的一种攻击方法。

 

 

DDoS攻击最早出现于1999年夏天，但当时还只是在黑客站点上进行一种理论上的探讨，后来开始盛行。

 

 

常见的拒绝服务攻击工具主要有Trin00、TFN、Stacheldraht以及Trinity。

从多方面检测目标主机是否存活，通常称ping扫射（sweep），即看网络上哪些主机处于存活状态

主要包括：ICMP扫射，广播ICMP，非回显ICMP，TCP扫射、UDP扫射

ICMP扫射：利用了ICMP回显请求（利用了类型为8的ICMP报文），用来探知目标是否存活。

Unix下的ICMP扫射工具主要有ping和fping

Windows下有Pinger

Namp的sp选项也提供了ICMP扫射能力

广播ICMP：向目标网络地址或广播地址发送回显请求，以探知目标网络中存活的主机。

只能用于Unix下的主机

容易造成DOS

非回显ICMP：利用其他类型的ICMP报文探测主机是否存活

13：时间戳请求(如: icmpenum)

17：地址掩码请求

TCP扫射：利用TCP三次握手原理，向目标发送ACK或SYN报文，如果存活，则会收到RST报文

UDP扫射：发送UDP数据报到目标网络广播地址，如果收到ICMP端口不可达的错误，则目标存活。

取得目标主机开放的端口和服务信息

TCP Connect()扫描：利用OS提供的connect()系统调用，如果目标端口处于侦听状态，则connect()成功。

优点：系统中任何权限的用户都可使用这个调用

缺点：速度慢

TCP SYN扫描：半开扫描，只完成3次握手过程的一半。

TCP ACK扫描：用来探知防火墙过滤规则

TCP FIN扫描：基于Unix的系统，处于侦听状态端口的收到一个FIN报文后，不做回应；如果关闭，则响应一个RST报文。Win系统总是响应RST报文，只适用于Unix。

TCP XMAS扫描：向目标发送URG/PSH/FIN

TCP空扫描：向目标发送一个所有标记都置0的报文。

FTP反弹扫描：利用一台服务器探测另一台主机的端口状态

优点：难以跟踪，能穿越防火墙；

缺点：速度慢

UDP扫描：类似UDP扫射，用来发现目标打开的UDP端口

Netcat：又称瑞士军刀。由Hobbit开发。

Nmap：开放源码的网络扫描工具，由nmap编写。

SATAN：网络分析的安全管理工具，提供了一整套安全管理、测试和报告的功能。

Nessus：免费的网络漏洞扫描工具。用于Solaris, Linux等系统。

X-scan：免费的漏洞扫描工具。用于win系统。采用多线程方式对指定方式对指定IP地址段进行安全漏洞检测。