第十章 安全脆弱性分析

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

21
2013-7-9
(1) 口令攻击 (2) 拒绝服务攻击(Denial of Services (3) 利用型攻击 (4) 信息收集型攻击 (5) 假消息攻击 DoS)
22
2013-7-9
(3)利用型攻击
利用型攻击是一种试图直接对主机进行控制的攻击。他有特 洛伊木马和缓冲区溢出两种表现形式 a.特洛伊木马(具有隐蔽性和非授权性) 特征:表面上看有用软件工具,而实际上却在启动后暗中 安装破坏性的软件。
恶意的木马程序:NetBus, Backorifice,B02k等
隐蔽性:采用多种手段隐藏木马,即使服务器端发现感染 了木马,也不容易确定其具体位置。
非授权性:木马驻留在目标计算机里,在目标计算机启动
时,自动启动,一旦控制端与服务端连接后,控制端将享 有服务端大部分操作权限, 包括窃取口令,拷贝或删除文 件,修改注册表,重启计算机等。
2013-7-9
23
特洛伊木马


24
特洛伊木马只是一种远程管理工具,它本质上把 带伤害性,也没有传染性,所以不能称之病毒。 但是如果被人不正当的使用,破坏力可比病毒更 强。 特洛伊木马起源:特洛伊木马源于一场古希腊战 争。希腊人制作了一个巨大无比的木马,特洛伊 人认为这是神的恩赐,于是决定把木马拖入城内 庆祝,但城门过小,特洛伊人只好推倒 了抵抗了 希腊军队十年的坚固的城墙,就在特洛伊人欢庆 并为此喝得大醉的时候,藏在木马里的希腊人轻 而易举地攻下了特洛伊城。特洛伊木马因此而得 名。人们之所以用特洛伊木马命名这种远程控制 软件,是因为它攻击的欺骗性和希腊人的手法相 同。 2013-7-9
第十 章 安全脆弱性分析
10.1 安全威胁分析 10.2 安全扫描技术
1
2013-7-9
第十章
安全脆弱性分析
信息系统不安全的主要原因是系统自身存在的安全 弱点,因此,信息系统安全脆弱性分析是评估系统 安全强度和设计安全体系的基础。
10.1
10.1.1 入侵行为分析
安全威胁分析
1. 入侵和攻击的定义: 狭义:攻击仅仅 发生在入侵行为完成且入侵者 已在 其目标网络中。 广义:使网络受到入侵和破坏的所有行为都应该被 称为“攻击”,即当入侵者试图在目标机上“工作” 的那个时刻起,攻击就已经发生了。 2013-7-9

代理端:代理端同样也是攻击者侵入并控制的一批主机,
它们上面运行攻击器程序,接受和运行主控端发来的命令。 代理端主机是攻击的执行者,真正向受害者主机发送攻击。
16
2013-7-9
DDoS攻击过程
(1) 攻击者寻找在Internet上有漏洞的主机, 进入系统后在其上面安装后门程序,攻击 者入侵的主机越多,他的攻击队伍就越壮 大。 (2) 攻击者在入侵主机上安装攻击程序,其中 一部分主机充当攻击的主控端,一部分主 机充当攻击的代理端。 (3) 最后各部分主机各司其职,在攻击者的调 遣下对攻击对象发起攻击。由于攻击者在 幕后操纵,所以在攻击时不会受到监控系 统的跟踪,身份不容易被发现。
一些恶意的操作。
25
2013-7-9
木马必须伪装,才能欺骗别人运行木马。主要有以下方式:
冒充为图像文件
• 木马程序的扩展名基本是exe,例如把“sam.exe”木马文件 更改为“sam.jpg.exe”文件。如果计算机设定为隐藏扩展名的 话,那看到的是“图像文件”sam.jpg了 • 改文件图标:木马本身是没有图标的,而在电脑中显示 了一个windows预设的图标,可以把文件图标改成jpg图标 合并程序欺骗:将一个正常文件和一个木马文件程序捆绑在 一起成为一个文件,以后只要执行这个合并文件,木马文件就 执行
(3)秘密用户:拥有账户管理权限,利用这种控制 来逃避审计和访问数据,或者禁止收集审计数据。 可能是外部人员,也可能是内部人员 4.入侵和攻击过程: 窥探设施
4
攻击系统
掩盖踪迹
2013-7-9
(1)窥探设施:获取目标系统的信息。包括操作系统的类型 和版本,主要提供的服务和服务进程的类型和版本,网 络拓扑结构。
伪装成应用程序扩展组件:最难识别的木马。
木马防范: 查找文件:如冰河木马的一个特征文件是kernl32.exe, 另 一个是sysexlpr.exe, 只要删除这两个文件,木马就不起作用了。
2013-7-9
26
b.缓冲区溢出攻击(buffer overflow) 特征:通过往程序的缓冲区写超出其长度的内容,造成缓冲 区的溢出,从而破坏程序的堆栈,使程序转而执行一
2013-7-9
20
d.路由和DNS攻击
(1)基于路由的DoS涉及攻击者操纵路由表项拒 绝对合法系统或网络提供服务。 适合于早期,在较早的路由协议中没有或很少
有认证机制,这给攻击者修改合法路由创造了条
件,攻击者往往通过假冒IP地址就能达到目的 (2)基于域名系统的攻击往往将受害者域名服务 器高速缓存中的信息改成虚假的地址信息。
14
2013-7-9
一般性的分布式攻击(如DDoS)模型
15
2013-7-9
三层模型
• 攻击者:攻击者所用的计算机是攻击主控台,可以是网络 上的任何一台主机,甚至可以是一个活动的便携机。攻击者
操纵整个攻击过程,它向主控端发送攻击命令。
• 主控端:主控端是攻击者非法侵入并控制的一些主机,这些 主机还分别控制大量的客户主机。主控端主机的上面安装了 特定的程序,因此它们可以接受攻击者发来的特殊指令,并 且可以把这些命令发送到代理主机上。
定义:通过某些手段使得目标系统或者网络不 能提供正常的服务 – DoS攻击主要是利用了TCP/IP 协议中存在的设 计缺陷和操作系统及网络设备的网络协议栈存在 的缺陷。 难以防范,有些DoS可以通过管理的手段预防。

10
2013-7-9
DoS的案例
• 政府网站
– 美国白宫的网站曾经遭受拒绝服务攻击
Death – 修改(篡改)系统策略,使得它不能提供正常的服务
13
2013-7-9
a.带宽耗用 (bandwidth—consumtion) 即攻击者消耗到通达某个网络的所有可用带宽。 (1) 攻击者有比受害者网络的带宽更大的可用带宽, 从而可以造成受害者的网络拥塞 说明:高带宽是大公司和国家科研机关拥有的;以个 人为主的 黑客很难享用 (2)攻击者通过征用多个站点放大DoS攻击的效果, 即分布式攻击DDoS(Distributed Dential of Servies) 什么是分布式拒绝服务DDOS • 传统的拒绝服务是一台机器向受害者发起攻击, DDOS不是仅仅一台机器而是多台主机合作,同时向一 个目标发起攻击。
• 分布式拒绝服务
– 在2000年2月7—8发生的一次对某些高利润站点
Yahoo、eBay、Buy.com等的拒绝服务攻击,持续
了近两天,使这些公司遭受了很大的损失。事后这
些攻击确定为分布式的拒绝服务攻击。
11
2013-7-9
DoS的类型

粗略来看,分为三种形式 – 使一个系统或网络瘫痪,发送一些非法数 据包使系统死机或重起 – 向系统发送大量信息,使系统或网络不能 响应 – 物理部件的移除,或破坏
木马例子
一个用户可能从网上下载了某个程序,该程序声称
是Microsoft Internet Explorer的一个升级版本,当该
用户运行这个程序时,一条消息显示出来说明程序 已经被升级了,但实际上运行该程序时就安装了一 个工具软件,它是运行在后台的,可以删除文件, 收集口令,并将该口令发送到黑客的账户,或执行
19
的合同。
2013-7-9
b.资源衰竭(resource starvation)
特征:攻击者往往拥有一定数量系统资源的合法访问 权限。
方式: 滥用这种访问权限将消耗额外的资源,合法用 户被剥夺了原来的资源份额。(资源:cpu利用率、内 存等)
c.编程缺陷(programming flaw)
特征:应用程序、操作系统或嵌入式cpu在处理异常条 件上 的失败。 方式:攻击者往往向目标 系统发送非法的、与 RFC(Request For Comment) 不相容的数据包来确认其 网络协议栈是否会处理这种异常或则是否会导致系统 崩溃。
7
2013-7-9
DoS)
(1)口令攻击
口令是抵抗攻击的第一道防线。几乎所有的多用户 系统都要求提供帐号ID的同时,而且还提供一个口令。
不安全的口令:
• 用户名或其变形 • 电话号码、执照号码 • 一些常见的单词 • 生日 • 长度小于5的口令 • 空口令或弱口令
8
• 上述词后加上数字
2013-7-9
(1) 口令攻击 (2) 拒绝服务攻击(Denial of Services (3) 利用型攻击 (4) 信息收集型攻击 (5) 假消息攻击 DoS)
9
2013-7-9
(2)拒绝服务(Denial of Service)攻击


回顾信息安全的三个主要需求: – 保密性、完整性、可用性(availability) – DoS是针对可用性发起的攻击

2013-7-9
18
网络911 F 据估计,欧洲的有关公司因泄密导致的商业损失可 能高达200亿美元。 F 欧洲议会听证会上的一份研究报告列举了这种经济 间谍活动给欧洲企业带来的灾难性影响。其中法国电子 业巨头汤姆森无线电报总公司正是因为这种间谍活动, 在1994年失去了一项关于亚马孙森林发展的70亿法郎 合同,此外还有美国依靠窃取的情报,破坏了法国本来 打算为沙特阿拉伯提供“空中客车”飞机的340亿法郎
12
2013-7-9
DoS的技术分类
• 从表现形式来看 – 带宽消耗
• 用足够的资源消耗掉有限的资源
• 利用网络上的其他资源(恶意利用Internet共享资源), 达到消耗目标系统或网络的目的
– 系统资源衰竭,针对操作系统中有限的资源,如进程数、 磁盘、CPU、内存、文件句柄,等等
– 程序实现上的缺陷,异常行为处理不正确,比如Ping of
17
2013-7-9
网络911
2000年2月7日10时15分,汹涌而来的垃 圾邮件堵死了雅虎网站除电子邮件服务等 三个站点之外的所有服务器,雅虎大部分 网络服务陷入瘫痪。 第二天,世界最著名的网络拍卖行eBay、 美国有线新闻网CNN的网站、顶级购物网 站Amazon也因黑客 袭击而瘫痪。 在此之后又有一些著名网站被袭击: ZDnet,Etrade,Excite,Datek……到2 月17日为止,黑客攻击个案已增至17宗, 而且可能有更多网站受袭而未被察觉。 引起美国道琼斯和纳斯达克指数大幅下挫。
•内部泄漏
•信息丢失
•外部泄漏
•电子谍报
•信息战
系统内部威胁 • OS本身存在的缺陷 •管理员安全知识的欠缺 • DBMS安全脆弱性 • 网络协议缺陷(TCP/TP)
2013-7-9
6 •应用系统缺陷
2. 攻击分类
攻击分类的方法很多,如按照攻击的意图:主动攻击 和被动攻击 根据入侵者使用的手段和方式将攻击分类如下: (1) 口令攻击 (2) 拒绝服务攻击(Denial of Services (3) 利用型攻击 (4) 信息收集型攻击 (5) 假消息攻击
2
2. 入侵的目的:
(1)执行进程:运行程序,消耗系统资源,对目标主机无害 (2)获取文件和数据:如:采用网络舰艇程序获取用户口令
文件
(3) 获取超级用户权限:目的是进行任何操作 (4) 进行非授权操作:寻找管理员设置中的漏洞,或用工具 突 破系统防线 (5)使系统拒绝服务:目标系统中断或完全拒绝合法用户、网
络系统或其他资源的服务。攻击的意图是恶意的
(6)篡改信息:对重要文件的修改、更换和删除等 (7)披露信息:入侵者将获得信息和数据发往公开的站点,造
3
成信息的扩散。
2013-7-9
3.入侵者类型:
(1)伪装者:未经授权使用计算机或绕开系统访问 控制机制获得合法用户权限。可能是外部人员
(2)违法者:未经授权访问数据、程序或资源的合 法用户,或者具有访问授权错误使用其权利的人。 一般是内部人员
信息收集技术也是一把双刃剑
– 黑客在攻击之前需要收集信息,才能实施有效的攻击 – 管理员用信息收集技术来发现系统的弱点
(2)攻击系统:主要攻击OS、应用软件和网络 (3)掩盖踪迹:目的是防止被检测出来。 5
201wenku.baidu.com-7-9
10.1.2 安全威胁分析
1.威胁来源:系统内部威胁和系统外部威胁 来自外部威胁: •自然灾害,意外事故 •人为行为(使用不当) • 计算机病毒 •黑客行为(非法访问等)
相关文档
最新文档